Ciencias económicas y empresariales
Artículo de investigación
La administración de empresas y la gestión de los riesgos Business administration and risk management Administração de empresas e gerenciamento de riscos
José Castillo-Ruano I
Marcelo E. Reina-Tello II
marceloreinatello1@hotmail.com
Harold S. Quiñonez-Francis III
Recibido: 12 de agosto de 2016 * Corregido: 7 de agosto de 2016 * Aceptado: 20 de noviembre 2016
I Economista, Docente de la Universidad Técnica de Esmeraldas Luis Vargas Torres, Esmeraldas, Ecuador.
II Licenciado en Administración de Empresas, Ingeniero Comercial, Magister en Administración de Empresas, Universidad Técnica Luis Vargas Torres de Esmeraldas, Esmeraldas, Ecuador.
III Magister en Educación Mención en Psicodidáctica, Especialista en Derecho Procesal Penal, Magister en Administración de Empresas, Diplomado Superior en Docencia Universitaria, Diplomado Superior en Gestión Integral de Riesgos y Desastres, Abogado de los Tribunales y Juzgados de la República del Ecuador, Docente de la Universidad Técnica Luis Vargas Torres de Esmeraldas, Esmeraldas, Ecuador.
La administración de los riesgos en una empresa, es un factor éxito para alcanzar los objetivos empresariales y/o llevar a cabo sus estrategias en forma exitosa. Una de las tareas clave en la dirección de empresas es la gestión de riesgos para alcanzar los objetivos propuestos y mejorar la competitividad. La nueva Norma ISO 9001: 2015 y la norma ISO 31000 para “Gestión de Riesgos” establecen una serie de principios que deben ser satisfechos para hacer una gestión eficaz del riesgo. Este trabajo tiene como objetivo exponer los elementos teóricos conceptuales relacionados con los riesgos para una mejor administración de empresas.
Palabras clave: administración de empresas; riesgos; gestión de riesgos; norma ISO 9001:2015; norma 31000.
The management of risks in a company is a success factor to achieve business objectives and / or carry out their strategies successfully. One of the key tasks in business management is risk management to achieve the proposed objectives and improve competitiveness. The new ISO 9001: 2015 Standard and the ISO 31000 standard for "Risk Management" establish a series of principles that must be met in order to effectively manage risk. The objective of this work is to expose the conceptual theoretical elements related to risks for a better management of companies.
Keywords: business Administration; risks; risk management; ISO 9001: 2015 standard; 31000 standard.
A gestão de riscos em uma empresa, é um fator de sucesso para alcançar objetivos de negócios e / ou realizar suas estratégias com sucesso. Uma das principais tarefas na gestão de negócios é a gestão de riscos para atingir os objetivos propostos e melhorar a competitividade. O novo padrão ISO 9001: 2015 eo padrão ISO 31000 para "Gerenciamento de Riscos" estabelecem uma série de princípios que devem ser atendidos para efetivamente gerenciar riscos. O objetivo deste trabalho é expor os elementos teóricos conceituais relacionados aos riscos para uma melhor gestão das empresas.
Palavras chave: administração de empresas; riscos; gestão de riscos; padrão ISO 9001: 2015; padrão 31000.
Hoy, el éxito de un empresa depende de la forma en como la administración de la misma prevé lo que va a suceder, y la planificación que se haga de las actividades desde un punto de vista preventivo. La administración de los riesgos en una empresa, es un factor éxito para alcanzar los objetivos empresariales y/o llevar a cabo sus estrategias en forma exitosa.
Las organizaciones de todo tipo y tamaño enfrentan factores e influencias, internas y externas, que crean incertidumbre sobre si ellas lograrán o no sus objetivos. El efecto que esta incertidumbre tiene en los objetivos de una organización es el ´riesgo´. Todas las actividades de una organización implican riesgo. (Zapata Suárez A-P., 2015)
Una de las tareas clave en la dirección de empresas es la gestión de riesgos. Este término se refiere a todas aquellas acciones que buscan proteger y crear valor dentro de una compañía para alcanzar los objetivos propuestos y mejorar su competitividad. Por "riesgo empresarial" entendemos todos los elementos que pueden generar incertidumbre o inestabilidad al interior de una empresa. Sin embargo, el riesgo no siempre tiene que suponer una amenaza, también puede generar oportunidades que la empresa debe ser capaz de identificar y aprovechar. Generalmente se habla de riesgos económicos o financieros, pero este término también puede aplicarse a labores como inversiones, medios de financiación, operaciones de arbitraje, políticas empresariales, modelos de contratación, entre otros. (ISOTools, 2015)
En la nueva versión de la Norma ISO 9001:2015 se destaca la intención de enfatizar y guiar el Enfoque basado en Riesgos, introduciendo éste en varias cláusulas como el enfoque a procesos, en el liderazgo y especialmente en la planificación.
