De la eficacia del proceso de gestión de riesgos depende la seguridad de la organización para operar. Es un hecho que las empresas que desarrollan su actividad en un marco de tranquilidad son más productivas y eficientes.
En tiempos de globalización, de incertidumbre social y tensiones políticas, las organizaciones necesitan implementar un proceso de gestión de riesgos efectivo para prevenir amenazas, sean del tipo que sean.
Además de las amenazas que preocupan a nivel general, las organizaciones encuentran riesgos en su propia casa. En ocasiones aparentan ser menores, pero pueden ser muy lesivos: accidentes de trabajo, incidentes ambientales, infracciones de seguridad, robo de información, fraude, etc. El proceso de gestión de riesgos necesita tener la capacidad para ser eficaz sobre todos ellos.
Cómo crear un proceso de gestión de riesgos efectivo en cinco pasos
Un proceso es un conjunto encadenado de procedimientos que se realizan de forma sistemática para llegar a un resultado. Es sistemático porque se ejecuta de forma invariable, en el momento en el que se requiere, sin que su estructura se modifique.
A grandes rasgos, el proceso de gestión de riesgos es el estándar utilizado para tratar diferentes amenazas (operativas, comerciales, estratégicas, financieras, etc.) que pueden impedir el logro de objetivos en cualquier área: seguridad en el trabajo, calidad, medio ambiente o seguridad de la información, entre otras.
El proceso ha sido estandarizado por ISO y es la base de la norma internacional sobre gestión de riesgos: ISO 31000. Los cinco pasos son los siguientes:
1. Identificar los riesgos
La lluvia de ideas es la metodología más utilizada para identificar riesgos en este primer paso del proceso de gestión de riesgos. Ayuda, sin embargo, considerar en esa acción ciertos elementos que le aporten soporte técnico y científico:
- Objetivos comerciales de la organización.
- Antecedentes históricos de la organización y de otras de la misma industria.
- El alcance del proceso: local para una determinada área, sobre una línea de productos, etc.
- Matrices de riesgos u otras metodologías de comprobada efectividad: DAFO o árbol de fallos, entre otros
Dentro del proceso de gestión de riesgos, la tarea puede desarrollarse asumiendo un enfoque desde arriba hacia abajo. Las organizaciones que eligen esta opción examinan primero sus procesos esenciales, los que aseguran la producción o garantizan el suministro, y descienden en su análisis hasta llegar a lo más básico y primario.
En cambio, un enfoque ascendente priorizará lo general. Abordará lo que impacta a toda la organización, desde su base para escalar hasta el estudio de amenazas sobre las estrategias comerciales definidas por la Alta Dirección.
Finalmente, para concluir este primer paso del proceso de gestión de riesgos, y en cualquiera de las dos opciones definidas, es importante definir qué se evaluará:
- Áreas o departamentos.
- Ubicaciones.
- Activos o recursos en riesgo.
- Procesos.
Cualquiera de los enfoques adoptados para identificar los riesgos tendría que arrojar el mismo resultado al final. Se trata de elegir el que mejor se acomode a la estructura de la organización y a los objetivos del proceso de gestión de riesgos. Es importante anotar que el proceso puede ser rutinario, específico, programado o de emergencia.
2. Categorizar los riesgos
En un proceso de gestión de riesgos, estos pueden clasificarse bajo un sinfín de etiquetas: graves, menores, letales, locales, globales, previsibles, inesperados, etc. Pero también se podrían clasificar bajo el área a la que afectan: Seguridad Laboral, Calidad o Medio Ambiente, entre otras.
Para evitar entrar en un espectro tan amplio como interminable, la teoría moderna de gestión de riesgos establece cuatro categorías en las que se agrupan los riesgos según el resultado de su impacto:
- Riesgo estratégico: eventos que afectarán la imagen y la reputación de la organización, disminuyendo la confianza de los consumidores, inversionistas y reguladores.
- Riesgo financiero: son los riesgos que afectan el patrimonio o las finanzas de la organización. Afectan la liquidez de la empresa y así disminuyen o eliminan su capacidad para operar.
- Riesgo de gobernanza y cumplimiento: en este segmento se ubican los riesgos que afectan al uso de las mejores prácticas de gobierno, atacan lo dispuesto en manuales de ética y conducta e impiden el cumplimiento de las obligaciones de la organización.
- Riesgo operativo: el riesgo operativo es el que tiene la capacidad de paralizar la producción. Un fenómeno natural como un sismo o una inundación encajan en esta categoría. También lo hacen la pérdida de una licencia de operación, la interrupción del suministro o una conmoción política y social.
Detenerse en la definición de cada una de estas categorías lleva a concluir que un riesgo podría encajar en dos o más de ellas. ¿Cómo realizar la categorización adecuada que conduzca a una eficaz gestión de esos riesgos?
