ADMINISTRACIÓN DEL RIESGO ESTRATÉGICO EN ALGUNAS GRANDES EMPRESAS PRIVADAS DE COLOMBIA

PALACIO-GIRALDO, ANDREA LUCÍA; NUÑEZ, MARIA ANTONIA; PALACIO-GIRALDO, ANDREA LUCÍA; NUÑEZ, MARIA ANTONIA

doi:10.17230/ad-minister.36.4

Servicios Personalizados

Revista

Articulo

Indicadores

Citado por SciELO
Accesos

Links relacionados

Citado por Google
Similares en SciELO
Similares en Google

Otros
Otros

Permalink

AD-minister

versión impresa ISSN 1692-0279

AD-minister no.36 Medellín ene./jun. 2020

https://doi.org/10.17230/ad-minister.36.4

Original articles

ADMINISTRACIÓN DEL RIESGO ESTRATÉGICO EN ALGUNAS GRANDES EMPRESAS PRIVADAS DE COLOMBIA

STRATEGIC RISK MANAGEMENT IN SOME LARGE COLOMBIAN PRIVATE COMPANIES

ANDREA LUCÍA PALACIO-GIRALDO¹

MARIA ANTONIA NUÑEZ²

^¹Magister en Administración de Riesgos de la Universidad EAFIT. Miembro de la Compañía Colombia Movil S.A. E.S.P, Colombia. Tigo, donde trabaja como analista de continuidad del negocio. Correo electrónico: andreapg78@hotmail.com. Identificador ORCID: https://orcid.org/0000-0002-0828-4568

^²Magister en Gerencia de Riesgos y Seguros de la Universidad Pontificia de Salamanca y en administración- MBA - de la Universidad EAFIT. Profesora de tiempo completo del Departamento de Contaduría Pública, adscrito a la Escuela de Administración de la Universidad EAFIT, Medellín, Colombia. Correo electrónico: mnunezpa@eafit.edu.co. Identificador ORCID: https://orcid.org/0000- 0002-1246-5361

RESUMEN

La administración del riesgo estratégico es un proceso continuo en el cual se identifican los eventos que tienen un impacto en la capacidad de la organización para crear valor y que pueden impedir el logro de sus objetivos estratégicos. Este proceso requiere de un marco que defina una estructura, roles, responsabilidades, políticas, apetito del riesgo y la integración con la estrategia y la gestión organizacional. Por lo anterior, el objetivo de este artículo es describir cómo algunas grandes empresas privadas con operaciones en Colombia realizan la gestión de los riesgos estratégicos. Para esto se empleó una metodología cualitativa y la aplicación de cinco entrevistas semiestructuradas a los líderes de la gestión de riesgos estratégicos en grandes empresas del sector de generación de energía, cervecero, de alimentos y de bebidas no alcohólicas. Dentro de los hallazgos se resalta la importancia de realizar de manera integrada la gestión estratégica de la empresa y la gestión de riesgos, de modo que se logren mitigar los eventos de carácter negativo y aprovechar las oportunidades que se identifiquen de manera oportuna, así como incluir dentro de los análisis información de calidad tanto de carácter cualitativo como cuantitativo que permita disminuir la incertidumbre existente. A partir del conocimiento de estos procesos, este artículo plantea un punto de partida para organizaciones que desean implementar la gestión del riesgo estratégico como movilizador del cumplimiento de los objetivos empresariales.

PALABRAS CLAVE: Riesgo; gestión del riesgo; estrategia; riesgo estratégico.

ABSTRACT

Strategic risk management is a continuous activity that identifies the events that affect the capacity of an organization in creating value and which can hinder the attainment of its strategic goals. This activity requires a framework that defines the structure, roles, responsibilities, policies, risk appetite and the integration with strategy and organizational management. The main goal of this article is to describe how some large Colombian private companies do their strategic risk management. Qualitative methods were used and five semi structured interviews were conducted with leaders in strategic risk management from large energy, brewing, food and soft drink companies. One of the main findings was the importance of an integrated strategic and risk managment in the companies, so as to mitigate the impact of negative events and take advantage of the timely identification of opportunities. It was also found that thorough qualitative and quantitative information available in the analysis of risk helps to reduce existing uncertainty. From the knowledge of these processes, this article proposes a starting point for organizations that wish to implement strategic risk management as a mobilizer for the achievement of business objectives.

KEYWORDS: Risk; risk management; strategy; strategic risk.

INTRODUCCIÓN

Uno de los principios que define la gestión de riesgos es la creación de valor, es decir, cómo a través de esta se ayuda a la organización a cumplir sus objetivos, al garantizar el equilibrio entre riesgo y rentabilidad. Con el fin de cumplir esta premisa, los procesos de gestión de riesgos permean el ámbito estratégico, lo que conlleva a que cada vez más los directores y juntas directivas reconozcan esta práctica como un mecanismo para lograr la estabilidad de la organización en el tiempo (^{Mishra, Rolland, Satpathy y Moore, 2019}), dado el nivel de exposición de las organizaciones a las incertidumbres del entorno, las cuales podrían distorsionar los objetivos estratégicos y las perspectivas de crecimiento (^{Ojeka, Adegboye, Alabi, Afolabi y Iyoha, 2019}).

Algunos autores definen el riesgo estratégico como aquellos eventos que tienen un impacto en la capacidad de la organización para crear valor y que pueden impedir el logro de sus objetivos estratégicos. Hay que tener en cuenta que si no son gestionados adecuadamente pueden llegar a destruir valor y poner en peligro una empresa (^{Frigo y Anderson, 2011}; ^{Holcomb, 2006} ^{Trullenque, 2003}).

La gestión del riesgo estratégico es un proceso que permite identificar, analizar, evaluar, tratar y monitorear los eventos que pueden afectar el logro de los objetivos estratégicos (^{Frigo y Anderson, 2011}), por lo cual debe tenerse en cuenta en el proceso de planeación estratégica (^{Kaplan y Mikes, 2012}). La incorporación del riesgo en este proceso le permite a la organización valorar si los planes estratégicos se encuentran alineados con los objetivos estratégicos y si los riesgos definidos se encuentran dentro del apetito de riesgo de la organización (^{Slagmulder y Devoldere, 2018}).

Ahora bien, para que la gestión del riesgo pueda movilizar y agregar valor a la gestión organizacional, requiere un marco de gestión que integre la estrategia con la gestión de riesgos soportado en el gobierno corporativo definido por la organización, así como en los procesos, personas y prácticas que la constituyen (Marsh y The Risk Management Society, 2018).

El marco de gestión de riesgos requiere de las etapas de implementación, monitoreo, revisión y mejora continua, y de una política que denote el deber que tiene la organización en la integración de los riesgos en todas sus actividades. Además, ofrece una estructura para utilizar el proceso de gestión de riesgos como base para la toma de decisiones en todos los niveles de la organización (^{Smith y Brooks, 2013}).

Siguiendo con lo anterior, en el proceso de gestión de riesgos estratégicos se requiere un enfoque estructurado, en donde desde la junta directiva hasta los líderes de los procesos conozcan sus responsabilidades frente a su gestión. También requiere contar con elementos como la definición del apetito de riesgo de la empresa, establecido por la junta directiva respecto a los tipos de riesgos que la entidad aceptará o evitará para cumplir sus objetivos estratégicos (^{Gontarek y Bender, 2019}), así como indicadores que proporcionen métricas que den validez a los datos identificados, entre otros elementos fundamentales para lograr su efectividad.

Estos elementos del proceso de gestión de riesgos son definidos en el gobierno de riesgos establecido en la organización, es decir, en ese conjunto de procesos y estructuras que permiten una estrategia de riesgo adecuada, evaluación y tratamiento de riesgos, funciones de cumplimiento y auditorías internas que evalúen el marco y los procesos de gestión de riesgos en la entidad (^{Gatzert y Schmit, 2016}).

Finalmente, el proceso de gestión de riesgos estratégico deberá estar integrado a la gestión organizacional y ser un orientador de las decisiones, para evitar procesos aislados que no agreguen valor. Esto con el fin de generar una gestión de riesgos en una posición proactiva y no reactiva (Deloitte, 2012).

Esta investigación tiene como objetivo principal describir cómo grandes empresas privadas con operaciones en Colombia realizan la gestión de los riesgos estratégicos. El punto de partida es la comprensión del concepto de riesgo estratégico en cada una de ellas, para luego identificar la forma en que está estructurado el proceso y el marco de gestión, así como la integración con la gestión estratégica. Lo anterior, para que finalmente se determinen los beneficios y dificultades que han tenido en la implementación de este proceso. En este contexto, la pregunta que busca resolver esta investigación es ¿cómo las organizaciones realizan la gestión del riesgo estratégico?

El presente documento ha sido estructurado en cuatro partes. La primera consiste en el fundamento teórico que soporta la gestión del riesgo estratégico a partir de sus definiciones y marco de actuación. La segunda parte corresponde a la metodología empleada para realizar este estudio. En la tercera parte se encuentra la descripción de los resultados obtenidos luego de la realización de las entrevistas a las empresas seleccionadas. Finalmente, la cuarta parte contiene las discusiones y conclusiones luego de analizar los resultados y validarlos con la teoría estudiada sobre el tema.

