07/08/2014

Gestión
Integral de
Riesgos

CONTENIDO

Clase Tema
1 Introducción a la Gestión Integral de Riesgos
2 La Gestión Integral de Riesgos en la organización
3 Marco y proceso de ERM
4 Supervisión del Riesgo
5 Planeación estratégica y ERM
6 Gestión de procesos y resultados basados en riesgos
7 Auditoria interna y control
8 Regulación y cumplimiento
9 Identificación y tratamiento de riesgos
10 Modelación de riesgos
11 Asignación de capital basado en riesgos
12 Ambiente y cultura de Gestión de Riesgos

1
 07/08/2014

9. IDENTIFICACIÓN Y
TRATAMIENTO DE RIESGO

OBJETIVOS
9 .IDENTIFICACIÓN Y
Después de terminar el contenido de este
TRATAMIENTO DE capítulo usted estará en capacidad de:
RIESGOS • Explicar los objetivos, componentes y la implementación de
un programa de Cumplimiento
• Explicar cómo una organización puede utilizar cada una de
las siguientes técnicas equipo-orientado a identificar sus
riesgos:
1. Aproximación en Equipo a • Facilitar talleres
la Identificación de • Técnica Delphi
riesgos • Análisis de escenarios
• HAZOP (estudio de peligros y operatividad)
2. Registros de riesgos • DOFA (fortalezas, debilidades, oportunidades y amenazas)
• Describir el propósito y la composición de un registro de
3. Mapas de riesgo riesgos.
4. Tratamiento de riesgos • Describir el propósito y la composición de un mapa de riesgo.
• Describir el proceso de tratamiento de riesgos y técnicas de
tratamiento del riesgo.

2
 07/08/2014

1. INTRODUCCIÓN A LA IDENTIFICACIÓN DE RIESGOS

El riesgo se debe identificar antes de poder ser manejado. Para

optimizar la gestión de riesgos, las organizaciones necesitan identificar
riesgos emergentes además de los riesgos existentes.

La identificación de riesgos es uno de los primeros pasos en el

proceso de gestión de riesgo. Cada organización, en la adaptación de
un proceso de gestión de riesgo a sus necesidades, debe definir cómo
identificará riesgos y las herramientas a emplear en el proceso. Una
mejor práctica para profesionales de la gestión del riesgo es un
enfoque holístico para la identificación de riesgos.

MODELO PARA UN PROCESO DE ERM

Explorar el
Ambiente

Monitorear Identificar
y
garantizar riesgos

Tratar Analizar
riesgos riesgos

3
 07/08/2014

1.1. DEFINICIÓN DE IDENTIFICACIÓN DE RIESGOS

Los estándares de gestión de riesgo internacionales como ISO 31000 y COSO ERM,
así como los procesos de gestión de riesgo tradicionales, incluyen la identificación de
riesgos como un paso inicial en el proceso. COSO ERM utiliza el término
"identificación del evento," que se define como la gestión identificando "eventos
potenciales que afectan la capacidad de una entidad para implementar la estrategia y
objetivos con éxito." La definición tradicional de identificación de riesgos es emplear
métodos de identificación de riesgos de pérdida específica que pueden interferir con el
logro de los objetivos primarios de una organización.

El proceso de identificación de riesgo tradicional consiste en identificar de los riesgos

de pérdida, que son riesgos negativos. Estándares tales como ISO 31000 y COSO
ERM utilizan un enfoque más amplio en la identificación de riesgos con potencial tanto
positivo como negativo para la organización. Cada organización debe decidir qué
definición se alinea con sus objetivos.

Las organizaciones deben identificar todos los riesgos conocidos, que son normalmente los que
previamente les han afectado. Las organizaciones también deben tratar de identificar los riesgos
emergentes. Cada organización debe definir los tipos de riesgo emergente que tienen el mayor potencial
para afectar la capacidad de la organización para lograr sus objetivos.

No es factible para cualquier organización identificar todos los riesgos emergentes o desconocidos. Los
intentos de hacerlo pueden resultar en el uso innecesario de recursos.

Por ejemplo, muchas organizaciones pasaron importantes recursos financieros y humanos en la

planificación de 2005 por el riesgo de una pandemia de gripe aviar que nunca ocurrió. Mientras tanto, la
crisis financiera de 2008 tomó por sorpresa a la mayoría de las organizaciones.

Cada organización debe poner de manifiesto los riesgos clave durante el proceso de identificación de
riesgo. Probablemente, estos serán riesgos conocidos, pero ellos podrían incluir importantes riesgos
emergentes. Los riesgos principales son aquellos que tienen el mayor efecto potencial sobre la capacidad
de la organización para cumplir con sus objetivos y deben recibir la mayor atención en la gestión de
riesgo.

4
 07/08/2014

1.2. HERRAMIENTAS PARA LA IDENTIFICACIÓN DE

RIESGOS
Los procesos de gestión de riesgo estándar proporcionan herramientas que
las organizaciones pueden adaptar para identificar los riesgos.
Muchos profesionales de la gestión de riesgo utilizan los registros de
pérdida como parte de la identificación de riesgos. Los registros de pérdida
ofrecen varias ventajas.
– Proporcionan información cuantitativa y cualitativa con respecto a los riesgos
conocidos.
– Generalmente están contenidas dentro de una base de datos que puede ser
adaptadas a distintos tipos de análisis.
– Los registros de pérdida también pueden ser correlacionadas con su efecto
sobre los objetivos de la organización.
– Sin embargo, una desventaja de los registros de pérdida es que son indicadores
ex post lo que no da una visión prospectiva del riesgo.