Utilizar una plataforma tecnológica que automatice y digitalice el proceso de gestión de riesgos es la forma de facilitar el proceso. Estas herramientas utilizan funcionalidades intuitivas, basadas en la información incorporada en el pasado y en elementos de inteligencia artificial para ofrecer el resultado que más conviene al proceso en sus siguientes pasos.
Aprovecha este sencillo proceso de #GestiónDeRiesgos para obtener resultados efectivos en solo cinco pasos #RiskManager Share on X3. Priorizar los riesgos
El trabajo realizado hasta aquí permitirá comprender que no todas las amenazas son relevantes. Uno de los objetivos del proceso de gestión de riesgos es establecer un listado priorizado de amenazas para optimizar el uso de los recursos que se destinarán para su tratamiento.
Los factores de evaluación son dos: probabilidad de ocurrencia y gravedad del impacto negativo. Se utiliza una matriz de riegos, de uso extendido y conocida por todos los profesionales en esta área. La diferencia está en el tipo de análisis que se utilice. Básicamente se distinguen dos:
- Cualitativo: este tipo de análisis se basa en la percepción. Si se evalúa la probabilidad, por ejemplo, se califica como alta, muy alta, media o baja. Igualmente, el impacto se denomina muy grave, grave, medio, leve, etc.
- Cuantitativo: es un proceso científico que adjudica un valor exacto, numérico, de acuerdo a cálculos elaborados con base en cifras y registros recopilados. No hay lugar a la interpretación, los datos son exactos y concluyentes.
Una conclusión apresurada puede indicar que el análisis cuantitativo es preferible al cualitativo. En la práctica cotidiana de la gestión no lo es tanto. Un ejemplo: el impacto negativo sobre la reputación de una organización es algo difícil de expresar en números, pero más fácil de comprender cuando se hace a través de la percepción.
El objetivo, sin embargo, es obtener una lista donde el primer lugar lo ocupe el riesgo más inminente y más lesivo. La lista continua con amenazas que van disminuyendo en importancia.
4. Gestionar los riesgos
En este paso del proceso de gestión de riesgos se definen las estrategias que se utilizarán para gestionar los riesgos. Además de elegir una de entre cuatro opciones, se determina el coste financiero de la estrategia.
Esta evaluación podría indicar que la estrategia definida puede resultar más costosa que las consecuencias de asumir el riesgo. Las cuatro opciones son:
- Eliminar el riesgo: sería la opción ideal, pero no siempre es posible. Eliminar el riesgo representa en muchas ocasiones eliminar un proceso, sustituir un material o dejar de producir algo.
- Mitigar el riesgo: se trata de tomar medidas que lleven la amenaza a un nivel tolerable. El uso de equipos de protección personal es un buen ejemplo de acciones en esta categoría.
- Transferir el riesgo o compartirlo: si un proceso implica un riesgo, se toma la decisión de subcontratar la ejecución de ese proceso con un tercero. Otra forma de transferir el riesgo es contratar una póliza de seguros. La transferencia puede trasladar el impacto financiero, pero no el reputacional. Es importante considerarlo antes de tomar la decisión.
- Aceptar o retener el riesgo: se toma esta última acción cuando el tratamiento del riesgo tiene un coste superior al impacto negativo. También cuando representa una oportunidad interesante o su eliminación implica un riesgo operacional mucho mayor.
5. Revisar la gestión
El proceso de gestión de riesgos es cíclico. Aunque de forma intencional y metodológica no se piense en ello, de forma natural el proceso toma el ciclo PDCA (Planear, Hacer, Verificar y Actuar). De esta forma, el último paso es verificar y monitorear el resultado de la gestión, para reiniciar el ciclo, esperando en cada ejecución del proceso obtener mejores resultados.
Ese proceso tendrá mejores oportunidades de éxito si en cada ejecución se produce un registro de datos e información en una plataforma de gestión que automatice y digitalice las acciones. Si a esto se suma el conocimiento y la formación de profesionales expertos en el área, el éxito del proceso de gestión de riesgos estará garantizado.
Diplomado en Risk Manager
La gestión de riesgos moderna incorpora técnicas, metodologías y análisis que buscan entregar resultados con un alto índice de efectividad. La tecnología es un elemento definitivo para el trabajo de los profesionales del siglo XXI.
El Diplomado en Risk Manager es el programa de la Escuela Europea de Excelencia que forma en los conceptos avanzados de gestión y en el uso de plataformas tecnológicas para el análisis y evaluación de amenazas. Capacita para una tarea tan compleja y apasionante como es la gestión integral de riesgos corporativos.
Se trata de un programa de alto nivel desarrollado por y para auténticos profesionales para el que la Escuela Europea de Excelencia puede apoyarte con una beca. Consulta aquí si puedes optar a formación becada. Si lo prefieres, también puedes iniciar tu proceso ahora mismo. Inscríbete aquí.