Clase 3 Gestion de Riesgos

CLASE 3 GESTION DE RIESGOS
Todas las empresas deberían de hacer una gestión de riesgo, para poder afrontar aquellas situaciones cambiantes que se
dan dentro del ámbito o dentro del entorno en el que se desarrolla tanto en el entorno externo como en el entorno interno.
¿Qué les permite tener esa gestión de riesgos?
1. Identificarlo
2. Evaluarlo
3. Aplicar controles
4. Ver en qué nivel que clase es el riesgo
5. Y si no queda en el nivel que se desea, se mejora el control
La cuestión es poder llevarlo a un nivel que se aceptable y que esté dentro del rango apetito de riesgo de la empresa
¿Para qué ayuda esto?
1. Para generar valor en la empresa
2. para poder cuidarla
3. para apoyarla en su negocio en marcha
4. para cuidar los intereses de todas las partes interesadas en la empresa
VIDEO
LO QUE NECESITAS SABER SOBRE ADMINSTRACION DEL RIESGO
El riesgo no es necesariamente nocivo o perjudicial, es la posibilidad de que suceda algún evento o acción que tendrá un
impacto sobre el cumplimiento de nuestros objetivos como entidad y se expresa en términos de probabilidad y
consecuencia. Al implementar la metodología para la administración del riesgo es importante conocer nuestra entidad a
profundidad, revisar la misión, y la visión, los objetivos estratégicos la planeación institucional.
Existen dos tipos de riesgo:
Inherentes- cuando no tenemos acciones preparadas para afrontarlo.
Residuales- Es el nivel de riesgo que se mantiene aún, cuando hemos tomado las medidas para tratarlos.
Los riesgos se pueden clasificar en distintos tipos:

 Riesgo estratégico: Asociado a la forma en que se administra la entidad
 Riesgo de imagen: relacionado con la percepción y confianza de la ciudadanía hacia la institución.
 Riesgo operativo: derivados del funcionamiento y la operación de los sistemas de información institucionales,
 Riesgo financiero: relacionado con el manejo de recursos de la entidad
 Riesgos de cumplimiento: referente a la capacidad de la entidad para cumplir sus compromisos
 Riesgo de tecnología: basados en la capacidad tecnológica de la entidad
 Riesgo de corrupción: derivados de las acciones, omisiones o el uso indebido del poder para obtener un beneficio
particular
Teniendo claros los tipos y clases de riesgos, se debe establecer una metodología orientada para la alta dirección de la
entidad y ejecutada por todos los servidores para asegurar el logro de los objetivos.
Metodología para la administración de riesgo
1. Se debe establecer la política de administración del riesgo ésta puede plasmarse en un documento que contenga:
a. Objetivo
b. Alcance
c. niveles de aceptación del riesgo
d. términos y definiciones
e. estructura organizacional para la gestión del riesgo.
2. Identificación del riesgo

a. Establecer
i. las fuentes del riesgo
ii. Causas
iii. Consecuencias
b. Analizar
i. El contexto interno y externo de la entidad
c. Identificar
i. Todas aquellas situaciones que pueden afectar el logro de los objetivos
3. Valoración el riesgo: es un análisis de las causas y fuentes de riesgo, 1. calcula la probabilidad de que sucedan y
detalla las posibles consecuencias 2. haciendo una evaluación para los riesgos inherentes, valorando los controles,
y entendiendo el nivel de riesgo para los riesgos residuales.
El análisis y evaluación de riesgos se consolida en un mapa de riesgos; para visualizar y priorizar el resultado de los
procesos y elaborar una matriz de responsabilidades que permiten realizar un monitoreo y revisión constante. El
monitoreo y revisión deben asegurar que las acciones establecidas en los mapas de riesgo se lleven a cabo y evalúan la
eficacia en su implementación, además deben estar a cargo de los responsables de los procesos y la oficina de control
interno. Después de elaborar el plan de gestión de riesgos la fase de comunicación y consulta permitirá su divulgación.
Para esto, es importante desarrollar estrategias de comunicación y trabajo en equipo.
Recuerda para que la metodología sea exitosa es muy importante alinearse con el plan anticorrupción y de atención al
ciudadano, los Líderes de los procesos, la Oficina de Planeación y la Oficina de Control interno, son responsables de
aportar una mirada integral de la situación para atacar los riesgos asociados a la corrupción.
GESTION DE RIESGOS
La administración de riego no se limita a entidades con fines de lucro o la iniciativa privada, sino que puede aplicada a
cualquier tipo de industria, empresa, entidad, etc. Porque los riesgos se presentan en cualquiera de estas y no están
limitadas solo a aquellas que tienen fines de lucro.
En palabras simples, existe riesgo en cualquier situación en la que no sabemos con exactitud lo que ocurrirá en el futuro.
Riesgo de desastre naturales, (el huracán de Florida) ellos dentro de la ubicación geográfica y (Guatemala) teniendo
nuestras propias exposiciones a desastres naturales por la ubicación geográfica y estados unidos tiene una alta riesgo a
huracanes. Todo lo que se ubica en esa sección tiene que gestionar riesgos que no se sabe cuándo va a llegar ¿y como lo
gestiona? Los dueños de casas construyen sótanos o áreas específicas, mientras los hoteles buscan tener seguros
Entonces ellos, cuando hacen una evaluación de riesgos para su entidad, para incluso para los mismos ciudadanos, van a
tener como temas centrales la parte de los desastres naturales, específicamente los huracanes. En el caso de Guatemala, es
una geografía mucho más montañosa, no tenemos ese riesgo en ese nivel. Aquí es pues muy poco probable por la forma,
digamos, o la geografía de nuestro país, que haya ese tipo de huracanes.
Pero sí se pueden dar de repente tormentas tropicales o nos puede suceder que aunque no lleguen en esa magnitud, si
tenemos problemas, porque se inundan las calles, porque se tapan los desagües, porque hay derrumbes. Ven con estos
temas de la lluvia, pues han habido muchos problemas, se caen los puentes. A nivel infraestructura, nuestro país es muy
sensible cuando hay un exceso de lluvia.
Cuando hay demasiada lluvia, empezamos a tener problemas en nuestra infraestructura. Entonces mucho va en eso, ese
riesgo que se puede generar ante cualquier situación de la cual nosotros no tengamos alguna exactitud o certeza de lo que
pueda ocurrir. Y ahí se van a dar los riesgos.
Ante cualquiera de esas situaciones, riesgos que se pueden originar, como les digo, del entorno natural, del entorno
político, del entorno económico. O sea, hay muchas líneas que pueden generarle riesgo a las empresas, a las personas, a
las ciudades, a todo, a los países, a todo. Entonces hay que estar como en ese contexto y esa línea.
2. Otro punto importante dentro de nuestro contexto de gestión de riesgos es que las empresas y las entidades nacen con
riesgo. La única manera de que no exista riesgo es que no existan las empresas. Porque las empresas nacen con ese
riesgo.
Todos nacemos con un riesgo implícito, las empresas y las personas. Y lo hablábamos, ¿verdad? Nuestro riesgo, nuestro
mayor riesgo implícito con la vida es la muerte. O sea, ya nacimos con ese riesgo a la baja. Y lo mismo sucede con las
empresas. Las empresas nacen y con esa formación de empresa nacen los riesgos. Ya es algo de cajón, digamos, que viene
dentro de las empresas.
Y es por ello que hay que tener una adecuada gestión de esos riesgos. Número tres, el riesgo va a estar presente en todo
momento de su desarrollo. Los riesgos a los que la empresa va a estar expuesta no es que solo sean cuando esta se forma,
sino van a estar a lo largo de toda su, de todo su, de todo su negocio en marcha, digamos, de toda la vida que tenga esa
empresa.
Solo que estos pueden irse transformando o pueden ir mutando de acuerdo a la madurez que vaya teniendo la empresa.
¿Por qué sucede esto? Porque el ambiente, como lo vimos en la sección uno, es altamente cambiante. Y es altamente
dinámico.
Entonces, lo que ayer pudo haber sido un riesgo ya se mitigó. Entonces mañana ya pueden surgir dos, tres riesgos más.
Pero, o sea, no es algo estático.
Siempre se va moviendo y siempre hay un dinamismo en todo lo que es el tema de los riesgos. Número cuatro, los
factores externos que van a influir en los riesgos van a ser los cambios constantes que hablábamos en el entorno, porque
tenemos un entorno que es volátil, que es cambiante, que es inestable y todo lo que platicamos en esos modelos de
entorno. Porque hay una intensificación de la competencia.
Cada vez más hay oportunidad de generar empresa y entonces hay más competencia para algunos mercados. Es mucho
más difícil entrar en unos mercados que en otros, pero siempre está generando competencia. Número tres, los avances
tecnológicos.
Eso también es un factor que incluye mucho en el tema de riesgo. Cada vez estamos más tecnificados, más
sistematizados, cada vez se hacen más transacciones en línea o digitales y cada vez son menos las operaciones manuales,
operaciones que se hacen de forma presencial. En muchas de las líneas de mercado y negocios cada vez es más toda la
parte que se hace a través de plataformas y eso pues genera riesgo.
Hoy, por ejemplo, es mucho más probable que alguien, que sea más probable y más interesante para un delincuente probar
información digital, correos electrónicos, datos de bancas, que robarse un celular o mejor dicho que robarse una billetera.
Pues es porque es mucho más rentable si alguien llega a tener acceso, por ejemplo, a sus datos de correo, a sus datos de su
banca en línea. Es mucho más fácil como adueñarse de ese dinero, de esos fondos, si tienen acceso a su tarjeta de crédito.
Entonces los apetitos van cambiando y los riesgos también. Y los cambios en los comportamientos de consumo también
van generando bastantes riesgos. Antes pues uno normalmente si vendía algo era así como que nos reunimos y usted me
da el efectivo y yo le doy el bien que le estoy vendiendo.
Hoy con todo esto de la tecnología, pues se usa cada vez más las operaciones en línea, como les menciono, que no está
mal porque qué bueno que nos puedan facilitar la vida, pero van generando otros riesgos y por eso es que se dan las
estafas. Esas estafas, no sé si las has escuchado. Seguro que sí.
Más de alguien le ha pasado, le ha contado a ustedes que le ha pasado de que quieren vender algo en Facebook, quedan
con la persona. La persona supuestamente hace un depósito o les venden algo que está defectuoso y finalmente pues son
estafados y pierden ya sea su bien o su dinero. Y muchas veces se debe a operaciones que se hacen en línea.
Entonces hay que tener mucho cuidado. Esos cambios en los consumos pues también pueden generar otro tipo de riesgos.
Y número 5, pues entonces ¿cómo va a afrontar todas estas situaciones que tienen las empresas?.
Y aquí en todo este mundo de situaciones, de cambios en el entorno dinámico y todo, pues aparece el mejor aliado es la
gestión de riesgos. Ya como yo voy a manejar todas esas situaciones que sé que como empresa estoy expuesto y que sé
que tengo que trabajarlas y gestionarlas para no tener incidentes que puedan comprometer mis objetivos, el negocio en
marcha, los intereses de las partes interesadas o la redundancia, etc.
Entonces para efectos de nuestro curso vamos a decir que gestión de riesgo va a ser un proceso que tiene que
ser efectuado por el consejo de administración de una entidad.
Estos son aspectos bien importantes. Porque a veces creen que la gestión de riesgo es responsabilidad de auditoría. O que
la gestión de riesgo es responsabilidad del área de riesgos.
Si hay niveles, sin duda, pero desde perspectivas diferentes. Pero este proceso per se es primariamente una
responsabilidad del consejo de administración para que lo vayamos por ahí manejando. ¿Por qué del consejo de
administración? Porque ellos son los que van a definir su apetito al riesgo, su tolerancia al riesgo, es decir, que están
dispuestos a perder y hasta qué punto están dispuestos a arriesgarse en relación del negocio que se está desarrollando.
Desde este punto, desde la administración, desde este consejo de administración, que son finalmente los representantes de
los dueños, va a nacer toda esta administración. Y desde aquí tienen que venir las cautas y los lineamientos. Entonces, en
este proceso que es efectuado por el consejo, va a diseñarse las formas y la metodología que permite identificar aquellos
eventos potenciales.
Porque la gestión de riesgo busca ser preventiva más que detectiva. Porque cuando uno gestiona busca prevenir. Ya si se
ocurrieron algunos casos, pues también hay que trabajarlos, pero el objetivo primario es prevenir.
Entonces diseñar, se diseñan para identificar eventos potenciales que puedan afectar a la organización y gestionar sus
riesgos dentro del riesgo aceptado. Siempre va a haber riesgos, ya lo dijimos, entonces solo hay que establecer cuál es el
nivel de riesgo aceptado que va a tener la entidad y con ello se pueda proporcionar una seguridad razonable sobre el logro
de los objetivos. ¿Por qué? Porque todas estas situaciones que se puedan originar van a afectar en definitiva los objetivos
que tenga la empresa y por eso es que hay que gestionar. Y a eso se refiere entonces la gestión de riesgo.
Y con ello, pues llegamos a las metodologías, buenas prácticas, normas que podamos nosotros utilizar o tomar de
referencia para poder hacer una adecuada gestión del riesgo. Aquí no hay una obligatoriedad.
Si nos vamos a Guatemala, hablando de nuestro país, nosotros no tenemos una línea obligatoria de qué metodología o qué
norma tenemos que utilizar. Lo único que se establece para las entidades financieras, sobre todo, es que la línea regulada
del país es que sí tengan una gestión de riesgo. Con las prácticas, las referencias o los estándares que mejor le funcione,
pero finalmente que sí se tenga una gestión de riesgo.
Igual con las empresas del sector real, es decir, con todas esas empresas que no están en el sistema financiero regulado,
pues también pueden utilizar aquellas metodologías, normas, referencias que les sean mayormente compatibles o que les
funcionen de acuerdo a la empresa en la que están. Pero para efectos, nosotros de este curso vamos a trabajar sobre la ISO
31000, que es una norma, las normas ISO, para los que no saben, son normas o son estándares internacionales que ya han
sido probados por personas expertas en diferentes empresas y en diferentes instituciones y han determinado que estos son
los lineamientos que mejor han funcionado para poder gestionar o trabajar ciertos procesos y ciertas líneas. Esas son las
normas, no son obligatorias, pero sí son estándares, los mejores estándares que se han logrado probar que funcionan para
cualquier tipo de industria, empresa o institución.
En eso se resume la norma ISO. Entonces, en esta norma ISO 31000, que ustedes muy bien trabajaron la semana pasada,
nos habla de cómo se puede gestionar este riesgo dentro de las instituciones y nos menciona que esta norma está
estructurada y enfocada en tres elementos claves que nos van a permitir tener una efectiva gestión del riesgo y nos hablan
de los principios de la gestión del riesgo, el marco de trabajo y el proceso de gestión del riesgo como tal.
EXPLICACION PRINCIPIOS SEGÚN ISO 31000N G1

