Matriz de Riesgos. Qué es y cómo elaborarla correctamente.

Matriz de Riesgos

La matriz de riesgos es una de las piezas clave para una gestión de riesgos corporativos eficaz y su elaboración debe realizarse correctamente, ya que establece la base sobre la que se construirá la estrategia de gestión de riesgos empresariales.

Una Matriz de Riesgos Empresariales, hace posible que las organizaciones puedan valorar, monitorizar y controlar las posibles situaciones de riesgo que pueden afectar a la consecución de objetivos.

Cualquier organización está expuesta a riesgos y su gestión cada vez está más extendida en todo el mundo. Una matriz de riesgos empresariales permite tener en cuenta y gestionar todos los riesgos. Esto implica unificar los diferentes tipos de riesgo a los que se enfrenta la organización. Una matriz de riesgos corporativos permitirá tenerlos todos presentes a la hora de tomar decisiones y planificar el futuro.

¿Qué es una matriz de riesgos corporativos?

Una matriz de riesgos está compuesta por filas y columnas en las que se representan, por un lado la frecuencia y por otro el impacto, con una escala de menor a mayor. Gracias a esta clasificación se pueden incluir los distintos riesgos identificados y mediante colorimetría establecer prioridades, gestionar los que sean necesarios y definir las estrategias y líneas de acción de forma que minimicemos el impacto o eliminemos el riesgo.

En esta matriz se pueden representar cualquier riesgo, ya sea de operación (riesgos operacionales), tecnológicos, de proceso, implementación o de procesos. Con esta representación, la dirección de la organización y los responsables de área o procesos podrán tenerlos en cuenta para tomar las decisiones adecuadas.

En cualquier caso, para una óptima definición y, más importante aún, para una gestión de riesgos excelente, siempre es recomendable tener un software ERM que facilite la gestión de la gran cantidad de información que una gestión de riesgos implica.

Pasos para elaborar una matriz de riesgos.

Para hacer una matriz de riesgos es fundamental escoger un marco de trabajo en materia de gestión de riesgos como pueden ser el estándar ISO 31000 o COSO. Cualquiera de ellos es válido si bien se pueden complementar con otros estándares y metodologías como la ISO 27005 si hablamos de Riesgos de Seguridad de la Información, PMI si hablamos de riesgos en proyectos.

Para reflejar estos riesgos en un mapa de riesgos o matriz de riesgos, deberemos seguir los siguientes pasos:

1.- Identificar los riesgos y clasificarlos.

La identificación de riesgos corporativos es un paso clave ya que de este primero dependerá el que en el futuro nada pueda sorprender a la organización y, pase lo que pase, al menos una mitigación del impacto será posible. Tenga en cuenta que un riesgo no identificado no se puede prever, simplemente no lo tendremos en nuestro radar y puede impactar en la organización con toda la severidad posible.

Deberemos cuidarnos de identificar demasiados riesgos y procurar ceñirnos a la industria y sector de actividad ya que es fácil que finalmente contemos con demasiados riesgos innecesarios y compliquemos la gestión en exceso.

Esta identificación se basa en un proceso muy sencillo, pensar ¿Qué puede pasar? en todos los ámbitos y atendiendo a las fuentes de generación de riesgos posibles. Para la identificación de riesgos es útil contar con una clasificación de tipos de riesgo para no saltar ninguno importante:

Riesgos Internos:

• En productos y servicios
• En comunicación, tanto externa como interna.
• En la estructura organizacional.
• En la seguridad de la información o la tecnología existente.
• Riesgos de incumplimiento legal
• Riesgos económicos
• Riesgos en RRHH

Riesgos Externos:

• Catástrofes naturales.
• Normativa legal y reglamentaciones.
• Riesgos en proveedores o cadena de suministro.
• Competidores, tanto por nuevas entradas como por cambios estratégicos de los actuales.
• Cambios en la demanda potencial o las preferencias de los clientes.

Para la identificación de riesgos internos es útil el análisis en profundidad de los procesos, ya sea mediante entrevistas a los líderes de proceso, observación o evaluación del mapa de procesos establecido

Cada riesgo identificado deberá contar con una serie de información en una ficha diseñada exprofeso para la organización. Utilizar plantillas sería correcto pero siempre necesitarán ajustes a la realidad de la organización. La información a incluir para cada riesgo corporativo será, al menos:

• Nombre del riesgo
• Descripción del riesgo
• Clasificación del riesgo
• Causas del riesgo
• Consecuencias o impactos del riesgo

2.- Priorizar riesgos identificados.

La actitud frente al riesgo es clave para priorizarlos. Nos referimos a cómo la organización afronta y gestiona los riesgos dependiendo de tres factores clave.

• Apetito de riesgo: en referencia el grado de incertidumbre que la organización está dispuesta a asumir.
• Tolerancia al riesgo: no todas las organizaciones tienen la misma capacidad de resistir ante un posible impacto. Si se trata de una organización de gran tamaño, solvente y con liquidez podrá tolerar el riesgo de mejor forma que una pequeña startup que recién sale al mercado con pocos recursos.
• Umbral de riesgo: es el límite que la propia organización establece para cada riesgo específico, definiendo el nivel sobre el cual se rechazará el riesgo y se pondrán en marcha los mecanismos correspondientes y el nivel por debajo del cual la organización aceptará el riesgo.

3.- Evaluar la frecuencia, probabilidad e impacto

En este punto comenzaremos a ver la matriz de riesgos más cerca de estar conformada. Para ello definiremos la frecuencia y el impacto para cada riesgo identificado y priorizado, teniendo en cuenta que:

Frecuencia: la frecuencia del riesgo es una referencia a la probabilidad de que ese riesgo se materialice y en este sentido se clasificará al riesgo en función de una escala, habitualmente de cinco valores aunque esto varía en función del marco de trabajo empleado. Normalmente se utilizará Improbable, posible, ocasional, probable, o frecuente.

La frecuencia también se puede establecer en función de porcentajes, estableciendo que si la probabilidad de que ocurra está entre el 80,1% y el 100% será muy alta y si está entre el 0 y el 20% será muy baja.

Impacto: es la referencia de las consecuencias o conjunto de las mismas a las que la organización debería hacer frente en caso de materializarse el riesgo. En cada caso la organización deberá establecer que le implicaría y que capacidad de continuidad de negocio tendría.

De nuevo, al igual que con la frecuencia, utilizaremos una escala de cinco valores aunque también puede variar en función del marco de trabajo utilizado para la gestión de riesgos. Habitualmente los valores serán: insignificante, leve, moderado, alto, catastrófico, otorgando a cada uno de ellos, respectivamente, un valor (del 1 al 5).

4.- Representar gráficamente los riesgos identificados

La matriz de riesgos contará con una representación de la frecuencia en el eje Y, de menor a mayor y una representación del impacto en el eje X, también de menor a mayor. Dependiendo de la metodología de nuevo tendremos matrices de 9 cuadrículas, 16 o 25.

Ubicaremos cada riesgo en función de la puntuación obtenida en lo que respecta a frecuencia e impacto y el resultado de la multiplicación del valor de la frecuencia por el impacto, nos proporcionará el valor de Riesgo Residual. A este valor se le asignará un valor en colorimetría, partiendo del verde para un valor de Riesgo Residual muy bajo y rojo para un Riesgo Residual muy alto.

El resultado debería ser algo similar a la imagen que podemos ver a continuación, donde cada cuadrícula contendrá uno o varios riesgos corporativos que deberemos monitorizar y gestionar.

Fuente: https://www.isotools.us/2022/03/23/matriz-de-riesgos-que-es-y-como-elaborarla-correctamente/