Benchmark v15

2o BENCHMARK EN GESTIÓN DE RIESGOS EN LATINOAMÉRICA Octubre 2016
LA GESTIÓN DE RIESGOS
EN LATINOAMÉRICA
EVOLUCIÓN, TENDENCIAS Y OPORTUNIDADES
PREPARACIÓN ANTE CRISIS, CONTINUIDAD DEL NEGOCIO Y RIESGO CIBERNÉTICO
ConteNIDO
01 Prefacio
02 Resumen ejecutivo
03 Información demográfica
04 Evolución de la Gestión de Riesgos
05 Gestión de Crisis
06 Continuidad del Negocio
07 Riesgo Cibernético
08 Recomendaciones
PREFACIO
El concepto tradicional de la gestión de riesgos empresarial ha trascendido para convertirse
en mucho más que un elemento importante de los esquemas de buen gobierno corporativo y
control interno. La gestión de riesgos ha evolucionado para convertirse en un elemento esencial
de competitividad, sostenibilidad y resiliencia empresarial, lo que a su vez resulta en mayores
expectativas por parte de las organizaciones modernas, sus directores y alta gerencia. En este
sentido, las juntas directivas o directorios han empezado a elevarla a un nivel de categoría
estratégica, con lo cual esperan recibir una inyección de dinamismo, flexibilidad y capacidad de
adaptación al cambio a través de la interacción de la gestión de riesgos con la planeación estratégica.
Por otro lado, los gestores de riesgo de la actualidad se enfrentan a un mundo más complejo, más
interconectado y con flujos de información cuantiosos que representan retos importantes para
hacer que la gestión de riesgos se mantenga al día y genere valor al interior de las organizaciones.
Lo anterior lleva a los interlocutores de la gestión de riesgos a cuestionarse frente a la manera en Julie C. Pemberton
cómo la gestión de riesgos aporta a la capacidad de su organización de absorber choques e impactos President of RIMS
profundos, sin perder la capacidad de cumplir su misión y de reinventar dinámicamente los 2016
modelos de negocio y estrategias a medida que las circunstancias cambian.
Las juntas directivas o directorios y la alta gerencia de las organizaciones son cada vez más
exigentes frente al valor que debe generar la gestión de riesgos para las organizaciones, y no se
centran solamente en mantener los estándares de cumplimiento de normatividad y conservación
o reducción de los niveles de exposición frente a riesgos estratégicos, financieros, operacionales
y puros. Por el contrario, hoy en día amplía el alcance de la gestión de riesgos para utilizarla en
el proceso de toma de decisiones de acuerdo con un apetito de riesgo definido. Elementos como
la Gestión de Continuidad de Negocio, la Gestión de Crisis y la Gestión del Riesgo Cibernético
son fundamentales en la gestión de riesgos, sin los cuales sería difícil proteger la reputación, la
rentabilidad, las personas, los activos, y su misma la presencia en el mercado.
Por segundo año consecutivo, Marsh Risk Consulting, empresa del grupo Marsh & McLennan
Companies, en asociación con RIMS, The Risk and Insurance Management Society, realiza este Rodrigo Fajardo
estudio en gestión de riesgos con el objetivo de medir la evolución de la gestión de riesgos en el MRC Leader Latin
entorno empresarial latinoamericano, que permita a las diferentes organizaciones de la región America
comparar su nivel de desarrollo con el de empresas de diferentes países y sectores, y con el de
otras empresas de su mismo rubro. Este estudio busca compartir información valiosa para los
interlocutores de la gestión de riesgos dentro de las empresas en la región, tales como: integrantes
de Juntas Directivas, Presidentes, Vicepresidentes, Directores Financieros (CFOs), Chief Risk
Officers (CRO), Gerentes de Riesgos, Contralorías, y demás colaboradores que tienen dentro de sus
responsabilidades liderar la gestión de riesgos y que están comprometidos con la mejora continua.
Adicionalmente, este estudio aporta luces sobre los retos que enfrenta la gestión de riesgos en
las organizaciones latinoamericanas y las posibles brechas sobre las que debería enfocarse para
acercarse a las mejores prácticas.
Esperamos que usted encuentre en este II Benchmarking de Gestión de Riesgos en Latinoamérica

una herramienta útil para abrir espacios de discusión alrededor de la evolución y próximos pasos en
la gestión de riesgos de su organización.
Finalmente, lo invitamos a acercarse a nuestros consultores para contestar cualquier pregunta o

inquietud acerca del estudio.
El camino hacia una gerencia de riesgos eficaz 1

330 Empresas participaron
en el estudio
RESUMEN EJECUTIVO
A continuación se presenta un revisión de riesgos, favoreciendo Riesgos (49% en 2016 vs. 31% en
resumen ejecutivo de los resultados un monitoreo más trazable y 2015.
del segundo benchmarking en medible. Así como ha habido un desarrollo
gestión de riesgos en Latinoamérica, positivo en ciertos temas, también
los cuales están basados en las • Una mayor interacción entre la se encuentran importantes retos
respuestas a 330 encuestas gestión de riesgos y la planeación para mejorar. Algunos de estos
realizadas a través de un cuestionario y gestión estratégica, dado que retos son:
en línea entre mayo y julio de 2016, la sumatoria de las dos primeras
que contó con la participación de calificaciones es mayor este año • Fortalecer el desarrollo y
más de 10 países de la región y 10 que el año anterior (64% para efectividad del paso inicial del
sectores económicos. 2016 vs. 59% en el 2015). Además, proceso de gestión de riesgos,
el 55% de las organizaciones “Definición de Contexto”,
cuenta con un mapa de riesgos donde se requiere robustecer la
EVOLUCIÓN estratégicos, cifra que aumenta preparación y el entendimiento
Dentro del estudio se ha podido versus su medición del año del contexto externo e interno
evidenciar una tendencia positiva de pasado (51%), lo cual puede estar con todos sus elementos, además
factores que apoyan la sostenibilidad vinculado a la relevancia que de hacer especial énfasis en cómo
y evolución de la gestión de riesgos se le ha otorgado a la relación luego éste debe ser comunicado
en la región. Algunos de estos de la gestión de riesgos como a las partes interesadas para
elementos se evidencian a través de: elemento de competitividad y ser utilizado en la valoración de
sostenibilidad, dos conceptos riesgos. Es de particular interés
• Un mayor número de primordialmente estratégicos. el estudio de tendencias y de
organizaciones han iniciado riesgos emergentes como parte del
el desarrollo de la gestión de • Un robustecimiento de las establecimiento de contexto.
riesgos empresarial, lo que se estructuras organizacionales en
muestra en la disminución de las • Un fortalecimiento de la
gestión de riesgos a través de una
proporciones en la categoría de comunicación e interiorización
mayor adopción de la figura de
“No desarrollado” y un aumento de los roles y responsabilidades
Líderes Funcionales en Gestión de
en las categorías de mayor en gestión de riesgos, ya que
desarrollo e implementación.
• Una mayor formalización

de la gestión de riesgos, sus
políticas, procesos y roles y
responsabilidades, evidenciada
en la mayor implementación del
manual de gestión de riesgos (52%
en 2016 vs. 36% en 2015).
• Una mayor utilización de métodos

semi-cuantitativos para la etapa
de análisis de riesgos, lo cual está
orientado hacia una estimación
más certera de la probabilidad e
impacto de riesgos. Esto da como
resultado información más precisa
para la toma de decisiones.
• Una mayor utilización de

indicadores de riesgos clave
(KRI) en la etapa de monitoreo y
2 Marsh
la categoría “En Desacuerdo” decisiones en los diferentes niveles y definida por la organización, así
aumentó de 11% a 20%. Lo áreas de la organización. como la toma de decisiones a este
anterior tiene consecuencias en nivel.
la efectividad de los mecanismos En línea con lo anterior, los
de comunicación, su frecuencia conceptos de capacidad de retención
y forma de llegar a las audiencias y de tolerancia al riesgo parecen CULTURA DE GESTIÓN DE
meta, y el rol del liderazgo frente estar incipientes en Latinoamérica: RIESGOS
a la asimilación de la gestión de únicamente una de cada cinco Las organizaciones latinoamericanas
riesgos como parte del día a día. empresas ha realizado ejercicios aún se encuentran de manera
para su estimación, mientras que mayoritaria en una etapa de
dos de cada cinco han incursionado desarrollo, planeación o formulación
DEFINICIÓN DE APETITO (parcialmente) estos con estos de la cultura de riesgos (con
DE RIESGOS conceptos. un 42% de la muestra en esa
Esta investigación encontró que Adicionalmente, para las empresas categoría). En el nivel más alto de
son pocas las organizaciones que donde sí se ha definido y/o estimado evolución de la cultura, donde ésta
han evolucionado en términos el apetito de riesgo, las áreas que ha sido desarrollada, divulgada,
del entendimiento completo del participan en su definición están interiorizada y arraigada en todos
concepto de apetito de riesgos mayoritariamente compuestas por los niveles de la organización,
y que adicionalmente cuentan la alta dirección, en casi un tercio convirtiéndose en parte del día a
con claridad sobre los métodos de la muestra, al cual le sigue la día, sólo se encuentra un 16% de la
para su estimación y utilidad. Lo participación del área de riesgos en muestra; le sigue casi un tercio de
anterior se debe a que la mayoría de un 27% y finanzas con un 24%. La la muestra, donde la cultura ya ha
organizaciones, representadas por participación del área de estrategia sido desarrollada y comunicada,
un 46% de la muestra, se encuentran aún no es importante en la definición pero no se ha logrado una real
en este estado de madurez frente del apetito de riesgos, lo cual indica interiorización de la misma. Es así
al concepto, el cual aún no ha sido una desconexión frente al concepto como se identifican importantes
ampliado para su utilización en el y/o frente a las implicaciones de brechas por cubrir frente al
proceso de toma de decisiones. Sólo contar con un apetito de riesgos desarrollo de cultura en gestión de
para un 12% de las organizaciones determinado para la toma de riesgos, la cual se encuentra en un
se han definido políticas para decisiones estratégicas. Lo anterior estado incipiente.
comunicar y utilizar el apetito de se debe a que el apetito de riesgos
riesgos estimado para la toma de debe estar alineado con la estrategia

GESTIÓN DE CRISIS no se encuentra en operación. con el Plan de Continuidad de

Finalmente en cerca de un Negocio en completa operación.
• Más de la mitad de las tercio de la muestra el Plan se Lo anterior quiere decir que
organizaciones (53%) ha definido encuentra en desarrollo. A pesar sólo el 13% de las empresas
señales tempranas, detonantes o de lo anterior, una en cada cuatro cuenta con una implementación,
criterios de escalonamiento, que empresas latinoamericanas no documentación y pruebas de
podrían discernir las situaciones cuentan con un Plan de Manejo de su Plan de Continuidad de
que pueden desencadenar una Crisis. Negocio, situación que refleja
crisis, lo que indica un nivel una importante brecha para la
intermedio de preparación frente CONTINUIDAD DE resiliencia de las empresas de la
a situaciones de crisis. región.
NEGOCIO
• Más del 60% de las organizaciones • 23% de las empresas • El Plan de recuperación de
latinoamericanas cuentan con latinoamericanas cuenta con Desastres o DRP no existe en cerca
equipos de trabajo articulados un Sistema de Gestión de del 40% de los casos, y en 22% de
para responder ante una crisis. Continuidad de negocio en las organizaciones se encuentra
operación, donde los elementos en desarrollo. Sólo en una de cada
• Una de cada cuatro empresas que lo componen se encuentran cinco empresas el DRP cuenta
no cuenta con un comité de claramente definidos. No obstante con un data center alterno, se
manejo de crisis, con roles y lo anterior, existe un gran número encuentra en operación y está
responsabilidades definidos. En de organizaciones (33%) en donde documentado y probado. En este
igual proporción este comité ya el sistema no existe. sentido existe mucho campo de
se ha diseñado y desarrollado y mejora para las organizaciones de
se encuentra en operación, lo que • El 48% de las empresas en Latinoamérica.
sugiere la necesidad de mayor Latinoamérica no cuenta con un
formalización. Plan de Continuidad de Negocio; • Con respecto al Análisis de
una de cada cuatro se encuentra Impacto al Negocio, más
• La mayoría (62%) de desarrollándolo; 13% cuenta de la mitad de las empresas
organizaciones latinoamericanas con éste diseñado y 13% cuenta latinoamericanas no ha
han definido voceros oficiales
en caso de crisis. Sin embargo,
solamente el 38% de éstas
entrena periódicamente a estas
personas, lo cual puede significar
que las competencias necesarias
para dirigirse a las diferentes
audiencias en un estado de crisis,
no se encuentren alineadas con lo
que la organización espera de estas
figuras.
• En gran medida, las

