Capítulo 1 Identificación de riesgos empresariales
Antecedentes El interés por identificar los riesgos ha existido desde la antigüedad, fruto de la necesidad de prevenir eventos desfavorables para el bienestar de la humanidad. Acudir a oráculos para predecir los hechos, leer cartas como el tarot o la llamada carta astral, pedir consejo a expertos, consultar información, estar atentos a las noticias locales e internacionales, moni torear las acciones de la competencia y los gustos de los consumidores han sido, entre muchos otros, medios para identificar riesgos que alteren la realización de nuestros deseos y planes o afecten nuestra seguridad. Para identificar los riesgos personales no es necesario desarrollar técnicas sofisticadas; la observación es una de las mejores aliadas para buscar la seguridad en la cotidianidad. Si se observa en las calles, bodegas, edificios, laboratorios e instalaciones, se puede en general percibir una variedad de señales que evidencian peligros y que permiten evitarlos o controlarlos; el instinto de conservación hace que estemos en constante alerta ante condiciones anormales que pueden atentar contra nuestra supervivencia. La palabra riesgo, desde sus orígenes, se relaciona con peligro, con hechos adversos que pueden suceder y deben afrontarse:
1
Desde el punto de vista etimológico, el origen de la palabra riesgo se atribuye tanto al latín como al árabe. Se dice que llega al italiano a través de la palabra risico o rischio, y ésta del árabe clásico rizq (lo que depara la providencia), o del latín resecu (riesgo en el mar, roca, risco) y risicare (desafiar, retar, enfrentar, atreverse o transitar por un sendero peligroso). El significado de riesgo se relacionaba con el peligro que en la antigüedad representaban los riscos marinos para las embarcaciones.1
Rubi Consuelo Mejía Quijano, El riesgo y la historia empresarial antioqueña. Tres casos de estudio, Medellín, Fondo Editorial Universidad EAFIT, 2011, p. 50.
25
Los riesgos han evolucionado y su estudio adquiere mayor relevan cia en el ámbito de la práctica empresarial. Allí se evidencia aún más la necesidad de controlar las amenazas que pueden afectar el normal funcionamiento de toda empresa y generar pérdidas, que van desde lo económico hasta la afectación a las personas, pasando por el deterioro del medio ambiente o de la imagen corporativa. Según la norma ISO 31000, el riesgo es: “[…] el efecto de la incer tidumbre sobre los objetivos”.2 En el campo empresarial el riesgo se aso cia con la incertidumbre de un resultado, el cual puede ser negativo al ocasionar pérdidas materiales o inmateriales, o positivo si se convierte en oportunidad de obtener ganancias.3 Sobre los conceptos incertidumbre y riesgo hay diferentes concep tualizaciones; a continuación se presentan tres perspectivas que pueden aclarar la diferencia entre ellos:
Frank Knight uno de los autores más reconocidos en al ámbito de la economía por tratar en profundidad el tema del riesgo, en su libro Risk, Uncertainty and Profit plantea el papel de la incertidumbre en la actividad empresarial y distingue los conceptos de riesgo e incertidumbre, caracterizando el primero como mesurable y el se gundo como incalculable. Es decir, cuando habla de riesgo, refiere la aleatoriedad de los resultados con probabilidades conocidas; en el caso de la incertidumbre, refiere la aleatoriedad con probabilidades desconocidas.4
El riesgo y la incertidumbre son conceptos relacionados; en algu nos casos se utilizan los dos indistintamente. Algunos autores
2
International Organization for Standardization, ISO 31000. Risk Management – Principles and Guidelines, Suiza, iso, 2009, p. 1. [Todas las traducciones de la norma son realizadas por la autora].
3
Algunos autores, como Javier Mirabal, consideran que los posibles resultados de los riesgos dependen de si son riesgos puros o especulativos. Cuando se habla de riesgos especulativos existen tres posibles resultados: pérdida, ganancia o ni pérdida ni ganancia; cuando se trata de riesgos puros se pueden dar dos posibles resultados: pérdida o no pérdida. Javier Mirabal T., “La Auditoría interna y la administración de riesgos”, Administración de riesgos y seguros latinoamericana, Buenos Aires, año 1, núm. 1, abril de 2004, pp. 8-17.
4
R. C. Mejía Quijano, El riesgo y la historia empresarial antioqueña. Tres casos de estudio, op. cit., p. 46
26
consideran el riesgo como cualquier situación en la que hay incer tidumbre acerca del resultado que se obtendrá. La incertidumbre se relaciona con la duda ante la posible ocurrencia de algo que puede ocasionar pérdida, por lo cual algunos la con sideran como una ilusión basada en el desconocimiento de los hechos o las condiciones que pueden generar pérdida; de ahí que Irvin Pteffer, al hablar del tema, diga que el riesgo es un estado del mundo real y que la incertidumbre es un estado de la mente, porque es posible que exista el riesgo y no tengamos incertidumbre sobre su ocurrencia, o por el contrario tengamos incertidumbre, pero el riesgo puede no existir.5 Es importante diferenciar entre riesgo e incertidumbre. La incer tidumbre existe siempre que no se sabe con seguridad lo que ocurrirá en el futuro. El riesgo es la incertidumbre que afecta negativamente el bienestar. Por ejemplo, hay incertidumbre de que mañana pueda llover, lo cual implica un riesgo para quien no lleve paraguas y una oportunidad para quien necesite rociar su jar dín. Como se ve, oportunidad es la incertidumbre que mejora el bienestar de las personas, la cual cambia de una a otra de acuerdo con sus necesidades. Toda situación riesgosa es incierta, pero puede haber incertidumbre sin riesgo.6
Las empresas pueden afrontar riesgos provenientes de diferentes ámbitos de su actuación, tanto del entorno como de sus operaciones; pero también se corren riesgos en la toma de decisiones: “[…] la esencia de ‘hacer negocios’ es, precisamente, correr riesgos, en otras palabras, el riesgo es una elección propia, más que una imposición o un obstáculo indeseable”.7 El avance en la identificación de riesgos con fines de control ha si do impulsado por varias razones, entre ellas, la creciente normatividad expedida en diferentes campos, como los de la salud ocupacional y la
5
Rubi Consuelo Mejía Quijano, Administración del riesgo. Un enfoque empresarial, Medellín, Fondo Editorial Universidad EAFIT, 2006, p. 31.
