Mapa de riesgos: identificar los riesgos estratégicos de tu empresa

INMACULADA RAMÍREZ: Una vez que tenemos ese gráfico, pues lo que se establece es un plan de
tratamiento de los riesgos, ¿no? ¿Para qué? Pues para intentar mitigar aquellos que están en la zona más
de colores más fuertes. De color rojo o de color naranja, intentar llevarlos a una zona de colores más cálidos.
[MÚSICA]
LOCUTOR: Estás escuchando Riesgos 360º, el podcast de WTW sobre gestión de riesgos emergentes para
tu organización.
ALBERTO RODRÍGUEZ: Bienvenidos a un nuevo episodio de Riesgos 360º, os saluda Alberto Rodríguez,
conductor de este espacio y miembro del equipo de marketing digital de WTW España. Hay una frase
conocida por todo el mundo que define a la perfección el tema de hoy y esa frase es, "más vale prevenir que
curar". Googleando un poco el origen de esta, me aparece un resultado indicando que fue Benjamín Franklin
quien dijo por primera vez, "una onza de prevención vale tanto como una libra de curación".
Y en el terreno de la gestión de riesgos, sobre todo si hablamos en el plano empresarial, es vital anticiparse
a las amenazas a las que pueden verse sometidas las organizaciones. Pero no siempre es fácil, se requiere
de una herramienta capaz de planificar la respuesta de la empresa ante estos sucesos. Para hablar de este
sistema y de cómo permite tomar decisiones estratégicas dentro de la organización se encuentran con
nosotros, nuevamente, Fernando Redondo, director de la unidad especialista de gerencia de riesgos de
WTW España; e Inmaculada Ramírez, consultora senior e integrante del equipo que lidera Fernando.
Fernando e Inma, Inma y Fernando, muchas gracias a los 2 por estar hoy aquí con nosotros.
FERNANDO REDONDO: Muchas gracias.
INMACULADA RAMÍREZ: Gracias a ti, Alberto.
ALBERTO RODRÍGUEZ: El tema de hoy es un pilar fundamental en la disciplina conocida como gestión de
riesgos. Esta metodología a la que hacía referencia hace un momento se llama mapa de riesgos y para
vosotros es algo que domináis y que es muy habitual en el ejercicio de vuestra profesión, pero a lo mejor no
lo es tanto para nuestros oyentes. Así que, si podéis explicarnos para que lo entendamos los profanos en
qué consiste un mapa de riesgos de una empresa pues os lo agradecemos.
FERNANDO REDONDO: Muchas gracias, Alberto. Bueno, en principio y, para empezar, muy buena la frase
que has utilizado en la introducción que define muy bien lo que vamos a tratar de explicar, ¿no? Un mapa de© 2023 WTW. All rights reserved. Proprietary and Confidential Page 2 of 7
wtwco.com
riesgo de una empresa es muchas cosas, pero realmente es una herramienta que permite organizar
información sobre los riesgos, los riesgos de la compañía y analizar y medir su magnitud.
Es una herramienta de visualización de datos para comunicar los riesgos específicos a los que se enfrenta
una organización. Que esto parece que lo conocemos, pero muchas veces, si no hay una metodología y hay
un estudio previo, pues probablemente no lo tengamos muy organizado. También constituye una
representación gráfica de riesgos asociados a un negocio que se diseña para ilustrar el impacto de esos
riesgos en un eje de probabilidad o frecuencia en el otro.
Puede elaborarse como una cuadrícula bidimensional en que los riesgos que se observan en el cuadrante de
alta frecuencia o gravedad deben recibir una atención prioritaria en la gestión de riesgos de la compañía. Y
finalmente su objetivo es establecer estrategias, las más adecuadas, para poder gestionar estas situaciones,
ya que ayuda a identificar y priorizar y cuantificar los riesgos para una empresa. Desde nuestro punto de
vista es esencial para los negocios. Es decir, que una empresa que quiere conocer cuáles son sus riesgos y
cuáles son sus impactos, pues debe elaborar un mapa con este tipo de metodología.