Teniendo en cuenta que las amenazas, las incertidumbres y los riesgos son inherentes a cualquier actividad y organización, independientemente de su tamaño y sector económico, resulta
sorprendente comprobar que es muy habitual que las organizaciones gestionen estos riesgos de manera ineficaz, normalmente como una actividad no estructurada ni formal, lo cual no siempre permite alcanzar los resultados esperados. (González H., ISO 9001:2015. Enfoque basado en riesgos, 2015)
La nueva Norma ISO 9001: 2015 y la norma ISO 31000 para "Gestión de Riesgos", establecen una serie de principios que deben ser satisfechos para hacer una gestión eficaz del riesgo, de forma que se desarrollen, implementen y si es aplicable, se integren con el resto de los sistemas de gestión disponibles en la empresa.
Este trabajo tiene como objetivo exponer los elementos teóricos conceptuales relacionados con los riesgos para una mejor administración de empresas.
Un Riesgo es el efecto de la incertidumbre sobre los objetivos. (González H., 2016)
· Nota 1: Un efecto es una desviación de aquello que se espera, sea positivo, negativo o ambos.
· Nota 2: Los objetivos pueden tener aspectos diferentes (por ejemplo financieros, salud y seguridad, y metas ambientales) y se pueden aplicar en niveles diferentes (estratégico, en toda la organización, en proyectos, productos y procesos).
· Nota 3: A menudo el riesgo está caracterizado por la referencia a los eventos potenciales y las consecuencias o a una combinación de ellos.
· Nota 4: Con frecuencia, el riesgo se expresa en términos de una combinación de las consecuencias de un evento (incluyendo los cambios en las circunstancias) y en la probabilidad de que suceda.
· Nota 5: Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o el conocimiento de un evento, su consecuencia o probabilidad.
Ante esta situación, las organizaciones deben gestionar el riesgo de manera eficaz para poder asegurar el cumplimiento de sus objetivos estratégicos.
La Gestión del riesgo es un conjunto de técnicas y herramientas de apoyo y ayuda para tomar las decisiones apropiadas, de una forma lógica, teniendo en cuenta la incertidumbre, la posibilidad de futuros sucesos y los efectos sobre los objetivos acordados; y tiene como objeto la prevención de los mismos en lugar de la corrección y la mitigación de daños una vez que éstos se han producido, por lo que resulta claramente ventajoso para las organizaciones que adopten y pongan en uso herramientas y mecanismos de Gestión de riesgos. (González H., ISO 9001:2015. Enfoque basado en riesgos, 2015)
La Norma ISO 9001:2015 está orientada hacia un enfoque preventivo que se acentúa con los aspectos referidos a la Gestión del Riesgo, que consisten en reconocer los riesgos dentro de una organización y llevar a cabo las actuaciones necesarias para evitar que se produzcan. De este modo se podrá obtener una buena producción y alcanzar la satisfacción de los clientes.
La incorporación del Enfoque basado en Riesgos en la nueva norma ISO 9001:2015 (en el apartado "6. Planificación") implica que cuando las empresas adapten sus sistemas de gestión basados en la norma del 2008, deberán incluir métodos o procedimientos para la evaluación, administración, eliminación y/o minimización de los riesgos.
Una de las herramientas que las empresas tienen a su disposición para establecer un sistema de gestión de riesgos eficaz dentro de sus organizaciones, es la norma ISO 31000, establecida por la Organización Internacional de Normalización (ISO). Se trata de una norma internacional que establece principios y estrategias sobre la gestión del riesgo en cualquier campo comercial y que puede ser aplicada por las organizaciones más allá de su tamaño, naturaleza o actividad. (ISOTools, 2015)
La Norma ISO 31000 - Gestión del Riesgos. Principios y Directrices, incluye los principios, el marco de trabajo y un proceso destinado a gestionar cualquier tipo de riesgo. Puede ser utilizada por
cualquier organización, de carácter público, privado, sin fines de lucro, asociación, grupo o individuo, y no es específica a alguna industria o sector.