Entonces aquí, porque están muy calladitos, vamos a hablar un poquito de qué son estos tres elementos claves.
A ver, alguien del Grupo 1 que me pueda platicar un poquito de lo que son los principios de la gestión del riesgo para que
vayamos ahí también entrando un poquito a esta norma ISO que vamos a utilizar de referencia. Pueden abrir su mapa, no
hay problema, el documento igual. Pero alguien del Grupo 1 que nos platique un poquito de qué eran estos principios de
gestión de riesgo.
Algún voluntario. Licenciada, solo con una consulta, al momento que usted nos dijo que nos podemos apoyar del mapa
que nosotros elaboramos y necesita que se proyecte o solamente que nosotros demos a conocer sobre esto. Como
prefiero.
Yo creo que visualmente es más fácil que lo podamos ver. Está bien. Me indican si ya pueden observar mi pantalla, por
favor. Sí, ya lo vemos. Bueno, como comentaba la licenciada, nos estamos basando en la ISO 31.000 que habla sobre la
gestión del riesgo, enfocándonos directamente en los principios. Estos básicamente persiguen ayudar en la gestión de
riesgos para la creación y protección del valor de las organizaciones.
De esta manera, la norma nos proporciona orientación sobre las características que persigue una gestión del riesgo para
que sea logrado o se gestione esta de una manera eficaz y eficiente, ¿verdad? De la misma manera comunicando el valor y
explicando la intención y propósito de la norma. Estos principios pues ayudan a alcanzar este enfoque directamente de
este estándar internacional y entre los principios pues está que es una norma integrada. Como ustedes lo pueden ver en
pantalla, la gestión del riesgo es parte integral de todas las actividades de la organización.
Quiere decir que no solo se enfoca directamente, por ejemplo, en el área financiera que podría ser susceptible de ciertas
eventualidades, ¿verdad? Sino que se puede enfocar en todas las áreas. Bueno, no se puede, se debe enfocar en todas las
áreas de una organización. De la misma manera habla sobre el que es estructura exhaustiva, que este enfoque pues está
desde la perspectiva que permite contribuir a resultados que sean coherentes y comparables.
Esto desde el punto de vista de que podemos hacer esa comparación de qué era lo que nosotros pretendíamos alcanzar
contra lo que estamos alcanzando al momento que, por ejemplo, estamos aplicando este enfoque, esta normativa.
Entonces nos permite a la larga la toma de decisiones y como se había comentado anteriormente, cuánto está expuesta la
entidad a aceptar de riesgo, ¿verdad? A través de estos controles que pues más adelante ya nosotros iremos viendo.
Entonces ahí es donde entra este término de coherente y comparable, porque al final si estos controles, por ejemplo, están
actuando adecuadamente, podemos quedarnos según el nivel de riesgo que la entidad esté de acuerdo en aceptar o bien
modificarlos y así pues ir reduciendo según el apetito de riesgo, como lo había comentado la licenciada.
Y también dentro de los principios está que es adaptada el marco de referencia y el proceso de la gestión del riesgo se
adaptan y son proporcionales tanto a contextos externos e internos de la organización, ¿verdad? Entonces, como se había
comentado anteriormente, se adapta y de acuerdo a todas las actividades de la organización y demás. Es inclusiva la
participación de las partes interesadas debe considerarse su conocimiento y puntos de vista y percepciones. Como ustedes
pudieron observar en el video, también hablaba sobre el mapa de calor, creo que es, o la matriz de riesgos, perdón, donde
habían ciertas partes interesadas o ciertos responsables.
Más bien, bueno, esto también va directamente y lo tomamos nosotros de acuerdo al principio de inclusiva, porque todas
las partes se consideran desde el punto de vista por ejemplo de esta matriz de riesgos y demás puntos importantes. Dentro
de los principios también se encuentra la parte que es dinámica. La gestión de riesgos se anticipa, detecta, reconoce y
responde a los cambios y eventos de una manera apropiada y oportuna.
Y como se ha comentado, la gestión de riesgo, por ejemplo, se puede anticipar a qué es lo que nosotros estamos
expuestos. Entonces, como lo había comentado la licenciada, por ejemplo, lo del riesgo de desastres naturales. Entonces, a
partir de este principio que es dinámico, permite que la gestión del riesgo pueda anticiparse, detectar y reconocer qué
cambios podemos nosotros estar expuestos y de esa manera pues adaptarlos a las circunstancias, actividades y eventos.
Mejora la información disponible. Se dice que la información debería ser oportuna, clara y disponible para las partes
interesadas y pertinentes. Por lo tanto, este proceso que debe ser y como se pudimos observar anteriormente coherente,
permite que la información que está disponible sea comprendido por todos para una mejor aplicación y de la misma
manera una mejor comprensión de la norma o este estándar internacional como tal.
También tiene que ver con factores humanos y culturales. Estos influyen en todos los aspectos de la gestión del riesgo.
Las personas adecuadas dentro de esto, los responsables que están en cada uno de ellos y también que todas las personas
dentro de una organización pues tienen que contribuir a esta mejora y aplicación del proceso de la gestión del riesgo según
sea necesario y según estén asignados, ¿verdad? Y la mejora continua de la gestión del riesgo pues es mejorar
continuamente valga la redundancia mediante el aprendizaje y experiencia de cómo ha ido aplicándose este
procedimiento, estos principios como tal y pues a través de, por ejemplo, controles y otras situaciones pues de
conformidad al nivel o apetito del riesgo, perdón, al apetito del riesgo que la empresa u organización esté dispuesta a
aceptar y que tanto los controles le han sido funcionales y otros aspectos necesarios.
Entonces eso es lo que comprendemos nosotros con respecto a los principios licenciados, si estamos en lo correcto o algo
que podamos mejorar. Muchas gracias Luis, en esencia es eso. Muchas gracias. No sé, perdón, ¿no se dejo de compartir?
EXPLICACION PRINCIPIOS ISO 31000 LICENCIADA

Sí, le vamos a dar la oportunidad a otro grupo. Entonces, gracias Luis, los principios lo que nos van a dar son las bases de
los parámetros que se tienen que considerar cuando se está trabajando una gestión de riesgos, es decir, yo no puedo
desligarme de que esta gestión debe generar valor, que tienen que estar incluidos todos los procesos de la organización,
que va a ser un punto sobre el cual la alta dirección deba tomar decisiones, porque aquí voy a entender en qué puntos
estoy teniendo riesgo, para buscar tratar la incertidumbre, ¿verdad? En relación a esos aspectos que se han identificado,
debe ser algo sistemático, estructurado y adecuado, ¿verdad?
Es básicamente los principios lo que nos dan es la integridad o la integralidad que debería de manejar esta gestión de
riesgos. No es un aspecto aislado, ni un aspecto que se maneje solo. No es toda una metodología, una dinámica de trabajo,
es una cultura empresarial.
La gestión de riesgos empieza mucho por la cultura que se tenga dentro de la empresa con el tema de gestión de riesgos.
Si la empresa no trabaja en esa cultura dentro o con sus colaboradores, pues mucho de esto se va quedando corto. Porque
aunque yo establezca y diga si tengo estos riesgos, pero no trabajo en la cultura de las personas que finalmente están en el
día a día y ejecutan todas las operaciones, actividades y acciones, entonces mi gestión de riesgo va a estar como a medias.
Porque vamos a estar siempre o se va a estar siempre apagando situaciones o apagando fuegos, como se dice
coloquialmente, porque no se trabaja en darles ese enfoque a las personas y que ellos vayan generando y despertando esa,
cómo decirlo, como esa mentalidad de riesgos. Por ejemplo, cuando alguien está buscando colocar una venta, que de
repente la persona le puede resultar como raro que todo lo paguen efectivo, cantidades muy grandes, que quiera comprar
productos y no tenga como la posibilidad, o sea, darles como esa desconfianza y un poquito de desconfianza o esa
perspectiva de que alguna situación puede ser riesgosa y que a lo mejor no convenga realizarla. Pero desde todas las líneas
de la empresa, no solo los encargados de la gestión de riesgo, sino que es tomarme en todas las líneas, sobre todo en las
que tienen ese trato con los clientes y en la parte comercial, que normalmente el área comercial es muy afín al riesgo.
Ellos no van viendo controles, sino que ellos van viendo metas y está bien porque es parte de su trabajo, pero no debería
de por qué lograr metas poner en riesgo a la institución. Entienden? Tal vez haciendo malos negocios o haciendo prácticas
prohibidas, teniendo comportamientos no adecuados. Entonces toda la parte de la gestión tiene que mermar a nivel
cultural para que sea mucho más fuerte y vaya generando mucho más valor para la institución.
Y recordemos que el hecho de que una empresa se mantenga sólida y se mantenga fuerte no solo es en beneficio de los
dueños, también es en beneficio de todas las personas que trabajan en esa empresa porque es su principal fuente de
ingresos y también es para cuidar a los clientes o a las personas que también tienen alguna dependencia de estas empresas.
Por eso se les llama partes interesadas, porque tienen un interés especial y particular de la empresa, en la empresa, por lo
que está generado. Entonces no solo es así yo aquí gestionando los riesgos para que los ricos sean más ricos, no.
Toda la importancia de empresa a nivel de país, lo repasamos un poquito en la sesión 1, es una generación de empleo, son
imagínense en una empresa de mil colaboradores, son mil familias las que están ahí representadas. Los ingresos para cada
una de esas familias, el sustento, el mismo desarrollo de las personas que forman parte de esa empresa para poder apoyar a
esas familias. Entonces tiene como varias, no veamos la parte de gestión de riesgo solo como un beneficio para los
dueños, sino en línea y en paralelo un autobeneficio para los que elaboramos en esas instituciones como nuestra principal
fuente de ingresos, verdad.
Entonces también hay que ver y lo que genera para la sociedad y para el país. Son aspectos mucho más profundos que
solo meramente la generación de ganancias para los dueños, verdad. Entonces todos estos principios en esencia lo que nos
ayudan es a tener esa claridad que la gestión del riesgo tiene que pasar por varios filtros y no solo es meramente generar
una matriz de riesgo y ahí está, verdad.
Tiene varios aspectos que cumplir para que ésta de verdad sea una adecuada gestión de riesgo. Muchas gracias entonces
Luis. Y vamos al segundo punto que es el marco de trabajo para la gestión.
EXPLICACIÓN MARCO DE TRABAJO PARA LA GESTIÓN G2
El grupo 2 tal vez nos puede ayudar un poquito y nos comenta a qué se refiere el marco de trabajo para la gestión de
riesgo. Ahí les dejamos la pantalla por si quieren proyectar su mapa. ¿Tengo a alguien del grupo 2? A ver Andrea, no sé si
tienen por ahí su mapita para hablar de ese aspecto.
O alguien más del grupo que quieran poner. Lo tengo que descargar, que lo tengo aquí en mi carpeta. Es que mi compu la
tengo saturada de archivos leaks, pero según recuerdo el tema sobre el marco de trabajo en la gestión de riesgo según la
ISO se refería como a la estructura organizativa y a procesos necesarios para gestionar el riesgo de una manera efectiva.
Sí, en esencia es el marco de trabajo, es decir toda esa organización estructura que se va a utilizar para poder hacer esa
gestión de riesgo. Gracias Andrea. Grupo 3, no sé si tiene algo que agregar que nos puede ampliar de lo que es el marco de
trabajo para la gestión.
¿Alguien del grupo 3? Y grupo 4, no sé si nos pueden apoyar indicándonos un poquito sobre qué es el proceso de gestión
de riesgo. Sí, licenciada. Sí, Daniel, adelante.
EXPLICACIÓN EL PROCESO DE GESTIÓN G4

Bueno, soy del grupo 4, pero no sé si el compañero de qué grupo es. Buen día licenciada, del grupo 3. No sé si ven mi
pantalla. Me dijo que la parte que era sobre el marco de trabajo, más podrían agregar sobre el marco de trabajo.
Pero no tengo licenciada que nos lo encuentre. En sí, lo que nos daban a entender la ISO 3000 sobre el marco de trabajo,
pues son todos aquellos lineamientos que debemos de seguir para poder, como recordemos que primero para poder
gestionar un riesgo, primero debemos evaluar el riesgo, luego ver el nivel de aceptación y luego pues ya trazar un marco
de trabajo. La norma nos indica que debemos elaborar esas estrategias que nos indicaban y que mitigan o que nos dejen a
un nivel aceptable, porque la misma norma nos indica que hay algunos riesgos, pues que podemos mitigar al 100 por
ciento y otros que pues sólo debemos, podemos como que reducirlo a un nivel aceptable. Sí, eso era un poquito más del
lado del proceso de gestión. Pues espero. Buenos días.
De acuerdo a lo que Bayron presentó, yo lo que entiendo que ahí es como un marco de referencia donde nosotros vamos
como dando como por puntos de acuerdo a las generalidades, el liderazgo y el compromiso que tenemos, la integración, el
diseño, la implementación, la valoración y la mejora que se encuentre en el riesgo. En sí, nosotros lo que encontramos fue
como que dar todos los lineamientos de acuerdo, lleva una estructura, ese marco desde el inicio hasta que vayamos
evadiendo todos los riesgos, sólo para complementar lo de la presentación de Bayron. Ah, ok.
Muchas gracias. Sí, el marco de trabajo le va a dar justamente esos lineamientos en la línea de poder establecer un flujo
general de cómo se van a ir trabajando esos riesgos, empezando por el compromiso de la dirección. Eso lo vamos a ver un
poquito más despacio.
Gracias, Sulma. Y ahora sí, ¿quién me había levantado la mano? Daniel, para el grupo cuatro, de lo que era el proceso de
gestión de riesgos. Está bien, licenciada.
Bueno, más que todo lo que les quisiera comentar acerca del proceso, del cual nos habla la guía 31.000, esa más que todo
abarca todas las generalidades que una entidad debe de aplicar, digamos, a la hora de querer gestionar y controlar sus
riesgos. En este caso, esta sección, o esta parte, habla de la aplicación de algunas políticas, procedimientos y algunas
buenas prácticas, verdad, que las entidades deben de adoptar para llevar a cabo una buena gestión. En este caso, alguna de
las buenas prácticas podría ser una comunicación y consulta adecuada que tiene que tener, digamos, la entidad, digamos,
con todos los componentes de la misma.
Así también, en cuanto al proceso, también abarca lo que es el alcance, contexto y los criterios de la entidad. En este caso,
debe de comprender todo lo que son, o sea, el proceso de la gestión de riesgos debe estar encaminada, digamos, al alcance
de la entidad, en cuanto a sus objetivos, el tiempo, la ubicación y las herramientas que la entidad ha adoptado, y así
también todo el proceso, digamos, de todas las actividades que realiza. También, digamos, otra de las secciones es la
evaluación del riesgo, que deben de identificar cada uno de los riesgos, encontrarlos, reconocerlos y describir los riesgos,
así también analizarlos, verdad, para que se los puedan comprender adecuadamente y así poderlos tratar también de la
mejor forma.
Así también está el otro procedimiento, que es el tratamiento del riesgo, que este, más que todo, implica un proceso
interactivo en cuanto a formular y seleccionar opciones para el tratamiento del riesgo, planificación e implementar el
tratamiento del riesgo, y así algunas otras actividades, verdad, que se pueden implementar para tratar el riesgo y en
algunas, y también da la pauta, digamos, de que se deben de seleccionar algunas de las opciones para tratamiento del
riesgo y la preparación e implementación de algunos planes, verdad, para poder tratarlos adecuadamente. Ya casi que por
último también nos está indicando sobre el seguimiento y revisión de estos riesgos, verdad. Una vez detectados los
riesgos, no es simplemente detectarlos y dejarlos ahí a la deriva, verdad, sino que siempre es necesario periódicamente o
eventualmente hacerles alguna segunda, tercera revisión o el seguimiento respectivo, verdad, para identificar de que si
realmente se está controlando o viendo la forma de que los riesgos no afecten, o sea, no sigan afectando a la entidad,
verdad.
Así también la misma parte del proceso abarca lo que es un punto muy clave, que es el registro de informe, porque de
todos los riesgos que se identifican y de todo lo que se identifica durante una gestión de riesgos, es importante
documentarlo, verdad, y comunicarlo a las personas adecuadas para que sí puedan ser tratadas adecuadamente y en
especial oportunamente, verdad. Eso es todo, licenciada. Muchas gracias, Daniel.
EXPLICACION EL PROCESO DE GESTIÓN DE RIESGOS LICENCIADA

