Gestión de riesgos: ¿Cómo hacer una evaluación de riesgos? ¿Cómo buscar soluciones?
La gestión de riesgos es una disciplina muy estudiada desde la mitad del Siglo XX y cada vez más aplicada en las empresas, que sirve para anticipar y solventar todo tipo de riesgos que podrían poner en peligro el negocio.
Otra definición muy extendida de “qué es la gestión del riesgo”, habla de anticipar las amenazas de una organización para convertirlas en oportunidades (tal y como está contemplado en los Análisis DAFO).
¿Qué es un riesgo?
Un riesgo es todo aquel evento o circunstancia que podría perjudicar o poner en peligro el resultado esperado de una actividad.
Para una empresa, un riesgo puede ser perder a sus clientes principales, tener problemas con los proveedores, recibir una multa significativa, tener problemas de financiación, ocurrir un accidente grave, entre muchos otros. En general, cualquier evento posible que pusiera en riesgo su supervivencia, su línea de negocio o su viabilidad.
Del mismo modo, también podríamos aplicar la gestión de riesgos para nuestra vida personal, contemplando los riesgos que nos pueden pasar en nuestra vida diaria.
Tipos de riesgos
Hay muchos tipos de riesgos, y muchas formas de clasificarlos. Vamos a ver a continuación algunas de ellas:
Según su origen, pueden ser riesgos internos o externos (dependiendo si su causa viene de la propia organización, o de fuera de ella).
Según su causa, pueden ser riesgos de acciones fortuitas (por ejemplo un desastre natural), o de acciones intencionadas (como por ejemplo de que un empleado descontento haga una acción indeseada).
Según su ámbito, pueden ser riesgos estratégicos (pérdida de clientes, problemas con proveedores…), riesgos del mercado (aparición de competidores o de productos sustitutivos…), riesgos económicos o financieros (problemas de liquidez, aumento del precio de materias primas…), riesgos de producción (escasez de materias primas, rotura de una máquina…), riesgos laborales (todo lo referente a PRL), riesgos ambientales (incendios, inundaciones…), etc.
Análisis y evaluación: Clasificación de los riesgos para priorizarlos según su importancia
Para poder gestionar los riesgos eficazmente, una de las fases más importantes es el Análisis y Evaluación. Este paso sirve para clasificar los riesgos según su relevancia, y así poder jerarquizar cuales son los más relevantes, y cuales son los menos.
Esta evaluación de los riesgos se suele hacer estableciendo criterios numéricos, en función de dos parámetros:
– Impacto: Es la gravedad que tendría el riesgo en el caso de producirse. Puede ser catastrófico, grave, moderado, leve o inocuo.
– Probabilidad: Son las posibilidades de que el riesgo llegue a ocurrir. Pueden ir desde certeza (100%), muy probable, poco probable, improbable, e imposible (0%). A esta escala le podríamos añadir también la probabilidad de repetición: ¿El riesgo puede suceder una vez, o varias?
Una vez asignados los valores de impacto y probabilidad, los multiplicamos para sacar el “índice de riesgo”. A partir de esta multiplicación, tendremos un valor numérico para cada riesgo, que nos permitirá clasificarlos en función de su relevancia.
Indice de riesgo = Impacto * Probabilidad
Los riesgos con mayor índice serán los que debamos gestionar prioritariamente, mientras que los de menor índice los podemos obviar. (Otra manera similar de hacer esto es usar un Análisis AMFE).
De forma alternativa, si no se quiere calcular el indice de riesgo, otra opción más sencilla es situar los riesgos en una tabla como la siguiente:
Esto permite hacer una evaluación sencilla y rápida, donde se preste más atención a los riesgos más relevantes (zona roja), y menos a los poco relevantes (zona verde).
Fases de la gestión de riesgos
Una vez definidos los riesgos y habiendo hablado de los criterios para su clasificación, vamos a tratar de forma resumida los cuatro pasos que la mayoría de metodologías contemplan para la gestión del riesgo:
Paso 1 – Identificación: El primer paso trata de hacer un estudio inicial donde se identifiquen los riesgos más importantes que podrían sucedernos en el futuro.