MARCO TEÓRICO

Dadas las condiciones cambiantes en las que las organizaciones deben actuar, es necesario gestionar los eventos que puedan afectar su sostenimiento, su crecimiento y su capacidad de creación de valor (^{Soltanizadeh, Rasid, Golshan, Quoquab y Basiruddin, 2014}). Estos aspectos son los denominados riesgos, que pueden provenir de diversas fuentes tales como la globalización y los cambios tecnológicos, ambientales y del gobierno corporativo (^{Lechner y Gatzert, 2017}; ^{Slagmulder y Devoldere, 2018}).

El riesgo se define como la posibilidad de ocurrencia de un evento interno o externo que genera incertidumbre sobre el logro de los objetivos, estos pueden tener un impacto negativo o positivo para la organización (^{Almeida, Teixeira, Mira da Silva y Faroleiro, 2019}; ^{Ojeka et al., 2019}). Así mismo, los riesgos tienen presencia cuando se presentan diferencias entre los objetivos y los intereses de la organización, dado que los recursos no son consecuentes con los objetivos que se buscan alcanzar (^{Holcomb, 2006}).

Los riesgos deben estar enmarcados en un fin o en una actuación organizacional que, para este caso de análisis, es la estrategia, definida como un patrón o conducta en el tiempo, inmersa en lo que se planea hacer y en lo que realmente se ejecuta en una empresa (^{Minztberg, Ahlstrand y Lampel, 2007}). Igualmente, hace referencia a las acciones, planes, medidas o marcos de actuación que establece una organización para obtener los beneficios esperados y lograr una ventaja competitiva perdurable (^{Porter, 2008}; ^{Pascual, 2008}).

Estos conceptos que marcan el rumbo de la sostenibilidad de la organización requieren agruparse en un proceso de gestión estratégica, que se define como la dirección y el alcance de la organización en el mediano y largo plazo, por medio de la determinación de metas y objetivos, de forma que se logre una coherencia en la conducta organizacional que permita lograr una ventaja competitiva en el entorno en el que la empresa se desempeña (^{Blanco, 2014}; ^{Jhonson, Scholes y Whittington, 2010}; ^{Chandler, 1990}).

La definición de riesgo y estrategia se conjugan en un concepto que es abordado como una buena práctica dentro de la gestión organizacional y se conoce como la gestión del riesgo estratégico.

Gestión de riesgos estratégicos

Los riesgos estratégicos son considerados como la posibilidad de ocurrencia de eventos que pueden afectar la misión, la visión, las estrategias y los objetivos organizacionales. Igualmente, son los riesgos que al materializarse tienen consecuencias positivas o negativas en la capacidad de la organización para ejecutar la estrategia, lograr los objetivos y preservar valor para la organización (^{Frigo y Anderson, 2009}; ^{Pascual, 2008}; ^{Trullenque, 2003}; ^{McConnell, 2013}). Otro autor lo define como el riesgo que se presenta durante la formulación de la estrategia y en la inadecuada implementación de esta, generado por inconsistencia con los factores internos y externos a la organización (Financial Institutions Supervision, 2003). Para efectos de esta investigación, se trabajará el concepto de riesgo estratégico como los eventos que pueden generar consecuencias negativas sobre la generación de valor y el logro de la estrategia.

En consecuencia, para incorporar la gestión del riesgo estratégico a la gestión organizacional es necesario que se diseñen e implementen procesos y prácticas que articulen actividades, recursos, estructuras, roles y responsabilidades requeridos (^{Slagmulder y Devoldere, 2018}). Este proceso fue definido inicialmente por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO, Comittee of Sponsoring Organizations of the Treadway), en su marco de gestión integral de riesgos (ERM, Enterprice Risk Management) (^{Pierce y Goldstein, 2018}), como una tarea propia de la junta directiva, la gerencia y otro personal que se encarga de identificar eventos que puedan afectar el logro de los objetivos de la entidad (^{Viscelli, Hermanson y Beasly, 2017}).

En este sentido, los objetivos que busca la gestión del riesgo estratégico son la generación de valor en todas las actividades de la organización, el aumento de las probabilidades de éxito y la disminución de los fracasos (^{Slagmulder y Devoldere, 2018}). En complemento, indica que el objetivo no está enfocado en minimizar el riesgo que enfrenta la organización, sino en elegir el nivel de riesgo requerido para la generación de valor para los accionistas (^{Meulbroek, 2002}).

También se debe tener en cuenta que la gestión de los riesgos estratégicos representa una mejora en el entendimiento del nivel de riesgo de la organización, lo que permite una mayor eficiencia en la toma de decisiones estratégicas (^{Chapman, 2011}). Contar con un enfoque de gestión del riesgo estratégico genera una integración y conexión con la estrategia; refuerza la relación entre la definición de la estrategia, su ejecución y los procesos de gestión de riesgos de la organización (^{Frigo y Anderson, 2009}), a través de la identificación, análisis y tratamiento de los eventos adversos que afectan el cumplimiento de los objetivos estratégicos (Bolaño- Rodríguez, Alfonso-Robaina, Ramirez-Morol y Hernández-Rodríguez, 2011).

Con el propósito de alcanzar los objetivos mencionados, la gestión del riesgo estratégico requiere coordinar actividades y recursos en toda la organización (^{Lin, Yut, y Wen, 2012}). Estas actividades y recursos son los elementos del marco y del proceso que se deben desarrollar para apropiar e incorporar la gestión del riesgo estratégico en la organización (^{Frigo y Anderson, 2009}).

Marco para la gestión de riesgos estratégicos

Para integrar y soportar el proceso de gestión del riesgo estratégico en la gestión integral del riesgo (ERM), es fundamental desarrollar un marco de referencia para su gestión (^{Pierce y Goldstein, 2018}), que constituya un conjunto de elementos para diseñar, implementar, monitorear y ayudar a introducir este proceso en toda la organización (^{Govender, 2018}). El marco de referencia debe estar incluido en el gobierno que integra la estructura, los roles y las responsabilidades para la gestión de riesgos, las políticas y prácticas de la organización (^{Young, 2018}), así como el apetito y tolerancia al riesgo, la comunicación y el reporte, la madurez de la gestión de riesgos y la integración de la gestión estratégica con la gestión de riesgos.

La estructura para la gestión del riesgo incluye roles, responsabilidades y la asignación de recursos de quienes establecen las directrices y quienes las ejecutan en torno al tema, y debe ser capaz de abordar los riesgos estratégicos (^{Celada, Quintero y Rios, 2016}; ^{Fraser y Simkins, 2016}). De ahí que la organización deba definir e implementar una estructura que incluya el entendimiento de la estrategia y los riesgos asociados a esta, es decir, la gestión de dichos riesgos, la toma de decisiones basada en riesgos y el aseguramiento de que las prácticas de gestión de riesgos estratégicos sean adecuadas (^{Frigo y Anderson, 2011}).

Otro elemento del marco de gestión de riesgos es la política, por la cual la organización establece los objetivos de la gestión de riesgos y su compromiso. Por ello debe estar integrada con la cultura organizacional y servir como marco de actuación para todos los niveles de la organización (^{Young, 2014}).

Para lograr una toma de decisiones basada en riesgos estratégicos, se requiere que la organización defina sus niveles de apetito y tolerancia al riesgo. El apetito de riesgo es el nivel de riesgo que la organización está dispuesta a aceptar en busca del logro de sus objetivos estratégicos, es un criterio para la definición de la estrategia y para la asignación y priorización de recursos (^{Faleato, 2013}; Instituto de Auditores Internos de España, 2012). El apetito puede definirse a nivel estratégico, es decir, que dé alcance a toda la organización o por otros ámbitos de gestión (^{Bueno, Correa y Echeverry, 2010}). La definición e implantación del apetito es fundamental en el marco de la gestión del riesgo estratégico, debe ser un elemento del gobierno corporativo y estar definido por la alta dirección, puesto que es el elemento que permite un equilibrio entre el riesgo asumido y la rentabilidad esperada (^{Gontarek y Bender, 2019}).

La tolerancia al riesgo es el nivel de variación aceptable en el logro de los objetivos e indica la cantidad máxima de riesgo que se puede asumir (^{Faleato, 2013}; Instituto de Auditores Internos de España, 2012). Funciona como un nivel de alerta para evitar que se tomen decisiones que están por fuera de los niveles asumibles por la organización y provee mayor seguridad para el logro de los objetivos (^{Bueno, Correa, y Echeverry, 2010}). Las organizaciones siempre deben monitorear que el riesgo asumido esté de acuerdo con el apetito y evitar que supere los niveles definidos en la tolerancia (Instituto de Auditores Internos de España, 2012).

La comunicación es el elemento que hace que la gestión de riesgos estratégicos permee todos los niveles de la organización y permita un mayor conocimiento para la toma de decisiones basadas en riesgos (^{Kasim, 2016}). Se deben definir mecanismos de comunicación interna y externa y de presentación de informes para facilitar que los diferentes estamentos de la organización estén informados sobre el desempeño de la gestión de riesgos estratégicos, se facilite la rendición de cuentas, la supervisión y revisión (Organización Internacional de Normalización [ISO, International Organization for Standardization], 2018; Federación de Asociaciones Europeas de Gestión del Riesgo [FERMA, Federation of European Risk Management Associations], 2002).

