analisis del riesgo estrategico en pequeñas empresas

8/17/2019 Analisis del Riesgo Estrategico en Pequeñas Empresas

1/63

ANALISIS DEL RIESGO ESTRATÉGICO EN PEQUEÑAS EMPRESAS

Autor:

Luisa Fernanda Salazar R.

Asesor:

Jaime Morales Morales

Especialización en Gerencia Estratégica


2/63

TABLA DE CONTENIDO

1. PROBLEMA DE INVESTIGACIÓN ........................................................................................ 3

1.1. Enunciado del problema ...................................................................................................... 3

1.2. Formulación ........................................................................................................................... 3

1.3 Justificación ............................................................................................................................ 4

1.4. Delimitación ........................................................................................................................... 42. OBJETIVOS DE LA INVESTIGACIÓN ..................................................................................... 6

2.1. Objetivo general .................................................................................................................... 6

2.2. Objetivos específicos ........................................................................................................... 6

3. MARCO TEORICO ...................................................................................................................... 7

4. METODOLOGÍA ......................................................................................................................... 24

5. PRESENTACIÓN DE RESULTADOS Y ALTERNATIVA DE SOLUCIÓN ALPROBLEMA ..................................................................................................................................... 26

5.1. Desarrollo del Modelo .................................................................................................... 26

6.1. Conclusiones ................................................................................................................... 50

6.2. Recomendaciones .......................................................................................................... 52

7. BIBLIOGRAFÍA ........................................................................................................................... 53

8. ANEXOS ...................................................................................................................................... 55

Anexo 1. Gráfica del Ciclo de Administración del riesgo..................................................... 55

Anexo 2. Listado de Autoverificación para el monitoreo del riesgo .................................. 56

RELACIÓN DE FIGURAS

Figura 1. Pirámide de Enfoque de “arriba hacia abajo” para la gestión del riesgo

Figura 2. Tabulación de respuestas de expertos bajo el método Delphi

Figura 3. Modelo de Identificación de Riesgos Estratégicos


3/63

RELACIÓN DE TABLAS

Tabla1: Ejemplo Tabla Criterios para Evaluación de Riesgos (fragmento)

Tabla 2. Calificación de Frecuencia ejemplo de método Risicar

Tabla 3. Calificación de Impacto ejemplo de método Risicar

Tabla 4. Calificación de riesgos

Tabla 5. Clasificación de riesgos según gravedad

Tabla 6. Matriz de evaluación del riesgo, método Risicar

Tabla 7. Resultado de evaluación de riesgos

Tabla 8. Matriz de respuesta ante los riesgos

Tabla 9. Efectividad de los controles

Tabla 10. Planilla ejemplo de un plan de un programa de tratamiento de riesgos

Tabla 11. Estructura de los indicadores de riesgo

Tabla 12. Plan de Tratamiento de Riesgo


4/63

1. PROBLEMA DE INVESTIGACIÓN

1.1. Enunciado del problema

En la actualidad las pequeñas empresas enfrentan niveles de incertidumbre, algunas

veces conocidos, en el momento de tomar decisiones para la organización, lo cual ha

incrementado las oportunidades para los grupos directivos, así como el espectro de

riesgos asociados a cada una de dichas oportunidades. El manejo, administración y

gestión incorrecta de dichos riesgos ha llevado al cierre de pequeñas empresas.

En varias ocasiones, las altas gerencias definen planes estratégicos con el fin de

formular acciones que orienten el operar de las empresas contribuyendo con la misión

principal de maximizar el valor para todos los interesados; sin embargo, pierden de vistala posibilidad de que dichos planes no se lleven a cabo, dada la probabilidad de que las

variables y factores planificados cambien, o que existan errores u omisiones en la

formulación de estos planes estratégicos.

Por este motivo, es fundamental formular una metodología de análisis del riesgo

estratégico para las pequeñas empresas que les permita alcanzar sus metas de

crecimiento a partir de una correcta formulación y aplicación de acciones que mitiguen

los riesgos detectados y eviten el fracaso de los planes estratégicos organizacionales.

1.2. Formulación

Los cuestionamientos que el proyecto de investigación pretende responder se presentan

a continuación:


5/63

¿Cómo se lleva a cabo el análisis del riesgo estratégico de una organización

pequeña?

¿Qué herramientas pueden utilizarse dentro de la organización para analizar el

riesgo en pymes?

1.3 Justificación

Las consecuencias de una incorrecta gestión se presentan cuando las alternativas con lascuales cuenta la pequeña empresa no son analizadas en relación con los atractivos de las

mismas para la organización, así como tampoco es analizada la disposición con la que

cuenta la empresa para aceptar la posible pérdida, ni sus posibilidades de éxito o fracaso.

Esta situación ha motivado a expertos a evaluar la forma adecuada de administrar los

riesgos estratégicos a los cuales se ven expuestas las empresas con el fin de minimizarlas posibilidades de ocurrencia de dichos riesgos, a través del análisis de estos, y de la

formulación y ejecución de planes de acción que logren garantizar la sostenibilidad de las

organizaciones en el tiempo.

Para el caso colombiano, prestar especial interés a las pequeñas y medianas empresas

corresponde a la justificación de que en el país, para el año 2005 el 99,5%1 de las

empresas eran PYME, y al año 2007 se mantenía aun en proporciones significativas

representando el 85,8%2 de las empresas, y que son consideradas por varios, como la

principal fuente generadora de empleo y oportunidades de la economía nacional. Por lo

cual es un compromiso social, generar herramientas que le permitan a la pequeña

empresa crecer continuamente y mantenerse competitivos frente a las diferentes

amenazas del mercado.

1.4. Delimitación

La presente investigación se enfoca en el riesgo estratégico identificado en la pequeña


6/63

estratégicos de las organizaciones dada la probabilidad de que no se obtengan los

resultados previstos en dicha planificación por cambio en las variables del entorno

externo e interno, incorrecta interpretación de factores o variabilidad en los datos

analizados dentro del plan.


7/63

2. OBJETIVOS DE LA INVESTIGACIÓN

2.1. Objetivo general

Proponer una metodología para el análisis del riesgo estratégico en pequeñas empresas

con el fin de brindar a las respectivas empresas una herramienta que les permita

conocer cómo responder ante la ocurrencia de eventos fortuitos y minimizar su

impacto o aprovechar la oportunidad que los mismos le ofrecen, y garantizar así, la

sostenibilidad y crecimiento de la organización.

2.2. Objetivos específicos

Identificar los beneficios de la gestión del riesgo estratégico en la pequeña

empresa

Identificar los diferentes recursos necesarios para llevar a cabo una adecuada

gestión del riesgo estratégico en una pyme

Proponer una metodología para llevar a cabo el análisis estratégico del riesgo de

organizaciones pequeñas

Caracterizar las diferentes herramientas que pueden utilizarse dentro de la

organización para analizar estratégicamente el riesgo asociado a la misma


8/63

3. MARCO TEORICO

A pesar de que en Colombia para el año 2007, la rentabilidad empresarial se concentra

en su gran mayoría en la gran empresa correspondiente al 95,5%3 de la rentabilidad total

nacional, las pymes continúan representando un componente esencial de la economía y

al año 2007 cerca de 12,000 pymes se encontraban legalizadas en el país, lo que indica

que hay un gran esfuerzo en el país por realizar para aumentar la rentabilidad de este

gran número de empresas.

Durante este mismo año, el esfuerzo realizado por las pymes en varias áreas de sus

organizaciones les permitió mejorar notablemente sus principales indicadores financieros.

Como lo indica la revista Dinero, “se observa como la pyme se ha venido

profesionalizando, siendo consciente de la importancia de los estudios y de buscarasesoría para implementar estrategias que le permitan seguir creciendo”4. Dos obstáculos

tradicionalmente identificados como desaceleradores del desarrollo en pymes como lo

son el uso de la tecnología y la innovación, se han convertido en preocupaciones

fundamentales para las mismas, y se han desarrollado planes de acción al respecto,

incluyendo esfuerzos importantes en la capacitación al personal en necesidades de

mercadeo y ventas, y en formación de tecnología. La premisa principal de las pymes seha convertido en mejorar el desempeño general de la organización, a partir de esquemas

de transformación productiva, los cuales se relacionan con la diversificación de

mercados, la obtención de certificaciones de calidad y el lanzamiento de nuevos

productos.

Estos esfuerzos han tenido que ejecutarse permanentemente debido a condiciones

particulares de las pymes que acondicionan espacios de mayores retos para las

organizaciones; como es el caso del liderazgo familiar en las mismas. Según los

resultados de la Gran Encuesta Pyme realizada por ANIF, en el año 2006 se reportó que


9/63

mayores para este tipo de empresa, gener almente caracterizados por “prácticas

gerenciales patriarcales, ausencia de políticas laborales para los miembros de la familia

vinculados a la empresa, carencia de una adecuada estructura para manejar las

relaciones entre familia y empresa (…), dificultades de una buena comunicación entre los

familiares y falta de planificación en la sucesión de cargos, que permita la continuidad de

la empresa”5. Por ende, el riesgo de cerrar y liquidar las empresas familiares es alto y con

consecuencias que pueden repercutir en el desarrollo económico y social del país.