Para hacerlo, podemos crear una lista con posibles situaciones, sus causas y consecuencias. Algunas herramientas para simplificar esta tarea son los brainstormings (lluvia de ideas), los diagramas causa-efecto, los análisis DAFO, el estudio de sucesos pasados o de situaciones similares, análisis QFD, etc.
Paso 2 – Análisis y evaluación: Deberemos analizar cada uno de los riesgos y categorizarlos según la clasificación descrita anteriormente atendiendo a los criterios de impacto y probabilidad. Calcularemos el “índice de riesgo”, o bien haremos una «tabla probabilidad-impacto» para priorizar los riesgos más relevantes.
Se recomienda definir un valor mínimo de relevancia, por debajo del cual no se consideren los riesgos poco relevantes. Este valor umbral dependerá de nuestro nivel de tolerancia al riesgo (o sea, según la cantidad de riesgo que estemos dispuestos a asumir).
Paso 3 – Toma de medidas: Este paso consiste en coger cada uno de los riesgos más relevantes y tomar una decisión sobre cómo actuar en cada caso para gestionarlo de la mejor manera posible.
Se puede actuar de las siguientes formas:
– Evitar el riesgo. Tomar medidas para que no se llegue a producir. (Por ejemplo, si el riesgo está en una actividad concreta, cambiar esa actividad por otra).
– Reducir el riesgo. Reducir la probabilidad de ocurrencia, o el impacto posible. (Por ejemplo, reforzando las medidas de seguridad).
– Actuar sobre el riesgo. Consiste en tomar acciones para que si se produce el riesgo, no nos afecte negativamente. (Por ejemplo, contratando un seguro que nos indemnice si ocurre).
– Controlar el riesgo. Consiste en no tomar ninguna acción en el momento, pero controlar la evolución de la situación para poder tomar acciones en el futuro.
– Asumir el riesgo. Si el riesgo es poco relevante, podemos decidir no tomar ninguna acción. (A veces tomar medidas es más costoso que asumir las posibles pérdidas, en esos casos «la mejor acción es no hacer nada«).
Paso 4 – Seguimiento: Finalmente, se debe realizar un seguimiento para controlar los eventos futuros, aprender de las situaciones pasadas y evitar que los riesgos se repitan.
Estos cuatro pasos son muy similares a los del Ciclo PDCA. En otras fuentes, estos pasos pueden variar ligeramente, no obstante las metodologías de gestión de riesgos suelen ser siempre muy similares.
La gestión del riesgo en los sistemas integrados
– Requisitos sobre análisis de riesgos en las normas ISO 9001 (calidad), ISO 14001 (medio ambiente) y OHSAS 18001 (PRL):
La nueva versión de la ISO9001, publicada el año 2015, incluye como nuevos requisitos para los sistemas de Gestión de Calidad, el realizar un análisis de los riesgos que les puedan afectar a los procesos. La forma de realizar este análisis la deja a nuestra elección, por lo que para implantarla se puede usar la metodología descrita en este articulo, o bien cualquier otra.
Además, la ISO 14001 sobre medio ambiente y la OHSAS 18001 sobre Prevención de Riesgos Laborales también hacen referencia al analisis de los riesgos en sus respectivos ámbitos. De hecho, ya desde hace muchos años, en los Manuales de Gestión Ambiental (o Planes Ambientales, o equivalente) se incluye una evaluación de posibles riesgos ambientales y del impacto ambiental de las actividades, así como medidas preventivas y correctivas para gestionarlos. Del mismo modo, en las actividades de PRL también se realiza un análisis de los riesgos relativos a posibles accidentes o situaciones perjudiciales para los trabajadores.
– La ISO 31000 sobre principios y directrices de la gestión del riesgo:
Para terminar con este artículo, podemos nombrar también la norma ISO 31000 “Gestión del riesgo. Principios y directrices.” (ver más sobre normas ISO aquí). Esta norma trata en profundidad todo lo relativo a la gestión de riesgos, y está pensada específicamente para implantar una metodología sistematizada de gestión de riesgos dentro del sistema de gestión de las organizaciones.
Autor: Jorge Jimeno Bernal
Excelente información..! .que me genera una, mejor comprensión del tema…