La gestión de riesgos es un elemento esencial para cualquier empresa. Sin embargo, no todos los riesgos son tratados de la misma manera. Algunas medidas de control destinadas a mitigar o compartir riesgos son obligatorias debido a requisitos legales, mientras que otras se implementan en función de las necesidades individuales y circunstancias específicas de cada organización.
En este artículo, nos centraremos específicamente en ejemplos de medidas de mitigación o de distribución de riesgos exigidas por requisitos legales. Desde seguros obligatorios, normas de seguridad y salud en el trabajo, hasta normas de privacidad de datos y leyes contra el blanqueo de capitales.
Si usted es un profesional de la gestión de riesgos, un empresario o simplemente alguien interesado en comprender mejor cómo las leyes ayudan a dar forma a las prácticas de gestión de riesgos, este artículo le proporcionará una visión clara y completa de estos temas complejos y cruciales.
Como la mayoría ya sabe, una vez analizados los riesgos, obteniendo su nivel y comparándolo con los criterios de riesgo establecidos en la etapa de contextualización (ISO 31000), tendremos una OPINIÓN. Esta opinión nos ofrece un primer nivel de decisión. Un nivel de decisión del tipo: Actuar; Actuar y observar; Solo observa; e ignorar. En los casos en que se decida actuar, es necesario implementar un tratamiento basado en controles. En los casos en que se indique la observación, será necesario definir una estrategia de seguimiento y control de los respectivos riesgos.
En la ISO 31000:2018, en su ítem 5.5.1 (Tratamiento de riesgos > Generalidades), se consideran a continuación las siguientes opciones de tratamiento de riesgos. Tenga en cuenta que estas opciones NO son necesariamente opciones exclusivas.
a) Evitar el riesgo decidiendo no iniciar o interrumpir la actividad que genera el riesgo;
b) Tomar o aumentar el riesgo en busca de una oportunidad;
c) Eliminación de fuentes de riesgo;
d) Cambio de probabilidad;
f) Riesgo compartido (por ejemplo: a través de contratos o compra de seguros);
g) Retención de riesgos basada en una decisión informada.
En general, podemos determinar que estas siete opciones de tratamiento indicadas por la norma ISO 31000 pueden incluirse en uno de los siguientes tres grupos: 1. Evitar; 2. Minimizar; 3. Aceptar, retener o asumir más riesgos.
Entre las opciones para minimizar los riesgos se consideran: d. Modificar la probabilidad; Es. Modificar las consecuencias; y f. Comparte el riesgo.
Las opciones de aceptación y retención incluyen: Aceptar o aumentar el riesgo en busca de una oportunidad y retener el riesgo con base en una decisión informada.
Opciones: Evitar; Minimizar; o Aceptar, retener y asumir más riesgo.
En las clases y cursos que imparto es común escuchar la siguiente pregunta:
Profesor, ¿puede dar algunos ejemplos de controles, destinados a mitigar o compartir riesgos, que son obligatorios por requisitos legales?
Bueno, vamos, ¡unamos la teoría y la práctica!
El tratamiento del riesgo tiene como objetivo evitar que la incertidumbre afecte a nuestros objetivos. Sin embargo, retener el riesgo, es decir, aceptar que vamos a intentar conseguir un objetivo asumiendo la incertidumbre, también es una opción.
Con eso en mente, imaginemos el siguiente escenario:
Supongamos una situación ficticia en la que identificamos un evento que puede ocurrir en la organización, en el próximo año, con una probabilidad de 0.01 (es decir, si pudiéramos repetir la operación de la empresa cien años seguidos, bajo el mismas condiciones, cabría esperar que, en esos cien años, al menos una vez ocurrido este hecho).
De materializarse este evento, tendríamos un 60% de desviación de nuestro objetivo en relación a nuestras expectativas.
Con este supuesto, reflexionemos: ¿Qué puede determinar si decidimos abordar el riesgo compartiendo (por ejemplo, seguros) o mitigándolo (por ejemplo, disminuyendo la frecuencia o el impacto)?
La determinación de abordar el riesgo mediante el intercambio o la mitigación puede estar condicionada por varios factores. Aquí hay algunas opciones que pueden influir en esa decisión:
Impacto en los objetivos: La magnitud del impacto del evento en los objetivos de la organización es fundamental para evaluar la opción de compartir o mitigar el riesgo. Si la desviación del objetivo del 60 % se considera inaceptable o podría tener consecuencias graves para el negocio, se puede considerar la mitigación del riesgo.
