Professional Documents
Culture Documents
◘ RESUMEN
Este artículo explorará la gestión de riesgos en el entorno empresarial colombiano y
la cultura en torno a este concepto. El punto de interés está enfocado en los peligros
y amenazas que pueden generar daños en la organización, personas y propiedad.
Del mismo modo, y no menos importante, se abordarán asuntos relacionados con el
manejo del nivel de incertidumbre y con los peligros latentes en la gestión de riesgos,
esto con el propósito de evidenciar la importancia y lo indispensable que es saber
gestionar el riesgo mediantes buenas prácticas dentro de la cultura organizacional.
Para alcanzar el objetivo propuesto se revisa el concepto de identificación de amenazas,
enmarcado dentro de las metodologías de gestión del riesgo. De esta manera se
analizan las metodologías actualmente aceptadas para realizar el proceso de análisis
e identificación de riesgos en el ámbito corporativo y organizacional, lo cual constituye
una aplicación práctica en los resultados de esta publicación.
1 Artículo original de investigación del grupo Sistemas de Información y Sociedad del Conocimiento SISCO de la Uni-
versidad Católica Luis Amigó en Medellín-Colombia y financiado por la misma universidad en el año 2016. Proyecto Interinsti-
tucional de Colaboración Empresa-Universidad
2 Doctor en Ingeniería Eléctrica por la Universidad de Zaragoza, España, Magíster en Ingeniería de Sistemas e Ing-
eniero Electricista de la Universidad Nacional de Colombia, Sede Medellín. Líder de Proyectos Electromecánicos en SEDIC S.A.
3 Ingeniera de Sistemas por la Universidad Católica Luis Amigó de Medellín. Asistente de Investigación en la misma
Universidad. Email: eliana.riosgo@amigo.edu.co
4 Ingeniero de Sistemas por la Universidad Católica Luis Amigó de Medellín. Asistente de Investigación en la misma
Universidad. Email: julio.acevedomo@amigo.edu.co
Autor para correspondencia: Gabriel Jaime Correa Henao. Email: gcorrea@sedic.com.co
22
Journal of Engineering and Technology
Evolución de la cultura de la gestión de riesgos en el entorno empresarial colombiano
23
Journal of Engineering and Technology
E. Ríos et al. / J. Eng. Technol. Vol.6, N°1. (2017) - ISSN: 2256-3903
La gestión de riesgos puede ser tomada como “La gestión de riesgos se reconoce como
una ciencia administrativa que se configura una parte integral de las buenas prácticas de
haciendo uso de métodos científicos con el gestión. Es un proceso iterativo compuesto
propósito de disminuir el fracaso en un mundo por una serie de pasos que, si se ejecutan
subjetivo y complejo, lleno de variables, y que en secuencia, permiten la mejora continua
permite tomar decisiones, soportadas en en la toma de decisiones” (Icontec, 2004).
datos, dentro de la organización (Mohamed, Para Hermansson “todos los riesgos pueden
Alí & Tam, 2009). Hermansson (2012) ser descritos de varias maneras diferentes
define el riesgo como “algo negativo que y si implica juicios de valor y emociones, la
puede suceder en el futuro. En esta revisión objetividad ideal no debe ser abandonada”
se tienen en cuenta las cuatro dimensiones (Hermansson, 2012). Según el Icontec:
aplicables a la gestión del riesgo (certeza,
tiempo, resultados y complejidad) y se La gestión del riesgo es el término aplicado
armoniza el tema con su evolución y en los a un método lógico y sistemático para
patrones culturales conformados a nivel el establecimiento del contexto, identificación,
empresarial en Iberoamérica y Colombia. análisis, evaluación, tratamiento,
Parte de la motivación para generar esta monitoreo y comunicación de los riesgos
revisión corresponde con el hallazgo de asociados con cualquier actividad
hitos evolutivos que han propiciado los función y proceso, de forma que posibilite que
diferentes estudios sobre la gestión de las organizaciones minimicen pérdidas y
riesgos y la instauración de una cultura de maximicen oportunidades. La gestión de
gestión de riesgo empresarial. Asímismo, riesgo tiene que ver tanto con la identificación
se acomete una aproximación científica que de oportunidades como con la p revención
permite incorporar la incertidumbre en los o mitigación de pérdidas. (Icontec, 2004).
