Gestión de riesgo
La gestión de riesgo es el proceso de minimizar o mitigar los riesgos adversos y aprovechar las oportunidades positivas. Comienza con la identificación y evaluación del riesgo, seguidas de un uso óptimo de los recursos para monitorizar y minimizar el riesgo.
Los riesgos generalmente están generados por la incertidumbre. En las organizaciones, este riesgo puede ser producto de la incertidumbre en el mercado global (la demanda, la oferta y el mercado bursátil), el fracaso de proyectos, los accidentes, los desastres naturales, las pandemias mundiales como la COVID-19, etc. Existen diferentes herramientas y métodos para evaluar y controlar el riesgo, dependiendo del tipo de riesgo que se haya identificado.
En un sistema de gestión de riesgo, idealmente se aplica un proceso de priorización, mediante el cual se abordan primero aquellos riesgos que, según se ha identificado, presentan la mayor amenaza de causar importantes pérdidas, y tienen mayor probabilidad de ocurrencia.
Los dos factores que determinan las acciones requeridas son la probabilidad de ocurrencia de un suceso y la gravedad o el impacto del riesgo. Por ejemplo, cuando el impacto es menor y la probabilidad de ocurrencia es baja, a menudo es factible aceptar el riesgo sin intervención alguna. Para un evento o riesgo en el que la probabilidad es alta, y el impacto más grave, será necesario ejercer una gestión más amplia. De esta forma es posible establecer ciertas prioridades a la hora de abordar y controlar el riesgo.
La gestión de riesgo es siempre un proceso continuo, una estrategia fluida y dinámica en la que los riesgos y los sistemas de gestión de riesgo se revisan y revalúan, y los resultados se incorporan en el sistema que los generó para realizar otros análisis y evaluaciones.
Las dos áreas más habituales que han de abordarse dentro de un sistema de gestión de riesgo son la fuente del riesgo y el problema.
Cuando se conoce de antemano alguna o ambas de estas áreas, es posible adoptar ciertas medidas para hacerles frente.
Una vez que se han identificado los riesgos, debe evaluarse su potencial de criticidad. En ese momento, llegamos a la fase de priorización del riesgo.
En términos genéricos «la probabilidad de ocurrencia x el impacto es igual al riesgo»
A esto sigue el desarrollo y la implementación de un plan de gestión del riesgo, un proceso que comprende controles eficaces de seguridad y mecanismos de control para mitigar el riesgo.
Un riesgo más complejo para la eficacia organizativa es un riesgo que existe pero no puede ser identificado. Por ejemplo, la constante falta de eficacia en el proceso de producción se acumula a lo largo de cierto periodo de tiempo y se traduce en un riesgo operativo.
Principios
Varios organismos han establecido principios para la gestión del riesgo. Existen los principios de gestión de riesgo de la Organización Internacional de Normalización (ISO, por sus siglas en inglés) y del Conjunto de Conocimientos sobre la Gestión del Proyecto (PMBOK, por sus siglas en inglés).
La ISO31000 establece ocho principios y PMBOK ha elaborado doce.
Haga clic en los enlaces para obtener más información sobre cada uno de los principios.
Contexto organizativo
El entorno de toda organización se ve afectado, en distinto grado, por diferentes factores: políticos, sociales, legislativos, tecnológicos, comunitarios, etc. Por ejemplo, una organización puede ser inmune a un cambio en la tasa de importación, mientras que a otra organización, que opere en el mismo sector y entorno, esto puede acarrearle un grave riesgo. También existen diferencias claras en los canales de comunicación, la cultura interna y los procedimientos de gestión de riesgo. La gestión de riesgo, por lo tanto, debería poder añadir valor y ser una parte integral del proceso organizativo.
Implicación de las partes interesadas
Los procesos de gestión de riesgo deben incorporar a las partes interesadas en cada una de las etapas de la toma de decisiones y estas partes deben conocer incluso las decisiones más pequeñas que se hayan tomado. Más aún, entender la función que las partes interesadas pueden desempeñar en cada etapa redunda en el beneficio de la organización.
