Introducción

Toda actividad que realiza una organización conlleva un riesgo para el personal que la realiza. Dichos riegos pueden ser reducidos si se los lleva a cabo con las suficientes medidas de control. En la actualidad muchas empresas son conscientes de la importancia de la gestión del riesgo y sus posibles consecuencias en caso de no administrarla de manera adecuada, pasando de simples recomendaciones de prevención a incluirlas mediante un completo sistema de gestión en sus diferentes documentos y reglamentos internos [1].

La concepción de la nueva empresa propuesto por la Gestión del Riesgo Empresarial (GRE), le asigna un rol totalmente distinto del comúnmente desempeñado por el tipo de empresa tradicional. La nueva empresa que adopta a la Gestión del Riesgo Empresarial como pilar para su accionar, utiliza varias herramientas y técnicas integradas para mitigar los diferentes tipos de riesgos que podrían afectar a la organización. Dentro de estas acciones se encuentran: la modificación de sus operaciones internas, ajuste de su estructura de capital y empleo de instrumentos financieros específicos como parte de sus actividades cotidianas [2].

El Comité de Organización de la Comisión Patrocinadora Treadway (COSO por sus siglas en inglés), define la Gestión de Riesgos Empresariales como el establecimiento de estrategias a nivel de toda la organización, diseñadas con el fin de identificar eventos potenciales que puedan afectar a la entidad y que proporcionan una seguridad razonable en cuanto al logro de sus objetivos [3].

La Sociedad Actuarial de Situaciones Riesgosas (CAS por sus siglas en inglés), define la Gestión de Riesgos Empresariales como un conjunto de disciplinas en donde la organización, presente en una industria, evalúa, controla, explora, financia y monitorea todos los riesgos posibles con el propósito de incrementar el valor a corto y largo plazo de las partes interesadas de la empresa [4][5].

La Organización Internacional de Normalización, ISO por sus siglas en inglés (International OrganizationforStandardization) creó la familia ISO 31000 para la administración y gestión del riesgo dentro de una organización. La norma ISO 31000 proporciona directrices y principios genéricos sobre la gestión de riesgos de una organización y no es específica para ninguna industria o sector, por lo que puede ser utilizada por cualquier empresa, asociación o grupo de individuos. La norma ISO 31000 no fue creada para fines de certificación y puede aplicarse a una amplia gama de actividades, incluidas estrategias y toma de decisiones. El diseño y la implementación de los planes y marcos de la gestión de riesgos utilizando la norma ISO 3100, deberá tener en cuenta las diversas necesidades de una organización específica, sus objetivos particulares, contexto, estructura, operaciones, procesos, funciones, proyectos, productos, servicios o activos y prácticas específicas empleadas por ella [6].

En la tabla número 1 se muestra los principales componentes del proceso de gestión del riesgo empresarial desde la perspectiva de Sociedad Actuarial de Situaciones Riesgosas, El Comité de Organización de la Comisión Patrocinadora Treadway (COSO) y la Organización Internacional de Normalización (ISO 31000) [7][8][9].

Así mismo, Lam, define la gestión de riesgos empresariales como un marco integrado para gestionar el riesgo de crédito, el riesgo de mercado, el riesgo operacional, el capital económico y la transferencia de riesgos, con el fin de maximizar el valor de la empresa [10].

Por su parte, Makomaski (2008) define la gestión de riesgos empresariales como una disciplina de toma de decisiones que aborda la variación en las metas de la empresa [11].

Otros autores conciben a la gestión de riesgos empresariales como un procedimiento holístico, es decir un sistema instaurado a nivel de toda la compañía. Centraliza la información de acuerdo con las exposiciones de riesgo a las que hace frente la organización. Para ello, utiliza el término "universo de riesgo", que es el riesgo que podría afectar el flujo de caja futuro, la rentabilidad y la existencia futura de una empresa. Una vez identificado el universo de riesgo, el siguiente paso es tomar una acción apropiada, a través del mapeo de riesgos, la asignación de una probabilidad de ocurrencia y las acciones posibles para limitar el riesgo y el impacto de acuerdo a los objetivos de la organización [12].