organizaciones latinoamericanas
(50%) han adoptado la buena
práctica de repasar y mejorar
gestión con base en lecciones
aprendidas, a pesar de que aún
falta que más organizaciones
implementen esta práctica.
• Cerca de una en cada cuatro

organizaciones latinoamericanas
manifiesta que su Plan de
Manejo de Crisis se encuentra
en operación; una de cada cinco
tiene un plan diseñado, pero aún
4 Marsh
desarrollado este análisis, un ésta ya ha sido diseñado, pero no de un 13% en donde estos no son
12% lo ha desarrollado sin una puesto en marcha, finalmente gestionados.
posterior revisión, un 22% lo también existe un número
revisa cada año y 12% lo revisa significativo de organizaciones • Con respecto a los controles de
con una periodicidad mayor a que ya cuenta con su programa Ciberseguridad, la mayoría de las
un año. Se puede llegar a inferir de ciberseguridad en operación empresas latinoamericanas los
que las actualizaciones del BIA (27%). Sin embargo, en cerca de han calificado y clasificado (39%).
deben realizarse con mayor una de cada cinco organizaciones, Sin embargo, existe un 27% de
frecuencia para mantener al día este programa no existe y el real casos en los que los controles no
las capacidades de respuesta ante reto es ponerse al día frente a se califican, seguidos de un 13%
interrupciones de negocio. las amenazas de un mundo en en donde no se cuenta con el paso
constante actividad cibernética. inicial de identificarlos. Solamente
• La gestión de Continuidad de un 18% cuenta con un programa
la Cadena de Suministro es aún • Frente a políticas de de fortalecimiento de los controles
incipiente en la región: 53% de ciberseguridad y en términos basado en su calificación y
las empresas no cuentan con un organizacionales, las empresas priorización.
Plan de Continuidad de la Cadena latinoamericanas han establecido
de Suministro. En un cuarto de la políticas que se encuentran en • Dos de cada cinco organizaciones
muestra, este plan se encuentra en operación en un 35% de los casos, se encuentran “Sensibilizadas”
desarrollo, en un 11% se encuentra al que le sigue un 31% de casos frente a la gestión de ataques
planteado y no puesto en marcha en los que se encuentran en cibernéticos, el cual es un
y sólo en un 9% se encuentra en desarrollo y un 16% donde ya han paso inicial frente al estado de
operación completa. sido diseñadas, pero no han sido preparación ideal. A este le sigue
puestas en marcha aún. un 21% en donde se encuentran
RIESGO CIBERNÉTICO entrenadas con respecto a este
• La mayoría de las organizaciones tema. Solamente un 23% se
• Existe un grado de desarrollo latinoamericanas gestionan encuentra realmente preparada,
interesante de la ciberseguridad sus incidentes de seguridad lo que involucra haber entrenado
en Latinoamérica, muy en línea cibernética de acuerdo con y realizado pruebas para
con la creciente relevancia de procedimientos formalizados medir efectivamente el grado
amenazas cibernéticas a nivel (47%). Sin embargo, existe una de preparación ante ataques
mundial: La mayoría de empresas proporción significativa del cibernéticos.
de la región se encuentran 39% de los casos, en donde estos
desarrollando su programa de incidentes se gestionan sin seguir
ciberseguridad (32%); en un 12% procedimientos formales, seguido

330 Empresas participaron
en el estudio
INFORMACIÓN DEMOGRÁFICA LA GESTIÓN DE RIESGOS

Los resultados de este estudio están basados en las respuestas de 330 encuestas realizadas a través de un cuestionario en línea
entre mayo y julio de 2016 que contó con la participación de más de 10 países de la región y 10 sectores económicos.
Distribución por Industria

2% Agricultura y Pesca
6% Alimentos y Bebidas
Ventas al por Mayor / 6%
Menor 1% Ciencias de la vida
(Laboratorios Farmacéuticos)
Transportes 3%
3% Comunicaciones, Medios y
Servicios Profesionales 4% Tecnología
Otros Servicios 7% 7% Construcción e Infraestructura
2% Educación
Otros 6%
Minería, Metales y 5% Energía (Oil & Gas / Hidrocarburos)
4%
Minerales 7% Energía y Servicios Públicos
Instituciones Financieras 12% (Generación,transmisión y
comercialización)
Instituciones de Salud 2%
2% Entidades Públicas y sin
Industria Química 3% ánimo de lucro
2% Forestal y Productos de Madera
15% Industria Manufacturera
Distribución por Número de Empleados Distribución por facturación anual

0-10 2% X < USD 1 millón 8%
11 - 50 5% USD 1 millón < X

< USD 5 millones 6%
51- 100 7% USD 5 millones < X
< USD 50 millones 22%
101- 1000 42%
USD 50 millones < X
26% < USD 500 millones 36%
1001-5000
>5001 17% USD 500 millones < X 25%
0% 10% 20% 30% 40% 50% 0% 10% 20% 30% 36%
Distribución por país
Uruguay 2%
República Dominicana 8%
8% Argentina
Puerto Rico 3%
10% Brasil
Perú 16%
5% Chile
Panamá 2%
36% Colombia
Otro 2%
México 9%
6 Marsh
Multinacional / Local
Multinacional de origen
extranjero o sucursal de 20%
empresa del exterior. Empresa
de origen extranjero con
Local / Nacional: Empresa
presencia en el país. 50% de origen nacional, sólo con
presencia local
Multinacional de origen
nacional (Outbound). 48%
Empresa de origen nacional,
con presencia en otros países
Presencia por país si es Multinacional

Perú
Otros Países
Chile
Argentina
Colombia
Brasil
México
Ecuador
Panamá
Uruguay
República
Dominicana
Venezuela
Guatemala
Costa Rica
Bolivia
El Salvador
Paraguay
Puerto Rico
Honduras
Nicaragua
Haití
Cuba
0 10 20 30 40 50 60 70 80
Presencia Oficina Principal

31%
de las empresas cuenta con
una implementación total de la
gestión de riesgos
EVOLUCIÓN DE LA GESTIÓN DE RIESGOS
¿Tiene su empresa estructurado un Sistema de Gestión de Riesgos?
Totalmente 31%
31%
implementado
Poco implementado 24%
27%
Desarrollado y 6% 2015
7%
no implementado 2016
Poco desarrollado 24%
27%
No desarrollado 16%
8%
0% 5% 10% 15% 20% 25% 30% 35%
La mayoría de las organizaciones y un aumento en las categorías de en un nivel de alto desarrollo frente a
participantes cuentan con un mayor desarrollo e implementación, la gestión de riesgos.
Sistema de Gestión de Riesgos lo que podría significar que cada vez
La mayoría de las organizaciones más empresas han dado inicio al
participantes cuentan con un desarrollo de la gestión de riesgos
Sistema de Gestión de Riesgos empresarial. Al analizar este aspecto
totalmente implementado, por sector económico se observa una
manteniendo las proporciones de clara tendencia de las instituciones
la medición anterior (2015). Sin financieras, entidades públicas y sin
embargo, se observa una tendencia a ánimo de lucro, energía y servicios
la disminución de las proporciones público, comunicaciones, medios y
en la categoría de “No desarrollado” tecnología y ciencias de la vida a estar
8 Marsh
¿Tiene su empresa estructurado un Sistema de Gestión de Riesgos? - Por sector
Totalmente
implementado
Total general
Ventas al por Mayor / Menor
Transportes
Servicios Profesionales
Poco implementado Otros Servicios
Otros
Minería, Metales y Minerales
Instituciones Financieras
Instituciones de Salud
Industria Química
Industria Manufacturera
Desarrollado y no
Forestal y Productos de Madera
implementado
Entidades Públicas y sin ánimo de lucro
Energía y Servicios Públicos (Generación,
transmisión y comercialización)
Energía (Oil & Gas / Hidrocarburos)
Educación
Construcción e Infraestructura
Comunicaciones, Medios y Tecnología
Poco desarrollado
Ciencias de la vida (Laboratorios Farmacéuticos)
Alimentos y Bebidas
Agricultura y Pesca
No desarrollado
0% 50% 100%

52%
de las empresas cuenta
2o BENCHMARK EN GESTIÓN DE RIESGOS EN LATINOAMÉRICA Octubre 2016 con un Manual de
Gestión de Riesgos
Más de la mitad de las empresas

¿Cuenta la empresa con un Manual de Gestión de Riesgos? cuentan con un manual de gestión
de riesgos, lo que indica una
tendencia a una mayor formalización
2016 y documentación de la gestión
52% 48% de riesgos en la región, frente a la
medición del año pasado. Por sector,
25% 38% se puede observar un mayor nivel de
formalidad de la gestión de riesgos
No
en los sectores de instituciones
Sí financieras, entidades públicas y sin
2015 ánimo de lucro, energía (oil & gas /
NS /NR hidrocarburos) y comunicaciones,
medios y tecnología, donde
36% típicamente existe mayor regulación
y obligatoriedad a formalizar la
gestión de riesgos, en contraposición
a los sectores de servicios
profesionales, educación y alimentos
y bebidas donde se encuentra una
¿Cuenta la empresa con un Manual de Gestión de Riesgos?– Por Sector

Transportes
Otros Servicios
Otros
Sí
Industria Química
Energía y Servicios Públicos
(Generación, transmisión y comercialización)

Educación
No
Alimentos y Bebidas
Agricultura y Pesca
0% 50% 100%
10 Marsh
1 de 4 empresas ha adoptado
indicadores de riesgos clave 2o BENCHMARK EN GESTIÓN DE RIESGOS EN LATINOAMÉRICA Octubre 2016
¿Cuenta la empresa con un Manual de Gestión de Riesgos?– por País
Uruguay
Sí República Dominicana
Puerto Rico
Perú
Panamá
Otro
México
Colombia
Chile
No
Brasil
Argentina
0% 20% 40% 60% 80% 100%
oportunidad de mejora frente a

dicha formalización mediante la
estructuración de un manual de
gestión de riesgos.
¿Qué tipo de análisis de riesgos se realiza en su organización?
En el análisis por país, Brasil,
Argentina, México, Colombia,
80%
Puerto Rico y Uruguay muestran
un mayor nivel de formalidad al 70% 68%
contar mayoritariamente con 58%
manual de gestión de riesgo. 60%
Comparativamente, Panamá y
Chile muestran una brecha frente 50%
a la formalización analizada, donde
40%
se deduce una necesidad de mayor
consolidación de la gestión de riesgos 30%
a través de la documentación típica: 22%
manuales, protocolos, definición 20%
de procesos y responsabilidades,
10% 8%
políticas, entre otros.
3%
0%
La mayoría de las empresas Análisis Análisis Análisis Otro N/A
latinoamericanas han adoptado un Cuantitativo Cualitativo Semicuantitativo
enfoque de análisis cualitativo, que,
comparado con la medición del año
anterior, mantiene su proporción.

