Introducción a La Gestión de Riesgos
Introducción a la Gestión de Riesgos INTRODUCCIÓN A LA GESTIÓN DE RIESGOS EMPRESARIALES J. B. Madrigal, Diciembre 2004
Views 113 Downloads 0 File size 186KB
Recommend stories
- Author / Uploaded
- Nathan Soto
Citation preview
Introducción a la Gestión de Riesgos
INTRODUCCIÓN A LA GESTIÓN DE RIESGOS EMPRESARIALES
J. B. Madrigal, Diciembre 2004
1
Introducción a la Gestión de Riesgos
Introducción a la Gestion de Riesgos Contenido Prólogo........................................................................................................................................3 ¿Qué es un riesgo? ....................................................................................................................4 ¿Qué es la Gestión de Riesgos? ...............................................................................................4 ¿Cómo funciona la Gestión de Riesgos? ................................................................................5 ¿Cómo se inserta la gestión de riesgos en la estrategia empresarial? ...............................6 El contexto de los riesgos .........................................................................................................6 Contexto de los riesgos.............................................................................................................7 Identificación de los riesgos.....................................................................................................7 Matriz de Riesgos......................................................................................................................9 Análisis de los riesgos ............................................................................................................10 Evaluación de los riesgos .......................................................................................................10 Nivel de riesgo.........................................................................................................................12 Prioridad de los Riesgos.........................................................................................................12 Tratamiento de los riesgos .....................................................................................................13 Control de los riesgos .............................................................................................................13 Distribución de los riesgos.....................................................................................................14 Comunicación de los riesgos .................................................................................................15 Plan de Acción para Riesgos .................................................................................................15 Cerrando el ciclo......................................................................................................................15 Anexo 1 Matriz de Riesgos ...................................................................................................16 Anexo 2 Matriz de Riesgos (ejemplo)..................................................................................17 Anexo 3 Registro de Evaluación de Riesgos (ejemplo)....................................................18 Anexo 4 Registro de tratamiento de los riesgos (ejemplo)................................................19 Anexo 5 Plan de Acción de Riesgos ...................................................................................20 Referencias ...............................................................................................................................21
J. B. Madrigal, Diciembre 2004
2
Introducción a la Gestión de Riesgos
Prólogo Lloyd’s Register Quality Assurance en Cuba está comprometido con ayudar a sus clientes a mejorar su gestión empresarial más allá del ámbito y requisitos utilizados para la certificación de sus sistemas de gestión. La gestión de riesgos es una herramienta de dirección en la que se sustentan los sistemas de gestión modernos y está destinada a ayudar en la toma de decisiones en los diferentes niveles de la organización. Este documento tiene el propósito de inducir a las empresas a adoptar la gestión de riesgos en sus actividades empresariales y ayudarles a ponerla en práctica. El contenido del documento ha sido estructurado siguiendo el proceso utilizado en la práctica para llevar a cabo la identificación, análisis, evaluación y tratamiento de los riesgos con un enfoque empresarial que, a pesar de ser un proceso complejo, se ha tratado de mostrar de la forma más simple posible, con la intención de que pueda ser utilizado como una guía de referencia para todo aquel personal de la empresa involucrado en cualquiera de las etapas mencionadas. En la preparación de este documento se han tomado conceptos, informaciones y referencias de documentos publicados que reflejan la práctica actual. La redacción de este documento es responsabilidad exclusiva del autor y aunque se ha tomado el mayor cuidado en ello, no asume ninguna responsabilidad por el uso del contenido del mismo por ninguna persona o entidad. Asimismo, Lloyd’s Register Quality Assurance Ltd. queda eximido de cualquier responsabilidad antes sus clientes y o terceras partes por el contenido y uso de este documento.
Juan B. Madrigal La Habana, diciembre 2004
No se permite la reproducción y / o distribución de este documento por cualquier medio para fines comerciales. Cualquier reproducción para uso no comercial de este documento deberá ser integra y no parcial.
J. B. Madrigal, Diciembre 2004
3
Introducción a la Gestión de Riesgos
Introducción a la Gestión de Riesgos ¿Qué es un riesgo? Es el resultado de la probabilidad o frecuencia de ocurrencia de un peligro definido (problema, fallo, accidente, catástrofe natural, fraude, error humano, etc.) y de la severidad o magnitud de las consecuencias de este hecho indeseable en caso de que ocurra. El concepto de riesgo tiene dos elementos, la probabilidad de que algo suceda y las consecuencias en caso de que suceda. El nivel de riesgo relaciona la frecuencia o probabilidad de que ocurra un hecho y las consecuencias potenciales (el impacto o magnitud del efecto) que generaría el hecho en caso de ocurrir. En la medida que la frecuencia o el impacto aumenten, aumentará el nivel de riesgo, y viceversa. El nivel de riesgo está influenciado por cualquier control, o acción, actualmente implementada para minimizar la probabilidad de ocurrencia o sus consecuencias.