esquemas administrativos, para favorecer la
minimización de los riesgos en los procesos Recientemente se ha establecido técnicas
de toma de decisiones. de gestión del riesgo y su vulnerabilidad
analizando herramientas y marcos de
En esencia, esta revisión aborda la gestión relacionados con la negociación no
importancia de los sistemas de gestión sólo con los acontecimientos accidentales,
de riesgos, partiendo de que el riesgo es sino también con los problemas de seguridad
inherente a la actividad empresarial. Por tal (Aven, 2007). Existen diversas definiciones
motivo el objetivo y propósito de este artículo de riesgo con múltiples clasificaciones del
es estudiar esos mecanismos, propuestas término, esto debido a que se han realizado
y las diferentes políticas de control que se estudios sobre este tema desde diferentes
incorporan en las diferentes organizaciones y áreas del saber, como la ingeniería, por
que a través del tiempo se han ido integrando ejemplo (Aven, 2010). En contexto, la
en las diversas áreas corporativas. creación de las clasificaciones de los riesgos
se puede hacer inicialmente en función de
su categoría (política, económica, financiera
24
Journal of Engineering and Technology
Evolución de la cultura de la gestión de riesgos en el entorno empresarial colombiano
25
Journal of Engineering and Technology
E. Ríos et al. / J. Eng. Technol. Vol.6, N°1. (2017) - ISSN: 2256-3903
riesgo que la gente posee (Starren et al., Revisión sistemática sobre guías para
2013). Por ejemplo, muchos autores han gestión de riesgos corporativos
demostrado que los accidentes previos de
los trabajadores hacen que se modifique la La revisión de herramientas y metodologías
percepción del riesgo en el trabajo de forma para la etapa de identificación, evaluación
positiva (Gucer, Oliver & McDiarmid, 2003). y tratamiento de riesgos se centra
específicamente en los sistemas de
Por su parte, Linton & Halldén (1998) y administración corporativa. Esto se efectúa
Yeung, Genaidy, Deddens & Alhemood a partir de la revisión del estado del arte
(2002) llegaron a resultados similares en metodologías para gestión de riesgos,
desde un punto de vista ergonómico. presentada previamente en el marco teórico
de este artículo, cuyo resultado puede
verificarse en la tabla 1.
28
Journal of Engineering and Technology
Evolución de la cultura de la gestión de riesgos en el entorno empresarial colombiano
Técnica/
Publicación Clasificación Metodología de Identificación de Riesgos Estrategia de Respuesta
Norma
Detección Operacionales Se aplican las recomendaciones del Establecer con suficientes
de riesgos Comité para la Supervisión Bancaria bases la existencia de RO dentro del
operacionales de Basilea (CBSB) del Banco de Pagos SEV y de su empresa más
en empresas del Internacionales (BPI) para la detección de importante,
sector eléctrico riesgos operacionales (RO) en empresas Corpoelec-EDELCA, se considera
aplicando las del sector eléctrico, con la finalidad de pertinente la realización de
recomendaciones establecer su exposición a este tipo de posteriores estudios fundamentados
del comité de riesgo financiero. en las directrices del Comité para la
Basilea (Torres, Supervisión Bancaria de Basilea.
Monroy, Solana
& García-Miguel,
2013)
Riesgo Cibernético Transferencia Riesgo El riesgo cibernético se ha convertido • Algunas exposiciones pueden ser
(Solutions, 2013.) del riesgo cibernético en un asunto importante para muchas transferidas por contrato al utilizar
cibernético al organizaciones a medida que aumenta la servicios externos.
seguro. concienciación sobre la computación en la • Existen soluciones de seguros
nube, los medios sociales, las políticas que si el proveedor no asume la
les permiten a responsabilidad
los empleados usar sus propios • El mercado evoluciona para brindar
dispositivos, ‘big data’ y el espionaje soluciones de servicios, incluyendo
sancionado por el estado. En un ambiente recursos para la pérdida de control,
en el que aumentan las medidas punitivas entrenadores sobre violaciones de
y reglamentarias, y ante los frecuentes datos, recursos dedicados de
requisitos contractuales de seguros que reclamación, paneles preaprobados
especifican la responsabilidad cibernética, de vendedores y proveedores
las empresas de avanzada están tomado de servicios para atender cada
pasos elemento de la respuesta al
proactivos para explorar y transferir el incumplimiento.
riesgo cibernético.
