METODOLOGÍÍAS

PARA LA GESTÍOÍ N
DE RÍESGO
En un sistema Normalizado ISO 9001:2015

La ISO 9001:2015 nos acerca a la necesidad de identificar riesgos de nuestro Sistema de

Gestión de la Calidad, como un proceso más, requiriendo un análisis exhaustivo de los riesgos
que involucre todos los aspectos de la organización, y esto hace que todo el Sistema de
Gestión de la Calidad sea una acción preventiva gigante, que se refleja en todos los rincones de
la empresa y también en el exterior de la misma
JORGE JHUEÍ Z
j.jhuez@jhuez.com

www.jhuez.com

1
METODOLOGÍÍA PRAÍ CTÍCA PARA ÍMPLEMENTAR LA GESTÍOÍ N DE RÍESGOS EN UN
SÍSTEMA ÍSO 9001:2015

Jorge Jhueé z

Ninguna parte de esta publicacioé n puede ser reproducida, almacenada o transmitida, en

ninguna forma, o en ningué n medio sin el permiso previo del autor. Las solicitudes de
permiso debe ser dirigidas a

j.jhuez@jhuez.com

La direccioé n de correo referenciada en este libro funcionaba correctamente en el

momento de loa publicacioé n, pero pueden estar sujetas a cambios.

2
Índice
INTRODUCCIÓN............................................................................................................................4
GESTIÓN DEL RIESGO. PRINCIPIOS BÁSICOS Y BENEFICIOS..........................................................6
CONCEPTOS MÁS RELEVANTES RELACIONADOS CON GESTIÓN DEL RIESGO.............................10
LA NORMA ISO 31000................................................................................................................. 12
DEFINICIÓN DEL RIEGO EMPRESARIAL Y PRINCIPALES TIPOS DE RIESGO...................................14
Partes de la norma ISO 31000.................................................................................................... 18
Metodologías de análisis de riesgos...........................................................................................20
Metodologías de gestión del riesgo........................................................................... 20
Metodologías de cuantificación................................................................................. 23
MÉTODOS CUALITATIVOS, CUANTITATIVOS Y SEMICUANTITATIVOS..............25
Proceso de gestión de riesgos...................................................................................... 29
Problemas habituales en la gestión de riesgos...........................................................................35
Herramienta propuesta................................................................................................. 37
Conclusiones Finales.................................................................................................... 43
Despedida y Cierre....................................................................................................... 45

3
INTRODUCCIÓN
Tradicionalmente los riesgos se han tratado de forma no estructurada, mediante
soluciones puntuales tomadas como acción correctiva a un accidente o incidente
ocurrido y con el daño ya causado.

La Gestión del riesgo es un conjunto de técnicas y herramientas de apoyo y ayuda

para tomar las decisiones apropiadas, de una forma lógica, teniendo en cuenta la
incertidumbre, la posibilidad de futuros sucesos y los efectos sobre los objetivos
acordados; y tiene como objeto la prevención de los mismos en lugar de la
corrección y la mitigación de daños una vez que éstos se han producido, por lo
que resulta claramente ventajoso para las organizaciones que adopten y pongan
en uso herramientas y mecanismos de Gestión de riesgos.

La International Organization for Standarization (ISO) viene desarrollando hace

más de un cuarto de siglo, un conjunto de normas sobre Calidad y gestión de la
calidad, con el fin de ayudar a las organizaciones a hacer más eficientes sus
procesos, mejorar la satisfacción de sus clientes, reducir riesgos, aumentar la
productividad, entre otros.

La ISO 9001:2015 nos acerca a la necesidad de identificar riesgos de nuestro

Sistema de Gestión de la Calidad, como un proceso más, requiriendo un análisis
exhaustivo de los riesgos que involucre todos los aspectos de la organización, y
esto hace que todo el Sistema de Gestión de la Calidad sea una acción preventiva
gigante, que se refleja en todos los rincones de la empresa y también en el
exterior de la misma.

Hasta ahora, quizás existan organizaciones que no lo estén haciendo y otras que
sí, pero, a partir de la publicación de esta norma, todas las organizaciones
interesadas en implantar un Sistema de Gestión de la Calidad tendrán que
ejecutar y poner en marcha un sistema de gestión de riesgos.

El presente libro hace un recorrido, desde la visión de ISO 9001:2015, del proceso
de gestión de los riesgos, a la vez que analiza las diferentes partes del mismo, las
herramientas de trabajo más habituales y la integración de la gestión del riesgo en
los diferentes requisitos de ISO 90001:2015, todo ello imprescindible de conocer
para poder integrar la gestión de riesgos en ISO 9001:2015; junto con dar a
conocer los cambios que enfrentaremos y cómo tenemos que adaptar nuestros
Sistemas de Gestión de la Calidad a la nueva versión ISO 9001:2015.

Teniendo en cuenta que las amenazas, las incertidumbres y los riesgos son
inherentes a cualquier actividad y organización, independientemente de su tamaño
y sector económico, resulta sorprendente comprobar que es muy habitual que las
organizaciones gestionen estos riesgos de manera ineficaz, normalmente como

4
una actividad no estructurada ni formal, lo cual no siempre permite alcanzar los
resultados esperados.

La nueva Norma ISO 9001:2015 y la norma ISO 31000 para “Gestión de Riesgos”
establecen una serie de principios que deben ser satisfechos para hacer una
gestión eficaz del riesgo, de forma que se desarrollen, implementen y si es
aplicable, se integren con el resto de los sistemas de gestión disponibles en la
empresa.

5
GESTIÓN DEL RIESGO. PRINCIPIOS BÁSICOS Y BENEFICIOS

La Norma ISO 9001:2015 está orientada hacia un enfoque preventivo que se

acentúa con los aspectos referidos a la Gestión del Riesgo, que consisten en
reconocer los riesgos dentro de una organización y llevar a cabo las actuaciones
necesarias para evitar que se produzcan.

De este modo se podrá obtener una buena producción y alcanzar la satisfacción

de los clientes.

La incorporación del Enfoque basado en Riesgos en la nueva norma ISO

9001:2015 (en el apartado “6. Planificación”) implica que cuando las empresas
adapten sus sistemas de gestión basados en la norma del 2008, deberán incluir
métodos o procedimientos para la evaluación, administración, eliminación y/o
minimización de los riesgos.

6
Este conjunto de métodos o procedimientos conforman la Gestión del Riesgo, y
una buena forma de lograr que los mismos resulten efectivos consiste en tomar
como guía a los principios básicos que establece la Norma ISO 31000:

 Crear y proteger el valor: Contribuye a la consecución de objetivos así

como a la mejora de aspectos tales como la seguridad y salud laboral,
cumplimiento legal y normativo, protección ambiental, etc.
 Estar incorporada en todos los procesos: No debe ser entendida como
una actividad aislada sino como parte de las actividades y procesos
principales de una organización.
 Ser parte del proceso para la toma de decisiones: La gestión del riesgo
ayuda a la toma de decisiones evaluando la información sobre las distintas
alternativas de acción.
 Ser usada para tratar con la incertidumbre: La gestión de riesgo trata
aquellos aspectos de la toma de decisiones que son inciertos, la naturaleza
de esa incertidumbre y como puede tratarse.
 Ser estructurada, sistemática, y oportuna: Contribuye a la eficiencia y,
consecuentemente, también a la obtención de resultados fiables.
 Basada en la mejor información disponible: Los inputs del proceso de
gestión de riesgos están basados en fuentes de información como la
experiencia, la observación, las previsiones y la opinión de expertos.

