gestión de riesgos - alan santos.pdf

8/17/2019 Gestión de Riesgos - Alan Santos.pdf

http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 1/168

Gestión de

RiesgosVersión “ Light ”

(Apto para todo público)

Alan Santos Cori©



Agradezco a:

Irene, que me apoya en cada locura

Gad, que me acompaña en cada aventura

Mis hermanos, que han actuado como revisores y críticosMa Isabel Casares San José-Martí, mi profe

Christian Haindl, de quien he aprendido casi todo en estas materias



Prefacio

La Gestión de Riesgos es un proceso que diariamente todo ser viviente

realiza en todo momento de su vida. En este texto no se pretende

presentar una verdad única ni muchas verdades contrapuestas,

simplemente se busca introducir el tema en aquellas mentes no iniciadas

en la materia.

Se mencionan y tratan muchos aspectos de la Gestión de Riesgos, pero

todos ellos son referenciales. Lo único relevante es que para realizar un

adecuado tratamiento de los riesgos, es necesario tener el interés y la

voluntad de hacer algo al respecto. De lo contrario, todo esfuerzo es

vano.

Es mi deseo y objetivo, que este esfuerzo realizado para facilitar la

comprensión del lector respecto de una materia tan vaga y difusa como

la Gestión de Riesgos, le permita contar con una orientación, aunque

sea inicial, respecto de cómo o por donde comenzar.



Todos los derechos reservados. Prohibidas su reproducción parcial y/o total sin

autorización escrita previa. ©Alan Santos



I N D I C E

INTRODUCCIÓN .................................................................................................. 13

NORMAS Y BUENAS PRÁCTICAS ...................................................................... 21

ISO 31000 .......................................................................................................... 28

COSO III ............................................................................................................ 31

BASILEA ............................................................................................................ 35

SOX ................................................................................................................... 39

FORMALIZACIÓN DE UN MODELO DE GESTION DE RIESGOS (MGR) .......... 43

BUSINESS IMPACT ANALYSIS (BIA) .................................................................. 48

ANÁLISIS FODA ................................................................................................... 54

FACTORES DE RIESGO ...................................................................................... 57

CATEGORÍAS DE RIESGOS ................................................................................ 60

DEFINICIONES Y CRITERIOS ............................................................................. 67

ESCALA ............................................................................................................. 68

MEDICIÓN NOMINAL ..................................................................................... 68

MEDICIÓN ORDINAL ..................................................................................... 69

MEDICIÓN POR RAZONES ........................................................................... 69

MEDICIÓN POR INTERVALOS ..................................................................... 70

TRES NIVELES ........................................................................................... 70



CUATRO NIVELES ..................................................................................... 72

CINCO NIVELES ......................................................................................... 73

OTRAS ESCALAS ....................................................................................... 74

PROBABILIDAD................................................................................................. 77

IMPACTO ........................................................................................................... 81

IMPACTO FINANCIERO ................................................................................ 83

IMPACTO LEGAL ........................................................................................... 84

IMPACTO EN IMAGEN .................................................................................. 85

IMPACTO NORMATIVO ................................................................................. 85

IMPACTO NEGOCIO...................................................................................... 86

OTROS PARÁMETROS DEL IMPACTO ........................................................ 86

EXPOSICIÓN AL RIESGO ................................................................................ 89

CONTROLES ..................................................................................................... 91

VALORIZACIÓN DE LOS CONTROLES ........................................................ 95

CALIDAD ..................................................................................................... 96

EFICACIA .................................................................................................... 96

EFICIENCIA ................................................................................................ 97

MAGNITUD DEL RIESGO ................................................................................. 99

MAGNITUD DISCRETA .................................................................................. 99

MAGNITUD CONTINUA ............................................................................... 100



UMBRAL Y APETITO AL RIESGO .................................................................. 102

METODOLOGÍA DE CÁLCULO (LA LICUADORA) ......................................... 106

METODOLOGÍA DE ANÁLISIS .................................................................... 108

METODOLOGÍA BÁSICA ............................................................................. 108

METODOLOGÍA DE INTRODUCCIÓN ........................................................ 113

METODOLOGÍA CONTÍNUA ....................................................................... 116

EL FACTOR TIEMPO ................................................................................... 126

PROCESO DE GESTIÓN DE RIESGOS ............................................................ 129

LEVANTAMIENTO DE PROCESOS ................................................................ 135

FLUJOGRAMA ............................................................................................. 137

IDENTIFICACIÓN DE FACTORES DE RIESGO (FR) ..................................... 141

IDENTIFICACIÓN DE RIESGOS ..................................................................... 144

ASOCIACION FACTOR DE RIESGO – RIESGO ............................................ 146

VALORACIÓN ..................................................................................................... 147

RIESGO .............................................................................................................. 150

INHERENTE O INICIAL ................................................................................... 150

RIESGO RESTANTE O RESIDUAL ................................................................ 152

MAPAS DE RIESGOS .................................................................................. 152

MAPA DE PROBABILIDAD x IMPACTO ................................................... 153

MAPA DE RIESGO RESTANTE ............................................................... 155



INFORMES ......................................................................................................... 157

ANÁLISIS COSTO BENEFICIO ....................................................................... 160

REGISTRO DE PÉRDIDAS ................................................................................ 162

GLOSARIO .......................................................................................................... 164

BIBLIOGRAFIA ................................................................................................... 171



INTRODUCCIÓN

Un día, o tal vez una noche, sentí una serie de empujones. No entendía nada.

Estaba acomodado en mi rincón, sin molestar a nadie. Un poco apretado nada

más, pero muy tranquilo. Vi una luz y sentí la necesidad de ir a ella. Los

empujones eran cada vez más fuerte. Había una pequeña abertura, pero no cabía.

Trataba de salir pero no podía. Desde la luz entró algo como una cuchara y

empujó mi cabeza. Calzaba justo en la abertura y partí. Al salir, hacía mucho frio,

estaba todo seco, no sabía que hacer e instintivamente comencé a gritar. De mis

narices saltaron líquidos varios. Me atoré cuando metieron unos tubos en mi

garganta. Hacía mucho frio, tenía miedo, estaba incómodo. Lo único que quería

era volver a donde estaba. Me envolvieron en unas telas, había luz, mucha luz,

que molestaba mis ojos, voces y ruidos que no conocía. Entre ellos escuche una

voz familiar, me pusieron contra su pecho y escuche el latir de su corazón, me

tranquilizo, estaba con mi madre.

El simple hecho de nacer, un acto primordial en la vida de todo ser viviente, es un

acto riesgoso per se. Sin embargo, todos lo hemos sufrido y sobrevivido. El cordón

umbilical puede estar como banda presidencial alrededor del pecho, o peor aún,

alrededor del cuello. Dentro de los primeros minutos el recién nacido debe

instintivamente aprender a controlar su temperatura corporal, aprender a respirar,debe ser protegido contra los riesgos de enfermedades tan simples como un

resfrío u otras más complejas y graves. El único lugar donde se siente protegido,

es cerca de donde siempre estuvo, escuchando lo que siempre escucho, el



corazón de su madre. ¿Por qué? ¿Por qué es necesario sentirse protegido?

¿Protegido de qué?

Instintivamente, todos sentimos aversión a situaciones y elementos que nos

puedan causar incomodidad, molestia, daño, dolor e incluso la muerte. Es por ello

que en principio nuestras madres nos protegen, unas más que otras, y nos

permiten crecer y desarrollarnos hasta lograr defendernos de los riesgos que

enfrentamos diariamente. Riesgos que van desde un traspié o un simple raspón

en la rodilla, hasta riesgos sociales al enamorarse y no ser correspondido, riesgos

a la salud en general, llegar retrasados a un compromiso o no cumplir con alguna

obligación, etc. En Chile existe una prenda de vestir denominada “chaleco”.

Usualmente es un suéter grueso que ha sido tejido por las apasionadas y

amorosas manos de nuestra madre o abuela. Su definición es esencialmente:

“aquella prenda de vestir que tu madre te obliga a usar, cuando ella tiene frio ”. En

realidad, es una muestra de cómo ellas intentan controlar el entorno en el cual nos

encontramos y continuar instintivamente protegiéndonos de los riesgos.

Con las organizaciones, de cualquier tipo, por el simple hecho de ser hijas e hijos

de las personas, y más aún por estar compuestas de personas, estas también se

ven enfrentadas a riesgos y desafíos que se encuentran en su entorno. Una

organización se puede enfermar si el virus de la corrupción la afecta. Incluso

puede llegar a morir producto de éste insidioso virus. Una organización debe

cumplir con la Ley y puede ser castigada por su incumplimiento. Una organización

puede verse afectada por eventos de la naturaleza, quedar inválida o “cojear”. Una

organización, indistinto de su origen, tamaño, industria o quehacer, siempre se



verá enfrentada a riesgos. Es por ello que es necesario, primero conocer cuáles

son y luego gestionarlos o decidir qué hacer al respecto.

Al analizar las conductas individuales de las personas, diariamente gestionan los

riesgos, sea al elegir un producto que sea ecológico o no, si contiene sustancias

nocivas, o se cruza en una esquina con luz roja o se detiene en un cruce

ferroviario. Desde el momento en que se levanta, un persona está gestionando

riesgos. El asearse diariamente tiene por objetivo mitigar la probabilidad de

enfermar. El lavarse los dientes diariamente tiene por objetivo llegar a la tercera o

cuarta edad y aún contar con todos los dientes, etc.

Con las organizaciones sucede lo mismo. Las organizaciones deben gestionar sus

riesgos en forma permanente, sean estos riesgos propios del negocio como

comprar o vender o el riesgo de contratar a alguien que no sea adecuado, o que

se inicie un incendio en las bodegas o la planta de producción, etc. Sin embargo,

la organización no gestiona los riesgos simplemente por arte de magia. Laspersonas son la principal, aunque no la única, fuente de riesgo de una

organización y la única forma de mitigar estos riesgos es con colaboradores

consientes de la necesidad de gestionar permanentemente el riesgo. Esto no es

una tarea fácil, por lo que es necesario sistematizar la Gestión de Riesgos en una

organización mediante un Modelo de Gestión de Riesgos, similar en estructura o

equivalente a un Sistema de Gestión de Calidad (ISO 9001) o un Sistema de

Gestión de Seguridad de la Información (ISO 27001) o un Modelo de Prevención

de Delitos Corporativos (Ley 20.393 de Chile) o tantos otros.



Incluso, al generalizar más los conceptos, se podría establecer que hoy en día, la

Humanidad en forma íntegra, se ve enfrentada a diversos desafíos. El mayor de

ellos es la subsistencia de la misma, producto del Cambio Climático. Sin embargo,

existen diversos riesgos que permanentemente ponen en jaque el interés global y

el de la mayoría de las personas que comparte este pequeño grano de arena que

flota en la inmensidad del universo. Los riesgos de guerras, producto de la

intolerancia e incomprensión o simplemente porque se puede; Los riesgos de

enfermedades, muchas producidas o generadas por la misma humanidad; Los

riesgos asociados a la naturaleza de nuestro universo y de nuestro planeta, que

han provocado la desaparición de una innumerable cantidad de vida en este

mismo planeta; sólo por mencionar algunos.

En general, todo ser viviente en este planeta, inconscientemente está en forma

permanente evaluando riesgos. Un venado evalúa la existencia de depredadores

antes de acercarse a tomar agua en un bebedero. Quienes viven en una ciudad,

evalúan cruzar o no una calle. Quienes viven en el campo, evalúan el riesgo de

sembrar o plantar tal o cual fruto o cultivo. Todos están permanentemente

evaluando riesgos.

La Gestión de Riesgos es un proceso complejo que formalmente nace con los

comerciantes y banqueros. Los primeros Riegos en ser formalmente evaluados y

considerados, fueron los riesgos asociados al Crédito. Esto es que la contraparte

no devuelva o reintegre los fondos entregados a un plazo determinado. De allí

nacieron las aseguradoras, otra industria con un alto nivel de conocimiento de la



Gestión de Riesgos, puesto que ese es su negocio. Con el advenimiento de la

revolución industrial, comenzaron a considerarse formalmente los Riesgos del

Negocio y/o Riesgos del Mercado. Estos riesgos tienen que ver directamente con

el quehacer, si voy a importar un producto determinado, que no surja un producto

alternativo, si la fecha de lanzamiento del producto es crítica, que exista

disponibilidad en dicha fecha, si voy a vender trajes de baño, que no sea en

Alaska o en invierno o en el desierto.

Tras las Primera y Segunda guerras mundiales, surgió la necesidad de formalizar

la evaluación de otro tipo de riesgo, como el Riesgo País o Político – Social. En

este riesgo se evalúa la estabilidad política y social del mercado, la madurez de la

economía y del marco jurídico, etc. Finalmente, hacia principios del nuevo milenio,

una serie de escándalos que terminan por liquidar importantes organizaciones y

desestabilizan los mercados internacionales hacen pensar que existen otros tipos

de riesgos, por lo que nace un nuevo tipo de riesgo a ser considerado al momento

de la toma de decisión, el Riesgo Operacional. Este tipo de riesgo considera los

accidentes laborales, discontinuidades operacionales producto de procesos mal

diseñados o ejecutados, de fallas en tecnologías, Fraudes internos y externos, etc.

Además, hay quienes consideran en este tipo de riesgo, los ámbitos jurídicos y

normativos que en algunos casos incluso pudieran llegar al cierre de la operación,

con el correspondiente perjuicio.



“La Gestión de Riesgos corporativos es un proceso efectuado por todos los

miembros de una organización, diseñado para identificar eventos negativos

reales o potenciales que puedan afectar a la organización y coordinar la

implementación de las medidas necesarias y suficientes tal que se mantenga

un nivel de exposición dentro de lo aceptado, que aporte en la toma de

decisión de la organización.” (ISABEL CASARES SAN JOSÉ-MARTI – Proceso

de Gestión de Riesgos y Seguros en las empresas - 2013)

En este texto, se entregará una visión básica y genérica de cómo identificar, medir

y evaluar los riesgos, así como establecer una orientación respecto de cómo se

podría implementar un Modelo de Gestión de Riesgos en forma amplia, sin

limitaciones de visión o de ámbito, permitiendo que cada institución, organización

o persona pueda optar por una metodología según estime factible aplicar a la

gestión de sus riesgos, indistinto del tipo de riesgo o del tipo y características de laorganización a la que se aplique. Los conceptos y fórmulas planteados son

meramente referenciales, pudiendo los interesados aplicarlas directamente o

modificarlas, adaptándolas a su propia organización y realidad.

No obstante, es indispensable conocer qué se puede hacer con los riesgos que se

identifiquen. El cómo, se definirá en base a las características y recursos que la

organización pueda disponer o considere relevantes para la gestión de sus

riesgos.



Los riesgos solamente se pueden (TATE):

1. Transferir: Mediante la contratación de seguros o la subcontratación de

bienes y/o servicios. Usualmente al traspasarse un riesgo, aparecen otros.

2. Aceptar: Asumiendo formalmente que los costos de mitigación son

demasiado altos respecto del beneficio de dicha mitigación.

3. Tratar: Mediante la implementación de elementos de control y/o mitigación

que reduzcan probabilidad o impacto de ocurrencia de un evento adverso.

4. Eliminar: Dejando de hacer las actividades que generan el riesgo.

Es importante recordar, que peor que no hacer algo respecto de un riesgo

conocido, es desconocer la existencia del mismo. Por tanto, el proceso de

levantamiento e identificación de los riesgos requiere de un alto nivel de

minuciosidad, detalle y participación de todas las partes involucradas,

especialmente de los dueños de proceso y quienes ejecutan directamente las

actividades donde se pudieran presentar los riesgos. Sin embargo, desconocer unriesgo, es decir, hacer “la vista gorda” respecto de la mera existencia de uno,

incluso pudiera configurarse como un delito. Es por ello que es mejor identificar

todos los riesgos posibles y, en caso de decidir no tratar uno u otro, por cualquier

motivo, declararlo formalmente, documentado, para evitar sorpresas. En esta

declaración, para cada riesgo que no se tratará, sino que se acepta, es necesario

hacer una pequeña explicación de no más de un par de líneas que justifique o de

alguna forma explique porqué se acepta. Puede ser por un tema de costo, de

simple relevancia o porque está fuera de las competencias de la organización. Sin



embargo, es evidencia que el riesgo se conoce y la organización está consciente

de su existencia.

En este texto se hará especial énfasis en intentar llevar apreciaciones subjetivas a

resultados objetivos, involucrando fórmulas matemáticas como parte de una

metodología para determinar lo más objetivamente la Magnitud del Riesgo al cual

una organización se expone. Sin embargo, no hay ninguna metodología

perfecta, ideal o desde el punto de vista opuesto, mala o siquiera errada .

Existen tantas metodologías de Gestión de Riesgos, como profesionales y

organizaciones que las aplican. De hecho existen más de una treintena de

metodologías formales que pueden ser utilizadas para la Gestión de Riesgos.

En este texto se utilizará la metodología de Matriz de Probabilidad x Impacto a

objeto de representar gráficamente los resultados del proceso de Apreciación del

Riesgo. El motivo por el cual se ha seleccionado esta metodología, es que ella es

la más próxima a lo indicado en los estándares ISO, en todas aquellas instanciasen las que se requiere evaluar algún tipo de riesgo, sea de seguridad, continuidad,

medio ambiental, salud ocupacional, responsabilidad social, inocuidad alimentaria

entre muchas otras. Ninguna Norma ISO especifica explícitamente que se debiera

utilizar una matriz de Probabilidad x Impacto, sin embargo sí indica que es

necesario, al momento de considerar el riesgo, conocer su Probabilidad y

Consecuencia.



NORMAS Y BUENAS PRÁCTICAS

Al tratar de analizar los riesgos por primera vez, es necesario buscar referencias o

parámetros para conocer cómo gestionarlos o simplemente cómo identificar el

riesgo. Existen diversas normas internacionales y recomendaciones respecto de la

gestión de riesgos específicos. Por mencionar algunas, sin ser una lista exhaustiva

ni mucho menos detallada, se puede mencionar a: ISO 9001:2015 que busca

gestionar los riesgos asociados a la calidad del producto/servicio; ISO 14001 que

busca gestionar los riesgos medioambientales; OHSAS 18000 que busca

gestionar los riesgos laborales; ISO 22001 que busca gestionar los riesgos

relacionados a la inocuidad alimentaria; ISO 19600 que busca gestionar los

riesgos relacionados con el cumplimiento o “compliance”; BASILEA I, II y III, que

es una “recomendación” en el ámbito de la industria financiera, aunque en algunos

países es una exigencia para la industria financiera; SOX, Ley norteamericana que

busca hacer responsables a la alta dirección de conocer exactamente el origen,

flujo y destino de los recursos que por ella transitan; COSO I, II y III, así como

SAS, que también son “recomendaciones” que apuntan esencialmente a la

información contable y financiera, aunque COSO III es bastante más amplia y se

puede aplicar a otras instancias; la Directiva del Parlamento Europeo Solvencia I y

II que regula en forma continental (Europa) la industria de los seguros; ITIL busca

gestionar riesgos asociados específicamente al ámbito de servicios y tecnologías,

al igual que ISO 20000; ISO 27001, que busca controlar los riesgos relacionados

con la Seguridad de la Información; y la Guía ISO/CEI 73:2002 que proporciona



definiciones genéricas de términos relacionados con la Gestión de Riesgos. Todas

las anteriores, sólo por mencionar algunas, son referencias válidas de reglas,

definiciones o lineamientos de Gestión de Riesgos que pueden y debieran ser

utilizadas como mínimo como un punto de referencia.

Como se puede observar, existe un enorme universo de recomendaciones y

normas que son específicas a temas puntuales. Sin embargo, del concepto más

amplio de riesgo en forma genérica, del concepto de Gobierno Corporativo de la

Gestión de Riesgos, aplicable a todo tipo de gestión de riesgos, se plasma en la

norma ISO 31000, complementada con la norma ISO 31010 que establece

técnicas de evaluación de los riesgos. Esta norma no es específica, puesto que la

variedad de riesgos e Industrias hace que sea prácticamente imposible determinar

un criterio único y uniforme. Sin embargo, sí es posible estandarizar algunos

conceptos que sí son transversales a toda industria y proceso. Es justamente por

ello que la Norma ISO 31000 no es certificable, las variantes son tantas en función

de las infinitas características y particularidades de cada organización, que no se

puede estandarizar. El mismo concepto de riesgo que para unos puede ser una

cosa, para otros puede ser algo distinto.



Existen distintos tipos o categorías de riesgos, los que para efectos de este texto

serán considerados los Ámbitos de Riesgo.

Están los Riesgos de Crédito, que hacen esencialmente referencia al riesgo de no

poder recuperar recursos entregados a otros. Por ejemplo, cuando se vende a

crédito, existe un plazo en el cual el producto está entregado, posiblemente

distribuido e incluso puede estar consumido, pero aún no se recibe el pago. Si

durante ese plazo el cliente desaparece por cualquier motivo (quiebra, muerte,

fraude, etc.), no es posible recuperar los recursos y por ende se genera una

pérdida y un impacto negativo. Lo mismos es aplicable a la industria bancaria,

cuando se otorga un crédito propiamente tal, al servicio público y empresas de

bienes y/o servicios.

Están los Riesgos de Mercado o Político - Sociales, que se asocian a las

condiciones socio-económicas del mercado en que la organización realiza sus

actividades. En este sentido se consideran posibles cambios en el mercadointernos, estabilidad geopolítica del lugar de desarrollo de la actividad, estabilidad

social, factores culturales, etc. Todos estos eventos pueden generar la

materialización de riesgos y la pérdida de la totalidad de los ingresos e incluso de

la misma propiedad de la organización. Sin embargo, son riesgos propios del lugar

donde se realiza la actividad.

También está el Riesgo de Negocio. Este es el riesgo propio de invertir en un área

productiva o de servicio y que los resultados no sean los esperados o incluso

negativos. Por ejemplo invertir en la adquisición de una cantidad de productos y no



lograr venderlos en los plazos definidos para generar una utilidad o rentabilidad

adecuada, podría generar pérdidas de capital.

Finalmente está el Riesgo Operacional. Este tipo de riesgo abarca toda aquella

situación que, indistinto de su origen o causa raíz, pudiera directa o indirectamente

afectar la operación o funcionamiento de una organización en su quehacer

cotidiano. Así las cosas, el Riesgo Operacional abarca los riesgos legales, desde

el punto de vista de la fiscalización, de la relación con clientes y proveedores, e

incluso con los propios empleados o con terceras partes que pudieran estar

involucradas, como un directorio o una junta de accionistas. También incluye los

temas medio ambientales, seguridad de las personas, tecnologías, seguridad de la

información, seguridad ante situaciones de emergencia, sea originadas por el

hombre o la naturaleza, etc. El Riesgo Operacional abarca escencialmente

aquellos riesgos que directa o indirectamente pudieran afectar la Calidad,

Continuidad, Seguridad de la Información y eventualmente los aspectos legales.

Es decir, todo lo que no está en los Ámbitos de Riesgo mencionados

anteriormente.

Particularmente, cuando se evalúa el Riesgo Operacional, dada su diversidad de

ámbitos, es recomendable clasificar los riesgos en los ejes que corresponda. Así

se tendrán riesgos asociados al Eje Calidad, al Eje Seguridad de la Información, al

Eje Continuidad Operacional y al Eje Legal.



Dado lo anterior, la “familia” de las Normas ISO 31.000 es una buena guía que

puede ser complementada con buenas prácticas al respecto, que pueden

adoptarse o adaptarse según sea el caso, a casi cualquier organización.

Nota: ISO 31.004 es la guía de implementación de ISO 31.000

Otra recomendación es Basilea II, la cual es el resultado de la segunda

recomendación emitida por el Comité de Basilea o Comité de Supervisión

Bancaria de Basilea , en el año 2004, la que pese a ser una norma orientada a la

industria financiera, puede aplicarse efectivamente a cualquier industria,

diferenciando pequeños matices, siendo la primera “recomendación” en que se

identifican y tipifican los tres principales pilares de riesgo, los cuales tienen

aproximadamente el mismo “peso” o relevancia en la Gestión de Riesgos y que no

son propios de su quehacer (Riesgo de Negocio). Estos son el Riesgo de Crédito,

Riesgo de Mercado y Riesgo Operacional antes mencionados.

Una pregunta frecuente es ¿Qué se entiende por “Buena Práctica”? Existen

Normas, que pueden ser de reconocimiento nacional o internacional, orientadas a

una industria, procesos específicos o genéricos a todo tipo de organización, que

consisten en un conjunto de reglas y mandatos que la organización se auto

impone como obligatorias; está la legislación de cada localidad, la Ley, que

consiste de un conjunto de reglas y mandatos impuestos por un ente supervisor;

existen las Recomendaciones, que consisten de un conjunto de elementos y

reglas que pudieran ser implementadas o eventualmente asimiladas o adaptadas

a la organización; y las Buenas Prácticas consisten en reglas, controles y en



Fig 2 Proceso de Gestión de RiesgosFuente: ISO 31000:2009

Fig 1 Ciclo PDCA

Fuente: Estándares ISO

PLANIFICAR HACER

VERIFICARACTUAR

GESTIÓN DE RIESGOS

OP E RA C I ON

general ciertas actividades comunes a múltiples organizaciones a nivel global que

han dado resultados positivos similares y satisfactorios, transformándose así, en

“Buenas Prácticas”.

Por lo general el Ciclo de Denim o Ciclo PDCA (figura 1), ampliamente utilizado en

todas las Normas ISO para representar el ciclo de mejora continua, es una

excelente forma de explicar los aspectos generales del proceso de Gestión del

Riesgo. Al compararlo con el flujo del Proceso de Gestión de Riesgos (figura 2) se

puede observar la similitud.

