La gestión de riesgos ideal, por no decir utópica, busca eliminar todos los riesgos. Sabemos que esto no es posible y que, por ello, la mitigación de riesgos es tan o más importante que la misma gestión en general.
La mitigación de riesgos surge cuando admitimos que un determinado riesgo no puede ser eliminado, y que debemos convivir con él, pero en condiciones en las que no nos pueda causar el impacto negativo que se pronosticó inicialmente.
La mitigación de riesgos es el eje central de la gestión de riesgos. La experiencia nos indica que son pocos los riesgos que realmente se pueden eliminar. Gracias a las estrategias de mitigación de riesgos es posible aceptar y tolerar riesgos, bajo un ambiente de seguridad, sin que esto limite los objetivos comerciales de la organización.
Mitigación de riesgos – ¿Qué es?
La mitigación de riesgos es el proceso de desarrollo de opciones y acciones que, al ser implementadas, mejorarán las oportunidades y reducirán el impacto negativo o la probabilidad de ocurrencia de un evento en particular.
Esto significa que el riesgo sigue existiendo y seguimos expuestos a él. Pero en un escenario controlado y bajo unas condiciones que nos permiten reducir la exposición y esperar un impacto negativo bajo.
Por supuesto, para llegar a entenderlo e identificar los riesgos que someteremos a la gestión de mitigación, seguiremos un proceso. Proceso que inicia con la identificación de todos los riesgos.
Pasos para hacer frente al riesgo
Identificación de riesgos
La identificación de los riesgos es el primer paso en la gestión, y por ello, se convierte en la base de todas las acciones que se adelantan a continuación. Identificar los riesgos no es otra cosa que señalarlos y expresar por qué tienen la capacidad de impedir el logro de un objetivo.
Los profesionales en el área acuden a diferentes técnicas para identificar riesgos. Lluvia de ideas, esquemas de evaluación, entrevistas con los empleados que tienen mayor conocimiento, registro de experiencias anteriores…
Durante la fase de identificación ningún evento puede ser ignorado. El objetivo es conformar una lista, por el momento, sin criterio alguno, de todos los eventos que pueden afectar la capacidad para alcanzar un objetivo.
La identificación se puede hacer para los riesgos que amenacen la operación en general de la organización, pero también para cada área, para un proyecto específico o para una categoría de eventos en particular, como riesgos financieros o desastres naturales, por ejemplo.
La identificación, por supuesto, es cíclica y debe ser actualizada de forma periódica, o cuando se presenten cambios. La introducción de nuevos productos es, por ejemplo, un evento que requiere identificar nuevos riesgos.
Evaluación de riesgos
Con una lista detallada de riesgos, el siguiente paso es evaluarlos y categorizarlos. Los factores que determinan la importancia de un riesgo son la probabilidad de ocurrencia y el nivel de impacto negativo que tenga sobre la operación o sobre el objetivo u objetivos evaluados.
Los profesionales en gestión de riesgos acuden a diferentes modelos de evaluación de riesgos, que básicamente asignan un valor numérico a la probabilidad y otro al impacto para obtener un valor que permita categorizar el riesgo, apartándolo de la opinión subjetiva de los empleados. Entre otros, la gestión de riesgos utiliza modelos como “qué pasaría si”, “los cinco por qué” o “FMEA” para determinar la gravedad de un riesgo.
La evaluación de riesgos no solo nos permite asignar un valor de gravedad numérico, sino que nos permite conocer la causa raíz, elemento fundamental para establecer si el riesgo puede ser eliminado o tendrá que ser aceptado y, por ende, mitigado.
La mitigación de #Riesgos es una estrategia válida para reducir el impacto cuando no es posible eliminar el factor de incertidumbre. Conoce este proceso de #GestiónRiesgos #ISO31000 #RiskManager Share on XPlan de mitigación de riesgos
La evaluación de riesgos entregará básicamente cuatro categorías de riesgos, de acuerdo con la probabilidad y el impacto negativo. Estas son:
- Bajo impacto y baja probabilidad de ocurrencia.
- Alto impacto y baja probabilidad de ocurrencia.
- Alto impacto y alta probabilidad de ocurrencia.
- Bajo impacto y alta probabilidad de ocurrencia.
Esta clasificación, sumada al conocimiento de la causa raíz, son los elementos clave para determinar la estrategia a seguir, que puede ser una de las siguientes:
Aceptar el riesgo
Usualmente, para los riesgos de las categorías 1 y 2 se adoptará esta estrategia de tratamiento, especialmente cuando la evaluación de riesgos determine que es más costoso emprende alguna acción para mitigar o eliminar el riesgo, que el coste que supone la ocurrencia del evento.
Esto no significa ignorarlo o dejar de monitorearlo. El riesgo sigue existiendo y la gestión de riesgos nos permite identificarlo, conocerlo y saber que puede suceder.
Evitar o eliminar el riesgo
Para los riesgos de la categoría 3 probablemente no exista otra alternativa que buscar una opción para eliminar el riesgo. El coste puede ser alto, pero el beneficio lo justifica. Esto puede implicar cambiar o eliminar un proceso, o sustituir una materia prima o un agente químico utilizado en el proceso de producción, por ejemplo.
Transferir el riesgo
Transferir o compartir el riesgo es una forma de mitigar. Encontramos dos formas de transferir un riesgo: subcontratar un proceso o tomar una póliza de seguros.
En el área de TI, subcontratar el almacenamiento de datos o las copias de seguridad, es una forma de transferir el riesgo de pérdida o deterioro de la información, que a la vez disminuye costes de personal y de inversión en equipos tecnológicos. Tomar una póliza de seguros, que es otra forma de compartir el riesgo, apenas compensará los costes financieros de la ocurrencia del evento, pero no resolverá temas como la pérdida de reputación, por ejemplo.
Mitigar los riesgos
Para todas las categorías, pero especialmente para los números 3 y 4, las acciones para mitigar o reducir los riesgos resultarán apropiadas. El propósito es reducir la exposición – impacto o probabilidad -, o toma acciones para afrontar las consecuencias con el menor impacto negativo posible.
Por supuesto, las acciones de mitigación no eliminarán el riesgo. De acuerdo con las características del evento, se puede obtener una reducción sustancial, pero también puede ser apenas perceptible. De una u otra forma, los riesgos sometidos a tratamiento en esta categoría, deben ser monitoreados o revisados constantemente.
Diplomado Risk Manager
Gestión de riesgos es un área que se ha vuelto imprescindible en las organizaciones modernas. Y lo es porque hoy, la exposición a riesgos de seguridad de la información, de calidad, de gestión ambiental, o de seguridad en el trabajo, solo por mencionar algunos de los más representativos, justifican la incorporación de profesionales especializados en el área de gestión de riesgos a las organizaciones de todos los tamaños.
El Diplomado Risk Manager es un programa de excelencia, diseñado e implementado por la Escuela Europea de Excelencia, para proveer a las organizaciones de todas las industrias, de los profesionales que requieren para operar en un marco de seguridad y productividad.
Este programa avanzado, ofrece una triple titulación, por parte de la Escuela Europea de Excelencia, de ISOTools y de ERCA. Los profesionales que toman este Diplomado pueden trabajar en todos los países de la Unión Europea y de América Latina. Puedes proyectar tu carrera hacia el futuro ahora mismo.
Para este excepcional programa, la EEE te ofrece la posibilidad de aplicar a una de las becas de nuestro programa Excellence.