Listas de chequeo - una ventaja de las listas es su facilidad de uso

por profesionales que no son conocedores de la gestión del riesgo.
Pueden ser divididas en los cuatro cuadrantes del riesgo (financiero,
estratégico, operacional y azar) y completadas por los gerentes de
cada área de una organización.

– Por ejemplo, el gerente de cada sucursal de un banco puede utilizar una

lista de verificación para identificar los riesgos. Los resultados de todas
las sucursales podrían ser compilados y analizados por una gestión de
riesgos profesional. Los cuestionarios pueden enviarse a los clientes para
que identifiquen los riesgos en la prestación de productos y servicios.

Las desventajas de las listas de verificación incluyen la posibilidad de

fallar en la identificación de los riesgos clave o no identificar los
efectos de los riesgos en otras áreas de la organización.

10

5
 07/08/2014

Entrevistas y talleres - consultores o profesionales de la gestión del riesgo pueden

entrevistar a varias personas, ya sea internamente o externamente para identificar los
riesgos. Los gerentes y otros empleados pueden identificar los riesgos en sus
actividades de trabajo, a veces antes de que ocurra un evento.

Limites - estos pueden identificar el riesgo mediante la comparación de las

transacciones corrientes o eventos a criterios prescritos. Por ejemplo, si el número de
préstamos del banco que no se ajustan a los estándares supera un umbral, esto
puede indicar una intensificación de las prácticas de préstamos riesgosas.

Análisis de flujo de proceso - esta técnica analiza los procesos dentro de la

organización desde la entrada hasta la salida. Por ejemplo, una compañía
farmacéutica puede analizar controles de calidad de los ingredientes utilizados para
fabricar drogas, controles de calidad durante el proceso de fabricación y la inspección
de los productos finales.

11

Auditorías – las auditorías internas y externas pueden identificar áreas de riesgo

negativo, así como los oportunidades. Por ejemplo, las auditorías de servicio al cliente
de una organización. Telecomunicaciones pueden identificar las oportunidades en los
lugares donde los representantes ofrecen o no ha podido ofrecer productos o servicios
a los clientes. Las auditorías de seguridad pueden identificar peligros y riesgos
operacionales.

Aproximaciones de equipo para la identificación de riesgos--diversos enfoques de

equipo pueden utilizarse para identificar los riesgos. Los equipos que incluyen a los
actores claves de la organización pueden utilizar análisis de intercambio de ideas y
escenarios. La Aproximación de equipo, identifica los riesgos y la interconexión de
riesgo a través de las funciones organizacionales. Por ejemplo, una catástrofe
meteorológica puede resultar en daños a la propiedad o lesiones, así como la
producción problemas y cadena interrupción del suministro. El método Delphi
proporciona la entrada de un selecto grupo de expertos. El HAZOP y análisis DOFA se
utilizan a menudo para identificar los riesgos asociados con un nuevo producto o
procedimiento.

12

6
 07/08/2014

1.3. ENFOQUE HOLÍSTICO PARA LA IDENTIFICACIÓN

DE RIESGO
Es más fácil para las organizaciones adoptar el concepto de un enfoque holístico que ponerlo
en práctica para la identificación de riesgos. Para la mayoría de las organizaciones, diferentes
tipos de riesgos se concentran en áreas específicas.
Existe un riesgo financiero en las áreas contables y financieras de la organización, mientras
que existe el riesgo de responsabilidad de productos en las áreas de fabricación. Esta forma de
gestión del riesgo en silos puede prevenir o retrasar la identificación de riesgos y una
comprensión de cómo se puede propagar el riesgo a través de una organización. Por ejemplo,
para reconocer problemas con un proveedor podrían sufrirse entradas de producto retrasadas o
inferior que, a su vez, pueden resultar en dificultades de producción que resultan más adelante
en lesiones de empleado y defectos en el producto.
El uso de los cuadrantes de riesgo para identificar y clasificar el riesgo puede proporcionar un
marco para la identificación del riesgo global. Dentro de los cuadrantes de estratégica,
financiera, operativa y riesgo de azar, los riesgos deben ser identificados como interno o
externo. Después de que los riesgos han sido identificados en cada cuadrante, puede
realizarse un análisis de escenarios para asignar las consecuencias y las probabilidades del
evento.

13

Los escenarios desarrollados pueden representar diferentes niveles de

gravedad. Por ejemplo, riesgo de tormenta eléctrica, puede desarrollarse en
escenarios que van desde una advertencia de tormenta que detiene producción
durante dos horas a una tormenta que destruye un edificio y perjudica a los
trabajadores.‘

La exposición ilustra que riesgo se identifica para cada cuadrante, y entonces

también se identifican los efectos de riesgo de cada cuadrante en los otros
cuadrantes. En el ejemplo anterior, el tornado representa un riesgo de peligro
que puede causar daños o lesiones. Sin embargo, los riesgos operacionales
relacionados también están presentes, como la pérdida de capacidad de
producción. Dependiendo de la severidad de la tornado, también podría haber
riesgos estratégicos y financieros de la organización.