El Ciclo PDCA (por sus siglas en inglés Plan, Do, Check, Act) desde la perspectiva

de la Gestión de Riesgo comienza por la identificación de los riesgos, producto de

lo cual se establecen planes de acción. Una vez estos planes de acción han sido

definidos (Planificar), se procede a su implementación u operativización (Hacer).



Una vez implementados los planes de acción, es necesario verificar la efectividad

de ellos, mediante una nueva medición de los riesgos (Verificar) y en función de

los resultados, es necesario tomar acciones adecuadas (Actuar), para lo cual se

procede a planificar … y así se va generando la mejora continua, la mitigación de

los riesgos y estos a su vez caen a niveles aceptables o a un punto en que pueden

ser traspasables a otras organizaciones tales como empresas de seguro o

proveedores estratégicos.

En este punto, es importante recordar que no importa cuánto se mitigue un riesgo

o un Factor de Riesgo específico, se puede gastar infinitos recursos, pero nunca el

riesgo será eliminado, excepto cuando se elimine la actividad o el conjunto de

actividades que generan dicho riesgo. Usualmente, la eliminación de una actividad

para eliminar un riesgo, conlleva el surgimiento de otros riesgos que antes no

existían.

Por ejemplo, la única forma de eliminar de raíz el riesgo de sufrir un ataquecibernético, es simplemente desconectar completamente a la organización de todo

equipo o quehacer relacionado con Internet. Una situación tan extrema como esta

podría presentar otros desafíos y generar otros riesgos o aumentar la probabilidad

de ocurrencia o el impacto de riesgos existentes, como pudiera ser un “error de

digitación” o “ilegibilidad del registro”, si los registros se realizan con lápiz y papel.



ISO 31000

Pese a que no existe ningún estándar certificable que pueda definir un criterio u

orientación única para una adecuada Gestión de Riesgos, ISO (International

Standards Organization), dada su vasta experiencia en materias relacionadas, es

un referente importante que hay que considerar. Particularmente, y al darse

cuenta que todas sus normas de una u otra forma incorporan a la Gestión de

Riesgos específicos, la ISO decidió desarrollar una “Recomendación” o Guía para

la implementación de la Gestión del Riesgo. Es importante hacer notar que ISO en

ningún momento recomienda un Modelo o Sistema de Gestión del Riesgo basado

en algo parecido a lo planteado en otras normas tales como la ISO 9001, ISO

14001 u otras, pese a que implícitamente en cada una de las normas ISO

demanda una adecuada identificación y Gestión de Riesgos asociados a dichas

normas. De hecho, la revisión de ISO 9001:2015 incorporó explícitamente la

obligación de gestionar los riesgos y particularmente tomar en consideración la

probabilidad y consecuencia de los riesgos identificados.

En éste documento sólo se mencionará algunos de los aspectos de la norma,

puesto que entrar en su detalle corresponde a otro documento, con un análisis

más en profundidad de ella.



ISO 31000 trata del Gobierno Corporativo, de cómo la organización en forma

integral puede gestionar sus riesgos y cuáles son los pasos que pudiera seguir

para ello. En su versión 2009 (actualmente en etapa de revisión), la Norma se

enfoca en los siguientes ámbitos:

0. Introducción

1. Alcance

2. Términos y Definiciones

3. Principios

4. Marco de Acción

5. Procesos

En los Términos y Definiciones, ISO 31000 define lo que el estándar entiende por

29 conceptos específicos. Complementariamente en la Guía 73 se incluye una

serie de definiciones que aplican a todas las normas ISO. El objetivo es que

cualquiera que implemente en base a estas guías, entienda lo mismo para el

mismo concepto.

Los principios de la Gestión de Riesgos de la guía ISO 31.000 son 11 y se

enumeran a continuación:

a. Crear Valor

b. Está integrada en los procesos de la organización

c. Forma parte de la toma de decisiones

d. Trata explícitamente la incertidumbre

e. Es sistemática, estructurada y adecuada

f. Está basada en la mejor información disponible



g. Está hecha a medida

h. Tiene en cuenta factores humanos y culturales

i. Es transparente e inclusiva

j. Es dinámica, iterativa y sensible al cambio

k. Facilita la mejora continua de la organización

Fuente: ISO 31000:2009

No se entrará a analizar cada uno en detalle, existe suficiente literatura en el

mercado y en Internet como para profundizar cada uno de estos Principios.

Actualmente la guía ISO 31000:2009 se encuentra en revisión, siendo que eldiagrama adjunto mostraría los principales ámbitos de cambios en la norma. Estos

básicamente profundizan en mayor detalle algunos aspectos abarcados por la

versión 2009.

Relación general entre las secciones de ISO 310000:20XX y el estándar existente

Fuente: Traducción desde Draft Design Specification for the revision of ISO 31000

P r o c e s o s

ISO 31000:20xx ISO 31000:2009

Introducción Introducción

1. Alcance 1. Alcance

2.- Conceptos Clave y Definiciones 2.- Términos y definiciones (29)

3.- Principios3.- Proceso de toma de decisiones en organizaciones

4.- Proceso de consideración de la incertidumbre en latoma de decisiones

5.- Proceso de consideración de la incertidumbrecuando han existido cambios sucesivos

4.- Marco de trabajo

5.- Procesos

6.- Estructura organizacional y capacidades

7.- Criterios de rendimiento

Anexo A

Bibliografía

AnexosA. Expresiones comunes (contemporáneas y legadas)B. Aplicación a otros estándaresC. Aplicación a requisitos de aproximación basada en

riesgoD. Aplicación en ambientes ISO 31000:2009

El esquema esta diseñado para mostrar donde los

conceptos en el estándar existente serán

principalmente considerados en el borrador del

nuevo estándar



COSO III

La recomendación del Committee of Sponsoring Organizations of the Treadway

Commission (COSO) es bastante extensa, por lo que no corresponde su análisis

detallado en este documento. No obstante, es importante hacer mención de

algunos aspectos relevantes.

El objetivo principal del informe COSO es establecer una definición de control

interno que sea común para todas las entidades y que ayude a las organizaciones

a evaluar de mejor manera sus sistemas de control y en definitiva mejorar su

proceso de toma decisiones.

Particularmente COSO III define que la Gestión de Riesgos corporativos como el

proceso que incluye las siguientes capacidades:

Alinear el riesgo aceptado y la estrategia: En su evaluación de alternativas

estratégicas, la dirección debiera considerar el riesgo aceptado por la

entidad, estableciendo los objetivos correspondientes y desarrollando

mecanismos para gestionar los riesgos asociados.

Mejorar las decisiones de respuesta a los riesgos: La gestión de riesgos

corporativos proporciona rigor para identificar los riesgos y seleccionar

entre las posibles alternativas de respuesta a ellos: evitar, reducir, compartir

o aceptar.

Reducir las sorpresas y pérdidas operativas: Las entidades consiguen

mejorar su capacidad para identificar los eventos potenciales y establecer

respuestas, reduciendo las sorpresas y los costes o pérdidas asociados.



Identificar y gestionar la diversidad de riesgos para toda la entidad: Cada

entidad se enfrenta a múltiples riesgos que afectan a las distintas partes de

la organización y la gestión de riesgos corporativos facilita respuestas

eficaces e integradas a los impactos interrelacionados de dichos riesgos.

Aprovechar las oportunidades: Mediante la consideración de una amplia

gama de potenciales eventos, la dirección está en posición de identificar y

aprovechar las oportunidades de modo proactivo.

Mejorar la dotación de capital: La obtención de información sólida sobre el

riesgo permite a la dirección evaluar eficazmente las necesidades globalesde capital y mejorar su asignación.

Contando con estas capacidades, COSO define que:

El entorno de control: Marca la pauta del funcionamiento de una

organización e influye en la concienciación de sus empleados respecto al

control. Es la base de todos los demás componentes del control interno.

Principio 1: Demuestra compromiso con la integridad y los valores éticos

Principio 2: Ejerce responsabilidad de supervisión

Principio 3: Establece estructura, autoridad, y responsabilidad

Principio 4: Demuestra compromiso para la competencia

Principio 5: Hace cumplir con la responsabilidad



La Evaluación de los riesgos: consiste en la identificación y el análisis de

los riesgos relevantes para la consecución de los objetivos, y sirve de base

para determinar cómo han de ser gestionados los riesgos.

Principio 6: Especifica objetivos relevantes

Principio 7: Identifica y analiza los riesgos

Principio 8: Evalúa el riesgo de fraude

Principio 9: Identifica y analiza cambios importantes

Las Actividades de control: las actividades de control son las políticas y los

procedimientos que llevan a cabo las instrucciones de la dirección. Hay

actividades de control en toda la organización, a todos los niveles y en

todas las funciones; en éstas incluyen aprobaciones, autorizaciones,

verificaciones, conciliaciones, y otras.

Principio 10: Selecciona y desarrolla actividades de control

Principio 11: Selecciona y desarrolla controles generales sobre tecnología

Principio 12: Se implementa a través de políticas y procedimientos

Principio 13: Usa información Relevante

La Información y comunicación: hay que identificar, recopilar y comunicar

información pertinente en forma y plazo que permitan cumplir a cada

empleado con sus responsabilidades.



Principio 14: Comunica internamente

Principio 15: Comunica externamente

Supervisión: los sistemas de control requieren de un proceso que

comprueba que se mantiene el adecuado funcionamiento del sistema a lo

largo del tiempo; esto se consigue mediante supervisión controlada,

evaluaciones periódicas o ambas.

Principio 16: Conduce evaluaciones continuas y/o independientes

Principio 17: Evalúa y comunica deficiencias

Fuente: Informe COSO III - 2013

En resumen, COSO se parece mucho al modelo PDCA que usa ISO, donde se

desarrolla un Ambiente de Control, sobre el cual se desarrolla la Evaluación de

Riesgos, que debe ser

controlada mediante

Actividades de Control,

producto de lo cual se

genera información y

comunicación, la cual debe

ser monitoreada para

adecuar el Ambiente de

Control.

Fuente: Informe COSO II - 2004



BASILEA

Se le conoce como Basilea I, Basilea II y Basilea III, pero esencialmente son

informes y “recomendaciones” del Comité de Basilea o Comité de Supervisión

Bancaria de Basilea. Estas son normas para las instituciones financieras que

directa o indirectamente participan o de alguna forma son supervisadas por

organismos relacionados a la banca mundial. La principal característica de Basilea

II fue la de reconocer la existencia de un tipo de riesgo distinto a los conocidos a la

fecha, Riesgo de Crédito y Riesgo de Mercado. El Riesgo del Negocio está

implícito en el Riesgo de Crédito, el principal negocio de las institucionesfinancieras, por lo que no se considera. Sin embargo, se definió por primera vez la

existencia de un Riesgo Operacional. Esto es que existe riesgo para mi

organización, producto de la misma organización, su funcionamiento y operación

y/o sus colaboradores, infraestructura o tecnologías involucradas.

De esta forma, Basilea reconoce la necesidad de gestionar específicamente los

riesgos operacionales respecto de las siguientes 7 categorías:

CATEGORIA DEFINICIÓN

FRAUDE INTERNO Riesgos derivados de algún tipo de actuación

orientada a cometer fraude, apropiarse de bienes

(robo) o soslayar la legislación (informes adulterados)

en los que se encuentran involucrados, al menos, una

persona perteneciente al grupo.



CATEGORIA DEFINICI N

FRAUDE EXTERNO Riesgos derivados de algún tipo de actuación

orientada a cometer fraude, apropiarse de bienes o

soslayar la legislación por parte de terceros ajenos a

la compañía.

RELACIONES

LABORALES Y

SEGURIDAD EN EL

TRABAJO

Riesgos derivados de actuaciones incompatibles con

la legislación o acuerdos laborales sobre empleo

(despido injustificado) y seguridad laboral, así como

las derivadas de reclamos por daños personales

(físicos o síquicos), incluidas las relativas a acoso y

discriminación.

CLIENTES,

PRODUCTOS Y

PRÁCTICAS

EMPRESARIALES

Riesgos derivados del incumplimiento involuntario,

negligente o doloso de una obligación frente a los

clientes, que pueden generar, como por ejemplo,

costos y responsabilidad civil asociada con temas de

idoneidad, incumplimiento de obligaciones fiduciarias

(obligación de actuar lo mejor posible en beneficio de

los intereses de otra parte) y prácticas de venta.

DAÑOS A ACTIVOS

MATERIALES

Riesgos derivados de daños o perjuicios a activos

materiales o inmateriales, como consecuencia de

desastres naturales u otros eventos causados por la

mano del hombre (Protestas, paros, atentados

terroristas, etc).



CATEGORIA DEFINICI N

INCIDENCIAS EN EL

NEGOCIO Y FALLOS

EN LOS SISTEMAS

Riesgos derivados de interrupciones inesperadas de

la actividad y/o de la prestación de servicios,

provocadas por fallas en los sistemas (problemas de

software, hardware o telecomunicaciones u otras

tecnologías).

EJECUCI N, ENTREGA

Y GESTIÓN DE

PROCESOS

Riesgos derivados de errores en el procesamiento de

operaciones o en la gestión de procesos (gestión

interna), así como de relaciones con contrapartes

comerciales y proveedores. Podría incluir los

asociados a temas legales.

Fuente: Informe Basilea II - 2004

Lo anterior, sin dejar de lado las gestiones realizadas respecto de los Riesgos de

Crédito y Riesgos de Mercado ya conocidos con anterioridad.

Cómo se puede observar, desde el punto de vista operacional, los riesgos o

Categorías de Riesgos especificados por Basilea son bastante transversales a

todo tipo de organización, indistinto que esté o no relacionada a la industria

financiera o específicamente a la banca. A diferencia de las otras normas y

recomendaciones, Basilea es la única que especifica y agrupa de alguna forma los

riesgos.



Adicionalmente, Basilea ha generado una definición de riesgo bastante interesante

y adaptable a los conceptos de Gestión de Riesgo. Así ha definido el Riesgo

Operacional como:

“ El riesgo de pérdidas resultantes de la falta de adecuación o fallas en los

procesos internos, de la actuación del personal o de los sistemas o bien aquellas

que sean producto de eventos externos.” Fuente: Informe Basilea II – Banco Mundial

En definitiva, el r iesgo de pérdidas resultante de… cualquier situación o evento

adverso que ocurra.



SOX

Sox es una legislación norteamericana que nace a principios del milenio (2002)

como respuesta a una serie de situaciones financieras de grandes empresas y

conglomerados que afectaron la economía global. Al consultar a cualquier

entendido en la materia, cuál es el punto más relevante de la legislación, todos

responderán, con un 100% de certeza, que la sección 404 de la Ley.

“ SEC. 404. MANAGEMENT ASSESSMENT OF INTERNAL CONTROLS.

(a) RULES REQUIRED.—The Commission shall prescribe rules requiring each

annual report required by section 13(a) or 15(d) of the Securities Exchange Act of

1934 (15 U.S.C. 78m or 78o(d)) to contain an internal control report, which shall —

(1) state the responsibility of management for establishing and maintaining an

adequate internal control structure and procedures for financial reporting; and (2)

contain an assessment, as of the end of the most recent fiscal year of the issuer, of

the effectiveness of the internal control structure and procedures of the issuer for

financial reporting.

(b) INTERNAL CONTROL EVALUATION AND REPORTING .—With respect to the

internal control assessment required by subsection (a), each registered public

accounting firm that prepares or issues the audit report for the issuer shall attest to,

and report on, the assessment made by the management of the issuer. An

attestation made under this subsection shall be made in accordance with

standards for attestation engagements issued or adopted by the Board. Any such

attestation shall not be the subject of a separate engagement.”

Fuente: Sabarnes-Oxley Law – Biblioteca del Congreso de EEUU - 2002



"SEC. 404. Evaluación de la Dirección respecto de los controles internos.

(A) NORMAS REQUERIDAS.-La Comisión debiera fijar las reglas que

requieren cada informe anual requerido por el artículo 13 (a) o 15 (d) de la

Ley de Valores de 1934 (15 USC 78m 78o o (d)) para contener un control

interno informe, que deberá: (1) precisar la responsabilidad de la

administración para establecer y mantener una estructura de control interno

adecuado y procedimientos para la presentación de informes financieros; y

(2) contener una evaluación, a partir de finales del año fiscal más reciente

del emisor, de la eficacia de la estructura y los procedimientos del emisor

de la información financiera de control interno.

(B) CONTROL INTERNO DE EVALUACIÓN Y NOTIFICACIÓN.-Con respecto

a la evaluación del control interno requerido por el inciso (a), cada firma de

contabilidad pública registrada que prepare o expida el informe de auditoría

para el emisor, deberá dar fe e informar sobre la evaluación hecha por la

administración del emisor. Una certificación hecha bajo esta sección

deberá hacerse de acuerdo con las normas para las certificaciones

emitidas o adoptadas por el Consejo. Dicha certificación no será objeto de

un compromiso por separado".

Fuente: Traducción Sabarnes-Oxley Law – Biblioteca del Congreso de EEUU – 2002

Otros artículos de la Ley que son relevantes, son:

Sec. 302. Responsabilidad corporativa por reportes financieros

Sec. 303. Influencia inapropiada en la conducción de auditorías

Sec. 401. Revelaciones en reportes periódicos

Sec. 802. Penalidades criminales por alterar documentos



En buen español, lo que esta Ley establece es que es responsabilidad de los

dueños y directores y todo aquel con facultades de administración, la disposición

de información detallada y fidedigna de los movimientos de los recursos de la

organización, particularmente los financieros, así como todo acto que intente

engañar las fiscalizaciones. Los estados financieros deberán ser auditados por un

tercero que acreditara la veracidad de los datos. El punto más relevante de ello es

que sea FIDEDIGNA. En definitiva, busca de alguna forma salvaguardar la fe

pública.

En resumidas palabras, la ley SOX establece la pena de presidio para quienes

incumplan la obligación de contar y entregar información financiera fidedigna.

Dado lo anterior, se entiende porqué el nivel de preocupación de los empresarios

norteamericanos respecto de esta Ley. Hasta la promulgación de la misma, no

existían penas de cárcel para quienes realizaban desfalcos a las compañías en las

cuales se desempeñaban, particularmente sociedades anónimas donde laresponsabilidad final recae en los accionistas, limitada a la cantidad de acciones

que cada uno representa. Con esta legislación, adicionalmente, se hizo

responsables a todos quienes tuvieran algún nivel de capacidad de administración

de recursos financieros, debiendo responder en cualquier momento con

información suficiente y fidedigna, como para poder identificar con absoluta

certeza qué dinero entró, por donde pasó y en qué se gastó.

Por otro lado, existe un tema de alcance. En general las distintas legislaciones

aplican territorialmente. Sin embargo, esta ley aplica a toda empresa

norteamericana o que tenga algún grado de participación de una empresa



norteamericana. Esto es, si una empresa de origen norteamericano es dueña de

una acción de una compañía de cualquier otro lugar del mundo, los fiscalizadores

pueden hacer responsables a los directivos connacionales responsables por

información falsa o no fidedigna respecto de la empresa que no es norteamericana

y cuyos resultados deben declarar para efectos impositivos.



FORMALIZACIÓN DE UN MODELO DE GESTION DE RIESGOS (MGR)

No es posible implementar un Modelo de Gestión estandarizado en todas las

organizaciones del tipo establecido en las normas ISO, pero para efectos de

Gestión de Riesgos es posible incorporar en la organización una cultura de su

gestión y un “sistema” o “modelo” que opere en forma permanente para garantizar

en algún grado su correcta adopción y operación.

Una vez definido por las máximas autoridades de la organización, que se requiere

identificar, evaluar, tratar y gestionar sus Riesgos mediante un MGR, una de las

primeras acciones es la de generar conciencia y responsabilidad en toda la

organización. Esta acción puede desarrollarse en paralelo a otras acciones

también necesarias, como las definiciones respecto del MGR, metodología, etc.

Para generar conciencia organizacional es necesario se cumplan varios requisitos

y formalismos. Para comenzar, es necesario definir, formalizar e informar a laorganización, cuáles serán los objetivos del MGR, los que debieran estar

alineados con los objetivos estratégicos de la organización. Por ejemplo, un

adecuado MGR podría aumentar el valor de las acciones de una empresa, facilitar

la gestión de riesgos relacionados con normativas y regulaciones, abrir mercados

que antes no estaban al alcance, reducir accidentes de personal y por ende

mejorar las características de los seguros, etc.

La organización debe definir una estructura organizacional que pueda administrar

adecuadamente los Riesgos e informar a las autoridades correspondientes para

que, con la debida diligencia respecto de los eventos que pudieran materializar



Riesgos, se ejecuten acciones de mitigación y se tomen acciones de mejora para

evitar o reducir la probabilidad de una nueva ocurrencia o el impacto de la misma.

En este sentido, se puede definir un Comité de Riesgos o un comité existente

designarlo como tal. Este comité tendrá por principal función generar un

seguimiento permanente a las Políticas de Gestión de Riesgos y a los Riesgos

específicos identificados y deberá mantener informado periódicamente a las

máximas autoridades de la organización, sean estas el dueño, el directorio, la

Junta de Accionistas, o quien corresponda. Además, es necesario definir un

responsable único o un equipo de trabajo liderado por él, que tenga dedicación, a

lo menos prioritaria a estos temas, pudiendo combinarlos con temas tales como

Seguridad de la Información (OSI), Oficial de Cumplimiento o Compliance, Oficial

de Riesgo, Auditoría, u otros modelos de gestión (del tipo requerido por los

estándares ISO), etc.

Fig 3 Organigrama tipo

En la figura 3 se muestra un organigrama tipo donde el Comité de Administración

de Riesgos puede estar relacionado directamente con la Gerencia General o

directamente con el Directorio o Dueños de la empresa. Eventualmente, puede

DIRECTORIO

Gerencia

General Staff

Comité de

Riesgo

Gerencia 1 Gerencia 2 Gerencia N



estar también bajo el alero de una Contraloría o Jurídico, aunque dependiendo del

giro de la empresa, en la mayoría de los casos, no es recomendable que estén en

el ámbito legal, puesto que se tiende a minimizar los Riesgos relacionados con

otros factores, como el Operacional. El Comité de Administración de Riesgos

necesariamente debe estar fuera de las áreas de negocio y aquellas que generan

Riesgo. La razón es evidente, no se puede evaluar objetivamente una situación de

la cual se es parte. Igualmente, el Comité de Riesgos debe incorporar a todas las

áreas que generan y son “dueñas” de los procesos donde existen los Riesgos,

presidido por el Gerente General o el Contralor de la empresa. En esta instancia

se deberá informar regularmente el estado de la gestión de los riesgos, tomar

decisiones respecto de mejoras y tratamiento de los Riesgos, así como definir y

estructurar informes para el Directorio o Dueño.

Adicionalmente, dado que el principal Riesgo en toda organización tiene que ver

directamente con el “Error humano”, es necesario especificar e incorporar dentro

de la reglamentación interna, perfiles de cargo y/o los propios contratos de trabajo,

cláusulas específicas respecto de la Gestión de Riesgos que individualmente cada

colaborador debe realizar en sus actividades dentro de los procesos del negocio,

sean estas esporádicas o cotidianas.

Una forma de difundir esta propuesta es la capacitación. Sin embargo, si se

combina con campañas lúdicas se puede mantener el interés por identificar y

gestionar los riesgos. Por ejemplo, hacer una “cacería de riesgos” con un p remio

para quien identifique el riesgo más relevante no identificado anteriormente, o una

“búsqueda del mitigador perdido” donde se premie a qu ien proponga controles o



mitigadores efectivos que pudieran reducir costos o reducir impacto o probabilidad

o una combinación de ellos, etc. Los premios no necesitan ser costosas joyas,

vehículos de lujo o viajes paradisiacos, pero sí puede ser una cena familiar en

algún lugar al cual habitualmente los trabajadores no tendrán acceso por los

costos que ellos significa, un par de días libres, entradas para el cine o un

concierto de música, entradas para un parque de diversiones, obras de teatro, un

fin de semana en algún hotel o resort cercano, etc. De hecho, la misma campaña

es un mitigador, puesto que toda la organización estará atenta a los Riesgos y los

gestionará e informará a objeto de postular a obtener algún premio.

El MGR debe necesariamente ser revisado y actualizado regularmente por la

unidad encargada de la Gestión de Riesgos y adicionalmente, cada vez que se

produzca un cambio estructural o de proceso, una nueva evaluación específica

debe realizarse. El resultado de estas evaluaciones y su evolución respecto de

períodos anteriores debe ser informado al Comité de Riesgos o aquel que cumpla

con sus funciones, para que a su vez, de considerarlo relevante, el Comité informe

a las autoridades superiores para una toma de conocimiento y posterior definición

de acciones de mitigación cuando correspondan. No obstante, periódicamente es

necesario mantener informadas a las autoridades de la organización, puesto que

dicha información pudiera ser relevante en las tomas de decisiones que se

realicen. Por ejemplo, decisiones estratégicas tales como la venta, compra o

fusión de la organización, salida a mercado de valores, etc. Adicionalmente, la

estructura, políticas y principales aspectos del MGR deben ser revisados



periódicamente por el Comité de Riesgos y sus resultados y decisiones tomadas,

deben ser informadas y ratificadas por el Directorio o Dueños.

En organizaciones muy grandes para que sólo una persona gestione los riesgos,

se puede definir “responsables” sectoriales o de cada área o gerencia de la

organización. Cada uno de estos tendrá la responsabilidad parcial de supervisar y

controlar la operación y funcionamiento del MGR en el área o unidad a la cual se

le asigna.

