Respuestas al riesgo y madurez organizacional: una mirada desde la contaduría y la consultoría
Cómo evaluar la calidad de las respuestas al riesgo y su impacto en la información financiera, el control interno y la estrategia
Introducción
En la práctica profesional, identificar riesgos ya no es el principal reto. Hoy, el verdadero diferencial está en cómo una organización decide responder a ellos. Aceptar, evitar, reducir o transferir un riesgo no son simples categorías de una matriz: son decisiones estratégicas que afectan la estabilidad financiera, el cumplimiento normativo y la continuidad del negocio.
En muchas organizaciones, estas respuestas se repiten de forma automática, se justifican con argumentos operativos o se mantienen por inercia. COSO ERM 2017 advierte que este enfoque es insuficiente: la respuesta al riesgo debe crear, preservar y proteger valor. Para lograrlo, no basta con cumplir; se requiere madurez en la toma de decisiones.
Para consultores y contadores públicos, este tema es especialmente relevante porque una gestión inmadura del riesgo termina reflejándose tarde o temprano en los estados financieros, en los controles internos y en la responsabilidad profesional.
Las respuestas al riesgo según COSO ERM y su evaluación práctica
COSO ERM define cuatro formas generales de responder al riesgo. Ninguna es incorrecta por sí misma. El problema surge cuando se eligen sin análisis, sin evidencia o sin alineacion estratégica.
Aceptar el riesgo
Aceptar un riesgo implica reconocerlo y decidir no implementar acciones adicionales, más allá de su monitoreo.
En niveles bajos de madurez, los riesgos se aceptan por costumbre, por falta de presupuesto o simplemente por omisión. No existe documentación que respalde la decisión ni indicadores que alerten cambios relevantes. En estos casos, aceptar equivale a “no decidir”.
En una gestión madura, la aceptación se fundamenta en apetito y tolerancia al riesgo (el nivel de riesgo que la organización está dispuesta a asumir). Existe evidencia que demuestra que el impacto es manejable, se definen indicadores de seguimiento y la decisión se revisa periódicamente.
Desde la óptica del auditor y del contador, la pregunta clave es:
¿Este riesgo fue aceptado conscientemente o simplemente quedó sin atender?
2. Evitar el riesgo
Evitar un riesgo significa eliminar la actividad que lo genera.
Una gestión inmadura evita riesgos por miedo, desconocimiento o falta de capacidades internas, lo que suele llevar a abandonar oportunidades estratégicas sin analizar el costo de oportunidad.
En organizaciones maduras, la evitación se utiliza solo cuando el riesgo supera claramente los límites tolerables definidos. La decisión se analiza desde el impacto financiero, operativo y reputacional, y se toma en instancias de gobierno adecuadas.
La pregunta crítica aquí es:
¿La organización evita riesgos por estrategia o por carencias estructurales?
3. Reducir el riesgo
Reducir implica implementar controles para disminuir la probabilidad o el impacto del riesgo.
En la práctica, muchas organizaciones caen en el exceso de controles: medidas duplicadas, poco efectivas o diseñadas sin análisis de causa raíz. El resultado suele ser más burocracia, mayores costos y poca reducción real del riesgo residual (el riesgo que permanece después de aplicar controles).
Una gestión madura diseña controles basados en el origen real del riesgo, prioriza la automatización cuando es viable y evalúa periódicamente la efectividad real del control, no solo su existencia.
Aquí surge una reflexión esencial para el consultor y el auditor:
¿Estamos controlando el riesgo correcto o simplemente controlando por temor?
4. Transferir el riesgo
Transferir un riesgo significa compartirlo o trasladarlo a un tercero, mediante seguros, contratos o outsourcing.
En niveles bajos de madurez, se asume erróneamente que transferir equivale a eliminar el riesgo. Se firman contratos sin analizar responsabilidades, penalidades o riesgos residuales, y se reduce la supervisión.
En una gestión madura, la transferencia se basa en análisis de costo-beneficio, contratos con métricas claras de desempeño y monitoreo continuo del proveedor o aseguradora. Se entiende que siempre existe un riesgo residual.