14

7
 07/08/2014

• Riesgo de • Riesgo
Azar Operacional

Identificación Identificación
de Riesgos de Riesgos
del Azar Operativos

Identificación Identificación
de Riesgos de Riesgos
Financieros Estrategicos

• Riesgo • Riesgo
Financiero Estratégico

Hay otros métodos de identificación holística de riesgos.

El estándar COSO ERM también recomienda la categorización de los riesgos, pero
además de hacerlo por tipo de riesgo, sugiere utilizar una jerarquía en cascada,
comenzando con los objetivos de alto nivel y en cascada a los riesgos relacionados
con los objetivos de las unidades de negocio o funciones.
Algunas organizaciones usan un sistema de información computarizada en forma de
tablero para identificar los riesgos a través de la organización. Los profesionales de
gestión de riesgo deberían desarrollar un enfoque holístico personalizado que
funcionará dentro de sus organizaciones.
Algunas organizaciones utilizan un enfoque de Top-Down para la identificación del
riesgo global.
– Con este enfoque, el directivo decide que los riesgos suponen una importante amenaza
u oportunidad para la organización. La ventaja del enfoque de arriba hacia abajo es que
proporciona una vista de alto nivel de toda la organización y los riesgos que son
fundamentales para alcanzar los objetivos de la organización.
Dos desventajas son:
– Dependencia de los informes que presenten la gerencia media a la alta gerencia
– Visión limitada de los riesgos que puede ser filtrada en diversas áreas de la
organización.

16

8
 07/08/2014

Otro enfoque a la identificación integral del riesgo es el enfoque bottom-up.

– Una de las ventajas de este enfoque es que las opiniones de los empleados
están incluidas, lo que contribuye a una observación realista de operaciones y
entornos operativos de la organización. Las desventajas son el tiempo que tarda
en compilar y analizar indicadores de riesgo y la posibilidad de tener
demasiados detalles nublando la visión holística deseada.

Los enfoques top-down y bottom-up pueden ser combinados para

desarrollar un enfoque global de los riesgos de la organización
– Las encuestas electrónicas o visitas y entrevistas especificas se pueden utilizar
para optimizar el enfoque bottom-up. Hacer que los empleados respondan
preguntas en una encuesta electrónica es más eficiente el procesamiento que
las encuestas en papel o la realización de entrevistas en personales.
– Las áreas claves pueden ser objeto de visitas y entrevistas con empleados
claves. Los resultados de estas encuestas, visitas y entrevistas pueden ser
analizados junto con la información desde la perspectiva de top-down para
proporcionar una identificación más realista de los riesgos que se haría usando
una sola aproximación.

17

ENFOQUES TOP-DOWN Y BOTTOM-UP COMBINADOS

VENTAJAS
Top-
down – Identificar Riesgos Críticos
– Perspectiva global en riesgos
– Visión de los riesgos principales
en la organización
– Mejora de la cultura de riesgos
Bottom- – Priorización de riesgos
up

18

9
 07/08/2014

2. ENFOQUES DE EQUIPO PARA LA IDENTIFICACIÓN

DE RIESGOS

Un enfoque de equipo para la identificación de riesgos puede identificar la

interrelación de riesgos, además que proporcionar una descripción completa de
los riesgos de una organización.

Las organizaciones pueden adaptar diversos enfoques de equipo para

identificación de riesgos. La técnica elegida debe ser modificada para
requisitos particulares para el proyecto, el proceso o actividad especifico. Los
profesionales de la gestión del riesgo pueden utilizar varios enfoques de equipo
al identificar los riesgos que afectan a todos los objetivos de la organización.

19

2.1. FACILITAR TALLERES

Cuando los profesionales de la gestión del riesgo se reúnan con los líderes de una
organización, los empleados claves y otras partes interesadas, la discusión de grupo identifica
los riesgos de una manera dinámica. Los grupos pueden hacer una lluvia de ideas para iniciar
la discusión y permitir un libre flujo de ideas. Un facilitador experto puede diseñar talleres para
fomentar la discusión de ideas y de seguimiento.
Es útil incluir a representantes de diversos grupos en la organización durante estos talleres
porque la discusión de los efectos combinados y en cascada de riesgos, proporciona una
valiosa información en el nivel del riesgo y la prioridad. Este tipo de discusión puede identificar
oportunidades, así como los riesgos con consecuencias potencialmente negativas. La técnica
de facilitar talleres se puede utilizar para un proyecto específico o proceso, y también puede ser
utilizado para identificar los riesgos que afectan en general objetivos organizacionales.
Si los talleres facilitados son utilizados para identificar todos los riesgos organizacionales, el
facilitador debe ser experto en identificación de riesgos y gestión, así como en la comunicación
de grupo. Dicha acción normalmente sería un proyecto a largo plazo. Si el facilitador es un
consultor, él o ella podría reunirse con el equipo a intervalos definidos después de que el
equipo ha trabajado independientemente en la identificación de los riesgos en cada uno de los
cuadrantes de riesgo.

