Sistemas de medición de riesgos
Los riesgos pueden medirse y
clasificarse de acuerdo con la naturaleza de los atributos del riesgo, como la
escala temporal del impacto, y la naturaleza del impacto y/o la probable
magnitud del riesgo.
También pueden clasificarse según
la escala temporal del impacto después de que ocurra el evento. La fuente del
riesgo también puede utilizarse como base de la clasificación. En este caso, un
riesgo puede clasificarse según su origen, como el riesgo de contrapartida o el
riesgo crediticio.
Otra forma de clasificar los
riesgos es considerar la naturaleza del impacto. Algunos riesgos pueden causar
un perjuicio a las finanzas de la organización, mientras que otros tendrán un
impacto en las actividades o la infraestructura. Además, los riesgos pueden
repercutir en la reputación de la organización o en su situación y en la forma
en que se percibe en el mercado.
Probabilidad y magnitud del
riesgo
La probabilidad y la magnitud de
los riesgos se demuestran mejor mediante un mapa de riesgos, a veces denominado
matriz de riesgos. Los mapas de riesgo pueden producirse en muchos formatos.
Cualquiera que sea el formato utilizado para un mapa de riesgos, es una
herramienta muy valiosa para el profesional de la gestión de riesgos. El estilo
básico de un mapa de riesgos traza la probabilidad de un evento frente a la
magnitud o el impacto si el evento se materializa.
La matriz de riesgos a veces se
llama mapa de calor. Se trata de un método comúnmente utilizado para ilustrar
la probabilidad de los riesgos y la magnitud (o gravedad) del evento en caso de
que el riesgo se materialice.
El uso de la matriz de riesgos
para ilustrar la probabilidad y la magnitud del riesgo es una herramienta de
gestión de riesgos de importancia fundamental. La matriz de riesgos puede
utilizarse para trazar la naturaleza de los riesgos individuales, de modo que
la organización pueda decidir si el riesgo es aceptable y dentro del apetito de
riesgo y/o la capacidad de riesgo de la organización.
El eje horizontal se utiliza para
representar la probabilidad. Se utiliza el término verosimilitud en lugar de
frecuencia, porque la palabra frecuencia implica que los eventos ocurrirán
definitivamente y el mapa está registrando la frecuencia con que se producen
estos eventos.
La probabilidad es una palabra
más amplia que incluye la frecuencia, pero también se refiere a las
posibilidades de que ocurra un evento improbable. Sin embargo, en la
bibliografía sobre gestión de riesgos, la palabra probabilidad se utilizará a
menudo para describir la probabilidad de que se materialice un riesgo.
El eje vertical se utiliza para
indicar la magnitud. Se utiliza la palabra magnitud en lugar de gravedad, de
modo que se puede utilizar el mismo estilo de mapa de riesgos para ilustrar los
riesgos de peligro, control y oportunidad. La severidad implica que el evento
es indeseable y, por lo tanto, está relacionado con los riesgos de peligro.
Sin embargo, la consideración más
importante para los gestores de riesgos no es la magnitud del evento, sino el
impacto o las consecuencias.
Por ejemplo, podría ocurrir un
fuego que destruya completamente un almacén de una empresa de distribución y
logística. Aunque la magnitud del acontecimiento puede ser grande, si la
empresa ha elaborado planes para hacer frente a tal acontecimiento, el impacto
en el conjunto de la empresa puede ser mucho menor de lo que se habría previsto
de otro modo.
La magnitud de un evento puede
considerarse como el nivel inherente del mismo y el impacto puede considerarse
como el nivel de gestión de riesgos. Debido a que el impacto (o las
consecuencias) de un evento es normalmente más importante que su magnitud (o
gravedad), entonces cada matriz de riesgo utilizada en el resto de este libro
trazará el impacto contra la probabilidad, en lugar de la magnitud contra la probabilidad.
La codificación por colores se
utiliza a menudo en la matriz de riesgos para proporcionar una representación
visual de la importancia de cada riesgo considerado. A medida que los riesgos
se desplazan hacia la esquina superior derecha de la matriz de riesgos, se
hacen más probables y tienen un mayor impacto. Por consiguiente, el riesgo se
vuelve más importante y es necesario introducir medidas de control de riesgos
inmediatas y eficaces.
