Comments: 0 0 Post Date: 17 marzo, 2025

Los riesgos no matan empresas… la indiferencia sí

“Quien no es lo suficientemente valiente como para asumir riesgos

no logrará nada en la vida.”

Muhammad Ali

Por: Jorge Valdés Garciatorres, MDO, PMP

 

Imagina que una empresa tecnológica lanza un ambicioso proyecto para desarrollar una nueva plataforma de ventas online. El equipo de negocio está emocionado por las innovaciones que han solicitiado y que han acordado con el equipo de desarrollo de sistemas y que ambos planean implementar. Sin embargo, en la fase de diseño se pasa por alto un pequeño detalle: la integración con el sistema de inventarios existente.

A medida que el proyecto avanza, este problema se magnifica: las ventas se duplican gracias a la nueva plataforma, pero el inventario no se actualiza correctamente, generando sobreventa de productos que ya no están disponibles. Lo que comenzó como un error técnico terminó afectando la experiencia del cliente, dañando la reputación de la empresa e impactando sus resultados financieros.

Este es un claro ejemplo de cómo los riesgos en proyectos pueden escalar hasta convertirse en riesgos estratégicos y operativos. Y es aquí donde la conciencia de todos los colaboradores es clave para prevenir estos problemas.

En el mundo de negocios, la gestión de riesgos se ha convertido en un factor clave para el éxito y la sostenibilidad de las organizaciones. Aunque tradicionalmente se ha visto como una responsabilidad exclusiva de los líderes o del área de cumplimiento, la verdad es que todos los colaboradores desempeñan un papel súper importante en la identificación y mitigación de riesgos.

Este artículo explora los principales tipos de riesgos que enfrentan las empresas, los marcos de gestión más efectivos y, sobre todo, por qué cada persona dentro de una organización debe estar consciente de este aspecto fundamental.

¿Qué son los riesgos de negocio?

La gestión de riesgos no es solo una responsabilidad directiva, sino una tarea colectiva que requiere la participación activa de todos los colaboradores. Cada persona en la organización, desde el personal operativo hasta los ejecutivos, tiene el poder de identificar, prevenir y mitigar riesgos. Fomentar una cultura organizacional donde se valore la conciencia del riesgo es una inversión clave para el éxito sostenible.

Los riesgos son eventos inciertos que, en caso de presentarse, pueden afectar positiva o negativamente los objetivos de la organización. Pueden surgir desde múltiples frentes, como problemas internos, situaciones externas o incluso situaciones emergentes en el mercado.

Comprender los tipos de riesgos permite no solo prevenir daños, sino también convertir posibles amenazas en oportunidades.

Tipos de Riesgos y Ejemplos

Tipo de Riesgo Descripción Ejemplo
Riesgos Estratégicos Relacionados con decisiones clave del negocio. Cambio inesperado en las tendencias del mercado.
Riesgos de Proyectos Desviaciones en plazos, costos o entregables. Un proyecto que se retrasa por falta de recursos.
Riesgos Financieros Impactos en la liquidez, inversiones o fluctuaciones. Caída repentina en el valor de una moneda extranjera.
Riesgos Operacionales Fallos en procesos internos, personas o sistemas. Error en una cadena de producción que detiene la operación.
Riesgos de Cumplimiento Incumplimiento de regulaciones o leyes. Multas por no cumplir normativas fiscales.
Riesgos Reputacionales Daño en la imagen pública o credibilidad. Crisis en redes sociales tras un comentario desafortunado.
Riesgos Ambientales/

Sociales

 Impactos negativos en el entorno o la sociedad. Protestas debido a prácticas empresariales nocivas.
Riesgos Tecnológicos Fallos en infraestructura digital o ciberataques. Un ransomware que bloquea los sistemas de la empresa.

