Art Natalia_Montoya_Final-08-05-2023

Vista previa del material en texto

1 
 
La importancia de la gestion del riesgo operacional 
 
Natalia María Montoya Patiño1 
1Programa de Especialización en Alta Gerencia, Universidad Libre cohorte 70, Sede Belmonte, 
Pereira, Colombia 
Correo electrónico: nataliam-montoyap@unilibre.edu.co 
 
Resumen— La gestión del riesgo dentro de las organizaciones se define como el proceso que se 
lleva a cabo para identificar, calcular, analizar y cuantificar la probabilidad que tiene la entidad 
en una posible pérdida o efectos secundarios también llamados consecuencias. 
 La gestión del riesgo operacional se enfoca en la prevención y mitigación de pérdidas financieras 
y reputacionales asociadas con eventos imprevistos que pueden interrumpir la actividad normal de 
una organización. Este proceso implica la identificación y evaluación de riesgos, la 
implementación de controles para minimizarlos, el monitoreo continuo para asegurarse de que los 
controles sean efectivos y la revisión periódica para ajustar las estrategias de gestión de riesgos 
según sea necesario. 
Las organizaciones dentro de su entorno diariamente tienden a entrar en un reto, el cual consiste 
en su mejora continua para poder así mantenerse en el tiempo, vale aclarar que en la actualidad 
una organización para mantenerse en el tiempo debe procurar su viabilidad y mejora como una 
prioridad; para así lograr la comprensión y aprovechamiento de las oportunidades y generar 
beneficios dentro de una buena gestión del riesgo. Dicha gestión proporciona a las organizaciones 
una toma de decisiones correcta, basada en datos reales, analizados bajo fundamentos 
comprobables que proporcionan seguridad al momento de que las directivas de una organización 
deban llevar a cabo decisiones contundentes, que generan masificar los beneficios y mantener 
bajo control los riesgos detectados a los que la organización se puede enfrentar o se ha enfrentado 
y no desea volver a pasar por una situación paralela. 
 
Palabras clave—Activos, Amenazas, Beneficios, Oportunidades, Riesgos, Vulnerabilidad. 
 
Abstract— Risk management within organizations is defined as the process that is carried out 
to identify, calculate, analyze and quantify the probability that the entity has of a possible loss or 
secondary effects, also called consequences. 
 
2 
 
 Operational risk management focuses on the prevention and mitigation of financial and 
reputational losses associated with unforeseen events that can interrupt the normal activity of an 
organization. This process involves the identification and assessment of risks, the implementation 
of controls to minimize them, ongoing monitoring to ensure controls are effective, and periodic 
review to adjust risk management strategies as necessary. The organizations within their 
environment daily tend to enter into a challenge, which consists of their continuous improvement 
in order to be able to maintain themselves over time, it is worth clarifying that at present an 
organization, in order to maintain itself over time, must seek its viability and improvement as a 
priority; in order to achieve the understanding and use of opportunities and generate benefits 
within good risk management. Said management provides organizations with correct decision-
making, based on real data, analyzed under verifiable foundations that provide security when the 
directives of an organization must carry out forceful decisions, which generate mass benefits and 
keep costs under control. detected risks that the organization may face or has faced and does not 
want to go through a parallel situation again. 
 
Keywords— (Assets, Threats, Opportunities, Risks and Vulnerability) 
 
 
1. Introducción 
 
El presente artículo está enfocado principalmente en presentar una comprensión relevante 
al momento de gestionar el riesgo dentro de las organizaciones. A partir de allí, se pudo 
identificar por medio de diferentes autores como Castellanos (2007), Kurt (2013), Mallar (2010) 
quienes señalan que lograr el aprovechamiento de las oportunidades desde el análisis de los 
riesgos es fundamental para las empresas, dado que este es el momento en donde comprenden 
que, sin una cultura organizacional enfocada en la prevención de estos, podrían estar incurriendo 
o pasando por alto oportunidades de mejora o disminución de riesgos de mayor nivel. Lo 
esbozado consiste en generar una organización preventiva, teniendo identificados con mayor 
 
