Para muchas empresas este punto puede atragantárseles en la práctica, por lo que en este artículo voy a hablar de las distintas herramientas que se adaptarán y serán de utilidad en las diferentes etapas de la gestión del riesgo.
Todo ello para facilitar la labor de realizar una correcta y eficaz gestión del mismo, así como de las oportunidades, adaptada a las características y necesidades de las empresas.
Visión general de la gestión del riesgo en la empresa.
Si tomamos como referencia la definición de riesgo adoptada por los sistemas de gestión como el efecto de la incertidumbre tendremos una visión muy limitada de lo que supone para las empresas y su actividad en el día a día. Para ello, tenemos que ampliarla con las definiciones del efecto e incertidumbre para obtener una imagen completa.
De esta forma, entendemos como efecto cualquier desviación de lo esperado, sin olvidar que estas distintas desviaciones pueden ser tanto negativas como positivas.
Por incertidumbre entendemos el estado en el cual por deficiencia de la información disponible, aunque sea parcial, no nos permite tener una comprensión o conocimiento de un evento, sus consecuencias o la probabilidad de que se produzca en el tiempo.
En este punto es importante matizar que, aunque cuando hablamos de riesgos solemos centrarnos en la parte negativa, no debemos perder de vista todos aquellos elementos que nos permiten y proporcionan una oportunidad de mejorar, tanto en posición, eficacia o en el futuro de forma general.
La Norma ISO 31000 y la gestión del riesgo.
La Norma ISO 31000, Gestión de Riesgos. Principios y directrices, nos aporta una visión general y objetiva de la gestión del riesgo para que se convierta en un poderoso aliado en todas las actividades que realiza la empresa ya que estos riesgos y oportunidades no se encuentra limitados a un simple proceso o actividad.
Este sistema de gestión nos establece de forma esquemática los pasos a seguir para gestionar adecuadamente los riesgos y oportunidades.
En este artículo vamos a centrarnos en el apartado intermedio de apreciación del riesgo que puede observarse en el esquema incluido a continuación. En este punto es donde la aplicación de las distintas herramientas es más efectiva y aporta mayores beneficios a las empresas para:
- evaluar, controlar, eliminar o asumir los distintos riesgos a los que puede estar afectada
- y beneficiarse de las distintas oportunidades que se presenten ya que también se va a poder aplicar para los aspectos positivos.
Herramientas en la fase de identificación del riesgo.
Como es lógico, antes de comenzar a gestionar adecuadamente los riesgos a los que puede verse afectada la empresa, debemos empezar por identificarlos. De esta forma, se convierte en los cimientos que marcarán todo el proceso y una equivocación, por ejemplo al considerar erróneamente una debilidad como un riesgo, hará que las acciones tomadas a continuación no aporten ningún beneficio para la empresa.
Para poder realizar correctamente esta labor de identificación es necesario que todos los que vayan a participar conozcan la definición del riesgo y, más importante, que lo comprendan ya que permitirá que se busquen aspectos comunes que permita realizar adecuadamente esta identificación, tanto de aspectos negativos como positivos, como ya comenté anteriormente.
Para elaborar esta lista con los riesgos identificados podemos emplear distintas herramientas según las características y necesidades de la empresa, como son:
- Técnica Brainstorming
- Método Delphi
- APPCC,
- HAZOP
- Análisis de datos históricos
- Análisis Modal de Fallos
- Lista de chequeo.
- Análisis de escenarios.
Más adelante explicaremos un poco más detalladamente algunas de estas herramientas.
Herramientas en la fase de análisis del riesgo.
Partiendo de la lista que hemos obtenido en el punto anterior, es importante destacar que, como base en esta etapa de análisis debemos realizar una identificación de los controles ya existentes e implantados en los distintos procesos de la empresa. Es importante tener presente que no podemos quedarnos aquí sino que tenemos que ir un paso más allá para adquirir una imagen real del estado global y no caer en una falsa sensación de seguridad.
Primeramente y con las bases ya establecidas, tenemos que estimar el impacto de todos los riesgos identificados y su probabilidad teniendo presentes los controles y combinar ambas variables para conseguir identificar el nivel del riesgo. Para ello se puede emplear, por ejemplo, la herramienta de causa – efecto.
A partir de aquí, se puede apreciar las consecuencias de los distintos riesgos utilizando, por ejemplo, las siguientes herramientas:
- Red bayesiana
- Juicio de expertos
- Técnica Brainstorming o lluvia de ideas.
