Pasos administrativos en la gestión de riesgos
La gestión de riesgos es un conjunto de procesos diseñados para identificar, evaluar, controlar y monitorear los riesgos con el fin de minimizar su impacto en una organización. En la práctica, el éxito de la gestión de riesgos no solo depende del análisis técnico, como los cálculos de probabilidad o los modelos de impacto, sino también de la solidez administrativa: cómo una organización desarrolla políticas, documenta los pasos, asigna roles y garantiza un seguimiento constante.
Este artículo analiza los pasos administrativos que implica la gestión sistemática de riesgos. Estos pasos pueden aplicarse a diversos tipos de organizaciones —empresas, agencias gubernamentales, escuelas, hospitales e incluso organizaciones sin fines de lucro—, ya que la administración de riesgos se centra fundamentalmente en el orden de los procesos y la rendición de cuentas.
1. Establecer el contexto y los objetivos de la gestión de riesgos.
El primer paso administrativo consiste en establecer el contexto. La organización debe definir el motivo de la gestión de riesgos, su alcance y los objetivos que busca alcanzar. Este contexto es fundamental para que todas las partes comprendan los riesgos involucrados y la finalidad del proceso.
Administrativamente, los resultados de esta etapa suelen constar en documentos como:
– Declaración de objetivos y alcance de la gestión de riesgos
– Límites del proceso (unidades de trabajo, ubicaciones, proyectos o actividades específicas)
– Criterios de éxito e indicadores de desempeño relacionados con el riesgo
Sin un contexto claro, el proceso de gestión de riesgos corre el riesgo de convertirse en una lista de verificación formal, en lugar de una herramienta para la toma de decisiones.
2. Desarrollo de políticas y marcos de gestión de riesgos
Una vez establecidos los objetivos, la organización debe desarrollar una política de gestión de riesgos. Esta política sirve como marco general que guía todos los procedimientos relacionados con los derivados. Asimismo, la política clarifica los compromisos de la dirección, la cultura de riesgo que se debe fomentar y los principios que se deben respetar.
Desde el punto de vista administrativo, las políticas y los marcos de gestión de riesgos suelen incluir:
– Principios de gestión de riesgos (por ejemplo, prudencia, transparencia, sostenibilidad)
– Estructura organizativa y líneas de comunicación de riesgos
– Definición de términos y categorías de riesgo
– Relación de la política de riesgos con los SOP u otros sistemas de gestión (calidad, K3, seguridad de la información, auditoría interna)
Los documentos de política deben ser fácilmente accesibles y difundirse, y revisarse periódicamente para que sigan siendo relevantes.
3. Establecer roles, responsabilidades y autoridades.
La gestión de riesgos será eficaz si las funciones de cada parte están claras. Las organizaciones deben determinar quién es responsable del riesgo, quién lo supervisa, quién aprueba las medidas de mitigación y quién garantiza la presentación de informes.
Generalmente, las funciones asignadas incluyen:
– Alta dirección: establece la dirección, aprueba las políticas, proporciona recursos.
– Unidad o secretaría de gestión de riesgos: coordina procesos, prepara informes y facilita las evaluaciones.
– Responsable del riesgo: la parte directamente responsable de los riesgos en su área de trabajo.
– Auditor interno/comité de riesgos: realiza revisiones independientes y formula recomendaciones.
Esta determinación debe constar en un decreto, organigrama, matriz RACI (Responsable, Responsable, Consultado, Informado) u otros documentos de gobernanza.
4. Realizar una identificación estructurada de riesgos.
La identificación de riesgos es el proceso de identificar eventos o condiciones que podrían obstaculizar el logro de los objetivos. Administrativamente, la identificación debe realizarse mediante un método consistente para que los resultados puedan compararse entre unidades y periodos.
Los métodos de identificación más utilizados incluyen:
– Lluvia de ideas dirigida a las unidades de trabajo
– Entrevistas y cuestionarios
– Análisis de procesos de negocio y procedimientos operativos estándar (SOP)
– Evaluación de incidentes/quejas que se hayan producido
– Análisis del entorno interno y externo
Los resultados de la identificación deben registrarse en un registro de riesgos que incluya una descripción del riesgo, la fuente del riesgo, el área afectada y la parte responsable.
5. Evaluar el riesgo: probabilidad, impacto y nivel de prioridad.
Una vez registrados los riesgos, el siguiente paso es la evaluación de riesgos. Administrativamente, las organizaciones deben definir criterios de evaluación claros —por ejemplo, una escala del 1 al 5 para la probabilidad y el impacto— para evitar que la evaluación sea puramente subjetiva.
Los documentos que se suelen preparar en esta etapa incluyen:
– Matriz de riesgos
– Criterios de riesgo y definición de cada nivel
– Notas de evaluación de riesgos por cada elemento del registro de riesgos
El resultado clave es un mapa de prioridades: qué riesgos deben abordarse de inmediato, cuáles pueden ser monitoreados y cuáles son aceptables.
