Elaborar un plan de gestión de riesgos crea un marco de trabajo adecuado para que los profesionales en esta área puedan desarrollar su labor con eficacia. Se trata de un modelo que permite tomar decisiones informadas y anticipadas con el fin de proteger la reputación, los activos y las personas de la organización.
Las vulnerabilidades operativas, estratégicas o de cualquier clase amenazan a todas las organizaciones. La exposición general es un argumento más para elaborar un plan de gestión de riesgos que entregue un modelo seguro de trabajo para un proyecto específico o para la actividad de la organización.
Para elaborar un plan de gestión de riesgos es necesario entender en qué consiste esta tarea, qué objetivos se busca alcanzar, qué se necesita y, por supuesto, una guía para obtener el plan efectivo que necesita la organización. En todas estas cuestiones nos fijamos a continuación.
¿Qué es un plan de gestión de riesgos?
El plan de gestión de riesgos es un documento que contiene las acciones y eventos concatenados y en orden cronológico que se desarrollan para identificar, evaluar, clasificar, priorizar, tratar y revisar los riesgos que pueden impactar a la organización.
Elaborar un plan de gestión de riesgos no es muy diferente a diseñar otros planes estratégicos, como pueden ser los comerciales o financieros. Sin embargo, el enfoque, los elementos necesarios para emprender la tarea y la estructura del documento son particulares.
¿Por qué es necesario elaborar un plan de gestión de riesgos?
Como todos los proyectos importantes, la planificación es esencial para el éxito. Elaborar un plan de gestión de riesgos, en primer lugar, permite obtener información sobre cuánto costará y en qué momentos será necesario asignar los recursos.
Por otra parte, el plan es una demostración de que la empresa no improvisa. Asume una estrategia proactiva pensando en el futuro y no en los hechos del día a día. El plan de gestión de riesgos es importante además por otras razones:
- Identificar riesgos y amenazas con suficiente antelación.
- Priorizar los riesgos según el impacto y la probabilidad, formulando estrategias para atender lo más urgente.
- Mejorar la capacidad de operación de la organización, al crear un marco de seguridad y confianza.
- Obtener una bitácora de trabajo que permita monitorear, revisar y comprobar el logro de objetivos.
- Mejorar la confianza entre reguladores, clientes, socios comerciales y otras partes interesadas.
- Crear una metodología sistemática, susceptible de mejorar de forma continua, para el tratamiento de todos los riesgos.
¿Qué elementos comprende un plan de gestión de riesgos?
Para elaborar un plan de gestión de riesgos es preciso armar cuatro grandes bloques de información, que son los elementos clave del documento. Estos cuatro elementos son los siguientes:
1. Identificación de riesgos
Es el apartado en el que se buscan e individualizan los diferentes riesgos. Un riesgo, por definición, es cualquier factor, elemento, circunstancia o condición que tiene la capacidad para impedir el logro de un objetivo u ocasionar un impacto negativo relevante. La identificación de riesgos hace uso de diversas metodologías que se prevén desde el mismo plan de gestión.
2. Evaluación de riesgos
La evaluación de riesgos comprende dos tareas: categorizar la amenaza (estratégica, operacional, financiera, etc.) y asignar una puntuación que permita priorizar unas sobre otras de acuerdo con el impacto negativo o la probabilidad de que ocurra.
3. Tratamiento de los riesgos
Es el capítulo dedicado al diseño de estrategias para gestionar el riesgo. El plan, como un marco de acción, plantea los tipos de estrategias: eliminar, mitigar, transferir o compartir y aceptar.
4. Revisión y monitoreo
La gestión de riesgos es dinámica y cíclica. El modelo PDCA (planear, hacer, verificar y actuar) lleva a la mejora continua de la gestión y permite ajustar las estrategias de acuerdo con la evolución de las vulnerabilidades.
Necesitas una guía para elaborar un plan de #GestiónDeRiesgos en tu organización. Aprovecha esta guía paso a paso. Share on X¿Qué pasos seguir para elaborar un plan de gestión de riesgos?
Los elementos que forman parte del plan definen el paso a paso necesario para elaborar un plan de gestión de riesgos. El proceso, en detalle, sería el siguiente:
1. Establecer el contexto
El contexto, interno y externo, delimita el área en la que se identificarán los riesgos. Muchas amenazas aparecen en esta etapa de planificación. El contexto también permite identificar las partes interesadas, así como sus expectativas, necesidades o la forma en que pueden verse afectadas si un riesgo se materializa.
