La gestión de riesgos en una organización se refiere al proceso de identificar, evaluar y mitigar los riesgos que pueden afectar el logro de los objetivos y el éxito de la organización. Es una disciplina que implica la identificación sistemática de los riesgos potenciales, la evaluación de su impacto y probabilidad, y la implementación de estrategias para controlar o reducir esos riesgos.
La gestión de riesgos es un proceso que involucra una serie de actividades secuenciales e interrelacionadas que deben llevarse a cabo. En este artículo, se describirán detalladamente las diferentes etapas y actividades necesarias para lograr una gestión efectiva y adecuada de los riesgos asociados a una empresa o proyecto.
Con el fin de establecer el proceso de gestión de riesgos, se toma como referencia el apartado 6 "proceso" de la norma ISO 31000:2018 "Gestión de riesgo - Directrices". Esta norma es ampliamente recomendada por las normas ISO que establecen los requisitos de los sistemas de gestión, ya que todas ellas hacen hincapié en la importancia de la gestión de riesgos como requisito fundamental.
En el siguiente esquema se muestra las diferentes actividades que son necesarias en el proceso:
Tal y como se describe en la norma de referencia, como en el esquema anterior, la gestión de riesgos de una organización está formada por las siguientes etapas:
Comunicación y consulta. Esta etapa implica establecer un proceso de comunicación efectivo para compartir información relevante sobre los riesgos tanto dentro como fuera de la organización. Se busca involucrar a todas las partes interesadas y fomentar la participación activa en la gestión de riesgos.
Definición del alcance y contexto interno y externo. Aquí se identifican y establecen los límites y la extensión de la gestión de riesgos en la organización. Se consideran tanto los factores internos, como la cultura organizacional, los recursos y los objetivos, como los factores externos, como el entorno empresarial, los requisitos legales y las expectativas de las partes interesadas. Normalmente, se aprovecha el misma matriz DAFO que se define para la organización para identificar el contexto de la organización, pero en algunas ocasiones se realiza una específica para la gestión de riesgos. En aquellos casos en que se esté realizando para un proyecto concreto y no para la organización, si que se deberá realizar una específica para ello.
Definición de los criterios del riesgo. En esta etapa se establecen los criterios para evaluar y comparar los riesgos identificados. Estos criterios pueden incluir la evaluación del impacto potencial, la probabilidad de ocurrencia, los límites de tolerancia y otros factores relevantes para la organización. Habitualmente se incluye en el procedimiento donde se explica la metodología a seguir en relación a la gestión de riesgos.
Evaluación del riesgo. Aquí se lleva a cabo la identificación, el análisis y la valoración de los riesgos identificados. Se busca comprender la naturaleza de los riesgos, sus causas y consecuencias, y evaluar su importancia relativa para la organización. Esto proporciona una base para la toma de decisiones informada sobre la priorización de los riesgos y la asignación de recursos para su gestión.
Tratamiento del riesgo: En esta etapa se selecciona un método de tratamiento apropiado para abordar los riesgos identificados. Esto implica desarrollar e implementar planes de tratamiento específicos para cada riesgo, que pueden incluir estrategias como la mitigación, la transferencia, la aceptación o la evitación de riesgos. Se busca reducir la probabilidad de ocurrencia de los riesgos, minimizar su impacto o encontrar formas de aprovechar las oportunidades asociadas con ellos. En la planificación se deben incluir la descripción de las acciones a realizar para mitigar el riesgo, los recursos necesarios, el responsable de llevarlo a cabo y el tiempo de ejecución previsto. Todos los aspectos que se deben tener en cuenta en la planificación deben irse ajustando a la realidad a medida que se va ejecutando.
Seguimiento y revisión: Esta etapa implica el monitoreo continuo de los riesgos y la efectividad de las medidas de tratamiento implementadas. Se revisan regularmente los cambios en el entorno empresarial y se actualizan los planes de tratamiento según sea necesario. Además, se lleva un registro adecuado de los riesgos, las acciones tomadas y los resultados obtenidos, y se informa de manera apropiada a las partes interesadas relevantes. En el caso de detectarse desviaciones o incidencias (no conformidades) se documentarán y se aplicarán las acciones correctoras oportunas para corregirlas y poder cumplir con los objetivos marcados en relación a la gestión de riesgos de la empresa.
Es importante destacar que estas etapas forman un ciclo continuo de gestión de riesgos, donde la información y los aprendizajes obtenidos en una etapa retroalimentan y mejoran las etapas posteriores. Por ese motivo existen flechas en el esquema. Si tras una re-evaluación del riesgo se determina que el plan de tratamiento del riesgo no ha servido para mitigar o eliminar el riego identificado, o bien se tendrá que definir un nuevo tratamiento o bien se deberá ir un poco más atrás y analizar de nuevo el riesgo y sus causas, con a finalidad de acertar en el muevo tratamiento a aplicar.
Por supuesto, y como pasa con los demás procesos de la empresa, el proceso de gestión de riesgos debe estar documentado e incluido en el sistema de gestión de la organización.
En los próximos artículos os explicaré en detalle cada una de las etapas anteriores definidas, ya que cada una requiere tener en cuenta varios conceptos, métodos y técnicas para poder desarrollarlos.
Felicitaciones Adriana por este documento y los anteriores, me han servido mucho para mis clases, por lo sencillo y practico que planteas los temas, felicitaciones de veras jose brando venezuela
ResponderEliminarMuchas gracias @jose brando asesor sistema de gestión por su comentario. Me alegra saber que es de interés y ayuda. Un saludo y que tenga muy buen día.
Eliminar