La gestión de riesgos es el proceso de identificar, evaluar y controlar las amenazas al capital y las ganancias de una organización. Estas amenazas, o riesgos, podrían provenir de una amplia variedad de fuentes, incluida la incertidumbre financiera, las responsabilidades legales, los errores de gestión estratégica, los accidentes y los desastres naturales. Las amenazas de seguridad de Tecnologías de la Información (TI) y los riesgos relacionados con los datos, y las estrategias de gestión de riesgos para aliviarlos, se han convertido en una prioridad para las empresas digitalizadas . Como resultado, un plan de gestión de riesgos incluye cada vez más los procesos de las empresas para identificar y controlar las amenazas a sus activos digitales, incluidos los datos corporativos patentados, la información de identificación personal (PII) de un cliente y la propiedad intelectual.
Toda empresa y organización se enfrenta al riesgo de eventos inesperados y dañinos que pueden costarle dinero a la empresa o hacer que cierre permanentemente. La gestión de riesgos permite a las organizaciones intentar prepararse para lo inesperado minimizando los riesgos y los costos adicionales antes de que sucedan.
Importancia
Al implementar un plan de gestión de riesgos y considerar los diversos riesgos o eventos potenciales antes de que ocurran, una organización puede ahorrar dinero y proteger su futuro. Esto se debe a que un plan de gestión de riesgos sólido ayudará a una empresa a establecer procedimientos para evitar amenazas potenciales, minimizar su impacto en caso de que ocurran y hacer frente a los resultados. Esta capacidad de comprender y controlar el riesgo permite a las organizaciones tener más confianza en sus decisiones comerciales. Además, los principios sólidos de gobierno corporativo que se centran específicamente en la gestión de riesgos pueden ayudar a una empresa a alcanzar sus objetivos.
Otros beneficios importantes de la gestión de riesgos incluyen:
Crea un entorno de trabajo seguro para todo el personal y los clientes.
Aumenta la estabilidad de las operaciones comerciales al mismo tiempo que disminuye la responsabilidad legal.
Brinda protección contra eventos que son perjudiciales tanto para la empresa como para el medio ambiente.
Protege a todas las personas y activos involucrados de posibles daños.
Ayuda a establecer las necesidades de seguros de la organización para ahorrar en primas innecesarias.
También se ha revelado la importancia de combinar la gestión de riesgos con la seguridad del paciente. En la mayoría de los hospitales y organizaciones, los departamentos de gestión de riesgos y seguridad del paciente están separados; incorporan liderazgo, objetivos y alcances diferentes. Sin embargo, algunos hospitales están reconociendo que la capacidad de brindar atención al paciente segura y de alta calidad es necesaria para la protección de los activos financieros y, como resultado, debe incorporarse a la gestión de riesgos.
En 2006, el Virginia Mason Medical Center en Seattle, Washington, integró sus funciones de gestión de riesgos en su departamento de seguridad del paciente, creando finalmente los métodos de gestión del Virginia Mason Production System (VMPS). VMPS se centra en mejorar continuamente el sistema de seguridad del paciente aumentando la transparencia en la mitigación de riesgos, la divulgación y los informes. Desde la implementación de este nuevo sistema, Virginia Mason ha experimentado una reducción significativa en las primas profesionales hospitalarias y un gran aumento en la cultura de presentación de informes.
Estrategias y procesos de gestión de riesgos
Todos los planes de gestión de riesgos siguen los mismos pasos que se combinan para formar el proceso general de gestión de riesgos:
Establece el contexto. Comprenda las circunstancias en las que se desarrollará el resto del proceso. También se deben establecer los criterios que se utilizarán para evaluar el riesgo y se debe definir la estructura del análisis.
Identificación de riesgo. La empresa identifica y define los riesgos potenciales que pueden influir negativamente en un proceso o proyecto específico de la empresa.
Análisis de riesgo. Una vez que se identifican los tipos específicos de riesgo, la empresa determina las probabilidades de que ocurran, así como sus consecuencias. El objetivo del análisis de riesgos es comprender mejor cada instancia específica de riesgo y cómo podría influir en los proyectos y objetivos de la empresa.
Evaluación y valoración de riesgos. Luego, el riesgo se evalúa más a fondo después de determinar la probabilidad general de ocurrencia del riesgo combinada con su consecuencia general. Luego, la empresa puede tomar decisiones sobre si el riesgo es aceptable y si la empresa está dispuesta a asumirlo en función de su apetito por el riesgo .
