Gestión de la Calidad ISO 9001 – Gestión de la Energía ISO 50001 – Gestión de Riesgos ISO 31000 – Gestión Ambiental ISO 14001 – Gestión de SST ISO 45001
“La idea revolucionaria que define la frontera entre la era moderna y el pasado es el dominio del riesgo: la noción de que el futuro es más que un capricho divino y que los hombres y mujeres no son inermes frente a la naturaleza”.
Peter Bernstein
De acuerdo con lo que plantea en esta frase el economista y educador Peter Bernstein(EEUU, 1919 – 2009), cuyo desarrollo y refinamiento de la hipótesis del mercado eficiente lo convirtió en una de las mayores autoridades en economía, resulta fundamental para el futuro de cualquier organización que ésta dedique ingentes esfuerzos a dominar el riesgo.
Y una buena manera de dominar el riesgo es a través de la Gestión del Riesgo, cuyo paso inicial requiere de una herramienta que ofrezca una clara visualización de datos para comunicar los riesgos específicos que enfrenta una organización: un Mapa de Riesgos.
Así, y considerando que el Riesgo es el efecto de la incertidumbre sobre los objetivos, mediante un Mapa de Riesgos bien elaborado, una organización estará en condiciones de:
Anticiparse a los problemas para poder resolverlos de manera eficiente
Aprovechar las oportunidades cuando éstas se presenten
Un Mapa de Riesgos ayuda a las empresas a identificar y priorizar los riesgos asociados con sus negocios, al mejorar la comprensión de una organización de su perfil y apetito de riesgos, aclarar el pensamiento sobre la naturaleza y el impacto de los riesgos, y mejorar el modelo de evaluación de riesgos de la organización.
WEBINAR GRATUITO: CREA TU MAPA DE RIESGOS EN TRES SEMANAS
WEBINAR – Crea un mapa de riesgos en tres semanas
En este webinar con Adriana Garavaglia, arquitecta, especialista en gestión de proyectos, PMP (R) certificada y quien tiene experiencia en gestión de riesgos, y Hugo González, ingeniero civil, Auditor Líder IRCA – DNV de Sistemas de Gestión de la Energía y con experiencia en la implementación de sistema de gestión de riesgos (ISO 31000), energía (ISO 50001), calidad (ISO 9001) y otros, podrás conocer los aspectos clave de una hoja de ruta para crear un mapa de riesgos en tan solo tres semanas.
El objetivo es lograr que tu organización o proyecto incremente las posibilidades de alcanzar los resultados planeados y puedan detectar las oportunidades que representa el contexto actual para la misma.
Completa tus datos y reserva ya tu lugar para el webinar, completando nuestro formulario.
CÓMO IDENTIFICAR Y ANALIZAR RIESGOS DE MANERA EFICAZ
Identificación de riesgos
La identificación de los riesgos inherentes es el primer paso para crear un Mapa de Riesgos, y suele requerir un enfoque multidisciplinario dado la amplia gama de causas y
consecuencias.
El propósito de la identificación del riesgo es encontrar, reconocer y describir los riesgos que pueden ayudar o impedir a una organización lograr sus objetivos. Para la identificación de los riesgos es importante contar con información pertinente, apropiada y actualizada.
En esta fase se identifican de forma sistemática las posibles causas concretas de los riesgos empresariales, así como los diversos y posibles efectos que debe afrontar la organización.
En general, la percepción del riesgo como amenaza es el sistema más utilizado para identificarlo. En este contexto, gestionar el riesgo significa instalar sistemas de control
que minimicen tanto la probabilidad de que ocurran sucesos negativos como su severidad. Es un enfoque de naturaleza defensiva, y su propósito es asignar recursos para reducir la probabilidad de sufrir impactos negativos.
Pero considerando la definición más precisa de Riesgo, que lo entiende como el Efecto de la incertidumbre sobre los objetivos, se entiende un concepto más amplio, ya que un efecto es una desviación respecto a lo previsto, que puede ser positivo, negativo o ambos, y puede abordar, crear o resultar en oportunidades y amenazas.
Entonces, desde la percepción del riesgo como oportunidad, la gestión significa utilizar técnicas que maximicen los resultados, limitando los posibles perjuicios o costos, obteniendo un enfoque de naturaleza ofensiva.
Identificación de riesgos. Factores a considerar
Con la finalidad de llevar adelante una eficaz identificación de riesgos, se requiere contar con información pertinente, apropiada y actualizada referida a:
La propia empresa
Mercado en el que opera
Partes interesadas
Contexto legal, social, político y cultural en el que se desenvuelve la organización.