3 
 
precisión los riesgos biológicos, psicológicos y psicofísicos, además de otros en los cuales puede 
incurrir la organización. 
Así mismo, se analiza la importancia de la protección de los activos de la organización, 
así como las vulnerabilidades a las que se pueden enfrentar las empresas que no gestionan sus 
riesgos operacionales, pero también un análisis de las oportunidades frente a este tema. 
La gestión del riesgo operacional es un proceso integral que tiene como objetivo 
identificar, evaluar, controlar y monitorear los riesgos inherentes a las operaciones de una 
empresa. Estos riesgos pueden surgir por errores humanos, fallas en los sistemas y 
procesos, eventos externos o cualquier otra causa que pueda afectar la continuidad del 
negocio. (Warton, 1992) 
Por su parte, Castellanos (2007) expresa que: 
La gestión del riesgo busca masificar los beneficios, y sobre todo mantener los riesgos 
bajo control una vez son detectados, para lo cual utiliza el método SHELL que identifica 
el estado, características y condiciones de cada uno de los elementos que constituyen un 
peligro para la operación de la entidad. (p.33) 
De igual forma, Castellanos (2007) indica que “la facilidad de las organizaciones en 
asociar la palabra “Riesgo” con las palabras “Incertidumbre” o “Pérdida” (p.33). En diferentes 
circunstancias las organizaciones presentarán acontecimientos de angustia, pero ¿cómo 
realmente se ha manejado a lo largo del tiempo?, hay muchas preguntas que surgen del 
enunciado y simplemente es el hecho de que, si el riesgo está asociado con la incertidumbre o la 
pérdida, significa que la organización no cuenta con las herramientas ni prevenciones necesarias 
para suplirlos, a partir de lo cual se hace relevante su gestión. 
 
4 
 
Cuando se habla de gestión del riesgo, no solo se apunta a su identificación, sino a 
analizarlo y combatirlo, dilucidando si realmente es algo impredecible o puede la empresa 
afrontarlo sin ninguna novedad. Son múltiples los riesgos, que pueden ir desde fuertes desastres 
sobrenaturales, los cuales no son determinados con exactitud en fecha y hora, pero si se pueden 
generar prevenciones que brinden estabilidad a nivel del riesgo operacional, robos, pérdida de la 
información, inadecuadas inversiones, entre otras. 
 Kurt, (2013) expresan que el manejo del riesgo operacional, así como los mecanismos de 
control y mitigación son bastantes extensos e importantes debido no solo a las crisis que han 
acontecido en los mercados financieros e internacionales desde 1997, pasando por el 2001 y la 
última del 2008, teniendo en cuenta que el crecimiento de un país está en función no solo de los 
recursos con los que cuenta, el grado de inversión privada o gasto público en infraestructura, sino 
también, de la cultura, educación y conocimiento de los riesgos en las organizaciones, por lo que 
el reconocimiento de riesgo operativo se vuelve vital para la continuidad de los negocios. 
El riesgo operativo u operacional puede incluir una amplia gama de amenazas internas o 
externas, “como la perturbación a causa de desastres naturales, el fraude de los empleados, y las 
transacciones fallidas; (Kurt, 2013) siendo el aspecto operacional un factor que marcará la 
agenda global de los próximos años”. (p 60) 
Un óptimo funcionamiento de las gerencias de negocios, riesgos y operaciones incidirán 
en una adecuada gestión de los riesgos operacionales, gestión que puede integrarse con acciones 
de mejora y estabilidaden los ingresos de las firmas, así como en la reducción de costos, 
definiendo mejores perspectivas de estabilidad a largo plazo. Se considera que el riesgo 
operacional es la intersección de diversos factores, tales como fraudes, la discontinuidad de los 
 
5 
 
negocios, gestión adecuada de recursos humanos, responsabilidad legal, así como 
preocupaciones sobre el riesgo de reputación y gestión estratégica (Muñoz, 2017). 
Según Mallar (2010) expresa que la gestión por procesos no es un modelo ni una norma 
de referencias, sino un cuerpo de conocimiento con principios y herramientas específicas que 
permiten hacer realidad el concepto de que la calidad se gestiona, al orientar el esfuerzo de todos 
los objetivos comunes de la empresa y el cliente. El principal criterio para el diseño de los 
procesos es el de añadir valor tanto en los propios procesos como en las actividades que los 
integran. En este sentido, los procesos serán el norte de los esfuerzos de mejora para volverlos 
más fiables o mejorados, y que al ejecutarse periódicamente inducen eficacia en el 
funcionamiento de la organización. 
 
2. Reflexión 
2.1 Proteger los activos de la organización en pro de la operación eficiente de la 
organización. 
La prevención de pérdida de activos es una parte fundamental de la gestión de riesgos 
para las empresas, ya que esta puede tener un impacto significativo en la rentabilidad y en la 
continuidad del negocio. Los activos pueden incluir dinero en efectivo, equipo, inventario, 
propiedad intelectual y cualquier otra cosa que tenga valor para la empresa. 
Wharton (1992) habla sobre un interés creciente en los mecanismos para la cuantificación 
y comunicación del riesgo así: 
El manejo integral de riesgos o Gestión Integral de Riesgos (GIR) ha presentado una gran 
evolución en los últimos años, como consecuencia de la necesidad de conocer y manejar 
 