Desde un punto de vista integral, la gestión del riesgo empresarial considera todos los tipos de riesgo que enfrenta una organización. La filosofía fundamental de este documento fue concebir a la gestión de riesgos de manera integral y no de forma individual a través del aseguramiento individual de los bienes de la organización, logrando con ello "maximizar la eficiencia productiva de la empresa" [13].

Un hilo común de la gestión de riesgos de la empresa es que los riesgos generales de la organización se gestionan en conjunto, mas no de manera independiente. Bajo esta concepción, el nivel de toma de decisiones en la gestión de riesgos empresariales se desplaza, desde el gestor de riesgo de seguros, que generalmente busca controlarlo, al director ejecutivo o consejo de administración que está dispuesto a adoptar acciones para eliminarlo [14].

Por lo tanto, la gestión empresarial de riesgo se lo puede definir como un enfoque sistémico que integra y coordina todos los tipos de riesgos posibles en la organización y que le permitan alcanzar su objetivo de maximizar y crear valor para sus grupos de interés [15].

A continuación, se indica una clasificación de los tipos de riesgo más aceptados a nivel empresarial:

Clasificación de los tipos de riesgo

El Casualty Actuarial Society.(CAS) clasifica los tipos de riesgos sujetos a la gestión del riesgo empresarial como: riesgos puros, riesgos financieros, riesgos operativos y riesgos estratégicos [16].

Riesgos puros:

La gestión del riesgo empresarial fue desarrollada por primera vez en la década de 1950 por un grupo de profesores de seguros innovadores. El primer texto de gestión de riesgos, titulado "Risk Management in the Business Enterprise", fue publicado en 1963, después de seis años de desarrollo, por Robert I. Mehr y Bob Hedges.". En la década de los cincuenta, las empresas concebían únicamente al riesgo como aquellos eventos fueran del control de la organización y que estaban relacionados con sucesos imprevistos como: incendios, tormentas, terremotos y demás fenómenos naturales, es decir Inicialmente, el proceso de gestión de riesgos se centró en lo que se ha denominado "riesgos puros". Los riesgos puros son aquellos riesgos que tradicionalmente han sido abordados por las aseguradoras. Estos incluyen: incendios, robo, tormenta de viento, responsabilidad, interrupción de negocios, contaminación, salud y pensiones. Los estados de resultados posibles en una situación de riesgo puro no permiten ningún resultado más favorable que la posición actual[ 13].

Riesgos financieros:

La importancia de la gestión de riesgo financiero, tuvo sus orígenes en un periodo donde las tasas de interés se mantenían estables, los tipos de cambio se encontraban dentro de bandas estrechas y la inflación no era un problema a tomar en cuenta por parte de la mayoría de las empresas. A partir de los años setenta, el riesgo financiero se convirtió en una importante fuente de incertidumbre para las empresas y, poco después, se desarrollaron herramientas para manejar el riesgo financiero. Estas nuevas herramientas permitieron gestionar los riesgos financieros de manera similar a las formas en que los riesgos puros se habían gestionado durante décadas [17].

En los años ochenta, la volatilidad de los tipos de cambio, la alta variabilidad en los precios y la creciente volatilidad de las tasas de interés, hicieron que el riesgo financiero se convirtiera en una preocupación importante para las organizaciones. A pesar de ello, las empresas no aplicaron todavía las herramientas y técnicas estándar de la gestión del riesgo ya que los riesgos financieros no era un problema importante para la mayoría de ellas. De hecho, el campo de las finanzas era principalmente institucional en ese momento [18].

Los riesgos financieros cubren pérdidas potenciales debido a cambios en los mercados financieros, incluyendo tasas de interés, tipos de cambio, precios de materias primas, riesgos de liquidez y riesgo de crédito. Las herramientas básicas de la gestión del riesgo financiero son los contratos a plazo, los futuros, los swaps y las opciones [19].

Riesgos operativos:

El riesgo operacional es considerado como uno de los principales riesgos en todas las organizaciones Los riesgos operativos se definen como: ?el riesgo de pérdidas resultantes de la falta de adecuación o deficiencias en procesos internos, actuación del personal, sistemas o bien aquellas que sean producto de eventos externos? [20].

Por lo tanto, el riesgo operacional se relaciona a errores humanos, problemas en los sistemas y a la carencia de procedimientos y controles adecuados. Así, el riesgo operativo incluye el riesgo legal pero excluye el riesgo estratégico y reputacional [21].