Las Pymes enfrentan otro tipo de obstáculos como las restricciones al campo exportador,

lo cual limita las posibilidades de internacionalización de las mismas. Al año 2007, las

medianas empresas sólo crecieron en un 5,8% en ventas externas, mientras que las

pequeñas un 15,3% con respecto al año anterior.6 Según Arbeláez y Zuleta (2003), los

principales obstáculos identificados por las pymes para exportar corresponden a la

complejidad en los trámites para exportación y transporte interno, el poco acceso arecursos internos y externos, la poca información sobre mercados externos y los altos

costos de las materias primas nacionales e internacionales.7

Los obstáculos para la contratación de personal se convierten igualmente en desafíos de

crecimiento para las pymes, debido a factores que entorpecen la actividad de

contratación, como lo son las elevadas cotizaciones a la seguridad social, los elevados

costos en caso de despido, y la rigidez de las jornadas laborales y sobrecostos por

nocturnos y domingos.8

Por estas y otras razones, es fundamental que se desarrollen hacia la pyme estrategias

de gestión de riesgos, lo cual se ha convertido en la actualidad en un proceso

indispensable en las organizaciones con el fin de garantizar el éxito, la permanencia y el

crecimiento de acuerdo con las expectativas de la misma, como lo establece Mejía (2006),

5 “PYME, Gestión para la Competitividad”, por SER PYME, Portafolio, Universidad de los Andes, Casa Editorial El tiempo,


10/63

evitando sorpresas negativas y preparando a las organizaciones para afrontar mejor los

cambios del futuro y actuando de forma acertada, de tal manera que la ocurrencia de

situaciones no programadas, “no impliquen detrimento patrimonial ni lesionen sus

intereses, o afecten sus recursos humanos, físicos, económicos, tangibles o intangibles”.9

A toda la problemática se le suman, los cambios realizados en el entorno global, y en

especial en el marco regulatorio donde ya existen desarrollos importantes en el tema de

la administración de riesgos, como lo emitido por el Comité de Basilea, para regular

entidades bancarias ó la Ley de Sarbanes Oxley en Estados Unidos, a través de la cual

se estableció que la dirección de las organizaciones debe velar por la definición y el

mantenimiento de estructuras de control interno adecuadas; tema incluido en la

administración de riesgos, el modelo de control canadiense llamado COCO (Canadian

Criteria of Control Committee) establecido como guía para calificar la adecuada gestiónde riesgos en las empresas, el modelo COSO, que incluye a la administración de riesgos

como elemento clave del control, el estándar AS/NZS 4360 del año 1999, norma

australiana que se enfoca en la implementación de un sistema de administración de

riesgos en la organización, la ISO 31000 actualmente en desarrollo y la cual se constituirá

como una guía modelo internacional para la administración de riesgos, y finalmente en el

ámbito nacional, en Colombia se cuenta con la norma ICONTEC 5254 aprobada en el

año 2004 para la administración de riesgos, basada en el modelo australiano mencionado

previamente, y se cuenta con el modelo MECI (Modelo Estándar de Control Interno para

entidades del Estado) que incluye el componente de la gestión de riesgos.

Toda esta normatividad permite entender que hay un avance acelerado en materia de

administración de riesgos en el medio, y que puede ser aplicada a cualquier tipo de

organización sin importar su naturaleza: tamaño, negocio o actividad, como lo establece

Mejía (2006). Por lo cual, aplicarlo en el sector de las pymes puede ser una estrategia

acertada para contribuir en el desarrollo económico y social del país.


11/63

Por ello, es fundamental entender el concepto teórico detrás de la administración de

riesgos y conocer la forma de implementar modelos de control que minimicen la

ocurrencia o el impacto del riesgo potencial o real presente en una organización. La

gestión de riesgos según la definición de ICONTEC en la NTC 5254 del año 2006 se

considera como “la cultura, los procesos y las estructuras dirigidas a obtener

oportunidades potenciales mientras se administran los riesgos adversos” y por su parte,

Mejía (2006) define la administración de riesgos como “el conjunto de acciones llevadas a

cabo en forma estructurada e integral, que permite a las organizaciones identificar y

evaluar los riesgos que pueden afectar el cumplimiento de sus objetivos, con el fin de

emprender en forma efectiva las medidas necesarias para responder ante ellos”. Esto

implica que tanto la gestión como la administración de los riesgos son procesos

dinámicos que no se limitan a un evento o circunstancia única, y que igualmente los

riesgos a los cuales debe enfrentarse una organización pueden impactar notablemente

las oportunidades o logro de objetivos de una empresa.

Esta última consecuencia es probablemente, la que obliga a que la dirección de una

empresa considere adecuadamente las estrategias que ha de implementar y las

decisiones que ha de tomar. Como Bravo y Sánchez (2007) lo establecen, “únicamente

con identificar y medir los riesgos no se garantiza que se minimicen las pérdidas y se

maximicen las oportunidades. Se requiere un adecuado proceso de toma de decisionesque se complemente con una gestión de riesgos efectiva, y así se logre una mayor

generación de valor de la compañía, lo que en el caso de realizarse de forma sistemática

y consistente permitirá generar una importante ventaja competitiva”.10

Para el caso particular de las pymes se requiere un enfoque especial hacia la gestión y

administración de los riesgos identificados particularmente para este tipo deorganizaciones, entre los cuales se encuentran como lo establece Pereira (2006),

“riesgos de mercadeo, de desarrollo de proyectos, de operación, financieros, regulatorios

o políticos, y los riesgos de fuerza mayor ”11.


12/63

Dados precisamente este tipo de riesgos se requiere que la pyme tenga presente los

siguientes factores establecidos por la norma NTC 5254 versión 2006:

Conciencia y cultura, ya que la gestión de riesgos es un medio y no un fin en sí

mismo, y se debe integrar a las actividades diarias de trabajo para generar cultura.

Pensamiento visionario, estimulando a la organización a actuar de forma proactiva

y no reactiva.

Responsabilidad en la toma de decisiones, para mantener el balance entra la

responsabilidad por un riesgo y la capacidad para controlarlo

Comunicación eficaz, para que se involucren todas las partes internas y externas

interesadas en la gestión de un riesgo determinado

Relación Costo/Beneficio entre el costo de evitar las amenazas o mejorar lasoportunidades y los beneficios a obtener.

Así entonces, la administración de riesgos expuesta a lo largo de la presente investigación

permite conocer y aplicar la metodología en el sector de las Pymes en Colombia a través

de un diseño propuesto que reúne los elementos más significativos de las diferentes

metodologías disponibles en el mercado de riesgos expuestos más adelante. Sin

embargo, es fundamental entender las diferentes tipologías de riesgo que existen de

acuerdo con el efecto producido por el mismo, o por la fuente generadora.

Según Bravo (2007) los riesgos se pueden clasificar según la fuente en riesgos

estratégicos o de supervivencia del esquema de negocio, riesgos de asignación de

recursos, riesgos de negocio u operacionales, y riesgos de entorno.

Los riesgos estratégicos están asociados directamente a la formulación estratégica de la

organización e incluyen aquellos generados a partir de problemas potenciales por

cambios en los competidores, u oportunidades surgidas por cambios en la demanda. Por


13/63

aquellos riesgos ambientales, legislativos, sociales y regulatorios que no dependen de

fallas en los procedimientos internos de la organización, pero a los cuales se ve expuesta

la misma debido al sector en el que opera y al servicio prestado.

Autores como Mejía (2006) clasifican los riesgos simplemente por el origen de los mismos

en dos grandes agrupaciones: riesgos internos y riesgos externos. Dentro de los riesgos

internos se incluyen los riesgos de reputación, los riesgos estratégicos y operativos, y los

riesgos financieros. Por su parte, los riesgos del entorno incluyen los riesgos asociados a

la naturaleza, al país o a la región a la cual pertenece la empresa, y al sector económico oa la industria correspondiente.

En cuanto a la clasificación de los riesgos por su efecto, los riesgos se clasifican en

riesgos puros y especulativos. Como lo indica Koprinarov (2005) “el riesgo empresarial

tiene su fundamento en el carácter probabilístico de la actividad empresarial, así como en

la relativa incertidumbre situacional en que se desarrolla esta actividad”. Por tal motivo,los riesgos especulativos se consideran como aquellos en los cuales existe la posibilidad

de ganar o perder, como por ejemplo, las inversiones. Los riesgos puros se consideran

como aquellos que se dan en las empresas donde existe la posibilidad de perder o no

perder, pero nunca ganar.

A su vez, el riesgo puro se clasifica en riesgo inherente y riesgo incorporado. El riesgoinherente se considera como el riesgo que por su naturaleza no puede desligarse de las

condiciones en las cuales existe y por lo mismo, es propio de la actividad que será

ejecutada. El riesgo incorporado es aquel riesgo que no es propio de la actividad, sino que

surge como producto de conductas poco responsables de un colaborador. Para los

procesos de gestión de riesgos es importante, incluir los dos tipos de riesgo puro.