6 
 
los niveles de incertidumbre a los que está expuesto durante la ejecución de la estrategia y 
el cumplimiento de los objetivos, debido en gran parte al proceso de globalización, el cual 
ha ampliado considerablemente el espectro de oportunidades y también de riesgos a los 
que se enfrentan las empresas. (p.44) 
A su vez, Jorion (2007) expresa que “el riesgo puede ser definido como la volatilidad de 
los flujos financieros no esperados, generalmente derivada del valor de los activos o pasivos” 
(p.36). 
Se puede evidenciar que estos autores dan a conocer de manera diferente la importancia 
de la gestión del riesgo dentro de las organizaciones. Wharton (1992) habla de gestión integral de 
riesgos, y Jorion (2007) sobre la volatidad de flujos financieros, con lo cual se puede interpretar 
claramente que dentro de una organización pueden existir variados riesgos que pueden estar 
enfocados en diferentes áreas, generando un gran impacto de alerta para que las organizaciones 
elaboren un diagnostico individual en un tiempo determinado, visualizando además, el estado 
actual de su estructura organizacional para en el futuro proponer un analisis partiendo del 
historico en evidencias detectadas y preventivas. 
Por lo tanto, es importante conocer los diferentes riesgos a los cuales pueden estar 
expuestas las organizaciones con el fin de generar una cultura de prevención en la protección de 
los activos de las organizaciones. En este sentido, el riesgo de liquidez, está asociado a los 
activos o pasivos de la empresa, midiendo la capacidad de pago a corto plazo, es decir, se trata 
de observar la capacidad de la empresa para convertir sus activos corrientes en efectivo y 
similares para cumplir con sus obligaciones corrientes (Torres, 2013). 
Para llevar a cabo dentro de las organizaciones una gestión del riesgo adecuada, Silva 
(2011) expresa que, 
 
7 
 
Una Auditoría Interna completa ayudará a la administración en la toma de decisiones en 
forma oportuna, ya que le podrá brindar evaluaciones constantes sobre la precisión y 
eficacia con que se está cumpliendo el logro de los objetivos organizacionales, así como 
podrá proponer a la administración los métodos de control que considere convenientes 
para propiciar el apego a las políticas y medidas tomadas por ésta en su gestión y 
protección de sus activos y bienes. 
En resumen, es de considerar que la Auditoría Interna como función preventiva es el 
control de controles y ejerce, por lo tanto, procesos de auditoría financiera, de auditoría 
administrativa y de auditoría operacional y desarrolla funciones no sólo de supervisión y 
evaluación sino de asesoría a la gerencia y demás órganos internos de la organización. 
(p.19) 
Frente a lo mencionado, se vislumbra la importancia de una auditoria interna dentro de 
las organizaciones, debido a que ello genera confiabilidad al momento de presentar información 
y datos a las directivas de las mismas. 
La labor de una auditoria interna dentro de las empresas va dirigida hacia una gestión de 
prevención, y la prevención es uno de los pilares de la gestión del riesgo presentado en este 
artículo, cuyo enfoque es el servicio interno, el cual vela directamente por la adherencia de las 
politicas establecidas dentro de la organización con el fin de brindar completa garantía y 
veracidad en el cumplimiento de planes, políticas y procedimientos establecidos, por lo cual, esta 
auditoria ayuda indudablemennte a la gestión y cuidado de los activos de las organizaciones. Se 
debe tener presente que este cargo brinda una información clara del estado actual de los activos, 
la cantidad, si cumplen los parametros establecidos requeridos para el funcionamiento de la 
operación, y los procedimientos financieros. 
 
8 
 
Para concluir, en la prevención de los activos en las organizaciones, es importante 
recordar que es trata del proceso de seguimiento y mantenimiento de los activos, el cual incluye 
una correcta supervisión, reducción de costos en su funcionamiento y evaluación de su estado, 
para así minimizar en un porcentaje importante la perdida de inventarios por cuenta de una 
manipulación inadecuada, por fallas de los equipos sin prevención alguna, por pérdidas 
financieras por el tiempo de inactividad, o por la disminución sin duda alguna de la vida útil de 
los mismos. Lo señalado, se logra realizando una gestión correcta, en acompañamiento de las 
auditorias internas, las cuales son las alertas tempranas para llegar a tiempo y prevenir futuras 
inconformidades con procesos llevados erróneamente dentro de la compañía; por lo tanto, la 
prevención de la pérdida de activos es importante para garantizar la seguridad y continuidad del 
negocio. Las empresas deben implementar medidas adecuadas de seguridad y supervisión para 
reducir dicho riesgo y mitigar cualquier impacto negativo en la organización. 
2.2. Vulnerabilidad para las organizaciones que no gestionan sus posibles riesgos 
operacionales en la marcha de sus negocios. 
La identificación de vulnerabilidades es un paso crítico en la gestión de riesgos y en la 
planificación de la continuidad del negocio. Las medidas preventivas, como la implementación 
de controles de seguridad, el desarrollo de planes de contingencia y la capacitación del personal 
pueden ayudar a reducir el impacto de las amenazas y a mejorar la capacidad de recuperación 
ante posibles incidentes. 
En Colombia, se cuenta con la Ley 1523 de 2012 que expresa lo siguiente: 
El análisis y evaluación del riesgo implica la consideración de las causas y fuentes del 
riesgo, sus consecuencias y la probabilidad de que dichas consecuencias puedan ocurrir. 
 