De igual forma, cuando la organización es mediana o grande, es necesario contar

con “especialistas” en Riesgos. Estos especialistas apoyarán al Comité de Riesgo

para evaluar determinados riesgos específicos. Por ejemplo un especialista en

riesgos tecnológicos, otro en temas legales, otro en temas contables, etc. Estos

especialistas colaboran con la identificación de riesgos, su valorización y con la

capacitación a los colaboradores en la gestión de controles y mitigadores que

ataquen estos riesgos.

Probablemente lo más difícil para un modelo de gestión de cualquier tipo, es

justamente mantenerlo vigente, activo y consciente. Particularmente respecto de

un MGR, es necesario realizar las actividades suficientes para llegar al punto en

que los colaboradores inconscientemente comiencen a gestionar sus Riesgos,

simplemente porque es buen negocio para todos hacerlo.



BUSINESS IMPACT ANALYSIS (BIA)

Una forma de introducir a una organización en los conceptos relacionados a la

Gestión de Riesgos y su relevancia para el quehacer de la misma, es mediante el

desarrollo de un Análisis de Impacto en el Negocio o BIA (por su sigla en inglés).

El motivo es simple, con un análisis de alto nivel como un BIA, se puede

sensibilizar y eventualmente convencer a las autoridades y particularmente a los

mandos medios, que la Gestión de Riesgos genera un aporte relevante para la

organización y que es necesaria. El peor de todos los Riesgos, es aquel que se

desconoce. Se desconoce por donde puede llegar, se desconoce cómo puede

llegar y se desconoce cuánto va a “doler” su materialización. Justamente estos

tres conceptos son la base inicial para justificar el desarrollo de un BIA.

En el BIA se busca evaluar el impacto que pudiera tener en la organización uno o

un conjunto de eventuales incidentes que pudieran afectar los procesos críticos dela organización y producto de este análisis, determinar las acciones preventivas

que pudieran mitigar el impacto de la materialización de dichos incidentes. Este

impacto pudiera ser de tipo monetario, el más evidente, pero también pudiera ser

de tipo inmaterial como la imagen o incluso de tipo jurídico o normativo el que no

necesariamente termina en un costo directamente monetario. Eventualmente,

pudiera incluso generar la disolución de la sociedad. Considerando que es una

primera herramienta para identificar escenarios y eventos que pudieran

materializarse y en base a ello definir un BCP o un DRP, su principal valor para la

Gestión de Riesgos es la información que se debe levantar para poder desarrollar



este análisis y la sensibilización respecto de los Riesgos que afecta a quienes

realizan la toma de decisión y la gestión diaria de ellos.

Cuando se realiza un BIA, lo primero es definir cuáles son los procesos críticos de

la organización. Es común que se piense que son los procesos de producción o

venta, pero usualmente no son los únicos. En este primer paso es donde la

organización comienza a tomar conciencia de cuáles son sus procesos críticos

reales. Por ejemplo, una empresa productiva, considerará el proceso de

producción como crítico. Sin embargo, el proceso de recepción de materias primas

puede ser tanto o más crítico, al igual que el proceso de despacho o distribución, o

el de mantención de equipamiento tecnológico utilizado en la producción.

Para poder identificar los procesos críticos es necesario tomar una referencia y

entender qué es un proceso crítico. Un proceso crítico es aquel sin el cual la

organización no puede hacer su negocio. Suena absurdo y demasiado

evidente, pero tendemos a olvidar o a dejar de lado lo evidente y concentrarnos enlo que no lo es. En el caso de una fábrica de algo, es evidente que el proceso

productivo es crítico, pero si no hay un proceso de adquisiciones y otro de logística

y recepción de insumos, el primero no sirve de nada. Una forma fácil para

identificar los procesos críticos es hacer un “mapa” o un diagrama general de la

interacción de los procesos y luego ir sacando uno a uno y observar si el negocio

puede seguir funcionando. Usualmente los procesos de recursos humanos no son

críticos, al igual que la contabilidad y eventualmente incluso bodegaje o

almacenaje. Pero consideremos una organización que presta servicios. Digamos

una empresa de transporte. Para efectos del ejemplo da lo mismo que el tipo de



transporte sea de carga, personas, valores, animales vivos, u otros. Las empresas

de transporte, en general, tienen esencialmente un proceso de retiro o carga de lo

que se transportará, uno de logística o transporte y uno de despacho o entrega.

Sin embargo, si el camión, bus o avión no tiene combustible, el servicio no se

puede prestar. Luego, el proceso de carga de combustible es crítico. Por otro lado,

la mantención periódica de los vehículos, el retraso en un par de días o una

semana no impide prestar el servicio, indistinto que los riesgos relacionados a la

mantención aumenten, por tanto no es un proceso crítico. En general, toda

organización depende de las personas, del “recurso humano”. Sin embargo, salvo

casos contados, los procesos de contratación, asignación de beneficios, pago de

remuneraciones, etc., relacionados con las personas o procesos de recursos

humanos, usualmente no son críticos.

Veamos otro ejemplo. Una empresa que produce productos intravenosos tales

como sueros, productos oncológicos u otros. Estos producen productos

específicos, diseñados para cada paciente individual en función de una receta

médica. Si se produce un error en su elaboración, personas pueden morir.

Evidentemente, el proceso de producción es extremadamente sensible. Sin

embargo, si no se entrega a tiempo, el paciente podría también morir. Luego la

logística de despacho también es un tema crítico. Por otro lado, en todo el mundo

se conoce cómo es la letra de los médicos, especialmente cuando se trata de

recetas. ¿Qué sucedería cuando se recibe la receta en forma illegible? Tenemos

otro proceso crítico.



Una vez identificados los procesos críticos, es necesario priorizarlos. Todos son

críticos, pero habrá unos más críticos que otros. Puede usarse cualquier criterio,

pero es indispensable priorizarlos de alguna forma. Usualmente, los procesos

críticos más evidentes se les consideran más críticos. Por ejemplo, en una

universidad, el proceso de “Admisión y Matrícula” es evidentemen te el más

importante. En caso que dicho proceso se vea afectado, se corre el riesgo de

afectar los ingresos por un largo período de tiempo. No obstante, el proceso de

“Toma de Ramos” también es crítico, pero no tanto como la Admisión y Matrícula.

Identificados y priorizados los procesos, es necesario identificar los componentes

críticos de cada uno de ellos. Nuevamente, un componente crítico es aquel

cuya ausencia provoca que el proceso no funcione o se vea interrumpido.

Los componentes se ordenan en tres categorías: Recursos Humanos,

Infraestructura y Tecnologías. Estos componentes del proceso son los que se

combinan para transformar los elementos de entrada del proceso (insumos) en

elementos de salida (producto o sub-producto). Nuevamente, se requiere hacer un

diagrama del proceso crítico identificando los componentes y hacer el ejercicio de

sacar individualmente cada componente de cada actividad y evaluar si el proceso

se interrumpe. Cuando ello ocurra, se habrá identificado un componente crítico. Es

recomendable asignar un valor a los componentes críticos. Por ejemplo, un

componente crítico cuya ausencia o falla afecta a varios procesos críticos es más

relevante que uno que afecta sólo a uno. Por otro lado, un componente crítico del

proceso más crítico es más relevante que un conjunto de componentes críticos de

otros procesos menos críticos. ¿Cómo priorizar los componentes? Una forma es



asignar un valor a los procesos según su criticidad. En sentido inverso, el proceso

más crítico tendrá el valor más alto. Luego, a los componentes se les asigna un

valor equivalente a la suma de los valores de los procesos en que éste participa.

Así por ejemplo, un componente crítico, cuya ausencia afecta los proceso crítico 4

de 5 y 5 de 5 tendrá un “valor” de 1 + 2 = 3, mientras un componente crítico cuya

ausencia afecta únicamente el proceso más crítico de todos, el proceso crítico 1

de 5, tendrá un “valor” 5. Si un componente afecta a los dos procesos más críticos,

ese componente es más importante que otro que pudiera afectar únicamente a

uno u otro proceso.

Cuando se analizan estos componentes, se determinan escenarios que los

pudieran afectar, identificando Factores de Riesgo (FR) que pudieran afectar el

proceso crítico. Sin embargo, a estas alturas es necesario identificar también los

RPO y RTO. El RPO o Recovery Point Objective, es la cantidad de datos o

procesos que la organización considera tolerable o aceptable perder antes de

considerarlo una interrupción del proceso. El RTO o Recovery Time Objective es

la cantidad de tiempo que un proceso puede estar detenido hasta que éste se

reactiva sin ser considerado crítico. Por ejemplo, un banco puede definir que su

RPO no debe ser más de un segundo, puesto que una transacción de miles o

millones de dólares puede ocurrir justamente en ese instante. Por otro lado, su

RTO puede definirse como un par de horas. Esto es que una vez que ocurre el

incidente, pueden demorarse hasta dos horas antes de determinar que ha ocurrido

una interrupción de un servicio crítico. ¿Cuántas veces hemos ido al banco y nos

encontramos con la excusa “es que no hay sistema”? Para el banco un par de



horas puede ser grave, pero no crítico, mientras que más de eso ya pasa a ser

color de hormiga.

El proceso de Análisis del Impacto en el Negocio o BIA, identificará situaciones de

impacto severo o máximo que afectarán a la organización y permitirán establecer

planes de contingencia organizados en un BCP o incluso planes ante situaciones

de desastre que se configurarán en un DRP.

Sin embargo, para efectos de la Gestión de Riesgos, el BIA nos aporta

información relevante, en función de la metodología de Gestión de Riesgos que se

utilice. Los escenarios planteados en el BIA, la identificación de procesos críticos y

de sus componentes, así como de los principales Factores de Riesgo o

situaciones puntuales que pudieran ocurrir y el impacto que estas pudieran tener

sobre la organización, los RTO y RPO de los procesos y de las actividades

puntuales, son un importante insumo a considerar. Adicionalmente, la

implementación de un Plan de Continuidad de Negocio o BCP e incluso un DRP,son mitigadores de impacto que deben ser valorados y considerados al momento

de determinar los niveles de riesgo restante de las situaciones puntuales en las

cuales se activan estos planes.

A diferencia del proceso inicial de Gestión de Riesgo, en que se asume existe una

Probabilidad y un Impacto, para efectos del BIA se asume una probabilidad 100%.

Esto es un evento que se ha materializado. Lo que un Modelo de Gestión de

Riesgos permite, es racionalizar y priorizar las inversiones y costos asociados a

las respuestas necesarias para hacer frente a los eventos detectados en un BIA.



ANÁLISIS FODA

Otra forma de introducir a la organización en la Gestión de Riesgos, es mediante

la realización de un detallado análisis FODA o análisis de Fortalezas y Debilidades

(Fortalezas, Oportunidades, Debilidades, Amenazas).

El proceso de análisis de las Fortalezas y Oportunidades permitirá identificar los

niveles de Riesgo Aceptables o controlados por la organización, así como los

controles y mitigadores implementados, mientras las Debilidades y Amenazas

permitirán identificar Riesgos.

Esencialmente, el proceso es el siguiente. Se prepara 4 cuadros, uno para cada

componente del FODA y luego se analizan individualmente. Usualmente cada

Fortaleza está asociada a una Oportunidad, aunque ello no es estrictamente

obligatorio y cada Debilidad muestra una Amenaza consistente en la explotación

de dicha debilidad. Se analiza componente a componente y se listan los aspectos

de la empresa, la organización o el entorno que correspondan.

Al realizar el análisis se define con cierta certeza el nivel de aceptación de ciertos

Riesgos, se pueden identificar algunos riesgos específicos y se puede comparar y

ajustar las definiciones de los criterios de impacto. Este resultado de las

expectativas de la organización se cruza con las declaraciones de misión, visión y

objetivos del negocio, lo cual permitirá identificar no sólo el “apetito” al Riesgo,

sino eventualmente dará algunas luces respecto de las prioridades que se deben

atender.



Por ejemplo, la empresa tiene dentro de sus objetivos la externalización de la

organización hacia mercados nuevos. Dentro de las oportunidades, como

resultado del análisis, surge la posibilidad de expandir el mercado objetivo hacia

los mercados externos y particularmente un determinado país, probablemente

fronterizo. Sin embargo, existe un Riesgo adicional al del negocio propiamente tal,

el que estaría relacionado con las fluctuaciones en el tipo de cambio entre una

moneda y la otra. Se puede definir que una variación de un 5% del tipo de cambio

no afectará la política de precios y por ende se considerará para este riesgo en

particular como de impacto Bajo. Sin embargo, un cambio de un 50% en el tipo de

cambio, que afecta la factibilidad de continuar exportando a ese mercado, se

define como un Impacto Extremo. Como resultado se define un Nivel de

Tolerancia o Apetito al Riesgo, para este Riesgo en particular, de tipo Bajo, en que

se acepta variaciones del tipo de cambio abruptas de hasta un 15%. Si se tiene

una variación de hasta un 30%, se considerará de tipo Medio; sobre un 30% hasta

un 45% se considerará un Riesgo Alto; y sobre ese valor se considerará Extremo.

Claramente, para este Riesgo en particular, un Nivel de Riesgos “ Alto” o “Medio”

no es aceptable y algo hay que hacer al respecto.

En el mismo caso, se identifica como una Amenaza el hecho que la infraestructura

de producción esté al 90% de su capacidad, por lo que sería insuficiente para

abarcar la producción necesaria para la exportación. Aquí la amenaza es “no

poder cumplir con el mercado”. Lo que representa un problema que pudiera

traducirse en un Riesgo Operacional. La oportunidad es la “mejora de los

equipamientos” y/o “adquisición de nueva infraestructura”, para cumplir con



nuevos requerimientos, reduciendo el Riesgo de “no poder cumplir con el

mercado”.

En definitiva, el Apetito al Riesgo o Riesgo Aceptable, es el punto en el cual

necesitamos se levanten alertas extremas que nos permitan reaccionar a tiempo

para controlar o mitigar Riesgos que están en niveles inaceptables para la

organización, dadas su misión, visión y objetivos estratégicos.

Por otro lado, la Tolerancia al Riesgo es el error que puede existir en torno al

Apetito al Riesgo. Por ejemplo, el Apetito al Riesgo se ha definido en un nivel

valorizado como 3, y la tolerancia al Riesgo se ha valorizado con 0,5. Esto se

puede interpretar como que los Riesgos que se encuentren entre 3 y 3,5, pueden

ser no aceptables, pero son tolerables. Es decir, es necesario hacer algo para

controlar o mitigar sus efectos ante una materialización, pero no son prioritarios y

podemos convivir con ese pequeño margen de error.

Hay quienes plantean que el Riesgo Aceptable y la Tolerancia al Riesgo son

equivalentes y las utilizan indistintamente para referirse al mismo concepto. Es

absolutamente válido y aceptable, en la medida que toda la organización así lo

entienda.



FACTORES DE RIESGO

Dada mi experiencia personal, la mejor forma de explicar la diferencia entre un

Riesgo y un Factor de Riesgo es con el concepto de un accidente vehicular. El

conductor se sube al vehículo y corre el Riesgo de tener “un accidente vehicular ”.

Sin embargo, este accidente puede ser porque el conductor estaba bebido, sufrió

un infarto, el vehículo presentaba fatiga de materiales, no contaba con insumos

necesarios, hubo elementos de distracción, etc. Cada uno de estos elementos

puede ser la causa raíz de la materialización de un Riesgo y por ello se denomina

Factor de Riesgo (FR). Una forma de identificar los FR es describiéndolos de la

forma que suceda algo o que no suceda algo. En el ejemplo del accidente

vehicular, tenemos “que el conductor esté bebido”, “que se produzca un

desperfecto mecánico”, “que el automóvil no tenga combustible”, etc.

Sin embargo, igual como un Riesgo puede tener varios Factores de Riesgo omotivos que provocan la materialización del Riesgo, un Factor de Riesgo podría

materializar distintos Riegos. Volviendo al tema vehicular, “que el conductor esté

bebido” puede materializar el Riesgo de un accidente de tránsito (que es lo más

evidente), pero también puede materializar una Violación a la Ley de Tránsito,

Generar Antecedentes Policiales, provocar la Muerte propia o de terceros, o la

Pérdida del Vehículo, por mencionar algunos.

Consideremos otro ejemplo. La organización se encuentra dispersa en la ciudad y

a veces es necesario enviar documentos físicos de carácter crítico de un lugar a

otro. Existe el FR “que el mensajero se accidente”. Sin embargo, producto del



accidente podría materializarse el Riesgo “Indisponibilidad de Personal”, “Pérdida

de documentos” o “Atraso / Incumplimiento” u otros.

Cuando se comienza a identificar Factores de Riesgos, es importante no abusar

del lenguaje y generar miles de FR diferenciados simplemente por matices. Para

efectos prácticos “que el suelo tenga una capa de 1 cm de agua”, “que el suelo

tenga una capa de 5 cm de agua” o “que el suelo tenga una capa de 30 cm de

agua”, da lo mismo, es un anegamiento o inundación, que inutiliza el espacio físico

y afecta la continuidad de un proceso. Siempre se corre el Riesgo de hilar

demasiado fino, por lo que es necesario controlarse. A su vez, hay que tener

cuidado con la redacción, puesto que puede escribirse un mismo FR de distinta

forma y por ello ser considerado otro FR cuando no los es. Por ejemplo: “Que se

enferme el 10%+ del personal crítico” o “Indisponibilidad de personal Crítico”. El

matiz existe, pero para efectos prácticos de Gestión de Riesgo, son exactamente

el mismo FR, sólo diferenciado por un tema de redacción. Otra situación con la

cual se debe tener cuidado, es con los controles. La falta de un control no es un

FR. Sin embargo usualmente se cae en FR del tipo, que el control no opere, que

no esté disponible el control, etc. Por ejemplo, “Que no se realice la revisión

técnica del vehículo”, siendo que la revisión técnica es justamente un control. Otro

ejemplo, “que los frenos no funcionen” suena razonable a FR, pero los frenos son

un control y lo que se indica es que el control no funcione. Luego, no es un FR

válido. Las características del control deben considerar o valorizar de alguna forma

el hecho que el control no funcione, se deteriore o simplemente no cumpla su

función. Si un control requiere de mantenciones regulares, se puede valorizar



algún parámetro respecto de las mantenciones, e incorporarlo en la valorización

del control mismo.

Como referencia, una organización cualquiera podrá identificar entre 150 y 300

Factores de Riesgo individuales y específicos dado un proceso en particular, los

que estarán asociados a un rango entre 20 y 80 Riesgos. Cualquier cosa que

exceda estos rangos, es necesario re-evaluarlo, puesto que es factible existan

Factores de Riesgo duplicados expresados de distinta forma o un conjunto de

ellos que sean matices unos de otros. Al considerar 300 Factores de Riesgo, a un

promedio de 5 FR por Riesgo, significa que se deberá valorizar 1500 Factores de

Riesgo – Riesgo (FRxR), lo cual es tremendamente excesivo. Una cantidad en el

límite de los humanamente razonable, y medianamente manejable con una planilla

electrónica, es de 1000 a 1200 FRxR que deberán ser analizados individualmente.

En caso de ser necesario manejar un mayor número de Riesgos y/o Factores de

Riesgo, es recomendable avanzar con algún desarrollo con bases de datos másindustrializadas que una planilla o incluso la adquisición de algún sistema de

Gestión de Riesgos.



CATEGORÍAS DE RIESGOS

Para poder identificar un Riesgo, es necesario tener claro qué es un Riesgo. Cada

especialista en Gestión de Riesgo tendrá sus matices respecto de dicha definición,

por lo que también es un aspecto de la Gestión de Riesgos que se encuentra aún

en un ámbito etéreo y gris.

Para algunos, el Riesgo de cruzar un puente

puede ser alto, mientras que para otros

puede ser bajo e incluso rutinario.

Para algunos una actividad deportiva puede ser un Riesgo “controlado” mientras

que para otros es un riesgo demasiado alto como para siquiera pensar en dicha

actividad.

En algunas culturas existe un Riesgo que se debe asumir por temas de tradición y

preservación cultural.



En general, el ser humano tiene cierta aversión al Riesgo y especialmente a

aquellos Riesgos que pudieran generar un impacto en el que el dolor y

eventualmente la muerte pudieran ser el resultado.

Dada esta diversidad de conceptos de Riesgo, es que el tema es tan vago y

amplio. Sin embargo, para efectos de consensuar algún criterio básico sobre el

cual poder desarrollar la Gestión de Riesgos, comenzaremos por orientarnos con

la fuente del idioma.

Según la RAE, Riesgo es:

1. m. Contingencia o proximidad de un daño.

2. m. Cada una de las contingencias que pueden ser objeto de un contrato

de seguro.

Fuente: www.rae.es

Adaptando estas definiciones a la Gestión de Riesgos, hay quienes consideran

que un Riesgo es “la probabilidad de ocurrencia de un incidente que afecte a la

organización (en forma positiva o negativa)”.

Sin embargo, para otros es “una combinación de parámetros de Probabilidad e

Impacto respecto de la materialización de un evento específico que afecte a la

organización o su desarrollo cotidiano”.

Algunos más puristas en materias del lenguaje, simplemente adoptan la primera

acepción del diccionario, dejando en claro que el Riesgo siempre estará asociado

a una contingencia y por su efecto a un daño a la organización.

http://www.rae.es/

http://www.rae.es/

http://www.rae.es/

http://www.rae.es/



Se vio que Basilea II tiene una definición de Riesgo que esencialmente es un

matiz de lo anterior. Sin embargo, según se defina qué es un Riesgo para la

organización, se podrán definir criterios y parámetros adecuados para su gestión.

Es difícil separar la identificación de los Riesgos de la identificación de Factores de

Riesgos. Muchas veces un Factor de Riesgo es “disfrazado” de Riesgo. Por

ejemplo: “que se produzca un asalto” suena a FR, pero en realidad es un Riesgo

“disfrazado”, puesto que el Riesgo es “Robo, Hurto”. El que se produzca un robo

puede deberse a planificación de ruta con errores, uso excesivo de efectivo, u

otros. Luego los FR de este Riesgo serían del tipo: “Que la ruta planificada para el

traslado de efectivo sea pública” o “Que se mueva físicamente grandes cantidades

de dinero” o “que el dinero esté visible”, etc. Se podría decir que los Riesgos

surgen de la agrupación racional de los FR.

Existen básicamente dos tendencias filosóficas o pensamientos respecto de cómo

evaluar el Riesgo. Poner un número o determinar una magnitud a algo tansubjetivo y etéreo como un Riesgo ha sido un debate de mucho tiempo. La buena

práctica, aquella más diversificada y que ha dado resultados razonablemente

acertados, es definir la Magnitud del Riesgo como el producto de la Probabilidad y

el Impacto. El resultado de este producto puede ser corregido por otros

parámetros asociados a la Severidad del impacto, tales como la Velocidad del

Impacto, la Persistencia del Impacto o la frecuencia en que se ejecuta la actividad

asociada al FR o su Nivel de Exposición.

Sin embargo, existe una visión disidente que establece que, pese a que la

Probabilidad y el Impacto Inherente o Inicial son variables independientes, el



Impacto Residual o Restante no lo es, sino que depende de la Probabilidad

Residual o Restante. Quienes argumentan a favor de este concepto, consideran

que cuando la probabilidad es mitigada o reducida, el impacto también lo es, como

un efecto secundario. Esta misma filosofía de Gestión de Riesgos establece que

no sólo puede darse un Riesgo de magnitud cero, sino que incluso se puede

generar un Riesgo de Magnitud negativa. ¿Qué significa una Magnitud de Riesgo

negativa? Básicamente es una oportunidad que aporta beneficios al negocio. Una

Magnitud negativa implica un impacto doblemente negativo y desde el punto de

vista matemático, un beneficio. De hecho, durante la revisión de la Norma ISO

31000, uno de los aspectos que se ha estudiado es justamente qué sucede con un

Riesgo negativo, es decir cuando el Riesgo se transforma en una Oportunidad.

En general, los riesgos se pueden agrupar en grandes Categorías según el

proceso, el tipo de negocio, si existe normativa de referencia, etc. Por ejemplo, a

nivel de industrias productivas se podrían clasificar en: Servir Mal; No Servir;

Producir Mal; No Producir; Medioambiente y Entorno; y Legal. En industrias más

normadas es necesario referirse a las especificaciones indicadas por las normas.

Por ejemplo, la industria bancaria y financiera en general, se rige por las

recomendaciones de BASILEA II y/o por legislación como SOX. La principal

diferencia entre BASILEA II y las otras normas y recomendaciones existentes, es

que en ella se especifican 7 categorías de Riesgos, que serían: Fraude Interno;

Fraude Externo; Relaciones Laborales y Seguridad en el Trabajo; Clientes,

Productos y Prácticas Empresariales; Daños a Activos Materiales (eventos de la

naturaleza, sociales, país); Incidencias en el Negocio y Fallas de Sistemas; y



Ejecución, Entrega y Gestión de Procesos. Existen otras recomendaciones y

estándares industriales que establecen sus propias categorías y criterios tales

como COSO II o incluso SOX. Sin embargo, en ninguna de ellas se explicita y por

ende orienta, con una categorización específica que oriente respecto de qué y por

donde hay que buscar.

