certmundo.
es‑mx
Gestión de Riesgos Empresariales2/10

6 min de lectura

¿Cómo identificar los riesgos que realmente amenazan a tu empresa?

Identificar los riesgos que amenazan a tu empresa significa descubrir, de forma sistemática, todas las amenazas que pueden interrumpir tu operación antes de que se conviertan en una crisis.

Cuando el riesgo ya estaba ahí y nadie lo vio

Imagina que tienes una pequeña distribuidora de alimentos en Guadalajara. Todo marcha bien hasta que tu único proveedor de empaques cierra sin aviso. De repente, no puedes entregar pedidos. Tus clientes se van con la competencia. El problema no fue la quiebra del proveedor, sino que nunca lo identificaste como un riesgo.

Eso pasa todos los días en miles de empresas mexicanas. No porque los dueños sean descuidados, sino porque identificar riesgos requiere un método. Sin método, solo ves lo que está frente a ti. Con método, ves lo que todavía no ha explotado.

El Método de Identificación por Categorías (MIC)

El sistema más confiable para no dejar ningún riesgo fuera se llama Método de Identificación por Categorías, o MIC. Funciona así: en lugar de pensar en riesgos de forma libre, los buscas uno por uno dentro de cada categoría conocida.

En la lección anterior aprendiste que los riesgos se agrupan en cinco categorías: financieros, operativos, legales, estratégicos y de reputación. El MIC usa esas mismas categorías como listas de verificación. Revisas cada una con preguntas guía y anotas todo lo que encuentras. Nada queda fuera por olvido.

Piénsalo como una revisión médica. El doctor no espera a que te duela algo para revisarte. Sigue un protocolo: corazón, pulmones, presión, sangre. Tú harás lo mismo con tu empresa.

Cómo aplicar el MIC paso a paso

Sigue estos cuatro pasos cada vez que hagas una sesión de identificación de riesgos.

Paso 1: Reúne a las personas correctas. No lo hagas solo. Invita a alguien de finanzas, uno de operaciones y uno de ventas. Cada área ve riesgos distintos. En Bimbo, por ejemplo, un gerente de planta ve riesgos de maquinaria que el director financiero nunca notaría.

Paso 2: Usa las cinco categorías como guía. Revisa cada categoría con preguntas específicas. Abajo encontrarás las preguntas clave para cada una.

Paso 3: Escribe todo, sin filtrar. En esta etapa no evalúas si el riesgo es grande o pequeño. Solo lo identificas. La evaluación viene después. Si alguien del equipo menciona un riesgo que parece improbable, anótalo igual.

Paso 4: Asigna un dueño a cada riesgo. Cada riesgo identificado necesita una persona responsable de vigilarlo. Sin dueño, el riesgo queda en el aire y nadie actúa.

Las cinco categorías y sus preguntas guía

Esta es la parte central del MIC. Usa estas preguntas como tu lista de verificación.

Riesgos financieros

  • ¿Qué pasa si tus principales clientes dejan de pagarte a tiempo?
  • ¿Tienes deudas en dólares que suban si el tipo de cambio sube?
  • ¿Cuántos meses puedes operar si las ventas caen un 30%?
  • ¿Dependes de una sola línea de crédito para cubrir tu operación?

Ejemplo real: Una empresa importadora en Monterrey tenía el 80% de sus costos en dólares y todos sus ingresos en pesos. Cuando el dólar subió de $17 a $24, sus márgenes desaparecieron en tres meses. Este riesgo era identificable desde el primer día.

Riesgos operativos

  • ¿Qué ocurre si falla tu sistema de facturación o tu ERP?
  • ¿Tienes un proveedor del que depende más del 50% de tu producción?
  • ¿Qué pasa si tu empleado clave renuncia mañana?
  • ¿Tus procesos críticos están documentados o solo los conoce una persona?

Ejemplo real: Una tienda en Liverpool depende de su sistema de punto de venta. Si ese sistema cae durante el Buen Fin, las pérdidas pueden superar $500,000 en pocas horas. Tener un protocolo de respaldo es identificar ese riesgo antes de que ocurra.

Riesgos legales y regulatorios

  • ¿Estás al corriente con el SAT en tu declaración anual y CFDI?
  • ¿Tus contratos con proveedores y clientes están firmados y actualizados?
  • ¿Cumples con las NOM aplicables a tu industria?
  • ¿Tu empresa tiene al día sus obligaciones con el IMSS e INFONAVIT?

