Cómo elaborar un mapa de riesgos

Cómo elaborar un mapa de riesgos

Un Mapa de Riesgos es una potente herramienta de visualización de datos para comunicar los riesgos específicos que enfrenta una organización.

Así, y considerando que el Riesgo es el efecto de la incertidumbre sobre los objetivos, mediante un Mapa de Riesgos bien elaborado, una organización estará en condiciones de:

  • Anticiparse a los problemas para poder resolverlos de manera eficiente
  • Aprovechar las oportunidades cuando éstas se presenten

Un mapa de riesgos ayuda a las empresas a identificar y priorizar los riesgos asociados con sus negocios, al mejorar la comprensión de una organización de su perfil y apetito de riesgos, aclarar el pensamiento sobre la naturaleza y el impacto de los riesgos, y mejorar el modelo de evaluación de riesgos de la organización.

En términos generales, un Mapa de Riesgos a menudo consiste en un gráfico con dos ejes, en el cual se representan los conceptos de Probabilidad, Impacto y Nivel del riesgo (Probabilidad x Impacto) asociados a cada riesgo.

CÓMO ELABORAR MAPAS DE RIESGOS

Pero en realidad, al ver con más atención, este tipo de herramienta gráfica también aporta otra información acerca de cómo gestiona el riesgo una organización, ya que pueden interpretarse, entre otros, los siguientes aspectos:

  • Nivel de Riesgos
  • Criterios de Riesgos
  • Tolerancia al riesgo
  • Capacidad de riesgo
  • Consecuencias

Un Mapa de Riesgos se considera un componente crítico de la gestión de riesgos empresariales porque ayuda a determinar los riesgos que requieren más atención.

PASOS A SEGUIR PARA ELABORAR UN MAPA DE RIESGOS

Un Mapa de Riesgos es el resultado gráfico de la Evaluación del Riesgo, el cual a su vez constituye un proceso global de:

  1. Identificación del Riesgo
  2. Análisis del Riesgo
  3. Valoración del Riesgo

La identificación de los riesgos inherentes es el primer paso para crear un mapa de riesgos.

El propósito de la identificación del riesgo es encontrar, reconocer y describir los riesgos que pueden ayudar o impedir a una organización lograr sus objetivos. Para la identificación de los riesgos es importante contar con información pertinente, apropiada y actualizada.

Los riesgos se pueden dividir en múltiples categorías, de acuerdo a las necesidades de cada organización, como por ejemplo riesgo estratégico, riesgo de cumplimiento, riesgo operacional, riesgo financiero, riesgo de reputación, etc.

Una buena estrategia para identificar los riesgos para el negocio consiste en revisar plan de negocio y determinar de qué no se podría prescindir, y qué tipo de incidentes podrían afectar las distintas áreas.

También, una práctica que puede resultar de utilidad para identificar riesgos es que en la organización se planteen las siguientes preguntas:

  • ¿Cuándo, dónde, por qué y cómo es probable que sucedan riesgos en el negocio?
  • ¿Existen riesgos internos?
  • ¿Existen riesgos externos?
  • ¿Quién podría estar involucrado o afectado si ocurre un incidente?
  • ¿Cómo afecta la pérdida de la fuente de alimentación?
  • ¿Y si no se cuenta con acceso a internet?
  • ¿Es posible que los documentos clave para la organización sean destruidos?
  • ¿Cómo se hace la toma de decisiones ante la renuncia de uno los mejores miembros del personal?
  • ¿Los proveedores tienen capacidad suficiente?
  • ¿Qué ocurre si se bloquean las carreteras y comunicaciones?

El próximo paso en el mapeo de riesgos consiste en desarrollar el Análisis del riesgo, cuyo propósito es comprender la naturaleza del riesgo y sus características incluyendo, cuando sea apropiado, el nivel del riesgo:

Nivel de riesgo = impacto x probabilidad

Esto implica una consideración detallada de incertidumbres, fuentes de riesgo, consecuencias, probabilidades, eventos, escenarios, controles y su eficacia. Un evento puede tener múltiples causas y consecuencias y puede afectar a múltiples objetivos.

CÓMO ELABORAR MAPAS DE RIESGOS

Para analizar un riesgo, se debe determinar la probabilidad de que ocurra y las consecuencias que tendría el impacto del riesgo que ha identificado.

Ejemplo de escala de Probabilidad:

  • Grado probabilidad 4 “Muy probable”: Sucede más de una vez al año en esta industria.
  • Grado probabilidad 3 “Probable”: Sucede aproximadamente una vez al año en esta industria.
  • Grado probabilidad 2 “Improbable”: Ocurre cada 10 años o más en esta industria.
  • Grado probabilidad 1 “Muy improbable”: No ha sucedido ninguna vez en esta industria.