6
Oscar Bravo Mendoza y Marleny Sánchez Celis, Gestión integral de riesgos, Bogotá, Bravo & Sánchez, 2009, p. 18.
7
Deloitte & Touche e IMEF, Administración integral de riesgos de negocios, México, Instituto Mexicano de Ejecutivos de Finanzas, 2003, p. xv.
27
pública, la seguridad industrial, las finanzas, etc. La conciencia creada hacia la responsabilidad del control de los riesgos que afectan a clientes, comunidades y medio ambiente, como el derrame de sustancias tóxicas en ríos y mares, el deterioro ambiental, las explosiones de productos tó xicos, la afectación de la salud por el uso de medicamentos o materiales defectuosos en intervenciones quirúrgicas, las catástrofes naturales, el incremento y revelación de fraudes corporativos, el desacierto en deci siones de administración de grandes capitales comunitarios en mercados de valores, el aumento de costos para resarcir víctimas de riesgos pro venientes de empresas o entidades públicas, el cuestionamiento ético y de responsabilidad social sobre el manejo de riesgos y su impacto en el futuro de la humanidad…, han puesto en alerta a administradores, legisladores, científicos y comunidad en general sobre la importancia de identificar y administrar de forma efectiva los riesgos que pueden afectar la sociedad. De otro lado, la globalización que ha generado la interdependencia entre las naciones y las empresas, que ha permitido que la información se difunda en tiempo real en todo el planeta, y el desdibujamiento de las fronteras de tiempo y espacio, traen consigo un cambio drástico en la velo cidad de la toma de decisiones, en la forma de responder a la diversidad de costumbres y a las crecientes expectativas, necesidades y exigencias del mundo conectado. Cada vez se corren más riesgos, a la vez que se espera que éstos sean controlados. Por tanto, identificar los riesgos que el entorno genera a las organi zaciones y los que provienen de sus propios procesos constituye una fuente de información de vital importancia para la gestión y competitividad empresarial, y eso requiere de herramientas que complementen la obser vación, la experiencia y la intuición. En general los riesgos inherentes, y que por rutina se materializan en las empresas o en otros sectores de la economía, pueden ser reconocidos fácilmente. El administrador no necesita técnicas especiales para iden tificarlos; pero, ¿está preparada la empresa para identificar riesgos tales como los psicosociales (depresión, ansiedad en el trabajo, tensión, insa tisfacción laboral) o riesgos técnicos relacionados con los productos que elabora o servicios que ofrece, y que pueden generar a sus clientes o al medio ambiente impactos negativos?¿Está capacitada la organización para determinar las circunstancias externas e internas que pueden afectar el cumplimiento de los objetivos que se ha trazado? ¿Es suficientemente
28
flexible y tiene capacidad para adaptarse al entorno cambiante? ¿Puede analizar las causas de esos riesgos y sus consecuencias? La disciplina de la Administración de Riesgos surgió de la admi nistración de seguros. Inicialmente se dedicó al estudio de los riesgos asegurables y con el tiempo amplió su cubrimiento a los demás riesgos:
El manejo del riesgo a través de un asegurador se inició con el transporte marítimo; los banqueros, con el soporte de un contrato, financiaban a los dueños de los barcos viajes en los que se arriesgaba tanto el barco como la carga. En caso de pérdida, el contrato esti pulaba que el dueño del barco no tenía la obligación de pagar el valor financiado para el viaje. Este tipo de contratos, aunque costosos, constituyeron el inicio del mercado de seguros. Éste se extendió posteriormente a otros campos, como el seguro de vida, al obtenerse cálculos más precisos de la esperanza de vida de las personas y los seguros patrimoniales. […] Desde 1929, a nivel mundial se dio gran importancia al administrador del riesgo puro en los negocios, se crearon asociaciones de admi nistradores de riesgos para intercambiar información entre los miembros y publicar noticias o datos de interés para los compradores corporativos de seguros. Posteriormente se fundaron Institutos de investigación y Sociedades de Administración de Riesgos y Seguros, los cuales, a través de reportes de estudios, seminarios y publicaciones, ayudaron al desarrollo de la Administración de Riesgos.8
La evolución de la administración de riesgos ha permitido que se establezcan acciones, ya no aisladas, sino de manera estructurada e in tegral, para identificar, calificar, evaluar y monitorear todo tipo de riesgos que puedan afectar el cumplimiento de los objetivos de las organizaciones, con el propósito de responder con medidas efectivas para su manejo.9 La normatividad sobre riesgos empresariales ha evolucionado y en la actualidad un importante referente internacional es la norma ISO 31000, que establece para la administración de riesgos, principios que fundamentan la gestión de riesgos, un marco de referencia que delimita y direcciona la misma y un proceso para la gestión de riesgo que facili-
8
R. C. Mejía Quijano, Administración de riesgos. Un enfoque empresarial, op. cit., pp. 23-24.
9
Ibíd., p. 41.
