¿Por qué es importante la gestión de riesgos?
Empecemos entendiendo el concepto de riesgo: normalmente entendemos los riesgos como amenazas, sin embargo, la definición del riesgo es mucho más amplia, el riesgo se define como el efecto de la incertidumbre que puede haber para conseguir los objetivos, es decir, es la posibilidad de que ocurra algo (puede ser positivo o negativo) que tenga un impacto en el alcance de los resultados esperados. Siendo así, la gestión de riesgos se vuelve un tema muy estratégico, pues está ligado con los resultados que puede alcanzar la compañía, además, entendiendo con la definición que acabamos de dar que los riesgos pueden ser amenazas o también oportunidades.
¿Qué tipos de riesgos puede enfrentar una compañía?
- Riesgos económicos: asociados a la incertidumbre que produce el rendimiento de la inversión de capital de trabajo que pone la compañía para desarrollar su actividad económica, se materializan por oportunidades o amenazas externas o por decisiones tomadas en el interior de la compañía. Afectan principalmente los beneficios monetarios.
- Riesgos financieros: conocido como riesgo de crédito o de insolvencia, se relaciona con la incertidumbre de que la empresa no pueda responder en algún momento por sus obligaciones financieras. Se relacionan con la inversión, diversificación, expansión, financiación, entre otros.
- Riesgos ambientales: son riesgos a los cuales se expone la compañía cuando operan en ambientes hostiles sea por temas naturales o sociales, se generan por causas externas.
- Riesgos políticos: se derivan se circunstancias políticas del entorno donde la empresa desempeña su actividad, pueden ser gubernamentales (cambios en el gobierno) o extralegales (terrorismo, revoluciones, movilizaciones, etc.).
- Riesgos legales: temas normativos que pueden obstaculizar o facilitar el rol de la empresa en un lugar determinado.
- Riesgos reputacionales: riesgos que por causa de algún evento sirvan para que el público general estigmatice la empresa con una connotación (generalmente negativa), afectando directamente las alianzas y las ventas de esta.
¿En qué se basa la cultura de riesgos de una compañía?
La adopción de la cultura de riesgos en una organización depende de varios factores, algunos organizacionales y otros que tienen que ver con cada uno de los individuos.
Factores conectados con el individuo:
- Predisposición personal al riesgo: cada persona tiene una percepción del riesgo, algunas personas son más optimistas, otras son más cautelosas, otras más conformes u otras más resilientes, etc. Lo ideal es tener un balance en el equipo de diferentes percepciones de riesgo.
- La ética personal: cada individuo tiene un balance de valores que influyen en la manera como deciden las cosas, hay quien tiende a obedecer más las reglas, otros actúan desde la empatía y otros desde su lado más racional. Lo ideal es desarrollar una cultura abierta, donde las personas se sientan cómodas de actuar como consideran que es correcto.
- El comportamiento: la cultura no es más que el comportamiento repetido de los miembros del equipo de trabajo, por lo tanto, es importante identificar cómo se comportan los líderes para que repliquen ese comportamiento en sus equipos de trabajo.
Factores relacionados con la organización:
- Cultura organizacional: se debe tener en cuenta si la compañía tiene una estructura jerárquica, igualitaria o autónoma, ya que de eso depende cómo se pueda implementar la cultura en todos los niveles.
- Apetito del riesgo: es importante establecer la cantidad máxima de riesgo que puede tolerar la organización para la consecución de sus objetivos y se debe tener en cuenta también la capacidad que tienen las diferentes áreas de la compañía para responder ante la materialización de los riesgos.
¿Cuáles son los principios que se deben tener en cuenta para la gestión de riesgos?
De acuerdo con la norma ISO 31000, la gestión de riesgos efectiva debe contar con diferentes elementos, a continuación, exponemos los que consideramos clave:
- Debe ser integrada a los procesos, es decir, debe hacer parte de las actividades del día a día de la compañía.
- Es parte fundamental para la toma de decisiones en la organización.
- Trata la incertidumbre de forma explícita, es decir, hace consciente a cada empleado que la incertidumbre es parte natural de la existencia de la compañía.
- Debe ser sistemática, estructurada y adecuada, es decir, debe tener un enfoque exhaustivo y estar adaptada al contexto interno y externo de la organización.
- Está basada en fuentes de información, es decir, la gestión de riesgos requiere de información clara, oportuna y disponible para la organización, de eso depende que los riesgos que se identifiquen sean los pertinentes. Esto solo es posible con la inclusión de las partes interesadas adecuadas.