9 
 
Es el modelo mediante el cual se relaciona la amenaza y la vulnerabilidad de los 
elementos expuestos, con el fin de determinar los posibles efectos sociales, económicos y 
ambientales y sus probabilidades”. (Art.4, p.2) 
Lo anterior, explica brevemente como una gestión del riesgo organizacional presenta una 
evaluación exhaustiva de las posibles amenazas y vulnerabilidadesque se pueden presentar en 
una organización. La realidad de las compañías es que presenten vulnerabilidad en sus manejos y 
procedimientos ejecutados de forma periódica, para lo cual es realmente necesaria la gestión del 
riesgo, dado que, si se analizan las políticas, los procedimientos y ejecuciones de las funciones 
correspondientes a cada uno de los cargos, seguramente se encontrará un diagnostico no muy 
alentador para una organización que no gestione sus riesgos, que no realice seguimiento a sus 
vulnerabilidades o amenazas, o incluso que no tenga conocimiento de cuáles son los riesgos mas 
inherentes a los que se puede enfrentar a corto, mediano o largo plazo; por lo tanto, se pretende 
en este artículo dar a conocer la importancia de la gestión de las vulnerabilidades dentro de las 
compañías. 
A su vez, Collins (2010) coautor de empresas que perduran, y autor de empresas que 
sobresalen, decidió escribir el libro cómo caen los poderosos, al ver que muchas empresas que 
habían sido exitosas y perduraron por décadas finalmente habían desaparecido. Según sus 
estudios, las etapas que pudo observar en la decadencia de estas compañías comprendían: 1) la 
arrogancia nacida del éxito; 2) la búsqueda indisciplinada de más; 3) la negación del riesgo y del 
peligro; 4) la búsqueda ansiosa de la salvación, y 5) la capitulación ante la irrelevancia o la 
muerte. Para el autor, 
[…] al entrar en la tercera etapa, las señales internas de alerta comienzan a acumularse, 
pero los resultados externos de la empresa siguen siendo lo suficientemente buenos como 
 
10 
 
para desechar los datos preocupantes o para sugerir que las dificultades son “transitorias” 
o “cíclicas” o “no tan malas”, y “no hay nada fundamentalmente mal”. En la tercera 
etapa, los directivos subestiman los datos negativos, amplifican los datos positivos y les 
imprimen un giro positivo a los datos ambiguos. Cuando la cúpula del poder comienza a 
poner en peligro la empresa al correr riesgos desmedidos y a actuar de una manera que 
desconoce las consecuencias de esos riesgos, se allana el camino hacia la cuarta etapa. (p. 
190029 
Por su parte, Fernandez (2010) muestra la importancia de conocer todos los posibles 
riesgos a los que se encuentra sometida una organización, debido a que los riesgos operacionales 
tienen la capacidad de unir elementos heterogéneos que generan exposiciones al riesgo, en donde 
se pueden encontrar posibilidades de fraude, falla en los procesos, mala gestión de recursos 
humanos y la reputación empresarial. 
Toda organización desarrolla su estrategia a través de un conjunto de actividades propias 
y diferenciales perfectamente integradas entre sí (Porter, 2008). Para esto, se plantean unos 
objetivos organizacionales clave para cumplir con las metas definidas por la alta dirección, los 
cuales son el reflejo de hacia dónde se pretende llegar en un futuro (Ambrosone, 2007). 
El cumplimiento de estos objetivos es común que se vea afectado por una serie de 
factores internos y externos que influyen de manera directa en su materialización, y que son 
conocidos con el término riesgo. La palabra riesgo es tan antigua como la propia existencia 
humana. En las condiciones actuales del mercado, el riesgo es inherente a la gestión empresarial, 
y se puede decir que su definición tradicional describe solo la parte negativa o peligrosa de este, 
la posibilidad de pérdida o de obtener un resultado no deseado (Tocabens, 2011). 
 