Riesgos estratégicos:

Los riesgos estratégicos incluyen factores como las preferencias de los clientes, la innovación tecnológica y los obstáculos normativos o políticos [22].

En sus inicios la gestión de riesgos se enfocó en lo que hoy se conoce como riesgo puro. Esta área de especialidad desarrolló su propia terminología y técnicas para abordar el riesgo. Los riesgos financieros comenzaron a ser abordados mucho más tarde, desarrollando su propia terminología, técnicas y reporte de resultados, de manera independiente de las utilizadas en la gestión tradicional del riesgo. Dado que el gestor de riesgos puros y el gestor de riesgos financieros informaban con frecuencia a una misma persona (generalmente el tesorero o director financiero de la empresa), los dos tipos de enfoque crearon un problema. De esta manera la organización gastaba recursos para hacer frente a un mismo riesgo desde dos ópticas distintas. Además, la tolerancia al riesgo aplicada en cada área podría ser muy diferente entre los riesgos puros y los riesgos financieros. Estas discrepancias incentivaron al desarrollo de una terminología común y técnicas similares para hacer frente al riesgo. Este enfoque común para abordar todos los riesgos a los que se enfrenta una empresa es el corazón de la gestión del riesgo empresarial y cuyo objetivo es "maximizar la eficiencia productiva de la empresa" [23].

Una vez realizada la revisión de la literatura, se indica a continuación la problemática de la investigación: ?Saber si las pequeñas y medianas empresas del Distrito Metropolitano de Quito, conocen y están aplicando el sistema de gestión de riesgos empresariales en sus organizaciones?.

Para ello se realizó una revisión de la literatura de la problemática de esta investigación, para posteriormente diseñar el instrumento de toma de datos a través de una encuesta dirigida a los gerentes, dueños o directivos de una muestra estratificada aleatoria de pequeñas y medianas empresas. Con ello se presentaron las principales conclusiones y recomendaciones del estudio.

Metodología

La gestión de los riesgos empresariales es un tema relativamente nuevo en las medianas y pequeñas empresas (PYMES) en Ecuador, tomando relevancia solamente una parte de ésta, concerniente a la seguridad y salud ocupacional, debido a su obligatoriedad en el Ecuador, la cual se encuentra plasmada en el Art. 326, numeral 5 de la Constitución del Ecuador, a partir del año 2008.

Para tener una primera visión de lo que ocurre en Ecuador en relación a esta gestión, se realizará una primera aproximación en forma de descripciones generales a este tema casi desconocido en nuestro medio, por lo que el estudio a utilizar será el ?Exploratorio?, el mismo que podrá servir como base para futuras investigaciones en ese país.

Entre los principales factores que se quiere describir para entender este tema se encuentran: el conocimiento de los empresarios sobre la gestión de riesgos; el grado de utilización de esta gestión; las áreas en dónde las empresas la están aplicando; las razones para utilizarla; los beneficios recibidos en las empresas que la han utilizado; la matriz y/o metodología utilizada(s) en su implementación; y, por último, el tiempo e intervalos del ciclo de gestión de riesgos.

Para este estudio, se utilizaron cuatro fases: en la primera, se escogió a la ciudad de Quito por ser, según el INEC, la que más empresas aporta al Ecuador en número y volumen de ventas, con 1/5 de todas las empresas registradas (la base de datos fue suministrada por la Cámara de Comercio de Quito y se encuentra actualizada hasta el año 2015).

En la segunda fase, se procedió a contabilizar el número total de empresas que operaban en esa ciudad, cuyo registro encontrado fue de un total de 64.977 empresas. Luego se las clasificó, tomando la variable de nivel de ventas anuales, que es una de las principales mencionadas por la CAN (Comunidad Andina de Naciones) en la decisión 702 - artículo 3, la misma que establece que las empresas pueden ser consideradas: a) micro, que no superen los USD 100.000; b) pequeñas, que se encuentren entre USD 100,001 a USD 1.000.000; c) medianas, entre USD 1.000.001 a USD 5.000.000; y d) grandes, cuyo nivel de ventas supere el de las anteriores.