ALBERTO RODRÍGUEZ: Me recuerda a otro tipo de sistemas también de análisis y gráficos ¿no? De otras
disciplinas. Pero claro, entonces esto suena como muy elaborado. ¿Cómo hacemos este mapa de riesgos?
¿Quién se encarga de hacerlo? ¿Y de qué fases consta?
INMACULADA RAMÍREZ: Pues Alberto, a ver. En toda organización, a la hora de afrontar un proyecto como
este ¿no? El mapear todos sus riesgos, en primer lugar, debe establecer las personas que deberán ser los
responsables de ese análisis, y que deberán hacer suyo el mapa de riesgos. El mapa de riesgos es-- o todos
los riesgos, pertenecen a la organización. Pero se debe establecer ese orden y esa responsabilidad sobre
los mismos.
Estas personas que, normalmente hay en un organigrama clásico de una organización, serían los
responsables de las diferentes áreas en primera instancia, y luego ya, estos responsables podrían contar
con personas de sus equipos para profundizar más en el análisis o menos, en función de las necesidades, y
en definitiva, lo que se busca es que tengamos una visión completa de la organización y de las diferentes
áreas del negocio, con el objetivo de poder tener un enfoque global y ajustado a la realidad de esa
organización.
¿Qué se hace? ¿Qué tiene que hacer ese equipo que hemos previamente seleccionado? Pues, en primer
lugar, debe identificar los riesgos a los que se expone la compañía, posibles amenazas y vulnerabilidades
que pueden hacer que esos riesgos se desencadenen y tengan lugar, y además con efecto principalmente
negativo.
Aunque hay, hay teorías o metodologías que también contemplan el riesgo como esa vertiente positiva que
podría tener el riesgo por el factor oportunidad que siempre va asociado a un riesgo en cierta medida. Al final
es tener esa identificación de las circunstancias que pueden poner en peligro los objetivos de la compañía
que pueden producir pérdidas económicas en el negocio, así como otro tipo de impacto, otro tipo de
impactos como son el impacto operacional o el impacto legal, reputacional y bueno, cualquier otro tipo de
impacto sobre los objetivos de la compañía y de cada área de negocio.
Cada empresa y cada sector se enfrenta a un tipo de riesgos y de una magnitud diferente, y es importante
que esto quede contemplado en la identificación de estos. En segundo lugar, se deben evaluar los riesgos
una vez que hemos identificado y tenemos esas posibles amenazas, pues debemos valorarlos para saber
oye, cuán de grave es cada uno de estos riesgos que hemos identificado.© 2023 WTW. All rights reserved. Proprietary and Confidential Page 3 of 7
wtwco.com
Se pueden emplear diferentes técnicas, hay una norma al respecto la ISO 31.000 que nos habla de
diferentes técnicas para evaluar los riesgos, no es certificable como otras ISOs, pero bueno, es un estándar
que nos sirve como referencia. Que nos da un marco y con posibles métodos de evaluación. En cualquier
caso, las metodologías se deben hacer ad hoc para cada negocio, porque cada negocio tiene su propia
idiosincrasia, pero sí que es cierto que es bueno emplear técnicas a su vez que sean lo suficientemente
universales en la medida de lo posible, para que sean entendidas y válidas en diferentes ámbitos.
Se pueden usar escalas cualitativas, para valorar esos riesgos o semi cuantitativas, de probabilidad e
impacto como ha comentado antes Fernando, y esto ya nos daría una buena evaluación de estos riesgos.
En WTW trabajamos también la cuantificación analítica que nos daría una valoración del riesgo más precisa,
en términos especialmente de impacto económico si se estima necesario. Una vez que tenemos esa
identificación y esa valoración de los riesgos, ya tenemos, digamos, un listado priorizado de lo que es más
grave y de lo que es menos grave.