11 
 
Ambit Building Solutions Together S.A. (BST, 2022), expresa que la gestión de 
vulnerabilidades es un proceso muy importante que deben implementar las empresas para reducir 
los riesgos y amenazas sobre sus sistemas; esta no solo evalúa los riesgos y amenazas de 
seguridad, sino que se categoriza los activos y se clasifican las vulnerabilidades según su nivel de 
amenaza. Las principales ventajas que obtiene una empresa reduciendo sus vulnerabilidades son: 
• Es un proceso continuo que protege toda la superficie de ataque de una empresa. 
• Ofrecen una imagen global y real de los puntos débiles de la infraestructura que 
pueden ser utilizados por terceros con intenciones maliciosas. 
• Las herramientas para gestionar vulnerabilidades trabajan en la nube de forma 
mayoritaria, siendo sencillas de implementar y ofreciendo un buen nivel de 
escalabilidad (ampliables en caso de necesidad). 
• Este tipo de soluciones tienen un coste inicial de implementación reducido y los 
gastos que generan son bajos. 
• Las herramientas para gestionar vulnerabilidades son proactivas, monitorizando y 
escaneando en tiempo real para reducir los riesgos de exposición. (p.4) 
Siempre que se hace referencia a la palabra vulnerabilidad, automáticamente el cerebro 
humano lo relaciona con riesgos, falencias, fallas, procesos negativos que pueden traer 
consecuencias dentro de las compañías, y es realmente cierto, ya que este es un concepto 
complejo y extraño que representa una proyección, una posibilidad de algo que aún no ha 
sucedido; es una predicción que se realiza basándose en datos históricos y análisis de 
información que ayudan a la prevención de esta. En este sentido, surge un interrogante en torno a 
lo expresado, ¿Qué deben hacer las organizaciones para estar preparadas ante una amenaza de 
cualquier nivel? 
 
12 
 
Para dar solución a la pregunta anterior, se tiene certeza que la vulnerabilidad tiene 
relación con procesos que generan cambios o riesgos para los cuales no se está preparado, lo cual 
puede traer consigo consecuencias de carácter humano, financiero, físico o psicológico dentro de 
una organización, por lo tanto, las empresas tienen que prepararse para generar una gestión de 
prevención a través de un diagnóstico organizacional desde los cargos y áreas relacionadas que 
ayudan al funcionamiento de la empresa (Ambrosone, 2007) 
El control interno ha sido pensado esencialmente para limitar los riesgos que afectan las 
actividades de las organizaciones a través de la investigación y el análisis de los riesgos 
relevantes y del punto hasta el cual el control vigente los neutraliza, y se evalúa la vulnerabilidad 
del sistema. Con ese fin, debe adquirirse un conocimiento práctico de la entidad y sus 
componentes, de manera que se puedan identificar los puntos débiles al enfocar los riesgos tanto 
al nivel de la organización (interno y externo) como de la actividad. Asimismo, es preciso 
considerar que, dado que las condiciones en que las organizaciones se desenvuelven suelen sufrir 
variaciones, se necesitan mecanismos para detectar y encarar el tratamiento de los riesgos 
asociados con el cambio. (Cuenca, s.f.) 
Dicho esto, se deduce que la prevención es un factor importante para llevar consigo un 
plan de seguimiento que cumpla con las características necesarias para cada organización debido 
a que todas las empresas según su sector y manejo administrativo cuentan con riesgos y 
vulnerabilidades diferentes a las demás, esto quiere decir, que todas las compañías cuentan con 
sus propios riesgos; por lo tanto, no se puede ejecutar un plan de prevención el cual sea aplicable 
en varias entidades, debido a que este plan debe ser de forma específica y personalizada según la 
necesidad de la organización que se está tratando. 
 
13 
 
La vulnerabilidad de las organizaciones genera incertidumbres que combinadas con una 
mala gestión pueden conducir a pérdidas y provocar el cierre del negocio. La gestión de riesgos 
es un proceso que se aplica en toda la organización para identificar eventos potenciales. Cuando 
se habla de eventos, se debe pensar en todas las situaciones que pueden afectar negativamente a 
la empresa. En cuanto al enfoque del proceso de gestión de riesgos, este se basa en cumplir con 
los objetivos definidos por la organización; de hecho, estrategia y riesgo son términos que 
caminan juntos, por lo tanto, el plan de gestión de riesgos es una herramienta indispensable parael buen avance de la planificación estratégica de una organización. 
Dado que se puede concluir que una organización que no cuenta con un plan de gestión 
del riesgo puede llegar a incurrir en procesos negativos para su operación, simplemente por no 
tener una prevención o por no anticiparse a los riesgos y vulnerabilidades a los que se pueda 
enfrentar la compañía, cabe recordar que este simple desconocimiento o falta de interés en el 
plan de prevención puede traer consigo consecuencias que se pueden convertir en pérdidas 
financieras, pérdida total de la organización (quiebra), o pérdidas humanas. 
Es importante tener en cuenta que la eliminación completa de todas las vulnerabilidades 
es prácticamente imposible, por lo que es importante adoptar un enfoque de gestión de riesgos 
que incluya la evaluación continua de las vulnerabilidades y la implementación de medidas de 
mitigación apropiadas. 
 