Mitigación de riesgos . Durante este paso, las empresas evalúan sus riesgos más altos y desarrollan un plan para aliviarlos mediante controles de riesgo específicos. Estos planes incluyen procesos de mitigación de riesgos, tácticas de prevención de riesgos y planes de contingencia en caso de que el riesgo se materialice.
Seguimiento de riesgos . Parte del plan de mitigación incluye el seguimiento tanto de los riesgos como del plan general para monitorear y rastrear continuamente los riesgos nuevos y existentes. El proceso general de gestión de riesgos también debe revisarse y actualizarse en consecuencia.
Comunicarse y consultar. Se debe incluir a los accionistas internos y externos en la comunicación y consulta en cada paso apropiado del proceso de gestión de riesgos y con respecto al proceso en su conjunto.
Las estrategias de gestión de riesgos también deben intentar responder las siguientes preguntas:
¿Qué puede ir mal? Considere tanto el lugar de trabajo en su conjunto como el trabajo individual.
¿Cómo afectará a la organización? Considere la probabilidad del evento y si tendrá un impacto grande o pequeño.
¿Qué se puede hacer? ¿Qué medidas se pueden tomar para prevenir la pérdida? ¿Qué se puede hacer para recuperar si se produce una pérdida?
Si pasa algo, cómo lo pagará la organización?
Enfoques de gestión de riesgos
Una vez que se identifican los riesgos específicos de la empresa y se ha implementado el proceso de gestión de riesgos, hay varias estrategias diferentes que las empresas pueden tomar con respecto a los diferentes tipos de riesgo:
Evitación de riesgos . Si bien la eliminación completa de todos los riesgos rara vez es posible, una estrategia de prevención de riesgos está diseñada para desviar tantas amenazas como sea posible a fin de evitar las costosas y perjudiciales consecuencias de un evento dañino.
Reducción de riesgos . A veces, las empresas pueden reducir la cantidad de daño que ciertos riesgos pueden tener en los procesos de la empresa. Esto se logra ajustando ciertos aspectos de un plan de proyecto general o proceso de la empresa, o reduciendo su alcance.
Riesgo compartido. A veces, las consecuencias de un riesgo se comparten o distribuyen entre varios de los participantes del proyecto o departamentos comerciales. El riesgo también podría compartirse con un tercero, como un proveedor o socio comercial.
Retención de riesgos. A veces, las empresas deciden que un riesgo vale la pena desde el punto de vista comercial y deciden mantener el riesgo y lidiar con las posibles consecuencias. Las empresas a menudo mantendrán un cierto nivel de riesgo si la ganancia anticipada de un proyecto es mayor que los costos de su riesgo potencial.
Limitaciones
Si bien la gestión de riesgos puede ser una práctica extremadamente beneficiosa para las organizaciones, también deben considerarse sus limitaciones. Muchas técnicas de análisis de riesgos, como la creación de un modelo o una simulación, requieren la recopilación de grandes cantidades de datos. Esta extensa recopilación de datos puede ser costosa y no se garantiza que sea confiable.
Además, el uso de datos en los procesos de toma de decisiones puede tener malos resultados si se utilizan indicadores simples para reflejar las realidades mucho más complejas de la situación. Del mismo modo, adoptar una decisión a lo largo de todo el proyecto que estaba destinada a un pequeño aspecto puede generar resultados inesperados.
Otra limitación es la falta de tiempo y experiencia en análisis. Se han desarrollado programas informáticos para simular eventos que puedan tener un impacto negativo en la empresa. Si bien son rentables, estos programas complejos requieren personal capacitado con habilidades y conocimientos integrales para comprender con precisión los resultados generados. El análisis de datos históricos para identificar riesgos también requiere personal altamente capacitado. Es posible que estas personas no siempre estén asignadas al proyecto. Incluso si lo son, con frecuencia no hay tiempo suficiente para recopilar todos sus hallazgos, lo que genera conflictos.
Otras limitaciones incluyen:
Una falsa sensación de estabilidad. Las medidas de valor en riesgo se centran en el pasado en lugar del futuro. Por lo tanto, cuanto más tiempo transcurran sin problemas, mejor se verá la situación. Desafortunadamente, esto hace que sea más probable una recesión.
La ilusión de control. Los modelos de riesgo pueden dar a las organizaciones la falsa creencia de que pueden cuantificar y regular todos los riesgos potenciales. Esto puede hacer que una organización descuide la posibilidad de riesgos nuevos o inesperados. Además, no hay datos históricos para nuevos productos, por lo que no hay experiencia en la que basar los modelos.