Las metodologías de gestión del riesgo empresarial son diversas y utilizan diferentes

enfoques para cubrir las diferentes perspectivas bajo las cuales un riesgo puede ser

identificado, estudiado y mitigado. Dentro de dichas metodologías se encuentran: enfoque

COSO APPCC Modelo Australiano/Neozelandés y variantes dentro de este modelo


14/63

El informe COSO fue publicado en Estados Unidos en el año 1992 como respuesta a las

inquietudes en torno a las interpretaciones dadas sobre el tema de control interno. El

informe fue generado por el Comité COSO (Comittee of Sponsoring Organizations)

integrado por miembros de las áreas de auditoría interna, contabilidad y finanzas.

El objetivo del informe es ayudar a las organizaciones a mejorar sus técnicas de control

que permita unificar los componentes del control interno y su aplicación en el campo

empresarial.

Debido a la necesidad imperiosa de mejorar la gestión de riesgos en las organizaciones,

el comité desarrolló un nuevo marco titulado Enterprise Risk Management Framework en

el año 2004, el cual incluyó el componente de gestión de riesgos, definiendo los

componentes que permiten a una organización identificar y administrar los riesgos con el

fin de permitir el logro de sus objetivos.

Este nuevo marco establece 8 componentes de control interno: ambiente de control,

evaluación de riesgos, actividades de control, información y comunicación, supervisión,

ajuste de objetivos, identificación de acontecimientos, y respuesta al riesgo. Las

características de estos componentes como lo establece Fernández (2003) son:

Ambiente de Control: interviene en los demás componentes identificados y es un

fundamental para el marco completo de control interno, al proporcionarle disciplina

y estructura. Dentro del ambiente de control, la organización define el nivel de

riesgo que estará dispuesto a admitir para el logro de sus objetivos.

Ajuste de Objetivos: permite alinear los objetivos estratégicos de la organización

hacia el logro de la misión y visión definida previamente. Se plantean los objetivos

antes de identificar aquellos acontecimientos que puedan impedir el logro de

estos. Al ajustarlos, se efectúa la alineación estratégica velando porque los

objetivos sean compatibles con el nivel de riesgo aceptado.

Identificación de Acontecimientos consiste en determinar c áles son aq ellos


15/63

Evaluación de Riesgos: consiste en determinar la probabilidad y el impacto que los

riesgos puede tener sobre la organización, a través de técnicas cuantitativas o

cualitativas. Durante este componente es importante no evaluar únicamente los

riesgos bajo su posición individual, sino también bajo su interrelación con la

ocurrencia de otros eventos dentro de la organización.

Respuesta al Riesgo: permite definir las actividades de respuesta definidas por la

organización para mitigar los riesgos significativos. Por ello, es fundamental

evaluar el riesgo residual que siempre permanecerá debido a la incertidumbre delfuturo y a la limitación de recursos.

Actividades de Control: corresponde a aquellas políticas y procedimientos que

garantizar que las respuestas al riesgo serán adecuadamente implementadas, en

todos los niveles y funciones de la organización, según corresponda.

Información y Comunicación: la información es un elemento esencial para podertomar decisiones acertadamente, por ello, la información tanto cualitativa como

cuantitativa, interna o externa debe ser identificada, captada y comunicada para

poder evaluar los riesgos y establecer respuesta a los mismos.

Supervisión: se deben generar los esquemas necesarios de supervisión de los

riesgos, preferiblemente en tiempo real con el fin de aplicar las actividades demonitoreo pertinentes que permitan

APPCC

El APPCC (Análisis de Peligros y Puntos Críticos de Control) es un sistema reconocido

internacionalmente “para abordar los peligros mediante la previsión y la prevención en vez

de la inspección y la comprobación de los productos finales”12.

Originalmente, el APPCC fue formulado para productos pertenecientes principalmente al

sector alimenticio farmacéutico y cosmético y con sus fundamentos científicos permite

http://www.monografias.com/trabajos12/elproduc/elproduc.shtmlhttp://www.monografias.com/trabajos12/elproduc/elproduc.shtml


16/63

Básicamente se fundamenta como un sistema de autocontrol en las organizaciones de

estos sectores. Un componente diferente que incluye esta metodología corresponde a la

documentación de procesos de manera que permita a la organización conocer sus

actividades y poder monitorearlas adecuadamente.

El APPCC se rige bajo la acción de 7 principios básicos 13:

1. Realizar un análisis de los peligros

2. Determinar los puntos críticos de control (PCC).

3. Establecer los límites críticos para cada PCC.

4. Establecer un sistema de vigilancia y control de los PCC.

5. Promulgar las medidas correctivas que han de adoptarse cuando la vigilancia

indica que determinado PCC se sale de los límites establecidos.

6. Instaurar procedimientos de comprobación para verificar el funcionamiento del

sistema APPCC.

7. Estructurar un sistema de documentación sobre todos los procedimientos y los

registros apropiados para estos principios y su aplicación.

Los elementos trabajados bajo este sistema guardan gran similitud con los modelos

administrativos de gestión de riesgos, llamados como puntos críticos de control, lo cual

permite favorablemente entender la gestión de riesgo a nivel de cada proceso, con la

desventaja de no poder cuantificar los mismos para priorizarlos. Sin embargo, se rescatan

dos componentes esenciales en este modelo correspondiente al establecimiento de los

límites críticos para cada punto crítico de control (PCC), en el cual la organización

determina hasta donde tolerará la presencia de los riesgos en cuestión, y así formular su

sistema de vigilancia y control. El segundo componente valioso del modelo corresponde a

la documentación y estandarización de todos los procedimientos apropiados para laaplicación del mismo.

MODELO AUSTRALIANO/NEOZELANDÉS

http://www.monografias.com/trabajos6/etic/etic.shtmlhttp://www.monografias.com/trabajos7/regi/regi.shtmlhttp://www.monografias.com/trabajos7/regi/regi.shtmlhttp://www.monografias.com/trabajos6/etic/etic.shtml


17/63

a) Comunicación y Consulta

b) Establecimiento del contexto

c) Identificación de los riesgos

d) Análisis de los riesgos

e) Evaluación de los riesgos

f) Tratamiento de los riesgos

g) Monitoreo y revisión

Como puede observarse en la gráfica del Ciclo de Administración del riesgo. Ver Anexo 1

a. COMUNICACIÓN Y CONSULTA:

Corresponde al proceso de intercambio de información aplicado dentro de la gestión delriesgo, el cual busca como lo señala ICONTEC (2006):

- Mejorar la comprensión que las personas tienen sobre los riesgos y el proceso de

gestión del riesgo.

- Asegurar que se consideran las diferentes opiniones de las partes involucradas

- Asegurar que todos los participantes conozcan sus roles y responsabilidades

Esta comunicación y consulta puede darse de forma unidireccional a través de informes,

reportes, boletines, entre otros, o de forma bidireccional involucrando compartir

información, perspectivas, creencias, entre otros.

De la misma forma puede ser aplicada internamente a toda la organización, a

departamentos, unidades de negocio o hacia el exterior con las partes involucradas dentro

de la gestión del riesgo.

L b fi i j d l f d i ió lt i l


18/63

- Agrega valor a la organización al crear coherencia organizacional, identificando

estrategias conjuntas para alcanzar metas.

- Integra varias perspectivas, lo cual enriquece la toma de decisiones de la

organización.

- Desarrolla la confianza del personal al ser parte en la gestión de la organización

- Mejora la comprensión del riesgo al hacer partícipe la experiencia y conocimiento

técnico especializado de las partes interesadas

- Al tener en cuenta la diversidad de percepciones se amplía la determinación del

riesgo.

Para poder desarrollar un proceso de comunicación y consulta es necesario en primer

instancia, identificar a todas las partes involucradas, lo que permitirá conocer en mejor

medida los intereses y las necesidades de las partes en el proceso de gestión de riesgos.

Una vez se cuente con la identificación de las partes, se procede a desarrollar el plan de

comunicación y consulta, en donde se definen las acciones que se tomarán frente al

manejo de la comunicación y la consulta con los participantes de la gestión.

b. ESTABLECIMIENTO DEL CONTEXTO

Como lo establece Bravo (2007), para este componente, es fundamental realizar un

estudio al contexto externo e interno de la organización con el fin de entender la

interacción de las diferentes partes involucradas en la organización, las debilidades y

fortalezas surgidas a partir de estas, pero ante todo definir el alcance que desea darse alproceso de gestión de riesgos en el interior de la organización. Conocer el contexto

permite tener conocimiento del proceso y de la disponibilidad de recursos, para llevar a

cabo la gestión de riesgos, de tal forma que se pueda seleccionar las unidades de

negocio áreas o divisiones de la compañía que participarán en dicha gestión


19/63

Establecimiento del contexto externo (Definir el ambiente externo en el cual

funciona la organización)

Establecimiento del contexto interno (Entender la cultura, las partes involucradas y

la estructura interna de la organización para poder definir el alcance y la política de

gestión del riesgo)

Establecimiento del contexto de la gestión del riesgo (Definir los objetivos, metas,

estrategias, alcance y parámetros de la organización a los cuales se aplica el

proceso de gestión del riesgo).

Identificación de los criterios contra los cuales se evaluará el riesgo

(consecuencias, probabilidad, necesidad de acciones de tratamiento).

Definición de la estructura clave o componentes a los cuales se realizará la

determinación del riesgo para evitar incurrir en la omisión de riesgos esenciales

para la organización.

c. IDENTIFICACIÓN DE RIESGOS

En esta fase se identifican todos aquellos riesgos que se han de gestionar. Para cadauno de los riesgos identificados se debe definir cada uno de los componentes del mismo

incluyendo: las fuentes, las consecuencias, las causas, los lugares y momentos de

ocurrencia.