¿Qué es la Gestión de Riesgos? Es la aplicación sistemática de políticas, procedimientos y prácticas para identificar, analizar, evaluar, tratar y dar seguimiento a los riesgos. Esencialmente la Gestión de Riesgos implica el anticipar qué puede ir mal , porqué puede ocurrir y qué puede realizarse para evitar o disminuir el riesgo. La Gestión de riesgos es aplicable a todo el ámbito empresarial, en cualquier fase de un programa, proceso, actividad, proyecto, etc., así como en todos los niveles de la organización, tanto estratégico como operacional. A nivel estratégico, los riesgos son el impacto actual o previsto en los resultados empresariales debido a decisiones inadecuadas, inapropiada implementación de las decisiones o falta de respuesta ante los cambios (industria, mercado, política, sociedad, leyes, tecnología, etc.). Este riesgo está en función de la compatibilidad entre los objetivos estratégicos de una organización, las estrategias empresariales desarrolladas para alcanzar estos objetivos, los recursos asignados para lograr estos objetivos y la calidad de la implementación de las estrategias. A nivel operacional, los riesgos surgen de la posibilidad de sistemas de información y operación inadecuados, fallos en los controles internos, fraudes, catástrofes o eventos imprevistos, resulten en perdidas o daños inesperados. Gestionar los riesgos no significa que los riesgos se prevengan o eviten completamente. El nivel de riesgo relaciona la posibilidad de que algo suceda (i.e. su frecuencia o probabilidad) y las consecuencias potenciales (i.e. su impacto o severidad del efecto). El nivel de riesgo está influenciado por cualquier control o disposición implementada para minimizar la posibilidad de ocurrencia o sus consecuencias. J. B. Madrigal, Diciembre 2004
4
Introducción a la Gestión de Riesgos
El diseño e implementación de los sistemas de control y registros de las operaciones empresariales se fundamentan en numerosas decisiones basadas en análisis de riesgos, aunque en las empresas hoy en día estas decisiones aún se hacen intuitivamente con mucha frecuencia. La adopción formal de los principios de gestión de riesgos no tiene la intención de introducir complejidad innecesaria o niveles de burocracia en sus prácticas actuales, sino que tiene el propósito de introducir un enfoque sistemático a lo que usted ya hace, y por tanto mejorar la responsabilidad y el desempeño de la organización. Para comprender los riesgos empresariales se requieren tres condiciones básicas: 1. El conocimiento detallado de los procesos empresariales. 2. Una imaginación activa y las herramientas para generar ideas sobre los posibles efectos de los riesgos. 3. Una estructura de riesgo y un lenguaje común para discutir los riesgos.
¿Cómo funciona la Gestión de Riesgos?
Seguimiento y Revisión continua de las etapas de gestión de los riesgos
Las seis etapas del proceso se puede mostrar con el siguiente diagrama de flujo.
Establecer el contexto de los riesgos
Identificación de los riesgos
Análisis de los riesgos
Evaluación de los riesgos
Identificar y definir el ambiente político, social, económico, legal y organizativo dentro del cual se lleva a cabo la actividad, el proceso, la decisión, etc. incluyendo el desarrollo de los criterios, políticas y estrategias de riesgos. Identificar los activos y recursos que la organización utiliza para operar y los riesgos potenciales (¿qué puede ocurrir?) sobre ellos, dentro del contexto, identificando, a su vez, para cada riesgo el cómo, cuándo, dónde, porqué y cómo puede ocurrir, quiénes pueden estar involucrados y qué consecuencias puede tener.
Determinar la ocurrencia (frecuencia) y la severidad de las consecuencias de cada problema y estimar el nivel del riesgo, tomando en consideración los controles existentes que pudieran detectar o prevenir los riesgos potenciales o indeseables. Evaluar y priorizar los riesgos considerando el grado de control sobre cada uno, incluyendo su costo, el beneficio y las oportunidades presentadas, y decidir cuales riesgos son inaceptables y categorizarlos para actuar sobre ellos.
Determinar si el riesgo es tolerable. Si lo es, monitorizar el mismo. Si no es tolerable, adoptar un tratamiento. si ¿Tolerable?
no
Tratamiento de los riesgos
J. B. Madrigal, Diciembre 2004
Identificar, evaluar y seleccionar las opciones de tratamiento de los riesgos, tomando en consideración la relación costo-beneficio, las medidas que se necesitan aplicar para ayudar a minimizar los riesgos inaceptables y/o su impacto, y preparar e implementar planes de acción.
