1

UNIVERSIDAD EAN

GESTIÓN DE OPERACIONES Y ALINEACIÓN ESTRAÉGICA

MODULO 2 TRABAJO INDIVIDUAL

TUTOR:
HERNANDEZ COTE JOSE ALEJANDRO

ESTUDIANTES:
HENAO HINCAPIE LILIANA JANET
MANRIQUE ROJAS MIGUEL ANTONIO
REYES FRANCO JAVIER ALBERTO
REYES PICO GENY ESPERANZA
ROSERO SANTANDER IVAN DARIO

BOGOTÁ, AGOSTO DE 2023

 2

Desarrollo de la guía

APLICACIÓN DE MODELOS DE MADUREZ

Desarrollo por Miguel Manrique

MODELOS DE GESTION DE RIESGOS Y MADUREZ OPERACIONAL

Desarrollado por Geny Reyes

ANALISIS DE ARTICULO SELECCIONADO

Desarrollado por Ivan Rocero
 3

Lista de Figuras

Figura 1 Identificación gráfica del modelo “V”..............................................................................

Figura 2 Ejemplo Matriz DOFA...................................................................................................

Figura 3 Tabla de valoración........................................................................................................

Tabla 4 Tabla de calificación para los controles aplicados..........................................................

 4

MODELOS DE GESTION DE RIESGOS Y MADUREZ OPERACIONAL

La gestión de riesgos empresariales es la suma de estrategias que permiten a una

empresa identificar, prevenir y responder a eventos que pongan en riesgo sus operaciones
comerciales, productivas o internas. También son una herramienta para dar visibilidad a las
empresas de su entorno, cómo lo afecta y como bajo esto, pueden tomar mejores
decisiones.

La disciplina de la gestión de riesgos ha experimentado una evolución significativa

a lo largo de los años. Durante la Segunda Guerra Mundial, surgieron los primeros términos
relacionados con la gestión de riesgos, pero no fue hasta la década de 1970 que comenzó a
ganar mayor importancia. En 1974 se creó el Comité BASEL para supervisar los bancos y
en 1985 se estableció el COSO (Comité de Organizaciones Patrocinadoras de la Comisión
Treadway) en Estados Unidos para proporcionar orientación sobre la gestión ejecutiva y el
gobierno corporativo en aspectos críticos como la ética empresarial, el control interno, la
gestión de riesgos empresariales, el fraude y la información financiera. En 1986 se fundó el
Instituto de Gestión de Riesgos (IRM).

La evolución más significativa en la gestión de riesgos empresariales es que ahora

abarca no solo la identificación y evaluación de riesgos, sino también un tratamiento basado
en evaluaciones cualitativas y cuantitativas vinculadas a los objetivos estratégicos de la
organización. Basándose en esto, han surgido modelos de gestión de riesgos como un
marco para estructurar la forma en que las empresas pueden identificar, evaluar y mitigar
los riesgos a los que están expuestas. A continuación, se exponen dos de los más conocidos

Modelos de Gestión de Riesgos:

COSO:

El COSO (Committee of Sponsoring Organizations of the Treadway Commission)

es una organización que ha desarrollado un modelo de gestión de riesgos empresariales que
es ampliamente aceptado y utilizado en el mundo. El modelo se creó en 2004 y se actualizó
en 2017 para adaptarse a los cambios en la complejidad y naturaleza de los riesgos
empresariales. El modelo del COSO se enfoca en la integración de la gestión de riesgos con
la estrategia y el desempeño empresarial. Su propósito es ayudar a las empresas a crear,
conservar y realizar valor a través de una gestión eficaz de los riesgos. El modelo contiene
principios y conceptos que orientan a las empresas en la identificación, evaluación y
respuesta a los riesgos, así como en la integración de la gestión de riesgos en sus procesos y
decisiones empresariales.
Para aplicar el modelo de gestión de riesgos del COSO en una empresa, se deben
seguir los siguientes pasos:
1. Identificar y evaluar los riesgos: El primer paso es identificar y evaluar los
riesgos a los que está expuesta la empresa. Esto incluye tanto los riesgos internos como
externos, y puede involucrar la realización de un análisis de riesgos.
 5

2. Desarrollar una estrategia de gestión de riesgos: Una vez que se han

identificado y evaluado los riesgos, se debe desarrollar una estrategia para gestionarlos.
Esto puede incluir la implementación de controles internos, la transferencia de riesgos a
través de seguros o contratos, o la aceptación de ciertos riesgos.
3. Integrar la gestión de riesgos con la estrategia y el desempeño
empresarial: El modelo del COSO se centra en la integración de la gestión de riesgos con
la estrategia y el desempeño empresarial. Esto significa que la gestión de riesgos debe ser
parte integral del proceso de toma de decisiones y debe estar alineada con los objetivos y
metas de la empresa.
4. Monitorear y mejorar continuamente: Finalmente, es importante
monitorear continuamente el desempeño en la gestión de riesgos y buscar formas de
mejorar. Esto puede incluir la realización de auditorías internas o externas, o la
implementación de mejoras en los procesos y controles internos.