Sin embargo, una proporción mayor

de empresas han empezado a adoptar ¿Se cuenta con indicadores de Gestión de Riesgos
el análisis semi-cuantitativo, lo Key Risk Indicators - (KRI)?
que puede indicar que existe una
preferencia por adoptar análisis más
profundos de valoración de riesgos.
Estos análisis con enfoque semi
cuantitativo o cuantitativo, pueden
estar dirigidos hacia una estimación 2016
más certera de la probabilidad e
25% 44%
impacto de riesgos, y que como
resultado logran aportar información 24% 32%
más precisa para la toma de No
decisiones. Parcialmente
2015
En línea con una mayor Sí
formalización y con la adopción NS/NR
de enfoques más cuantitativos, 17% 27%
las empresas latinoamericanas
muestran una tendencia positiva
frente a la adopción de indicadores 31%
clave de riesgos, dada una mayor
proporción de empresas (25%) que
ha implementado la utilización de
estos instrumentos de medición,
sumada a una porción significativa
¿Se cuenta con indicadores de Gestión de Riesgos Key Risk Indicators - (KRI)? - Por Sector

Transportes
Sí Servicios Profesionales
Otros Servicios
Otros
Industria Química
Parcialmente
No
Educación
0% 50% 100%
12 Marsh
¿Se cuenta con indicadores de Gestión de Riesgos Key Risk Indicators - (KRI)? - por País
Sí Uruguay
República Dominicana
Puerto Rico
Perú
Panamá
Parcialmente Otro
México
Colombia
Chile
Brasil
Argentina
No
0% 50% 100%
(31%) que ha llegado a una financieras, forestal y productos de países (principalmente Venezuela
implementación parcial. Frente madera, y para ciencias de la vida y Bolivia dentro de “otros”), se
a la medición del año anterior, se (laboratorios farmacéuticos), los encuentran comparativamente en
muestra una tendencia positiva, cuales sí cuentan con indicadores un nivel incipiente de desarrollo
al encontrar proporciones que se como instrumento de apoyo al de indicadores clave de riesgos
han orientado hacia un monitoreo monitoreo de gestión de riesgos. Los (KRI). Los demás países muestran
de riesgos más tangible y robusto, sectores menos desarrollados en este una distribución homogénea en
o al menos sustentable a través de aspecto son servicios profesionales, las 3 categorías, donde se puede
indicadores. la industria manufacturera, el deducir que si bien aún tienen
sector educativo, la industria proporciones en las que no se han
Al analizar la existencia de química, la agricultura o pesca y desarrollado indicadores, ya se ha
indicadores clave de riesgos (KRI) las entidades públicas o sin ánimo iniciado con su implementación, o en
por sector, se marca una clara de lucro. Frente al mismo análisis, algunos casos ya se cuenta con una
diferencia para las instituciones Uruguay, Panamá, Chile y otros implementación total.
Desarrollo y Efectividad de las etapas del Proceso de Gestión de Riesgos

Identificación
40% 2015 2016

32% 34%
27% 28%
30%
21% 20%
20% 13% 11%
10% 9% 7%
0%
1 2 3 4 5

Análisis
40% 2015 2016 35%

35% 33%
30% 28%
25% 21% 20%
20% 14% 15%
15% 10% 13%
10%
10%
5%
0%
1 2 3 4 5
Evaluación
2015 2016
35% 29% 29% 31%
30% 27%
25% 20%
20% 16% 14%
15%
14%
10% 10%
10%
5%
0%
1 2 3 4 5
Tratamiento
2015 2016
35% 32% 30%
30% 26% 28%
25% 20%
20% 16% 15%
12% 11% 11%
15%
10%
0%
1 2 3 4 5
Revisión y Monitoreo
2015 2016
30% 28% 28%
25% 23% 25%
20% 20%
20%
15% 16%
15% 13% 12%
10%
5%
0%
1 2 3 4 5
Comunicación y Consulta
2015 2016
30% 27% 28% 26%
25% 22% 20% 20% 21%
20% 16%
15%
10% 9%
10%
5%
0%
1 2 3 4 5
14 Marsh
En materia de la calificación de latinoamericanas el tratamiento, clave, las tendencias que tienen

“Desarrollo y Efectividad” de las monitoreo y comunicación y impacto en los objetivos de la
etapas del Proceso de Gestión De consulta de los riesgos? ¿Cómo organización, los riesgos emergentes
Riesgos, se mantiene el mismo se puede mejorar esta postura y las relaciones con las partes
comportamiento evaluado el año frente a los procesos que aseguran, involucradas (stakeholders) externas
pasado, donde para las empresas consolidan y vuelven tangibles los y sus percepciones y valores. El
latinoamericanas ya se ha logrado un beneficios de la aplicación de la contexto interno define el ambiente
cierto nivel de madurez en las etapas gestión de riesgos? interno en el cual la organización
iniciales del proceso, comprendidas busca alcanzar sus objetivos, lo cual
en la fase denominada “Valoración Este año se realizó una pregunta implica, entre otros: identificar
de Riesgos”, la cual incluye los adicional, cuyo propósito es medir el esquema de gobernabilidad,
pasos de identificación, análisis y el paso de “Establecimiento del estructura de la organización,
evaluación de riesgos. Sin embargo, Contexto” en el mismo sentido que funciones y responsabilidades,
se encuentran oportunidades de los pasos anteriormente evaluados. capacidades (recursos y
mejora para las etapas posteriores, El contexto del proceso de gestión conocimientos), las relaciones con
es decir “Tratamiento”, “Monitoreo del riesgo establece los objetivos, las partes involucradas internas y
y Revisión” y “Comunicación y estrategias, alcance y parámetros sus percepciones y valores, sistemas
Consulta”, que son aquellas que de las actividades o partes de la y flujos de información, procesos
consolidan a la gestión de riesgos organización en donde se aplica el de toma de decisiones, normas,
como una verdadera herramienta proceso de gestión del riesgo, así directrices y modelos adoptados por
de gestión, que apalanca procesos como también la identificación del la organización y forma y extensión
de transformación cultural y que contexto tanto interno como externo. de las relaciones contractuales.
aportan en la consecución del El contexto externo es el ambiente Adicionalmente, en la etapa de
cumplimiento de los objetivos externo en el cual la organización definición de contexto es donde la
organizacionales. En este punto es busca alcanzar sus objetivos. Aquí se organización define sus escalas de
importante preguntarnos, ¿qué tipo incluye el ambiente social y cultural, valoración de riesgos su apetito y
de estrategias serían las adecuadas político, legal, reglamentario, niveles de aceptabilidad del riesgo,
para llevar a los pasos posteriores financiero, tecnológico, económico, así como sus niveles de tolerancia al
a la “Valoración de riesgos” a un natural y competitivo, bien sea mismo.
mayor estado de madurez? ¿Cómo internacional, nacional, regional
están promoviendo las empresas o local; también los impulsores
Desarrollo y Efectividad de las etapas del Proceso de Gestión de Riesgos

Definición del Contexto
35% 33%
30%
25%
25%
20% 19%
15%
11% 12%
10%
5%
0%
1 2 3 4 5

Dentro del proceso de planeación estratégica, está involucrada la Gestión de Riesgos
Totalmente en
4%
Desacuerdo
7%
10%
En Desacuerdo
11%
Ni de acuerdo ni 22%
en desacuerdo 23%
47%
De Acuerdo
38%
Totalmente de 17%
Acuerdo 21%
0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50%

2016 2015
A pesar de obtener una calificación

alta (19% en “5” y 33% en “4”), es
notoria la diferencia que existe
entre el menor nivel en la más alta
calificación y la segunda, además
de contar con una de cada cuatro
empresas que lo califica con “3” y
cerca de esta misma proporción en
la combinación de las calificaciones
inferiores (“1” y “2”). Lo anterior
supone que aún existen muchas
oportunidades de mejora en la
definición del contexto, tales como
una buena preparación previa
del contexto externo e interno,
particularmente frente a la
identificación de nuevas tendencias
y de riesgos emergentes, la necesidad
de mayor meticulosidad para la
preparación del contexto, de hacer
énfasis en cómo éste es comunicado
a las partes interesadas y cómo
es posteriormente utilizado en la
valoración. La relevancia que cobra
este punto es significativa, teniendo
en cuenta que es el punto de partida
del proceso de gestión de riesgos
donde se realiza toda la preparación
necesaria para realizar una adecuada
valoración y posterior tratamiento y
monitoreo.
16 Marsh
Las responsabilidades en Gestión de Riesgos han sido comunicadas, interiorizadas y hacen parte
del día a día de los gerentes / directivos y colegas en toda la organización, en donde se tiene
claridad sobre qué es un riesgo aceptable e inaceptable.
2%
Totalmente en
9%
Desacuerdo
En Desacuerdo 20%
11%
24%
Ni de acuerdo ni
23%
en desacuerdo
42%
De Acuerdo
34%
Totalmente de 11%
Acuerdo 23%
0% 5% 10% 15% 20% 25% 30% 35% 40% 45%

2016 2015
Un concepto que es cada vez Como especial reflexión, muchas Otro factor que incide sobre la
más reiterativo y que representa veces una exitosa interacción entre adopción de la gestión de riesgos,
un cambio significativo en el estas dos áreas incide positivamente de su nivel de efectividad y de la
posicionamiento de la gestión sobre la percepción de generación de percepción que se tiene sobre
de riesgos en la organización, valor de la gestión de riesgos. En este ésta como elemento que genera
es la interacción entre ésta área sentido, el estudio ha encontrado que valor, es el grado en el que las
y la planeación estratégica. las organizaciones latinoamericanas responsabilidades en gestión de
Al ser aplicados de manera han aumentado la interacción entre riesgos hayan sido comunicadas,
complementaria, estos dos procesos el área de riesgos y su planeación interiorizadas por todos los
que se retroalimentan mutuamente estratégica, dado que la sumatoria colaboradores, quienes asimilen
aportan una visión más integral de las dos primeras calificaciones la gestión de riesgos como parte
sobre la planeación estratégica, lo es mayor este año que para el año del día a día. Frente a la medición
que permite hallar sinergias, realizar anterior (64% para 2016 vs. 59% en del año anterior, aunque la
trabajo colaborativo y en general el 2015). muestra participante refleja una
elevar el nivel de la gestión de riesgos. disminución en la categoría más alta
(“Totalmente de acuerdo”) frente a
Se cuenta con líderes de Gestión de la asimilación de responsabilidades,
Riesgos por Áreas o Procesos. se observa una proporción similar
de la muestra en las dos categorías
superiores en la evaluación de los
49% 51%
dos años (2015: 57% y 2016: 53%).
2016 Sin embargo, la categoría “En
25% 43%
Desacuerdo” aumentó de 11% a
No 20%, lo que refleja una necesidad
de mecanismos más efectivos para
2015 Sí transmitir las responsabilidades,
NS /NR cambiar la actitud de la organización
y sus colaboradores frente al
31% riesgo y volverlo parte de la rutina
organizacional.

49%
de las empresas cuenta
con líderes funcionales
de gestión de riesgos
Casi la mitad de las empresas cuenta • Facilitar el cumplimiento de la • Actuar como un ente
con líderes funcionales en gestión política y manual de la gestión de transformador de la cultura de
de riesgos, mostrando una tendencia riesgos en su área o proceso. gestión de riesgos en su área y
positiva frente al año anterior. Este reportar sobre los avances al área
mecanismo de robustecimiento de • Retroalimentar al área de gestión de gestión de riesgos
las estructuras organizacionales de Riesgos acerca del desarrollo de
de gestión de riesgos permite una la gestión de riesgos en su área. • Identificar oportunidades de
mayor delegación de tareas y un aplicación de la gestión de riesgos.
segundo nivel de personas que • Apoyar en los talleres de Es decir, apoyar en la aplicación de
facilitan y coordinan la gestión, y identificación, valoración, la metodología a proyectos nuevos,
comunican y reportan al área de tratamiento de riesgos, procesos que han cambiado,
gestión de riesgos los avances, que capacitaciones, difusiones, etc. nuevas líneas de productos o
luego son procesados, consolidados servicios, oportunidades de
y reportados a alta gerencia. • Monitorear y gestionar los fusiones o adquisiciones.
Usualmente, y como prácticas mapas de riesgos y controles del
usuales de mercado, se observa que área, incluyendo sus procesos y • Cuestionar los planes de
estos líderes están a cargo de: proyectos. tratamiento y abogar por la mejora
continua, encontrar sinergias y
actuar sobre lecciones aprendidas.
¿Cuenta su empresa con una Cautiva como

complemento de su Gestión de Riesgos?
66 No
33 Sí
1 NS /NR
Si su empresa no cuenta con una Cautiva,¿ha analizado o estaría dispuesta

su empresa a analizar este mecanismo?
41 No
57 Sí
1 NS /NR
18 Marsh
¿Qué nivel de madurez tiene su organización frente al concepto de Apetito de Riesgo?
Se han definido políticas para comunicar y utilizar el apetito 12%

de riesgo estimado para la toma de decisiones en los
diferentes niveles y áreas de la organización
Se ha definido y documentado el concepto y 11%

se cuenta con una metodología para su estimación
Se ha definido clara y formalmente y se ha documentado 13%

en manuales de riesgo o documentos respectivos
Se conoce el concepto, pero no son claros sus métodos 46%

de estimación y utilidad
No se tiene conocimiento sobre este concepto 18%
0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50%
Una cautiva es un vehículo de empresas buscan eficiencias en estos cautiva, el 57% estarían dispuestos
seguros o reaseguros creado por métodos de transferencia alternativa a analizar el mecanismo, en
una organización para manejar, de riesgos, cuando ya se cuenta con contraposición un poco más de dos
financiar, retener y asegurar sus un cierto nivel de madurez frente a quintas partes de la muestra no están
riesgos. Usualmente, el contar los conceptos de inversión en gestión interesados. Lo anterior muestra que
con una cautiva o contemplar su de riesgos, apetito, tolerancia y si bien no hay un comportamiento
estructuración, implica un cierto exposición a riesgos. completamente abierto a analizar
nivel de madurez frente a la gestión este mecanismo de transferencia
del tratamiento del riesgo, ya que En esta medición se observa alternativa de riesgos, las cifras
requiere que la organización tenga que la mayoría de empresas muestran una actitud positiva a
claros sus costos de transferir, latinoamericanas que participaron incursionar en el campo de cautivas,
retener, administrar y controlar en el estudio no cuentan con una o al menos a analizar otras formas de
los riesgos, así como también su cautiva como instrumento de transferir, financiar o tratar el riesgo,
historia siniestral para ajustar y retención de riesgos, mientras que diferentes a las tradicionalmente
modelar de manera cuantitativa un tercio de la muestra sí cuenta con utilizadas.
el comportamiento del impacto este mecanismo. Adicionalmente, de
y probabilidad de sus riesgos. Las las empresas que no cuentan con una

