5 Errores Comunes en la

Gestión de Riesgos
Jim DeLoach

Siempre es interesante ponernos nuestras “gafas para verlo todo” y observar situaciones en las
que la gestión de riesgos ha fracasado. Al hacer esto, tenemos la oportunidad de identificar las
señales de advertencia que indican fallas comunes. Los siguientes son cinco errores frecuentes
de gestión de riesgos y algunas señales de advertencia de cada uno. Las señales de alarma se
dividen en indicadores organizacionales, de procesos y de comportamiento.

1. Mal gobierno y “tono de la organización”

El gobierno es el acto o proceso de ejercer supervisión, dirección y control con autoridad. El
término se utiliza a menudo para describir lo que el Comité Directivo y la Dirección Ejecutiva
hacen para supervisar la planificación y las operaciones de la empresa, y para garantizar la
eficacia del establecimiento de la estrategia y de otros procesos de gestión en la organización.
“El tono directivo” de la Dirección Ejecutiva proporciona una base vital para la transparencia, la
apertura y el compromiso con la mejora continua, que son tan necesarios en la gestión eficaz
del riesgo. Sin embargo, el tono en la parte superior debe ser complementado con un tono
efectivo “en los mandos medios”. No importa lo que los líderes comuniquen a sus
organizaciones, lo que realmente impulsa el comportamiento de los empleados es lo que ven y
escuchan todos los días de los directivos a quienes les reportan. Si el comportamiento de los
mandos intermedios contradice los mensajes y valores transmitidos desde la Dirección, no
pasará mucho tiempo para que los empleados de nivel inferior lo noten. Debido a que el énfasis
de proveniente de las directivas (top-down) en la gestión eficaz del riesgo es tan fuerte como
su eslabón más débil, es vital que este énfasis se traduzca en un tono efectivo en los mandos
medios antes de que pueda llegar a toda la organización. Por lo tanto, se necesita un “tono
organizacional” fuerte.
Estos son algunos indicadores de las deficiencias en el gobierno y en el tono de la organización:
Indicadores organizacionales:
• El mal gobierno de riesgo, y la falta de liderazgo y disciplina ocasionan que en las
actividades de creación de valor empresarial de las líneas de negocio primordiales se
ignoren el riesgo y las alertas tempranas planteadas por la gestión de riesgo
independiente.
• La falta de enfoque del Consejo en la supervisión del riesgo ocasiona que los directores
no puedan abordar las preguntas difíciles.
Indicadores de proceso:
• El riesgo no es considerado explícitamente por la Gerencia al evaluar las alternativas
estratégicas ni al entrar en nuevos mercados, introducir nuevos productos o realizar una
inversión o adquisición compleja.
• La comunicación y el intercambio de información sobre los riesgos a niveles superiores,
inferiores y, en general, en toda la empresa son ineficaces o inexistentes.

www.softexpert.es
 5 Errores Comunes en la Gestión de Riesgos

Indicadores de conducta:
• Un enfoque limitado al corto plazo ―un mes o un trimestre― causa que la empresa, al
tomar riesgos, hipoteque el futuro en beneficio del presente.
• Un CEO dominante ignora las señales de advertencia enviadas por la gestión de riesgos,
se resiste a aceptar las malas noticias o la información contraria, que indica que la
estrategia de la organización no está funcionando y/o que no involucra oportunamente
al Consejo en cuestiones estratégicas y asuntos normativos.
• Hay evidencia de estrategias que no pueden ser implementadas, de presiones extremas
de desempeño, de planes de expansión irreales, de falta de experiencia ejecutiva, de una
“cultura combativa” y de una competencia interna malsana que incentiva la toma de
riesgos excesivos.