2.3. Análisis de las oportunidades en gestión del riesgo. Fortalezas y oportunidades de 
anticiparse a la gestión del riesgo operacional organizacional. 
La gestión del riesgo no solo implica la identificación y mitigación de posibles amenazas 
o riesgos, sino también la identificación de oportunidades. Una oportunidad de gestión de riesgo 
 
14 
 
es una situación que, si se maneja adecuadamente, puede generar beneficios significativos para la 
organización. 
Hillson (2001) expresa que, algunas normas actuales se han desviado del supuesto de 
tratar el riesgo solo como algo negativo, incluyendo la posibilidad de que algunos de estos 
presenten tendencias positivas, o, oportunidades. La ISO 31000:2018 Fundamentos de gestión de 
riesgos (Icontec, 2018) por ejemplo, aclara que un riesgo puede ser positivo, negativo o ambos, y 
puede abordar, crear o resultar en amenazas y oportunidades. 
La identificación de riesgos permite prepararse ante las diversas amenazas para 
prevenirlas o responder ante ellas en forma planeada, y en muchas ocasiones genera 
oportunidades de cambio. Además, es posible que insinúe la viabilidad de incursionar en nuevas 
alternativas de negocios que respondan a riesgos emergentes y puedan ser contrarrestados 
(Mejía, 2013) 
Una oportunidad, también llamada riesgo positivo, es la posibilidad de que un evento 
ocurra y afecte en forma positiva el cumplimiento de los objetivos (Ambrosone, 2007). A menos 
que puedan ser identificadas, se vuelve difícil gestionar las oportunidades. Las personas que 
están acostumbradas a identificar amenazas pueden comenzar con ellas, y luego cuestionarse si 
su ausencia o su presencia podrían dar lugar a una oportunidad. 
En la gestión de riesgos se acostumbra a referirse a las amenazas y, en pocas o escasas 
ocasiones, a las oportunidades. Y aunque es claro en las definiciones de las normas ISO que se 
incluyen tanto los riesgos negativos como los positivos, no es común encontrar literatura referida 
a metodologías que aborden al mismo tiempo los riesgos y las oportunidades. Es por esto, por lo 
que el desarrollo de este artículo busca aportar un análisis de oportunidades a partir de la gestión 
 
15 
 
de riesgos, y así generar herramientas que permitan gestionar las oportunidades e integrarlas a la 
gestión de riesgos. 
Con la llegada del siglo XXI, se ha empezado a hablar del riesgo como un término 
general con dos caras: amenaza y oportunidad. La primera tiene efecto negativo y genera un 
impacto a la baja; y la segunda, un efecto positivo y genera un impacto al alza (Hillson, 2001). 
En este sentido, es necesario entender si el término riesgo debe abarcar tanto las 
amenazas como las oportunidades, o si el riesgo es exclusivamente negativo, ya que la 
oportunidad es cualitativamente distinta. 
Por lo anterior, se aborda el concepto de oportunidad, el cual se puede definir de las 
siguientes maneras: 
Las oportunidades son vías de acción para el cambio sistémico que impactan a las partes 
interesadas y le generan valor a la organización (AS, 2018) 
Son aquellos factores que resultan positivos, favorables, explotables, que se deben 
descubrir en el entorno en el que actúa la empresa, y que permiten obtener ventajas competitivas 
(Hillson, 2005). 
La oportunidad, propone que de ciertos riesgos pueden surgir sucesos que pueden ser 
explotados por la organización para lograr una consecución óptima de los objetivos planteados, y 
así agregarle valor a la misma (Hillson, 2005). 
La incertidumbre positiva es la capacidad para crear tu futuro, superando con éxito la 
inseguridad, el caos y el cambio. Es escoger tu opción con libertad, calma y atención plena, 
actuar, crear, confiar, disfrutar y prosperar (Pascual, 2020). 
En este punto, es necesario entender que, aunque la identificación de riesgos permite 
prepararse frente a los diversos riesgos para prevenirlos o mitigar ante ellos de manera planeada, 
 
16 
 
en muchas ocasiones la identificación también genera oportunidades de cambio (Vera Roalcaba, 
2019). 
Al momento de definir un sistema de tratamiento de riesgos se debe tener en cuenta como 
mínimo un funcionamiento efectivo y eficiente de la organización, unos controles internos 
efectivos, y asegurar que se es conforme con las leyes y reglamentos vigentes. No obstante, 
cuando se quiere categorizar los riesgos, su importancia como la de las oportunidades puede 
enfocarse tanto en probabilidad como en impacto. La única diferencia es que el impacto es 
positivo para una oportunidad, y es negativo para una amenaza (Hillson, 2013) 
La búsqueda proactiva de oportunidades se puede relacionar con las tendencias, si se 
tiene en cuenta que hoy en día las empresas se encuentran preocupadas por entender patrones, y 
posibles comportamientos que pueden llevar a diversas oportunidades de crecimiento y que 
permitan apalancar su estrategia organizacional (Tabares, 2014). 
Existen por lo menos cuatro maneras de identificar la posible presencia de oportunidades: 
• La ausencia de riesgos puede dar paso al surgimiento de oportunidades. 
• Ver las oportunidades como el inverso de los riesgos; es decir, vislumbrar el potencial 
positivo de las variables continuas que generen incertidumbre, en vez de catalogar un riesgo de 
incumplimiento desde el comienzo. Esto es, reconocer que el momento de máximo riesgo es 
también el momento de máxima oportunidad, lo que lleva a tener la capacidad para identificarlo 
y transformarlo en positivo (Slywotzky, 2008) 
• Tener claro que, aunque el tratamiento de los riesgos puede generar riesgos secundarios, 
hay que tener en cuenta que dicha acción, generada en el tratamiento, puede crear también una 
oportunidad. (Ambrosone, 2007) 
 
