- Introducción
- Desarrollo
- Elaboración del plan de acciones de prevención y control de riesgos
- Monitoreo de la eficacia del proceso de gestión de riesgos
- Conclusiones
- Recomendaciones
- Bibliografía
Introducción
Según la ISO 31000 sobre gestión del riesgo: " Las organizaciones de todo tipo y tamaño enfrentan factores e influencias, internas y externas, que crean incertidumbre sobre si ellas lograrán o no sus objetivos. El efecto que esta incertidumbre tiene en los objetivos de una organización es el "riesgo".
"Todas las actividades de una organización implican riesgo. Las organizaciones gestionan el riesgo mediante su identificación y análisis y luego evaluando si el riesgo se debería modificar por medio del tratamiento del riesgo con el fin de satisfacer los criterios del riesgo. A través de este proceso, las organizaciones se comunican y consultan con las partes involucradas, monitorean y revisan el riesgo y los controles que lo están modificando con el fin de garantizar que no se requiere tratamiento adicional del riesgo".
Es importante insertar la gestión de riesgos dentro de los procesos y en los procesos globales de estrategia y planificación, de políticas, valores y cultura de la organización.
En términos generales, la "gestión del riesgo" se refiere a la arquitectura (principios, marco y procesos) para la gestión eficaz del riesgo, mientras que "gestionar el riesgo" se refiere a la aplicación de esa arquitectura a riesgos particulares.
La gestión de riegos permite:
aumentar la probabilidad de alcanzar los objetivos;
fomentar la gestión proactiva;
ser consciente de la necesidad de identificar y tratar los riesgos en toda la organización;
cumplir con los requisitos legales y reglamentarios pertinentes y con las normas internacionales;
mejorar la confianza y honestidad de las partes involucradas,
establecer una base confiable para la toma de decisiones y la planificación;
mejorar los controles;
asignar y usar eficazmente los recursos para el tratamiento del riesgo;
mejorar la eficacia y la eficiencia operativa;
incrementar el desempeño de la salud y la seguridad, así como la protección ambiental;
mejorar la prevención de pérdidas y la gestión de incidentes;
minimizar las pérdidas;
mejorar el aprendizaje organizacional; y
mejorar la flexibilidad organizacional.
Los principios que rigen la gestión de riesgos son:
Flexibilidad: Todo puede modificarse organizadamente, para lograr la mejora.
Enfoque estratégico: Se parte de la determinación de los objetivos estratégicos y de las estrategias para lograr su cumplimiento.
Proactividad: Prever los acontecimientos que pueden suceder y prepararse para enfrentarlos.
Alineación con el marco regulatorio: Necesidad e importancia del conocimiento y control del cumplimiento de las leyes.
Enfoque sistémico: Identificar, entender y gestionar los procesos interrelacionados como un sistema,
Enfoque a la gestión: La organización enfocada a los resultados
Principales términos y definiciones a tener en cuenta:
Peligro: Circunstancia, evento o fenómeno, interno o externo que pudiera poner en situación de riesgo el cumplimiento de los objetivos.
Riesgo: El efecto de la incertidumbre en el cumplimiento de los objetivos. Los riesgos son eventos futuros inciertos que podrían influir en el logro de los objetivos de una organización, incluyendo los objetivos estratégicos, de operación, financieros y de cumplimiento.
Problema: deficiencia o incapacidad de la organización que la hace sensible al peligro.
Manifestación: Impacto de la concreción del riesgo que lo hace perceptible
Área: Nivel de la organización donde se concretan los procesos
Vulnerabilidad: Exposición del sistema a los efectos del riesgo. Deficiencia o incapacidad de la organización que la hace sensible al peligro.
Elementos del riesgo
Probabilidad – Frecuencia estimada o conocida, con la que podría ocurrir el hecho incierto.
Impacto (consecuencia, severidad) – Resultado que el hecho incierto podría ocasionar.
Desarrollo
Objetivos del procedimiento
Implementar un procedimiento para identificar, clasificar y gestionar los riesgos, que permita su mitigación o eliminación y el cumplimiento efectivo de los objetivos, que garanticen cumplir la misión y alcanzar la visión de cualquier etapa de un proyecto.