Las herramientas utilizadas para identificar los riesgos incluyen diferentes metodologías

como listas de verificación, registros, flujogramas, lluvias de ideas, análisis de sistemas,análisis de escenarios, o criterio basado en la experiencia.

Se debe elegir la herramienta de acuerdo con la naturaleza de las actividades bajo

revisión, los tipos de riesgos y el propósito del proceso de gestión de riesgo.


20/63

d. ANÁLISIS DE RIESGOS

Una vez los riesgos se encuentran completamente definidos, se debe proceder a suanálisis. Esto con el fin de poder tomar decisiones posteriormente a partir de la

información obtenida en la fase anterior, y suministrar decisiones sobre si es necesario

tratar los riesgos y las estrategias más adecuadas para ello.

Los tipos de análisis que pueden aplicarse en esta fase corresponden a:

Análisis Cualitativo (a través de las palabras se describe la magnitud de lasconsecuencias de un riesgo y la probabilidad de que las mismas ocurran. Para

ello, se genera una escala de riesgos describiendo los rangos bajo los cuales se

evalúan dichos riesgos)

Análisis Semicuantitativo (se utilizan escalas cualitativas con una valoración

numérica para facilitar la toma de decisiones a través de la representatividad delas cifras).

Análisis Cuantitativo (se utilizan únicamente valores numéricos lo cual asegura la

objetividad del análisis. Dichas cifras representan las consecuencias y probabilidad

de ocurrencia. La calidad del análisis realizado dependerá entonces de la exactitud

de las cifras y la adecuada aplicación de las técnicas estadísticascorrespondientes.

La elección de la metodología de análisis dependerá de la naturaleza de los riesgos, de la

disponibilidad de información, y del propósito para el cual van a ser utilizados los

resultados del análisis.

e. EVALUACIÓN DEL RIESGO

En esta fase se procede a analizar las calificaciones obtenidas en la etapa anterior con el

f


21/63

Así entonces, se deberá contestar a la pregunta: ¿es el riesgo aceptable? ¿tolerable? Ó

¿inaceptable? A dichas preguntas se contestará en la medida en que la peligrosidad del

riesgo lo amerita. Esta peligrosidad se verá representada en zonas matriciales generadas

por la calificación hecha en la fase anterior.

f. TRATAMIENTO DEL RIESGO

El tratamiento del riesgo incluye la identificación de todas las alternativas posibles paratratar los riesgos, una vez evaluados los mismos, la valoración de los riesgos y la

preparación y ejecución de los planes de tratamiento.

Las acciones de tratamiento a tomar dependen en primera medida de si los resultados

que pueden generar dichos riesgos son positivas o no para la organización. En caso de

ser positivas, las opciones de tratamiento deben ser valoradas como aumento de lasventajas competitivas de la empresa, y por tanto las acciones podrán incluir cambiar las

posibilidades para potenciar la probabilidad de ocurrencia del evento, o para incrementar

la extensión de las ganancias, o compartir la oportunidad. En caso de consecuencias

negativas, las opciones pueden incluir evitar el riesgo, cambiar la probabilidad del riesgo

para reducir la posibilidad de los resultados negativos, cambiar las consecuencias para

reducir la extensión de las pérdidas, retener el riesgo o compartir el riesgo.

El criterio utilizado para seleccionar la opción más adecuada debe partir del equilibrio que

pueda lograrse a partir de los costos y los beneficios involucrados en cada alternativa. En

algunos casos será necesario acudir a modelos de sensibilidad para valorar las

alternativas. Es importante anotar que debe contemplarse “el costo total de no tomar

ninguna acción frente al ahorro en el presupuesto”14.

Las acciones de tratamiento que pueden presentarse corresponden a dos grupos como lo

propone Mejía (2006): medidas de control del riesgo entre las que se encuentran evitar,

prevenir y proteger y medidas de financiación del riesgo como aceptar transferir y


22/63

Evitar corresponde a la posibilidad de eliminar la probabilidad de ocurrencia del riesgo o

logrando disminuir totalmente su impacto. En este caso, se requerirá eliminar la actividad

generadora del riesgo o trasladar los recursos utilizados en la actividad para evitar suexposición a la amenaza.

Prevenir por su parte corresponde a visualizar con anterioridad los eventos que puedan

suceder de forma que se establezcan políticas, procedimientos y controles que logren que

el evento no ocurra o por lo menos, disminuya su probabilidad de ocurrencia. Dentro de

estas actividades se encuentran inspecciones, entrenamiento, inversión en información,diversificación, entre otros.

Proteger o mitigar consiste en actuar en el momento del peligro o ante la ocurrencia del

riesgo. De forma similar a la prevención se logra a partir de normas, políticas, controles y

procedimientos que minimicen el impacto negativo sobre los recursos que se ven

amenazados. Dentro de estos se encuentran sistemas automáticos de protección,equipos de protección personal, planes de emergencia, planes de contingencia, entre

otros.

Aceptar implica que no necesariamente se desarrollan actividades de protección o

prevención del riesgo, porque su representatividad no lo justifica una vez se ha analizado

su impacto y su probabilidad de ocurrencia. Todo riesgo que decida aceptarse debe serplenamente justificado y entender que cualquier pérdida que pueda ser generada debe

poder ser cubierta por la organización.

Retener se asemeja a la aceptación del riesgo, pero difiere en que a pesar de no efectuar

actividades de protección y prevención, sí define alternativas para afrontar las pérdidas en

el momento de materialización del riesgo. Dentro de las actividades de retención se

encuentra la creación de un fondo, presupuestación del gasto, creación de una provisión

contable, línea de crédito preestablecida, contrato de seguros, entre otros.

Transferir involucra a un tercero en el tratamiento del riesgo para que pueda absorber


23/63

Dentro de los planes de tratamiento se debe incluir información sobre: acciones

propuestas, recursos necesarios, responsabilidades, cronograma, medidas del

desempeño y requisitos para la presentación de informes y de monitoreo.

Cada una de las acciones definidas podrá generar la necesidad de estipular controles que

varían en tipo según el momento de materialización del riesgo.

Cuando el agente generador incuba las causas necesarias para la presencia del riesgo,

se deben aplicar controles preventivos. Si el riesgo se presenta, en el momento de

ocurrencia, se aplican controles detectivos. Pero si los controles serán aplicados cuando

ya se presentan efectos posteriores a la materialización del riesgo, se ejecutan controles

de protección. Finalmente, los controles correctivos son aquellos ejecutados una vez se

entra en la fase de recuperación, posterior a la presencia de los efectos del riesgo.

Esta información unida a la clasificación de acciones a tomar frente a un riesgo según el

grado de tolerancia que se mantendrá en la organización con el mismo, permite definir un

conjunto de medidas de tratamiento adecuadas.

g. MONITOREO Y REVISIÓN

Es fundamental contar con actividades que permitan revisar constantemente que el plan

de gestión definido se cumple y es eficaz. Por tal motivo, es necesario que con cierta

periodicidad se efectúe el ciclo de gestión del riesgo nuevamente.

Dentro de estas actividades se debe incluir actividades de autoaprendizaje en la

organización, mediante la revisión de los eventos, su tratamiento y sus resultados.

Las actividades de monitoreo y revisión incluyen: monitoreo continuo o verificación de

rutina, revisiones de las direcciones de línea, y acciones de auditoría.

Finalmente, el otro componente esencial dentro del monitoreo corresponde a la


24/63

h. REGISTRO DEL PROCESO DE GESTIÓN DEL RIESGO

Como uno de los componentes esenciales dentro de la gestión de riesgo según la norma

NTC 5254: 2006 se encuentra el registro o documentación del proceso de gestión de

riesgo con el fin de asegurar una buena dirección corporativa, reutilizar información, y

facilitar la captura de datos para ejecución de los diferentes análisis.


25/63

4. METODOLOGÍA

4.1. Tipo de Investigación

El tipo de investigación realizada para el Análisis del Riesgo Estratégico en Pequeñas

Empresas es Investigación Descriptiva. La investigación describe los diferentes modelos

utilizados para gestionar el riesgo en organizaciones, y a partir de esta información, se

desarrolló una metodología aplicable a las pymes para el análisis del riesgo estratégico, la

cual es igualmente descrita y ejemplificada en la presente investigación.

4.2. Metodología Utilizada

La estrategia utilizada para la obtención de la información incluyó la revisión teórica y

conceptual de la gestión de riesgos, comparando la diferente clasificación de riesgos yaplicaciones de herramientas propuestas por autores, y de allí fueron extraídos los

elementos necesarios para consolidar un único modelo para efectuar el análisis

estratégico de riesgos en pymes.

Teniendo en cuenta que la investigación no tuvo aplicación práctica en una organización,

y que los ejemplos generados fueron aislados, no se requirió la recolección de datos

estadísticos con base en una muestra o población.

4.3. Recolección de Información

La información recopilada para el presente trabajo de investigación fue principalmente de

tipo secundario, por medio de propuestas desarrolladas por varios autores a nivel mundialpara la gestión del riesgo y del control interno en organizaciones. Adicionalmente, fueron

consultados medios electrónicos con una gran base de información sobre el objeto de la

investigación.