7
  Adaptarse al entorno: Hecha a medida de la propia organización, alineada
con su contexto externo e interno y con su perfil de riesgo.
 Considerar factores humanos y culturales: Reconoce la capacidad,
percepción e intenciones de la gente, tanto externa como interna que pueda
facilitar o dificultar la consecución de los objetivos de la organización.
 Ser transparente, inclusiva, y relevante: La apropiada y oportuna
participación de los grupos de interés y, en particular, de los responsables a
todos los niveles, deben asegurar que la gestión del riesgo permanece
relevante y actualizada.
 Dinámica, sensible al cambio, e iterativa: La organización debe velar
para que la gestión de riesgos detecte y responda a los cambios de la
empresa. Conocer como ocurren los acontecimientos externos e internos,
cambio del contexto, nuevos riesgos que surgen y otros que desaparecen.
 Facilitar la mejora continua de la organización: Las organizaciones
deberían desarrollar e implementar estrategias para mejorar continuamente,
tanto en la gestión del riesgo como en cualquier otro aspecto de la
organización.

Una vez implementado el sistema de gestión de riegos, si resulta efectivo permite

a la organización obtener los siguientes beneficios:

 Aumentar la probabilidad de alcanzar objetivos;

 Motivar una dirección proactiva;
 Ser consciente de la necesidad de identificar y tratar los riesgos en todas
partes de la organización;
 Fomentar la gestión proactiva en lugar de la reactiva;
 Mejorar la identificación de oportunidades y amenazas;
 Cumplir con exigencias legales y requerimientos de regulación y normas
internacionales;
 Mejorar la gobernabilidad/gestión empresarial;
 Mejorar la confidencialidad y confianza en las partes interesadas
(stakeholders).
 Establecer una base confiable para la toma de decisiones y la planificación;
 Mejorar controles;
 Mejorar la eficacia y la eficiencia operacional;
 Mejorar la prevención de pérdidas y manejo de incidentes;
 Minimizar pérdidas;
 Mejorar el conocimiento de la organi zación;
 Mejorar la capacidad de recuperación de la organización;
 Mejorar la información financiera;

8
 Mejorar la prevención así como la gestión de incidentes;
 Repartir y utilizar de forma efectiva los recursos para la gestión de riesgos.

9
CONCEPTOS MÁS RELEVANTES RELACIONADOS CON GESTIÓN
DEL RIESGO
La Norma ISO 31000: 2009 “RISK MANAGEMENT. PRINCIPLES AND
GUIDELINES”, entre los conceptos más relevantes vinculados con la Gestión del
Riesgo se pueden mencionar los siguientes:

Riesgo: Efecto de la incertidumbre sobre los objetivos, considerando que un

efecto es una desviación de aquello que se espera, sea positivo, negativo o
ambos; y también que los objetivos pueden tener aspectos diferentes (por ejemplo
financieros, salud y seguridad, y metas ambientales) y se pueden aplicar en
niveles diferentes (estratégico, en toda la organización, en proyectos, productos y
procesos).

Incertidumbre: Es el estado, incluso parcial, de deficiencia de información

relacionada con la comprensión o el conocimiento de un evento, su consecuencia
o probabilidad.

Gestión del riesgo: Actividades coordinadas para dirigir y controlar una

organización con respecto al riesgo.

Marco de referencia para la gestión del riesgo: Conjunto de componentes que

brindan las bases y las disposiciones de la organización para diseñar,
implementar, monitorear, revisar y mejorar continuamente la gestión del riesgo a
través de toda la organización. Las bases incluyen la política, los objetivos, el
comando y el compromiso para gestionar el riesgo, en tanto que las disposiciones
incluyen planes, relaciones, rendición de cuentas (Accountability), recursos,
procesos y actividades.

Política para la gestión del riesgo: Declaración de la dirección y las intenciones

generales de una organización con respecto a la gestión del riesgo.

Actitud hacia el riesgo: Enfoque de la organización para evaluar y

eventualmente buscar, retener, tomar o alejarse del riesgo.

Plan para la gestión del riesgo: Esquema dentro del marco de referencia para la
gestión del riesgo que especifica el enfoque, los componentes y los recursos de la
gestión que se van a aplicar a la gestión del riesgo. Los componentes de la
gestión comúnmente incluyen procedimientos, prácticas, asignación de
responsabilidades, secuencia y oportunidad de las actividades.

Propietario del riesgo: Persona o entidad con la responsabilidad de rendir

cuentas y la autoridad para gestionar un riesgo.

10
Proceso para la gestión del riesgo: Aplicación sistemática de las políticas, los
procedimientos y las prácticas de gestión a las actividades de comunicación,
consulta, establecimiento del contexto, y de identificación, análisis, evaluación,
tratamiento, monitoreo y revisión del riesgo.

Establecimiento del contexto: Definición de los parámetros internos y externos

que se han de tomar en consideración cuando se gestiona el riesgo, y
establecimiento del alcance y los criterios del riesgo para la política para la gestión
del riesgo.

Contexto externo: Ambiente externo en el cual la organización busca alcanzar

sus objetivos, y puede incluir el ambiente cultural, social, político, legal,
reglamentario, financiero, tecnológico, económico, natural y competitivo, bien sea
internacional, nacional, regional o local; impulsores clave y tendencias que tienen
impacto en los objetivos de la organización; y relaciones con las partes
involucradas y sus percepciones y valores.

Contexto interno: Ambiente interno en el cual la organización busca alcanzar sus

objetivos, y puede incluir el gobierno, estructura organizacional, funciones y
responsabilidades; políticas, objetivos y estrategias implementadas para lograrlos;
las capacidades, entendidas en términos de recursos y conocimiento (por ejemplo
capital, tiempo, personas, procesos, sistemas y tecnologías); sistemas de
información, flujos de información y procesos para la toma de decisiones (tanto
formales como informales); relaciones con las partes involucradas internas y sus
percepciones y valores; la cultura de la organización; normas, directrices y
modelos adoptados por la organización; y forma y extensión de las relaciones
contractuales.

11
LA NORMA ISO 31000
La Gestión de Riesgos en las
empresas nace en la década
de los 60. Ante la tecnificación
y modernización de ciertos
procesos que hasta ese
momento se habían
desarrollado de forma manual,
en muchos sectores se puso de
manifiesto la necesidad de realizar un mejor control de las actividades. La
tecnología supuso mayor agilidad y calidad, pero a la vez nuevos retos de control
y seguimiento.

A partir de esos años se publicó la primera literatura al respecto. Los sectores que
más contribuyeron a la consolidación del concepto fueron el asegurador, el
tecnológico, el militar y el de la ingeniería náutica y nuclear.

Sin embargo, sólo en la segunda mitad de los años 70 la Gestión de Riesgos entró
de lleno a las empresas. Esto se debió a la aparición de las primeras normas y
estándares internacionales. Quizá el más significativo fue el código de seguridad
nuclear que hizo público la US Nuclear Regulatory Comission, el cual intentaba
minimizar los riesgos a los que estaba expuesto el sector nuclear estadounidense.

