Modulo 4

DIPLOMADO VIRTUAL EN
GESTIÓN INTEGRAL
DEL RIESGO
MODULO METODOLOGÍAS PARA LA IDENTIFICACIÓN,

ANÁLISIS Y EVALUACION DE RIESGOS.
IV
BIENVENIDOS AL CUARTO MÓDULO DEL DIPLOMADO EN
GESTIÓN INTEGRAL DEL RIESGO
Tiempo destinado: 20 horas
Al iidentificar un riesgo empresarial se busca determinar los posibles eventos que puedan
impactar objetivos, estrategias, planes, proyectos, servicios, productos u operaciones en
una empresa; para disminuir su probabilidad de ocurrencia y minimizar su efecto...
RESULTADO DE APRENDIZAJE:
Después de terminar el contenido de este Módulo usted estará en capacidad de aplicar las
estrategias de valoración del riesgo.
Podrá identificare implantar el proceso de Gestión integral del riesgo en los procesos de la
Organización
DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

GUÍA MÓDULO 4: METODOLOGÍAS PARA LA IDENTIFICACIÓN, 1
ANALISIS Y EVALUACION DE RIESGOS.
CONTENIDO
DEFINICIONES
¿Qué es Gestión de Riesgos?

Realización de actividades conducentes a disminuir la posibilidad y la consecuencia de la
materialización de los riesgos en la Empresa e implementar mecanismos para la continuidad
del negocio.
¿Qué es Gestión Integral de Riesgos?

Gestión holística de riesgos en todos los niveles de la organización, con el fin de facilitar el
logro del direccionamiento estratégico y la toma de decisiones; teniendo en cuenta la
interacción de la Empresa con su entorno, la relación con los grupos de interés, la
interrelación entre procesos y los recursos e intereses a proteger.
¿Qué es el ciclo para la Gestión Integral de Riesgos?

Ejecución homologada y sistemática de las actividades: establecimiento del contexto,
identificación, evaluación y tratamiento de los riesgos. Adicionalmente, comprende acciones
de monitoreo, revisión, registro y comunicación.
¿Qué es el Sistema para la Gestión Integral de Riesgos?

Conjunto estructurado de elementos relacionados entre sí que soportan y brindan las
herramientas para realizar la Gestión Integral de Riesgos.
¿Qué es Análisis de Beneficio-Costo?

Una herramienta de Administración de Riesgos usada para tomar decisiones sobre las
técnicas propuestas por el grupo para la administración de los riesgos, en la cual se valoran

y comparan los costos, financieros y económicos, de implementar la medida, contra los
beneficios generados por la misma. Una medida de administración de riesgos será aceptada
siempre que el beneficio valorado supere al costo.
¿Qué es Análisis de riesgos?

Determinar el Impacto y la Probabilidad del riesgo. Dependiendo de la información disponible
pueden emplearse desde modelos de simulación, hasta técnicas colaborativas.
¿Qué es Control?
Es toda acción que tiende a minimizar los riesgos, significa analizar el desempeño de las
operaciones, evidenciando posibles desviaciones frente al resultado esperado para la
adopción de medidas preventivas. Los controles proporcionan un modelo operacional de
seguridad razonable en el logro de los objetivos.
¿Qué son Factores de Riesgo?

Manifestaciones o características medibles u observables de un proceso que indican la
presencia de Riesgo o tienden a aumentar la Exposición, pueden ser internos o externos a
la entidad.
¿Qué es Identificación de riesgos?

Establecer la estructura del riesgo; fuentes o factores, internos o externos, generadores de
riesgos; puede hacerse a cualquier nivel: total entidad, por áreas, por procesos, incluso, bajo
el viejo paradigma, por funciones; desde el nivel estratégico hasta el más humilde operativo.
¿Qué es Indicador?
Es la valoración de una o más variables que informa sobre una situación y soporta la toma
de decisiones, es un criterio de medición y de evaluación cuantitativa o cualitativa.

¿Qué son Mapas de riesgos?
Herramienta metodológica que permite hacer un inventario de los riesgos ordenada y
sistemáticamente, definiéndolos, haciendo la descripción de cada uno de estos y las
posibles consecuencias
¿Qué es Nivel de riesgo (determinación del)?

Grado de exposición; es el resultado de relacionar la probabilidad con el impacto y con los
actuales controles. Medida de la gravedad de riesgos y el proceso de clasificarlos en orden
de prioridad. Permite establecer la importancia relativa del riesgo.
¿Qué es Plan de contingencia?

Parte del plan de manejo de riesgos que contiene las acciones a ejecutar en caso de la
materialización del riesgo, con el fin de dar continuidad a los objetivos de la entidad.
¿Qué es Plan de manejo de riesgos?

Plan de acción propuesto por el grupo de trabajo, cuya evaluación de beneficio costo resulta
positiva y es aprobado por la gerencia.
¿Qué es Plan de mejoramiento?

Parte del plan de manejo que contiene las técnicas de administración del riesgo orientadas
a prevenir, evitar, reducir, dispersar, transferir o asumir riesgos.

CONTEXTO ESTRATÉGICO
Son las condiciones internas y del entorno, que pueden generar eventos que originan
oportunidades o afectan negativamente el cumplimiento de la misión y objetivos de una
institución.

Las situaciones del entorno o externas
pueden ser de carácter social, cultural,
económico, tecnológico, político y legal,
bien se internacional, nacional o regional
según sea el caso de análisis.
Las situaciones internas están

relacionadas con la estructura, cultura
organizacional, el modelo de operación, el
cumplimiento de los planes y programas,
los sistemas de información, los procesos
y procedimientos y los recursos humanos
y económicos con los que cuenta una
entidad.
Se recomienda establecer los objetivos, las estrategias, el alcance y los parámetros de las
actividades de la entidad o de aquellos procesos donde se aplicará la metodología para
poder iniciar el análisis de contexto estratégico.
Para determinar el contexto estratégico de la institución es posible utilizar herramientas y
técnicas como las que se relacionan a continuación:
1. Inventario de Eventos
 Son listas de eventos posibles utilizadas con relación a un proyecto, proceso o

actividad determinada.
 Son útiles para asegurar una visión coherente con otras actividades similares dentro
de la entidad.
2. Talleres de Trabajo
 Habitualmente reúnen a funcionarios de diversas funciones o niveles.

 El propósito es aprovechar el conocimiento colectivo del grupo y desarrollar una lista
de acontecimientos que están relacionados con un proceso, proyecto o programa.
3. Análisis de Flujo de Procesos:
 Representación esquemática de interrelaciones de ENTRADAS, TAREAS, SALIDAS

Y RESPONSABILIDADES.
 Una vez realizado el esquema los eventos son analizados frente a los objetivos del
proceso.
 Esta técnica puede utilizarse para tener una visión a cierto nivel de detalle del proceso
analizado.
Igualmente pueden utilizarse diferentes fuentes de información tales como registros

históricos, experiencias significativas registradas, informes de años anteriores.

El contexto estratégico es la base para la identificación del riesgo, dado que de su análisis
suministrará la información sobre las CAUSAS del riesgo. EJEMPLO:
CUESTIONARIO SOBRE LA ADMINISTRACIÓN DEL RIESGO
A continuación se presenta un cuestionario que le permite a las personas encargadas de

adelantar la administración del riesgo y realizar un diagnóstico del contexto de la
organización. Es una ayuda metodológica que puede ser utilizada para obtener mayor
información.

Este cuestionario le ayudará a identificar que tan preparado está usted para
administrar el riesgo?
Responda las siguientes preguntas usando la escala desde 1 (nunca,) 3 (a veces) hasta 5
(siempre), con valores intermedios.
Parámetro a evaluar Nunca A veces Siempre

1. Nuestro equipo administrativo discute el riesgo 1 2 3 4 5
en comités directivos
2. Nuestros reportes sobre decisiones 1 2 3 4 5
importantes se refieren al riesgo de dichas
decisiones
3. La administración de riesgos es tema de 1 2 3 4 5
discusión en nuestros comités de control interno
y directivo.
4. Administradores asisten a los talleres (tanto 1 2 3 4 5
internos como conferencias públicas) sobre
prácticas de administración del riesgo
5 Hemos afrontado varias dificultades 1 2 3 4 5
sorpresivas.
6 Cuando una de mis decisiones se torna 1 2 3 4 5
insatisfactoria, el equipo administrativo trata de
aprender de ello.
7 Estoy provisto de las herramientas que 1 2 3 4 5
necesito para valorizar el riesgo.
8 Mi jefe respalda la administración del riesgo. 1 2 3 4 5