La figura habitual del mapa de riesgos que a lo mejor suena más a nuestros oyentes es ese gráfico de
colores, normalmente en rojo lo más grave y en verde o en azul lo menos grave, pasando por una situación
de riesgo medio potencial, que suele ser naranja o amarilla, lo que viene siendo un poco los colores del
semáforo que nos avisan cuando no podemos pasar y no podemos admitir ese nivel de riesgo y cuando sí
podemos pasar y sería un nivel de riesgo tolerable.
Una vez que tenemos ese gráfico, lo que se establece es un plan de tratamiento de los riesgos ¿para qué?
Pues para intentar mitigar aquellos que están en la zona de colores más fuertes, de color rojo o de color
naranja intentar llevarlos a una zona de colores más cálidos. En ese sentido se proponen medidas de
tratamiento que pueden ser, bien preventivas, que actuarían sobre la probabilidad de ocurrencia, o bien
correctivas, que estarían actuando en mayor medida sobre el impacto una vez que el riesgo se materializara.
En todo momento es importante, antes o después, tener en cuenta los controles existentes en la
organización para diferenciar lo que viene siendo el riesgo inherente, que es el riesgo que tiene la
organización por su actividad per se, si no existieran controles aplicados; del riesgo residual, que es el riesgo
que nos queda una vez que aplicamos esos controles existentes, y sobre el que hay que trabajar, sobre el
que hay que hacer un plan de tratamiento adicionales sobre ese riesgo residual. Que digamos que, a pesar
de tener controles en vigor, seguimos teniendo unos niveles de riesgo que nos preocupan.
En definitiva, el plan de tratamiento debe contemplar por tanto medidas adicionales a las ya existentes en la
compañía. Todo este trabajo. ¿Para qué? Pues para que sea la base sobre la que establecer una estrategia
integral de gestión de riesgos en la compañía y sea un elemento clave en la toma de decisiones de la
dirección.
ALBERTO RODRÍGUEZ: He apuntado, entonces, como las diferentes fases de identificación, evaluación de
los riesgos, proyección gráfica de los daños y el control del riesgo. Y al final toda esta base, como tú decías,
sirve precisamente para establecer esa estrategia integral de gestión de riesgos. Entonces, aprovecho ahora
en este punto para preguntaros, ¿cómo proponemos desde WTW establecer esa estrategia integral de
gestión de riesgos?
FERNANDO REDONDO: Sí. Esto es la clave de todo. Independientemente de lo que ha explicado muy bien
Inma, qué es la mecánica de la realización del mapa de riesgos, esto es un tema estratégico. Además,
nosotros lo que explicamos a nuestros clientes es que nos vean como un proceso, un proceso muy amplio
en el cual de WTW somos capaces de hacer, desde el análisis e identificación de los riesgos, avanzar en
ese proceso hasta que llegamos a la mitigación.© 2023 WTW. All rights reserved. Proprietary and Confidential Page 4 of 7
wtwco.com
Vea, por ejemplo, contratación de seguros. Es lo que llamamos una estrategia de ERM o de Enterprise Risk
Management dentro de una compañía. Que es un concepto muy vinculado a otro muy conocido en
consultoría, que es el de las 3 líneas de defensa, también denominado GRC, lo que es el Gobernance Risk
and Compliance.
Y además nos gusta resaltar que no es exclusivo para las empresas cotizadas, que fueron lógicamente las
pioneras, porque su regulación y las exigencias de la CNMV así se lo requería, sino que, en la empresa
mediana, la empresa mediana a grande, o cualquiera, dependiendo de los recursos que esta pueda dedicar
a esta materia que es precisamente uno de los grandes principios de la ISO 31.000 que mencionó
anteriormente Inma. Es decir, está claro que es una estrategia de riesgos, que es una estrategia de riesgos
para todo tipo de compañía y que cada uno la va a poder acometer en la medida de los recursos que tenga
para hacerlo. Eso es un poco lo que quería deciros en este punto.
ALBERTO RODRÍGUEZ: Perfecto, Fernando. Y mira, un inciso muy rápido. Me encanta que digas "daobliu,
ti, daobliu", nuestro nombre de empresa en inglés "uve doble, te, uve doble", pero que efectivamente somos
"daobliu, ti, daobliu", desde el año pasado y que verdaderamente, pues como que de una manera más
natural parece que es más fácil decirlo en inglés, ¿no? pero bueno.