La pregunta que no debe omitirse es:
¿Estamos transfiriendo riesgos estratégicos o solo trasladando problemas?
Madurez en las respuestas al riesgo: un enfoque práctico
Desde la experiencia en consultoría y auditoría, la madurez puede evaluarse en cinco niveles:
- Nivel 1 – Reactivo: decisiones improvisadas, sin análisis ni documentación.
- Nivel 2 – Básico: respuestas aplicadas sin coherencia ni vínculo con el apetito de riesgo.
- Nivel 3 – Integrado: decisiones sustentadas en análisis técnico y métricas.
- Nivel 4 – Estratégico: alineación clara con objetivos del negocio y revisiones periódicas.
- Nivel 5 – Inteligente: automatización, analítica y ajustes anticipatorios ante cambios del entorno.
Este enfoque permite al contador y al consultor diagnosticar y proponer mejoras concretas, más allá del simple cumplimiento.
Evidencia clave que un auditor debe solicitar
Para evaluar la madurez real, no basta con una matriz de riesgos. Es indispensable revisar:
- Justificación documentada de la respuesta elegida.
- Aprobaciones formales de Alta Gerencia o Comités.
- Definiciones de apetito y tolerancia al riesgo.
- Indicadores de riesgo residual (KRIs).
- Evaluaciones de efectividad de controles.
- Análisis de costo-beneficio.
- Cambios en decisiones frente a variaciones del entorno.
Si la organización no puede explicar por qué eligió una respuesta, probablemente no está gestionando el riesgo de forma madura.
Errores frecuentes observados en la práctica
Desde la experiencia profesional, algunos patrones se repiten con frecuencia:
- Riesgos aceptados por falta de presupuesto.
- Oportunidades evitadas por miedo al error.
- Seguros contratados sin análisis real de cobertura.
- Controles duplicados que no reducen el riesgo.
- Decisiones no documentadas ni revisadas.
Tres de estas señales suelen ser suficientes para clasificar la gestión como reactiva.
Cómo mejorar la madurez de las respuestas al riesgo
Las organizaciones pueden avanzar significativamente si:
- Definen apetito y tolerancia al riesgo por tipo de objetivo.
- Vinculan las decisiones de riesgo con la estrategia corporativa.
- Documentan las decisiones en lenguaje claro y comprensible.
- Automatizan controles críticos.
- Implementan indicadores que alerten cambios relevantes.
- Fortalecen la supervisión de proveedores y contratos.
- Capacitan a los dueños de riesgos en análisis de impacto.
La madurez no depende de elegir la respuesta “correcta”, sino de elegirla con criterio, evidencia y propósito.
Conclusión
La forma en que una organización responde a sus riesgos dice más sobre su madurez que cualquier matriz o mapa de calor. Aceptar, evitar, reducir o transferir son decisiones que impactan directamente la información financiera, el control interno y la continuidad del negocio.
Para el contador público y el consultor, evaluar la calidad de estas decisiones no es un ejercicio teórico: es parte esencial de su rol profesional. Cuando las respuestas al riesgo se toman con análisis, documentación y alineación estratégica, la gestión de riesgos deja de ser un requisito formal y se convierte en una ventaja competitiva real.
Jorge Gutiérrez Guillén, CPA
Socio Fundador | JGutierrez Auditores Consultores S.A.
Costa Rica | 🌐consultoresjg.com
+506 2552-5433 | +506 8811-5090
[email protected]
GestiónDeRiesgos #COSOERM #Auditoría #Consultoría #GobiernoCorporativo
Related Articles
-
Requerimientos legales para una empresa en Costa Rica que desea brindar servicios de outsourcing a compañías en el exterior
-
Gobierno corporativo en PYMES de Latinoamérica: la diferencia entre “apagar incendios” y crecer con orden
-
Auditoría, Asociación Solidarista y Gobierno Corporativo: tres conceptos que se unen para proteger la confianza