En línea con lo anterior, al medir en 18% de las compañías participantes riesgos en un 27%, y finanzas con
qué nivel de madurez se encuentran no conocen el concepto, y por tanto un 24%. Llama la atención que el
las organizaciones latinoamericanas se encuentran en un nivel en donde área de estrategia no toma un rol
con respecto al concepto de apetito la gestión de riesgos no está siendo predominante en la definición del
de riesgo, el estudio encontró que aprovechada al máximo como apetito de riesgos, lo cual indica
casi la mitad de las organizaciones insumo para la toma de decisiones. una desconexión frente al concepto
participantes conoce el concepto, y/o frente a las implicaciones de
pero no tiene claros los métodos de Para las empresas donde sí se ha contar con un apetito de riesgos
estimación y su respectiva utilidad. definido y/o estimado el apetito de determinado. Lo anterior se debe a
Son pocas las organizaciones que han riesgo, las áreas que participan en su que el apetito de riesgos debe estar
evolucionado en este sentido para definición están mayoritariamente alineado con la estrategia definida
ampliar la utilización del concepto compuestas por la alta dirección en por la organización, así como la toma
de apetito de riesgos en la toma de casi un tercio de la muestra, al cual de decisiones estratégicas.
decisiones. Llama la atención que un le sigue la participación del área de
¿Qué áreas participan de la definición y/o estimación del Apetito de Riesgo?
35%
32%
30% 27%
25% 24%
20%
15% 14%
10%
5% 4%
0%
Riesgos Finanzas Estrategia Alta Dirección Otro
¿Se han realizado ejercicios de estimación de la Tolerancia o de la Capacidad de

Retención de Riesgos en su organización?
20% 37%
No
Parcialmente
Sí
43%
20 Marsh
Los conceptos de capacidad de retención

¿Se lleva un registro de eventos materializados y de tolerancia al riesgo parecen estar
en Gestión de Riesgos? incipientes en Latinoamérica: únicamente
una de cada cinco empresas ha realizado
ejercicios para su estimación, mientras
que dos de cada cinco han incursionado
38% 23% (parcialmente) estos con estos conceptos.
Conocer la capacidad de retención
No y tolerancia al riesgo le ayuda a una
organización a conocer sus límites o
Parcialmente umbrales frente a los cuales podría retener
riesgos sin desestabilizar sus estados
Sí
financieros. En este orden de ideas,
cuantificar la capacidad de retención puede
39% ayudar a la organización a delimitar o
redefinir sus deducibles con el objeto de
encontrar eficiencias en la contratación de
su programa de seguros.
¿Se lleva un registro de eventos materializados en Gestión de Riesgos? - Por Sector

Transportes
Sí Servicios Profesionales
Otros Servicios
Otros
Industria Química
Parcialmente Forestal y Productos de Madera
Energía y Servicios Públicos (Generación, transmisión y
comercialización)

Educación
No
Alimentos y Bebidas
Agricultura y Pesca
0% 50% 100% 150%

Una de las prácticas de mercado que a riesgos asegurables. Lo anterior, reputacionales, legales, estratégicos
las empresas latinoamericanas están ya que con la aseguradora se ha o similares, es significativamente
poniendo en marcha cada vez con mantenido un historial de la más complejo que para los riesgos
más frecuencia, es el estudio de la siniestralidad que permite contar que ya han sido indemnizados por
materialización de los riesgos tanto con una trazabilidad fiable de la una aseguradora en un monto fijo.
asegurables como no asegurables, los data. Obtener la historicidad de la Realizando el análisis por sector, las
cuales usualmente son estudiados en materialización de los riesgos no instituciones financieras se destacan
comité de riesgos, de auditoría o en asegurables implica una mayor por contar con un registro de eventos
la junta directiva o directorio. Estos dificultad, ya que no es usual materializados, mientras que otros
estudios de riesgos se realizan por encontrar el registro de riesgos, sectores como el de transportes,
medio de modelación cuantitativa por ejemplo, reputacionales o instituciones de salud, sector
y estudios de tendencias, que les relacionados con competitividad, forestal y de productos de madera
permita obtener conclusiones mercado, demanda, investigación y y el sector de comunicaciones,
sobre su comportamiento. Lo desarrollo, o cualquier otro riesgo medios y tecnología muestran un
anterior permite anticiparse o de índole estratégica, los cuales son desarrollo parcial del registro de
tomar decisiones frente a planes de asegurables en casos muy puntuales. eventos materializados. Los sectores
tratamiento que deban aplicarse con Igualmente, dado que el registro de servicios profesionales, otros
premura. Es importante mencionar del riesgo se debe hacer junto con el servicios y agricultura y pesca, aún
que los datos sobre materialización impacto que tuvo, así como una fecha no cuentan con desarrollos frente a
de riesgos que más fácilmente se de materialización, la cuantificación este tema.
obtienen, son aquellos relacionados o estimación del impacto de riesgos
La junta directiva de la organización está vinculada con la Gestión de Riesgos de la Organización.
0%
NS / NR 25% 2016 2015
Totalmente en 4%
Desacuerdo 7%
10%
En Desacuerdo 8%
en desacuerdo 18%
De Acuerdo 46%
25%
Totalmente de 19%
Acuerdo 17%
0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50%
22 Marsh
La junta directiva de la organización está vinculada con la

Gestión de Riesgos de la Organización –Por País
Totalmente en
Desacuerdo
En desacuerdo
Uruguay
República Dominicana
Puerto Rico
Perú
Ni de acuerdo ni en Panamá
desacuerdo
Otro
México
Colombia
Chile
Brasil
De acuerdo
Argentina
Totalmente de
acuerdo
0% 20% 40% 60% 80% 100%
En cuanto al involucramiento el patrocinio, aval, proyección y importante por recorrer frente

de la junta directiva o directorio credibilidad de la gestión de riesgos al involucramiento de las juntas
con la gestión de riesgos, vemos al interior de la organización. directivas o directorios con la gestión
un desarrollo positivo frente a la de riesgos. En términos de sector,
medición anterior, dado que el 65% Al realizar el análisis por país, el aunque se identifica una tendencia
(“Totalmente de Acuerdo” + “de estudio ha encontrado que Panamá, a estar más en las calificaciones
Acuerdo”) de las organizaciones Chile y otros países (Bolivia y superiores, es destacable la
participantes ven una vinculación Venezuela) mayoritariamente se diferencia del sector Educación,
positiva, frente a un 42% de la encuentran en “Ni de acuerdo ni el cual no califica positivamente el
medición pasada. Lo anterior indica en desacuerdo”, lo cual implica involucramiento de junta / directorio
que, cada vez más, la gestión de una posición neutral frente a este con la gestión de riesgos.
riesgos está siendo elevada a nivel criterio y nos lleva a inferir que en
de junta / directorio, lo que aumenta estos países aún existe un trecho

La junta directiva de la organización está vinculada con la

Gestión de Riesgos de la Organización.- Por Sector
Totalmente en
Desacuerdo

Transportes
En Desacuerdo Otros Servicios

Otros
Industria Química
Ni de acuerdo ni en
desacuerdo Industria Manufacturera
De Acuerdo
Educación
Ciencias de la vida
(Laboratorios Farmacéuticos)
Alimentos y Bebidas
Totalmente de
Acuerdo Agricultura y Pesca
0% 20% 40% 60% 80%
24 Marsh
55%
de las organizaciones
cuenta con un mapa de
riesgos estratégicos
Frente a la existencia de un comité (51%). De lo anterior se puede manera holística, donde la gestión
de auditoría de junta directiva / concluir que la gestión estratégica estratégica se complementa con
directorio, el estudio ha encontrado de riesgos ha evolucionado de un la gestión de riesgos, lo que a su
que las proporciones de la medición año a otro, tendencia que puede ser vez permite encontrar sinergias
del año pasado están muy en línea sostenible a lo largo de varios años y un mayor apalancamiento en
con las de la presente medición, de medición. Lo anterior gracias a trabajo colaborativo. De lo anterior
en la que la mitad de las empresas la relevancia que se le ha otorgado podría deducirse que el personal
latinoamericanas cuentan con este a la relación de la gestión de riesgos especializado en gestión de riesgos
comité. como elemento de competitividad podría contar en un futuro con
y sostenibilidad, dos conceptos un mayor conocimiento y una
El 55% de las organizaciones primordialmente estratégicos. mayor especialización en el campo
cuenta con un mapa de riesgos Igualmente este crecimiento en el estratégico.
estratégicos, cifra que aumenta indicador se le puede atribuir a un
versus su medición del año pasado mayor valor percibido de trabajar de
¿En su organización se cuenta con un mapa de riesgos estratégicos?
55% 45%
2016
51% 49%
No
2015 Sí

La Cultura de Gestión de riesgos en su organización está:
NS / NR 2%
9%
No Existe
En Desarrollo / En etapa de planeación /Formulada 42%

No Existe
Desarrollada, planteada y comunicada pero aún no

31%
permeada o interiorizada en la organización
Desarrollada, divulgada, interiorizada y arraigada o

16%
permeada en todos los niveles de la
organización / hace parte del día a día
0% 5% 10% 15% 20% 25% 30% 35% 40% 45%
Como ya se ha venido mencionando riesgos, sino con elementos que

en este estudio, existen varios influyan en lo comportamental,
elementos que aportan a la en el liderazgo, en el día a día, en la
transformación cultural de la mentalidad de una organización y
organización hacia una más como ésta se mide a sí misma.
orientada a la gestión de riesgos.
En esta medición se realizó una Al realizar el análisis por país,
pregunta frente al estado de encontramos que los países
evolución de la cultura en gestión que cuentan con un diferencial
de riesgos, la cual arrojó que las importante entre las dos primeras
organizaciones aún se encuentran de categorías y las dos últimas son
manera mayoritaria en una etapa de Perú, Uruguay, Chile y otros
desarrollo, planeación o formulación países (primordialmente Bolivia
con un 42%. En el nivel más alto de y Venezuela), y por tanto se
evolución de la cultura, donde esta encuentran en un punto de
ha sido desarrollada, divulgada, desarrollo inferior en términos de
interiorizada y arraigada en todos cultura en gestión de riesgos en
los niveles de la organización, comparación de los demás países.
convirtiéndose en parte del día a Los demás países se encuentran en
día, sólo se encuentra un 16% de la el medio, con diferencias muy cortas
muestra, al que le sigue casi un tercio entre las dos primeras y las dos
de la muestra, donde la cultura ya últimas categorías, a excepción de
ha sido desarrollada y comunicada, Brasil y Panamá que cuenta con una
pero no se ha logrado una real diferencia del 23% y el 20% en este
interiorización de la misma. Estas sentido.
cifras nos llevan a inferir que en
términos de cultura de gestión de
riesgos existen muchas brechas por
cubrir, en donde el reto se encuentra
en lograr permear a la organización
en todos sus niveles, no solamente a
través de comunicación estructurada
y capacitación frente a gestión de
26 Marsh
La Cultura de Gestión de riesgos en su organización está: - Por País
No Existe
Uruguay
República
Dominicana
Puerto Rico
En Desarrollo / En etapa de Perú
planeación/Formulada
Panamá
Otro
México
Desarrollada, planteada y comunicada
pero aún no permeada o interiorizada Colombia
en la organización
Chile
Brasil
Desarrollada, divulgada, interiorizada Argentina

y arraigada o permeada en todos los
niveles de la organización / hace parte
del día a día
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
Para realmente medir la evolución

de la gestión de riesgos en las
empresas latinoamericanas,
recurrimos a la pregunta de
calificación general, donde se miden
el desarrollo e implementación
de la gestión de riesgos. A primera
vista, existen avances en las tres
primeras categorías con respecto
a la medición anterior, lo que
implica una evolución importante.
A pesar de que en la categoría
“Totalmente implementada”, el
avance es de dos puntos sobre
el anterior, existe en general un
mayor desarrollo e implementación,
por los incrementos en las dos
categorías siguientes: “Poco
implementada” y “Desarrollada y no
implementada”. Adicionalmente,
el estudio encuentra un mayor nivel
de desarrollo (“Poco desarrollada”
con 31%), indicando si bien en un

nivel incipiente a la estructuración Dominicana, México y Argentina.

