Risk management: tomar decisiones seguras con la gestión de riesgos

Bajo el término “gestión de riesgos” (también risk management o administración de riesgos) se agrupan todas las medidas para identificar e influir en este tipo de oportunidades y peligros, que surgen a partir de las acciones empresariales y que pueden tener un efecto tanto negativo como positivo en el éxito de la empresa.

El objetivo del risk management no es eliminar todos los riesgos, eso es prácticamente imposible. La idea es, más bien, alcanzar un equilibrio óptimo entre oportunidades y riesgos. De esta manera, una gestión de riesgos satisfactoria aumenta la seguridad en la toma de decisiones y planificación de proyectos, minimiza el riesgo de insolvencia y estabiliza la situación de los ingresos.

Entre las normas internacionales más importantes están la norma de análisis de riesgos ISO 31000:2009, la norma de gestión de calidad ISO 9001:2015, así como la COSO Enterprise Risk Management Framework (COSO ERM 2017). El modelo conocido como cubo COSO clasifica la gestión de riesgos por componentes, categorías de objetivos y unidades de organización.

La idea es que las directrices expresadas en estas normas sirvan como ayuda para que las empresas apliquen y desarrollen su propia gestión de riesgos. Tanto las normas ISO como COSO se inspeccionan de manera regular y se modifican, si es necesario, para adaptarlas a los últimos avances del mundo empresarial.

A menudo, el concepto de risk management en la empresa se relaciona con el término de compliance y de corporate governance, ya que los tres conceptos están estrechamente vinculados. Todos ellos contribuyen a una dirección correcta y eficiente de la empresa.

Lo primero es la identificación de los riesgos, en este paso se clasifican todos los riesgos de manera individual según el ámbito, se detectan y se describen sus cualidades. Este proceso se puede llevar a cabo tanto para toda la empresa como para un proyecto específico. Las personas con poder de decisión pueden emplear varios métodos para definir el proceso de identificación y para garantizar que se detectan todos los peligros y todos los focos de daños:

• Encuestas a expertos y empleados
• Evaluación de datos y documentos disponibles
• Talleres internos de riesgos
• Visitas a plantas e instalaciones

Al final de esta fase debe haberse elaborado un catálogo de riesgos (también denominado: inventario de riesgos) completo.

En el siguiente paso, se valora cuantitativamente cada riesgo individual en cuanto a su probabilidad de ocurrencia y sus potenciales efectos. En esta evaluación, los riesgos no deben tratarse de manera aislada, sino que también se deben tener en cuenta las consecuencias que pueden surgir debido a la interacción de varios riesgos o la acumulación en el tiempo. Este aspecto también se denomina agregación de riesgo.

En la cuantificación se usan distribuciones de probabilidad o de frecuencia. La cifra de medición concreta para valorar un riesgo se denomina valor en riesgo (VaR).

Los pasos 1 y 2 también se denominan de forma conjunta como análisis de riesgos y se consideran los pasos más difíciles dentro del proceso de risk management, ya que no solo se deben detectar y valorar los riesgos ya existentes, sino también aquellos que pueden surgir en un futuro. Una vez analizados los resultados, se pueden distinguir aquellos riesgos que presentan una probabilidad de ocurrencia y un efecto perjudicial especialmente elevados.

En el marco de la supervisión de riesgos se comprueban los métodos aplicados en cuanto a su eficiencia, idoneidad y efectividad. La supervisión puede realizarse de dos maneras distintas, que en el mejor de los casos se deben complementar: la supervisión continua en tiempo real y la comprobación de riesgos periódica más exhaustiva. Los resultados se transmiten lo antes posible a los responsables correspondientes.

La gestión de riesgos no es una tarea de una persona individual, sino que afecta a todos los empleados de una empresa. Aunque es cierto que la dirección de la empresa establece la estrategia y la orientación básica, en su aplicación operativa participan más agentes.

Para repartir la responsabilidad dentro del risk management, se emplea frecuentemente el modelo de las tres líneas de defensa (Three Lines of Defense):

• Primera línea. Durante el funcionamiento normal de la empresa, los directores y empleados reaccionan a los riesgos según las estrategias definidas mediante la ayuda de un sistema de control.
• Segunda línea. Los empleados a los que se les han encargado tareas concretas de la gestión de riesgos sirven de ayuda a la primera línea, por ejemplo, mediante la aportación de métodos concretos o a través del coaching.
• Tercera línea. Una instancia independiente supervisa la gestión de riesgos.

La detección y el control de riesgos son parte fundamental de la cultura corporativa, ya que el risk management no solo se lleva a cabo en las altas esferas de la dirección de la empresa, sino que afecta al trabajo cotidiano de cada uno de los empleados.

Si no prevés ni tienes en cuenta las posibles consecuencias negativas de tus decisiones, estás comprometiendo la estabilidad económica de la empresa. Gracias a sus métodos, la gestión de riesgos ofrece las herramientas necesarias para detectar los riesgos de manera clara y no tener que confiar en meros presentimientos. De esta forma, se permite a las empresas tomar los riesgos de forma calculada para asegurar su crecimiento y su éxito.