De este grupo de empresas sólo fueron escogidas las pequeñas y las medianas, etiquetadas como (PYMES), las cuales representan el 3,40% del total de la base, lo que representa 2.207 empresas. Este grupo fue escogido porque sus empresas ya son lo suficientemente grandes para adoptar sistemas de gestión de riesgos, pero aún no llegan a estar al nivel de las consideradas grandes, las cuales en su mayoría tienen un mayor control por el gobierno, por ejemplo, el uso de las NIIF, obligadas por la Superintendencia de Compañías del Ecuador, mediante la Resolución No. 08.G.DSC.010.

En la tercera fase, se determinó la muestra utilizando un 50/50 en lo referente a la probabilidad de éxito y de fracaso, por no existir investigaciones históricas y para alcanzar el mayor número de empresas como muestra,dentro de un margen de error del 5 % y un nivel de confianza del 95%, lo que representó 265 empresas. Sin embargo, 267 fueron encuestadas al final.

Finalmente, en la cuarta fase se encuestó a las empresas ubicadas en la provincia de Pichincha, cantón Quito arrojando resultados que fueron interpretados y analizados en las dos siguientes etapas de esta investigación.

Resultados

Una primera visión de los resultados alcanzados puede ser observada en la tabla número 2, la cual evidencia que de las 267 empresas que participaron inicialmente en la encuesta, apenas 134 de ellas aplicaron algún modelo de gestión de riesgos y, por la naturaleza de las mismas, fueron las únicas que pudieron contestar a todas las preguntas. Además, para entender las siguientes tablas es necesario explicar que las empresas que no pudieron contestar alguna pregunta por algún motivo, pero principalmente porque no utilizaron un modelo de gestión, a éstas se las considerará como encuestas que ?no utilizaron un modelo de gestión?, al contrario de las que sí contestaron, las cuales serán consideradas como ?válidas?.

Factor 1. Conocimiento de los empresarios sobre la gestion de riesgos.

En la tabla 3 y en el figura 1 se observa que casi el 70% de empresas mencionan que SI conocen sobre la gestión de riesgos empresariales, sin embargo, a pesar de que es un porcentaje alto, hay que considerar que todavía existe un 30% de empresas que no conocen esta importante gestión para cualquier organización, debido a su directa relación que debería tener con sus estrategias y toma de decisiones, incluso no conocer los riesgos internos y externos inherentes a una empresa, las podría llevar a tener grandes pérdidas, inclusive a la posibilidad de quebrar.

Factor 2. Grado de utilización de esta gestión

La tabla 4 y lafigura 2 de este factor confirman que de las 267 empresas que iniciaron la encuesta, solamente 134 de ellas han realizado algún tipo de gestión de riesgos en sus organizaciones, es decir el 49,8% de todas las empresas encuestadas o el 68,6%, referentes a las encuestas válidas.

Figura 2.
Resultado sobre el factor 2
Elaborado por los autores.

Factor 3. Áreas en dónde las empresas la están aplicando

En la tabla 5 y lafigura 3 se muestran las áreas en donde principalmente las 134 empresas se encuentran aplicando la gestión de riesgos. En general, el ámbito laboral es el que más sobresale, con un total de 104 PYMES, lo que representa el 77,6%, seguido, pero muy de lejos, por el aplicado en el área de la gestión administrativa, que alcanzó solamente el 9%.

Figura 3.
Resultado sobre el factor 3
Elaborado por los autores.

Factor 4. Razones para utilizarla

Este factor se relaciona con el análisis anterior porque da a conocer lo que realmente impulsó a las empresas para utilizar el sistema de gestión de riesgos y en qué áreas, y los resultados son muy claros. La tabla 6 y lafigura 4 señalan que la obligatoriedad por parte del Estado, en un 50% de los encuestados, fue el principal determinante para utilizar un sistema de gestión de riesgo. Sin embargo, aunque esta obligación fue por un lado positiva para el área de seguridad laboral y para tener una noción de riesgos por parte de las PYMES, por otro lado, fue negativa, pues llevó a algunas empresas a pensar que la gestión de riesgos sólo se refiere al área laboral.

Figura 4.
Resultado sobre el factor 4
Elaborado por los autores.

Factor 5. Beneficios recibidos en las empresas que la han utilizado

Comparando entre todos los factores, no hay duda que el resultado exhibido en la tabla 7 y lafigura 5 relativo al factor 5 fue el más contundente en afirmar que 130 empresas SÍ se han beneficiado de una u otra forma de la aplicación realizada sobre la gestión de riesgos, lo que equivale al 96,3% del total de las encuestas válidas.