Es necesario realizar un monitoreo del desempeño del marco de la gestión de riesgos estratégicos con el fin de determinar si es adecuado para los propósitos de la organización (^{Kheirandish y Banihashemi, 2016}). De esta manera se puede mejorar la gestión de riesgos y determinar los cambios o mejoras requeridos (^{Beasley, Branson y Hancock, 2010}). Este monitoreo se realiza a través de la aplicación de modelos de madurez de riesgos (RMM, Risk Maturity Model) que sirve como punto de partida para desarrollar y mejorar el esquema actual de la gestión de riesgos estratégicos (^{Wieczorek Kosmala, 2014}), que permite identificar las brechas existentes que determinan el nivel de implementación y establecer los objetivos de mejora (^{Hillson, 1997}). Dichos modelos proveen un marco para ajustar la estructura y procesos requeridos para llegar al nivel de madurez deseado en la gestión de riesgos (^{Lotti Oliva, 2016}). El nivel más alto de la gestión de riesgos estratégicos se logra cuando está totalmente integrada a la gestión organizacional (Hillson, 1997).

Finalmente, como elemento del marco de la gestión de riesgos está la integración entre la gestión estratégica y la gestión del riesgo estratégico, que no debe concebirse de manera independiente, sino como un proceso de desarrollo continuo que se ejecuta en todas las etapas de la estrategia, desde su formulación hasta su ejecución, ajuste y mejora (ISO, 2018; FERMA, 2002). Es necesario que las organizaciones contemplen una gestión de riesgos integrada a la estrategia, de forma que se optimicen las decisiones organizacionales en un entorno dinámico (^{Vij, 2019}). El proceso de integración inicia con el entendimiento de los riesgos estratégicos por parte de los líderes, desde el reconocimiento de que cada estrategia posee riesgos. De ahí que también se deba valorar la afectación de los riesgos e incorporarla en el proceso de planeación estratégica, para lograr una toma de decisiones estratégicas basada en riesgos (Deloitte, 2016; Vij, 2019).

Otro elemento fundamental que se debe contemplar en la integración es la alineación entre la estrategia y el apetito de riesgo definido por la organización. Cuando se plantean las estrategias, se debe asegurar que estén alineadas con el apetito de riesgo, solo así se toman decisiones que la organización está en capacidad de asumir y se establece una guía para la priorización y asignación de recursos (Instituto de Auditores Internos de España, 2012).

Los elementos que componen el marco anteriormente descrito son fundamentales para asegurar el éxito de la gestión del riesgo estratégico, ya que proporcionan la base para que este proceso sea parte integral de la gestión organizacional y, adicionalmente, se deben vincular con procesos como gestión estratégica y auditoría interna (^{Oliveira, Méxas, Meiriño y Drumond, 2018}; ^{Mishra, Rolland, Satpathy y Moore, 2019}).

Luego de tener definido el marco es necesario establecer los procedimientos o prácticas que componen el proceso de gestión de los riesgos estratégicos, esto quiere decir, ejecutar las actividades de identificación, análisis, evaluación, tratamiento y monitoreo de los riesgos estratégicos de la organización (^{Gatzert & Schmit, 2016}).

Proceso de gestión de riesgos estratégicos

La identificación de los riesgos consiste en detectar eventos que pueden afectar el cumplimiento de los objetivos estratégicos. Por ello es necesario que la alta dirección reconozca la importancia de dichos factores y el impacto sobre el logro de los objetivos (^{Kasim, 2016}). La identificación puede hacerse a partir de una lista de riesgos estratégicos que sirven de guía durante las etapas de planeación, ejecución y evaluación de las estrategias (^{Mejía, 2013}). De modo similar, se proponen metodologías en las que los líderes de la organización realizan una lluvia de ideas basadas en su propia experiencia y en la de otras organizaciones, con el fin de identificar los riesgos que podrían menoscabar la estrategia (^{Rostami, Sommerville, Wong y Lee, 2014}). El objetivo de esta etapa es identificar los riesgos clave asociados a la estrategia, por lo que es importante tener un profundo conocimiento de esta, lo cual se puede lograr a través de entrevistas, encuestas y grupos focales con los directores (^{Frigo y Anderson, 2009}).

Luego de la identificación, deberá llevarse a cabo la etapa de análisis y evaluación de los riesgos, según su probabilidad e impacto, puesto que ello puede determinar cómo deben ser administrados y proporciona elementos para la gestión de recursos (^{Gatzert y Schmit, 2016}). La medición y evaluación del riesgo tiene por objetivo establecer el grado en el cual podrían no ser logrados los objetivos estratégicos (E. ^{Grifell y P. Marqués, 2005}). Para la evaluación de los riesgos estratégicos, las organizaciones le han incorporado a las medidas tradicionales de riesgo nuevas dimensiones, como la velocidad del riesgo o el grado en que la organización está preparada. El nivel de detalle y complejidad con que se realiza este proceso depende de la madurez de los procesos de administración del riesgo de la organización (^{Frigo & Anderson, 2009}).

El tratamiento de los riesgos estratégicos son las medidas que la organización implementa para modificar el riesgo y llevarlo a niveles tolerables por la empresa (^{Green, 2016}). Los planes de acción que se definan para los riesgos estratégicos deben integrarse a los procesos de ejecución de la estrategia (^{Frigo y Anderson, 2011}). Es fundamental hacer énfasis en estos planes, pues son los que aportan a la sostenibilidad y crecimiento de la organización (Marsh y The Risk Management Society, 2018).

Como última etapa del proceso se encuentra el monitoreo de riesgos, en el que se mide el avance de implementación de las medidas de tratamiento, así como los eventos en sí mismos (^{Green, 2016}). El resultado puede ser incorporado en los procesos de la estrategia y exigirá a la organización cambios y flexibilidad estratégica (Deloitte, 2012). Para adelantar esta actividad se pueden implementar indicadores claves de riesgo que son medidas que proporcionan información o alertas sobre cambios en la exposición al riesgo y favorecen un seguimiento más trazable y medible (Marsh y The Risk Management Society, 2018). Los indicadores clave de riesgo son métricas que ayudan a monitorear posibles cambios en el futuro sobre los riesgos identificados o nuevos que puedan surgir, lo que permite a la organización estar en una posición proactiva sobre los eventos que pueden impactar la estrategia (^{Beasley, Branson y Hancock, 2010}).

La gestión estratégica establece los objetivos, metas y acciones que requiere la organización para lograr una ventaja competitiva (^{Porter, 2008}). Adicionalmente, proporciona herramientas para medir el logro de la estrategia a través de la información que determina el cumplimiento de estos objetivos establecidos (^{Kaplan y Norton, 2008}). La gestión del riesgo estratégico ayuda a quienes dirigen la organización a gestionar los eventos que pueden afectar el logro de la estrategia, por lo tanto, lograr integrar estos dos procesos ubica a la organización en una posición que facilita el logro de las ventajas competitivas definidas (^{Beasly, Chen, Nunez y Wright, 2006}).

METODOLOGÍA

La investigación es de carácter cualitativo, busca comprender e interpretar fenómenos a través de las experiencias de los participantes para profundizar en sus puntos de vista, interpretaciones y criterios (^{Hernández-Samperi y Mendoza, 2018}), lo que proporciona los insumos requeridos para el análisis e interpretación de los datos. Se adopta un enfoque descriptivo ya que se pretende investigar el comportamiento de las organizaciones participantes en cuanto al proceso y también los elementos relacionados con la forma como gestionan el riesgo estratégico, con el propósito de especificar las características de este (Hernández- Samperi y Mendoza, 2018; ^{Yin, 2009}). El desarrollo de la investigación se basa en descripciones narrativas con el fin de lograr un conocimiento detallado de los casos específicos (^{Lopez Herrera y Salas Harms, 2009}).

La recolección de información se realizó por medio de entrevistas semiestructuradas, soportadas en un protocolo de recolección de datos que fue completado con preguntas adicionales en los casos en que fue requerido (^{Galeano, 2004}), para comprender y analizar cómo las organizaciones participantes realizan la gestión de los riesgos estratégicos y poder contrastar sus respuestas con la teoría revisada. La recopilación de datos por medio de entrevistas mejora la validez interna porque le permite al investigador solicitar aclaraciones e información adicional (^{Blok, van Ingen, de Boer y Slootman, 2020}), lo que proporciona una mayor confiabilidad de los datos.

El protocolo de entrevista se estructura iniciando con los objetivos del estudio, de modo que el entrevistado pueda tener claridad sobre los elementos en los que se concentra la investigación, posteriormente se relacionan las condiciones generales bajo las cuales se rige la entrevista, que tienen que ver con la confidencialidad y los fines académicos del trabajo. Por último, se desarrollan las preguntas de acuerdo con las variables de análisis que guían la investigación.

Las variables de análisis corresponden a elementos relacionados con la gestión de riesgos estratégicos, estas fueron estructuradas a partir de la teoría desarrollada en el marco teórico. Dichas variables son el marco de referencia que incorpora la estructura, los roles y las responsabilidades asociadas, la política que genera el lineamiento general a partir del cual se rige dicha gestión, la definición del apetito y la tolerancia al riesgo, la comunicación y el reporte, la medición de la madurez de la gestión de riesgos y la integración que debe existir entre la gestión estratégica y la gestión de riesgos. Adicionalmente, se analiza el proceso de gestión de riesgos estratégicos en cada una de sus etapas de identificación, análisis y evaluación, tratamiento y monitoreo.

