PT | ES | EN Acceder

Blog

Teoría y práctica sobre Gestión de Riesgos

Teoría y práctica sobre Gestión de Riesgos

 

La gestión de riesgos es un elemento esencial para cualquier empresa. Sin embargo, no todos los riesgos se abordan de la misma manera. Algunas medidas de control destinadas a mitigar o compartir riesgos son obligatorias debido a requisitos legales, mientras que otras se implementan en función de las necesidades individuales y circunstancias específicas de cada organización.

En este artículo, nos centraremos específicamente en ejemplos de medidas de mitigación o compartición de riesgo que son obligatorias por exigencias legales. Desde seguros obligatorios, normativas de salud y seguridad en el trabajo, hasta regulaciones de privacidad de datos y leyes contra el lavado de dinero.

Si eres un profesional en gestión de riesgos, un empresario, o simplemente alguien interesado en entender mejor cómo las leyes ayudan a dar forma a las prácticas de gestión de riesgos, este artículo te proporcionará una visión clara y amplia de estas cuestiones complejas y cruciales.

Como es conocido por muchos, una vez analizados los riesgos y determinado su nivel, comparándolo con los criterios de riesgo establecidos en la etapa de contextualización (ISO 31000), tendremos una OPINIÓN. Esta opinión nos ofrece un primer nivel de decisión, como: Actuar; Actuar y observar; Solo observar; e Ignorar. En los casos en los que se decida actuar, se necesita implementar un tratamiento basado en controles. En los casos donde se indique observar, será necesario definir una estrategia de monitoreo y control de los respectivos riesgos.

En la ISO 31000:2018, en su ítem 5.5.1 (Tratamiento de riesgo > Generalidades), se consideran las siguientes opciones de tratamiento de riesgos a continuación. Destacando que estas opciones NO son necesariamente excluyentes.

a) Evitar el riesgo decidiendo no iniciar o discontinuar la actividad que genera el riesgo;

b) Tomar o aumentar el riesgo en busca de una oportunidad;

c) Eliminar las fuentes de riesgo;

d) Modificar la probabilidad;

e) Modificar las consecuencias;

f) Compartir los riesgos (por ejemplo, mediante contratos o compra de seguros);

g) Retener el riesgo basándose en una decisión informada.

En general, podemos determinar que estas siete opciones de tratamiento indicadas por la ISO 31000 pueden incluirse en uno de los tres grupos siguientes: 1. Evitar; 2. Minimizar; 3. Aceptar, retener o asumir más riesgo.

Entre las opciones destinadas a evitar los riesgos, la norma indica: a. Evitar el riesgo al decidir no comenzar o continuar la actividad que genera el riesgo; y c. Eliminar la fuente de riesgo.

Entre las opciones destinadas a minimizar los riesgos se consideran: d. Modificar la probabilidad; e. Modificar las consecuencias; y f. Compartir el riesgo.

Entre las opciones de aceptación y retención están: Aceptar o aumentar el riesgo en busca de una oportunidad y retener el riesgo basándose en una decisión informada.

 

Opciones: Evitar; Minimizar; o Aceptar, retener y asumir más riesgo.

 

En las clases y cursos que impartimos, es común escuchar la siguiente pregunta:

Profesor, ¿puede dar algunos ejemplos de controles, con el objetivo de mitigar o compartir riesgos, que sean obligatorios debido a requisitos legales?

 

Bien, vamos allá, ¡vamos a acercar la teoría y la práctica!

El tratamiento de riesgos busca evitar que la incertidumbre afecte nuestros objetivos. Sin embargo, retener el riesgo, es decir, aceptar que intentaremos alcanzar un objetivo asumiendo la incertidumbre, también es una opción.

Pensando en ello, en esta reflexión, vamos a imaginar el siguiente escenario:

Supongamos una situación ficticia en la cual identificamos un evento que podría ocurrir en la organización el próximo año con una probabilidad de 0,01 (es decir, si pudiéramos repetir la operación de la empresa cien años seguidos, en las mismas condiciones, sería de esperar que, en esos cien años, al menos una vez ocurriese dicho evento).

Si ese evento se concretiza, tendríamos un desvío del 60% de nuestro objetivo respecto a nuestras expectativas.

