La gestión de riesgos es una disciplina que busca identificar posibles problemas, evaluar el impacto de estos, y definir medidas de control o mitigación de estos. Quizá te estes preguntando: ¿Cómo sabemos cuáles son esos riesgos? ¿Qué podemos hacer ante cada uno? ¿Cómo decidir que riesgo encarar primero? y muchas otras cosas más.
Hoy te voy a compartir una herramienta super útil y sencilla para tomar decisiones sobre los riesgos que hayas identificado: la matriz de riesgos.
Identificar
Identificar riesgos puede ser una tarea compleja. Muchas veces somos muy conscientes de que es lo que podría pasar, pero otras veces lo desconocemo. Para hallar estos riesgos es importante definir el contexto sobre el cual vamos a estar analizando cada situación. Existen para esto varias técnicas de discovery:
- Análisis FODA (fortalezas, oportunidades, debilidades, amenazas).
- Análisis de objetivos y restricciones (calidad, presupuesto, tiempo, recursos, alcance).
- Entrevistas con los expertos o usuarios clave.
Analizar
Sea que los hayamos identificado o que tengamos una idea previa de los posibles riesgos, lo siguiente es analizarlos. Es acá donde entra la matriz de riesgos. Básicamente debemos clasificar los riesgos en dos aspectos: frecuencia y severidad.
- Frecuencia: responde a la pregunta “¿qué tan probable es que suceda?”.
Esto implica, en uno de los ejes de nuestra matriz clasificar cada riesgo en Muy improbable (1), No es probable (2), Posible (3), Probable (4) y Muy probable (5). Basta la experiencia previa o de terceros, en líneas generales, para determinar el aspecto de frecuencia. En otras situaciones, podemos crear simulaciones que colaboren a definir una frecuencia.
- Severidad: responde a la pregunta “¿qué tan grave es el efecto?”.
Esto implica, en el otro eje de nuestra matriz clasificar cada riesgo en Insignificante (1), Menor (2), Moderada (3), Importante (4) y Catastrófica (5). Para determinar la severidad los riesgos pueden analizarse a través del costo económico y empresarial, el RTO y PRO (tiempo de recuperación y punto de recupero), el modelo AMFE, etc. Mismo algunos marcos legales o restricciones, respecto a datos y seguridad, puede que no representen una pérdida económica, pero si sean críticos para la organización si llegasemos a tener un problema ahí.
Controlar
El control de riegos consiste en identificar una acción a tomar frente a los mismos. Esto debe planificarse de acuerdo con el impacto de los riesgos, dado por:
Impacto = Frecuencia x Severidad
Así, vas a poder priorizar aquellos riesgos que tengan un mayor impacto sobre los que no lo tienen, pudiendo gestionar de manera más efectiva los recursos que tengas disponibles. A su vez, conocer la frecuencia, la severidad, y el impacto general de los riesgos te permite determinar la estrategia a convenir para controlar el riesgo. Estás son:
- Evitar o eliminar: recomendado para riesgos muy frecuentes o de muy alta severidad.
- Reducir o mitigar: recomendado cuando eliminar el riesgo es más costoso que el impacto que genera, más allá de la frecuencia.
- Transferir o compartir: a través de pólizas transferir las consecuencias o impacto a otro organismo, tal como un seguro automovilístico.
- Aceptar: recomendado cuando el riesgo es de muy baja frecuencia o de muy bajo severidad, donde las pérdidas son despreciables.
Ejemplo
Este es un ejemplo de matriz de riesgo, donde cada casillero hace referencia a determinado valor de impacto. Entre impacto 1 y 6 podemos considerar riesgos bajos, que podrían aceptarse o transferirse. De 8 a 12, son riesgos de impacto mediano, donde mitigarlos suele ser una estrategia adecuada. A los riesgos de impacto 15 en adelante ya se los considera de alto impacto, y deben ser eliminados o, de ser muy constos, mitigados.
Te invito a que puedas armar tu propia matriz de riesgos, junto a tu equipo, y determinar una estrategia de control para cada uno. No solo te va a servir para evitar problemas a futuro, sino también para identificar oportunidades de mejora y crecimiento.