Una vez identificados todos los riesgos asociados de la realización de las actividades de la empresa, así como de sus objetivos y contexto de la misma, se deben definir los criterios que se aplicarán para evaluarlos y determinar su significancia. En este artículo, se describe qué aspectos se deben tener en cuenta para definir y establecer estos criterios.
En esta ocasión la norma de referencia que nos recomienda qué aspectos tener en cuenta a la hora de definir los criterios del riesgo en un sistema de gestión es la norma ISO/IEC 31010:2019 "Gestión de riesgos. Técnicas de evaluación de riesgos."
Para poder definir los criterios por los que se va a evaluar un determinado riesgo, implica realizar un análisis para posteriormente tomar decisiones y decidir sobre qué criterio es el apropiado para cada tipo de riesgo identificado.
Se puede consultar el siguiente enlace para visualizar el mapa del proceso asociado a la Gestión de riesgo: Proceso de la gestión de riesgos
Los criterios de riesgo desempeñan un papel fundamental en los sistemas de gestión, ya que ayudan a evaluar y priorizar los riesgos potenciales en una organización. Existen diferentes aspectos a considerar al establecer estos criterios, como la forma en que se expresan las probabilidades, la determinación del nivel de riesgo, la identificación de cuándo un riesgo requiere tratamiento, la aceptabilidad y tolerabilidad del riesgo, así como la consideración de las combinaciones de riesgos.
En la siguiente tabla se exponen los diferentes aspectos que se deben tener en cuenta a la hora de diseñar y definir los criterios a aplicar para evaluar un determinado riesgo:
El primer paso que se debe realizar, es sin duda, la de clasificar los riesgos en función de su naturaleza y agruparlos en función de sus consecuencias. Los criterios no serán los mismos para riesgos derivados de un aspecto que pueda ocasionar un impacto ambiental, que un riesgo asociado a un objetivo, como por ejemplo, un aumento de recursos de la empresa, como en el caso del riesgo asociado a una oportunidad de mejora como puede ser la apertura de nuevas sucursales. Para cada uno de los riesgos que se identifiquen se deberán establecer aquellos criterios adecuados.
En un sistema de gestión, los riesgos pueden clasificarse en función de su naturaleza y consecuencias para facilitar su identificación, evaluación y tratamiento. A continuación, se presentan algunas formas de clasificar los riesgos en un sistema de gestión:
Clasificación según la naturaleza del riesgo
a) Riesgos operacionales. Estos riesgos están relacionados con las diferentes actividades que se realizan en cualquier proceso de la empresa; como por ejemplo, errores o incidencias en los sistemas, errores humanos, problemas de suministro o de logística, accidentes laborales, incremento de desperdicios, problemas de coordinación entre procesos...
b) Riesgos económicos o financieros. Estos riesgos se refieren a la capacidad de una organización para gestionar sus recursos financieros y realizar acciones que puedan comprometer o impactar significativamente en relación al aspecto económico. Pueden incluir riesgos como la volatilidad de los mercados financieros, fluctuaciones en los tipos de cambio, incumplimientos de pago, problemas de crédito o financiación, endeudamiento, inflacción, imposibilidad de pagar a los trabajadores, problemas de cobros...
c) Riesgos estratégicos. Estos riesgos están relacionados con la capacidad de una organización para alcanzar sus objetivos estratégicos a corto, medio y largo plazo. Pueden incluir riesgos como cambios en el mercado, competencia, avances tecnológicos o cambios en las políticas gubernamentales.
d) Riesgos legales y regulatorios. Estos riesgos se refieren al cumplimiento de las leyes, regulaciones y normativas que son de aplicación para la empresa. Los principales riesgos asociados a este aspecto, pueden ser los litigios legales, sanciones por incumplimiento, cambios normativos, entre otros.
e) Riesgos de seguridad. Estos riesgos están relacionados con la seguridad de las personas, los activos y la información de una organización. Pueden incluir riesgos como ciberataques, robos, vandalismo, desastres naturales...
Clasificación según las consecuencias del riesgo
a) Riesgos de seguridad y salud de los trabajadores. Estos riesgos pueden tener consecuencias para la seguridad y la salud de los empleados y otras personas relacionadas con la organización. Pueden incluir riesgos como lesiones laborales, enfermedades profesionales, accidentes graves, entre otros. En aquellas empresas en que tengan implementado un sistema de gestión de seguridad y salud, basado en la ISO 45001:2018, deberán tener una identificación, evaluación y tratamiento de los riesgos asociados a esta disciplina para cumplir con los requisitos de la norma.
b) Riesgos financieros. Estos riesgos pueden tener un impacto en la situación financiera de una organización. Pueden incluir riesgos como, por ejemplo, pérdidas económicas, deterioro del valor de los activos, falta de liquidez, entre otros.
c) Riesgos operacionales o de producción. Estos riesgos pueden afectar la eficiencia y eficacia de los procesos operativos de una organización. Pueden incluir riesgos, como por ejemplo, interrupciones en la cadena de suministro, fallas en los sistemas de información, pérdida de productividad...
d) Riesgos reputacionales. Estos riesgos pueden afectar la imagen y la reputación de una organización, lo que a su vez puede tener consecuencias en la confianza de los clientes, socios comerciales y la comunidad en general. Pueden incluir riesgos como escándalos, mala calidad de los productos o servicios, malas prácticas empresariales, entre otros.
e) Riesgos legales y regulatorios. Estos riesgos pueden dar lugar a consecuencias legales y regulatorias, como multas, sanciones, demandas, pérdida de licencias, entre otros.