En resumen, el proceso de gestión de riesgos lo que nos da es la metodología, la metodología de trabajo de todos aquellos
aspectos que deberían deberse dentro de la gestión de riesgos. Muchas gracias, entonces, a Daniel del grupo 4. Vamos a
continuar.
Entonces, esta norma ISO 31.000, ISO 31.000, nos da todos los tres puntos esenciales para obtener una adecuada gestión
de riesgos. Nos da los pilares base, que son los principios, nos dice que hay que tener un marco de trabajo, es decir, un
proceso general de cómo se va a gestionar ese riesgo, que es el marco de trabajo, y adicional nos da una metodología,
dónde debería iniciar y dónde debería, con qué debería iniciar la gestión de riesgos y con qué debería finalizar. Aunque si
vemos en la imagen, esto es un círculo, un círculo virtuoso que continuamente se va a trabajar. O sea, no es algo, la
gestión de riesgos no es estática, es dinámica, porque las empresas son dinámicas, porque el entorno es dinámico.
Bueno, todo va en línea. Y no es que una vez hice la evaluación de riesgos y luego ya me quedo solo con eso, sino que
esas evaluaciones y esas gestiones están en constante cambio por varias situaciones. Lo que vemos por el entorno, por el
ambiente, por las personas, porque la misma empresa va madurando, porque los controles van madurando, porque hay
riesgos que van surgiendo, ¿verdad? Y riesgos que se van cerrando, que también es una dinámica. Entonces, por eso es
que siempre está como en ese constante, en esa constante mejora. Muy bien.
Entonces, hablemos un poquito en sí de lo que es el proceso de gestión de riesgos. Este esquema que nos habla de cómo
debería manejarse nuestra metodología o cómo podría plantearse una metodología de gestión de riesgos ya en un proceso
per se. Y como bien nos decía Daniel, pues en primer lugar hay que establecer un contexto. Luego de establecer el
contexto, hay que evaluar los riesgos.
Una vez evaluados, se va a hacer un tratamiento de los riesgos. En todos estos procesos van a haber otros procesos que
son transversales a todos estos. Esto sería como lo central, pero tenemos procesos transversales de apoyo, que son la
comunicación y la consulta, una dinámica de ir, venir, ir, venir, ir, venir.
Y luego tenemos una parte de revisión y monitoreo que también va a ir como una actividad paralela transversal a todo este
proceso central, que es la metodología de riesgos. ¿Por qué dirían ustedes? Cuando yo estoy estableciendo un contexto,
me voy a comunicar con la alta gerencia, voy a hablar con las áreas, voy a tener comunicación con los dueños de los
procesos, etc. Entonces me comunico.
Es una comunicación constante que yo voy a tener en todo el proceso, ya sea que esté estableciendo contexto, que esté
evaluando los riesgos o que le esté dando tratamiento a los riesgos. Siempre voy a tener comunicación y voy a consultar
fuentes de información, voy a consultar resultados, voy a consultar estudios. Tenemos todo aquello que me permita tener
un adecuado contexto, una adecuada evaluación y un adecuado tratamiento.
¿Por qué? Porque no tenemos toda la información y tenemos que nutrirnos de diferentes fuentes. Y del lado derecho
tenemos el monitoreo y la revisión. ¿Por qué también es un proceso paralelo? Porque si yo ya tengo el modelo de gestión
de riesgos, lo voy a estar monitoreando, voy a ver cómo va mi identificación de riesgos, porque como les menciono, es un
proceso dinámico. Entonces todo el tiempo estoy identificando qué riesgos. ¿En qué momento debería yo identificar
riesgos? Cuando inicio la empresa. Cuando entra un cambio, ya sea un cambio de estructura, un cambio de productos, un
cambio de ley, una implementación de ley, porque hay un cambio en los procesos.
Ahí voy a identificar qué riesgos me va a generar ese cambio o qué riesgos se van a cerrar con ese cambio. ¿Entienden?
Porque puede ocurrir eso también. ¿Qué sucede si yo tengo un riesgo? Porque estamos utilizando, porque se está
utilizando un sistema que tiene 50% del proceso, de parte del proceso, está 50% sistematizado y 50% está de forma
manual.
Entonces yo o la empresa en la parte manual va a tener algunos riesgos, igual que en la sistematización. Pero si hay un
cambio en ese proceso, porque hay un cambio de sistema o cambio de plataforma y ahora todo es automatizado,
prácticamente se eliminan los riesgos originados de la parte manual, porque ya no existe la parte manual. Entonces yo ahí
quito riesgos.
Pero puede ser que por la sistematización de ese proceso ahora tenga nuevos riesgos. Ahí se va dando esa dinámica.
Entonces los tengo que identificar, los tengo que analizar y los tengo que evaluar. ¿Por qué? Porque mantengo un
monitoreo constante de los riesgos y una revisión constante de lo que pueda estar pasando dentro de la institución. A eso
se refiere, o esto es lo que nos quiere dar a entender este diagrama del proceso de gestión de riesgos.
Muy bien, entonces hablemos un poquito de lo que es el alcance, el contexto y los criterios, que es el primer punto de
nuestra gestión de riesgos, en establecer en ese contexto.
Entonces voy a tener el alcance, el contexto y los criterios. ¿Qué voy a estar haciendo aquí? El propósito es adaptar el
proceso de gestión de riesgos para permitir una evaluación de riesgo eficaz y un tratamiento apropiado del riesgo. Y
entonces para tener ese contexto tengo que tener tres líneas bien trabajadas y bien definidas, que en muchas ocasiones
desde este punto hay deficiencias en lo que es la gestión de riesgos, porque no se conoce a la organización, porque no se
entiende cuál es el contexto, porque no hay criterios definidos como tal.
Entonces crear toda esa línea muchas veces se hace sobre temas empíricos y no sobre temas reales. Y entonces en el
alcance lo que nos habla es que la organización tiene que definir el alcance de sus actividades de gestión de riesgos. Todo
esto desde el Consejo de Administración, ¿verdad? Recordemos que con ellos inicia la gestión de riesgos, entonces ellos
tienen que definir cuál es el alcance, cómo se va a manejar esa gestión de riesgos como tal.
En el contexto lo que hay que hacer es entender cómo es el entorno y el contexto de la entidad de forma externa. Eso
implica conocer el país, el riesgo país, la economía, todo lo que lo que se ve en un análisis PESTEL, ¿verdad? Que es
temas políticos, económicos, legales. Tecnológicos. Ambientales. Eso me va a dar el contexto externo de la empresa y
todo aquello que pueda estarle afectando y también un contexto interno. ¿Cómo es su entorno? ¿De qué dispone la
empresa y qué situaciones internamente le pueden generar riesgo? Todo esto para buscar sus objetivos.
Si la empresa tiene un objetivo de crecimiento, pero la economía está rezagada o está detenida. No puede detenerse, pero
está creciendo muy poco. Probablemente sus objetivos no se puedan lograr porque la parte de la economía no da para eso.
Hay que considerarlo cuando se están definiendo los objetivos. No es que la empresa no quiera, no es que la empresa
tenga procesos malos, no es que la empresa no le esté echando ganas, sino que simplemente hay factores externos que no
están permitiendo esos objetivos. Y en ese contexto hay que entenderlos y hay que analizarlos.
Número tres, los criterios. La organización tiene que precisar la cantidad y el tipo de riesgo que puede o no puede tomar
con relación a los objetivos. Una vez establecidos esos objetivos, hay que definir los criterios.
¿Cuánto está dispuesta a perder la empresa? Yo en ventas, por ejemplo, puedo decir en ventas estoy dispuesto a perder el
5% del total de ventas por mermas, por cuentas que no se pagan, por gastos no esperados, etcétera. Pero se establece un
criterio. ¿Y con qué fin se establece el criterio? Para tener oportunidad de medición.
Porque si yo no establezco, si la empresa, mejor dicho, no establece este criterio, no se va a saber en qué punto se
sobrepasa el riesgo que la empresa puede asumir. Entonces, si son 100, son 200, son 300, son 500. Entonces, como no hay
criterio, nunca va a haber realmente una alerta o una validación si se están o no se están excediendo en los criterios.
Y esto también son muchas veces los puntos donde mayormente falla la administración. Porque no establece esos
criterios. Y no los escala.
No le dice a su gerente de ventas, mire usted no puede perder más del 5% de sus ventas. O no puede dar al crédito más del
25% de las ventas que realice. Esos son parámetros.
Y son riesgos que la empresa pues decide o no decide tomar, pero los tiene que definir y los tiene que dejar plasmados,
autorizados en sus actas de consejo y estos ser escalados a todas las áreas. Y esto nos ayuda a nosotros también como
auditores, porque si nosotros no tenemos parámetros, cuando hacemos validaciones, el hecho de que se pierdan 5, se
pierdan 10, pues no nos dice mayor cosa porque no hay un parámetro. No podemos decir si cumple o no cumple porque
no hay un parámetro base de cumplimiento.
Estos criterios si es bien importante. Y aquí es donde también se les dan ajustes. Porque imagínense que la empresa, ellos
dicen bueno, estamos dispuestos a perder el 50% por el negocio, el 50% de las ventas.
No es un parámetro que sea como adecuado, ¿verdad? O sea, voy a vender para esperar perder el 50% o hasta el 50%.
Está demasiado alto o demasiado flexibilizado el criterio. Y aquí es donde pues mucho la función de auditoría es un poco
cuestionar esos apetitos.
Si usted dice que el 50% pero sin el 50% afecta su negocio en marcha, no tiene propio equilibrio, si tiene esa pérdida ya
no genera ganancias. Me explico. Entonces toda esta parte de contexto es bien importante porque va a ser la base para
todo lo que viene.
Y si no la tengo clara y si no la tengo definida, entonces pues lo que haga va a ser no lo voy a poder, no voy a poder decir
si está bien o está mal o si se está excediendo o no en el apetito de riesgo porque no hay un parámetro. Es como sucede
aquí en las clases, ¿verdad? Aquí hay un parámetro para perder o ganar un curso. Entonces ustedes lo tienen y miden su
riesgo y saben que si sacan menos de 75, entonces el riesgo de perder el curso es del 100%.
Ahora si saca 75 más, pues lo ganan, ¿verdad? Pero ya tienen un parámetro. Sí, y pueden ir midiendo realmente
cómo va su riesgo en relación a ese parámetro. Pero si no estuvieran claras esas reglas, esos parámetros. Entonces
ustedes no tendrían, ni ustedes ni yo tendríamos el punto o el parámetro para saber si un curso se aprueba o no se aprueba.
Me explico. Esos son los temas que muchas veces dentro de las instituciones no se trabajan y no se le cuestionan a la junta
directiva.
Y por no tener estos parámetros, muchas veces las empresas entran en problemas, ¿verdad? Porque empiezan a vender
mucho al crédito, porque toman riesgos muy altos, ¿verdad? Empiezan a meterse en mercados que tal vez no les conviene.
Cosas como esas. Y no se tiene esa claridad.
Y entonces pues ya ponen en riesgo el negocio en marcha por eso. Entonces es bien, bien importante que se vayan dando
esos parámetros. ¿Dónde se deberían de dar? Pues es un punto.
¿Cómo debería funcionar esta dinámica, dirían ustedes? Bueno, entonces, por ejemplo, el gerente de riesgos podría
presentar, si no se tiene una base como tal, pues empezar con alguna proyección, ¿verdad? Si no pudiera muy bien el
riesgo, es decir, miren nuestros indicadores de pérdidas, nuestro riesgo, tal. Todo esto es el panorama que tenemos. 2024 o
2023, hablemos del año determinado, 2023 lo terminamos así.
Tuvimos esto de pérdidas, esto de mermas, tuvimos estas situaciones y hubo fraude, tuvimos estas multas, se agregaron
estas nuevas legislaciones, etc. Y se les dice, Consejo de Administración, ¿cuáles son sus pautas de riesgo para este 2024?
Díganos, ¿cuál es el máximo de pérdida esperada que usted autoriza? ¿Cuánto es el máximo en una operación con un
cliente que ustedes consideran adecuado? Todo eso se platica y se deja en el acta del consejo y sobre eso ya se establecen
los parámetros. Eso es algo que tienen que decidirse desde esas instancias y dejarse en el acta y apegarse con ello.
Todo lo demás, ya cuando se empiece a evaluar esa cuestión de riesgo, estos apetitos se van a basar justo en estos
parámetros. ¿Alguna duda con esto? Que se oye fácil, pero no está fácil. O sea, sí debería no ser complicado que se tenga
esa claridad, pero muchas veces no se tiene.
Y a veces las personas de las juntas directivas no están tan empapadas de estos temas y entonces es un poco difícil que
tomen estas decisiones. Entonces hay que ayudarlos, hay que llevarles información. Lo que sí son expertos es en negocio
muchas veces, entonces pues sí entienden que si ahí toman una u otra decisión puede afectar su negocio en marcha.Pero
hay que crear este contexto. Y de eso va la primera, establecer ese contexto.
¿Qué factores deberían de considerarse en ese contexto? Y es bien importante, muchas empresas tienen la práctica, yo lo
he visto, de que justo en estas fechas empiezan a tener sesiones.
Contratan algunas entidades que les dan las proyecciones económicas del país a seis meses, a un año. Y les dicen, bueno,
la economía de Guatemala va a crecer un 5 por ciento. La inflación se va a mantener.
Las tasas, la tasa alier va a bajar en uno o dos puntos o va a subir en uno o dos puntos. La economía de Estados Unidos
pues está cayendo en una recesión. Cosas como esas que aparecieran como muy técnicas, pero que en realidad son
situaciones que la empresa tiene que considerar para saber por dónde se va a ir.
Tal vez no es el momento de crecer, sino es un momento de mantenerse por cómo se está moviendo el entorno. O si los
indicadores y las proyecciones son favorables, pues tal vez sí buscar un crecimiento, pero que se acorde a las expectativas
que se tienen. Este proceso en la planificación anual y en generar este contexto es bien importante porque les da mucha
luz de lo que pueden esperar y a lo que sí pueden intentar meterse las empresas, verdad? A manera de no arriesgarse tanto.
Dependiendo de lo que buscan, pues tienen que ver factores externos como la parte económica de un país, la parte
medioambiental, verdad? De cómo están manejando ciertos temas hoy por hoy. Toda la parte de responsabilidad social, la
parte medioambiental está tomando mucho auge, está tomando mucha importancia y entonces se está volviendo un punto
bastante crítico que también las empresas tienen que considerar. En relación a cómo manejarlo, ya se está dando más
legislación a nivel de Guatemala que habla de temas medioambientales.
Por ejemplo, la semana pasada hubo una huelga de los recolectores de basura. ¿Por qué? Porque está colapsando el
proceso de recolección de basura. O sea, no hay espacio ya para meter toda la basura que genera el país y no hay procesos