La asimilación del término acabó de completarse gracias la difusión de otras

normas al respecto, como por ejemplo el COSO, código emitido por el Comité de
Organizaciones Sponsor en 1991 y que incluía prácticas para la gestión interna del
riesgo. Dos años más tarde, Australia y Nueva Zelanda publicaron la norma AS/NZ
4360 sobre el riesgo en sus empresas públicas, mientras en 2002 el Instituto
Británico de Gestión de Riesgos hizo público el estándar IRM. Por otro lado en el
año 2002 con la finalidad de evitar fraudes y riesgo de bancarrota nace en Estados
Unidos la Ley Sarbanes Oxley con el fin de monitorear a las empresas que cotizan
en bolsa de valores, evitando que la valorización de las acciones de las mismas
sean alteradas de manera dudosa, mientras que su valor es menor.

Sin embargo, estos estándares y normas internacionales tenían dos problemas en

el terreno práctico: el primero, que casi todos estaban dirigidos a empresas de
sectores específicos, lo cual reducía su impacto y extensión; y el segundo, que
había una notoria disparidad de criterios a la hora de desarrollarlos.

Estos dos elementos motivaron a la Organización Internacional de Normalización

(ISO) a elaborar una norma que abordara la Gestión de Riesgos de forma global,
necesidad que en 2009 dio origen a la norma ISO 31000. Sin embargo, pese a su

12
alcance genérico, es una norma no certificable; son las empresas las que se
acogen voluntariamente a sus directrices en el área de Gestión de Riesgos.

Se trata de un estándar que puede aplicarse a cualquier tipo de organización, más

allá de su Naturaleza, actividad, escenario comercial o tipo de producto, entre
otros factores. A través de una serie de directrices y principios, la norma busca
que cada empresa implemente un Sistema de Gestión del Riesgo para reducir los
obstáculos que impiden la consecución de sus objetivos, siendo compatible con
cada sector.

13
DEFINICIÓN DEL RIEGO EMPRESARIAL Y PRINCIPALES TIPOS
DE RIESGO

Toda actividad empresarial lleva implícito un riesgo. Algunas en mayor medida que
otras, pero ninguna se encuentra exenta. El riesgo es parte de cualquier área de
negocio, pues en cierta forma lo define y ayuda a ponerle límites.

En el plano corporativo, el riesgo se define como la incertidumbre que surge

durante la consecución de un objetivo. Se trata, en esencia, circunstancias,
sucesos o eventos adversos que impiden el normal desarrollo de las actividades
de una empresa y que, en general, tienen repercusiones económicas para sus
responsables.

Según el tipo de actividad

Los riesgos están presentes en cualquier actividad. Sin embargo, algunos implican
un mayor o menor nivel de incidencia sobre las actividades de las empresas. Una
primera clasificación de los mismos puede hacerse en los siguientes términos:

Riesgo sistemático:

Se refiere a aquellos riesgos que estén presentes en un sistema económico

o en un mercado en su conjunto. Sus consecuencias pueden aquejar a la
totalidad del entramado comercial, como sucede, por ejemplo, con las crisis
económicas de gran envergadura y de las cuales ninguna compañía puede
sustraerse. También pueden ser originados por accidentes, guerras o
desastres naturales.

Riesgo no sistemático:

Son los riesgos que se derivan de la gestión financiera y administrativa de

cada empresa. Es decir, en este caso la que falla es una compañía en

14
 concreto y no el conjunto del mercado o escenario comercial. Varían en
función de cada tipo de actividad y cada caso, al igual que la manera en
que son gestionados. Las situaciones de crisis internas o un plan de
crecimiento mal implementado son algunos ejemplos.

Según su naturaleza

Pero los riesgos también pueden definirse en función de s u naturaleza. De hecho,

es la manera más extendida a la hora de clasificarlos. Está claro que un riesgo de
tipo legal o jurídico no debe tener la misma gestión que otro de tipo económico.

En ese sentido, la clasificación de los riesgos quedaría de la siguiente manera:

Riesgos financieros:

Son todos aquellos relacionados con la gestión financiera de las empresas.

Es decir, aquellos movimientos, transacciones y demás elementos que
tienen influencia en las finanzas empresariales: inversión, diversificación,
expansión, financiación, entre otros. En esta categoría es posible distinguir
algunos tipos:

• Riesgo de crédito.
• Riesgo de tasas de interés.
• Riesgo de mercado.
• Riesgo gestión.
• Riesgo de liquidez.
• Riesgo de cambio.

Riesgos económicos:

En este caso, se refiere a los riesgos asociados a la actividad económica,

ya sean de tipo interno o externo. En el primer caso, hablamos de las
pérdidas que puede sufrir una organización debido a decisiones tomadas en
su interior. En el segundo, son eventos cuyo origen es externo. Para
diferenciarlo del ítem anterior, es preciso señalar que el riesgo económico
afecta el valor de la gestión de riesgos en las organizaciones básicamente a
los beneficios monetarios de las empresas, mientras que los financieros
tienen que ver con todos los bienes que tengan las organizaciones a su
disposición.

Riesgos ambientales:

Son aquellos a los que están expuestas las empresas cuando el entorno en
el que operan es especialmente hostil o puede llegar a serlo. Tienen dos

15
 causas básicas: naturales o sociales. En el primer grupo podemos
mencionar elementos como la temperatura, la altitud, la presión
atmosférica, las fallas geológicas, entre otros. En el segundo, cuestiones
como los niveles de violencia y la desigualdad. Sea como sea, lo cierto es
que son riesgos que no dependen de las empresas y que, por tanto, su
gestión requiere de planes preventivos más eficaces.

Riesgos políticos:

Este riesgo puede derivarse de cualquier circunstancia política del entorno

en el que operen las empresas. Los hay de dos tipos: gubernamentales,
legales y extralegales. En el primer caso se engloban todos aquellos que
son el resultado de acciones que han sido llevadas a cabo por las
instituciones del lugar, por ejemplo un cambio de gobierno o una
modificación en las políticas comerciales. En el segundo caso, se sitúan
actos al margen de la ley como acciones terroristas, revoluciones o
sabotajes.

Riesgos legales:

Se refiere a los obstáculos legales o normativos que pueden obstaculizar el

rol de una empresa en un sitio determinado. Por ejemplo, en algunos países
operan leyes restrictivas en el mercado que limitan la acción de ciertas
compañías. Estos riesgos van generalmente ligados a los de carácter
político.

Normalmente atendiendo a la naturaleza de los riesgos empresariales suele

distinguirse entre riesgos puros y riesgos especulativos.

El riesgo puro se define como la incertidumbre de que acontezca un determinado

suceso que ocasiona una pérdida económica. Por su parte, el riesgo especulativo
se define como la incertidumbre de que ocurra un determinado suceso cuya
ocurrencia produciría la materialización de una expectativa de beneficio o pérdida,
indistintamente.

En consecuencia, el riesgo puro es aquél del que sólo puede derivarse un daño en
caso de ocurrencia y, por tanto, una pérdida económica. Por el contrario, en el
riesgo especulativo existe la incertidumbre, respecto al propio suceso, de que
pudiera producirse indistintamente un beneficio o una pérdida.

En general, esta distinción es bastante significativa, ya que la cobertura financiera

de los riesgos procurada por la institución aseguradora atiende generalmente a los
riesgos puros. Los riesgos especulativos son asumidos habitualmente por el
empresario en función de su conocimiento y quedan fuera del marco asegurador,

16
si bien actualmente existe un cierto acercamiento del seguro a determinadas
parcelas de riesgos especulativos. Dentro de los riesgos puros, con relación a los
peligros desencadenantes de estos riesgos pueden distinguirse tres grandes
áreas:

 Riesgos personales.
 Riesgos de daños materiales sobre las propiedades.
 Riesgos de responsabilidad civil.

