Risk management: tomar decisiones seguras con la gestión de riesgos
Bajo el término “gestión de riesgos” (también risk management o administración de riesgos) se agrupan todas las medidas para identificar e influir en este tipo de oportunidades y peligros, que surgen a partir de las acciones empresariales y que pueden tener un efecto tanto negativo como positivo en el éxito de la empresa.
El objetivo del risk management no es eliminar todos los riesgos, eso es prácticamente imposible. La idea es, más bien, alcanzar un equilibrio óptimo entre oportunidades y riesgos. De esta manera, una gestión de riesgos satisfactoria aumenta la seguridad en la toma de decisiones y planificación de proyectos, minimiza el riesgo de insolvencia y estabiliza la situación de los ingresos.
Estándares internacionales para el risk management
Entre las normas internacionales más importantes están la norma de análisis de riesgos ISO 31000:2009, la norma de gestión de calidad ISO 9001:2015, así como la COSO Enterprise Risk Management Framework (COSO ERM 2017). El modelo conocido como cubo COSO clasifica la gestión de riesgos por componentes, categorías de objetivos y unidades de organización.
La idea es que las directrices expresadas en estas normas sirvan como ayuda para que las empresas apliquen y desarrollen su propia gestión de riesgos. Tanto las normas ISO como COSO se inspeccionan de manera regular y se modifican, si es necesario, para adaptarlas a los últimos avances del mundo empresarial.
¿Qué es el risk management en el entorno empresarial?
A menudo, el concepto de risk management en la empresa se relaciona con el término de compliance y de corporate governance, ya que los tres conceptos están estrechamente vinculados. Todos ellos contribuyen a una dirección correcta y eficiente de la empresa.
Las cuatro fases de la gestión de riesgos empresarial
El risk management operativo no consta de una medida que se ejecute una sola vez, sino que se trata de un proceso continuo: las oportunidades y los riesgos que pueden afectar al éxito de empresa requieren una supervisión permanente.
Para detectar de manera sistemática todos los factores relevantes, las empresas deben aplicar procesos de gestión de riesgos. Estos procesos de pueden representar como un circuito de normas en el que se ejecutan las distintas fases dentro de un bucle infinito.
El circuito de normas del risk management operativo se puede dividir en cuatro fases:
- Identificación de riesgos (análisis de riesgos I)
- Cuantificación de riesgos (análisis de riesgos II)
- Control de riesgos
- Supervisión de riesgos
Identificación de riesgos
Lo primero es la identificación de los riesgos, en este paso se clasifican todos los riesgos de manera individual según el ámbito, se detectan y se describen sus cualidades. Este proceso se puede llevar a cabo tanto para toda la empresa como para un proyecto específico. Las personas con poder de decisión pueden emplear varios métodos para definir el proceso de identificación y para garantizar que se detectan todos los peligros y todos los focos de daños:
- Encuestas a expertos y empleados
- Evaluación de datos y documentos disponibles
- Talleres internos de riesgos
- Visitas a plantas e instalaciones
Al final de esta fase debe haberse elaborado un catálogo de riesgos (también denominado: inventario de riesgos) completo.
Cuantificación del riesgo
En el siguiente paso, se valora cuantitativamente cada riesgo individual en cuanto a su probabilidad de ocurrencia y sus potenciales efectos. En esta evaluación, los riesgos no deben tratarse de manera aislada, sino que también se deben tener en cuenta las consecuencias que pueden surgir debido a la interacción de varios riesgos o la acumulación en el tiempo. Este aspecto también se denomina agregación de riesgo.
En la cuantificación se usan distribuciones de probabilidad o de frecuencia. La cifra de medición concreta para valorar un riesgo se denomina valor en riesgo (VaR).
Los pasos 1 y 2 también se denominan de forma conjunta como análisis de riesgos y se consideran los pasos más difíciles dentro del proceso de risk management, ya que no solo se deben detectar y valorar los riesgos ya existentes, sino también aquellos que pueden surgir en un futuro. Una vez analizados los resultados, se pueden distinguir aquellos riesgos que presentan una probabilidad de ocurrencia y un efecto perjudicial especialmente elevados.
Control de riesgos
Bajo el término de “control de riesgos” (en ocasiones también denominado eliminación del riesgo) se agrupan todas las medidas con las que una empresa puede reaccionar a un riesgo. Por norma general, se distinguen dos tipos de reacción, la reacción activa preventiva y la reacción pasiva correctiva.
Las medidas activas sirven para reducir la probabilidad de ocurrencia de los riesgos detectados en el análisis de riesgos o para minimizar el alcance de los daños tratando sus causas: así, una empresa puede, p. ej., mejorar su producto y reducir riesgos de responsabilidad. El hecho de evitar un riesgo también es un mecanismo de la prevención activa, por ejemplo, si se descarta totalmente la introducción en el mercado de un producto dañino para la salud.
La función de las reacciones pasivas es transferir las consecuencias de que ocurra el riesgo a un portador diferente del riesgo (transferencia del riesgo), por ejemplo, mediante la contratación de seguros o mediante transferencias al mercado de capitales.
No obstante, existe un riesgo residual de que la empresa deba responder por un daño concreto a pesar de todas las medidas de control. Este riesgo no se puede eliminar completamente. Incluso con un análisis excelente, siempre quedan ciertos riesgos desconocidos.
Supervisión de riesgos
En el marco de la supervisión de riesgos se comprueban los métodos aplicados en cuanto a su eficiencia, idoneidad y efectividad. La supervisión puede realizarse de dos maneras distintas, que en el mejor de los casos se deben complementar: la supervisión continua en tiempo real y la comprobación de riesgos periódica más exhaustiva. Los resultados se transmiten lo antes posible a los responsables correspondientes.
Responsabilidades dentro de la gestión de riesgos
La gestión de riesgos no es una tarea de una persona individual, sino que afecta a todos los empleados de una empresa. Aunque es cierto que la dirección de la empresa establece la estrategia y la orientación básica, en su aplicación operativa participan más agentes.
Para repartir la responsabilidad dentro del risk management, se emplea frecuentemente el modelo de las tres líneas de defensa (Three Lines of Defense):
- Primera línea. Durante el funcionamiento normal de la empresa, los directores y empleados reaccionan a los riesgos según las estrategias definidas mediante la ayuda de un sistema de control.
- Segunda línea. Los empleados a los que se les han encargado tareas concretas de la gestión de riesgos sirven de ayuda a la primera línea, por ejemplo, mediante la aportación de métodos concretos o a través del coaching.
- Tercera línea. Una instancia independiente supervisa la gestión de riesgos.
En resumen: el risk management como pilar fundamental del éxito
La detección y el control de riesgos son parte fundamental de la cultura corporativa, ya que el risk management no solo se lleva a cabo en las altas esferas de la dirección de la empresa, sino que afecta al trabajo cotidiano de cada uno de los empleados.
Si no prevés ni tienes en cuenta las posibles consecuencias negativas de tus decisiones, estás comprometiendo la estabilidad económica de la empresa. Gracias a sus métodos, la gestión de riesgos ofrece las herramientas necesarias para detectar los riesgos de manera clara y no tener que confiar en meros presentimientos. De esta forma, se permite a las empresas tomar los riesgos de forma calculada para asegurar su crecimiento y su éxito.