Para la elección de las empresas participantes de este estudio se realizó un muestreo no probabilístico intencional basado en casos-tipo porque se puede obtener información con mayor profundidad y calidad (^{Hernández-Samperi y Mendoza, 2018}). La muestra está conformada por cinco empresas cuya selección se realizó bajo un primer criterio que establecía la existencia de la gestión del riesgo estratégico, debido a que fue recurrente encontrar que las empresas no contaban con una gestión de riesgos estratégicos estructurada. En los estudios cualitativos en donde se emplean casos de estudio, un tamaño adecuado de la muestra es de tres a cinco casos si el objetivo es profundizar en la información (^{Creswell, 2002}; Hernández-Samperi y Mendoza, 2018).

Las empresas que participaron de esta investigación también debían cumplir con el criterio de ser grandes empresas y tener operaciones en Colombia. La clasificación del tamaño de las empresas tiene múltiples consideraciones, estas van desde el valor de las ventas o el patrimonio en moneda local hasta la cantidad de trabajadores que tenga la compañía, esta última variable es considerada como la más estable (^{Urmeneta, 2016}), por lo cual para este estudio se consideró como gran empresa aquella que tuviera una planta superior a doscientos trabajadores o colaboradores (^{Nieto, Timoté, Sánchez y Villarreal, 2015}).

De las empresas seleccionadas, dos pertenecen al sector de generación de energía, una al sector cervecero, una al sector de bebidas y otra al sector alimenticio. Algunas características de las empresas se describen a continuación (estas son enumeradas para guardar la confidencialidad de sus nombres, ya que fue solicitada).

Tabla 1 Características de las empresas estudiadas

Fuente: Elaboración propia

Las entrevistas se aplicaron a los líderes responsables de la gestión de riesgos estratégicos, dado que podían suministrar información útil para este estudio (^{Palinkas, Horwitz, Green, Wisdom, Duan y Hoagwood, 2015}). Estas entrevistas fueron grabadas con autorización de los entrevistados, transcritas y codificadas, lo que facilitó el análisis de la información obtenida. El protocolo de entrevista se construyó a partir del marco teórico: se identificaron las variables de la gestión del riesgo estratégico, las cuales se encuentran en el marco para la gestión de riesgos estratégicos y el proceso de gestión de estos riesgos; con base en estas variables se formularon las preguntas. Luego este protocolo fue sometido a prueba con la realización de una entrevista piloto, lo que permitió realizar ajustes y mejoras para las siguientes entrevistas.

Luego de la prueba piloto se realizaron las entrevistas, en las que se indagó sobre cómo la entidad realizaba la gestión del riesgo estratégico, su definición, el proceso de gestión de este riesgo y su integración con la gestión estratégica de la compañía. También se analizó cómo la gestión del riesgo a nivel estratégico influye en las decisiones de la compañía, las causas asociadas al incumplimiento de las definiciones estratégicas de la entidad y el tratamiento de las mismas.

La información obtenida en las entrevistas permitió cumplir con el objetivo general de la investigación y los objetivos específicos, en cuanto al conocimiento del proceso de gestión estratégica en la organización, la gestión del riesgo de direccionamiento estratégico, los mecanismos para tratar este riesgo, así como los beneficios y dificultades que se han presentado en las organizaciones para la gestión de estos a nivel estratégico.

RESULTADOS

Con el fin de analizar cómo se realiza la gestión del riesgo estratégico en las organizaciones que participaron en esta investigación, se realizó una comparación entre las variables y definiciones identificadas con cada uno de los entrevistados y los conceptos establecidos en el marco teórico. En este apartado se relacionan los resultados obtenidos. A continuación, se presenta un cuadro que consolida la información obtenida que será ampliada posteriormente:

Gestión de riesgos estratégicos

Se consideró necesario conocer el concepto de riesgo estratégico sobre el que cada organización opera, a fin de asegurar un concepto estandarizado a partir del cual se desarrolle la entrevista según lo esperado. En términos generales, las empresas investigadas lo definen como el riesgo que en caso de materializarse puede afectar o impactar el cumplimiento de los objetivos y metas estratégicas, a esto se le complementa el hecho de que estos son los riesgos que requieren atención y gestión por parte de la alta dirección (entrevistas a empresas 1, 2, 3, 4 y 5).

Marco para la gestión de riesgos estratégicos

Se indagó acerca de los elementos del marco de la gestión de riesgos estratégicos como la estructura, la política de riesgos, el apetito, la tolerancia, los elementos de comunicación, el nivel de madurez de la administración de riesgos y la alineación de la gestión estratégica con la gestión de riesgos, ya que estos factores son los que aportan para la movilización de las etapas del proceso de gestión de riesgos estratégicos.

Sobre los componentes relacionados con la estructura de la gestión de riesgos estratégicos, se destaca en las entrevistas E1, E3 y E5 que la definición del gobierno del riesgo incorpora compromisos principales en la junta directiva y en equipos directivos, debido a la importancia que requiere la gestión de los eventos de carácter estratégico, ya que según lo que manifiestan deben enfocarse no solamente en la mitigación de los eventos negativos, sino también en el aprovechamiento de las oportunidades que pueden identificarse en dicha gestión.

La designación de roles y responsabilidades asociadas va desde la junta directiva, el equipo de dirección, el comité de auditoría y hasta los dueños de procesos (entrevistas a empresas 1, 2, 3, 4 y 5). De forma específica, en la empresa cervecera, la de alimentos y una del sector energético, se destaca que el área de riesgos es transversal a la organización, es responsable de asegurar una definición adecuada de metodologías, de acuerdo con las características propias de la empresa, así como de garantizar que se apliquen dichas metodologías de manera adecuada, monitorear la gestión de riesgos y generar la comunicación y los reportes requeridos, relacionados con los riesgos estratégicos (entrevistas a empresas 1, 3 y 5). Por su parte, los entrevistados de las empresas E1, E3 y E4 mencionan que el comité de riesgos y auditoría tiene la responsabilidad de hacer seguimiento a los temas de riesgos, generar las alertas ante situaciones a las que deba ponerse especial atención para actuar de manera anticipada y de evaluar el estado de implementación del sistema de gestión de riesgos.

Según lo manifestado por las personas entrevistadas, la organización generadora de energía 2, la de alimentos y la de bebidas, cuentan con una política de gestión de riesgos que proporciona los lineamientos generales para la gestión del riesgo estratégico, que deben ser conocidos y asumidos por todas las partes interesadas. Asimismo, el entrevistado E3 resalta la importancia de dicha política, dado que a partir de esta definición se proporcionan los límites de actuación para asegurar los resultados de la gestión.

En cuanto a las variables de apetito y tolerancia al riesgo, que son elementos requeridos para darle coherencia a la gestión de riesgos en la medida que permiten agregar valor a la gestión, se identifica que en la empresa cervecera, de alimentos y en la generadora de energía 2, son conocidas y comprendidas dichas variables y constituyen un criterio para la toma de decisiones (entrevistas a empresas 1, 3, y 5).

A manera de ejemplo, en la multinacional para implementar un tratamiento a un riesgo, la determinación depende de la exposición al riesgo que se tenga, según el apetito definido por la organización y del costo del proyecto. Incluso rescatan que hay proyectos que se han dejado de ejecutar porque no están alineados con el apetito de riesgo de la organización.

En cuanto a los elementos de comunicación y reporte, se identificó que en la organización de alimentos tienen establecida la periodicidad para cada tipo de informe o reporte y las diferentes instancias en las que se debe presentar. Por ejemplo, se define el tipo de información que se lleva a los equipos directivos, a la junta directiva y al comité de riesgos y auditoría, debido a que la recomendación por parte de estas instancias es poder contar con información de calidad, basada en un equilibrio de datos cualitativos y cuantitativos que les permita tomar mejores decisiones y disminuir la incertidumbre existente. Por su parte, en las empresas E4 y E5 mencionan que los elementos de comunicación y reporte no solamente incluyen lo que debe presentarse a los agentes internos, sino también la interrelación que debe existir con los agentes externos como instituciones financieras, clientes, proveedores y la comunidad en general.

Sobre la madurez del sistema de administración de riesgos estratégicos, las empresas entrevistadas E2, E4 y E5 relacionan que los modelos de madurez se constituyen en una herramienta que permite monitorear el nivel de desarrollo en el que se encuentran, y se evidencia que en la empresa multinacional realizan la medición con una metodología propia, donde aplican un método cruzado, en el que una región (grupo de países) realiza la medición de otra región, esto en cabeza de los equipos de riesgos y control interno (entrevista a empresa 1). Entre tanto, en la organización generadora de energía 2 realizan la medición con el modelo de la sociedad de gestión de riesgos (RIMS, Risk Management Society),^¹ este lo definen como un modelo más integral y retador, que les permite identificar a dónde quieren llegar con la gestión de riesgos y cerrar así las brechas existentes.

Se indagó sobre la integración existente entre las áreas o procesos de gestión de riesgos y gestión estratégica y se encontró que la alineación está dada esencialmente en la identificación de los riesgos y se desarrolla después de la definición de los lineamientos estratégicos (entrevistas a empresas 2, 3, 4 y 5), lo cual según el entrevistado de la empresa E3 no es lo ideal, dado que los ejercicios de planeación estratégica y gestión de riesgos estratégicos deben realizarse de manera paralela para que cobre un mayor sentido y efectividad. En la organización del sector energético 2, se resalta una iniciativa que está en desarrollo para buscar mayor integración de riesgos en la estrategia que consiste en que el equipo de riesgos participe en los ejercicios de planeación estratégica, inicialmente como observadores. Sin embargo, precisan que el propósito está enfocado en poder llegar a generar cuestionamientos sobre los riesgos que se asumen al aprobar la definición de un objetivo estratégico.