Ejemplo de escala de Impacto

  • Tipo de impacto 4 “Grave”: Pérdidas financieras superiores a USD 100.000
  • Tipo de impacto 3 “Alto”: Pérdidas financieras entre USD 50.000 y USD 100.000
  • Tipo de impacto 2 “Moderado”: Pérdidas financieras entre USD 10.000 y USD 50.000
  • Tipo de impacto 1 “Bajo”: Pérdidas financieras de menos de USD 10.000

Una vez analizados los riesgos que fueron identificados, el paso siguiente en la construcción del Mapa de Riesgos corresponde a la Valoración del riesgo, cuyo propósito es apoyar a la toma de decisiones.

La valoración del riesgo implica comparar los resultados del análisis del riesgo con los criterios del riesgo establecidos para determinar cuándo se requiere una acción adicional.

Ejemplo de escala de valoración de riesgos

  1. Riesgo Crítico: Necesita tratamiento en forma inmediata
  2. Riesgo Alto: Necesita tratamiento dentro de 1 mes
  3. Riesgo Medio: Necesita tratamiento dentro de los próximos 3 meses
  4. Riesgo Bajo: Actualmente no requiere tratamiento

Desde luego, estas escalas son indicativas y pueden cambiar de una empresa a otra dependiendo, por ejemplo, de la dinámica de la industria o de las características específicas de cada organización.

Se debería tomar en consideración el área del gráfico que corresponde a una probabilidad muy baja de ocurrencia y un impacto muy alto, allí se ubican los eventos denominados “Cisnes Negros”, término popularizado por Nassem Taleb en su famoso libro El cisne negro: el impacto de lo altamente improbable.

Se pueden encontrar algunos detalles más sobre este aspecto en el siguiente artículo: GESTIÓN DE RIESGOS EN ENTORNOS INCIERTOS

POR QUÉ ES IMPORTANTE CREAR UN MAPA DE RIESGOS

Un mapa de riesgos ofrece una visión integral de la probabilidad y el impacto de los riesgos de una organización, que ayuda a mejorar la gestión de riesgos al priorizar los esfuerzos que se deben efectuar.

Esta priorización de riesgos permite enfocar los recursos en los riesgos más potencialmente dañinos identificados en el Mapa de Riesgos.

Un mapa de riesgos también facilita la comunicación interna entre los diversos sectores de la organización sobre los riesgos inherentes a ésta. También ayuda a las distintas organizaciones a visualizar los riesgos en relación entre sí, y guía el desarrollo de una evaluación de control de cómo enfrentar los riesgos y las consecuencias de esos riesgos.

El mapa puede ayudar a la empresa a visualizar cómo los riesgos en una parte de la organización pueden afectar las operaciones de otra unidad de negocio dentro de la organización.

Un mapa de riesgos también agrega precisión a la estrategia de evaluación de riesgos de una organización e identifica brechas en los procesos de gestión de riesgos de una organización.

El Mapa de Riesgos proporciona información integrada sobre la exposición global de la organización, sintetiza el valor económico de los riesgos asumidos, y favorece la exploración de las fuentes de tales riesgos

Se comprende entonces que construir un mapa de riesgos trae valiosos beneficios:

  • Comprender el entorno de riesgo: La gestión de riesgos comienza con la creación de una lista de todos los riesgos que enfrenta su organización. Dependiendo de su industria, este número puede variar de unos pocos a cientos.
  • El mapeo de riesgos es beneficioso porque requiere que evalúe cada riesgo y sus causas y consecuencias individualmente. También le permite observar su entorno de riesgo en su conjunto y comprender cómo se comparan las frecuencias y la gravedad.
  • Finalmente, un mapa de riesgos es un elemento visual que cualquier persona de su organización puede usar para ver el panorama general de los riesgos más destacados en su industria o lugar de trabajo.

RECOMENDACIONES PARA CONSTRUIR UN MAPA DE RIESGOS

CÓMO ELABORAR MAPAS DE RIESGOS

 

CÓMO ELABORAR MAPAS DE RIESGOS

Involucrar al personal de la organización – Comité de Riesgos

Elaborar un Mapa de Riesgos requiere obtener y analizar información de diversas perspectivas de la organización, razón por la cual no es un proceso que deba ser realizado por una única persona, sino que se requiere de la participación de las personas que se desempeñan en las diversas actividades de la empresa, y que por lo tanto son las que conocen los riesgos asociados a éstas.

Definir un Comité de Riesgos, compuesto por personas que representan a las diversas áreas de la organización, es una adecuada iniciativa para asegurar el involucramiento del personal.

Entre las funciones más relevantes del Comité de Riesgos se pueden mencionar las siguientes:

  • Elaborar el Mapa de Riesgos.
  • Revisar, aprobar y recomendar los límites de exposiciones al riesgo.
  • Fijar límites y facultades para la toma de riesgos.
  • Asegurarse de que el perfil de riesgo de la organización esté acorde con los lineamientos establecidos por la Alta Dirección.
  • Verificar el desarrollo de un plan de contingencia.
  • Establecer políticas de riesgo para la organización.
  • Verificar el desempeño y la mejora de la Gestión del Riesgo.
  • Asegurarse de que la Alta Dirección cuente con la información sobre Riesgos necesaria para asegurar el éxito de la organización.
  • Promover el cumplimiento de los lineamientos sobre riesgos definidos por la organización.
  • Efectuar el monitoreo periódico del Mapa de Riesgos.

