Cualquiera que haya emprendido o que quiera entrar en el mundo de los negocios empresariales debe saber que el riesgo es inevitable. Es por eso que las organizaciones tienen que aprender a convivir con él y a gestionarlo de la mejor manera posible para evitar grandes pérdidas financieras, y la gestión de riesgos es una herramienta clave.
De hecho, según The Logistic World, cinco de cada 10 líderes mexicanos creen que en los próximos cinco años pueden sufrir un acontecimiento de alto impacto. Estos afirman que la capacidad de respuesta que tengan estará dada por las iniciativas que implementan para diseñar un efectivo programa de gestión de riesgos.
Índice de temas
¿Qué es la gestión de riesgos y por qué es clave para las empresas?
El riesgo es, además, incertidumbre. Cuando uno inicia un proyecto, sabe que hay posibilidades de fallar, ya sea por errores personales o por situaciones ajenas. Un ejemplo muy claro fue el de la pandemia de Covid-19. En este caso, nadie podría haber hecho algo para mitigar las pérdidas o para prevenirlas. Sin embargo, hay otros riesgos que sí se pueden anticipar y hasta se pueden calcular.
Entonces, la gestión del riesgo trata de cuidar a tu emprendimiento o empresa de posibles pérdidas o situaciones que puedan afectar al funcionamiento diario y a tu proyecto en general.
¿Para qué sirve la gestión de riesgos en una organización?
A la hora de tomar decisiones, la gestión de riesgos ayuda mucho a los directivos de empresas a anticipar y responder a cualquier problema que pueda surgir.
Datos y estadísticas actuales de la gestión de riesgos en México
Particularmente en México, uno de los riesgos más grandes que están afrontando las compañías es el de los ataques cibernéticos. Esto se puede observar claramente en los resultados de una encuesta realizada por PwC que fue publicada en el Global Digital Trust Insights de 2024.
Esta última contó con la participación de 3,876 ejecutivos de negocios y tecnología de las empresas más grandes del mundo y llegó a la conclusión de que hay un gran margen de mejora en la gestión del riesgo en general y en lo que respecta a la ciberseguridad en particular.
La encuesta, además, reveló que, si bien las amenazas a la nube y a los datos son la principal preocupación en materia de IT, más de un tercio de las organizaciones a nivel global no tiene un plan de gestión de riesgos efectivo para abordar los desafíos que implica la digitalización.
Las amenazas cibernéticas son una preocupación global, pero en México los números son más alarmantes que en otras partes del globo. En ese sentido, el 59% de los encuestados mexicanos afirmó que la búsqueda de la mitigación de los riesgos digitales y tecnológicos será una de las principales prioridades.
A su vez, el 45% comentó que tomará medidas para poder gestionar mejor el riesgo de hackeos, ransomware y cibervigilancia.
Más allá de que el estudio mostró que al día de hoy los riesgos digitales y tecnológicos son los que más prioridad tendrán a la hora de la gestión, la volatilidad macroeconómica, la inflación, los riesgos geopolíticos, ambientales y de salud también integran la lista de preocupaciones.
¿Cómo se calcula el Costo Total del Riesgo (CTDR) en las empresas?
Muchas empresas eligen las pólizas de seguros para tener una protección contra posibles pérdidas, pero lo cierto es que estas solamente representan una parte del todo más amplio de la gestión de riesgos. En ese sentido, para lograr mejores resultados y tomar decisiones de calidad, es necesario trabajar sobre lo que se conoce como el Costo Total del Riesgo (CTDR).
Puntualmente, se trata del valor que da la suma de todos los elementos de un negocio relacionados con el riesgo, como por ejemplo las pérdidas retenidas no aseguradas, los costos que provienen del propio control de riesgos, los costos de transferencia (el pago de las primas de seguro), los gastos de ajuste de pérdidas, el costo de mitigar riesgos y el costo de administrar un programa de gestión de riesgos.
Es normal que las compañías enfrenten dificultades para identificar su costo total del riesgo. Sin embargo, un gran porcentaje de este costo está realmente dentro de lo que se puede controlar.
Más allá de las ventajas que pueda traer un cálculo acertado, muchos gerentes de riesgos en México y en Estados Unidos no están haciendo las matemáticas de forma correcta con el CTDR, a pesar de lo vital que puede ser para la gestión financiera de una organización.