- Debe estar alineada con el perfil o apetito de riesgo de la organización.
- Toma en cuenta los factores humanos y culturales, se entiende que estos influyen considerablemente en las etapas de la gestión del riesgo.
- Responde continuamente al cambio, entendiendo que los riesgos aparecen, se modifican o desaparecen de acuerdo con las circunstancias de los contextos de la compañía.
- Facilita la mejora continua, mediante el aprendizaje y la experiencia que genera la gestión de los riesgos, se pueden implementar acciones de mejora en diferentes niveles de la organización.
¿Qué pasos debo seguir para la gestión de riesgos?
- Antes que cualquier cosa, lo primero que debemos hacer es Identificar los riesgos, para esto, es indispensable pensar en el contexto de la empresa, tanto interno como externo e identificar los factores críticos y las actividades que forman parte de la operación de la compañía, es importante involucrar a todo el equipo de trabajo para que cada uno desde su rol indique los eventos que pueden causar un riesgo.
- Una vez identificados, los riesgos se deben medir y analizar, es decir, se les debe dar una calificación.
Cuando hablamos de riesgos es inevitable pensar en los conceptos de Probabilidad e Impacto, ya que son estas variables las que definen la criticidad de un riesgo.
Vamos a definir entonces lo que significa cada una de estas variables:
La probabilidad es la posibilidad que existe de que ocurra el evento o riesgo que estamos formulando, la podemos definir de manera cuantitativa o cualitativa, a continuación, ponemos un ejemplo:
| Escala de probabilidad | Calificación | Criterio |
| Alta | 3 | El evento se puede presentar más de una vez al semestre |
| Media | 2 | El evento se puede presentar al menos una vez al año |
| Baja | 1 | El evento se puede presentar menos de una vez al año |
El impacto, trata de evaluar las consecuencias que puede tener la empresa en caso de que ocurra el evento generador del riesgo. Pretende determinar el nivel de daño o pérdida que se puede ocasionar como consecuencia del riesgo. A continuación, un ejemplo de su escala de calificación:
| Escala de impacto | Calificación | Criterio |
| Alta | 3 | Impacta la reputación de la compañía o puede tener implicaciones legales |
| Media | 2 | No pone en riesgo la reputación de la compañía ni tiene implicaciones legales |
| Baja | 1 | No tiene consecuencias que impacten el negocio |
Es necesario asignar estas escalas y dejar claramente definidos los criterios de calificación de estas variables de tal manera que se pueda establecer claramente a cada riesgo en cual escala de probabilidad e impacto se encuentra ubicado.
Al tener claras las escalas anteriores, se debe clasificar cada uno de los riesgos inherentes, es decir, los riesgos existentes antes de la implementación de cualquier control para su prevención o mitigación (más adelante tendremos en cuenta los controles implementados), para esto, se debe definir el mapa de calor o de clasificación de riesgo, la cual va a depender de su probabilidad e impacto, para cada combinación posible de probabilidad y de impacto, se debe dar una clasificación del riesgo, un ejemplo puede ser el que se presenta a continuación:
Riesgo inherente = Probabilidad * Impacto
| Impacto | ||||
| Bajo | Medio | Alto | ||
| Probabilidad | Alto | Moderado (3) | Alto (6) | Crítico (9) |
| Medio | Bajo (2) | Moderado (4) | Alto (6) | |
| Bajo | Bajo (1) | Bajo (2) | Moderado (3) | |
- Teniendo la clasificación del riesgo, se debe entonces identificar los controles que se han implementado hasta ahora a cada uno de estos riesgos. Para esto, se deben tener en cuenta los procedimientos, políticas con que cuente la organización, prácticas, guías o instructivos que tenga implementados la compañía. Los controles se pueden clasificar en varios tipos así:
- Control preventivo: se aplica sobre la causa del riesgo con el fin de disminuir la probabilidad de la ocurrencia
- Control detectivo: se ejecuta para detectar situaciones anormales con el fin de mitigar en la mayor medida posible la materialización de riesgo o el impacto de este.
- Control correctivo: se aplica luego de materializar el evento de riesgo, tratando de minimizar su impacto.
Los controles también se pueden clasificar por su nivel de automatización o por su grado de madurez.
- Al tener los controles identificados y clasificados de acuerdo con nuestra escala, se procede a calcular el riesgo residual, es decir, el riesgo al que queda expuesta la empresa con los controles implementados hasta el momento.