Además, al momento de identificar sus riesgos, la organización debe considerar factores tales como:
Fuentes de riesgo tangibles e intangibles
Amenazas y oportunidades
Fortalezas y debilidades
Capacidades
Cambios en los contextos externo e interno
Naturaleza y valor de los activos y recursos
Eventuales consecuencias de los riesgos, y sus impactos en los objetivos
Limitaciones de conocimiento y de confiabilidad de la información
CÓMO IDENTIFICAR Y ANALIZAR RIESGOS DE MANERA EFICAZ
La identificación del riesgo permite tener en cuenta explícitamente la incertidumbre. Todas las fuentes de incertidumbre y los efectos tanto beneficiosos como perjudiciales pueden ser relevantes, según el contexto y el alcance de la evaluación.
Categorías de Riesgos
A fin de efectuar una identificación eficaz de los riesgos relacionados con la consecución de los objetivos de una organización, resulta de gran utilidad tomar en consideración las múltiples categorías en que se pueden agrupar estos riesgos.
Si bien existen categorías usualmente utilizadas para agrupar los diversos riesgos, la propia organización es la que debe establecer cuáles son las categorías que resulten más relevantes para su Gestión de Riesgos.
Así, si se clasifican según su Origen, los riesgos pueden ser:
Internos: están dentro de la propia organización, son intrínsecos de la empresa. Como la fijación de precios de productos y servicios, o los derivados de los procesos.
Externos: se encuentra fuera de la organización , y están definidos por el contexto en el que desempeña la empresa.
Considerando sus características, algunos ejemplos de tipos de riesgos son los siguientes:
Estratégicos: se relacionan con las decisiones que toma la Alta Dirección sobre la gestión del negocio.
Operacionales: como accidentes causados por materiales, equipos o ubicación de su trabajo.
Comerciales: están relacionados con los contratos o compromisos asumidos con terceros.
Pandemias: como coronavirus (COVID-19), influenza humana, gripe porcina o gripe aviar
Legales y contractuales: como resolución de disputas, incumplimientos contractuales o regulatorios.
Tecnológicos: relacionados con instrumentos, recursos técnicos o procedimientos empleados en las actividades de la empresa, como fallas en la red de computadoras, uso de equipos obsoletos, nuevas tecnologías aplicables.
Reputacionales: están relacionados con la percepción que otras partes interesadas (consumidores, clientes, proveedores, etc.) tienen acerca de la organización.
Políticos: cambios en las políticas regulatorias y gubernamentales, como restricciones de agua, restricciones de cuarentena, de emisiones de carbono e impuestos, etc.
Financieros: relacionados con variaciones en el balance de la organización o en los mercados financieros.
Sectoriales: factores que afectan especialmente al sector económico en el que se desenvuelve la empresa.
Desastres naturales: como inundaciones, tormentas, incendios forestales y sequías
Eventos globales: como interrupciones del tráfico aéreo
Ambientales: eventos de cambio climático, derrames químicos y contaminación en general
De mercado: por ejemplo, modelos de negocio obsoletos.
CÓMO IDENTIFICAR Y ANALIZAR RIESGOS DE MANERA EFICAZ
Análisis del riesgo
El próximo paso en el mapeo de riesgos consiste en desarrollar el Análisis del riesgo, cuyo propósito es comprender la naturaleza del riesgo y sus características incluyendo, cuando sea apropiado, el nivel del riesgo:
Nivel de riesgo = impacto x probabilidad
Esto implica una consideración detallada de incertidumbres, fuentes de riesgo, consecuencias, probabilidades, eventos, escenarios, controles y su eficacia. Un evento puede tener múltiples causas y consecuencias y puede afectar a múltiples objetivos.
Para analizar un riesgo, se debe determinar la probabilidad de que ocurra y las consecuencias que tendría el impacto del riesgo que se ha identificado.
Una vez determinado el Nivel de Riesgo, es posible priorizar los riesgos identificados, en función de la probabilidad de ocurrencia y el impacto de la materialización.
El principal beneficio de este proceso es que la priorización permite concentrar los recursos disponibles en aquellos riesgos que representan una mayor amenaza u oportunidad para la organización.
Un aspecto clave del Análisis del Riesgo es que este proceso sólo puede sustentarse en percepciones fundadas en un estudio objetivo, de manera de evitar sesgos que conduzcan a una toma de decisiones ineficiente.
A su vez, la objetividad necesaria en este proceso se logra mediante el énfasis puesto en la calidad de la información en que se basa la evaluación. Asimismo, es ampliamente recomendable realizar la evaluación en talleres o sesiones de trabajo grupales multidisciplinarias, donde se cuente con la participación de múltiples actores que puedan aportar perspectivas diferentes y opiniones expertas.
