¿Qué es la gestión de riesgos? Aspectos básicos que debe conocer

¿Qué es el análisis de riesgos?

Los riesgos pueden deberse tanto a influencias internas como externas. Los riesgos internos surgen de la toma de decisiones, mientras que los externos están causados por condiciones del entorno sobre las que la organización no puede influir (como las condiciones del mercado).

El análisis de riesgos es el proceso de evaluar la probabilidad de que se produzca un acontecimiento adverso, como el fracaso de un proyecto. El proceso le ayuda a identificar y gestionar posibles problemas que podrían socavar sus objetivos empresariales. La principal razón para realizar un análisis de riesgos es identificar lo que podría salir mal y, a continuación, implantar controles para reducir la incertidumbre a un nivel aceptable.

Si se realiza correctamente, el análisis de riesgos ayuda a comprender la probabilidad de que se cumplan los plazos y los costes previstos; contribuye a informar e influir en la toma de decisiones; y ayuda a determinar el nivel de contingencia necesario.

El análisis de riesgos puede ser complejo, pero puede ayudarle a ahorrar tiempo y dinero a largo plazo.

Importancia de la gestión de riesgos

¿Cuáles son las ventajas de una gestión eficaz de los riesgos? Hay bastantes. En general, conduce a un entorno de trabajo seguro, mejora la estabilidad de su empresa y protege a su organización y a su personal de posibles daños. ¿Cómo?

Detectar riesgos que no son aparentes

Las prácticas integrales de gestión de riesgos pueden ayudarle a identificar riesgos reales que pueden no ser obvios a primera vista. Al conocer el rendimiento de los distintos proyectos, puede asegurarse de que su organización detecta los que pueden tener problemas y mantenerse al tanto de los controles de salud, las revisiones inter pares y las auditorías.

Menos sorpresas y mejor comunicación

Cuando se trata de riesgos, a nadie le gustan las sorpresas. Detectar los problemas potenciales en una fase temprana significa que las personas adecuadas pueden intervenir a tiempo y mitigar el riesgo. Gestionar los riesgos antes de que se materialicen y sea necesario combatirlos hace que su organización funcione sin problemas y con mayor eficacia.

Una buena gestión de riesgos también eleva la comunicación: fomenta la conversación entre las principales partes interesadas y los equipos. Provoca debates sobre posibles causas de conflicto, lo que fortalece las relaciones laborales entre los equipos.

Mejor toma de decisiones y presupuestación

La gestión de riesgos le permite acceder a mejores datos e información útil, lo que a su vez conduce a una mejor toma de decisiones. Esto afecta directamente a la presupuestación: los presupuestos para imprevistos pueden calcularse con mayor precisión cuando se conocen mejor los riesgos potenciales. La gestión de riesgos es esencial para la planificación de costes y puede ayudarle a evitar errores de presupuestación.

[bctt tweet="La gestión de riesgos permite acceder a mejores datos e información útil, lo que a su vez conduce a una mejor toma de decisiones." via="no"]

Estrategias y procesos de gestión de riesgos:

Establecer el contexto

El primer paso en el proceso de gestión de riesgos es establecer el contexto, ya que así se crean los criterios con los que se evaluarán los riesgos. El alcance debe establecerse dentro de los objetivos de su organización. Estos objetivos deben establecerse claramente, ya que los riesgos son las incertidumbres que pueden afectar a la consecución de sus objetivos empresariales.

La selección de sus objetivos empresariales debe hacerse evaluando los factores internos y externos que pueden afectar a su organización. Revisarlos al principio de la planificación de la evaluación de riesgos le ayuda a identificar los procesos que pueden estar sujetos a mayores riesgos. Estos son los procesos que extraerán el mayor valor de la evaluación de riesgos.

Identificar el riesgo

La identificación exhaustiva de los principales riesgos es crucial para una gestión eficaz de los mismos. Si no se identifica un riesgo potencial, quedará excluido de cualquier análisis posterior y prestarle una atención inadecuada podría ser desastroso. Para identificar eficazmente los riesgos hay que seguir unos cuantos pasos:

1. Identificar lo que podría ocurrir, y dónde y cuándo podría ocurrir

Basándose en el último paso, establecer el contexto, debe elaborar una lista de riesgos potenciales que podrían interferir en la consecución de los objetivos empresariales elegidos. Utiliza términos cualitativos para describir el riesgo, incluso si llegara a producirse. Algunas frases para empezar son "fallo en..." o "pérdida de...", pero no incluya la consecuencia del riesgo, simplemente identifíquelo. Hágase algunas preguntas que le ayuden a identificar el riesgo, como por ejemplo

• • ¿Cómo podríamos fracasar?
  • ¿Dónde somos vulnerables?
  • ¿Qué podría salir mal?
  • ¿Cómo podría alguien interrumpir nuestras operaciones?
  • ¿Cómo sabemos si estamos logrando nuestros objetivos?
  • ¿En qué información confiamos más?
  • ¿En qué gastamos más dinero?
  • ¿Qué actividades son las más complejas?

