Blog

La gestión de riesgos como parte de la mejora continua en las Organizaciones

Cuando se habla de riesgos se hace referencia a la posibilidad de que un evento o incidencia futura pueda causar daños o pérdidas a la organización. Toda actividad empresarial tiene asociado riesgos tanto de origen internos como externos cuyo impacto, si se materializa, puede ser crucial para el futuro del negocio o afectar muy negativamente a su reputación. Los riesgos pueden ser de naturaleza variada (financiera, operativa, ambiental, industrial, política, legal, reputacional, …) y, dependiendo del sector en el que se opera, unos tienen más incidencia que otros. 

Dado que los riesgos existen, las empresas deberían gestionarlos y tomar decisiones sobre aquellos que serían significativos para la Organización. Pero, si no existe una cultura de gestión de riesgos, es difícil que las empresas dispongan de una sistemática implantada para su identificación, análisis, adopción de medidas y seguimiento de éstas, por lo que en caso de materializarse el riesgo se recurrirá a la improvisación. Pongamos un ejemplo, supongamos que tenemos un riesgo operativo como puede ser una avería en un equipo crítico de fabricación que implicara la paralización de la producción. En este caso todo responsable de planta tiene identificados estos equipos en su cabeza, pero en base a dicho conocimiento ¿se ha implementado un correcto plan de mantenimiento sobre los mismos cuyo cumplimiento se controla? ¿se tiene definido un plan de contingencias en caso de que ocurra una avería que deje al equipo fuera de servicio? ¿se ha sopesado entre las inversiones tener equipos redundantes? ¿se han estudiado todas estas actuaciones en un análisis sistemático de riesgos?

En anteriores artículos se ha analizado la sinergia e integración de los Sistemas de Gestión en la cultura y organización de la empresa. Pues bien, en los Sistemas de Gestión también se incluye la gestión de los riesgos como parte de la mejora continua en el que se basan, ya que aporta a la Organización:

  • Una base para la toma de decisiones, al identificar amenazas y oportunidades.
  • Identifica dónde es necesario implantar controles y sistemas de seguimiento.
  • Previene los incidentes y mejora su gestión en caso de producirse.

 

Existen múltiples metodologías de análisis de riesgos como pueden ser el Análisis de Peligros y Puntos Críticos de Control (APPCC) en el sector de la alimentación, el Análisis Funcional de Operatividad (conocido como AFO o HAZOP), etc., pero todas ellas se basan en la identificación, evaluación, tratamiento y monitorización de los riesgos asociados a una actividad, función o proceso. 


Independientemente de la metodología empleada, los pasos a seguir en la gestión de riesgos comienzan con el inventario de los aspectos (o sucesos) que se pueden causar riesgos para la Organización. Posteriormente se deben identificar los impactos asociados a los aspectos anteriores. En esta fase de identificación de impactos es imprescindible conocer también los controles y/o las medidas ya implantados para su gestión, ya que no tendrá las mismas consecuencias un impacto sobre el que se han adoptado medidas de mitigación que el mismo impacto sin dichas medidas. Por ejemplo, en el caso anteriormente descrito de los equipos críticos, no tendrá las mismas consecuencias para la producción una avería de dicho equipo si no se dispone de un equipo redundante que si ya se ha adquirido, en el primer escenario tendré que paralizar la producción mientras que en el segundo podré continuar sin interrupciones. 

Identificados los impactos el siguiente paso será la evaluación de los riesgos, cuyo objetivo es establecer su valoración y priorización. En esta etapa de evaluación es donde se deberán tener en cuenta los controles y/o las medidas ya implantados e identificados en la etapa anterior. Uno de los métodos más empleados para la evaluación de riesgos es la denominada matriz de riesgos, que se compone de dos ejes, en el vertical se establecen los valores de probabilidad y el horizontal los valores del impacto, y los valores obtenidos en las diferentes celdas de la matriz son el resultado de multiplicar:

RIESGO = PROBABILIDAD x IMPACTO

Siendo:

Probabilidad: posibilidad de que ocurra un riesgo.
Impacto: el conjunto de consecuencias que origina un riesgo si llegara a presentarse. No hay que confundir este concepto con “magnitud”, un riesgo puede tener una magnitud elevada en términos de tamaño del evento y sin embargo su impacto en la Organización puede ser más pequeño.

