Autor: Oscar Javier Castañeda Suárez / Consultor SARLAFT / SIPLAFT / SARO / SARL - Calidad ISO 9001 e ISO 27001.
Una matriz de riesgos es una herramienta de control y de gestión normalmente utilizada para identificar las actividades como los procesos y productos más importantes de una institución, el tipo y nivel de riesgos inherentes a estas actividades, así como también los factores exógenos y endógenos. Igualmente, permite evaluar la efectividad de una adecuada gestión y administración de los riesgos financieros, operativos, legales, de contagio, reputacionales, estratégicos entre otros, que impactan la misión de la organización.
Lo primero que se debe saber a nivel empresarial, independientemente del sector perteneciente o si se desea implementar una norma ISO (Organización Internacional de Normalización) dentro de la organización es: un riesgo no tiene porqué ser algo “malo”, inconscientemente se tiende a asociar la palabra riesgo con problema, pero no es una asociación certera.
Por definición, un riesgo es un evento incierto que en el caso de ocurrir tendrá un impacto (ya sea negativo o positivo) a nivel empresarial. Cada riesgo negativo se considera una amenaza, y por otra parte el riesgo positivo se considera como oportunidad.
La mejor manera de identificar y controlar los riegos, es a través de una matriz y esta se podría crear con 4 sencillos pasos, cabe resaltar que algunos estudiosos podrían hablar de más pasos o etapas. En este caso se explicarán partiendo de las 4 etapas de reconocimiento de riesgos (Identificación, medición, control y monitoreo).
Paso 01.
Identificar la mayor cantidad de riesgos posibles independiente de la cantidad que surjan o se puedan encontrar. Para esto es importante estar sentados en una misma mesa de trabajo con líderes de procesos, gerentes de área o stakeholders, que nos puedan aportar la mayor información y analizar el posible origen de los riesgos.
Paso 02.
Una vez se tengan listados la mayor cantidad de riesgos, el siguiente paso será hacer un análisis cualitativo y/o cuantitativo de los mismos, para poder clasificarlos de mayor a menor importancia para el proceso, la organización, la operación, el área, entre otros; donde se va a identificar que algunos riesgos se repiten u otros se descartan.
En este punto, cada riesgo se podría evaluar por su probabilidad de ocurrencia, y por otro lado se puede evaluar el impacto o consecuencia de cara a la organización, para este ejercicio, es posible medir con una escala de valoración de 1 a 5, siendo cinco el valor más importante y 1 el valor menos importante.
Paso 03.
Ya con la valoración de la probabilidad y el impacto, se procede a completar la matriz de riesgos, simplemente es multiplicar estos 2 valores, probabilidad por impacto (PxI).
El resultado de multiplicar PxI, será la clasificación global del riesgo, se puede usar un código de colores para el nivel de los riesgos en la matriz como el siguiente:
Verde: Bajo
Amarillo: Moderado
Naranja: Alto
Rojo: Extremo
Con este resultado se podrán mover de izquierda a derecha y de arriba abajo, para graficar los riesgos en la matriz.
Ejemplo de matriz de riesgos de 5×5:
Paso 04.
Ya graficados los riesgos en la matriz, debe decidir que va a hacer con los riesgos, en este caso ¿cuáles y cómo se van a tratar?
Cuando se habla de cuáles, hace referencia a los riesgos ubicados en zona extrema y alta, el resto los podría asumir la empresa (apetito de riesgo); mientras que, cuando se habla de cómo, es implementar medidas o controles con el fin de minimizar la probabilidad o el impacto de ocurrencia de los riesgos. Estos controles deben ser revisados frecuentemente para validar si son pertinentes o no para mitigar el impacto, la ocurrencia o ambos.
Por último y no menos importante, la matriz de riesgo es un documento “vivo o activo”, es decir, se debe actualizar constantemente para que sea un reflejo de la realidad y se convierta en una herramienta útil a nivel trasversal dentro de la organización.
Para ello se debe revisar la matriz de riesgos con alguna periodicidad (mensual, bimensual, trimestral, semestral) en las reuniones gerenciales o juntas directivas y comentar los riesgos que han impactado, los que no, clasificarlos de nuevo, modificar la probabilidad y el impacto, o si estos han variado.
Comentarios