Como ejemplo práctico de la
gestión de riesgos en acción a nivel estratégico, considérense las
incertidumbres inherentes a la fusión entre Delta Airlines y Northwest
Airlines. Esto ilustra que las organizaciones toman decisiones estratégicas que
implican altos niveles de riesgo e incertidumbre.
Habrá considerables
incertidumbres en cuanto a si todos los beneficios que se indican a
continuación pueden obtenerse en la práctica.
Incertidumbre en las decisiones
estratégicas
Se ha llegado a un acuerdo y,
salvo que las autoridades antimonopolio pongan obstáculos, Delta Airlines y
Northwest Airlines se fusionan y operarán bajo el nombre de Delta Airlines.
Delta Airlines publicó información en la que se esbozan los elementos básicos
del acuerdo y las ramificaciones que prevé para la nueva aerolínea y sus
pasajeros.
La lista de beneficios que ve al
fusionarse
• La
combinación de Delta y Noroeste creará una aerolínea global de EE.UU. que puede
competir con las aerolíneas extranjeras que siguen aumentando el servicio a los
Estados Unidos.
• Los
clientes y las comunidades se beneficiarán del acceso a un sistema de rutas
globales y a una aerolínea más estable desde el punto de vista financiero.
• Un
mayor número de destinos dará lugar a más opciones de horarios y más
oportunidades de ganar y canjear millas de viajero frecuente.
• Los
clientes de Delta se beneficiarán de las rutas de Northwest a los mercados
asiáticos y los clientes de Northwest se beneficiarán de las rutas de Delta a
otros mercados.
• La
pertenencia común complementaria de Delta y Northwest a la alianza SkyTeam
aliviará el riesgo de integración que ha complicado algunas fusiones de
aerolíneas.
Impacto del riesgo en las
organizaciones
Si se adopta un enfoque proactivo
de los riesgos y la gestión de los mismos, las organizaciones podrán lograr las
siguientes tres esferas de mejora:
• Las
operaciones serán más eficientes porque se identificarán de antemano los
acontecimientos que pueden causar perturbaciones y se adoptarán medidas para
reducir la probabilidad de que ocurran, reduciendo los daños causados por esos
acontecimientos y conteniendo el costo de los acontecimientos que pueden causar
perturbaciones en las operaciones normales de producción eficiente.
• Los
procesos serán más eficaces, porque se habrá tenido en cuenta la selección de
los procesos y los riesgos que entrañan las alternativas disponibles. Además,
los cambios de los procesos que se realicen mediante proyectos se llevarán a
cabo de manera más eficaz y fiable.
• La
estrategia será más eficaz en el sentido de que se analizarán plenamente los
riesgos asociados a las diferentes opciones estratégicas y se tomarán mejores
decisiones estratégicas. Eficaz se refiere al hecho de que la estrategia que se
desarrolle será totalmente capaz de producir los resultados requeridos.
Ya no es aceptable que las
organizaciones se encuentren en una situación en la que los acontecimientos
inesperados causen pérdidas financieras, alteraciones en las operaciones
normales, daños a la reputación y pérdida de presencia en el mercado. Los
interesados esperan ahora que las organizaciones tengan plenamente en cuenta
los riesgos que pueden causar la perturbación de las operaciones, la demora en
la entrega de los proyectos o la falta de estrategia.
La exposición que presenta un
riesgo individual puede definirse en términos de la probabilidad de que el
riesgo se materialice y el impacto del riesgo cuando se materialice. A medida
que aumente la exposición al riesgo, también aumentará el impacto probable.
Impacto de los riesgos de peligro
Los riesgos de peligro minan los
objetivos, y el nivel de impacto de esos riesgos es una medida de su
importancia. La gestión de riesgos tiene su historia más larga y sus primeros
orígenes en la gestión de los riesgos de peligro. La gestión de los riesgos de
peligro está estrechamente relacionada con la gestión de los riesgos
asegurables. Recuerde que un peligro (o un riesgo puro) sólo puede tener un
resultado negativo.