Puntaje < 24: Administración del riesgo no es parte de su organización actual. Trabaje
en la construcción y apreciación para el manejo del riesgo
Puntaje 24-36: Administración del riesgo es parte de su organización, pero se requiere

su ayuda para convertirla en una mayor parte de la cultura corporativa de la gerencia.
Puntaje > 36: Estructura de éxito. Revise las áreas en que obtuvo 3 puntos o menos
para ver qué medidas debe tomar.
VALORACIÓN DEL RIESGO
La valoración del riesgo consta de tres etapas: la identificación, el análisis y la determinación

del nivel del riesgo. Estas etapas son de singular interés para desarrollar con éxito la
administración del riesgo e implementar una política al respecto en la entidad; para cada una

de ellas se sugiere tener en cuenta la mayor cantidad de datos disponibles y contar con la
participación de las personas que ejecutan los procesos para lograr que las acciones
determinadas alcancen los niveles de efectividad esperados. Para adelantarlas pueden
utilizarse diferentes fuentes de información de la entidad, tales como registros históricos,
experiencias significativas registradas, literatura publicada sobre el tema, opiniones de
especialistas y expertos.
Así mismo, es factible aplicar varias herramientas y técnicas para identificar riesgos, como
por ejemplo: entrevistas estructuradas con expertos en el área de interés, reuniones con
directivos y con personas de todos los niveles en la entidad, evaluaciones individuales
usando cuestionarios, lluvias de ideas con los servidores de la entidad, entrevistas e
indagaciones con personas ajenas a la entidad, usar diagramas de análisis tales como
árboles de error, de eventos y diagramas de flujo, análisis de escenarios, revisiones
periódicas de factores económicos y tecnológicos que puedan afectar la organización, entre
otros. La técnica utilizada dependerá de las necesidades y naturaleza de la entidad
METODOLOGÍAS PARA LA IDENTIFICACIÓN DE RIESGOS
El interés por identificar los riesgos ha existido desde la antigüedad, fruto de la necesidad de
prevenir eventos desfavorables para el bienestar de la humanidad. Acudir a oráculos para
predecir los hechos, leer cartas como el tarot o la llamada carta astral, pedir consejo a
expertos, consultar información, estar atentos a las noticias locales e internacionales,
monitorear las acciones de la competencia y los gustos de los consumidores han sido, entre
muchos otros, medios para identificar riesgos que alteren la realización de nuestros deseos
y planes o afecten nuestra seguridad.

Los riesgos han evolucionado y su estudio adquiere mayor relevancia en el ámbito de la
práctica empresarial. Allí se evidencia aún más la necesidad de controlar las amenazas que
pueden afectar el normal funcionamiento de toda empresa y generar pérdidas, que van
desde lo económico hasta la afectación a las personas, pasando por el deterioro del medio
ambiente o de la imagen corporativa.
Las empresas pueden afrontar riesgos provenientes de diferentes ámbitos de su actuación,

tanto del entorno como de sus operaciones; pero también se corren riesgos en la toma de
decisiones, la esencia de ‘hacer negocios’ es, precisamente, correr riesgos, en otras
palabras, el riesgo es una elección propia, más que una imposición o un obstáculo
indeseable.
El avance en la identificación de riesgos con fines de control ha sido impulsado por varias
razones, entre ellas, la creciente normatividad expedida en diferentes campos, como los de
la salud ocupacional y la pública, la seguridad industrial, las finanzas, etc. La conciencia
creada hacia la responsabilidad del control de los riesgos que afectan a clientes,
comunidades y medio ambiente, como el derrame de sustancias tóxicas en ríos y mares, el
deterioro ambiental, las explosiones de productos tóxicos, la afectación de la salud por el
uso de medicamentos o materiales defectuosos en intervenciones quirúrgicas, las
catástrofes naturales, el incremento y revelación de fraudes corporativos, el desacierto en
decisiones de administración de grandes capitales comunitarios en mercados de valores, el
aumento de costos para resarcir víctimas de riesgos provenientes de empresas o entidades
públicas, el cuestionamiento ético y de responsabilidad social sobre el manejo de riesgos y
su impacto en el futuro de la humanidad…, han puesto en alerta a administradores,
legisladores, científicos y comunidad en general sobre la importancia de identificar y
administrar de forma efectiva los riesgos que pueden afectar la sociedad.

De otro lado, la globalización que ha generado la interdependencia entre las naciones y las
empresas, que ha permitido que la información se difunda en tiempo real en todo el planeta,
y el desdibujamiento de las fronteras de tiempo y espacio, traen consigo un cambio drástico
en la velocidad de la toma de decisiones, en la forma de responder a la diversidad de
costumbres y a las crecientes expectativas, necesidades y exigencias del mundo conectado.
Cada vez se corren más riesgos, a la vez que se espera que éstos sean controlados.
Por tanto, identificar los riesgos que el entorno genera a las organizaciones y los que
provienen de sus propios procesos constituye una fuente de información de vital importancia
para la gestión y competitividad empresarial, y eso requiere de herramientas que
complementen la observación, la experiencia y la intuición.
En general los riesgos inherentes, y que por rutina se materializan en las empresas o en
otros sectores de la economía, pueden ser reconocidos fácilmente. El administrador no
necesita técnicas especiales para identificarlos; pero, ¿está preparada la empresa para
identificar riesgos tales como los psicosociales (depresión, ansiedad en el trabajo, tensión,
insatisfacción laboral) o riesgos técnicos relacionados con los productos que elabora o
servicios que ofrece, y que pueden generar a sus clientes o al medio ambiente impactos
negativos?¿Está capacitada la organización para determinar las circunstancias externas e
internas que pueden afectar el cumplimiento de los objetivos que se ha trazado? ¿Es
suficientemente flexible y tiene capacidad para adaptarse al entorno cambiante? ¿Puede
analizar las causas de esos riesgos y sus consecuencias?
La evolución de la administración de riesgos ha permitido que se establezcan acciones, ya

no aisladas, sino de manera estructurada e integral, para identificar, calificar, evaluar y
monitorear todo tipo de riesgos que puedan afectar el cumplimiento de los objetivos de las
organizaciones, con el propósito de responder con medidas efectivas para su manejo.

La normatividad sobre riesgos empresariales ha evolucionado y en la actualidad un
importante referente internacional es la norma ISO 31000, que establece para la
administración de riesgos, principios que fundamentan la gestión de riesgos, un marco de
referencia que delimita y direcciona la misma y un proceso para la gestión de riesgo que
facilita su ejecución.
Fuente: Icontec International, NTC ISO 31000. Norma técnica colombiana, Bogotá, Icontec, 2011, p. 3.
La identificación de riesgos, así como las demás acciones del proceso de Gestión de riesgos,
no puede ser puntual ni obedecer a una moda administrativa o a un impulso originado por la
materialización de un riesgo catastrófico; se trata de un proceso consciente de análisis
permanente y participativo, en el cual se busca responder como empresa a los riesgos que
pueden afectarla.

¿En qué consiste la identificación de riesgos?
Identificar un riesgo empresarial es determinar los posibles eventos que con su

materialización puedan impactar objetivos, estrategias, planes, proyectos, servicios,
productos u operaciones de la empresa. La identificación de riesgos incluye además la
caracterización de esos eventos, es decir, el análisis de cómo ocurrirían, por qué se
presentarían, dónde y cuándo sucederían, quién o qué factores incidirían en su ocurrencia,
qué o quién podría verse afectado por ella, cuál sería la afectación (a la imagen, al personal,
a recursos materiales o inmateriales, a terceros, etc.) y quién sería el responsable de
manejar el riesgo
La norma ISO 31000 define la identificación de riesgos como el “[…] proceso para encontrar,
reconocer y describir los riesgos”. Este proceso no es tan sencillo de realizar como se podría
pensar, porque implica el análisis de varios elementos relacionados con el riesgo, que lo
caracterizan según las condiciones del proceso, la decisión, el proyecto, el producto o la
función a analizar.
Importancia y beneficios de la identificación de riesgos
La identificación de riesgos permite la calificación, evaluación, tratamiento o respuesta y

monitoreo, al brindar elementos de análisis para cada una de las etapas de su
administración; por lo que quizás es el paso más importante cuando se decide manejar los
riesgos. De su correcta identificación dependen las acciones posteriores, mientras que con
su omisión la empresa puede quedar sujeta al vaivén de las circunstancias.
La identificación de los Riesgos es considerada la actividad o etapa más importante del

proceso de gestión; no sólo porque los riesgos no identificados son asumidos inicialmente

por la empresa, sino también porque es el momento que habilita un buen ejercicio de análisis
de riesgos, de tratamiento, monitoreo y comunicación:
Una buena caracterización del riesgo es importante porque si se define un nombre corto del
riesgo (genérico) y luego un escenario de ocurrencia, lo primero permitirá consolidar el mapa
de riesgo corporativo y lo segundo dará claridad sobre la probabilidad y las consecuencias
del evento; esta información es útil para el análisis de riesgos.
De igual forma definir el propietario del riesgo tiene como fin responsabilizarlo por monitorear
el riesgo identificado y gestionar el plan de tratamiento, independiente de que él sea el
responsable de implementar las acciones registradas en dicho plan.
La etapa de identificación también es un momento fundamental para el componente

financiero de la gestión de riesgos, pues da elementos para estimar el costo del riesgo y
además puede dar información para definir frente a un posible impacto el porcentaje de
desviación o tolerancia aceptada.
Si identificamos un agente generador o fuente del riesgo y sus causas asociadas, éstas
pueden ser insumos tanto para identificar controles existentes así como futuros tratamientos;
igual, al analizar los tratamientos de los riesgos, desde su eficacia, se analiza el grado de
incidencia de cada tratamiento sobre las causas, sean “causa mediata” o “causa raíz”.
Los beneficios de la identificación de riesgos son muchos, y pueden dividirse

primordialmente en dos campos:
El primero tiene que ver con lo que se puede prevenir y el segundo con lo que se puede
aprovechar; es decir, prevención de pérdidas y aprovechamiento de oportunidades.