MODELO “V”

El modelo “V” es uno de los marcos más utilizados para la gestión de riesgos. Este
modelo se asemeja al utilizado en informática para el control, desarrollo y puesta en marcha
de proyectos. El proceso sigue un orden cronológico desde la definición del proyecto hasta
su implementación. A partir de este modelo y de la estratificación que se considera en él, se
pueden establecer métodos y soluciones para mitigar el riesgo

Su nombre se debe a su estructura, que se asemeja a la letra V. El modelo V define

el curso de un proyecto en fases individuales cada vez más detalladas. Al principio del
proyecto, el modelo prevé un análisis de las especificaciones del sistema planificado (fase
de especificaciones). El proyecto se completa después con requisitos funcionales y no
funcionales para la arquitectura del sistema (fase funcional). A esta fase le sigue el diseño
del sistema, en el que se planifican los componentes y las interfaces de este (fase de
diseño). (“Modelo V: definición, ventajas y áreas de aplicación - IONOS”)
 6

Figura 1. Identificación gráfica del modelo “V”

Este modelo asegura que existan políticas apropiadas de gestión de riesgos y un

marco de gobernanza.

MAPAS DE GESTIÓN DE RIESGOS

Dentro de las herramientas que se usan en los modelos de gestión para poder
visualizar y comprender de manera clara los riesgos a los que la organización está expuesta
y cómo responder ante ellos se encuentran los Mapas de gestión de Riesgos.

En esta herramienta de una manera gráfica se plasman los riesgos encontrados y se

asignan criterios de evaluación de estos riesgos como:

○ Impacto económico
○ Grado de probabilidad del suceso
○ Área de la empresa

Posteriormente y con el resultado, se deben establecer medidas de prevención y

medidas correctoras para cada caso en concreto, basándose en el resultado. Así, si algún
riesgo ocurre, cualquier empleado puede consultar el mapa de riesgos de la empresa y
actuar de forma rápida y segura.
 7

Pasos Claves en su elaboración

Matriz de identificación y control de riesgos: En ella se especifica de manera clara

a qué riesgos está expuesta la compañía, para su elaboración existen varias herramientas a
usadas, una de las más comunes es el DOFA Ejemplo:

Figura 2. Ejemplo Matriz DOFA.

Luego se lleva a cabo un Análisis y valoración del Riesgo. El riesgo se analiza

mediante la combinación de estimaciones de impacto y probabilidad de que el evento
ocurra y las medidas de control existentes para ese evento. La valoración o medición del
riesgo con control seguirá un método semi-cuantitativo donde el valor del riesgo resultará
 8

de multiplicar la “Probabilidad” por el “Impacto” acorde a la siguiente fórmula: Valor

del Riesgo= Probabilidad x Impacto

Figura 3. Tabla de valoración.

Luego de definir la probabilidad e impacto el cual arroja el riesgo inherente, se

debe registrar los controles existentes por cada riesgo.

Calificación de controles

Figura 4. Tabla de calificación para los controles aplicados.

Una vez analizados y evaluados los riesgos de los diferentes escenarios, se deben
tomar decisiones sobre cómo actuar sobre ellos. El tratamiento de los riesgos implica un
proceso cíclico de: Decisión sobre si los niveles de riesgo residual son tolerables; Si no son
tolerables, generación de un nuevo tratamiento para el riesgo; y Valoración de la eficacia de
dicho tratamiento. (“Estándares de Gestión de Riesgo | PDF | Toma de decisiones - Scribd”)

Con este tipo de herramientas las organizaciones modernas están más atentas a su
entorno y a cómo este influye en su operación y sus procesos. Esta visión les permite
 9

implementar acciones para mejorar sus procesos de negocio, que son las actividades
fundamentales que realizan para cumplir sus objetivos. Sin embargo, el desarrollo de estas
acciones no garantiza que los procesos de negocio sean excelentes o al menos buenos. Por
lo tanto, se requiere medir el desempeño de los procesos de negocio, es decir, la eficacia y
eficiencia con que se realizan.