Software para administración eficaz de ISO 9001 / 14001 / 45001 / 50001 / 31000
El Análisis del Riesgo puede llevarse a cabo con diferentes grados de detalle y complejidad, los que se establecen de acuerdo con aspectos tales como el propósito del análisis, la disponibilidad y la confiabilidad de la información, o los recursos disponibles.
Pero de manera independiente del grado de detalle y complejidad, el Análisis del Riesgo debería considerar factores tales como:
Probabilidad de los eventos y sus consecuencias
Naturaleza y magnitud de las consecuencias
Factores relacionados con el tiempo y la volatilidad
Eficacia de controles existentes
Niveles de sensibilidad y de confianza.
CÓMO IDENTIFICAR Y ANALIZAR RIESGOS DE MANERA EFICAZ
Técnicas para identificación y análisis de riesgos
Las técnicas para identificar y analizar el riesgo usualmente hacen uso del conocimiento y la experiencia de una variedad de partes interesadas, y toman en cuenta los siguientes aspectos:
La incertidumbre existente y sus posibles efectos;
Las circunstancias o problemas (tangibles o intangibles) que tienen el potencial de consecuencias futuras;
Las fuentes de riesgo actuales y futuras;
Eficacia de los controles actuales;
Qué, cómo, cuándo, dónde y por qué pueden ocurrir eventos y consecuencias;
Qué ha sucedido en el pasado y cómo esto podría relacionarse razonablemente con el futuro;
Aspectos humanos y factores organizativos que pueden resultar aplicables.
También, y tal como ocurre en el caso de la categorías de riesgos, las técnicas para identificación y análisis de riesgos también son variadas y es la propia organización la que debe definir cuáles son las que más se adecuan a sus necesidades.
Entre estas técnicas para identificación y análisis de riesgos, se pueden incluir:
Métodos basados en evidencia, como revisiones de la literatura y análisis de datos históricos
Métodos empíricos, que incluyen pruebas y modelos para identificar lo que podría suceder en circunstancias particulares
Encuestas de percepción, que analizan las opiniones de una amplia gama de personas experimentadas o con el conocimiento suficiente
Técnicas en las que el tema que se está considerando se divide en elementos más pequeños, cada uno de los cuales se considera a su vez utilizando métodos que plantean preguntas hipotéticas, como por ejemplo los métodos FMEA o HAZOP.
Técnicas para fomentar el pensamiento imaginativo sobre las posibilidades del futuro, como el análisis de escenarios
Listas de verificación y clasificaciones basadas en datos pasados o modelos teóricos
En términos generales, las listas de verificación y clasificaciones son un tipo de técnicas ampliamente difundido, y se utilizan durante la evaluación de riesgos de diversas formas, como para ayudar a comprender el contexto, identificar el riesgo y agrupar los riesgos para diversos fines durante el análisis.
Tienen mucha utilidad también en la gestión de riesgos, por ejemplo, para clasificar controles y tratamientos, para definir responsabilidades, o para informar y comunicar los riesgos.
Listas de verificación y clasificaciones basadas en datos pasados o modelos teóricos se pueden diseñar para aplicarlas a nivel estratégico u operativo, y es posible aplicarlas mediante la elaboración de cuestionarios, entrevistas, talleres estructurados o combinaciones de los tres, en forma presencial o remota.
Entre las técnicas para identificación y análisis de riesgos que más ampliamente se utilizan a nivel estratégico, se pueden mencionar las siguientes:
Análisis FODA
El Análisis FODA identifica factores en el contexto interno y externo para ayudar a establecer objetivos y las estrategias para lograrlos tomando en cuenta el riesgo. Su nombre viene dado por las iniciales de los elementos que conforman la Matriz de análisis:
Fortalezas (factores positivos con los que se cuenta).
Oportunidades (aspectos positivos que podemos aprovechar utilizando nuestras fortalezas).
Debilidades (factores negativos que se deben eliminar o reducir).
Amenazas (aspectos negativos externos que podrían obstaculizar el logro de nuestros objetivos).
¿Qué es una matriz FODA?
Es una herramienta de análisis que puede ser aplicada a cualquier objeto de estudio en un determinado momento.
Permite obtener un cuadro de la situación actual del objeto de estudio, útil para la toma de decisiones, por lo que se aconseja que se realicen análisis sucesivos.
Objetivo de la matriz FODA
El objetivo de la Matriz FODA consiste en evaluar el equilibrio entre los recursos y las capacidades internas de una organización y las oportunidades y amenazas externas.
Resultado de la matriz FODA
El resultado del Análisis FODA es punto de referencia para crear las estrategias pertinentes, esto genera un modelo de negocio específico de acuerdo a los recursos y capacidades disponibles de la organización que se adapta al contexto en el que opera la empresa.