Establecer los pasos a seguir para garantizar la gestión de riesgos
Entre las principales etapas del procedimiento tenemos:
1. Exploración y ajuste
2. Identificación de riesgos
3. Evaluación de riesgos
4. Clasificación de riesgos
5. Análisis de condiciones
6. Definición de objetivos de control
7. Elaboración del plan de acciones de prevención y control de riesgos
8. Análisis de costo de prevención y control- pérdida estimada
9. Monitoreo de la eficacia del plan de prevención y control de riesgos.
1. Exploración y ajuste.
Durante esta etapa se realiza una primera aproximación a la organización objeto de estudio cuyo objetivo es sentar las bases para la efectiva aplicación de la procedimiento.
Esta se realiza en dos momentos:
Análisis de la organización: Se establecen los objetivos a alcanzar con el uso del procedimiento y se caracteriza la organización objeto de análisis: historia, misión, estructura, objetivos, marco regulatorio aplicable, entre otros.
Ajuste del procedimiento a la organización. A partir de la información recopilada durante el análisis se procede a determinar el período de tiempo para el cual se determinarán los riesgos, y para clasificar la severidad cuantificable en base a la pérdida estimada, se definen los valores mínimos y máximos para lo cual se podrá utilizar la siguiente tabla. La severidad cuantificable y los máximos y mínimos dependen de las condiciones propias de la empresa y se definen por el grupo de trabajo atendiendo al capital de trabajo, o el monto de al inversión, entre otras.
Tabla 1
Severidad cuantificable | 1 | 2 | 3 | 4 | |||||
Perdida máxima | Min | Max | Min | Max | Min | Max | Min | Max | |
2. Identificación de riesgos.
La identificación de riesgos se define por cada proceso, teniendo en cuenta los objetivos y las actividades vinculadas a estos. Durante esta etapa se define:
a. Los peligros que afectan el objetivo
b. Problemas de la organización que la hacen vulnerable al peligro
c. Los riesgos asociados a cada objetivo que pueden atentar contra su cumplimiento.
d. Manifestaciones del riesgo
Para la identificación de los riesgos podemos realizar los siguientes registros
Tabla 2
No. | Objetivo | Peligros que afectan al objetivo | Vulnerabilidades de la organización | Riesgos asociados | Manifestaciones del riesgo | ||||||||||
Para la identificación de riesgos, se deben realizar varias acciones, que incluyen: la definición del personal que va a formar parte del grupo de trabajo, la elaboración de un cronograma de trabajo, que debe tener como primer paso la capacitación del personal que va a participar en la gestión de los riesgos y en el conocimiento de esta procedimiento.
Entre las técnicas a utilizar por este grupo de trabajo para la identificación de los riesgos están: Tormenta de ideas, revisión de documentación, identificación de causas mediante diagramas, matriz DAFO, trabajo en grupo, lista de control y entrevistas entre otras.
3. Evaluación del riesgo.
No es más que la valoración de la magnitud del riesgo que acecha el cumplimiento de los objetivos de la organización.
Para la evaluación de algunas de las variables se utilizará un sistema de escala de 1 a 5 , que se interpreta como sigue:
1. Mínimo
2. Bajo
3. Medio
4. Alto
5. Máximo
El objetivo de la evaluación de riesgos es tomar decisiones, basadas en los resultados del análisis de riesgo, acerca de los riesgos que requieren tratamiento y sus prioridades. La evaluación de riesgo involucra comparar el nivel de riesgo detectado durante el proceso de análisis con los criterios de riesgo previamente establecidos. Deberían considerarse los objetivos de la organización y la gama de oportunidades que podrían resultar del riesgo. Cuando deba realizarse una selección entre distintas opciones, el mayor potencial de pérdidas debería asociarse con los mayores beneficios potenciales y la selección apropiada dependerá del contexto de la organización.