La gestión de riesgos se ocupa de
cuestiones como la salud y la seguridad en el trabajo, la prevención de
incendios, los daños a la propiedad y las consecuencias de los productos
defectuosos. Los riesgos de peligro pueden causar la interrupción de las
operaciones normales, así como dar lugar a un aumento de los costos y a una
mala publicidad asociada a los acontecimientos perturbadores.
Los riesgos de peligro se
relacionan con las dependencias comerciales, incluida la tecnología de la
información y otros servicios de apoyo. Hay una dependencia cada vez mayor de
la infraestructura de la tecnología de la información de la mayoría de las
organizaciones, y los sistemas de tecnología de la información pueden verse
perturbados por averías de las computadoras o fijaciones en las salas de
servidores, así como por infecciones de virus y ataques informáticos o de
piratería deliberados.
El robo y el fraude también
pueden ser importantes riesgos de peligro para muchas organizaciones. Esto es
especialmente cierto en el caso de las organizaciones que manejan dinero en
efectivo o que gestionan un número importante de transacciones financieras.
Entre las técnicas pertinentes
para evitar el robo y el fraude figuran los procedimientos de seguridad
adecuados, la separación de las funciones financieras y los procedimientos de
autorización y delegación, así como la investigación de antecedentes del
personal antes de su contratación.
Riesgo y recompensa
Otra característica de los
riesgos y la gestión de los mismos es que muchos de ellos son asumidos por una
organización con el fin de lograr una recompensa. Una empresa lanzará un nuevo
producto porque cree que puede obtener mayores beneficios de la
comercialización exitosa del nuevo producto.
Al lanzar un nuevo producto, la
organización pondrá en peligro los recursos porque ha decidido que es apropiado
asumir un cierto grado de riesgo. El valor puesto en riesgo representa el
apetito de riesgo de la organización con respecto a la actividad que está
llevando a cabo.
Cuando una organización pone en
peligro el valor de esta manera, debe hacerlo con pleno conocimiento de la
exposición al riesgo y debe estar convencida de que la exposición al riesgo
está dentro del apetito de la organización.
Más importante aún, debería
asegurarse de que dispone de recursos suficientes para cubrir la exposición al
riesgo. En otras palabras, se debe cuantificar la exposición al riesgo, se debe
confirmar el apetito por asumir ese nivel de riesgo y se debe establecer
claramente la capacidad de la organización para soportar cualquier consecuencia
adversa previsible.
No todas las actividades
comerciales ofrecerán el mismo rendimiento por el riesgo asumido. Las
operaciones de puesta en marcha suelen ser de alto riesgo y el rendimiento
inicial esperado puede ser bajo.
A medida que el negocio se
desarrolle, es probable que pase a un rendimiento más alto para el mismo nivel
de riesgo. Esta es la fase de crecimiento del negocio o producto. A medida que
la inversión madura, la recompensa puede seguir siendo alta, pero los riesgos
deben reducirse.
Con el tiempo, una organización
llegará a su plena madurez y se moverá hacia el cuadrante de bajo riesgo y bajo
rendimiento. La expectativa normal en los mercados muy maduros es que la
organización o el producto esté en declive.
Los riesgos particulares a los
que se enfrenta la organización deberán ser identificados por la dirección o
por la organización. Luego será necesario aplicar técnicas apropiadas de
gestión de riesgos a los riesgos que se hayan identificado. La naturaleza de
estas respuestas al riesgo y la naturaleza de sus repercusiones se examinarán
en un capítulo posterior.
El análisis anterior sobre el
riesgo y la recompensa se aplica a los riesgos de oportunidad. Sin embargo,
siempre debe darse el caso de que el esfuerzo de gestión de riesgos produzca
recompensas. En el caso de los riesgos de peligro, es probable que la
recompensa por un mayor esfuerzo de gestión de riesgos sea una menor cantidad
de eventos perturbadores.
En el caso de los riesgos de los
proyectos, la recompensa por un mayor esfuerzo de gestión de riesgos será que
es más probable que el proyecto se entregue a tiempo, dentro del presupuesto y
con arreglo a las especificaciones/calidad.
En el caso de los riesgos de
oportunidad, el análisis de riesgos y recompensas debería dar lugar a menos
productos nuevos sin éxito y a un mayor nivel de beneficios o (en el peor de
los casos) a un menor nivel de pérdidas en todas las actividades o productos
nuevos.