Se considera que los factores positivos y negativos, tanto dentro como fuera de la empresa, afectan a su éxito.
El análisis ayuda a visualizar la tendencias de cambios (presentes y futuros) en el contexto que podrían beneficiar el proceso de toma de decisiones de cualquier organización.
Análisis PESTLE
PESTLE, STEEP, STEEPLED, etc. son siglas que representan tipos de factores a considerar al establecer el contexto o identificar riesgos. Las letras representan las diferentes naturalezas de los factores a considerar:
Político
Económico
Social
Tecnológico
Legal
Ético
Se pueden seleccionar categorías relevantes para la situación particular y desarrollar listas de verificación para ejemplos de cada categoría.
Técnica estructurada «What – if»
El análisis what if (¿qué pasaría si…?) se usa en la etapa preliminar de la gestión cuando se comienzan a identificar los riesgos. Este método consiste en programar reuniones con expertos que conozcan en detalle un proceso concreto. En la reunión inicial se plantean interrogantes para evidenciar riesgos futuros. Las reuniones siguientes son para encontrar causas, consecuencias y acciones.
El objetivo es plantear posibles desviaciones en las actividades planificadas, y analizar las posibles consecuencias.
Análisis preliminar de riesgos (APR)
Esta metodología resulta de utilidad para identificar posibles riesgos al inicio de un proyecto o proceso. Como es un análisis sistémico, se aborda cada fase de un proceso específico. Al dividirlo en sus partes, se pueden asociar los riesgos generales a las etapas particulares. Se trata de un método inductivo.
Las categorizaciones generales de riesgo incluyen:
Análisis de fuente de riesgo: por ejemplo precios de mercado, incumplimiento de la contraparte, fraude, peligros para la seguridad, etc .
Consecuencia, aspectos o dimensiones de objetivos o desempeño.
Método de los «5 Porqués»
El propósito de este método para gestionar el riesgo es reconocer la causa raíz de un evento. Por medio de preguntas repetitivas, se identifican los orígenes de un evento de riesgo.
Esta metodología de riesgos consiste en un trabajo grupal en el que se presenta el problema y se plantean preguntas que lleven a descifrar su causa raíz. El número de preguntas que se haga dependerá de la complejidad del evento que se está analizando.
FMEA (failure mode and effective analysis)
El método FMEA busca identificar, clasificar y eliminar anticipadamente las fallas de los proyectos o de los procesos de una empresa.
Este método para gestionar el riesgo comienza con la identificación de los errores. Luego estos se clasifican puntuando los riesgos según la frecuencia, la gravedad y la detección. Después de haberlos clasificado y priorizado, se establecen las fallas más graves, que se atienden de manera prioritaria.
Lista de chequeo
Las listas de chequeo sirven para que una organización se asegure de que se están implementando las acciones pertinentes para dar tratamiento a los riesgos.
Este registro de requisitos busca hacer seguimiento de los riesgos y de las recomendaciones de tratamiento. Al frente de cada una de las condiciones se seleccionan las casillas que corresponden a las tareas que ya se hicieron.
Debido a esa facilidad de uso, este método de listas de chequeo se destaca por brindar una gran ayuda a la toma de decisiones.
Diagrama de Ishikawa
Es una representación gráfica en forma de espina de pescado que permite identificar las causas que afectan un determinado problema en una forma cualitativa. Este método de análiais es conocido como Diagrama de Causa – Efecto, Diagrama Espina de Pescado o Diagrama de Iskikawa en homenaje al nombre de su creador.
Se utiliza para descubrir de manera sistemática la relación de causas y efectos que afectan a un determinado problema. Adicionalmente permite separar las causas en diferentes ramas o causas principales conocidas como las 5 M:
Métodos
Mano de Obra
Maquinaria
Materiales
Medio ambiente
Por medio de una lluvia de ideas o sesiones de creatividad, se intenta tener una mejor comprensión de las causas que originan una falla o un problema.
CÓMO SELECCIONAR TÉCNICAS PARA IDENTIFICACIÓN Y ANÁLISIS DE RIESGOS
Muchas de las técnicas mencionadas se desarrollaron originalmente para industrias particulares que buscan gestionar tipos particulares de resultados no deseados. Varias de las técnicas son similares, pero utilizan terminologías diferentes, lo que refleja su desarrollo independiente para un propósito similar en diferentes sectores.
Con el tiempo, la aplicación de muchas de las técnicas se ha ampliado, por ejemplo, extendiéndose desde aplicaciones de ingeniería técnica a situaciones financieras o administrativas, o para considerar resultados tanto positivos como negativos.
