Guía para realizar la evaluación de riesgos
Contar con un proceso de evaluación de riesgos es clave para identificar oportunamente las amenazas que pueden obstaculizar el cumplimiento de los objetivos de tu organización.
Introducción
La evaluación de riesgos permite a las empresas adoptar medidas y tomar decisiones enfocadas en cumplir los objetivos establecidos.
Este es un proceso interno fundamental porque permite detectar los riesgos que se podrían materializar y de qué manera estos afectarían el normal desarrollo de las actividades.
El objetivo de esta evaluación es conocer las características de la amenaza y su origen, teniendo en cuenta la probabilidad de ocurrencia, el nivel de impacto y escenarios en los que se pueda presentar.
En este especial podrás encontrar toda la información relacionada sobre las etapas y procesos que debes llevar a cabo para realizar una adecuada evaluación de los riesgos que pueden presentarse en tu compañía.¿Cómo utilizar esta guía?
Esta guía la desarrollamos para brindarte información general acerca de la importancia de la evaluación de riesgos dentro de un sistema de gestión de riesgos.
A continuación presentamos los aspectos más importantes que debes tener en cuenta para lograr un adecuado análisis a partir de los pasos que debes seguir para poder ejecutarlo de manera eficiente.
La guía está dividida en ocho ítems que te servirán para hacer la evaluación de riesgos en tu organización.
¿Cómo realizar la evaluación de riesgos?
Teniendo como referente la norma internacional ISO 31000, existen cuatro pasos básicos que debes seguir para realizar una evaluación de riesgos:
1. Identificación de riesgos
Como su nombre lo indica, en esta etapa se deben identificar los posibles riesgos, tanto internos como externos, a los que está enfrentada la empresa. Pueden ser vistos como algo positivo en la medida en que pueden contribuir al mejoramiento de ciertas actividades o negativo porque pueden afectar de manera directa el cumplimiento de los objetivos. Para esto hay que contar con toda la información necesaria y actualizada de la empresa.
Una vez se cuenten con todos los recursos, lo siguiente es llevar a cabo el análisis de todos los escenarios para comenzar a reconocer las amenazas que se pueden presentar.
Se deben tener en cuenta los siguientes aspectos:
- ¿Qué genera el riesgo? Ya sea tangible o intangible.
- Causas y eventos.
- DOFA (debilidades, oportunidades, fortalezas y amenazas).
- Contexto interno y externo.
- Cambios que se pueden generar.
- Indicadores de cada riesgo.
- Activos y recursos de la empresa.
- Acceso a la información.
- Mitos, sesgos y suposiciones de las partes interesadas.
2. Análisis de riesgos
Después de identificar los riesgos, el siguiente paso en la evaluación es analizarlos. Este análisis puede realizarse teniendo en cuenta diferentes grados de detalle y complejidad, esto depende de qué es lo que se quiere lograr con el análisis. Por otro lado es importante conocer la disponibilidad, la confiabilidad de la información y los recursos.
Para este análisis comúnmente se aplican técnicas cualitativas, cuantitativas o ambas, esto ya depende de cada empresa directamente.
Para realizar este análisis es clave tener en cuenta:
- La probabilidad de que pueda ocurrir y la consecuencias que traería.
- El origen e impacto de las consecuencias.
- La complejidad e interconexión.
- La eficacia y eficiencia de los controles establecidos.
- El nivel de sensibilidad y confianza.
3. Valoración de riesgos
Este paso es fundamental porque contribuye directamente a la toma de decisiones. Cuando hablamos de valoración nos referimos a la comparación que se hace con los resultados obtenidos en el análisis y los criterios que se establecieron para cada riesgo con el fin de determinar cuándo se necesita poner en marcha un plan adicional.
Las decisiones que esto pueden llevar son:
- Optar por no hacer nada más.
- Llevar a cabo un nuevo análisis para entender más a fondo el riesgo.
- Continuar implementando los controles ya establecidos.
- Redefinir los objetivos.
4. Tratamiento de riesgos
Elegir las mejores opciones para el tratamiento de los riesgos depende del balance que se haga entre los beneficios que se generan por el logro de objetivos frente a costos, esfuerzos y desventajas.
Se debe considerar lo siguiente:
- Tener en cuenta diferentes opciones para el tratamiento del riesgo.