5
Introducción a la Gestión de Riesgos
¿Cómo se inserta la gestión de riesgos en la estrategia empresarial? Para las empresas, la gestión de riesgos significa planificarse para las desviaciones potenciales de los resultados esperados. Aunque la mayoría de las organizaciones y sus gerentes han establecidos objetivos y un plan para alcanzarlos, eventos internos y cambios externos a la empresa pueden interrumpir el camino hacia los objetivos o presentar oportunidades inesperadas. Aquel que reconoce esta posibilidad y establece planes para responder eficazmente, está practicando la gestión de riesgos. En la práctica, la gestión de riesgos no es más que una parte de la buena gestión empresarial, a través del reconocimiento de la existencia diversos eventos y planificando la posibilidad de que ocurran. La gestión empresarial incluye el riesgo como un factor más para llevar a cabo la toma de decisiones. La gestión de riesgos no es un proyecto con vida limitada, que concluye una vez que se han logrado los objetivos previamente definidos, sino que es parte integral del proceso continuo de gestión empresarial, es una forma de pensar y un patrón para trabajar en toda la organización, que forma parte de todo lo que se hace en la empresa. Al analizar los requisitos de los modelos de sistemas de gestión establecidos por normas reconocidas internacionalmente, vemos que están estructurados con un enfoque de gestión de los riesgos en el ámbito de actividad que cubren, por ejemplo: • ISO 9001 para sistemas de gestión de la calidad, incorpora la gestión de los riesgos relacionados con el logro de la satisfacción de los clientes y el cumplimiento de los requisitos reglamentarios dando como resultado el control de todos los aspectos que influyen en la calidad de los servicios o productos, • ISO 14001 para sistemas de gestión medioambiental, incorpora la gestión de los riesgos relacionados con la protección del medio ambiente y el cumplimiento de las regulaciones, dando como resultado el establecimiento de controles para la prevención de la contaminación y el manejo de los residuos y planes de contingencia, • OHSAS 18001 para sistemas de gestión de salud y seguridad laboral, incorpora la gestión de los riesgos relacionados con la prevención de accidentes y enfermedades ocupacionales resultando en el establecimiento de prácticas y controles para evitar daños a las personas en sus lugares de trabajo. • Como las empresas tienen cada vez más responsabilidades corporativas con terceras partes (todas las partes interesadas), hoy día es común que se establezcan sistemas de “Control Interno” que incorpora la gestión de los riesgos para: el logro de los objetivos básicos de las empresas, incluyendo su desempeño, la rentabilidad y la protección de los recursos; la confiabilidad de los informes financieros; y el cumplimiento de las leyes y regulaciones a las que está sujeta la actividad empresarial en cuestión.
El contexto de los riesgos La identificación, los criterios para determinar la tolerabilidad y la estrategia a seguir con los riesgos estará determinada por el contexto en que estos se desarrollan, tomando en consideración a todas las partes interesadas en las actividades para las cuales se gestionan los riesgos. Por ello, para cada actividad cuyos riesgos se pretenden gestionar, es necesario J. B. Madrigal, Diciembre 2004
6
Introducción a la Gestión de Riesgos
establecer claramente cuales son las expectativas con relación a los riesgos que se tienen en los ámbitos político, social, económico, empresarial, cultural, educacional, organizativo, gubernamental, etc. Sociedad Política educacional e instituciones educacionales
Empresas, Grupos empresariales
Gobierno Mercado y clientes Propietarios y accionistas
Riesgos
Inversionistas
Sindicatos
Estado Cultura Organizaciones políticas y sociales
Prensa
Contexto de los riesgos
Identificación de los riesgos El primer paso es identificar todos aquellos activos y recursos que la organización utiliza para operar y alcanzar sus objetivos. Los activos tangibles, financieros y recursos de la empresa, tales como maquinaria, suministros, empleados, capital e instalaciones o edificaciones, son fáciles de identificar. Sin embargo, hay otros activos y recursos que pueden ser menos obvios, por ejemplo: la competencia de los directivos, la cuota de mercado, la capacidad de crédito, la cartera de clientes, la reputación, las virtudes de los servicios o productos y los presupuestos de los insumos que la organización utiliza para producir sus servicios o productos. Algunos de los activos y recursos que necesita una empresa para lograr sus objetivos pueden ser: • Activos intangibles Reputación de la empresa, capacidad de obtener créditos, ética comercial, marca, cuota de mercado, objeto social aprobado. • Activos tangibles y recursos financieros Edificios e instalaciones, maquinaria, propiedades, inventarios, materias primas, dinero, créditos. • Recursos humanos Conocimiento, competencia, habilidades y compromiso de los empleados y directivos. J. B. Madrigal, Diciembre 2004
7
Introducción a la Gestión de Riesgos
•
•
• •
•
Ingresos y derechos o autorizaciones Ingresos de recursos financieros para cubrir los gastos de operación incluyendo los pagos por bienes y servicios, autorización para operar en zonas francas o para participar en operaciones comerciales. Presupuestos de gastos Presupuestos de gastos para los servicios (electricidad, agua, comunicaciones, etc.), materias primas, inventarios, suministros, salarios y beneficios, transportación, alquileres o hipotecas, impuestos, embarques, publicidad, alquiler de equipos y mantenimiento. Clientes Grupo de clientes a quienes sirve la empresa. Suministradores Suministradores de materias primas, de insumos y otros suministros, telecomunicaciones, electricidad, agua, higiene, personal, formación, verificación y certificación por terceras partes, servicios bancarios, mantenimiento, otros servicios, seguros. Sociedad Comunidad donde se desarrolla o tiene impacto la actividad empresarial, tanto territorial, nacional como internacional.