Al clasificar los riesgos en función de su naturaleza y consecuencias en un sistema de gestión, se facilita la comprensión de los diferentes tipos de riesgos a los que una organización puede estar expuesta. Esto a su vez permite priorizar y asignar recursos de manera efectiva para su tratamiento y control.
En relación a lo explicado anteriormente, a continuación se muestran algunos ejemplos de criterios para valorar los riesgos asociados a:
- Un aspecto derivado de una actividad de la empresa que pueda ocasionar un impacto ambiental atmosférico, los criterios de evaluación más utilizados suelen ser los siguientes: la medición del grado de emisión de componentes en la atmósfera, el grado de toxicidad de dichos componentes, la frecuencia de emisión (se conocen mediante analíticas periódicas), la proximidad o lejanía del límite legal permitido... En estos casos, cada uno de los criterios se clasifican y se les da una puntuación. En función del resultado de combinar todos estos criterios en una fórmula, se podrá disponer de un valor en el que se podrá decidir la significancia del riesgo.
- El riesgo asociado al cumplimiento de un objetivo. Por ejemplo, la empresa establece que durante el siguiente ejercicio debe ampliar la plantilla de trabajadores en un 50%, los riesgos asociados podrían ser la cancelación del contrato que es el motivo de la necesidad de más recursos y posteriormente no se podría cubrir el coste que supone el despido del personal contratado, o bien, debido al aumento tan significativo de trabajadores la empresa no puede destinar el tiempo adecuado para su formación, ocasionando así errores en la realización del trabajo, puedo ocasionar insatisfacción del cliente en el producto final recibido.
- El riesgo asociado a una oportunidad de mejora. Por ejemplo, abrir una nueva sucursal con la finalidad de aumentar las ventas. En este caso, los riesgos pueden llegar a ser muy variados, puede depender que el análisis de mercado en la nueva ubicación se ajuste a la realidad, que el personal encargado y las políticas aplicar lleguen a los nuevos clientes, que exista la demanda del producto o servicio prevista, que los requisitos legales y apertura de la actividad en la nueva ubicación, se ajusten a los costes previstos, que se consiga la financiación prevista y que se amortice tal y como se realizó en los estudios previos... si cualquiera de las situaciones anteriores se desvia considerablemente de la previsión sus consecuencias pueden ser catastróficas para la empresa.
Aspectos para definir los criterios del riesgo
La manera en que se expresan las probabilidades es crucial para comprender la probabilidad de que ocurra un riesgo en particular. Esto implica establecer un sistema claro y coherente para cuantificar y comunicar las probabilidades. Puede basarse en una escala numérica o en categorías como baja, media y alta, dependiendo de las necesidades y características específicas de la organización.
Por otro lado, es importante determinar el nivel de riesgo asociado con cada posible evento adverso. Esto implica evaluar tanto la probabilidad de ocurrencia como el impacto potencial en caso de que ocurra el riesgo. La combinación de estas dos variables permite clasificar los riesgos en diferentes niveles, como bajo, moderado o alto, lo que facilita la priorización y asignación de recursos para su tratamiento.
Análisis de los riesgos tras aplicar los criterios definidos:
Se deben establecer criterios claros para decidir cuándo un riesgo necesita tratamiento. Esto implica identificar los umbrales o límites que indican cuándo un riesgo es lo suficientemente significativo como para requerir acciones de mitigación o control. Estos criterios pueden basarse en la evaluación de los impactos potenciales, la probabilidad de ocurrencia o una combinación de ambos.
En función del análisis que se realice para determinar que un determinado riesgo necesita tratamiento, se deben establecer criterios para determinar cuándo un riesgo es aceptable y/o tolerable. Es decir, a partir de qué valor se va a considerar que un riesgo necesita un determinado tratamiento para minimizar el impacto negativo que va a tener si ocurre. Esto implica definir los límites o niveles de riesgo que la organización está dispuesta a aceptar sin implementar medidas adicionales de mitigación. Estos criterios pueden estar basados en políticas internas, regulaciones externas, estándares de la industria u otros factores relevantes.
Por último, es necesario considerar las combinaciones de riesgos. Algunos riesgos pueden interactuar o combinarse, lo que puede generar impactos más significativos que los riesgos individuales por separado. Por lo tanto, los sistemas de gestión deben tener en cuenta la posibilidad de combinaciones de riesgos y establecer criterios para evaluar y tratar estos escenarios complejos de manera adecuada.
Por lo tanto, la forma en que se expresan las probabilidades, se determina el nivel de riesgo, se decide el tratamiento necesario, se establecen los criterios de aceptabilidad y tolerabilidad, así como se consideran las combinaciones de riesgos, son aspectos clave a tener en cuenta para una gestión efectiva de los riesgos en cualquier contexto organizacional.
0 comments:
Publicar un comentario