Herramientas para el seguimiento y tratamiento de riesgos

En esta sesión Liliana Silva, Business Development Representative, nos enseña los principios de la ISO 31000:2018, los principios básicos para la Gestión de Riesgos, estrategias de respuesta al riesgo que se pueden tomar después de la evaluación, las amenazas o riesgos negativos - positivos y las herramientas para el seguimiento y tratamiento de riesgos.

HERRAMIENTAS PARA EL SEGUIMIENTO Y TRATAMIENTO DE RIESGOS

Tanto el seguimiento como el plan de respuesta a riesgos se deben revisar periódicamente. Esto es debido a que la gestión de riesgos es una tarea siempre vigente porque estos son dinámicos. Siempre tenemos que estar alerta ante la aparición de nuevos riesgos, al cambio de algunos de ellos, y, algunas veces, a la extinción de otros.

En este proceso cíclico, el plan de respuesta a riesgos debe atender a los resultados de la evaluación, que, a su vez, se fundamentan en la identificación precedente. Y reaccionar en consecuencia de modo proporcionado.

Principios de la ISO 31000:2018

Antes de ver cómo implantar un Sistema de Gestión basado en esta norma, debemos tener claro cuáles son los principios en los que se basa. La norma ISO 31000 se basa en 8 principios que definen el alcance de la gestión de riesgos dentro de la organización, la forma en que debe realizarse esa gestión y el objetivo que se persigue con la gestión de riesgos.

Principios Básicos para la Gestión de Riesgos

- Integrada: es parte integral de todas las actividades de la organización.

- Estructurada y exhaustiva: este enfoque contribuye a resultados coherentes y comparables.

- Adaptada: El marco de referencia y el proceso de la gestión del riesgo se adaptan y son proporcionales a los contextos externo e interno de la organización relacionados con sus objetivos.

- Inclusiva: La participación apropiada y oportuna de las partes interesadas permite que se consideren su conocimiento, puntos de vista y percepciones. Esto resulta en una mayor toma de conciencia y una gestión de riesgo informada.

- Dinámica: Los riesgos pueden aparecer, cambiar o desaparecer con los cambios del contexto. La gestión del riesgo anticipa, detecta, reconoce y responde a esos cambios y eventos de una manera apropiada y oportuna.

- Mejor información disponible: Las entradas a la gestión del riesgo se basan en información histórica y actualizada, así como en expectativas futuras, se tiene en cuenta cualquier limitación e incertidumbre asociada con tal información y expectativas. La información debería ser oportuna, clara y disponible para las partes interesadas.

- Factores humanos y culturales: influyen considerablemente en todos los aspectos de la gestión del riesgo en todos los niveles y etapas.

- Mejora continua: proceso recurrente de optimización mediante aprendizaje y experiencia.

Estrategias de respuesta al riesgo que se pueden tomar después de la evaluación

Las estrategias de respuesta al riesgo que se explican a continuación son adoptadas generalmente a nivel internacional, dentro del procedimiento de gestión de todo tipo de riesgos. Los profesionales experimentados en el área de riesgos las conocen y dominan su aplicación.

Amenazas o Riesgos Negativos

• EVITAR: Eliminar o evitar un riesgo significa desaparecer desde el origen cualquier factor, elemento, condición o circunstancia que desencadena la amenaza. La eliminación, generalmente, implica eliminar algo: un proceso, un componente, un material, un proveedor…
• TRANSFERIR: Mitigar, reducir, minimizar, son entre otros sinónimos utilizados de forma recurrente en Gestión de Riesgos. La reducción se explica en dos sentidos: se puede reducir la probabilidad de que el riesgo ocurra o se puede mitigar el impacto negativo en el evento de que el riesgo se presente.
• MITIGAR: Transferir el riesgo significa trasladar el impacto negativo a un tercero. Si un proceso es la causa raíz de un riesgo, y ese proceso no se puede eliminar, entonces resulta sensato pensar en subcontratarlo para que otra organización u otras personas se expongan a la amenaza.
• ACEPTAR: La aceptación del riesgo es una opción adecuada para eventos que no tienen un alto poder lesivo o cuya ocurrencia es poco probable. Usualmente, se decide aceptar un riesgo así, porque el coste de la eliminación es muy alto en comparación con la probabilidad o el impacto negativo.

Oportunidades o Riesgos Positivos

• EXPLOTAR: Eliminar la incertidumbre asociada con un riesgo positivo particular, asegurando que la oportunidad definitivamente se concrete.
• COMPARTIR: Asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del Proyecto.
• MEJORAR: Aumentar la probabilidad y/o los impactos positivos de una oportunidad.
• ACEPTAR: Tener la voluntad de tomar ventaja de ella si se presenta, pero sin buscar la manera activa.

Herramientas para el Seguimiento

1. ¿Qué son los KRI?

Los indicadores claves de riesgo, KRI por sus siglas en inglés (Key Risk Indicators), son variables que ofrecen información sobre alguno de los componentes de un riesgo en particular para determinar su potencial y de esta forma, poder tomar decisiones oportunas que ayuden a corregir posibles desviaciones que interfieren en el logro de los objetivos.

Los KRI pueden ser cualitativos o cuantitativos, además, deben estar alineados con el apetito de riesgo de la organización, es decir, la cantidad de riesgo que está dispuesta a aceptar, y deben considerar factores de riesgo internos y externos.

2. ¿Por qué son importantes los KRI?

En la gestión de riesgos es importante definir e incorporar KRI porque:

• Proporcionan información útil sobre los riesgos emergentes y potenciales que pueden impactar en los objetivos estratégicos de la organización.
• Ayudan a identificar y anticipar problemas que se pueden presentar interna o externamente, así como oportunidades futuras.
• Permiten realizar un monitoreo constante y mitigar los posibles eventos de riesgo que se presenten al aplicar medidas oportunas para disminuir su impacto.
• Facilitan el proceso de generación de informes y el escalamiento de los riesgos.

3. ¿Qué características deben tener los KRI?

Para una adecuada gestión de riesgos con KRI es recomendable que estos indicadores sean:

• Efectivos, es decir, que ofrezcan información relevante para la toma oportuna de decisiones y que además sean medibles, por eso es clave que incluyan valores absolutos, proporciones y datos que permitan reducir la subjetividad.
• Comparables, deben ser cuantificados a partir de montos o porcentajes y considerar valores para ver su evolución en el tiempo.
• Fáciles de usar, Los KRI deben comunicarse oportuna y claramente a todos los miembros de la organización, por eso es importante definirlos de forma detallada y especificar cómo deben ser medidos.