La ventaja de categorizar los Riesgos es que permite una mejor visualización de

ellos. Por ejemplo, se puede tener un número entre 1 y 20 Riesgos asociados a

una categoría en particular y luego una cantidad de 1 a 150 FR asociados a un

Riesgo específico. ¿Se imagina un gráfico de calor con todos esos puntos (20 x

150 = 3000)? Probablemente no se vería el gráfico, sino una enorme nube de

puntos y sus respectivas etiquetas. Además, las personas tendemos a entender

gráficos (nubes de puntos) con un máximo de unos 40 a 50 puntos (Fig 5). Sobre

eso, ya es un desorden que cuesta entender. Si se utiliza otro tipo de gráficos,

como el de burbujas (Fig 4), puede que se complique la explicación del mismo a

Fig 4 Mapa de Riesgos por Categorías

FI FE

RL

CP

DA IN

GP

N i v e l d e E x p o s i c i ó n

Categorías

Mapa de Riesgos por Categoría Basilea

Fig 5 Mapa de 80 Riesgos

R01FR202

R02FR03

R03FR148

R04FR03

R05FR35R06FR160 R07FR121

R08FR32

R09FR142

R10FR35

R11

R12FR138

R13FR35

R14FR03

R15FR03

R16FR43

R17FR20

R18FR135

R19FR188

R20FR188 R21FR237

R22FR135

R23FR106

R24FR163R25FR159

R26FR106

R27FR230

R28FR241

R29FR107

R30FR106 R31FR17

R32FR16

R33FR15

R34FR122R35FR122 R36FR122R37FR122R38FR123 R39FR123

R40FR01

R41FR101

R42FR123

R43FR112R44FR212

R45FR55

R46FR55

R47FR131

R48FR152

R49FR242

R50FR108

R51FR28

R52FR135

R53FR67

R54FR162R55FR237

R56FR54

R57FR237

R58FR66

R59FR154

R60FR207

R61FR196

R62FR154

R63FR223

R64FR240

R65FR37

R66FR173

R67FR223

R68FR181

R69FR135

R70FR135

R71FR08

R72FR112

R73FR188

R74FR111

R75FR175

R76FR242

R77FR63R78FR237

R79FR231

MAPA DE RIESGOS



las autoridades de la organización, pero es evidentemente menos caótico y más

visual.

Luego, para poder comprender adecuadamente donde potencialmente le “duele el

zapato” a la organización, se puede hacer un gráfico de primer nivel con las

Categorías. En el ejemplo de la figura 4, cada categoría está en la máxima

Magnitud del Riesgo de alguno de los Riesgos de ella e indica cuál es ese nivel.

Su tamaño refleja cuantos Riesgos están en esa categoría. Así, se puede observar

que una Categoría de Riesgo que tiene pocos Riesgos, puede tener una Magnitud

del Riesgo mayor que otra que tiene muchos Riesgos. Para contar con una visión

general, pero más detallada, se puede graficar sólo el FR de mayor Magnitud de

Riesgo para cada Riesgo. Al considerar un máximo de 80 a 100 Riesgos, son

muchos puntos para entender el

mapa (Fig 5).

La buena práctica recomienda que,para tener un segundo nivel de

detalle, se haga un mapa por cada

Categoría (Fig 6), tal que se

visualice, para cada Categoría, la

Magnitud del Riesgo de cada uno

de los Riesgos en ella incluida. Esto

es un máximo de 20 a 30 puntos (Riesgos) por Categoría. Eventualmente se

puede hacer un tercer nivel de detalle en el que se grafican los FR de cada Riesgo

(Fig 7), lo que permitiría identificar en detalle aquellos que se encuentre con una

Fig 6 Mapa de Riesgo Residual de una Categoría

R13FR35

R14FR03

R15FR03

R16FR43

R17FR20

R18FR135

R19FR188

R20FR188 R21FR237

NIVEL DE RIESGO RESIDUAL CATEGORIA



mayor Magnitud del Riesgo, y según cómo se especifique un FR y los datos

asociados al mismo, incluso se podría identificar la actividad en la cual dicho FR

puede ocurrir. En este punto en particular, es recomendable exponer solamente

los “TOP” 20 ó 30 y no la totalidad de 150 punto, puesto que muchos FR pudieran

tener magnitudes de riesgo relativamente bajas o controladas y que no tienen

sentido el ser destacados, cuando existen otros mucho más relevantes respecto

de los cuales hay que hacer algo.

Fig 7 Mapas de Riesgo Inherente y Riesgo Residual de FRs del Riesgo R03

FR44

FR182 FR49FR129

FR174FR180FR201

FR42 FR05

FR193

FR203

FR47FR181FR45

R03i

FR44

FR182

FR49

FR129

FR174FR180

FR201 FR42

FR05

FR193

FR203

FR47

FR181 FR45

R03e



DEFINICIONES Y CRITERIOS

Previo al inicio del levantamiento, identificación y valoración de Riesgos y su

posterior gestión y mitigación, es necesario establecer algunos criterios y

definiciones que permitan contar con una metodología estandarizada que mitigue

de alguna forma los elementos subjetivos y juicios de valor que pudieran afectar

los resultados del proceso de Gestión de Riesgos. En este sentido, las buenas

prácticas establecen que los principales parámetros para determinar la Magnitud

del Riesgo es una combinación de Probabilidad e Impacto (algunas normas y

recomendaciones mencionan Severidad en vez de Impacto). Cómo se medirán,

cuál será la escala de medida, cómo se relacionarán estos parámetros, etc, son

parte de las definiciones y criterios que son necesarios establecer y en la medida

de lo posible formalizar en toda organización.

No obstante, las metodologías basadas 100% en aspectos subjetivos son tanválidas, certeras o no, como aquellas basadas estrictamente en datos históricos.

Todas estas definiciones deben necesariamente ser consensuadas, con las

máximas autoridades de la organización, puesto que esencialmente consisten de

definiciones de un “idioma” particular de la organización y su proceso de Gestión

del Riesgo, el que definitivamente apoyará la toma de decisiones estratégicas de

la organización pudiendo eventualmente reducir costos o aumentar la certeza

respecto de alguna acción. En algún momento, todos en la organización deberán

entender lo mismo cuando se indique que un Riesgo tal o cual tiene una Magnitud

de X o un Nivel de Exposición de Y .



ESCALA

En este sentido, se debe comenzar por definir lo mínimo necesario para construir

sobre ello. Es necesario definir diversas escalas de medición. En general, los

especialistas en la materia están de acuerdo en que es necesario llevar una

escala de impacto y otra de probabilidad, se debe definir otras escalas según la

metodología y parámetros que se utilicen. Por ejemplo, si se define que se utilizará

un Nivel de Riesgo Residual o la Severidad que se medirá en función de la

Velocidad del Impacto y la Persistencia del Impacto, los controles y sus

parámetros, etc. Cada parámetro deberá estar asociado a una escala determinada

para entender exactamente en qué consiste cada parámetro. Existen básicamente

cuatro formas de medición: nominal, ordinal, de intervalo y de razón. Se analizará

brevemente cada una de ellas, pero se profundizará especialmente en la medición

de intervalos.

MEDICIÓN NOMINAL

Es la forma más sencilla de abordar el tema de la medición mediante la

agrupación en categorías tales como económica, tecnológica o medioambiental,

sin situar un acontecimiento específico por sobre otro. Los números asignados en

la medición nominal únicamente tienen por objetivo la identificación de los riesgos.

Al usar este tipo de medición, las evaluaciones son cualitativas y por ende se

basan fuertemente en aspectos subjetivos que pudieran ocultar algunos riesgos o

pudieran exponer riesgos que no son relevantes respecto de otros.



MEDICIÓN ORDINAL

En este tipo de medición, los eventos se describen en orden de relevancia para la

organización, con etiquetas del tipo Crítico, Indispensable o Relevante o

clasificado con valores definidos en la escala. Por ejemplo, la dirección de una

organización podría definir que la probabilidad de un error humano es muy baja,

mientras que la probabilidad de una falla en los sistemas es muy alta, indistinto de

la historia, datos estadísticos u otras formas de valorizar o definir.

Al usar este tipo de medición, las evaluaciones son cualitativas y por ende se

basan fuertemente en aspectos subjetivos que pudieran ocultar algunos riesgos o

pudieran exponer riesgos que no son relevantes respecto de otros.

MEDICIÓN POR RAZONES

Este tipo de medición permite concluir que si un evento tiene un impacto X y otro

tiene un impacto 2X, el impacto del segundo evento es el doble que el del primero.

Esto es absolutamente válido, pero dado que esta forma de medición incluye el

cero, existe la posibilidad de tener una Magnitud del Riesgo cero, que podría

prestarse para confusiones, asumiendo por ejemplo que el Riesgo ya no existe.

Sin embargo, mientras se desarrolle la actividad o conjunto de actividades en las

que el Riesgo esté presente, no importa la metodología o valoración, el Riesgo

SIEMPRE EXISTE y por ende no puede tener un valor cero.

Este tipo de medición se basa en datos “duros”, estadísticas cuando existen o

eventos históricos reconocidos, y ecuaciones matemáticas.



MEDICIÓN POR INTERVALOS

Este tipo de medición utiliza escalas numéricas equidistantes. Por ejemplo, para

un evento el impacto es 1, para otro es 2 y para un tercero es 3, el salto de

impacto desde el primero al segundo evento es igual al salto de impacto entre el

segundo y el tercero. Sin embargo, esto no significa que el impacto del segundo

evento sea necesariamente el doble del primer evento.

Este tipo de medición se basa en datos “duros”, estadísticas cuando existen o

eventos históricos reconocidos, y ecuaciones matemáticas.

Uno de los requisitos de una escala por intervalos adecuada para la Gestión de

Riesgos, es que exista un punto medio. Graficado, significa que el diagrama

debiera ser simétrico por las diagonales. Otro de los requisitos, es que no existan

coordenadas que generen inconsistencias.

TRES NIVELES

Hay quienes promueven una escala de tres valores, tanto para la Probabilidad

como para el Impacto y su consecuente escala discontinua de tres niveles para el

Riesgo. Ello es una condición válida, que se asocia a los colores del semáforo, por

lo cual es más amigable y fácil de implementar, tiene varias deficiencias por lo que

la buena práctica no la recomienda. Sus grandes problemas radican en que la

mayoría de los riesgos tiende a caer en la zona media, la cual además, tiende a

ser levemente mayor que los extremos. Si se grafica un Mapa de Riesgo con los

colores del semáforo, como el de la fig 8.1 podemos ver cómo la mayoría de los

Riesgos tenderá a caer en un nivel Medio, despreciando Riesgos que pudieran ser

relevantes o desviando recursos a Riesgos que pudieran ser de menor relevancia.



Fig 8.1.- Fig 8.2.- Fig 8.3.-

Si la distribución de los rangos es equivalente y homogénea, se generan puntos

de inconsistencia en donde se puede tener dos e incluso tres niveles en forma

simultánea. Adicionalmente es necesario definir qué sucede cuando el punto está

en el límite propiamente tal. Es necesario definir qué nivel tendrán estos puntos.

Se puede optar por el nivel más alto o por el nivel más bajo. Ambas opciones son

válidas. Sin embargo, nuevamente pensando en la buena práctica o lo más

difundido y que ha dado buenos resultados, es usar el límite como parte del nivel

más alto. Esto da mayor relevancia y visibilidad a los Riesgos que se encuentran

en esta situación.

Las formas verbales para expresar estos niveles pueden ser del tipo:

Nivel 1 Nivel 2 Nivel 3

Bajo Medio Alto

Atendible Urgente Prioritario

Menor Medio Mayor



CUATRO NIVELES

Muchas normas y guías que ayudan a gestionar los Riesgos, trabajan con escalas

de 4 niveles. La alternativa de escalas pares y particularmente de una escala de 4

valores, genera varios problemas. El primer problema, como se puede observar en

los esquemas de las figuras 9.1, 9.2 y 9.3, es la simetría en las diagonales, la cual

simplemente no se puede lograr y motivo por el cual tampoco existe un punto

medio.

Adicionalmente hay un claro problema al poder pasar un Riesgo de un nivel a otro

sin pasar por un nivel intermedio. También en estos diagramas se producen

puntos de intersección donde un Riesgo pudiera tener 3 niveles de riesgo

simultáneos, lo que no es consistente.

En el caso de la figura 9.3.- se eliminan los puntos inconsistentes y no existe

forma de pasar de un nivel a otro sin pasar por uno intermedio, pero más del 40%

de la superficie es considerada de magnitud mínima, mientras en contra partida,

sólo un 6% es considerada como crítica. Claramente existe la tendencia a

disminuir la importancia de los Riesgos graficados.

Fig 9.1.- Fig 9.2.- Fig 9.3.-



Fig 10.- Mapa de 5 niveles

Las formas verbales como se pueden expresar estos niveles pueden ser del tipo:

Nivel 1 Nivel 2 Nivel 3 Nivel 4

Malo Regular Aceptable Bueno

Aceptado Atendible Urgente Prioritario

Menor Medio Mayor Extremo

CINCO NIVELES

Otra alternativa de escala es la de cinco niveles (Figura 10). Su característica

esencial es que siendo simétrica, es la escala más pequeña que cumple con los

requerimientos de escalas. Estos son:

1.- Qué no presente posibles inconsistencias.

2.- Que exista un punto medio

Adicionalmente a las características mínimas

necesarias indicadas anteriormente, el tener un

nivel de segregación de la escala de un 20%

facilita contar con un mayor nivel de sensibilidad

respecto de las Magnitudes de los Riesgos y por ende la discriminación respecto

de cuales mitigar o controlar primero, con los siempre escasos recursos

disponibles.



Fig 11 Escala continua P x I

Las formas verbales como se pueden expresar estos niveles pueden ser del tipo:

Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5

Mínimo Menor Medio Alto Extremo

Controlado Aceptado Atendible Urgente Prioritario

Malo Regular Aceptable Bueno Muy bueno

OTRAS ESCALAS

Otras escalas que se pueden utilizar son las relacionadas con los puntajes o

escala de valoración utilizada en los países donde se aplicará la evaluación de los

Riesgos. En este sentido, en algunos países de Sudamérica se usa una escala de

1 a 7 con un decimal, en Europa y Norteamérica se usan escalas de 5, 10 y 100,

con hasta 4 decimales e incluso con letras. Todas estas escalas tiene el beneficio

de la facilidad o reconocimiento por parte que los usuarios y dueños de procesos

que deberán finalmente valorizar.

Sin embargo, particularmente las

escalas pares tienen sus

inconvenientes.

El primer problema es que siendo

pares no tienen un nivel o punto

medio claro, es un límite entre un

punto y otro, una intersección de



ejes. Por otro lado, es un nivel de segmentación muy detallado. Particularmente la

segmentación en 100 niveles, pensando en porcentajes, requiere de un nivel de

madurez de la Gestión de Riesgos y de capacidad de cálculo, que no hace

recomendable adoptar estas escalas dentro de los primeros ciclos del proceso de

Gestión de Riesgos. Ello no impide que en la medida que la organización madure

respecto de su Gestión de Riesgos, se pueda redefinir y afinar con mayor detalle

una escala o la metodología completa.

Dado que las organizaciones en general no cuentan con información suficiente ni

fidedigna, y que su involucramiento con la Gestión de Riesgos es relativamente

incipiente o baja, es recomendable utilizar escalas discretas, tales que las

Magnitudes de Riesgos o colores de la temperatura del Riesgo estén asociados a

matrices discretas, más que a valores o rangos específicos.

Cuando una organización se encuentra suficientemente madura respecto a los

conceptos asociados a la Gestión de Riesgo, se puede considerar una escalacontinua que abarque rangos en degradé continuo desde el Azul oscuro hasta un

rojo, pasando por un lila, amarillo y naranjo, representando de alguna forma la

temperatura de las magnitudes de los riesgos. Estas escalas permiten dejar de

lado la metodología discreta y enfocarse en valorización numérica de los Riesgos.

Por ejemplo, se puede determinar la magnitud de un riesgo como la magnitud del

vector cuyo origen están en la coordenada 1,1 y termina en las coordenadas del

mapa correspondiente a la combinación de Probabilidad e Impacto restantes tras

la aplicación de controles o exposición. A su vez, la urgencia o prioridad de



PROBABILIDAD

Según el diccionario de la Real Academia de la Lengua Española:

probabilidad.(Del lat. probabilĭtas, -ātis).

1. f. Verosimilitud o fundada apariencia de verdad.

2. f. Cualidad de probable, que puede suceder.

3. f. Mat. En un proceso aleatorio, razón entre el número de casos

favorables y el número de casos posibles.

Fuente: www.rae.es

Suponiendo se definirá una escala de probabilidad discreta, para efectos de suvaloración, es necesario determinar una nomenclatura verbal que permita a los

usuarios y dueños de procesos comprender el valor asociado que deberán

asignar. En este sentido, para efectos de la Gestión de Riesgo, debemos entender

por Probabilidad, “la frecuencia de veces que se materializa un evento respecto de

la cantidad de veces que se ejecuta la acción en la cual el riesgo está presente”

(RAE acepción 3). Por ejemplo, si diariamente se debe hacer un balance, como

los bancos, y en las últimas 260 oportunidades que se ha ejecutado el proceso de

hacer el Balance (1 año aproximadamente) se ha materializado el FR “Que se

informe una Balance con errores” en 5 oportunidades, tendremos una probabilidad

de ocurrencia o materialización de dicho Factor de Riesgo de 5 en 260 ó una

probabilidad de 1,92%. Al definir discretamente la escala de la probabilidad, de la

forma “si ocurre 5 veces en el año”, el valor podría ser el máximo en la escala.

Sin embargo, lo usual en las organizaciones del mundo, de todo tipo, es que no

existan registros de eventos de pérdida o de materialización de eventos de este

http://www.rae.es/

http://www.rae.es/

http://www.rae.es/

http://www.rae.es/



tipo. Usualmente, cuando se comienza a implementar un Modelo de Gestión de

Riesgo se debe recurrir a la memoria de las personas que llevan más tiempo en la

organización, con todo lo que ello puede implicar, pero es un punto de partida.

Hay quienes proponen el uso de datos estadísticos de la industria cuando no

existen datos históricos. Sin embargo, al evaluar la probabilidad de ocurrencia, por

ejemplo, de un error tecnológico, el valor va a depender del tipo de tecnología,

infraestructura, nivel de criticidad de la tecnología, actividades en las cuales esta

es crítica, configuración, etc. Luego es en extremo “poco probable” obtener la

información a nivel de industria respecto de situaciones del mismo tipo con la

misma tecnología.

Considerando que usualmente no hay datos, se asocian los niveles de

probabilidad, según la escala definida, a la cantidad de veces que ha ocurrido en

un tiempo determinado, usualmente uno o dos años, o cuando es una actividad

que se realiza con muy poca frecuencia, en las últimas X oportunidades que se hadesarrollado la actividad en que un FR particular puede materializarse. Esto

permite generar un primer impulso a la Gestión de Riesgos, consensuar los

valores y en definitiva iniciar el proceso mediante el cual se colonizará la cultura

de Gestión de Riesgos en la organización.

Por ejemplo, durante un proceso productivo, la actividad “soldar izquierdo y

derecho en una pieza” presenta el Factor de Riesgo “Que la soldadura presente

problemas de sello”. Dado que se hacen varios cientos, miles o más en forma

diaria, esta actividad se consideraría rutinaria y frecuente, por lo que si ocurre una

cantidad de veces que el FR se materializa en un período de tiempo definido, se le



puede asignar un valor. Dicho valor sería del tipo “ha ocurrido YYY veces en un

año”.

Por otro lado, actividades como “Realizar mantenimiento de equipos”, en algunos

casos requiere detener la producción de ese equipo por períodos de días o

semanas. Los FR en este punto tienen que ver con un aumento no planificado de

la duración de la mantención, provocando problemas de operación, o directamente

con la imposibilidad de arrancar nuevamente, u otros. Dado lo anterior, este tipo

de actividades se realizan muy poco en un período de un año o incluso dos, por lo

que para determinar el valor de la Probabilidad de materialización de un FR sería

en función de la cantidad de veces que la actividad se realiza. Dicho valor sería

del tipo “ha ocurrido Z veces en las últimas N veces que se ha realizado la

actividad.” Donde N es un parámetro fijo, predefinido como un criterio de

referencia.

Ambas formas de valoración de la Probabilidad son válidas y pueden utilizarseindividualmente durante todo el proceso o alternar el criterio en función de la

actividad en la cual se pudiera materializar el Factor de Riesgo.

Sin embargo, cuando existe suficiente información de materialización de eventos

(a lo menos un año de estadísticas), es recomendable modificar el criterio y

ajustarlo de acuerdo a los nuevos resultados en base a datos más “duros”. De

esta forma se logra refinar el criterio utilizado para definir o estimar la probabilidad.

Otro aspecto de la Probabilidad que es conveniente tener en cuenta es que ella se

describe en función de varios parámetros. Por ejemplo, la probabilidad que caiga



un rayo en determinado lugar dependerá de la cantidad de veces que se produce

una tormenta eléctrica y la cantidad de rayos que se producen en cada tormenta.

También, si se considera la Exposición, debemos considerar cuantas veces la

organización se expone a ese Riesgo.

Otro ejemplo. Antes de 1960, la probabilidad relacionada al riesgo de accidente en

el espacio exterior era nula. Ello debido a que aún no era posible llegar allá y los

elementos en el espacio exterior eran mínimos en cantidad. Hoy en día, para

determinar la probabilidad, no basta con saber cuánta basura espacial existe

dando vueltas a nuestro planeta, también debemos considerar la Exposición, es

decir, cuantas veces nos exponemos a sufrir un accidente en el espacio exterior.

Se puede comparar la situación con los vuelos comerciales. La probabilidad de

sufrir un accidente aeronáutico está claramente relacionada a la cantidad de

vuelos en un momento dado, pero también a la cantidad de veces que

individualmente se participa de alguno de ellos, nuestra Exposición al Riesgo.



IMPACTO

Cuando se analiza el Impacto hay varios elementos que se deben considerar. El

Impacto se traduce en “cuanto puede llegar a doler a la organización la

materialización de un Riesgo en particular ”. En este “cuanto le puede llegar a

doler “ hay que considerar no sólo los costos directos como el de una máquina,

sino también los costos de reparación o reposición, los costos asociados a no

poder operar, si hay heridos, los costos asociados a esas personas, etc. El

impacto puede reducirse directa e indirectamente a valores financieros, pero es

recomendable utilizar FLIN a objeto de tener una visión más amplia del Impacto.

FLIN es un acrónimo que a lo largo del tiempo he acuñado y que representa las

cuatro principales formas como se puede presentar el impacto que una

organización puede percibir. Estos son: Impacto Financiero, el más evidente;

Impacto Legal, se refiere a demandas laborales o comerciales en contra de la

empresa. No considera las acciones que la organización emprenda contra otros;

Impacto en Imagen o Percepción de la Marca, puede afectar el valor de una

marca, más que el del producto que la lleva; e Impacto Normativo o regulatorio, el

que se refiere a las distintas situaciones con reguladores y fiscalizadores como el

Servicio de Impuestos, reguladores industriales, Inspección del Trabajo,

superintendencias, municipios, representantes del estado en general, etc.

Adicionalmente, se puede evaluar el efecto o Impacto en el Negocio propiamente,

tales como efectos de surgimiento de productos alternativos, aparición de

competencia agresiva o incluso competencia desleal, problemas con patentes

industriales, colusión en contra de la empresa, etc.



Aplicando la escala que se defina, es necesario asociar a cada nivel una expresión

o verbalización de dicho nivel que esté asociada de alguna forma al nivel y que

permita facilitar la comprensión por parte de los usuarios y dueños de procesos.

Sin embargo, la discriminación de los impacto por medio de FLIN o FLINN,

permitirá identificar en forma más certera el origen del impacto y por donde hay

que tratarlo. Por ejemplo, un Riesgo cuyo impacto en Imagen sea extremo

requiere un tipo de tratamiento muy distinto que un impacto que desde el punto de

vista Normativo tiene la misma magnitud. En el caso de un impacto en Imagen, se

dispondrá de orientaciones para una comunicación adecuada con el público,

clientes y proveedores, mientras que en el caso normativo, se mantendrá acuciosa

vigilancia respecto de los aspectos normativos que pudieran verse afectados o

respecto de los que pudiera existir alguna brecha o incumplimiento.

Dicho lo anterior, y en el marco de la escala que se defina, para cada uno de los

impactos FLIN es necesario establecer un criterio que estandarice la valorización

en el marco de la misma escala definida para el Impacto. Es decir, los cuatro

aspectos de FLIN deben ser valorizados con la misma escala, pero un mismo nivel

significará distinto para un aspecto que para otro.

A su vez, dado que el objetivo de la evaluación de Riesgos es exponer los

Riesgos, para efectos de definición de cuál valor de los tipos de impactos se

utilizara para realizar cálculos y gráficas, se recomienda que sea el valor más alto,

es decir, el que potencialmente produce mayor dolor para la organización.

Por ejemplo, en forma genérica se ha determinado que un nivel de Impacto

mínimo, desde el punto de vista Financiero “representa menos de US$1000”;



mientras que desde el punto de vista Legal, “se resuelve directamente sin

intervención de terceros”; desde el punto de vista Imagen, “es sólo de

conocimiento del personal de la organización”; y desde el punto de vista

Normativo, “se recibe sólo una observación o amonestación verbal”.

IMPACTO FINANCIERO

Cuando se define el impacto Financiero estamos hablando de dinero. Es así como

una organización puede considerar en el nivel “mínimo” a cualquier materialización

de un Riesgo cuyos costos asociados sea menor a US$1.000 ó a un 0,0001% de

la utilidad de la empresa. También podría definirse como un monto menor al que

se asigna como “Caja Chica”. La forma de definirlo puede variar según cada

organización, sus criterios definidos previamente y la cultura de la misma. Por otro

lado, un impacto financiero “extremo” podría definirse como sobre los US$50.000

ó sobre un 10% de la utilidad antes de impuestos. En este sentido, un Impacto

financiero “mínimo” debe ser algo que se puede subsanar o resolver con recursos

relativamente mínimos para la organización. Por el lado del nivel máximo, se

puede considerar cualquier gastos o costo o combinación de ambos, que supere

un monto o un orden de magnitud significativo para la organización o que pudiera

incluso poner en riesgo la continuidad del negocio.