Fi l t l t ió d l d l t t l i i i


26/63

La información obtenida en la presente investigación fue analizada para formular a partir

de los componentes más importantes de cada uno de los modelos y aplicables a la

realidad de las pymes, la metodología para la adecuada gestión del riesgo estratégico eneste tipo de organizaciones.

Como se mencionó previamente no se utilizaron técnicas de procesamiento estadístico ni

cuantitativo de la información requerida para la investigación, por cuanto dicha

información fue de carácter cualitativo.


27/63

5. PRESENTACIÓN DE RESULTADOS Y ALTERNATIVA DE SOLUCIÓN AL

PROBLEMA

5.1. Desarrollo del Modelo

La columna vertebral de la metodología a proponer está construida a partir del estándar

australiano/neozelandés de administración de riesgos AS/NZS 4360:2004 adaptado en la

versión colombiana bajo la norma técnica NTC 5254 sobre gestión de riesgos del Instituto

Colombiano de Normas Técnicas (ICONTEC). Sin embargo, cuenta con la inclusión de

componentes propuestos por otros modelos y autores interesados en la gestión y

administración de riesgos, generando un modelo completo de fácil aplicación para las

pymes en Colombia.

Para poder dar inicio a la aplicación del modelo es necesario que la Pyme cuente con suplan estratégico definido a partir del cual se efectuará el proceso de gestión de riesgo

estratégico. Para ello, este plan deberá incluir como mínimo:

1. Definición de misión y visión

2. Definición de propuesta de valor

3. Análisis del entorno (interno y externo): DOFA y PESTEL

4. Definición de Objetivos Estratégicos a partir de las variables críticas de análisis del

entorno

5. Formulación de Indicadores para la medición de objetivos estratégicos (Balanced

Scorecard)

6. Definición de iniciativas para el logro de los objetivos estratégicos


28/63

las fases siguientes del proceso de gestión de riesgo. Este componente se extrae de la

norma NTC 5254:2006.

Dadas las condiciones de la pyme, en la cual las partes suelen ser un número pequeño de

personas y las condiciones de disponibilidad de tiempo del personal se recomienda

documentar el plan de comunicación como una lista de chequeo donde se incluyan los

siguientes aspectos:

a. Objetivos de la comunicación (defina si el interés consiste en lograr la

sensibilización del personal, aprendizaje por parte de los involucrados, cambio

actitudinal, influencia de la audiencia objetivo)

b. Participantes que deben ser incluidos (incluir entes internos y externos)

c. Perspectivas de los participantes que deben ser tenidos en cuenta

d. Métodos de comunicación a utilizar

e. Proceso de Evaluación a usar

Adicionalmente, de acuerdo con la visión sostenida por el enfoque COSO, es fundamental

que durante el desarrollo y ejecución de este plan de comunicación se garantice que15:

La comunicación es eficaz hacia el personal sobre las funciones que desarrolla en

la organización y sus responsabilidades frente al tema de control.

La dirección mantiene una escucha activa y responsable

Existe un nivel de apertura y eficacia en las líneas de comunicación hacia terceros,

clientes y proveedores.

5.1.2. Establecimiento del Contexto


29/63

de la pyme, y análisis de entorno como PESTEL, esta fase se reduce sustancialmente

comparado con el estándar definido en la norma NTC 5254:2006 puesto que no se

ejecuta el establecimiento del contexto interno y externo, sino únicamente el contexto dela gestión del riesgo, el desarrollo de los criterios y la definición de la estructura del resto

del proceso.

El establecimiento del contexto de la gestión del riesgo como lo estipula la norma 5254

implica que las organizaciones definan el alcance y los límites de la gestión a realizar.

Para el caso del riesgo estratégico, y partiendo del enfoque de objetivos determinadosbajo una perspectiva de Balanced Scorecard, se puede establecer en este contexto, si se

realizará la gestión del riesgo para las 4 perspectivas o sólo algunas de ellas, y a partir de

ello, si se involucrará a todo el personal o sólo de algunas áreas de la pyme, así mismo,

se podrá concluir si el proceso generará decisiones que obligan a la participación de todos

los niveles de la organización o sólo de aquellos en capacidad de tomar decisiones a

partir de las intenciones del plan estratégico formulado.

Así entonces, en el contexto de la gestión del riesgo se deben obtener conclusiones

sobre16:

Las metas y los objetivos perseguidos con este proceso

La naturaleza de las decisiones que se deben tomar

La extensión de la actividad del proyecto o la función en términos de tiempo y

ubicación

La profundidad y la amplitud de las actividades de gestión del riesgo, incluyendo

exclusiones específicas

Por su parte, la definición de los criterios de la gestión del riesgo aplicables a la pyme en

el análisis del riesgo estratégico, requiere que la organización defina los objetivos a

alcanzar según su plan estratégico clasificados por la consecuencia que puede generar el


30/63

Criterio Objetivos

Impactos Financieros Consecución de los objetivos definidos para laperspectiva financiera del Balanced Scorecard de lapyme:

Incremento en la rentabilidad general de laorganización

Optimización, reducción o no incremento de loscostos

Crecimiento de los ingresos generados

Empleados Consecución de los objetivos establecidos para laperspectiva de aprendizaje y crecimiento:

Dar reconocimiento al trabajo y compensarcompetitivamente al personal

Baja rotación, bajo ausentismo, mejora de lashabilidades y de la experiencia.

Minimizar los riesgos relacionados con la salud

ocupacional y la seguridad industrial.

Tabla 1. Ejemplo Tabla Criterios para Evaluación de Riesgos (fragmento)

Finalmente en esta etapa, es esencial construir el enfoque de la implementación del

proceso de gestión de riesgo. Se recomienda dadas las condiciones de la pyme, gestionar

el proceso a través de una implementación de “arriba hacia abajo” como lo propone Bravo(2007). Es decir, partir de los hitos corporativos, luego gestionar los estratégicos, y

finalmente los operacionales y los directamente relacionados con los grupos de interés.

Este esquema permitirá definir el marco general del proceso a realizar en la organización,

como se establece en la figura 1.


31/63

Hitos

•Política de RiesgosCorporativos

•Mapa de Riesgos•Riesgos ClaveEstratégico

•Control Operacional•Sistemas de GestiónOperacional

•Gobernabilidad•Control Proveedores

• Asignación individual deresponsabilidades

Grupos de Interés

Figura 1. Pirámide de Enfoque de “arriba hacia abajo” para la gestión del riesgo

5.1.3. Identificación de Riesgos

Esta fase es fundamental en la gestión de riesgos, ya que todo el proceso depende de la

calidad y veracidad de la información recopilada para identificar los riesgos estratégicos, yasí mismo, como resultado los riesgos identificados serán la base del análisis generado

posteriormente.

Para iniciar la identificación de riesgos en pymes, dadas las condiciones propias de este

tipo de empresas como: 1) poca disponibilidad de información histórica, 2) pocos recursos

de personal para laborar en el proyecto, y 3) conocimiento medio sobre condiciones delentorno; es necesario seguir las siguientes aplicaciones para obtener un listado

caracterizado de los riesgos presentes en cada organización.


32/63

encuentra: reportes de incidentes en la organización, auditorías a los sistemas de gestión,

bibliografía especializada, benchmarking con empresas similares, búsquedas por Internet,

resultados de experimentos desarrollados previamente por la organización, entre otros.

5.1.3.2. Aplicación del método Delphi para obtener información a partir del

conocimiento de los expertos en la organización

La información primaria y secundaria recolectada deberá ser compartida a todo el grupode expertos que sea convocado para el proceso de identificación de riesgos. Se

entregarán hojas de papel a cada uno de ellos, para que de forma anónima participe

identificando y anotando los diferentes riesgos estratégicos a los cuales se encuentra

sometida la organización. Para ello, se deberá entregar a cada uno de los expertos copia

del plan estratégico de la organización, incluyendo la información obtenida en la fase

anterior sobre el establecimiento del contexto (Ver capítulo 5.1.2) y el análisis efectuado al

entorno interno y externo de la pyme.

Un moderador dentro de la actividad se encargará de tabular en una tabla, toda la

información registrada por el grupo de expertos; listando todos aquellos riesgos

estratégicos recibidos del ejercicio y traduciendo los mismos como hipótesis a partir de las

cuales se considera que cada riesgo puede estar presente o no en la organización.Posteriormente, tomará la lista de riesgos a modo de cuestionario y lo entregará

nuevamente a cada uno de los expertos, en los cuales cada uno de ellos deberá indicar el

porcentaje con el cual considera que la hipótesis puede ser certera. A la terminación de la

ronda se tabularán los resultados por hipótesis obteniendo el coeficiente de variación en

cada una de ellas según las respuestas dadas, y aquellas con un valor inferior al 30% se

considerarán hipótesis bajo consenso, puesto que esto representaría que el promedio de

probabilidades encierra al menos el 70% de las calificaciones de los expertos. Las demás

serán sometidas nuevamente a una iteración con los expertos, una vez se han discutido

los argumentos de cada uno de tal forma que puedan ser modificadas sus respuestas Se


33/63

No. EVENTOSexperto

1

experto

2

experto

3

experto

4

experto

5

Probabilidad

Promedio

Coeficiente de

VariacionConsenso

Desviación

Estandar

H1¿Qué tan probable es que el riesgo

1 …. se presente en la organización?70 80 65 70 85 74,00 11,10% 8,22







H5 ¿Qué tan probable es que el riesgo5 …. se presente en la organización?