20

10
 07/08/2014

2.2. TÉCNICA DELPHI

La técnica que Delphi – que surge del mito del oráculo omnisciente en Delphi - utiliza las opiniones de un selecto grupo
de expertos para identificar los riesgos. Típicamente, estos expertos no se reúnen pero responden a una encuesta o
investigación.
La técnica Delphi estándar implica someter dos rondas de consultas a los expertos seleccionados.
– En primer lugar, a cada uno de ellos se les hace una pregunta y las respuestas combinadas, que permanecen
en el anonimato, se presentan al grupo.
– La misma pregunta se plantea entonces otra vez a los expertos individuales, que son instruidos a considerar
revisar sus respuestas basadas en los resultados que se reportaron al grupo.
– Este ciclo de pregunta-respuesta y continúa por un número predeterminado de rondas o hasta que se logre el
consenso.
La técnica Delphi se utilizó originalmente para la previsión de nuevos desarrollos, como las innovaciones en tecnología.
Ahora es utilizado para una gama de diferentes proyectos o procesos, es más rentable que montar un taller facilitado de
expertos y también elimina algunos sesgos de grupo manteniendo las respuestas anónimas.
Sin embargo, tiene la desventaja posible de obtener ideas actuales sobre un proyecto en particular basada en el
consenso del grupo. Si una organización está considerando un proyecto o producto novedoso, la opinión experta actual
puede no ser tan útil como la opinión de un grupo de usuarios potenciales del producto o de la comunidad donde se
propone un proyecto.

21

2.3. ANÁLISIS DE ESCENARIOS

El análisis de escenarios identifican diversos riesgos y proyectos de las posibles consecuencias de esos
riesgos.
– Por ejemplo, una tormenta de viento es identificada como un riesgo. Los resultados relacionados con la
tormenta no se limitan a los riesgos de daños a la propiedad y lesiones corporales. También se incluye
el lucro cesante, interrupción de relaciones con el cliente y riesgo reputacional posiblemente basado en
cómo una organización responde durante y después de una tormenta de viento.
– Por ejemplo, después del 2011 terremoto y tsunami en Japón, además de lidiar con daños en sus
reactores nucleares de la central de Fukushima, Tokyo Electric Power Company (TEPCO) tuvo que lidiar
con la intensa publicidad de su respuesta a la amenaza de terremoto y tsunami antes y después de la
crisis.

• EL análisis de escenarios es útil en la identificación de una gama de posibles consecuencias y para priorizar
los riesgos. Una organización debe reunir un equipo multifuncional interno para obtener una visión
multidimensional de las posibles consecuencias de un riesgo. Por ejemplo, un gerente de operación puede
ocupa principalmente de daños a unas instalaciones y empleados en caso de tormenta.

22

11
 07/08/2014

Un miembro del equipo legal puede verse afectado con responsabilidad, si

materiales inflamables se almacenan en las instalaciones. Un representante
financiero puede estar preocupado por el efecto sobre los precios de entrada si
hay interrupciones de la cadena de suministro.

Las Desventajas para el análisis de escenarios incluyen la posibilidad de

riesgos principales y los límites de la imaginación del equipo realizar el análisis.
Aunque los equipos interfuncionales reducen estos inconvenientes, no
eliminan, especialmente si todos los miembros del equipo son miembros de la
organización que nunca han experimentado un riesgo particular.

23

2.4. HAZOP

El término "HAZOP" se deriva del estudio de peligros y operabilidad, que es una revisión
completa de un sistema o proceso. Un equipo de expertos y partes interesadas identifica los
riesgos asociados a un proceso determinado y recomienda una solución.
HAZOP se utiliza principalmente para diseñar sistemas complejos y científicos tales como los
utilizados en la ingeniería, química, mecánica, electrónica y las operaciones electronicas.
Puede ser adaptado para analizar ciertas iniciativas y estrategias organizativas.
Un equipo de estudio se reúne en un taller facilitado y sigue estos pasos:
• Subdivide el diseño del proyecto o sistema en pequeños componentes.
• Comentarios sobre cada componente para identificar los riesgos.
• Identifica causa y resultado potencial para cada riesgo.
• Desarrolla una solución para cada riesgo.
El nivel de conocimientos y tiempo involucrados en este proceso lo hacen apropiado para
proyectos y sistemas donde virtualmente todos los riesgos deben ser eliminados. Por ejemplo,
proyectos de ingeniería biomédica y aviones requieren riesgos para ser identificados y
eliminados durante el diseño del proyecto.

24

12
 07/08/2014

2.5. DOFA
El término "DOFA" es un acrónimo de fortalezas, debilidades, oportunidades y amenazas. Este tipo de enfoque de equipo es
útil para analizar un nuevo proyecto o producto. Las fortalezas y debilidades son factores internos a considerar.
Las oportunidades y amenazas son factores externos.

Los miembros de equipos diferentes que representan las diferentes funciones organizativas, pueden analizar cuadrantes
específicos. Por ejemplo, las funciones de marketing y legales pueden analizar las oportunidades y amenazas. La
investigación, las operaciones y funciones financieras pueden analizar las fortalezas internas y debilidades.

Un análisis DOFA es útil cuando hay un objetivo específico, tal como determinar si participar en un nuevo producto o si un
proyecto es factible. Es menos útil para analizar los procesos actuales y procedimientos para identificar los riesgos si no hay un
objetivo concreto, como si un procedimiento se ajusta a nuevas normas o especificaciones del cliente. Una meta es necesaria
mantener el análisis DOFA de ser demasiado general o de no proporcionar información procesable.

