GESTIÓN DE RIESGOS

La norma UNE-ISO 31000-2010 «Gestión del riesgo. Principios y directrices» sugiere que todas las organizaciones desarrollen e implementen una gestión de riegos en varios ámbitos, como en los procesos de gobierno, la planificación, gestión y elaboración de informes, e inclusive en su propia cultura. Así, el Código Unificado de Buen Gobierno, o Código Conthe, recomienda la política de control y gestión de riesgos identifique distintos tipos de riegos, como: operativos, tecnológicos, financieros, legales, reputacionales.

Se sugiere que a la gestión de riegos se le dé una aproximación por fases, conforme a la Gerencia de Riesgos: apreciación del riesgo (identificación, análisis y evaluación), tratamiento (validación del plan de acción por la organización), seguimiento y revisión (auditoría periódica del plan validado); esto con el fin de optimizar resultados y costes. 

Del ejemplo abordado en el artículo sobre una consultora, se obtuvo un mapa de riesgos actualizado, que utilizó el mismo método semicuantitativo de potenciales escenarios y sus efectos empleados en 2005, por ello se identificaron factores externos estratégicos (geopolítica, mercado) y factores externos operacionales (cadena de suministros, regulación, cultura), factores externos financieros (crédito, tipos de cambio) y factores externos al azar (eventos naturales, medio ambiente), pero también se tuvo en cuenta los factores internos (reputación, propiedad intelectual, liquidez, inversiones, empleados, patrimonio, etc.)

Para valorar los riegos se emplean 3 termómetros:

● GRE: Grado de Riesgo Estimado en 2005.

● GRA: Grado de Riesgo Auditado en 2011.

● GRO: Grado de Riesgo Objetivo.

Y se toman en cuenta los siguientes factores para intensidad, severidad o gravedad:

1. Moderada: si las consecuencias obligan a modificar algunos medios o procesos.
2. Relevante: si las pérdidas originan dificultades considerables en el corto plazo.
3. Grave: si su severidad es tal en los resultados que obliga a reconsiderar no solo el corto plazo, sino todos los planes de futuro de la organización.
4. Catastrófica: si amenazan la propia supervivencia de la organización.

Este análisis integral se hace con la finalidad de facilitar el cumplimento de los requisitos legales y reglamentarios a los que toda empresa está sometida.

En cuanto a probabilidad o frecuencia:

1. Remota: si sucede de forma extraordinaria.

2. Inusual: si acontece rara vez (menos de una vez cada decenio).

3. Ocasional: si tiene lugar alguna vez en un decenio.

4. Frecuente: si ocurre todos los años.

La empresa consultora proponía un plan de acción con una serie de medidas de minimización de cada riesgo-amenaza identificado, con el objetivo de rebajar su probabilidad de ocurrencia y mitigar el impacto en el supuesto de que llegase a materializarse.

En conclusión, se puede deducir que un análisis integral de riesgos es una herramienta que permite que una organización identifique y dé un buen tratamiento a sus riegos de manera proactiva, tome las correctas decisiones y planifique para cumplir con los requerimientos de la ley, lo que lleva no solo a detectar futuras o presentes amenazas, sino también a descubrir oportunidades de mejora para que la empresa alcance sus objetivos estratégicos y maximice sus resultados, aumentando la probabilidad de alcanzar los objetivos estratégicos.

Articulo original: Bonet, Á. (2012) La gestión de riesgo impulsa la credibilidad y la transparencia. Revista Gerencia de riesgos y seguros, número112, pp. 49-57.