Los riesgos se identifican con el fin de estar preparados ante eventos no esperados, evitar
sorpresas desagradables que puedan afectar negativamente a la empresa o prevenir
sanciones por el incumplimiento de normas. La identificación de riesgos facilita también la
toma de decisiones, al brindar información que permite conocer causas e implicaciones de
los hechos y definir si se hace o se deja de hacer alguna actividad, proyecto o estrategia, de
acuerdo con el nivel de riesgo que implica; por lo cual genera un manejo coherente del
riesgo, lo que permite “correr” riesgos controlados.
La adecuada identificación de riesgos, unida a la correcta administración de los mismos,

propicia mayor control de los eventos adversos, la optimización de inversiones y la
protección de los recursos; además mejora las relaciones entre las partes o grupos de interés
de la empresa, crea responsabilidad en el manejo de los mismos, genera comportamiento
proactivo –más que reactivo– y permite alinear el comportamiento individual con la
responsabilidad organizacional. Esto trae grandes beneficios en la mejora de los procesos,
productos o servicios, haciéndolos más seguros y reduciendo la posibilidad de pérdidas.
Los riesgos pueden ser, a su vez, fuente de oportunidades: si se identifican a tiempo y se
estudia cómo manejarlos, se pueden transformar a favor de la empresa. Su evaluación
puede llevar a vislumbrar decisiones -en ocasiones poco obvias– que permiten proteger y
generar valor para los grupos de interés, lo que los convierte en ventajas competitivas, pues
propician la anticipación a las actuaciones de los competidores y el aprovechamiento de
oportunidades no previstas, que pueden redundar en utilidades derivadas de la innovación
y mejora organizacional.
Otros aspectos de la identificación de riesgos:
En las buenas prácticas en la dirección de las empresas, dentro de las cuales se encuentra
la Gestión Integral del Riesgo en general, y la identificación de riesgos en particular como

una de las etapas más importantes de dicho proceso, se hallan otros tópicos relacionados a
ésta que merecen ser destacados:
En el mundo se habla cada vez más del desarrollo sostenible de los países y de las
empresas. Este concepto se basa fundamentalmente en obtener el desarrollo económico
logrando igualmente el desarrollo social y la preservación del medio ambiente. Hay quienes
consideran que éste será el nuevo modelo económico del mundo, ante el fracaso de los
modelos dominantes en el siglo XX: el comunismo y el capitalismo (puro o salvaje). En este
orden de ideas, la Gestión Integral de Riesgos se constituye en un elemento trascendental
e ineludible para quienes están al frente de las empresas.
Así mismo, la identificación de riesgos se convierte en el elemento fundamental y punto de

partida de aquellos riesgos que atenten contra el desarrollo económico, el desarrollo social
y la preservación del medio ambiente; es decir, ya no se trata sólo de identificar riesgos que
afecten la variable económica, sino también los riesgos que incidan en las variables sociales
(cambio demográfico, pobreza, desigualdad, desempleo, déficit pensional, etc.) y ecológica
(capa de ozono, escasez de agua, agotamiento de los recursos no renovables, etc.), las
cuales muchas veces no son cuantificables en términos monetarios.
La identificación de riesgos es igualmente importante en la evaluación de proyectos.

Normalmente los proyectos se evalúan de acuerdo con las variables de mercadeo,
factibilidad financiera, legal, tecnológica. Pero, pocas veces se hace un análisis desde el
punto de vista de riesgos del proyecto. Es factible que mediante una identificación integral
de riesgos, se detecten factores de riesgos que hagan inviable un proyecto, que por otro lado
resulte viable en las variables antes mencionadas. Es decir, existe una premisa fundamental
en finanzas y es que cada rentabilidad está asociada a un riesgo. De esta manera puede
decirse que la rentabilidad de un proyecto no puede analizarse en términos de rentabilidad

sino que es necesario asociarla a un nivel de riesgo, y esto solo se logra a través de un
juicioso ejercicio de identificación de riesgos.
Consecuencias de no identificar los riesgos empresariales
Cuando una empresa quiebra, pierde mercado, se presenta un escándalo por fraude que le
implica pérdidas económicas o deterioro reputacional, es sancionada, hay paros en la
producción o los proyectos fallan y la rentabilidad disminuye, se torna ilíquida y empieza a
incumplir obligaciones financieras, sus clientes la abandonan, la competencia se vuelve
agresiva y pierde oportunidades, un accidente o una decisión inadecuada genera
consecuencias humanas o físicas, cuando sus productos nuevos no permanecen en el
mercado o se deben retirar por fallas… sólo entonces la dirección de algunas empresas se
cuestiona sobre lo adecuado de la administración de sus riesgos.
Pero no es necesario pasar por todas esas situaciones para comprender la importancia de
prevenirlas; todas ellas implican pérdidas para la empresa y la pueden ubicar en situación
desventajosa, inclusive hasta minar su estabilidad y capacidad de crecimiento.
Si un riesgo no es identificado es como si no existiera, lo cual implícitamente equivale a la

decisión de aceptar las consecuencias de su materialización. Es responsabilidad del gerente
o empresario no ignorarlo, así como identificar y controlar esos riesgos empresariales. A
ellos corresponde la previsión, la viabilidad y el cumplimiento de lo planeado; también
reorientar las acciones si hay fallas en su funcionamiento según lo previsto; todo ello con el
fin de lograr los beneficios planeados y cumplir las expectativas de sus grupos de interés.
Si no se identifican los riesgos no se puede planear su control, es decir, no se pueden definir

medidas para disminuir su probabilidad de ocurrencia, para minimizar su impacto, para

transferirlos a terceros cuando sea necesario o posible, para eliminar la actividad que los
genera o para asumirlos, si es el caso, con plena conciencia.
De ahí la importancia de identificar los riesgos a tiempo, de no dar la espalda a la información

relevante y de no dejar a la deriva decisiones importantes respecto del manejo de los riesgos
empresariales.
Responsables de la identificación de riesgos
Como la identificación de riesgos tiene un alcance amplio en las organizaciones, en ella

participan diferentes actores, unos como responsables directos o “propietarios” de los
riesgos y otros como personal independiente, de apoyo o externo a la organización.
El personal interno responsable de la identificación de riesgos estratégicos puede estar en

la gerencia, en la junta directiva y en la alta dirección; para los demás riesgos intervienen los
líderes de los procesos, proyectos, servicios o productos y quienes participan en ellos, con
el apoyo del administrador de riesgos.
Los auditores internos o externos, en forma independiente, son responsables de identificar

los riesgos para realizar evaluaciones sobre la exposición de la empresa y la eficiencia de
su sistema de administración; los entes reguladores, las entidades crediticias, las partes
interesadas en la empresa pueden también identificar riesgos de una organización.
Según la singularidad y complejidad de los riesgos identificados, y de acuerdo con los

recursos y necesidades propios de una entidad, es posible que sea necesario personal
externo, asesores expertos o consultores especializados en determinados tipos de riesgos.

En ocasiones puede ser indispensable el apoyo de empresas del mismo sector, interesadas
en identificar riesgos e implementar soluciones conjuntas para beneficio común.
Los responsables de la identificación de riegos deben tener conocimiento o experiencia

sobre el ámbito en el cual se realiza esta actividad. Para ello deben estar capacitados en la
identificación, de acuerdo con las técnicas o metodologías seleccionadas. También deben
disponer de imaginación, apertura a nuevas ideas o posibilidades, capacidad de proyectar
la influencia de eventos negativos sobre procesos y recursos, además de ser personas
objetivas en sus apreciaciones.
¿Cómo identificar los riesgos empresariales?
Para identificar los riesgos empresariales es necesario, inicialmente, tener claridad acerca
de los tipos de riesgos inherentes al carácter de la empresa, con el fin de que su
administración de riesgos sea integral, no fragmentaria y parcial. La variedad de riesgos
puede ser alta, igual que las formas de clasificarlos y abordarlos; por lo tanto, no es posible
establecer una única clasificación de tipos de riesgos empresariales.
El esquema contempla los riesgos más comunes; sin embargo, cada empresa, de acuerdo
con sus condiciones, puede enfrentar riesgos singulares. En este libro se presentan listas
detalladas de riesgos, según su importancia, en relación con el estudio de cada técnica o
metodología utilizada para la identificación de riesgos.