La norma ISO 31000 es una herramienta que establece una serie de principios
para la implementación de un Sistema de Gestión de Riesgos en las empre-
sas. Como se dijo antes, puede aplicarse a cualquier tipo de organización
independiente de su tamaño, razón social, mercado, fuente de capital, espectro
comercial o forma de financiación. No especifica ningún área o sector en concreto.
La norma parte del hecho de que todas las empresas, en mayor o menor medida,
llevan a cabo prácticas para la gestión de los riesgos. La diferencia radica en la
coordinación y alineamiento de dichas prácticas.

Aunque no es certificable, el estándar busca minimizar, gestionar y controlar

cualquier tipo de riesgo, más allá de su naturaleza, causa, origen o grado de
incidencia.

Esto se logra a través de la integración del Sistema de Gestión de Riesgos a la

estrategia de cada organización, así como a sus procesos, políticas y cultura.

De hecho, no es una norma pensada para circunstancias concretas, sino que

busca una aplicación continua y permanente en el tiempo. De esta manera,
beneficia el grueso de las acciones, decisiones, operaciones, procesos, funciones,
proyectos, servicios y activos que tengan lugar en las empresas .

17
Partes de la norma ISO 31000
Para una mejor comprensión de sus principios y directrices, la norma
ISO 31000:2009 divide su contenido en tres áreas básicas:

1. Principios y directrices: La norma ISO 31000 sirve de referencia para otros

estándares sobre Gestión de Riesgos. Además, complementa la información de
diversas normativas en el plano local, regional, nacional o incluso continental. En
este primer apartado, se explica no sólo el alcance de la misma, sino que se
detallan las prácticas básicas que debe tener en cuenta cualquier organización
dispuesta a implementar un Sistema de Gestión de Riesgos. Los 11 principios
expuestos son:

 La gestión crea valor a la organización.

 Debe estar integrada a los procesos.
 Forma parte de la toma de decisiones en la empresa.
 Trata de forma explícita la incertidumbre.
 Debe ser sistemática, estructurada y adecuada.
 Es necesario que esté basada en la mejor información disponible.
 Debe adaptarse a la medida de cada caso.
 Implica la inclusión de factores humanos y culturales.
 Debe ser transparente, eficaz e inclusiva.
 Es necesario que sea iterativa y sensible al cambio.
 Tiene que ir orientada a la mejora continua de la organización.

2. Gestión de riesgos:

La norma ISO 31000 define la Gestión de Riesgos como todas aquellas

acciones coordinadas para dirigir y controlar los riesgos a los que puedan estar
abocadas las organizaciones. En este segundo apartado, el objetivo es trazar un
marco de acción para saber qué aspectos gestionar y cómo hacerlo. La gestión
tiene que ver, sobre todo, con la cuantificación de los riesgos, para lo cual es
fundamental definir dos elementos dentro de este proceso:

Consecuencia:

La norma define la consecuencia como los efectos o aquellos elementos que se

derivan directa o indirectamente de otros. En este caso, se trata de evaluar los
riesgos que cumplen con la premisa de causa-efecto. Es cierto que no siempre se
pueden prever las consecuencias de una acción o decisión, pero este solo acto es
el origen de cualquier Sistema de Gestión de Riesgos. Sin un mínimo grado de
consecuencia, cualquier acción en la materia resultará insuficiente.

18
Probabilidad:

Este segundo término habla de la posibilidad de que un hecho se produzca. Para

la Gestión de Riesgos, es fundamental que las empresas contemplen la irrupción
de hechos que puedan derivarse o no de las decisiones de la empresa. Nunca se
está del todo preparado para los acontecimientos, sobre todo si éstos provienen
de factores externos, pero el sólo hecho de pensar en su materialización ya es un
buen indicador de la Gestión de Riesgos de gestión:

3. Vocabulario de gestión:

Finalmente, en esta última parte la norma ISO 31000 plantea un conjunto de

conclusiones sobre la implementación de un Sistema de Gestión de Riesgos. En
este sentido, complementa la información de los dos apartados anteriores con un
glosario especializado en esta materia.

19
Metodologías de análisis de riesgos
Dado que los riesgos no
tienen el mismo origen
ni la misma naturaleza,
existen varias
estrategias para su
gestión. Sin embargo,
otros factores que
inciden
significativamente son el
tamaño de las
empresas, su número
de integrantes, su estructura, la actividad de producción y el sector en el que
operan.

Esto ha propiciado que se desarrollen metodologías de análisis propias de un

sector o especialidad. Su objetivo es la identificación, evaluación, tratamiento y
monitorización de los riesgos asociados a una actividad, función o proceso. Es
decir, es lo que da forma a la implementación del sistema de gestión en sí mismo.

Sin embargo, es importante dejar claro que las metodologías de análisis

de riesgos se dividen en dos grupos principales:

Metodologías de gestión del riesgo

Son aquellas que están orientadas a la identificación, evaluación y el posterior
tratamiento de los riesgos derivados de una actividad. Entre ellas está, como es
obvio, la norma ISO 31000. También se encuentran otros estándares, como por
ejemplo la norma AS/NZS 4360, que plantea un modelo de análisis centrado en
los principios de la familia normativa ISO 9000.

Otras de las metodologías más reconocidas son el sistema APPCC (Análisis de

Peligros y Puntos Críticos de Control) y el método del ARO (Administración del
Riesgo Operacional), los cuales operan en el mismo sentido.

AS/NZS 4360 Administración de Riesgos

Este Estándar provee una guía genérica para el establecimiento e implementación

el proceso de administración de riesgos involucrando el establecimiento del
contexto y la identificación, análisis, evaluación, tratamiento, comunicación y el
monitoreo en curso de los riesgos.
La administración de riesgos es reconocida como una parte integral de las buenas
prácticas gerenciales. Es un proceso iterativo que consta de pasos, los cuales,

20
cuando son ejecutados en secuencia, posibilitan una mejora continua en el
proceso de toma de decisiones.

Administración de riesgos es el término aplicado a un método lógico y sistemático

de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y
comunicar los riesgos asociados con una actividad, función o proceso de una
forma que permita a las organizaciones minimizar pérdidas y maximizar
oportunidades. Administración de riesgos es tanto identificar oportunidades como
evitar o mitigar pérdidas.

Este Estándar puede ser aplicado a todas las etapas de la vida de una actividad,
función, proyecto, producto o activo. El beneficio máximo se obtiene generalmente
aplicando el proceso de administración de riesgos desde el principio.

A menudo se llevan a cabo una cantidad de estudios diferentes en las diferentes

etapas de un proyecto.

APPCC (Análisis de Peligros y Puntos Críticos de Control)

El sistema de HACCP, que tiene fundamentos científicos y carácter sistemático,

permite identificar peligros específicos y medidas para su control con el fin de
garantizar la inocuidad de los alimentos. Es un instrumento para evaluar los
peligros y establecer sistemas de control que se centran en la prevención en lugar
de basarse principalmente en el ensayo del producto final. Todo sistema de
HACCP es susceptible de cambios que pueden derivar de los avances en el
diseño del equipo, los procedimientos de elaboración o el sector tecnológico.

El sistema de HACCP puede aplicarse a lo largo de toda la cadena alimentaria,

desde el productor primario hasta el consumidor final, y su aplicación deberá
basarse en pruebas científicas de peligros para la salud humana, además de
mejorar la inocuidad de los alimentos, la aplicación del sistema de HACCP puede
ofrecer otras ventajas significativas, facilitar asimismo la inspección por parte de
las autoridades de reglamentación, y promover el comercio internacional al
aumentar la confianza en la inocuidad de los alimentos.