El análisis DOFA idealmente debe concluir con una recomendación de “Inciar" o "No iniciar" para un proyecto específico y debe
incluir la discusión sobre si las debilidades o amenazas pueden convirtió en fortalezas u oportunidades. ¿Por ejemplo, si los
competidores han surgido en el espacio de la organización, puede el producto o proyecto propuesto diferenciar la organización
y evitar ganar cuota de mercado? ¿Si altos costos son un obstáculo a la realización del proyecto, pueden encontrarse
soluciones que no sólo ayuda al proyecto éxito sino que también ayuda la organización obtener una ventaja competitiva?

25

ANÁLISIS DOFA

Factores del medio Interno Fortalezas (S) Debilidades (W)

ambiente
Tecnología Estructura de costos
Canales de altos
distribución Ausencia de
Fidelización de competencias clave
clientes Rotación de personal
Calidad del producto Reconocimiento de
marca
Externo Oportunidades (0) Amenazas (T)

Nueva tecnología Cambio en los gustos

Nuevos canales de del cliente
distribución Aparición de
Necesidades competidores
insatisfechas del Nuevas regulaciones
cliente Aumentos de
Cambio en la impuestos
demografía

26

13
 07/08/2014

3. REGISTROS DE RIESGOS

Los profesionales de la gestión del riesgo pueden utilizar un registro de riesgos

para identificar y priorizar los riesgos asociados con un proyecto, un proceso,
un departamento o una organización entera.
Un modelo por escenarios captura los riesgos asociados con eventos para
proporcionar una visión realista de lo que podría pasar a una organización en
diversas circunstancias.
Un registro de riesgos proporciona una matriz para registrar la probabilidad
de un escenario y sus riesgos asociados junto con su probabilidad,
consecuencias y repercusiones para la organización.

27

3.1. PROPÓSITO DEL REGISTRO DE RIESGOS

El registro de riesgos puede utilizarse para proyectos específicos,

departamentos, unidades de negocio y procesos.
Los profesionales de la gestión del riesgo pueden utilizar estos registros
individuales de riesgo como la base para un registro de riesgos
organizacionales que muestra los riesgos clave en orden de prioridad.

Para ser eficaz, el registro de riesgo organizacional debe ser una matriz
dinámica en lugar de una recopilación de documentos.
Una buena práctica es usar un sistema informático interactivo en el cual los
propietarios del riesgo, tales como los gerentes de departamento y jefes de
proyecto, actualizan continuamente información de riesgos, y los
profesionales de la gestión de riesgo evalúan continuamente la información.

28

14
 07/08/2014

Cada organización debe diseñar su registro de riesgos con los parámetros que
reflejan adecuadamente sus riesgos. Es una buena práctica que el registro de
riesgos organizacionales proporcione una plataforma para la gestión de los
riesgos después de que han sido identificados.

Si una organización decide diseñar su registro de riesgos, los profesionales

de la administración de riesgo deben asegurar que el registro de riesgos
tiene estas características:
• Identifica adecuadamente los riesgos de la organización
• Prioriza el riesgo según el efecto potencial sobre la organización
• Proporciona un uso interactivo para los propietarios de riesgo
• Forma una matriz para gestionar los riesgos

29

4. MAPAS DE RIESGO

El mapeo de riesgos es una técnica que puede utilizarse para proporcionar una perspectiva
visual de los riesgos de una organización y dar prioridad a esos riesgos.
Los mapas de riesgo fundamentalmente proporcionan una matriz de la probabilidad y el
impacto (consecuencias) de los riesgos identificados en el registro de riesgos de la
organización.
Las variaciones de estos mapas pueden agregar otras dimensiones o aspectos de riesgo.
Estos mapas también pueden utilizarse para clasificar el riesgo en relación con el apetito por el
riesgo de una organización, que es la "cantidad total expuesta que una organización desea
tener sobre la base del trade-offs del riesgo-rendimiento, para una o más resultados deseados
y esperados.“
La clasificación de riesgo en relación con el apetito de riesgo le ayudará a determinar el nivel
adecuado de gestión de riesgos.

30

15
 07/08/2014

4.1. MAPA DE RIESGOS BÁSICOS

Un mapa de riesgos básicos traduce los riesgos identificados en el registro de riesgos en una
matriz de riesgo.
Esta matriz puede utilizarse para analizar los riesgos que están dentro o fuera de apetito por el
riesgo de una organización.
Los profesionales de administración de riesgo pueden utilizar el mapa de riesgos como base
para priorizar la gestión del riesgo y el tratamiento de los riesgos que están por fuera del apetito
de riesgo de la organización.

El término "impacto" se utiliza para transmitir el concepto de que el resultado puede ser positivo
o negativo.
Los diferentes colores representan los distintos niveles de impacto y probabilidad combinada.

La técnica del uso de colores para indicar diferentes niveles se refiere a veces como asignación
de calor.

31

4.2. VARIACIONES DEL MAPA DE RIESGO

Los profesionales de la gestión del riesgo pueden usar variaciones del mapa de riesgos para agregar diferentes
Dimensiones, tales como el time. Se puede usar este tipo de mapas de riesgos para identificar la urgencia de
tiempo para cada uno de los riesgos.
La dimensión del Tiempo en los mapas de riesgo puede utilizarse con el mapa de riesgos básicos para
establecer prioridades mensuales, trimestrales o anuales. Estos mapas pueden utilizarse para ayudar en el
diseño e implementación del proceso de gestión de riesgo, así como en cuanto al seguimiento de los programas
existentes.

