Matrices de Riesgo: Herramientas Esenciales para la Gestión del Riesgo Empresarial

Autor(es): Ambar Martínez R. | Contador Auditor, Licenciada en Sistemas de Información y Control de Gestión, Universidad de Chile

07 de febrero de 2024

 

Resumen

Las empresas enfrentan diversos riesgos en su operación diaria que pueden impactar negativamente en su rentabilidad e incluso poner en peligro su continuidad. En este contexto, la gestión de riesgos se torna indispensable, especialmente en un entorno empresarial tan dinámico y desafiante como el actual.

El presente artículo proporciona una visión práctica de las matrices de riesgo, como herramientas esenciales para gestionar los riesgos empresariales, subrayando la importancia de una gestión efectiva de éstos, lo que implica identificarlos, evaluarlos y priorizarlos. Se detallan los pasos para crear y aplicar una matriz de riesgo, destacando los beneficios que ofrece su implementación, que van desde la identificación estructurada de riesgos hasta la toma de decisiones informadas y la asignación óptima de recursos.

“Las empresas se encuentran constantemente expuestas a una variedad de riesgos que pueden afectar su rentabilidad e incluso amenazar su viabilidad a largo plazo….con este contexto, la gestión de riesgos se convierte en una necesidad imperativa. Esta gestión implica la identificación, evaluación y priorización de los riesgos, permitiendo a las organizaciones tomar medidas proactivas para mitigarlos”

1. Conceptos clave para comprender las matrices de riesgo y su gestión

Las matrices de riesgo son herramientas vitales en la gestión empresarial. Para comprender su aplicación efectiva, es fundamental familiarizarse con conceptos clave que sientan las bases para una gestión de riesgos sólida y eficaz en cualquier organización.

  • Riesgo Inherente: Representa la exposición natural de la empresa a eventos adversos. Es el riesgo que existe antes de aplicar medidas de mitigación.
  • Riesgo Residual: Es el nivel de riesgo que permanece después de implementar medidas de control. Es el riesgo que la empresa acepta conscientemente y está dispuesta a monitorear y minimizar.
  • Impacto: Se refiere a las consecuencias de un riesgo materializado, en aspectos financieros, reputacionales, interrupción de operaciones, entre otros. Se mide en escalas cualitativas y/o cuantitativas.
  • Probabilidad: Es la estimación de la posibilidad de que ocurra un riesgo. Puede ser expresada como una probabilidad numérica y/o en términos cualitativos.
  • Control Preventivo: Medidas implementadas para evitar que un riesgo se materialice, es decir, controles diseñados para actuar antes de que ocurra.
  • Control Detectivo: Medidas implementadas para identificar un riesgo después de que ha ocurrido.
  • Control Automático/Manual: La distinción entre controles que se ejecutan automáticamente (como una alerta generada por un sistema) y controles que requieren intervención humana directa (como verificar un documento antes de aprobar)
  • Pruebas de Cumplimiento: Evaluaciones para verificar si los controles implementados funcionan adecuadamente y si están alineados con los estándares regulatorios y políticas internas.
  • Pruebas Sustantivas: Están relacionadas con la integridad, exactitud y validez de la información, como, por ejemplo, aplicar métodos de análisis para comprobar saldos, revisar la validez de los datos producidos en el sistema, etc.


2. ¿Qué es una matriz de riesgo?

Las matrices de riesgo consisten en tablas que categorizan distintos tipos de riesgos de acuerdo a su probabilidad e impacto, lo que permite identificar a los de mayor criticidad.

3. ¿Cómo funciona?

Ejemplificaremos con una matriz de riesgo de “5 x 5”, es decir, con cinco criterios de “Impacto” y cinco criterios de “Probabilidad”:

Paso 1: Cada organización debe definir los recursos de mayor importancia en los cuales desea realizar un análisis de riesgos. A continuación, se proponen ocho recursos que se pueden ver afectados y que son aplicables a la mayoría de las industrias:

  • Daño Reputacional
  • Daño al Personal
  • Pérdida de Know-How
  • Pérdida Financiera
  • Pérdida de Información
  • Interrupción Operacional
  • Daño Ambiental (análisis de Responsabilidad Social Empresarial)
  • Problemas Legales

“Cada organización debe definir los recursos de mayor importancia en los cuales desea realizar un análisis de riesgos”

Paso 2:  Para cada recurso se deberá describir un riesgo que clasifique en cinco niveles de impacto, los cuales tendrán una parte cuantitativa (del 1 al 5) y una parte cualitativa (“bajo”, “medio”, alto”, etc.)