Para que la aplicación del sistema de HACCP dé buenos resultados, es necesario

que tanto la dirección como el personal se comprometan y participen plenamente.
También se requiere un enfoque multidisciplinario en el cual se deberá incluir,
cuando proceda, a expertos agrónomos, veterinarios, personal de producción,
microbiólogos, especialistas en medicina y salud pública, tecnólogos de los
alimentos, expertos en salud ambiental, químicos e ingenieros, según el estudio
de que se trate. La aplicación del sistema de HACCP es compatible con la

21
aplicación de sistemas de gestión de calidad, como la serie ISO 9000, y es el
método utilizado de preferencia para controlar la inocuidad de los alimentos en el
marco de tales sistemas.

Administración del Riesgo Operacional

Método de análisis inductivo para identificar peligros asociados a tareas y

actividades no rutinarias o eventuales. Esto permite establecer los sistemas de
eliminación, control o barrera necesarios para el desempeño de un trabajo en
condiciones seguras para los trabajadores, ambiente y el entorno.

PERSONAS Y
ACCIONES

MATERIALES EQUIPO ó
ARO HERRAMIENTAS

CONDICIONES
AMBIENTALES

22
Metodologías de cuantificación
En este caso, se trata de aquellas herramientas que se enfocan exclusivamente en
la cuantificación de los riesgos. Es decir, aplican una serie de indicadores (de
carácter numérico casi siempre) para medir el impacto que tienen los riesgos en
las organizaciones y, a partir de ese cálculo, elaborar acciones coordinadas para
su gestión, tratamiento o, incluso, eliminación.

Magerit: se trata de una metodología de análisis y gestión de riesgos que ha sido

elaborada por el Consejo Superior de Administración. Está específicamente
diseñada para las compañías que trabajen con información digital y servicios de
tipo informático. Su función principal es evaluar cuánto valor pone en juego una
compañía en un proceso y cómo protegerlo. También ayuda a la planificación de
tratamientos oportunos y a preparar a las organizaciones de cara a procesos de
auditoría, certificación o acreditación.

23
Delphi: es un método orientado a conocer la opinión de expertos. En un primer
momento, un grupo de especialistas anónimos responde a un cuestionario que
elabora una organización sobre un tema específico, en este caso la Gestión de
Riesgos. Tras analizar los resultados, los responsables piden su opinión a cada
uno de los integrantes del grupo. Finalmente, la empresa elabora un segundo
cuestionario, aunque éste con preguntas más precisas y focalizadas. La idea es
que al final se elabora un texto con las conclusiones.

Ejemplo de aplicación del método en una institución de salud.

24
 MÉTODOS CUALITATIVOS, CUANTITATIVOS Y SEMICUANTITATIVOS

METODOS
METODOS
METODOS

CUALITATIVOS

SEMICUANTITATIVOS
CUANTITATIVOS

Métodos Cualitativos

Es el método de análisis de riesgos más utilizado en la toma de decisiones en

proyectos empresariales, los emprendedores se apoyan en su juicio, experiencia e
intuición para la toma de decisiones.

Se pueden utilizar cuando el nivel de riesgo sea bajo y no justifica el tiempo y los
recursos necesarios para hacer un análisis completo O bien porque los datos
numéricos son inadecuados para un análisis más cuantitativo que sirva de base
para un análisis posterior y más detallado del riesgo global del emprendedor.

Los métodos cualitativos incluyen:

Brainstorming

La lluvia de ideas, también denominada tormenta de ideas, es una herramienta

de trabajo grupal que facilita el surgimiento de nuevas ideas sobre un tema o
problema determinado. La lluvia de ideas es una técnica de grupo para
generar ideas originales en un ambiente relajado.

Esta herramienta fue ideada en el año 1919 por Alex Faickney Osborn (fue
denominada brainstorming), cuando su búsqueda de ideas creativas resultó
en un proceso interactivo de grupo no estructurado que generaba más y
mejores ideas que las que los individuos podían producir trabajando de forma

25
 independiente; dando
oportunidad de hacer
sugerencias sobre un
determinado asunto y
aprovechando la
capacidad creativa
de los participantes.

Cuestionario y entrevistas estructuradas

• Evaluación para grupos multidisciplinarios

• Juicio de especialistas y expertos (Técnica Delphi)

Métodos Semicuantitativos

Se utilizan clasificaciones de palabra como alto, medio o bajo, o

descripciones más detalladas de la probabilidad y la consecuencia.

Estas clasificaciones se demuestran en relación con una escala apropiada para

calcular el nivel de riesgo.

Se debe poner atención en la escala utilizada a fin de evitar malos entendidos o

malas interpretaciones de los resultados del cálculo.

Métodos Cuantitativos

Se consideran métodos cuantitativos a aquellos que permiten asignar valores de

ocurrencia a los diferentes riesgos identificados, es decir, calcular el nivel de
riesgo del proyecto.

Los métodos cuantitativos incluyen:

• Análisis de probabilidad

26
 • Análisis de consecuencias
• Simulación computacional

El desarrollo de dichas medidas puede ser realizado mediante diferentes

mecanismos, entre los cuales destacamos el Método Montecarlo.

El método de Monte Carlo es una herramienta de investigación y planeamiento;

básicamente es una técnica de muestreo artificial, empleada para operar
numéricamente sistemas complejos que tengan componentes aleatorios.

Gracias a la constante evolución de las microcomputadoras, en lo que se refiere a

su capacidad de procesamiento de la información, el método de Monte Carlo es
cada vez más frecuentemente utilizado.

Esta metodología provee como resultado, incorporada a los modelos financieros,

aproximaciones para las distribuciones de probabilidades de los parámetros que
están siendo estudiados.

Para ello son realizadas diversas simulaciones donde, en cada una de ellas, son
generados valores aleatorios para el conjunto de variables de entrada y
parámetros del modelo que están sujetos a incertidumbre. Tales valores aleatorios
generados siguen distribuciones de probabilidades específicas que deben ser
identificadas o estimadas previamente.

Vale destacar que el concepto de simulación, adoptado en este trabajo, es el

descripto en los estudios de Robert E. Shannon [1975] donde la Simulación es el
proceso de diseñar y desarrollar un modelo computarizado de un sistema o
proceso y conducir experimentos con este modelo, a fin de entender el
comportamiento del sistema o evaluar varias estrategias con las cuales se puede
operar el sistema. El conjunto de resultados, producidos a lo largo de todas las
simulaciones, podrán ser analizados estadísticamente y proveer resultados en
términos de probabilidad. Esas informaciones serán útiles en la evaluación de la
dispersión total de las apreciaciones del modelo, causado por el efecto combinado
de las incertidumbres de los datos de entrada y en la evaluación de las
probabilidades de ser violados los padrones de las proyecciones financieras.

En lo que se refiere al uso de la computadora, podemos asegurar que los

procedimiento a desarrollar para obtener una visión clara de la variabilidad y el
rédito de los proyectos bajo análisis, requerirá de técnicas simples; como por
ejemplo, y lo vamos a mostrar en este trabajo, la planilla de cálculo puede
emplearse para obtener valiosa información sobre la sensibilidad del posible
rendimiento frente a las variaciones de factores determinados, y sobre la
probabilidad de obtener diversos niveles de rendimiento.