RIESGOS GENERADOS POR EL ENTORNO ORGANIZACIONAL
RIESGOS DEL ENTORNO
ORIGEN
DEL TIPO DE EXPLICACIÓN
RIESGO RIESGO
Provenientes Riesgos generados por el medio ambiente
de la natural, tales como: huracanes, vientos fuertes,
naturaleza lluvias, inundaciones, maremotos, sequías,
olas de frío o calor, terremotos, movimientos
sísmicos, erupción volcánica, deslizamiento de
tierras, plagas, bacterias, virus, epidemias,
caída de meteoritos, etc.
Naturaleza Generados a Uso inadecuado de recursos naturales que
la naturaleza pueden afectar la naturaleza. Consecuencias:
por parte de efecto invernadero; disminución de la capa de
la empresa ozono; contaminación acumulativa del aire,
agua, suelos; generación de residuos de alta
peligrosidad; desertización y pérdida de
biodiversidad
Riesgo país Grado de peligro que representa un país para
las inversiones locales o extranjeras, según el
nivel de déficit fiscal, la situación política, el
crecimiento de la economía y la relación
ingresos-deuda

Riesgo Debido a dificultades políticas entre naciones
geopolítico se pueden alterar las condiciones comerciales,
que pueden implicar pérdidas de negocios,
demoras o conflictos con proveedores o
clientes
Riesgo Tiene que ver con la cultura de la región, las
social condiciones de seguridad, empleo, salubridad,
desarrollo de las comunidades, condiciones de
vida, vivienda y bienestar, etc. Riesgos que
pueden originarse en la sociedad son: hurto,
robo, atraco, sabotaje, chantajes y extorsiones,
terrorismo, motín, conflictos generadores de
guerra, alteración del orden público, huelgas,
Riesgos migraciones masivas, hambre, enfermedades,
Asociados al epidemias, colapso de servicios públicos
país, la región indispensables, conflictos de baja intensidad,
y la ciudad de explotación de grupos sociales, cambios en los
ubicación. hábitos de consumo, demandas colectivas,
conflictos comerciales
Riesgo Relacionado con el crecimiento económico
económico nacional y local, debido a las fluctuaciones de
variables macroeconómicas: PIB, inflación,
desempleo, balanza de pagos. El
decrecimiento de la economía puede generar
riesgos que conlleven detrimento patrimonial a
las empresas, al disminuir la capacidad de

compra de sus clientes y la demanda de sus
productos.
Riesgo El manejo político del país, y las implicaciones
político que tiene sobre la economía nacional, afecta
las organizaciones según sus condiciones
particulares
Sector Riesgo Riesgo que se origina por el hecho de competir
económico sistemático en un sector determinado, ejemplo: campañas
e industrial de desprestigio de la competencia comercial,
espionaje industrial, tráfico de informaciones
reservadas, competencia desleal,
transacciones ilegales, corrupción institucional
y privada, operaciones ilícitas, daños por
productos, accidentes y enfermedades
profesionales; accidentes industriales.
Sector Riesgo Graves, actividades públicas molestas o
económico sistemático peligrosas, reclamación judicial por productos
e industrial de consumo contaminados, contaminación
ambiental, responsabilidad por contratos de
ejecución.
Fuente: Rubí Consuelo Mejía Quijano, Administración de riesgos. Un enfoque empresarial, Medellín, Fondo Editorial
Universidad EAFIT, 2006, pp. 35-36.

RIESGOS GENERADOS POR LA EMPRESA
TIPO DE RIESGO EXPLICACIÓN
No Riesgos propios y específicos de cada empresa que pueden

sistemáticos afectar procesos, recursos, clientes o imagen
Riesgo de Desprestigio de la organización, que acarrea pérdida de
reputación credibilidad y confianza del público, por fraude, insolvencia,
conducta irregular de empleados, rumores o errores
cometidos en la ejecución de alguna operación
Riesgo puro Al materializarse origina pérdidas, como incendio, accidente,
inundación
Riesgo Al materializarse presenta la posibilidad de generar
especulativo indistintamente beneficio o pérdida, como una aventura
comercial, inversión en divisas ante expectativas de
devaluación o revaluación, compra de acciones, lanzamiento
de nuevos productos
Riesgo Consiste en la posibilidad de pérdidas ocasionadas en la
operativo ejecución de procesos y funciones de la empresa, por fallas
en procesos, sistemas, procedimientos, modelos o personas
Riesgos Los riesgos financieros impactan la rentabilidad, ingresos y
financieros nivel de inversión, pueden provenir no sólo por decisiones
de la empresa, sino por condiciones del mercado, ellos son:
Riesgo de mercado, tiene que ver con fluctuaciones de las

Inversiones en bolsa de valores; también hacen parte de éste
las fluctuaciones de precios de insumos y productos, la tasa
de cambio y las tasas de interés.
Riesgo de liquidez, se relaciona con la imposibilidad de

transformar en efectivo un activo o portafolio o tener que
pagar tasas de descuento inusuales y diferentes a las del
mercado para cumplir con obligaciones contractuales.
Riesgo de crédito, consiste en que los clientes y las partes

a las cuales se les ha prestado dinero, o con las cuales se ha
invertido, fallen en el pago
Riesgos legales Se refieren a pérdidas en caso de incumplimiento de la
contraparte en un negocio, sumado a la imposibilidad de
exigir jurídicamente la satisfacción de los compromisos
adquiridos.
También se puede presentar al cometer algún error de
interpretación jurídica u omisión en la documentación, o en el
incumplimiento de normas legales o disposiciones
reglamentarias que puedan conducir a demandas o
sanciones
Riesgos Son generados por el uso de tecnología, como virus
tecnológicos informáticos, vandalismo puro o de ocio en las redes
informáticas, fraudes, intrusiones de hackers, colapso de las
telecomunicaciones que puede generar daño de información
o interrupción del servicio. También incluyen la actualización
y dependencia de un proveedor, o de tecnología específica,

bien sea en el campo informático, médico, de transporte u
otras áreas
Riesgos Los riesgos laborales, como accidentes de trabajo y
laborales enfermedades profesionales, pueden ocasionar daños a las
personas y a la misma organización. Un accidente de trabajo
puede producir lesiones orgánicas, invalidez, muerte o una
perturbación funcional.
La enfermedad profesional, por su parte, puede ser

permanente o temporal, consecuencia del trabajo
desempeñado o del medio en el cual se realizan las
funciones.
Existen otros riesgos laborales que surgen de la relación de

la empresa con sus empleados, asociaciones o sindicatos,
como huelgas, sabotajes, etc.
Riesgos físicos Afectan los recursos materiales, como cortocircuitos,
explosiones, daños en maquinaria o equipos (por su
operación, diseño, fabricación, montaje o mantenimiento),
deterioro de productos y daño en vehículos
Fuente: Rubí Consuelo Mejía Quijano, Administración de riesgos. Un enfoque empresarial, Medellín, Fondo Editorial
Universidad EAFIT, 2006.

Según la norma ISO 31000, las acciones para la identificación de riesgos son: […] identificar
las fuentes de riesgo, las áreas de impacto, los eventos (incluyendo los cambios en las
circunstancias) y sus causas y consecuencias potenciales. El objeto de esta fase es generar
una lista exhaustiva de riesgos con base en aquellos eventos que podrían crear, aumentar,
prevenir, degradar, acelerar o retrasar el logro de los objetivos.
La norma habla también de la importancia de incluir en la lista los riesgos, bien sea que estén
bajo el control de la organización o fuera de él.
La identificación de riesgos no se reduce a asignar un nombre al riesgo, pues se deben

incluir todos los datos relacionados con el mismo, para estudiarlos exhaustivamente y
aportar elementos a las demás etapas de su gestión. Para ello es primordial contar con
información actualizada y pertinente, además de establecer mecanismos de alerta temprana
que permitan identificar cambios en variables críticas, que ayuden a determinar riesgos
estratégicos u operativos que pueden impactar la organización, y procedimientos que
garanticen el monitoreo en forma periódica, de acuerdo con los ciclos de la empresa y las
transformaciones del entorno.
Es importante crear una cultura de identificación de riesgos en las organizaciones, que

permita a todos, y bajo cualquier circunstancia, estar atentos para detectar los posibles
riesgos que deriven en consecuencias negativas y comunicar los hechos, de tal forma que
la organización pueda responder con acierto.
Las técnicas de identificación de riesgos se han desarrollado con los avances en sus
estudios, desde los seguros, las finanzas, la sociología, el control organizacional, la

auditoría, la informática, la seguridad industrial, la salud ocupacional, la seguridad pública,
la ingeniería ambiental, la gestión de proyectos y otros campos.
Existen variedad de técnicas, herramientas y metodologías para identificar los riesgos, las
cuales pueden aplicarse dependiendo de la disponibilidad de recursos económicos,
humanos y tecnológicos de la organización; del tiempo, la experiencia, el grado de desarrollo
de la empresa; al igual que del nivel de implementación de la administración de riesgos.
Es posible utilizar una mezcla de técnicas o alguna específica, según el tipo de riesgo, su
complejidad y la necesidad de información sobre el mismo. Algunas técnicas de
identificación de riesgos son utilizadas en disciplinas que no necesariamente han estudiado
los riesgos, pero que han necesitado abordar el tema, como la administración. En los análisis
estratégicos se utiliza la matriz DOFA (Debilidades, Oportunidaes, Fortalezas y Amenazas)
es probable que este análisis sea la primera y más importante de todas las herramientas de
análisis de la estrategia. Identifica las actuales fortalezas y debilidades, las oportunidades
emergentes y las amenazas preocupantes que enfrenta la compañía”.

También se recurre al análisis pestle, muchas veces se lo denomina análisis pestel porque
refleja los componentes políticos, económicos, sociales, tecnológicos, ambientales y
legales”, con él se establecen las variables del entorno que pueden afectar las empresas,
antes de formular los planes estratégicos.

