En la primer parte de este artículo hablé sobre la toma de decisiones y el riesgo que eso implica. De qué comprende un análisis de riesgos y el impacto que tendrá el reducir la probabilidad de la ocurrencia de un evento considerado como un riesgo. A continuación les comparto un ejemplo para utilizar las cuatro etapas del proceso de gestión de riesgos de la primer parte.
Ejemplo sencillo de gestión de riesgos
Con esta información sobre las cuatro etapas del proceso de gestión de riesgos, podemos hacer un ejemplo muy sencillo para aplicarlos a algún evento no deseado, y mostrar de manera simple el proceso formal de análisis de riesgos. Para este ejemplo, consideraremos como evento no deseado, los daños en infraestructura relacionada con un desastre (por ejemplo, incendio, inundación, etc.)
· Identificación del riesgo: Para la identificación del riesgo, es importante tener claros los agentes de amenaza que deberían considerarse. Por ejemplo, una amenaza puede ser el fuego (o incendio), y pueden estar presentes también vulnerabilidades específicas que pueden hacer más probable que el incendio se presente. Recordemos que en el ejercicio de identificación de riesgos, no se hace una determinación de la probabilidad o del impacto, sino que su objetivo es generar escenarios posibles de riesgo. Asimismo, es importante que en este ejercicio de identificación de riesgos, estén presentes las personas o áreas de la organización relevantes para asegurar que se identifica la mayor cantidad de riesgos posibles. Al final, cada riesgo debe caracterizarte de modo que pueda analizarse y tratarse de la mejor manera (en etapas posteriores del proceso de Gestión de Riesgos).
Por ejemplo, podemos definir un riesgo como “Pérdidas financieras por daños en equipos de tecnología de la información causados por un incendio”, mientras que podríamos tener otro riesgo similar definido como “Pérdidas financieras por daños en equipos de tecnología causados por una inundación”. Finalmente, podríamos tener un riesgo adicional, que podríamos identificar como “Pérdidas financieras por no disponibilidad de equipo critico de producción”, por ejemplo, y todos estos riesgos están relacionados con un evento no deseado de desastre.
· Análisis de riesgo: Para hacer el análisis, se deben tomar en cuenta todos los factores que contribuyen a la posible materialización del riesgo, como pueden ser temas de periodicidad o temas de entorno. No es raro que al analizar un riesgo en específico se llegue a identificar un riesgo adicional que es necesario gestionar, y que no se había identificado anteriormente. Por ejemplo, en el caso del riesgo de daño por incendio que indicamos en el párrafo anterior, la probabilidad de ocurrencia puede estar en función de si existe material fácilmente inflamable en los alrededores, o si es común que el área en cuestión se utilice para fumar o para otras actividades que pudieran generar una flama. Asimismo, como comentamos, la probabilidad de ocurrencia puede modificarse en función de los controles que existan para reducir el riesgo. Para efectos del ejemplo, diremos que la probabilidad de ocurrencia es media, y que el impacto es alto, por lo que podemos caracterizar (cualitativamente) al riesgo como Alto.
· Evaluación de riesgo: Una vez que los riesgos han sido analizados, como se comentó anteriormente, es necesario comparar los niveles de riesgo encontrados con el apetito de riesgo y niveles de riesgo aceptable de la organización. Si por ejemplo, la organización ha determinado que los riesgos de nivel bajo y medio pueden ser aceptables, mientras que todos los riesgos altos son inaceptables y deben tratarse, entonces el Riesgo Alto encontrado anteriormente no es aceptable y tendrá que determinarse el tratamiento adecuado. En general, la salida de esta etapa de Evaluación de riesgo, es precisamente la determinación de si el riesgo es aceptable de acuerdo con los parámetros establecidos por la organización, o si debe ser tratado para ser mitigado.
· Tratamiento del riesgo: En la etapa de análisis de riesgo ya se consideraron las vulnerabilidades específicas así como los controles existentes para determinar la probabilidad de ocurrencia. Sin embargo, aun con los controles existentes operando, se determinó que el riesgo aun es alto, lo cual implicaría que el control que existe no es efectivo, por lo que es necesario determinar si se requieren controles adicionales, o la sustitución del control inefectivo por un control efectivo. Como se mencionó, un control puede ser un proceso o puede ser una solución tecnológica. En el ejemplo que estamos trabajando, un ejemplo de control de proceso para reducir el riesgo de incendio, podría ser una política de no fumar o un procedimiento especifico, por ejemplo aplicando una regulación especializada, para el manejo de materiales inflamables. Desde el punto de vista tecnológico, podría implementarse un sistema de detección y apagado de incendios, que asegure que aunque el incendio se inicie, este no se propagará, lo que debería reducir de manera efectiva la probabilidad de ocurrencia del mismo (entendiendo que la probabilidad de ocurrencia se modificaría debido a que, aun cuando el incendio se haya presentado realmente, el sistema automático evitaría su propagación de modo que no sea posible materializar el riesgo de daño).