27
Esta información será fundamental como respaldo de decisiones gerenciales; no
pueden quedar dudas que el conocimiento de la probabilidad de ocurrencia de
toda la gama de posibles rendimientos, brinda una cierta seguridad de que la
información disponible ha sido empleada con la máxima eficacia.

28
Proceso de gestión de riesgos
La norma ISO 31000 tiene un enfoque de procesos. La implementación de un
Sistema de Gestión de Riesgos, por tanto, debe seguir una serie de pasos para
que sea eficaz y cumpla con los objetivos trazados al inicio. Los pasos básicos
son:

Definición de objetivos:

En esta primera etapa se definen los objetivos del proceso. Es decir, se deja claro
qué es lo que se busca con la implementación del Sistema de Gestión de Riesgos
y cuál debe ser el alcance del mismo. La dirección de la empresa debe ser la
instancia con más alto grado de implicación en la difusión de estos objetivos, pues

29
de lo contrario no logrará que el resto de niveles se comprometan del modo
deseado. Pero no sólo se apoya en una buena difusión. También es preciso definir
un presupuesto y destinar los recursos necesarios para la materialización del plan
de riesgos.

Nombramiento de responsables:

A continuación, la dirección debe delegar la coordinación de las labores de

Gestión de Riesgos en uno o más responsables. Esto dependerá del tamaño de
cada organización y del número de sus empleados. Sea como sea, lo único cierto
es que la estrategia debe involucrar a las distintas personas en el proceso.

Aunque la empresa tenga muchos trabajadores y departamentos, lo más

recomendable es que los grupos de trabajo no superen los 10 miembros.
Cuando esto sucede, tienden a la descentralización excesiva de funciones y los
procesos se dilatan.

Para las empresas pequeñas, el grupo no debe exceder los 5 miembros.

Hay dos maneras de nombrar a los responsables de un proyecto de Gestión de

Riesgos:

• Personal interno: Lo más usual en estos casos es que el personal delegado

para tales tareas sea de la propia organización. Si es así, la dirección tiene
la garantía de que conocen el área sobre el que se realiza la evaluación. De
hecho, puede recurrir a aquellos cargos que tengan una visión más o
menos global de los procesos.
• Personal externo: Cuando la empresa es demasiado pequeña o no tiene la
capacidad ni la formación para llevar a cabo estas tareas, la dirección
puede apoyarse en los servicios de una consultora. Sin embargo, la
desventaja de esta opción es que requiere de una labor previa de empalme
en la que el personal que realizará la evaluación se pone al día en todo lo
relacionado a la Gestión de Riesgos.

Identificación de los riesgos:

A través de reuniones entre los diversos responsables, la empresa debe definir

cuáles son los factores que influyen en los procesos. Y de todos esos, es preciso
priorizarlos en función del impacto que tengan. Recordemos que en un proceso no
todas las acciones tienen el mismo grado de importancia. Una buena manera de
medir el impacto de un riesgo es a través de la siguiente tabla de valores:

a) ¿A qué área de la empresa afecta?

b) ¿Cómo la afecta?

30
 c) ¿Qué efectos tiene sobre dicha área?
d) ¿Qué efectos tiene sobre la organización en su conjunto?
e) ¿Qué margen de maniobra otorga?
f) ¿Qué tiempo de reacción permite a la dirección?
g) ¿Qué grado de complejidad requieren sus soluciones?
h) ¿Qué consecuencias implicará el no afrontarlo?

Análisis de Riesgos
El objetivo es establecer una valoración y priorización de los riesgos con el fin de

clasificarlos, el análisis dependerá de la información disponible sobre el riesgo y

de su origen. Para adelantarlo es necesario diseñar escalas que pueden ser
cualitativas o cuantitativas.
Una vez identificados los riesgos, deben prevenirse estimando la posibilidad de

que ocurran y cuáles serían sus consecuencias. Existen numerosas herramientas

para realizar esta evaluación, como la Tormenta de ideas, el Análisis de peligros y
puntos críticos de control (ACCPP), Análisis de causa y efecto (Isikawa, Pareto.), o
el Análisis modal de fallos y efectos AMFE. Pero si toma en cuenta un enfoque
estratégico, la herramienta que puede tener más utilidad es el Análisis de
debilidades, amenazas, fortalezas y oportunidades (DAFO/FODA).
Una vez identificados los riesgos a nivel de institución, programa o actividad, se

debe proceder a su análisis. Los métodos utilizados para determinar la importancia

relativa de los riesgos incluyen como mínimo una estimación de su frecuencia, o
sea la probabilidad de ocurrencia y una valoración de la pérdida que podría
resultar.
Las ponderaciones de las variables de riesgo se desglosan en:

Factibilidad (probabilidad de ocurrencia). Se determina porcentual mente,

atendiendo al índice de ocurrencia con que se ha materializado el riesgo.

Importancia (evaluación del impacto). Se determina al declarar el objetivo de

dirección en el área económica objeto de análisis y en las categorías del control

interno que impacta.
El riesgo se puede cuantificar a través de la llamada ecuación de la exposición

que es:

En donde:

31
PE: Pérdida esperada o exposición expresada en pesos y en forma anual.
 F: Frecuencia, veces probables en que el riesgo se concreta en el año.

V: Pérdida estimada para cada caso en que el riesgo se concreta

expresada en peso.

No siempre es posible cuantificar monetariamente las pérdidas debido a la

envergadura o características que presentan muchos riesgos. Es difícil aplicar
estas fórmulas en los riesgos relacionados con las fallas del control interno, en la
mayoría de los casos es imposible cuantificar ya que no se corresponden con el
análisis de los riesgos objetivos a realizar. Por tal razón existen varios métodos
que facilitan la estimación utilizando para ello una clasificación cualitativa de los
mismos según Del Toro y col (2005) a partir de una estimación de la frecuencia y
el impacto financiero que los mismos tengan sobre la entidad.

SE HAN DEFINIDO DOS CATEGORÍAS

ESQUEMA DE PRIORIZACIÓN DE RIESGOS

32
Definición de las respuestas a los riesgos:

La definición obedecerá a los tres pasos anteriores, sobre todo a la identificación

de los riesgos y sus efectos en los procesos . La idea es plantear las soluciones
más adecuadas para poner cara a aquellos elementos que obstaculizan la
consecución de los objetivos estratégicos de las empresas.

Pero así como cada organización tiene sus propios retos en esta materia, de la
misma manera debe reaccionar a los riesgos que eventualmente pueden
perjudicarle.

Existen cinco estrategias principales a la hora de gestionar un riesgo:

• Supresión del riesgo: No es lo más habitual, pero a veces las organizaciones

logran que desaparezcan los riesgos asociados a sus procesos. Esto se consigue
cuando la labor de previsión se ha implementado de forma exitosa: obteniendo
información adicional, adquiriendo apoyo de expertos, añadiendo recursos
adicionales o modificando los elementos de la planificación, entre otros elementos.

Transferencia del riesgo: Bajo esta figura, el riesgo es transferido a otra

dependencia de la organización o, incluso, a una segunda empresa asociada. Se
trata de un recurso muy común entre los grupos de compañías filiales o que
comparten algún tipo de vínculo que permite esta transferencia. Por ejemplo,
cuando hablamos de responsabilidad solidaria, una empresa puede asumir las
deudas de otra que haga parte del conglomerado que las integra a las dos. El
riesgo no se anula; sólo se re-direcciona.