Adicionalmente, en los análisis estratégicos se analizan las fuerzas que mueven la
competencia en un sector, llamadas también las Cinco Fuerzas de Porter que estudian, el
poder de negociación de los clientes, el poder de negociación de los proveedores, la
amenaza de productos o servicios sustitutos, la amenaza de los nuevos ingresos de
competidores potenciales, y la rivalidad entre los competidores existentes”.
En todas las herramientas mencionadas se abordan elementos de estudio que permiten

identificar los riesgos que podrían correr las compañías y que se hace necesario analizar
para definir las estrategias organizacionales.
En campos del saber, como el de sistemas de calidad, se utilizan técnicas para identificar
riesgos como el Análisis Causa-Efecto; en auditoría se acude, entre otras estrategias, a
Entrevistas y Flujogramas de procesos.

Existen técnicas de fácil aplicación, como las Entrevistas semiestructuradas y la Lluvia de
Ideas; algunas son estandarizadas, como las Listas de Chequeo y Cuestionarios; otras se
aplican a procesos o productos, como el Análisis de Modo y Efecto de Falla o el Análisis de
Puntos Críticos de Control. Algunas técnicas utilizan información histórica, como registros
de eventos, estados financieros, informes de auditoría o de compañías aseguradoras. Otras
se orientan hacia el futuro, como el Análisis de Escenarios, el Estudio del Impacto del
Negocio o el “¿Qué pasaría si?”. Las hay que se basan en la observación, como la
Inspección, o en la consulta a expertos, como el método Delphi. También se puede recurrir
a análisis de información por sectores.
Ciertas compañías desarrollan metodologías ajustadas a sus necesidades para identificar

los riesgos, algunas adaptan estrategias de reconocida aplicación en el medio; casi todas
buscan adecuarse a las normas o estándares y algunas desarrollan conocimiento nuevo
sobre el tema. Lo más importante al aplicar técnicas o métodos es la consistencia en su uso,
de manera que permita estandarizar el proceso y obtener resultados comparables en toda
la organización, con el fin de lograr una identificación de riesgos que garantice su
administración en forma integral.
Esas técnicas, herramientas y metodologías son alternativas que ayudan a identificar los
principales riesgos que afectan una organización, pero no garantizan que se incluyan todos
los posibles riesgos; es el responsable de la identificación quien, con su experiencia,
conocimiento y sentido común, determina cuáles riesgos son importantes en la identificación
y cuáles no lo son.

TÉCNICAS Y METODOLOGÍAS PARA IDENTIFICAR RIESGOS
TÉCNICA/
METODOLOGÍA APLICACIÓN
Lluvia de Ideas Identificación de riesgos y de sus características
en forma grupal
Análisis causa-efecto Identificación de causas y efectos de un riesgo
Listas de Chequeo y Identificación de riesgos con guías estandarizadas,
Cuestionarios amplias y ajustables a todo tipo de empresa,
pueden ayudar a elaborar el catálogo general de
riesgos de una empresa
Inspección Identificación de riesgos que pueden ser
observados en instalaciones o en el desarrollo de
un proceso
Entrevista Identificación de riesgos que requieren el
conocimiento y experiencia de personas clave
Flujograma Identificación de riesgos en los procesos
Análisis de Identificación de posibles formas en que puede
Modo y Efecto fallar el diseño u operación de procesos, productos
de Falla (AMEF) o servicios y los efectos de estas fallas
Análisis de Identificación de riesgos a través del análisis de
Información información financiera, manuales técnicos, registro
de siniestralidad y otros eventos, y del estudio de
contratos laborales y comerciales
Método Delphi Identificación de riesgos que requieran grupo
de expertos y opiniones independientes
Análisis de Identificación de riesgos estratégicos

Escenarios
Risicar Identificación de riesgos operativos en procesos,
actividades, procedimientos, productos,
instalaciones, cargos o funciones
Prest Identificación de riesgos en la planeación
estratégica
Algunos ejemplos de técnicas de recopilación de información utilizadas para identificar los

riesgos son:
 Lluvia de Ideas (“Brainstorming”): Es probablemente la técnica más usada.

Consiste en reunir expertos, miembros del equipo, proveedores y otros involucrados
en el proyecto, y pedirles que identifiquen posibles riesgos para el proyecto. La única
regla: no se puede vetar (anular, desechar) ideas. Se debe promover la asociación
libre de ideas, la desinhibición. Se apunta en un lugar visible todas las ideas
generadas y luego se realiza otra parte de la sesión en donde se filtran y seleccionan
las ideas para identificar los factores de riesgo, con el consenso de los participantes.
 Técnica Delphi. La técnica Delphi es una forma de llegar a un consenso de expertos.

Los expertos en riesgos de proyectos participan en esta técnica de forma anónima.
Un facilitador emplea un cuestionario para solicitar ideas acerca de los riesgos
importantes del proyecto. Las respuestas son resumidas y luego enviadas
nuevamente a los expertos para que realicen comentarios adicionales. En pocas
rondas de este proceso se puede lograr el consenso. La técnica Delphi ayuda a

reducir sesgos en los datos y evita que cualquier persona ejerza influencias impropias
en el resultado.
 Entrevistas. Entrevistar a participantes experimentados del proyecto, interesados y

expertos en la materia puede servir para identificar riesgos. Las entrevistas son una
de las principales fuentes de recopilación de datos para la identificación de riesgos.
 Identificación de la causa. Es una investigación de las causas esenciales de los

riesgos de un proyecto. Refina la definición del riesgo y permite agrupar los riesgos
por causa.
 Análisis de debilidades, amenazas, fortalezas y oportunidades (DAFO). Esta

técnica asegura el examen del proyecto desde cada una de las perspectivas del
análisis DAFO, para aumentar el espectro de los riesgos considerados.
Revisiones de Documentación
Se puede realizar una revisión estructurada de la documentación del proyecto, incluidos

planes, asunciones, archivos de proyectos anteriores y otra información. La calidad de los
planes, así como la consistencia entre esos planes y con los requisitos y asunciones del
proyecto, pueden ser indicadores de riesgos en el proyecto.

Análisis mediante Lista de Control
Las listas de control para identificación de riesgos pueden ser desarrolladas basándose en
información histórica y en el conocimiento que ha sido acumulado de proyectos anteriores
similares y de otras fuentes de información. El nivel más bajo de la RBS también puede
utilizarse como lista de control de riesgos.
Análisis de Asunciones
Todos los proyectos se conciben y desarrollan sobre la base de un grupo de hipótesis,

escenarios o asunciones. El análisis de asunciones es una herramienta que explora la
validez de las asunciones según su aplicación en el proyecto. Identifica los riesgos del
proyecto debidos al carácter inexacto, inconsistente o incompleto de las asunciones.
Técnicas de Diagramación:
Las técnicas de diagramación de riesgos pueden incluir Diagrama de Causa - Efecto

Es una herramienta que representa la relación entre un efecto (problema) y todas las
posibles causas que lo ocasionan. Es denominado Diagrama de Ishikawa o Diagrama de
Espina de Pescado por ser parecido con el esqueleto de un pescado. Uso Se utiliza para
clarificar las causas de un problema. Clasifica las diversas causas que se piensa que
afectan los resultados del trabajo, señalando con flechas la relación causa – efecto entre
ellas.

El proceso de la identificación del riesgo debe ser permanente e interactivo integrado al
proceso de planeación y responder a las preguntas qué, cómo y porqué se pueden
originar hechos que influyen en la obtención de resultados.
Es importante tener en cuenta los factores que pueden incidir en la aparición de los riesgos,
los cuales como se ha mencionado a través de la Guía pueden ser externos e internos y
pueden llegar a afectar la organización en cualquier momento; entre los factores externos
deben considerarse además de los que pueden afectar directamente a la entidad; factores
económicos, sociales, de orden público, políticos, legales y cambios tecnológicos entre otros.
Entre los factores internos se encuentran, la naturaleza de las actividades de la entidad,
las personas que hacen parte de la organización, los sistemas de información, los procesos
y procedimientos y los recursos económicos.
Una manera de realizar la identificación del riesgo es a través de la elaboración de un mapa

de riesgos, el cual como herramienta metodológica permite hacer un inventario de los riesgos
ordenada y sistemáticamente, definiendo en primera instancia los riesgos, posteriormente
presentando una descripción de cada uno de estos y finalmente definiendo las posibles
consecuencias.
RIESGO DESCRIPCION POSIBLES

CONSECUENCIAS
Riesgo: posibilidad de ocurrencia de aquella situación que pueda entorpecer el normal

desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos.
Descripción: se refiere a las características generales o las formas en que se observa o

manifiesta el riesgo identificado.

Posibles consecuencias: corresponde a los posibles efectos ocasionados por el riesgo, los
cuales se pueden traducir en daños de tipo económico.
EJEMPLO:
Preguntas claves para la identificación del riesgo.
¿Qué puede suceder?

¿Cómo puede suceder?

Es importante observar que el proceso de identificación del riesgo es posible realizarlo a
partir de varias causas que pueden estar relacionadas.
METODOLOGÍAS PARA EL ANÁLISIS DE RIESGOS
El análisis del riesgo busca establecer la probabilidad de ocurrencia del mismo y sus
consecuencias, éste último aspecto puede orientar la clasificación del riesgo, con el fin de
obtener información para establecer el nivel de riesgo y las acciones que se van a
implementar.
El análisis del riesgo depende de la información obtenida en la fase de identificación de

riesgos.
Pasos claves en el análisis de riesgos

Determinar probabilidad
Determinar consecuencias
Clasificación del Riesgo
Estimar el nivel del riesgo
Se han establecido dos aspectos a tener en cuenta en el análisis de los riesgos identificados,
Probabilidad e Impacto. Por Probabilidad se entiende la posibilidad de ocurrencia del riesgo;
esta puede ser medida con criterios de Frecuencia, si se ha materializado (por ejemplo:
número de veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la
presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se
haya materializado.

