Según la norma ISO 31000, de la Asociación Española de Normalización (UNE), el propósito de la gestión de riesgos es la creación y protección del valor de una organización, mejorar el desempeño, fomentar la innovación y contribuir al logro de objetivos.
Para conseguir este propósito es necesario disponer de una herramienta que permita visualizar el nivel de riesgo de una organización: la matriz de riesgos. Esta matriz consta de un doble eje, de probabilidad e impacto, que facilita de forma gráfica la toma de decisiones respecto a qué tratamiento dar a cada riesgo según la zona que ocupe en la matriz.
¿Qué entendemos por riesgo?
Basándonos en la nomenclatura utilizada en “Gestión de riesgos, Una Guía de aproximación para el empresario” publicada por el Instituto Nacional de Ciberseguridad (INCIBE), entendemos como riesgo a la probabilidad de que una amenaza aproveche una vulnerabilidad de un activo, generando un impacto que afecte al cumplimiento de los objetivos de negocio. Mientras que amenaza es una circunstancia desfavorable que puede ocurrir y que cuando sucede tiene consecuencias negativas sobre los activos provocando su indisponibilidad, funcionamiento incorrecto o pérdida de valor.
A partir de estas definiciones, y tras realizar el proceso de identificación, análisis y evaluación de riesgos, recientemente hemos diseñado una matriz en Grupo Oesía que nos permite valorar de una forma gráfica cuáles son los riesgos a los que nos enfrentamos y qué nivel de riesgo representan. Del trabajo realizado hemos extraído una lecciones aprendidas que me gustaría compartir con vosotros.
Lecciones aprendidas
1. Apoyo de la alta dirección
El impulso de la alta dirección es fundamental para el buen funcionamiento del proceso. La elaboración de la matriz de riesgos es un camino largo y apasionante, por lo que contar con la orientación y apoyo de la alta dirección definirá el grado de éxito del proyecto.
En este punto deberemos ser proactivos; es decir, no esperar a estar atascados en el proceso, sino adelantarnos y prever posibles obstáculos antes de que se nos presenten, contando con la alta dirección para buscar soluciones, cuando sea necesario.
2. Definición del alcance
Es fundamental que la organización defina si quiere llegar a un nivel de información de riesgos macro, micro o intermedio.
Si se elige un nivel de detalle micro en una empresa grande y heterogénea, correremos peligro de no poder gestionar la información correctamente. Es recomendable identificar los riesgos a nivel de cada dirección de la organización, empezando por los niveles base e ir subiendo. De esta forma, un director de un nivel superior puede ayudarnos a contextualizar y depurar información de las direcciones que tenga a su cargo y que previamente nos hayan notificado sus riesgos.
3. Conocer el apetito de riesgo
Una matriz de riesgos, normalmente, muestra tres o cuatro zonas de color (niveles de riesgo), donde la zona de color verde indica riesgos aceptables y la de color rojo aquellos que deberían tener una acción inmediata.
Ahora bien, cada organización tendrá un nivel diferente de tolerancia al riesgo, lo que se conoce como apetito de riesgo. Un mismo riesgo en dos empresas diferentes, ubicado en el mismo cuadrante, puede ser tolerable para una e intolerable para la otra, como se puede observar en las matrices que se muestran a continuación. Por lo tanto, lo primero que necesitamos conocer es ¿cuál es el apetito de riesgo de la organización?
4. Visión integral
Debemos tener una visión global. La gestión de riesgos debe ser transversal y contemplar tanto riesgos financieros como no financieros (estratégicos, operacionales, regulatorios, reputacionales…). También es recomendable realizar un buen benchmarking de riesgos tanto sectorial como nacional e internacional, lo que sin duda nos ayudará a la hora de conocer bien nuestro contexto.
5. Nomenclatura común
Se debe hablar el mismo idioma de riesgos en la organización. Es importante tener un glosario definido y compartido por todos los participantes en el proceso. Es decir, debe estar claramente descrito qué se considera un riesgo y qué no, así como todos los campos de información que se parametricen, como los diferentes niveles de probabilidad e impacto, el origen del riesgo, las zonas de riesgo de la matriz, etc.
6. Roles y responsabilidades bien definidos
Los propietarios de los riesgos deben estar claramente identificados, así como los órganos de supervisión y quién debe rendir cuentas, cuándo y a quién. Los roles no deben ser nombres de personas, sino los nombres de los puestos que ocupan en la organización.
7. Propietario del riesgo vs responsable del tratamiento del riesgo
El propietario del riesgo es quien tiene la responsabilidad y autoridad para la gestión de un riesgo. Sin embargo, es posible que nos encontremos con algún caso en el que el propietario de un riesgo necesite de otro departamento de la organización para realizar alguna acción concreta de tratamiento del riesgo. En este caso nos encontramos con el responsable del tratamiento del riesgo. Es importante diferenciar e identificar ambos roles.
8. Calibración
Evaluar el impacto y la probabilidad de que un riesgo ocurra puede basarse en información subjetiva, sobre todo si tenemos muchos propietarios de riesgos, los cuales tendrán una sensibilidad diferente a la hora de evaluarlos. Por lo tanto, posiblemente sea necesario que algunos riesgos deban ser vistos en perspectiva global de la organización y ser ajustados (calibrados) su nivel de impacto o probabilidad antes de plasmarlos en la matriz de riesgos. Por ejemplo, un riesgo que puede ser muy alto para un departamento, podría ser de nivel medio para el total de la organización.
9. Agrupación y catálogo
En el proceso de identificación de riesgos nos encontraremos con riesgos prácticamente iguales o muy parecidos. En esos casos, es mejor agruparlos, y al igual que es necesario tener una nomenclatura común, como comentábamos anteriormente, sería igualmente esencial tener un catálogo de riesgos. Lo idóneo es que, una vez realizada la recopilación de información, se cree un catálogo de riesgos propio de la organización con dos o tres niveles de agrupación como máximo.
10. Ayudar a que nos ayuden
Para que este proceso funcione de verdad, no bastará con formar a cada participante y enviarle un cuestionario de recopilación de riesgos para que posteriormente nos lo devuelva cumplimentado. Hay que sentarse con cada uno de ellos y ayudarles en el proceso, tomando el tiempo que sea necesario, sobre todo si es la primera vez que se hace este proceso en la organización.
Por último, hay que recordar que la elaboración de una matriz de riesgos será un proceso vivo y dinámico y, en ocasiones, difícil. Deberemos ser pacientes y resilientes. El resultado final merece la pena.
Daniel Garrido, director de ISR y RSC, Grupo Oesía