Proceso de gestión de riesgos estratégicos

Al indagar en las entrevistas cómo se desarrolla dentro de la organización el proceso de gestión de riesgos estratégicos, se concluye que básicamente este está soportado en la metodología propuesta por el estándar ISO 31000. Cada una de las etapas de este proceso las desarrollan de la manera que se expone a continuación.

En las empresas generadoras de energía, la de alimentos y la de bebidas, la identificación de riesgos estratégicos se hace en talleres con el equipo de la alta dirección. El insumo para este ejercicio son los objetivos estratégicos ya definidos por la organización, puesto que allí se discuten los elementos que pueden afectar el logro de la estrategia (entrevistas a empresas 2, 3, 4 y 5). Adicional a lo anterior, en la empresa de bebidas no alcohólicas la identificación se complementa con análisis de riesgos operativos críticos, estudios de riesgos de firmas de consultoría y auditoría, análisis de estados financieros y estudios sectoriales. Por su parte, la multinacional genera una consolidación de los riesgos estratégicos globales que permiten visualizar los diez mejores de los más representativos, a partir de la agrupación de los riesgos identificados en las operaciones en todo el mundo y su nivel de riesgo.

Con respecto a esta etapa en ambas organizaciones generadoras de energía, la de alimentos y la de bebidas, se asigna un dueño responsable de cada riesgo, quien participa en la identificación de otras características de los riesgos, como las causas y consecuencias de su materialización. De manera específica, en cuanto a las causas y los riesgos estratégicos los entrevistados identificaron cuáles son los elementos que pueden impedir el cumplimiento de los objetivos estratégicos. Los riesgos estratégicos y sus causas pueden estar inmersos en aspectos de la estrategia o de la operación. Los elementos mencionados por los entrevistados son los siguientes.

Factores internos relacionados con la estrategia:

Inadecuada definición de la estrategia. No hay claridad en la definición de los
objetivos y no se analizan elementos externos que pueden afectar el logro de la estrategia
Inadecuado seguimiento al cumplimiento de la estrategia
La estrategia no se comunica o se utiliza un lenguaje que no facilita su apropiación
Desarticulación de los planes tácticos con los objetivos estratégicos

Factores internos relacionados con las operaciones:

Incumplimiento de las metas de las operaciones de la organización
Falta de control en los procesos
Falta de articulación entre los procesos

Factores comunes entre la estrategia y la operación:

Desalineación entre la estrategia y la operación
Inadecuada cultura organizacional y resistencia al cambio frente a la gestión de riesgos

Factores externos:

Entorno político y regulatorio cambiante

Estos riesgos y causas que inhiben o afectan el cumplimiento de la estrategia se gestionan desde diferentes ámbitos de la organización, pero según lo expresan los entrevistados de ambas generadoras de energía, deberá hacerse de forma integral y coordinada.

Para el análisis y evaluación de los riesgos estratégicos, las empresas del sector de alimentos y las dos de generación de energía, manifiestan que realizan validación de los riesgos identificados con expertos en el tema, comité de auditoría y comité de riesgos. En la multinacional E1, se realizan depuraciones cuando surgen riesgos que no son de carácter estratégico, sin embargo, en el caso de la empresa de bebidas E4 los riesgos operativos son tenidos en cuenta cuando tienen una magnitud que puede generar un incumplimiento de los objetivos estratégicos. Otro elemento particular encontrado, es que una de las organizaciones del sector energético realiza o complementa el proceso con una metodología llamada gestión de tendencias y riesgos.^²

El análisis de los riesgos estratégicos, según la respuesta de todos los entrevistados, se realiza para determinar el nivel de cada uno de los riesgos y para priorizar el tratamiento a implementar, este se realiza en términos de probabilidad, impacto o consecuencias. En las organizaciones E1, E2 y E4 se califican los impactos financieros, reputacionales, afectación a las personas y regulatorias o normativas, específicamente en la empresa E2 se utilizan escalas de calificación semicuantitativas. Adicionalmente, en la organización E3 para llegar al resultado final de la calificación del riesgo se evalúa con los dueños de los riesgos la efectividad o los niveles de los controles estratégicos. En los casos de las organizaciones E1, E3 y E5 la valoración se hace en talleres con el equipo directivo; en la multinacional, califican con la alta dirección, el comité de riesgos y el comité de auditoría. Finalmente, en la organización E4 la calificación la realizan de forma individual con cada uno de los vicepresidentes de la organización y posteriormente se ejecuta la ponderación final.

El tratamiento de los riesgos estratégicos se prioriza según el resultado del nivel de riesgo. A partir de este se determinan acciones estratégicas que pueden ser iniciativas o proyectos, realizadas por la alta dirección o lideradas por el dueño de cada riesgo. Al respecto se resalta que en la multinacional las acciones estratégicas están alineadas con el costo de implementación, de esta manera aseguran el costo y beneficio de dichas acciones, lo que además denota el conocimiento organizacional frente a la gestión de los riesgos. Asimismo, las empresas E2, E4 y E5 manifiestan que al tratarse de riesgos estratégicos que pueden representar una alta afectación para la compañía, los tratamientos propuestos son evaluados por el comité de gerencia y se solicita su seguimiento y reporte de la implementación periódicamente. Las áreas de riesgos corporativos realizan acompañamiento, seguimiento y orientación metodológica en el desarrollo de este ejercicio.

Sobre el seguimiento y monitoreo de los riesgos, los entrevistados manifestaron diferentes mecanismos para realizarlos. En el caso de las organizaciones de alimentos, bebidas y sector energético los realiza el comité de alta gerencia; en la multinacional tanto los riesgos estratégicos como las medidas para tratarlos se calculan por medio de indicadores de procesos, hasta la medición a través del desempeño individual. La empresa E1 realiza el seguimiento mediante un software en el cual registra el avance al cumplimiento de los tratamientos de los riesgos y anualmente mide su efectividad. En las empresas E2, E3 y E5 el seguimiento y monitoreo de riesgos estratégicos es apoyado por áreas o procesos como la auditoría interna y la planeación, así como por el comité de riesgos y auditoría que cumple un papel fundamental en esta labor, según lo validado por las empresas.

Complementario a esto, se destaca la responsabilidad de los equipos de riesgos de monitorear el cumplimiento en la ejecución de los seguimientos para generar las alertas respectivas (entrevista a empresa 2). Finalmente, para el seguimiento a los riesgos estratégicos, la organización de alimentos desarrollará la implementación de indicadores claves de riesgo (KRI) con el fin de poder monitorear el comportamiento de cada riesgo y proveer más información a través de datos cuantitativos, generar alertas sobre cambios en el nivel de estos y facilitar la toma de decisiones.

Beneficios obtenidos al implementar la gestión de riesgos

Luego de la implementación y desarrollo de la gestión del riesgo estratégico, las empresas han evidenciado beneficios como el compromiso que tiene la alta dirección, soportado en que todo lo que se realiza basado en una adecuada gestión de riesgos, tiene mayor probabilidad de tomar acciones oportunas y cumplir con los objetivos. La alta dirección concibe la gestión de riesgos como un elemento que aporta valor a la organización y ayuda a cumplir la estrategia, al incrementar los resultados en el cumplimiento de objetivos (entrevista a empresa 1).

Otro aspecto manifestado por la empresa E2 es que se ha logrado dar a conocer a la alta dirección los riesgos derivados de la estrategia y su responsabilidad en la gestión de estos. Por su parte, en la empresa E3 han logrado transcender del ámbito del riesgo operativo al estratégico, así también se ha empoderado a la alta gerencia de estos riesgos. Aquí vale la pena resaltar que la gestión del riesgo estratégico ha ayudado a la alta dirección a encargarse de los elementos que impiden el cumplimiento de los objetivos estratégicos, por ende, también de los objetivos operativos. Complementario a esto, desde la empresa multinacional se manifiesta que contar con una gestión de riesgos estratégicos permite implementar planes tácticos coherentes, priorizar la asignación de recursos (entrevista a empresa 4), asegurar la gestión operativa y desarrollar un programa organizacional de control interno y un programa de auditoría basada en riesgos (entrevista a empresas 1 y 4).

Dificultades en la implementación de la gestión de riesgos estratégicos

Cuando se hace referencia a las ventajas o beneficios, también es necesario conocer cuáles han sido las dificultades y retos que han enfrentado las organizaciones en la gestión de los riesgos estratégicos. Las respuestas de los entrevistados de las empresas E1 y E2, manifiestan sobre este aspecto que la cultura es un elemento retador y que requiere un trabajo articulado para lograr el convencimiento y la apropiación, puesto que la gestión de riesgos debe quedar inmersa en la cultura organizacional y es común encontrar personas resistentes a estos procesos, que no identifican el valor agregado que se puede obtener.

Otro elemento mencionado por las empresas E3 y E5 es la asignación de tiempo por parte del equipo directivo, se identifica su relación con el punto anterior, ya que no debe ser una actividad adicional, sino parte de su gestión. En consecuencia, aparece la dificultad de no utilizar un lenguaje adecuado que pueda ser entendido y apropiado por el nivel directivo, por lo cual la empresa E4 reitera la importancia del compromiso y confianza que debe generar el equipo directivo en relación con la gestión de riesgos estratégicos, para lograr el éxito en su desarrollo.