 

Marcos de Gestión de Riesgos de Clase Mundial

Existen diversos marcos que ayudan a las organizaciones a gestionar sus riesgos de forma eficaz. Los más reconocidos son:

ISO 31000

Un estándar internacional que proporciona principios y directrices para gestionar cualquier tipo de riesgo. Su principal fortaleza es su flexibilidad, permitiendo adaptarse a cualquier industria, ámbito o tamaño de organización.

se compone de tres elementos clave que trabajan de forma integrada:

  1. Principios de la Gestión de Riesgos
  2. Marco de Gestión de Riesgos (Framework)
  3. Proceso de Gestión de Riesgos

COSO ERM (Enterprise Risk Management)

Este marco integra la gestión de riesgos dentro del proceso de toma de decisiones estratégicas, ayudando a las empresas a evaluar riesgos de forma integral. Su modelo tridimensional garantiza que la gestión del riesgo esté presente en cada área, nivel y objetivo de la organización.

El cubo COSO integra estos elementos visualmente (ejes) para mostrar cómo se cruzan:

  • Componentes
  • Niveles organizacionales
  • Objetivos
  • Eje de los Componentes – Este eje representa los elementos clave del proceso de gestión de riesgos que deben implementarse para que sea efectivo. Los componentes son:
  • Gobierno y cultura,
  • Estrategia y Objetivos,
  • Identificar y evaluar riesgos,
  • Establecer respuesta a los riesgos,
  • Revisión y monitoreo.
  • Eje de los Niveles Organizacionales – El marco COSO ERM reconoce que los riesgos pueden originarse en distintos niveles de la organización:
  • Nivel Estratégico:Decisiones clave que impactan la dirección global del negocio.

Ejemplo: El consejo directivo de una empresa energética decide no invertir en una planta en una región geopolíticamente inestable.

  • Nivel de Unidad de Negocio:Riesgos que afectan áreas específicas de la empresa.

Ejemplo: El área de TI implementa un sistema de seguridad para proteger sus servidores de ataques cibernéticos.

  • Nivel Operacional:Riesgos en la ejecución diaria de tareas y procesos.

Ejemplo: Un almacén identifica que el uso incorrecto de montacargas representa un alto riesgo de accidentes.

  • Nivel de Proyectos:Riesgos específicos dentro de iniciativas estratégicas.

Ejemplo: Un equipo de desarrollo de software detecta que no cumplir con los plazos podría retrasar el lanzamiento del producto.

  • Eje de los Objetivos Estratégicos: este eje representa q ué áreas del negocio se protegen mediante la gestión del riesgo y abarca:
  • Objetivos Estratégicos:Metas a largo plazo para el crecimiento y sostenibilidad del negocio.
    Ejemplo: Una empresa farmacéutica considera riesgos regulatorios antes de lanzar un nuevo medicamento.
  • Objetivos Operacionales:Acciones enfocadas en la eficiencia y la calidad de los procesos internos.
    Ejemplo: Un fabricante de autopartes introduce controles adicionales para reducir fallos en la producción.
  • Objetivos de Información:Asegurar que la información sea precisa y confiable para la toma de decisiones.
    Ejemplo: Una empresa financiera implementa un sistema para validar la exactitud de sus reportes contables.
  • Objetivos de Cumplimiento:Asegurar el cumplimiento de leyes, regulaciones y políticas internas.
  • Ejemplo:Una empresa minera adopta un plan de cumplimiento ambiental para reducir sanciones regulatorias.

 

NIST Cybersecurity Framework 

Este marco es flexible y se adapta a organizaciones de diversos tamaños y sectores, facilitando la gestión efectiva de los riesgos de ciberseguridad.​ Es un marco specializado en riesgos de ciberseguridad y tiene 3 componentes clave:

  • Marco central (core): en donde se defnen actividades y resultados de ciberseguridad organizados en cinco funciones:​ 
  • Identificar:Comprender y gestionar los riesgos de ciberseguridad en sistemas, activos, datos y capacidades.​
  • Proteger:Implementar salvaguardas para garantizar la entrega de servicios críticos.​
  • Detectar:Desarrollar actividades para identificar la ocurrencia de eventos de ciberseguridad.​
  • Responder:Tomar medidas respecto a incidentes de ciberseguridad detectados.​
  • Recuperar:Mantener planes de resiliencia y restaurar capacidades afectadas por incidentes de ciberseguridad.​
  • Perfiles: Permiten a las organizaciones alinear sus objetivos de ciberseguridad con los requisitos empresariales, tolerancia al riesgo y recursos disponibles.​
  • Niveles de Implementación: Ayudan a las organizaciones a evaluar la madurez de sus prácticas de ciberseguridad y guían la mejora continua.​