de la gestión de riesgos en las Por otro lado, Chile, Panamá y
organizaciones latinoamericanas, Uruguay, al igual que “otros países”,
ya no se cuenta con niveles de total se encuentran por debajo de la media
desconocimiento frente al tema1. tanto este año como el pasado. Lo
anterior nos indica que si bien la
Frente al análisis por país, Brasil, región latinoamericana muestra
Perú y Puerto Rico se encuentran una tendencia positiva, indicativa
por encima del valor total para este de una evolución frente a la gestión
año en la categoría “Totalmente de riesgos, no en todas las geografías
Implementada”. Los países que es comprendida o asimilada de la
demuestran un comportamiento misma manera y por tanto su nivel
entre las medias de las mediciones de de desarrollo e implementación se ve
los dos años son Colombia, República afectado en este sentido.
Como calificación general, ¿Cómo evalúa usted el desarrollo e implementación de la

Gestión de Riesgos en su organización de 1 a 5?
16%
Totalmente implementada 18% 2015
2016
26%
Poco implementada 31%
7%
Desarrollada y no implementada 13%
21%
Poco desarrollada 32%
5%
No desarrollada 6%
0% 5% 10% 15% 20% 25% 30% 35%
Como calificación general, ¿Cómo califica usted el desarrollo e implementación de la

Gestión de Riesgos en su organización de 1 a 5? – Por País
Argentina
65%
Brasil
55% Chile
Colombia
45% México
Otro
35%
Panamá
25% Perú
Puerto Rico
15% República Dominicana
Uruguay
5%
Total 2016
0%
Total 2015
-5%
1. No 2. Poco 3. Desarrollada 4. Poco 5. Totalmente
desarrollada desarrollada y no implementada implementada
implementada
1
En la medición de 2015 se contaba con un 25% de empresas que contestaron NS/ NR: No sabe / No responde, versus un 0%
registrado en este estudio en 2016.
28 Marsh
GESTIÓN DE CRISIS
El siglo 21 ha traído numerosos de información a través las redes amenaza real para la existencia, la
retos tanto a la gestión de riesgos sociales y los nuevos retos que surgen supervivencia o la sostenibilidad de
como a la gestión de crisis, lo que a a causa de los riesgos emergentes las organizaciones.
su vez ha generado la necesidad de de la modernidad, tales como los
que estos dos campos evolucionen ataques cibernéticos o la falta Esta típicamente se hace cargo de:
y abarquen el alcance completo de capacidad para adaptarnos al
de una complejidad que crece de cambio climático, además de los • La identificación de amenazas
manera constante en el mundo conflictos geopolíticos y religiosos. potenciales.
interconectado de la actualidad. Estos cambios han hecho que sea
La siempre cambiante y creciente significativamente importante que el • La creación de protocolos eficaces
complejidad que se ha añadido nivel de profesionalización del gestor para controlar esos riesgos.
a la mezcla de elementos que un de riesgos / crisis se mantenga al día
gestor de crisis tiene que manejar, con el ritmo de cambio de nuestras • La creación de capacidades de
es el resultado de las crecientes sociedades modernas. respuesta.
interdependencias críticas, la
globalización, las cadenas de La gestión de crisis es el estudio de La gestión de crisis para las empresas
suministro globales y complejas, cómo hacer frente a las situaciones, latinoamericanas es medida aquí a
una mayor dependencia de la para las cuales es casi imposible través de su definición, su estado de
tecnología, la velocidad del flujo planificar y que representan una preparación, la existencia de equipos
¿Se han definido señales tempranas de situaciones que podrían desencadenar una Crisis?
Totalmente en 4%
Desacuerdo
En Desacuerdo 14%
en desacuerdo
De Acuerdo 43%
Totalmente de
10%
Acuerdo
0% 5% 10% 15% 20% 25% 30% 35% 40% 45%
¿Se cuenta con equipos de trabajo articulados para responder ante una Crisis?
Totalmente en Desacuerdo 4%
En Desacuerdo 13%
Ni de acuerdo ni en desacuerdo 22%
De Acuerdo 47%
Totalmente de Acuerdo 15%
0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50%

de respuesta a crisis, la definición latinoamericanas cuenten con toda (Nivel Oro - “Gold”), a nivel táctico
de roles y responsabilidades, certeza con un equipo articulado (Nivel Plata - “Silver”) y operacional
la existencia de voceros y su para responder ante crisis. De lo (Nivel Bronce - “Bronze”), quienes
preparación. anterior se puede deducir que si ante una crisis están a cargo
bien existe una buena calificación de definir, diseñar y entregar
En primer lugar, las empresas frente a este tema, existe una brecha respectivamente.
latinoamericanas muestran una importante por recorrer para las
preparación frente a la definición de empresas latinoamericanas frente Este estudio encontró que
señales tempranas de situaciones a la consolidación de capacidades una de cada cuatro empresas
que podrían desencadenar una crisis. de respuesta materializadas en latinoamericanas no cuenta con
Más de la mitad de la muestra (53%) la estructuración de un equipo un comité de manejo de crisis, con
revela un estado de preparación articulado para responder a crisis. roles y responsabilidades definidos,
para hacer frente a las crisis, por y, en igual proporción este comité
lo menos a través de la definición ya se ha diseñado y desarrollado
de señales tempranas, detonantes “Más del 60% de y se encuentra en operación.
o criterios de escalonamiento, que Adicionalmente, un 27% de la
podrían discernir las situaciones las empresas muestra indica que este comité está
que pueden desencadenar una crisis. en desarrollo y un poco más de la
Sin embargo, existe un 18% que latinoameri- quinta parte manifiesta que ésta
muestra un estado de no preparación ha sido diseñado, pero aún no se
frente al tema, al evaluarse en las canas cuentan encuentra en operación. Lo anterior
dos categorías más bajas de esta nos lleva a concluir que, si bien existe
pregunta, que, sumado a un 29% con equipos ar- un nivel de desarrollo de los comités
de empresas que se encuentran en de gestión de crisis y su respectiva
el punto neutral (“Ni de acuerdo ni ticulados para asignación de responsabilidades,
en desacuerdo”), muestra una real las empresas latinoamericanas se
holgura u oportunidad de mejora responder ante encuentran en un estado incipiente
frente a la preparación frente a las frente a este tema, lo cual representa
crisis. una Crisis” una oportunidad de mejora con el fin
de contar con estructuras robustas
En segunda instancia, más Al igual que contar con un equipo y definidas para responder ante una
del 60% de las organizaciones articulado para hacer frente a una crisis.
latinoamericanas cuentan con crisis, es importante estudiar si las
equipos de trabajo articulados empresas de la región cuentan con Uno de los elementos primordiales
para responder ante una crisis. Sin un comité de manejo de crisis, que de la gestión de crisis es el plan de
embargo, llama la atención que el tenga sus roles y responsabilidades comunicaciones en crisis, el cual
mayor peso de la muestra en esta claramente definidos. Esto es vital debe idealmente contener una
pregunta se centra en la segunda para responder ante una crisis, ya definición de las partes interesadas
categoría de calificación, lo que hace que se debe haber predefinido las o stakeholders ante los cuales
que sólo un 15% de las empresas responsabilidades a nivel estratégico una organización en crisis debe
¿Tiene un comité de manejo de Crisis con roles y responsabilidades definidos?
No Existe 25%
En Desarrollo 27%
Diseñado 22%
En Operación 25%
0% 5% 10% 15% 20% 25% 30%
30 Marsh
manifestarse o comunicarse. Para entrena periódicamente a sus lecciones aprendidas con la mitad de
ello, es indispensable contar con los voceros, lo cual puede significar la muestra en las dos calificaciones
voceros oficiales definidos por la que las competencias necesarias superiores, frente a si se realiza o
organización, sus responsabilidades para dirigirse a las diferentes no, un análisis formal posterior a
y su entrenamiento para desarrollar audiencias en un estado de crisis, no una crisis para aportar a la mejora
las competencias necesarias con se encuentren alineadas con lo que la continua. Sin embargo, este estudio
el fin de comunicar asertivamente organización espera de sus voceros encuentra que una de cada cuatro
y efectivamente enviar el mensaje o generen mayor confusión ante empresas no realiza este análisis,
planeado a las partes o audiencias la urgencia de información y la sumado a un 26% que ha calificado
interesadas. En este caso, se premura de acción ante una. el tema de manera neutral (“Ni de
encuentra que la mayoría (62%) de acuerdo un en desacuerdo”). Lo
organizaciones latinoamericanas Uno de los elementos que aporta a anterior representa una oportunidad
han definido voceros oficiales en la resiliencia organizacional es el de mejora frente al aprendizaje y al
caso de crisis. Sin embargo, cerca de aprendizaje de situaciones adversas progreso continuo.
dos de cada cinco organizaciones pasadas que aporten oportunidades
en la región no ha definido esta de mejora a la gestión de crisis. En Para la calificación general del
figura. Adicionalmente, se encuentra este aspecto, las organizaciones Plan de Manejo de Crisis de las
que solamente el 38% de las latinoamericanas han adoptado en organizaciones latinoamericanas se
organizaciones latinoamericanas gran medida la buena práctica de las puede observar que existe un nivel
¿Ha establecido los voceros ante las ¿Se entrena periódicamente

diferentes audiencias en caso de Crisis? a los voceros?
62% 38% 38% 62%
No
No
Sí
Sí
¿Se realiza formalmente un análisis posterior a la Crisis para determinar acciones de mejora?
(lecciones aprendidas)
Totalmente en Desacuerdo 62% 4%
En Desacuerdo 21%
Ni de acuerdo ni en desacuerdo 26%
De Acuerdo 39%
Totalmente de Acuerdo 11%
0% 5% 10% 15% 20% 25% 30% 35% 40% 45%

El Plan de Manejo de Crisis de su organización (gobierno, políticas, componentes,

equipo responsable del proceso) está:
NS / NR 1%
No Existe 25%
Está en Desarrollo 30%
Está Diseñado 20%
Está en Operación 24%
0% 5% 10% 15% 20% 25% 30%
de avance en este sentido por encima empresas latinoamericanas dice no homogéneamente divididas, lo que
de niveles incipientes, no empero contar con un Plan de Manejo de quiere decir que en proporciones
existen grandes oportunidades de Crisis. similares el plan no existe o está en
mejora. Cerca de una en cada cuatro desarrollo o está diseñado o está
organizaciones latinoamericanas Al analizar el estado de la Gestión de en operación. De manera general
manifiesta que su Plan de Manejo Crisis por país, el estudio encuentra se identifica una gran oportunidad
de Crisis se encuentra en operación, que en la mayoría de países el Plan de mejora frente al desarrollo de
aunado a una de cada cinco donde el de Manejo de Crisis se encuentra planes de manejo de crisis en todos
plan está diseñado, pero aún no se mayoritariamente en desarrollo los países, ya que la calificación de
encuentra en operación, y cerca de (Brasil, Chile, México, Perú) y en “en operación” no supera 2 quintas
un tercio de la muestra donde el Plan algunos casos, como Colombia y partes (40%) de las empresas
se encuentra en desarrollo. A pesar Argentina, las proporciones de participantes.
de lo anterior, una en cada cuatro desarrollo frente al plan están
El Plan de Manejo de Crisis de su organización (gobierno, políticas, componentes,

equipo responsable del proceso) está:
Argentina
60%
República Dominicana 50% Brasil
40%
30%
20%
Puerto Rico 10% Chile Está en Operación
0% Está Diseñado
Está en Desarrollo
No Existe
Perú Colombia
Panamá México
32 Marsh
CONTINUIDAD DE NEGOCIO
El entorno de riesgos actual a las organizaciones a garantizar procedimientos y estrategias que

requiere que para su gestión las su sostenibilidad, incluso en un garantizan la continuidad de las
organizaciones vayan más allá de entorno de cambios dramáticos. Los funciones de negocio críticas a un
la mitigación de riesgos en activos, componentes del sistema permiten nivel aceptable de operación ante
y asuman también un enfoque definir sus prioridades de negocio la ocurrencia de una interrupción,
de adaptación al riesgo global o frente a una interrupción de “peor siguiendo estándares internacionales
resiliencia organizacional. Para esto caso”, establecer políticas y objetivos, de buenas prácticas para sostener
un Plan de Continuidad de Negocios implementar controles y estrategias la entrega, así sea limitada, de sus
brinda una respuesta más holística fortaleciendo su capacidad de productos / servicios.
a eventos en donde convergen, respuesta para gestionar estas
por ejemplo, riesgos de activos y interrupciones, así como la revisión Este estudio ha encontrado
tecnológicos con riesgos medio y seguimiento de su desempeño y que el 23% de las empresas
ambientales, de salud pública o efectividad. El sistema se desarrolla latinoamericanas cuenta con un
riesgos geopolíticos. aplicando estándares y buenas Sistema de Gestión de Continuidad
prácticas internacionales. de negocio en operación, donde
El Plan de Continuidad de Negocios los elementos que lo componen se
hace parte del Sistema de Gestión El Plan de Continuidad de Negocios encuentran claramente definidos.
de Continuidad del Negocio (BCM permite a las organizaciones
por sus siglas en inglés) que ayuda establecer e implantar
El Sistema de Gestión de Continuidad de Negocio de su organización