Otros elementos que consideran las empresas E1, E3 y E4 son la dificultad para integrar la gestión de riesgos a otros sistemas de gestión de la organización5 y situaciones como cambios en la alta dirección de la organización, que generan una interrupción en la continuidad de las estrategias y procesos de gestión de riesgos.

Recomendaciones para implementar la gestión de riesgos estratégicos

Finalmente, los entrevistados como responsables de la gestión del riesgo estratégico, recomiendan tener en cuenta estos elementos para la implementación en cualquier organización:

Durante la formulación de la estrategia realizar la identificación de los riesgos asociados a esta, no de manera posterior.
Capacitación y concientización de todo el equipo directivo. Esto para lograr que el análisis sea racional y lógico, y que se haga desde el nivel de apetito de riesgo que tiene la organización.
Comunicar la estrategia y también los riesgos asociados, y lograr así que las personas la comprendan y ayuden a movilizarla.
Dar a conocer en todos los niveles de la empresa las responsabilidades relacionadas con la gestión de riesgos estratégicos.
Iniciar la implementación de la gestión de riesgos por el ámbito estratégico. De esta manera, se obtiene el convencimiento de la alta dirección, lo que facilita la cohesión con los otros niveles de la organización.
No es necesario esperar a que se materialicen riesgos que afecten los objetivos estratégicos de las empresas y poner en riesgo la supervivencia para implementar la gestión de riesgos estratégicos.
En el caso de los gestores de riesgos, es necesario que se utilice un lenguaje diferenciado, es decir, que se hable en los términos que a la alta dirección le interese escuchar.
Generar alineación e integración con otros procesos, como auditoría, planeación, financiera, entre otros.

DISCUSIÓN Y CONCLUSIONES

La investigación desarrollada presenta una descripción de la forma en que las organizaciones estudiadas realizan la gestión del riesgo estratégico. En este sentido, se analizaron variables como los procesos para gestionar la estrategia, las definiciones de los riesgos estratégicos, el marco y el proceso de gestión, así como los beneficios y dificultades que han tenido en el desarrollo de este tema.

Al conocer la forma como cada entrevistado describe la gestión y como se refiere a la estrategia que lleva su organización, se evidencia que tiene similitudes con la información encontrada en la literatura. Las descripciones fueron muy generales ya que actualmente en estas organizaciones los líderes de la gestión del riesgo estratégico no participan activamente en la definición de la estrategia, solo se evidenció la iniciativa de empezar a desarrollarla por parte de una de las empresas. Por lo anterior, se identifica una oportunidad para los líderes de riesgos y de estrategia; empezar a desarrollar definiciones estratégicas integradas con la gestión de riesgos y de esta manera movilizar el logro de los objetivos desde su concepción.

En cuanto al concepto de riesgo estratégico vale mencionar que está homologado en las organizaciones consultadas, centrado principalmente en los eventos que pueden afectar el logro de los objetivos estratégicos, es decir, que afectan la creación de valor para la organización. Se identificó en los casos estudiados que los riesgos estratégicos se presentan en las etapas de definición y despliegue de la estrategia, y es un concepto que no es generalizable ya que depende de la naturaleza de cada organización, de su estrategia y de la forma como gestionan los riesgos estratégicos. Con respecto al marco para la gestión de riesgos estratégicos se validó que existen elementos que están integrados a la gestión organizacional como la estructura, los roles y las responsabilidades, relacionados con los riesgos estratégicos, en donde se tienen definidos tanto para las juntas directivas, comités directivos, comités de riesgos, directores de riesgos y los líderes de los procesos responsables directos de los riesgos estratégicos. Incluso se evidencia la alineación con las áreas de auditoría interna, lo cual permite generar los insumos para la auditoría basada en riesgos, y tienen un rol definido en el seguimiento al estado de implementación del sistema general. Al respecto, es adecuado que las organizaciones mejoren sus procesos de comunicación y apropiación de estas responsabilidades en otros niveles de la organización, y así permear a otros involucrados en la gestión del riesgo estratégico. Por su parte, sobre la política de gestión de riesgos las empresas consultadas presentan la importancia de contar con este lineamiento, que proporcione los patrones de gestión que permitan asegurar los resultados esperados de la estrategia y objetivos formulados por la compañía.

El apetito es un elemento que está en desarrollo de acuerdo con lo evidenciado en las empresas analizadas y es usado para establecer las escalas de impacto de los riesgos. Pese a que son conocidos y entendidos en la organización para la gestión del riesgo estratégico no están siendo usados en todas las empresas, como insumo en la definición de la estrategia para determinar capacidades de la organización y conocer las restricciones en el logro de los objetivos (Instituto de Auditores Internos de España, 2012), y a partir de esto poder realizar la toma de decisiones sobre objetivos, planes, priorización y asignación de recursos. En consecuencia, es posible ahondar en el conocimiento del uso del apetito y sus métricas de estimación, con el fin de que las organizaciones puedan tener un elemento adicional para alinear la estrategia con la gestión de riesgos, es decir, que este sirva como un lineamiento para la definición de la estrategia.

La tolerancia al riesgo es un concepto que no fue mencionado por los entrevistados. Sin embargo, en la teoría pudo constatarse que es un tema que se considera importante para la gestión de riesgos estratégicos, es definido como la cantidad máxima de riesgo que la organización puede asumir antes de poner en peligro la estabilidad de la organización. Por lo anterior, puede concluirse que en la actualidad es necesario profundizar en su uso y aplicación en la gestión de los riesgos estratégicos, ya que funciona como un nivel de alerta para evitar sobrepasar los límites de riesgo tolerables en la toma de decisiones organizacionales.

Sobre la comunicación y reporte se evidenció en las empresas estudiadas la importancia de generar diferentes estrategias para presentar la información relacionada con los riesgos estratégicos, de modo que logre llegar a las instancias necesarias, como lo son equipos directivos, comités de riesgos y de auditoría y líderes de procesos en general. Por otro lado, se recomienda contar con información de calidad, basada en un equilibrio de datos cualitativos y cuantitativos, que le permita a la alta dirección tomar mejores decisiones y disminuir la incertidumbre existente.

En lo referente a la medición de la madurez del marco para la gestión del riesgo estratégico, se evidenció que algunas de las organizaciones consultadas, emplean modelos propios o modelos de organismos internacionales de gestión de riesgos. Es necesario que las organizaciones incorporen algún modelo de madurez y realicen esta medición, ya que el resultado proporciona los elementos para conducir adecuadamente las actividades de gestión de riesgos, favorece la integración y adhesión dentro de la gestión organizacional. Aplicar la medición de la madurez del sistema ayuda a identificar mejoras en la estructura global de la gestión de riesgos estratégicos, tanto en el marco como en el proceso.

Según el punto anterior y aunado a las recomendaciones dadas por los entrevistados para la implementación del proceso de gestión del riesgo estratégico, es necesario integrar la gestión del riesgo a otros procesos, mejorar la comunicación, tanto de la estrategia como de los riesgos asociados, y realizar la gestión de riesgos desde la formulación de la estrategia. De esta manera, se refuerza la necesidad de potenciar o mejorar los diferentes elementos del marco para la gestión de riesgos estratégicos, que puede hacerse por medio de la medición a través de un modelo de madurez, herramienta eficaz para identificar dichas brechas.

Uno de los aportes más valiosos resaltados en la investigación es la necesidad de que las empresas logren integrar su gestión estratégica con la gestión de riesgos, de modo que se puedan anticipar las situaciones a las cuales pueden verse expuestos y logren replantear sus definiciones estratégicas de acuerdo con los riesgos identificados. Estos análisis permiten tener una mejor proyección de la compañía y garantizar una seguridad razonable para la consecución de sus propósitos establecidos.

Asimismo, se encontraron particularidades relevantes al proceso en lo relacionado con la identificación de los riesgos estratégicos, que inicia a partir de la definición de la estrategia cuando ya se encuentra aprobada, a diferencia de lo que se indica en la teoría referente a que deben ser procesos integrados. En este sentido, la alta dirección debe identificar los eventos que pueden tener consecuencias sobre el logro de la estrategia, y de esta manera lograr una mejor comprensión, tanto de la estrategia como de los riesgos asociados. De ahí, que la gestión de riesgos debe ser parte integral de la gestión estratégica y debe estar embebida en las etapas de definición y despliegue de la estrategia (^{Frigo y Anderson, 2011}), para que se logren hacer ajustes de manera oportuna, de acuerdo con los elementos de riesgo analizados.

De acuerdo con las respuestas de los entrevistados, el análisis de los riesgos estratégicos se realiza según su probabilidad e impacto, y se cuenta con escalas cualitativas y semicuantitativas. Según esto, aún las organizaciones tienen la oportunidad de potenciar las escalas de calificación cuantitativas y de desarrollar nuevas dimensiones para la calificación de los riesgos estratégicos, como la velocidad del riesgo o el nivel de preparación de la organización frente al riesgo; hecho que podría ayudar a la gestión de riesgos a proporcionar información más exacta y precisa, y de esta manera lograr mayor relevancia en la toma de decisiones basadas en riesgos.