Por Impacto se entienden las consecuencias que puede ocasionar a la organización la
materialización del riesgo.
El objetivo del análisis es el de establecer una valoración y priorización de los riesgos con
base en la información ofrecida por los mapas elaborados en la etapa de identificación, con
el fin de clasificar los riesgos y proveer información para establecer el nivel de riesgo y las
acciones que se van a implementar. El análisis del riesgo dependerá de la información sobre
el mismo, de su origen y la disponibilidad de los datos. Para adelantarlo es necesario diseñar
escalas que pueden ser cuantitativas o cualitativas o una combinación de las dos.
Se han establecido dos aspectos para realizar el análisis de los riesgos identificados:
A continuación se presentan algunos ejemplos de las escalas que pueden implementarse

para analizar los riesgos.
1. Análisis cualitativo: se refiere a la utilización de formas descriptivas para presentar

la magnitud de consecuencias potenciales y la posibilidad de ocurrencia. Se diseñan escalas
ajustadas a las circunstancias de acuerdo a las necesidades particulares de cada
organización o el concepto particular del riesgo evaluado.
Escala de medida cualitativa de PROBABILIDAD: se deben establecer las categorías a

utilizar y la descripción de cada una de ellas, con el fin de que cada persona que aplique la
escala mida a través de ella los mismos ítems, por ejemplo:
ALTA: es muy factible que el hecho se presente.

MEDIA: es factible que el hecho se presente.
BAJA: es muy poco factible que el hecho se presente.

Ese mismo diseño puede aplicarse para la escala de medida cualitativa de IMPACTO,
estableciendo las categorías y la descripción, por ejemplo:
ALTO: Si el hecho llegara a presentarse, tendría alto impacto o efecto sobre la entidad
MEDIO: Si el hecho llegara a presentarse tendría medio impacto o efecto en la entidad
BAJO: Si el hecho llegara a presentarse tendría bajo impacto o efecto en la entidad
Con base en los ejemplos anteriormente expuestos, los equipos de trabajo en coordinación
con los encargados de adelantar los procesos pueden construir sus propias escalas de
acuerdo a la naturaleza de la entidad y a las características de los procesos y
procedimientos, de forma que estas escalas se ajusten al análisis de los riesgos
identificados.
2. Análisis cuantitativo: este análisis contempla valores numéricos; la calidad depende

de lo exactas y completas que estén las cifras utilizadas. La forma en la cual la probabilidad
y el impacto son expresada y las formas por las cuales ellos se combinan para proveer el
nivel de riesgo puede variar de acuerdo al tipo de riesgo. Ejemplo de expresiones
cuantitativas del riesgo:
Riesgo de pérdida financiera: Las pérdidas financieras multiplicadas por la frecuencia

anual de las pérdidas dado el valor esperado en pesos por año.
Riesgo por accidentes de trabajo: El riesgo de accidentes de trabajo en una actividad

puede ser calculado como:
Número de accidentes de trabajo al año realizando la actividad
No. de los empleados que realizan la actividad

Al igual que para determinar las escalas cualitativas, el diseño de las escalas cuantitativas
debe contar con la participación de las personas encargadas de los procesos y con el grupo
encargado de liderar la administración del riesgo.
Priorización de los riesgos
Una vez realizado el análisis de los riesgos con base en los aspectos de probabilidad e
impacto, se recomienda utilizar la matriz de priorización que permite determinar cuáles
requieren de un tratamiento inmediato.
F
R
E
C ALTA
U
E A B
N
C
I
A
BAJA
C D
IMPACTO
BAJO ALTO
Cuando se ubican los riesgos en la matriz se define cuáles de ellos requieren acciones
inmediatas, que en este caso son los del cuadrante B, es decir los de alto impacto y alta
probabilidad; cuales no requieren acciones inmediatas (pero desde luego requieren que se
formulen) los ubicados en el cuadrante C bajo impacto y baja probabilidad, respecto a los
ubicados en las casillas A y D es la entidad la que debe seleccionar de acuerdo a la
naturaleza del riesgo cuales va a trabajar primero los de alto impacto pero baja
probabilidad o los de alta probabilidad y bajo impacto ya que estos pueden ser peligrosos

para el logro de los objetivos institucionales, por las consecuencias que presentan en el caso
de los ubicados en la casilla A o por lo constante de su presencia en el caso de la casilla D.
Para adelantar el análisis del riesgo se deben considerar los siguientes aspectos:
Calificación del riesgo y Evaluación del riesgo
Calificación del riesgo
Se logra a través de la estimación de la probabilidad de su ocurrencia y el impacto que puede

causar la materialización del riesgo. Bajo el criterio de Probabilidad, el riesgo se debe medir
a partir de las siguientes especificaciones:
Bajo el criterio de Impacto, el riesgo se debe medir a partir de las Siguientes

especificaciones:

Para determinar el impacto se pueden utilizar las siguientes tablas que representan los
temas en que suelen impactar la ocurrencia de los riesgos y se asocian con la clasificación
del riesgo previamente realizada, y se relaciona con las consecuencias potenciales del
riesgo identificado.
IMPACTO DEL NIVEL DE LA INFORMACIÓN

IMPACTO DE LA CREDIBILIDAD DE LA IMAGÉN
IMPACTO LEGAL
IMPACTO OPERATIVO
Ahora bien, considerando que para un proceso es posible analizar más de un impacto, se
pueden ir agrupando en el siguiente cuadro, donde se van estableciendo más concretamente
cada impacto:
METODOLOGÍAS PARA LA EVALUACIÓN DE RIESGOS
La Evaluación del Riesgo permite comparar los resultados de la calificación del riesgo, con
los criterios definidos para establecer el grado de exposición de la entidad al mismo; de esta
forma es posible distinguir entre los riesgos aceptables, tolerables, moderados, importantes
o inaceptables y fijar las prioridades de las acciones requeridas para su tratamiento.

Para facilitar la calificación y evaluación a los riesgos, a continuación se presenta una matriz
que contempla un análisis cualitativo, para presentar la magnitud de las consecuencias
potenciales (impacto) y la posibilidad de ocurrencia (probabilidad).
Las categorías relacionadas con el Impacto son: insignificante, menor, moderado, mayor y
catastrófico. Las categorías relacionadas con la Probabilidad son: raro, improbable, posible,
probable y casi seguro.

El primer análisis del riesgo se denomina Riesgo Inherente y se define como aquél al que
se enfrenta una entidad en ausencia de acciones por parte de la Dirección para modificar su
probabilidad o impacto.
EJEMPLO:

La determinación del nivel de riesgo es el resultado de confrontar el impacto y la
probabilidad con los controles existentes al interior de los diferentes procesos y
procedimientos que se realizan. Para adelantar esta etapa se deben tener muy claros los
puntos de control existentes en los diferentes procesos, los cuales permiten obtener
información para efectos de tomar decisiones, estos niveles de riesgo pueden ser:
ALTO: Cuando el riesgo hace altamente vulnerable a la entidad o unidad. (Impacto y

probabilidad alta vs controles)
MEDIO: Cuando el riesgo presenta una vulnerabilidad media. (Impacto alto - probabilidad
baja o Impacto bajo - probabilidad alta vs controles).
BAJO: Cuando el riesgo presenta vulnerabilidad baja. (Impacto y probabilidad baja vs
controles).
Un EJEMPLO de la determinación del nivel del riesgo y del grado de exposición al

mismo:
Riesgo: Perdida de información debido a la entrada de un virus en la red de información de

la entidad.
Probabilidad: Alta, porque todos los computadores de la entidad están conectados a la red
de Internet e intranet.
Impacto: Alto, porque la pérdida de información traería consecuencias graves para el
quehacer de la entidad.
Controles existentes: la entidad tiene establecidos controles semanales haciendo backup
o copias de seguridad y vacunando todos los programas y equipos; además guarda la
información más relevante desconectada de la red en un centro de información.

Nivel de riesgo: Medio, por los controles establecidos.
Lo anterior significa que a pesar de que la probabilidad y el impacto son altos confrontado
con los controles se puede afirmar que el nivel de riesgo es medio y por lo tanto las acciones
que se implementen entraran a reforzar los controles existentes y a valorar la efectividad de
los mismos.
EVALUACIÓN, ANÁLISIS Y VALORACIÓN DEL RIESGO OPERATIVO EN

LAS PERSONAS (SST- SEGURIDAD Y SALUD EN EL TRABAJO)
PASOS PARA LA IDENTIFICACION Y VALORACION DE RIESGOS
1. Clasificar actividades del lugar de trabajo: lista de procesos y las actividades que lo
componen (instalaciones, planta, personas y procedimientos)
2. Identificar los peligros: relacionados con cada actividad laboral. Considerar quien y
como puede resultar afectado.