2. Toma de riesgos imprudente

La toma de riesgos imprudente es un asesino del valor de la empresa. Quiere decir que la
empresa corre riesgos que el Consejo de Directivo y/o la Dirección Ejecutiva no comprenden ni
aprueban. Una lección que seguimos aprendiendo una y otra vez consiste en ser disciplinados
al tomar riesgos durante los períodos de crecimiento rápido y mercados favorables. Por
ejemplo, todos los programas de MBA cuentan con estudios de caso de empresas que tienen
que volver a aprender una lección de larga tradición:
“Si bien es cierto que las personas competentes son un aspecto importante de la gestión de
riesgos; el hecho de que la administración dependa de ellas sin límites, que no mantenga
controles ni haga balances de su desempeño y que no cuente con una supervisión independiente,
es tan desaconsejable como el no comprender los riesgos inherentes a sus actividades.”
Es interesante observar cómo las empresas, incluso las industrias enteras, continúan
descubriendo esta lección fundamental. En la crisis financiera, a algunas instituciones les fue
mejor que a otras y podemos aprender sobre sus decisiones.
Los indicadores clave de este error incluyen:
Indicadores organizacionales:
• El Consejo no lleva a cabo suficiente supervisión del riesgo.
• Los líderes de las unidades de operación y los encargados de los procesos no son los
responsables gestionar los riesgos que sus actividades crean; por tanto, los encargados
de los riesgos primarios no están realizando el seguimiento y la gestión del riesgo desde
su origen.
• No hay ninguna función de gestión de riesgo independiente que supervise el riesgo.
• Auditoría interna no se centra en la eficacia de las dos primeras líneas de defensa ―los
responsables de los riesgos primarios y las funciones de riesgo independientes.
Indicadores de proceso:
• bien se carece de un documento que dé cuenta de la propensión al riesgo o no hay
rendición de cuentas que asegure que los riesgos se asuman de manera prudente dentro
de los límites establecidos por la propensión al riesgo de la organización.
• No se aplica un análisis contrario a los supuestos críticos que subyacen a la estrategia
para supervisar las tendencias y otros indicadores de riesgo y así determinar si uno o
más supuestos críticos se han vuelto o se están volviendo inválidos.
• Los cargos de confianza (por ejemplo, los asignados a personas cuyas acciones u
omisiones pueden someter a la empresa a eventos significativos de riesgo) no se

www.softexpert.es
 5 Errores Comunes en la Gestión de Riesgos

identifican ni se gestionan; por lo tanto, sus actividades no pueden ser objeto de

supervisión por parte de un ejecutivo bien informado.
Indicadores de conducta:
• La estructura de compensación de incentivos y la cultura de la organización conducen
a un comportamiento de riesgo inapropiado; por ejemplo, un plan de compensación del
tipo “cara yo gano, cruz usted pierde” puede producir consecuencias no deseadas que
la administración y el Consejo querrían evitar si se les diera la opción.
• La responsabilidad de la gestión del riesgo no está vinculada con el sistema de
recompensa; o peor, el programa de compensación de incentivos fomenta la toma
desenfrenada de riesgos.
• Existen “grandes estrellas” que hacen mucho dinero, pero nadie sabe cómo o por qué
tienen éxito.
• Las personas “más inteligentes en la sala” dominan la discusión y dirigen el flujo de
pensamiento del grupo.
• Hay conflictos de intereses significativos en áreas complejas, volátiles y/o difíciles de
medir.

3. Incapacidad para implementar una gestión de

riesgo (ERM) efectiva
La mayoría de los esfuerzos para implementar la ERM están mal enfocados, han sido
severamente restringidos por la limitación de recursos y han sido tan relegados en la
organización que es difícil establecer su relevancia. El resultado a corto plazo es una dinámica
de “arrancar y parar” y de discutir incesantemente para comprender cuál es el objetivo. El
resultado a largo plazo es que la gestión de riesgos es rara vez, o nunca, elevada a un nivel
estratégico y continúa siendo impulsada por silos funcionales dentro de la organización.
Los indicadores comunes de este error incluyen:
Indicadores organizacionales:
• Existe una falta de apoyo por parte de la Dirección Ejecutiva y otros sectores clave. La
empresa sufre de falta de empuje debido que se ha delegado la toma de iniciativa a los
niveles inferiores de la organización.
• La iniciativa de ERM no tiene un alcance global a nivel de la empresa ni adopta un
enfoque estratégico.
• La respuesta de ERM tiene en una orientación “de adición” en la cual los diversos silos
de gestión de riesgos se suman porque así cubren en conjunto los riesgos de la
empresa.
Indicadores de proceso:
• bien no existe una política de gestión de riesgo o la política existe, pero no hace hincapié
en los principios de la ERM.
• El proceso de ERM no se centra en los pocos riesgos vitales que realmente importan y/o
no posiciona a la organización para avanzar a tiempo y aprovechar las oportunidades
de mercado y los riesgos emergentes.
Indicadores de conducta:
• Falta claridad en cuanto a la motivación del negocio y a la justificación económica para
la ERM; por ejemplo, al tratar de comprender el problema que se está tratando de
resolver con la ERM se genera un diálogo sin fin sobre el “qué” y “por qué”.

www.softexpert.es
 5 Errores Comunes en la Gestión de Riesgos

• Los responsables son incapaces de responder de manera aceptable ante el Consejo

Directivo a preguntas tales como: ¿Cuáles son los riesgos críticos? ¿Cómo los estamos
manejando y cómo damos cuenta de ello?
• Se evidencia parálisis o falta de voluntad de empezar los procesos necesarios para
asegurar un acercamiento efectivo a la gestión de riesgo en toda la empresa.