Para medir el desempeño de los procesos de negocio, se introduce la noción de

madurez, que es una medida que indica el nivel de desarrollo y calidad de un proceso de
negocio. Un modelo de madurez es una herramienta que permite evaluar y mejorar las
habilidades, capacidades y competencias de una organización para gestionar sus procesos
de negocio. La madurez se ha estudiado desde diferentes enfoques, como los sistemas de
gestión de calidad, los programas de excelencia y el concepto de Business Process
Management (BPM), que se define como todos los esfuerzos de una organización para
analizar y mejorar continuamente sus procesos de negocio

Un proceso de negocio consiste en una serie de tareas o actividades que se llevan a

cabo para alcanzar un propósito determinado de la organización, como producir un
producto, servir a un cliente o efectuar una transacción. El BPM tiene como objetivo
optimizar el desempeño de los procesos de negocio, es decir, la capacidad y la calidad con
que se realizan, mediante el empleo de metodologías y tecnologías apropiadas.

El BPM se fundamenta en el ciclo de vida de los procesos de negocio, que incluye

las siguientes fases: descubrimiento, modelado, análisis, mejora, implementación y
monitoreo. En cada fase, se aplican herramientas y técnicas específicas para reconocer,
diseñar, simular, ejecutar, medir y controlar los procesos de negocio. El BPM también
supone la participación de las personas involucradas en los procesos, como los empleados,
los clientes y los proveedores
La relación entre los mapas de gestión de riesgos y la evaluación de desempeños de
madurez operacional es que ambos buscan fortalecer el sistema de control interno y la
gestión estratégica de la organización. Los mapas de gestión de riesgos ayudan a priorizar
los riesgos más relevantes y a establecer acciones de control para mitigarlos o prevenirlos.
La evaluación de desempeños de madurez operacional ayuda a verificar la efectividad y
eficiencia de las acciones de control y a identificar oportunidades de mejora y aprendizaje.
 10

Punto 3

Elabore un documento en Word de mínimo 3 hojas. Seleccione 1 de los artículos y

realice un análisis e identifique cómo incide en el cumplimiento de la estrategia
organizacional.

Artículo seleccionado. Tipos de riesgos operacionales en empresas

metalmecánicas. https://bit.ly/32ntNMRLinks to an external site.

Desarrollo:

Los riesgos operativos pueden afectar a una empresa de muchas maneras, la falla
de los equipos, la vulneración de la tecnología y sus sistemas de información, los errores
humanos y los eventos externos inesperados son solo algunos ejemplos de estos riesgos.
Estos eventos pueden tener un impacto significativo en la empresa, como la interrupción de
las operaciones, pérdidas financieras o daños a la reputación, por lo tanto, es fundamental
que las empresas identifiquen, evalúen y gestionen eficazmente estos riesgos para asegurar
su éxito a largo plazo.

Uno de los principales riesgos operativos está relacionado con la tecnología de la

información, estamos en una época donde la tecnología se ha convertido en una fuente de
soluciones a nuestras necesidades personales y organizacionales, la tecnología ha permitido
incrementar la eficiencia y la productividad en las empresas, ha contribuido al desarrollo de
tareas y procedimientos en un menor tiempo y con mayor capacidad de transmisión y
alcance, también permitió romper distancias conectando a las personas de manera
instantánea y ha brindado nuevas herramientas para el aprendizaje y desarrollo de
actividades laborales desde la virtualidad, sin embargo, proporcionalmente a sus múltiples
beneficios, también se ha desarrollado una serie de desventajas como la mayor dependencia
hacia estas herramientas y con ella nuevas formas de vulnerabilidad como los delitos
cibernéticos, el abuso y mal empleo de herramientas de información y hasta el incremento
de la contaminación.

Los ciberataques se han convertido en sucesos cotidianos, las noticias nacionales e

internacionales han manifestado múltiples ataques cibernéticos a grandes compañías y
gobiernos mediante técnicas digitales como el phishing, malware, ransomware entre otros,
 11

causando pérdidas financieras y daños a la reputación de las organizaciones. La privacidad

se ha convertido en otro punto de vulnerabilidad, la recopilación y almacenamiento de
grandes cantidades de datos personales ha incrementado considerablemente el riesgo de
violar la privacidad de los individuos, lo que puede conllevar a sanciones legales y pérdida
de confianza por parte de los clientes.

Se identifica también un riesgo en la dependencia de proveedores externos ya que

muchas empresas requieren de terceros para solventar sus servicios de TI, como
almacenamiento en la nube y soluciones de software. Una interrupción o incumplimiento
del servicio por parte de estos proveedores, puede afectar la capacidad de la compañía para
operar de manera efectiva.