Ejemplo real: Una empresa de manufactura en Querétaro fue multada por el STPS porque su reglamento interno no estaba actualizado según la reforma de subcontratación de 2021. El riesgo legal existía, pero nadie lo había identificado.

Riesgos estratégicos

  • ¿Qué pasa si entra un competidor nuevo con precios más bajos?
  • ¿Tu modelo de negocio depende de una tecnología que puede quedar obsoleta?
  • ¿Tienes concentración de ingresos en un solo cliente o mercado?
  • ¿Qué ocurre si cambian las preferencias de tus consumidores?

Ejemplo real: Antes de que Mercado Libre dominara el comercio electrónico, muchas tiendas físicas dependían al 100% de su ubicación para atraer clientes. Las que identificaron este riesgo estratégico a tiempo abrieron su canal digital. Las que no lo hicieron, cerraron.

Riesgos de reputación

  • ¿Un error de un empleado puede viralizarse en redes sociales?
  • ¿Qué pasa si un proveedor tuyo tiene prácticas cuestionables?
  • ¿Tienes protocolo para responder a una crisis de comunicación?
  • ¿Tu marca está asociada a causas o personas que pueden generar controversia?

Ejemplo real: En 2023, varias marcas mexicanas de alimentos enfrentaron boicots en redes sociales por el uso de ingredientes controversiales. Las empresas que no tenían identificado este riesgo tardaron semanas en responder. El daño a su reputación costó mucho más que una respuesta temprana.

Errores comunes al identificar riesgos

Hay tres errores que arruinan el proceso antes de que empiece.

Error 1: Identificar solo los riesgos que ya ocurrieron. Muchos equipos solo anotan lo que ya vivieron. Eso es útil, pero insuficiente. Los riesgos más peligrosos son los que todavía no han pasado en tu empresa, pero sí en otras similares.

Error 2: Confundir el riesgo con su consecuencia. El riesgo es la causa. La consecuencia es el daño. "Perder clientes" no es un riesgo, es una consecuencia. El riesgo es "mala calidad en el producto" o "precios más altos que la competencia". Identificar bien la causa te permite actuar antes del daño.

Error 3: Hacer el ejercicio una sola vez. Los riesgos cambian. Tu empresa de hoy no es la misma de hace un año. FEMSA no gestiona los mismos riesgos hoy que en 2015. Programa sesiones de identificación al menos dos veces al año, o cada vez que haya un cambio importante en tu operación.

Tu primera sesión de identificación: una guía práctica

Para hacer tu primera sesión, necesitas tres cosas: dos horas de tiempo, tres personas de distintas áreas y una hoja de cálculo con las cinco categorías como columnas.

En cada columna, responde las preguntas guía de esa categoría. Escribe cada riesgo en una fila separada. Al terminar, cuenta cuántos riesgos identificaste por categoría. Si una categoría tiene muy pocos, probablemente no la exploraste a fondo.

Una empresa mediana con entre 20 y 100 empleados debería identificar entre 30 y 60 riesgos en su primera sesión. Si encuentras menos de 15, vuelve a hacer las preguntas con más detalle.

No busques la perfección. Busca la cobertura. Es mejor tener 50 riesgos imperfectamente descritos que 10 riesgos bien redactados y 40 amenazas sin descubrir.

Recuerda esto cuando termines tu sesión

Un riesgo que no está escrito no existe para tu empresa, aunque sí exista en la realidad.

Identificar riesgos no te da control total sobre el futuro. Pero sí te da algo invaluable: tiempo para prepararte. En la próxima lección aprenderás a evaluar esos riesgos que ya identificaste, y a decidir cuáles merecen tu atención urgente y cuáles puedes vigilar con calma.

Puntos clave

  • El Método de Identificación por Categorías (MIC) te obliga a buscar riesgos en cinco áreas concretas para no dejar ninguno fuera por descuido.
  • Identificar riesgos no es un ejercicio individual: necesitas personas de distintas áreas porque cada una ve amenazas que las demás no perciben.
  • No confundas el riesgo con su consecuencia: identifica la causa (mala calidad, proveedor único, deuda en dólares) para poder actuar antes del daño.
  • Cada riesgo identificado necesita un dueño asignado; sin responsable, el riesgo queda sin vigilancia y sin acción.
  • Una empresa mediana debe identificar entre 30 y 60 riesgos en su primera sesión; si encuentras menos de 15, profundiza las preguntas por categoría.

Comparte esta lección:

WhatsAppLinkedIn
Siguiente lección →← Lección anterior