Metodología y Metodología: Riesgo Mostrar un marco de referencia Para tomar la decisión sobre qué
gobierno de la OCTAVE tecnológico en cuanto a estándares, normas, tipo de estrategia utilizar, se hace
gestión de (Operationally reglamentaciones, entre necesario realizar un análisis
riesgos de Critical otros, relevantes al análisis de riesgos. de cada riesgo para conocer y
tecnologías de Threat, Asset Compartir una metodología comprobada cuantificar el impacto de que
la información and con casos de éxitos a nivel internacional, el riesgo se lleve a cabo, así como su
(Gómez, Pérez, Vulnerability sobre cómo llevar a cabo un análisis probabilidad de ocurrencia. Ahora,
Donoso, Herrera & Evaluation) de riesgos. Indicar los aspectos más estas decisiones de qué hacer con
Herrera, 2010) relevantes del gobierno de TI respecto a la los riesgos deben estar alineadas
gestión de los riesgos. con el esquema
estratégico de la organización; esto
significa que el gobierno de TI es una
pieza clave dentro de este proceso,
para asegurar la pertinencia y el
éxito de las
decisiones que se tomen respecto a
los riesgos.
El riesgo Análisis de Riesgos Analizar los retos que imponen al sector
asegurable riesgos emergentes asegurador tradicional los riesgos
y los riesgos de la era emergentes de la era tecnológica, con
emergentes de las tecnológica especial referencia a los daños causados
nuevas tecnologías al medio ambiente y los daños ecológicos
(Zornosa, 2009) en general.
29
Journal of Engineering and Technology
E. Ríos et al. / J. Eng. Technol. Vol.6, N°1. (2017) - ISSN: 2256-3903
Técnica/
Publicación Clasificación Metodología de Identificación de Riesgos Estrategia de Respuesta
Norma
Riesgos de origen Riesgo Respuesta a los siguientes interrogantes: Destacar la importancia y
tecnológico: tecnológico ¿qué se entiende por riesgo? Más complejidad que ha alcanzado el
apuntes exactamente, ¿qué se entiende por debate en torno al concepto en
conceptuales para riesgo tecnológico? ¿Cómo se interpreta mención, lo cual se ve plasmado
una definición, este concepto que ha llamado la en la pluralidad de enfoques y
caracterización y atención de legos y expertos?, ¿Qué aproximaciones teóricas que
reconocimiento de elementos componen la noción de riesgo prosperan analizando el riesgo
las perspectivas tecnológico?, ¿Qué relevancia mantiene derivado de eventos tecnológicos;
del estudio del el estudio de este concepto en el mundo iniciativa que debe ser entendida
riesgo tecnológico contemporáneo? como un intento por ahondar en (y
(Escobar, 2010) aportar elementos de análisis a) el
intrincado escenario de conflictividad
social y ambiental contemporáneo.
Coso II y la gestión Enterprose Gestión Ambiente interno Conocimiento
integral de riesgos Risk integral de los Establecimiento de objetivos Gestión
del negocio (Abella Management riesgos del Identificación de acontecimientos Identificación proactiva
Rubio, 2006) Framework negocio Evaluación de riesgos Respuesta
(ERM o COSO Respuesta al riesgo Ayuda
III) Actividades de control Asignación
Información y comunicación Toma de decisiones
Supervisión Mejor provisión
Mayor identificación
Establecimiento
Aumento de la credibilidad
Mejora de la reputación
Mayor probabilidad
Análisis de riesgos ISO 23335- Seguridad de Análisis de riesgos. Diseño y desarrollo de una
de seguridad de 2.97 la información herramienta informática de soporte,
la información que permite aplicar la metodología
(Méndez Morales, para el análisis de riesgos en una
2011) organización de forma eficaz y
eficiente.
Hacia una Ley Sarbanes Risk Identificar, medir, monitorear y mitigar El desafío para la región es la
cultura de Risk Oxley (SOX) Management riesgos. creación de una cultura de riesgos
Management Basilea II como elemento clave.
(Roisenzvit, 2006) y proceso
de Risk
Management
Enterprise
Risk
Management
(ERM)
Gestión integral SGIR Riesgos Sistema de Gestión Integral del Riesgo. Implementación de un SGIR como
de riesgos corporativos un proceso estratégico ante la
corporativos como necesidad de revisar la salud de
fuente de ventaja las prácticas actuales de la gestión
competitiva: cultura de riesgos con el objetivo de que el
positiva del riesgo entorno empresarial reconozca el
y reorganización desequilibrio actual entre estrategia
estructural empresarial, cultura de riesgo y
(Martínez, 2009) estructura.