En la evaluación de los riesgos estratégicos, de acuerdo con las empresas investigadas, se generan los lineamientos para priorizar el tratamiento de los riesgos, que se traducen en proyectos o acciones estratégicas. Sin embargo, esto tiene un componente que difiere de la teoría, ya que la evaluación del riesgo estratégico debe generar modificaciones en los objetivos estratégicos en los casos que el objetivo a cumplir esté por encima de las capacidades de la organización de acuerdo con los resultados arrojados por la gestión de los riesgos. Esto es un elemento alcanzable por las organizaciones, en la medida en que se integre la gestión de riesgos en el proceso de definición y despliegue de la estrategia.

En cuanto al tratamiento de los riesgos estratégicos, los entrevistados mencionan la importancia de que estén integrados a los procesos de ejecución de la estrategia, puesto que los tratamientos de este tipo de riesgos se traducen en proyectos o iniciativas estratégicas que también hacen parte de la ejecución y despliegue de la estrategia.

De acuerdo con lo expuesto por COSO (2017) para el monitoreo de los riesgos estratégicos se pueden implementar indicadores claves de riesgos que funcionan como alertas sobre los cambios en nivel de exposición al riesgo. Un acercamiento a este punto se identificó en una de las organizaciones consultadas, en la cual se realiza el seguimiento y monitoreo por medio de indicadores de desempeño de la estrategia, de los procesos y las personas. De acuerdo con lo anterior, se concluye que es necesario lograr un mayor desarrollo en la incorporación de indicadores claves de riesgo, ya que permite monitorear el nivel de riego y la afectación sobre los objetivos estratégicos.

De acuerdo con los resultados obtenidos en el desarrollo de la investigación, las organizaciones de este tipo tienen claros el concepto de riesgo estratégico, el marco de gestión y el proceso para realizar la administración de este tipo de riesgos. En cuanto al marco de gestión, tienen la estructura, los roles y las responsabilidades para la gestión de riesgos estratégicos, así como las políticas y elementos de comunicación y reporte. Sobre el proceso de gestión de riesgos estratégicos se realiza de manera estructurada en todas sus etapas, se cuenta con criterios para analizar, evaluar y determinar el tratamiento de estos riesgos. Sin embargo, aún no se desarrolla como un proceso integrado a la gestión estratégica de manera contundente y se identifica que este nivel de integración está dado por la trayectoria y la madurez de la gestión de riesgos dentro de la organización, puesto que en las organizaciones en las cuales se aplica esta medición ya se ha iniciado la integración de la gestión de riesgos en la estrategia.

Adicionalmente, se concluye que elementos como el apetito, la tolerancia y la capacidad de riesgos son utilizados principalmente para definir la escala de impacto para la valoración de los riesgos; presentándose una oportunidad para utilizar este criterio en la toma de decisiones relacionadas con los objetivos y los riesgos estratégicos, y lograr que sean los elementos integradores de la gestión de riesgos en la gestión organizacional.

Con la realización de esta investigación se logró ilustrar cómo las organizaciones que participaron realizan la gestión de los riesgos estratégicos. A partir del conocimiento de las metodologías que aplican hasta los beneficios y dificultades que han experimentado en el proceso, esta investigación proporciona elementos para que las organizaciones puedan mejorar el proceso de gestión de estos riesgos y así contrarrestar las causas que impiden el cumplimiento de la estrategia.

El principal reto que se propone a partir del desarrollo de esta investigación es el diseño e implementación de un modelo o complementar los existentes, que se logre integrar la gestión de riesgos en el marco de la gestión estratégica. Esto supone que los dos procesos no se realicen de forma aislada y que, al contrario, durante el diseño de la estrategia se puedan identificar los posibles riesgos y se realicen los ajustes a la estrategia. Este modelo integrado requiere potencializar elementos como la estructura, la política, los roles y responsabilidades, y especialmente el desarrollo del apetito de riesgo para que sea insumo para la definición de la estrategia, que permita monitorear que los riesgos que se asuman con la estrategia se matengan dentro de los límites establecidos por la organización.

En la etapa de la ejecución de la estrategia las organizaciones pueden implementar la gestión de riesgos tanto a nivel táctico como operativo o en los ámbitos que cada organización requiera, y tienen como insumo los riesgos estratégicos que se gestionan desde la definición de la estrategia, ya que esto aportará desde los diferentes niveles al cumplimiento de los lineamientos estratégicos.

En conclusión, la gestión del riesgo estratégico es un motivador de la necesidad de la organización de tener un sistema integrado de gestión, en el cual a partir de los riesgos estratégicos se cree un hilo conductor que va desde la estrategia hasta las operaciones y que permita a través de la gestión de estos riesgos el cumplimiento de la estrategia. Es fundamental para esta integración optimizar para todos los ámbitos de gestión elementos como los procesos, la gobernanza, las estructuras, las métricas y demás elementos involucrados para alinear los componentes organizacionales hacia el cumplimiento de la estrategia entre los niveles de riesgo aceptados por la organización. Un reto para quienes lideran procesos de riesgo estratégico es lograr que se integren y apropien en todos los procesos, desde los estratégicos hasta los operativos. De lo contrario, será una actividad que no genere el valor necesario para la organización.

REFERENCIAS

Almeida, R., Teixeira, J. M., Mira da Silva, M., y Faroleiro, P. (2019). A conceptual model for enterprise risk management. Journal of Enterprise Information Management, 32(5), 843-868. https://doi.org/10.1108/jeim-05-2018-0097 [ Links ]

Beasley, M., Branson, B., y Hancock, B. (2010). Developing key risk indicators to strengthen enterprise risk management. Raleigh: NC. [ Links ]

Beasly, M., Chen, A., Nunez, K., y Wright, L. (2006). Working Hand in Hand: Balanced scoredcards and Enterprise risk management. Strategic finance, 625-657. [ Links ]

Blanco, E. (2014). Estrategia: conceptos y vínculos. Debates IESA, 19(1), 36-39. [ Links ]

Blok, M., van Ingen, E., de Boer, A. H., y Slootman, M. (2020). The use of information and communication technologies by older people with cognitive impairments: from barriers to benefits. Computers in Human Behavior, 104(March 2020), 106-173. https://doi.org/10.1016/j.chb.2019.106173 [ Links ]

Bolaño-Rodríguez, Y., Alfonso-Robaina, D., Ramírez-Moro, A., y Hernández-Rodríguez, A. (2011). Método de identificación, medición, evaluación de riesgos para la dirección estratégica. Ingeniería Industrial, 32(2), 162. [ Links ]

Bueno, G., Correa, C., y Echeverry, J. (2010). Administración de riesgos: Una visión global y moderna (Trabajo Monográfico para la obtención del Título de Contador Público). Universidad de la República, Montevideo, Uruguay. [ Links ]

Celada, E., Quintero, G., y Ríos, T. (2016). Gobierno, riesgo y cumplimiento básicos para Pymes (Tesis de Maestría). Universidad EAFIT, Medellín, Antioquia. [ Links ]

Chandler, A. (1990). Strategy and structure: Chapters in the history of the American industrial enterprise. Cambridge, USA: MIT press. [ Links ]

Chapman, R. J. (2011). Simple Tools and Techniques for Enterprise Risk Management. Hoboken, NJ: John Wiley & Sons. [ Links ]

Creswell, J. W. (2002). Educational research: Planning, conducting, and evaluating quantitative and qualitative research. Upper Saddle River, NJ: Pearson Education. [ Links ]

COSO Committee of Sponsoring Organizations of the Treadway. (2017). Marco de Gestión de Riesgos Empresarial COSO ERM. Recuperado de https://auditoresinternos.es/uploads/media_items/coso-2018- esp.original.pdf [ Links ]

Deloitte. (2012). Administración de la empresa inteligente frente al riesgo. Recuperado de https://www2.deloitte.com/content/dam/Deloitte/co/Documents/risk/InteligenciaFrentealRiesgo/Administracion%20 del%20riesgo%20(2).pdf [ Links ]

Deloitte. (2016). Strategic risk: A cornestone of risk transformation. Recuperado de http://www2.deloitte.com/ global/en/pages/risk/articles/implementing-risk-transformation-in-organizations.html [ Links ]

Grifell, E., y Marqués, P. (2005). El riesgo en dirección estratégica: evaluación del desempeño competitivo. Cuadernos de economía y dirección de la empresa, (22), 81-106. [ Links ]

Faleato, J. (2013). La implantación del apetito de riesgo. Revista contable, 76 - 81. [ Links ]

Federación de Asociaciones Europeas de Gestión del Riesgo (FERMA, Federation of European Risk Management Associations). (2002). Estandar Ferma. Recuperado de https://www.ferma.eu/app/uploads/2011/11/a-risk-management-standard-spanish-version.pdf [ Links ]

Financial Institutions Supervision, Bank of Thailand. (2003). Strategic Risk Manual. Recuperado de https://www.bot.or.th/English/FinancialInstitutions/PruReg_HB/RiskMgt_Manual/DocLib_DocumentForDownload/RiskManagementExaminationManaul_01_FullVersion.pdf [ Links ]

Fraser, J. R. S., y Simkins, B. J. (2016). The challenges of and solutions for implementing enterprise risk management. Business Horizons, 59(6), 689-698. https://doi.org/10.1016/j.bushor.2016.06.007 [ Links ]

Frigo, M., y Anderson, R. (2009). ERM Estrategic risk management. Strategic Finance, 25-34. [ Links ]

Frigo, M., y Anderson, R. (2011). Strategic risk management: A foundation for improving enterprise risk management and governance. Journal of Corporate Accounting & Finance, 81-88. [ Links ]