Paso 3: Se define la probabilidad con una parte cuantitativa (del 1 al 5) y una parte cualitativa (“improbable”, “poco probable, “moderado”, etc.)

Con estos tres pasos, ya tendríamos una matriz que permite cuantificar un riesgo según su impacto y probabilidad, con una puntuación mínima de 1 (1 x 1) y una puntuación máxima de 25 (5 x 5)

4. ¿Cómo aplico mi matriz de riesgos para que me proporcione valor?

Teniendo definida la matriz de valorización explicada anteriormente, se recomienda realizar un listado de riesgos, identificar el proceso y subproceso al cual pertenecen y asignar el puntaje preliminar. Esto nos permite determinar el Riesgo Inherente de la empresa, información que por si sola no es suficiente para una buena gestión, es por ello que, adicionalmente, se debe identificar, describir, categorizar y evaluar los controles que posee la empresa para cada uno de los riesgos, calculando el nivel de mitigación del control y determinando finalmente un nivel de Riesgo Residual.

5. Beneficios de la aplicación de matrices de Riesgos

  • Permite identificar de manera sistemática los riesgos de diferentes áreas de la empresa.
  • Ayuda a clasificar los riesgos según su impacto y probabilidad, permitiendo a la empresa focalizar sus esfuerzos en aquellos con un impacto más significativo.
  • Permiten anticiparse a las amenazas y tomar medidas preventivas, así como también, establecer controles que detecten estos riesgos y poder subsanarlos una vez materializados.
  • Todo lo anterior implica contar con información clara y estructurada, lo cual permitirá tomar decisiones informadas y una asignación más eficiente de recursos para la gestión del riesgo.

"El proceso de gestión de riesgos va más allá de la simple identificación y evaluación inicial. Después de definir la matriz de valorización, es crucial realizar un análisis detallado de los riesgos, incluyendo la identificación de procesos y subprocesos relevantes, así como la evaluación de los controles existentes”

6. Recomendaciones

La norma ISO 31000 propone las siguientes recomendaciones claves para la gestión de riesgos:

  • Desarrollar políticas y procedimientos que definan las actividades de gestión de riesgos.
  • Definir roles y responsables.
  • Realizar evaluaciones periódicas para identificar nuevos riesgos y monitorear los existentes.
  • Involucrar activamente a las partes interesadas durante el proceso e informar sobre resultados.
  • La alta gerencia debe liderar la cultura de gestión de riesgos y proveer los recursos necesarios.
  • La gestión de riesgos debe incorporarse en la estrategia, operaciones y toma de decisiones.
  • Supervisar los indicadores de riesgos clave y mejorar continuamente el proceso de gestión.
  • Realizar registro de información (documentar)
  • La implementación efectiva de estas recomendaciones permite a las empresas gestionar los riesgos de manera proactiva y minimizar su impacto en los objetivos.

“La norma ISO 31000 ofrece recomendaciones clave para la gestión de riesgos empresariales: establecer políticas y procedimientos, definir roles, realizar evaluaciones periódicas, involucrar a las partes interesadas, liderazgo de la alta gerencia, integración en la estrategia, supervisar indicadores y documentar información”

7. Conclusiones

La implementación de una matriz de riesgos representa una práctica sencilla pero valiosa para que las empresas puedan mapear los distintos riesgos de su negocio, darles una priorización y una adecuada gestión.

Siguiendo recomendaciones como utilizar descripciones cualitativas, añadir las dimensiones más importantes del negocio, incorporar la mayor cantidad de controles existentes y evaluarlos, las empresas pueden incrementar los beneficios de estas matrices, obteniendo información aún más útil para la toma de decisiones y para la destinación de recursos a utilizar en la mitigación de riesgos.

Hay que comprender que las empresas no pueden eliminar todos sus riesgos y que, si bien se busca minimizar sus consecuencias, el tomar riesgos podría ser bueno dentro de un contexto en donde el riesgo es bien administrado, permitiendo incluso la creación de valor, es por ello que toda práctica de gestión de riesgo se vuelve esencial, y las matrices de riesgo contribuyen en este objetivo.

Referencias

  • Committee of Sponsoring Organizations of the Treadway Commission. COSO ERM (Enterprise Risk Management).
    https://www.piranirisk.com/es/academia/especiales/coso-una-vision-360-grados-para-gestionar-el-riesgo
  • International Organization for Standardization (2018). ISO 31000.
    https://www.ramajudicial.gov.co/documents/5454330/14491339/
    Norma.ISO.31000.2018.Espanol.pdf/cb482b2c-afd9-4699-b409-0732a5261486