10 errores comunes en la identificación, análisis y evaluación de riesgos

10 errores comunes en la identificación, análisis y evaluación de riesgos

15 Enero 2024Cyril Amblard-Ladurantie Gestión de riesgos

Todas las empresas se enfrentan a riesgos que requieren un reconocimiento, un análisis y una gestión diligente; no obstante, hay aspectos comunes dentro de la gestión de riesgos que exigen una rectificación por parte de las organizaciones. Para evitar estas fallas, hay que comprender meticulosamente los riesgos a los que se enfrenta la empresa y asignar los recursos con buen criterio. 

La gestión de riesgos efectiva exige una actitud proactiva, un conocimiento exhaustivo del ecosistema de negocios y una voluntad inquebrantable de extraer conclusiones de errores previos. Los negocios pueden limitar su exposición a riesgos potenciales dando prioridad a la gestión de riesgos mientras avanzan en sus objetivos estratégicos.

Adoptar una perspectiva integral y global de su ecosistema de negocios es fundamental para determinar el grado de exposición al riesgo y garantizar el cumplimiento de los requisitos reglamentarios de manera proactiva antes de que se produzca cualquier impacto perjudicial. Los diez errores señalados no son las únicas preocupaciones de los profesionales del riesgo, ya que también existen innumerables enfoques para identificar, analizar y evaluar riesgos. La naturaleza de estos riesgos puede variar dependiendo del contexto específico, la industria y las líneas de negocios.

Sin embargo, independientemente de su categorización, existen errores frecuentes en la gestión de riesgos que deben evitarse cuidadosamente. A continuación, se presentan diez errores críticos que merecen especial atención.  

1: Confundir el análisis de riesgos con la evaluación de riesgos  

El análisis de riesgos identifica cualitativamente las causas y los potenciales impactos del riesgo. Por ejemplo, imagine que va manejando en la carretera y de repente ¡se poncha una llanta! Trata de averiguar cuál pudo ser la causa: la presión de la llanta, manejar demasiado rápido, el mal estado de la carretera o un clavo, etc. Después, considera las consecuencias inmediatas y a largo plazo como su seguridad y la de sus acompañantes, las repercusiones financieras, daños a largo plazo en su coche, las ramificaciones legales. Las causas e impactos son parte del análisis de riesgos.

La evaluación de riesgos consiste en definir la gravedad del riesgo sobre otros riesgos. Es la parte cuantitativa de la evaluación de riesgos. Volviendo a la analogía del auto, tener una llanta ponchada es un riesgo al que vale la pena prestarle atención, pero ¿cómo se compara con el riesgo de una colisión frontal o de derrapar sobre el hielo? Comprender los riesgos asociados con su negocio y cómo priorizarlos le permitirá asignar recursos de manera más adecuada.

Reconocer la diferencia entre análisis de riesgos y evaluación es vital para determinar cuándo aplicar cada uno. 

2: Participación inadecuada del personal en la evaluación de riesgos  

Involucrar a las partes interesadas adecuadas en el proceso de evaluación de riesgos es crucial. Utilizando la analogía del auto, la evaluación de riesgos debe incluir a las personas familiarizadas con el coche y las posibles consecuencias de que sé ponche una llanta mientras maneja.

Sin esta experiencia específica, es posible que no puedan evaluar con precisión las posibles ramificaciones, como que el coche se desplace violentamente hacia un lado o que se pierda el control del vehículo. Lo ideal sería que una persona con experiencia previa y un conocimiento exhaustivo de los posibles resultados se encargara de analizar y evaluar los riesgos asociados a una llanta ponchada. 

Una forma de mejorar la precisión de la evaluación de riesgos es utilizar una herramienta que consolide todos los datos y la información pertinente sobre los usuarios finales y sus funciones, proporcionando el contexto necesario para identificar, analizar y evaluar los riesgos de forma eficaz.

3: Confundir los factores de riesgo con el riesgo real  

Un factor de riesgo es un elemento que puede aumentar la probabilidad de que ocurra un riesgo, pero no equivale al riesgo en sí. Por ejemplo, las llantas sin la presión adecuada, las inclemencias del tiempo o los baches de la carretera no garantizan que se pinche la llanta.  

Sin embargo, los factores pueden aumentar las probabilidades de experimentar un percance. Diferenciar entre “factores de riesgo” y “riesgo” ayuda a identificar las causas y las implicaciones de las acciones de negocios específicas. Esta comprensión permite a las partes interesadas desarrollar medidas reactivas y proactivas apropiadas para incorporarlas en los planes estratégicos para prevenir, minimizar o mitigar los posibles riesgos. 