Para cada uno de los activos y recursos de la empresa pueden haber un número de riesgos potenciales que es necesario identificarlos. Algunos riesgos como huracanes, incendios y accidentes de tráfico son familiares y fáciles de identificar, pero aquellos otros riesgos que producen perdidas con poca frecuencia, que afectan solamente a algunas partes de la empresa o que son considerados generalmente como fuera del control de la organización, son más difíciles de identificar. Sin embargo, como estos riesgos pueden tener serias consecuencias para la organización, desde perdidas financieras hasta la quiebra total de la empresa, es crítico el identificarlos y analizarlos. Los riesgos generales para una empresa pueden incluir: •
• •
•
Relaciones comerciales y legales Son las relaciones comerciales definidas por contratos escritos o verbales, acuerdos de negocios o la legislación, con terceras partes, incluyendo clientes, suministradores, arrendadores, aseguradores, entidades financieras, inversionistas. Incluyen los términos y condiciones a cumplir por las partes y los requisitos especificados de los servicios o productos a suministrar. Circunstancias económicas Las características y condiciones del ámbito económico donde se desenvuelven las actividades empresariales. Comportamiento humano Toda la gama de las actividades humanas. Perdida de productividad debido a malas prácticas de dirección o poco compromiso de los trabajadores; Baja utilización de los recursos humanos; falta de liderazgo; favoritismo; falta de disciplina; decisiones inconsistentes; conflictos personales; ambiente de trabajo inadecuado; acoso sexual; excesiva presión para cumplir los objetivos sin compensación adecuada; decisiones de emplear personal inadecuado o incompetente; robo, sabotaje, soborno, fraude. Desastres por causas naturales y humanas Eventos mayores naturales (huracanes, inundaciones, etc.) y humanos (incendios, accidentes, guerras, contaminación ambiental, etc.) que causan daño significativo, destrucción o perdidas de vidas humanas.
J. B. Madrigal, Diciembre 2004
8
Introducción a la Gestión de Riesgos
•
• •
Actividades gubernamentales Todas las decisiones y funciones llevadas a cabo por el gobierno, incluyendo la adopción y aplicación de leyes y regulaciones, suministro de servicios públicos, contratación de productos y servicios a las entidades comerciales, protección de los intereses nacionales. Tecnología La dependencia de las redes informáticas, computadoras, internet y telecomunicaciones para llevar a cabo las operaciones empresariales. Obsolescencia de las instalaciones. Gestión El control estratégico y operacional sobre los planes y las operaciones empresariales para alcanzar los objetivos y metas de la organización, incluyendo la toma de decisiones. Deficiente evaluación de los planes y las operaciones; mecanismos de control inadecuados u obsoletos; prácticas inadecuadas de manipulación y almacenamiento de los recursos; conflictos entre los diversos planes, programas y objetivos; decisiones de compras o ventas inadecuadas; desactivación inadecuada de los medios básicos; mala operación de la maquinaria; deficiente diseño de los procesos o su sistema de control; instrucciones de trabajo inadecuadas; ausencia d control; baja utilización de los recursos en los procesos; decisiones inadecuadas de la dirección.
Los riesgos afectan la empresa afectando a los activos y recursos que esta dispone para alcanzar sus objetivos. Por ejemplo, si un fabricante depende de una maquinaria específica para producir su producto, cualquier evento interno o externo que pueda poner esa maquinaria fuera de operación, y por tanto interrumpir el proceso de fabricación, es una fuente de riesgo. Una nueva regulación del gobierno que prohibe el uso de la maquinaria, un desastre que impide el acceso a las instalaciones, un fuego o explosión que destruye la maquinaria, la falla de una pieza que no se puede reemplazar, sabotaje de un empleado, falta de mantenimiento, todos son riesgos que, al limitar o impedir la disponibilidad de la maquinaria, pueden causar que los resultados de la empresa se desvíen de lo esperado. Hoy en día hay muchas técnicas para ayudar a identificar los riesgos, aunque la mayoría están orientadas a los riesgos relacionados con la seguridad de las instalaciones, tales como HAZOP (Hazard and Operability Study), FMEA (Faliure Mode & Effects Analysis), OER (Operational Experience Reviews), etc. Sin embargo, como frecuentemente los errores humanos son los contribuyentes principales para los riesgos, y esto es aplicable muy especialmente al ámbito empresarial, las técnicas usualmente utilizadas para identificar estos riesgos son los Análisis de Tareas, Listas de chequeo, consulta con expertos de las actividades analizadas y los ejercicios de tormentas de ideas en grupos de trabajo.
Matriz de Riesgos El próximo paso es analizar cuidadosamente como los riesgos potenciales pueden afectar los activos y recursos de empresa y conducir a que los resultados no sean los previstos. La mejor forma de analizar los riesgos es hacerlo sistemáticamente y una matriz de riesgos (anexos 1 y 2) puede ayudar a organizar el proceso y la información. La matriz de riesgos es bastante simple de construir y utilizar, se colocan los activos y recursos en columna a la izquierda (tan desagregados como se desee) y los riesgos (tan detallados como se quiera) en fila en la parte superior. Cada celda de la matriz representa el efecto potencial de un riesgo en una categoría de activos o recursos. Este registro es una herramienta muy útil para identificar, analizar y documentar los riesgos potenciales. J. B. Madrigal, Diciembre 2004
9
Introducción a la Gestión de Riesgos
La matriz de riesgos puede ser utilizada como lista de chequeo, como ayuda a pensar en los riesgos en un ejercicio de “tormenta de ideas” y como documento de trabajo. Probablemente una matriz que incluya todos los activos y recursos y los riesgos será demasiado grande para utilizarla de forma práctica, entonces será necesario modificar la matriz y ajustarla a sus necesidades.