29
ta su ejecución. En la Figura 1.1 se presentan esos lineamientos, que según la norma interactúan en el desarrollo de la administración de riesgos. Figura 1.1 Relación entre principios, marco y proceso de administración de riesgos
Fuente: Icontec International, NTC ISO 31000. Norma técnica colombiana, Bogotá, Icontec, 2011, p. 3.
El proceso de administración de riesgos implica varias etapas: Identificación, etapa previa que conduce al Análisis de los riesgos (estos se califican según la probabilidad de ocurrencia y el impacto que pueden producir en caso de materializarse). Para Calificar los riesgos se usan es calas de valoración, dependiendo de las necesidades de cada empresa. En la evaluación de riesgos se determina qué tan graves son los riesgos identificados según los criterios de aceptabilidad, definidos por el nivel directivo. Una vez evaluados los riesgos se definen las medidas para tra tarlos: control o financiamiento de las pérdidas.10 Luego se implementan las medidas de tratamiento de los riesgos y se monitorea su eficacia. El proceso de monitoreo, al igual que la comunicación de la información referente a las etapas de la administración de riesgos, es de acción permanente; ambos permiten el mejoramiento continuo del manejo de los riesgos.
10
30
R. C. Mejía Quijano, Administración de riesgos. Un enfoque empresarial, op. cit., p. 115-140.
La identificación de riesgos, así como las demás acciones, no puede ser puntual ni obedecer a una moda administrativa o a un impulso origina do por la materialización de un riesgo catastrófico; se trata de un proceso consciente de análisis permanente y participativo, en el cual se busca responder como empresa a los riesgos que pueden afectarla.
¿En qué consiste la identificación de riesgos? Identificar un riesgo empresarial es determinar los posibles eventos que con su materialización puedan impactar objetivos, estrategias, pla nes, proyectos, servicios, productos u operaciones de la empresa. La identificación de riesgos incluye además la caracterización de esos eventos, es decir, el análisis de cómo ocurrirían, por qué se presentarían, dónde y cuándo sucederían, quién o qué factores incidirían en su ocurrencia, qué o quién podría verse afectado por ella, cuál sería la afectación (a la imagen, al personal, a recursos materiales o inmateriales, a terceros, etc.) y quién sería el responsable de manejar el riesgo. La norma ISO 31000 define la identificación de riesgos como el “[…] proceso para encontrar, reconocer y describir los riesgos”.11 Este proceso no es tan sencillo de realizar como se podría pensar, porque implica el análisis de varios elementos relacionados con el riesgo, que lo caracterizan según las condiciones del proceso, la decisión, el proyecto, el producto o la función a analizar.
Importancia y beneficios de la identificación de riesgos La identificación de riesgos permite la calificación, evaluación, tra tamiento o respuesta y monitoreo, al brindar elementos de análisis para cada una de las etapas de su administración; por lo que quizás es el paso más importante cuando se decide manejar los riesgos. De su correcta identificación dependen las acciones posteriores, mientras que con su omisión la empresa puede quedar sujeta al vaivén de las circunstancias. Según el experto en riesgos Carlos Velásquez, la identificación de éstos es considerada la actividad o etapa más importante del proceso de
11
International Organization for Standardization, op. cit., p. 4.
31
gestión; no sólo porque los riesgos no identificados son asumidos inicial mente por la empresa, sino también porque es el momento que habilita un buen ejercicio de análisis de riesgos, de tratamiento, monitoreo y comunicación:
Una buena caracterización del riesgo es importante porque si se define un nombre corto del riesgo (genérico) y luego un escenario de ocurrencia, lo primero permitirá consolidar el mapa de riesgo corporativo y lo segundo dará claridad sobre la probabilidad y las consecuencias del evento; esta información es útil para el análisis de riesgos. De igual forma definir el propietario del riesgo tiene como fin res ponsabilizarlo por monitorear el riesgo identificado y gestionar el plan de tratamiento, independiente de que él sea el responsable de implementar las acciones registradas en dicho plan. La etapa de identificación también es un momento fundamental para el componente financiero de la gestión de riesgos, pues da elementos para estimar el costo del riesgo y además puede dar in formación para definir frente a un posible impacto el porcentaje de desviación o tolerancia aceptada. Si identificamos un agente generador o fuente del riesgo y sus causas asociadas, éstas pueden ser insumos tanto para identificar controles existentes así como futuros tratamientos; igual, al analizar los tratamientos de los riesgos, desde su eficacia, se analiza el grado de incidencia de cada tratamiento sobre las causas, sean “causa mediata” o “causa raíz”.12
Los beneficios de la identificación de riesgos son muchos, y pueden dividirse primordialmente en dos campos: el primero tiene que ver con lo que se puede prevenir y el segundo con lo que se puede aprovechar; es decir, prevención de pérdidas y aprovechamiento de oportunidades. Los riesgos se identifican con el fin de estar preparados ante eventos no esperados, evitar sorpresas desagradables que puedan afectar nega tivamente a la empresa o prevenir sanciones por el incumplimiento de normas. La identificación de riesgos facilita también la toma de decisiones, al brindar información que permite conocer causas e implicaciones de los
12
32
Carlos Andrés Velásquez, entrevista personal por Rubi Consuelo Mejía Quijano, Medellín, febrero de 2012.