Con esta suposición, vamos a reflexionar: ¿Qué puede determinar si decidimos tratar el riesgo mediante compartición (ej.: seguro) o mitigación (ej.: disminución de frecuencia o impacto)?

La determinación de tratar el riesgo a través de la compartición o mitigación puede estar condicionada por varios factores. Aquí hay algunas opciones que pueden influir en esta decisión:

  • Impacto en los objetivos: La magnitud del impacto del evento en los objetivos de la organización es fundamental para evaluar la opción de compartición o mitigación del riesgo. Si el desvío de la meta del 60% se considera inaceptable o pudiera tener graves consecuencias para la empresa, la mitigación del riesgo podría ser considerada.
  • Coste de la compartición: Compartir el riesgo implica contratar seguros u otras formas de compartición (transferencia) de parte de la responsabilidad a terceros. Si el costo de transferir el riesgo mediante primas de seguro u otros mecanismos es razonable y justificable en comparación con el impacto potencial del evento, la transferencia podría ser una opción viable.
  • Capacidad de mitigación: La empresa debe evaluar su capacidad para implementar medidas efectivas de mitigación y reducir la probabilidad o el impacto del evento. Si existen estrategias o acciones concretas que puedan implementarse para disminuir la probabilidad de ocurrencia o reducir el impacto del evento, la mitigación podría ser una opción preferible.
  • Apetito, tolerancia y capacidad de riesgo: El apetito, la tolerancia y la capacidad de riesgo de la empresa y su disposición a asumir cierto nivel de incertidumbre también influyen en la decisión. Si la empresa tiene un mayor apetito y tolerancia al riesgo y está dispuesta a aceptar el impacto potencial del evento (capacidad) sin significativa mitigación, podría optar por retener el riesgo en lugar de transferirlo o mitigarlo.
  • Evaluación de la probabilidad: La evaluación precisa de la probabilidad del evento es esencial para tomar una decisión informada. Si la probabilidad de ocurrencia es baja, como 0,01, la transferencia del riesgo podría no ser una opción viable, ya que podría ser difícil encontrar aseguradoras dispuestas a cubrir estos eventos improbables.
  • Disponibilidad de recursos: La disponibilidad de recursos financieros, tiempo y humanos puede influir en la decisión de cómo tratar el riesgo. Si cuenta con los recursos necesarios para implementar medidas de mitigación efectivas, podría ser preferible optar por esta opción en lugar de la transferencia de riesgo.
  • Contexto y naturaleza del evento: La naturaleza y el contexto del propio evento pueden influir en la elección del enfoque de tratamiento del riesgo. Algunos eventos pueden ser más adecuados para la mitigación, mientras que otros pueden ser más propicios para la compartición. Por ejemplo, si el evento es altamente improbable pero tiene un impacto catastrófico, podría ser más apropiado transferir el riesgo mediante un seguro o instrumentos financieros adecuados.
  •  

    Apetito, tolerancia y capacidad de riesgo.

     

    En última instancia, la determinación de cómo tratar el riesgo dependerá de un análisis exhaustivo que tenga en cuenta estos y otros factores, así como la evaluación de alternativas y la consideración de los recursos y capacidades disponibles para la empresa.

    Es importante señalar que la elección entre compartir (transferir) el riesgo y mitigar el riesgo no es necesariamente mutuamente excluyente. En algunos casos, puede ser apropiado usar una combinación de ambas estrategias, dependiendo de la naturaleza del riesgo y de los recursos y capacidades disponibles.

    Otra pregunta común que nos obliga a aterrizar la teoría en la práctica es la siguiente:

    Profesor, ¿es aceptable que la organización retenga el riesgo? En este caso, ¿bajo qué condiciones sería aceptable retener riesgos?

     

    ¡Vamos allá! La decisión de retener el riesgo es una opción válida en determinadas circunstancias y depende del apetito, tolerancia y capacidad de riesgo de la organización, así como de la habilidad para manejar las posibles consecuencias. Asumir el riesgo implica aceptar que los objetivos se alcanzarán a pesar de la incertidumbre y de la posibilidad de que ocurra el evento no deseado.