17 
 
• Por último, tener claro el concepto de oportunidades puras, las cuales no se relacionan 
con riesgos, ya que son cosas buenas que se puedan presentar (Hillson, 2005). 
Integrar las oportunidades a la gestión de riesgos, luego de identificadas, sería el paso 
siguiente para lograr integralidad entre ambos conceptos. El proceso para la gestión del riesgo 
(ERM, por sus siglas en inglés Enterprise Risk Management) propone en su concepto la gestión 
integrada de todos los riesgos a los que se enfrenta una organización, lo que, inherentemente, 
requiere alinear la gestión de riesgos con el gobierno corporativo y la estrategia (Bromiley, 2015) 
La ERM se desarrolló sobre la base de que cualquier evento que amenace los objetivos de 
una organización constituye un riesgo, y que estos riesgos pueden compararse. Una evaluación 
sistemática de estos riesgos puede luego alertar acerca de la formulación de una estrategia 
organizacional que, a corto y a largo plazo, aborde el riesgo para la organización (Haywood, 
2017). 
Además, la gestión del riesgo puede ayudar a las organizaciones a tomar decisiones más 
informadas y estratégicas, al considerar tanto los riesgos como las oportunidades. Por ejemplo, 
una organización puede identificar una oportunidad de diversificación de ingresos alingresar a 
un nuevo mercado, pero también puede identificar los riesgos asociados con ese mercado y 
desarrollar estrategias para mitigarlos. 
En resumen, la gestión del riesgo no solo se trata de evitar pérdidas o minimizar riesgos, 
sino también de identificar oportunidades que pueden mejorar la posición y el rendimiento de 
una organización. Una gestión adecuada del riesgo puede ayudar a las organizaciones a ser más 
resilientes, innovadoras y rentables. 
 
 
 
18 
 
3. Conclusiones 
 
El conocimiento adquirido durante la creación de este artículo servirá como apoyo para 
generar herramientas que permitan gestionar las oportunidades e integrarlas a la gestión de 
riesgos y asegurar el cumplimiento de los objetivos organizacionales. 
La gestión del riesgo operacional es uno de los principales interrogantes de una 
organización, por lo que es importante tomar medidas de prevención para reducir su impacto. 
Estas medidas pueden incluir la identificación y el análisis de los factores que contribuyen al 
riesgo, el desarrollo de procedimientos adecuados y la formación de los empleados. Además, es 
importante realizar un seguimiento del desempeño en la gestión del riesgo operacional para 
garantizar el cumplimiento de las normas y mejorar continuamente los procesos. 
La importancia de la gestión del riesgo dentro de las organizaciones proporciona 
información confiable sobre una auditoría interna que ayude al correcto funcionamiento y 
prevención de los activos. 
La ejecución de programas que ayuden a identificar o detectar los riesgos a los que la 
organización puede incurrir en sus procesos, y la verdadera importancia de las oportunidades que 
puede brindar a la organización una buena gestión, un buen planteamiento de posibles a los que 
la organización puede hacer partícipe. 
El reto principal para las organizaciones surge realmente en la implementación de 
sistemas integrados de gestión que ayuden a investigar y proporcionar información que ayuden 
con la ejecución y descubrimiento de falencias en procesos, procedimientos y oportunidades de 
mejora en cada una de ellas. 
 
 
 
