La gestión integral de riesgos o ERM permite reducir al máximo los niveles de incertidumbre a los que se enfrenta una organización. Asegura un proceso certero de toma de decisiones estratégicas y operacionales. Brinda transparencia en la identificación y gestión de todas las amenazas u oportunidades para el negocio y permite crear una cultura organizacional sólida en el que la que la gestión de riesgos forma parte de cada proceso de toma de decisiones de la organización.
Existe un proceso de cuatro pasos prácticos para lograr una gestión exitosa de los riesgos a los que se expone una organización que fue desarrollado a partir de los pilares de los estándares internacionales de gestión de riesgos que existen hoy en día como lo son la ISO 31000 y el COSO. Dicho proceso se puede integrar dentro de cualquier organización a nivel mundial de una forma muy fácil y práctica, y que encaje perfectamente con cualquier sistema o herramientas que las organizaciones tengan para gestionar sus riesgos. Además, este proceso implica el uso de diversas técnicas y herramientas faciliten una gestión efectiva de riesgos.
PASO 1: Comprensión del contexto y objetivos
El primer paso consiste en entender el contexto y objetivos de la organización.
El contexto es el entorno bajo el cual una organización opera, tanto de forma interna como externa. El contexto interno es aquél que depende directamente de la organización y que por ende puede ser manejado por la organización y el contexto externo es aquél que es independiente de la organización y sobre el que por lo tanto la organización no tiene un mayor control. En ambos casos, lo que se intenta en este primer paso es entender las diversas variables internas y externas que puedan prevenir que la organización cumpla con sus objetivos, incluyendo a todas las variables que produjeron cambios en el pasado y a las que probablemente generará cambios en el futuro. En este sentido, desde una perspectiva externa se deben tomar en cuenta aspectos externos a la organización como los factores políticos, económicos, sociales, tecnológicos o ambientales que puedan influenciar los procesos de la organización. Mientras que desde una perspectiva interna se deben considerar factores propios de la organización como los recursos humanos o económicos, gobierno corporativo, gestión de partes de interés o relaciones públicas.
Los objetivos de una organización a veces están claramente establecidos y en otras ocasionas son algo difusos y poco claros para los miembros de la organización. Por ello es de suma importancia esclarecer y tener un concepto alineado sobre los objetivos de la organización como primera instancia, ya que a partir de ello se podrá entender cuáles son aquellas amenazas o riesgos negativos que impedirán que la organización cumpla con sus objetivos, así como cuales son aquellas oportunidades o riesgos positivos que ayudarán con lo mismo.
Es importante mencionar que la gestión de riesgos no solo se puede realizar a nivel de la organización como un todo, sino también en partes concretas de la organización como en alguno de sus departamentos o proyectos específicos. Para ello será necesario identificar los objetivos específicos de dichos departamentos o proyectos y entender su contexto interno y externo.
Una herramienta muy usada a nivel mundial para alinear los objetivos de la organización y entender su contexto es la EXTENDED ENTERPRISE:
PASO 2: Evaluación de riesgos
Una vez esclarecidos los objetivos y definido el contexto de la organización se puede realizar la evaluación de riesgos per se. Esta evaluación se compone de tres pasos:
- Identificación de riesgos: permitirá identificar todo aquello que pueda representar una posible amenaza u oportunidad al cumplimiento de los objetivos.
- Análisis de riesgos: permitirá entender a cabalidad cada riesgo, sus causas y consecuencias, así como la importancia de un riesgo con respecto a otro.
- Valoración de riesgos: permitirá priorizar los riesgos de mayor importancia y tomar una decisión sobre su manejo.
Existe una gran variedad de herramientas y técnicas que pueden usarse para en el proceso de evaluación de riesgos, especialmente en lo referente al análisis de riesgos. Cada técnica tiene un propósito diferente y no existe una que sea mejor que otra. Su elección dependerá del tipo de riesgo a evaluar y de la madurez de la organización.
Una herramienta muy popular a nivel internacional utilizada durante el análisis de riesgos es el BOW TIE:
El proceso de evaluación de riesgos puede incorporar los valores de la organización, de tal forma que no solo se evalué aquello que pueda interferir con el cumplimiento de los objetivos de la organización, pero también aquello que pueda asegurar que la organización realice sus funciones de forma responsable. También se pueden incorporar aspectos como la velocidad de materialización del riesgo o la proximidad al riesgo.
