Estrategias de gestión de riesgos: la cuerda de escalada que tu organización necesita

¿Te atreverías a escalar una roca sin una cuerda adecuada, un arnés, un dispositivo de bloqueo automático y un compañero que te ayude a subir y bajar? Probablemente no. Incluso en el caso de que seas lo suficientemente bueno como para no caer, los riesgos son demasiado altos como para pasarlos por alto. Aunque existe la escalada en solitario sin cuerdas, solo los escaladores más avanzados y con gran apetito por el riesgo la practican. Dirigir una organización no siempre es fácil. Debes tener en cuenta los riesgos que corres al ascender en el mercado. Y necesitas el equipo adecuado, es decir, las estrategias de gestión de riesgos adecuadas, para mitigarlos.

Un plan de gestión de riesgos eficaz puede garantizar que evites pérdidas financieras y de reputación, que cumplas con la normativa y que ganes confianza.

Promoción del cumplimiento de las normativas

La estrategia de gestión de riesgos no es una opción en algunos sectores. Por ejemplo, las instituciones financieras de la UE (Unión Europea) deben cumplir con la DORA (Ley de Resiliencia Operativa Digital), que establece disposiciones reglamentarias estrictas sobre la gestión de riesgos de las TIC (tecnologías de la información y la comunicación). El incumplimiento de los requisitos legales ha resultado ser una amenaza importante. No es una broma, porque los reguladores no dudan en multar a los infractores. En el caso de Equifax, la empresa tuvo que pagar una multa de 575 millones de dólares por la pérdida de información personal y financiera de 150 millones de consumidores, ya que su base de datos era vulnerable a la explotación por parte de piratas informáticos.

Eliminación de pérdidas de reputación

El centro de operaciones de Delta Airlines sufrió una huelga de cinco horas en 2016. Eso le costó a la compañía 150 millones de dólares, ya que la aerolínea se vio obligada a cancelar aproximadamente mil vuelos y a liberar otros mil. Es uno de los ejemplos de gestión de riesgos que no solo está asociado con pérdidas. Delta se había promocionado como una aerolínea que siempre llega a tiempo y que cancela vuelos. Podría decirse que las pérdidas de reputación son aún más costosas para la aerolínea en comparación con la cancelación y la suspensión de vuelos.

Asegurar los resultados

Cuando las organizaciones se ven sorprendidas, pueden costarles un ojo de la cara. Las consecuencias de una violación de datos pueden traducirse en multas millonarias. Los fallos repentinos o la indisponibilidad del servicio se traducen en pérdidas de ingresos. Considera el riesgo de cumplimiento normativo como ejemplo. Meta (Facebook) fue la primera empresa en pagar una multa de 1200 millones de euros por infringir las normas de protección de datos de la UE.

Prevenir problemas antes de que causen estragos

Un buen enfoque de gestión de riesgos no se limita a la gestión de riesgos. También establece la estructura para determinar los riesgos reales que se han materializado y hacerles frente antes de que puedan provocar pérdidas financieras significativas. A modo de ejemplo, podría incluir la creación de un potente sistema automatizado de detección de anomalías que permitiera detectar posibles brechas de seguridad en una fase temprana.

Ganarnos la confianza de los clientes y los inversores

Un marco eficaz de gestión de riesgos envía una señal clara a tus inversores: tienes todo bajo control. Una baja exposición a los riesgos y una gestión adecuada de los riesgos inevitables protegen su inversión contra la pérdida de finanzas y reputación. Los clientes tienden a confiar más en una empresa que gestiona sus riesgos, en particular los datos personales. Proteger la información de los clientes es el aspecto más importante para inspirar confianza en una empresa entre los consumidores.

Antes de lanzarte a seleccionar métodos de gestión de riesgos, debes crear un equipo de gestión de riesgos empresariales (si aún no lo has hecho). Este grupo se encargará de detectar y supervisar constantemente los riesgos, gestionarlos y optimizar la estrategia en función de los riesgos emergentes. Un equipo de gestión de riesgos empresariales reúne:

• La junta directiva, ya sea como representante o como comité a nivel directivo, supervisa al equipo desde el punto de vista corporativo.
• El equipo está dirigido por el director de riesgos (CRO), que supervisa la implementación de la estrategia y la mejora continua.
• El director de operaciones (COO) ofrece una perspectiva global de todas las operaciones diarias y ayuda a identificar las deficiencias en la gestión de riesgos y a eliminarlos.
• El director financiero (CFO) aporta información sobre los riesgos para los ingresos y la rentabilidad, los riesgos relacionados con los seguros (cuando proceda) y los riesgos para los ingresos y la rentabilidad.
• El director jurídico da su opinión sobre las cuestiones legales de la organización y la posibilidad de responsabilidad.
• El director de cumplimiento se encarga de garantizar el cumplimiento total de la normativa por parte de la junta directiva y la seguridad de los trabajadores a través de la ciberseguridad.
• El director de información (CIO) gestiona los riesgos de TI y mejora la continuidad del negocio en caso de que se produzcan.
• El director de recursos humanos (CHRO) se encarga de los riesgos relacionados con la plantilla.
• El director de comunicaciones ofrece una visión general de los riesgos para la reputación que pueden surgir.
• Los jefes de departamento asignados como responsables de los riesgos ofrecen una idea práctica sobre los riesgos en sus respectivos departamentos comerciales.

La prevención, la reducción, el reparto, la transferencia y la retención de riesgos son los métodos de gestión de riesgos más utilizados.

Prevención de riesgos

Una estrategia de gestión de riesgos de este tipo implica la ausencia de actividades de alto riesgo y potencialmente perjudiciales para la organización. ¿Cuál es un indicador común de la necesidad de utilizarla? Determina si los riesgos no superan los posibles beneficios. Alternativamente, pueden existir amenazas que supongan un peligro existencial para la organización.

Prevención de pérdidas/reducción de riesgos

Algunos riesgos no pueden erradicarse. Por ejemplo, no se puede excluir por completo la amenaza de condiciones meteorológicas adversas. Lo único que puedes hacer es prevenir o reducir las pérdidas. Por ejemplo, la mitigación de riesgos se puede lograr colocando respiraderos y bombas de sumidero para reducir los daños causados por las inundaciones. La minimización de riesgos en el sector sanitario se lleva a cabo normalmente como atención preventiva.

Distribución de riesgos

¿No puedes evitar o reducir el riesgo? Compartir los riesgos puede mitigar la exposición. En este enfoque de gestión de riesgos, en caso de que se produzca el riesgo, las pérdidas se reparten entre varias partes y el impacto de cada una de ellas se suaviza. Un buen ejemplo de reparto de riesgos es la participación accionarial: en caso de que la empresa no obtenga beneficios, las pérdidas se reparten entre los inversores de la empresa.

Transferencia de riesgos

Se trata de una estrategia de transferencia de riesgos en la que el riesgo se contrata a un tercero. Es un método adecuado de gestión de riesgos cuando estos son demasiado grandes como para que las organizaciones puedan gestionar las pérdidas. La transferencia de riesgos suele referirse al seguro contra catástrofes naturales o litigios. Un contrato de servicios también te permite delegar el riesgo a un subcontratista.

Aceptación/retención de riesgos

Cuando se han agotado todas las demás estrategias de gestión de riesgos, la aceptación del riesgo es la última opción sobre la mesa. Aceptar el riesgo implica a) que es imposible eliminarlo, o b) que los gastos de utilizar estrategias alternativas superan los beneficios. Para aplicar la retención de riesgos, debes reservar el presupuesto y otros recursos que serían necesarios para hacer frente a los efectos de este riesgo residual. Este riesgo puede manifestarse en forma de quejas habituales de los clientes o pequeños fallos operativos, por ejemplo.

Una compañía de seguros también está expuesta a diversos riesgos en comparación con, por ejemplo, una empresa tecnológica de nueva creación. El análisis de su impacto potencial suele implicar una combinación de los siguientes métodos de evaluación de riesgos.

Evaluación cuantitativa del riesgo

La evaluación cuantitativa de riesgos te permite asignar un valor numérico al coste potencial de cada riesgo y priorizarlos en consecuencia. La razón por la que el análisis cuantitativo de riesgos resulta tan atractivo es que sus resultados son medibles y objetivos, fáciles de entender y comparar. Sin embargo, la evaluación cuantitativa del riesgo no es una solución válida para todos los casos. Hay organizaciones que pueden no disponer de información de calidad para obtener estimaciones sobre las posibles pérdidas. Algunos de los efectos, como las pérdidas de reputación, pueden no ser medibles en absoluto. Las técnicas comunes de análisis cuantitativo de riesgos incluyen:

• Estimación de tres puntos: elaborar las mejores proyecciones de los casos más favorables, más probables y más desfavorables para obtener las mejores proyecciones.
• Análisis del árbol de decisión: es una técnica que consiste en dibujar un diagrama que ilustra el posible efecto de las opciones de toma de decisiones.
• Valor monetario previsto: Determinación del dinero y el tiempo de contingencia.
• Análisis de sensibilidad: estimación del riesgo que afectará de manera más significativa a un proceso o proyecto.
• Simulación de Monte Carlo: calcular la probabilidad de diversos resultados en un proceso que implica variables aleatorias.
• Análisis del árbol de fallos: establecer un diagrama para determinar los factores que pueden causar fallos en el sistema.