Riesgo e incertidumbre
El riesgo se define a veces como
la incertidumbre de los resultados. Se trata de una definición un tanto
técnica, pero no obstante útil, y es particularmente aplicable a la gestión de
los riesgos de control. Los riesgos de control son los más difíciles de
identificar y definir, pero suelen estar asociados a los proyectos.
La intención general de un
proyecto es obtener los resultados deseados a tiempo, dentro del presupuesto y
de acuerdo con las especificaciones. Por ejemplo, cuando se construye un
edificio, la naturaleza de las condiciones del terreno puede no siempre
conocerse en detalle.
A medida que avancen las obras de
construcción, se dispondrá de más información sobre la naturaleza de las
condiciones del suelo. Esta información puede ser una noticia positiva de que
el suelo es más fuerte de lo esperado y que se requieren menos trabajos de
cimentación. Otra posibilidad es que se descubra que el suelo está contaminado
o que es más débil de lo previsto o que existen otras circunstancias
potencialmente adversas, como el descubrimiento de restos arqueológicos.
Dada esta incertidumbre, estos
riesgos deben considerarse como riesgos de control y la gestión general del
proyecto debe tener en cuenta la incertidumbre asociada a estos diferentes
tipos de riesgo. No sería realista que el director del proyecto asumiera que
sólo se descubrirán los aspectos adversos de las condiciones del terreno. Del
mismo modo, no sería prudente que el director del proyecto asumiera que las
condiciones serán mejores de lo que se le ha aconsejado, sólo porque quiere que
así sea.
Dado que los riesgos de control
causan incertidumbre, puede considerarse que una organización tendrá aversión a
esos riesgos. Tal vez, la verdadera aversión es a la posible variabilidad de
los resultados. Se puede tolerar cierto nivel de desviación del plan del
proyecto, pero no debe ser demasiado grande.
Puede considerarse que la
tolerancia en relación con los riesgos de control tiene el mismo significado
que en la fabricación de componentes de ingeniería, en la que los componentes
deben ser de un determinado tamaño, dentro de límites de tolerancia aceptables.
Actitudes ante el riesgo
Diferentes organizaciones tendrán
diferentes actitudes ante el riesgo. Algunas organizaciones pueden considerarse
reacias al riesgo, mientras que otras serán agresivas al riesgo. En cierta
medida, la actitud de la organización ante el riesgo dependerá del sector y de
la naturaleza y madurez del mercado en el que opera, así como de la actitud de
cada uno de los miembros de la junta.
Los riesgos no pueden considerarse
fuera del contexto que los originó. Puede parecer que una organización está
siendo agresiva en cuanto a los riesgos, cuando en realidad, la junta ha
decidido que existe una oportunidad que no debe perderse. Sin embargo, es
posible que no se haya considerado plenamente el hecho de que la oportunidad es
de alto riesgo.
Una de las principales
contribuciones del éxito de la gestión de riesgos es asegurar que las
decisiones estratégicas que parecen ser de alto riesgo se adopten realmente con
toda la información disponible. El mejoramiento de la solidez de los procesos
de adopción de decisiones es uno de los principales beneficios de la gestión de
riesgos.
Otros factores clave que
determinarán la actitud de la organización ante el riesgo son la etapa del
ciclo de madurez. En el caso de una organización que se encuentra en la fase de
puesta en marcha, se requiere una actitud más agresiva ante el riesgo que en el
caso de una organización que está disfrutando de un crecimiento o que es una
organización madura en un mercado maduro. Cuando una organización está operando
en un mercado maduro y sufre un declive, la actitud ante el riesgo será mucho
más reacia al mismo.
Debido a que la actitud ante el
riesgo tiene que ser diferente cuando se trata de una operación de puesta en
marcha que cuando se trata de una organización madura, a menudo se dice que
ciertos empresarios de alto perfil son muy buenos en la puesta en marcha de
empresas, pero no tienen tanto éxito en la gestión de empresas maduras. Se
requieren diferentes actitudes ante el riesgo en las distintas partes del ciclo
de madurez de la empresa.
Riesgos de oportunidad
Los riesgos de oportunidad son
los riesgos que (normalmente) se buscan deliberadamente por la organización.