    Sin embargo, antes de optar por retener el riesgo, es necesario evaluar cuidadosamente las implicaciones, considerar algunos aspectos y condicionantes:

  • Impacto económico: Es importante evaluar si el desvío del objetivo debido al evento adverso es económicamente aceptable para la organización. Si el desvío del 60% en las expectativas pudiera tener consecuencias graves o comprometer la viabilidad del negocio, tal vez sea más prudente considerar el tratamiento del riesgo.
  • Capacidad de recuperación: Es necesario evaluar la capacidad de recuperación y adaptación de la organización en caso de que ocurra el evento adverso. Si la organización tiene la capacidad de adaptarse y recuperar rápidamente sus operaciones, la retención de riesgos podría ser una opción viable.
  • Planificación de contingencia: Retener el riesgo no significa ignorarlo completamente. Es importante desarrollar planes de contingencia, continuidad del negocio y tener estrategias alternativas en caso de que se concrete el evento adverso.
  • Análisis continuo del riesgo: Retener el riesgo implica estar preparado para evaluar y monitorear continuamente la evolución del riesgo. La organización debe estar dispuesta a ajustar sus estrategias y planes según los cambios en el entorno y la evolución del riesgo.
  •  

    Planificación de contingencias

     

    Otra cuestión que nos exige acercar teoría y práctica es la siguiente:

    Profesor, ¿puede darnos ejemplos de medidas de mitigación o compartición (transferencia) de riesgos que sean obligatorios debido a requisitos legales?

     

    Ciertas medidas de mitigación o compartición de riesgo pueden ser exigidas por requisitos legales o regulaciones específicas. La mayoría de los ejemplos a continuación están presentes en la vida cotidiana de las personas comunes. Aquí hay algunos ejemplos:

  • Seguro obligatorio: En muchos países, es obligatorio que los propietarios de vehículos tengan un seguro de coche. También puede ser necesario que los propietarios tengan un seguro contra incendios o inundaciones, o que los empleadores tengan un seguro de accidentes de trabajo.
  • Cumplimiento con los reglamentos de seguridad: Las empresas deben seguir los reglamentos de salud y seguridad en el lugar de trabajo, como proporcionar equipos de protección individual a los empleados o seguir los reglamentos de seguridad contra incendios.
  • Prácticas de higiene en la industria alimentaria: Las empresas alimentarias deben seguir los reglamentos de seguridad alimentaria para reducir el riesgo de contaminación de alimentos y brotes de enfermedades transmitidas por alimentos.
  • Licencias y autorizaciones: Profesionales de ciertas industrias deben tener licencias para operar, como médicos, abogados y electricistas. Esto garantiza que estén debidamente calificados y entrenados para reducir el riesgo de errores o negligencia.
  • Cumplimiento con los reglamentos de privacidad de datos: Las empresas que manejan datos personales deben cumplir las leyes de protección de datos, como el GDPR en la Unión Europea o LGPD en Brasil, para mitigar el riesgo de violación de datos personales y multas legales.
  • Evaluaciones de impacto ambiental: Antes de iniciar proyectos a gran escala, las empresas pueden estar obligadas a realizar evaluaciones de impacto ambiental para mitigar riesgos al medio ambiente.
  • Cumplimiento con los reglamentos contra el lavado de dinero: Las instituciones financieras deben cumplir con reglamentaciones para prevenir el lavado de dinero y el financiamiento del terrorismo, que incluyen la identificación del cliente y reportes de transacciones sospechosas, etc.
  • Plan de Emergencia y Evacuación: En muchos lugares, se exige por ley que las empresas tengan un plan de emergencia y evacuación en caso de incendio, terremoto u otras emergencias.
  • Cumplimiento con los estándares de calidad: En ciertas industrias, como farmacéutica o alimenticia, los estándares de calidad deben ser cumplidos para garantizar la seguridad del producto.
  • Seguridad cibernética: dependiendo del país y de la naturaleza del negocio, algunas empresas pueden estar obligadas a implementar medidas de seguridad cibernética para proteger datos e información digital contra amenazas y ataques cibernéticos, incluido el seguro cibernético.
  • Gestión de riesgos financieros: En el ámbito financiero, las instituciones pueden estar sujetas a regulaciones que exijan la implementación de medidas de mitigación de riesgos, como requisitos mínimos de capital, pruebas de estrés y políticas de gestión de riesgos. Estas medidas buscan proteger la estabilidad financiera y evitar riesgos sistémicos.
  •  

    Plan de Emergencia y Evacuación

     

    Otra pregunta común en las clases es:

    Profesor, ¿por qué existen riesgos sujetos a estas obligaciones de tratamiento y otros riesgos no?

