Tipos de riesgo según la norma ISO 31000 2018

ISO 31000

La palabra riesgo aparece en el panorama y en la organización poco preparada todo se torna gris. La continuidad del negocio se ve amenazada. La perspectiva de que tanto esfuerzo en levantar la empresa se diluya en la incertidumbre de lo que sucederá – o la certeza de que lo que viene es muy malo – es aterradora. Los resultados – lamentablemente – son bastante conocidos: despidos, multas, estrés laboral, accidente, etc. Estas consecuencias y el cúmulo de pensamientos que se nos vienen a la cabeza cuando abordamos el tema de los riesgos podrían ser muchísimo más llevaderos si de la amalgama terrorífica sacamos ideas claras, por ejemplo:

• ¿Cuáles son los tipos de riesgos que existen?
• ¿Cuáles de ellos atañen a mi organización?
• ¿Puedo mitigar, aceptar o transferir los riesgos?

En este texto nos referiremos a la primera interrogante, pues estamos convencidos de que darle forma a cada riesgo y asignarle una clasificación es una manera de comprenderlo. Solo entonces estaremos en capacidad de abordarlo, puesto que no se puede gestionar lo que se desconoce.

El riesgo es definido por la norma ISO 31000 2018 – Gestión de riesgos como el efecto de la incertidumbre sobre los objetivos. Trabajar con el estándar nos ayuda a tomar decisiones, establecer y lograr objetivos y mejorar el desempeño. Gracias a este texto podemos inferir que toda organización está sometida a un conjunto de riesgos. Ellos comprenden varios niveles:

• Riesgos estratégicos: están relacionados con los objetivos estratégicos de la organización. Por ejemplo, si la estrategia de una organización apunta a introducirse en nuevos mercados, pero se desconocen las consecuencias de incumplir las expectativas de los clientes y usuarios, se incurriría en un riesgo estratégico.
• Riesgos operacionales: Tienen que ver con el propósito de los procesos que componen el negocio. Se presentan en la ejecución de tales procesos, y, si se materializan, pueden imposibilitar que la organización o parte de ella cumpla su función. A su vez se subdividen en:

• Riesgos tecnológicos: Aluden a los equipos de tecnologías de información y comunicación y/o sus operaciones. Por ejemplo: sistemas operativos, aplicaciones, comunicaciones en las redes, entre otros. También abarcan ciberseguridad, privacidad y seguridad de la información.
• Riesgos financieros: Apuntan a las operaciones financieras, como pagos, deudas, ofertas, cobros y costos.
• Riesgos legales: Están ligados al cumplimiento de los requisitos legales y reglamentarios.
• Riesgos reputacionales: Son aquellos que tienen que ver con la imagen de la organización ante terceros.

• Riesgos de procesos: Son riesgos relacionados con los resultados de un proceso y sus interacciones. Si se materializan, afectan la eficacia y la eficiencia de la organización.
• Riesgos de proyecto: Se presentan durante el ciclo de vida de un proyecto y pueden tener las mismas características de los riesgos operacionales localizados en esa fracción de tiempo que representa el proyecto.

Cultura del riesgo

Muchas grandes empresas que durante años fueron referencias de éxito han enfrentado riesgos que no han podido gestionar con eficacia. Kodak, Nokia y Toshiba son algunos ejemplos. Pero estos fracasos pueden resultar aleccionadores para las organizaciones que siguen en pie. Una de las múltiples enseñanzas que podemos extraer es que es primordial instaurar una cultura corporativa que conciba al riesgo como parte de todas las actividades que se llevan a cabo en la compañía. Esto no quiere decir que siempre debamos pensar que está a punto de ocurrir alguna desgracia, sino que seamos conscientes de que todos los aspectos de la dinámica corporativa acarrean riesgos y que vale la pena adelantarse elaborando una política que exprese cómo se atenderá cada uno. Esta medida carecería de sentido sin la existencia de recursos que sirvan para gestionar los riesgos y sin precisión en cuanto a responsables de cada riesgo. La política y la gestión tienen que ir de la mano de los objetivos, misión, visión, valores y estrategias de la empresa. Sin concatenar estos elementos cruciales sería inviable atender los riesgos eficazmente.

¿Cómo saber si en su empresa existe una cultura del riesgo? Consideramos que sí existe, siempre existe, pues la cultura tiene que ver con la forma en que en la organización se perciben los riesgos, cómo los gestionan, qué conocen sobre ellos, en qué momento se abordan y qué papel adoptan los líderes y equipos de trabajo. Lo que realmente interesa es que esa cultura sea capaz de dotarnos de herramientas que nos ayuden a enfrentar los cambios, innovar, cumplir con la ley, fijar posiciones éticas y atender todo lo que suponga una amenaza capaz de materializarse.

ISOTools como herramienta de Gestión de Riesgos

ISOTools es una excelente herramienta para la implementación de un sistema de Gestión de Riesgos. Además de automatizar y promover una monitorización eficaz del proceso, permite una mejor coordinación de las tareas entre los directivos o responsables que hayan sido delegados para tal función.

Siguiendo los principios y las directrices de la norma ISO 31000, esta herramienta aporta ventajas que merecen ser destacadas:

• Ahorra tiempo durante la ejecución de las tareas.
• Permite realizar auto evaluaciones para definir el estado actual de la organización.
• Permite un mejor registro de los datos de los diferentes procesos.
• Realiza comparativas entre análisis de riesgos.
• Permite visualizar el avance de los proyectos y las actividades.
• Relaciona actividades similares o que guarden relación.
• Ofrece cuadros de mando para ilustrar cualquier momento del proceso.
• Permite la realización de análisis de incidencias.
• Ayuda a monitorizar la ejecución de soluciones específicas.