(gobierno, políticas, componentes, equipo responsable del proceso) está:
No Existe 33%
Está Diseñado 14%
Está En Operación 23%

0% 5% 10% 15% 20% 25% 30% 35%

El Sistema de Gestión de Continuidad de Negocio de su organización

(gobierno, políticas, componentes, equipo responsable del proceso) está:
Argentina
70%
60%
República Dominicana Brasil
50%
40%
30%
20%
Puerto Rico Chile Está En Operación
10%
Está Diseñado
0%
Está en Desarrollo
No Existe
Perú Colombia
Panamá México
En adición a lo anterior, muchas Perú, Panamá, México, Chile, Brasil. cuenta con un Plan de Continuidad
organizaciones se encuentran en Para Colombia, Argentina, Brasil y de Negocio, una de cada cuatro se
etapa de desarrollo o puesta en Chile existe una mayor oportunidad encuentra desarrollándolo, 13%
marcha de su Sistema de Gestión de de mejora frente al nivel de evolución cuenta con éste diseñado y en esta
Continuidad de Negocio, sumando del Sistema, ya que los niveles de misma proporción se cuenta con el
un 44% del total de la muestra en la categoría “No existe” están más Plan de Continuidad de Negocio en
estas categorías. No obstante lo altos o a igual nivel que las demás operación. Lo anterior quiere decir
anterior, existe un gran número de categorías. que sólo el 13% de las empresas
organizaciones, más particularmente cuenta con una implementación,
una de cada tres, en donde no existe. Como ya se ha mencionado documentación y pruebas de su Plan
anteriormente, el Plan de de Continuidad de Negocio, situación
Al analizar este aspecto por país, el Continuidad de Negocio hace que refleja una importante brecha
Sistema de Gestión de Continuidad parte del Sistema de Gestión de para la resiliencia de las empresas de
de Negocio está en etapas de Continuidad de Negocio y es parte la región.
desarrollo en la mayoría de países fundamental del mismo. El 48% de
de la región, con especial énfasis en las empresas en Latinoamérica no
El Plan de Continuidad de Negocio de su organización desarrollado con base en

un estándar de reconocimiento internacional como ISO22301 está:
NS / NR 1%
No Existe 48%
Está Diseñado (Planteado)

13%
Está en Operación 13%

(implementado, documentado, probado)
0% 10% 20% 30% 40% 50% 60%
34 Marsh
El plan de recuperación de desastres de su organización desarrollado con base

en un estándar de reconocimiento internacional como ISO24762 e ISO22301:
NS / NR 1%
No Existe 39%
Está Diseñado 8%
Tiene data center alterno, 2%

no documentado, no probado
Tiene data center alterno en operación, 4%
está documentado pero no se ha probado
Tiene data center alterno en operación,
se ha probado pero no está documentado 5%
Tiene data center alterno en operación,

está documentado y probado 19%
0% 5% 10% 15% 20% 25% 30% 35% 40% 45%
Otro de los elementos del Sistema datos, software y configuraciones en servicios de Tecnologías de la
de Continuidad de Negocio es el de equipos, por lo que se generaron Información y Comunicaciones.
Plan de Recuperación de Desastres diferentes recomendaciones para su También es importante reconocer
o DRP por sus siglas en inglés. La gestión en cuanto a almacenamiento que hay negocios cuyo “core” es
procedencia del término DRP se externo, condiciones ambientales y TIC, por lo que, con mayor razón
reconoce en el hecho de que fue de verificación de la efectividad del estos últimos deben considerar
en las áreas de TIC en donde, por respaldo. Todo esto contribuyó a tener una respuesta aún más
la misma naturaleza del servicio, que se pensara que el único objeto de efectiva y adecuada para enfrentar
comienza a hablarse de recuperación protección, respaldo, recuperación la adversidad que conlleve a la
por lo proclives que han sido éstos a y continuidad fueran las áreas de interrupción inesperada de sus
las fallas y situaciones de pérdida por procesamiento de datos. Otro factor operaciones, ya que, en buena parte
la misma novedad que representaban que contribuyó en el reforzamiento de las situaciones, no hay alternativa
hace 40 o 50 años, ya que ante la de esta teoría fue el evento de cambio de operación. En este sentido,
pérdida de datos o suspensión de siglo que fundamentalmente se las empresas latinoamericanas
de servicios debía pensarse en centró en estar preparados para deben plantearse el interrogante
alternativas de trabajo manual y en enfrentar los posibles efectos de de ¿qué pasaría si no se cuenta
cómo recuperar los datos con base los cálculos realizados con base en con disponibilidad de los servicios
en copias de respaldo (back ups) fechas que consideraban únicamente TIC? Por supuesto, el tipo de
que se hacían de los archivos o bases dos dígitos para el registro del año. solución deberá corresponder a
de datos. En la medida en que se los requerimientos del negocio en
hacían más comunes los Centros de Este estudio ha encontrado que cuanto a tiempos de recuperación y a
Cómputo, fueron estableciéndose el DRP no existe en cerca del la disposición de las organizaciones
estándares internacionales de 40% de los casos y que 22% de para la inversión en la misma, que
protección contra fuego, ambiente las organizaciones se encuentra en este caso tendrá que ver con Data
refrigerado, pisos falsos, cableado desarrollándolo. Sólo en una Centers alternos y sus contenidos
estructurado, respaldo del de cada cinco empresas el DRP de servidores, almacenamiento y
suministro de energía, acomodación cuenta con un data center alterno, capacidades de conectividad, sin
de equipos y particularmente la se encuentra en operación y está dejar de lado la consideración del
gestión de respaldos en medios documentado y probado. En la recurso humano especializado para
magnéticos. Siendo esta última la actualidad es difícil concebir un la operación de estas soluciones.
base para la recuperación de los negocio que no soporte sus procesos

El Análisis de Impacto al Negocio:
Se revisa con una periodicidad 12%

mayor a un año
Se revisa cada año 22%
Se desarrolló y no se ha revisado 12%
No se ha desarrollado 55%
0% 10% 20% 30% 40% 50% 60%
Uno de los pasos iniciales para de la identificación de los efectos En este sentido más de la mitad de
la construcción de un Plan de de la materialización de una las empresas latinoamericanas no
Continuidad de Negocio es interrupción en la organización, ha desarrollado este análisis, un 12%
la definición del Análisis de e incluye impactos en diferentes lo ha desarrollado sin una posterior
Impacto al Negocio o BIA por ámbitos tales como la pérdida de revisión, un 22% lo revisa cada año
sus siglas en inglés. Este análisis ingresos, el servicio al cliente, legales, y 12% lo revisa con una periodicidad
permite establecer la prioridad a empleados, ambientales y su mayor a un año. Tal y como se
de los procesos de negocio en el nivel de contribución a los objetivos mencionó en el caso del Plan de
tiempo, definiendo el orden en estratégicos en la cadena de valor de Continuidad del Negocio, y teniendo
que serían recuperados en una la organización. en cuenta que el BIA es uno de los
interrupción. Este análisis parte pasos iniciales para construirlo,
Si el Análisis de Impacto al Negocio se desarrolló y no se ha revisado ¿En qué año se desarrolló?

Base =39
NS / NR 15%
2016 18%
2015 15%
2014 10%
2013 18%
2012 15%
2010 3%
2008 3%
Antes de 1980 3%
0% 2% 4% 6% 8% 10% 12% 14% 16% 18% 20%
36 Marsh
Si el Análisis de Impacto al Negocio se revisa con una frecuencia mayor a un año,

¿Cada cuánto se revisa?
Base=40
NS / NR 18%
Cada 8 años 3%
Cada 3 años 25%
Cada 2 años 55%
0% 10% 20% 30% 40% 50% 60%
estas calificaciones reflejan una refleja una necesidad y un reto para o responsabilidades, este estudio
importante brecha para la resiliencia las organizaciones latinoamericanas encuentra que las organizaciones
de las empresas de la región, donde para mantener su BIA actualizado. de la región tienen dificultades
existen importantes oportunidades para bajar la información a todos
de mejora frente a la formalización Uno de los elementos de suma los niveles de la organización y
de los planes de continuidad importancia de la preparación frente para informar a todas las partes
de negocio y su alineación con a eventos de interrupción del negocio interesadas frente a un evento de
estándares internacionales y buenas es el grado en que la organización interrupción de negocio.
prácticas. y los colaboradores a todo nivel
dentro de la misma se encuentran
La mayoría de Análisis de Impacto familiarizados con el contexto de
al Negocio (BIA) en la región que gestión de continuidad de negocios,
han sido desarrollados y no se han con el fin de poder responder o
revisado fueron creados a partir del reaccionar de acuerdo a lo planeado
año 2012 en adelante, lo cual quiere cuando sea necesario. En este sentido
decir que su desarrollo tiene más de las organizaciones latinoamericanas
4 años sin revisarse en algunos casos encuentran un gran reto para
y por tanto puede no estar vigente permear estos conceptos de manera
ante un evento de interrupción de transversal en la organización,
negocio. Adicionalmente, de aquellas dado que en un 23% de los casos
organizaciones latinoamericanas el contexto de la continuidad de
que han desarrollado su BIA y negocio no es conocido formalmente
lo revisan con una periodicidad por ningún colaborador y sólo en
mayor a un año, la mayoría deja un 8% por todos los colaboradores.
pasar 2 años antes de revisarlo. Esta Lo anterior, aunado a un 45% de las
proporción es seguida por un cuarto organizaciones donde el contexto es
de organizaciones que lo revisa conocido por la alta dirección, sólo
cada 3 años. A pesar de lo anterior, en un tercio de las empresas por los
existe un número no despreciable de responsables de la gestión y en 35%
organizaciones que desconocen cada por los responsables de los procesos
cuanto se revisa el BIA, lo que puede críticos. Bajo el supuesto de que la
significar grandes desactualizaciones gestión de continuidad de negocio
o delineamientos e incluso falta debe estar comunicada y permeada
de capacitación y pruebas sobre el en todas las partes interesadas o
mismo. Esto a su vez conlleva a un “stakeholders”, una de ellas a todos
nivel de preparación inferior ante un los colaboradores de la organización
evento de interrupción de negocio y de manera independiente a su cargo

El contexto de Gestión de Continuidad de Negocios (estándares, metodología, términos)

es conocido formalmente en la organización:
50%
45%
45%
40%
35% 33% 35%
30%
25% 23%
20%
15%
10% 8%
5%
0%
Por ninguno Por la alta dirección Por los responsables Por los responsables de Por todos los
de la gestión los procesos críticos colaboradores
Como pregunta final frente a la conectividad e interdependencias planteado y no puesto en marcha,

preparación ante interrupciones de críticas que se han generado como y sólo en un 9% se encuentra en
negocio, este estudio encuentra que, resultado de una globalización, operación completa. Lo anterior
en su mayoría, las organizaciones las empresas latinoamericanas puede reflejar serias debilidades en
de la región no cuentan con un demuestran estar en un estado la gestión de riesgos de las cadenas
Plan de Continuidad de la Cadena de preparación incipiente frente de suministro de la región, lo cual
de Suministros que esté alineado a disrupciones de la cadena de aporta preocupaciones al perfil total
con un estándar internacional o suministro. Lo anterior dado un de resiliencia organizacional en
buena práctica. En este sentido, y 53% que no cuentan con un Plan Latinoamérica.
teniendo en cuenta que el mundo de Continuidad de la Cadena de
actual es mucho más riesgoso Suministro. En un cuarto de la
que hace 30 años en términos de muestra, este plan se encuentra en
cadenas de abastecimiento por la alta desarrollo, en un 11% se encuentra
El Plan de Continuidad de la Cadena de Suministro de su organización desarrollado con base

en un estándar de reconocimiento internacional como ISO22318 está:
NS / NR 2%
No Existe 53%
Está Diseñado (Planteado) 11%
Está en Operación (implementado,