Para nuestros oyentes eso, quiero recordarles que Willis Towers Watson pasamos a ser WTW, "daobliu, ti,
daobliu" en 2022. Y hablando de acrónimos ingleses y específicamente de acrónimos de riesgos, volviendo
con el tema que nos ocupa, no podemos dejar de citar el famoso ESG, que además lo estamos como
concepto promocionando muchísimo en todos nuestros canales digitales de WTW. ¿Podrías explicarnos,
Fernando, cómo se interrelacionan estos conceptos que nos estabas comentando ahora mismo de
Governance Risk and Compliance con el ESG?
FERNANDO REDONDO: Sí, perfectamente. Además, efectivamente "daobliu, ti, daobliu", perdonar que me
cuestan los acrónimos, al final está apostando claramente por el desarrollo de soluciones de consultoría y de
seguros de ISG de forma clara. Y nosotros nos dimos cuenta evidentemente que tiene mucho que ver con lo
que decíamos antes de un GRC del Governance Risk and Compliance, porque tiene letras, porque es la
mejor forma de entenderlo que son comunes.
Entonces ya se habla mucho en todos los sectores de la complementariedad del GRC con el ESG.
Evidentemente si analizamos las letras GRC y vamos analizando ESG, pues vemos que hay una letra muy
común que es la G que es todo el tema de gobierno de las empresas, y ahí lógicamente todas las
actividades que ya hemos realizado en el establecimiento de un GRC o de un Governance Risk and
Compliance dentro de una organización, evitando además esa sensación que tenemos muchas veces en las
empresas de que trabajamos en silos, sino que lo que nosotros tratamos de hacer es que poner en máximo
valor interrelacionado la G, la R y la C, pues todo lo que de GRC hemos desarrollado en nuestras empresas
lo podemos transportar a la ESG.
Y en el fondo, pues quien no ha empezado la casa por el cimiento y no tiene los temas muy desarrollados en
GRC, difícilmente va a poder desarrollar el ESG. Entonces, bueno, se puede hacer, pero cada ahora es más
complicado. Entonces yo creo que es muy importante visualizar esa interrelación y cómo el aprovechamiento
de lo que hemos hecho en la base, nos va a servir para construir en una capa, no sé si superior, porque el
ESG no es superior como capa, pero sí es una capa adicional a lo que es toda la política de buen gobierno.
Porque alguien decía y me gustó mucho la frase, en el fondo el buen gobierno es la clave de todo. Es el
gobierno de las empresas desde el punto de vista de riesgos, desde el punto de vista de cumplimiento,
desde el punto de vista de sostenibilidad ambiental, etc. Y toda esa interrelación es la que debe verse en
conjunto y es la que desde WTW somos capaces de dar respuesta a nuestros clientes.© 2023 WTW. All rights reserved. Proprietary and Confidential Page 5 of 7
wtwco.com
ALBERTO RODRÍGUEZ: Sin duda. Y a continuación del mapa de riesgos, el siguiente punto sería la
elaboración del plan de continuidad. Del cual hablamos contigo, Inma, en los episodios 6 y 7 de este
podcast. El mapa de riesgos sería el input de este plan de continuidad, ¿verdad?
INMACULADA RAMÍREZ: Pues eso es, Alberto. De hecho, una buena gestión del riesgo, parte
efectivamente como hemos explicado de esa identificación y valoración de los riesgos, el mapeo de estos, y
luego la puesta en marcha de medidas como decíamos, ¿no? Para mitigar los riesgos que se han detectado.
En este caso, justamente el plan de continuidad de negocio es una medida que actúa sobre el impacto de
ocurrencia de todos esos riesgos de posible interrupción del negocio.
