Autor(es): Ambar Martínez R. | Contador Auditor, Licenciada en Sistemas de Información y Control de Gestión, Universidad de Chile
07 de febrero de 2024
Resumen
Las empresas enfrentan diversos riesgos en su operación diaria que pueden impactar negativamente en su rentabilidad e incluso poner en peligro su continuidad. En este contexto, la gestión de riesgos se torna indispensable, especialmente en un entorno empresarial tan dinámico y desafiante como el actual.
El presente artículo proporciona una visión práctica de las matrices de riesgo, como herramientas esenciales para gestionar los riesgos empresariales, subrayando la importancia de una gestión efectiva de éstos, lo que implica identificarlos, evaluarlos y priorizarlos. Se detallan los pasos para crear y aplicar una matriz de riesgo, destacando los beneficios que ofrece su implementación, que van desde la identificación estructurada de riesgos hasta la toma de decisiones informadas y la asignación óptima de recursos.
“Las empresas se encuentran constantemente expuestas a una variedad de riesgos que pueden afectar su rentabilidad e incluso amenazar su viabilidad a largo plazo….con este contexto, la gestión de riesgos se convierte en una necesidad imperativa. Esta gestión implica la identificación, evaluación y priorización de los riesgos, permitiendo a las organizaciones tomar medidas proactivas para mitigarlos”
1. Conceptos clave para comprender las matrices de riesgo y su gestión
Las matrices de riesgo son herramientas vitales en la gestión empresarial. Para comprender su aplicación efectiva, es fundamental familiarizarse con conceptos clave que sientan las bases para una gestión de riesgos sólida y eficaz en cualquier organización.
2. ¿Qué es una matriz de riesgo?
Las matrices de riesgo consisten en tablas que categorizan distintos tipos de riesgos de acuerdo a su probabilidad e impacto, lo que permite identificar a los de mayor criticidad.
3. ¿Cómo funciona?
Ejemplificaremos con una matriz de riesgo de “5 x 5”, es decir, con cinco criterios de “Impacto” y cinco criterios de “Probabilidad”:
Paso 1: Cada organización debe definir los recursos de mayor importancia en los cuales desea realizar un análisis de riesgos. A continuación, se proponen ocho recursos que se pueden ver afectados y que son aplicables a la mayoría de las industrias:
“Cada organización debe definir los recursos de mayor importancia en los cuales desea realizar un análisis de riesgos”
Paso 2: Para cada recurso se deberá describir un riesgo que clasifique en cinco niveles de impacto, los cuales tendrán una parte cuantitativa (del 1 al 5) y una parte cualitativa (“bajo”, “medio”, alto”, etc.)
Paso 3: Se define la probabilidad con una parte cuantitativa (del 1 al 5) y una parte cualitativa (“improbable”, “poco probable, “moderado”, etc.)
Con estos tres pasos, ya tendríamos una matriz que permite cuantificar un riesgo según su impacto y probabilidad, con una puntuación mínima de 1 (1 x 1) y una puntuación máxima de 25 (5 x 5)
4. ¿Cómo aplico mi matriz de riesgos para que me proporcione valor?
Teniendo definida la matriz de valorización explicada anteriormente, se recomienda realizar un listado de riesgos, identificar el proceso y subproceso al cual pertenecen y asignar el puntaje preliminar. Esto nos permite determinar el Riesgo Inherente de la empresa, información que por si sola no es suficiente para una buena gestión, es por ello que, adicionalmente, se debe identificar, describir, categorizar y evaluar los controles que posee la empresa para cada uno de los riesgos, calculando el nivel de mitigación del control y determinando finalmente un nivel de Riesgo Residual.
5. Beneficios de la aplicación de matrices de Riesgos
"El proceso de gestión de riesgos va más allá de la simple identificación y evaluación inicial. Después de definir la matriz de valorización, es crucial realizar un análisis detallado de los riesgos, incluyendo la identificación de procesos y subprocesos relevantes, así como la evaluación de los controles existentes”
6. Recomendaciones
La norma ISO 31000 propone las siguientes recomendaciones claves para la gestión de riesgos:
“La norma ISO 31000 ofrece recomendaciones clave para la gestión de riesgos empresariales: establecer políticas y procedimientos, definir roles, realizar evaluaciones periódicas, involucrar a las partes interesadas, liderazgo de la alta gerencia, integración en la estrategia, supervisar indicadores y documentar información”
7. Conclusiones
La implementación de una matriz de riesgos representa una práctica sencilla pero valiosa para que las empresas puedan mapear los distintos riesgos de su negocio, darles una priorización y una adecuada gestión.
Siguiendo recomendaciones como utilizar descripciones cualitativas, añadir las dimensiones más importantes del negocio, incorporar la mayor cantidad de controles existentes y evaluarlos, las empresas pueden incrementar los beneficios de estas matrices, obteniendo información aún más útil para la toma de decisiones y para la destinación de recursos a utilizar en la mitigación de riesgos.
Hay que comprender que las empresas no pueden eliminar todos sus riesgos y que, si bien se busca minimizar sus consecuencias, el tomar riesgos podría ser bueno dentro de un contexto en donde el riesgo es bien administrado, permitiendo incluso la creación de valor, es por ello que toda práctica de gestión de riesgo se vuelve esencial, y las matrices de riesgo contribuyen en este objetivo.
Referencias