Los riesgos asociados con la tecnología de la información deben ser considerados y

mitigados a través de estrategias de ciberseguridad, cumplimiento normativo y gestión de
riesgos adecuados.

Otro factor de riesgo está relacionado con los procesos y es que la tecnología
evoluciona de manera vertiginosa, lo que significa que sistemas y equipos pueden volverse
obsoletos rápidamente, requiriendo de inversiones significativas para mantener a la
organización actualizada con las últimas tecnologías, convirtiéndose en una barrera para el
desarrollo de pequeñas y medianas empresas en su evolución para crecer y ser sostenibles
en el tiempo.

En los riesgos por procesos es importante destacar los medios de comunicación

organizacional ya que pueden tener un impacto significativo en el cumplimiento de la
estrategia organizacional. Si los procesos y modelos implementados no involucran a las
diferentes áreas y si a esto se suman deficiencias en los sistemas de información, podrían
generar una ineficiente ejecución de la estrategia operacional generando resultados
contrarios a los esperados.

Otro tipo de riesgo está relacionado con los proyectos y se caracteriza porque
eventos futuros e inesperados pueden afectar el alcance, el tiempo, el costo y la calidad del
proyecto. Estos riesgos pueden tener consecuencias negativas como retrasos en el
cronograma, aumento de costos, reducción de la calidad del producto o incluso cancelación
 12

del proyecto. La gestión eficaz de los riesgos del proyecto ayuda a minimizar las posibles
consecuencias negativas y aumenta las posibilidades de éxito del proyecto. Implica tomar
decisiones informadas sobre cómo mitigar, transferir, evitar o aceptar los riesgos
identificados. La gestión de riesgos también incluye el seguimiento y control continuo de
los riesgos durante todo el proyecto y su oportuno ajuste si es necesario.

Un riesgo muy importante y común es el error humano. A pesar de los sistemas y

procedimientos preestablecidos, los empleados aún pueden cometer errores con graves
consecuencias para la empresa. Estos errores pueden variar desde simples errores en la
entrada de información en un sistema hasta decisiones equivocadas que provocan pérdidas
financieras importantes como un cálculo inexacto de los costos de producción dando lugar
a precios inadecuados afectando la rentabilidad de la empresa. Los empleados que no están
capacitados o no tienen experiencia para realizar ciertas tareas también pueden crear riesgos
operativos, lo que resulta en reprocesos, pérdida de información y prestación inadecuada
del servicio.

Además de los riesgos relacionados y que podríamos clasificar como internos,

existen riesgos externos que pueden afectar las operaciones de la empresa. Estos riesgos
pueden incluir factores naturales como el cambio climático y/o desastres naturales, así
como cambios inesperados en el entorno político como las transiciones ideológicas en
países latinoamericanos y crisis económicas originadas por acontecimientos
macroeconómicos derivados de conflictos mundiales. Las empresas deben ampliar su rango
de prevención de riesgos hacia su entorno.

En conclusión, el riesgo de tecnología de la información, el riesgo de procesos y el

riesgo de las personas pueden afectar el cumplimiento de la estrategia organizacional de las
empresas, alterando su capacidad para operar eficientemente, perjudicar el cumplimiento de
objetivos de producción y presupuestos comerciales, mantener una fuerza laboral
competente y comprometida. Es importante que las empresas identifiquen y gestionen
adecuadamente estos riesgos para minimizar su impacto y asegurar el éxito de sus
estrategias.
 13

Fuentes

Dickinson, G. (2001). Enterprise risk management: Its origins and conceptual

foundation. The Geneva Papers on Risk and Insurance, 26(3), 360-366.
Committee of Sponsoring Organizations of the Treadway Commission (COSO).
(2004). Enterprise risk management—Integrated framework. Jersey City, NJ: AICPA.
Nielson, N. C. (2005). Risk management models and the rating process. Journal of
Banking & Finance, 29(11), 2715-2732.
Institute of Internal Auditors (IIA). (2009). The role of internal auditing in
enterprise-wide risk management. Altamonte Springs, FL: IIA.
Gordon, L. A., Loeb, M. P., & Tseng, C. Y. (2009). Enterprise risk management
and firm performance: A contingency perspective. Journal of Accounting and Public
Policy, 28(4), 301-327.
McKinsey & Company. (2019). Modelos de implementación: ¿Qué tan maduras
son sus prácticas operacionales? McKinsey Quarterly,
4. https://www.mckinsey.com/business-functions/mckinsey-implementation/our-insights/
implementation-models-how-mature-are-your-operational-practices