30
Journal of Engineering and Technology
Evolución de la cultura de la gestión de riesgos en el entorno empresarial colombiano
31
Journal of Engineering and Technology
E. Ríos et al. / J. Eng. Technol. Vol.6, N°1. (2017) - ISSN: 2256-3903
32
Journal of Engineering and Technology
Evolución de la cultura de la gestión de riesgos en el entorno empresarial colombiano
33
Journal of Engineering and Technology
E. Ríos et al. / J. Eng. Technol. Vol.6, N°1. (2017) - ISSN: 2256-3903
34
Journal of Engineering and Technology
Evolución de la cultura de la gestión de riesgos en el entorno empresarial colombiano
35
Journal of Engineering and Technology
E. Ríos et al. / J. Eng. Technol. Vol.6, N°1. (2017) - ISSN: 2256-3903
36
Journal of Engineering and Technology
Evolución de la cultura de la gestión de riesgos en el entorno empresarial colombiano
37
Journal of Engineering and Technology
E. Ríos et al. / J. Eng. Technol. Vol.6, N°1. (2017) - ISSN: 2256-3903
38
Journal of Engineering and Technology
Evolución de la cultura de la gestión de riesgos en el entorno empresarial colombiano
39
Journal of Engineering and Technology
E. Ríos et al. / J. Eng. Technol. Vol.6, N°1. (2017) - ISSN: 2256-3903
Las empresas colombianas han incluido en and vulnerability analysis covering both safety
sus procesos organizacionales la gestión de and security. Reliability engineering & System
riesgos como política que permite identificar safety, 92 (6), 745-754.
mecanismos de tipificación y valoración
del riesgo para menguar la frecuencia y la Aven, T. (2010). On how to define, understand
severidad de los mismos logrando generar and describe risk. Reliability Engineering &
sistemas de control interno que, finalmente, System Safety, 95 (6), 623-631.
se convierten en el camino que señala el
cumplimiento de sus objetivos misionales. Baracaldo-Lozano, N. A. (2013). Diagnóstico
Todo esto enmarcado en la normatividad de gobierno corporativo como mecanismo
vigente y en estándares internacionales, con en la prevención del fraude. Cuadernos
los cuales deben cumplir las organizaciones Contables, 14(35), 581-615.
para su certificación en gestión de riesgos y
su competitividad en el mercado. Bourque, L.; Regan, R.; Kelley, M.; Wood, M.;
Kano, M. & Mileti, D. (2012). An examination
of the effect of perceived risk on preparedness
◘ Referencias behavior. Environment and Behavior.
Abella Rubio, R. (2006). COSO II y la gestión Brewer, N.; Weinstein, N.; Cuite, C. &
integral de riesgos del negocio. Estrategia Herrington, J. (2004). Risk perceptions
financiera, (225), 20-25. and their relation to risk behavior. Annals of
Behavioral Med., 27 (2), 125-130.
Albanese, D. E. (2012). Análisis y evaluación
de riesgos: aplicación de una matriz de Briceño, F.; & Godoy, E. (2012). Riesgos
riesgo en el marco de un plan de prevención laborales: un nuevo desafío para la gerencia.
contra el lavado de activos. BASE - Revista de International Journal of Good Conscience, 7
Administração e Contabilidade da Unisinos, (1), 38-56.
9 (3), 206-215. http://doi.org/10.4013/
base.2012.93.01 BSI (British Standards Institution). (2015).
Sistema de Gestión en Seguridad y Salud
Arango Soler, J. M.; Luna García, J. E.; Correa- Ocupacional – Requisitos Contenido.
Moreno, Y. A. & Campos, A. C. (2013). Marco
legal de los riesgos profesionales y la salud Cardona, O. (2001). La necesidad de
ocupacional en colombia, Siglo XX. Journal of repensar de manera holística los conceptos
Public Health, 15 (3), 354-365. de vulnerabilidad y riesgo. Una crítica y una
revisión necesaria para la gestión. Centro de
Arezes, P. & Bizarro, M. (2011). Alcohol Estudios sobre Desastres y Riesgos, 1-18.
consumption and risk perception in the Recuperado de: http://www.desenredando.
Portuguese construction industry. The Open org/public/articulos/2001/repvuln/
Occupational Health & Safety, 3 (1-2), 10-17. RepensarVulnerabilidadyRiesgo-1.0.0.pdf
Aven, T. (2007). A unified framework for risk Casares, I. (2013). Proceso de gestión
40
Journal of Engineering and Technology
Evolución de la cultura de la gestión de riesgos en el entorno empresarial colombiano
41
Journal of Engineering and Technology
E. Ríos et al. / J. Eng. Technol. Vol.6, N°1. (2017) - ISSN: 2256-3903
42
Journal of Engineering and Technology
Evolución de la cultura de la gestión de riesgos en el entorno empresarial colombiano
Lund, J., & Aarø, L. (2004). Accident de la seguridad y salud en el trabajo: más
prevention. Presentation of a model placing que semántica, una transformación del
emphasis on human, structural and cultural sistema general de riesgos laborales. Revista
factors. Safety Science, 42 (4), 271-324. INNOVAR, 23 (48), 21-32.