4: Evaluación del riesgo sin contexto

Para garantizar una evaluación de riego práctica, es crucial establecer los objetivos definidos de la empresa como base para identificar y evaluar riesgos.

Los evaluadores de riesgos deben comprender claramente los objetivos de la empresa para llevar a cabo un análisis alineado con estos objetivos.

Es esencial evitar evaluar riesgos basándose en el apetito personal de riesgos, ya que esto puede dar lugar a una desalineación con los objetivos de la empresa.

Para facilitar este proceso, es recomendable implementar una solución integrada que incluya información organizacional, estratégica, operativa y relacionada con costos para ayudar a identificar, analizar y evaluar los riesgos con precisión. Esta solución permitirá comunicar la información vital a las partes interesadas en el momento adecuado y aumentar el valor del programa de gestión de riesgos. 

5: Comparación del riesgo con la eficacia del control

Cuando se gestionan riesgos, es crucial evitar compararlos con la efectividad de los controles implementados. En su lugar, hay que centrarse en comprender cómo afectan los controles a los riesgos inherentes y los reducen a riesgos residuales. Esto requiere un proceso de identificación basado en las aportaciones que prioricen riesgos en función de su impacto potencial en los objetivos de negocios.

En el ejemplo del auto, el riesgo es que se ponche una llanta y los controles incluyen un chequeo regular de la llanta, tomar rutas alternas para evitar carreteras dañadas, mantener activo el seguro del auto que tenga asistencia en el camino, etc. Comprender la diferencia entre riesgos y controles, le permite evaluar con precisión la situación y priorizar la efectividad de los controles para gestionar los riesgos con eficiencia.

Es necesaria una solución global que integre información organizacional, estratégica, operativa y de costos.

Esta solución ayuda a identificar, analizar y evaluar los riesgos y priorizar la efectividad de los controles para mitigarlos y gestionarlos. Por último, el proceso de identificación y la asignación adecuada de los recursos le permite gestionar los riesgos de forma proactiva y garantizar el cumplimiento de los objetivos de negocios.

6: La importancia de diferenciar entre riesgo bruto y riesgo neto  

En la gestión de riesgos, es esencial distinguir entre riesgo bruto, también conocido como riesgo inherente, y riesgo neto, o riesgo residual. El riesgo bruto se refiere al nivel de riesgo antes de aplicar los controles y otros factores de mitigación, mientras que el riesgo neto es el nivel de riesgo después de implementar todas las medidas y controles.  

Sin embargo, determinar estos dos tipos de riesgos no siempre es sencillo, especialmente cuando las normas no están bien definidas o no son accesibles al evaluador.

Sin un plan de gestión claro, los evaluadores de riesgos pueden no reconocer que su riesgo neto es menor de lo que perciben. Esto puede dar lugar a una asignación ineficiente de los recursos hacia los riesgos que ya están bajo control y no hacia los que requieren mayor atención.   

Por ejemplo, en nuestra analogía del auto, los evaluadores de riesgos suelen aplicar medidas preventivas como el mantenimiento periódico de las llantas, controlar el estado de los riesgos mediante indicadores de la presión del aire en el tablero del coche y preparar medidas de reacción/respuesta como llevar un kit de reparación para la llanta. 

El seguimiento de los cambios en los controles, el número de riesgos y los riesgos asociados resultan demasiado complicados de gestionar para hacerlo con una simple hoja de cálculo o una herramienta similar.  

Para mitigar estos retos, una plataforma específica de gestión de riesgos proporciona una visión global de las entradas, los riesgos asociados y las estrategias de mitigación, lo que permite la gestión efectiva de los riesgos netos y brutos. 

Esta plataforma también simplifica el seguimiento de los cambios en los controles y automatiza el proceso de evaluación para identificar áreas en las que el plan de gestión de riesgos necesita mejoras. 

Al tener una visión completa de los riesgos globales, puede priorizar y asignar recursos de manera efectiva a las áreas que requieren mayor atención, lo que se traduce en una sólida estrategia de gestión de riesgos.  

7: Establecer nuevos controles sin verificar la efectividad de los existentes

Los gerentes de riesgos tienden a añadir más controles para implementar y gestionar riesgos importantes sin identificar y evaluar adecuadamente la lista de controles ya existentes. Es esencial tener en cuenta los controles existentes antes de introducir unos nuevos. Al involucrar a los responsables de los controles en la gestión de riesgos, sus conocimientos y experiencia pueden ayudar a identificar y evaluar los riesgos con mayor eficacia.