hechos y definir si se hace o se deja de hacer alguna actividad, proyecto o estrategia, de acuerdo con el nivel de riesgo que implica; por lo cual genera un manejo coherente del riesgo, lo que permite “correr” riesgos controlados. La adecuada identificación de riesgos, unida a la correcta admi nistración de los mismos, propicia mayor control de los eventos adversos, la optimización de inversiones y la protección de los recursos; además mejora las relaciones entre las partes o grupos de interés de la empresa, crea responsabilidad en el manejo de los mismos, genera comportamiento proactivo –más que reactivo– y permite alinear el comportamiento indi vidual con la responsabilidad organizacional. Esto trae grandes beneficios en la mejora de los procesos, productos o servicios, haciéndolos más seguros y reduciendo la posibilidad de pérdidas. Los riesgos pueden ser, a su vez, fuente de oportunidades: si se iden tifican a tiempo y se estudia cómo manejarlos, se pueden transformar a favor de la empresa. Su evaluación puede llevar a vislumbrar decisiones –en ocasiones poco obvias– que permiten proteger y generar valor para los grupos de interés, lo que los convierte en ventajas competitivas, pues propician la anticipación a las actuaciones de los competidores y el apro vechamiento de oportunidades no previstas, que pueden redundar en utilidades derivadas de la innovación y mejora organizacional. En una entrevista, el experto en riesgos Tomás Isaza Jaramillo destaca otros aspectos de la identificación de riesgos:
En las buenas prácticas en la dirección de las empresas, dentro de las cuales se encuentra la Gestión Integral del Riesgo en general, y la identificación de riesgos en particular como una de las etapas más importantes de dicho proceso, se hallan otros tópicos relacionados a ésta que merecen ser destacados: En el mundo se habla cada vez más del desarrollo sostenible de los países y de las empresas. Este concepto se basa fundamentalmente en obtener el desarrollo económico logrando igualmente el desa rrollo social y la preservación del medio ambiente. Hay quienes consideran que éste será el nuevo modelo económico del mundo, ante el fracaso de los modelos dominantes en el siglo xx: el comu nismo y el capitalismo (puro o salvaje). En este orden de ideas, la Gestión Integral de Riesgos se constituye en un elemento trascendental e ineludible para quienes están al frente de las em presas. Así mismo, la identificación de riesgos se convierte en el elemento fundamental y punto de partida de aquellos riesgos
33
que atenten contra el desarrollo económico, el desarrollo social y la preservación del medio ambiente; es decir, ya no se trata sólo de identificar riesgos que afecten la variable económica, sino también los riesgos que incidan en las variables sociales (cambio de mográfico, pobreza, desigualdad, desempleo, déficit pensional, etc.) y ecológica (capa de ozono, escasez de agua, agotamiento de los recursos no renovables, etc.), las cuales muchas veces no son cuantificables en términos monetarios. La identificación de riesgos es igualmente importante en la eva luación de proyectos. Normalmente los proyectos se evalúan de acuerdo con las variables de mercadeo, factibilidad financiera, legal, tecnológica. Pero, pocas veces se hace un análisis desde el punto de vista de riesgos del proyecto. Es factible que mediante una identificación integral de riesgos, se detecten factores de riesgos que hagan inviable un proyecto, que por otro lado resulte viable en las variables antes mencionadas. Es decir, existe una premisa fundamental en finanzas y es que cada rentabilidad está asociada a un riesgo. De esta manera puede decirse que la rentabilidad de un proyecto no puede analizarse en términos de rentabilidad (roe, tir, etc.) sino que es necesario asociarla a un nivel de riesgo, y esto solo se logra a través de un juicioso ejercicio de identificación de riesgos.13
Consecuencias de no identificar los riesgos empresariales Cuando una empresa quiebra, pierde mercado, se presenta un escándalo por fraude que le implica pérdidas económicas o deterioro reputacional, es sancionada, hay paros en la producción o los proyectos fallan y la rentabilidad disminuye, se torna ilíquida y empieza a incumplir obliga ciones financieras, sus clientes la abandonan, la competencia se vuelve agresiva y pierde oportunidades, un accidente o una decisión inadecuada genera consecuencias humanas o físicas, cuando sus productos nuevos no permanecen en el mercado o se deben retirar por fallas… sólo enton ces la dirección de algunas empresas se cuestiona sobre lo adecuado de la administración de sus riesgos. Pero no es necesario pasar por todas
13
34
Tomás Isaza Jaramillo, entrevista personal, por Rubi Consuelo Mejía Quijano, Medellín, febrero de 2012.