Análisis de los riesgos El análisis de los riesgos es el proceso de identificación de los efectos potenciales en el funcionamiento empresarial. Un detallado análisis de riesgos estudia el probable efecto de cada riesgo potencial en los activos y recursos de la organización. Al igual que para la identificación de los riesgos, existen técnicas para el análisis de los riesgos, pero probablemente, la mejor técnica para identificar los riesgos y sus consecuencias en el ámbito empresarial es, teniendo conocimiento de la actividad empresarial, utilizar la “tormenta de ideas” para crear escenarios del tipo “¿qué sucede si …..?”. Estos escenarios también nos ayudarán a identificar las acciones que pueden adoptarse para gestionar estos riesgos. Las consecuencias potenciales de un riesgo pueden diferir grandemente dependiendo del período de tiempo que duren. Un evento adverso que ocurra durante un período corto de tiempo puede resultar que las perdidas impidan a la empresa alcanzar sus objetivos; entonces la respuesta a este riesgo se concentrará principalmente en estrategias para prevenir, reducir las consecuencias o responder a los eventos adversos. Sin embargo, si el tiempo que dura ese evento adverso es largo, la empresa puede tomar otras acciones, tales como adoptar sistemas de control más eficaces para evitar o mitigar las consecuencias del riesgo. Muchas de estas acciones pueden producir mayor eficiencia y beneficios adicionales a la empresa y es aquí, en los eventos de larga duración cuando las empresas pueden sacar ventajas de los cambios del ambiente en que se desenvuelven, tales como la disponibilidad de nuevos mercados o nuevas tecnologías par mejorar su posición.
Evaluación de los riesgos Una vez que se han identificado los efectos potenciales de los riesgos deberán establecerse las prioridades para su tratamiento y control. Los dos elementos fundamentales para evaluar un riesgo son su frecuencia de ocurrencia y la severidad de las consecuencias. Es poco probable que las empresas cuenten con información numérica fiable de la probabilidad de ocurrencia de los eventos adversos y de sus consecuencias en términos financieros, puesto que en muchos casos nunca se han experimentado esos riesgos y en otros no es posible reflejar adecuadamente el costo de las perdidas en los activos menos tangibles, tales como afectación en las relaciones con los clientes, daño a la imagen de la empresa, vulnerabilidad legal, etc. Una vía para resolver estos problemas al analizar los riesgos es hacer un análisis cualitativo de la frecuencia de ocurrencia y la severidad. En la práctica, las técnicas de J. B. Madrigal, Diciembre 2004
10
Introducción a la Gestión de Riesgos
evaluación cuantitativas se utilizan fundamentalmente en aquellas funciones donde existe mucha experiencia cuantificada que permite valorar la probabilidad de ocurrencia, consecuencias y el nivel tolerable de riesgos ALARP (As Low As Reasonable Practicable), tales como la seguridad ocupacional y la prevención de accidentes. Para la evaluación de los riesgos puede utilizarse un Registro de Evaluación de Riesgos (anexo 3) , donde se incluirán todos los aspectos relacionados con el riesgo y su evaluación de forma que pueda utilizarse también para identificar las prioridades. A continuación se muestran ejemplos de evaluación cualitativa de las ocurrencias (tabla 1) y de la severidad (tabla 2) de los riesgos identificados que pueden servir de ayuda y guía. Tabla 1 Categoría de Ocurrencia 5 4 3 2 1
Casi seguro Probable Moderada Poco probable Raramente
Descripción de la Frecuencia Se espera que ocurra en la mayoría de las circunstancias Probablemente ocurrirá en la mayoría de las circunstancias Debería ocurrir en algunas circunstancias Pudiera ocurrir en algunas circunstancias Pudiera ocurrir solamente en circunstancias excepcionales
Tabla 2 Categoría de Severidad 1
2
Descripción de las Consecuencias
Insignificante
•
Baja
• • • • •
• • • 3
Media
•
•
• • •
J. B. Madrigal, Diciembre 2004
El desempeño operacional de la función/actividad/área no sería materialmente afectado. No se vería comprometida ninguna responsabilidad de la organización. Los intereses de las partes interesadas no serían afectados. La percepción pública de la organización permanecería intacta. Ligeras inconveniencias/dificultades en el desempeño operacional de la función/actividad/área. Algunas responsabilidades de la función/actividad/área estarían comprometidas, pero no afectarían la capacidad de la organización para cumplir con sus compromisos. La recuperación de las consecuencias pudiera gestionarse rápidamente sin necesidad de desviar recursos de actividades claves. Algunos efectos menores sobre los derechos de las partes interesadas. Por ejemplo, habrían alternativas para las partes interesadas. La percepción pública de la organización se alteraría ligeramente, pero no ocurrirían alteraciones ni daños significativos. El desempeño operacional de la organización estaría comprometido al punto que se requeriría la revisión de los planes para afrontar las dificultades experimentadas en la función/actividad/área. La organización experimentaría dificultades en cumplir con sus compromisos los cuales pudieran poner en peligro algunos intereses del organismo superior (grupo, ministerio, estado, etc.) La recuperación sería gradual y requeriría planes detallados a nivel corporativo desviando recursos a partir de otras actividades claves. Las partes interesadas experimentarían una dificultad considerable en ejercer sus derechos. Habría una considerable reacción pública adversa que resultaría en algún perjuicio y alteración para la organización.