En este tema de tratamiento, otros controles podrían involucrar la contratación de seguros para recuperación financiera de mercancía dañada, o la contratación de personal de respuesta inmediata ante incendios (como en el caso de los aeropuertos, por ejemplo). La aplicación del control correcto dependerá de la combinación de tres factores: la probabilidad de ocurrencia del evento, el impacto que se quiere controlar, y el costo del control considerado.
Estándar para la gestión de Riesgos
Según lo que se ha comentado en este documento, puede verse que la Gestión de Riesgos es un proceso que debe realizarse de manera continua. Esto es debido a que los agentes de amenaza pueden cambiar, las vulnerabilidades pueden cambiar, las probabilidades de ocurrencia pueden cambiar y los impactos pueden cambiar. Estos cambios pueden darse por cambios en el entorno operativo, cambios en regulaciones, cambios en tecnología, cambios en estrategias de negocio, condiciones de mercado, cambios dentro de la organización, cambios a nivel macroeconómico o entre países, pueden modificar las características de los riesgos existentes o introducir nuevos riesgos.
Debido a esto, se desarrolló por parte de la International Standards Organization (ISO), un estándar internacional para guiar el proceso de Gestión de Riesgos y asegurar que se pueda establecer un marco de evaluación y vigilancia de riesgos constante. Este estándar es el ISO/IEC 31000, y establece un marco de gestión para riesgos empresariales.
Dentro de este marco, se establecen condiciones y requerimientos precisos para definir un proceso de Gestión de riesgos que permita manejar los riesgos de la empresa de manera consistente. Este marco de referencia incluye tanto las 4 etapas indicadas anteriormente, como etapas y procesos adicionales, con el fin de proveer un marco más robusto, y poder obtener las ventajas de contar con procesos repetibles y confiables, para una gestión de riesgos continua dentro de la organización.
A continuación, un diagrama general del estándar ISO 31000 (Fuente: PECB, Professional Evaluation and Certification Board; ISO, International Standards Organization)
Como puede verse en la gráfica, el estándar proporciona una estructura que puede ser implementada dentro de una organización como una capacidad para la gestión de riesgos, y que puede aplicar de manera cruzada en la organización, asegurando la identificación, análisis, evaluación y tratamiento de todos los riesgos relevantes. A continuación, una descripción general del estándar:
· La cláusula 3, Principios y la cláusula 4.2 Mandate and commitment, buscan establecer la forma en que el proceso de Gestión de riesgos debe llevarse a cabo en la organización, y la responsabilidad de la alta dirección sobre este proceso.
· La cláusula 4 establece la creación del marco de referencia para la gestión de riesgos como un proceso que está basado en el ciclo de Deming (plan-do-check-act) y que asegura la mejora continua de este proceso.
· La cláusula 5 establece el proceso de gestión de riesgos tal como se ha descrito en este documento, iniciando por la definición de los medios de comunicación para el proceso de gestión y el establecimiento de contexto para la definición del apetito de riesgo de la organización, siguiendo con el proceso de identificación, análisis, evaluación y tratamiento antes descritos, y finalizando con el monitoreo y revisión del proceso.
Cabe aclarar que este estándar, es NO certificable para organizaciones, por lo que no se presenta en forma de un sistema de gestión. La certificación en ISO 31000 actualmente está disponible solo para personas, esta es la razón por la cual el estándar ISO 31000 se muestra como un marco de referencia.
Conclusiones
Todas las empresas y organizaciones están expuestos a diferentes riesgos, determinados por factores diversos como el mercado al cual están dirigidos, los materiales que utilizan para crear sus productos, el tipo de servicios que ofrecen, la estructura misma de la organización, los clientes con los que trabajan, etc. Bajo estas circunstancias es crítico en una organización identificar de manera adecuada los riesgos a los que están expuestos y asegurar que se establece un proceso de Gestión de riesgos empresariales que permita identificar, analizar, evaluar y tratar riesgos dentro de una organización, de una manera consistente. La aplicación de un marco de referencia como ISO 31000 asegura que el proceso de Gestión de Riesgos sea aplicable de manera consistente y a través de toda la organización, proporcionando la visibilidad necesaria para la alta dirección de los riesgos, y poder tomar decisiones informadas sobre la manera de mitigarlos en caso de ser necesario.
Me gustaría saber sus opiniones en los comentarios de abajo.
Gestión de Riesgos