Sin embargo, es importante recordar que los océanos se formaron a partir de

pequeñas gotas, por lo que un evento con un impacto aparentemente menor no

debe ser desechado por ese simple hecho. El hecho que un Riesgo esté bajo el

Nivel de Aceptación del Riesgo, no significa que se pueda descuidar o



IMPACTO EN IMAGEN

Al tratar el concepto de Imagen, estamos tratando con un bien valorado intangible

como lo es la marca, el respeto que esta provoca, la confianza en la misma o su

credibilidad. Hay marcas que, debido a un incidente mayor, han debido eliminarse

y redefinirse, pese a que el producto final sigue siendo el mismo. En este sentido,

se debe definir cada nivel en función del impacto negativo respecto de la imagen

hacia el mercado que la organización quiere mostrar. Por ejemplo, una situación

simple o menor, sería que se resuelva internamente sin conocimiento por parte de

proveedores o cliente. Mientras, en el otro extremo, habría información en medios

de comunicación masiva como radio, periódicos o televisión.

IMPACTO NORMATIVO

El impacto Normativo tiene que ver con los fiscalizadores y terceras partes

interesadas, principalmente entidades del Estado. Por ejemplo, que se detecte un

problema sanitario en una planta productora de alimentos, podría llegar hasta la

clausura de la planta por dicha situación. También hay que considerar que una

situación pequeña puede rápidamente escalar a una más compleja o incluso hasta

el cierre de las operaciones.

En este sentido, un impacto menor podría ser una visita de inspección con

resultados desfavorables menores (observaciones o detección de brechas

fácilmente enmendables), mientras en el otro extremo se tendría sanciones de

diverso tipo que pudieran incluso incluir el cierre temporal o término definitivo,

parcial o total de la operación.



IMPACTO NEGOCIO

El impacto en el Negocio tiene que ver directamente con los resultados producto

del giro de la Empresa. A diferencia del impacto Financiero, donde pudiera

considerarse efectos en el flujo de caja o en cuentas contables específicas, éste

se fija principalmente en los efectos sobre los resultados del ejercicios anual, las

utilidades o beneficios.

Aquí el impacto “menor ” podría ser que no afecta los resultados de la

organización, mientras un nivel “máximo” pudiera ser un ejercicio comercial con

resultados negativos, equivalentes o superiores a 10% del ejercicio anterior.

OTROS PARÁMETROS DEL IMPACTO

Adicionalmente a las alternativas de FLINN para el impacto, existen otros

parámetros que en algún momento debieran ser considerados. Por un lado está la

Velocidad con que llega el impacto y por otro la Persistencia del impacto en el

tiempo. Estos dos parámetros tienen que ver con la Severidad o cuan grave es el

impacto.

Cuando se menciona que el impacto ocurre en forma rápida, como producto de

desastres de la naturaleza, estamos ante situaciones con determinadas

características. Sin embargo, un nivel de impacto equivalente puede darse con un

paro de actividades de los trabajadores, la cual podría venir incubándose con

bastante tiempo y paulatinamente va afectando los procesos.

Cuando se menciona la Persistencia de un impacto, nos referimos a como ese

impacto se mantiene en el tiempo. Por ejemplo, el accidente en una central



nuclear como FUKUSHIMA o CHERNOBIL, ha demostrado que la catástrofe no

fue solamente en forma inmediata. Varias años después, aún hay evidencia de

efectos nocivos en la flora y fauna de la región, con mutaciones y serios

problemas para la población. Mientras que los efectos del terremoto que causó los

daños en Fukushima ya están subsanados desde el punto de vista de la

infraestructura e incluso la planta ha vuelto a funcionar, el impacto del accidente

en la planta nuclear se ha mantenido, persistiendo en el tiempo.

Adicionalmente, es necesario considerar algunas situaciones o condiciones de

borde. Por ejemplo, cuando la probabilidad es “mínima”, pero el impacto es el

mayor posible. Hasta Septiembre de 2001, considerar que un avión choque contra

un edificio era tema de chistes, risas y anécdotas. Producto de los eventos

ocurridos con las torres gemelas en Estados Unidos el 11 de Septiembre de 2001,

esa concepción cambió radicalmente. Para evitar pasar por alto estos casos de

muy baja probabilidad pero muy alto impacto, la buena práctica recomienda que

dado un impacto “máximo”, la probabilidad no debiera ser “mínima”, debiera ser a

lo menos del segundo nivel, con el único objetivo de darle mayor visibilidad al

Riesgo.

Otro tipo de situación de borde, es aquella en que la probabilidad es certeza

absoluta. Cuando se piensa que en Chile hay 3 movimientos sísmicos por día y es

parte de una de las cadenas montañosas con la mayor cantidad de volcanes

activos del mundo, y se plantea la posibilidad que un volcán haga erupción,

muchos aún lo toman como broma. Sin embargo, considerando que las

probabilidades de ocurrencia en un momento dado, por ejemplo hoy, son



absolutamente mínimas, cuando suceda, el impacto sería tal, que la organización

simplemente podría desaparecer, como ha sucedido con poblados completos, sea

por un terremoto o por una erupción volcánica. Puntualmente en el caso chileno, la

pregunta no es si habrá una erupción volcánica o si habrá un terremoto

catastrófico. Chile tiene el registro del terremoto más fuerte jamás registrado en la

historia desde que existen registros (9.5 Richter, Valdivia, 22 de Mayo 1960). La

pregunta es cuándo, y eso significa que el impacto máximo posible será real y no

potencial, salvo que se tomen algunas consideraciones previas y la organización

se prepare. En este ejemplo, la probabilidad de un terremoto siempre es de 100%.

En el caso de Estados Unidos, por ejemplo, la probabilidad de un tornado en

ciertas localidades y épocas del año también es 100% y en el Golfo de México la

probabilidad de un huracán también es 100%. Hay lugares y eventos de la

naturaleza que sabemos que ocurrirán, tarde o temprano, que son inevitables.

Luego, su probabilidad es 100% y solamente se puede trabajar en reducir el

impacto que dichos eventos producirán sobre la organización. Igualmente, la

probabilidad de que nuestra vida termine es de un 100%, todos vamos a morir un

día. Sin embargo, existen seguros de vida que buscan compensar los daños a la

familia cuando ello ocurra.

Eventualmente, la organización podría evaluar considerar otras formas de

impacto, especificando impacto en el medio ambiente, impacto social, e incluso

impacto políticos. En general los “flancos” por donde pudiera darse un impacto son

los principales ejes de evaluación del Impacto que la organización debe llevar a



cabo. Con ello se tiene una visión integrada y de 360° respecto del origen del

potencial impacto y de su magnitud esperada.

EXPOSICIÓN AL RIESGO

Es habitual que se confundan conceptos de Riesgo Residual o Restante y la

Exposición al Riesgo. El Riesgos Restante o Residual es el Riesgo como resultado

de la aplicación de controles y mitigadores. Sin embargo, el Nivel de Exposición al

Riesgo tiene que ver con la cantidad de veces en un período dado en que la

organización, producto de sus actividades y controles, se ve enfrentada o

expuesta a un Riesgo en particular. Por ejemplo, una fábrica de productos en serie

se ve expuesta a tener un producto fallido con una frecuencia bastante alta. Se

podría decir, sin temor a error, que la empresa está expuesta a producir un

producto fallido, en forma diaria. Sin embargo, un fabricante de vehículos

motorizados a pedido, se ve expuesto al mismo riesgo, pero no con la misma

frecuencia. Con mayor certeza, se ve expuesto al mismo riesgo cada vez que

produce un nuevo vehículo a pedido y no en forma diaria.

Otro ejemplo: Una fábrica de helados produce varios cientos de miles de helados

en forma automatizada. Es casi seguro que a lo menos uno o dos de ellos tengan

algún defecto, sea de forma, color, el palito no quedó al centro, etc. Es decir la

organización se ve Expuesta al Riesgo en forma diaria. Por otro lado, se puede

considerar el mismo producto, pero en esta oportunidad, la producción será

artesanal. Aunque la producción es aproximadamente en serie, un día se hace

una actividad del proceso, otro día se hace otra actividad y así sucesivamente, se

logra completar un lote de producto en aproximadamente 5 días. En este caso, la



organización se ve expuesta al Factor de Riesgo “que el color no sea adecuado”,

solamente en el día en que se aplica el color, lo que sucede solamente una vez

cada 5 días y no en forma diaria. Por ello, su Exposición al Riesgo es 1 vez cada 5

días, mientras en el caso de la fábrica automatizada sería de 1ó 2 veces cada 1

día.

Este es sólo un elemento a considerar para efectos de calcular o estimar el

Riesgo. El impacto de un producto con falla es mucho mayor en el productor

artesanal que en el productor industrial, pero eso es la componente de Impacto.

Igualmente, existe otra Probabilidad, en que la probabilidad de un error en el

proceso industrial es menor que en el proceso artesanal. Ello es válido al

considerar el cálculo como la cantidad de fallas respecto de la cantidad total de

producción. Las fallas en un proceso industrial serán más que las de un proceso

artesanal. Sin embargo, la cantidad de unidades producidas industrialmente es

muy superior a las producidas artesanalmente, por lo que finalmente la proporción

es menor en el proceso industrializado.



CONTROLES

Existen esencialmente tres tipos de controles. Están aquellos que controlan que

un evento no suceda, estos reducen la probabilidad y se les denomina controles

Preventivos. Existen otros controles que no previenen nada, pero permiten mejorar

el nivel de reacción ante la materialización de un Riesgo, por lo que se les

denomina Detectivos, dado que detectan que ha sucedido algo y generan una

alerta que permite una reacción temprana, reduciendo los efectos negativos del

evento. Finalmente están los controles que mitigan puramente el Impacto o

Reactivos, es decir, cuando se ha materializado el Riesgo, estos controles

permiten que la recuperación o el daño, sea mitigado.

La mayoría de los Riesgos y particularmente los más evidentes, están mitigados o

controlados. Ello es debido a que existen controles o mitigadores implementados.

Por ejemplo, en Chile los movimientos sísmicos son frecuentes en todo el país.

Por eso las empresas, por mandato judicial (está en la Ley), deben contar con un

plan de evacuación y deben ejercitarlo a lo menos una vez al año. Por tanto, todos

los trabajadores conocen qué hacer, en forma casi instintiva, ante un sismo fuerte

y particularmente, ante la necesidad de un proceso de evacuación. Algunas

localidades costeras incluso han implementado planes de evacuación masiva de la

población en caso de existir cierto grado de certeza respecto de un TSUNAMI. En

estos casos, el Plan de Evacuación es un mitigador de impacto y por ende es un

mitigador Reactivo que afecta el impacto en la organización producto de la

materialización de un Riesgo. En realidad no hay como evitar o reducir la

probabilidad que se produzcan eventos de la naturaleza tales como terremotos,



huracanes o desastres naturales de cualquier índole. El mitigador de tipo reactivo

se activa u opera una vez que ha ocurrido un incidente. Su objetivo es hacer un

control sobre los potenciales daños que pudieran ocurrir a la organización

producto de dicho incidente.

Por otro lado, las auditorías, los monitoreos de sistemas, detectores de humos,

sensores de movimiento, alarmas, antivirus y alertas en general, son elementos

que permiten a la organización reaccionar en forma más eficiente ante la

materialización de un Riesgo. Este tipo de controles que “detectan” cosas y alertan

respecto de un evento, son denominados Detectivos. Dado que este tipo de

controles permite una reacción más rápida, estos afectan en alguna proporción a

la probabilidad y en otra al impacto. No obstante, se verá más adelante que

dependiendo de los criterios y definiciones que se determinen, estos pueden

definirse como que afectan únicamente la Probabilidad o el Impacto o que la

proporción de mitigación de Probabilidad e Impacto no es la misma para todos los

controles.

Por ejemplo, los avisos de alerta emitidos por organismos de estado son

mitigadores de impacto, puesto que permiten a la población que desconoce la

amenaza inminente, reaccionar rápidamente y huir del lugar antes de la llegada de

un tsunami. Con ello se mitiga el impacto en materias de pérdidas de vidas

humanas producto de este tipo de evento. Al tratarse de sistemas tecnológicos, las

alertas respecto de un virus, la falta de una actualización o el indicador de

temperatura de un motor, permiten también reducir la probabilidad y el impacto de

materialización de un incidente. Las alarmas antirrobo, pese a que por su nombre



supuestamente impiden el robo, en la práctica permiten una reacción oportuna o

más eficiente por parte de quien resguarda la propiedad o el bien, afectando la

probabilidad de materialización de un robo mayor y también el impacto del

mismos. Siguiendo con el ejemplo de las alarmas, en las películas se ve que los

delincuentes usan cronómetros, puesto que saben con anticipación cuanto

demorará la policía en llegar al lugar del atraco. La alarma mitiga el impacto,

puesto que podrán llevarse sólo lo que puedan sacar en ese “breve” momento

entre la activación de la alarma y la llegada de guardias o policías.

Los controles Preventivos particularmente buscan reducir la probabilidad de

ocurrencia de un evento o de la materialización de un Riesgo. Por ejemplo, las

mantenciones preventivas del sistema, de redes de datos, de motores y

maquinarias, capacitaciones., las actualizaciones de sistemas operativos o

plataformas tecnológicas de elementos específicos, las actualizaciones de los

antivirus, en general las políticas y reglamentos internos, cláusulas específicas en

contratos de trabajo, declaraciones juradas de proveedores, certificaciones de

cumplimiento de normas, elementos disuasivos tales como carteles, cámara de

vigilancia falsas o verdaderas, disparos al aire aleatorios, etc. Por ejemplo, cuando

el antivirus salta con un mensaje que se ha detectado un virus, está mitigando la

probabilidad de que el equipo se contagie con un virus. En un predio, cuando el

guardia dispara al aire, está informando a los delincuentes que se les recibirá a

tiros y de alguna manera reduce la intención de ataque.

Las mantenciones preventivas a controles son controles de controles, los que

serán evaluados dentro del control principal, puesto que son un aporte indirecto a



las características propias del control. Por ejemplo, los generadores de respaldo

son un control de tipo reactivo que entran a operar cuando hay un corte de energía

eléctrica. Sin embargo, las mantenciones a dichos equipos, el que cuenten con

suficiente combustible y sus respectivos fluidos, el que el personal conozca como

encenderlo, etc., son parte de un control sobre el control. Esto se evalúa cuando

se analiza la calidad del control.

A continuación algunos ejemplos de categorías de controles:

Tipo de Control Categoría de Control

Preventivos Segregación de tarea o función

Preventivos Configuración de seguridad de sistemas

Preventivos Procedimientos

Preventivos Políticas

Preventivos Códigos internos (Ética, conducta u otros)

Preventivos Reglamentos internos

Preventivos Cláusulas contractuales

Preventivos Control de acceso

Detectivo Autorización

Detectivo Alertas

Detectivo Informes de gestión

Detectivo Validaciones

Detectivo Indicadores

Detectivo Supervisión



Tipo de Control Categoría de Control

Detectivo Conciliaciones – Cuadraturas

Detectivo Auditoria

Correctivos Planes de contingencia (BCP + DRP)

Correctivos Extintores

Correctivos Respaldos

CorrectivosProcedimientos (de evacuación, de

recuperación, u otros)

Correctivos Sanciones administrativas

Correctivos Seguros

VALORIZACIÓN DE LOS CONTROLES

La Gestión de Riesgos requiere valorizar los controles o mitigadores que en

definitiva llevaran el nivel de Riesgo a un Nivel Aceptable o acorde al “Apetito” al

Riesgo de la organización. En este contexto, cada control debe ser evaluado en

cuanto a sus características individuales relevantes. Las características de un

control son: Calidad, Eficacia y Eficiencia. Algunas organizaciones utilizan

métodos estrictamente cualitativos, y les es indistinto el análisis de Calidad,

Eficacia y Eficiencia de un control en particular, puesto que evalúan el conjunto de

controles existentes que aplican a un Riesgo en particular, como si fuera un único

control.



CALIDAD

La calidad de un control debiera considerar los aspectos propios de un control,

dejando de lado otras características relacionadas con la eficacia y/o eficiencia.

Algunas características de Calidad de un control pueden ser su nivel de

Formalidad, su Alcance, su Resiliencia, la frecuencia con que el control opera, el

tipo de control (Preventivo, Reactivo, Detectivo), Fabricante, requerimientos de

mantenciones y su frecuencia, costos de operación y mantención, etc. En general

son características propias de un control. Por ejemplo, el extintor de Incendios.

Obviando el simple hecho que estar presente no mitiga ningún Riesgo, se puede

evaluar si el tamaño del mismo es el adecuado, si sus mantenciones son

adecuadas, si el tipo de extintor es el adecuado, si su fecha de caducidad o

vigencia está al día, si es de activación manual, semi-autimática o automática, etc.

En general, las características de Calidad de un control se refieren a cuan

confiable puede ser en cualquier momento y particularmente cuando se le

necesite.

Estas características también deben ser valorizadas de alguna forma tal que

permita, en combinación con la eficiencia y eficacia del control, mitigar o controlar

adecuadamente el o los FR a los que se asociará el mismo.

EFICACIA

La eficacia de un control tiene que ver con cuan bien opera el control. Por ejemplo,

los bomberos pueden ser extremadamente eficaces, puesto que extinguen el

fuego, pero si se demoran demasiado (eficiencia) en llegar, da lo mismo si llegan o

no. Cuando se evalúa la Eficacia de un control se mide o valoriza “cuan bien”



opera sobre su alcance. Reiterando el ejemplo de los extintores de fuego, su

alcance individual es relativamente restringido, digamos que un extintor medio, de

unos 12 kilos, puede “controlar” una superficie de unos 30 mts a la redonda. Esto

es que cada 60 mts debiera existir un extintor de estas características. De no

contar con uno, entonces el más cercano no podrá apagar el amago de incendio

antes que se transforme en un incendio declarado y este control claramente no

será eficaz.

En este ejemplo en particular, se debe hacer énfasis en que no se está evaluando

a la persona que lo manipula, ni mucho menos el hecho que debe ser activado por

una persona. Esos parámetros son propios de la calidad del control. Así, un

sistema de extinción de incendios automático, combinado con sus

correspondientes detectores de calor y/o humo, es claramente más eficaz que un

simple extintor. Sin embargo, los costos involucrados tanto en su mantenimiento,

operación (una vez activado), y recuperación tras su activación, también son

distintos, pero corresponden a características de Calidad del Control.

EFICIENCIA

La Eficiencia de un control busca identificar cuán rápido actúa. En este sentido,

una buena referencia es determinar el RTO de cada proceso y definir, por ejemplo,

que en caso que su activación demore menos del 50% del RTO es

extremadamente eficiente, mientras si demora más del 200% del RTO es

extremadamente ineficiente. Siguiendo con el extintor de incendios, sería

extremadamente ineficiente, puesto que depende de un factor humano. Así, la

eficiencia podría considerar parámetros tales como el nivel de automatización, el



tiempo que demora en ser efectivo el control respecto del RTO, etc. El RTO se

puede obtener producto de un BIA o como resultado de alguna definición que sea

consistente. (Ver capítulo BUSINESS IMPACT ANALYSIS (BIA))

NOTA: El RTO es el tiempo máximo que un proceso puede soportar una interrupción de su operación sin

causar daño permanente.

La combinación de Calidad, Eficacia y Eficiencia se puede definir como la

Efectividad del Control y en definitiva, será el parámetro que representará la

capacidad del control de mitigar o controlar el FR al cual se asocie.



MAGNITUD DEL RIESGO

Una vez definidos los aspectos anteriores respecto de las escalas y criterios de

valoración de Probabilidad e Impacto, Exposición y Severidad, controles y

mitigadores, es importante aclarar bajo qué escala y cómo se representará la

Magnitud del Riesgo.

MAGNITUD DISCRETA

Una forma de representar el Riesgo es mediante colores los que están asociados

a rangos de valores o coordenadas en un gráfico, tal que si un riesgo en particular

cae en una coordenada de un color determinado, su nivel de Riesgo final o

Residual estará dado por el color o coordenada en el cual se encuentra. Esta es

una metodología válida y muy útil cuando los Modelos de Gestión de Riesgo se

encuentran en una etapa inicial o insuficientemente maduros. También se puede

definir que dado el valor de la magnitud del Riesgo está en determinado rango,

tendrá determinado valor.

Por otro lado, es importante considerar algunos aspectos relevantes respecto de la

designación de colores y nomenclatura de la magnitud. Por ejemplo, no es

recomendable usar el color verde dentro del rango de colores. El motivo es que al

visualizarse, este se asocia a seguridad, “estamos bien”, siendo que en realidad

estamos trabajando sobre un Riesgo, cuya probabilidad e impacto existen. El

verde da tranquilidad y el hecho que un Riesgo esté en un nivel de este tipo,

probablemente el más bajo de la escala, no significa que no se deba tratar o dejar

de ocupar al equipo de Gestión de Riesgo. No significa estar pre-ocupado, pero si

estar ocupado.



Respecto de la escala de la magnitud del Riesgo, es recomendable no ser

extremista. Por ejemplo, en las verbalizaciones de los Niveles de Riesgo,

Catastrófico como expresión del valor máximo de la magnitud de un riesgo tiende

a ser catalogado de “exagerado” o “alharaco” con las consecuencias de la

correspondiente desacreditación del trabajo que se realiza en esta materia. En el

otro extremo, la expresión “Insignificante” para un nivel de Riesgo muy menor,

tiende a despreciar dicho Riesgo. Sin embargo, el Riesgo persiste e incluso puede

materializarse y causar un impacto adverso. Puede descuidarse la vigilancia y

supervisión respecto de este Riesgo y a despacharlo por ser “insignificante” o

“irrelevante”.

Dados los ejemplos anteriores, es muy importante representar las magnitudes con

elementos que generen las alertas correspondientes y que permitan priorizar la

urgencia de atención, pero sin entrar en juicios de valor, exageraciones o

descalificaciones hacia uno u otro lado de la escala.

MAGNITUD CONTINUA

Cuando el Modelo de Gestión de Riesgos está maduro, la organización está

consciente de los Riesgos, se tiene registro de los incidentes y sus impactos

reales, y existen la capacidad y herramientas adecuadas, se puede avanzar hacia

escalas continuas, en reemplazo de las discretas. De esta manera, la Magnitud del

Riesgo viene a ser la magnitud del vector que se origina en la base de la escala

(1) y termina en la coordenada determinada del Riesgo. Hay que recordar que,

bajo el criterio que se está trabajando sólo con Riesgos que generan un impacto

negativo, NO EXISTE el Riesgo con probabilidad o impacto cero, por tanto las



Fig. 12

escalas comienzan siempre en 1. En caso que se consideren Riesgos con impacto

tanto positivo como negativo, existirá el Riesgo de magnitud cero.

En la Figura 12 se observa como distintos vectores, de la misma magnitud, se

pueden distribuir en el Mapa. Como se muestra en el gráfico de representación

continua de colores, se tiene un arcoíris formando un cuarto de círculo iniciando

con el color que representa la magnitud mínima y terminando con el que

representa la magnitud máxima.

Sin embargo, la magnitud máxima no será igual a magnitud máxima de la escala

discreta. Por ejemplo, en la Figura 12 se muestra una escala continua de Impacto

y Probabilidad con un valor mínimo de

1 y máximo de 5, el valor de magnitud

máxima de una combinación de

Probabilidad e Impacto (Probabilidad=5

e Impacto =5) sería de 6,071… eltamaño de la discontinuidad estará

dado por la cantidad de decimales que

se use. Sin embargo, no cae en la

misma escala de 5 valores que tienen

el Impacto o Probabilidad. Es por ello que en caso de aplicar escalas continuas es

necesario redefinir, en función de esta nueva escala, los criterios y parámetros

anteriores.

Eventualmente, se puede definir rangos de magnitudes en vez de coordenadas.

De esta forma se podría definir, por ejemplo, que cualquier riesgo con magnitud 5



Fig. 13 Nivel de Aceptación

o superior es de tipo “Extremo”. Sin embargo, en la práctica, lo que nos interesa es

todo Riesgo que se encuentre por sobre el Nivel Aceptable que la organización ha

definido para ese Riesgo en particular.

UMBRAL Y APETITO AL RIESGO

Una vez definidos los parámetros anteriores, es necesario definir el Umbral de

mitigación y la Apetito al Riesgo. Al observar desde el punto de vista opuesto, en

vez de Apetito al Riesgo, puede ser la Aversión al mismo. Es el Comité de Riesgo

el responsable, en base a experiencias propias y a la colaboración de los

“Especialistas”, de llegar a una

definición razonablemente aceptada

por la organización respecto de estos

parámetros.

Se puede asumir que se cuenta con

todos los recursos del universo para

mitigar un Riesgo en particular. Llega

un punto en que por más controles y

mitigadores que se agreguen, no se

puede seguir mitigando. Es como el fuego de una parrilla, sólo se puede poner

una cantidad de leña y carbón limitada y si se pone demasiado, puede que sea

necesario sacar leña para que el fuego surja. En el caso de los controles sucede lo

mismo, por lo que es necesario definir un Umbral o la cantidad máxima de

mitigación que se podrá obtener implementando todos los controles posibles e



imposibles. Es importante recordar que no importa cuánto se mitigue un Riesgo,

este nunca desaparece, sólo es controlado, asumido o traspasado, pero nunca

desaparece, salvo que se deje de hacer la actividad en la cual existe el Riesgo.