También han surgido nuevas técnicas y las antiguas se han adaptado a las nuevas circunstancias, de forma tal que tanto las técnicas como sus aplicaciones presentan una continua evolución.
Así, la organización debe seleccionar las técnicas para identificar y analizar los riesgos de forma tal que éstas cuenten con las siguientes características:
Ser justificable y apropiada a la situación o la organización.
Capaz de permitir la comprensión de la naturaleza del riesgo y como puede ser tratado.
Permitir su empleo en la empresa de una manera que resulte detectable, repetible y comprobable.
Entonces, estas técnicas se deben seleccionar sobre la base de factores tales como:
Objetivos del estudio.
Necesidades de funcionarios con poder de decisión.
Tipo de riesgos que están siendo analizados.
Magnitud potencial de las consecuencias.
Grado de experiencia, humano y otros recursos necesarios.
Disponibilidad de información y datos.
Capacidad de actualización de la evaluación de riesgo.
Orientación sobre Identificación y Análisis de Riesgos
Es posible que la consulta a los miembros de la propia organización no proporcione una comprensión suficiente y adecuada de los Riesgos, por lo que es recomendable recurrir a otras fuentes.
Un recurso habitual es prestar atención a organizaciones similares, y analizar estadísticas de la industria como ayuda para la Gestión de Riesgos.
También es factible consultar a un experto: una empresa de consultoría especializada en Gestión de Riesgos que ya ha realizado este tipo de trabajos puede representar una ayuda decisiva para definir y establecer un Mapa de Riesgos de manera efectiva, ahorrando tiempo y recursos de la organización.
Bibliografía:
ISO 31000:2018 – Gestión del Riesgos – Directrices
ISO IEC 31010:2019 – Risk management – Risk assessment techniques
¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?
Los negocios prosperan por tomar riesgos, pero fallan cuando los riesgos se gestionan de manera ineficaz.
Un Modelo adecuado de Gestión de Riesgos debe tener la capacidad de proporcionar información clave que le permita a tu organización enfrentar con éxito los desafíos que proponen los entornos inciertos, a fin de estar en condiciones de anticipar los problemas para resolverlos de manera eficiente y poder aprovechar las oportunidades cuando éstas se presenten.
La implementación eficaz de la Gestión de Riesgos necesita un proceso de cambio cultural que permita comprender que los responsables de los negocios son responsables, de manera colaborativa, de sus riesgos asociados, favoreciendo un manejo integrado de los negocios y sus riesgos asociados.
CONSULTORIA SOBRE GESTIÓN DE RIESGOS
Calidad & Gestión brinda el Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos con el objetivo de que tu organización pueda controlar el impacto de eventuales riesgos que pueden afectar a su organización, permitiendo administrar su incertidumbre y tomar decisiones considerando aspectos que no son fácilmente visibles.
A través de nuestro Servicio de Consultoría de Gestión de Riesgos, obtendrás respuestas a preguntas tales como:
¿Cuáles riesgos pueden impedir el logro de la estrategia?
¿Cuáles riesgos pueden representar oportunidades?
¿Cuál es la probabilidad de ocurrencia y el impacto de estos riesgos?
¿Qué tratamiento van a recibir?
Solicita nuestro Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos completando nuestro formulario.
USO DE SOFTWARE PARA SISTEMAS DE GESTION
Para aumentar la probabilidad de implementar de manera exitosa un Sistema de Gestión Ambiental, Gestión de la Calidad, de Salud y Seguridad Ocupacional, Gestión de la Energía, entre otros según estándares internacionales ISO 9001, ISO 14001, ISO 45001, ISO 50001, muchas organizaciones recurren a la automatización de las actividades.
El mercado actual presenta una gran variedad de soluciones informáticas, por lo que resulta sumamente importante efectuar una correcta elección, no solo de la herramienta, sino también de su tipo, es decir, diferenciando entre aplicaciones propietarias, desarrollos a medida y software as a service (software en la nube).
Así, y considerando que el Riesgo es el efecto de la incertidumbre sobre los objetivos, mediante un Mapa de Riesgos bien elaborado, una organización estará en condiciones de:
Anticiparse a los problemas para poder resolverlos de manera eficiente
Aprovechar las oportunidades cuando éstas se presenten
Un mapa de riesgos ayuda a las empresas a identificar y priorizar los riesgos asociados con sus negocios, al mejorar la comprensión de una organización de su perfil y apetito de riesgos, aclarar el pensamiento sobre la naturaleza y el impacto de los riesgos, y mejorar el modelo de evaluación de riesgos de la organización.