• Mitigación del riesgo: Es una estrategia de gestión de riesgos que consiste en

reducir la probabilidad o el impacto de un riesgo sobre la organización. Es decir,
que si llega a producirse, sus efectos serán mucho menores que si no se hubiesen
adoptado medidas al respecto. Esta opción se usa sobre todo en aquellos casos
en que los riesgos son inevitables o no dependen de la empresa en sí misma. La
clave para una acertada mitigación del riesgo está en las acciones.

Algunos ejemplos son:

• Adopción de procesos más sencillos en la organización.

• Puesta en marcha de ensayos adicionales.
• Elección de proveedores o suministrador más fiables.
• Adición de recursos para la labor preventiva.

Explotación del riesgo: Recordemos que no todos los riesgos son negativos.
Algunas veces, su irrupción es una oportunidad para las organizaciones. Cuando
eso ocurre, en vez de mitigarla o eliminarla, la estrategia de la empresa debe

33
centrarse en sacar el máximo provecho de la circunstancia. Un riesgo con efectos
positivos se puede potenciar gracias a la designación de más personal cualificado,
mayor apoyo económico o una adaptación a la planificación realizada al inicio.

• Aceptación del riesgo: En estos casos, se trata de riesgos que no suponen

mayores impedimentos para la consecución de los objetivos y que, por tanto,
pueden convivir con la empresa. Pero no se trata de una actitud resignada. Por el
contrario, implica la elaboración de un plan de contingencia para, de este modo,
adaptar el riesgo a las actividades de las empresas. Por ejemplo, las compañías
que operan en zonas montañosas y con una alta probabilidad de sismos,
desarrollan toda una política de emergencia en torno a la evacuación y la
asistencia en casos de emergencia.

Plan de tratamiento

El plan de tratamiento, último paso del proceso de Gestión de Riesgos, tiene como
fin la mejora de los controles para el tratamiento del riesgo. Esta etapa debe ser
dinámica y flexible ante los cambios que puedan presentarse. El tratamiento de los
riesgos necesita labores adicionales de registro, monitorización, actualización e
intervención.

Por supuesto, este plan depende de la estrategia que se haya definido en el

apartado anterior. Pensamos que muchas veces los riesgos no tienen el impacto o
los efectos que en un principio habíamos creído, con lo cual es necesario
modificar la estrategia y, por consiguiente, el plan de tratamiento.

Los planes de tratamiento suelen proyectarse a corto plazo, pues con esto se evita
que las condiciones iniciales se modifiquen cuando llegue el momento de la
intervención. La manera más habitual de realizar el monitoreo es través de
evaluaciones periódicas o auditorías, las cuales son efectuadas por el equipo
delegado.

Pero aunque todo esté previsto y las acciones se proyecten en el corto plazo,
conviene contemplar alguno de los siguientes escenarios:

• La gestión de los riesgos ha sido aplicada tal como estaba previsto.

• Las respuestas a los riesgos han sido efectivas.
• Se están siguiendo las políticas y las estrategias adecuadas.
• La exposición del riesgo ha cambiado desde el último análisis.
• Se han manifestado síntomas de la aparición de riesgos.
• Han aparecido riesgos que no habían sido contemplados al inicio.

34
Problemas habituales en la gestión de riesgos
Es evidente que los procesos de Gestión de Riesgos no están exentos de
problemas. Tal como hemos visto en los apartados anteriores, están compuestos
por pasos complejos y que requieren de coordinación y seguimiento permanentes.
En este sentido, la norma ISO 31000 ayuda a disminuir los obstáculos e n dos
sentidos:

En la implementación:

Se trata de aquellos obstáculos relacionados con la etapa de implementación. Es

decir, cuando la empresa ha decidido dar este paso y se presta a realizar las
actividades necesarias para la implementación de un Sistema de Gestión de
Riesgos.

En esta categoría, se pueden distinguir varios tipos de problemas:

a) Resistencia al cambio: Algunas organizaciones no están lo suficientemente

preparadas para llevar a la práctica un sistema de este tipo. Bien sea por falta de
formación o bien porque no existe un verdadero empoderamiento del proceso, lo
cierto es que la clave para atajar este asunto radica en las técnicas de grupo que
la dirección ponga en marcha para aumentar el nivel de confianza de sus
trabajadores.

b) Inmediatez: Un buen número de organizaciones no están dispuestas a esperar

los plazos que se han convenido para la implementación del sistema. Quisieran
que todo fuese de una sola vez y sin que tuviesen que invertir tiempo en ello.

Criterios distintos: Sucede sobre todo en las grandes empresas. Cuando los
grupos de responsables tienen demasiados miembros o su elección no ha seguido
parámetros de cierta unidad, lo más común es que entre estas personas se
presenten diferencias de criterio a la hora de implementar el plan. Esto se traduce
en retrasos, reuniones excesivas y, posiblemente, nombramiento de nuevos
integrantes.

d) Falta de una figura coordinadora: Del mismo modo, algunos grupos suelen
notar la ausencia de una persona líder que direccione los procesos. De ahí la
importancia de la elección de esa persona en los primeros pasos de la
implementación.

e) Incumplimiento de plazos: Por causa de una mala planificación, recursos

insuficientes o una comunicación deficiente entre los responsables, algunas veces
los procesos de implementación de Gestión de Riesgos incurren en
incumplimiento de los plazos previstos. En estos casos, el perjuicio es doble:

35
primero, porque obstaculiza la realización del proyecto en sí mismo; y segundo,
porque se pierde tiempo valioso para mitigar o gestionar riesgos que, en muchos
casos, tienen carácter urgente.

f) Aplazamiento: Esto sucede cuando el plan ni siquiera llega a implementarse. Se

han definido las directrices, las estrategias, los responsables y los recursos, pero
por la razón que sea el plan acaba guardado en un archivo de la dirección.

En el mantenimiento:

En este caso, hablamos de obstáculos que surgen en la etapa de ejecución del

plan de Gestión de Riesgos. Las empresas que ya han dado el paso y se
encuentran en las etapas de monitorización pueden encontrarse con los siguientes
problemas:

a) Omisión de recursos: Llegados a esta etapa, las empresas descubren que los
recursos destinados para el mantenimiento y la supervisión del plan de Gestión de
Riesgos no alcanzan; son insuficientes, con lo cual se compromete la continuidad
del mismo y se deja en el aire el conjunto de avances realizados hasta la fecha.

b) Ausencia de diagnóstico previo: Si se han hecho cálculos errados en las

primeras etapas, lo más probable es que las proyecciones también lo sean. En
estos casos, los procesos requieren de un replanteamiento general.

36
Herramienta propuesta

Evaluación por matriz de Riesgo

Una matriz de riesgo constituye una herramienta de control y de gestión

normalmente utilizada para identificar las actividades (procesos y productos) más
importantes de una empresa, el tipo y nivel de riesgos inherentes a estas
actividades y los factores exógenos y endógenos relacionados con estos riesgos
En nuestra matriz de riesgo evaluaremos (factores de riesgo). Igualmente, una
matriz de riesgo permite evaluar la efectividad de una adecuada gestión y
administración de los riesgos financieros que pudieran impactar los resultados y
por ende al logro de los objetivos de una organización.

La matriz debe ser una herramienta flexible que documente los procesos y evalúe
de manera integral el riesgo de una organización, a partir de los cuales se realiza
un diagnóstico objetivo de la situación global del riesgo. Exige la participación
activa de las unidades de negocios, operativas y funcionales en la definición de la
estrategia institucional de riesgo de la empresa. Una efectiva matriz de riesgo
permite hacer comparaciones objetivas entre proyectos, áreas, productos,
procesos o actividades. Todo ello constituye un soporte conceptual y funcional de
un efectivo Sistema de Gestión de la calidad.

