Risk ma­na­ge­me­nt: tomar de­ci­sio­nes seguras con la gestión de riesgos

Bajo el término “gestión de riesgos” (también risk ma­na­ge­me­nt o ad­mi­ni­s­tra­ción de riesgos) se agrupan todas las medidas para ide­n­ti­fi­car e influir en este tipo de opo­r­tu­ni­da­des y peligros, que surgen a partir de las acciones em­pre­sa­ria­les y que pueden tener un efecto tanto negativo como positivo en el éxito de la empresa.

El objetivo del risk ma­na­ge­me­nt no es eliminar todos los riesgos, eso es prá­c­ti­ca­me­n­te imposible. La idea es, más bien, alcanzar un equi­li­brio óptimo entre opo­r­tu­ni­da­des y riesgos. De esta manera, una gestión de riesgos sa­ti­s­fa­c­to­ria aumenta la seguridad en la toma de de­ci­sio­nes y pla­ni­fi­ca­ción de proyectos, minimiza el riesgo de in­so­l­ve­n­cia y es­ta­bi­li­za la situación de los ingresos.

Entre las normas in­te­r­na­cio­na­les más im­po­r­ta­n­tes están la norma de análisis de riesgos ISO 31000:2009, la norma de gestión de calidad ISO 9001:2015, así como la COSO En­te­r­pri­se Risk Ma­na­ge­me­nt Framework (COSO ERM 2017). El modelo conocido como cubo COSO clasifica la gestión de riesgos por co­m­po­ne­n­tes, ca­te­go­rías de objetivos y unidades de or­ga­ni­za­ción.

La idea es que las di­re­c­tri­ces ex­pre­sa­das en estas normas sirvan como ayuda para que las empresas apliquen y de­sa­rro­llen su propia gestión de riesgos. Tanto las normas ISO como COSO se in­s­pe­c­cio­nan de manera regular y se modifican, si es necesario, para ada­p­tar­las a los últimos avances del mundo em­pre­sa­rial.

A menudo, el concepto de risk ma­na­ge­me­nt en la empresa se relaciona con el término de co­m­plia­n­ce y de corporate go­ve­r­na­n­ce, ya que los tres conceptos están es­tre­cha­me­n­te vi­n­cu­la­dos. Todos ellos co­n­tri­bu­yen a una dirección correcta y eficiente de la empresa.

Lo primero es la ide­n­ti­fi­ca­ción de los riesgos, en este paso se cla­si­fi­can todos los riesgos de manera in­di­vi­dual según el ámbito, se detectan y se describen sus cua­li­da­des. Este proceso se puede llevar a cabo tanto para toda la empresa como para un proyecto es­pe­cí­fi­co. Las personas con poder de decisión pueden emplear varios métodos para definir el proceso de ide­n­ti­fi­ca­ción y para ga­ra­n­ti­zar que se detectan todos los peligros y todos los focos de daños:

• Encuestas a expertos y empleados
• Eva­lua­ción de datos y do­cu­me­n­tos di­s­po­ni­bles
• Talleres internos de riesgos
• Visitas a plantas e in­s­ta­la­cio­nes

Al final de esta fase debe haberse elaborado un catálogo de riesgos (también de­no­mi­na­do: in­ve­n­ta­rio de riesgos) completo.

En el siguiente paso, se valora cua­n­ti­ta­ti­va­me­n­te cada riesgo in­di­vi­dual en cuanto a su pro­ba­bi­li­dad de ocu­rre­n­cia y sus po­te­n­cia­les efectos. En esta eva­lua­ción, los riesgos no deben tratarse de manera aislada, sino que también se deben tener en cuenta las co­n­se­cue­n­cias que pueden surgir debido a la in­ter­ac­ción de varios riesgos o la acu­mu­la­ción en el tiempo. Este aspecto también se denomina agre­ga­ción de riesgo.

En la cua­n­ti­fi­ca­ción se usan di­s­tri­bu­cio­nes de pro­ba­bi­li­dad o de fre­cue­n­cia. La cifra de medición concreta para valorar un riesgo se denomina valor en riesgo (VaR).

Los pasos 1 y 2 también se denominan de forma conjunta como análisis de riesgos y se co­n­si­de­ran los pasos más difíciles dentro del proceso de risk ma­na­ge­me­nt, ya que no solo se deben detectar y valorar los riesgos ya exi­s­te­n­tes, sino también aquellos que pueden surgir en un futuro. Una vez ana­li­za­dos los re­su­l­ta­dos, se pueden di­s­ti­n­guir aquellos riesgos que presentan una pro­ba­bi­li­dad de ocu­rre­n­cia y un efecto pe­r­ju­di­cial es­pe­cia­l­me­n­te elevados.

En el marco de la su­pe­r­vi­sión de riesgos se co­m­prue­ban los métodos aplicados en cuanto a su efi­cie­n­cia, idoneidad y efe­c­ti­vi­dad. La su­pe­r­vi­sión puede rea­li­zar­se de dos maneras distintas, que en el mejor de los casos se deben co­m­ple­me­n­tar: la su­pe­r­vi­sión continua en tiempo real y la co­m­pro­ba­ción de riesgos periódica más exhau­s­ti­va. Los re­su­l­ta­dos se tra­n­s­mi­ten lo antes posible a los re­s­po­n­sa­bles co­rre­s­po­n­die­n­tes.

La gestión de riesgos no es una tarea de una persona in­di­vi­dual, sino que afecta a todos los empleados de una empresa. Aunque es cierto que la dirección de la empresa establece la es­tra­te­gia y la orie­n­ta­ción básica, en su apli­ca­ción operativa pa­r­ti­ci­pan más agentes.

Para repartir la re­s­po­n­sa­bi­li­dad dentro del risk ma­na­ge­me­nt, se emplea fre­cue­n­te­me­n­te el modelo de las tres líneas de defensa (Three Lines of Defense):

• Primera línea. Durante el fu­n­cio­na­mie­n­to normal de la empresa, los di­re­c­to­res y empleados reac­cio­nan a los riesgos según las es­tra­te­gias definidas mediante la ayuda de un sistema de control.
• Segunda línea. Los empleados a los que se les han encargado tareas concretas de la gestión de riesgos sirven de ayuda a la primera línea, por ejemplo, mediante la apo­r­ta­ción de métodos concretos o a través del coaching.
• Tercera línea. Una instancia in­de­pe­n­die­n­te supervisa la gestión de riesgos.

La detección y el control de riesgos son parte fu­n­da­me­n­tal de la cultura co­r­po­ra­ti­va, ya que el risk ma­na­ge­me­nt no solo se lleva a cabo en las altas esferas de la dirección de la empresa, sino que afecta al trabajo cotidiano de cada uno de los empleados.

Si no prevés ni tienes en cuenta las posibles co­n­se­cue­n­cias negativas de tus de­ci­sio­nes, estás co­m­pro­me­tie­n­do la es­ta­bi­li­dad económica de la empresa. Gracias a sus métodos, la gestión de riesgos ofrece las he­rra­mie­n­tas ne­ce­sa­rias para detectar los riesgos de manera clara y no tener que confiar en meros pre­se­n­ti­mie­n­tos. De esta forma, se permite a las empresas tomar los riesgos de forma calculada para asegurar su cre­ci­mie­n­to y su éxito.