Objetivos de la organización
Cuando nos enfrentamos a un riesgo, es importante no olvidar los objetivos de la organización. El proceso de gestión de riesgo debería abordar de forma explícita la incertidumbre y ello requiere actuar de forma sistemática y estructurada, así como tener siempre una visión amplia de la situación.
Estructura de apoyo
La estructura de apoyo destaca la importancia del equipo de gestión de riesgo. Los miembros del equipo deben ser dinámicos, diligentes y receptivos al cambio. Cada uno de los miembros del equipo debe comprender la intervención que les corresponde realizar en cada fase del ciclo de gestión del proyecto.
Indicadores de alerta precoz
Preste atención a las señales tempranas que indican que un riesgo se está convirtiendo en un problema activo. Esto se consigue mediante una comunicación continua de todas y cada una de las personas, a cada nivel. Es también importante facilitar y capacitar a cada persona para que responda a la amenaza dentro de su nivel.
Ciclo de revisión
Continúe evaluando la información que se obtiene a cada paso del proceso de gestión de riesgo: identifíquela, evalúela, responda a ella y revísela. Lo que se observa en cada ciclo es marcadamente diferente. Identifique qué medidas razonables se pueden adoptar y elimine las que no sean necesarias.
Preguntas frecuentes
Esta pregunta podría hacerse a distintas personas u organizaciones y obtendría en cada caso una respuesta diferente. Muchas de las definiciones dependerán del momento en el que fueron redactadas, ya que las ideas y la forma de pensar sobre lo que constituye un riesgo han cambiado durante los últimos 30 años, pero más especialmente durante los últimos 10.
¿Qué es la Gestión de riesgo y por qué es necesaria?
Cada organización, grande o pequeña, es susceptible al riesgo, ya sea operativo, legal, medioambiental, financiero o de reputación, marca o responsabilidad.
La mayor parte de las organizaciones se preocupan de los riesgos que pueden afectarlas negativamente.
Esta presentación analiza los elementos básicos de un sistema de gestión de riesgo organizativo, incluyendo los beneficios de implementar dicho sistema, de la evaluación y priorización de riesgos, así como de adoptar estrategias de respuesta de gestión de riesgo.
La gestión de riesgo ayuda a las organizaciones a encontrar un enfoque disciplinado y sistemático para identificar, evaluar, analizar, monitorizar y mitigar los riesgos que ponen en peligro que puedan alcanzarse los objetivos estratégicos de una organización.
La gestión de riesgo es, intencionadamente, un proceso proactivo antes que reactivo.
Distintas situaciones y eventos dentro de una organización pueden, simultáneamente, dar como resultado consecuencias tanto positivas como negativas y cada una de ellas puede requerir una estrategia de gestión de riesgo diferente.
¿Cuáles son las ventajas de la gestión del riesgo?
Adoptar un sistema de gestión de riesgo dentro de una organización aporta cuatro ventajas principales.
En primer lugar, un sistema de gestión de riesgo refuerza un sistema de gestión ya existente, tanto día a día como en situaciones a largo plazo.
En segundo lugar, un sistema de gestión de riesgo puede simplificar las operaciones cotidianas de funcionamiento dentro de una organización. Los empleados que conocen y comprenden las políticas y los procedimientos adecuados dentro de un sistema de gestión de riesgo pueden realizar mejor las tareas y ayudar en todos los aspectos de un sistema de gestión.
En tercer lugar, una buena gestión del riesgo mejora la gestión financiera. Las pérdidas, los litigios y las lesiones tienen todos un coste monetario. Por ello, un sistema de gestión de riesgo eficaz ayuda a las organizaciones a evitar estos costes adicionales no deseados.
Y finalmente, un sistema de gestión de riesgo contribuye a facilitar mejores servicios de forma constante. Cada vez que se produce una pérdida, o se sufren daños materiales, es necesario redactar un informe, tomar declaraciones, etc... y todas estas actividades requieren tiempo, lo que reduce la capacidad del empleado de proporcionar los servicios.
¿Cómo se gestiona el riesgo?