Es común que las organizaciones utilicen la probabilidad de ocurrencia para el análisis de riesgos. Sin embargo, esto puede resultar problemático ya que a veces es muy difícil medir dicha probabilidad para el caso de varios riesgos, sobre todo si no se cuenta con la información necesaria para ello. Por este motivo, muchas organizaciones a nivel mundial están dejando de utilizar la probabilidad de ocurrencia como mecanismo de priorización de riesgos y están comenzando a usar técnicas que consideren la velocidad, proximidad del riesgo, efectividad de los controles existentes o que consideren la necesidad de implementación de controles. Una herramienta que puede utilizarse para priorizar cualquier tipo de riesgo es RISK IMPACT AND CONTROL MAP.
El proceso de evaluación de riesgos es clave para que una vez entendido cada riesgo se puedan definir los controles para manejarlos. Una de las formas más utilizadas a nivel global para realizar la evaluación de riesgos es a través de RISK WORKSHOPS o talleres de evaluación de riesgos. Estos talleres son mecanismos interactivos y dinámicos que permitirán aplicar las herramientas y técnicas mencionadas anteriormente y completar así los RISK REGISTERS o registros de riesgos. Los talleres deberían realizarse con la participación de un equipo multidisciplinario compuesto por personal con conocimiento en el tema de tal forma que se cuente con una diversidad de perspectivas que fomenten la discusión y el mejor entendimiento de cada riesgo. Por lo general los talleres son facilitados por especialistas en gestión de riesgos y de ser necesario se puede invitar a un SUBJECT-MATTER EXPERT (SME) o experto en el riesgo o tema que se evaluará durante el taller.
PASO 3: Manejo de los riesgos
Una vez que se definieron y entendieron los riesgos más significativos para la organización, se procederá a definir controles para su prevención y/o mitigación. En el mundo, las organizaciones han desarrollado diferentes herramientas para diseñar e implementar dichos controles como por ejemplo estándares de desempeño de controles (control performance standards). Cada organización implementa sus controles de forma diferente. Sin embargo, todas tratan de lograr lo mismo, manejar de forma efectiva sus riesgos.
PASO 4: Revisión y Monitoreo
El sistema de gestión de riesgos debe asegurar que los controles generados sean realmente efectivos. Por ello se deben monitorear la efectividad de dichos controles a través de indicadores, asegurando la calidad de la gestión de riesgos o mejorar el diseño y/o calidad de los mismos. Sin embargo, el proceso de revisión no debe ejecutarse únicamente sobre los controles de los riesgos, sino que también sobre el proceso en general y tomando en consideración a las principales partes de interés. Si algo llegara a cambiar en el contexto o en los objetivos, la evaluación de riesgos quedaría obsoleta y por lo tanto la efectividad de los controles implementados sería cuestionable.
El proceso de revisión no solo involucra analizar la información obtenida durante el monitoreo sino también el comunicar los resultados obtenidos y tomar decisiones en base a lo mismo. Si los riesgos estuvieran siendo manejados de forma efectiva, se mantendrían los controles implementados. De lo contrario, se tendrían dos opciones. La primera opción es dedicar mayores recursos y esfuerzos en gestionar los riesgos. La segunda opción es evaluar si los objetivos propuestos están de acuerdo con la realidad de la organización, ya que, según el contexto identificado y la habilidad actual para gestionar sus riesgos, la organización no tendría la capacidad para manejar aquellos riesgos que pueden impedir que cumpla con dichos objetivos. De ser esta segunda opción el caso, la organización deberá afinar sus objetivos y volver a aplicar el proceso de cuatro pasos. Es decir, que se trata de un proceso iterativo de mejora continua.
Nunca se logrará entender un riesgo con 100% de certidumbre, de lo contrario no se trataría de un riesgo. Por ello, la continuidad de este ciclo de cuatro pasos es clave para tomar decisiones de forma acertada, ya que permitirá reducir los niveles de incertidumbre o el número de riesgos al máximo. Es decir que el propósito de la gestión de riesgos es ayudar a tomar las mejores decisiones según la información con la que se cuente.
En resumen, en base al contexto en el que la organización opera, según los objetivos que quieren cumplir, así como en los riesgos que se enfrentan y en su habilidad para manejarlos, la organización tomará la decisión de cómo gestionarlos de forma responsable.
Escrito por MsC. Tania Castillo, Gerente Regional LATAM en Satarla y especialista Senior en gestión integral de riesgos. Además, profesora de nuestro Programa Internacional de Gestión Integral de Riesgos.
La Escuela de Postgrado GĚRENS ofrece el Programa Internacional de Gestión Integral de Riesgos, excelente opción para manejar con efectividad las posibles dificultades que puedan darse en una organización evitando así las pérdidas o excedentes. Además, podrás obtener una Triple Certificación Internacional gracias a nuestra alianza con el Institute of Risk Management y Satarla. Si desea más información, contáctenos o escríbanos a nuestro formulario de contacto.