Con frecuencia distintas personas con puestos gerenciales de las empresas consultan sobre cuáles son las primeras acciones que deben realizar para iniciar la gestión de riesgos. Por supuesto, la respuesta depende de las características de cada organización. Sin embargo, es posible identificar unos primeros pasos generales que permita a la misma comenzar con este interesante camino de gestionar los riesgos y la incertidumbre.
Identificación de los riesgos. El primer paso a transitar en el camino de gestionar riesgos consiste en realizar una adecuada identificación de los mismos. Existen distintas estrategias para lograr este objetivo. En primer lugar, mantener una serie de conversaciones con funcionarios de distintas áreas de la organización y de distintos niveles jerárquicos. En segundo lugar, se debe revisar la documentación disponible: informes de auditoría interna y externa, reportes de la industria y cualquier otra información relevante. Adicionalmente, deben analizarse eventos, como fallas operativas, errores estratégicos, accidentes, pérdidas monetarias o sanciones, ocurridos en la empresa en el pasado.
Definición de probabilidad de ocurrencia. Una vez identificados los principales riesgos, es necesario definir el grado de probabilidad de que el evento se materialice. Esto se puede realizar de una manera cuantitativa, si se dispone de suficientes datos, o de una forma cualitativa si no es el caso. Independientemente de la situación, lo verdaderamente relevante, es determinar si entendemos que el evento es muy posible que se materialice o, por el contrario, se entiende que el mismo difícilmente ocurra. Es posible utilizar una escala de cuatro alternativas improbable, posible, probable y muy probable.
Determinación del nivel de impacto. El siguiente paso es determinar, también de manera cuantitativa o cualitativa, la severidad del evento en la empresa. Idealmente, el mismo debe ser estimado en valores monetarios, aunque no necesariamente todos los eventos deber medirse de esa manera. Por ejemplo, el daño reputacional, puede ser muy difícil de cuantificar en términos monetarios, pero representar un problema significativo para la empresa. De manera análoga a lo anterior, se puede usar una escala de 4 niveles, como por ejemplo, menor, moderado, alto y catastrófico.
Mapa de Calor. Una vez cumplidos los pasos anteriormente detallados, es necesario volcar esta información en una matriz o mapa de calor que permita identificar los riesgos que, por su probabilidad de ocurrencia o impacto, deben captar la atención de la gerencia de manera más urgente. Los riesgos que impliquen consecuencias más severas y que presenten mayor posibilidad de materialización serán los más prioritarios. La imagen a continuación grafica un mapa de calor.
Las respuestas al riesgo. Las misma son los posibles cursos de acción a realizar ante un riesgo identificado, que tienen por objeto reducir la probabilidad y/o impacto del evento que lo genera. Entre los mismos se puede identificar:
1. Evitar: se abstiene de incurrir en un determinado curso de acción (como podría ser, incursionar en un nuevo negocio).
2. Reducir: los planes de acción están orientados a disminuir, tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección).
3. Transferir: se decide reducir el efecto de los riesgos a través del traspaso de las pérdidas a otras organizaciones. Como, por ejemplo, las compañías de seguro.
4. Aceptar: al evaluar el riesgo se puede identificar que el mismo puede ser aceptado, bien sea porque el impacto no afecta la operatoria de la empresa o los costos de las estrategias previas son mayores que los beneficios.
Existe mucho otros pasos que se deben ejecutar para construir un proceso sólido y robusto de gestión del riesgo. Sin embargo, los recientemente mencionados, son las primeras acciones por las que se recomienda comenzar en el recorrido de la gestión de riesgos.