adecuados de gestión de residuos y de manejo de desechos.
Entonces, como ciudad, aquí en la ciudad capital estamos entrando en ese problema y es algo que nos afecta a todos. No
solo es a las empresas, no solo es a donde está ciertas partes, nos afecta a todos. Hay que tomar decisiones sobre eso.
¿Cómo nos puede afectar la ley que salió el año pasado? No me recuerdo. El año se ha ido tan rápido. Creo que la ley que
se estableció para el manejo de desechos desde el hogar, donde uno ya tiene que separar sus desechos, también es parte de
lo que se está viendo, que hay que trabajar mucho en la parte medioambiental.
Los temas políticos que el año pasado se estragó en muchos temas, hoy permanece esa incertidumbre. ¿Realmente el
gobierno qué va a hacer? Hay mucho presupuesto no ejecutado. La infraestructura está dañada.
Los hospitales están colapsando. O sea, toda la parte política también afecta a las empresas. Entonces, hay que ver cuál es
la... No tenemos certezas.
Lo que se hace aquí son proyecciones y se generan expectativas, pero al menos tener una idea de lo que pudiera pasar.
Entonces, esto es importante. El año pasado fue relevante porque hubo un cambio de gobierno, hubieron elecciones y
había mucha incertidumbre política.
Entonces, eso también hizo que algunas empresas fueran muy moderadas en relación a lo que iban a hacer, porque no
sabían cómo el nuevo gobierno iba a entrar. Entonces, en su proyección 2025 sí se notaron un tanto reservados. De hecho,
también por esa misma, esta misma incertidumbre política hubo mucha fuga de capital, porque había muchos rumores de
que nos íbamos a volver comunistas y que se iba a eliminar la propiedad privada.
Había ahí por la ideología de los políticos como que iban a haber muchos temas socialistas comunistas ahí. Entonces, pues
las personas que tenían dinero les generó esa incertidumbre y hubo mucha fuga de capital hacia el exterior. O sea, los
empresarios sacaron su dinero de acá y se lo llevaron al exterior ante la incertidumbre política.
Eso también tiene sus efectos dentro del país. Regulaciones nuevas para el sistema financiero, por ejemplo, sacaron
nuevas regulaciones, hicieron cambios a la parte del reglamento de riesgo de crédito, hicieron cambios por el tema de
riesgo tecnológico, por tantas situaciones de fichito que se han estado dando. Y pues ahí van generando varias, varios
cambios a nivel de regulación de Pax.
También la parte social, la demografía, la responsabilidad social, el terrorismo. En nuestro caso, la parte de la inseguridad,
tema extorsiones, robos, asaltos. Incluso hoy hay un otro problema acentuado, que es el tema de las motocicletas.
El parque vehicular de motocicletas cada vez es más alto. Y eso ha hecho que la cantidad de accidentes en moto haya
subido muchísimo. O sea, en promedio, a ver, me estaban comentando la estadística Elix y dice que en promedio son más
o menos 100 casos de accidentes de motocicleta.
En promedio, y en los días altos pueden llegar hasta 200 accidentes de motocicleta. Todo esto, ¿en qué ha repercutido? En
que pues los hospitales colapsan, ¿verdad? Porque hay demasiadas personas que atenden. Ya no es solo el tema de
personas que son heridas por arma de fuego, heridas arma blanca, accidentes normales, sino ahorita ya hay un punto más,
que es todo el tema de accidentes de motocicletas.
Adicional a eso, estas personas dicen que más o menos en un 50% quedan incapacitadas para trabajar, porque pierden un
miembro o pues tienen golpes, porque sí son serios, la verdad, los accidentes de moto. Entonces quedan incapacitadas y
eso ya entra al programa de invalidez de Elix. Entonces Elix está empezando a tener problemas por la cantidad de
personas que están manejando por tipo, por estos accidentes de motocicleta.
Imagínense pues, o sea, hay cosas de cosas, con tanto tema no dan ganas ni de tener empresa, pero hay que tener claro.
Entonces esos son aspectos que hay que considerar. La parte de tecnología, si hay interrupciones.
Un ejemplo muy claro de esto son la ida de luz, verdad? El servicio de energía eléctrica se puede volver inestable. Por
algunas situaciones y eso afecta a las empresas, puede interrumpir. Entonces hay que crear planes de contingencia, tener
una planta y buscar alguna otra medida de no perder el insumo de energía eléctrica.
La forma en que se hacen negocios, el comercio, el mantenimiento de la tecnología. Ahora hasta los ciberataques son
temas que hay que considerar. Antes Guatemala no era un país tan apetecible para tener ataques cibernéticos, pero ahora
sí.
Y no solo es Guatemala, es todos los países, pues ya es un riesgo latente. Hay una premisa en riesgo tecnológico que me
parece divertida y realista a la vez. Y la premisa dice no, no.
Ahorita no es la pregunta de si van a ser o no objetos de un ataque cibernético, sino cuando les va a tocar el objeto de un
ataque cibernético. Entonces hay que reforzar toda la parte de tecnología. Y estos son factores externos.
No es algo de a mí no me va a pasar. Hay que cuidar mucho eso. ¿Qué pasa si alguien, alguna empresa, como ha pasado
con algunas entidades públicas en Guatemala, que han tenido ataques y les quitan el servicio y luego les piden rescate? Y
ahí interrumpen todas sus actividades o empiezan a filtrar información.
Yo recuerdo que a uno que le pasó varias veces el año pasado fue al Ministerio de Relaciones Exteriores. Entonces por ahí
andaba la información de las personas, porque había subido ataques de ese tipo. En El Salvador también hubo una fuga
masiva de información y por ahí andaban rondando.
Fue una fuga de información del Instituto de Seguridad Social de El Salvador, de LIS. Y ahí empezaron a filtrar los
nombres de las personas con su salario, porque para hacer el cálculo de LIS es a través del salario. Entonces empezaron a
filtrar listados de personas, decía el nombre, dónde trabajaba y cuál era su salario.
Gracias Gaspar. También Claro. Sí, El Salvador también tuvo un evento ahí de una situación de ciberataque en que ellos
creo que perdieron un servidor y tuvo irregularidades ahí en el servicio.
Entonces son situaciones que pasan y la exposición ahora cada vez es más alta. Entonces hay que cuidar, son factores
externos que van a afectar a la empresa. Entonces hay que tener ese contexto y hay que tener ese alcance cuando se está
hablando de la gestión de riesgos.
Y luego nos vamos a los factores internos, no solo lo que pasa afuera, sino lo que también pasa adentro. Y hay que
considerar la infraestructura, cómo está esa capacidad, esa exposición que se tiene. Y hablábamos al inicio, por ejemplo,
de los desastres naturales.
Tal vez Guatemala no es una ubicación geográfica que sea como muy común que hayan tornados de esa magnitud. Pero si
somos altamente sísmicos, aquí hay temblores casi que todos los días. También somos muy sensibles a la lluvia.
Entonces se puede haber muchos deslaves, derrumbes. La infraestructura vial también es bien sensible. Si llueve mucho,
pues empiezan a colapsar las carreteras, se caen los puentes y entramos en un caos bastante alto.
Entonces hay que ver esa parte también. Si, por ejemplo, la infraestructura se daña, todas las empresas que tienen
movimiento interpaís pueden verse afectadas por esos factores. Luego tenemos la parte del personal, la capacidad del
personal, la salud, la seguridad también son factores que hay que considerar.
Hoy por hoy hay un fenómeno bastante peculiar en las instituciones y es que hay mucha rotación de personal. Yo no sé
ustedes cómo les y si alguien quisiera compartir. Y sí me gustaría que tal vez me compartieron.
No sé si es solo una percepción mía. Yo he platicado con algunas personas que sí me comentaban que tenían algunas
dificultades con la parte del personal. No sé si solo es con ellas o realmente sí.
Ustedes han sabido que las personas se mueven mucho, se mueven muy rápido. Hoy el promedio de duración de los
trabajos, pues no en general, pero en algún segmento va siendo como de seis meses. A veces no duran un año, están en dos
meses, tres meses, no les gusta, se van o tienen otra oferta laboral.
No sé si alguno ha tenido acercamiento o tiene información de eso. Sin que me diga la empresa, no hay problema. Pero si
han tenido ese tipo de situaciones, solo para saber si realmente es un tema generalizado o solo es percepción mía.
Sí, Daniel, adelante. Sí, licenciada, así como usted está comentando, nosotros también en el trabajo somos más o menos,
bueno, no llegamos a los 400, ¿verdad? Pero en lo que va el año, así como van ingresando, así se están yendo. Hasta el
momento, por decirlo así, se tenían contemplada como 40 plazas, pero hasta el momento se han ido más de 50.
Entonces sí, ha sido bastante la rotación. ¿No les han dicho por qué? ¿No han encontrado algún patrón ahí de por qué?
Pues la mayoría lo que dicen es que porque se encuentran una mejor plaza, digamos, o tienen una mejor, encuentran un
mejor trabajo, ¿verdad? Pero que si realmente sea eso, en algunas ocasiones hemos visto que ni siquiera están trabajando.
Solo se retiran.
Ajá, sí, como igual se llena un tipo de formulario, digamos, de consentimiento como para evaluar, digamos, por qué
motivos se va y todo eso. Pero sí, la mayoría... Por la entrevista salida que se hace. Ajá, por voluntad propia.
Algunos dicen, bueno, hubiera estado unidos y al final continúan estando por acá, ¿verdad? Pero sí, bien, es incierta toda
esta situación, ¿verdad? Muchas gracias, Daniel. Justo. A veces, pues, tal vez, no sé, no sé a qué se debe, pero no son tal
vez del todo sinceros de por qué se retiran de la institución.
Y a veces eso es complejo, porque si uno como empresa quiere, quiere hacer algo al respecto para tener esa permanencia,
pues es difícil porque no entiende a ciencia cierta por qué las personas se están retirando. Evelyn, ¿ahí por qué se
arrepintió? Díganos. Si nos van a comentar algo.
Puede ser también, licenciada, que haya mucha carga laboral y los sueldos no compensen esa carga laboral, entonces eso
hace de que muchas personas desistan de estar en ese ámbito laboral, ¿verdad? Puede ser también. Gracias, Evelyn.
Entonces, sí se está dando esa situación de mucha rotación y eso también es un aspecto que impacta en las empresas.
Veámoslo desde la empresa, pero no tanto desde el colaborador. Todos tenemos derecho a crecer. Esa es la realidad,
¿verdad? Y a tener mejores oportunidades.
Eso no hay ningún problema. Pero desde la perspectiva de empresa sí genera mucho costo. El tema de tener a una
persona, volverla a capacitar, llevarla a un punto en el cual ya se pueda desempeñar por sí misma, que en promedio se
lleva más o menos unos seis meses,
¿verdad? En poder ya tener a alguien funcional en una plaza, así como de manera semi-independiente.
Entonces todo eso y hacer ese mismo proceso dos veces al año, tres veces, cuatro veces, por esa rotación, pues sí le pega y
sí impacta en las empresas y definitivamente puede impedir que logre sus objetivos, sobre todo si no se logra cubrir esas
plazas. Yo platicaba con una persona la semana pasada que trabaja en un ingenio y le comentaba justamente este tema de
la rotación de personas o a veces la falta de personal, ¿verdad? Que no se logran cubrir las plazas. Y la persona me
comentaba que ellos, por ejemplo, empezaban en agosto a hacer como esas convocatorias para el tema de Zafra y de
llamar a las personas para contratarlas y que más o menos ellos tenían que contratar alrededor de 400 personas para la
Zafra, que se daba como desde agosto.
Entonces que este año habían tenido muchos problemas y habían empezado más o menos desde mayo a buscar a esas
personas para poder cubrir, no lo habían logrado cubrir y lo que veían es que había mucha, uno, es que las personas ya no
veían tan viable el tema de Zafra, ya lo veían como un trabajo muy pesado o como que ya no estaban dispuestos a trabajar
en esa línea. Dos, porque había mucha migración, había muchas personas que vivían en Estados Unidos y entonces
empezaban a perder esa mano de obra o que migraban para la capital. Entonces estaban teniendo muchos problemas para
poder contratar a las personas, ya no había tanta mano de obra disponible para lo que ellos requerían.
Y con eso, como también el tiempo de Zafra únicamente, literalmente es un periodo de tiempo, ¿verdad? Hay personas
que ya no, que a veces ya tienen algo estable o buscan algo estable o entonces no les es conveniente aceptar los trabajos
en los ingenios o periodo de Zafra. Muy bien, también gracias, Andrea. Y puede ser eso, o sea, también la empresa tiene
que ver hacia adentro qué está ofreciendo y buscar esas, esas formas de retener personal también, ¿verdad? Porque es
necesario, es uno de sus puntos claves, pues es las personas que trabajan dentro de las instituciones.
Entonces son problemáticas que hoy se están viviendo. Probablemente antes no eran tan marcadas ni tan fuertes, pero hoy
ya pueden volverse una situación que puede complicar a las instituciones para lograr sus objetivos. Entonces también hay
que fijarse en esos temas, la parte de los procesos y cómo están diseñados, cómo está esa capacidad, entender quiénes son
sus proveedores, cómo está su proceso de entrada y salida, el conocimiento, toda esta parte de si están formalizados,
documentados y cómo se vuelve relevante la parte de los procesos.
Porque imagínense, teniendo una rotación alta de personal, no se tienen documentados los procesos, la información se va
con las personas. Y si se van todas las personas, se conocen el proceso, quién capacita. Y a mí me da risa porque veo, yo
creo que los Reels tienen mucha verdad.
Entonces yo veía un Reel, justo ayer creo que lo estaba viendo, que decía, me ponen, no sé, como cuando te ponen a
capacitar al nuevo y tú todavía estás esperando que te capaciten. O sea, es chistoso, pero es cierto. Porque puede ser que
cuando hay mucha rotación, entonces llega el nuevo que medio le dice a alguien algo, cumple un mes, de ahí llega otro
nuevo y al que lleva un mes le toca capacitar al nuevo y él ni siquiera ha tenido una capacitación adecuada.
Y entonces ahí se va perdiendo y se van generando riesgos porque no se da ese total entendimiento de cómo funcionan los
procesos. Y eso también pega a las empresas. Entonces, aunque parezca algo tedioso y, por ejemplo, que uno como auditor
interno normalmente hace esas recomendaciones, mire, formalice su procedimiento, documéntelo, haga guías.
Cuando se dan estos temas de rotación, son bien valiosos. Porque entonces uno ya puede dar una documentación base para
las personas que van llegando y no requiere tanta intervención de alguien más para capacitarlo. Seguramente sí hay temas
puntuales, pero al menos ya hay una base documental o una base para poder darle a esa persona esa inducción.