Los profesionales de la gestión del riesgo también pueden utilizar el mapeo de los riesgos para identificar el
riesgo inherente, residual (actual) y los niveles óptimos de riesgo.
El Riesgo inherente es importante porque la diferencia entre el riesgo inherente y el residual proporciona una
medida de la necesidad y la eficacia del tratamiento al riesgo actual.
Si la diferencia entre el riesgo inherente y residual es pequeña, el riesgo no necesita ser tratado o el tratamiento
es ineficaz.
La diferencia entre el nivel residual (actual) de riesgo y el riesgo óptimo representa la oportunidad de
tratamiento del riesgo para reducir aún más el riesgo.
El mapa de riesgo puede utilizarse para representar los efectos de las actuales técnicas de tratamiento de
riesgo sobre la probabilidad y el impacto de los riesgos. También puede mostrar las oportunidades para mejorar
el tratamiento de riesgos.

32

16
 07/08/2014

4.3. ILUSTRANDO LAS DECISIONES DE TRATAMIENTO

DEL RIESGO
Profesionales de la gestión del riesgo pueden utilizar un mapa de riesgo para priorizar los
riesgos y seleccionar las opciones de tratamiento de riesgos. Siempre que sea práctico, la
organización puede optar por evitar riesgos negativos con los más altos niveles de probabilidad
e impacto.
Asimismo, la organización puede seleccionar los riesgos de oportunidad con la más alta
probabilidad de producir el impacto más significativo.
Un mapa de riesgo básico puede utilizarse para identificar las oportunidades de tratamiento
más adecuadas de riesgo. Riesgos dentro de la "zona roja" deben normalmente ser explotados,
controlados o transferidos según la naturaleza del riesgo.
Es probable que se transferirá una parte significativa de los riesgos identificados en la zona
"roja" en un mapa de riesgo básico.
Los riesgos dentro de la zona amarilla, o moderada, deben ser evaluados según el beneficio
potencial o la exposición y el costo de tratar o perseguir el riesgo.
Los riesgos que caen en la zona verde o bajo riesgo, generalmente son tratados a través de
procesos y procedimientos operativos normales.

33

Ejemplo Mapas de Riesgo

• Basado en el documento:
– CAS, CIA, SOA Joint Risk Management Section. (2008). A New
Approach for Managing Operational Risk, Addressing the Issues
Underlying the 2008 Global Financial Crisis.
– Este ejemplo muestra una aproximacion diferente a un mapa de
Riesgos con la perspectiva de la cuantificación.

34

17
 07/08/2014

1 2

1 2

35

1 2

5 300

1 2
300

36

18
 07/08/2014

Mapas de Riesgo y Oportunidad

37

5. TRATAMIENTO DE RIESGOS

Las decisiones de tratamiento de riesgo se basan en los resultados de

una evaluación del riesgo.
La evaluación incluye identificar y analizar los diferentes riesgos de
una organización.

Técnicas de tratamiento de riesgo disponibles incluyen estos:

– Evite el riesgo
– Modificar la probabilidad y/o el impacto del riesgo
– Transferir el riesgo
– Retener el riesgo
– Explotar el riesgo

38

19
 07/08/2014

MODELO PARA UN PROCESO DE ERM

Explorar el
Ambiente

Monitorear Identificar
y
garantizar riesgos

Tratar Analizar
riesgos riesgos

39

5.1. Proceso de tratamiento de riesgos

El tratamiento de riesgos implica tomar decisiones basadas en los resultados de la
identificación de riesgos y su análisis.
Para los riesgos identificados que necesitan tratamiento, se deben seleccionar opciones
específicas para modificarlos.
Opciones de tratamiento varían, y deben considerar los efectos negativos o positivos de la
incertidumbre sobre la organización.
El objetivo del tratamiento del riesgo es modificar los riesgos identificados para ayudar a la
organización en el cumplimiento de sus objetivos.
El proceso de tratamiento del riesgo es continuo e implica examinar cada opción de
tratamiento del riesgo (o combinación de opciones) en términos de si conduce a un nivel
tolerable de riesgo residual. También implica seleccionar y aplicar una opción de
tratamiento de riesgo u opciones y medir la efectividad de cada opción seleccionada.

40

20
 07/08/2014

Las técnicas de tratamiento del riesgo no son mutuamente excluyentes, y muchos riesgos requieren una
combinación de técnicas.
El plan de tratamiento del riesgo debe indicar las prioridades de riesgo y el orden en el cual se
implementarán las técnicas. Es importante realizar una revisión de los planes de tratamiento de riesgo
como parte de la supervisión general de la gestión de riesgo.
Los riesgos pueden cambiar basado en cambios en el funcionamiento de la organización o en factores
ambientales, tales como las condiciones económicas o los requisitos legales y reglamentarios. Las
decisiones anteriores de tratamiento de riesgo ya no pueden ser válidas, y los controles implementados
ya no pueden ser eficaces.
Además, están surgiendo riesgos, tales como aquellos derivados de nuevas tecnologías o la adquisición
de un nuevo negocio y deben ser identificados y evaluados. El proceso de tratamiento de riesgos también
debe incluir un análisis de costo-beneficio para evaluar si los beneficios de la opción elegida del
tratamiento superan los costos relacionados.
El plan de tratamiento del riesgo debe documentar el proceso y designar la opciones de tratamiento
elegido así como las personas responsables de implementar el plan. El plan también debería incluir un
calendario para la implementación de las opciones de tratamiento del riesgo y para la supervisión y
revisión del plan establecido.