11
Introducción a la Gestión de Riesgos
4
•
Muy Alta
• •
5
• • • •
Extrema
• • • •
El desempeño operacional de las funciones/actividades/áreas sería severamente afectado y la organización sería incapaz de cumplir la mayor parte de sus obligaciones y responsabilidades. Los activos y recursos de la organización pudieran reducirse significativamente. La organización no sería capaz de cumplir con la mayoría de sus compromisos eficazmente. La recuperación de las consecuencias sería muy complicada y tomaría mucho tiempo. Las partes interesadas no podrían ejercer sus derechos. La reacción pública resultaría en grandes alteraciones para la organización. La organización colapsaría y dejaría de funcionar. El desempeño operacional se vería comprometido al extremo de que la organización sería incapaz de cumplir sus obligaciones y responsabilidades en las actividades claves. Las responsabilidades de la organización estarían tan severamente comprometidas que esta no sería capaz de cumplir con sus compromisos. La organización incurriría en enormes pérdidas financieras. Las partes interesadas enfrentarían peligro para sus vidas. Grandes repercusiones adversas afectarían grandes sectores del organismo superior, los clientes y el público en general.
Nivel de riesgo Después que se han identificado los riesgos relacionados con los activos y recursos particulares y han sido introducidos en el Registro de Evaluación de Riesgos (anexo 3), se puede utilizar la tabla 3 de Nivel de Riesgo para analizar el impacto de los riesgos en la organización. Cuando haya introducido en el Registro de Riesgos, la categoría de Ocurrencia y de la Severidad y el Nivel de Riesgo, entonces se estará en capacidad de evaluar la prioridad relativa para el tratamiento de cada riesgo. Tabla 3 Ocurrencia Casi seguro Probable Moderada Poco probable Raramente
Nivel de Riesgo Severidad Extrema
Muy Alta
Media
Baja
Insignificante
Severo Severo Muy Alto Alto Significativo
Severo Muy Alto Alto Significativo Moderado
Muy Alto Alto Significativo Moderado Bajo
Alto Significativo Moderado Bajo Trivial
Significativo Moderado Bajo Trivial Trivial
Prioridad de los Riesgos La Prioridad de los Riesgos para su tratamiento estará relacionada con la ocurrencia, la severidad de las consecuencias y la detección de los riesgos. La determinación del Número de Prioridad del Riesgo RPN (Risk Priority Number) a través de un análisis S.O.D (Severidad - Ocurrencia - Detección) es una herramienta muy útil para ayudar a identificar las prioridades en el tratamiento de los riesgos. Para esto asignamos un valor a la Severidad, a la Ocurrencia y al nivel de Detección y el resultado será RPN=SxOxD. J. B. Madrigal, Diciembre 2004
12
Introducción a la Gestión de Riesgos
Mayor valor de RPN Æ Mayor prioridad. El nivel de detección del riesgo que indica la habilidad de la organización para detectar a tiempo los indicios que el riesgo se ha iniciado o va a ocurrir. Los mejores indicios son los que nos dicen, con antelación suficiente, que está ocurriendo un problema que puede ser la causa de un riesgo, de forma que pueda actuarse de acuerdo con lo previsto para evitar que se desarrolle o reducir sus consecuencias. La siguiente tabla muestra un ejemplo de las probabilidades de detección de los riesgos para ayudarle a evaluar el Nivel de Detección. Tabla 4 Nivel de Detección 5 4 3 2 1
Incierto Bajo Moderado Alto Casi cierto
Probabilidad de detección Los controles existentes no detectan el problema o no existe control Poca posibilidad de que sea detectado el problema con antelación suficiente En ocasiones se detecta el problema con antelación suficiente Alta probabilidad de ser detectado con antelación suficiente Generalmente siempre se detecta el problema con antelación suficiente
Tratamiento de los riesgos Una vez definidas las prioridades deberíamos analizar las estrategia a seguir para el tratamiento y control de cada riesgo. Para saber qué debe realizarse para protegerse contra perdidas potenciales y obtener ventajas de las oportunidades potenciales y qué estrategia dará los mayores beneficios a la empresa es necesario primero identificar las opciones de actuación que tenemos. Normalmente, la mayoría de las técnicas de respuesta a los riesgos están dentro de estas categorías: • Control de los riesgos • Distribución de los riesgos • Comunicación de los riesgos Probablemente la mayoría de las organizaciones emplearán las tres categorías para sus programas de respuesta a los riesgos. Para ayuda en la organización, discusión y selección del tratamiento de los riesgos se puede utilizar el formato del anexo 4, Registro de Tratamiento de los Riesgos.