9%
documentado, probado)
0% 10% 20% 30% 40% 50% 60%
38 Marsh
RIESGO CIBERNÉTICO
Las organizaciones actuales del Business Continuity Instituite • Infracciones a la propiedad
reconocen una gran dependencia (BCI) del Reino Unido. En el Foro intelectual.
de los servicios de gestión de datos, Económico Mundial del 2016 se dice
comunicación de los mismos y del riesgo cibernético: “El Internet • Robo de identidad.
aplicaciones de computador, propios ha abierto una nueva frontera en la
o tercerizados (Tecnologías de la guerra: todo está conectado en red En este sentido, el estudio ha
Información y Comunicaciones - y cualquier cosa conectada a la red encontrado que la mayoría de
TIC), para realizar transacciones, puede ser “jaqueado” (hacked). La empresas de la región se encuentran
recopilar e intercambiar información “red oscura” se ha convertido en un desarrollando su programa de
crítica, compartir o almacenar lugar de comercio que alimenta la ciberseguridad (32%), en un 12% ésta
datos personales y confidenciales, inseguridad. Cada conflicto futuro ya ha sido diseñado pero no puesto
e interactuar con sus clientes y tendrá un elemento cibernético, y en marcha, y finalmente también
socios de negocios. Dichos servicios algunos pueden ser combatidos en existe un número significativo de
y la infraestructura en la que su totalidad en el ciberespacio. Dado organizaciones que ya cuenta con
se soportan deben ser capaces que el ataque es más fácil que la su programa de ciberseguridad
de responder efectivamente a defensa en el ciberespacio, esto va a en operación (27%). Lo anterior
los nuevos y crecientes riesgos cambiar radicalmente la forma en la demuestra un grado de desarrollo
cibernéticos, lo cual es fundamental que todo el aparato de seguridad se interesante de la ciberseguridad en
para la protección de su reputación y prepara para posibles infiltraciones / Latinoamérica, muy en línea con la
relaciones con sus grupos de interés infracciones.”2 creciente relevancia de amenazas
(stakeholders). cibernéticas. A pesar de lo anterior,
Algunas formas de materialización existe un 19% de organizaciones
El Foro Económico Mundial del 2012 de este riesgo son: en las que este programa no existe
y el de 2014, ha reconocido al riesgo y cuyo reto es ponerse al día frente
cibernético como uno de los 10 más • Delito Cibernético. a las amenazas de un mundo en
relevantes, y lo ha calificado como constante amenaza cibernética.
el primer factor de interrupción • Extorsión Cibernética.
de negocios por los profesionales
expertos en continuidad de negocio • Ataques DDoS (Distribuited Denial
of Service).
El programa de Ciberseguridad de la organización, establecido con base en un análisis

formal del Riesgo Cibernético, se encuentra:
NS / NR 2%
Se estableció sólo con 8%

juicio de especialistas
No existe 19%
En desarrollo 32%
Diseñado 12%
En operación 27%
0% 5% 10% 15% 20% 25% 30% 35%
2
Traducción Libre de “The Global Risks Report 2016, 11th Edition”, 2016: Un estudio de Marsh & McLennan Companies junto con el Foro Económico Mundial
(WEF – World Economic Forum)

La organización y políticas para la Ciberseguridad están
NS / NR 2%
No Existe 16%
Están en desarrollo 31%
Están diseñadas 16%
Están en Operación 35%
0% 5% 10% 15% 20% 25% 30% 35% 40%
Los incidentes de seguridad cibernética se gestionan:
NS / NR 1%
No se gestionan 13%
Se gestionan sin seguir procedimientos 39%
Se gestionan siguiendo procedimientos 47%

formalizados
0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50%
Particularmente frente a políticas Otro de los elementos interesantes gestionan sin seguir procedimientos
de ciberseguridad y en términos a medir frente a la ciberseguridad es formales, seguido de un 13% en
organizacionales, las organizaciones la formalidad con la que se gestionan donde estos no son gestionados.
latinoamericanas han establecido los incidentes de seguridad. Es decir, Lo anterior si bien refleja un
políticas que se encuentran en si éstos se gestionan de acuerdo con avance frente a la estandarización
operación en un 35% de los casos, al lineamientos y pautas previamente de procesos para responder a
que le sigue un 31% de casos en los definidos o se reacciona simplemente incidentes de ciberseguridad,
que se encuentran en desarrollo y de acuerdo con la situación sin también muestra la necesidad de
un 16% donde ya han sido diseñadas, tener en cuenta un procedimiento instaurar procedimientos para tratar
pero no han sido puestas en marcha estándar. incidentes de ciberseguridad.
aún. En este sentido, y muy en línea
con las calificaciones de desarrollo En este sentido, la mayoría de
del programa de ciberseguridad las organizaciones de la región
revisadas con anterioridad, la región gestionan sus incidentes de
ha realizado la tarea de prepararse seguridad cibernética de acuerdo con
ante el riesgo cibernético, a pesar de procedimientos formalizados (47%).
la existencia de un 16% en donde esta Sin embargo, existe una proporción
definición de políticas y definición significativa del 39% de los casos,
organizacional no se ha dado aún. en donde estos incidentes se
40 Marsh
Los controles de Ciberseguridad:
NS / NR 3%
Tienen programa de fortalecimiento

18%
basado en calificación y priorización
Se han calificado y clasificado 39%
No se califican 27%
No se identifican 13%
0% 5% 10% 15% 20% 25% 30% 35% 40% 45%
Con respecto a los controles de Para las organizaciones Solamente un 23% se encuentra
Ciberseguridad, la mayoría de las latinoamericanas en general realmente preparada, lo que
empresas latinoamericanas los el panorama de preparación involucra haber entrenado y
han calificado y clasificado (39%). frente a la gestión de los ataques realizado pruebas para medir
Sin embargo, existe un 27% de cibernéticos se encuentra en efectivamente el grado de
casos en los que los controles un nivel entre iniciación e preparación ante ataques
no se califican, seguidos de un intermedio, si se considera una cibernéticos.
13% en donde no se cuenta con mayor representatividad de la
el paso inicial de identificarlos. muestra en la segunda calificación
Solamente un 18% cuenta con un “Sensibilizada” para dos de cada
programa de fortalecimiento de los cinco organizaciones, el cual es
controles basado en su calificación y un paso inicial frente al estado de
priorización. Lo anterior comprueba preparación ideal, seguido de un 21%
la necesidad de un fortalecimiento en donde se encuentran entrenadas
continuo de controles, con el fin con respecto a este tema.
de alinearlos en efectividad y
funcionalidad a las amenazas que
emergen y cambian constantemente
en el mundo cibernético.

Para la gestión de los ataques cibernéticos, la organización está:
Preparada (entrenada 23%

probada)
Entrenada
21%
Sensibilizada 41%
Sin conocimiento
desorientada 15%
0% 5% 10% 15% 20% 25% 30% 35% 40% 45%
42 Marsh
RECOMENDACIONES
Formalización apalancada arroja insumos que complementan Auditoría Interna puede asistir
en una comunicación los entregables de la planeación a la gestión de riesgos es en la
efectiva estratégica. Adicionalmente, al revisión del marco de referencia
alinear estos dos procesos se logra (manual, política procesos, roles
Si bien la gestión de riesgos ha
elevar el nivel de la gestión de riesgos y responsabilidades) frente a las
avanzado en su formalización a
al interior de una organización, así mejores prácticas de estándares
través de la mayor implementación
como también se logra aportar a la internacionales o buenas prácticas
del Manual de Gestión de Riesgos,
percepción de creación de valor de de mercado.
a veces esta formalización queda
las sinergias creadas en la interacción
relegada al papel. En la medida en
de estos dos campos. Robustecimiento de las
que los encargados de la gestión
estructuras de la gestión
de riesgos apalanquen la real
Trabajo colaborativo con de riesgos
implementación e interiorización
las diferentes áreas de la
de la gestión de riesgos en la Muchas veces, cuando la persona a
organización
comunicación efectiva a las personas cargo de la gestión de riesgos y las
de la organización, ésta adquirirá Existen varias áreas en la personas de su equipo son de entera
el impulso necesario y perdurará organización que deben estar dedicación al área de gestión de
ante la inercia organizacional, que alineadas con la gestión de riesgos riesgos, se encuentran dificultades
muchas veces obstaculiza su avance. para efectos de coordinación y para permear la ejecución de la
Dicha comunicación debe ser aseguramiento de varios de sus gestión de riesgos en las demás áreas
diseñada de manera particular para elementos. Estas áreas son: de la organización. Por este motivo,
cada audiencia de la organización una de las buenas prácticas de
y debe, a su vez, buscar inspirar y • Gestión Humana: Al encontrar mercado ha sido optar por la figura
motivar en vez de sólo centrarse en la necesidad de capacitar a los de Líder Funcional de Gestión de
impartir conocimientos operativos o colaboradores de la organización Riesgos: personas que ya pertenecen
técnicos sobre el funcionamiento de a todo nivel, es importante a la organización o a un determinado
los procesos de gestión de riesgos. contar con el apoyo del área de proceso o área, que pertenecerán a
talento o gestión humana. Esto un equipo especializado de personas
Al comprender que los procesos sólo con el propósito de estructurar con una dedicación porcentual de
funcionan si las personas actúan los módulos de inducción y de su tiempo total que será destinado
por convicción, los mecanismos capacitación continuos, para a impulsar la implementación de
de comunicación deben buscar garantizar que los colaboradores se gestión de riesgos en su nivel (área o
desvirtuar los paradigmas de mayor encuentran alineados frente a las proceso) y reportar al área de gestión
“carga operativa” o de falta de competencias necesarias para la de riesgos, quienes se convertirán en
practicidad de la gestión de riesgos. gestión de riesgos. centralizadores de información. En
este sentido, se puede lograr:
Integración con la • Auditoría Interna: Esta área
planeación estratégica es una de las que soporta el • Mayor delegación de tareas.
aseguramiento de varios de los
Como ya se ha mencionado en
pasos del proceso de gestión • Un mayor involucramiento de
este estudio, la gestión de riesgos
de riesgos. En primera medida la organización en la gestión de
alcanzará su real potencial en la
pueden ayudar a revisar si en riesgos.
medida en que se perciba como
efecto el ciclo o proceso de gestión
tema estratégico y que aporta valor
de riesgos se está cumpliendo • Un “brazo armado” de la gestión de
al proceso de toma de decisiones.
como se ha planteado, y que los riesgos en cada área o proceso.
Es por esto que la recomendación
controles diseñados para los
general es alinear el proceso de
riesgos se estén ejecutando, así • Un equipo multidisciplinario de
gestión de riesgos con la planeación
como también reportar sobre personas, quienes al compartir
estratégica, para que sus metas,
avances en implementación lecciones aprendidas y trabajar de
objetivos y megas puedan iniciar con
y sobre su efectividad. Otro manera colaborativa mejorarán
el proceso de identificación, análisis
de los elementos en los que la curva de aprendizaje de la
y evaluación de riesgos, que a su vez

organización frente a la gestión de en la cual confluyen diferentes 3. “Las responsabilidades y el