En términos generales, un Mapa de Riesgos a menudo consiste en un gráfico con dos ejes, en el cual se representan los conceptos de Probabilidad, Impacto y Nivel del riesgo (Probabilidad x Impacto) asociados a cada riesgo.
CÓMO ELABORAR MAPAS DE RIESGOS
Pero en realidad, al ver con más atención, este tipo de herramienta gráfica también aporta otra información acerca de cómo gestiona el riesgo una organización, ya que pueden interpretarse, entre otros, los siguientes aspectos:
Nivel de Riesgos
Criterios de Riesgos
Tolerancia al riesgo
Capacidad de riesgo
Consecuencias
Un Mapa de Riesgos se considera un componente crítico de la gestión de riesgos empresariales porque ayuda a determinar los riesgos que requieren más atención.
PASOS A SEGUIR PARA ELABORAR UN MAPA DE RIESGOS
Un Mapa de Riesgos es el resultado gráfico de la Evaluación del Riesgo, el cual a su vez constituye un proceso global de:
Identificación del Riesgo
Análisis del Riesgo
Valoración del Riesgo
La identificación de los riesgos inherentes es el primer paso para crear un mapa de riesgos.
El propósito de la identificación del riesgo es encontrar, reconocer y describir los riesgos que pueden ayudar o impedir a una organización lograr sus objetivos. Para la identificación de los riesgos es importante contar con información pertinente, apropiada y actualizada.
Los riesgos se pueden dividir en múltiples categorías, de acuerdo a las necesidades de cada organización, como por ejemplo riesgo estratégico, riesgo de cumplimiento, riesgo operacional, riesgo financiero, riesgo de reputación, etc.
Una buena estrategia para identificar los riesgos para el negocio consiste en revisar plan de negocio y determinar de qué no se podría prescindir, y qué tipo de incidentes podrían afectar las distintas áreas.
También, una práctica que puede resultar de utilidad para identificar riesgos es que en la organización se planteen las siguientes preguntas:
¿Cuándo, dónde, por qué y cómo es probable que sucedan riesgos en el negocio?
¿Existen riesgos internos?
¿Existen riesgos externos?
¿Quién podría estar involucrado o afectado si ocurre un incidente?
¿Cómo afecta la pérdida de la fuente de alimentación?
¿Y si no se cuenta con acceso a internet?
¿Es posible que los documentos clave para la organización sean destruidos?
¿Cómo se hace la toma de decisiones ante la renuncia de uno los mejores miembros del personal?
¿Los proveedores tienen capacidad suficiente?
¿Qué ocurre si se bloquean las carreteras y comunicaciones?
El próximo paso en el mapeo de riesgos consiste en desarrollar el Análisis del riesgo, cuyo propósito es comprender la naturaleza del riesgo y sus características incluyendo, cuando sea apropiado, el nivel del riesgo:
Nivel de riesgo = impacto x probabilidad
Esto implica una consideración detallada de incertidumbres, fuentes de riesgo, consecuencias, probabilidades, eventos, escenarios, controles y su eficacia. Un evento puede tener múltiples causas y consecuencias y puede afectar a múltiples objetivos.
CÓMO ELABORAR MAPAS DE RIESGOS
Para analizar un riesgo, se debe determinar la probabilidad de que ocurra y las consecuencias que tendría el impacto del riesgo que ha identificado.
Ejemplo de escala de Probabilidad:
Grado probabilidad 4 «Muy probable»: Sucede más de una vez al año en esta industria.
Grado probabilidad 3 «Probable»: Sucede aproximadamente una vez al año en esta industria.
Grado probabilidad 2 «Improbable»: Ocurre cada 10 años o más en esta industria.
Grado probabilidad 1 «Muy improbable»: No ha sucedido ninguna vez en esta industria.
Ejemplo de escala de Impacto
Tipo de impacto 4 «Grave»: Pérdidas financieras superiores a USD 100.000
Tipo de impacto 3 «Alto»: Pérdidas financieras entre USD 50.000 y USD 100.000
Tipo de impacto 2 «Moderado»: Pérdidas financieras entre USD 10.000 y USD 50.000
Tipo de impacto 1 «Bajo»: Pérdidas financieras de menos de USD 10.000
Software para administración eficaz de ISO 9001 / 14001 / 45001 / 50001 / 31000
Una vez analizados los riesgos que fueron identificados, el paso siguiente en la construcción del Mapa de Riesgos corresponde a la Valoracióndel riesgo, cuyo propósito es apoyar a la toma de decisiones.
La valoración del riesgo implica comparar los resultados del análisis del riesgo con los criterios del riesgo establecidos para determinar cuándo se requiere una acción adicional.