Por otro lado, es necesario definir el nivel de riesgo que la organización

considerara aceptable. Usualmente este se encuentra bajo el 40% de la escala

(Fig 13). Esto es que cualquier Riesgo cuya valoración se encuentre sobre este

Nivel de Aceptación, deberá ser tratado o controlado de alguna forma adicional o

complementario a como se controla actualmente, tal que permita mitigar ese

Riesgo y llevar su Magnitud bajo el Nivel de Aceptación. Aquellos Riesgos que se

encuentran bajo dicho nivel, se consideran como aceptados, puesto que el costo

de invertir en mitigar aún más dichos Riegos puede ser demasiado alto respecto

del beneficio de dicha mitigación, o puede ser traspasado a un tercero, como un

seguro o una tercerización de una actividad, etc. Sin embargo, nunca deben

olvidarse, puesto que por muy pequeña la Magnitud del Riesgo, salvo que se deje

de ejecutar la tarea en que ese Riesgo puede materializarse, siempre estará

presente el Riesgo.

Este límite permite a la organización identificar y priorizar de manera objetiva,

donde destinar los recursos disponibles y justificar su uso en tales o cuales

actividades y controles en pos de reducir las Magnitudes de Riesgos Restante o

Residual, que se encuentran sobre el Nivel de Aceptación.

Por otra parte, la Tolerancia al Riesgo, en algunas organizaciones se trata

indistintamente como el Nivel de Aceptación. Sin embargo, en otras

organizaciones se define que la toler ancia es el “margen de error” aceptable. Por



ejemplo, dado un nivel de aceptación definido como 3, la tolerancia pudiera

definirse como 0,2. Luego los Riesgos con nivel de residual entre 3 y 3,2 son

“tolerables”, lo que no significa que son “aceptables”.

También, la tolerancia se puede definir como el “margen de error” respecto de las

valoraciones de los parámetros. Se podría decir que un Riesgo es de

aproximadamente un magnitud determinada, con un error en la probabilidad de un

valor y un error en el impacto de tal otra. Estos márgenes de error son la

tolerancia. Por ejemplo, con una tolerancia de 0,2 ó de un 3% una probabilidad de

3,2, aun teniendo un error de un 3% (0,96) en uno u otro sentido, es aceptable

respecto de la certeza y confiabilidad del dato. (Vease Variabilidad de Probabilidad

y/o Impacto)

Lo más práctico es definir un único Nivel de Aceptación para todos los Riesgos, tal

que cualquier Nivel de Riesgo que sea superior a ésta definición debe

necesariamente ser tratado. Igualmente, definir una Tolerancia única, sea que laorganización defina utilizar indistintamente la expresión Aceptación y Tolerancia o

que establezca un Nivel de Aceptación único para todos los Riesgos. Sin

embargo, existen situaciones en las que llevar el Nivel de Riesgo Restante a un

Nivel Aceptable o dentro de la Tolerancia es tan costoso, que el negocio decide

asumir ese Riesgo y dejarlo hasta ese punto. El ejemplo de los Riesgos de

eventos de la naturaleza es claro. Para un comerciante que tiene tres o cuatro

tiendas en una ciudad, el costo de un huracán, una inundación de la ciudad o de

un terremoto, puede ser catastrófico. Sin embargo, tampoco es mucho lo que



puede hacer para reducir o mitigar este Riesgo, salvo mitigar el impacto, lo cual

también puede llegar hasta cierto punto únicamente.

También es factible, en consideración de situaciones en que no es posible

modificar alguno de los parámetros, definir niveles de tolerancia distintos según su

Categoría o incluso para cada Riesgo. Por ejemplo, la Categoría de Riesgos

“DAÑOS A ACTIVOS MATERIALES”, se podría definir un nivel de tolerancia

mayor que la Categoría de Riesgos “FRAUDE INTERNO”. El motivo es simple y

evidente. Contra el fraude interno puedo desarrollar actividades que controlen la

probabilidad y/o mitiguen el impacto, pero contra eventos que están fuera de mi

control, como los eventos de la naturaleza, o sublevaciones sociales, paros de

servicios públicos, guerras, etc., no es mucho lo que se puede hacer para

controlar la probabilidad, sólo se puede mitigar el impacto.



METODOLOGÍA DE CÁLCULO (LA LICUADORA)

Probablemente una de las tareas más difíciles de la Gestión de Riesgo consiste en

determinar una metodología o fórmula matemática que no se base en criterios

subjetivos, juicios de valor o que no dependa de la persona de turno, que combine

los parámetros de Probabilidad e Impacto inherente o iniciales, con los Controles,

para generar una coordenada de Probabilidad e Impacto restante o residual, que

permita determinar la Magnitud del Nivel de Riesgo Restante.

Matemáticamente lo que buscamos es:

f(Pi,Ii,C) = |(Pr,Ir)|

donde,

|(Pr,Ir)| = Magnitud del Riesgo Restante

En palabras más simples, responder a la siguiente pregunta: ¿Ya que se dispone

de los valor es “objetivos” de Probabilidad e Impacto Inherentes o Iniciales, de los

Niveles de Exposición y Severidad, y de los Controles que los mitigan, cómo se

hace para que interactúen?

La necesidad de algún tipo de fórmula se hace indispensable a objeto de mitigar la

subjetividad de las valoraciones individuales, lo que además, permitirá una única

regla indistinta de otros aspectos y evitará distorsiones producto de juicios de

valor.



La complejidad de la fórmula dependerá de varios factores, aunque principalmente

de las habilidades de la persona que gestione los riesgos, del nivel de certeza que

se requiera, del nivel de comprensión de la organización de los temas

relacionados a la Gestión de Riesgo o el Nivel de Madurez que ésta tenga al

respecto y de las herramientas que se tenga disponibles.

Cada organización puede definir sus propios criterios y metodología, por lo que se

señalan solamente algunas variantes a modo de ejemplo sobre las cuales se

puede trabajar para definir una metodología propia, acorde a los requerimientos de

la organización. Sin embargo, es necesario que la organización, particularmente el

Comité de Riesgos, esté consiente y pueda justificar adecuadamente porqué se

utiliza tal o cual metodología.

La Gestión de Riesgos debe basarse en información lo más objetiva posible y

nada más objetivo que los hechos evidenciados en el pasado. Sin embargo,

además es necesario mitigar en la mayor medida de lo posible, la subjetividad dela evaluación, por lo que se recomienda tomar los datos históricos y procesarlos

mediante algún tipo de “licuadora” que entregue un resultado más objetivo

respecto de las proyecciones de probabilidad e impacto de futuros Riesgos.

Finalmente, el resultado debe contrastarse necesariamente contra el más

complejo e inusual parámetro existente. Lamentablemente no es posible ir al

negocio de especialidad y conseguir un poco, es el “Sentido Común”.



METODOLOGÍA DE ANÁLISIS

Muchas empresas y profesionales de la Gestión de Riesgos consideran que el

proceso es tan complejo, que es difícil y engorroso utilizar fórmulas matemáticas

que representen objetivamente los Niveles de Riesgo a los que está expuesta la

organización y los niveles de control sobre los mismos. Es por ello que el proceso

es de análisis detallado y, en función de ciertos criterios y de una metodología de

análisis, se determina la prioridad o urgencia de tratar determinados Riesgos, los

costos y características de los controles y mitigadores necesarios para tratar

dichos Riesgos más relevantes o prioritarios.

Este Análisis de Riesgos lo realiza una persona, o equipo de trabajo, que

determinan ciertos criterios para definir cómo identificarán y medirán el Riesgo.

Entre otras cosas, definirán los niveles de probabilidad e impacto y cómo los

controles y mitigadores aplican y afectan al Riesgo. Como resultado de lo anterior

generarán un listado de prioridad de los Riesgos a mitigar o controlar.

Sin embargo, también son válidas metodologías que intentan “objetivizar” las

aprensiones y juicios de valor de las personas y los valores inicialmente

designados a fin de tener resultados que no dependan del criterio de las personas,

sino como resultado de un proceso complejo.

METODOLOGÍA BÁSICA

La forma más simple de aplicar matemáticamente los controles, es dejando de

lado todo tipo de matices. Para ello se puede comenzar por definir controles sólo

de tipo Preventivo o Reactivo y se define que todos los controles de tipo Detectivo

actúan únicamente sobre la Probabilidad o únicamente sobre el Impacto. Otra



alternativa es que algunos controles de tipo Detectivo se clasifiquen como

Preventivos y otros se clasifiquen como Reactivos.

Adicionalmente, se debe definir una escala, que para un nivel básico usualmente

es de 3 ó 4 niveles, puesto que es más relevante mantener simple el Modelo de

Gestión de Riesgos y que los usuarios comprendan rápida y fácilmente los

conceptos, por sobre la exactitud o efectividad del modelo.

Una vez clarificados estos aspectos, se puede determinar el valor de mitigación de

un control únicamente en base a la calidad del mismo, o en forma intuitiva. Se

puede considerar dos o tres parámetros de un control, como su formalidad,

frecuencia de aplicación y/o calidad “subjetiva”, los que se ponderan y suman,

determinando un valor de mitigación de ese control. Incluso, se puede utilizar un

valor porcentual en base a un criterio tan simple como la moda entre un grupo de

usuarios y directamente designar un valor de mitigación de ese control.

Posteriormente se puede ir ajustando el valor de mitigación hasta que el resultado“haga sentido”.

En este caso es importante tener una visión holística de la organización e

idealmente el proceso debiera se emprendido por terceros, lo que permite

controlar de alguna forma la subjetividad de quienes participan en los procesos

evaluados y se aplica el “sentido común” que puede no haber sido desarrollado al

interior de la organización.

De esta forma se puede determinar el valor de la Probabilidad e Impacto inicial

asociados a cada FR en particular.



Luego, es necesario determinar qué control aplica a qué FR. Por ejemplo, el

extintor de incendios no sirve de mucho ante una intoxicación alimentaria o una

epidemia. En este nivel se puede definir que cada FR que cuente con un control,

será mitigado únicamente por el mejor control que aplique. Luego, si hay dos o

tres controles que aplican, se determinará el nivel de control o mitigación del mejor

y ese es el que se aplicará matemáticamente.

Teniendo claro qué y a qué, es momento de tratar el cómo. Siendo que es una

forma básica y simple, sería conveniente ordenar los controles que apliquen a un

FR determinado y determinar cuál es el mejor respecto de sus características o su

valor de mitigación. Sabiendo que es un control de tipo Preventivo, afectará

únicamente a la Probabilidad y si es de tipo Reactivo afectará únicamente al

Impacto. ¿Cuánto? Lo más simple es restando el valor entero, dividiendo o

definiendo una proporción (menor que 1) que multiplique el valor inicial. Si el nivel

de mitigación se expresa porcentualmente, se puede multiplicar directamente y se

tendrá un resultado en la escala definida. La división, pese a que es muy utilizada,

no es recomendada, puesto que no tiene una explicación racional y lógica

consistente con la forma como el control se aplica o afecta. En el caso de la resta,

es evidente que el control está “quitando” algo a la probabilidad o al impacto

asociado a un Riesgo, mientras que en la multiplicación por un factor menor de 1

claramente sucede lo mismo, reduciendo proporcionalmente uno de los

parámetros que determinará la Magnitud del Riesgo resultante o residual, para ese

Riesgo en particular.



Por ejemplo, un FR cuyos parámetros de Probabilidad Inherente e Impacto

Inherente son (3,4) respectivamente, con un Nivel de Riesgo de tipo “ Alto” y

aplicando un control de tipo Preventivo cuyo valor es 2, generaría el Nivel de

Riesgo Residual en la coordenada (1,4). Dependiendo de la escala de Riesgo que

se utilice, podrá cambiar de nivel o no. Repitiendo el ejercicio anterior, pero con un

control de tipo preventivo cuya mitigación se ha definido como un 50%, se tendría

que el Nivel de Riesgo Residual en la coordenada (1,5,4).

En este punto se considera como mitigadores solamente el mejor control

Preventivo y/o el mejor control Reactivo. De esta manera, se podría mitigar

Probabilidad, Impacto o ambos.

Es decir, donde:

Cr = Control Reactivo

Cp = Control Preventivo

Pi = Probabilidad Inicial

Ii = Impacto Inicial

Luego,

f(Pi, Ii, Cr , Cp) = (Pi - Cp, Ii - Cr ) = coordenadas del Riesgo restante

si los controles tienen valores de la escala o



f(Pi, Ii, Cr , Cp) = (Pi *(1- Cp), Ii *(1- Cr )) = coordenadas del Riesgo restante

si los controles tienen valores porcentuales

En función de estas nuevas coordenadas, se puede determinar, a partir del mapa

de calor, la Magnitud Residual de ese Riesgo en particular.

Esta combinación de controles que mitigan probabilidad e impacto de un riesgo, si

bien es básica y simple, como todo lo básico, adolece de varias dificultades y

problemas. El mayor de ellos que es, pese a ser una fórmula matemática que

busca eliminar o reducir la subjetividad, en la práctica, esta se mitiga muy poco o

nada. Los valores de los controles tienden a ser muy altos y los niveles de

mitigación son lejos superiores a la realidad, llevando a un claro error en la

mayoría de los casos. Esto provoca que muchos Riesgos sean “escondidos” bajo

un falso nivel de control o sobre expuestos con una excesiva Magnitud del Riesgo

Residual. Todo ello puede generar un falso sentido de seguridad en aspecto que

no la tienen y un falso sentido de urgencia en aspectos que no la requieren.

Adicionalmente, el uso de escalas menores a 5 generan los problemas de escala

mencionados en el capítulo de Definiciones y Criterios.



METODOLOGÍA DE INTRODUCCIÓN

Una forma que pudiera ser más certera al tratar el tema de la Gestión de Riesgo,

respecto de la Metodología Básica, es establecer una escala de 5 valores y

manejar un grupo de 5 a 6 parámetros que permitan determinar las características

de los controles. En los controles se puede considerar un grupo de características

que definan la “Calidad”, otro la “Ef icacia” y otro la “Eficiencia”. Incluso puede que

uno o dos de estos parámetros sean definidos lo más objetivamente posible, o

subjetivamente y sus valores ingresados directamente y no como el resultado de

un cálculo. A su vez, se combinan y normalizan estos valores. El resultado puede

ser en la misma escala de 1 a 5 ó como un porcentaje de mitigación.

Algunos ejemplos de variantes sobre el mismo tema:

Sean,

C = valor de calidad calculado, medido o asignado en escala 1 a 5

Ef1= valor de la eficiencia calculado, medido o asignado en escala 1 a 5

Ef2= valor de la eficacia calculada, medida o asignada en escala 1 a 5

Ej1-

(C + Ef1 + Ef2) /3 = Mitigación del Control (M1)

¿Por qué dividido por 3? Básicamente, es la forma de obtener una media.

Ej2-



C*Ef1*Ef2 / 125 = % Mitigación del Control (M2)

¿Por qué dividido por 125? El objetivo que es que sea un porcentaje y dado que

todo está en la misma escala de 1 a 5, el valor máximo de la multiplicación de las

características del control sería 125. Luego para obtener un porcentaje, el valor

debe ser dividido por 125.

Otra forma de valorizar los controles es darles un “peso” o ponderador a cada uno

de los parámetros, tal que la suma de los ponderadores siempre sea 1. Luego la

Calidad pudiera ser ponderada de una forma, la Eficacia de otra y la Eficiencia de

otra. La suma ponderada se puede usar como valor o su proporción respecto del

valor máximo de la escala o como un porcentaje de mitigación.

Por ejemplo, manteniendo la escala de 1 a 5 se podría ponderar de la siguiente

forma:

Pc = Ponderador de la Calidad

Pef1= Ponderador de la Eficiencia

Pef2= Ponderador de la Eficacia

Luego, la mitigación del Control seria:

M = Pc * C + Pef1 * Ef1 + Pef2 * Ef2

ó

%M = (Pc * C + Pef1 * Ef1 + Pef2 * Ef2) / 5



Nuevamente, por qué dividido por 5? Es porque la suma ponderada nos entrega

un valor máximo de 5 y si se quiere un porcentaje, se debe dividir por este valor.

En este punto, tanto el valor de la Calidad (C), como de la Eficiencia (Ef1) y

Eficacia (Ef2) pueden ser calculados en base a parámetros o valorizados

directamente.

A su vez, estos porcentajes o niveles de mitigación se aplican según corresponda

a los controles según su tipo (Reactivo, Detectivo, Preventivo), permitiendo que un

conjunto de controles afecte tanto la Probabilidad como el Impacto en forma

simultánea e independiente.

Además es necesario definir si se utilizará solamente el mejor control o cómo se

combinarán varios controles si hay más de uno que aplique al mismo parámetro

para el mismo FR. Por ejemplo, en el ámbito de las tecnologías, ante situaciones

de discontinuidad, se tienen respaldos de bases de datos y respaldos de equipos.

Individualmente ambos mitigadores tiene sus características propias y ambos

aplican al parámetro de Impacto, es decir, son Reactivos. Luego, cómo se

combinan estos para mitigar el Riesgo? Claramente la suma de ambos valores

debiera ser superior a cada uno individualmente. Pero ¿cuánto, cómo? Son temas

que se deben definir.



METODOLOGÍA CONTÍNUA

Cuando se trata de una metodología de este tipo, la discontinuidad está dada por

la cantidad de decimales que se usen. Esto tiene directa relación con el nivel de

detalle con que se traten las variables y parámetros del Modelo Gestión de

Riesgos implementado. Es decir que la discontinuidad sea lo más pequeña

posible, pero dentro de un rango razonable. Para efectos de considerar una

función o fórmula continua que permita determinar la magnitud del Riesgo

Restante, con dos o tres decimales puede ser razonable.

Como mencionado anteriormente, hay organizaciones que definen el Impacto

como una función de la Probabilidad. Usualmente, este tipo de funciones implican

complejas ecuaciones que pudieran combinar raíces cuadradas, funciones

trigonométricas y otro tipo de artilugios matemáticos. Sin embargo, en este sentido

y según cómo se definan los parámetros, las fórmulas serán más complejas o

menos. Claramente lo más simple dentro de las alternativas continuas es el uso de

Pitágoras. Es decir:

Dadas las coordenadas restantes de,

Pr = Probabilidad Restante

Ir = Impacto Restante

Magnitud = |Raiz (Pr ̂ 2 + I^2)-1|

Para llegar a ello, es necesario definir matemáticamente la Probabilidad y el

Impacto restantes. Una forma sería:

Pr = Pi * C e Ir = Ii * (1 + Vi/10 – 0,1) * ( 1 + P i/10 - 0,1) * C



ó, según sea el caso,

Pr = Pi / C e Ir = Ii * (1 + Vi/10 – 0,1) * ( 1 + P i/10 - 0,1) / C

Donde,

Pr = Probabilidad Restante

Pi = Probabilidad Inherente

C = Mitigación de Control

Ir = Impacto Residual

Ii = Impacto Inherente

Vi = Velocidad del Impacto

P i = Persistencia del Impacto

Donde el nivel de mitigación de los controles puede expresarse como un

porcentaje (se usa la primera expresión) o como un valor en la misma escala de

probabilidad e impacto (se usa la segunda expresión)

Igualmente, es necesario definir cómo se determinará el nivel de mitigación y

control de los Controles. Al trabajar en una modalidad continua de escala, se

recomienda definir 2 a 4 parámetros para determinar la Calidad, Eficiencia y

Eficacia. Estos pudieran ser valorizados en la misma escala de la Probabilidad e

Impacto a objeto de mantener consistencias.



Algunos ejemplos de parámetros:

Calidad Nivel de Formalidad

Frecuencia de Requerimientos de Mantención

Experiencias respecto del control

Seguridad en estado “Stand By”

Confiabilidad

Eficiencia Tiempo de Respuesta respecto del RTO de ese proceso o

actividad

Complejidad de aplicación o ejecución del control

Certeza de su activación oportuna

Nivel de automatización

Eficacia Alcance

Resultados conocidos/esperados de su aplicación

Certeza de los resultadosDesarrollo propio

Una vez definidos los parámetros a considerarse y definido cómo se combinarán

estos valores para determinar el nivel de control o mitigación del Control o la

Efectividad del mismo, se determina el nivel de control y mitigación del conjunto de

controles que aplican.

El siguiente paso es definir parte de la metodología de cálculo del Riesgos. Es

necesario definir cómo se aplicarán estos valores, especialmente considerando



que para un FR puede existir un control y para otro FR puede existir ese mismo

control más otros.

En este sentido existen distintos criterios. La mayoría son subjetivos y valorizan

como un paquete el conjunto de controles. Sin embargo, el nivel de subjetividad de

dicha valoración pone en riesgo el resultado de la valoración de los Riesgos. La

ventaja de trabajar con ecuaciones matemáticas, por muy simples que sean, es

que se mitiga o reduce en alguna medida, los conceptos y juicios de valor que

tergiversarán los resultados.

La siguiente fórmula, ha sido perfeccionada en el tiempo en base a los resultados

y experiencias de su aplicación. Esta fórmula genera un porcentaje de mitigación

producto de la combinación priorizada de los controles según su efectividad

individual.

% %Mc(1)(id1) %Mc(n)(i d1)∞

=2 ∗ −%Mc(i)(i d1)∞

=

Fuente: Desarrollo conjunto Ing. Alan Santos – Ing. Leopoldo Ponce

Donde,

%Mc(1) = % de mitigación del control que más mitiga

Id = posición relativa de la capacidad de mitigación del control que aplica

%Mc(n) = % de mitigación de n-ésimo control que más mitiga

Umbral = nivel máximo de mitigación asumiendo infinitos controles

%Mc(i) = % de mitigación del i-ésimo control que más mitiga.



Básicamente, se asume que el mejor control, aquel que controla o mitiga más,

opera mejor que los demás y en forma complementaria, los siguientes controles

van aportando mayor mitigación. Ello genera una representación matemática que

permite que la combinación de controles cuya capacidad de control y mitigación

conjunta sea mayor a la del mejor control individual.

El concepto se puede observar con mayor facilidad en el siguiente gráfico:

Fig 14 – Gráfico Aporte de Controles al % de Mitigación

Luego, es cuestión de definir en forma continua los límites entre un rango y otro.

Por ejemplo, la probabilidad e impactos se definen en rangos de 1 a 5, pero las

magnitudes del Riesgo no, solamente un nivel de tolerancia, puesto que la

magnitud combinando los valores máximos de 5 niveles sería levemente superior

a 6, en este ejemplo. En este sentido, se puede definir un par de niveles bajo el



nivel de tolerancia y otros 3 sobre dicho nivel, a objeto de generar las debidas

alertas. Por ejemplo, si el Nivel de Aceptación se ha definido como una Magnitud

de Riesgo 3, estamos estableciendo que todos aquellos Riesgos cuyas

magnitudes sean menores a 3 se encuentran controlados. Luego es posible

establecer que en el rango de 2 a 3 está “controlado” y en el rango menor a 2 está

“muy controlado”. Luego para aquellos valores sobre el Nivel Aceptable, se puede

decir que el rango de 3 a 4 tendrá un Nivel de Riesgo “Medio”, entre 4 y 5 un Nivel

de Riesgo “Alto” y sobre 5 un Nivel de Riesgo “Extremo”. Sin embargo, estos tres

niveles son inaceptables. Esta jerarquización permite identificar la prioridad con

que se deben designar los siempre escasos recursos para mitigar los Riesgos

según su Nivel.

Sin embargo, al jerarquizar por rangos, lo que se está haciendo es llevar una

Magnitud de Riesgo representado matemáticamente por una escala continua, a

una escala discontinua representada por los rangos. Esto se hace únicamente con

el fin de ofrecer a quienes no son entendidos en la materia y que en definitiva son

los que deciden las acciones relevantes de la organización, una herramienta más

digerible y fácil de comprender.

Existen muchas fórmulas de valoración de Riesgos que entregan valores

continuos.

Por ejemplo:

Riesgo = Pr *Ir *F*Vi*Pi C

Fuente: Proceso de Gestión de Riesgos y Seguros, Isabel Cáceres San José-Marti



Donde:

Pr es la Probabilidad Restante

Ir es el Impacto Restante

F es la frecuencia con que se ejecuta la actividad donde el FR se presenta

Vi es la Velocidad con que se presenta el Impacto

Pi es la Persistencia del Impacto

C es la valoración de los controles y mitigadores

En este caso, si se define que la Probabilidad, Impacto y Controles están en

escalas de 1 a 5 y la Frecuencia, Velocidad del Impacto y Persistencia del Impacto

son parámetros mayores a 0 y menores o iguales a 1, el resultado siempre será

entre 0 y 5, existiendo la posibilidad de tener magnitudes de Riesgo menores a 1.

Otra fórmula la indica la Norma Europea Solvencia para los seguros:

RSS = √ ∑ (( , ) ∗ ∗ )∞,=

Fuente: Directiva del Parlamento Europeo Solvencia 2009

Donde,

RSS = Riesgo de Suscripción de Seguro

CORR= es la combinatoria de los RSS j y k



La misma norma, mediante su Reglamento emitido en 2015 conocido como

Solvencia II establece la siguiente fórmula para determinar el Margen de Riesgo

de la cartera de seguros:

MR = CoC * ∑ ()(+(+))>

Fuente: Reglamento Delegado (UE) 2015/35 de la Comisión, Solvencia II

Donde,

MR = Margen de Riesgo

CoC = Tasa de Costo de Capital

CS(t) = Capital de solvencia obligatorio al cabo de t años

R(t+1) = tipo de interés sin riesgo básico correspondiente al vencimiento de

t + 1 años

Para calcular el nivel de Riesgo Cardiovascular, se han identificado una serie de

parámetros que aportan al riesgo. Para cada uno de estos parámetros se

determina un aporte parcial y la suma total indicará el nivel de Riesgo

Cardiovascular del individuo. De esta forma, el Riesgo Cardiovascular se

determinará como:

R.C. = f(Edad, Colesterol Total, Colesterol HDL, Antecedentes Familiares,

tabaquismos, género, estilo de vida)

Luego, para cada parámetro se puede determinar niveles de riesgo específicos o

rangos.