2. Identificar por qué y cómo podría ocurrir

Ahora hay que considerar las posibles causas y consecuencias de cada riesgo.

Identifique los posibles desencadenantes del riesgo: un riesgo identificado puede tener una sola causa o varias. Diferentes riesgos también pueden tener la misma causa.

Ahora, identifique las posibles consecuencias de cada evento de riesgo - de nuevo, un único riesgo identificado puede tener sólo una consecuencia, o puede tener múltiples. Diferentes riesgos pueden tener la misma consecuencia.

Hay varias técnicas diferentes que puede utilizar para este paso. Puede optar por una identificación continua de los riesgos, en la que cualquiera puede identificarlos, o por una evaluación de riesgos basada en la documentación. Esta última es una buena opción para procesos bastante sencillos, y consiste en debatir y evaluar los riesgos con las personas que intervienen en el funcionamiento cotidiano del proceso seleccionado.

Análisis y evaluación de riesgos

Los riesgos son básicamente incertidumbres sobre los resultados. Hay que considerar la probabilidad de que se produzca el evento de riesgo y el posible alcance de sus consecuencias. Basándose en el análisis del riesgo, se le asigna una calificación. El análisis suele incluir:

• Analizar los riesgos inherentes (¿cuál es la probabilidad y la consecuencia del evento de riesgo si se produjera en un entorno no controlado?)
• Identificación y evaluación de los controles (¿qué controles existen para hacer frente al riesgo y cuál es su eficacia?).
• Analizar los riesgos residuales (¿cuál es la probabilidad y la consecuencia del evento de riesgo si se produjera en el entorno actual?)

La evaluación de riesgos permite conocer los principales riesgos empresariales y su relación con los objetivos y procesos de la organización. Hay que desarrollar los criterios que se utilizarán para evaluar los riesgos: se trata de algo subjetivo, por lo que resulta productivo que varias partes interesadas se cuestionen mutuamente. Examinemos estos pasos con más detalle:

Analizar los riesgos inherentes

Este análisis se lleva a cabo antes de examinar los controles existentes, lo que ayuda a comprender el papel de los controles en la reducción del riesgo. Para cada riesgo, pregúntese

• ¿Qué probabilidad hay de que se produzca el riesgo si no se aplican controles?
• ¿Cuál es el alcance de la consecuencia probable si el riesgo se produjera sin controles?

Identificación y evaluación de controles

Los controles son todas las medidas adoptadas para reducir la probabilidad de que se produzca un riesgo o sus consecuencias. Pregunte por cada riesgo:

• ¿Cuál es el control existente? Puede ser el proceso, la política o la acción que puede utilizarse para cambiar la probabilidad o las consecuencias del evento de riesgo. Si no hay nada, existe una laguna de control.
• ¿Cuál es la eficacia del control? Esto incluye su diseño y su funcionamiento.

Analizar los riesgos residuales

Este paso consiste en evaluar el riesgo una vez que se han tenido en cuenta los controles. Para cada riesgo, pregúntese:

• ¿Qué probabilidad hay de que se produzca el riesgo en el entorno actual? Esto debe hacerse después de revisar la eficacia de los controles.
• ¿Cuál es la consecuencia más probable del evento de riesgo si se produjera en el entorno actual? Esto debe suponer que los controles funcionan con la intensidad esperada.

Basándose en estos factores, debe obtener una calificación global de los riesgos residuales.

• Evitar la actividad que provoca el evento de riesgo, eligiendo en su lugar una actividad diferente.
• Reducir la probabilidad o las consecuencias del evento de riesgo a un nivel aceptable.
• Compartir o transferir el riesgo a otro tercero.
• Aceptar la clasificación de riesgo (el coste puede ser superior a los beneficios del tratamiento). Si se acepta el riesgo, considerar un seguimiento continuo.

Seguimiento y revisión

La gestión de riesgos es un proceso continuo que requiere seguimiento y revisiones constantes. Los resultados deben registrarse e informarse tanto interna como externamente, lo que también debe añadirse a la revisión de su marco de gestión de riesgos.

A medida que vaya revisando los riesgos, asegúrese de anotar cualquier cambio en su estado. Puede tratarse de cambios debidos a la mejora de los controles, a la identificación de nuevos riesgos o a infracciones de los controles.

El marco de gestión de riesgos debe revisarse periódicamente para garantizar una mejora continua.