Gestión
del riesgo, una herramienta esencial para el crecimiento de la organización
Luego
de realizar un completo análisis del riesgo, medir los impactos y la
probabilidad, esta etapa consiste en determinar la prioridad de los riesgos, a
cuáles generar tratamiento y tomar decisiones al respecto, así como determinar
la importancia del nivel y el tipo de riesgo.
De
acuerdo con la NTC-ISO 31000, la evaluación consiste en comparar el nivel de
riesgo encontrado y los criterios establecidos en el contexto, y tomar
decisiones frente a los tratamientos. Para estas decisiones, también será
importante considerar la actitud de la empresa frente al riesgo -o sea el nivel
de tolerancia de la organización-, los requisitos legales, reglamentarios,
consideraciones éticas, financieras, entre otras.
Es
indispensable definir las escalas de medición en el análisis del riesgo (de
probabilidad, de impacto y de criticidad o nivel del riesgo) con el fin de
facilitar la jerarquización.
Para
una evaluación crítica es importante contar con una calificación previa de las
consecuencias de acuerdo una escala de gravedad del impacto para cada aspecto
(factor) relacionado (consecuencias humanas, financieras, operacionales,
ambientales, de mercado, de reputación, legales, etc.) asignando valores a cada
nivel, por ejemplo:
Otros
factores que podrían definirse son: legal o administrativo, mercado,
reputación, información, ambiental, cumplimiento de los objetivos, etc.
Un
riesgo puede tener varios impactos (según el análisis previo).
Usualmente
la medición del riesgo se gráfica en una matriz de criticidad en la cual se
conjuga la probabilidad por el impacto (como se muestra en el siguiente
ejemplo), ello nos permite visualizar el nivel del riesgo, que posteriormente
nos orientará hacia la identificación de los riesgos con mayor prioridad.
Es
importante tener en cuenta aquellos riesgos con alto impacto, que aunque no se
han presentado, podrían materializarse con las condiciones actuales.
Una
vez calificado el riesgo y definir el orden de importancia para su
intervención, es hora de tomar decisiones.
Las
decisiones de la evaluación de riegos deberán definir:
• Si el riesgo necesita o no tratamiento.
• Las prioridades para el tratamiento.
• Si se debería emprender o no una actividad.
• Qué rutas seguir.
• Criterios para la asignación de recursos.
En
algunos casos, antes de definir su tratamiento, la evaluación conllevará a la
necesidad de un análisis profundo del riesgo aplicando diversas metodologías
según el caso.
Para
realizar la evaluación un enfoque común es dividir los riesgos en una escala de
jerarquía, de acuerdo con su calificación (nivel de riesgo).
Por
ejemplo:
Otras
metodologías aplicadas presentan una Escala de Priorización bajo un esquema
piramidal:
• Intolerable: en esta escala se encontrarían
aquellos riesgos cuyas consecuencias o probabilidades son de tan alto impacto para
la empresa que el tratamiento del riesgo es esencial sin importar su costo.
• Medianamente tolerable: para esta escala
podemos ponderar costos y beneficios de tratar el riesgo, ya que las
consecuencias o probabilidades del nivel de riesgo son variables y los impactos pueden variar.
• Insignificante: aquellos riesgos cuyo nivel
de riesgo es bajo y sin impacto para la empresa y no es necesaria ninguna
medida de tratamiento
* Es de anotar, que la empresa definirá el lenguaje a utilizar de acuerdo con sus
consideraciones.
A
continuación la compañía definirá las estrategias de tratamiento más
convenientes teniendo en cuenta su contexto (operación, recursos, cultura
organizacional, entre otros factores).
Redacción
BASC Antioquia.
Fuentes:
NTC IEC/ISO 31010
Mejía,
R. (2006). Administración de Riesgos. Un enfoque empresarial. Fondo Editorial
Universidad EAFIT. Medellín
Serie
Gestión del riesgo, una herramienta esencial para el crecimiento de la organización (basada en la
NTC ISO 31000):
Artículos
anteriores:
Parte
1.
Gestión
del riesgo, una herramienta clave para el crecimiento de la organización
Parte
2.
Marco
de referencia para la gestión de riesgos
Parte
3.
Proceso
de gestión de riesgos I
Parte
4.
Proceso
de gestión de riesgos II
Parte
5.
Fuente: Basc Antioquia