Por ejemplo, en el parámetro edad se podría establecer rangos como los

siguientes:

Rango Etario Aporte al Riesgo

Cardiovascular0 - 10 110 - 20 220 - 40 340 - 60 4

60 + 5

Igualmente, para cada parámetro se asignan rangos y valores de aporte, siendo

que el Riesgo Cardiovascular se definirá como la suma de los resultados

individuales de los factores que aportan riesgo.

Particularmente, para efectos de medición del Riesgo Cardiovascular (CV), los

médicos especialistas usan una serie de tablas de Riesgo basadas en los

siguientes parámetros:

País, Étina, Edad, Género, Antecedentes personales de enfermedad CV, Antecedentes familiares de enfermedad CV: sólo cuando éstos han ocurrido

en familiares de 1er grado. Tabaquismo, Hipertensión arterial, Diabetes, Dislipidemia, Obesidad abdominal, Sedentarismo, Colesterol HDL< 40 mg/dL, Triglicéridos >150 mg/dL



Estos son los parámetros utilizados en las Tablas de Framingham, las que se ven

aproximadamente como muestra la figura.

Fig 15 – Ejemplo Tabla de Framingham de Riesgo Cardiovascular (RCV)

Como se puede observar de los anteriores ejemplos, se puede desarrollar las

fórmulas que se estimen necesarias, con los parámetros adecuados a considerar

según el objetivo al cual apunta la Gestión de Riesgos en cada caso específico. La

principal ventaja de una escala continua, es que facilita la identificación y trabajo

en base a rangos, cosa que no ocurre con las escalas discontinuas.

Complementariamente, la ventaja de usar fórmulas, es que se elimina o de alguna

forma se reduce el aspecto subjetivo de la evaluación, entregando información

más certera.



EL FACTOR TIEMPO

Indistinto de la metodología, escalas o criterios definidos, siempre existirá una

pesadilla que rondará los rincones de nuestras mentes. Esta es cómo varía la

Magnitud del Riesgo en el tiempo.

Para analizar esta situación, es necesario definir cinco estados o puntos en el

tiempo que son relevantes. Se definirá como T0 aquella instancia de tiempo en que

no ocurre nada o desde la perspectiva de los parámetros de probabilidad e

impacto, aquel momento en el cual la probabilidad existe y es menor que 100%.

En el instante en que se materializa un incidente, ese preciso instante de tiempo

en que la probabilidad pasa a ser 100%, puesto que se ha materializado el riesgo,

se denominará T1. A partir de este punto, pasa un tiempo hasta el momento en

que la organización detecta y se da cuenta que se ha materializado el riesgo. A

este momento se le denominará T2. Entre T1 y T2 el impacto se va materializando

y en la medida que el tiempo transcurre, el impacto aumenta y el servicio o

proceso afectado se va degradando. En este punto (T2), la organización se

prepara para reaccionar, basado en los controles existentes o la intuición, según

sea el caso. Cuando efectivamente la organización comienza a reaccionar o los

controles comienzan a operar, ese instante será T3. A partir de la reacción de la

organización, se mitiga el impacto y este, en función lo la calidad de las respuesta,

irá disminuyendo hasta retornar a los niveles normales equivalentes a los

existentes en T0. Esto demorará el tiempo necesario para llegar a T4, el instante en

que se ha declarado que la incidencia ha sido superada.



Para algunos casos, estos tiempos pueden tener distancias temporales de unos

pocos segundos, mientras que para otros pudieran ser varios años, según sea el

riesgo materializado.

La figura 16 muestra estos tiempos en función del nivel de servicio que se ve

deteriorado por la materialización de un Riesgo específico.

Fig 16 – Representación gráfica e los efectos del tiempo

Desarrollo propio

Como se observa, entre T1 y T2, la organización percibe el impacto inicial. La

degradación del servicio dependerá de la velocidad con que el impacto se

materializa y la velocidad con que la organización reaccionará. A partir de T2, pese

a que se ha iniciado el proceso de activación de las respuestas y procesos de

recuperación, el impacto sigue aumentando hasta llegar el punto T3, donde los

esfuerzos de mitigación están operando al 100% y comienzan a dar frutos. Es

recién a partir de T3 que se comienza a mitigar el impacto, por lo que la duración

del período entre T3 y T4 dependerá esencialmente de la persistencia del impacto

y de las características de los mitigadores que operen.

Nivel normal

del Servicio

T0

T1

T2 T3T4



Ejemplos:

Un banco realiza transacciones en miles de millones de dólares en forma diaria.

Se puede suponer el peor escenario posible, que justo cuando está realizando una

de estas millonarias transacciones, se produce un incidente. El banco no puede

darse el lujo de perder una transacción, menos aún si es por mucho dinero que no

es de su propiedad. Por lo tanto, el tiempo entre T 1 y T2 debe ser menor a 1

segundo. Igualmente, el tiempo entre T3 y T4 no puede ser significativo y a lo más

será de unas horas.

Por otro lado, se dan situaciones como las centrales eléctricas nucleares. El

accidente de Chernobil, por ejemplo, tuvo un plazo entre T 1 y T2 de unos días.

Mientras que el período entre T3 y T4 aún no se puede cuantificar después de ¡30

años!



PROCESO DE GESTIÓN DE RIESGOS

El Proceso de Gestión de Riesgos, está definido por dos componentes. Por una

parte, está la definición de Proceso y por otra la Gestión de Riesgos. La figura

muestra gráficamente en qué consiste un Proceso.

Desarrollo propio

La Gestión de Riesgos consiste en la identificación y tratamiento de los riesgos

identificados, así como la aceptación de las consecuencias producto de la

materialización de uno de ellos u otro no identificado.

Luego, el Proceso de Gestión de Riesgos consiste en la transformación de datos

relacionados a riesgos que enfrenta la organización, en acciones de mitigación y

control de los mismos que permitan reducir las consecuencias de la

materialización de un riesgo.

En la figura 17 se muestra que el Proceso de Gestión de Riesgos se inicia con la

determinación por parte de las máximas autoridades de una organización para

iniciarlo. Suena sencillo, pero si las autoridades de la organización no están

interesadas, nada se puede hacer o su implementación será tan compleja que

Elementosde Entrada

Transformación

Elementosde Salida

DEFINICIÓN DE PROCESO

Inicio

Término



nadie participará y todo el trabajo irá a parar a la basura. Las máximas autoridades

deben definir y designar los recursos necesarios y posteriormente establecer las

definiciones y criterios bajo los cuales se realizará la Gestión de Riesgos. Con

estas definiciones se tendrá un Marco de Trabajo de la Gestión de Riesgos.

Dadas las definiciones y criterios establecidos, el ciclo de la Gestión de Riesgos

comienza con el levantamiento, identificación, valorización y cálculo de las

magnitudes de los Riesgos. Luego, estas deben se validadas con los usuarios

“Dueños” de los procesos y se procede a evaluar la consistencia entre las

magnitudes de riesgos resultantes y lo que el “sentido común” del dueño del

proceso dice. Si existen ajustes, sean en los criterios o en las definiciones, estos

se implementan y si no es necesario realizar ajustes, se procede a implementar

controles y mitigadores, y el proceso se inicia nuevamente.

DEFINICIONES

Inicio

LEVANTAMIENTO Y

CÁLCULOS

VALIDACIÓN

¿REQUIERE

AJUSTES? NO

REVISIÓN DE

DEFINICIONES Y

PARÁMETROS

SI

ACCIONES DE

MITIGACIÓN

Figura 17 Flujo de Levantamiento de Riesgos

Desarrollo propio



En general, como se ha mencionado anteriormente, el Proceso de Gestión de

Riesgos requiere de ciertos formalismos, designación de responsables,

otorgamiento de facultades y autoridades, así como de recursos para realizar la

tarea encomendada. En esta incipiente etapa, donde la Gestión de Riesgos se

encuentra incubando en las mentes de las máximas autoridades de la

organización y a penas germinada, es que se requiere tomar ciertas decisiones

tales como definir el Comité de Riesgos, su funcionamiento y operación, así como

el encargado de Riesgos, Oficial de Riesgos o Director de Riesgos, su estructura

organizacional y los recursos necesarios para implementarla.

En paralelo a la implementación de formalismos y designaciones, es factible iniciar

el proceso de identificación de los riesgos, para lo cual la identificación de

procesos críticos es recomendable y su posterior levantamiento o mapeo detallado

es una herramienta muy importante para las etapas siguientes. Durante el

levantamiento y mapeo de los procesos, para la debida Gestión de Riesgos, es

recomendable incorporar la mayor cantidad de información posible, tales como las

tecnologías involucradas, aspectos legales, documentos o informaciones que se

intercambian en uno u otro sentido del proceso, unidades o áreas responsables, si

hay infraestructuras específicas necesarias para desarrollar una actividad,

interacción con fiscalizadores, etc.

Una vez identificados los procesos, sus respectivas actividades, y sus respectivos

Riesgos, se puede proceder a valorizar los parámetros de Probabilidad e Impacto

de cada uno de los FR que generarían como consecuencia la materialización del



Riesgo evaluado. Si hay más parámetros, se evalúan y valorizan también en este

punto.

Luego, determinados los parámetros, es necesario conocer el Riesgo Inherente,

esto es la Magnitud del Riesgo bajo el supuesto que no existiese ningún tipo de

control o mitigador y siempre pensando en la peor situación. Una vez que el

Riesgo Inherente se ha determinado, y se conocen los controles y mitigadores

asociados a cada FR, se procede a determinar la Magnitud del Riesgo Residual o

Restante. En la práctica, este es el parámetro que a todos interesa, puesto que es

la situación actualizada de ese Riesgo.

Siguiendo con el proceso, es necesario validar que los resultados sean

consistentes y coherentes con la realidad, para lo cual, una forma, es generar

reuniones de trabajo con los “Dueños” de procesos y actividades puntuales,

exponer los resultados y validar en conjunto los parámetros y los resultados. Con

ello, junto con validar, se está integrando a los colaboradores al Proceso deGestión de Riesgos y a su vez, quienes deben administrar directamente los

Riesgos, se involucran y reconocen los niveles de riesgo y los requerimientos de

tratamiento específico identificado en sus casos. En este punto lo más relevante

es que quienes activamente participan de las actividades donde existen riesgos,

reconocen la existencia de los mismos y validan su magnitud. Existen situaciones

en que los resultados no hacen sentido y en la gran mayoría de los casos, resulta

que hay controles existentes que no han sido identificados anteriormente, por lo

que complementariamente se depura el levantamiento realizado.



Finalmente, si se requieren de nuevos controles o mitigadores, si se identifican

requerimientos de ajustes, se realizan y se revalidan. En su defecto, si se

identifican nuevos requerimientos de mitigación, se modifican los controles y/o

mitigadores existentes o se complementan con nuevos controles o mitigadores.

La implementación de nuevos controles y mitigadores por lo general conlleva

costos, tanto de implementación y puesta en marcha como de operación. Cuando

se decide implementar nuevos tratamientos al Riesgo, es necesario evaluar la

relación costo-beneficio. Se puede dar situaciones en que el costo de reducir un

riesgo es tal que no se justifica por el escaso beneficio. En estas situaciones se

puede considerar básicamente dos alternativas. Por un lado, se puede evaluar

modificar los seguros existentes y, de no existir, tomar un seguro. Con ello se

traspasa parcialmente el Riesgo a un tercero y se mitiga fuertemente el impacto.

Por otro lado, se puede asumir que se convivirá con ese Nivel de Riesgo, el que

será monitoreado en condiciones especiales con una frecuencia mayor. Si llegase

a surgir una tecnología o elemento a costo razonable que permitiera tratar el

Riesgo, esta será evaluada y eventualmente implementada. Una tercera opción a

evaluar es la de traspasar la actividad en la cual se genera el Riesgo a un externo

para que la desarrolle en beneficio de la organización, haciéndose responsable de

dicho Riesgo. Sin embargo, en este último caso, surgirán nuevos Riesgos.

Finalmente, en forma regular y sistemática, se valida la operación, funcionamiento

y adecuación del Modelo de Gestión de Riesgos, sus controles y mitigadores, su

cumplimiento y especialmente el registro de eventos, con lo que se procede a re-

evaluar y a afinar el resultado, permitiendo a la organización mejorar la calidad de



información respecto de sus riesgos y por ende una mejor calidad de información

para la toma de decisiones.



LEVANTAMIENTO DE PROCESOS

Para poder iniciar el levantamiento e identificación de los Riesgos, es necesaria

una comprensión detallada del proceso que se evaluará. La forma más práctica de

hacerlo es mediante un conjunto de documentos. Por un lado, un diagrama de

flujo que detalle las actividades, agrupadas en sub-procesos, si existieren, y en el

que cada toma de decisión y cada actividad, ya sea interna o externa, debiera

estar codificada y asociada a un área o unidad responsable de dicha tarea. El

segundo documento debiera ser una descripción operacional de cada una de las

actividades, indicando los elementos de entrada de dicha actividad, la actividad

propiamente tal y los elementos de salida. Además, en ambos documentos es

necesario indicar las tecnologías involucradas. En este sentido es importante

reconocer que una corchetera (engrapadora) o un lápiz pueden ser tan

importantes como una base de datos digital o un sistema informático de gestión.

Por ejemplo, en una actividad en particular se usan corchetes (grapas) para unir

importantes documentos, como un cheque y su respectivo documento de

autorización. Si no hay disponible una corchetera o siquiera corchetes que

permitan efectivamente unir ambos documentos para evitar el extravío de alguno

de ellos, la probabilidad de materialización de un FR del tipo “que se extravíe un

cheque” aumenta significativamente. Para evitar esta situación, se puede

considerar como mitigador, tener un pequeño stock de corchetes o clips

disponibles.

En un banco pequeño, el dueño es el único autorizado para firmar documentos

valorados sobre determinado monto. Hay un importante documento que debe ser



firmado con tinta azul, por un aspecto legal. Justo cuando va a firmar, no hay tinta

azul, solo negra y pese a que hay otras personas, solo hay lápices de tinta negra,

verde o roja o de cualquier color menos azul… ¿qué hacemos?

Ambos ejemplos anteriores son hechos reales que han sido observados en

distintas organizaciones y que efectivamente han causado impacto en las

organizaciones. Los detalles, usualmente los menos evidentes, son aquellos de

los que hay que preocuparse, del resto, sólo hay que ocuparse.



FLUJOGRAMA

Cuando se trabaja con flujogramas, en general, es necesario conocer algunos

aspectos básicos de los mismos. Para la documentación de los flujos se

recomienda el uso del método de notación BPMN (Business Process Modeling

Notation – ISO 19510:2013), el que consiste de una notación gráfica

estandarizada para el modelado de los procesos de negocio.

Su principal objetivo es:

Resolver las dificultades de comunicación que tiene el lenguaje común

Proporciona un método normalizado para representar procesos de negocio

Facilita su entendimiento debido a la poca complejidad de su notación

Proporciona un lenguaje común entre los usuarios de negocio y los técnicos

Facilita la diagramación de los procesos de negocio

Algunas reglas o buenas prácticas mencionan lo siguiente:

1. Por lo general existe a lo menos un punto de inicio y un punto final del

proceso.

2. Una actividad específica puede gatillar varias actividades subsecuentes

paralelas.

3. Una actividad específica puede ser gatillada por una o varias actividades.

4. Una decisión sólo tiene dos salidas, esto es que se cumple o no se cumpleuna condición.

5. La línea de unión de dos figuras debe indicar hacia donde se dirige el flujo.



6. En el caso de las líneas de salida de una decisión, deben indicar si esa ruta

corresponde a una confirmación de la condición o a una negación de la

misma.

Es recomendable que con cada actividad, adicionalmente se identifiquen:

1. Documentos o comunicaciones de entrada y/o salida de la actividad.

2. Tecnologías utilizadas para recepción y/o transmisión de insumos a la

actividad, procesamiento de la actividad y entrega o despacho de los

resultados de la actividad.

3. Infraestructura relevante utilizada en esa actividad.

4. Un código único que permita identificar la actividad o toma de decisión en

forma específica.

Fig. 18.- Ejemplo de Flujograma de Sub-Procesos

Desarrollo propio



Figura 20 Ejemplo de Simbología de Flujos

Fig. 19.- Ejemplo se Flujograma en detalle

Desarrollo propio

En la figura 19 se puede observar que

las actividades específicas y las

decisiones se encuentran codificadas

y que algunas de estas actividades

tienen varias figuras numeradas en

torno a las actividades o sub-

procesos. Estas corresponden, según

sea el caso, a herramientas digitales o

en papel, cuyo número se asocia a una tecnología en particular o un tipo de

documento que se ha definido y documentado en otra sección del gráfico,

generando un diccionario o glosario de figuras y numeraciones necesarias para

poder comprender el detalle del flujo.



Es importante contar con algún tipo de descriptor de la simbología, tal que permita

conocer el significado de cada uno de ellos.



generar Factores de Riesgo con la falta de controles del tipo “¿Qué no funcione el

generador ?”. En este caso, el FR indica que no funcione el control, lo que no es un

FR, sino debe ser evaluado y considerado al momento de asignar una calidad al

control. Igualmente es tentador definir varios FR del tipo “Que se enferme la

Recepcionista” y luego “Que se enferme el Gerente XXXX”, etc. En realidad lo que

se está identificando es “Que no se disponga del RRHH necesario en el momento

adecuado” o “Que no se disponga de RRHH Críticos”. Con ello se analiza sólo un

FR y se cubren todas las alternativas, incluyendo las variantes de que se

enfermen o renuncien o simplemente que no estén disponibles porque fueron a un

evento en el colegio de su hijo. Obviamente se debe intentar evaluar aquellas

alternativas más críticas.

Por ejemplo, el efecto que se puede tener producto que la secretaria-recepcionista

se enferme puede ser muy distinto del efecto que el administrador de la base de

datos que se explota diariamente se enferme, o que el Gerente que firma los

cheques se enferme. Son Riesgos distintos, de probabilidad e impacto distintos,

pero el FR es el mismo, que la persona que realiza la actividad se enferme o que

el 10% de los RRHH de la empresa se enferme en un mismo instante, etc.

Muchos considerarán que evaluar que el 10% del RRHH se enferme

simultáneamente es demasiado exagerado. Sin embargo cuando se producen

pandemias como la gripe aviar o la gripe porcina, efectivamente es posible y de

hecho sucedió, que más del 10% de los RRHH de diversas organizaciones no

pudieron ir a trabajar. Se recurrió a planes de emergencia y tecnologías que

permitieron el trabajo remoto, pero eso es un mitigador del Riesgo.



Otro ejemplo similar es con las inundaciones. Están aquellos que tienden a

matizar “que se inunde con 1 cm de agua”, “que se inunde con 5 cm de agua”, etc.

Son matices, en la práctica es “que se rompa una cañería”, lo cual es válido

incluso en pisos altos. Sin embargo, también se puede producir una inundación

porque en la oficina de arriba se produjo una filtración o se rompió una cañería.

Luego todas estas variantes están incluidas en el FR “Que se rompa una cañería

provocando una inundación”, dado que lo importante es la consecuencia o impacto

y no la variante de la causa específica.



IDENTIFICACIÓN DE RIESGOS

Teniendo identificados los FR específicos e individuales, que no son fallas o faltas

de controles, se pueden agrupar en variados criterios. Usualmente las normas

relacionadas a la Gestión de Riesgo indican una serie de categoría y es cuestión

de analizarlas e ir asociando los FR a los Riesgos especificados. Por ejemplo,

Basilea II especifica 7 categorías señaladas anteriormente.

Estas categorías son válidas para cualquier tipo de organización, indistinto que

fueran concebidas originalmente para la industria financiera. Obviamente existen

Riesgos específicos que se enmarcan en cada una de estas categorías. Por

ejemplo: “Accidente Laboral”; “Acoso”; “Discriminación”; etc, son Riesgos

específicos asociados a “Relaciones Laborales Y Seguridad En El Trabajo”.

Complementariamente, si se considera necesario se puede abrir otras categorías

como por ejemplo Legales o Político – Sociales.

Luego, estos Riesgos específicos agrupan distintas formas como se puede

materializar. Por ejemplo, el Riesgo “Acoso” incluye “Que se solicite favores extra-

laborales a un subalterno con fines laborales”; “Que un supervisor genere cargas

de trabajo desproporcionadas respecto de sus supervisados”; “Que una autoridad

exija favores sexuales a cambio de mejoras de evaluaciones, remuneraciones o

simplemente para mantener el trabajo u otras condiciones”; etc. Todos estos FR

son distintos, pero todos están asociados al concepto de ACOSO, por lo que se

agrupan en ese Riesgo. Eventualmente pueden existir Riesgos mencionados en

normativas o guías de referencia que no aplican a la organización y en dicho caso,

no deben ser considerados. Sin embargo, usualmente la gran mayoría de las



categorías y Riesgos mencionados en las normas y recomendaciones aplican a

cualquier organización, indistinto del tamaño, giro, complejidad, tipo, etc.

No obstante, es importante recordar que el Riesgo más relevante no es el más

crítico y usualmente el de mayor impacto, es aquel que no conocemos o el cual no

consideramos como factible. Por mencionar tan solo un ejemplo, cuando el WTC

en Nueva York fue atacado y destruido por terroristas, uno de los Directores de la

compañía de seguros que ostentaba los seguros correspondientes se declaró

inmediatamente en quiebra. Eventualmente pudieron llegar a esa situación, pero

una adecuada Gestión de Riesgos interno de la compañía les permitió traspasar

gran parte de sus costos a Re-aseguradoras que terminaron por responder con los

pagos correspondientes.



ASOCIACION FACTOR DE RIESGO – RIESGO

Una vez identificados los FR y definidos los Riesgos, es necesario relacionar de

alguna forma estos elementos. Ello es necesario dado que un mismo FR puede

materializar distintos Riesgos y a la inversa, un mismo Riesgo puede tener varios

FR. Por ejemplo, el Riesgo de Accidente Laboral tiene asociado el FR “Que se

accidente el mensajero”. Sin embargo, ese mismo FR “Que se accidente el

mensajero” también puede materializar un Riesgo de “Pérdida de documentos

jurídicos”.

Las asociaciones de unos con otros pueden ser infinitas. Sin embargo, a objeto de

no volverse demasiado exagerado, se sugiere que un Riesgo no tenga más de 40

ó 50 FR asociados y a su vez, que un FR no se asocie a más de 8 ó 10 Riesgos.

El promedio ideal es de 5 a 6 FR por Riesgo, pero como todo lo utópico, es

extremadamente improbable.

A su vez, es muy importante una adecuada codificación. En este sentido, unaforma que garantiza una codificación única de la forma Rxx, donde xx es un

número secuencial o aleatorio, pero único y los FR, también debidamente

codificados, por ejemplo FRyyy donde yyy es un número único. La combinación de

estos, generará un código único para la relación FR – Riesgo, lo que será muy útil

al momento de identificar los FR más relevantes dentro de un Riesgo en particular.



VALORACIÓN

Una vez identificados los FR, definidos los criterios y la metodología que se

utilizará, comienza el trabajo de valorizar cada uno de los parámetros para cada

uno de los FR y de los controles. Lo peor que se puede hacer, es que a puerta

cerrada, entre un grupo de colaboradores que en ningún momento se encuentra

involucrado con las actividades o procesos donde se genera el FR, se valorice en

función del “criterio” de cada uno. Lamentablemente, el “criterio” no se puede

comprar en el negocio de la esquina o en supermercado de su rubro. Es por ello

que es indispensable estandarizar e integrar a los involucrados en las actividades

específicas.

Una forma que ha demostrado dar buenos resultados, es reunir a todos quienes

están involucrados en el proceso, desde el auxiliar que reparte la correspondencia

hasta el director general, si participan en el proceso. Se hace una pequeña

introducción explicando la actividad a desarrollar, la metodología y los resultados

esperados.

La metodología básicamente consiste en primero evaluar los parámetros de

Probabilidad para cada uno de los FR identificados. Esta situación permite

concretar varios aspectos relevantes, puesto que primero se valida por los propios

usuarios, en forma pública, que los FR identificados efectivamente son válidos y

eventualmente incluso pueden surgir nuevos. Adicionalmente, se está capacitando

a los asistentes en la Gestión de Riesgos y por último, se genera conciencia de los

niveles de relevancia de mitigar los FR en forma permanente. La idea es que para



cada valoración se dé un espacio para conversar respecto del nivel de

probabilidad e intentar llegar a un consenso al respecto. Si no es posible un

consenso, se puede aplicar la MODA, esto es la valoración con mayor cantidad de

adeptos. En caso que aun así no sea posible concretar un valor, se puede usar un

promedio redondeado.

El promedio es recomendable hacer lo posible por evitarlo, puesto que no es

precisamente una buena salida, dado que justamente elimina los extremos. Sin

embargo, cuando no hay solución en el debate y el tiempo apremia, es una

alternativa válida.

El motivo de comenzar por valorizar la Probabilidad, es que dados criterios

estandarizados, es más fácil identificar las probabilidades de ocurrencia y la

frecuencia con que una actividad expone a la organización a un Riesgo en

particular.

Una vez recorridos todos los FR y valorizados todos los parámetros de

Probabilidad para cada uno de ellos, se procede a valorizar los parámetros del

impacto. Se ocultan los valores de los parámetros de probabilidad evaluados

previamente, pudiendo incluso realizar esta segunda etapa de valoración en una

segunda reunión de trabajo, con el objeto de evitar “subjetivisar” el impacto. La

ventaja de trabajar únicamente sobre estos parámetros es que se plantea que

indistinto del evento y de su probabilidad, se considera que el incidente

efectivamente sucedió. La organización se ve efectivamente enfrentada a una

situación que le genera un impacto negativo.