Cuando se conoce el costo total del riesgo, se puede alcanzar un equilibrio deseable entre la retención y la transferencia de riesgos. El CTDR es un objetivo en movimiento, es decir que es necesario mantenerlo actualizado para que siga siendo útil para los gerentes de riesgos.
En definitiva, aquellas organizaciones que utilicen un método exhaustivo para gestionar el CTDR estarán mejor posicionadas para enfrentar un futuro incierto.
Componentes del CTDR
El Costo Total del Riesgo (CTDR) de una empresa se compone de la suma de todos los elementos relacionados con los riesgos que enfrenta. Estos componentes abarcan tanto costos directos como costos indirectos asociados al riesgo.
Entre los principales componentes del CTDR se encuentran:
- Pérdidas retenidas no aseguradas: costos de siniestros que la empresa asume directamente, por ejemplo, eventos no cubiertos por el seguro o montos deducibles a cargo de la empresa. Son las pérdidas esperadas que la organización prevé sufrir debido a ciertos riesgos específicos.
- Costos de transferencia del riesgo (seguros): pagos de primas de seguros u otros mecanismos para transferir parte del riesgo a terceros (aseguradoras). Este componente incluye el gasto destinado a comprar pólizas que cubran determinados riesgos.
- Costos de control y mitigación de riesgos: inversión en medidas de prevención, control y mitigación para reducir la probabilidad o el impacto de eventos adversos. Aquí entran los gastos en seguridad, sistemas de protección, mantenimientos preventivos, capacitación de personal, etc. Estos costos proactivos buscan disminuir la frecuencia o severidad de las pérdidas.
- Gastos administrativos de la gestión de riesgos: recursos destinados a administrar el programa de riesgos de la empresa. Incluye salarios del personal de gestión de riesgos, consultorías especializadas, herramientas tecnológicas de análisis de riesgos y gastos de ajuste de pérdidas (manejo de reclamaciones y siniestros). Son costos operativos para sostener la función de riesgo dentro de la organización.
- Costos indirectos (u oportunidad): impactos financieros no inmediatos causados por los riesgos. En este rubro se consideran pérdidas de productividad por interrupciones del negocio, tiempo de inactividad, deterioro de la reputación de la empresa, rotación de clientes o empleados tras un incidente y el costo de oportunidad de los recursos invertidos en gestionar riesgos en vez de otras actividades. Aunque más difíciles de cuantificar, estos costos intangibles pueden ser significativos y deben incorporarse para tener un panorama completo del CTDR.
En resumen, el CTDR integra todos estos componentes para reflejar cuánto le cuesta a la empresa, en total, gestionar y enfrentar sus riesgos en un periodo determinado.
Identificar claramente cada componente es fundamental para calcular el CTDR con precisión y así poder tomar decisiones informadas sobre retención vs. transferencia de riesgos, presupuestos de seguros y medidas de control.
Un cálculo adecuado revela qué proporción del costo proviene de cada elemento y ayuda a enfocar esfuerzos donde sea más efectivo reducir el riesgo total.
Errores comunes al calcular el CTDR
Calcular el Costo Total del Riesgo no es trivial, y las empresas pueden cometer errores que llevan a subestimar o interpretar mal este indicador. Algunos errores comunes al calcular el CTDR son:
Considerar solo costos directos y olvidar los indirectos
Un fallo frecuente es enfocarse en gastos evidentes (como primas de seguros o pérdidas inmediatas) y pasar por alto costos ocultos o indirectos. Por ejemplo, tras un incidente se tienden a contabilizar los gastos directos (reparaciones, indemnizaciones, honorarios legales), pero no se incluyen efectos colaterales como la reducción en productividad, la rotación de personal o el daño reputacional que impacta ventas futuras.Ignorar estos costos “invisibles” puede dejar fuera una parte sustancial del CTDR.
Subestimar la probabilidad o impacto de riesgos (cálculos incorrectos)
Es común juzgar mal la severidad de ciertos riesgos al basarse en intuición o datos insuficientes. Si la empresa no utiliza datos históricos, análisis estadísticos o escenarios realistas, puede subestimar cuánto podría costar un evento adverso grave. Este error de cálculo lleva a CTDR infravalorados y a una falsa sensación de seguridad. Los expertos recomiendan fundamentar las estimaciones en datos y actualizar las suposiciones conforme cambian las condiciones.