3. Identificar los controles de los riesgos: los existentes que se han implementado en la
organización
4. Evaluar el riesgo: calificar el riesgo asociado a cada peligro; incluyendo en la
valoración si minimizan los riesgos existentes; probabilidad y consecuencia si los
controles fallan
5. Definir los criterios de aceptabilidad del riesgo
6. Decidir si el riesgo es aceptable: aceptabilidad, controles faltantes o inexistentes
(controlar y cumplimiento legal)
7. Elaborar plan de acción para el control de los riesgos a fin de mejorar los controles
existentes si es necesario atender cualquier otro asunto que lo requiera
8. Revisar el plan de acción propuesto: re-valorar los riesgos con base en los controles
propuestos y verificar que los riesgos serán aceptables
9. Asegurar que los controles implementados son efectivos.

Descripción y clasificación de los peligros
Para identificar los peligros, se recomienda plantear una serie de preguntas como las
siguientes:
 ¿existe una situación que pueda generar daño?
 ¿quién (o qué) puede sufrir daño?
 ¿cómo puede ocurrir el daño?
 ¿cuándo puede ocurrir el daño?
Para la descripción y clasificación de los peligros se podrá tener en cuenta la siguiente tabla
Clasificación de la gravedad de los niveles de daño
Las organizaciones deberían adaptar este tipo de estructura, con el fin de reflejar sus
objetivos. Por ejemplo, la estructura ilustrada en el cuadro anterior podría ampliarse a tres
categorías, incluyendo efectos que no se relacionan directamente con la salud y la seguridad

de los trabajadores, como por ejemplo daños a la propiedad, fallas en los procesos y
pérdidas económicas, entre otros.
Identificar los controles existentes
Las organizaciones deberían identificar los controles existentes para cada uno de los
peligros identificados, y clasificarlos en:
 Fuente,
 Medio,
 Individuo.
Se deberían considerar también los controles administrativos que las organizaciones han
implementado para disminuir el riesgo, por ejemplo: inspecciones, ajustes a procedimientos,
horarios de trabajo, entre otros.
Valorar el riesgo
La valoración del riesgo incluye:

a) la evaluación de los riesgos, teniendo en cuenta la suficiencia de los controles existentes,
b) la definición de los criterios de aceptabilidad del riesgo,
c) la decisión de si son aceptables o no, con base en los criterios definidos.
Definición de los criterios de aceptabilidad del riesgo
Para determinar los criterios de aceptabilidad del riesgo, la organización debería tener en
cuenta entre otros aspectos, los siguientes:

 Cumplimiento de los requisitos legales aplicables y otros.
 Política de S y SO.
 Objetivos y metas de la organización.
 Aspectos operacionales, técnicos, financieros, sociales y otros.
 Opiniones de las partes interesadas
EVALUACION DE LOS RIESGOS:
Proceso de determinar la probabilidad de que ocurran eventos específicos y la magnitud de

sus consecuencias, mediante el uso sistemático de la información disponible. Para evaluar
el nivel de riesgo (NR) se debería determinar lo siguiente:
A su vez, para determinar el NP se requiere:

Determinación del nivel de deficiencia
La determinación del nivel de deficiencia para los peligros higiénicos (físico, químico,
biológico u otro) puede hacerse en forma cualitativa o en forma cuantitativa. El detalle de la
determinación del nivel de deficiencia para estos peligros lo debería determinar la
organización en el inicio del proceso, ya que realizar esto en detalle involucra un ajuste al
presupuesto destinado a esta labor.
Determinación del nivel de exposición
Para determinar el NE se podrán aplicar los siguientes criterios:

Determinación del nivel de Probabilidad
Para determinar el NP se combinan los resultados de las Tablas de ND y NE
Significado de los diferentes niveles de probabilidad:

A continuación se determina el nivel de consecuencias según los siguientes parámetros de
la siguiente tabla:
Determinación del nivel de consecuencias
NOTA Para evaluar el nivel de consecuencias, tenga en cuenta la consecuencia directa más
grave que se pueda presentar en la actividad valorada.
Determinación del nivel de riesgo

Significado del nivel de probabilidad
ACEPTABILIDAD DEL RIESGO
Decidir si el riesgo es aceptable o no Una vez determinado el nivel de riesgo, la organización

debería decidir cuáles riesgos son aceptables y cuáles no. En una evaluación
completamente cuantitativa es posible evaluar el riesgo antes de decidir el nivel que se
considera aceptable o no aceptable. Sin embargo, con métodos semicuantitativos tales como
el de la matriz de riesgos, la organización debería establecer cuáles categorías son
aceptables y cuáles no. Para hacer esto, la organización debe primero establecer los criterios
de aceptabilidad, con el fin de proporcionar una base que brinde consistencia en todas sus
valoraciones de riesgos. Esto debe incluir la consulta a las partes interesadas y debe tener
en cuenta la legislación vigente.

Al aceptar un riesgo específico, se debería tener en cuenta el número de expuestos y las
exposiciones a otros peligros, que pueden aumentar o disminuir el nivel de riesgo en una
situación particular. La exposición al riesgo individual de los miembros de los grupos
especiales también se debería considerar, por ejemplo, los grupos vulnerables, tales como
nuevos o inexpertos.
Los niveles de riesgo forman la base para decidir si se requiere mejorar los controles y el
plazo para la acción. Muestra que esfuerzo de control y de urgencia debe ser proporcionado
al riesgo.
PROCESO DE GESTION DEL RIESGO
Directrices Elaboración Procesos y Procedimientos

para el Manejo del Plan para
del Riesgo el Manejo del
Riesgo
1 Aplicación de la 3
2 Metodología de la
Norma NTC 5254
Comunicación y Consulta
Revisión,
Seguimiento y
Ajuste de los Contexto Identificación Análisis Evaluación Tratar
Resultados en del del del del El
la Gestión de
los Riesgos de
Riesgo Riesgo Riesgo Riesgo Riesgo
los Procesos
6 Monitoreo y Revisión
Elaboración
del Plan de
Registro
Acción,
del
Comunicación
Riesgo
y Aplicación
5 4

El proceso de administración de riesgos implica varias etapas:
Identificación, etapa previa que conduce al Análisis de los riesgos (estos se Califican según
la probabilidad de ocurrencia y el impacto que pueden producir en caso de materializarse).
Para Calificar los riesgos se usan escalas de valoración, dependiendo de las necesidades
de cada empresa.
En la evaluación de riesgos se determina qué tan graves son los riesgos identificados
según los criterios de aceptabilidad, definidos por el nivel directivo. Una vez evaluados los
riesgos se definen las medidas para tratarlos: control o financiamiento de las pérdidas.
Luego se implementan las medidas de tratamiento de los riesgos y se monitorea su eficacia.
El proceso de monitoreo, al igual que la comunicación de la información referente a las

etapas de la administración de riesgos, es de acción permanente; ambos permiten el
mejoramiento continuo del manejo de los riesgos.
ACTIVIDADES CLAVES PARA CONTRIBUIR A INTEGRAR UNA

ESTRUCTURA DEL RIESGO:
1. Promover en Junta Directiva
 Educación en “Gestión de Riesgo Empresarial”.

 Aceptación de necesidad de administrar riesgos y su estrategia.
 Crear “conciencia” en cuanto a las fallas en la administración del riesgo.
 Revisar un diagnóstico de riesgo de la empresa.
2. Actividades de la gerencia
 Crear una estrategia de riesgo de alto nivel (política) coordinada con los objetivos
estratégicos del negocio.
 Crear una estrategia organizacional de administración del riesgo y asegurar claridad
en los niveles de dependencia.
 Desarrollar y asignar responsabilidades para la administración del riesgo.
 Divulgar la visión, estrategia, políticas, responsabilidades y niveles de dependencia
establecidos por la Junta Directiva a todos los empleados de la organización.
3. Establecer una Cultura Común del Riesgo
 Utilizar lenguaje y conceptos del riesgo que sean comunes

 Comunicación a través de los canales y la tecnología apropiada
 Desarrollar programas de capacitación para la administración del riesgo
 Identificar y capacitar a los “campeones del riesgo”
 Dar a conocer experiencias exitosas e identificarlas con la cultura de la compañía
 Desarrollar un sistema para compartir el conocimiento

4. Crear Obligación de Responder/Responsabilidad del riesgo
 Incluir en las descripciones de cargos las actividades / responsabilidades de

administración del riesgo
 Incorporar los conceptos de Gestión de Riesgo dentro de los objetivos de la persona
 Empoderar a los gerentes según los límites del riesgo definidos
5. Integrar Actividades de Riesgo dentro de los Procesos del Negocio
 Coordinar e integrar las actividades de administración del riesgo dentro de los

procesos del negocio
 Integrar controles en tiempo real relacionados con el riesgo dentro de los sistemas
digitales, según sea apropiado
 Desarrollar procesos de mejoramiento continuo relacionados con el riesgo
6. Medición y Supervisión del Riesgo
 Identificar los indicadores claves de desempeño y los factores críticos del éxito que
se relacionen con el riesgo
 Establecer mediciones del éxito para la estrategia y las actividades del riesgo
 Establecer un proceso periódico para medir el riesgo / rendimiento
 Identificar e implantar procesos de supervisión y métodos de retroalimentación

LA INTEGRACIÓN DE SISTEMAS DE GESTIÓN BASADOS
EN ESTÁNDARES INTERNACIONALES
El éxito en la difusión de tantos estándares de gestión ha llevado a las organizaciones a que

su implementación esté orientada a lograr un único sistema de gestión integrado. Al
respecto, en el ámbito académico se han publicado investigaciones que analizan los
aspectos más relevantes sobre la integración de sistemas de gestión,
basados principalmente en la definición de Sistema Integrado de Gestión (SIG), la
metodología de integración, los niveles de integración de la empresa y sus ventajas y
desventajas.