Control de los riesgos Las estrategias de control de riesgos reducen el efecto del riesgo sobre la empresa, esto es, tienen la intención de minimizar las desviaciones de los resultados planificados. Los controles de riesgos que se llevan a cabo antes de que un evento adverso ocurra, se diseñan para reducir la frecuencia y la severidad de los eventos, y los controles que se J. B. Madrigal, Diciembre 2004
13
Introducción a la Gestión de Riesgos
llevan a cabo después de que ha ocurrido el evento, están diseñados para controlar la severidad de las perdidas. El control de los riesgos puede hacer más por la organización que reducir la exposición a los riesgos. Por ejemplo: el control de los riesgos le permite identificar oportunidades de mejora en su eficiencia, sus procesos y sus operaciones en general. Asimismo, los cambios que se hagan para enfrentar el riesgo pueden producir tanto efectos positivos como negativos, por ejemplo: sustituir un equipo envejecido y peligroso con vistas a proteger a los trabajadores puede también mejorar la eficiencia, pero de la misma forma ese equipo nuevo más eficiente y supuestamente más seguro puede simplemente crear otros peligros para los trabajadores que no existían con el equipo viejo. De modo que es imprescindible identificar tanto los efectos colaterales positivos como negativos para asegurarse que se conocen claramente los costos y beneficios de las estrategias de control de riesgo propuestas. Aunque las estrategias de control de riesgos son ilimitadas, la mayoría se enmarcan dentro de las siguientes categorías: •
Eliminar una actividad que produce un riesgo No hacer o detener algo que produce un riesgo. Esta es una estrategia muy eficaz, pero lamentablemente en la mayoría de las ocasiones poco práctica porque interfiere con la esencia de la empresa y los negocios: cuando se ponen los recursos y activos en riesgo se alcanzan beneficios. • Cambio de una actividad para reducir la posibilidad de consecuencias negativas Se pueden cambiar las actividades para reducir la frecuencia o magnitud de las perdidas potenciales. Algunos de estos cambios pueden ser en equipamiento, procesos, supervisión, registros, formación, etc. • Limitar las inversiones en nuevas oportunidades Los riesgos de una nueva oportunidad pueden controlarse limitando la inversión inicial. Esto, si bien puede limitar las perdidas si el negocio sale mal, también limita los beneficios si el negocio sale bien. • Crear y poner en práctica planes de contingencia Los planes de contingencia ayudan a facilitar y mejorar la capacidad de respuesta de las empresas ante eventos que pueden afectarla. • Gestionar los eventos para minimizar las perdidas Responder a los eventos tan pronto como ocurran para reducir los daños. Por ejemplo: una rápida y eficaz investigación y administración de las reclamaciones pueden ayudar a reducir las perdidas. Una rápida y eficaz respuesta a la perdida de recursos o activos críticos (propiedades, cartera de clientes, fuerza de trabajo, suministradores) puede ayudar a restaurar las operaciones normales más rápidamente y por tanto reducir las perdidas.
Distribución de los riesgos La distribución de los riesgos transfiere todos o parte de los riesgos de una actividad a otra parte, limitando de esta forma la exposición de la organización a los riesgos. Por ejemplo: Subcontratando actividades o servicios que de otra forma la empresa tendría que asumirlos en una forma de distribuir los riesgos. Otra forma puede ser transferir las consecuencias financieras del riesgo a una compañía de seguros. J. B. Madrigal, Diciembre 2004
14
Introducción a la Gestión de Riesgos
Comunicación de los riesgos Una comunicación eficaz involucra a todas las partes interesadas en un esfuerzo coordinado para identificar y enfrentar los riesgos y ayuda a tomar decisiones más acertadas. La comunicación interna de los riesgos involucra al personal de la empresa y la comunicación externa involucra a los clientes, suministradores, organizaciones sectoriales y sociales, gobierno, aseguradores, asesores legales, etc.
Plan de Acción para Riesgos Después de seleccionar las estrategias para enfrentar los riesgos mas significativos, se está listo para crear un Plan de Acción para los Riesgos. El plan identifica cada una de las estrategias que han sido seleccionadas, asigna responsabilidades para la implementación y establece fechas de cumplimiento de las tareas. Para cada área de riesgo se puede preparar un plan de acción. En el anexo 5 se muestra un formato de Plan de Acción de Riesgos. Como es más fácil adoptar estrategias de respuesta que aplicarlas, es necesario dar seguimiento a los resultados y hacer los cambios necesarios. El plan de acción tiene el propósito de ayudar mantener a la atención de empresa en la gestión de los riesgos.
Cerrando el ciclo El proceso de Gestión de los Riesgos nunca termina, porque los cambios en las empresas son inevitables y estos cambios siempre traen riesgos con ellos. La gestión de riesgos es eficaz si se lleva a cabo sistemáticamente, pues de lo contrario pudieran no identificarse riesgos que pueden poner en peligro la integridad de la organización. Debería establecerse un procedimiento de seguimiento y revisión de todas las etapas del proceso de gestión de riesgos que asegure que, toda vez que ocurra un cambio o aparezca una nueva fuente de riesgo, tanto interno como externo, exista un mecanismo para su detección (a través de una monitorización sistemática de todos aquellos elementos del contexto, los activos y los riesgos), identificación, análisis y evaluación los riesgos derivados de dicho cambio y se revise el plan de acción. Identificación
Seguimiento y Revisión
Gestión de los Riesgos
Análisis y Evaluación
Tratamiento
J. B. Madrigal, Diciembre 2004
15
Introducción a la Gestión de Riesgos
Anexo 1 Matriz de Riesgos Activos y recursos
Riesgos Relaciones comerciales y legales
Circunstancias económicas
Comportamiento humano
Desastres por causas naturales y humanas
Actividades gubernamentales
Tecnología
Gestión
Activos tangibles y recursos financieros Activos intangibles Recursos humanos Ingresos y derechos o autorizaciones Presupuesto de gastos Clientes
Suministradores
Sociedad
J. B. Madrigal, Diciembre 2004
16
Introducción a la Gestión de Riesgos
Anexo 2 Matriz de Riesgos (ejemplo) Activos y recursos Suministradores
Riesgos Relaciones comerciales y legales Responsabilidad por incumplimiento de contrato o pérdidas por incumplimiento de contrato por la otra parte.
