Escenario actual
En la actualidad, la gestión de los riesgos en las organizaciones ya no es sólo una cuestión de prevención de riesgos laborales o del departamento financiero, es una estrategia global que ayuda en la toma de decisiones estratégicas, no sólo a la dirección de empresa, sino a cualquier responsable o incluso a un único trabajador que tiene que enfrentarse a situaciones adversar o a tomar decisiones asumiendo un riesgo.
Este cambio ha sido impulsado al mismo tiempo por el surgimiento de una corriente basada en el “risk based thinking” en los sistemas de gestión tipo ISO, BSI o ASIS. De esta forma, se introduce a todos los niveles de la organización en el nuevo concepto del riesgo que lo define como “el efecto de la incertidumbre sobre la consecución de los objetivos”. Esta definición, derivada de la empleada en el sector financiero, nos da una nueva visión del riesgo. Ahora, el riesgo ya no tiene que ser siempre negativo. Si nos fijamos en las consecuencias que esperamos cuando localizamos o asumimos un riesgo, estas pueden ser positivas y generarnos una “oportunidad”, o negativas y provocarnos una “amenaza”. En otro post me centraré más en detalle en la discusión de, si una amenaza/oportunidad está en el origen del riesgo, o en los impactos que genera. Este detalle es importante a la hora de desarrollar las metodologías de análisis y evaluación de los riesgos.
La clave, en este caso, es la incertidumbre que rodea a la consecución de unos objetivos esperados. Y para ello, hacer un buen análisis del contexto interno y externo de la organización y de las necesidades y expectativas de las partes interesadas, es de vital importancia.
Con este primer post iniciamos una serie que irá describiendo las metodologías más utilizadas para realizar la apreciación de los riesgos a lo largo de todas sus fases de identificación, análisis y evaluación de los mismos.
El proceso de la gestión del riesgo
La gestión del riesgo se compone de todas las actividades llevadas a cabo de manera coordinada en una organización para dirigir, gestionar y controlar cualquier aspecto relativo al riesgo que pueda aparecer en sus procesos, productos, servicios, etc. y que influya en la consecución de unos objetivos o resultados esperados.
La representación de este proceso siguiendo los principios de la familia ISO 31000 de Gestión del riesgo, sería así:
ISO 31000. Gestión del riesgo.
- Establecimiento del contexto
El contexto es el entorno en el que la organización busca lograr sus objetivos. Se debe analizar tanto el externo como el interno.
En relación con el contexto externo, debemos conocer y analizar el entorno social, político, económico, legal y reglamentario, tecnológico, financiero, etc. tanto a nivel internacional, como nacional y local (si es pertinente). Así como ualquier factor que pueda tener impacto en los objetivos de la organización, y las partes interesadas externas, con sus intereses, necesidades y expectativas.
Con respecto al contexto interno, lo constituye todo aquello que en el seno de la organización, puede influir en la manera de gestionar el riesgo. Este proceso debe, por tanto, alinearse con la cultura, la política, la estructura, los procesos y estrategia de la organización. En este contexto es muy importante el establecimiento de los criterios de riesgo, los métodos de apreciación del riesgo y las responsabilidades de los distintos roles.
- Apreciación del riesgo
Este proceso estructurado identifica la manera en que los objetivos pueden resultar afectados, analiza los riesgos en términos de consecuencias y de sus probabilidades antes de decidir si necesitan un tratamiento adicional. Este proceso proporciona a las personas que tienen que tomar decisiones una mejor compresión de los riesgos que pueden afectar al logro de sus objetivos y ayudarles en su toma de decisiones a nivel estratégico y de continuidad del negocio.
Los métodos utilizados para llevar a cabo este proceso varían en función del grado de complejidad y detalle al que se quiera llegar, de nuestros procesos de negocio, etc. y pueden ir desde los más sencillos a los más complejos, con métodos más cuantitativos, cualitativos o mixtos. Lo fundamental es que, los que se utilicen sean coherentes con los criterios de riesgo establecidos en el contexto. A lo largo de la serie de post que iniciamos aquí, iremos describiendo estos métodos que irán desde los más cualitativos tipo listas de verificación, método Delphi o la técnica SWIFT (“y si…….”) hasta los más cuantitativo como el FMEA, HACCP, análisis de pajarita o bow tie o las curvas FN tipo ALARP.
- Tratamiento del riesgo
Una vez completada la fase de apreciación del riesgo, la organización debe llegar a un consenso sobre que opciones va a aplicar para cambiar la probabilidad de ocurrencia de los riesgos y sus consecuencias.
A continuación, se procede a la implantación de estas medidas y se llega al proceso crítico de re-apreciación del nuevo nivel de riesgo, para determinar su tolerancia con respecto a los criterios previamente establecidos para decidir si se requieren tratamientos adicionales.
- Comunicación y consulta
El éxito de un buen proceso de gestión del riesgo es el establecimiento de un sistema de comunicaciones y consulta con las partes interesadas eficaz.
- Seguimiento y revisión
A lo largo de todo el proceso, una parte muy importante es realizar un seguimiento monitorizado y una revisión continua a intervalos del mismo. De esta manera podremos verificar que las hipótesis establecidas continúan siendo válidas, si se están logrando los resultados previstos, y todas las técnicas y tratamientos del riesgo son eficaces.
Tras esta introducción a los procesos implicados en la gestión del riesgo a nivel global, empezaremos en siguientes posts a describir las metodologías para llevar a cabo la apreciación del riesgo. ¡Síguenos!.