Ah, sí, para que no llegue el día siguiente. A mí me pasó, me voy a desahogar. Yo contraté una plaza.
Es que miren, me enoja yo. Ahora en el departamento yo le digo el innombrable porque duró 10 días, duró. Entonces ya
llegó, era una plaza de auditor.
Entonces llegó y sí, miren, platiquemos. Lo incorporamos, lo llevamos, le hicimos la capacitación de una semana, se hizo
la capacitación de tres días que hace la empresa, más la capacitación de nosotros. Ya propiamente en el departamento se
hicieron los recogidos, se presentaron, ya le había asignado una auditoría.
Y el viernes me dicen, no, miren, es que voy a renunciar. ¿Por qué, Leo? Es que me dice que me salió, por eso le digo que
eso de que me salió otra plaza es como lo más común. Entonces me dijo, miren, es que me salió una plaza, entonces le
voy a entregar el puesto.
No sé si me hace favor de recibirme. No puede ser, pero mire, son 10 días y usted estaba en otro proceso, Leo. Sí, me dijo
yo, pero lo dijo cuando lo estaban contratando.
Ah, es que no era algo seguro, entonces no lo quise decir. No estoy juzgando eso ahora, solo digo que a nivel uno de
persona que está contratando le pega bien duro porque el proceso es un poquito largo y luego para que el día siguiente,
como dice Gaspar, digan, mire, ya no. Entonces la verdad es, no sé si es entre triste, molesto.
Bien, porque pues uno le pone el esfuerzo y está capacitando y todo y luego le digan que no. Entonces sí pega, pega
bastante barato. Es la parte de todo lo que implica o el costo que implica contratar a una nueva persona. Pero. Tampoco se
le puede negar el derecho a nadie. Eso sí, pero sí pego.
Entonces la parte personal, la parte de los procesos van de la mano. Es bien importante tener esos procesos documentados,
formalizados, porque van a facilitar mucho el proceso de capacitación y va a ser menos duro el proceso de instrucción de
las personas. Y por último, pues la tecnología también hay que ver con qué tecnología contamos, si es tecnología muy
especializada.
A veces no se fija mucho en eso las empresas. Resulta que hay una sola persona que sabe administrar un sistema y que lo
ha administrado toda la vida y es el que sabe dónde, para qué botón hay que apachar y qué comando hay que dar para que
funcione. Y si esta persona decide retirarse o cualquier situación, pues ya no está en la empresa.
Entonces se pierde ese conocimiento y luego están. Va a volver a verse quién puede hacer ese proceso, porque nunca se
aprendió cómo debía hacerse todo. Si se dan cuenta, todo está conectado.
La parte de procesos se vuelve muy importante y vital para efectos de darle funcionalidad a la empresa y para poder hacer
la identificación de riesgos, porque aquí nos da el paso a paso de todo lo que sucede en la empresa. Entonces, cuando le
digan a alguien por qué tengo que documentar procesos, le pueden decir, mire, es que si se va, usted va a saber qué hacer.
Si el día de mañana no viene tal persona, pues ahí están todas las indicaciones y hay que dar la inducción.
Pues esto le va a facilitar. Hay muchas razones por las cuales toma mucha relevancia la documentación y formalización de
procesos. Entonces, todo esto entra en la parte del contexto y los criterios que tenemos que tener en este primer paso
dentro del proceso de gestión de riesgos.
¿Alguna duda hasta acá? Consulta, que tenga. Esta es bien laboriosa porque es casi que todo lo teórico. Es como que
ustedes sucedan haciendo una investigación y este es todo su marco teórico para poder hacerlo.
Entonces, en ese contexto nos va a dar como mucha luz cuando ya entendamos que es bien importante entender a la
empresa en la que se elabora. No es lo mismo, les mencionaba, no es lo mismo trabajar en un banco que trabajar en una
farmacéutica.
No es lo mismo trabajar en un restaurante que trabajar en una municipalidad. O sea, enfoques distintos, entornos distintos,
situaciones distintas. Todo tiene su particularidad, incluso en empresas de la misma, del mismo sector hay variaciones.
Puede haber diferencias en cómo se hacen las cosas en un banco o cómo se hacen en otro. Entonces cada institución va a
tener sus particularidades, su forma de hacer las cosas, su cultura, etc. Entonces hay que entender para poder tener una
adecuada gestión de riesgo.
Entenderla, conocerla y entenderla, verdad. Siguiente punto en la parte del contexto es que hay que saber qué tipo de
riesgo se puede tener y qué tipo de riesgo va a tener la empresa. Estos también pueden variar dependiendo del tipo de
empresa.
Vamos a ver algunos que son como generales y que se pueden presentar en la mayoría. Pueden haber algunos muy
específicos. Por ejemplo, vamos a tener los riesgos estratégicos.
¿Y qué son estos? Son aquellos que se van a asociar a cualquier posibilidad de que suceda algo en relación al
cumplimiento de los objetivos estratégicos, como la misión, como la visión, como los objetivos, la estrategia, etc. ¿Por
qué están estos en primer lugar? Porque casi que todo lo demás va a afectar la estrategia.
Si yo tengo un problema de imagen, va a afectar un objetivo de estrategia. Si yo tengo riesgos operativos, me va a afectar
la estrategia. Si tengo financieros de cumplimiento de tecnología, finalmente todos los demás riesgos, de una manera
directa o indirecta, van a ir a recaer a los riesgos estratégicos, a que pueda cumplir mis objetivos, mi misión y mi visión.
Por eso es el primero. Entonces tenemos eso. Luego voy a tener los riesgos de imagen o los riesgos reputacionales
¿Verdad? Que están relacionados a la percepción y a la confianza que tienen los clientes, las personas en general, hacia la
entidad.
Y va a ir mucho en la línea de temas como corrupción, como el manejo de medios de comunicación, con el tema de
quejas, mal servicio, etcétera ¿Verdad? Todo lo que pueda afectar la imagen. Yo justo acabo de ver, pues trato de ver
varias cosas para, para ponerles ejemplos y veía un video de una señora que posteó en McDonald's, no le querían dar el
libro de quejas. Ella quería poner una queja y el gerente del restaurante de McDonald's aquí en Guate no le quiso dar el
libro de quejas.
Entonces lo grabó y le dijo mire, yo tengo el derecho ciudadano de poner una queja, denme el libro de quejas. El señor le
dice mira, no se la voy a dar y se da la vuelta, como lo está grabando. Entonces todo eso se vuelve viral ¿Verdad usted? Y
el tema de imagen hoy con redes sociales es bien, bien volátil y bien sensible.
Otro caso que a mí me gusta mucho poner de ejemplo en el tema reputacional es, no sé si ustedes supieron, creo que fue el
año pasado, que estuvieron envenenando perritos en Shela. ¿No se enteraron de la noticia? Estaban apareciendo perritos
en Shela que estaban envenenados y resulta que en una de esas grabaron quien estaba dejando la comida con veneno y
eran uno de los señores de esa panadería famosa de Shela ¿Verdad? Entonces ¿Cómo los grabaron? Los denunciaron. La
cosa es de que trascendió tanto.
Yo no tengo nada en contra de los animalitos, la verdad es que no, pero es un buen ejemplo de cómo funcionan las redes.
La cuestión es que lo grabaron, lo volvieron viral y el señor paró en juiciar. Aparte todo el daño reputacional ¿Verdad?
Porque si es como yo no voy a ir a comprar esa panadería porque me matan a los animalitos y les hizo un daño bien fuerte
a nivel reputacional ese video y aparte si tuvieron un proceso legal, de hecho él tuvo, fue sentenciado, yo creo que sólo lo
multaron, no estoy tan bien enterada, no sé si tenía que hacer servicio social y pagó una multa, no paró preso, pero sí tuvo
una sentencia por esas situaciones de los perritos.
Aparte, como les digo de todo el daño reputacional que tuvo la empresa derivado de esa situación. Entonces la imagen es
algo bien, bien sencillo y ahorita que todo el mundo carga un teléfono y todo es grabable ¿Verdad? Y posteable. Entonces
es mucho más sensible todavía.
Todo es meme. Y aparte es que lo pueden hacer meme, tenga cuidado ahí en cualquier cosa porque después resulta en
algún tipo de meme. Entonces, pero sí, la imagen es bastante, bastante sensible y las entidades pues tienen que tener un
cuidado especial en todo lo que sea el manejo de sus redes sociales, todos los comunicados que hacen.
De hecho, hasta hay situaciones, imagínense la imagen, que van con la ortografía. No sé si ustedes se han topado a veces
con anuncios oficiales en ciertas empresas que van escritos con faltas ortográficas. De empresas serias ¿Verdad?
Formales.
Entonces eso también, algo tan sencillo que ni siquiera le pasen el revisor ortográfico a las, a los comunicados es otra
cosa. Entonces un riesgo fuerte imagen. Cualquier cosita puede ser utilizado para y puede afectar la imagen de la
corporación.
Entonces es un riesgo hoy mucho más latente que muchos otros. Tercer tipo de riesgo, el operativo. Este es el riesgo más
alto que hay, porque este riesgo operativo va relacionado a las personas, a los procesos y a las tecnologías.
O sea, casi que al corazón de la operatividad de la empresa. Y este es el que normalmente es el más fuerte y el que se
busca manejar más apropiadamente. Entonces estos son los que están relacionados con la parte operativa y técnica de la
entidad.
Los que provienen de esa operación cotidiana y específica de cada proceso. Aquí pueden encontrarse deficiencias en los
flujos de información, en la comunicación, en las cifras, en debilidades en la infraestructura, en el talento humano,
etcétera. ¿Verdad? Aquí entra el tema de fraude también, ¿Verdad? Ineficacias que se puedan tener, corrupción,
incumplimiento, etcétera.
Entonces el riesgo operativo es de los más grandes, de las más críticos dentro de una institución, porque está relacionado
a tres elementos, como les mencioné, a los procesos, a las personas y a los sistemas. El riesgo financiero, que son
aquellos que están relacionados a la gestión financiera, ¿Verdad? Es decir, todo lo que tiene que ver con operaciones,
básicamente, la operatividad transaccional monetaria de la institución, ya sea a nivel de presupuesto, las inversiones,
gastos, toda la parte financiera que pues la empresa tiene, porque todos necesitan recursos y necesitan administrarlos para
la operatividad. También tenemos los riesgos de cumplimiento, que son aquellos relacionados a la capacidad que tiene la
entidad para cumplir con los requisitos normativos y legales, a los cuales está obligado por el tipo de empresa que sea.
Puede ser una ley, puede ser una resolución, un reglamento, pueden ser incluso las políticas y procedimientos internos que
se tienen en temas de ética, de calidad. Entonces es básicamente el cumplimiento normativo. ¿A qué va lo que la empresa
está obligada? Por ser la empresa que es, en esencia.
Aquí incluyen, en lo financiero también va la parte fiscal, en las situaciones que puedan tener por temas fiscales. El
siguiente sería tecnología, que son todos los relacionados a la capacidad de la entidad para que la tecnología esté
disponible, que pues cumpla con lo que tiene que cumplir, que se le dé esa disponibilidad a los clientes. ¿Verdad? Todo lo
que es software y todo lo que es hardware dentro de la empresa.
El riesgo de conocimiento, que esto va también relacionado con las personas, que va muy de la mano con el tema de
rotación que estábamos hablando y nos dice que son aquellos que se relacionan con el daño generado por la pérdida de
conocimiento e información vital para el desarrollo de las actividades de la entidad. ¿Verdad? Cuando no hay, cuando ese
conocimiento está en las personas y no está documentado, se pueden dar estos riesgos de conocimiento. Y por último
tenemos los ambientales y de salud ocupacional, y van a ser aquellos que se generan por la exposición que se tiene,
tanto de factores internos y externos, que pueden afectar el medio ambiente de la entidad, como la contaminación, como
los ambientes poco saludables, como malos hábitos y que son inherentes a las actividades que se desarrollan en cada
proceso.
Aquí está la salud ocupacional, también esa seguridad, etc. El año pasado salió, hay un estudio, por ahí los los invito por si
lo quieren ver, que se llama Focos de Riesgo o RIS en Focus, en su nombre en inglés. Es un estudio que genera una de las
firmas más grandes de auditoría y ellos analizan cuáles son los riesgos que más les preocupan a los directores de auditoría
interna, y establecen un listado.
Normalmente son el top 10 de estos riesgos. El del 2024 establecía que había un riesgo que se llamaba seguridad
psicológica. ¿Qué es la seguridad psicológica? Eran ustedes.
Es la variación que puede o el riesgo que se genera porque las personas no se sientan seguras del lugar en el que trabajan,
pero no seguras porque las instalaciones puedan tener algún tipo de fallo, sino por los riesgos que hay en la ubicación
física. Por ejemplo, personas que trabajan en zonas rojas tienen un riesgo psicológico porque el ambiente físico donde
llegan no es seguro, porque las asaltan, porque las extorsionan, porque ahí hay personas en condición de calle o por acoso,
cosas como esas. Entonces decían que eso ahora era un riesgo que también tenían que considerar.
Los riesgos, por ejemplo, también está relacionado a casos como la. En nuestro caso, en Guatemala, personas que son
víctimas de ataques porque laboran para cierta empresa y como los están extorsionando y no pagan, empiezan a atacar a
sus repartidores y esos son camiones, pasajeros, etc. Eso también es seguridad psicológica.
Personas que no quieren trabajar de repartidor porque los van a matar si la empresa no paga la extorsión. Que hoy las
extorsiones ya son un rubro de estados financieros, literalmente dentro de algunas empresas para que puedan operar. Y
entonces eso también es algo que se tiene que considerar.
Esa tranquilidad que puedan tener las personas de ir a trabajar donde trabajan. Bueno, entonces de riesgos hay
muchísimos. Por ahí si quieren ver cuáles son del 2025 ya salió el estudio.
Por ahí pueden ver qué es lo que les preocupa a los directores de auditorio. ¿Dudas con esto, con el contexto, los riesgos?
¿Cómo funciona todo este homenaje de conocimiento? Estamos bien. Aquí hablamos de generalidades. Y se vuelve más
interesante cuando a uno ya le toca hacer esa evaluación de riesgo. Yo tengo que evaluar los riesgos de mi departamento.
Entonces, ¿Qué riesgos estratégicos hay de imagen, operativo, financiero, de conflicto? Así se va generando.
Si bien es un trabajo bastante amplio y bastante detallista para poder hacer esa gestión de riesgo. Y a veces pues si
requiere algún tiempo para poder estabilizar esta gestión de riesgo. ¿Consultas? ¿Dudas? ¿Hasta acá? ¿No? ¿Sí? ¿Tal vez?
Ok. Se van teniendo más dudas. Muy bien, entonces con eso cubriríamos el primer paso que era el contexto.