Circunstancias económicas
Comportamiento humano
Malas circunstancias económicas: los suministradores pueden cerrar repentinamente y salir del mercado, dejándonos sin fuentes de suministros críticos o servicios vitales;
Problemas con la fuerza de trabajo (huelgas, etc.) no permite a los suministradores entregar las mercancías o los servicios.
(oportunidad) pueden ofertar mercancías a precio de liquidación.
J. B. Madrigal, Diciembre 2004
Desastres por causas naturales y humanas Debido a un desastre los suministradores no pueden llegar al lugar de la entrega para hacer la entrega.
Actividades gubernamentales
Tecnología
Gestión
Acciones o inacciones del gobierno no permiten a los suministradores hacer o entregar los suministros.
Depender de suministradores únicos deja a la empresa vulnerable a la perdida repentina de los suministros esenciales.
La cadena de suministro del suministrador se ve interrumpida.
Las operaciones del suministrador y su capacidad de suministro se ven afectadas por un desastre.
El gobierno no puede suministrar servicios vitales.
Los sistemas de suministro “justo a tiempo” (just in time) o de inventario mínimo dejan a la empresa vulnerable a las interrupciones de los suministros.
Interrupciones del sistema internacional, nacional o local no permite que los suministros lleguen.
Las operaciones de los transportistas se ven afectadas por un desastre.
El gobierno no puede suministrar servicios de emergencia adecuadamente (policía, bomberos, etc.)
Falla de pagar a tiempo las facturas de los suministradores.
17
Introducción a la Gestión de Riesgos
Anexo 3 Registro de Evaluación de Riesgos (ejemplo) Riesgo
Cierre repentino de un suministrador de productos críticos.
Impacto potencial
Reducción de los ingresos por reducción de las operaciones. Perdidas por reclamaciones de incumplimiento de contratos con los clientes.
Controles y medidas existentes para la reducción del riesgo Utilizar más de un suministrador para productos críticos.
Categoría de la Ocurrencia
Categoría de la Severidad
Nivel de riesgo
Tabla 1
Tabla 2
Tabla 3
Poco probable
2
Media
3
Moderado
Nivel de Detección
Nivel de Prioridad
D
RPN=SxOxD En ocasiones se detecta el problema con antelación suficiente.
3
18
Selección de los suministradores previa evaluación. Monitorización del desempeño de los suministradores
Perdida de clientes. Perdidas por costo adicional de compra de emergencia.
Nota: El nivel de detección dependerá de la eficacia de los controles existentes.
J. B. Madrigal, Diciembre 2004
18
Introducción a la Gestión de Riesgos
Anexo 4 Registro de tratamiento de los riesgos (ejemplo) Riesgos Priorizados Incendio en el edificio
Posibles estrategias de tratamiento
Beneficio estimado
Estrategias selecionadas
Eliminar/reducir los peligros de incendio en el edificio
$ 400 por el tiempo de los empleados inicialmente. $ 80/mes por tiempo de los empleados posteriormente. $ 200 por los extintores de incendio.
Se evitará una perdida máxima de $ 1. 475.000
Si
Preparar un plan de enfrentamiento a los incendios y entrenar a los empleados acerca de sus responsabilidades Mantener copia de todos los registros informáticos claves fuera del edificio.
$ 500 por el tiempo de los empleados
Se evitará una perdida máxima de $ 1. 475.000
Si
$ 100 por mes por el tiempo de los empleados para copiar la información de respaldo. $ 500 de inversiones en hardware. $ 5000 prima del seguro
Se evitará una perdida de $ 25.000 por la sustitución de los registros.
Si
Se evitará una perdida máxima de $ 1. 475.000
Si
Se evitará una perdida de ingresos de $ 400.000 por evitar la interrupción.
Si
Obtener cobertura de seguro para los riesgos adecuados para el edificio y las propiedades del personal Preparar un plan de contingencia para continuar las operaciones en otro lugar.
J. B. Madrigal, Diciembre 2004
Costo estimado
$ 500 por tiempo de los empleados en la investigación y desarrollo del plan.
19
Introducción a la Gestión de Riesgos
Anexo 5 Plan de Acción de Riesgos Area de Riesgo: Estrategias
J. B. Madrigal, Diciembre 2004
Actividades
Fecha de terminación planificada
Persona responsable
Fecha de terminación
Comentarios
20
Introducción a la Gestión de Riesgos
Referencias • DIRKS – A strategic approach to managing business information apendix 11- Risk Analysis in Dirks, National Archives of Australia. • Targeting Business Risk; David McNamee; Mc2 Management Consulting. • Risk management for small business; C. Lee Reiss; Public entity risk institute. • Guidelines on Risk Issues; The Engineering Council, U.K., published by Lloyd’s Register.
J. B. Madrigal, Diciembre 2004
21