Si una organización tiene un «gestor de riesgo» designado, esa persona representa un recurso valioso. Sin embargo la mayor parte de las organizaciones no cuenta con un gestor de riesgo a tiempo completo, o siquiera a tiempo parcial, por lo que la responsabilidad de actuar como gestor de riesgo recae, de una forma u otra, en cada uno de los miembros de la organización.
En cualquier caso, mientras los altos directivos pueden implementar las estrategias y dirigir un sistema de gestión de riesgo eficaz, la aplicación efectiva del sistema de gestión de riesgo de una organización es responsabilidad de todas las partes clave. Esto incluye a los directores de departamento, los empleados, voluntarios y cargos electos.
A la hora de evaluar riesgos, una organización debe centrarse en los riesgos sobre los que tienen algún grado de control. Por ejemplo, es posible que un rayo caiga sobre alguien en un parque público y le cause lesiones, pero ¿hasta qué punto puede usted controlar este tipo de sucesos? No ejerce control sobre cuándo puede caer un rayo, pero puede controlar la probabilidad de una lesión colocando carteles que informen al público de que debe buscar refugio bajo techo si escuchan truenos.
Proceso
Hay varias organizaciones que han estructurado los principios y directrices para el proceso de gestión de riesgos, y los pasos que han de tomarse son en todos los casos aproximadamente los mismos. Los diferentes tipos de riesgo suponen pequeñas diferencias en el ciclo.
Por ejemplo, los riesgos que conlleva la gestión de proyectos son distintos a los riesgos relacionados con las finanzas. Esto justifica ciertas variaciones a lo largo de todo el proceso de gestión de riesgos. Sin embargo, las normas ISO han establecido ciertas fases para este proceso, que son aplicables casi universalmente a todos los tipos de riesgo. Las directrices pueden aplicarse a lo largo de toda la vida de una organización y de una amplia gama de actividades, incluyendo estrategias y decisiones, operaciones, procesos, funciones, proyectos, productos, servicios y activos.
Según la ISO 31000 (Gestión de riesgo - Principios y directrices para su implementación), los procesos de gestión de riesgo constan de las siguientes fases y subfases:
Establecimiento del contexto
Establecer el contexto supone que se identifican todos los posibles riesgos, y sus posibles ramificaciones se analizan exhaustivamente. Se discuten distintas estrategias y se toman decisiones para abordar el riesgo. Las distintas actividades relacionadas con esta fase se desglosan de la siguiente forma:
• Identificar un riesgo en un ámbito determinado.
• Planificar la totalidad del proceso de gestión.
• Realizar un esquema de las manifestaciones del riesgo; identificar los objetivos de riesgo, etc...
• Delimitar un marco.
• Elaborar un análisis de los riesgos que supone cada fase.
• Decidir la solución o soluciones para el riesgo.
Identificación
Una vez que se establecido adecuadamente el contexto, el siguiente paso es identificar las amenazas o riesgos potenciales. Esta identificación puede realizarse a nivel de la fuente del riesgo o al nivel de problema propiamente dicho.
El análisis de las fuentes significa que se analiza la fuente del riesgo y se aplican las medidas atenuantes adecuadas. La fuente de riesgo puede ser interna o externa al sistema. Ejemplos de fuentes de riesgo pueden ser los empleados de una empresa, la ineficacia operativa en ciertos procesos, etc.
Por otro lado, el análisis del problema implica que se analiza no la causa, sino el efecto del problema. Por ejemplo, un descenso en la producción tiene como resultado la amenaza de perder dinero.
El método elegido difiere dependiendo de la industria, cultura organizativa y otros factores.
Evaluación
Una vez que se han identificado los riesgos, se evalúa la probabilidad de que ocurran y el impacto que tendrían. Este proceso puede ser sencillo, como en el caso de la evaluación de riesgos tangibles, o difícil, como en el caso de la evaluación de riesgos intangibles. Esta evaluación es prácticamente un proceso de adivinanza, y la mejor conjetura determina el éxito del plan.
Es posible usar bien un método cualitativo, basado en la mejor estimación de la probabilidad y las consecuencias, utilizando los conocimientos locales y la experiencia, o bien un método cuantitativo, basado en distribuciones de probabilidad y predicciones de pérdida.