41

TÉCNICAS DE TRATAMIENTO DE RIESGOS

Tratamiento

Modificar
Evitar Probabilidad o Transferir Retener Aprovechar
Impacto

42

21
 07/08/2014

5.2. TÉCNICAS DE TRATAMIENTO DEL RIESGO

Las técnicas de tratamiento del riesgo se aplican a riesgos operacionales, financieros y

estratégicos.
En general, las opciones de tratamiento disponibles riesgo caen en las categorías de evitar,
modificar, transferencia, retención o aprovechar.
Porque los riesgos especulativos pueden resultar en consecuencias positivas y negativas, la
organización debe considerar una variedad de técnicas de tratamiento del riesgo o una
combinación de técnicas para administrar los resultados positivos y negativos.
Para riesgos puros, el enfoque de tratamiento de riesgos es sobre la gestión de resultados
negativos.
Para eventos que parecen tener principalmente resultados potenciales positivos, tales como la
salida del mayor competidor del mercado, el tratamiento se centra en explotar el riesgo al
maximizar las ganancias esperadas.
Las técnicas incluyen modificar la probabilidad de un evento para incrementar la oportunidad
de alcanzar los objetivos teniendo en cuenta también las opciones de tratamiento para los
posibles resultados negativos.

43

En algunos casos, evitar riesgos es una opción apropiada; cuando se lo considera,

las organizaciones deben tener en cuenta los costos de oportunidad de no aceptar un
riesgo particular.

Los riesgos identificados también pueden tratarse mediante la modificación de la

probabilidad o el impacto de los eventos resultantes en resultados positivos o
negativos. Para riesgos de Azar, modificar la probabilidad de los eventos se centra en
los esfuerzos de prevención de pérdidas para reducir la frecuencia de pérdida total.
Las técnicas diseñadas para modificar el impacto de eventos reconocen que no
todos los resultados negativos pueden evitarse, pero que las consecuencias
financieras de estos eventos pueden ser disminuidas.

Las técnicas tales como aspersores en edificios o entrenamiento para operadores de

camiones comerciales son esfuerzos de reducción de pérdidas encaminados a reducir
la gravedad de las pérdidas. Una organización puede utilizar planes de contingencia
para modificar las consecuencias de un riesgo operacional, como una interrupción en
su cadena de suministro como resultado de una pérdida permanente o temporal de un
importante proveedor de materias primas.

44

22
 07/08/2014

Los riesgos pueden ser transferidos o compartidos, a través de acuerdos

contractuales o de joint ventures con otras organizaciones. El Outsourcing es
un método de riesgo compartido que puede ser utilizado para transferir las
operaciones no críticas y sus riesgos relacionados con otra organización. Para
riesgos de Azar, el seguro es la principal técnica utilizada para transferir riesgo.
Las transferencias de riesgo contractual (noninsurance), tales como coberturas
u otros acuerdos contractuales, pueden utilizarse para transferir las
consecuencias financieras de los riesgos a un tercero u organización.

45

La Retención de riesgo se utiliza para el riesgo residual después de que otras

técnicas de tratamiento han sido consideradas. La retención se utiliza a
menudo en combinación con la modificación del riesgo y la transferencia.

Debido a que la retención no planificada de riesgos no identificados puede

resultar en pérdida catastrófica a una organización, la retención de riesgo debe
usarse por los riesgos que se han identificado y analizado para que la
organización entienda claramente los riesgos que están siendo retenidos.
Las organizaciones también activamente pueden tomar o aumentan su riesgo
para aprovechar una oportunidad.

46

23
 07/08/2014

Ejemplo
• Aplicación de la identificación de riesgos

47

MAPA DE PROCESOS

24
 07/08/2014

Conceptos Generales
Objetivo del Actividades Alcance
proceso Clave Inicio-Fin
Caracterización de procesos

RIESGO TIPO DE RIESGO

FALLA IMPACTO CONTROL
INHERENTE EVENTO RESIDUAL
Es la evaluación Corresponde a la Las fuentes Es la Son las medidas Es el nivel de riesgo al cual
preliminar del riesgo, clasificación del generadoras de consecuencia de tomadas para está expuesta la Entidad de
con la cual la Entidad riesgo. riesgo. la materialización administrar o gestionar acuerdo con los controles
quiere conocer el nivel del riesgo. el riesgo y para existentes. El riesgo residual
de exposición al incrementar es el resultado de combinar
mismo. la probabilidad de que la calificación del riesgo
el negocio / proceso inherente y la evaluación de
logre sus metas y los controles considerando
Riesgo = “¿Qué puede salir mal?” objetivos el diseño y la efectividad
operacional de los mismos.
Probabilidad (acerca de la frecuencia)
Elementos
Impacto (acerca del efecto)
El resultado de la combinación de la probabilidad
y el impacto genera el perfil de riesgos
Bajo Moderado Alto Extremo

Consecuencia /
Tipo de Impacto al
Fallas Riesgos interior de la
Origen de los riesgos
Evento Entidad