esas situaciones para comprender la importancia de prevenirlas; todas ellas implican pérdidas para la empresa y la pueden ubicar en si tuación desventajosa, inclusive hasta minar su estabilidad y capacidad de crecimiento. Si un riesgo no es identificado es como si no existiera, lo cual implí citamente equivale a la decisión de aceptar las consecuencias de su materialización. Es responsabilidad del gerente o empresario no ignorarlo, así como identificar y controlar esos riesgos empresariales. A ellos corresponde la previsión, la viabilidad y el cumplimiento de lo planeado; también reorientar las acciones si hay fallas en su funcionamiento según lo previsto; todo ello con el fin de lograr los beneficios planeados y cumplir las expectativas de sus grupos de interés. Si no se identifican los riesgos no se puede planear su control, es decir, no se pueden definir medidas para disminuir su probabilidad de ocurrencia, para minimizar su impacto, para transferirlos a terceros cuando sea necesario o posible, para eliminar la actividad que los genera o para asumirlos, si es el caso, con plena conciencia. Ejemplos de empresas que no identifican riesgos y llegan a la quiebra son numerosos. En el libro Cómo caen los poderosos, Jim Collins presenta, como fruto de sus investigaciones, las cinco etapas de la decadencia de los poderosos: la arrogancia nacida del éxito, la búsqueda desordenada de más, la negación del riesgo y el peligro, la búsqueda ansiosa de la salvación, la capitulación ante la irrelevancia o la muerte. De esas etapas, la negación del riesgo es la que detona la caída de las empresas.14 Al entrar en la tercera etapa las señales de alerta comienzan a acu mularse, pero los resultados externos de la empresa siguen siendo lo suficientemente buenos como para desechar los datos preocupantes o para sugerir que las dificultades son “transitorias” o “cíclicas” o “no tan malas”, y “no hay nada fundamentalmente mal”. En la tercera etapa los directivos subestiman los datos negativos, am plifican los datos positivos y le imprimen un giro positivo a los datos ambiguos.15
14
Jim Collins, Cómo caen los poderosos, Bogotá, Norma, 2009, pp. 18-20.
15
Ibíd.,p. 19.
35
De ahí la importancia de identificar los riesgos a tiempo, de no dar la espalda a la información relevante y de no dejar a la deriva decisiones importantes respecto del manejo de los riesgos empresariales.
Responsables de la identificación de riesgos Como la identificación de riesgos tiene un alcance amplio en las orga nizaciones, en ella participan diferentes actores, unos como responsables directos o “propietarios”16 de los riesgos y otros como personal inde pendiente, de apoyo o externo a la organización. El personal interno responsable de la identificación de riesgos estratégicos puede estar en la gerencia, en la junta directiva y en la alta dirección; para los demás riesgos intervienen los líderes de los procesos, proyectos, servicios o productos y quienes participan en ellos, con el apoyo del administrador de riesgos. Los auditores internos o externos, en forma independiente, son responsables de identificar los riesgos para realizar evaluaciones sobre la exposición de la empresa y la eficiencia de su sistema de administración; los entes reguladores, las entidades crediticias, las partes interesadas en la empresa pueden también identificar riesgos de una organización. Según la singularidad y complejidad de los riesgos identificados, y de acuerdo con los recursos y necesidades propios de una entidad, es po sible que sea necesario personal externo, asesores expertos o consultores especializados en determinados tipos de riesgos. En ocasiones puede ser indispensable el apoyo de empresas del mismo sector, interesadas en identificar riesgos e implementar soluciones conjuntas para beneficio común. Los responsables de la identificación de riegos deben tener cono cimiento o experiencia sobre el ámbito en el cual se realiza esta actividad. Para ello deben estar capacitados en la identificación, de acuerdo con las técnicas o metodologías seleccionadas. También deben disponer de imaginación, apertura a nuevas ideas o posibilidades, capacidad de pro yectar la influencia de eventos negativos sobre procesos y recursos, además de ser personas objetivas en sus apreciaciones.
16
36
International Organization for Standardization, op.cit., p. 2.
¿Cómo identificar los riesgos empresariales? Para identificar los riesgos empresariales es necesario, inicialmente, tener claridad acerca de los tipos de riesgos inherentes al carácter de la empresa, con el fin de que su administración de riesgos sea integral, no fragmentaria y parcial. La variedad de riesgos puede ser alta, igual que las formas de clasificarlos y abordarlos; por lo tanto, no es posible establecer una única clasificación de tipos de riesgos empresariales. En la Tabla 1.1, Riesgos generados por el entorno organizacional, se presenta un esquema de categorías de riesgos provenientes del medio empresarial, en la Tabla1.2, Riesgos generados en la empresa, se relacionan las categorías de riesgos que puede propiciar la organización en el curso de sus operaciones. La información de estas tablas concreta la teoría desa rrollada por Mejía Quijano en el libro Administración de riesgos. Un enfoque empresarial.17 El esquema contempla los riesgos más comunes; sin embargo, cada empresa, de acuerdo con sus condiciones, puede enfrentar riesgos singulares. En este libro se presentan listas detalladas de riesgos, según su importancia, en relación con el estudio de cada técnica o metodología utilizada para la identificación de riesgos. Tabla 1.1 Riesgos generados por el entorno organizacional
Riesgos del entorno Origen del riesgo
Tipo de riesgo
Explicación
Provenientes de la naturaleza
Riesgos generados por el medio ambiente natural, tales como: huracanes, vientos fuertes, lluvias, inundaciones, maremotos, sequías, olas de frío o calor, terremotos, movimientos sísmicos, erupción volcánica, deslizamiento de tierras, plagas, bac terias, virus, epidemias, caída de meteoritos, etc.
