No cabe duda alguna de que la identificación y evaluación de riesgos (con sus mapas de riesgos) actualmente supone uno de los pilares ineludibles de la gestión de cualquier empresa(con sus mapas de riesgos). En un contexto cada vez más globalizado y expuesto a constantes cambios que pueden afectar a las empresas de un modo u otro, lograr anticiparse a situaciones que puedan suponer un impacto negativo dota a las mismas de una ventaja competitiva que redundará en la consecución de sus objetivos.
En este sentido, las organizaciones han de ser capaces de implementar procedimientos que les habiliten para la identificación de las potenciales amenazas que puedan impactar negativamente en sus procesos, servicios o actividades, así como proceder al análisis de las medidas de control que ya se encuentren implementados y que sirvan para mitigar la probabilidad y el impacto en caso de materialización de dichas amenazas. Además, deberán ser capaces de adoptar medidas adicionales para reducir aquellos riesgos que superen el nivel de riesgo aceptable por la empresa.
Gestión y mapa de Riesgos con ISO 31000
A tales efectos, la norma UNE- ISO 31000 ofrece una descripción detallada del proceso de gestión de riesgos de forma sistemática y prevé una serie de principios cuyo cumplimiento garantiza una eficaz gestión del riesgo. Cabe destacar que, si bien dicha norma no es certificable, proporciona a las empresas enormes beneficios. Como la propia norma indica, “el propósito de la gestión del riesgo es la creación y la protección del valor, la mejora del desempeño, fomentar la innovación y contribuir al logro de objetivos”. Pero ¿Cuáles son los principios que hay que atender para lograr esta gestión del riesgo eficaz y eficiente?
- Gestión del riesgo integrada: la gestión del riesgo debe ser parte integral de todas las actividades de la organización.
- Gestión estructurada y exhaustiva que contribuya a resultados coherentes y comparables.
- Gestión adaptada y proporcional al contexto interno y externo de la organización.
- Gestión inclusiva que logre una participación apropiada por parte de todas las partes interesadas implicadas.
- Gestión dinámica, dado que los riesgos pueden aparecer, cambiar o desaparecer y la entidad deberá ser capaz de anticiparse, detectar, reconocer y responder a estos cambios de forma apropiada.
- Mejor información disponible, tanto histórica como actualizada, así como las expectativas.
- Factores humanos y culturales que influyen considerablemente en todos los niveles y etapas de la gestión del riesgo.
- Mejora continua.
Cómo elaborar un mapa de riesgos
Centrándonos ya en el propio proceso de elaboración del mapa de riesgos, es preciso señalar que el mismo consta de las siguientes etapas:
- Identificación del riesgo: dicha fase consiste en la búsqueda, reconocimiento y descripción de los distintos riesgos que puedan interferir en la consecución de los objetivos de la organización. Para una correcta identificación de los diferentes riesgos, será preciso reunirse con aquellas personas que conozcan de forma apropiada toda la información sobre cada una de las áreas y/o procesos de la organización y, por ende, sean capaces de llevar a cabo dicho proceso de identificación.
- Análisis de riesgo: Esta es la fase en la que se considera detalladamente “la incertidumbre, fuentes de riesgos, consecuencias, probabilidades, eventos, escenarios, controles y su eficacia”. En esencia, se establece la probabilidad de ocurrencia del riesgo, así como el impacto de sus consecuencias, a través de su calificación y su evaluación. Ello con la finalidad de establecer de la manera más precisa posible, el nivel de riesgo de la entidad.
- Evaluación del riesgo: Tras la realización del análisis de riesgo, es necesario analizar los resultados obtenidos para tomar decisiones en relación con el tratamiento de riesgo. Esta fase de análisis y decisión, se denomina evaluación del riesgo. De forma general, se plantean cuatro formas de tratamiento para los riesgos obtenidos:
- Reducir el nivel de riesgo implantando en la organización con las medidas que se consideren oportunas.
- Transferir el riesgo a un tercero, bien puede ser a través de la contratación de un seguro o directamente externalizar la actividad para que sea la organización contratada la que gestione el riesgo.
- Aceptar el riesgo, de forma que la organización no realiza actividad alguna y asume las consecuencias en caso de que la amenaza se materialice.
- Cancelar la actividad asociada con el riesgo, eliminando la probabilidad de ocurrencia.
- Tratamiento del riesgo: tratar el riesgo supone la selección e implementación de opciones que permitan abordar el riesgo. Dicho tratamiento del riesgo implica que respecto a aquellos riesgos que no sean asumidos por la entidad, se debe establecer un plan de tratamiento que incluya la definición de medidas a implementar, plazos, responsables y descripción de las actividades a realizar. En este sentido, será necesario llevar un seguimiento periódico de la ejecución del plan de tratamiento que permita conocer el estado actual de la implantación de cada una de las medidas.
Beneficios de la gestión de mapas de riesgos con un software
Tras la revisión de todo el proceso enmarcado en la norma UNE- ISO 31000, se hace inevitable pensar que, para su implementación eficiente y eficaz en nuestra organización, es necesario el uso de una herramienta informática que automatice el proceso. Éste se trata de un trabajo colaborativo entre varias áreas de la organización, donde cada una tiene unas responsabilidades diferentes, pero que, en definitiva, la suma de todas ellas consigue el objetivo final.
Los beneficios de implementar una plataforma software de gestión de riesgos son muy numerosos. A continuación, se destacan tres de los más importantes:
- Identificación centralizada de todos los riesgos que serán objeto de análisis. La información obtenida de las reuniones de trabajo con los diferentes responsables de área y/o proceso puede estructurarse en forma de catálogo de riesgos que serán utilizados posteriormente para el análisis de los riesgos. Estos catálogos permitirán tener una base de conocimiento de los riesgos tipo de la organización, los cuales podrán reaprovecharse para nuevas áreas y/o procesos similares en el futuro.
- Establecimiento de un proceso automatizado para el análisis de riesgos. Contar con una herramienta software, con las suficientes medidas de integridad, permitirá que el análisis de riesgos realizado por cualquier responsable arroje siempre resultados comparables, al evitar la modificación del cálculo de estos. Además, si este proceso se automatiza a través del envío de cuestionarios de evaluación, permite la reducción de tiempos para la obtención de toda la información.
- Consolidación y trazabilidad de todos los riesgos. Disponer de toda la información centralizada en un mismo lugar permite que la información completa de la organización esté consolidada y se obtenga trazabilidad de los resultados finales. Además, la realización y presentación de informes consolidados se realizará de forma sencilla y rápida, además de evitar errores manuales en el tratamiento de la información obtenida de forma disgregada.
Asimismo, desde GlobalSuite Solutions te ayudamos en la implantación de tu sistema de gestión de riesgos a través del software, y de esta forma estará integrado perfectamente en tu organización consiguiendo las siguientes ventajas:
- Aumentarás la probabilidad de lograr los objetivos de negocio;
- Mejorarás la identificación de oportunidades y amenazas;
- Aumentarás la confianza de las partes interesadas;
- Mejorarás los controles;
- Asignarás y utilizar los recursos para el tratamiento de los riesgos de manera eficaz y
- Mejorarás la prevención de pérdidas y la gestión de incidentes.