     

    Las obligaciones legales para abordar ciertos riesgos a menudo surgen del deseo de proteger la salud, la seguridad, los derechos y el bienestar de las personas y del medio ambiente. Estas obligaciones pueden surgir de experiencias pasadas en las que la ausencia de tales obligaciones condujo a consecuencias dañinas, como accidentes laborales, contaminación ambiental, invasión de privacidad, problemas de salud pública, etc. Aquí algunas posibles razones:

  • Protección de intereses públicos: Las obligaciones legales de tratamiento de riesgos se establecen a menudo para proteger intereses públicos, como la salud y seguridad de las personas, la protección del medio ambiente o la estabilidad financiera. Los riesgos con un impacto significativo en estos intereses suelen estar sujetos a regulación específica para asegurar su mitigación.
  • Historial de incidentes o impactos previos: En algunos casos, los riesgos que resultaron en incidentes graves en el pasado o que demostraron tener un impacto significativo en la sociedad pueden llevar a la implementación de regulaciones obligatorias. Estas regulaciones buscan prevenir la repetición de incidentes y garantizar una adecuada gestión de los riesgos asociados.
  • Asimetría de información: En ciertas situaciones, los riesgos pueden estar regulados cuando hay asimetría de información entre las partes involucradas. Por ejemplo, en la protección de derechos del consumidor, las regulaciones pueden imponer obligaciones de divulgación y transparencia para asegurar que los consumidores estén informados sobre los riesgos asociados a los productos o servicios que compran.
  • Externalidades negativas: Algunos riesgos pueden generar externalidades negativas, es decir, impactos adversos en terceros que no son considerados por quienes toman decisiones relacionadas con el riesgo. En estos casos, las regulaciones pueden implementarse para internalizar estas externalidades y responsabilizar a las partes interesadas relevantes por los riesgos que generan.
  • Intereses comerciales y económicos: Algunos riesgos pueden estar sujetos a regulación debido a intereses comerciales y económicos. Por ejemplo, las regulaciones financieras buscan salvaguardar la estabilidad del sistema financiero y proteger a los consumidores, mientras que las regulaciones comerciales pueden buscar garantizar una competencia justa y prevenir prácticas comerciales desleales.
  • En conclusión, existen varias medidas de mitigación y compartición de riesgo que son obligatorias debido a requisitos legales. Estas incluyen seguros obligatorios, cumplimiento con reglamentos de seguridad, prácticas higiénicas en la industria alimentaria, obtención de licencias y permisos, cumplimiento con reglamentos de privacidad de datos, realización de evaluaciones de impacto ambiental, cumplimiento con regulaciones contra el lavado de dinero, implementación de planes de emergencia y evacuación, cumplimiento con estándares de calidad y la adopción de medidas de seguridad cibernética.

    Estas obligaciones legales son a menudo el resultado de intentar proteger la salud, la seguridad, los derechos y el bienestar de las personas y del medio ambiente. Muchas de ellas buscan proteger al público, prevenir daños, proteger derechos individuales, promover la responsabilidad corporativa, ética y prevenir actividades ilegales. Estas obligaciones a menudo provienen de lecciones aprendidas de incidentes anteriores donde la falta de regulación llevó a resultados dañinos.

     

    Algunos riesgos se consideran parte inherente de determinadas actividades.

     

    Por otro lado, no todos los riesgos están sujetos a obligaciones legales de tratamiento. Esto puede deberse a que son difíciles de regular, se consideran parte inherente de ciertas actividades o porque las intervenciones legales pueden no ser el método más eficaz de gestionar estos riesgos. En estos casos, la gestión de riesgos puede ser más informal o depender de los individuos u organizaciones involucradas.

    En resumen, las medidas legales de mitigación y compartición de riesgos buscan proporcionar un marco de seguridad y responsabilidad que proteja a las personas, organizaciones y al medio ambiente de posibles daños, aunque reconoce que no todos los riesgos pueden o deben ser gestionados mediante intervención legal.