2. Identificar los riesgos
En esta parte del plan se emplean diferentes herramientas y modelos para identificar las amenazas: lluvias de ideas, análisis DAFO, árbol de fallos, los cinco porqués, etc. También se recurre a entrevistas con empleados y otras partes interesadas, a registros históricos, documentos sobre otras industrias del mismo sector, literatura especializada o informes de una plataforma para la digitalización de la gestión de riesgos.
3. Evaluar los riesgos
La evaluación se desarrolla en dos fases: clasificación y priorización. La clasificación, a su vez, utiliza dos criterios: el tipo de riesgo y la gravedad de acuerdo con el impacto o la probabilidad de que suceda.
La priorización de la asignación de lugar en una lista de acuerdo con la relevancia del riesgo obtenida en la etapa de clasificación. Los riesgos con mayor probabilidad de ocurrencia y mayor gravedad serán los primeros en atenderse y los primeros en recibir recursos para su gestión.
4. Diseñar estrategias de gestión
El siguiente paso en el plan es diseñar las estrategias para tratar el riesgo, que sabemos se limitan a cuatro opciones: eliminar, mitigar, trasladar o compartir y aceptar.
En esta parte del plan, no obstante, se solicitan los detalles de la estrategia, con las acciones y tareas concretas, los objetivos que se espera obtener, los mecanismos de verificación y el modo de implementación.
5. Asignar roles y responsabilidades
Con una lista de tareas y actividades para realizar, lo que sigue en el plan es asignar las responsabilidades a las personas indicadas. En algunos casos, la responsabilidad será asumida por el equipo de gestión de riesgos. En otros, será el responsable del activo afectado o del proceso que será modificado, eliminado o sustituido.
Al elaborar un plan de gestión de riesgos es importante dejar un espacio para especificar los medios por los que se comunicará a las personas indicadas todo lo relacionado con la responsabilidad asignada, así como los objetivos que se busca alcanzar y la forma en la que se monitoreará el avance.
6. Comunicar y documentar
Casi al final del plan de gestión de riesgos se deja un espacio para describir los canales de comunicación que se utilizarán para informar a las partes interesadas en el interior y exterior de la organización.
Muchos eventos y tareas que se incluyen en el plan necesitan ser documentados y conservados para garantizar la memoria histórica de la gestión. Es este el momento oportuno para definir quién lo hará, cómo lo hará y qué recursos requerirá.
En cuanto a documentación y almacenamiento seguro de la información, el uso de software para automatización y digitalización de la Gestión de Riesgos es clave, un recurso que cada día se emplea con más asiduidad en organizaciones en todo el mundo.
7. Revisar el plan y actualizarlo
La gestión de riesgos, reiteramos, es cíclica y dinámica. Elaborar un plan de gestión de riesgos es una tarea que se repetirá muchas veces, tantas como sea necesario. El plan se ajustará o modificará de acuerdo con el resultado de la gestión y de la evolución de los riesgos y del contexto de la organización.
¿A qué desafíos se enfrenta al elaborar un plan de gestión de riesgos?
Obtener una guía para elaborar un plan de gestión de riesgos es ya un importante avance. Pueden, no obstante, surgir algunos problemas:
- Ignorar algunos tipos de riesgos que no son cotidianos o son poco conocidos. Es el caso de los riesgos emergentes o los denominados cisnes negros.
- No considerar el factor humano, que es sin duda origen de la mayoría de los riesgos en todas las áreas.
- Crear un plan inamovible para un largo periodo de tiempo, que no admita modificaciones y que no pueda ser revisado.
- No consultar a las partes interesadas, conformando un silo de información en el que solo están los profesionales de gestión de riesgos.
- No obtener el apoyo de la Alta Dirección, lo cual conlleva la falta de recursos. La Alta Dirección no avalará un proyecto que no fue discutido y presentado antes de su implementación.
- Prescindir de la tecnología, acudiendo a modelos y herramientas en papel o, cuando mucho, hojas de cálculo.
- Olvidar la formación como elemento indispensable para elaborar un plan de gestión de riesgos y para la gestión en general. Profesionales formados y capacitados en el área producen una gestión efectiva.
Diplomado en Risk Manager
La gestión de riesgos contemporánea utiliza modelos, herramientas y matrices actuales. Pero también utiliza tecnología y estándares de gestión acordes con la sofisticación que requiere una tarea como esta en el siglo XXI.
El Diplomado en Risk Manager es el programa de la Escuela Europea de Excelencia diseñado para formar profesionales competentes, que cumplan con los requerimientos mencionados. Se trata de un completo y ambicioso programa creado para formar expertos en el área, pero también auditores certificados de Sistemas de Gestión de Riesgos. Puedes iniciar ya mismo tu formación o comprobar si puedes optar a una beca para tomar este programa.