Ejemplo de escala de valoración de riesgos
Riesgo Crítico: Necesita tratamiento en forma inmediata
Riesgo Alto: Necesita tratamiento dentro de 1 mes
Riesgo Medio: Necesita tratamiento dentro de los próximos 3 meses
Riesgo Bajo: Actualmente no requiere tratamiento
Desde luego, estas escalas son indicativas y pueden cambiar de una empresa a otra dependiendo, por ejemplo, de la dinámica de la industria o de las características específicas de cada organización.
Se debería tomar en consideración el área del gráfico que corresponde a una probabilidad muy baja de ocurrencia y un impacto muy alto, allí se ubican los eventos denominados «Cisnes Negros», término popularizado por Nassem Taleb en su famoso libro El cisne negro: el impacto de lo altamente improbable.
Un mapa de riesgos ofrece una visión integral de la probabilidad y el impacto de los riesgos de una organización, que ayuda a mejorar la gestión de riesgos al priorizar los esfuerzos que se deben efectuar.
Esta priorización de riesgos permite enfocar los recursos en los riesgos más potencialmente dañinos identificados en el Mapa de Riesgos.
Un mapa de riesgos también facilita la comunicación interna entre los diversos sectores de la organización sobre los riesgos inherentes a ésta. También ayuda a las distintas organizaciones a visualizar los riesgos en relación entre sí, y guía el desarrollo de una evaluación de control de cómo enfrentar los riesgos y las consecuencias de esos riesgos.
El mapa puede ayudar a la empresa a visualizar cómo los riesgos en una parte de la organización pueden afectar las operaciones de otra unidad de negocio dentro de la organización.
Un mapa de riesgos también agrega precisión a la estrategia de evaluación de riesgos de una organización e identifica brechas en los procesos de gestión de riesgos de una organización.
El Mapa de Riesgos proporciona información integrada sobre la exposición global de la organización, sintetiza el valor económico de los riesgos asumidos, y favorece la exploración de las fuentes de tales riesgos
Se comprende entonces que construir un mapa de riesgos trae valiosos beneficios:
Comprender el entorno de riesgo: La gestión de riesgos comienza con la creación de una lista de todos los riesgos que enfrenta su organización. Dependiendo de su industria, este número puede variar de unos pocos a cientos.
El mapeo de riesgos es beneficioso porque requiere que evalúe cada riesgo y sus causas y consecuencias individualmente. También le permite observar su entorno de riesgo en su conjunto y comprender cómo se comparan las frecuencias y la gravedad.
Finalmente, un mapa de riesgos es un elemento visual que cualquier persona de su organización puede usar para ver el panorama general de los riesgos más destacados en su industria o lugar de trabajo.
RECOMENDACIONES PARA CONSTRUIR UN MAPA DE RIESGOS
CÓMO ELABORAR MAPAS DE RIESGOS
Involucrar al personal de la organización – Comité de Riesgos
Elaborar un Mapa de Riesgos requiere obtener y analizar información de diversas perspectivas de la organización, razón por la cual no es un proceso que deba ser realizado por una única persona, sino que se requiere de la participación de las personas que se desempeñan en las diversas actividades de la empresa, y que por lo tanto son las que conocen los riesgos asociados a éstas.
Definir un Comité de Riesgos, compuesto por personas que representan a las diversas áreas de la organización, es una adecuada iniciativa para asegurar el involucramiento del personal.
Entre las funciones más relevantes del Comité de Riesgos se pueden mencionar las siguientes:
Elaborar el Mapa de Riesgos.
Revisar, aprobar y recomendar los límites de exposiciones al riesgo.
Fijar límites y facultades para la toma de riesgos.
Asegurarse de que el perfil de riesgo de la organización esté acorde con los lineamientos establecidos por la Alta Dirección.
Verificar el desarrollo de un plan de contingencia.
Establecer políticas de riesgo para la organización.
Verificar el desempeño y la mejora de la Gestión del Riesgo.
Asegurarse de que la Alta Dirección cuente con la información sobre Riesgos necesaria para asegurar el éxito de la organización.
Promover el cumplimiento de los lineamientos sobre riesgos definidos por la organización.
Efectuar el monitoreo periódico del Mapa de Riesgos.
Definir Contextos para identificar los riesgos
A fin de identificar los riesgos para la organización de manera efectiva, una práctica recomendable consiste en definir diversos contextos a partir de los cuales se efectuará la identificación de los riesgos.
Algunos ejemplos de contextos son los siguientes:
Contexto Estratégico: Se define como la relación existente entre la organización y su entorno, la cual debe ser valorada a partir de la matriz FODA. En este contexto, también deben ser identificados todas las partes interesadas de la organización, tanto internas como externas.