4. Inexistencia, ineficacia o ineficiencia de la

evaluación del riesgo
Esta falla se produce cuando las actividades de evaluación de riesgos no identifican de manera
eficiente, eficaz y rápida los riesgos de la empresa. También ocurre cuando la evaluación del
riesgo consiste tan solo en compartir la lista actualizada de los riesgos con los ejecutivos de la
compañía sin ir más allá.
Algunos indicadores clave de esta falla son los siguientes:
Indicadores organizacionales:
• La gran cantidad de silos de gestión de riesgo y la falta de una visión de proceso
ocasionan que muchos riesgos pasen desapercibidos.
• Múltiples solicitudes de evaluación de riesgos abruman el proceso de la entidad y a los
responsables de las funciones debido a la mentalidad de silo de las numerosas
solicitudes de los evaluadores de riesgo.
Indicadores de proceso:
• El proceso de evaluación de riesgos no involucra a las principales partes interesadas y
los resultados no son reportados a la Junta Directiva para obtener su opinión y
perspectiva.
• Las evaluaciones de riesgo pocas veces generan un entendimiento que altere el punto
de vista de la Dirección, dejan a los responsables de tomar las decisiones con pocas
ideas en cuanto a qué hacer a continuación para gestionar el riesgo y rara vez afectan
las decisiones y los planes de negocio.
• El proceso ofrece pocas indicaciones sobre qué hacer frente a eventos extremos, y tiene
poco o ningún impacto en la mejora de la preparación de las respuestas.
• El proceso no dedica suficiente atención a ayudar a los gerentes a pensar acerca de lo
que no saben.
• El marco analítico común utilizado no tiene en cuenta las múltiples visiones de futuro y
no aborda las características únicas y los límites temporales de los riesgos que enfrenta
la empresa.
• El Consejo General limita el proceso de evaluación de riesgos con preocupaciones sobre
la documentación del riesgo.
Indicadores de conducta:
• La organización practica ELM, o “gestión de lista empresarial”, que clasifica los riesgos
periódicamente; pero que contribuye muy poco a informar cómo se gestionan.
• Las evaluaciones subjetivas son a menudo influenciadas por la experiencia pasada,
fomentan el pensamiento homogéneo del grupo y evitan la generación de ideas
innovadoras.

www.softexpert.es
 5 Errores Comunes en la Gestión de Riesgos

5. Ausencia de integración de la gestión de riesgo

con el planteamiento de estrategias y la gestión del
rendimiento
Este error se produce cuando el riesgo es tratado como un aditamento de la estrategia, lo que
resulta en objetivos estratégicos poco realistas y en una gestión de riesgos convertida en un
apéndice de la gestión del rendimiento. Las consecuencias de esta falla incluyen una estrategia
con la cual organización no puede cumplir, un deterioro de la posición competitiva, una
incapacidad para adaptarse a un entorno de negocios cambiante y una importante pérdida de
valor de la empresa.
Los posibles indicadores clave de esta falla son los siguientes:
Indicadores organizacionales:
• La administración no ha puesto en práctica un enfoque eficaz para integrar las
implicaciones del riesgo en la planificación estratégica y en la gestión del rendimiento.
Indicadores de proceso:
• Los riesgos inherentes a la estrategia de la organización no han sido identificados,
localizados ni mitigados.
• No se toma en consideración el riesgo que conllevan los cambios que afectan al modelo
de negocio.
• Los principales riesgos inherentes a las operaciones de la empresa, incluyendo la forma
en que se manejan, no son claros para las partes interesadas.
• Hay una falta de conectividad de la gestión de riesgos con los procesos centrales de
gestión.
• La alineación de las respuestas a los riesgos con la estrategia y la gestión del
rendimiento empresarial es pobre o deficiente.
• No existe ningún proceso establecido que permita anticipar escenarios extremos de
riesgo que podrían descarrilar la ejecución de la estrategia. Por ejemplo, ni la velocidad
ni la persistencia ni la disposición de respuesta asociadas con los riesgos de alto
impacto ―y de baja probabilidad de ocurrencia― son evaluadas para determinar si son
necesarios nuevos planes de acción frente al riesgo.
• La estrategia y las respuestas a los riesgos relacionados no se comunican de manera
coherente en toda la empresa.
Indicadores de conducta:
• La gestión del riesgo está absorbida en minucias en lugar de centrarse en lo realmente
importante: los riesgos estratégicos vitales.
• Hay pruebas de toma de riesgos inaceptables o de actividad innecesaria de aversión al
riesgo.

