La Gestión de los Riesgos

La Gestión de los Riesgos

La gestión de riesgos es el proceso de identificar, evaluar y controlar los riesgos financieros, jurídicos, estratégicos y de seguridad para el capital y los beneficios de una organización. Estas amenazas, o riesgos, pueden provenir de una amplia variedad de fuentes, como la incertidumbre financiera, las responsabilidades legales, los errores de gestión estratégica, los accidentes y las catástrofes naturales.

Si un acontecimiento imprevisto coge desprevenida a su organización, el impacto podría ser menor, con una pequeña repercusión en sus gastos generales. En el peor de los casos, sin embargo, podría ser catastrófico y tener graves ramificaciones, como una importante carga financiera o incluso el cierre de la empresa.

Para reducir el riesgo, una organización necesita aplicar recursos para minimizar, supervisar y controlar el impacto de los sucesos negativos, al tiempo que maximiza los sucesos positivos. Un enfoque coherente, sistémico e integrado de la gestión de riesgos puede ayudar a determinar la mejor manera de identificar, gestionar y mitigar los riesgos importantes.

El proceso de gestión de riesgos

En el nivel más amplio, la gestión de riesgos es un sistema de personas, procesos y tecnología que permite a una organización establecer objetivos acordes con los valores y los riesgos.

Un programa de evaluación de riesgos eficaz debe cumplir objetivos legales, contractuales, internos, sociales y éticos, así como supervisar las nuevas normativas relacionadas con la tecnología. Al centrar la atención en el riesgo y destinar los recursos necesarios para controlarlo y mitigarlo, una empresa se protegerá de la incertidumbre, reducirá costes y aumentará las probabilidades de continuidad y éxito empresarial.

    Los pasos importantes del proceso de gestión de riesgos son:
  • La identificación,
  • El análisis,
  • La evaluación,
  • La mitigación,
  • El seguimiento.

Identificación de riesgos

La identificación de riesgos es el proceso de determinar y evaluar las amenazas para una organización, sus operaciones y su personal. Por ejemplo, la identificación de riesgos puede incluir la evaluación de las amenazas a la seguridad informática, como el malware y el ransomware, los accidentes, las catástrofes naturales y otros sucesos potencialmente perjudiciales que podrían interrumpir las operaciones de la empresa.

Análisis y evaluación de riesgos

El análisis de riesgos consiste en establecer la probabilidad de que se produzca un suceso de riesgo y el resultado potencial de cada suceso. La evaluación del riesgo compara la magnitud de cada riesgo y los clasifica según su importancia y consecuencia.

Mitigación y control del riesgo

La mitigación de riesgos se refiere al proceso de planificación y desarrollo de métodos y opciones para reducir las amenazas a los objetivos del proyecto. Un equipo de proyecto puede aplicar estrategias de mitigación de riesgos para identificar, supervisar y evaluar los riesgos y consecuencias inherentes a la realización de un proyecto específico, como la creación de un nuevo producto. La mitigación de riesgos también incluye las acciones puestas en marcha para hacer frente a los problemas y los efectos de esos problemas en relación con un proyecto.

La gestión de riesgos es un proceso continuo que se adapta y cambia con el tiempo. Repetir y supervisar continuamente los procesos (PDCA) puede ayudar a garantizar la máxima cobertura de los riesgos conocidos y desconocidos.

Estrategias de respuesta al riesgo y tratamiento

Existen cinco estrategias comúnmente aceptadas para abordar el riesgo. El proceso comienza con una consideración inicial de la evitación del riesgo y continúa con tres vías adicionales para abordar el riesgo (transferencia, propagación y reducción). Lo ideal es que estas tres vías se empleen conjuntamente como parte de una estrategia global. Puede quedar algún riesgo residual.

¿Cuáles son las respuestas más comunes al riesgo?


Evitar el riesgo La evitación es un método para mitigar el riesgo no participando en actividades que puedan afectar negativamente a la organización. No realizar una inversión o iniciar una línea de productos son ejemplos de este tipo de actividades, ya que evitan el riesgo de pérdidas.

Reducción del riesgo Este método de gestión del riesgo intenta minimizar la pérdida, en lugar de eliminarla por completo. Aunque acepta el riesgo, se centra en contener la pérdida y evitar que se extienda. Un ejemplo de ello en el seguro de enfermedad es la atención preventiva.

Compartir el Riesgo Cuando se comparten los riesgos, la posibilidad de pérdida se transfiere del individuo al grupo. Una empresa es un buen ejemplo de riesgo compartido: varios inversores ponen en común su capital y cada uno sólo soporta una parte del riesgo de que la empresa pueda fallar.

Transferencia del riesgo Transferir contractualmente un riesgo a un tercero, por ejemplo, un seguro para cubrir posibles daños a la propiedad o lesiones traslada los riesgos asociados a la propiedad del propietario a la compañía de seguros.

Aceptación y retención del riesgo Una vez aplicadas todas las medidas de reparto, transferencia y reducción del riesgo, seguirá existiendo cierto riesgo, ya que es prácticamente imposible eliminarlo todo (salvo evitando el riesgo). Es lo que se denomina riesgo residual.


Limitaciones y normas de gestión de riesgos

Las normas de gestión de riesgos establecen un conjunto específico de procesos estratégicos que parten de los objetivos de una organización y pretenden identificar los riesgos y promover su mitigación mediante las mejores prácticas. Las normas suelen ser diseñadas por organismos que colaboran para promover objetivos comunes, con el fin de contribuir a garantizar procesos de gestión de riesgos de alta calidad. Por ejemplo, la norma ISO 31 000 sobre gestión de riesgos es una norma internacional que ofrece principios y directrices para una gestión eficaz de los riesgos.

Aunque adoptar una norma de gestión de riesgos tiene sus ventajas, no está exento de desafíos. La nueva norma puede no encajar fácilmente en lo que ya se está haciendo, por lo que podría ser necesario introducir nuevas formas de trabajar. Y las normas podrían tener que adaptarse a su sector o empresa.