- Verificar la eficiencia y eficacia.
- Confirmar si el riesgo residual es aceptable.
- Si no es aceptable generar nuevas opciones de tratamiento.
A través de una solución tecnológica como Pirani en tu organización pueden llevar a cabo de una manera simple cada una de estas etapas de la evaluación de riesgos.
Métodos para la evaluación de riesgos
En la gestión de riesgos son conocidos tres tipos de métodos para su calificación y evaluación: el método cualitativo, semicualitativo y el cuantitativo.
1. Método cualitativo
Este método debe su popularidad a que por lo general es el inicio de cualquier estudio de riesgos, y es muy utilizado cuando el tiempo y los recursos monetarios son escasos, dado que comparativamente con el método cuantitativo su inversión en ambos aspectos es menor.
En el método cualitativo el criterio y el conocimiento de expertos en el tema analizado es el imperante. Su principal ventaja se debe a su mayor facilidad de cálculo, al no implicar una valoración económica o de probabilidad.
El análisis cualitativo se construye bajo elementos que se relacionan entre sí: amenazas, vulnerabilidades, impacto y, en algunos casos, controles.
Amenazas: son los eventos identificados como aquellos que podrán afectar los objetivos del proyecto.
Vulnerabilidades: son aquellos factores o elementos que pueden aumentar el riesgo de que en el proyecto se materialice una amenaza.
Impactos: son las consecuencias de la materialización de las amenazas. Los impactos se asocian a un determinado nivel: alto, medio y bajo. Estos a su vez se asocian a ciertos factores, que pueden ser económicos, operativos, humanos o de pérdida de imagen.
Controles: son las medidas que pueden contrarrestar los eventos de riesgo. Entre los controles podemos encontrar preventivos, correctivos y detectivos.
Con el tiempo se han creado técnicas para intentar hacer más preciso el método y disminuir el grado de subjetividad que lo rodea. Sin embargo, dada la complejidad e importancia que han tomado los riesgos para las empresas en los últimos años, este método es complementado y ampliado con técnicas del método cuantitativo.
2. Método semicualitativo
Se construye bajo un sistema de índices, teniendo en cuenta las situaciones que fueron analizadas para poder clasificar los riesgos que se puedan presentar, y a su vez, contar con un plan de acción.
Es importante asignar tareas a los diferentes factores de riesgo que se puedan dar en determinadas situaciones, con el fin de adquirir el nivel de riesgos. Comúnmente se realizan cuestionarios de chequeo que permiten identificar los factores y su importancia.
Hay que tener presente que los métodos pueden ser riesgos intrínsecos, índice Dow y método Gretener.
3. Método cuantitativo
El método cuantitativo en el análisis de riesgos es aquel que permite obtener una valoración numérica de la materialización de un evento, ya sea negativo o positivo, en términos de los criterios definidos, que pueden ser monetarios, operativos, técnicos, humanos, entre otros, lo que hace más tangible y objetivo el análisis.
Sin embargo, hay autores que van más allá y lo definen como aquel método que permite asociar una probabilidad y su correspondiente distribución al evento de riesgo y las consecuencias que pueden ocasionar en los objetivos del proyecto.
Por lo general, el análisis cuantitativo se realiza después del análisis cualitativo, pero hay autores que indican que se pueden hacer por separado y de forma simultánea, mientras hay otros quienes piensan que este debe primar sobre el cualitativo. En todo caso, lo más recomendable es que uno sea complemento del otro para así sumar sinergias.
Para llevar a cabo un análisis de este tipo, es necesaria la utilización de técnicas matemáticas y estadísticas, las cuales exigen la recolección de datos. Entre las técnicas más destacadas y utilizadas se encuentran las siguientes:
- Análisis de sensibilidad.
- Valor esperado monetario.
- Árboles de decisión.
- Simulación de Monte Carlo.
- Regresión lineal.
- Regresión no lineal.
- Series de tiempo.
- Teoría de juegos.
- ARC.
Ventajas del método cuantitativo:
- Objetividad.
- Generalización de los resultados.
- Hace más tangible el resultado del riesgo.
- Conceptos y teorías robustas, lo que le da mayor validez a los resultados.
Desventajas del método cuantitativo:
- Complejidad en algunos cálculos.