•Procesos (Actividades) •Negocio •Fraude Interno

•Personas
Concentración y hechos Financiero
catastróficos •Fraude Externo
Incrementos inesperados en los
•Eventos Externos •Relaciones Laborales Operación
índices de morbilidad y de los
•Tecnología costos de atención •Clientes
Cambios permanentes en Imagen
•Infraestructura condiciones de salud o cambios •Daños en activos físicos
tecnológicos
•Fallas tecnológicas
•Información Insuficiencia de reservas técnicas Legal –
Comportamiento •Ejecución y Ej: Sanciones
•Operativo
Legal y Regulatorio administración de
Reputacional procesos Recurso Humano
•Financieros
Crédito •Reputacional
Liquidez Salud
Mercadeo •Legal
Estratégico

25
 07/08/2014

Modelo de Evaluación de Riesgos

A continuación se describen las actividades generales y principales para la
implementación del modelo de evaluación de riesgos
No. Actividad
1 Entendimiento del proceso (Caracterización y Diagrama de Flujo)

2 Identificación y descripción de riesgos

3 Clasificación del riesgo por tipo de evento

4 Identificación y descripción de la fallas

5 Clasificación de la Falla
Evaluación de Riesgos Inherentes a través de los criterios de definidos para
6 probabilidad e impacto
7 Identificación y descripción de controles

8 Calificación de Controles (Diseño – Ejecución)

9 Resultado (Riesgo Residual)

10 Definición de planes (Medidas de Tratamiento)

2 3 4 5 6 7 8 9
Riesgo Tipo de Falla Falla Riesgo Control Control Riesgo
Evento Inherente Residual
•Identificación Evaluación Calificación
•Descripción Clasificación •Identificación Clasificación •Probabilidad •Identificación •Diseño Resultado
•Descripción •Impacto •Descripción •Ejecución

C1 C1
Falla 1 Procesos

C2 C2
R1 Fraude Recurso R1
Interno Falla 2 Humano R1 C3 C3
10
Falla 3 Evento Medidas de
Externo C4 C4 Tratamiento

26
 07/08/2014

Criterios Para Evaluación de

Riesgos
Probabilidad de Ocurrencia:
Es la posibilidad de que un riesgo se materialice, medida en las
veces que puede presentarse en un tiempo dado. La
probabilidad de ocurrencia tiene cinco niveles: muy alta, alta,
moderada, baja y muy baja.

Impacto:
Es la consecuencia de un riesgo expresado cualitativa o
cuantitativamente, se definen rangos sobre los posibles
resultados asociados a un riesgo: superior, mayor, importante,
menor o mínimo y se asocia el tipo de afectación, por ejemplo
Impacto mayor asociado a temas de sanciones o intervenciones
por parte de los entes de control, cierre de las instalaciones
entre otros.

Evaluación de Controles
Efectividad Operativa
Muy Mitiga completamente la Falla / Riesgo
Adecuado

En conjunto con otros controles mitiga la

Adecuado
Falla / Riesgo

Inadecuado No mitiga la Falla / Riesgo

Efectividad Operativa

Quién ejecuta el control? Se ejecuta según las

Fuerte Resultado de la Solidez
condiciones definidas?
Preventivo / Detectivo / del Control
Ejecución

Correctivo
Diseño

Manual / Automático / Se ejecuta cumpliendo

Dependiente de TI parcialmente las condiciones Moderado Débil
definidas?
Frecuencia del control
Moderado

Documentación del
Fuerte
No se ejecuta? Débil
control

27
 07/08/2014

Ejemplo: Administración de Recursos Financieros

R1: Realizar inadecuada y/o
OBJETIVO inoportuna recepción y/o registro de
los recaudos.
Garantizar la oportunidad y consistencia en la recepción, registro y
R2: Recibir y/o registrar recaudos
aplicación de los recaudos efectuados a la entidad, así como su ficticios.
adecuada estimación para el cubrimiento de las obligaciones
R3: Realizar inadecuada estimación

Riegos identificados
financieras contraídas e inversiones autorizadas conforme a la del flujo de caja (Ingresos Vs. Costos y
gastos).
normatividad vigente, a las políticas, objetivos y requerimientos de la
R4: Ejecutar inadecuadamente el flujo
Entidad. de caja estimado (Ingresos Vs. Costos
y Gastos)
Inicio del Proceso Fin del Proceso

R5: Realizar pagos ficticios

Verificación del recaudo R6: Realizar inadecuada inversión de

Realizar pagos y/o inversiones
recibido en las cuentas de la excedentes
autorizadas
entidad

R7: Incumplir la Normatividad

Ejemplo: Administración de Recursos Financieros

Riesgo Inherente
Riesgos P
R Muy Alta
O
B Alta R1
A
Realizar inadecuada y/o inoportuna recepción y B
1 registro de los recaudos
I Moderada
L
I Baja
D
2 Recibir y/o registrar recaudos ficticios A Muy Baja
D
Realizar inadecuada estimación del flujo de caja
Controles

Mínimo Menor Medio Mayor Superior

3 (Ingresos VS. Costos y Gastos) NIVEL DE IMPACTO

Riesgo Residual
Ejecutar inadecuadamente el flujo de caja P
4 estimado (Ingresos VS. Costos y Gastos) R Muy Alta
O
B Alta
5 Realizar pagos Ficticios A
B
I Moderada
Realizar inadecuadas Inversiones de L
6 excedentes I Baja R1
D
A Muy Baja
7 Incumplir la Normatividad D
Mínimo Menor Medio Mayor Superior

Resultado de la NIVEL DE IMPACTO

Evaluación de Riesgos Bajo Moderado Alto Extremo

28