Ahora vamos a entrar al segundo paso que tiene tres subpasos, si lo podemos ver así, que es la evaluación del riesgo. La
evaluación del riesgo nos va a abarcar la identificación en primer lugar. ¿Verdad? Y en esta identificación del riesgo, lo
que nos dice es que el propósito de este punto es encontrar, en primer lugar, encontrar, reconocer y describir, casi que
inventariar los riesgos que pueden ayudar o impedir a que una organización logre sus objetivos. Para la identificación es
importante contar con información que sea pertinente, apropiada y actualizada.
Es por ello que previo a la evaluación del riesgo se hace todo ese contexto del riesgo. Porque si yo no sé dónde está la
empresa, a qué está expuesta, cuáles son las situaciones, va a ser muy difícil que logre identificar esos riesgos. Y entonces
lo primero que nos dice es, conozca el giro del negocio.
¿A qué se dedica su empresa? ¿Verdad? ¿Qué es lo que hace? Muchas veces las personas que trabajan en las empresas y
no saben a ciencia cierta a qué se, a qué se dedica la empresa como tal. ¿Verdad? Entonces tienen a veces falsas
percepciones de lo que hace la empresa. Luego de conocer ese giro de negocio, de entenderlo, hay que ver el entorno de la
empresa.
Mucho de esto de la identificación va a basarse en todo el contexto que se hizo previamente. Entonces veo el entorno,
tanto interno como externo. Entonces necesito conocer el giro, necesito conocer el entorno y por último necesito conocer
el mapa de procesos.
No sé si ya los habían visto. Normalmente las empresas. Pues manejan un mapa de procesos para darle visibilidad de
forma general a cómo está integrada la operatividad de la empresa.
Vamos a tener procesos estratégicos, procesos operativos y procesos de apoyo. Los procesos estratégicos se refieren a todo
lo que es la estrategia per se. ¿Verdad? ¿Cómo yo voy a lograr los objetivos? Primero, ¿Cómo los voy a plantear? Aquí
está todo el tema de planificación estratégica y etcétera.
Entonces, ¿Cómo defino yo esos, esa estrategia y los puntos claves que me van a ayudar a lograr esa estrategia? Para esta
empresa es una fábrica de X producto. Sus procesos estratégicos dentro de su mapa de procesos, los procesos estratégicos
son atención al cliente, investigación y desarrollo, gestión de la calidad y recursos humanos. Eso es lo que ellos han
definido como procesos que van a coactivar principalmente a la estrategia que se ha definido.
Como segundo punto tiene sus procesos operativos. ¿Cuáles son estos? Son todos aquellos que le van a dar cooperatividad
de acuerdo a lo que la empresa realice. Si es una empresa que fabrica productos, va a hacer todos los procesos que van a
estar inmersos en esa fabricación, directamente en esa fabricación.
Si es una empresa que presta servicios, pues los operativos van a hacer todos los procesos que le van a permitir prestar
esos servicios. Para esta casa, para esta empresa que es una fábrica, sus procesos operativos van a ser los pedidos, la
planificación, la fabricación como proceso central, el almacenaje y entrega y la facturación. Pues con eso ellos tienen toda
la operatividad de su giro de negocio.
Y en tercero vamos a tener procesos de apoyo. ¿Qué son estos? Son todos aquellos procesos que son transversales y que
van a apoyar, va a dar redundancia tanto a los procesos operativos como los procesos estratégicos. Son aquellos procesos
que por default hay en una empresa y que se necesitan para apoyar a los demás procesos.
Por eso se llaman de apoyo. Por ejemplo, aquí tenemos compras, porque compras va a atender no solo a pedidos, a
planificación, sino atención al cliente y a recursos humanos. La contabilidad, porque toda operación se tiene que
contabilizar. La personal y nóminas, porque hay que pagarle a todas las personas que están inmersas en ese, en este
proceso, verdad. La parte de comunicación también. Y el PRL, que no sé qué es la verdad, es decir, el adre.
Entonces estos procesos de apoyo para redundancia van a soportar la operación. Se llaman procesos de soporte o apoyo.
Pueden ser de la empresa línea o Amazon de apoyo y soporte. Entonces así funcionamos para procesos. Con esto entonces
yo entiendo cuáles son los procesos que van a estar o los procesos que tiene la entidad y cuando yo haga ya la
identificación puedo irme a cada uno de esos procesos. Entonces voy a atención al cliente, veo cómo es el proceso de
atención al cliente y con eso empiezo a identificar cuáles riesgos están asociados al proceso de atención al cliente. Así es
como funcionaría esta primera parte, que es la identificación de riesgo con mentalidad.
Luego, cuando estamos en eso y ya tenemos toda esta información de los procesos, entonces ya voy y logro el objetivo de
esto, que es entender cuáles son las causas cuando yo identifico los riesgos. Ah bueno, tengo un riesgo de fraude, por
ejemplo, voy a tener riesgo de fraude en el área de compras, en el área de ventas, en el área de almacenaje, o sea,
identifican un riesgo de fraude.
Entonces van a determinar cuáles son las causas de ese riesgo, es decir, cuáles son los factores internos y externos, cuál es
el riesgo en sí, cómo se va a manifestar ese riesgo, la descripción y cuáles serían los efectos. Por ejemplo, si yo tengo un
riesgo de fraude o robo de mercadería, como tal, ¿verdad? Ese es el riesgo. Entonces, ¿cuáles van a ser las causas? Los
factores internos, pues van a ser, las causas van a ser que yo no tenga un control adecuado de inventario, probablemente,
una, dos, que no esté teniendo un buen proceso de contratación.
¿Verdad? Y tres, que pues las personas tengan ya malas intenciones y ya vengan con esa intención. Entonces eso puede
ser, pero la causa principal de que un fraude se realice es porque yo tengo fallas en el control. Entonces esa podría ser la
causa principal, que son deficiencias en el control interno, ya sea porque no exista o porque no es adecuado.
¿Cuál es el riesgo? El riesgo es fraude o robo de mercadería. Si quieren verlo ustedes, porque al final es un robo. La
descripción, es decir, ¿cómo se manifestaría este riesgo de fraude de colaboradores? Sería la pérdida de mercadería del
área de almacenaje.
¿Y cuáles serían las consecuencias de que eso ocurra? Pues pérdidas para la empresa, porque si el inventario se pierde,
entonces ahí se van las ventas. Lo que probablemente la institución hubiera ganado por la venta de esos, de esos, de esa
mercadería, tiene un efecto monetario en la institución que implica pérdidas. Entonces eso es lo que yo debería de
identificar o tener claro en cada uno de los riesgos que vaya a identificar.
Luego vamos a tener la causa, va a ser el motivo o la razón por la que se genera el riesgo, ya lo platicamos. El riesgo va a
ser el evento que va a ser capaz de poner en peligro el cumplimiento de algo. El fraude, el fraude puede evitar que yo
cumpla mis objetivos y el efecto va a ser la consecuencia positiva o negativa de que eso ocurra.
Si hay fraude, o sea una pérdida o un robo de estas mercaderías, yo voy a tener pérdida. Sin efecto es una pérdida
económica para la institución. Pues así tengo que ir evaluando, o mejor dicho, trabajando cada uno de los riesgos que yo
haya identificado para darle mucha más claridad, mucha más especificación y mucho más entendimiento de estos riesgos
que estoy identificando y entonces va a abarcar,
Y aquí tenemos un ejemplo. Objetivo tramitar en un 100% las solicitudes. Ahorita vamos a tener un ejemplo bastante
ilustrativo de cómo dentro de la identificación de riesgos debería de trabajarse.
Entonces parto de un proceso. ¿Qué proceso estoy a evaluar? La atención al usuario. ¿Cuál es esa atención? Lo que quiero
evaluar dentro de este proceso es la atención al usuario.
¿Cuál es el objetivo que yo tengo dentro de este proceso de atención al usuario? Que pueden ser varios y vamos a tomar
uno. Uno de los objetivos del proceso de atención al usuario es tramitar en un 100% las solicitudes de los usuarios de
acuerdo a las disposiciones legales vigentes. Entonces esto lo saco al mapa de procesos y dentro de ese, dentro del proceso
yo debería de tener el objetivo del proceso o los objetivos de los procesos.
¿De acuerdo? Entonces yo hago la identificación del primer riesgo y digo AFEI ¿Cuál es el riesgo? Como tal, que haya un
incumplimiento en la generación de las respuestas a los usuarios. ¿Por qué esto es un riesgo? Porque va a afectar que yo
logre el objetivo que me he trazado. Si yo quiero tramitar el 100% de solicitudes, ¿Cuál va a ser mi riesgo? Que yo no
pueda tramitar ese 100% de solicitudes.
Ese es como mi, mi riesgo contrario. Ahora si yo quiero lograr A, mi riesgo de lograr A va a ser no lograr A. No sé si me
explico. Se va teniendo dudas me dice. Entonces el riesgo va a ser el incumplimiento de la respuesta a esos usuarios, de
esas solicitudes. Ese es mi riesgo. ¿Cómo lo voy a describir? En que yo no esté generando, la empresa no esté generando
las respuestas dentro de los términos legales que hay que hacer.
¿Qué puede causar esto? Por ejemplo, una causa puede ser que yo no tenga los equipos suficientes para poder atender las
solicitudes o que los equipos sí estén, pero estén obsoletos. Por lo tanto, el procesamiento de esas solicitudes sea más lenta
del que esperaría. Esas son posibles causas.
¿Y cuál sería el efecto de que yo no, de que este riesgo se materialice? Puedo tener sanciones y puedo tener demandas.Y
finalmente pueden caer en qué? En pérdidas económicas por las multas y en pérdidas económicas por las demandas.
Adicional a un tema reputacional, porque todo esto está en la línea de lo legal.
Entonces, cuando yo identifique riesgos debería descubrir estos aspectos. ¿Se entiende? ¿Alguna duda? O va clarito ahí.
Vamos a hacer un par de ejercicios para que ustedes también lo puedan practicar.
¿Ok? Para que no solo me escuchen. Pero a manera de ejemplo, así es como deberíamos de ir generando cada uno de los
riesgos que se vayan identificando. Lo tenemos que asociar a un proceso.
Lo tenemos que asociar a un objetivo, porque a través de ese objetivo vamos a determinar cuál es el riesgo. Lo vamos a
describir. Vamos a saber cuáles son los efectos y vamos por ahí a encontrar cuáles pueden ser las posibles causas de este
riesgo. Ok. Entonces. Nuestro proceso de identificación de riesgo, para resumirlo, va a partir de conocer el giro de
negocio, de conocer el entorno y de conocer el mapa de procesos.
Cuando yo ya tenga eso, voy a trabajar un cuadrito en el cual voy a determinar cuál es el proceso, identificar el objetivo
del proceso, determino el riesgo, lo describo, busco cuáles son sus efectos y identifico cuáles pueden ser las posibles
causas para que finalmente yo llegue a un cuadrito o a un resultado como este, donde está el proceso, el objetivo y los
cuatro elementos de la identificación del riesgo, del cual nos habla la metodología de ISO o los estándares de la ISO
31.000. Recuerden que estamos trabajando sobre la ISO 31.000. Sí, pero es bastante nueva. Ok. Entonces eso sería en el
primer punto. Así este sería mi resultado final de lo que es la identificación del riesgo. Bueno, pero ahí no se termina,
verdad? Ya lo identifiqué.
Entonces tengo que analizar ese riesgo. ¿Para qué lo voy a analizar? Para que después lo pueda evaluar, porque necesito
darle un peso y una calificación a ese riesgo. Pero para poder hacer eso, necesito primero poder analizar el riesgo. El
propósito del análisis de riesgo es comprender la naturaleza del riesgo y las características que lo integra, cuando sea
apropiado para también determinar el nivel de riesgo.
Cuando analizamos el riesgo, pues tenemos que considerar la incertidumbre, las fuentes de riesgo, las consecuencias, las
probabilidades, los eventos, escenarios, controles, etc. Un evento puede tener muchas causas y consecuencias y puede
afectar a muchos objetivos. Hay que entender que los riesgos no es que sólo estén en una línea, sino pueden ser
multiprocesos, es decir, pueden afectar o multi evento multi, multi temas, verdad? Pueden afectar a más de un objetivo.
Cuando nosotros estamos evaluando y analizando los riesgos, vamos a caer en tres puntos. ¿En cuál es el impacto? Que se
recuerden que la forma que vamos a usar es impacto por probabilidad para poder determinar la criticidad de ese riesgo.
Entonces vamos a analizar el impacto de eso.
Yo para poder analizar el impacto voy a tener que saber cuál es el nivel de incertidumbre, cuáles son las fuentes de riesgo,
las consecuencias, etc. Me va a dar mucha más claridad para entender el impacto y definirlo al igual que la probabilidad.
Entendiendo que el impacto va a ser la medida de las consecuencias que puede sufrir un proceso o el nivel de
consecuencias que puede sufrir un proceso en caso de que se materialice una amenaza en un tiempo determinado.
Hay que ponerle el toque de temporalidad a esto, porque el impacto puede ser distinto dependiendo del momento en que
ocurra. Ok, luego el punto dos sería la probabilidad y es decir, es el grado de materialización de un, de una amenaza es un
punto de que tan probable es de que esto se materialice.
Teniendo estas dos y a través de la fórmula de impacto por probabilidad, yo voy a tener una criticidad de ese riesgo. Con
esa criticidad puedo determinar el nivel de atención que necesita también ese riesgo y nos ayuda a tenerlo también dentro,
identificado dentro de los procesos de la empresa, porque no es lo mismo, por ejemplo, un riesgo que se pueda dar en
archivo, que un riesgo que se pueda dar en finanzas. Entonces eso también le agrega un nivel de criticidad.
Muy bien, para efectos de esta, de esta norma de las ISO 31.000 nos hablan de cinco niveles de impacto y nos habla de
cinco niveles de probabilidad. Es una matriz muy buena y sobre esto se pueden ir generando los mapas de calor. Por eso
es que ustedes ven que tiene como una gama de colores en degradación para que cuando esto se traslade al mapa de calor,
el mapa de calor no es más que la representación de los riesgos en colorcitos para saber dónde se encuentra la empresa.
Entonces van en ese desagrado, en esa degradación de colores para darle una mayor visibilidad a los riesgos. Muy bien,
cuando hablamos de impacto nos va a decir que puede ser un impacto MA que es muy alto o muy grave para la
organización. Tratamos de hablar un poquito de eso.
Luego tenemos el impacto A que es alto o grave, el M que es medio o moderado, el B que es bajo o menor y el MB que es
muy bajo o irrelevante. Entonces a mayor impacto y mayor probabilidad, más crítico va a ser ese riesgo. A mayor impacto
y menor probabilidad más bajo o irrelevante va a ser ese riesgo.
Y así es como se manejan estas estados. En la parte de probabilidad tenemos MA que es una probabilidad muy alta. Es