No incluir todos los componentes relevantes
Algunas organizaciones calculan incompletamente su CTDR. Un error típico es considerar solo el costo del seguro (prima) como si fuera el costo del riesgo, sin sumar las pérdidas retenidas ni los gastos administrativos asociados. Esto da una visión parcial. Del mismo modo, a veces no se contabilizan los gastos en prevención o las reservas para contingencias. Dejar fuera cualquiera de los componentes mencionados distorsiona el cálculo.
No actualizar el CTDR regularmente
El CTDR no es un valor estático, sino una meta en movimiento que evoluciona con el negocio y su entorno. Un error es calcularlo una vez y no revisarlo periódicamente. Si la empresa no mantiene actualizado su CTDR ante cambios (nuevos riesgos, crecimiento del negocio, inflación en costos, cambios en pólizas), es posible que tome decisiones con información desfasada. Mantener el cálculo al día permite reaccionar a tiempo – por ejemplo, si ciertas pérdidas van en aumento o si las primas de seguro suben, el CTDR actualizado reflejará esos cambios.
Evitar estos errores implica adoptar un enfoque integral y dinámico: incluir todos los costos pertinentes, usar metodologías rigurosas para estimarlos y revisar el CTDR con regularidad. Muchas empresas mexicanas y estadounidenses aún “no están haciendo las matemáticas de forma correcta” con el CTDR pero aquellas que emplean un método exhaustivo y preciso estarán mejor preparadas para gestionar sus riesgos y optimizar sus finanzas.
Ejemplos aplicados del CTDR
Imaginemos una empresa manufacturera mexicana que sufre frecuentes interrupciones de producción por fallas en su maquinaria. Al calcular su CTDR anual, descubre que el 40% de los costos proviene de pérdidas retenidas y un 30% de primas de seguro.
Con esa información, decide invertir en mantenimiento predictivo y en sensores IoT para monitorear el estado de sus equipos. Un año después, las fallas disminuyen y el CTDR global se reduce en más de un punto porcentual de su facturación.
Otro caso habitual se observa en empresas de servicios financieros, donde el CTDR muestra que la mayor parte del costo proviene de ciberincidentes y medidas de mitigación.
En estos escenarios, el cálculo permite justificar la inversión en herramientas de detección temprana o en capacitación para empleados, demostrando que el gasto en prevención puede ser más rentable que el pago de primas más altas.
¿Cuáles son los tipos de riesgos y exposiciones a pérdidas?
A la hora de administrar una empresa, es común que nos enfrentemos a toda clase de riesgos. Estos pueden clasificarse según el grupo que afectan y su grado de evitabilidad.
Riesgo sistemático
Los riesgos sistemáticos son aquellos que nadie puede prever ni evitar. Los ejemplos llevados al ámbito financiero son las crisis económicas en contextos de mucha inflación o de políticas macroeconómicas que fracasan.
Es difícil mitigar estos riesgos porque generalmente afectan a todo un mercado. Puede ocurrir que un producto deje de ser rentable, por dar otro ejemplo, por la aparición de otra herramienta tecnológica más actual y menos costosa.
Esto sucedió con la industria gráfica, la cual se vio afectada por la aparición de los libros y los medios digitales. Allí, lo que se pudo hacer es reconvertirse y buscar otras alternativas de negocio, pero lo cierto es que, para el comienzo del siglo, ningún empresario gráfico vio venir semejante proceso de digitalización.
Riesgo no sistemático
Los riesgos no sistemáticos, en cambio, son aquellos que sí pueden prevenirse. Tienen que ver con la gestión interna de una empresa más que con fenómenos globales. Cambios mal implementados, falta de inversión adecuada o proyectos sin el rumbo atinado son algunas de las causas que pueden provocar la concreción de estos riesgos.
¿Qué estrategias existen para una gestión de riesgos efectiva?