Riesgo residual = Riesgo inherente * calificación del control
Según la calificación de los controles implementados, se puede realizar la clasificación del riesgo residual, determinando por ejemplo si el control modifica la probabilidad o el impacto puede incluso utilizarse el mismo mapa de calor anteriormente expuesto.
Ejemplo: si tengo un riesgo inherente crítico (probabilidad y riesgo altos) y encuentro que el control implementado para el riesgo inherente puede bajarme la probabilidad a un nivel bajo, quiere decir que el riesgo residual será Moderado.
- De esta manera, para cada clasificación del riesgo residual, de acuerdo con el apetito de riesgo de la compañía, se debe determinar un tratamiento al riesgo, es decir, cuál debe ser la directriz respecto a ese riesgo. Un ejemplo puede ser determinar que para los riesgos críticos se deben tomar acciones inmediatas, cuya implementación implique menos de 2 horas o indicar que para los riesgos altos se deben tomar acciones que se puedan implementar en un periodo de una semana, etc.
¿Qué herramientas pueden ayudar a la gestión de riesgos?
Para realizar los pasos descritos anteriormente, lo más recomendable es utilizar como herramienta una Matriz de riesgos, en ella se pueden enunciar cada uno de ellos con su calificación, clasificación de riesgo inherente, sus controles, su riesgo residual y finalmente sus medidas o plan de tratamiento.
La matriz se vuelve un elemento bastante útil en la gestión de riesgos porque permite ver todos los riesgos de forma estructurada y se vuelve fácil realizar su actualización y monitoreo. Es muy recomendable también que cada uno de los riesgos en la compañía tengan un propietario, con el fin de que esta persona se encargue de gestionar los planes de tratamiento y se encargue de disminuir al máximo la clasificación del riesgo.
Otras herramientas que pueden ser útiles son la implementación de políticas que definan lineamientos al equipo de trabajo sobre la gestión de los riesgos, los procedimientos que pueden servir para establecer controles a las actividades que se desarrollan y pueden ayudar a mitigar riesgos, etc.
¿Qué obstáculos puedo encontrar al implementar la gestión de riesgos?
- Resistencia al cambio: se debe hacer un trabajo de comunicación y concientización fuerte con el equipo de trabajo previo a la implementación de un modelo de gestión de riesgos para que las personas entiendan la importancia y sepan que es un proceso dinámico y de mejora continua.
- Inmediatez: se debe estar dispuesto a convenir un plazo realista para la implementación del modelo, ya que es un tema que requiere tiempo. Además, es recomendable asignar un equipo de trabajo que lidere la implementación y garantizar que cuenta con los recursos para ejecutar la tarea.
- Diferencias de criterios: es ideal tener un equipo de trabajo variado y aunque en la gestión de riesgos deben estar involucrados gran cantidad de miembros del equipo, se deben tener claros y definidos los criterios para evitar conflictos entre las personas.
- Falta de un coordinador: debe haber líderes que direccionen el proceso de implementación.
Conclusiones:
Finalmente, para que en una compañía se pueda adoptar una cultura de riesgos, se debe tener en cuenta que es necesario el compromiso de la alta dirección, donde se expliquen las expectativas y se comunique al personal sobre la implementación de la gestión de riesgos, además debe haber unos roles y responsabilidades definidos para que los riesgos realmente se gestionen y monitoreen constantemente; para que sea de utilidad, las decisiones que se tomen deben tener en cuenta los riesgos identificados y es importante actualizar de forma permanente los conocimientos de las personas para la mitigación de los riesgos a su cargo y vigilar y actualizar el apetito de riesgo de la compañía.
El éxito fundamental de la cultura de riesgos se basa en su constante actualización, la gestión de riesgos no puede ser un ejercicio que se realice una única vez, requiere que se esté actualizando a medida que cambie cualquier aspecto en el contexto interno y externo de la compañía.
Recuerda que Affirmatum puede ser una ayuda para tus riesgos financieros, podemos ser la solución que necesitas para momentos de falta de liquidez.
Autor: Marcela Naranjo Correa
Descripción Autor: Ingeniera industrial de la Universidad EIA, MBA con énfasis en gerencia de proyectos, con 10 años de experiencia.
Teniendo un mundo tan dinámico, donde las circunstancias cambian de manera muy rápida y el entorno es impredecible, se hace cada vez más necesario para las compañías contar con una cultura de riesgos que les permita realizar la gestión de estos de una manera eficaz, por esto, traemos a continuación algunos elementos que pueden ayudar en tu compañía a la implementación de una cultura de riesgos.
Si quieres lograr tus objetivos en ventas y crecimiento, este tema es para ti