riesgos. generaciones, géneros, liderazgo: El mensaje debe venir
opiniones y percepciones, y para con el patrocinio de alta gerencia”.
Es importante que con este quienes los mensajes deben ser Los colaboradores asimilarán las
equipo de personas se lleven a transmitidos de manera dirigida responsabilidades más fácilmente
cabo capacitaciones regulares y se y especializada, cumpliendo con si reciben el ejemplo desde alta
mantengan al tanto de la gestión de las expectativas de cada audiencia gerencia.
riesgos en la organización. receptora. Por lo anterior se
espera que la comunicación y 4. “Impulsar la Cultura en Gestión
Cultura de Riesgos sus mensajes contemplen la de Riesgos es un rompecabezas
diversidad en métodos y canales con muchas piezas”: para lograr
En varios elementos del estudio
de comunicación, aludiendo permear a la organización con los
se evidencia la necesidad de
a proyectar efectivamente un conceptos de gestión de riesgos
potencializar la Cultura en gestión de
mensaje que busque inspirar, y realmente cambiar la actitud
riesgos y en reforzar la asimilación
conmover, impactar de manera de los colaboradores frente al
de roles y responsabilidades frente
permanente y logre realmente riesgo requiere de un programa
a la misma, lo cual hace necesarias
permear a la población objetivo. estructurado compuesto por
las siguientes reflexiones: ¿Cómo se
Es importante comprender que varias estrategias que combinen
mantienen vigentes las asignaciones
en la actualidad la comunicación la capacitación, inducción,
de responsabilidad y los mecanismos
acostumbrada al interior de las programas de reconocimiento
para comunicarlas, y sensibilizar
organizaciones a través del canal o incentivos, campañas de
así a los colaboradores de manera
tradicional (correo electrónico), comunicación y sensibilización,
constante? ¿Cómo lograr que la
puede no ser suficiente en la participación activa del liderazgo
gestión de riesgos permanezca
medida que las audiencias esperan y mecanismos que le permitan
dentro del “top of mind” y haga parte
más contenido, más rápido y a trascender el papel para volverse
del día a día? La respuesta puede
través de un multicanal, dado que parte de la rutina organizacional.
dividirse en varios aspectos:
nos encontramos en un entorno En este sentido es recomendable
de constante flujo de información medir de manera periódica los
1. “Formalizar las responsabilidades
llega a través de canales múltiples frutos y avances de esta gestión a
en gestión de riesgos no es
(Twitter, Facebook, páginas web, través de mediciones de Cultura
suficiente, si esta formalización
medios de comunicación, etc.) organizacional frente a la gestión
no trasciende el papel”: Las
de riesgos.
organizaciones que han
formalizado las responsabilidades
dentro de un manual o una política
de gestión de riesgos, tienen el
reto de buscar los mecanismos que
potencialicen la sensibilización
frente a las responsabilidades, y
lograr una asimilación activa de las
mismas.
2. “La comunicación debe venir

de manera frecuente y ser
realmente efectiva”. Una de
las dificultades frente a los
procesos de transformación de
cultura organizacional es que los
mensajes deben ser reiterativos,
coherentes y cohesivos frente
a un mensaje unificado y fácil
de entender. Se espera que las
organizaciones de la actualidad
contemplen la diversidad dentro
de su población de colaboradores,
44 Marsh
Potencialización del • Estructuración de indicadores “stakeholders” en la que se

Tratamiento y Monitoreo clave de riesgos (KRI) donde existe identifiquen las audiencias o partes
de Riesgos una periodicidad determinada interesadas y para cada una se
para el reporte de sus valores al determine:
De acuerdo con los hallazgos del
área de gestión de riesgos, a alta
estudio, los pasos del proceso de
gerencia y finalmente a junta. • Sí son facilitadores u oponen
gestión de riesgos que cuentan
resistencia a la gestión de riesgos.
con calificaciones más bajas frente
• Definición de frecuencia de
a su desarrollo y efectividad son
monitoreo de los controles en • El mensaje que se les comunicará y
el tratamiento, monitoreo y la
gestión de riesgos (sea realizada su finalidad.
comunicación y consulta. En este
por auditoría o por parte del
sentido, refiriéndonos a los dos
área de gestión de riesgos). Estas • El canal de comunicaciones.
primeros, al no tratar efectivamente
sesiones de monitoreo pueden
los riesgos y no comprobar su
realizarse a través de la revisión de • El material de comunicación.
implementación o medir la
una muestra aleatoria de riesgos
efectividad de los controles, se están
y controles, y con una frecuencia • Frecuencia de comunicación.
dejando de percibir los beneficios de
determinada para un panorama
la implementación de la gestión de
anual. • Responsables de la producción de
riesgos empresarial, al no reducir la
la comunicación.
exposición al riesgo o no percibir el
Formalización del
valor que genera la información que
elemento Comunicación en Lo anterior derivará en un plan
arroja el ciclo de gestión de riesgos
Riesgos de comunicaciones que ayudará
para la toma de decisiones.
a garantizar que la comunicación
Por último, uno de los elementos con
se genere de manera continua
Para fortalecer el tratamiento de menor desarrollo es la comunicación
y consistente para apalancar la
riesgos se debe recurrir a varios en riesgos, y es uno que cuenta con
transformación cultural de la
elementos, entre los cuales están: una real incidencia sobre los niveles
organización.
de cultura en gestión de riesgos en
• La asignación efectiva de una organización.
responsables para cada riesgo
identificado. Para iniciar, la comunicación
debe construir una matriz de
• Contar con conocimientos
sobre las metodologías para
identificación de causas raíz y de la
posterior estructuración de planes
de acción con entregables claros,
medibles y documentados.
• La asignación de presupuesto
para la ejecución de los planes de
tratamiento.
• Trabajo colaborativo entre

áreas cuando existen riesgos
transversales, no empero contando
con una única asignación de
responsabilidad para la no dilución
de la misma en varias personas.
Para fortalecer el monitoreo y

revisión de los riesgos se debe
recurrir a varios elementos, entre los
cuales están:

Acerca de Marsh
Marsh es un líder global en correduría de seguros y gestión de riesgos. Marsh
ayuda a sus clientes a tener éxito en sus negocios, definiendo, diseñando
y ofreciendo soluciones innovadoras y específicas para cada sector de
actividad, que les ayuden a manejar eficazmente sus riesgos. Nuestros 28.400
profesionales colaboran a nivel global para prestar servicio a clientes en más
de 130 países. Marsh pertenece al grupo Marsh & McLennan Companies
(NYSE: MMC), firma global de servicios profesionales que ofrece a sus clientes
asesoramiento y soluciones en materia de riesgos, estrategia y capital humano.
Con 57.000 empleados en todo el mundo y unos ingresos superiores a 13.000

millones de dólares, Marsh & McLennan Companies es también la empresa
matriz de Guy Carpenter, líder global en servicios de riesgos e intermediación
de reaseguros; Mercer, líder global en consultoría de Recursos Humanos
y servicios relacionados; y de Oliver Wyman, líder global en consultoría de
gestión. Síganos en Twitter @MarshGlobal, LinkedIn, Facebook, YouTube y en
http://latinamerica.marsh.com y www.marsh.com
46 Marsh
Acerca de Marsh Risk Consulting (MRC)

Marsh Risk Consulting es una organización global de consultoría de riesgos
que ofrece soluciones y estrategias personalizadas e integrales para una
amplia gama de riesgos, tanto asegurables como no asegurables. Más
de 800 consultores, especializados por tipo de riesgo e industria, en 40
países, proporcionan servicios para evaluar y reducir los riesgos de nuestros
clientes y sus costes asociados, así como el impacto de dichos riesgos en su
organización, con el objetivo de ayudarle a gestionar eficazmente sus riesgos, y
por tanto, contribuir al éxito de su negocio.
Acerca de RIMS
RIMS, la sociedad para la gestión del riesgo™, es una organización sin
ánimo de lucro que representa a más de 3.500 empresas, organizaciones
gubernamentales y ONGs en todo el mundo. Dedicada al desarrollo de la
gestión de riesgos para el éxito de las organizaciones, RIMS ofrece networking,
desarrollo profesional y oportunidades educativas para sus miembros: más de
11.000 gerentes de riesgos en más de 60 países. Para más información visite:
www.rims.org

For further information about Marsh, please visit marsh.com.
For further information about RIMs, please visit rims.org.
Marsh is one of the Marsh & McLennan Companies, together with Guy Carpenter, Mercer, and Oliver Wyman.
This document and any recommendations, analysis, or advice provided by Marsh (collectively, the “Marsh Analysis”) are not intended to be taken as advice
regarding any individual situation and should not be relied upon as such. The information contained herein is based on sources we believe reliable, but we
make no representation or warranty as to its accuracy. Marsh shall have no obligation to update the Marsh Analysis and shall have no liability to you or any
other party arising out of this publication or any matter contained herein. Any statements concerning actuarial, tax, accounting, or legal matters are based
solely on our experience as insurance brokers and risk consultants and are not to be relied upon as actuarial, tax, accounting, or legal advice, for which you
should consult your own professional advisors. Any modeling, analytics, or projections are subject to inherent uncertainty, and the Marsh Analysis could
be materially affected if any underlying assumptions, conditions, information, or factors are inaccurate or incomplete or should change. Marsh makes no
representation or warranty concerning the application of policy wording or the financial condition or solvency of insurers or reinsurers. Marsh makes no
assurances regarding the availability, cost, or terms of insurance coverage. Although Marsh may provide advice and recommendations, all decisions regarding
the amount, type or terms of coverage are the ultimate responsibility of the insurance purchaser, who must decide on the specific coverage that is appropriate
to its particular circumstances and financial position.
Copyright © 2016 Marsh LLC. All rights reserved. Compliance MA16-14022 USDG19392

Benchmark v15

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Benchmark v15

Diunggah oleh

Hak Cipta:

Format Tersedia

2o BENCHMARK EN GESTIÓN DE RIESGOS EN LATINOAMÉRICA Octubre 2016

04 Evolución de la Gestión de Riesgos

06 Continuidad del Negocio

Esperamos que usted encuentre en este II Benchmarking de Gestión de Riesgos en Latinoamérica

Finalmente, lo invitamos a acercarse a nuestros consultores para contestar cualquier pregunta o

El camino hacia una gerencia de riesgos eficaz 1

• Una mayor formalización

• Una mayor utilización de métodos

• Una mayor utilización de

El camino hacia una gerencia de riesgos eficaz 3

GESTIÓN DE CRISIS no se encuentra en operación. con el Plan de Continuidad de

• En gran medida, las

• Cerca de una en cada cuatro

El camino hacia una gerencia de riesgos eficaz 5

INFORMACIÓN DEMOGRÁFICA LA GESTIÓN DE RIESGOS

Distribución por Industria

Distribución por Número de Empleados Distribución por facturación anual

11 - 50 5% USD 1 millón < X

>5001 17% USD 500 millones < X 25%

0% 10% 20% 30% 40% 50% 0% 10% 20% 30% 36%

Distribución por país

Presencia por país si es Multinacional

El camino hacia una gerencia de riesgos eficaz 7

EVOLUCIÓN DE LA GESTIÓN DE RIESGOS

¿Tiene su empresa estructurado un Sistema de Gestión de Riesgos?

¿Tiene su empresa estructurado un Sistema de Gestión de Riesgos? - Por sector

El camino hacia una gerencia de riesgos eficaz 9

Más de la mitad de las empresas

¿Cuenta la empresa con un Manual de Gestión de Riesgos?– Por Sector

Ventas al por Mayor / Menor

Energía (Oil & Gas / Hidrocarburos)

¿Cuenta la empresa con un Manual de Gestión de Riesgos?– por País

0% 20% 40% 60% 80% 100%

oportunidad de mejora frente a

El camino hacia una gerencia de riesgos eficaz 11

Sin embargo, una proporción mayor

Ventas al por Mayor / Menor

Desarrollo y Efectividad de las etapas del Proceso de Gestión de Riesgos

40% 2015 2016

El camino hacia una gerencia de riesgos eficaz 13

40% 2015 2016 35%

En materia de la calificación de latinoamericanas el tratamiento, clave, las tendencias que tienen

Desarrollo y Efectividad de las etapas del Proceso de Gestión de Riesgos

El camino hacia una gerencia de riesgos eficaz 15

Dentro del proceso de planeación estratégica, está involucrada la Gestión de Riesgos

0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50%

A pesar de obtener una calificación

0% 5% 10% 15% 20% 25% 30% 35% 40% 45%

El camino hacia una gerencia de riesgos eficaz 17

¿Cuenta su empresa con una Cautiva como

Si su empresa no cuenta con una Cautiva,¿ha analizado o estaría dispuesta

¿Qué nivel de madurez tiene su organización frente al concepto de Apetito de Riesgo?

Se han definido políticas para comunicar y utilizar el apetito 12%

Se ha definido y documentado el concepto y 11%

Se ha definido clara y formalmente y se ha documentado 13%

Se conoce el concepto, pero no son claros sus métodos 46%

No se tiene conocimiento sobre este concepto 18%

0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50%

El camino hacia una gerencia de riesgos eficaz 19

¿Qué áreas participan de la definición y/o estimación del Apetito de Riesgo?

¿Se han realizado ejercicios de estimación de la Tolerancia o de la Capacidad de

Los conceptos de capacidad de retención

¿Se lleva un registro de eventos materializados en Gestión de Riesgos? - Por Sector

Ventas al por Mayor / Menor