Mejía Quijano, R. (2012). La administración Núñez Mora, J. & Chávez Gudiño, J. (2010).
de riesgos empresariales. AD-minister, (5). Riesgo operativo: esquema de gestión y
modelado del riesgo. Análisis Económico, 25
Méndez Morales, L. (2011). Análisis de (58), 123–157.
riesgos de seguridad de la información.
Agenda. Olarte, J. C. (2006). Incertidumbre y
evaluacion de riesgos financieros. Scientia Et
Ministerio de Minas y Energía. (2013). Technica, 3 (32), 347-350.
Reglamento Técnico de Instalaciones
Eléctricas (RETIE), Bogotá: El Ministerio.. Otway, H. & Winterfeldt, D. (1992). Expert
judgment in risk analysis and management:
Mohamed, S.; Ali, T. & Tam, W. (2009). process, context, and pitfalls. Risk analysis,
National culture and safe work behaviour 12 (1), 83-93.
of construction workers in Pakistan. Safety
Science, 47 (1), 29-35. Prislan, K. & Bernik, I. (2010). Risk
Management with ISO 27000 standards in
Molano Velandia, J. y Arévalo Pinilla, N. Information Security. Information Security,
(2013). De la salud ocupacional a la gestión 58-63.
43
Journal of Engineering and Technology
E. Ríos et al. / J. Eng. Technol. Vol.6, N°1. (2017) - ISSN: 2256-3903
Ramírez Castro, A. & Ortiz Bayona, Z. (2011). Rundmo, T. (2000). Safety climate, attitudes
Gestión de riesgos tecnológicos basada en and risk perception in Norsk Hydro. Safety
ISO 31000 e ISO 27005 y su aporte a la science, 34 (1-3), 47-59.
continuidad de negocios. Ingeniería, 16 (2),
56-66. Sánchez, L. (2016). COSO ERM y la gestión
de riesgos. Quipukamayoc, 23(44), 23-44.
Reisinger, Y. & Mavondo, F. (2005). Travel
anxiety and intentions to travel internationally: Sjöberg, L. (1998). Risk perception of
Implications of travel risk perception. Journal alcohol consumption. Alcoholism-Clinical
of Travel Research. and Experimental ResearcH, 22 (7 suppl.),
277s-284s.
Rodríguez, Y. B.; Robaina, D. A.; Pérez Barnés,
A. & Pérez, M. A. (2014). Modelo de dirección Solutions, A. R. (2013). Riesgo Cibernético.
estratégica basado en la administración de
riesgos. Strategic Management model based Starr, C. (2003). The precautionary principle
on the Risks Management, 35 (3), 344-357. versus risk analysis. Risk Analysis, 23 (1), 1-3..
Rodríguez López, M. & Piñeiro Sánchez, C. Starren, A., Hornikx, J., & Luijters, K. (2013).
(2013). Mapa de riesgos : identificación Occupational safety in multicultural teams
y gestión de riesgos. Revista Atlántica de and organizations: A research agenda. Safety
Economía, 2. science, 52, 43-49.
44
Journal of Engineering and Technology
Evolución de la cultura de la gestión de riesgos en el entorno empresarial colombiano
Ulloa, M. (2012). Riesgos del Trabajo en el manual handling workers. Spine, 27 (19),
Sistema de Gestión de Calidad. Ingeniería 166-172
Industrial, XXXIII (2), 100-111.
Zimbardo, P., & Leippe, M. (1991). The
Uribe, R. P., & Bejarano, A. (2013). Sistema de psychology of attitude change and social
gestión ambiental: Serie ISO 14000. Revista influence. ISBN-10: 0070728771
EAN, 0 (62), 89-106.
Zornosa P, H. (2009). El riesgo asegurable
Yeung, S.; Genaidy, A.; Deddens, J. & Alhemood, y los riesgos emergentes de las nuevas
A. (2002). Prevalence of musculoskeletal tecnologías. Revista de Derecho Privado
symptoms in single and multiple body regions Externado, (17), 141-173.
and effects of perceived risk of injury among
45