No ver el panorama completo. Es difícil ver y comprender la imagen completa del riesgo acumulativo.
La gestión de riesgos es inmadura. Las políticas de gestión de riesgos de una organización están subdesarrolladas y carecen del historial para realizar evaluaciones precisas.
Estándares de gestión de riesgos
Desde principios de la década de 2000, varios organismos gubernamentales y de la industria han ampliado las reglas de cumplimiento normativo que examinan los planes, políticas y procedimientos de gestión de riesgos de las empresas. En un número creciente de industrias, las juntas directivas deben revisar e informar sobre la idoneidad de los procesos de gestión de riesgos corporativos . Como resultado, el análisis de riesgos, las auditorías internas y otros medios de evaluación de riesgos se han convertido en componentes importantes de la estrategia empresarial.
Los estándares de gestión de riesgos han sido desarrollados por varias organizaciones, incluido el Instituto Nacional de Estándares y Tecnología (NIST) y la Organización Internacional de Normalización (ISO). Estos estándares están diseñados para ayudar a las organizaciones a identificar amenazas específicas, evaluar vulnerabilidades únicas para determinar su riesgo, identificar formas de reducir estos riesgos y luego implementar esfuerzos de reducción de riesgos de acuerdo con la estrategia organizacional.
Los principios de ISO 31000, por ejemplo, proporcionan marcos para las mejoras del proceso de gestión de riesgos que pueden ser utilizados por las empresas, independientemente del tamaño de la organización o del sector objetivo. La ISO 31000 está diseñada para "aumentar la probabilidad de lograr los objetivos, mejorar la identificación de oportunidades y amenazas, y asignar y utilizar eficazmente los recursos para el tratamiento de riesgos", según el sitio web de ISO. Aunque ISO 31000 no se puede utilizar con fines de certificación, puede ayudar a proporcionar una guía para la auditoría de riesgos interna o externa, y permite a las organizaciones comparar sus prácticas de gestión de riesgos con los puntos de referencia reconocidos internacionalmente.
La ISO recomienda que las siguientes áreas objetivo, o principios, sean parte del proceso general de gestión de riesgos:
El proceso debe crear valor para la organización.
Debe ser una parte integral del proceso organizativo general.
Debe tener en cuenta el proceso general de toma de decisiones de la empresa.
Debe abordar explícitamente cualquier incertidumbre.
Debe ser sistemático y estructurado.
Debe basarse en la mejor información disponible.
Debe adaptarse al proyecto.
Debe tener en cuenta los factores humanos, incluidos los posibles errores.
Debe ser transparente e integral.
Debe ser adaptable al cambio.
Debe ser monitoreado y mejorado continuamente.
Las normas ISO y otras similares se han desarrollado en todo el mundo para ayudar a las organizaciones a implementar sistemáticamente las mejores prácticas de gestión de riesgos . El objetivo final de estos estándares es establecer marcos y procesos comunes para implementar eficazmente las estrategias de gestión de riesgos.
Estos estándares a menudo son reconocidos por organismos reguladores internacionales o por grupos industriales objetivo. También se complementan y actualizan periódicamente para reflejar las fuentes de riesgo empresarial que cambian rápidamente . Aunque el cumplimiento de estas normas suele ser voluntario, los reguladores de la industria o los contratos comerciales pueden exigir su cumplimiento.
Ejemplos de gestión de riesgos
Un ejemplo de gestión de riesgos podría ser una empresa que identifique los diversos riesgos asociados con la apertura de una nueva ubicación. Pueden mitigar los riesgos eligiendo ubicaciones con mucho tráfico peatonal y poca competencia de negocios similares en el área.
Otro ejemplo podría ser un parque de diversiones al aire libre que reconozca que su negocio depende completamente del clima. Para aliviar el riesgo de un gran golpe financiero cuando hay una mala temporada, el parque puede optar por gastar constantemente poco y acumular reservas de efectivo.
Otro ejemplo más podría ser un inversor que compra acciones de una empresa nueva y emocionante con una alta valoración a pesar de que saben que las acciones podrían caer significativamente. En esta situación, la aceptación del riesgo se muestra cuando el inversor compra a pesar de la amenaza, sintiendo que el potencial de la gran recompensa supera el riesgo.
Autora: Margaret Rouse Referencia: Tech Target
ESTUDIA EN LA ESCUELA SUPERIOR DE NEGOCIOS
¡SIN IMPORTAR DÓNDE ESTÉS!
Whatsapp: Click en la imagen o digita +52 81 1783 2250