Existen algunas estrategias de gestión de riesgos que son muy efectivas:
| Estrategia | Descripción | Cuándo aplicarla | Ejemplo |
|---|---|---|---|
| Aceptar el riesgo | Reconocer el riesgo y planificar acciones para afrontarlo si ocurre. | Cuando el impacto es bajo o inevitable. | Ajustes menores en operaciones por variaciones de mercado. |
| Mitigar el riesgo | Reducir la probabilidad o el daño potencial mediante medidas preventivas. | Cuando se puede anticipar parcialmente la causa. | Invertir en ciberseguridad para evitar hackeos. |
| Transferir el riesgo | Trasladar parte o todo el riesgo a un tercero (seguro o contrato). | Cuando otra parte puede gestionarlo mejor. | Contratar seguros o externalizar servicios críticos. |
| Explotar el riesgo | Convertir un riesgo en oportunidad de mejora o innovación. | Cuando el riesgo puede fortalecer la organización. | Usar un incidente para invertir en resiliencia y capacitación. |
Aceptar el riesgo
Para comenzar a trabajar sobre la gestión de riesgos, lo primero que hay que lograr es poder identificarlos. Una vez reconocido el riesgo y aceptada la realidad, se debe planificar a futuro una estrategia para afrontarlo.
Mitigar el riesgo
En el mejor de los casos, si podemos anticipar un riesgo, tendremos la posibilidad de evitarlo. Pero, en ciertas ocasiones, esto no es posible, sobre todo si no tenemos control sobre la causa del mismo como fue en el caso de la pandemia. Es en esas situaciones en donde la clave de la gestión es lograr que el riesgo cause el menor daño posible.
Transferir el riesgo
La transferencia del riesgo es una de las estrategias más utilizadas para derivar el riesgo a otra área de la organización o, en el mejor de los casos, con otra empresa o entidad. Se trata de una herramienta que tiene lugar en los casos en que los riesgos puedan ser compartidos.
Explotar el riesgo
En este caso, se aplica la frase ‘las adversidades nos hacen más fuertes’. Explotar el riesgo implica no solo evitar que cause un gran daño, sino también lograr salir aún más fortalecido. Es decir, a la hora de planificar la estrategia para afrontar un problema, tomarlo como una oportunidad de crecimiento.
Un ejemplo de esto puede ser el de la ciberseguridad. Si se quiere mitigar, mediante la gestión de riesgos, la probabilidad de sufrir un ataque, es una buena oportunidad para invertir en el área y contratar profesionales nuevos, y así convertirse en una empresa más segura.
¿Qué técnicas ayudan a controlar los riesgos en una empresa?
Las técnicas de control en la gestión de riesgos pueden ser preventivas o correctivas. En el primer caso, sirven para evitar que el riesgo dañe la empresa; en el segundo, la idea es pilotear en la tormenta, tratar de salir lo menos herido posible.
Nadie está exento de enfrentar situaciones que puedan afectar la reputación o la imagen de su organización. Partiendo de esa premisa, es menester trabajar en el diseño de un plan que pueda hacerle frente a las crisis.
En el caso de los riesgos de reputación, trabajar con profesionales en comunicación que actúan como voceros para responder ante las críticas puede ser una gran opción.
Técnicas de financiamiento de riesgos
El financiamiento de riesgos es el proceso a través del cual la organización busca formas de cubrirse o protegerse contra posibles pérdidas causadas por los daños de la producción de los riesgos. Algunas técnicas de financiamiento son:
Seguros
Es la forma que todos conocemos, y que de seguro estamos usando de alguna manera, para financiar el riesgo. Consiste en pagar una prima mensual a una compañía de seguros a cambio de que ésta asuma los riesgos especificados en la póliza en caso de que ocurran. Lógicamente, mientras más alta sea la probabilidad de que ocurra el siniestro, mayor será la prima.
Derivados financieros
Son contratos cuyo valor se deriva del valor de un activo primario, como acciones, bonos, materias primas o tasas de interés. Los derivados se utilizan para protegerse contra riesgos financieros, como la inflación, las tasas de interés o la fluctuación de los tipos de cambio.
Cobertura de reserva
Algunas empresas, usualmente las de gran tamaño, en lugar de optar por contratar seguros, eligen coberturas de reserva. Estas consisten en apartar fondos o recursos para cubrir posibles pérdidas futuras.