VENTAJAS
Pueden señalarse las siguientes ventajas derivadas de la integración de los sistemas de

gestión:
 Simplificación de los requerimientos del sistema.

 Optimización de los recursos.
 Reducción de costos.
 Realización de auditorías integradas.
 Reducción de la documentación.
 Alineación de los objetivos de los distintos estándares y sistemas.
 Creación de sinergias.
 Reducción de duplicaciones de políticas y procedimientos.
 Incremento de la motivación de los trabajadores.
 Mejora de la efectividad y eficiencia de la organización.
 Mejora de la satisfacción de los stakeholders o partes interesadas.
DIFICULTADES
Una organización puede encontrarse con diversas dificultades durante el proceso de

integración, como por ejemplo:
 Dificultades derivadas de la resistencia al cambio por parte de la alta dirección y del

personal de la organización.
 Necesidad de recursos adicionales específicos para planificar y ejecutar el plan de
integración.

 Dificultad para elegir el nivel de integración adecuado al nivel de madurez de la
organización.
 Mayor necesidad de formación del personal implicado en el sistema integrado de
gestión.
LA INTEGRACIÓN DE SISTEMAS DE GESTIÓN: UNA GUÍA
El proceso de integración de sistemas de gestión puede verse facilitado por la norma UNE
66177:2005. Sistemas de gestión. Guía para la integración de los sistemas de gestión.
Esta norma no certificable ofrece directrices para la elaboración y ejecución de una Plan de
Integración enfocado a crear un SIG de tercera generación, ayudando a la dirección en el
diseño y establecimiento (aunque sin precisar su alcance ni su contenido) con una serie de
herramientas de autoevaluación y selección de plan y método de integración ajustados al
contexto organizativo. Este modelo está fuertemente inspirado por la norma ISO 9004:2000.
La prescripción de proceso de integración de sistemas de gestión establecida en la norma

sigue el ciclo PDCA, en virtud de que esta estructura goza de una eficacia probada y facilita
el desarrollo de proyectos de esta índole. Por tanto, el proceso de integración recomendado
consta de tres grandes etapas. Estos tres capítulos detallan las directrices para el diseño,
implantación y mantenimiento del plan de integración y son los siguientes:
1. Desarrollo del plan de integración

2. Implantación del plan de integración
3. Revisión y mejora del SIG

1. Desarrollo del plan de integración
Para desarrollar el plan de integración, la norma aconseja documentar tres aspectos

esenciales:
 Beneficios esperados
 Análisis del contexto
 Selección del método de integración
Para el primer aspecto resulta fundamental considerar la relación entre costos y beneficios
que se espera del proyecto, pues se considera necesario conocer con antelación el balance
entre los beneficios esperados y los recursos necesarios a fin de asignar al proyecto de
integración la prioridad y el apoyo directivo adecuados.
Los últimos dos aspectos requieren analizar elementos como la complejidad y extensión
de los sistemas de gestión, pero requiere una mayor atención el análisis que debe
realizarse acerca del Nivel de madurez o capacidad para la gestión por procesos.
Existen diversos niveles de madurez posibles de los sistemas de gestión, según las
características que presenten en cuanto a la experiencia y eficacia en el uso de los sistemas
y herramientas de gestión, la estructura organizativa y el nivel de competencias del personal
de la organización.
La tabla siguiente describe de manera sintética las características de los cinco niveles de
madurez posibles de los sistemas de gestión de la organización:

2. Implantación del plan de integración
Esta fase consiste en responder a la pregunta ¿cómo lo voy a hacer? La norma ofrece aquí
directrices sobre dos aspectos:
 Equipo del proyecto de integración de sistemas de gestión. El documento

considera conveniente formar un comité o equipo de integración del cual formen parte
los responsables de los distintos departamentos o sistemas a integrar.
 Seguimiento del plan de integración, con una frecuencia que permita controlar el
cumplimiento de los objetivos prefijados y, en el caso de desviaciones, introducir los
oportunos cambios en el plan actualizándolo. El seguimiento debe documentarse en
informes de revisión, que deben distribuirse a todas las partes implicadas en el
proceso de integración.
3. Revisión y mejora del SIG
La norma adopta la filosofía de mejora continua siguiendo el ciclo PDCA. Esta última fase
pretende responder a dos preguntas: ¿es eficaz y rentable la integración adoptada?, y
¿necesita mejoras? Las ventajas que la norma indica de la revisión conjunta sobre la revisión
individual de cada sistema son tres: una visión global de los hechos y los resultados, la
mejora de la coherencia de las decisiones y la determinación de las prioridades en los
distintos elementos del SIG aprovechando las sinergias.

BIBLIOGRAFIA
 INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN -

ICONTEC. Norma Técnica Colombiana NTCISO31000.2011
 DRA. Dª. Mª ISABEL MARTÍNEZ TORRE-ENCISO “El proceso de gestión de riesgos

como componente integral de la gestión empresarial” Publicado originalmente en
Boletín de Estudios Económicos. Vol. LXVI - N.202 - Abril 2011 (Páginas 73-93).
 Rubí Consuelo Mejía Quijano, Administración de riesgos. Un enfoque empresarial,

Medellín, Fondo Editorial Universidad EAFIT, 2006.
 INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN -

ICONTEC GUÍA PARA LA IDENTIFICACIÓN DE LOS PELIGROS Y LA
VALORACIÓN DE LOS RIESGOS EN SEGURIDAD Y SALUD
OCUPACIONAL.GTC45. Editado año 2006.
 Sistemas de gestión. Guía para la integración de los sistemas de gestión. Norma UNE
66177:2005.
CIBERGRAFIA
 https://calidadgestion.wordpress.com/2012/11/13/sistemas-integrados-de-gestion/


Modulo 4

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Modulo 4

Încărcat de

Drepturi de autor:

Formate disponibile

DIPLOMADO VIRTUAL EN

MODULO METODOLOGÍAS PARA LA IDENTIFICACIÓN,

Tiempo destinado: 20 horas

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

¿Qué es Gestión de Riesgos?

¿Qué es Gestión Integral de Riesgos?

¿Qué es el ciclo para la Gestión Integral de Riesgos?

¿Qué es el Sistema para la Gestión Integral de Riesgos?

¿Qué es Análisis de Beneficio-Costo?

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

¿Qué es Análisis de riesgos?

¿Qué son Factores de Riesgo?

¿Qué es Identificación de riesgos?

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

¿Qué es Nivel de riesgo (determinación del)?

¿Qué es Plan de contingencia?

¿Qué es Plan de manejo de riesgos?

¿Qué es Plan de mejoramiento?

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

Las situaciones internas están

 Son listas de eventos posibles utilizadas con relación a un proyecto, proceso o

 Habitualmente reúnen a funcionarios de diversas funciones o niveles.

3. Análisis de Flujo de Procesos:

 Representación esquemática de interrelaciones de ENTRADAS, TAREAS, SALIDAS

Igualmente pueden utilizarse diferentes fuentes de información tales como registros

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

CUESTIONARIO SOBRE LA ADMINISTRACIÓN DEL RIESGO

A continuación se presenta un cuestionario que le permite a las personas encargadas de

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

Parámetro a evaluar Nunca A veces Siempre

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

Puntaje 24-36: Administración del riesgo es parte de su organización, pero se requiere

VALORACIÓN DEL RIESGO

La valoración del riesgo consta de tres etapas: la identificación, el análisis y la determinación

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

METODOLOGÍAS PARA LA IDENTIFICACIÓN DE RIESGOS

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

Las empresas pueden afrontar riesgos provenientes de diferentes ámbitos de su actuación,

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

La evolución de la administración de riesgos ha permitido que se establezcan acciones, ya

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

Identificar un riesgo empresarial es determinar los posibles eventos que con su

Importancia y beneficios de la identificación de riesgos

La identificación de riesgos permite la calificación, evaluación, tratamiento o respuesta y

La identificación de los Riesgos es considerada la actividad o etapa más importante del

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

La etapa de identificación también es un momento fundamental para el componente

Los beneficios de la identificación de riesgos son muchos, y pueden dividirse

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

La adecuada identificación de riesgos, unida a la correcta administración de los mismos,

Otros aspectos de la identificación de riesgos:

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

Así mismo, la identificación de riesgos se convierte en el elemento fundamental y punto de

La identificación de riesgos es igualmente importante en la evaluación de proyectos.

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

Consecuencias de no identificar los riesgos empresariales

Si un riesgo no es identificado es como si no existiera, lo cual implícitamente equivale a la

Si no se identifican los riesgos no se puede planear su control, es decir, no se pueden definir

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

De ahí la importancia de identificar los riesgos a tiempo, de no dar la espalda a la información

Responsables de la identificación de riesgos