Evaluación cualitativa del riesgo

En esta técnica de evaluación de riesgos, puedes identificar los aspectos que es necesario analizar más a fondo y gestionarlos de forma práctica. Se trata de involucrar a las personas de una organización en un debate sobre los riesgos y sus posibles efectos. Los métodos cualitativos son:

• Mantén la sencillez (KISS): clasifica los eventos de riesgo en una escala simple (muy alto) a (muy bajo).
• Probabilidad/Impacto: Clasifica las posibilidades de que se produzca un riesgo y su efecto en una escala del 1 al 10 o del 1 al 5 en un gráfico bidimensional.

La evaluación cualitativa del riesgo tiene en cuenta los factores que son difíciles de cuantificar. Por el contrario, se basa en sentimientos y opiniones personales y puede estar contaminada por sesgos.

Evaluación de riesgos basada en activos

Este método reconocerá los riesgos que pueden afectar a los activos de la organización, entre los que se incluyen los equipos, los bienes y la propiedad intelectual. Implica:

• Preparar una lista de todos los activos disponibles.
• Evaluar la eficacia de los controles de riesgo actuales.
• Solicitar la ayuda de los propietarios de los activos para enumerar los riesgos potenciales de cada activo.
• Además de identificar los riesgos, se debe priorizar los riesgos en términos de probabilidad e intensidad del impacto.

Aunque las evaluaciones de riesgos basadas en activos producen resultados fáciles de entender, no tienen en cuenta ciertos riesgos inherentes a las políticas o procesos de la organización.

Evaluación de riesgos basada en vulnerabilidades

Este método se centra en exponer los puntos débiles de cada organización o sistema. Las evaluaciones basadas en vulnerabilidades implican: en lugar de comenzar con una lista de los activos de la empresa.

• Identificar las debilidades e ineficiencias existentes en la organización/el sistema.
• Determinar la forma en que se podrían utilizar esas debilidades.
• Evaluar el posible efecto que puede tener cada exploit.

Aunque el método ofrece una perspectiva más equilibrada de los riesgos, existe un inconveniente: se basa en vulnerabilidades conocidas. Por lo tanto, las lagunas que aún no se han abordado seguirán siendo amenazas.

Seleccionar la combinación adecuada de estrategias de gestión de riesgos requiere una comprensión clara de los riesgos de la organización y su impacto potencial. Por eso, no hay forma de ofrecer consejos universales sobre gestión de riesgos en relación con esta o aquella estrategia. Dicho esto, en algunos casos las organizaciones prefieren adoptar algunas estrategias específicas:

• La estrategia de evitación de riesgos debe adoptarse en los casos en que el efecto potencial del riesgo sea mayor que los beneficios de la actividad.
• La reducción del riesgo es una opción adecuada cuando no hay otra opción, pero aún así, pueden existir medidas de control del riesgo.
• El reparto de riesgos está asociado a proyectos demasiado grandes o complicados para ser gestionados por una sola parte.
• La retención de riesgos es habitual en riesgos con bajo impacto que son normales en las operaciones diarias.
• El riesgo de desplazamiento se suele utilizar cuando se trata de riesgos de gran impacto y a gran escala, cuyo manejo resultaría prohibitivamente costoso para una organización.

Sin embargo, el nivel de riesgo, la tolerancia al riesgo de las partes interesadas clave y los recursos determinarán la estrategia que adoptes.

El proceso de gestión de riesgos consta de cinco pasos, a saber: identificación del riesgo, evaluación del riesgo, plan de tratamiento del riesgo, implementación, supervisión y perfeccionamiento.

1. Identificación de riesgos

Lo primero que debes hacer es tener una visión general de todos los posibles riesgos a los que está expuesta tu organización. Documenta todos los riesgos identificados en un documento, como un registro de riesgos, es decir, una base de datos de riesgos, su probabilidad e impacto potencial, los responsables de los riesgos y la estrategia de tratamiento de riesgos seleccionada. Para determinar todos los riesgos posibles:

• Comunícalos a los trabajadores de primera línea, así como a la alta dirección, mediante encuestas, lluvias de ideas y entrevistas.
• Investiga los casos históricos de riesgos y encuentra sus causas.
• Extrae información sobre riesgos con la ayuda de datos históricos en forma de análisis de datos.