6. Determinación de la estrategia de tratamiento de riesgos
La gestión de riesgos es una serie de decisiones y acciones destinadas a reducir la probabilidad o el impacto, o a gestionar las consecuencias. En general, las estrategias de gestión de riesgos incluyen:
– Evitar riesgos: detener las actividades que desencadenan riesgos.
– Reducir el riesgo (mitigarlo): mejorar los controles, los procedimientos o los sistemas.
– Transferencia de riesgos: seguros, subcontratación o determinados contratos.
– Aceptar el riesgo (aceptar): aceptar con supervisión y planes de emergencia.
Una buena gestión exige que se registre cada decisión de tratamiento, junto con su justificación, coste, plazo y responsable. Esto suele estar detallado en un plan de tratamiento de riesgos, que incluye plazos, indicadores y recursos necesarios.
7. Recopilar la documentación justificativa y estandarizar los procedimientos.
A menudo, los controles de riesgo fallan no porque la idea sea mala, sino porque no están estandarizados. Por lo tanto, las organizaciones deben asegurarse de que las medidas de mitigación elegidas se traduzcan en documentos operativos claros.
Ejemplos de documentos justificativos:
– Nuevo procedimiento operativo estándar (POE) o procedimiento operativo estándar (POE) revisado
– Instrucciones de trabajo
– Formularios de inspección, listas de verificación y libros de registro
– Estándares mínimos de servicio o estándares de calidad
– Condiciones contractuales con terceros
Esta estandarización ayuda a garantizar que los controles de riesgo no dependan de los individuos, sino que estén integrados en el sistema.
8. Comunicación, socialización y formación
La gestión de riesgos también incluye una comunicación interna eficaz. Los riesgos no son exclusivos de una sola división; muchos son interfuncionales. Por lo tanto, es necesario comunicar a las partes interesadas los resultados de la identificación, la priorización y los planes de mitigación.
Actividades administrativas comunes que se realizan:
– Socialización de las políticas y procedimientos de riesgo
– Formación en el uso de registros de riesgos y matrices de evaluación
– Sesiones informativas periódicas sobre los principales riesgos de la organización.
– Comunicación de incidentes y lecciones aprendidas
El objetivo es crear una cultura de concienciación sobre los riesgos, donde informar sobre los problemas se considere un esfuerzo de mejora, no un error que deba encubrirse.
9. Seguimiento, evaluación e informes periódicos
El riesgo es dinámico. Por lo tanto, la gestión de riesgos debe ser supervisada. Esta etapa requiere una administración de informes eficiente: quién informa, cuándo y en qué formato.
El seguimiento puede incluir:
– Estado de implementación de las medidas de mitigación (completadas, en curso, con retraso)
– Cambios en el nivel de riesgo después de la implementación de los controles
– La aparición de nuevos riesgos debido a cambios en el entorno o el proyecto.
– Tendencias de incidentes, quejas o fallos del sistema
Los informes pueden elaborarse mensualmente, trimestralmente o según sea necesario. Idealmente, deberían destacar los riesgos prioritarios, los obstáculos, las recomendaciones y las decisiones que la dirección debe tomar.
10. Auditoría, revisión de la dirección y mejora continua
El último paso consiste en garantizar la mejora continua del sistema general de gestión de riesgos. Las auditorías internas o las evaluaciones independientes sirven para valorar el cumplimiento de las políticas y la eficacia de los controles. Además, las revisiones de la dirección aseguran la participación del liderazgo en las decisiones estratégicas relacionadas con los riesgos.
La mejora continua se suele realizar mediante:
– Ajustar las políticas y criterios de riesgo
– Mejorar el proceso de identificación y evaluación para que sea más preciso.
– Integrar la gestión de riesgos con la planificación y la presupuestación.
– Adopción de tecnología (panel de control de riesgos, sistema de informes digitales)
Con este ciclo de mejora, la administración de riesgos no se limita a ser un documento, sino que se convierte en un mecanismo de aprendizaje organizacional.
Clausura
Los pasos administrativos en la gestión de riesgos son la base de un proceso de gestión de riesgos coherente, responsable y eficaz. Desde establecer el contexto, desarrollar políticas y asignar roles hasta el monitoreo y la auditoría, todos estos aspectos están interconectados y requieren documentación precisa.
Las organizaciones con sólidas habilidades de gestión de riesgos estarán mejor preparadas para afrontar la incertidumbre, responder con mayor rapidez al cambio y mantener un desempeño sostenible. En definitiva, la gestión de riesgos no se trata simplemente de evitar problemas, sino de construir un sistema de trabajo más maduro, seguro y escalable.