Probablemente lo más complicado, es que los colaboradores no consideren los

controles ya existentes. Por ejemplo, si la organización se ve afectada por un

incendio, no se debe considerar los seguros para efectos de valorizar el Impacto,

puesto que posteriormente, aplicando la fórmula que corresponda y en función de

las características de los seguros, estos mitigarán el impacto del incidente

generando una valoración “objetiva” del Nivel de Exposición al cual la organización

está expuesta, producto de la inexistencia de seguros o de seguros que no cubren

la totalidad de los requerimiento, etc.

Luego, es necesario valorizar los Controles. En una tercera etapa o reunión, con el

mismo grupo se procede a valorizar los parámetros asociados a cada uno de los

controles en forma individual, indistinto del FR al que apliquen o la metodología

que se utilice.

Finalmente, se procede a asociar cada control el/los FR que mitiga.



RIESGO

INHERENTE O INICIAL

Producto del análisis detallado y la valoración individual de los FR asociados a

cada Riesgo, se calcula un primer nivel de exposición denominado Riesgo

Inherente. Este consiste con el cálculo de la Magnitud del Riesgo, pero sin

considerar los controles, podríamos decir que se evalúa el Riesgo “tal cual Dios lo

trajo al mundo”, desnudo. Este cálculo matemático entregará un valor asociado al

Riesgo Inherente o propio de la actividad para cada FR. Dado lo anterior, es

necesario identificar, para cada Riesgo, cual es el FR, asociado a ese Riesgo en

particular, que tiene la mayor exposición y por ende es el que lleva al Riesgo a su

mayor nivel. En general es bastante evidente, pero hay ciertas condiciones de

borde que deben ser consideradas y tratadas.

Supongamos que tanto la probabilidad como el impacto están en escala de 1 a 5.

La metodología o fórmula para calcular el Riesgo será P * I. Qué sucede cuando

tenemos un FR con Probabilidad = 4 e Impacto = 5 y lo comparamos contra otro

de Probabilidad = 5 e Impacto = 4. Al aplicar nuestra fórmula, en ambos casos

tenemos el mismo valor, 20. Cuál de los dos es más relevante? Es necesario

definir un criterio que permita discriminar cuál de los dos es más relevante.

Cuando ocurren estas situaciones medias extrañas, es recomendable considerar

como más relevante aquel FR cuyo Impacto es mayor. El motivo es que al

comparar dos situaciones, se presume que ambas han ocurrido, luego el Impacto

es la variable que manda para diferencia la prioridad de uno sobre el otro.



Un elemento interesante a destacar en este punto, es que usualmente el FR que

lleva el Riesgo a su máximo Nivel de Exposición es el más evidente y a su vez el

más controlado. A su vez, en la mayoría de los Riesgos, sucederá que una vez

aplicados los controles sobre un Riego en particular, será otro el FR que llevará el

Riesgo a su máximo Nivel de Exposición, pero aun así, será menor que el

inherente.



RIESGO RESTANTE O RESIDUAL

El Nivel de Riesgo Restante o Residual es el resultado del tratamiento del Riesgo

mediante controles y mitigadores que se aplican en determinadas actividades en

las que surgen los FR que pueden materializar distintos Riesgo. En otras palabras,

es el resultado de aplicar los controles y mitigadores disponibles a los FR

identificados y es el Nivel de Riesgo al cual la actividad está expuesta pese a que

se aplican los controles identificados.

Si el Nivel de Riesgo Residual de un Riesgo en particular es superior al Nivel de

Aceptable, significa que es necesario tomar medidas suficientes para reducir dicho

Nivel bajo el nivel aceptable o eventualmente, con conocimiento y debidamente

documentado, decidir traspasar dicho Riesgo a una aseguradora o simplemente

asumir dicho Riesgo.

MAPAS DE RIESGOS

El Mapa de Riesgos no es más que una representación gráfica de los resultados

de la evaluación de Riesgos y debe ser relativamente fácil de comprender por

parte de personas que no son entendidas en la materia, tales como altos directivos

de la compañía y Directores de la misma. En este sentido, existen distintas formas

de representación. No hay unas más correctas que otras, sino que simplemente

son distintas en función de lo que se pretende enfatizar.



MAPA DE PROBABILIDAD x IMPACTO

Estándar

El Mapa de Riesgos estándar basado en Probabilidad e Impacto, considera que

cada Riesgo es representado por un punto dado por la coordenada generada de

los resultados de la Probabilidad (eje X) y el Impacto o Severidad (eje Y) (también

se usan los ejes invertidos, donde el Impacto es el eje X y la Probabilidad el eje Y).

En este Mapa la Magnitud del Riesgo está dada por la magnitud del vector de

origen en el punto de intersección de los ejes que termina en la coordenada del

Riesgo. Eventualmente la magnitud puede estar dada por el color resultante por la

posición relativa en la matriz de colores y determinando su nivel de riesgo de esta

forma.

Fig 21.1 Mapa de Riesgos estándar P x I Fig 21.2 Mapa de Riesgos estándar P x I

5

4

3

2

1

1 2 3 4 5

IMPACTO

P R O B A B I L I D A D

FR03

FR212

FR244

FR142

FR190

R04e



Variabilidad de Probabilidad y/o Impacto

Un Mapa de Riesgos del tipo P x I con variabilidad de Probabilidad y/o Impacto

representa, adicionalmente a la coordenada del Riesgo, su margen de error

respecto de la Probabilidad e Impacto representados. En este sentido, pudiera un

Riesgo tener una Probabilidad 2 con una variación de un 10% por tanto en

realidad estaría entre 1.8 y 2.2. Lo mismo sucede si existe un margen de error

conocido respecto del impacto potencial.

Fig 22 Mapa de Riesgos de tipo P x I con variabilidad de Probabilidad e Impacto

Desarrollo propio

FR212FR160

FR22

FR161



MAPA DE RIESGO RESTANTE

Otra forma de mostrar gráficamente la Magnitud de los Riesgos es directamente

utilizando las escala de riesgos. Así el tamaño de la figura indicará la cantidad de

Riegos asociados a una Categoría en particular, el eje vertical indicará la mayor

Magnitud de Riesgo Residual de alguno de los Riesgos de dicha Categoría y el

horizontal la Categoría. El resultado se muestra en la figura 23, lo cual permite un

primer nivel de información ejecutiva.

Fig 23 Magnitud del Riesgo por Categoría

Desarrollo propio

En general, cuando un Riesgo se encuentra con una “ Alta” Probabilidad y es de

“ Alto” Impacto, debe ser tratado inmediatamente. Cuando es solamente la

25

32

45

17

29

12

39

Magnitud del Riesgo por Categoría de Riesgo



Probabilidad la que se puede afectar, es necesario implementar planes de control

tales como capacitaciones, dobles controles u otras medidas que permitan reducir

dicho parámetro. Cuando lo único que se puede mitigar es el impacto, es

recomendable implementar planes de continuidad operacional y evaluar seguros

complementarios que mitiguen a lo menos el impacto financiero para la

organización.



INFORMES

Con cada ciclo de Gestión de Riesgos, donde se ha evaluado cada uno de los FR

y se ha determinado los niveles de exposición de cada Riesgos y su relación con

sus respectivos Niveles de Tolerancia o Aversión al Riesgo, es necesario informar

a las máximas autoridades de la organización el estado del arte o la situación

vigente de los Riesgos. Esta información es muy importante para la toma de

decisiones y particularmente aquellas que tengan que ver con temas estratégicos

o con enfrentar situaciones de desmedro.

Por ejemplo, las compañías de seguro cobrarán menor prima si el nivel de

accidentalidad es nulo o bajo. En la medida que se apliquen controles adecuados,

el nivel de accidentabilidad bajará, las primas bajarán y todos estarán felices. Por

otro lado, es importante para la autoridad organizacional conocer estos factores,

puesto que se podría estar estudiando la fusión de la organización con otra y el

tener niveles bajos de accidentabilidad pudiera ser un factor preponderante en las

negociaciones y particularmente el precio. En el sentido opuesto, dada una

situación de mercado que se contrae, es posible que sea necesario realizar

recortes presupuestarios. El hecho de tener una baja accidentabilidad es una

fortaleza que permitirá que los recortes no estén por ese lado.

En general, el informe debe comenzar con una breve reseña de la situación

anterior. Breve, de no más de un párrafo o dos, sumando no más de unas 10

líneas. El informe debe ser ejecutivo, breve, conciso, sin rodeos, directo a la

materia. Luego una reseña de la situación actual, no más larga que la anterior y



finalmente una reseña de lo que se está haciendo para mejorar la situación actual.

Cada uno de estos puntos no debe extenderse significativamente, puesto que se

complementará con información en detalle en el resto del informe. Todo esto debe

estar en una única página del informe, puesto que es EJECUTIVO y no en detalle.

La siguiente sección del informe deberá profundizar un nivel mostrando gráficos

de cada Categoría de Riesgo, el comparativo del ciclo anterior y el actual. Ello

permitirá mostrar en forma resumida la evolución de la Gestión de Riesgos a nivel

de Categoría.

La siguiente sección profundiza aún más, y debe indicar los Factores de Riesgos

específicos más riesgosos o peligrosos, indicando en primer lugar aquellos de

mayor prioridad y paulatinamente llegar hasta los de Magnitud del Riesgo medio o

bajo, según sea el caso, hasta los cuales tengan una Magnitud del Riesgo sobre el

Nivel de Aceptación definido, pero por muy poco. De esta forma se facilita la

priorización de la asignación de los recursos y facilita la generación de proyectosnecesarios para implementar nuevos controles.

En algunos casos, pudiera ser necesario especificar la situación particular de

alguno de ellos, incluso cuando un Riesgo está bajo el nivel de tolerancia, por

motivos de cumplimiento legal. Usualmente, estos Riesgos específicos tienen que

ver con la probabilidad de comisión de algún delito por parte de la organización o

que esta sea utilizada por clientes o proveedores para cometer ilícitos. Es por ello

que pudiera ser tan relevante tratar estos Riesgos específicos en sesiones de

Directorio o reuniones de las máximas autoridades de la organización.



Luego de este informe de la situación vigente, se debe indicar el seguimiento

realizado a los indicadores de Riesgo. En general, estos indicadores no debieran

ser más de 10, los que se informan, indistinto de que el área o unidad a cargo de

la Gestión de Riesgos pueda tener varios más. La idea es escoger los principales

indicadores que den el mayor valor posible a la visualización de la relevancia de

los Riesgos y requerimientos de la Gestión de Riesgos, así como el mayor aporte

a la toma de decisiones. Al igual que con los Riesgos, es necesario indicar la

situación comparada de cada indicador respecto del ciclo anterior y agregar

alguna pequeña descripción que justifique la variación en uno u otro sentido.

Por ejemplo, el número de caídas de sistemas podría ser un indicador. En el

período anterior era 0 y para este período es 1. Se puede explicar que hubo una

situación no prevista de cortes de energía en el proveedor de los sistemas, lo que

afectó por aproximadamente xx minutos a nuestra organización. Se aplicarán las

multas establecidas en el contrato y se está evaluando el costo de cambiar de

proveedor o de implementar un sistema de respaldos más complejo y seguro.

Finalmente, el informe debe indicar los proyectos asociados a la Gestión de

Riesgos, y todos los respectivos parámetros del proyecto, tales como responsable,

nivel de avance, problemáticas puntuales, presupuesto, gasto real, etc.

Un informe con estas 5 secciones, se puede entregar en una reunión de directorio

o un Comité de Directores, y su presentación no debe durar más de 15 a 20

minutos, salvo que existan dudas de los asistentes. Este informe debiera ser

fácilmente entendido por un Directorio o una Alta Gerencia para incorporarlo en los

procesos de toma de decisión de la organización.



ANÁLISIS COSTO BENEFICIO

La Gestión de Riesgos no implica únicamente identificar la Magnitud del Riesgo

Restante de la organización a un Riesgo en particular, sino que además requiere

que se determine qué hacer con él. Sin embargo, solamente el qué hacer no

basta, puesto que los costos involucrados pudieran no justificar el beneficio de

controlar el Riesgo. Por ejemplo, si la infraestructura tiene un costo de 100 y

mitigar el riesgo de pérdida de ella significa una inversión de 200, el costo es muy

superior al beneficio y tal vez es mejor simplemente aceptar el Riesgo.

Es por lo anterior que, adicionalmente al informe ejecutivo, una adecuada Gestión

de Riesgos hace necesario entregar a las máximas autoridades de la organización

un análisis de los costos involucrados en la mitigación de los Riesgos versus los

beneficios esperados de dicha inversión. En general, los costos son bastante

claros y tienen que ver con bienes y servicios específicos, tales como servicios de

monitoreo y vigilancia o bienes como extintores y sistemas automáticos de

extinción de incendios o primas de seguros, etc. Sin embargo, la parte difícil de

justificar es el beneficio y su mayor proporción respecto del costo.

Por ejemplo, el costo de instalar un sistema de extinción de incendios puede ser

del orden de US$1.000.000 en una bodega. Sin embargo, el costo de los

productos en dicha bodega, superan en 10 veces dicho valor. A eso es necesario

considerar pérdidas de mercado producto de un evento de esta naturaleza, juicios

y demandas de vecinos y terceros afectados, además de la propia producción que

no se puede generar.



Cuando el resultado de la proporción entre invertir en mitigadores y el costo

resultante es casi 1, es decir son casi iguales, es necesario evaluar dos

alternativas. Por un lado, según el monto involucrado, decidir asumir dicho costo

en caso de materialización de un evento. La otra alternativa es evaluar seguros a

los cuales poder traspasar a lo menos el impacto financiero de un evento de dicha

naturaleza. Una tercera alternativa sería asumir el Riesgo.



REGISTRO DE PÉRDIDAS

Usualmente, cuando se inicia el proceso de Gestión de Riesgos, no hay

disponibles registros o estadísticas respecto de las probabilidades o de los

impactos reales de todos los eventos. Es por ello que es indispensable, junto con

el inicio del proceso de Gestión de Riesgos, generar un modelo de base de datos

que permita registrar y contabilizar las pérdidas y en definitiva los impactos.

Este registro debe contener la mayor cantidad posible de información, tal que

permita hacer un análisis y como resultado del mismo se puedan implementar

mejoras. Por ejemplo, cuándo sucedió, qué sucedió y cómo sucedió. El cuándo es

bastante evidente, se debe indicar no sólo la fecha, sino también la hora y el lugar.

El qué, debe ser una descripción más que de los eventos, de la percepción de la

situación, del contexto general en que se dio el incidente y el cómo debe indicar el

análisis de causa raíz y sus conclusiones. Adicionalmente, es necesario detallar

los efectos en la infraestructura, la tecnología, la producción, las personas, el

negocio como tal, si los seguros operaron adecuadamente, si se detectaron

falencias en planes de evacuación, planes de contingencia, etc.

En la medida que se disponga de mayor cantidad y calidad de información, mejor

será la evaluación de los riesgos, la comprensión de los requerimientos de

mitigación y más certero el análisis de costo – beneficio de los controles

implementados.



Por ejemplo, en las industrias manufactureras es común ver carteles que indican

la cantidad de días transcurridos desde el último accidente. Un accidente en una

industria donde la mano de obra es intensa, tiene un costo que va más allá de la o

las personas accidentadas, con el costo que significa el tratamiento de las

lesiones, los costos de recuperación y eventualmente capacitación. También hay

que considerar los costos de despido y los costos de reemplazo, sólo desde el

punto de vista del recurso humano. Adicionalmente, están los costos de la

producción propiamente tal. Si el proceso productivo se detuvo durante varias

horas o eventualmente días, existe un costo relevante en la materia, la reposición

de componentes o maquinarias dañadas producto del accidente, el impacto en la

moral y la eficiencia de los colaboradores que vieron el accidente o participaron

indirectamente, amigos y colegas. Complementariamente, subirá la prima de

accidentes, y en el peor de los casos puede incluso surgir demandas laborales o

descontento general. Directamente, todo lo anterior debe valorizarse en dinero,

necesariamente, puesto que ello se comparará con el costo de implementar una o

un conjunto de medidas con el objetivo que el incidente no se repita y a que si

llegase a ocurrir, el impacto del mismo sea el menor posible.



GLOSARIO

Amenaza: Causa potencia de un evento no deseado, que puede resultar en daños

o perjuicios a los sistemas o la organización.

Análisis de Riesgo: Proceso de comprender la naturaleza del riesgo y determinar

el Nivel de Riesgo.

Apetito de Riesgo: a) Magnitud del Riesgo que se está dispuesto a aceptar en

búsqueda de resultados acordes con los objetivos de la organización. (Nivel de

Aceptación). b) Decisión informada de asumir un determinado Riesgo.

Apreciación del Riesgo: Es el proceso global de identificación, de análisis y de

evaluación del Riesgo.

Auditoría: Proceso sistemático, independiente y documentado para obtener

evidencia y evaluarla objetivamente para determinar el nivel de cumplimiento de

los criterios de auditoría.

Alcance de la Auditoría: Extensión y límites de una auditoría.

Alta Dirección: Persona o grupo de personas que dirigen y controlan una

organización a su más alto nivel.

Aversión al Riesgo: Actitud de alejarse del Riesgo.

BCP: Sigla del inglés Business Continuity Plan o Plan de Continuidad de Negocio.

Su objetivo es contar con procedimientos claros y estructurados que permitan



proteger a las personas y continuar con la operación o restablecerla a la brevedad

posible.

BIA: Sigla del inglés Business Impact Analysis o Análisis de Impacto al Negocio.

Su principal objetivo es identificar aquellas situaciones que de materializarse

generarían un mayor impacto negativo en la organización, tal que la misma pueda

preparar acciones o controles que reduzcan la probabilidad que ocurran estos

eventos o que en caso de ocurrir, el impacto sea menor al considerado

originalmente. (véase el punto BIA)

Buena Práctica: Conjunto de criterios y/o actividades que han sido probadas en

diversas organizaciones de diversas características, que han dado resultados

positivos.

Capacidad de Riesgo: Máxima Magnitud de Riesgo Restante que la organización

es capaz de soportar en caso de materialización de el/los Riesgos.

Criterio: Término de referencia contra el cual se realiza una evaluación.

Crítico: Característica de un elemento, actividad, sub-proceso o proceso, sin el

cual la organización no puede continuar su operación usual.

Control: Proceso, elemento o acción, que permite controlar y/o mitigar, identificar

o reaccionar ante la materialización de un Riesgo.

Controlar : Acción que reduce de alguna manera la Probabilidad de la

materialización de un Riesgo.

Consecuencia: Resultado de un evento que afecta objetivos.



Descripción del Riesgo: Declaración estructurada del Riesgo que usualmente

contiene cuatro elementos: fuentes, eventos, causas y consecuencias.

Dueño del Riesgo: Persona o entidad que tiene la responsabilidad y autoridad

para gestionar el Riesgo.

DRP: Sigla de inglés Disaster Recovery Plan o Plan de Recuperación de

Desastres. Cuando el BCP no logra controlar la situación y se declara que ha

ocurrido un desastre, este conjunto de planes e instrucciones establecen los

mecanismos para recuperar a la organización de una situación de esta naturaleza.

Efectividad: Se refiere a las capacidades de un control de operar en calidad,

tiempo y alcance de acuerdo a sus características propias.

Eficacia: Característica relacionada a “cuán bien” opera o se ejecuta una

actividad, proceso o control.

Eficiencia: Característica relacionada a “cuán rápido” opera o se ejecuta una

actividad, proceso o control.

Escala: Conjunto de valores ordenados, continuos o discretos, o conjunto de

categorías a los cuales un parámetro hace referencia.

Evaluación del Riesgo: Proceso de comparación de los resultados del Análisis de

Riesgos con Criterios de Riesgo y/o el Nivel de Aceptación o Tolerancia al Riesgo.

Evento: a) Algo que sucede en la organización fuera de lo establecido en los

procedimientos y procesos usuales de la misma. b) Cambio en un conjunto

particular de circunstancias.



Factor de Riesgo (FR): Causa raíz o incidente que materializa un Riesgo en

particular.

Fuente de Riesgo: Elemento que por sí solo o en combinación con otros tiene

potencial intrínseco de materializar un Riesgo.

Gestión de Riesgos: Actividades coordinadas para administrar, dirigir y controlar

una organización respecto de los Riesgos.

Identificación de Riesgos: Proceso de detección, reconocimiento y descripción

de Riesgos. (Véase el punto Identificación de Riesgos)

Impacto: Resultado negativo sobre la organización dada la materialización de un

Riesgo. (Véase el punto Impacto)

Incidente: Evento de connotación negativa para la organización.

Incertidumbre: Estado, incluso parcial, de deficiencia de información relacionada

con la comprensión o conocimiento de un evento, su consecuencia o su

probabilidad.

Indicador : Medida que provee una estimación, valoración o referencia de una

variable, una actividad, o un proceso, como resultado de un proceso de análisis.

Matriz de Riesgos: Herramienta que permite ordenar y priorizar Riesgos,

mediante la definición de rangos de parámetros tales como Probabilidad o Impacto

u otros.

Mapa de Riesgo: Representación gráfica de los resultados del tratamiento de los

Riesgos reflejados en la Matriz de Riesgos Residual o Restante.



Medición: Proceso para determinar un valor.

Mitigar : Acción que reduce de alguna manera el Impacto de la materialización de

un Riesgo.

Monitoreo: Proceso de determinación del estado de un proceso o actividad

específica en un momento dado.

Nivel de Aceptación: a) Magnitud del Riesgo que la organización está dispuesta

a correr, pudiendo afectar negativamente los resultados financieros de la

organización. b) Magnitud del Riesgo considerada aceptable y dentro del Apetito al

Riesgo.

Nivel de Exposición: Cantidad o Nivel de veces en que la organización se ve

“expuesta” a la materialización de un Riesgo en particular.

Nivel de Riesgo: Magnitud del Riesgo, resultante de la Apreciación del Riesgo,

representada como el resultado de una combinación de variables.

Percepción del Riesgo: Visión que las partes interesadas tienen del Riesgo.

Política: Expresión formal de intención y dirección de una organización por parte

de la Alta Dirección.

Probabilidad: Frecuencia de veces que se materializa un evento respecto de la

cantidad de veces que se ejecuta la acción en la cual el riesgo está presente.

(Véase el punto Probabilidad)

Proceso: Transformación de elementos de Entrada en elementos de Salida.



Resiliencia: a) Capacidad adaptativa de una organización en un ambiente

complejo y cambiante. b) Resistencia.

Riesgo: a) Combinación de parámetros de Probabilidad e Impacto respecto de la

materialización de un evento específico que afecte a la organización o su

desarrollo cotidiano. b) Contingencia o proximidad de un daño. c) Efecto de la

incertidumbre en los objetivos.

Riesgo Residual: Riesgo restante.

Riesgo Restante: a) Resultado de la combinación de la evaluación de

Probabilidad, Impacto y Controles que indica la prioridad y nivel de efecto de un

Riesgo en particular. b) Magnitud del Riesgo luego de aplicar un tratamiento al

Riesgo.

RPO: Sigla del inglés Recovery Point Objective o Punto Objetivo de Recuperación,

es la cantidad de datos o procesos que la organización considera tolerable o

aceptable perder antes de considerarlo una interrupción del proceso.

RTO: Sigla del inglés Recovery Time Objective o Tiempo Objetivo de

Recuperación, es la cantidad de tiempo que se considera aceptable que un

proceso pueda estar detenido hasta que éste se reactiva sin ser considerado

crítico.

Tratamiento al Riesgo: a) Combinación de controles que tienden a reducir el

impacto y/o probabilidad de materialización de un Riesgo. b) Proceso para

modificar el Riesgo.



Tolerancia al Riesgo: Rango de error aceptable para considerar un parámetro de

Riesgo como confiable.

Vulnerabilidad: Debilidad de un activo o control que potencialmente puede ser

explotada por una o más amenazas.



BIBLIOGRAFIA

Guía 73 - Risk management – Vocabulary - ISO

NCH ISO 19600: 2015 - Sistemas de gestión de Compliance – Directrices - INN

ISO 31000:2009 - Risk management – ISO

ISO 31010:2009 - Risk assessment techniques - ISO

ISO 27001:2013 - Information technology -- Security techniques -- Informationsecurity management systems – Requirements – ISO

ISO 22301:2012 - Societal security — Business continuity management systems

— Requirements – ISO

ISO 19510:2013 - Information technology - Object Management Group Business

Process Model and Notation - ISO

ISO/TC 176/SC2 – Documento N°1222, Julio 2014

Risk Taking: A Corporate Governance Perspective – IFC World Bank Group

Proceso de gestión de riesgos y seguros en las empresas - Mª ISABEL CASARES

SAN JOSÉ-MARTÍ, Madrid 2013.

“Implementación de la Gestión Integral de Riesgos en el Sector Asegurador bajo la

norma ISO 31000” - - Mª ISABEL CASARES SAN JOSÉ-MARTÍ, Madrid 2014

Recomendación Basilea II – Banco Mundial



COSO I - Internal Control Integrated Framework – 1992

COSO II - Internal Control Integrated Framework – 2004

COSO III - Internal Control Integrated Framework – 2013

Directiva del Parlamento Europeo Solvencia 2009

Reglamento Delegado (UE) 2015/35 de la Comisión, Solvencia II

Diccionario de la Real Academia de la Lengua Española

Cálculo del Nivel de Riesgo Cardiovascular – UNED - Facultad de Ciencias

Nutrición y Dietética - FERNANDO MARTÍN FERNÁNDEZ -

http://www2.uned.es/pea-nutricion-y-dietetica-I/guia/PDF/

Programa_Calculo_Riesgo_Cardiovascular _UNED.pdf

http://www2.uned.es/pea-nutricion-y-dietetica-I/guia/PDF/%20Programa_Calculo_Riesgo_Cardiovascular





gestión de riesgos - alan santos.pdf

Documents