En estas siete categorías de riesgo, ten en cuenta los riesgos internos y externos:

2. Análisis de riesgos

Ahora es el momento de determinar el nivel de gravedad de cada uno de los riesgos identificados. Para cada riesgo, determina:

• El evento de riesgo, en caso de que ocurra, tendrá un impacto negativo en la organización.
• Factores internos y externos que pueden provocar la aparición de un riesgo.
• Probabilidad de que se produzca el evento de riesgo.
• Impacto del evento de riesgo.
• Plazo o velocidad con la que puede producirse el riesgo.

Puedes agregar tus hallazgos en una matriz de riesgos con la probabilidad de riesgo en un eje y la gravedad del impacto en el otro. Una vez realizada la evaluación, podrás clasificar los riesgos de más graves a menos graves.

3. Plan de tratamiento de riesgos

A la hora de abordar el riesgo, primero debes decidir tu estrategia: evitación, reducción, reparto, transferencia o retención. Puedes combinar varios tipos de estrategias de gestión de riesgos al abordar el mismo riesgo. Posteriormente, presenta un plan de gestión de riesgos para cada riesgo, las actividades de gestión de riesgos, las políticas y los controles administrativos para reducir el riesgo. Elige también las medidas de riesgo adecuadas que se deben seguir.

4. Implementación de la gestión de riesgos

Una vez establecido el plan, es el momento de ponerlo en práctica. Asegúrate también de comunicar los riesgos a las partes interesadas clave para que estén al tanto y participen adecuadamente en los procesos de gestión de riesgos. Además, introduce un sistema que supervise los indicadores de riesgo que has determinado en el paso anterior. También puedes calcular una solución de análisis de datos para extraer información útil de dichos datos.

5. Supervisión y perfeccionamiento

La gestión de riesgos no es un proyecto, sino un proceso que debe llevarse a cabo de forma continua. Para gestionar los riesgos de manera eficiente:

• Supervisa continuamente las medidas de riesgo, por ejemplo, el coeficiente de liquidez o el tiempo de inactividad de los equipos.
• Revisa periódicamente el registro de riesgos, reevalúa los riesgos y mantente atento a los riesgos emergentes.
• Mantén una vigilancia constante e implementa medidas de mitigación de riesgos.
• Prueba y revisa tus planes y controles de mitigación.
• Obtén asesoramiento sobre tus prácticas de gestión de riesgos con las partes interesadas clave.
• Realiza auditorías internas periódicas.

El pensamiento analítico y estratégico, las habilidades interpersonales y de liderazgo, así como los conocimientos normativos y financieros, son las habilidades más valiosas en la gestión de riesgos.

Pensamiento analítico

La gestión de riesgos implica el análisis de diferentes datos. Un gestor de riesgos eficaz es capaz de tomar decisiones acertadas basándose en la información recopilada y teniendo en cuenta los factores cuantitativos y cualitativos.

Pensamiento estratégico

Los gestores de riesgos deben tener una visión global de la estrategia de una empresa y del papel que desempeña la gestión de riesgos. No pueden desempeñar su labor de forma óptima sin tener una visión global e identificar oportunidades que sus homólogos podrían haber pasado por alto.

Personas y habilidades de comunicación

La gestión de riesgos requiere una colaboración interfuncional para tener éxito. La función del gestor de riesgos es garantizar esta cooperación entre las principales partes interesadas y la obtención de comentarios.

Competencias individuales de gestión y liderazgo

En algún momento, los gestores de riesgos se ven obligados a implementar prácticas de gestión de riesgos dentro de la organización. Esto implica saber cómo animar a las personas a seguir con los esfuerzos de mitigación y crear un debate honesto sobre los riesgos.

Conocimientos normativos

Cualquier método de gestión de riesgos estará probablemente sujeto a diversas regulaciones. Por lo tanto, los gestores de riesgos deben comprender los requisitos legales de la gestión de riesgos y las formas de ponerlos en práctica.

Conocimientos financieros

Se espera que los gestores de riesgos midan los riesgos casi a diario. No pueden hacerlo sin tener amplios conocimientos financieros sobre el coste de las interrupciones de la red, así como sobre la pérdida de dinero debida a fallos en los equipos.

En conclusión, al igual que un escalador confía en las cuerdas y los arneses para su seguridad, una empresa debe emplear estrategias sólidas de gestión de riesgos para sortear los posibles obstáculos. Ya sea evitando, reduciendo, compartiendo, transfiriendo o reteniendo el riesgo, cualquiera de estos enfoques es fundamental para mitigar las pérdidas financieras, operativas y de reputación. Esta estrategia holística garantizará que las empresas tengan la capacidad de abordar las vulnerabilidades con antelación y sean resilientes, lo que garantizará el éxito y la sostenibilidad a largo plazo.