60 65 65 80 70 68,00 11,15% 7,58

Figura 2. Tabulación de respuestas de expertos bajo el método Delphi

En este caso, se puede observar total consenso sobre los riesgos lo que indica que han

sido preseleccionados hasta el momento, como riesgos estratégicos de la pyme.

5.1.3.3. Depuración de riesgos estratégicos

Una vez se obtiene la lista de riesgos bajo consenso, debe garantizarse que los mismos

efectivamente corresponden a riesgos estratégicos puntuales hacia la pyme. Por lo cual

se debe efectuar el cruce entre los riesgos identificados y el ciclo de experiencia del

cliente que se constituye como el foco de negocio a partir del ejercicio desarrollado para laformulación de la propuesta de valor de la pyme a sus clientes propuesto por Carlos

Alberto Niampira (2008).

Para ello se construye el ciclo interno bajo la experiencia (actividades) que vive un cliente

del tipo de producto/servicio ofrecido por la pyme y su competencia. Posteriormente se

señalan aquellas actividades que se consideran puntos críticos para la pyme donde la

estrategia definida en su plan, contiene iniciativas que apuntan a la mejora de dichas

actividades.

Alrededor de dicho ciclo se ubican los riesgos definidos por el grupo de expertos bajo


34/63

Puntos críticos –estratégicos de

éxito

Actividades en el Ciclo deExperiencia de un cliente

Riesgos listados bajo método

Delphi

Cotizarproducto

Seleccionarproveedor

Solicitardespacho

producto

Recibirofertas de

producto

Generar

negociación

con

proveedor

Supervisar

despacho

Tramitarremisión

documental

Tomarmedidas

correctivas

Retroalimentaral proveedor

Aparición de

nuevos

competidores

Baja

capacidad de

respuesta al

cliente

Riesgo estratégico

Interés por

adquisición

de compra

Recibir

producto

final

Inspeccionar

producto

final

Alto númerode rechazos

de producto

Ausencia de

canales

electrónicos de

postventa

Figura 3. Modelo de Identificación de Riesgos Estratégicos

5.1.3.4. Caracterización de riesgos

La caracterización de riesgos permite determinar las principales características de

cada riesgo para poder ejecutar una posterior evaluación de forma acertada. Los

aspectos que incluyen esta caracterización, tomados en parte del método Risicar

propuesto por Mejía (2006) corresponden a:

a. Nombre Completo del Riesgo

b. Significado del riesgo


35/63

e. Causas (Análisis de las principales causas generadoras de cada riesgo. Para ello,

se recomienda utilizar como lo propone Bravo (2007) el diagrama de espina de

pescado para identificar las principales causas, a través del enfoque de las 5M(maquinaria, materiales, métodos, mano de obra y medio ambiente). A modo de

ejemplo observar la siguiente gráfica (Figura 4) de análisis de causa sobre un

riesgo identificado en una empresa: Baja capacidad de respuesta a las

necesidades del cliente.

Figura 4. Diagrama de Espina de pescado sobre el análisis de causa del riesgo: Baja capacidad de respuesta alas necesidades de los clientes17.

f. Efectos (consecuencias, pérdidas en las que puede incurrir la empresa por la

presencia del riesgo). Incluir también el efecto que podría tener sobre los objetivos

estratégicos de la organización. Se recomienda igualmente utilizar el diagrama de

causa efecto a partir de las causas identificadas en el punto anterior con el ánimo

d áli i d b l i t té i t di A


36/63

Figura 5. Diagrama de Causa-efecto de riesgos18

g. Controles actuales formulados para abordar los riesgos

5.1.4. Análisis de Riesgos

Continuando con el método de Risicar como lo indica Mejía (2006), se procede a calificar

el riesgo a partir de los datos variables de la frecuencia y del impacto asociados al riesgo.


37/63

la tabla de frecuencia, los valores incrementan de manera lineal, y para la tabla de

impacto, de manera geométrica; de tal forma que se brinde mayor peso al impacto, puesto

que este último es el que afecta en mayor medida a las organizaciones actuales.

En el caso de pymes se utiliza en mayor medida el análisis semicuantitativo donde se

utilizan escalas cualitativas con una valoración numérica. Esto debido a que la poca

información estadística con la cual cuentan las pymes en su primer ejercicio de gestión de

riesgos no les permite contar con cifras para efectuar el análisis cuantitativo. Sin embargo,

en caso de poder realizarse el análisis cuantitativo obteniendo la probabilidad deocurrencia de cada uno de los riesgos, no modifica la metodología en fases siguientes;

porque la diferencia corresponderá a valores generados con datos reales en la calificación

de frecuencia y no estimados a partir de escalas.

A continuación se presenta a modo de ejemplo la tabla de Calificación de Frecuencia en

la Tabla 2 para una pyme joven.

FRECUENCIA-PROBABILIDAD (Cualitativas)

Nivel Detalle

5 Casi SeguroLa expectativa de ocurrencia se da en la mayoría de lascircunstancias. Más de 11 veces al año

4 ProbableProbabilidad de ocurrencia en la mayoría de las circunstancias. Entre8 y 11 veces al año

3 Posible Puede ocurrir en algún momento. Entre 5 y 7 veces al año2 Improbable Podría ocurrir algunas veces. Entre una y 4 veces al año

1 RaroPuede Ocurrir solo bajo circunstancias excepcionales. Una vez enmás de 1 año.

Tabla 2. Calificación de Frecuencia ejemplo de método Risicar

Así mismo, se presenta a continuación la tabla de Calificación de Impacto en la Tabla 3

para la misma pyme joven.

Valor ImpactoDescripción en

términos económicosDescripción en términos

operacionales

Descripción en términosde cumplimiento de

objetivos


38/63

20 Severo Pérdidas hasta de50.100.000 y100.000.000

Se interrumpe la operaciónentre 2 y 10 días

Se afecta el logro de losobjetivos entre el 40% y el

60%

40 Catastrófico Más de 100.000.000 depesos

Se interrumpe la operaciónmás de 10 días

Se afecta el logro de losobjetivos en más del 60%

Tabla 3. Calificación de Impacto ejemplo de método Risicar

Cada empresa define sus rangos y describe cada nivel de acuerdo con la naturaleza de la

empresa, tamaño, tipo y edad. Por lo cual las tablas anteriores se presentan únicamente a

modo de ejemplo.

Con esta información definida, se toma cada uno de los riesgos estratégicos definidos y

se verifican sus valores en términos de frecuencia y en términos de impacto. Para el caso

de la asignación del valor del impacto se verifica la descripción de la consecuencia que

más se asocia al riesgo y se asigna el valor correspondiente.

Por ejemplo, si contamos con un riesgo como “Baja capacidad de respuesta a las

necesidades de los clientes” como fue analizado en la espina de pescado, podría

calificarse con una frecuencia de 3 por ser un evento posible, y con un impacto de 10-

moderado.

Los datos obtenidos en la fase de identificación de riesgos se consolidan en una tabla

como se presenta a continuación:

NúmeroREF Riesgo Identificado

Probabilidaddel Riesgo

Impacto delRiesgo

Controles actualesaplicados

RC1Baja capacidad de respuesta a lasnecesidades de los clientes

3 10

Programa de Formación alPersonal

Planes de rotación demateria prima

Programa de evaluación deproveedores

RC22 5

Tabla 4. Calificación de riesgos

5.1.5. Evaluación de Riesgos


39/63

D Inaceptable: Riesgoextremo

Se requiere acción inmediata, planes de tratamiento requeridos,implementados y reportados a la Junta Directiva

C Grave: Riesgo altoSe requiere atención de la alta gerencia, planes de tratamientorequeridos, implementados y reportados a los gerentes de unidad

B Tolerable: Riesgomoderado

La responsabilidad gerencial debe ser especificada. Administradocon procedimientos normales de control

A Aceptable: Riego Bajo Se administra con procedimientos rutinarios.

Tabla 5. Clasificación de riesgos según gravedad

Es importante anotar que para el caso del riesgo tolerable y el riesgo aceptable, la

recomendación no es no tomar ningún tipo de acción. Sino por el contrario administrarlocon actividades de control que mantengan al riesgo en esta calificación y evite que se

conviertan en riesgos graves o inaceptables. Para ello, la pyme adoptando un

componente del modelo APCC, debe establecer los límites críticos para cada uno de los

riesgos o como serían llamados en el modelo original, Puntos Críticos de Control. Esto

permite distinguir lo aceptable de lo inaceptable y así poder determinar en qué momento

se afecta la vulnerabilidad de la organización.