Podemos plantear la elaboración de un plan de continuidad de negocio como solución a muchos riesgos
operacionales de interrupción de la actividad. En WTW proponemos una metodología, en este caso
siguiendo la norma, otra norma ISO. Una norma específica de continuidad de negocio que es la 22.301. Que,
al contrario que la 31.000 que hemos comentado, sí que es certificable.
Igualmente, aparte de un plan de continuidad de negocio que actuaría, como decía, sobre el impacto de
ocurrencia de esos riesgos de interrupción podemos plantear otro tipo de medidas. Tanto preventivas, como
hemos nombrado anteriormente, que ayudan a reducir la probabilidad de ocurrencia como otras correctivas.
Como podrían ser en este caso la transferencia del riesgo siempre que sea posible al mercado asegurador, y
que nos ayudarían a mitigar por ejemplo una posible pérdida económica a raíz de un riesgo de interrupción
de la actividad.
En definitiva, con la metodología que empleamos en WTW y el enfoque de gestión integral del riesgo,
logramos comprender esa situación de riesgo global de la organización, analizar sus mejores opciones de
tratamiento del riesgo, desarrollar medidas de mitigación o transferencia, según sea posible y en todo
momento ayudar y acompañar y dar soporte al cliente a poner en marcha esas medidas de mitigación y de
tratamiento del riesgo.
ALBERTO RODRÍGUEZ: Yo creo que con todo lo que ya nos has explicado hasta ahora, más o menos has
mencionado ya qué riesgos son los que se deberían detectar en un mapa de riesgos. Pero para enfatizar
sobre esta idea y si no, le doy un poco la vuelta, ¿qué riesgos son los que no deberían escaparse y que
tienen que ser detectados sí o sí en un mapa de riesgos porque es que es lo mínimo minimorum o sea es
algo que es una alerta y que tiene que estar ahí, porque es una línea roja.
INMACULADA RAMÍREZ: Pues efectivamente. Un mapa, un buen mapa de riesgos global como hemos
comentado debe recoger riesgos de toda índole. Especialmente aquellos riesgos que afectan a la
consecución de los objetivos de la empresa. Por ello deben ser, se identifican riesgos tanto estratégicos
como financieros, legales de cumplimiento, medioambientales, de las personas, bueno, tecnológicos,
operacionales, reputacionales, etcétera, incluyendo, de hecho, riesgos de la tipología que se han nombrado,
que ha nombrado Fernando anteriormente, cómo son los riesgos de ESG o los riesgos de un gobierno y
digamos que un buen mapa de riesgos debe identificar todas aquellas situaciones que pueden poner en
peligro la consecución de los objetivos de la empresa, la continuidad de la misma, y por lo tanto caben
riesgos de todo tipo.
Es cierto que el riesgo 0 no existe y que existen los famosos cisnes negros que son esos riesgos que a
veces no tenemos contemplados, porque no los tenemos en nuestro radar y cuando se manifiestan tienen un
impacto muy alto. Bueno, poco a poco, también hay que nutrirse de la propia experiencia de la organización,
de la experiencia de otras organizaciones, de los problemas que vemos que se manifiestan todos los días a
diario a nuestro alrededor en organizaciones a nuestro alrededor y recoger toda esa información como
posibles también fuentes de nuevos, de nuevos riesgos, ¿no?© 2023 WTW. All rights reserved. Proprietary and Confidential Page 6 of 7
wtwco.com
Entonces, digamos que riesgos de todo tipo y estar siempre actualizado y pendiente de riesgos que pueden
surgir en el futuro. Aunque ahora no se estén manifestando riesgos que pueden ser, que pueden ocurrir en el
futuro.
ALBERTO RODRÍGUEZ: Y para terminar ¿podríais ponernos algún ejemplo, un caso concreto? No hace
falta que nos digáis el nombre de la organización ¿en el que el mapa de riesgos supuso una diferencia
crucial para la gestión de los riesgos de esta empresa o de este caso?
FERNANDO REDONDO: Sí, por supuesto. Hay muchísimos ejemplos y todos los tenemos en mente.