Una buena forma de lograr que los mismos resulten efectivos, consiste en tomar como guía los principios básicos que establece la Norma ISO 31000: (González H., ISO 9001:2015. Enfoque basado en riesgos, 2015)
1. Crear y proteger el valor: Contribuye a la consecución de objetivos así como a la mejora de aspectos tales como la seguridad y salud laboral, cumplimiento legal y normativo, protección ambiental, etc.
2. Estar incorporada en todos los procesos: No debe ser entendida como una actividad aislada sino como parte de las actividades y procesos principales de una organización.
3. Ser parte del proceso para la toma de decisiones: La gestión del riesgo ayuda a la toma de decisiones evaluando la información sobre las distintas alternativas de acción.
4. Ser usada para tratar con la incertidumbre: La gestión de riesgo trata aquellos aspectos de la toma de decisiones que son inciertos, la naturaleza de esa incertidumbre y como puede tratarse.
5. Ser estructurada, sistemática, y oportuna: Contribuye a la eficiencia y, consecuentemente, también a la obtención de resultados fiables.
6. Basada en la mejor información disponible: Los inputs del proceso de gestión de riesgos están basados en fuentes de información como la experiencia, la observación, las previsiones y la opinión de expertos.
7. Adaptarse al entorno: Hecha a medida de la propia organización, alineada con su contexto externo e interno y con su perfil de riesgo.
8. Considerar factores humanos y culturales: Reconoce la capacidad, percepción e intenciones de la gente, tanto externa como interna que pueda facilitar o dificultar la consecución de los objetivos de la organización.
9. Ser transparente, inclusiva, y relevante: La apropiada y oportuna participación de los grupos de interés y, en particular, de los responsables a todos los niveles, deben asegurar que la gestión del riesgo permanece relevante y actualizada.
10. Dinámica, sensible al cambio, e iterativa: La organización debe velar para que la gestión de riesgos detecte y responda a los cambios de la empresa. Conocer como ocurren los acontecimientos externos e internos, cambio del contexto, nuevos riesgos que surgen y otros que desaparecen.
11. Facilitar la mejora continua de la organización: Las organizaciones deberían desarrollar e implementar estrategias para mejorar continuamente, tanto en la gestión del riesgo como en cualquier otro aspecto de la organización.
Cuando la gestión del riesgo se implementa y se mantiene de acuerdo con esta norma ISO 31000, le permite a la organización: (González H., 2016)
· Aumentar la probabilidad de alcanzar los objetivos;
· Fomentar la gestión proactiva;
· Ser consciente de la necesidad de identificar y tratar los riesgos en toda la organización;
· Cumplir con los requisitos legales y reglamentarios pertinentes y con las normas internacionales;
· Mejorar la presentación de informes obligatorios y voluntarios;
· Mejorar el gobierno;
· Mejorar la confianza y honestidad de las partes involucradas,
· Establecer una base confiable para la toma de decisiones y la planificación;
· Mejorar los controles;
· Asignar y usar eficazmente los recursos para el tratamiento del riesgo;
· Mejorar la eficacia y la eficiencia operativa;
· Incrementar el desempeño de la salud y la seguridad, así como la protección ambiental;
· Mejorar la prevención de pérdidas y la gestión de incidentes;
· Minimizar las pérdidas;
· Mejorar el aprendizaje organizacional; y
· Mejorar la flexibilidad organizacional.
El establecimiento de un Sistema de Gestión de Riesgos en la empresa, supone una serie de ventajas adicionales para la empresa:
· Favorece la identificación de amenazas, obstáculos y oportunidades.
· Aumenta las posibilidades de alcanzar los objetivos. Los procesos que tengan más seguimiento y control tienden a ser más exitosos.
· Impulsa la proactividad. Incorporada la labor de gestión de riesgos, los jefes de departamento y los empleados en general asumen una actitud más dinámica para la consecución de objetivos.
· Mejora las labores de administración de una empresa.
· La empresa mejora su eficacia en la asignación de recursos para la gestión del riesgo. Es decir, ya no es un gasto que se efectúa de manera improvisada. Lo más común es que se destine una pequeña parte del presupuesto.
· Mejora la adaptación de la empresa al entorno social y económico al que pertenece. Identificar los riesgos permite acercarse al contexto.
· Potencia la confianza de los grupos de interés.
· Facilita la toma de decisiones.
· Fomenta la capacidad de transformación de la empresa.
Para trabajar en las organizaciones con enfoque de riesgos es preciso: (Alfonso J., 2016)
· Capacitar en los temas de administración de riesgos.
· Crear grupos de trabajo para el estudio y propuestas de tareas y métodos para la administración de los riesgos.
· Identificar los procesos y su prioridad.