El riesgo es clasificado según los datos de la tabla anterior los cuales se obtienen a partir

de los resultados de cruzar las variables frecuencia e impacto, en una matriz que define la

zona de gravedad del riesgo. La matriz que determina los niveles de riesgo se presentan

a continuación en la tabla 6:

FRECUENCIA

4 Muy Alta 20 B 40 C 80 D 160 D

3 Alta 15 B 30 C 60 C 120 D

2 Media 10 B 20 B 40 C 80 D

1 Baja 5 A 10 B 20 B 40 C

Leve Moderado Severo Catastrófico

IMPACTOTabla 6. Matriz de evaluación del riesgo, método Risicar.19

En el ejemplo anteriormente dado, al tener una frecuencia de 3 y un impacto de 10,

obtenemos como resultado 30 (3x10). Este resultado corresponde a un riesgo en Zona


40/63

De esta forma, cada uno de los riesgos tendrá asignado un nivel de gravedad, el cual

permitirá a la organización priorizar e indicar cómo debe tratarse cada uno de ellos. Así

entonces se complementa la tabla 7 con el resultado de la evaluación del riesgo:

NúmeroREF Riesgo Identificado

Probabilidaddel Riesgo

Impacto delRiesgo

Valoración delRiesgo Bruto

Controles actualesaplicados

RC1Baja capacidad de respuesta alas necesidades de los clientes

3 10

30 Programa de

Formación alPersonal

Planes de rotaciónde materia prima

Programa deevaluación deproveedores

RC2 Riesgo 12 5 10

Tabla 7. Resultado de evaluación de riesgos

5.1.6. Tratamiento de Riesgos

De acuerdo con los resultados obtenidos en la evaluación de riesgos, cada una de las

zonas de gravedad del riesgo tiene implícitas las medidas de tratamiento que deben

tomarse para cada riesgo como fue explicado previamente en el marco teórico según la

propuesta del modelo Australiano (aceptar, eliminar, transferir, proteger, prevenir o

retener). Así entonces, la matriz de evaluación de riesgos se complementa con las

acciones de tratamiento como se puede observar a continuación en la tabla 8.


41/63

FRECUENCIA

Muy Alta

20

Zona de riesgo

tolerable

Pv, R

40

Zona de riesgo

grave

Pv, Pt, T

80

Zona de

riesgo

inaceptable

Pv, Pt, T

160

Zona de riesgo

inaceptable

E, Pv, Pt

Alta

15

Zona de riesgo

tolerable

Pv, R

30

Zona de riesgo

grave

Pv, Pt, T

60

Zona de

riesgo grave

Pv, Pt, T

120

Zona de riesgo

inaceptable

E, Pv, Pt

Media

10

Zona de riesgo

tolerable

Pv, R

20

Zona de riesgo

tolerable

Pv, Pt, R

40

Zona de

riesgo grave

Pv,Pt, T

80

Zona de riesgo

inaceptable

Pv, Pt, T

Baja

5

Zona de

aceptabilidad

A

10

Zona de riesgo

tolerable

Pt, R

20

Zona de

riesgo

tolerable

Pt, T

40

Zona de riesgo

grave

Pt, T

Leve Moderado Severo Catastrófico

IMPACTO A:Aceptar el riesgo E: Eliminar la actividad T: Transferir el riesgoPt: Proteger la empresa Pv: Prevenir el riesgo R: Retener las pérdidas

Tabla 8. Matriz de respuesta ante los riesgos20

De acuerdo con el ejemplo dado previamente, la zona de riesgo grave calificado con 30,

sugiere que se tomen acciones de Prevenir, Proteger o Transferir. En este abanico de

posibilidades se encontrarán casos como definir controles preventivos, o definir políticas y

procedimientos para el actuar en el momento en el cual se presente el riesgo de no contar

con la capacidad adecuada para la atención de las solicitudes de los clientes (ejemplo:

plan de contingencia como subcontratar proveedores que fabriquen el producto o prestenel servicio), ó acciones de transferencia del riesgo como la estipulación de cláusulas en

los contratos hacia los proveedores de insumos, para que en caso de incumplimiento en

pedidos que puedan afectar la capacidad de atención a los pedidos del cliente, asuman


42/63

Vale la pena anotar que las acciones de tratamiento están limitadas por las opciones

presentes en el mercado, dado que en algunos casos así se quiera, por ejemplo, transferir

el riesgo, no se encontrarán aseguradoras con ese tipo de póliza. En dado caso, sedeberá tomar la mejor opción viable para afrontar el riesgo. Mismo caso que puede ocurrir

si los recursos de la compañía no son suficientes para cubrir las acciones resultado de la

matriz.

De esta forma se pretende que para cada uno de los riesgos evaluados, se establezca el

tipo de acción a tomar según la matriz anterior. Para aquellos casos en los cuales la

acción corresponda a proteger y prevenir, será necesario definir los controles a aplicar.

Para esto, se debe ejecutar adicionalmente la siguiente fase: Diseño e implementación de

medidas.

5.1.7. Diseño e Implementación de medidas

Como parte integral y fundamental de la gestión de riesgos, es necesario definir

inicialmente una política general de riesgos para la organización, donde se pueda

comunicar la orientación general que tomará la pyme frente a la gestión de sus riesgos.

Como lo indica la norma NTC 5254, la política general deberá incluir los siguientes

elementos como parte de la adecuada formulación de la misma:

*objetivos para la política y fundamentos para la gestión del riesgo

*enlaces entre la política y el plan estratégico de la organización

*orientación sobre lo que puede considerarse riesgo aceptable

*alcance de la política

*responsable de la gestión del riesgo

Una vez la política es establecida, se debe dar inicio a la identificación y análisis de loscontroles actuales sobre aquellos riesgos en los cuales se deben estipular controles para

mitigar el mismo.

Cuando se está efectuando esta evaluación, es fundamental entender en qué consiste el


43/63

Es preciso tener presente, que los riesgos deben trabajarse en su orden de prioridad así,

primero aquellos riesgos calificados como inaceptables, luego los graves y finalmente los

tolerables.

Si tras evaluar el control aplicado, se determina que el éste no es efectivo, o que tras

aplicarlo aún persiste un riesgo residual, es necesario desarrollar controles adicionales.

Los controles deben aplicarse de acuerdo al momento en el cual se es materializado el

riesgo (controles preventivos, controles detectivos, controles de protección o controles

correctivos).

Regresando a nuestro ejemplo sobre el riesgo de presentarse una baja capacidad de

respuesta a las necesidades de los clientes, se ha decidido elegir la alternativa de control

de protección, de forma que cuando el riesgo se vea materializado se contará con una

política de aplicación del plan de contingencia de subcontratación de proveedores que

puedan dar respuesta al cliente, fabricando el producto o prestando ellos mismos el

servicio. Claro está, asumiendo los costos involucrados y asumiendo las pérdidas en el

margen que de no haberse presentado el evento habrían sido de ganancia por parte de la

organización al utilizar recursos propios.

Una vez, se han definido los controles que serán implementados en la organización, seprocede con la evaluación de su efectividad. Dicha efectividad, como lo propone Mejía

(2006) se mide con base en la contribución que el control ejerce para la disminución del

riesgo (eficacia) con un uso adecuado de los recursos (eficiencia).

Para medir la eficacia es necesario, calificar nuevamente el riesgo con base en el control

establecido. Es decir, evaluar el riesgo residual una vez implementado el control. Para

ello, es pertinente devolverse nuevamente a la fase de Evaluación de Riesgos y

posteriormente clasificar el resultado en la matriz definida en la fase de Tratamiento de

Riesgos, para determinar si el control resulta eficaz, al reubicar el riesgo de zona sobre la

ubicación en la matriz. En caso de reducir el valor del riesgo significativamente, se contará


44/63

Por su parte, para medir la eficiencia, será necesario determinar los recursos que deben

ser utilizados para poder implementar el control definido. De esta forma será necesario,

evaluar el costo vs. el beneficio de la aplicación del control, y con base en esta evaluacióndeterminar si la eficiencia es alta, media o baja.

En el ejemplo del riesgo tomado, eligiendo la opción mencionada previamente sobre la

ejecución del plan de contingencia de subcontratación, permanece aun un riesgo residual,

ligado a la dependencia que se genera con el proveedor, quien es ahora el responsable

de contar con la capacidad de respuesta a las necesidades del cliente. La pregunta es

entonces, hasta donde este control de protección es eficaz? La probabilidad con la cual

puede ocurrir este riesgo es de 2, es decir, improbable dado que puede ocurrir algunas

veces (entre 1 y 4 veces al año), la cual es una probabilidad menor a la inicial, asumiendo

que los proveedores no se subcontratan en todos los pedidos solicitados por el cliente.

(Esta calificación se otorga según Tabla No. 2). Sin embargo, la calificación del impacto

continúa siendo de 10, puesto que si el proveedor incumple acarrea las mismas pérdidas

que si la propia pyme hubiera fabricado el producto con recursos propios. (Esta

calificación se otorga según Tabla No. 3). Así entonces, la nueva calificación del riesgo

bajo la tabla 6 es de (10x2) 20. Corresponde a un riesgo de tipo B, tolerable en zona

amarilla, que debe ser administrado con procedimientos normales de control. Esto indica

que la eficacia del control de protección es media, puesto que sí reubica al riesgo dentrode la matriz de calificación en una zona de menor calificación, pero no con la significancia

esperada.

En cuanto a la eficiencia, la calificación es baja, dado que asumir una subcontratación de

fabricación de producto o prestación del servicio para la pyme, puede disminuir sus

márgenes de utilidad frente a los iniciales cuando sus propios recursos en condiciones

normales habrían podido proceder a fabricar el producto a un menor costo.