Gatzert, N., y Schmit, J. (2016). Supporting strategic success through enterprise-wide reputation risk management. Journal of Risk Finance, 17(1), 26-45. [ Links ]

Galeano, M. (2004). Diseño de proyectos en la investigación cualitativa. Medellín: Universidad EAFIT. [ Links ]

Gontarek, W., y Bender, R. (2019). Examining risk governance practices in global financial institutions:the adoption of risk appetite statements. Journal of Banking Regulation, 20(1), 74-85. https://doi.org/10.1057/s41261-018-0067-2 [ Links ]

Govender, D. (2018). The use of the risk management model ISO 31000 by private security companies in South Africa. Security Journal, 32(3), 218-235. https://doi.org/10.1057/s41284-018-0158-x [ Links ]

Green, P.E.J. (2016). Introduction to Risk Management Principles (Book Chapter). Enterprise Risk Management: A Common Framework for the Entire Organization. 1-13. [ Links ]

Hernández-Samperi, R. y Mendoza, C. (2018). Metodología de la investigación. Las rutas cuantitativa, cualitativa y mixta. México: Editorial Mc Graw Hill Education. [ Links ]

Hillson, D. A. (1997). Toward a risk maturity model. The international journal of project & Business risk management, 35-45. [ Links ]

Holcomb, J. (2006). Managing strategic risk. En US Army War College Guide to National Security Policy and Strategy (143-154). Carlisle, Pennsylvania: J. Boone Bartholomees, Jr. Department of National Security and Strategy. [ Links ]

Instituto de Auditores Internos de España. (2012). Definición e implantación de apetito de riesgo. Recuperado de https://auditoresinternos.es/uploads/media_items/apetito-de-riesgo-libro.original.pdf [ Links ]

Organización Internacional de Normalización (ISO, International Organization for Standardization). (2018). ISO 31000 Risk management - Guidelines (en línea). Recuperado de https://www.iso.org/obp/ui#iso:std:iso:31000:ed-2:v1:es [ Links ]

Jhonson, G., Scholes, K., y Whittington, R. (2010). Dirección estratégica. Barcelona: Pearson. [ Links ]

Kaplan, R., y Norton, D. (2008). The Execution Premium: Integrando la estrategia y las operaciones para lograr ventajas competitivas. Barcelona: Deusto. [ Links ]

Kaplan, R.S., y Mikes, A. (2012). Managing risks: A new frame- work. Harvard Business Review, 90(6), 48-60. [ Links ]

Kasim, M. A. (2016). Unravelling the Myths of Enterprise Risk Management (ERM) and Shareholders’ Wealth. International Journal of Emerging Research in Management & Technology, 5(11), 4-15. [ Links ]

Kheirandish, A., y Banihashemi, S. Y. (2016). Process Approach to Enterprise Risk Management. 2nd International Conference on Industrial and Systems Engineering (ICISE) Process. [ Links ]

Lechner, P. y Gatzert, N. (2017). Determinants and value of enterprise risk management: empirical evidence from Germany. The European Journal of Finance, 24(10), 867-887, doi: 10.1080/1351847X.2017.1347100 [ Links ]

Lin, Y., Yut, J., y Wen, M. (2012). Enterprise Risk Management: Strategie Anteeedents, Risk Integration 1. North American Actuarial journal, 1-28. [ Links ]

López Herrera, F., y Salas Harms, H. (2009). La investigación cualitativa en administración. Cinta de Moebio (35), 128-145 . [ Links ]

Lotti Oliva, F. (2016). A maturity model for enterprise risk management. International Journal of Production Economics, 66 - 79. [ Links ]

Marsh, y The Risk Management Society. (2018). Navegando la incertidumbre: III Benchmark de gestión de riesgos en latinoamérica. Recuperado de https://www.marsh.com/pa/es/insights/research/iii-benchmark- de-gestion-de-riesgos-en-latinoamerica.html [ Links ]

McConnell, P. (2013). Strategic risk: the beanstalk syndrome. Journal of Risk Management in Financial Institutions, 6(3), 229-252. [ Links ]

Mejía, R. (2013). Identificación de riesgos. Medellín: Fondo Editorial Universidad EAFIT. [ Links ]

Meulbroek, L. (2002). Integrated Risk Management for the Firm: A Senior Manager’s Guide. Journal of Applied Corporate Finance, 56-70. [ Links ]

Minztberg, H., Ahlstrand, B., y Lampel, J. (2007). Safari a la estrategia: una visita guiada por la jungla del management estratégico. Buenos Aires: Granica. [ Links ]

Mishra, B.K., Rolland, E., Satpathy, A., y Moore, M. (2019). A framework for enterprise risk identification and management: the resource-based view. Managerial Auditing Journal, 34(2),162-188. [ Links ]

Nieto, V. M., Tomoté, J. A., Sánchez, A. F., y Villareal, S. (2015). La clasificación por tamaño empresarial en Colombia: Historia y limitaciones para una propuesta. Archivos de economía. Recuperado de https://ideas.repec.org/p/col/000118/013649.html [ Links ]

Ojeka, S. A., Adegboye, A., Adegboye, K., Alabi, O., Afolabi, M., y Iyoha, F. (2019). Chief financial officer roles and enterprise risk management: An empirical based study. Heliyon, 5(6), e01934. https://doi.org/10.1016/j.heliyon.2019.e01934 [ Links ]

Oliveira, K., Méxas, M., Meiriño, M., y Drumond, G. (2018). Critical success factors associated with the implementation of enterprise risk management. Journal of Risk Research, 9877, 1-16. https://doi.org/10.1080/13669877.2018.1437061 [ Links ]

Palinkas, L.A., Horwitz, S.M., Green, C.A., Wisdom, J.P., Duan, N y Hoagwood, K. (2015). Purposeful Sampling for Qualitative Data Collection and Analysis in Mixed Method Implementation Research. Políty Adm.Ment. Salud, 42(2015 ), 533-544. https://doi-org.ezproxy.eafit.edu.co/10.1007/s10488-013-0528-y [ Links ]

Pascual, R. (2008). Nuevos retos de la gerencia de riesgos: un modelo de gestión y retención del talento. Gerencia de Riesgos, 38-47. [ Links ]

Pierce, E. M., y Goldstein, J. (2018). ERM and strategic planning: A change in paradigm. International Journal of Disclosure and Governance, 15(1), 51-59. https://doi.org/10.1057/s41310-018-0033-3 [ Links ]

Porter, M. (2008). Competitive strategy: Techniques for analyzing industries and competitors. Nueva York: Simon and Schuster. [ Links ]

Rostami, A., Sommerville, J., Wong, I.L., y Lee, C. (2014). Using appropriate tools and techniques for risk identification in UK construction’s SMEs. Proceedings 30th Annual Association of Researchers in Construction Management Conference, ARCOM 2014, 1389-1398. [ Links ]

Slagmulder, R., y Devoldere, B. (2018). Transforming under deep uncertainty: A strategic perspective on risk management. Business Horizons, 61(5), 733-743. https://doi.org/10.1016/j.bushor.2018.05.001 [ Links ]

Smith, C.L., y Brooks, D.J. (2013). Security science: The theory and practice of security. Waltham: Butterworth- Heineman. [ Links ]

Soltanizadeh, S., Rasid, S. Z. A., Golshan, N., Quoquab, F., y Basiruddin, R. (2014). Enterprise Risk Management Practices among Malaysian Firms. Procedia - Social and Behavioral Sciences, 164(August), 332-337. https://doi.org/10.1016/j.sbspro.2014.11.084 [ Links ]

Trullenque, F. E. (2003). Gestion Estratégica del Riesgo: Cómo gestionar la incertidumbre. Estrategia Financiera(193), 12-18. [ Links ]

Urmeneta, R. (2016). Dinámica de las empresas exportadoras en América Latina. El aporte de las pymes. Recuperado de http://repositorio.cepal.org/bitstream/handle/11362/40296/1/S1600377_es.pdf [ Links ]

Vij, M. (2019). The emerging importance of risk management and enterprise risk management strategies in the Indian hospitality industry. Worldwide Hospitality and Tourism Themes, 11(4), 392-403. https://doi. org/10.1108/whatt-04-2019-0023 [ Links ]

Viscelli, T.E, Hermanson, D.R, y Beasly, M.S. (2017). The integration of ERM and strategy: Implicationes for corporative governance. Accounting Horizons, 31(2), 69-82. https://doi.org/10.2308/acch-51692 [ Links ]

Wieczorek Kosmala, M. (2014). Risk Management practices from risk maturiti models perspective. Journal for East European Management Studies, 133-135. [ Links ]

Yin, R. (2009). Case Study Research: Design and Methods. Fourth edition. Thousand Oaks, CA: Sage Publications. [ Links ]

Young, J. (2014). Operational Risk Management. 2nd ed. Pretoria: Van Schaik Publishers. [ Links ]

Young, J. (2018). Guiding Criteria for an Operational Risk Management Framework for South African Municipalities. Administratio Publica, 26(1), 9-41. [ Links ]

¹El modelo de madurez de RIMS provee un marco para la autoevaluación y mejora de las prácticas de gestión de riesgos corporativos.

²La gestión de tendencias y riesgos es una metodología para riesgo estratégico desarrollada por el Grupo Sura. Analiza tendencias particulares del mercado que pueden potenciar la materialización de los riesgos identificados.

Este es un artículo publicado en acceso abierto bajo una licencia Creative Commons