Esos riesgos surgen porque la organización trata de mejorar el cumplimiento de
la misión, aunque pueden inhibir a la organización si el resultado es adverso.
Este es el tipo de riesgo más importante para el futuro éxito a largo plazo de
cualquier organización.
Muchas organizaciones están
dispuestas a invertir en estrategias comerciales de alto riesgo en previsión de
un alto beneficio o rentabilidad. Se puede considerar que estas organizaciones
tienen un gran apetito por la inversión de oportunidad. A menudo, la misma
organización tendrá el enfoque opuesto a los riesgos de peligro y tendrá una
pequeña tolerancia al peligro. Esto puede ser apropiado, porque la actitud de
la organización puede ser la de no querer que los riesgos relacionados con los
peligros consuman los recursos de la empresa, cuando está poniendo tanto valor
en la inversión de riesgo en las oportunidades.
Tolerancia al peligro
Como se ha examinado
anteriormente en esta parte, las organizaciones se enfrentan a una amplia gama
de riesgos. Estos riesgos serán riesgos de peligro, riesgos de control y
riesgos de oportunidad. Las organizaciones deben tolerar la exposición a un
riesgo de peligro, aceptar la exposición a riesgos de control e invertir en
riesgos de oportunidad.
En el caso de los riesgos para la
salud y la seguridad, se acepta en general que las organizaciones deben ser
intolerantes a esos riesgos y deben adoptar todas las medidas apropiadas para
eliminarlos. En la práctica, esto no es posible y las organizaciones
gestionarán los riesgos para la seguridad al nivel más bajo que sea rentable y
en cumplimiento de la ley.
Por ejemplo, es técnicamente
factible un sistema de frenado automático instalado en los trenes para evitar
que pasen por los semáforos en rojo. Sin embargo, esto puede representar una
inversión irrazonable para la compañía operadora del tren. Las consecuencias de
que los trenes pasen por los semáforos en rojo pueden considerarse como la
exposición al riesgo o la tolerancia al peligro de la organización, pero el
costo de la introducción del sistema de frenado automático puede considerarse
prohibitivo.
Un ejemplo menos emotivo es el
relacionado con el robo. La mayoría de las organizaciones sufrirán un bajo
nivel de pequeños robos y esto puede ser tolerable. Por ejemplo, los negocios
basados en un entorno de oficina sufrirán algún robo de papelería, incluyendo
papel, sobres y bolígrafos. El costo de eliminar este pequeño hurto puede ser
muy grande y por lo tanto resulta rentable para la organización aceptar que
estas pérdidas se produzcan. El enfoque de los robos en las tiendas puede ser
muy diferente en los distintos sectores de la venta al por menor, como se
ilustra en el ejemplo que figura a continuación.
Aceptación de la incertidumbre
Al emprender proyectos y aplicar
cambios, una organización tiene que aceptar un nivel de incertidumbre. La
incertidumbre o los riesgos de control son una parte inevitable de la
realización de un proyecto.
Un fondo para imprevistos que
permita hacer frente a lo inesperado deberá formar parte del presupuesto del
proyecto, así como el tiempo contingente incorporado en los calendarios del
proyecto. Al tratar de elaborar respuestas adecuadas a los riesgos de control,
la organización debe poner a disposición los recursos necesarios para
identificar los controles, aplicarlos y responder a las consecuencias de
cualquier riesgo de control que se materialice.
La naturaleza de los riesgos de
la fiscalización y las respuestas apropiadas dependen del nivel de
incertidumbre y de la naturaleza del riesgo. La incertidumbre representa una
desviación del resultado requerido o esperado. Cuando una organización emprende
un proyecto, por ejemplo, de mejora de un proceso, éste debe entregarse a
tiempo, dentro del presupuesto y con arreglo a las especificaciones.
Además, la mejora tiene que
aportar los beneficios que se requerían. La desviación de los beneficios
previstos de un proyecto representa incertidumbres que sólo pueden aceptarse
dentro de cierto margen.
La gestión de control es la base
del enfoque de la gestión de riesgos adoptado por los auditores internos y los
contables. La gestión de control se ocupa de reducir la incertidumbre asociada
a los riesgos importantes y de reducir la variabilidad de los resultados.