Definir Contextos para identificar los riesgos

A fin de identificar los riesgos para la organización de manera efectiva, una práctica recomendable consiste en definir diversos contextos a partir de los cuales se efectuará la identificación de los riesgos.

Algunos ejemplos de contextos son los siguientes:

  • Contexto Estratégico: Se define como la relación existente entre la organización y su entorno, la cual debe ser valorada a partir de la matriz FODA. En este contexto, también deben ser identificados todas las partes interesadas de la organización, tanto internas como externas.
  • Contexto Organizacional: Este contexto hace referencia a la definición de las políticas, objetivos y metas de la organización. La importancia de tener claramente definidos los objetivos radica en poder relacionarlos con los eventos de riesgo y así conocer el impacto que podría tener para la organización la materialización de un evento de riesgo.
  • Contexto Operativo: A escala a procesos o actividades se debe establecer para estas últimas los eventos de riesgo que pueden generar incertidumbre en el cumplimento de sus objetivos.

Comprensión de cada riesgo

La etapa de evaluación de cada riesgo debe contar con una sólida comprensión del negocio y de cómo los riesgos pueden afectar la capacidad para continuar con las operaciones, o representar oportunidades para la organización.

Cada área de la empresa debe analizar los procesos y procedimientos para establecer cómo pueden ser afectados por los riesgos identificados y describir cada uno de ellos para conocer sus posibles consecuencias, esto promueve el trabajo en equipo de la organización, hay mayor nivel de responsabilidad y colaboración, así como toma de conciencia.

También es importante ser coherente en la forma en que clasifica cada riesgo en términos de frecuencia y gravedad para que el producto final sea una descripción clara de cómo se comparan los riesgos entre sí.

Orientación sobre Gestión de Riesgos

Es posible que la consulta a los miembros de la propia organización no proporcione una comprensión suficiente y adecuada de los Riesgos, por lo que es recomendable recurrir a otras fuentes.

Un recurso habitual es prestar atención a organizaciones similares, y analizar estadísticas de la industria como ayuda para la Gestión de Riesgos.

También es factible consultar a un experto: una empresa de consultoría especializada en Gestión de Riesgos que ya ha realizado este tipo de trabajos puede representar una ayuda decisiva para definir y establecer un Mapa de Riesgos de manera efectiva, ahorrando tiempo y recursos de la organización.

Monitoreo del Mapa de Riesgos

Una vez creado y establecido el Mapa de Riesgos, éste representa una gran ayuda para administrar y mitigar los riesgos, pero es importante recordar que el panorama de riesgos cambia constantemente.

Así, es una actividad muy relevante revisar de manera periódica los análisis efectuados sobre riesgos, para verificar si el estado de los riesgos existentes ha cambiado y por lo tanto deben realizarse modificaciones en el mapa.

Al hacerlo, se asegura que el Mapa de Riesgos continúe siendo una herramienta útil y constante para la Gestión de Riesgos.

Bibliografía:

  • ISO 31000:2018 – Gestión del Riesgos – Directrices

¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?

Los negocios prosperan por tomar riesgos, pero fallan cuando los riesgos se gestionan de manera ineficaz.

Un Modelo adecuado de Gestión de Riesgos debe tener la capacidad de proporcionar información clave que le permita a tu organización enfrentar con éxito los desafíos que proponen los entornos inciertos, a fin de estar en condiciones de anticipar los problemas para resolverlos de manera eficiente y poder aprovechar las oportunidades cuando éstas se presenten.

La implementación eficaz de la Gestión de Riesgos necesita un proceso de cambio cultural que permita comprender que los responsables de los negocios son responsables, de manera colaborativa, de sus riesgos asociados, favoreciendo un manejo integrado de los negocios y sus riesgos asociados.

CONSULTORIA SOBRE GESTIÓN DE RIESGOS

Calidad & Gestión brinda el Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos con el objetivo de que tu organización pueda controlar el impacto de eventuales riesgos que pueden afectar a su organización, permitiendo administrar su incertidumbre y tomar decisiones considerando aspectos que no son fácilmente visibles.

A través de nuestro Servicio de Consultoría de Gestión de Riesgos, obtendrás respuestas a preguntas tales como:

  • ¿Cuáles riesgos pueden impedir el logro de la estrategia?
  • ¿Cuáles riesgos pueden representar oportunidades?
  • ¿Cuál es la probabilidad de ocurrencia y el impacto de estos riesgos?
  • ¿Qué tratamiento van a recibir?

Solicita nuestro Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos completando nuestro formulario.