Cuando ocurren siniestros climáticos, siniestros de incendios, siniestros o acontecimientos, ¿no? Entonces
bueno, por ejemplo, de un tema de incendio, que es uno bastante sencillo de entender pues se ha
identificado en un mapa de riesgos que se ha producido, qué medidas de tratamiento tenía ese incendio, que
se han ejecutado esas medidas como por ejemplo que, tras su materialización, se han puesto en marcha las
medidas aseguradoras, lógicamente en vigor, con la peritación, etcétera.
Pero, lógicamente, como es una garantía financiera, pues además ha permitido preservar la cuenta de
resultados y como esa organización lo había medido en cuanto a impacto y probabilidad, pues para la
mitigación también tenía un plan de continuidad negocio alternativo, que le ha permitido recuperarse en
cuanto a su producción y ventas en el menor tiempo posible. ¿no?
Hay muchos casos en el sector de alimentación por ejemplo en España, donde grandes factorías o
medianas factorías, y hace poco una castellana leonesa muy famosa y que ha producido mucho ruido
mediático por la importancia de esta fábrica. Pues evidentemente ahora vamos a ver que el seguro pagará,
pero vamos a comprobar si tenía algún tipo de planificación para seguir trabajando para no perder cuota de
mercado y atender a sus clientes después de producido el acontecimiento. Pues como veis es un ciclo en el
cual se mezclan tanto lo que es la medición y el impacto del riesgo como los planes de tratamiento y la
puesta en marcha de esas medidas de tratamiento. De la complementariedad de todo el ciclo significa que lo
tenemos lo más completo posible.
Si bien es cierto, como muy bien ha indicado Inma, que las organizaciones también nos tenemos que
acostumbrar a tener un poco el efecto faro. Es decir, hacer y proyectar en el futuro y un haz de luz en el cual
estemos siempre focalizando hacia el riesgo. Porque vienen riesgos o se pueden producir riesgos
inesperados. Pues aun no produciéndose el 100% del control de esos riesgos, cuando tienes cultura y
cuando tienes preparación hacia el riesgo, siempre vas a tener una organización mucho más preparada y
mucho más ocupada para esta materia, que, si no tienes previamente estas técnicas implantadas, y sobre
todo que la organización tenga como dentro de sí misma esa ocupación con el riesgo. Creo que con esto he
contestado a lo que nos estás preguntando, Alberto. Gracias.
ALBERTO RODRÍGUEZ: Sí, divinamente. Sí ya lo decía al principio de este podcast que más vale prevenir
que curar y aunque desde luego es vital también tener esa capacidad de reacción en tiempo real ante
imprevistos, pero es importantísimo contar con una planificación y con una estrategia que prevenga ante
riesgos que tienen esa posibilidad de ocurrir. Pues hasta aquí hemos llegado por hoy, Fernando e Inma.
Millones de gracias por vuestro tiempo con nosotros hoy también y os espero en próximas entregas.
FERNANDO REDONDO: Muchas gracias.
INMACULADA RAMÍREZ: Por supuesto, muchas gracias.
ALBERTO RODRÍGUEZ: Y a nuestros oyentes, gracias una vez más por llegar hasta el final. Si os ha
gustado la conversación, os recuerdo que en el episodio 3, Fernando Redondo nos habló de la
obligatoriedad de contar con un canal de denuncias para las empresas públicas y privadas de más de 50© 2023 WTW. All rights reserved. Proprietary and Confidential Page 7 of 7
wtwco.com
trabajadores, de acuerdo con la directiva whistleblowing, que próximamente verá la luz como ley española, y
en el doble episodio 6 y 7, Inma nos explicó con detalle en qué consiste un plan de continuidad de negocio.
Volvemos pronto con más temas, os esperamos en una nueva entrega de riesgos 360º.
[MÚSICA]
LOCUTOR: Gracias por escuchar Riesgos 360º. Recuerda que puedes encontrar más contenido sobre
gestión de riesgos en nuestro blog WTW Update y en nuestro canal de LinkedIn y Twitter de WTW
España. Anticípate y convierte el riesgo en un camino hacia el crecimiento.
[MÚSICA]