19 
 
4. Referencias bibliográficas 
 
Ambrosone, M. (2007). La administración del Riesgo Empresarial: una responsabilidad de 
todos - El enfoque COSO. PricewaterhouseCoopers. 
AS, D. G. (2018). Global Opportunity Report 2018. Global Opportunity Report 2018: 
https://d306pr3pise04h.cloudfront.net/docs/publications%2FGlobal_Opportunity_Report
_2018.pdf 
Bolaños, I. C.-M. (2016). Introducción a la gestión integral de riesgos empresariales. Lima, 
Perú: Platinium Editorial S.A.C. 
BST, A. (01 de Febrero de 2022). AMBIT BST. AMBIT BST: https://www.ambit-
bst.com/blog/qu%C3%A9-es-la-gesti%C3%B3n-de-vulnerabilidades-definici%C3%B3n-
y-proceso 
Castellanos, J. (2007). Gestión del Riesgo Operacional. QSL DIVISION AVIACION Y 
PROYECTOS INTERNACIONALES, 1 (3), 32-33. 
Ciberseguridad, I. N. (Octubre de 2014). Plan de contingencia y continuidad de negocio. 
https://www.incibe.es/sites/default/files/contenidos/dosieres/metad_plan_de_contingencia
_y_continuidad_de_negocio.pdf 
Collins, J. (2010). Como caen los poderosos. Bogotá: Grupo Editorial Norma. 
Colombia, G. d. (24 de Abril de 2012). Función Pública. Función Pública: 
https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=47141 
Cuenca, H. C. (s.f.). Análisis Financiero del sector solidario. s.f.: Ecoe Ediciones. 
Fernandez, A. (2010). La gestión del riesgo operacional, De la teoría a su aplicación. Madrid: 
Limusa. 
Haywood, L. F. (02 de Febrero de 2017). Springer Link. 
https://link.springer.com/article/10.1007/s10669-017-9627-8 
 
20 
 
Hillson, D. (2001). Effective strategies for exploiting opportunities. https://risk-doctor.com/ 
Hillson, D. (2005). Cómo encontrar oportunidades. https://risk-doctor.com/ 
Hillson, D. (2013). Las oportunidades son igual que las amenazas. Las oportunidades son igual 
que las amenazas: https://risk-doctor.com/ 
Icontec. (2018). NTC-ISO 31000:2018. Gestión del Riesgo. Directrices. 
https://icontec.isolutions.iso.org/obp/ui#iso:std:iso:31000:ed-2:v1:es 
Jorión, P. (2007). Valor en riesgo: el nuevo punto de referencia para la gestión del riesgo 
financiero. McGraw-Hill, 3.ª edición. 
Jorión, P. (2010). Gestión de riesgos. Revisión anual de economía financiera 2. McGraw-Hill. 
Kurt Burneo, L. B. (2013). El riesgo operacional , SAE 16 y AS5: Herramientas de control y 
mejora. Strategy & Management Business Review. 
Luis F. Tabares, J. F. (2014). Big data analytics: Oportunidades, Retos y Tendencias. Cali. 
Mallar, M. A. (2010). LA GESTIÓN POR PROCESOS: UN ENFOQUE DE GESTIÓN 
EFICIENTE. Revista Cientifica "Visión de Futuro", 23. 
https://es.scribd.com/document/259038821/Gestion-Por-Procesos-Un-Enfoque-de-
Gestion-Eficiente 
Mejía, R. C. (2013). Identificación de riesgos. Medellín: Fondo Editorial Universidad EAFIT. 
https://www.eafit.edu.co/cultura-eafit/fondo-editorial/colecciones/Paginas/identificacion-
de-riesgos.aspx 
Muñoz, M. L. (2017). Gestión del riesgo como eje articulador de un sistema de gestión integrado 
en las pymes. Revista Espacios, 3 (12), 119. 
Pascual, A. (2020). Incertidumbre Positiva. Espasa. https://www.planetadelibros.com/libro-
incertidumbre-positiva/319731 
Porter, M. E. (2008). Las cinco fuerzas competitivas que le dan forma a la estrategia. Harvard 
Business Review. 
 
21 
 
https://utecno.files.wordpress.com/2014/05/las_5_fuerzas_competitivas-_michael_porter-
libre.pdf 
Silva, G. (2011). Administración de riesgos de negocios y auditoría interna. Montevideo. 
file:///E:/Art.%20Natalia%20Montoya/M-CD4280.pdf 
Slywotzky, A. (2008). Como convertir las grandes amenazas en oportunidades. New York: 
Norma. https://repositorio.fedepalma.org/handle/123456789/81357 
Tocabens, B. E. (2011). Definiciones acerca del riesgo y sus implicaciones. Revista Cubana de 
Higiene y Epidemiol, 49 (3), 470-481. http://scielo.sld.cu/pdf/hie/v49n3/hie14311.pdf 
Torres Orihuela, G. (2013). Tratado de Contabilidad Financiera. Lima: Marketing Consultores 
S.A. http://sisbiblio.utea.edu.pe/cgi-bin/koha/opac-detail.pl?biblionumber=10687 
Vera Roalcaba, R. M. (23 de Abril de 2019). Metodología para el Tratamiento de Riesgos 
Empresariales. Fondo Editorial - Universidad Nacional Jorge Basadre Grohmann. 
Warton, F. (1992). Gestión de riesgos: conceptos básicos y principios generales. J. y Wharton, 
F. https://dipecholac.net/docs/herramientas-proyecto-dipecho/el-salvador/C1-
CONCEPTOS-BASICOS-DE-GRD.pdf