decir, el evento probablemente ocurra.
Hay mucha, hay alta probabilidad de que ocurra. El A que es una probabilidad alta o el M que es moderada. El B que es
baja y el MB que es muy baja.
Cuando hablamos de una probabilidad MA vamos a decir que es un evento que es probable que ocurra. Una alta que es un
evento posible, una M que es un evento improbable, una B que es un evento raro y un MB que es evento muy raro para
cuando trabajamos esa probabilidad. Y luego la criticidad que va de la mano de los procesos de la empresa como tal.
Entonces, para determinar la probabilidad podemos utilizar la siguiente tabla. Eso es lo bonito de algunas metodologías
cuando ya nos dan no sólo el qué tengo que hacer, sino cómo lo puedo hacer. Porque no sé si han pasado cuando ustedes
ven buenas prácticas o estándares.
Muchos dicen, ah, usted tiene que hacer un mapa de riesgos, tiene que hacer una matriz de riesgos, pero no le dicen uno
cómo hacerla. Solo le dicen, usted tiene que hacerla. Y entonces no son tan, o sea, no ayudan tanto porque no le dicen a
uno el cómo. Sólo el qué, pero no el cómo. Pero aquí sí lo tenemos. Entonces aquí hay varias referencias.
Por ejemplo, una probabilidad muy alta. O casi seguro, como lo dice aquí. Este se puede tomar desde la perspectiva de
que se espera que ocurra en la mayoría de las circunstancias.
Es decir, que ocurra más de una vez al año. Cuando ocurre más de una vez al año, va a ser algo casi seguro. ¿Por qué
normalmente hacemos referencia a un año? Porque es el ciclo contable que tienen las empresas. Es como la medida
estándar. Entonces, cuando un evento es probable, va a ser que es probable que ocurra en la mayoría de las circunstancias.
¿Cuál es la diferencia entre el A y el B? En el A es que se espera que ocurra.
Es casi seguro que va a ocurrir. Por eso es el casi seguro. En el B es probable. Este es cierto, todavía tengo cierta, cierto
margen ahí de que esto pueda ocurrir. Y ahí dice al menos una vez en el último año. Entonces aquí puede ser que ocurra
una vez al año.
Un posible es que puede ocurrir en algún momento. Si lo vemos en frecuencia, quiere decir que va a ocurrir una vez en los
últimos dos años. Improbable puede ocurrir en algún momento. Es decir, al menos una vez en los últimos cinco años. Y un
evento raro es que se pueda dar sólo en circunstancias especiales. Quiere decir que no se ha presentado en los últimos
años.
Por ejemplo, la probabilidad de una pandemia era una probabilidad rara. Es decir, sólo va a ocurrir en circunstancias
especiales. Si lo quieren ver así. Y así pudiéramos nosotros determinar la probabilidad de un eventual riesgo.
Para medir el impacto también tenemos una tableta. Si tenemos un descriptor podría ser estratégico o catastrófico, que es
muy grave.
Aquí lo podemos hacer las equiparaciones. Sería muy grave, grave, alto, medio, bajo. Así como lo teníamos acá. Por
ejemplo, sería muy alto, alto, medio, bajo y muy bajo. Del 1 al 5. Donde M A es 5, A es 4, M es 3, B es 2 y M B es 1. Así
podemos hacer la equivalencia con estas tablas. Entonces, en el muy alto, que se puede decir que es catastrófico, pueden
ser desastrosas o consecuencias.
O sea, que puede tener consecuencias desastrosas o efectos de la entidad. Desastrosas consecuencias o efectos sobre la
entidad. Es algo que de verdad sería así como. Si se hunde el edificio donde está el centro de datos, eso sería catastrófico
porque no tendríamos cómo operar, por decir algo. Ejemplo, un plan de acción inapropiado poco correcto. Luego un
riesgo o un impacto alto o mayor podría ser que tenga altas consecuencias o efectos sobre la entidad.
Por ejemplo, los traslados de personal. Un impacto relativo, un impacto moderado es en relación al proceso. Aquí nos da
algunos, algunas líneas adicionales para poder ver un impacto alto. Puede ser lo que se relaciona con la estrategia. Un
mayor que se relaciona con la institución. Un moderado que tiene que ver con el proceso verse, es decir, tiene medianas
consecuencias y pudiera ser algo como un orden semanal.
Un menor que tiene que ver con el grupo de trabajo. Tiene un bajo impacto sobre la entidad. Por ejemplo, incremento en
los grados salariales y insignificante, algo que tenga que ver con el personal.
Es decir, efectos mínimos en la entidad como conocimientos de domicilio de cada persona. El riesgo de que yo no
conozca dónde viva cada uno de los colaboradores puede acomodarse como un riesgo insignificante o mínimo para la
institución porque tiene que ver con el personal. Entonces su afectación no es tan directa ni tan fuerte hacia la institución.
Y así podríamos tener algunas líneas para medir el impacto. Verdad que a veces esas son como las dudas. Cómo yo
establezco la probabilidad, qué lineamientos puedo usar para establecer probabilidad y qué lineamientos puedo establecer
para determinar un impacto. Entonces aquí ya tenemos varias líneas de referencia para poder establecer.
Entonces cuando ya se tiene esto vamos a llegar a el punto 3, que es la valoración o la evaluación del riesgo. Entonces ya
lo identifico, lo analizo para saber en cuál de todos estos temas de la probabilidad y del impacto se ubica y entonces ya lo
evalúo.
El propósito de la valoración del riesgo es para poder apoyar a la toma de decisiones. Esto implica o esta valoración
del riesgo implica comparar los resultados del análisis de riesgo con los criterios de riesgo establecido y con eso puedes
determinar cuándo se requiera una acción adicional. Entonces si yo tengo, ok, y aquí empieza el mapa de calor.
Todo lo que sea raro, es decir, de probabilidad rara que pasa cada cinco años, de impacto insignificante, es decir, que tiene
que ver más con las personas que fue en la empresa, se va a considerar un riesgo bajo. Si es raro y impacto menor también
se va a considerar de riesgo bajo. Si es improbable, insignificante, riesgo bajo.
Si es improbable y menor, riesgo bajo. Si es moderado en su probabilidad, pero insignificante en su impacto, también va a
ser de riesgo bajo. Así es como se va a evaluar y ya nos da las pautas de dónde puedo ir colocando las calificaciones.
Si es de probabilidad, que es probable, la probabilidad probable va a dar, entonces, pero es de impacto insignificante, ya
se va a volver en un riesgo medio. ¿Por qué? Porque la probabilidad es muy alta, aunque el impacto sea pequeño, pero la
probabilidad es muy alta, ya lo consideramos medio. Si es moderado, de probabilidad moderada y de impacto menor,
también se va a considerar de riesgo medio.
Y todo lo que tenga un impacto moderado, aunque sea raro o improbable, también va a ser de riesgo medio. Si se dan
cuenta, es un juego que vamos teniendo entre la probabilidad y el impacto. Entonces, a menor probabilidad y a menor
impacto va a ser bajo.
Ante mayor probabilidad y un impacto por ahí moderado, puede ser medio. Y así se va a generar. Cuando tenemos
probabilidad alta, impacto más o menos, desde menor hasta mayor, incluso catastrófico, va a ser un riesgo alto.
¿Sí? Como lo ven aquí. Y entre más alto el impacto y más alto la probabilidad, más alto el nivel de riesgo. Entonces, aquí
ya tendríamos riesgos elevados, por ejemplo, ¿verdad? Serían todos estos.
Cuando se una el impacto con la probabilidad en ciertos niveles, entonces ya vamos a tener riesgos elevados, creo que es
la idea. Y así vamos a hacer la valoración del riesgo. ¿Ok? Entonces, ya teniendo este mapa y ya sabiendo dónde se va a
ubicar cada uno de los riesgos, dependiendo de su impacto y de su probabilidad, ya podemos crear nuestro mapa de calor.
Y nos dice, por ejemplo, yo tengo un bajo, tengo 1, 2, 3, 5, 9, 12 riesgos. ¿Sí? Porque tienen una probabilidad de
ocurrencia rara, improbable, moderada y su impacto va a ser insignificante o menor. ¿Ok? Luego tenemos a riesgo
extremo, es el ejemplo.
Luego tenemos los moderados, los altos y también tengo los riesgos extremos, que son estos los más críticos, ¿verdad? A
los que si verdaderamente pondrían en jaque a la empresa. ¿Sí Evelyn? Licenciada, perdone, ¿Cómo le pone los números?
Digamos, el B de menor tiene 4 y así sucesivamente. Están en el mapa de calor. Ok. Este, acá, el que aparece entre
paréntesis. No, ese donde tiene el B y tiene el paréntesis y tiene 4, 2, 1, para ser la suma que usted decía.
Ah, es que esa no es para sumar. A ver, a ver, a ver, digamos, voy a regresar un poquito por si no me entiende. La
numeración que está en impacto de 1 a 5, donde está relacionado eso, es del 1 al 5 de aquí, de la probabilidad y del
impacto.
Que lo vimos, si quieren verlo aquí, del 1 al 5 en impacto y del 1 al 5 en probabilidad. Y aquí está la clasificación. Esto es
sólo para darle un nivel, no para hacer una operación matemática.
Ok. Entonces, como está referenciado aquí, de igual forma está referenciado en la probabilidad y en impacto. Sí, del 1 al 5
y del 1 al 5. No es que yo vaya a hacer una, una... Bueno, de hecho sí, se hace una matemática, creo que ya la entendí.
Entonces, aquí ya se multiplica. Por ejemplo, este es 1 por 1, da 1. 1 por 2, 2. 2 por 1, 2. 2 por 2, 4. Entonces, lo que le va
dando es un valor por la multiplicación del número del impacto por el número de la probabilidad. Es por eso que en este
que es 5, por este 5 de catastrófico, el riesgo queda en 25. Esa es la calificación. No sé si sobre eso era su pregunta, pero la
multiplicación. Sí, sobre eso, sí. Ok, entonces es la multiplicación que tengo dentro del nivel de impacto con el nivel de
probabilidad que está acá. Entonces, 5 por 5, aquí da 25. 5 por 4, 20.
3 por 5, 15. 2 por 5, 10. Surge de esa multiplicación. Ahora sí. Muchas gracias. Ah, de acuerdo.
Entonces, vamos a tener riesgos bajos, riesgos medios, riesgos altos y riesgos extremos. Y dentro de los riesgos extremos
nos decía la probabilidad de ocurrencia que sea moderada, probable o casi certera y su impacto es moderado, medio o
catastrófico. Se debe eliminar la actividad que genera riesgo en la medida que sea posible o adoptar controles.
O sea, la parte más crítica. Imagínense que dentro de la evaluación de riesgos que se haga, resulta que ustedes tienen 25
riesgos o la empresa tiene 25 riesgos y esos 25 riesgos todos están aquí. Entonces quiere decir que eso es un tema bastante
crítico, verdad, porque todo está en catastrófico.
Entonces ahí inmediatamente se tienen que poner controles, aplicar controles o ver si es necesaria esa actividad, si no
eliminarla o adoptar controles. ¿Por qué? Porque es un riesgo latente. O sea, esto en cualquier, en cualquier momento esto
ocurra, pone serios problemas a la institución.
Por eso es que se pone en rojo. Y si se dan cuenta, pues esto nos va dando mucha claridad. Tengo que ver, por ejemplo, de
todos los riesgos que yo tengo identificados y evaluados, cómo están posicionados aquí.
Si yo tengo todos mis riesgos en bajo, quiere decir que todos, pues en el mundo ideal, todos mis riesgos están siendo
adecuadamente gestionados. Es decir que tengo un buen, un buen manejo, un buen control interno. Tengo buenos
controles aplicados.
Tengo bien identificadas las situaciones. Tengo, pues por ahí el ambiente de control bastante, bastante maduro para poder
gestionar los riesgos a los que está expuesta la institución. Ok. Entonces este mapa de calor nos da mucha luz de ver cómo
está la empresa. A veces uno no dice, pero mire porque tiene aquí, aquí, allá y de dónde salen todos esos numeritos. Es por
eso. Así se va a calificar. Esta es la manera en que Edison nos dice, puede usted darle una calificación o una valorización a
su riesgo a través de esta, de este mapa. Entonces esta es como la base y nos va dando esas características para saber
dónde ubicar el impacto y dónde ubicar la probabilidad.
Ok, entonces eso es con la evaluación de riesgo. Y esta es como la parte central de toda la gestión de riesgo. Bueno, en
primer lugar, identificar, porque a veces es complejo identificar los riesgos.
Bueno, el riesgo de que se pierda una computadora. Bueno, eso lo tengo que valorar o no como riesgo que puedo poner
ahí. Realmente eso sí sería un riesgo, no sería un riesgo de que alguien se ausente por enfermedad.
Es un riesgo o no es un riesgo. Realmente que voy a determinar como algo de riesgo que valga la pena que lo tenga
identificado. ¿Cuál va a ser la pauta ahí? Cualquier cosa que impida que se logren los objetivos se va a determinar como
un riesgo.
Probablemente riesgos que son irrelevantes, que no van a volver a haber, hasta riesgos que son extremos, que requieren
una inmediata atención. Ok. ¿Alguna duda acá? Esto es lo que tal vez más me interesa de todo lo que estamos viendo.
Me interesa mucho que lo tengan claro, de cómo funciona. Entonces, si tienen alguna duda me comentan. Igual como les
digo, tenemos un par de casitos para que lo puedan trabajar y entonces podemos teniendo como más claridad.
No es que se vuelvan unos expertos en gestión de riesgo, pero al menos que sí vean cómo es que funciona y puedan
ustedes tener la base para poder formar una matriz de riesgo. ¿Ok? Para tener estos parámetros. Entonces es como me
interesa en todo esto de gestión de riesgos.
Luego llegamos al tratamiento del riesgo. Ok, va, ya sé el contexto, ya identifiqué todo. Ahora qué sigue. Ya sé que tengo
50 riesgos, la verdad. Entonces ya con todo esto yo llego a lo que es mi riesgo inherente.
Se recuerdan que teníamos un riesgo inherente, después control y después un riesgo residual. Entonces la parte que tengo
que hacer. Ahora hay que tratar los riesgos. ¿Sí? El tratamiento del riesgo. El propósito de esto es seleccionar e
implementar opciones para poder abordar el riesgo. Como yo quiero enfrentarme a todo lo que ya identifiqué, que lo tengo
pues, o sea, no puedo hacer porque ya nace implícito con la empresa.
Entonces, nace lo que es el proceso interactivo. Para poder darle tratamiento a ese riesgo tengo que pasar por un proceso
de cinco fases. La primera es que voy a formular y seleccionar las opciones para poder tratar ese riesgo.
¿Sí? Si yo tengo un riesgo de no, por ejemplo, como el ejemplo anterior, era el gestionar y el atender todas las solicitudes
de mis clientes. Entonces, pues ¿Qué voy a hacer ahí? ¿Verdad? Entonces voy a buscar qué opciones tengo para poder
tratar ese riesgo. Voy a buscar la que considere sea la mejor y voy a implementar ese tratamiento de riesgo.
Pero primero tengo que buscar, ¿Verdad? Voy a formular y seleccionar todas las opciones que me permitan a mí darle
tratamiento a ese riesgo. Gestionarlo, trabajarlo, disminuirlo, etc. Número dos, cuando ya la haya elegido, la voy a
implementar. Voy a hacer un proceso de planificación y voy a implementar esa opción de tratamiento de riesgo. Cuando
ya haya implementado, voy a pasar por un proceso de evaluar la eficacia de ese tratamiento. Estos, si lo vemos en un