· Determinar los diagramas de flujo, descripción del proceso, mapa de proceso y variables a optimizar.
· Decidir los métodos y calcular los riesgos asociados a las variables los procesos.
· Elaborar plan de trabajo para la implementación de la administración de los riesgos y aprobar los cambios pertinentes.
La Norma 31000 concibe el riesgo como el efecto de la incertidumbre sobre los objetivos. Un efecto es una desviación de aquello que se espera, sea positivo, negativo o ambos. Los objetivos pueden tener aspectos diferentes (por ejemplo financieros, salud y seguridad, y metas ambientales) y se pueden aplicar en niveles diferentes (estratégico, en toda la organización, en proyectos, productos y procesos). Con frecuencia, el riesgo se expresa en términos de una combinación de las consecuencias de un evento (Incluyendo los cambios en las circunstancias) y en la probabilidad (Likelihood) de que suceda. Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o el conocimiento de un evento, su consecuencia o probabilidad.
La Gestión del riesgo son las actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.
Toda empresa debe tener en cuenta los siguientes aspectos a la hora de consolidar un plan de gestión de riesgos: (ISOTools, 2015)
· El contexto. Es decir, el entorno que rodea la actividad comercial de la empresa, tanto a nivel interno como externo. El objetivo es determinar qué estrategias de mercado son más adecuadas en cada caso.
· Valoración de riesgos. Que es, en pocas palabras, la definición de los elementos que lo generan, así como sus causas y efectos.
· Tratamiento. Una vez establecidos esos riesgos y analizados sus efectos, la empresa debe dar otro paso y plantear estrategias para aminorarlos o, en el mejor de los casos, suprimirlos.
· Comunicación y consulta, considerado como el punto de partida para establecer las estrategias de riesgo que se llevarán a cabo. Este intercambio de información debe ser constante y estar presente en todas las etapas del proceso, para analizar la situación en cada momento y tomar las decisiones de actuación. Sólo así se podrá garantizar una eficiente gestión del riesgo.
· Monitoreo y revisión, parte esencial para la gestión del riesgo. Sólo a través de un seguimiento continuo y control exhaustivo es posible identificar a tiempo las posibles amenazas y oportunidades que se generan y desarrollar medidas que permitan la mejora de las herramientas, métodos y procesos que se llevan a cabo. Este seguimiento debe ser continuo, presente en todas las etapas, y abarcar todos los procesos de gestión del riesgo, para que realmente sea efectivo.
En términos generales, pueden reconocerse 4 etapas en la Gestión del Riesgo:
1. Identificar riesgos. La gestión comienza por identificar los riesgos de la organización, entendiendo por organización la misma y su contexto, comprendiendo sus necesidades y las de sus partes interesadas.
2. Analizar y evaluar riesgos: Una vez identificados los riesgos, deben prevenirse estimando la posibilidad de que ocurran y cuáles serían sus consecuencias. Existen numerosas herramientas para realizar esta evaluación, como la Tormenta de ideas, el Análisis de peligros y puntos críticos de control (ACCPP), Análisis de causa y efecto (Isikawa, Pareto, etc.), o el Análisis modal de fallos y efectos AMFE. Pero si toma en cuenta un enfoque estratégico, la herramienta que puede tener más utilidad es el Análisis de debilidades, amenazas, fortalezas y oportunidades (DAFO/FODA).
3. Toma de acciones: Luego de realizada la evaluación, se deben definir las acciones de mejora que hagan frente a estos riesgos que se han identificado y cuantificado, integrándolas e implantándolas en los procesos del sistema de gestión.
4. Verificación de la toma de acciones: La etapa final consiste en evaluar la eficacia de las acciones tomadas mediante el seguimiento y la revisión, empezando de nuevo el proceso tal y como lo define el Ciclo PDCA de la mejora continua.
Soto (Soto O., 2017) considera que las organizaciones debían:
Primero, diseñar una metodología de riesgo que esté fundamentada en mejores prácticas, pero que a la vez sea implementable y adecuada a la realidad de cada organización. Muchas veces queremos implementar el "libro" tal cual, tratando de que la organización se molde totalmente ante lo que queremos aplicar, sin embargo, cada organización es diferente, y como todos sabemos, las personas son las que ejecutan los procesos. Si queremos adaptarnos al entorno, tenemos que adaptarnos a nuestras realidades y a la capacidad de transformación de nuestra organización.