- Puede llegar a ser demasiado rígido por las técnicas estadísticas y matemáticas empleadas.
- Demanda mayores recursos en tiempo y dinero.
La evaluación de riesgos es fundamental dentro de la gestión, esta se realiza antes de designar el plan de acción que se va a implementar para la prevención. Es clave tener en cuenta que la evaluación se debe validar y registrar, una vez se haga esto, se le debe comunicar a toda la organización.
La principal función de la evaluación de riesgos es introducir todos los elementos cualitativos y cuantitativos a la información que se obtuvo luego de realizar el análisis de los riesgos para de esta forma establecer acciones y tomar decisiones en el tratamiento que se le va a dar.
Gracias a la evaluación se puede determinar el impacto que la materialización de uno de los riesgos pueda tener sobre la empresa. Este es el paso más importante dentro de la gestión y el que más dificultad genera porque hay una alta probabilidad de que se puedan cometer errores.
Estrategia de administración de riesgosEn este punto debe realizarse la vinculación del riesgo con los objetivos y la estrategia organizacional:
Categorías de riesgos
Riesgo financiero
Está directamente relacionado con todo lo que tiene que ver con el sistema financiero de la compañía, operaciones, transacciones y movimientos, pueden ser alguno de los siguientes:
- Riesgo de crédito.
- Riesgo de cambio.
- Riesgo de liquidez.
- Riesgo tasas de interés.
- Riesgo de mercado.
- Riesgo de gestión.
Riesgo operativo
Son los riesgos que afectan las actividades de la organización impidiendo cumplir con los objetivos establecidos. Con Pirani puedes gestionar este tipo de riesgos en tu organización, involucrando a todas las áreas y a la alta dirección para que juntos contribuyan al logro de los objetivos.
Riesgo de cumplimiento
Son los que no son compensados. Normalmente se enfocan en actividades para gestionar los riesgos empresariales.
Procesos en la evaluación de riesgos
- Realizar evaluaciones de riesgos para que las diferentes áreas de la organización o procesos puedan calificar los riesgos que tienen asignados.
- Parametrizar la metodología de evaluación de riesgos.
- Calificar los riesgos por diferentes actores.
- Manejar flujos de aprobación una vez se realice las calificaciones por los usuarios.
- Conservar el histórico de las diferentes evaluaciones realizadas a los riesgos.
Norma ISO 31000 y la evaluación de riesgos
La norma ISO 31000 es una guía o referente internacional que ofrece directrices y principios para poner en marcha los sistemas de gestión de riesgos. Se publicó en noviembre del 2009 por la Organización Internacional de Normalización (ISO) para que las compañías puedan gestionar sus riesgos de una manera efectiva a través de procedimientos que les permitan cumplir sus objetivos.
La ISO 31000 cuenta con insumos globales que permiten realizar una adecuada y eficiente gestión de riesgos enfocados en operatividad, gobierno y confianza, además, esta norma brinda recomendaciones de mejores prácticas en la gestión de riesgos las cuales ofrecen técnicas apropiadas y seguridad en el lugar del trabajo.
Cabe resaltar que esta puede ser usada por cualquier tipo de entidad sin importar el sector al que pertenezca, ya que ofrece estrategias de decisión, operaciones, y procesos para los riesgos.
Es importante saber que la norma ISO 31000 no es certificable, sin embargo, la implementación de esta minimiza la amenaza al riesgo en cualquier momento que se encuentre, además, la mayoría de los entes reguladores la toman como referencia para la promulgación de normas aplicables.
Ventajas de la norma ISO 31000
- Contribuye a mejorar la eficacia operativa y la gobernanza.
- Genera confianza ya que se utilizan métodos adecuados para la gestión de riesgo.
- Aplica controles de sistema de gestión para analizar riesgos y de esta manera mitigar las posibles pérdidas.
- Mejora la resiliencia de los sistemas de gestión.
- Responde de manera eficiente a los cambios protegiendo a la organización.
- Se adapta a cualquier tipo de riesgo, sin importar su naturaleza o causa.
Cuéntanos si te pareció útil esta información sobre la evaluación de riesgos y si estás listo para realizar una en tu empresa, también, cuéntanos de qué otros temas te gustaría aprender o conocer más a través de nuestros contenidos.