Contexto Organizacional: Este contexto hace referencia a la definición de las políticas, objetivos y metas de la organización. La importancia de tener claramente definidos los objetivos radica en poder relacionarlos con los eventos de riesgo y así conocer el impacto que podría tener para la organización la materialización de un evento de riesgo.
Contexto Operativo: A escala a procesos o actividades se debe establecer para estas últimas los eventos de riesgo que pueden generar incertidumbre en el cumplimento de sus objetivos.
Comprensión de cada riesgo
La etapa de evaluación de cada riesgo debe contar con una sólida comprensión del negocio y de cómo los riesgos pueden afectar la capacidad para continuar con las operaciones, o representar oportunidades para la organización.
Cada área de la empresa debe analizar los procesos y procedimientos para establecer cómo pueden ser afectados por los riesgos identificados y describir cada uno de ellos para conocer sus posibles consecuencias, esto promueve el trabajo en equipo de la organización, hay mayor nivel de responsabilidad y colaboración, así como toma de conciencia.
También es importante ser coherente en la forma en que clasifica cada riesgo en términos de frecuencia y gravedad para que el producto final sea una descripción clara de cómo se comparan los riesgos entre sí.
Orientación sobre Gestión de Riesgos
Es posible que la consulta a los miembros de la propia organización no proporcione una comprensión suficiente y adecuada de los Riesgos, por lo que es recomendable recurrir a otras fuentes.
Un recurso habitual es prestar atención a organizaciones similares, y analizar estadísticas de la industria como ayuda para la Gestión de Riesgos.
También es factible consultar a un experto: una empresa de consultoría especializada en Gestión de Riesgos que ya ha realizado este tipo de trabajos puede representar una ayuda decisiva para definir y establecer un Mapa de Riesgos de manera efectiva, ahorrando tiempo y recursos de la organización.
Monitoreo del Mapa de Riesgos
Una vez creado y establecido el Mapa de Riesgos, éste representa una gran ayuda para administrar y mitigar los riesgos, pero es importante recordar que el panorama de riesgos cambia constantemente.
Así, es una actividad muy relevante revisar de manera periódica los análisis efectuados sobre riesgos, para verificar si el estado de los riesgos existentes ha cambiado y por lo tanto deben realizarse modificaciones en el mapa.
Al hacerlo, se asegura que el Mapa de Riesgos continúe siendo una herramienta útil y constante para la Gestión de Riesgos.
Bibliografía:
ISO 31000:2018 – Gestión del Riesgos – Directrices
¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?
Los negocios prosperan por tomar riesgos, pero fallan cuando los riesgos se gestionan de manera ineficaz.
Un Modelo adecuado de Gestión de Riesgos debe tener la capacidad de proporcionar información clave que le permita a tu organización enfrentar con éxito los desafíos que proponen los entornos inciertos, a fin de estar en condiciones de anticipar los problemas para resolverlos de manera eficiente y poder aprovechar las oportunidades cuando éstas se presenten.
La implementación eficaz de la Gestión de Riesgos necesita un proceso de cambio cultural que permita comprender que los responsables de los negocios son responsables, de manera colaborativa, de sus riesgos asociados, favoreciendo un manejo integrado de los negocios y sus riesgos asociados.
CONSULTORIA SOBRE GESTIÓN DE RIESGOS
Calidad & Gestión brinda el Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos con el objetivo de que tu organización pueda controlar el impacto de eventuales riesgos que pueden afectar a su organización, permitiendo administrar su incertidumbre y tomar decisiones considerando aspectos que no son fácilmente visibles.
A través de nuestro Servicio de Consultoría de Gestión de Riesgos, obtendrás respuestas a preguntas tales como:
¿Cuáles riesgos pueden impedir el logro de la estrategia?
¿Cuáles riesgos pueden representar oportunidades?
¿Cuál es la probabilidad de ocurrencia y el impacto de estos riesgos?
¿Qué tratamiento van a recibir?
Solicita nuestro Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos completando nuestro formulario.
USO DE SOFTWARE PARA SISTEMAS DE GESTION
Para aumentar la probabilidad de implementar de manera exitosa un Sistema de Gestión Ambiental, Gestión de la Calidad, de Salud y Seguridad Ocupacional, Gestión de la Energía, entre otros según estándares internacionales ISO 9001, ISO 14001, ISO 45001, ISO 50001, muchas organizaciones recurren a la automatización de las actividades.
El mercado actual presenta una gran variedad de soluciones informáticas, por lo que resulta sumamente importante efectuar una correcta elección, no solo de la herramienta, sino también de su tipo, es decir, diferenciando entre aplicaciones propietarias, desarrollos a medida y software as a service (software en la nube).
Calidad & Gestion - Consultoría para Empresas 