Para evitar el error número 7, que implica pasar por alto los controles existentes, los gerentes de riesgos deben de colaborar con los responsables de los controles y mantener una vista de 360 grados de la información para centralizar y conectar todos los datos relacionados con la gestión de riesgos. Este enfoque puede ayudar a garantizar que todos los riesgos importantes se identifiquen, evalúen y gestionen de manera adecuada con los controles apropiados.  

8: Adoptar un enfoque de gestión de riesgos centrado únicamente en reducirlos o eliminarlos

Una gestión de riesgos efectiva no se limita a reducirlos o eliminarlos. Otras estrategias incluyen transferir, compartir, aceptar o incluso aumentar los riesgos. Para aplicar estas estrategias con eficacia, es crucial reunir la información sobre los costos de implementación, las posibles repercusiones, el tiempo de preparación y otros factores relevantes.

Un sistema integral de gobierno de riesgos es benéfico a la hora de gestionar riesgos concretos, especialmente cuando se considera aumentar un riesgo identificado. Dado que el riesgo es un aspecto inherente a la empresa que puede afectar a todas las áreas a cualquier nivel, es crucial entender su contexto para gestionar las expectativas de negocios y lograr los objetivos. Por lo tanto, los directivos o un grupo de expertos deben identificar las situaciones en las que aceptar o aumentar determinados riesgos podría beneficiar al negocio.  

Hay que tomar en cuenta el registro del riesgo y todo el perfil global de riesgos para cumplir con esto. Las sesiones de lluvias de ideas, las auditorías y la revisión regular de las medidas establecidas son vitales para identificar y gestionar los riesgos.  

9: No actualizar periódicamente las evaluaciones de riesgos 

Muchas organizaciones cometen el error de controlar en exceso sus riesgos críticos, lo cual puede ser problemático si los controles son obsoletos. Si pasa demasiado tiempo sin que se revisen, es más fácil perder de vista por qué existen y si siguen siendo necesarios.  

Esto puede llevar a tratar riesgos que ya no son importantes o que tienen baja prioridad. Aunque actualizar la información de varias hojas de cálculo de Excel puede ser desalentador, es fundamental revisar periódicamente los controles y su pertinencia para la identificación y el tratamiento de los riesgos.

Muchas empresas siguen revisando manualmente sus controles y batallan al identificar los casos con exceso de control. Las organizaciones deberían considerar utilizar una herramienta dinámica que proporcione una visión centralizada de varios controles relacionados con los riesgos identificados, actualizados en tiempo real para ser más eficientes y eficaces.  

Este método permite a los negocios mantenerse al día y gestionar riesgos con eficacia sin obstaculizar innecesariamente las operaciones. Si su compañía está dispuesta a adoptar este enfoque, una solución de gestión de riesgos puede proporcionar un medio valioso y eficiente. 

10: Descuidar el plan de tratamiento de riesgos propuesto

Tomar medidas preventivas para reducir el riesgo de que se ponche una llanta, como checar la presión de la llanta, es importante en cualquier plan de gestión de riesgos. Sería imprudente ignorar este paso después de invertir tiempo y esfuerzo en el desarrollo de una estrategia de gestión de riesgos.

Del mismo modo, es esencial evaluar el impacto de las medidas preventivas después de identificar y analizar los riesgos. Aunque el seguimiento de los riesgos es el paso más crucial en la gestión de riesgos porque produce resultados tangibles, a menudo se descuida.

Para abordar esta cuestión, considere utilizar una herramienta que se integre con otros planes de acción, como los de calidad, desempeño, cumplimiento, y tenga configuradas las alertas de supervisión. 

Esto ayudará a prevenir el error número 10 y garantizará que la supervisión de los riesgos siga siendo parte de la estrategia de gestión de riesgos. 

Es esencial tener en cuenta las medidas ya aplicadas y su importancia para el panorama de riesgo actual. Las organizaciones reacias a monitorear los riesgos con regularidad corren peligro de descuidar su plan de tratamiento de riesgos propuesto, el cual podría tener severas consecuencias para la empresa a largo plazo.  

Resumen

Hemos identificado los errores más comunes que hay que evitar en la identificación, el análisis y la evaluación de riesgos. ¿Está experimentando alguna de estas situaciones? MEGA le ofrece una solución integral para la gestión de riesgos con una visión de 360 grados

FAQs

Algunos de los errores más comunes en la identificación de riesgos consisten en no identificar todos los riesgos potenciales, subestimar la probabilidad o el impacto de una amenaza y basarse únicamente en la experiencia o en suposiciones. 