Generados a la naturaleza por parte de la empresa
Uso inadecuado de recursos naturales que pueden afectar la naturaleza. Consecuencias: efecto in vernadero; disminución de la capa de ozono; contaminación acumulativa del aire, agua, suelos; generación de residuos de alta peligrosidad; deser tización y pérdida de biodiversidad
Naturaleza
17
R. C. Mejía Quijano, Administración de riesgos. Un enfoque empresarial, op. cit.
37
Origen del riesgo
Riesgos asociados al país, la región y la ciudad de ubicación
Sector económico e industrial
38
Tipo de riesgo
Explicación
Riesgo país
Grado de peligro que representa un país para las inversiones locales o extranjeras, según el nivel de déficit fiscal, la situación política, el crecimiento de la economía y la relación ingresos-deuda
Riesgo geopolítico
Debido a dificultades políticas entre naciones se pueden alterar las condiciones comerciales, que pueden implicar pérdidas de negocios, demoras o con flictos con proveedores o clientes
Riesgo social
Tiene que ver con la cultura de la región, las condiciones de seguridad, empleo, salubridad, desarrollo de las comunidades, condiciones de vi da, vivienda y bienestar, etc. Riesgos que pueden originarse en la sociedad son: hurto, robo, atraco, sabotaje, chantajes y extorsiones, terrorismo, mo tín, conflictos generadores de guerra, alteración del orden público, huelgas, migraciones masivas, hambre, enfermedades, epidemias, colapso de servicios públicos indispensables, conflictos de ba ja intensidad, explotación de grupos sociales, cambios en los hábitos de consumo, demandas colectivas, conflictos comerciales
Riesgo económico
Relacionado con el crecimiento económico nacional y local, debido a las fluctuaciones de variables macroeconómicas: pib, inflación, desempleo, balanza de pagos. El decrecimiento de la economía puede generar riesgos que conlleven detrimento patrimonial a las empresas, al disminuir la capacidad de compra de sus clientes y la de manda de sus productos
Riesgo político
El manejo político del país, y las implicaciones que tiene sobre la economía nacional, afecta las organizaciones según sus condiciones particulares
Riesgo sistemático
Riesgo que se origina por el hecho de competir en un sector determinado, ejemplo: campañas de desprestigio de la competencia comercial, espionaje industrial, tráfico de informaciones reser vadas, competencia desleal, transacciones ilegales, corrupción institucional y privada, operaciones ilícitas, daños por productos, accidentes y enfer medades profesionales; accidentes industriales,
Origen del riesgo
Tipo de riesgo
Explicación
Sector económico e industrial
Riesgo sistemático
graves, actividades públicas molestas o peligrosas, reclamación judicial por productos de consumo contaminados, contaminación ambiental, respon sabilidad por contratos de ejecución
Fuente: Rubi Consuelo Mejía Quijano, Administración de riesgos. Un enfoque empresarial, Medellín, Fondo Editorial Universidad EAFIT, 2006, pp. 35-36.
Tabla 1.2 Riesgos generados en la empresa
Riesgos generados en la empresa Tipo de riesgo
Explicación
No sistemáticos
Riesgos propios y específicos de cada empresa que pueden afec tar procesos, recursos, clientes o imagen
Riesgo de reputación
Desprestigio de la organización, que acarrea pérdida de cre dibilidad y confianza del público, por fraude, insolvencia, con ducta irregular de empleados, rumores o errores cometidos en la ejecución de alguna operación
Riesgo puro
Al materializarse origina pérdidas, como incendio, accidente, inundación
Riesgo especulativo
Al materializarse presenta la posibilidad de generar indistin tamente beneficio o pérdida, como una aventura comercial, inversión en divisas ante expectativas de devaluación o revalua ción, compra de acciones, lanzamiento de nuevos productos
Riesgo estratégico
Tiene que ver con pérdidas ocasionadas por definiciones estratégicas inadecuadas o errores en el diseño de planes, pro gramas, estructura, integración del modelo de operación con el direccionamiento estratégico, asignación de recursos, estilo de dirección; además de ineficiencia en la adaptación a los cambios constantes del entorno empresarial
Riesgo operativo
Consiste en la posibilidad de pérdidas ocasionadas en la ejecución de procesos y funciones de la empresa, por fallas en procesos, sistemas, procedimientos, modelos o personas
Riesgos financieros
Los riesgos financieros impactan la rentabilidad, ingresos y nivel de inversión, pueden provenir no sólo por decisiones de la empresa, sino por condiciones del mercado, ellos son:
39
Tipo de riesgo
Explicación Riesgo de mercado, tiene que ver con fluctuaciones de las inversiones en bolsa de valores; también hacen parte de éste las fluctuaciones de precios de insumos y productos, la tasa de cambio y las tasas de interés
Riesgos financieros
Riesgo de liquidez, se relaciona con la imposibilidad de transformar en efectivo un activo o portafolio o tener que pagar tasas de descuento inusuales y diferentes a las del mercado para cumplir con obligaciones contractuales Riesgo de crédito, consiste en que los clientes y las partes a las cuales se les ha prestado dinero, o con las cuales se ha inverti do, fallen en el pago
Riesgos legales
Se refieren a pérdidas en caso de incumplimiento de la contra parte en un negocio, sumado a la imposibilidad de exigir jurídicamente la satisfacción de los compromisos adquiridos. También se puede presentar al cometer algún error de inter pretación jurídica u omisión en la documentación, o en el in cumplimiento de normas legales o disposiciones reglamentarias que puedan conducir a demandas o sanciones
Riesgos tecnológicos
Son generados por el uso de tecnología, como virus informáticos, vandalismo puro o de ocio en las redes informáticas, fraudes, intrusiones de hackers, colapso de las telecomunicaciones que puede generar daño de información o interrupción del servicio. También incluyen la actualización y dependencia de un proveedor, o de tecnología específica, bien sea en el campo informático, médico, de transporte u otras áreas
Riesgos laborales
Los riesgos laborales, como accidentes de trabajo y enfermedades profesionales, pueden ocasionar daños a las personas y a la misma organización. Un accidente de trabajo puede producir lesiones orgánicas, invalidez, muerte o una perturbación funcional. La enfermedad profesional, por su parte, puede ser permanente o temporal, consecuencia del trabajo desempeñado o del medio en el cual se realizan las funciones. Existen otros riesgos laborales que surgen de la relación de la empresa con sus empleados, asociaciones o sindicatos, como huelgas, sabotajes, etc.