- Método Delphi
- Valor en riesgo (VaR)
- Análisis Markov
- Evaluación de vulnerabilidad
- Análisis de impacto de negocio en los casos de interrupción de servicios en los aspectos financieros y de reputación.
Por último en esta etapa, para evaluar la efectividad de los controles que ya tenemos establecidos en la empresa podemos emplear, por ejemplo:
- Técnica Bow Tie
- ACCPP
- Layer of Protection Analysis o LOPA
Más adelante explicaremos un poco más detalladamente algunas de estas herramientas.
Herramientas en la fase de evaluación del riesgo.
Entramos en la última fase del análisis del riesgo en el que tenemos presente todos los datos obtenidos en las dos etapas anteriores, sobre todo en el análisis, para evaluar cada uno de los riesgos identificados. Para ello podemos utilizar, por ejemplo:
- Técnica Brainstorming o lluvia de ideas
- Método Delphi
- Análisis de Pareto,
- Level of risk o nivel del riesgo.
Vistazo general a alguna de las herramientas de gestión de riesgo.
A lo largo del artículo, he ido mencionando algunas herramientas de las que es necesario ampliar un poco más su definición para adquirir una visión más clara de su importancia y utilidad para la gestión eficaz del riesgo. Para ello, voy a explicar brevemente cuatro de estas herramientas.
Método Delphi
El método Delphi, utilizada en varias de las etapas de la apreciación del riesgo, se basa en el papel que tiene los expertos y permite obtener información cualitativa acerca del futuro buscando la mayor precisión posible. Para ello, busca lograr el consenso basado en la consulta con expertos en un diálogo interactivo y empleando cuestionarios contestados por cada uno de los expertos que participan.
Es un proceso cíclico que pasa de una primera ronda de cuestionarios y análisis de resultados a otra posterior en la que se vuelve a realizar un cuestionario a los expertos que ya conocen los resultados de la retroalimentación anterior, y se analiza para volver a una tercera ronda de cuestionarios y análisis, etc.
Técnica HAZOP
La técnica HAZOP o Análisis Funcional de Operatividad se basa en la premisa de que todos los accidentes o situaciones no deseadas se producen como consecuencia de una desviación de las distintas o una sola de las variables respecto a los parámetros normales de realización del proceso. Para ello se analiza, empleando unas “palabras guía”, las causas y consecuencias que se producen para lograr unas conclusiones que permitan disminuir estos accidentes.
Análisis de escenarios
El Análisis de escenarios evalúa los posibles eventos futuros considerando un examen de los resultados posibles y sus implicaciones. Es una técnica de predicción que plantea posibles escenarios teniendo en cuenta factores de mayor incidencia que afectarán posiblemente al alcance de los objetivos marcados.
Técnica Bow Tie
Por último, la técnica Bow Tie se basa en describir de una forma esquemática un riesgo y su ruta desde el inicio en su causa a sus futuras consecuencias, realizando en todas las etapas un análisis de todos los aspectos relevantes.[:en]With the adoption of the high-level structure, management systems that have already been revised and new ones have given greater importance to an aspect already inherent in previous documents: the need to Risks and opportunities aligning them with the strategic direction, that allows to reach the marked objectives.
For many companies this point can be choked in practice, so in this article I will talk about the different tools that will be adapted and useful in the different stages of risk management.
All this to facilitate the work of carrying out a correct and efficient management of the same, as well as of the opportunities, adapted to the characteristics and needs of the companies.
Overview of risk management in the company.
Tools for risk management in the companyIf we take as a reference the definition of risk adopted by management systems as the effect of uncertainty we will have a very limited vision of what it supposes for companies and their activity in the day to day. To do this, we have to extend it with the definitions of effect and uncertainty to get a complete picture.
In this way, we understand as effect any deviation from the expected, without forgetting that these different deviations can be both negative and positive.
By uncertainty we mean the state in which, because of the deficiency of available information, even partial, it does not allow us to have an understanding or knowledge of an event, its consequences or the probability of occurring over time.
At this point it is important to clarify that, although when we talk about risks we usually focus on the negative side, we must not lose sight of all those elements that allow us and provide an opportunity to improve, either in position, effectiveness or in the future in a general way .
To expand these concepts I recommend reading the article «Risks and opportunities in ISO 9001: 2015».
ISO 31000 and risk management.
ISO 31000, Risk Management. Principles and guidelines, gives us an overview and objective of risk management so that it becomes a powerful ally in all the activities carried out by the company as these risks and opportunities are not limited to a simple process or activity.