Se suelen utilizar clasificaciones de palabra como alto, medio o bajo con sus descripciones de probabilidad y consecuencia. Estas clasificaciones se definen con una escala apropiada para calcular el nivel de riesgo y deben adaptarse a cada caso. Un ejemplo muy sencillo para explicar esta matriz con sus criterios de probabilidad e impacto sería:

tabla

 

(1) Criterios para el cálculo de la probabilidad

- Baja: La probabilidad de que ocurra es como máximo cada año
- Media: La probabilidad de que ocurra es como máximo cada trimestre
- Alta: La probabilidad de que ocurra es como máximo cada mes


(2) Criterios para el cálculo del impacto

- Bajo: El impacto no tiene consecuencias relevantes para la Organización
- Medio: El impacto tiene consecuencias reseñables para la Organización
- Alto: El impacto tiene consecuencias graves para la Organización


Los riesgos situados en el cuadrante rojo (“Muy alto”) deberían de ser los considerados prioritarios, seguidos por los de la zona naranja (“Alto”) y posteriormente los de la zona amarilla (“Medio”). Los riesgos de la matriz de las zonas “Bajo” y “Muy bajo” podrían ser asumidos por la empresa.

Finalizada la evaluación y priorizados los riesgos el siguiente paso será determinar el tratamiento que se les dará, debiendo adoptar acciones para aquellos riesgos que superen los límites aceptables de la Organización. Las estrategias más utilizadas son:

 

  • Transferir el riesgo a un tercero. Por ejemplo, contratando un seguro cubra los daños.
  • Eliminar el riesgo. Por ejemplo, eliminando o sustituyendo el proceso al que está sujeto el riesgo elevado. 
  • Asumir el riesgo. Por ejemplo, en los equipos críticos de fabricación el coste de instalar un equipo redundante puede ser demasiado alto y, por tanto, la organización opta por asumir el riesgo. En estos casos es conveniente diseñar un plan de contingencia.
  • Mitigarlo, tomando acciones para limitar el impacto y/o reducir las posibilidades de que ocurra. Pongamos por ejemplo que existe un riesgo de inundaciones de las instalaciones y se adquieren barreras de contención, no se elimina el riesgo, pero se mitiga su impacto.


Todos los pasos anteriores se suelen desarrollar bajo un proyecto definido en un tiempo. Pero la parte más importante para el éxito de la gestión de los riesgos es que las decisiones que se adopten para su tratamiento sean implementadas en la Organización. Para asegurar su consecución se recomienda incluirlos dentro del Sistema de Gestión a través de los planes operativos, planes de control, procedimientos operativos de trabajo, planes de emergencia, etc. Su integración en el Sistema de Gestión asegurará que:

  • Forman parte de la operativa de la empresa.
  • Se incorporan a los sistemas de control, por lo que a intervalos definidos se comprobará su cumplimiento.
  • Periódicamente se analizará su idoneidad. 

Para implantar una sistemática de gestión de riesgos es conveniente contar con personal cualificado y con experiencia, como puede ser un Interim Manager, ya que aporta:

  • La necesaria objetividad e imparcialidad a la hora de evaluar y priorizar riesgos.
  • Su experiencia ejecutiva en el tratamiento de éstos.
  • Su capacidad de integrar la gestión de riesgos en la operativa de la empresa. 

 

Firma: Amaya Echeverría Moreno (Interim Manager colaboradora en Servitalent)

Tags
Interim Management
interim manager
management
Desarrollo organizacional