Un ejemplo son los seguros de los empleados. En la gran mayoría de los países de Latinoamérica, las compañías están obligadas a contratar seguros para accidentes durante el trabajo. Sin embargo, tienen la posibilidad de constituir su propia cobertura de reserva.
La relación entre seguros y gestión de riesgos
Los seguros son una manera de financiar el riesgo. Es por eso que, en la gestión de riesgos, siempre se evalúa la posibilidad de contratarlos.
Sin ir más lejos, al pagar una prima mensual, se está llevando a cabo una de las estrategias que hemos descrito: la transferencia del riesgo. Será la compañía aseguradora la que responda ante un hecho relacionado a nuestra póliza.
Misión y responsabilidades de la Unidad de Riesgos
Está muy en uso una palabra que define a la perfección una característica propia de la gestión de riesgos: la resiliencia.
La resiliencia se refiere a la capacidad de una organización para adaptarse y recuperarse frente a adversidades, cambios significativos o períodos de crisis. Entonces, quienes son resilientes pueden mantenerse fuertes y resistentes incluso en circunstancias difíciles. Es justamente eso lo que hoy está diferenciando a las compañías que tienen éxito de aquellas que se quedan en el camino.
Pero, para ser resilientes y poder enfrentar riesgos, hay que invertir con criterio. El estudio de PwC muestra que, por ejemplo, en el caso de la ciberseguridad, 4 de cada 10 empresas mexicanas tienen la capacidad de salir más fuertes luego de un ataque. En el mismo sentido, 6 de cada 10 comentaron que trabajan en la identificación de riesgos para poder mejorar su resiliencia.
Por ende, la unidad de riesgos dentro de una compañía debe trabajar intensamente sobre la capacidad de resiliencia de toda la organización.
Últimas tendencias en gestión de riesgos para 2025
En el entorno empresarial contemporáneo, la gestión de riesgos ya no se limita a métodos tradicionales; nuevas amenazas emergen y exigen adaptaciones estratégicas.
Estas son algunas de las tendencias más relevantes respaldadas por organismos de referencia:
Primero, los ciber-riesgos y el impacto de la IA generativa ocupan un lugar central. Según el informe Global Digital Trust Insights 2025 de PwC, el 77 % de las organizaciones planea aumentar su presupuesto de ciberseguridad en el próximo año, ya que más del 66 % de los líderes tecnológicos considera los riesgos cibernéticos como prioridad principal.
Además, el uso creciente de GenAI ha expandido la superficie de ataque: el 67 % de los responsables de seguridad afirma que la IA generativa ha incrementado su exposición a amenazas.
En segundo lugar, la geopolítica y los riesgos globales interconectados también redefinen el panorama. El Global Risks Report 2025 del Foro Económico Mundial destaca el conflicto armado entre estados como uno de los riesgos más probables para este año, así como las tensiones geoeconómicas y la polarización tecnológica como factores de disrupción estructural.
Estas dinámicas implican que las empresas deben gestionar riesgos vinculados a cadenas de suministro, sanciones, restricciones comerciales y diversificación geográfica.
Una tercera tendencia crítica es la integración de factores ESG (ambientales, sociales y de gobernanza) como riesgo estratégico.
La transición energética, regulaciones de cambio climático y expectativas de inversionistas obligan a las empresas a incluir riesgos ambientales (como eventos climáticos extremos) y sociales (relaciones con comunidades, derechos laborales) dentro de su marco de riesgo. Este enfoque también se vuelve esencial para la reputación y el cumplimiento normativo en mercados internacionales.
Finalmente, se observa una evolución metodológica: los modelos clásicos de gestión de riesgos (como COSO ERM o marcos alineados con ISO 31000) están siendo actualizados para incorporar escenarios futuros, riesgos emergentes y adaptabilidad dinámica.
Por ejemplo, el IRM Risk Trends 2025 señala que las organizaciones están prestando más atención al riesgo climático, los desafíos regulatorios y el rol activo de la tecnología en riesgos.
Del mismo modo, marcos como COSO han promovido revisiones que integran riesgos ligados a la transformación digital y a la interconexión sistémica.
Estas cuatro tendencias representan nuevos focos de atención y demandan que la gestión de riesgos evolucione hacia modelos más holísticos, adaptativos y preventivos, capaces de anticipar disrupciones tecnológicas, geoestratégicas y ambientales con igual rigor.