¿Qué elementos deben considerarse en el diseño de una matriz de riesgo?

A partir de los objetivos estratégicos y plan de negocios, los procesos identificados

como necesarios para el sistema de calidad, se debe a proceder a la
“identificación” de las actividades principales y los riesgos a los cuales están
expuestas; entendiéndose como riesgo la eventualidad como lo hemos tratado
anteriormente.

Los beneficios de esta metodología de gestión de riesgos, entre otros, son los
siguientes:

• Identificación de los procesos que requieren mayor atención y áreas críticas

de riesgo.
• Uso eficiente de recursos aplicados a la supervisión, basado en perfiles de
riesgos.
• Permite la intervención inmediata y la acción oportuna.
• Evaluación metódica de los riesgos.
• Promueve una sólida gestión de riesgos.
• Monitoreo continuo.

37
De esta manera la matriz de riesgo permite establecer de un modo uniforme y
consistente el perfil de riesgo de cada uno de los procesos.

Pasos a seguir

1. Identificación de procesos, esto se basa en el mapa de interrelación de los

procesos identificado dentro del sistema de calidad normalizado.

Ejemplo mapa de procesos de la Filarmónica de Bogotá

38
2. Identificar los riesgos posibles dentro de cada proceso, listarlos de manera
sistemática sin ningún orden, aquí, podemos utilizar lluvia de ideas, análisis
de probabilidades, experticia ingenieril.

Tomemos para ejemplo el nivel misional

39
 Y dentro del nivel misional el proceso de formación musical

Procedemos a listar cada uno de los posibles riesgos tomando en cuenta,

las entradas, las actividades y las salidas de los procesos.

PROCESO DE FORMACIÓN MUSICAL

RIESGOS IDENTIFICADOS
Entradas Actividades Salidas

3. Calificar el riesgo por su probabilidad

APARICIÓN MUY 5
(probabilidad) ALTA
ALTA 4
MEDIA 3
BAJA 2
MUY 1
BAJA

4. Calificar el riesgo por su impacto

GRAVEDAD (IMPACTO)

MUY BAJO MEDIO ALTO MUY

BAJO 1 2 3 4 ALTO 5

40
5. Establecer nuestra categoría de riesgo

GRAVEDAD (IMPACTO)

MUY BAJO BAJO MEDIO ALTO MUY ALTO

1 2 3 4 5
MUY ALTA 5 5 10 15 20 25
ALTA 4 4 8 12 16 20
APARICIÓN
(probabilidad) MEDIA 3 3 6 9 12 15
BAJA 2 2 4 6 8 12
MUY BAJA 1 1 2 3 4 5

6. Clasificar los riesgo

Riesgo muy grave

Riesgo importante.

Riesgo apreciable.

Riesgo marginal.

7. Dependiendo de la categoría señalada en la matriz establecer el camino a

seguir con cada uno de los riesgos.
• Riesgo muy grave: Requiere medidas preventivas urgentes. No se
debe iniciar proceso, o actividad sin la aplicación de medidas
preventivas urgentes y sin acotar sólidamente el riesgo.
• Riesgo Importante: Medidas preventivas obligatorias. Se deben
controlar fuertemente las variables de riesgo durante el proceso
• Riesgo apreciable: Estudiar económicamente si es posible introducir
medidas preventivas para reducir el nivel de riesgo. Si no fuera
posible, mantener las variables controladas.
• Riesgo marginal: se vigilara aunque no requiere medidas preventivas
de partida.

La tipificación del riesgo puede variar de acuerdo a la naturaleza de la

empresa y del proceso.

41
 8. Matriz de riesgos aplicada

9. Integrar los resultados con el proceso de acciones preventivas, y

correcciones de tal manera que lo alimente, y sea revisado por los auditores
internos del sistema.

Enlace en donde se puede descargar matriz para ejemplo:

https://drive.google.com/file/d/0B6cEtOMqMsT4a0ljak1GTjdnejA/view?usp=sharing

42
Conclusiones Finales
La evaluación de los riesgos en un sistema de gestión normalizado, debe de ser
sencillo y practico, debe de cubrir la prevención de una manera sistemática.

6.1 Acciones para abordar los riesgos y las oportunidades

6.1.1 Al hacer una planificación del Sistema de Gestión de la Calidad, la

organización debe considerar las cuestiones referidas en el apartado 4.1, los
requisitos referidos en el apartado 4.2, y determinar los riesgos y oportunidades
que es ineludible abordar con el objetivo de:

a) Asegurar que el Sistema de Gestión de la Calidad pueda alcanzar sus

resultados previstos.
b) Aumentar los efectos deseables.
c) Prevenir o reducir efectos no deseados.
d) Alcanzar la mejora.

6.1.2 La organización debe planificar:

a) Las acciones para abordar estos riesgos y oportunidades.

b) La forma de:
1. Integrar e implementar las acciones en los procesos del Sistema de
Gestión de la Calidad (véase 4.4.).
2. Evaluar la eficacia de estas acciones.

Las acciones llevadas a cabo para abordar los riesgos y oportunidades deben ser
proporcionales al impacto potencial en la conformidad de los productos y los
servicios.

NOTA 1 Las opciones para afrontar los riesgos pueden incluir: evitar riesgos, asumir
riesgos para perseguir una oportunidad, eliminar la fuente de riesgo, cambiar la
probabilidad o las consecuencias, compartir el riesgo o mantener riesgos mediante
decisiones informadas.

NOTA 2 Las oportunidades pueden llevar a la adopción de nuevas prácticas, lanzamiento de

nuevos productos, apertura de nuevos mercados, contacto con nuevos clientes,
establecimiento de asociaciones, uso de nuevas tecnologías y otras posibilidades deseables y
viables para abordar las necesidades de la organización o las de sus clientes.

En este apartado se plasma gran parte de lo que quiere transmitir la norma ISO
9001:2015. Es una parte muy novedosa, por lo que es la que más puede impactar
en los Sistemas de Gestión de la Calidad actuales.

El objetivo que persigue es asegurar que el Sistema de Gestión de la Calidad

funciona de forma correcta y que se obtienen todos los resultados que se esperan,

43
además se tiene que realizar una planificación de las acciones que harán frente a
todos los riesgos y las oportunidades.

La gestión del riesgo planteada sustituye a la que se han conocido hasta ahora
cómo acciones preventivas. La norma ISO 9001:2015 no establece la metodología
de gestión de riesgos que se deben utilizar para identificar, analizar y evaluar
todos los riesgos ligados a procesos, para reducir o eliminar todos los fallos que
derivan de los riesgos y se gestionan los riesgos de una manera proactiva.

Proactivo significa que debemos investigar, probar, encontrar cual es la mejor

manera para gestionar nuestros riesgos, el objetivo de la gestión de riesgos es
reducir diferentes riesgos relativos a un nivel aceptable.

44
Despedida y Cierre
Llegado a este punto no me resta más que agradecer a todos los que se tomaron
el tiempo para leer este trabajo, quedo a su disposición, la verdad estaría
encantado de su retroalimentación, por lo que queda abierta una ventana para la
mejora continua, pueden tomar contacto con mi persona al siguiente correo
electrónico j.jhuez@jhuez.com, espero que este trabajo se convierta en un
material de consulta, de nuevo muchas gracias.

Jorge Jhuéz

www.jhuez.com

https://sv.linkedin.com/in/jorgejhuez

http://jhuez.blogspot.com/

45