proceso, estarían a cargo de las áreas responsables de los procesos y la evaluación de ese tratamiento.
Pues si pueden ellos, como Arias, hacerse otra evaluación, pero por excelencia, normalmente lo hace Auditoría Interna. La
evaluación de la eficacia de los controles entra dentro de los, los trabajos o las acciones que hace Auditoría Interna para
ver cómo está su ambiente de control. Evaluada la eficacia de ese tratamiento, vamos a obtener el riesgo residual y
entonces voy a decidir si ese riesgo residual que tengo luego de haber trabajado estos tres pasos es para mí aceptable o
no.
¿En base a qué? En base a lo que haya establecido la Junta Directiva sobre el apetito de riesgo. ¿Sí? Bueno, y si no es
aceptable, entonces tengo que hacer algo adicional y vuelvo a empezar acá. Y vuelvo a formular, vuelvo a planificar,
vuelvo a implementar, vuelvo a evaluar y llego aquí, establezco si me siento cómodo o no con el riesgo residual y esto lo
voy a hacer N cantidad de veces hasta llegar al riesgo residual con el que me siento cómodo y con el cual cumpla con los
parámetros que ha establecido la Junta Directiva, ¿Ok? Entonces así le voy a dar ese tratamiento al riesgo.
¿Qué opciones tengo yo para tratar el riesgo? Pauta primordial de riesgo, el riesgo no se elimina. Si alguna vez les
preguntan, mira cómo eliminamos ese riesgo, salgamos de eso. El riesgo no se elimina, el riesgo se mitiga.
¿Ok? ¿Y qué opciones tengo yo para darle ese tratamiento, esa mitigación al riesgo? La primera opción que tengo es
evitar el riesgo. ¿Y de qué manera yo puedo evitar el riesgo? Decidiendo terminar o no iniciar la actividad que me genera
el riesgo. Si, por ejemplo, yo voy a tener un riesgo de que las personas se distraigan porque se va a colocar una televisión,
como pasó ahorita con el Mundial, ¿Verdad ustedes? Que por ambiente, por clima, les colocaron una pantalla, ¿Verdad?
Para que pudieran ver el Mundial, pero resulta que tener esa pantalla iba a generar el riesgo de que bajara la productividad
porque las personas iban a poner a ver los partidos en vez de estar trabajando.
¿Sí? Entonces eso era un riesgo de baja productividad y si bajo la productividad, si no me enfoco en lo que me tengo que
enfocar, no hago las actividades que tengo que hacer en el tiempo que se espera, entonces eso va a afectar todo el proceso,
les voy a entregar tarde el producto, el servicio, etc. Y entonces no voy a lograr las ventas que espero y todo eso tiene un
efecto cadena y finalmente no voy a lograr mi objetivo. Entonces, si yo quiero evitar ese riesgo. Simplemente no voy a
ponerte la televisión y ahí el riesgo se elimina, o sea, se evita, no se elimina, se evita. Porque no va a estar la actividad que
lo genera. Esa sería la única manera de evitar el riesgo.
Simplemente no tener esa actividad que genera el riesgo. Número dos puede ser que se acepte. Yo voy a vivir con
eso. Hay un, hay un nivel de riesgo aceptable. También hay que trabajar. Entonces yo no pienso hacer algo y voy a aceptar
ese riesgo como tal. Porque creo que me puede dar una oportunidad, porque a pesar de que el riesgo es alto, voy a generar
buenos beneficios y se vale, se vale que las áreas acepten los riesgos hasta cierto nivel, verdad? Tampoco es que se pase.
Por eso es que tengo parámetros de riesgos aceptables. Hasta ahí lo puedo aceptar. Si el riesgo supera al riesgo aceptable,
entonces no puede ser una solución el aceptar ese riesgo, porque excede los parámetros. Hay que tener mucha claridad con
eso. Tercera forma, eliminar la fuente del riesgo que va mucho en la línea anterior, verdad? Si a mí me está generando
riesgo en la actividad, la puedo eliminar.
Siempre y cuando sea factible, va a decir, ay, yo quiero tener riesgo de fraude, entonces no voy a tener gente trabajando.
No podemos hacer eso. Eso sí hay que gestionar. Hay que, también se puede tratar modificando ya sea la probabilidad o el
impacto. A través de qué puedo modificar una probabilidad o un impacto? A través de controles. Implemento controles.
Otra forma es compartir el riesgo, es decir, lo puedo trasladar, verdad? Ah, bueno, tengo un riesgo de, de pérdida de
mercadería, entonces voy a contratar un seguro. Y con eso, pues yo voy a mitigar ese riesgo porque voy a compartir, se lo
hago a alguien más. Si algo pasa, esa otra persona me tiene que pagar a mí.
Ya pues yo me desentiendo. Entonces se traslada ese riesgo. Y pues la última es retener el riesgo con base en una decisión
informal, que es algo así como aceptarlo, verdad? Entonces ya lo informé, lo vamos a aceptar y vamos a seguir nuestras
vidas con eso. Pero todo siempre, siempre dentro de la línea de los parámetros que la Junta haya establecido como riesgo,
como apetito de riesgo. Ok.
Y estos también pueden ser otros tratamientos para el riesgo. ¿Alguna duda hasta acá? Ya pasamos el tema. ¿No? Bueno.
Entonces, finalizadas todas las fases.
Finalizadas todas las fases del contexto, toda la parte del riesgo y el tratamiento, pues ya, una vez ya los identifiqué, ya los
analicé y ya los evalué y ya generé controles y llegué a un riesgo residual con el cual me sintió cómodo. Entonces ya se
acabó la tarea, no hay nada más que hacer.
No, todavía hay una fase más, que es el monitoreo y la revisión del riesgo.¿En qué consiste o para qué es esto? Pues lo
que busca es asegurar y mejorar la calidad y la eficacia del diseño, es decir, toda la parte del modelo de gestión de riesgos
tiene que tener una mejora continua constante. ¿Verdad? Mejorar los procesos, mejorar la calidad de los controles, mejorar
la eficacia del diseño. ¿A través de qué? De ir monitoreando y revisando cómo van funcionando las cosas.
Adicionalmente, tiene que ser una parte planificada del proceso de gestión de riesgos, donde esté claramente definidas
cuáles son las responsabilidades. Y aquí vamos a tener cuatro pasos. Primero, voy a planificar cómo voy a monitorear,
cuándo lo voy a monitorear, quién va a monitorear, etcétera.
Una vez ya planifique y asigné responsabilidades, empiezo a recopilar y analizar información. Ah, bueno, establezco.
Ah, bueno, y a pesar de que tengo controles, se consumaron tantos riesgos, se materializaron tantos riesgos y llevo un
registro de esos resultados.
¿Dónde está fallando? ¿Dónde he tenido eventos a pesar de que tengo controles? Y con eso establezco una
retroalimentación. Y voy y repaso todo mi proceso, ¿verdad? Como lo habíamos visto en la anterior. Y entonces ya doy
esa retroalimentación para poder mejorar lo que tenga que mejorar como tal.
Entonces, voy a regresar un poquito acá a la parte del formato, solo para decirles cuál sería entonces la dinámica. Muy
bien. Entonces, establecí el contexto, ya vimos qué era.
Hice toda la evaluación de riesgos, definí mi tratamiento y establecí mi riesgo residual. Ahora, a todo esto yo lo tengo que
monitorear y revisar constantemente, ¿verdad? Ah, aquí resulta que se me materializaron cinco eventos. Voy y regreso al
contexto.
Ah, ok, porque se materializaron, no me falló. Evalúo nuevamente, ¿verdad? Reajusto, no reajusto lo que tengo o
implemento lo que necesito para que ya mi tratamiento de riesgo, pues también si lo tengo que ajustar lo ajusto y vuelvo
nuevamente al monitoreo. Ok, todo está bien, se mantiene donde debe.
Ah, me salieron otros eventos. Ah, resulta que aquí, este evento que me salió es nuevo, no tengo contexto, establezco el
contexto. Como es nuevo, no lo he evaluado, entonces hago todo el proceso de evaluación y le doy un tratamiento.
Entonces, nos mantenemos en esta dinámica, ¿sí? Por eso es que les decía que la gestión de riesgos es un proceso
dinámico constante, ¿ok?
Entonces regreso y por último vamos a tener la comunicación en todo lo que es este proceso de gestión de riesgos. Y llego
a la comunicación. Y este, pues, es el proceso de la gestión de riesgos. Los resultados se tienen que documentar y se tienen
que informar a través de los mecanismos que se consideren apropiados. ¿Qué debería tener yo en el registro de informes?
Pues debería tener la información que me permita comunicar cuáles han sido las actividades de la gestión de riesgo y los
resultados a lo largo de la organización. ¿Qué he logrado? He detenido fraudes, he detenido eventos, se han materializado,
hago una comunicación de resultados, proporciono esta información para que se puedan tomar decisiones y toda esta
retroalimentación me permite mejorar o permite mejorar las actividades de la gestión de riesgo porque hay una
retroalimentación constante.
Adicionalmente, dentro de esta comunicación y consulta, hay que tener interacciones con las partes interesadas,
incluyendo las personas que tienen responsabilidad dentro de este proceso. Y esto ayuda a crear una cultura de rendición
de cuentas. Para que todos, pues, finalmente digan qué está sucediendo y qué están haciendo para correr.
Las decisiones con respecto a la creación, conservación y tratamiento de información documentada debería tener en
cuenta, pero no limitarse, su uso y la sensibilidad de información en los contextos internos o externos. Sí, entonces todo
esto tiene que generar comunicación. Tengo que informar constantemente, responder consultas, decir cómo está
funcionando todo el modelo de gestión ante las partes interesadas, y con eso, pues, cerramos todo lo que implica el
proceso de gestión de riesgos.
Para ir cerrando, vamos a hablar un poquito rápido de cuál es el futuro de la gestión de riesgos. Ok, este modelo hizo
31,000, pues es bastante amigable, se ha logrado trabajar, pero siempre hay más, ¿verdad? Hay una mejora continua.
¿Hacia dónde debería de moverse o evolucionar todo esto? Si no es que ya está, porque de hecho tenemos una fase ya
más, esa lo vamos a ver en la otra semana, con lo que se conoce como aseguramiento combinado, que es como la
tendencia ahorita, un poco retadora, sí, pero que busca justo esa mejora continua en la gestión de riesgos.
Entonces nos dicen que la gestión de riesgos tiene que buscar la generación de valor, que por ahí lo mencionamos. Y esto
tiene que generar valor hacia la institución, hacia la empresa y generar valor incluso puede ser evitar que la empresa
pierda valor. ¿Verdad? También eso puede generar valor.
En esta pauta nos dicen que deberían de haber cinco componentes que deben estar alineados al ciclo de vida del negocio y
estos cinco componentes basados en 20 principios en el ciclo de vida del negocio. Y el ciclo de vida del negocio va a
incluir la misión, la misión y los valores como punto inicial para luego desarrollar la estrategia que esta empresa o la
empresa esté estableciendo. Cuando ya se desarrolle la estrategia, se van a poder formular los objetivos del negocio.
¿Qué es lo que quiere lograr? Teniendo esto va a haber una implementación y un desempeño. ¿Qué va a buscar? Todos
estos cuatro pasos, generar valor hacia la empresa. Esa sería la pauta de este nuevo modelo.
¿Verdad? Generar este valor a través de alinear al ciclo de vida cinco componentes. ¿Cuáles son estos componentes? El
gobierno y la cultura, la estrategia y la definición de objetivos, el desempeño, la revisión y el monitoreo y la información,
comunicación y reporte. Esos serían los cinco componentes que se tienen que alinear hacia el ciclo de vida del negocio.
Y cada uno de estos componentes va a tener principio. Para el de gobierno y cultura tenemos cinco principios. ¿Cuáles
son? Existe una supervisión del directorio.
¿Verdad? El directorio siempre tiene que estar involucrado en la gestión de riesgos. Hay que establecer el modelo de
gestión y el modelo operativo. ¿Verdad? Es decir, tenemos que tener alineamientos, tenemos que tener reglas, tenemos
que tener pasos a seguir.
La cultura es importantísima, la cultura, todo el tema de gestión de riesgos tiene que mermar a cada uno de los
colaboradores de la institución y de las partes interesadas. Hay que demostrar compromiso con los valores, hay que
establecer valores porque la cultura se basa en valores. Entonces hay que demostrar ese compromiso y hay que atraer,
desarrollar y retener talento.
¿Por qué? Porque finalmente son las personas las que le dan operatividad a la empresa y las que ejecutan los controles.
Entonces las personas están en todo este proceso como parte primordial. Componente 2, la estrategia y la definición de
objetivos, que tiene cuatro principios y nos habla de que se tiene que analizar el contexto del negocio, que ya lo vimos en
la ISO 31.000. Hay que definir el apetito de riesgo, es bien importante, de verdad que es bien importante y muchas veces
esta parte no se hace.
Hay que evaluar estrategias alternativas, si es que hay algo más que podemos hacer, incluso se vale cambiar de estrategia
cuando algo no está funcionando y hay que formular los objetivos del negocio. Siempre hay que tener un objetivo, porque
si no, la empresa no tiene enfoque. Tres, la parte de desempeño, que tiene cinco principios.
Uno que es identificar los riesgos, luego hay que evaluarlos, luego hay que priorizarlos, hay que implementar las
respuestas a los riesgos y hay que desarrollar una visión de portafolio, es decir, una visión a futuro. En la parte de
desempeño casi que se nos va todo el proceso de gestión que hemos visto. Luego en el cuarto componente tenemos tres
principios que dice que hay que evaluar los cambios significativos, hay que revisar los riesgos y cómo se está
desempeñando y hay que buscar la mejora continua del RM, que es el sistema central, verdad, como tal de la institución.
Para llegar al quinto componente, que tiene tres principios, que es que hay que aprovechar la información y la tecnología,
hay que tener una comunicación constante de los riesgos, verdad, sobre todas las áreas, hay que transmitirle y hay que
informar sobre la cultura de riesgos y el desempeño. Entonces, si se ven, esa visión de la gestión de riesgo en el futuro va
muy, muy de la mano con lo que nos dice la ISO 31000, todo lo que aquí le da un orden y dice hay que enfocarnos en el
ciclo de vida del negocio, no nos podemos desentender del negocio porque es parte vital de la gestión de riesgo. Muchos
de los riesgos nacen justamente del negocio.

Clase 3 Gestion de Riesgos

Cargado por

Copyright:

Formatos disponibles

Clase 3 Gestion de Riesgos

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Clase 3 Gestion de Riesgos

Cargado por

Copyright:

Formatos disponibles

CLASE 3 GESTION DE RIESGOS

Los riesgos se pueden clasificar en distintos tipos:

2. Identificación del riesgo

EXPLICACION PRINCIPIOS SEGÚN ISO 31000N G1

EXPLICACION PRINCIPIOS ISO 31000 LICENCIADA

EXPLICACIÓN MARCO DE TRABAJO PARA LA GESTIÓN G2

EXPLICACIÓN EL PROCESO DE GESTIÓN G4

EXPLICACION EL PROCESO DE GESTIÓN DE RIESGOS LICENCIADA

También podría gustarte