Figura 5.
Resultado sobre el factor 5
Elaborado por los autores.

Los principales beneficios que las empresas han recibido se puede apreciar en la tabla 8, la cual indica que una gran parte de ellos están relacionados con el área laboral, en especial con la seguridad y salud ocupacional. De estos beneficios, la ?Seguridad Laboral? fue el más citado, con el 41,1%, aunque se muestra también la amplia variedad de beneficios que fueron aludidos y que atañen a casi todas las áreas de las empresas, en concreto a las relacionadas a la gestión administrativa, financiera, operacional y producción.

Factor 6. Matriz y/o metodología utilizada(s) en su implementación

La tabla 9 muestra las matrices y/o metodologías utilizadas e indica una amplitud de métodos a través de los cuales las empresas han estado trabajando e implementando la gestión de riesgos. El método más utilizado fue la matriz emitida por el Ministerio de Relaciones Laborales, con un 11,6% de utilización, lo que confirma la gran influencia que tuvo las políticas del Estado en las empresas.

Factor 7. Tiempo e intervalos para actualizar los potenciales riesgos.

Por último, la tabla 10 indica cuál es el tiempo promedio que las empresas utilizan para actualizarlos riesgos y su importancia. En la misma tabla se observa que el 79,7% de las empresas lo realizan en el lapso de hasta 1 año, lo que implica un buen grado de involucramiento de las PYMES en lo concerniente al tema de revisar nuevos y potenciales riesgos que pudieran aparecer.

Figura 6.
Resultado sobre el factor 7
Elaborado por los autores

Discusión

El 50,2% de las PYMES en el Distrito Metropolitano de Quito se encuentran utilizando en alguna forma y/o área de lo que ellas consideran un sistema de gestión de riesgos empresarial. Sin embargo, en los resultados del factor 6 sobre las metodologías y herramientas que utilizan las empresas, se observa que son pocas las que realmente entienden el alcance de un sistema de estas características, el cual no sólo involucra al área de seguridad y salud ocupacional, sino a todas las áreas de una empresa o al menos a las principales, a pesar de que el aspecto laboral haya sido obligatorio y el más difundido o aplicado en un 78% de las empresas.

Además, existe una confusión en las empresas entre gestión de riesgos y gestión de calidad. Aunque la segunda ciertamente pueda prevenir ciertos riesgos, las dos no son iguales en su metodología y finalidad, pero si complementarias, inclusive la diferencia entre ambas se evidencia a nivel internacional, como se puede constatar con la creación de la ISO 31000 para la gestión de riesgos y de la ISO 9000 para la gestión de la calidad.

Existen otros ejemplos de la errada concepción que tienen las empresas sobre la gestión de riesgos, no solamente en lo referente a lo laboral, sino también en lo referente a la calidad, al control y a la administración en general, como se puede evidenciar en las respuestas entregadas por las empresas. Éstas mencionan, por ejemplo, que las principales herramientas para gestionar el riesgo empresarial son: OSAS 18001, ISO 9001, Norma Técnica 5254:2004, FODA, Cronogramas, Control Interno, SART, Calidad del manejo de materias primas e inventarios, Auditoría por Procesos, etc., herramientas estas que no son sistemas de gestión de riesgos empresariales. Sin embargo, una minoría de empresas utiliza métodos que son directamente aplicables a la gestión de riesgos, como el modelo COSO y los modificados por el PMI (Project Management Institute), entre los principales. Así, se llega a la conclusión de que el entendimiento que se tiene de la gestión de riesgos es manejado por cada empresa de forma diferente sin el adecuado entendimiento de su aplicación, debido a que se mezclan conceptos o se particularizan a un área todo un sistema empresarial, y la gestión de riesgos es en verdad más inclusiva y amplia de lo que está expuesto por la mayoría de las PYMES.

Con todo lo analizado, no se puede considerar que las empresas actualmente estén aplicando de la manera más adecuada la gestión estudiada, pero sí se puede decir que al menos el 50% de las PYMES están implementando y utilizando una variedad de herramientas administrativas que de cierta forma están relacionadas a la referida gestión. Asimismo, los métodos utilizados fueron de mucha utilidad, puesto que el 96,30% de las empresas encuestadas mencionaron que sí han obtenido beneficios de la gestión de riesgos.