 

ITIL (Information Technology Infrastructure Library) versión 4

Es un marco de buenas prácticas para la gestión de servicios de TI que busca alinear los servicios de TI con las necesidades del negocio. En su cuarta versión, ITIL 4 introduce un enfoque más flexible y adaptado a metodologías modernas como Agile y DevOps.​

la Gestión de Riesgos es una de las 14 prácticas de gestión general. Esta práctica se centra en identificar, evaluar y mitigar los riesgos que puedan afectar a la organización, protegiendo la consecución de sus objetivos y la continuidad del negocio

Objetivo de la Gestión de Riesgos

Desde la perspectiva de ITIL 4, el objetivo principal es asegurar que la organización entienda y gestione sus riesgos de manera proactiva, minimizando amenazas y aprovechando oportunidades.​

Actividades Clave de la Gestión de Riesgos en ITIL 4

  • Identificación de Riesgos: Detectar posibles eventos que puedan afectar negativamente o positivamente a la organización.​
  • Evaluación de Riesgos: Analizar la probabilidad e impacto de cada riesgo para priorizar su tratamiento.​
  • Tratamiento de Riesgos: Desarrollar estrategias para mitigar, transferir, aceptar o evitar riesgos según su criticidad.​
  • Monitoreo y Revisión: Supervisar continuamente los riesgos y la eficacia de las medidas implementadas.​
  • Comunicación y Consulta: Informar y consultar a las partes interesadas sobre los riesgos y las acciones tomadas.​

 

Estándar para la gestión de riesgos en portafolios, programas y proyectos

El Project Management Institute (PMI) ha desarrollado el Estándar para la Gestión de Riesgos en Portafolios, Programas y Proyectos con el objetivo de proporcionar directrices claras y prácticas para identificar, evaluar y gestionar riesgos en estos tres niveles clave de la organización. ​

Estructura del Estándar 

Este estándar se centra en el “qué” de la gestión de riesgos, es decir, en las consideraciones esenciales para una gestión efectiva. Está diseñado para ser aplicado en:​

  • Portafolios:Conjuntos de proyectos y programas que se gestionan de manera coordinada para alcanzar objetivos estratégicos.​cl
  • Programas: Grupos de proyectos interrelacionados que se gestionan de forma conjunta para obtener beneficios y control que no se lograrían si se gestionaran por separado.​
  • Proyectos: Esfuerzos temporales con el propósito de crear un producto, servicio o resultado único.​ 

Principales Consideraciones del Estándar 

  • Principios Fundamentales: Define los principios esenciales para la gestión de riesgos efectiva en portafolios, programas y proyectos.​
  • Ciclo de Vida de la Gestión de Riesgos: Describe las fases desde la identificación hasta el monitoreo y control de riesgos.​
  • Aplicación en Diferentes Contextos: Ofrece pautas sobre cómo adaptar las prácticas de gestión de riesgos según el contexto específico de portafolios, programas y proyectos.​

Los estándares de clase mundial como ISO 31000, COSO ERM, NIST, ITIL 4 y el Estándar de Gestión de Riesgos del PMI comparten un enfoque común: todos promueven una gestión de riesgos proactiva, basada en la identificación, evaluación y tratamiento de amenazas que puedan afectar el cumplimiento de los objetivos organizacionales.

Además, enfatizan la importancia de integrar la gestión de riesgos en la toma de decisiones estratégicas, fomentar una cultura organizacional que valore la prevención y garantizar una comunicación clara y constante para involucrar a todos los niveles de la empresa en la identificación y respuesta ante riesgos.

Esta visión integral convierte la gestión del riesgo en un motor para la mejora continua y el crecimiento sostenible.

¿Por qué todos los colaboradores deben estar conscientes de los riesgos?

A menudo, los colaboradores consideran que la gestión de riesgos es tarea exclusiva del equipo directivo o de auditoría. Sin embargo, esto no podría estar más alejado de la realidad.