Las decisiones deberían tomar en cuenta al amplio contexto del riesgo e incluir consideraciones a la tolerancia a los riesgos por parte de terceras partes distintas de la organización que se benefician del mismo. Los riesgos bajos y mínimos podrían ser aceptados con un tratamiento futuro mínimo. Los mismos deberían ser monitoreados y revisados periódicamente para asegurar que se mantienen igual. Si los riesgos no son bajos o mínimos, los mismos deberían ser tratados utilizando una o más de las opciones. En algunas circunstancias, la evaluación de riesgos podría conducir a la decisión de llevar a cabo un mayor análisis.
3.1 Cálculo de la severidad.
La severidad ( S) no es más que el nivel de afectación máximo ante un peligro en un período de tiempo y está compuesta por la severidad cuantificable ( SC) y la severidad no cuantificable( SNC), determinándose a través de la expresión:
El peso específico de ambas severidades está dado por la prioridad que le asigne la organización a una u otra.
3.1.1. Cálculo de la Severidad cuantificable.
La severidad cuantificable ( SC), expresa el nivel de afectación máximo que pudiera ocasionar un peligro en un período de tiempo. Para su cálculo se necesita determinar la pérdida máxima (PM), la cual está constituida por el costo asociado a los daños máximos de un peligro(C) y la frecuencia (F) con la cual pudiera presentarse este en el período objeto de análisis. Ello se resume en la expresión:
PM = C* F
Como es evidente, la pérdida estimada se expresa en términos de unidades monetarias, sin embargo, la severidad cuantificable se expresa en una escala de 1 a 5, donde 1 es la severidad mínima y 5 la máxima. Para la conversión se emplearán los rangos establecidos en la tabla 1.
3.1.2. Cálculo de la severidad no cuantificable.
La severidad no cuantificable (SNC) se define como la severidad que siendo de interés de la organización es de difícil medición en unidades monetarias. Se puede evaluar en una escala de 1 a 5, donde 1 representa la mínima severidad y 5 la máxima.
Una vez determinadas ambas severidades se realiza la suma ponderada que permite obtener la severidad del peligro, como se determinó anteriormente.
3.2 Cálculo de la vulnerabilidad
La vulnerabilidad representa cual sensible es la organización al enfrentamiento del peligro, y está muy ligada a las debilidades de esta y su magnitud está en función también de las amenazas.
La vulnerabilidad (V) se determina a partir de tres capacidades de la organización:
Detección (D): Detectar oportunamente los peligros que pueden ponerla en situación de riesgos.
Acción (A): Accionar efectivamente sobre los problemas.
Recuperación (P): Recuperarse efectivamente de los efectos causados por la concreción de los riesgos, o sea las manifestaciones.
El cálculo de la vulnerabilidad se puede realizar a través de la expresión:
V = 1/5 * ( 6- ( D + A + P) / 3 )
La vulnerabilidad se expresa en valores entre 0 y 1 para que constituya un factor de mitigación de la severidad del peligro. Donde 0 significa que ninguna vulnerabilidad al peligro y 1 totalmente expuesto al peligro.
Se calcula a través de una media de los valores de las capacidades, invirtiendo su sentido, ya que a mayor capacidad menor vulnerabilidad, y convirtiendo la escala de 1 a 5 en una de 0 a 1.
En el caso de que para un mismo peligro existan varios problemas o varias manifestaciones se propone la suma ponderada de las capacidades respectivas por cada uno de los elementos. Por ejemplo
3.3. Calculo del nivel de riesgos
El cálculo del nivel de riesgos (R) resulta el último paso de la etapa de evaluación de los riesgos y se realiza a partir de la relación entre severidad (S) y vulnerabilidad (V) del peligro tal como se muestra en la relación:
R = S * V R Con valores entre 0 – 5
Cuando existe más de un peligro asociado a un riesgo entonces se aplica la suma ponderada de los S * V de cada peligro, considerando como criterio el nivel de incidencia del peligro en el riesgo.
4. Clasificación de los riesgos.
Los riesgos deben ser clasificados según su origen en internos y externos. Además de esta se usa otra clasificación según el nivel de riesgos determinado.
