Los TRES conceptos más importantes para evaluar los riesgos empresariales

Riesgos_completa

  • ¿No es muy melodramático preocuparse de más por los riesgos?
  • ¿Por qué algunos ven el mundo blanco, otros negro y otros más de color de rosa?
  • ¿Más normas? ¿Cuándo dejarán de inventar cosas para regular la vida humana y empresarial?

No hay duda que lo natural en toda actividad humana es estar expuestos a los riesgos. Sin embargo, una cosa es que de manera imprudente enfrentes los riesgos sin ninguna precaución, sin hacer ninguna evaluación y recibas en consecuencia un impacto inesperado. En contraste, ¿podrías gestionar los riesgos de una manera más efectiva? La respuesta es contundente, Sí, porque hoy con la moda de la norma ISO 31000:2009 que se refiere a la gestión de los riesgos, enfatiza que los empresarios, directivos y ejecutivos necesitan entender dos conceptos muy importantes en su evaluación: Impacto, probabilidad y tipo de riesgo.

Algunas definiciones básicas:
  1. “Riesgo es la probabilidad de ocurrencia de un evento que afecta negativamente los resultados” (definición COSO). “Riesgo es la incertidumbre en los resultados” (definición ISO 31000)
  2. “Impacto es el conjunto de consecuencias que origina un riesgo si llegará a presentarse”.
  3. “Probabilidad es la posibilidad de que ocurra un riesgo, tomando en cuenta los controles actuales y su efectividad”.

¿Se podrían realmente administrar los riesgos o es solo un sueño guajiro? Veamos un ejemplo sencillo. ¿Cuál sería el impacto de que caiga un rayo en tu empresa? Las respuestas serían variadas en función que quién(es) hace(n) el análisis pero seguramente una palabra que aparecería sería “desastroso”. Ahora la segunda pregunta ¿Cuál es la probabilidad de que caiga un rayo en tu organización? Otra vez las respuestas variarían en función de quienes hacen ese análisis?

Obviamente la interacción impacto y probabilidad nos daría la clasificación en tres categorías:

  • Riesgos altos,
  • Riegos medios,
  • Riesgos bajos.

Para lo cual hay que definir escalar y criterios de evaluación del impacto, de la probabilidad y de la combinación (por supuesto, la norma proporciona algunas sugerencias). Por ejemplo, si un riesgo se catalogará en una escala del 1 a 10, donde 1 es bajo impacto y 10 es altísimo impacto y la probabilidad en una escala de 1% a 100% y las combinaciones mayores a 300 es alto riesgo, entre 100 y 300 es riesgo medio y por debajo de 100 es riesgo bajo.

Entonces la combinación (multiplicación) de impacto por probabilidad nos daría la clasificación de todos los riesgos identificados. Ya tendrías un criterio para definir las acciones preventivas o correctivas necesarias para los riesgos ordenados por nivel de ponderación. Si el impacto del rayo es 8 y la probabilidad de ocurrencia en esa zona es 60 %, la multiplicación nos daría que este riesgo vale 8 x 50 = 480 puntos, entonces este riesgo es un riesgo alto y por lo tanto prioritario de atender.

Si se identifica un riesgo como “Pérdida de los clientes más importantes para la compañía”. ¿Cuál sería el impacto de perder a ese tipo de clientes? Tal vez lo evalúas en un 6.  ¿Cuál es la probabilidad de perder a un cliente de ese tipo? Tal vez lo evalúas en un 30%, entonces el valor del riesgo sería 6 x 30 = 180 puntos, con la misma escala anterior, este riesgo sería un riesgo medio y aunque no es de los críticos si amerita mejorar algunos controles al respecto.

De manera que para empezar con este análisis sería importante considerar que los riesgos requieren tener una evaluación del impacto, una evaluación de la probabilidad y una evaluación del tipo de riesgo. ¿Cómo puedes gestionar o administrar los riesgos? No puedes trabajar en el impacto, solo puedes trabajar en la probabilidad de ocurrencia, por ejemplo modificando el sistema de trabajo y diversificando tu cartera de clientes.

Así que en lugar de tenerle un miedo pavoroso a los riesgos, lo que requieres es tener una apertura a identificar los riesgos y en primera instancia evaluar su impacto y probabilidad para empezar a preparar el análisis correspondiente e implementar un plan de tratamiento de riesgos con las acciones preventivas y correctivas necesarias en base a las prioridades del tipo de riesgo. El sistema de gestión de riesgos es proporcional al tamaño, a la cantidad de procesos, a la cantidad de instalaciones, a la madurez, al tipo de industria y a múltiples factores. Pero Roma no se construyo en un día, así que la pregunta obligada para ti es ¿Cuándo vas a empezar?

“Si los entiendes los riesgos son lo que son, si no los entiendes, de todos modos los riesgos son lo que son”.