Una vez determinada la eficacia y eficiencia de la medida de control, es necesario ubicar

los resultados en la siguiente matriz (Tabla 9) con el fin de determinar la efectividad. En


45/63

EFICACIA

ALTA MEDIA ALTA MUY ALTAMEDIA BAJA MEDIA ALTA

BAJA MUY BAJA BAJA MEDIABAJA MEDIA ALTA

EFICIENCIA

Tabla 9. Efectividad de los controles

Si las calificaciones obtenidas en la evaluación de efectividad, indican que el resultado es

alto o muy alto, se debe proceder a implementar los controles puesto que pueden

contribuir a disminuir el riesgo considerablemente de forma eficaz y eficiente. En el casode efectividad media se debe efectuar un mayor análisis sobre los costos asociados a la

implementación del control para decidir si es conveniente y factible hacerlo.

En el caso del ejemplo, una eficacia media con una eficiencia baja, nos da como resultado

según la matriz de la tabla 9, una efectividad baja. Por este motivo, será necesario

replantear los controles. Se recomienda analizar alternativas de prevención o

transferencia como otra más de las medidas de tratamiento que pueden ser adoptadas

según los resultados de la calificación del riesgo dada en la matriz de la Tabla 8.

Definidas las medidas de tratamiento se debe proceder a la implementación de las

mismas, en cada uno de los procesos, y unidades de negocio. Es importante resaltar quela labor de la gerencia y su respaldo es fundamental para que los objetivos definidos sean

alcanzados. Estas medidas deben redactarse en un plan de implementación, donde se

consolidan todas las acciones a realizar para el tratamiento de cada uno de los riesgos.

Así mismo se registran otros datos importantes para el posterior monitoreo de los mismos.

A continuación se presenta una planilla a modo de ejemplo para el registro de dicha

información:Función / actividad: Recopilado por: Fecha:

Fecha de revisión del riesgo: Revisado por: Fecha:

( d d d d

esu a o e

análisis costo-

beneficio Persona responsable


46/63

5.1.8. Monitoreo y Control de Riesgos

El monitoreo es una actividad fundamental para poder determinar hasta qué punto, la

definición de las medidas de control fue adecuada. Para ello, se pueden utilizar 3 técnicas

básicas en una pyme:

* Monitoreo Constante

* Autoevaluación o revisión por la dirección de línea

* Auditoría Interna y/o Externa

Dadas las condiciones de la pyme en la cual la escasez de recursos humanos resulta ser

evidente en varias de ellas, es probable que se deba capacitar al personal adecuado

internamente para llevar a cabo las labores de monitoreo.

El monitoreo constante se realizará con base en las medidas de tratamiento diseñadas en

la fase anterior. Gracias a que las mismas son registradas en el programa general de

tratamiento de riesgos, las actividades de monitoreo consistirán en la supervisión

constante de que lo allí estipulado se cumple. Se sugiere por efectos de control, que se

registre dicha verificación como evidencia de que el proceso de monitoreo fue llevado a

cabo y especificar que no se han producido resultados fuera de lo definido como tolerable.

La autoevaluación puede ser ejecutada por un nivel directivo de área, unidad de negocio o

proceso. En dicha revisión se recomienda utilizar listas de verificación que permitan

calificar los diferentes aspectos a ser evaluados con el fin de garantizar que el proceso

completo de gestión de riesgos es ejecutado adecuadamente. Se recomienda observar

las listas de verificación en el Anexo 2 a modo de ejemplo.

La auditoría es una medida en la que entes independientes internos o externos a la

organización desarrollan formalmente un proceso de verificación de la conformidad del

proceso de gestión generalmente frente a parámetros como normas (internas o externas)


47/63

Adicionalmente a las medidas de monitoreo, se deben implementar medidas para la

evaluación del desempeño de los controles aplicados sobre los riesgos identificados.

Estas medidas incluyen la definición, la medición y el análisis de los indicadores de riesgo.Los indicadores son variables cuantitativas o cualitativas que permiten visualizar el

comportamiento de los riesgos más importantes. Estos indicadores deben ser

comprensibles, mensurables, controlables y oportunos.

Para cada uno de estos indicadores se definen metas, y la comparación de los resultados

obtenidos de la medición frente a estas metas, permite que se determinen acciones

preventivas y correctivas con el fin de garantizar que los controles aplicados son efectivos

frente a los riesgos identificados.

Se debe tener presente que para la formulación de indicadores, se pueden definir

indicadores de frecuencia del riesgo orientados a la medición de las veces en las cuales

ocurre un riesgo en un período de tiempo establecido, ó indicadores de impacto del

riesgo, los cuales reflejan la magnitud de la pérdida ocasionadas por la materialización del

riesgo, ó finalmente, indicadores de causas y agentes generadores, en los cuales se

registran las reales causas que ocasionan el riesgo o sus fuentes generadoras.

La información que debe ser estructurada para la formulación de los indicadores se

presenta en la tabla 11:

RiesgoNombre del

Indicador

Tipo de

Indicador

Perspectiva

Balanced

Scorecard

Fórmula Meta Periodicidad Responsable

Bajacapacidadderespuesta a

lasnecesidadesde losclientes

DemorasSemanales

Frecuencia Procesos SumatoriaSemanal delnúmero dedemoras

2 Semanal Jefe deproducción


48/63

Scorecard, de forma tal que cada uno de estos indicadores de riesgo debe pertenecer a

una de las 4 perspectivas propuestas por esta teoría: financiera, cliente, operaciones, y

crecimiento y aprendizaje.Los resultados de cada uno de los indicadores de riesgo, pueden registrarse en una

planilla comparativa por períodos para permitir que se efectué el análisis correspondiente

comparando con las metas propuestas y comparando período a período los valores

obtenidos.

5.1.9. Registro de Riesgos

Como se ha venido proponiendo a lo largo de toda la metodología, las actividades dentro

de la gestión de riesgos deben permanecer registradas. Esto con el fin de facilitar el

seguimiento y la trazabilidad al proceso.

Existe un registro adicional, no mencionado hasta el momento que se convierte en pieza

fundamental para las pymes en la gestión de riesgos, dado que proporcionará los datos

necesarios para que el proceso continuamente dinámico de identificación, análisis y

tratamiento de riesgos en nuevas iteraciones se fortalezca a partir de datos históricos que

permitan generar análisis cuantitativos que respalden o cuestionen la toma de decisiones

a partir de los controles implementados. Este registro corresponde a la base de datos de

incidentes, como lo propone la norma NTC 5254:2006. En esta base de datos se

recomienda llevar un registro de todos los incidentes presentados y de aspectos

relacionados, para que así se pueda posteriormente detectar patrones o secuencias

causales, para fortalecer las medidas de control del riesgo.

Otro registro fundamental que resume la información de la gestión del riesgocorrespondiente a las últimas fases, es el plan de tratamiento de riesgo, como puede

verse a continuación en la tabla 12. Este plan permitirá a la organización definir

claramente sus acciones, asignar responsables y presupuestar sus necesidades de


49/63

Plan de Acción:

1. Acciones Propuestas

2. Requisitos de recursos

3. Responsabilidad

4. Oportunidad

5. Reporte y monitoreo requeridos

Recopilado por: Fecha: Revisado por: Fecha:

Función/Actividad:

Riesgo: Referencia

Resumen: respuesta e impacto recomendados

Tabla 12. Plan de Tratamiento de Riesgo22

Finalmente, en los registros de la gestión de riesgo, se debe contar con las fichas de

proceso como lo sugiere el modelo APCC. Una vez el plan estratégico ha sido formulado,

y las acciones estratégicas están claramente descritas muchas organizaciones

desarrollan la documentación de sus procesos, con el fin de garantizar que a través de la

misma se estandarizan y aseguran las actividades que darán lugar a la consecución de

los objetivos. En estos casos, bastará con una actualización a dichos documentos con la

inclusión de todas aquellas medidas de tratamiento y control establecidas para la gestiónde los riesgos estratégicos de la organización. En aquellos casos en los cuales, no se

cuente con documentación previa de procesos, será necesario contar con el

levantamiento y documentación de los procesos de la pyme, para incluir allí los resultados

t l i t bié i á f t h i t l f ió l


50/63

controles, sino también servirá como una fuerte herramienta para la formación y el

entrenamiento del personal.

6 CONCLUSIONES Y RECOMENDACIONES


51/63

6. CONCLUSIONES Y RECOMENDACIONES

6.1. Conclusiones

La gestión de riesgos estratégicos en las pymes trae consigo beneficios reales

para la organización, dado que permite “asegurar” los resultados de los planes

estratégicos, al permitir estudiar y controlar todas las variables que pueden alterar

el logro de los objetivos. En aquellos casos, donde las variables no pueden ser

necesariamente controladas para dicho aseguramiento, la gestión del riesgo

permite establecer medidas de contingencia que pueden ser adoptadas por la

empresa para minimizar las pérdidas ocurridas durante la materialización del

riesgo estratégico.

La correcta administración del riesgo permite a una pyme reducir la incertidumbrepresente

analisis del riesgo estrategico en pequeñas empresas

Documents