El objetivo de esta etapa es establecer la prioridad en el manejo del riesgo a partir de su clasificación. Para ello se han establecido cinco niveles:
4-5 – Máximo
3-4 – Alto
2-3 – Medio
1-2 – Bajo
Luego de clasificados los riesgos se hace una valoración general del estado actual de los riesgos. Según el criterio de la organización pueden ser descartados del análisis posterior los riesgos mínimos y bajos, por considerarlos de poca incidencia.
Existen diferentes tipos de riesgos, entre los que se encuentran:
Riesgos externos impredecibles
Peligros naturales, como tormentas, inundaciones.
Evento al azar, como sabotajes, vandalismos.
Cambios reguladores, como standard de diseño, de producción, de ambiente
Influencia del gobierno
Riesgos externos predecibles
Condiciones del mercado, como suministro, precio, demanda, competencia
Condiciones operacionales, como gastos
Fluctuaciones de moneda
Tendencias inflacionarias
Cambios en los impuestos
Influencia cultural
Condiciones ambientales
Riesgos internos técnicos
Condiciones heredadas
Cambios en la tecnología
Manejo inapropiado de nueva tecnología.
Riesgos internos no técnicos
Alcance pobre de definición y control
Problemas de planificación
Pobre trabajo en equipo
Estimados y tiempos de duración no reales
Retrasos en la aprobación de fondos y diseños
Gerencia no efectiva de proyectos
Recursos inadecuados
Carencia de fondos propios
Relaciones adversas
Riegos de ejecución
Condiciones ambientales
Baja efectividad en la contratación
Condiciones adversas de labor, costos y productividad
Pobre relación con el proveedor.
Riesgos legales
Licencias patentes
Riesgos contractuales
Riesgos ambientales
5. Análisis de condiciones.
Se determinan las capacidades que con mayor frecuencia o incidencia determinan las vulnerabilidades del sistema en general y a partir de estas pueden definirse con mayor facilidad los objetivos de control.
Para cada riesgo se determinará cuales son las capacidades más afectadas, o sea las de menor valor. Los resultados de este análisis constituyen la base del plan de acciones de prevención y control de riesgos de forma tal que las acciones de este estén encaminadas a resolver las causas de las vulnerabilidades.
6. Definición de objetivos de control.
Los objetivos de control son el resultado o propósito que se desea alcanzar con la aplicación de este procedimiento de control, los que deben verificar los riesgos identificados y estar en función de la política y estrategia de la organización. Estos marcan las estrategias a seguir para minimizar uno o más riesgos y deben estar enfocados en primer lugar a mitigar los riesgos máximos y altos a través de la acción sobre cualquiera de los elementos que integran el nivel de riesgos, o sea ya sea minimizando la severidad, la vulnerabilidad o ambas.
Elaboración del plan de acciones de prevención y control de riesgos
Las acciones de prevención permiten actuar sobre la detección del peligro y el accionar sobre los problemas para disminuir la vulnerabilidad, pero se hace necesario incluir acciones para corregir y recuperarse ante las manifestaciones de peligros que no pueden ser evitados. Es por eso que en esta etapa además de acciones de prevención se incluyen de control de riesgos. Esto hace que el análisis de riesgo se integre con las normas ISO 9000 de Gestión de la Calidad, ISO 14000 de Gestión de Medio Ambiente, NC 18000 de Seguridad y Salud en el Trabajo y NC 3000 de Gestión Integrada de Capital Humano y el Sistema de Control interno que establece la Resolución 60/11 de la contraloría General de la República. O sea que el plan de prevención de riesgos debe incluir también las acciones para prepararnos contra fenómenos naturales y de organización del trabajo, como la seguridad y salud en el trabajo, entre otros.
A partir de de los resultados obtenidos en el análisis de condiciones se procede a definir las medidas a aplicar para reducir los problemas y / o las causas de las vulnerabilidades y poder eliminar o mitigar los riesgos.
Para una mejor elaboración del plan de prevención de riesgos, se debe precisar los siguientes términos:
Posible manifestación negativa
Acción u omisión con o sin intención, que cometida por un sujeto propio o ajeno a la entidad, lesiona un punto vulnerable de la misma, constituyendo en esencia el modo de operar, la forma mediante la cual se expresa una indisciplina, ilegalidad o manifestación de corrupción administrativa.