La evaluación de riesgos analiza la probabilidad y el impacto de riesgos identificados con el fin de priorizarlos para su posterior análisis y mitigación. 

Existen numerosas formas de identificar los riesgos, como sesiones de lluvia de ideas, encuestas, entrevistas con las partes interesadas, revisión de los datos históricos y análisis de las tendencias de la industria.  

Entre los errores más comunes que hay que evitar se encuentran no implicar a todas las partes interesadas, no tener en cuenta las megatendencias globales y enfocarse demasiado en un riesgo concreto en lugar de considerar el panorama general de riesgos.  

El riesgo residual permanece después de que se han implementado los controles para mitigar un riesgo en concreto. Es importante tener en cuenta el riesgo residual en el proceso global de gestión de riesgos.  

Entre los errores más comunes que hay que evitar se encuentran:  

  • No involucrar a todas las partes interesadas. 
  • No considerar las megatendencias globales. 
  • Enfocarse demasiado en un riesgo concreto en lugar de considerar el panorama general de riesgos.  

Un plan de gestión de riesgos describe la estrategia de una organización para identificar, evaluar y mitigar riesgos. Es esencial revisar y actualizar periódicamente el proyecto para garantizar la efectividad en la gestión de riesgos.  

Los riesgos críticos son aquellos que podrían tener un impacto significativo en una organización si es que llegan a producirse. Identificar y evaluar los riesgos críticos es esencial para el proceso general de gestión de riesgos.  

Los riesgos se deben de evaluar en función de su probabilidad e impacto potencial. Esto se puede hacer a través de un análisis cualitativo o cuantitativo, o una combinación de ambos, dependiendo del riesgo.  

La mitigación de riesgos consiste en implementar controles o estrategias para reducir la probabilidad o el impacto de un riesgo concreto. Es un paso importante en el proceso general de gestión de riesgos. 

Identificar y analizar los riesgos es una actividad importante para cualquier proyecto o negocio. Le ayuda a anticipar y mitigar posibles problemas antes de que se conviertan en situaciones graves. Identificar los riesgos en una fase temprana permite tomar medidas proactivas para minimizar su impacto y evitar retrasos o fallas costosas. Analizar los riesgos le permite establecer prioridades y crear un plan de acción para abordarlos de manera efectiva. Aunque la identificación y el análisis de riesgos pueden llevar mucho tiempo y suponer un reto, son mucho menos desalentadores que tener que afrontar más tarde las consecuencias de los riesgos ignorados. Finalmente, dedicar tiempo y esfuerzo a la evaluación de riesgos puede ayudarle a garantizar el éxito de su proyecto o negocio. 

La última etapa del proceso de identificación de riesgos consiste en documentar los riesgos identificados. Se trata de crear un registro o bitácora de riesgos que enliste todos los riesgos encontrados durante el proceso de identificación, así como su potencial impacto y probabilidad. Un registro de riesgos es una herramienta integral para gestionar y monitorear riesgos en todo el ciclo de vida del proyecto o programa. Esto permite a los equipos del proyecto priorizar riesgos y desarrollar respuestas y estrategias de mitigación adecuadas para minimizar su impacto potencial. Al documentar los riesgos identificados, el equipo puede comunicarlos a las partes interesadas y a los otros participantes del proyecto y asegurarse de que se abordan de manera adecuada. Este paso es crucial para garantizar que los riesgos se gestionan apropiadamente y que el proyecto o programa sigue en curso. Si no se documentan y controlan los riesgos, pueden producirse costosos retrasos, agotamiento de los recursos e incluso el fracaso del proyecto. 

La identificación de riesgos es una parte crucial de la gestión de riesgos, que consiste en identificar, evaluar y mitigar los riesgos potenciales que pueden afectar a un negocio o proyecto. La identificación de riesgos implica el proceso sistemático de identificar, evaluar y registrar todos los riesgos potenciales que pueden afectar cualquier aspecto de su negocio o proyecto. Identificar los riesgos potenciales facilita la determinación del mejor enfoque para gestionarlos efectivamente. La identificación de riesgos requiere un conocimiento profundo de todas las actividades, las partes interesadas y los sistemas que intervienen en el proyecto o negocio. El proceso de la identificación de riesgos puede involucrar una lluvia de ideas con los miembros del equipo, la revisión de datos históricos, realizar entrevistas y encuestas, análisis de informes de desempeño y el estudio de tendencias más amplias de la industria o el mercado. La identificación de riesgos ayuda a garantizar que se toman las medidas necesarias para evitar o mitigar riesgos potenciales antes de que se produzcan. 

Garantice una gestión eficiente de los riesgos con procesos de negocios