Resumen
Hemos discutido las cinco fallas más comunes de la gestión de riesgos:
• Mal gobierno y “tono de la organización”.
• Conducta imprudente de toma de riesgos.
• Incapacidad para implementar una gestión de riesgo (ERM) efectiva.
• Inexistencia, ineficacia o ineficiencia de la evaluación del riesgo.

www.softexpert.es
 5 Errores Comunes en la Gestión de Riesgos

• Ausencia de integración de la gestión de riesgo con el planteamiento de estrategias y la

gestión del rendimiento.
Las señales de advertencia previstas para cada una de las anteriores fallas proporcionan un
diagnóstico de alto nivel para el Consejo y la Dirección que permite controlar la solidez y
vitalidad de la gestión de riesgos en la organización.

Acerca del autor

Jim DeLoach actúa desde hace más de 40 años como consultor,

ayudando a las empresas en la ejecución de la estrategia integrando
disciplinas como la gestión de riesgos y la gestión de desempeño. Su
enfoque es apoyar a las organizaciones en la atención de requisitos
legales y regulatorios, así como las demandas de los accionistas,
promoviendo un ambiente de negocios rentable y sostenible. Entre 2012
y 2017 Jim fue indicado por la publicación NACD (National Association of
Corporate Directors) como una de las 100 personas más influyentes al
tratarse de Gobernanza Corporativa. Actúa desde 2002 por Protiviti’s
Solutions.

www.softexpert.es
SoftExpert ERM permite que las organizaciones identifiquen, analicen, evalúen, monitoreen y
administren sus riesgos corporativos utilizando un abordaje integrado. La solución reúne todos
los datos relacionados a la gestión de riesgos en un único ambiente, incluyendo una biblioteca
reusable de riesgos y sus respectivos controles y evaluaciones, eventos, tales como pérdidas
y no conformidades, indicadores de desempeño y planes de tratamiento.

Control Self-Assessment Mapeo de Procesos (BPMN)

La solución sirve como una base para las varias iniciativas de gestión de riesgos dentro de la
organización, pues soporta diferentes categorías de riesgos – estratégicos, financieros, de
seguridad, conformidad, ambientales, de activos, productos, procesos y proyectos, que pueden
también formar parte de aplicaciones más amplias como gestión de riesgos operacionales,
gestión de riesgos de TI y gestión de conformidad de manera general.

Evaluación de Riesgos Monitoreo de Riesgos

SoftExpert ERM fue desarrollado para ser flexible y configurable, la solución soporta tanto
estándares globales de gestión de riesgos como ISO 31000, PMBOK o COSO, como los
requisitos específicos de cada empresa.

Repositorio de Riesgos Tratamiento de Riesgos

Más informaciones:
https://www.softexpert.es/solucao/gestion-riesgos-corporativos-erm/

www.softexpert.es
 Acerca de SoftExpert
SoftExpert es la empresa líder de mercado en soluciones para la excelencia en la gestión,
suministrando softwares y servicios para la mejora de procesos de negocio, conformidad
reglamentaria y gobernanza corporativa.

Fundada en 1995 y contando actualmente con más de 2 mil clientes y 300 mil usuarios
alrededor del mundo, las soluciones de SoftExpert son utilizadas por empresas de los más
variados portes y ramos de actuación, incluyendo manufactura, gobierno, farmacéutico,
hospitales y laboratorios, servicios financieros, alta tecnología y TI, educación, energía y utilidad
pública, logística, mercado mayorista e servicios.

En conjunto con su red de aliados nacionales e internacionales, SoftExpert ofrece servicios de

implantación, entrenamiento, hospedaje, validación, soporte y asistencia técnica, con el objetivo
de asegurar que sus clientes obtengan siempre el máximo de retorno sobre sus inversiones.

SoftExpert Excellence Suite

El camino correcto para la Excelencia en la Gestión
y la Conformidad Empresarial

Más informaciones: www.softexpert.es | ventas@softexpert.com

Aviso Legal: El contenido de esta publicación no puede ser copiado o reproducido, totalmente o en partes, sin
la autorización previa de SoftExpert Software. Esta publicación es colocada a disposición por SoftExpert y/o
su red de afiliados sólo en carácter informativo, sin ninguna garantía de ningún tipo. Las únicas garantías
relacionadas a los productos y servicios de SoftExpert son aquellas declaradas en contrato. Algunas
características y funcionalidades de los productos presentados en esta publicación pueden ser opcionales o
www.softexpert.es
dependientes de la composición(es) de la(s) oferta(s) adquirida(s). El contenido de este material está sujeto
a alteración sin previo aviso.