Agradecimientos

En primer lugar, agradecemos a los estudiantes de la Universidad Indoamérica y Universidad Central del Ecuador, quienes colaboraron en las encuestas realizadas, también a la Cámara de Comercio de Quito, que nos entregó la base de las empresas para nuestro estudio, y finalmente, pero no menos importante, a las 267 empresas que permitieron ser encuestadas, sin las cuales no hubiésemos podido concretar esta investigación

Referencias

[1] Fernández-Laviada, A. 2007. La gestión del riesgo operacional: de la teoría a su aplicación (Vol. 4). Ed. Universidad de Cantabria.

[2] Meulbroek, L. K. 2002. Integrated risk management for the firm: a senior manager's guide. Available at SSRN 301331.

[3] Moeller, R. R. 2007. COSO enterprise risk management: understanding the new integrated ERM framework. John Wiley & Sons.

[4] Gordon, L. A., Loeb, M. P., & Tseng, C. Y. 2009. Enterprise risk management and firm performance: A contingency perspective. Journal of Accounting and Public Policy, 28(4), 301-327.

[5] Boa, J. M., Underwood, A. M., & Wilkins, W. R. 2006. Casualty Actuarial Society. Encyclopedia of Actuarial Science.

[6] ISO, I. 2009. 31000: 2009 Risk management?Principles and guidelines. International Organization for Standardization, Geneva, Switzerland.

[7] PricewaterhouseCoopers LLP., 2004. Enterprise Risk Management?Integrated Framework: Executive Summary and Framework, AICPA.

[8] Secretariat of ISO TMB WG on Risk Management, 2007. ?Committee Draft of ISO 31000 ?Risk Management?Guidelines on Principles and Implementation of Risk Management?,?

[9] Casualty Actuarial Society, 2001. ?Final Report of the Advisory Committee on Enterprise Risk Management,? Casualty Actuarial Society http://www.casact.org/research/erm/report.pdf (accessed November 1, 2016).

[10] Lam, J. 2000. Enterprise-wide risk management and the role of the chief risk officer. White paper, ERisk. com, March, 25.

[11] Makomaski, J. 2008. So what exactly is ERM?. Risk Management, 55(4), 80.

[12] Alviniussen, A., &Jankensgard, H. 2009. Enterprise risk budgeting: bringing risk management into the financial planning process. Journal of Applied Finance (Formerly Financial Practice and Education), 19(1&2).

[13] Mehr, R. I., & Hedges, B. A. 1963. Risk management in the business enterprise. RD Irwin.

[14] Kawamoto, B. 2001. Issues in Enterprise Risk Management: From Theory to Application. In Casualty Actuarial Society Spring Meeting.

[15] Walker, P. L., Shenkir, W. G., & Barton, T. L. 2003. ERM in practice: examples of auditing's role in enterprise risk management efforts at five leading companies shed light on how this new paradigm is impacting audit practitioners. Internal Auditor, 60(4), 51-55.

[16] Mahler, H. C., & Dean, C. G. 2001. Foundations of Casualty Actuarial Science. In Casualty Actuarial Society.

[17] Markowitz, H. 1952. Portfolio selection. The journal of finance, 7(1), 77-91.

[18] D'Arcy, S. P. 1999. Don't Focus on the Tail: Study the Whole Dog!. Risk Management and Insurance Review, 2(2), iv-xiv.

[19] Smithson, C. W. 1998. Managing financial risk: A Guide to Derivative Products, Financial Engineering, and Value Maximization. (Third Edition). McGraw-Hill.

[20] Servaes, H., Tamayo, A., &Tufano, P. 2009. The theory and practice of corporate risk management. Journal of applied corporate finance, 21(4), 60-78.

[21] Coleman, R., & Cruz, M. 1999. Operational risk measurement and pricing. Derivatives Week, 8(30), 5-6.

[22] Razali, A. R., &Tahir, I. M. 2011. Review of the literature on enterprise risk management. Business management dynamics, 1(5), 8-16.

[23] Mehr, R. I., & Hedges, B. A. 1974. Risk management: Concepts and applications. McGraw-Hill/Irwin.