Riesgos físicos
Afectan los recursos materiales, como cortocircuitos, explo siones, daños en maquinaria o equipos (por su operación, diseño, fabricación, montaje o mantenimiento), deterioro de productos y daño en vehículos
Fuente: Rubi Consuelo Mejí Quijano, Administración de riesgos. Un enfoque empresarial, Medellín, Fondo Editorial Universidad EAFIT, 2006, pp. 37-39.
40
Según la norma ISO 31000, las acciones para la identificación de riesgos son:
[…] identificar las fuentes de riesgo, las áreas de impacto, los eventos (incluyendo los cambios en las circunstancias) y sus causas y consecuencias potenciales. El objeto de esta fase es generar una lista exhaustiva de riesgos con base en aquellos eventos que podrían crear, aumentar, prevenir, degradar, acelerar o retrasar el logro de los objetivos.18
La norma habla también de la importancia de incluir en la lista los riesgos, bien sea que estén bajo el control de la organización o fuera de él. Para realizar la identificación de riesgos debe conocerse profundamente la organización: “[…] entender bien el riesgo es entender bien el ‘business model’ de la empresa y sus puntos de creación de valor”;19 además de sus planes a mediano y largo plazo. La identificación de riesgos tiene un espectro amplio de aplicación, por tanto debe estar circunscrita a un ámbito de análisis (decisiones, procesos, productos, servicios, funciones, proyectos, etc.). Definir el objetivo específico del ámbito de análisis es primordial para identificar los riesgos que pueden afectar su cumplimiento. La identificación de riesgos no se reduce a asignar un nombre al riesgo, pues se deben incluir todos los datos relacionados con el mismo, para estudiarlos exhaustivamente y aportar elementos a las demás etapas de su gestión. Para ello es primordial contar con información actualizada y pertinente, además de establecer mecanismos de alerta temprana que permitan identificar cambios en variables críticas, que ayuden a determinar riesgos estratégicos u operativos que pueden impactar la organización, y procedimientos que garanticen el monitoreo en forma periódica, de acuerdo con los ciclos de la empresa y las transformaciones del entorno. Es importante crear una cultura de identificación de riesgos en las organizaciones, que permita a todos, y bajo cualquier circunstancia, estar atentos para detectar los posibles riesgos que deriven en consecuencias
18
International Organization for Standardization, op. cit., p.17.
19
Pierre-Alexandre Bapst, “El mapa de riesgos, punto de partida para una buena gerencia global de riesgos” [2004], sitio web: Gerencia de Riesgos y Seguros, disponible en: http:// www.mapfre.com/documentacion/publico/i18n/catalogo_imagenes/grupo.cmd?path= 1025001, consulta: enero de 2012.
41
negativas y comunicar los hechos, de tal forma que la organización pueda responder con acierto. Las técnicas de identificación de riesgos se han desarrollado con los avances en sus estudios, desde los seguros, las finanzas, la sociología, el control organizacional, la auditoría, la informática, la seguridad industrial, la salud ocupacional, la seguridad pública, la ingeniería ambiental, la ges tión de proyectos y otros campos. Existen variedad de técnicas, herramientas y metodologías para identificar los riesgos, las cuales pueden aplicarse dependiendo de la disponibilidad de recursos económicos, humanos y tecnológicos de la orga nización; del tiempo, la experiencia, el grado de desarrollo de la empresa; al igual que del nivel de implementación de la administración de riesgos. Es posible utilizar una mezcla de técnicas o alguna específica, según el tipo de riesgo, su complejidad y la necesidad de información sobre el mismo. Algunas técnicas de identificación de riesgos son utilizadas en dis ciplinas que no necesariamente han estudiado los riesgos, pero que han necesitado abordar el tema, como la administración. En los análisis estratégicos se utiliza la matriz dofa: “[…] es probable que este análisis sea la primera y más importante de todas las herramientas de análisis de la estrategia. Identifica las actuales fortalezas y debilidades, las opor tunidades emergentes y las amenazas preocupantes que enfrenta la compañía”.20 También se recurre al análisis pest: “[…] muchas veces se lo denomina análisis pestel porque refleja los componentes políticos, económicos, sociales, tecnológicos, ambientales y legales”;21 con él se establecen las variables del entorno que pueden afectar las empresas, antes de formular los planes estratégicos. Adicionalmente, en los análisis estratégicos se analizan las fuerzas que mueven la competencia en un sector, llamadas también las Cinco Fuerzas de Porter que estudian “[…] el poder de negociación de los clien tes, el poder de negociación de los proveedores, la amenaza de productos o servicios sustitutos, la amenaza de los nuevos ingresos de competidores
20
Robert S. Kaplan y David P. Norton, The execution premium, Barcelona, Deusto, 2008, p. 74.