This management system sets out in a schematic way the steps to be taken to properly manage the risks and opportunities.
In this article we are going to focus on the intermediate section of risk assessment that can be observed in the scheme included below. This is where the application of the different tools is more effective and brings greater benefits to companies to:
Evaluate, control, eliminate or assume the different risks to which it may be affected
And to benefit from the different opportunities that are presented since it will also be able to apply for the positive aspects.
For more information on risk management and ISO 31000 I recommend you read the articles «ISO 31000 or Risk Management: brief notes» and «Phases of risk management in the company».
Infographics of risk management process according to ISO 31000
Tools in the risk identification phase.
Naturally, before beginning to properly manage the risks to which the company may be affected, we must begin by identifying them. In this way, it becomes the foundation that will mark the whole process and a mistake, for example by mistakenly considering a weakness as a risk, will make the actions taken below do not bring any benefit to the company.
In order to correctly carry out this identification work, it is necessary that all those who are involved know the definition of risk and, more importantly, that they understand it, since it will allow the search for common aspects that allow the identification of both negative and Positive, as I mentioned earlier.
To elaborate this list with the identified risks we can use different tools according to the characteristics and needs of the company, such as:
- Brainstorming Technique of which I have spoken to you in more detail in the article «The technique Brainstorming».
- Delphi method
- HACCP, most commented on in the article «The seven principles of the HACCP system».
- HOPP
- Analysis of historical data
- Modal Analysis of Failures and Effects of which I speak more in detail in the article «The technique
- AMFE or Modal Analysis of Faults and Effects».
- Check list.
- Scenario analysis.
We will explain some of these tools in more detail later.
Tools in the risk analysis phase.
Starting from the list that we obtained in the previous point, it is important to emphasize that, as a base in this stage of anáLysis we must make an identification of the controls already existing and implemented in the different processes of the company. It is important to keep in mind that we can not stay here but we must go a step further to acquire a real image of the global state and not fall into a false sense of security. First and with the bases already established, we have to estimate the impact of All risks identified and their probability taking into account the controls and combining both variables to be able to identify the level of risk. For this purpose, for example, the cause-effect tool can be used.
- Technique Brainstorming Or brainstorming.
- Delphi Value Method at Risk (VaR) Markov Analysis Vulnerability Assessment Business impact analysis in cases of service interruption in financial and reputational aspects.
Lastly at this stage, to evaluate the effectiveness of controls already We have established in the company we can use, for example: Bow TieACCPPLayer of Protection Analysis Technique or LOPWe will explain some of these tools a little more in detail later. Tools in the phase of risk assessment.We enter the last phase of the risk analysis in the That we have in mind all the data obtained in the two previous stages, especially in the analysis, to evaluate each one of the risks identified. For this we can use, for example: Technique Brainstorming or brainstorming Delphi method Pareto analysis, of which I have already spoken in the article «Pareto analysis as a tool for quality» .Level of risk or general view to some Of risk management tools. Throughout the article, I have been mentioning some tools that need to expand their definition a little more to gain a clearer vision of its importance and usefulness for effective risk management.
To do this, I will briefly explain four of these tools. Delphi Method The Delphi method, used in several stages of risk assessment, is based on the role of the experts and allows to obtain qualitative information about the future seeking the highest precision possible. To do this, it seeks to achieve consensus based on consultation with experts in an interactive dialogue and using questionnaires answered by each of the experts involved. It is a cyclical process that goes from a first round of questionnaires and analysis of results to a subsequent one in which a questionnaire is returned to the experts who already know the results of the previous feedback and is analyzed to return to a third round Of questionnaires and analysis, etc.Infography of the process of the method DelphiTechnica HAZOP The HAZOP technique or Functional Analysis of Operability is based on the premise that all accidents or unwanted situations occur as a consequence of a deviation of the different or one of the Variables with respect to the normal parameters of the process.
For this purpose, a «guide words» are analyzed, the causes and consequences that are produced to reach conclusions that allow to reduce these accidents. Scenario Analysis The Scenario Analysis evaluates possible future events considering a possible results and their implications . It is a prediction technique that poses possible scenarios taking into account factors of greater incidence that will possibly affect the scope of the objectives marked. Bow Tie Technique Finally, the Bow Tie technique is based on describing in a schematic way a risk and its route from the Beginning in its cause to its future consequences, carrying out in all the stages an analysis of all the relevant aspects.[:]