Medidas a tomar en el Plan de Prevención de Riesgos
Acciones concertadas que se emprenden de forma colegiada por la administración y el colectivo laboral, dirigidas a eliminar o disminuir al máximo posible, las causas y condiciones que propician la comisión de indisciplinas, ilegalidades o manifestaciones de corrupción administrativa. No deben reproducir funciones u orientaciones metodológicas ya establecidas; cuando se identifiquen peligros por el incumplimiento o violación de éstas, las acciones deben estar dirigidas a su verificación, comprobación y evaluación, con métodos participativos. Las medidas no deben expresarse en forma de aspiraciones o anhelos, sino en acciones concretas y medibles, que respondan al cómo lograr lo plasmado con anterioridad.
Tabla 4. Plan de prevención de riesgos
No | Actividad o área | Riesgo | Posibles manifestaciones | Medidas a aplicar | Responsable | Ejecutante | Fecha de cumplimiento | ||||||||||||
Finalmente, se debe incluir el presupuesto o costo asociado para el cumplimiento de las medidas a aplicar.
8. Análisis de costo de prevención y pérdida estimada.
La perdida estimada puede hacerse:
PE por riesgo = CE * F
PE es pérdida estimada
CE costo estimado y se obtiene de la suma del costo de todas las acciones asociadas a mitigarlo o eliminarlo y su división entre la pérdida estimada de su manifestación.
F frecuencia estimada de ocurrencia
Costo de prevención / pérdida estimada, debe ser menor que 1.
En caso de que el costo de prevención sea mayor que la pérdida estimada, queda a decisión de la organización la eliminación del riesgo y se propone entonces la reelaboración de las acciones de prevención y los objetivos de control, en busca de alternativas más económicas.
El consecuente análisis de beneficio-costo ayuda a la toma de decisiones, en la cual se valoran y comparan los costos, financieros y económicos, contra los beneficios generados. Una medida de gestión de riesgos será aceptada siempre que el beneficio valorado supere al costo.
Monitoreo de la eficacia del proceso de gestión de riesgos
Es necesario monitorear la eficacia de todos los pasos del proceso de gestión de riesgos. Este es un paso importante para la mejora continua.
En resumen consideramos los riesgos como toda posibilidad de ocurrencia de aquella situación que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos, de aquí, la importancia de esta herramienta que le permita a las empresas hacer un manejo adecuado de los riesgos desde la planeación y contribuir así al logro de los objetivos.
Los riesgos y la eficacia de las medidas de tratamiento necesitan ser monitoreados para asegurar que las circunstancias cambiantes no alteren las prioridades.
La auto evaluación del control provee un medio para la revisión continua de los riesgos y de sus controles.
Es esencial la revisión sobre la marcha para asegurar que el plan de gestión de riesgos se mantenga relevante. Los factores que podrían afectar la probabilidad y consecuencia de un resultado podrían cambiar, como también los factores que afectan la conveniencia o costo de las opciones de tratamiento. Es en consecuencia necesario repetir el ciclo de gestión de riesgos regularmente.
La revisión es una parte integral de los planes de tratamiento de la gestión de riesgos. El progreso real respecto de los planes de tratamiento de los riesgos provee una medida importante de desempeño y deberían ser incorporados en el sistema de información, medición y administración de desempeño de la organización.
Conclusiones
Este trabajo pretende establecer un procedimiento para la determinación de los riesgos por objetivos, con el fin de lograr la gestión de los riesgos que inciden sobre el cumplimiento de los objetivos trazados y de la misión de la organización.
Recomendaciones
La organización debe prepararse previamente en el conocimiento de algunas técnicas de dirección elementales como la definición de objetivos de trabajo, y conceptos básicos como peligros, vulnerabilidades y riesgos, entre otros.
Bibliografía
1. Resolución 60/2011 de la contraloría general de la República
2. NC ISO 9001: 2008 Sistema de Gestión de la Calidad
3. ISO 31000:2009 Gestión del riesgo.
Autor:
Clara Beatriz Bello Robaina