Segundo, la sensibilización y la capacitación en riesgos a todo el personal es indispensable, ya que en un sistema donde esté vigente la dirección por objetivos (como en mi caso), todos los empleados e interesados deben conocer la importancia de la gestión integral de riesgos, y como se vincula esta disciplina ante el cumplimiento de las estrategias adoptadas por la Dirección. En resumen, lo que no aporte al logro de los objetivos, debe ser revisado.
Tercero, seleccionar un comité responsable de gestionar los riesgos (estratégicos y operativos), conformado por personal clave y multidisciplinario dentro de la organización, la cual monitoree de cerca estos riesgos, y asuma la responsabilidad organizacional ante los controles y acciones definidas para los mismos.
Por último, repetir el proceso, una y otra vez, hasta que los riesgos sean aceptables y haya previsibilidad ante cualquier cambio del entorno.
Las organizaciones gestionan el riesgo mediante su identificación y análisis; luego evalúan si el riesgo se debería modificar por medio de su tratamiento con el fin de satisfacer los criterios. A través de este proceso, las organizaciones se comunican y consultan con las partes involucradas, monitorean y revisan el riesgo y los controles que lo están modificando con el fin de garantizar que no se requiere tratamiento adicional para el mismo.
Hay aspectos que contribuyen significativamente a un proceso de gestión de riesgo exitoso, pero lo primero es que requiere de un sólido y sostenido compromiso de la dirección de la organización, así como un riguroso planeamiento estratégico para alcanzar el compromiso en todos los niveles.
La dirección demuestra su compromiso a través de alinear objetivos de gestión de riesgos con los objetivos y las estrategias de la organización y proveer los recursos necesarios para que el proceso sea desarrollado de forma efectiva a través de toda la organización.
Frett (2013) propone una serie de preguntas relacionadas con la gestión de riesgos que debían hacerse los administradores de empresas: (Frett N.)
1. ¿La Junta y la alta dirección han articulado y comunicado su apoyo y compromiso con la Gestión de Riesgos?
2. ¿La responsabilidad de supervisión de los riesgos de la Junta ha sido articulada y definida a través de uno o más de los estatutos de sus comités?
3. ¿Están los objetivos, estrategias y resultados del proceso de Gestión de Riesgos establecidos, fueron comunicados y son entendidos a través de toda la organización?
4. ¿Están estos objetivos alineados con los objetivos y estrategia de la organización?
5. ¿Ha sido reconocido que la gestión de riesgos es esencial para el éxito de la ejecución de la estrategia de la organización?
6. ¿Ha sido implementada una política de gestión de riesgos y la misma esta autorizada por la Junta y la alta dirección?
7. ¿Está la cultura organizacional alineada con la política de gestión de riesgos?
8. ¿Está el responsable de administrar de forma general el proceso de Gestión de Riesgos posicionado en un nivel apropiado de la organización?
9. ¿Se enlazan los objetivos y políticas de la organización con la política de gestión de riesgos?
10. ¿Establece los deberes y responsabilidades de la gerencia de riesgos?
11. ¿Ha sido asignadas la responsabilidades son el sistema de Gestión de Riesgos en los niveles apropiados?
12. ¿Se han asignado suficientes recursos para el sistema de Gestión de Riesgos?
13. ¿Están los indicadores de la gestión de riesgos alineados con los indicadores claves de la organización?
14. ¿Han sido los planes de incentivos y compensaciones establecidos de tal forma que no influyan o incentiven un comportamiento contrario a las políticas y principios éticos de la organización?
15. ¿Han sido los beneficios de proceso de gestión de riesgos comunicados a las partes interesadas?
Alfonso J. (2016). Administración de riesgos en RRHH.
Frett N. (s.f.). Evaluación Compromiso Alta Dirección Proceso Gestión Riesgos. Obtenido de 2013: https://auditool.org/
González H. (2015). ISO 9001:2015. Enfoque basado en riesgos. Obtenido de https://calidadgestion.wordpress.com
González H. (2016). Gestión del riesgo - ISO 31000. Obtenido de https://calidadgestion.wordpress.com/
ISOTools. (2015) ¿Por qué es importante la gestión de Riesgos para tu empresa? Obtenido de https://www.isotools.org
Soto O. (2016). La gestión integral de riesgos como herramienta de la dirección de proyectos. Obtenido de http://www.eoi.es/blogs/mcalidadon/2017/01/19/gestion-integral-de-riesgos-como- herramienta-de-la-direccion-de-proyectos/
Zapata Suárez A-P. (2015). Análisis de riesgos por procesos basado en la norma ISO 31000:2011 para el centro comercial Premier El Limonar Cali. Proyecto de grado para optar al título de Administradora de Empresas.