Costo de compartir: Compartir el riesgo implica contratar un seguro u otras formas de compartir (transferir) parte de la responsabilidad a terceros. Si el costo de transferir el riesgo a través de primas de seguro u otros mecanismos es razonable y justificable en comparación con el impacto potencial del evento, entonces la transferencia puede ser una opción viable.
Capacidad de Mitigación: La empresa debe evaluar su capacidad para implementar medidas de mitigación efectivas y reducir la probabilidad o impacto del evento. Si existen estrategias o acciones concretas que se pueden implementar para disminuir la probabilidad de ocurrencia o reducir el impacto del evento, la mitigación puede ser una opción preferible.
Apetito, tolerancia y capacidad de riesgo: El apetito, la tolerancia y la capacidad de riesgo de la empresa y su disposición a asumir un cierto nivel de incertidumbre también influyen en la decisión. Si la empresa tiene un mayor apetito y tolerancia al riesgo y está dispuesta a aceptar el impacto potencial del evento (capacidad) sin una mitigación significativa, puede optar por retener el riesgo en lugar de transferirlo o mitigarlo.
Evaluación de probabilidad: evaluar con precisión la probabilidad del evento es esencial para tomar una decisión informada. Si la probabilidad de ocurrencia es baja, como 0,01, la transferencia de riesgos puede no ser una opción viable, ya que puede ser difícil encontrar aseguradoras dispuestas a cubrir estos eventos poco probables.
Disponibilidad de recursos: La disponibilidad de recursos financieros, de tiempo y humanos puede influir en la decisión de cómo tratar el riesgo. Si tiene los recursos necesarios para implementar medidas de mitigación efectivas, esta opción puede ser preferible a la transferencia de riesgos.
Contexto y naturaleza del evento: La naturaleza y el contexto del evento en sí mismo pueden influir en la elección del enfoque de tratamiento del riesgo. Algunos eventos pueden ser más adecuados para la mitigación, mientras que otros pueden ser más propicios para compartir. Por ejemplo, si el evento es muy poco probable pero tiene un impacto catastrófico, puede ser más apropiado transferir el riesgo a través de seguros o instrumentos financieros adecuado
Apetito de riesgo, tolerancia y capacidad En última instancia, determinar cómo abordar el riesgo dependerá de un análisis exhaustivo que tenga en cuenta estos y otros factores, así como la evaluación de alternativas y la consideración de los recursos y capacidades disponibles para el negocio. Es importante tener en cuenta que la elección entre el riesgo compartido (transferencia) y la mitigación del riesgo no es necesariamente excluyente entre sí. En algunos casos, puede ser apropiado utilizar una combinación de ambas estrategias, según la naturaleza del riesgo y los recursos y capacidades disponibles. Otra pregunta común que nos obliga a llevar la teoría a la práctica es la siguiente: Profesor, ¿es aceptable que la organización retenga el riesgo? Si es así, ¿bajo qué condiciones sería aceptable retener los riesgos? ¡¡Vamos allá!! La decisión de retener el riesgo es una opción válida en determinadas circunstancias y depende del apetito, la tolerancia y la capacidad de riesgo de la organización, así como de la capacidad para hacer frente a las posibles consecuencias. Tomar el riesgo implica aceptar que los objetivos se lograrán, a pesar de la incertidumbre y la posibilidad de que ocurra el evento no deseado. La decisión de retener el riesgo es una opción válida en determinadas circunstancias y depende del apetito, la tolerancia y la capacidad de riesgo de la organización. Sin embargo, antes de optar por retener el riesgo, es necesario evaluar cuidadosamente las implicaciones, considerar algunos aspectos y limitaciones:
Impacto económico: Es importante evaluar si la desviación del objetivo debido al evento adverso es económicamente aceptable para la organización. Si la desviación del 60% de las expectativas pudiera tener consecuencias graves o poner en peligro la viabilidad del negocio, sería más prudente considerar tratar el riesgo.
Capacidad de recuperación: Es necesario evaluar la capacidad de recuperación y adaptación de la organización ante un evento adverso. Si la organización tiene la capacidad de adaptarse y recuperar rápidamente sus operaciones, la retención de riesgos puede ser una opción viable.
Planificación de contingencia: Retener el riesgo no significa ignorarlo por completo. Es importante desarrollar planes de contingencia, continuidad del negocio y contar con estrategias alternativas en caso de que se materialice el evento adverso.
Análisis de riesgo continuo: Retener el riesgo implica estar preparado para evaluar y monitorear continuamente la evolución del riesgo. La organización debe estar dispuesta a ajustar sus estrategias y planes en función de los cambios en el entorno y la evolución del riesgo.
Tácito Leite
https://www.linkedin.com/in/tacitoleite/
Comments