21
Ibíd., p. 72.
42
potenciales, y la rivalidad entre los competidores existentes”.22 En todas las herramientas mencionadas se abordan elementos de estudio que per miten identificar los riesgos que podrían correr las compañías y que se hace necesario analizar para definir las estrategias organizacionales. En campos del saber, como el de sistemas de calidad, se utilizan téc nicas para identificar riesgos como el Análisis Causa-Efecto; en auditoría se acude, entre otras estrategias, a Entrevistas y Flujogramas de procesos. Existen técnicas de fácil aplicación, como las Entrevistas semies tructuradas y la Lluvia de Ideas; algunas son estandarizadas, como las Listas de Chequeo y Cuestionarios; otras se aplican a procesos o productos, como el Análisis de Modo y Efecto de Falla o el Análisis de Puntos Crí ticos de Control. Algunas técnicas utilizan información histórica, como registros de eventos, estados financieros, informes de auditoría o de com pañías aseguradoras. Otras se orientan hacia el futuro, como el Análisis de Escenarios, el Estudio del Impacto del Negocio o el “¿Qué pasaría si?”. Las hay que se basan en la observación, como la Inspección, o en la consulta a expertos, como el método Delphi. También se puede recurrir a análisis de información por sectores. Con la proliferación de técnicas,23 herramientas y metodologías para identificar riesgos, a la hora de definir en la empresa cómo hacerlo, puede parecer difícil decidir cuál de ellas es la más adecuada, o si es mejor crear una metodología propia. Ciertas compañías desarrollan metodologías ajustadas a sus nece sidades para identificar los riesgos, algunas adaptan estrategias de reco nocida aplicación en el medio; casi todas buscan adecuarse a las normas o estándares y algunas desarrollan conocimiento nuevo sobre el tema. Lo más importante al aplicar técnicas o métodos es la consistencia en su uso, de manera que permita estandarizar el proceso y obtener resultados comparables en toda la organización, con el fin de lograr una identificación de riesgos que garantice su administración en forma integral.
22
Michael E. Porter, “The five competitive forces that shape strategy”, Harvard Business Review, Boston, núm. 01, vol. 86, enero de 2008, p. 80.
23
Ver: International Organization for Standarization, ISO 31010. Risk Management – Risk Assessment Techniques, Suiza, iso, 2009. En la que se listan técnicas que contribuyen a la identificación de riesgos, clasificándolas según el grado de aplicabilidad. [Todas las traducciones realizadas de la norma son elaboradas por la autora].
43
Esas técnicas, herramientas y metodologías son alternativas que ayudan a identificar los principales riesgos que afectan una organización, pero no garantizan que se incluyan todos los posibles riesgos; es el responsable de la identificación quien, con su experiencia, conocimiento y sentido común, determina cuáles riesgos son importantes en la iden tificación y cuáles no lo son. En los siguientes capítulos se exponen diferentes técnicas y meto dologías para identificar riesgos. En la Tabla 1.3 se listan cada una de ellas, se describe algunas de sus aplicaciones y el capítulo en el cual se desarrollan. Tabla 1.3 Uso de técnicas y metodologías para identificar riesgos24
Técnica / Metodología
Aplicación
Capítulo
Lluvia de Ideas
Identificación de riesgos y de sus características en forma grupal
2
Análisis causaefecto
Identificación de causas y efectos de un riesgo
3
Listas de Chequeo y Cuestionarios
Identificación de riesgos con guías estanda rizadas, amplias y ajustables a todo tipo de empresa, pueden ayudar a elaborar el catálogo general de riesgos de una empresa
4
Inspección
Identificación de riesgos que pueden ser observados en instalaciones o en el desarrollo de un proceso
5
Entrevista
Identificación de riesgos que requieren el conocimiento y experiencia de personas clave
6
Flujograma
Identificación de riesgos en los procesos
7
Análisis de Identificación de posibles formas en que puede Modo y Efecto fallar el diseño u operación de procesos, pro de Falla (AMEF) ductos o servicios y los efectos de estas fallas
8
Identificación de riesgos a través del análisis de información financiera, manuales técnicos, registro de siniestralidad y otros eventos, y del estudio de contratos laborales y comerciales
9
Análisis de Información
24
44
Las tablas que carezcan de fuentes, son elaboración del autor.
Técnica / Metodología
Aplicación
Capítulo
Método Delphi
Identificación de riesgos que requieran grupo de expertos y opiniones independientes
10
Identificación de riesgos estratégicos
11
Risicar
Identificación de riesgos operativos en procesos, actividades, procedimientos, productos, insta laciones, cargos o funciones
12
Prest
Identificación de riesgos en la planeación es tratégica
13
Análisis de Escenarios
45