Hay peligros si la organización
se preocupa demasiado por la gestión del control. La organización no debe
obsesionarse con los riesgos de control, porque a veces se sugiere que centrarse
demasiado en el control interno y la gestión del control suprime el esfuerzo
empresarial.
16. Inversión de oportunidad
Algunos riesgos son asumidos
deliberadamente por las organizaciones para lograr su misión. Esos riesgos
suelen ser riesgos de mercado o comerciales que se han asumido con la
expectativa de lograr un rendimiento positivo. Estos riesgos de oportunidad
pueden denominarse de otro modo riesgos comerciales, especulativos o
empresariales. Los riesgos de oportunidad son el tipo de riesgo con potencial
para mejorar (aunque también pueden inhibir) el logro de la misión de la
organización.
Estos riesgos son los que se
asocian con el aprovechamiento de las oportunidades de negocio. Todas las
organizaciones tienen cierto apetito por aprovechar las oportunidades y están
dispuestas a invertir en ellas. Siempre existirá el deseo de que la
organización tenga operaciones eficientes, procesos efectivos y una estrategia
eficaz.
Los riesgos de oportunidad suelen
estar asociados a la elaboración de estrategias nuevas o modificadas, aunque
también pueden surgir oportunidades al aumentar la eficiencia de las
operaciones y aplicar iniciativas de cambio.
Cada organización tendrá que
decidir qué apetito tiene para aprovechar las nuevas oportunidades y el nivel
de inversión que es apropiado. Por ejemplo, una organización puede darse cuenta
de que en el mercado existe la necesidad de un nuevo producto que su
experiencia le permitiría desarrollar y suministrar.
Sin embargo, si la organización
no dispone de los recursos necesarios para desarrollar el nuevo producto, puede
ser incapaz de aplicar esa estrategia y no sería prudente que la organización
emprendiera una acción de tan alto riesgo.
Corresponderá a la dirección de
la empresa decidir si tiene ganas de aprovechar la oportunidad que se le
presenta. Sólo porque la organización tenga ese apetito, no significa que sea
lo correcto. Por lo tanto, la junta de la empresa debe ser consciente del hecho
de que, aunque pueda tener un apetito por aprovechar la oportunidad, es posible
que la organización no tenga la capacidad de riesgo para apoyar esa línea de
acción.
La gestión de las oportunidades
es el enfoque que trata de maximizar los beneficios de asumir riesgos
empresariales. Las organizaciones tendrán un apetito por invertir en riesgos de
oportunidad. Existe un claro vínculo entre la gestión de las oportunidades y la
planificación estratégica. Se trata de maximizar la probabilidad de que las
inversiones en oportunidades comerciales tengan un resultado positivo importante.
En el ejemplo que figura a
continuación, relacionado con las decisiones personales sobre el estilo de
vida, se consideran los factores de riesgo clasificándolos como controlables e
incontrolables. Aunque el ejemplo se refiere a los factores de riesgo para la
salud personal, la consideración de si los riesgos comerciales están o no bajo
el control de la organización es un componente importante de la gestión
satisfactoria de los riesgos comerciales.
17. Desarrollar las siguientes preguntas y enviar las respuestas:
1. Encuentra y describe los elementos de riesgo en tu vida
profesional
2. Describe alguna de las decisiones que vas a tomar en los
próximos tiempos.
3. ¿Qué decisiones tomaría Robinson Crusoe en tu situación?
4. ¿Tu proceso de toma de decisiones es más racional o
intuitivo? ¿Crees en tus corazonadas?
5. Como personalidad, ¿eres más espontáneo como cultura
mediterránea, o previsor como cultura alemana?
6. Enumera algunos riesgos de peligro (alto nivel de impacto)
en tu vida profesional.
7. Enumera algunos riesgos de cumplimiento en tu vida
profesional.
8. Enumera algunos riesgos de control (alto nivel de
incertidumbre) en tu vida profesional
9. Enumera algunos riesgos de oportunidad (impacto positivo)
en tu vida profesional
10. ¿Cómo podrías medir científicamente estos riesgos?
11. Pon algunos ejemplos de riesgos en tu organización actual, o
en aquella donde estarías interesado en trabajar