  1. Los colaboradores son la primera línea de defensa

Todos los colaboradores de la empresa, en cualquier nivel en que se encuentren posicionados, deben estar alertas para identificar de forma proactiva los riesgos o situaciones emergentes que sucedan para actuar de forma temprana.

  • Ejemplo: Un colaborador del área de servicio al cliente puede notar quejas recurrentes sobre un producto, lo que podría ser indicativo de un problema mayor.
  1. La cultura organizacional depende de la conciencia del riesgo

Cuando todos los colaboradores sean conscientes y estén capacitados para identificar riesgos, se fortalece una cultura organizacional que promueve la prevención y la proactividad.

  1. La seguridad digital está en manos de todos

Los ciberataques se aprovechan frecuentemente de errores humanos, como el uso de contraseñas débiles o la apertura de correos electrónicos fraudulentos.

  1. Los errores humanos también son riesgos

Un pequeño descuido en un procedimiento puede desencadenar grandes problemas. Cuando los colaboradores entienden los riesgos asociados a sus actividades, tienden a ser más cuidadosos.

  1. La innovación segura depende del entendimiento del riesgo

Las empresas que fomentan la innovación sin evaluar los riesgos asociados pueden poner en peligro su estabilidad financiera o su reputación. Los equipos conscientes del riesgo contribuyen a que la innovación se realice de forma segura.

¿Cómo fomentar la conciencia sobre los riesgos en los colaboradores?

  1. Programa de comunicación permamente: La organización debe establecer un programa de comunicación en donde se envíen mensajes continuos para conscientizar sobre el riesgo y la importancia de tener una mentalidad de riesgos. Incluso debe ir más allá, informando los riesgos que se pudieron manejar con oportunidad y reconocer a los colaboradores que hayan tenido una participación excepcional en el manejo de los riesgos. 
  1. Capacitaciones continuas: Implementar programas educativos que expliquen los tipos de riesgos y cómo identificarlos en el día a día.
  1. Fomentar la comunicación abierta:Crear espacios donde los colaboradores se sientan seguros para reportar señales de alerta sin temor a represalias.
  1. Incluir la gestión de riesgos en los objetivos del personal: Relacionar el cumplimiento de buenas prácticas de prevención con las evaluaciones de desempeño.
  1. Uso de simulaciones y escenarios: Los ejercicios prácticos permiten que los empleados comprendan mejor cómo actuar ante un riesgo potencial.

 

¿Estás listo para llevar la gestión de riesgos al siguiente nivel?

Las empresas de hoy no navegan en aguas tranquilas; los cambios y las incertidumbres son parte del día a día. En este contexto, cada colaborador se convierte en un radar clave para identificar y manejar riesgos antes de que se conviertan en problemas mayores. Anticipar, prevenir y actuar a tiempo ya no es solo una habilidad deseable, es una necesidad para proteger el rumbo y el éxito de la organización.

Nuestro programa Proyectum PMI-RMP® Prep está diseñado para preparar a tus líderes, gerentes y equipos clave en la gestión profesional de riesgos, brindándoles herramientas prácticas que se traducen en decisiones más informadas y seguras.

  • Minimiza pérdidas y maximiza oportunidades.
  • Desarrolla una cultura organizacional orientada a la prevención.
  • Asegura la continuidad de tus proyectos estratégicos.

Invierte en el conocimiento que protegerá tu empresa.

Agenda una llamada con nosotros y descubre cómo nuestro programa PMI-RMP® Prep puede fortalecer la gestión de riesgos en tu organización.

 

Comentarios

comentarios

Author

Jorge es autor del libro "El Camino hacia la PMO Ágil". Es Coautor de un modelo sistémico para la evaluación y mejora del Ecosistema Organizacional de Dirección de de Proyectos. Ha sido consultor, instructor y facilitador desde 2005 en temas relacionados con Estrategia, Dirección de Proyectos y Optimización de Procesos de Negocio. Igualmente es contador de historias y frecuentemente participa en diversos foros, compartiendo sus reflexiones. Jorge es miembro de importantes organizaciones como el PMI y el NTL Institute. Además, cuenta con varias certificaciones como la de PMP, Systems Thinking, Agile Leadership, entre muchas otras.