La matriz de riesgos, herramienta para la evaluación de riesgos muy eficaz, es un modelo de estimación que, con base en dos ejes principales – Probabilidad e Impacto -, permite categorizar una serie de eventos que pueden afectar en forma negativa la operación de una organización.
La matriz de riesgos se puede elaborar con base en 5 ejes de probabilidad por 5 ejes de impacto. La matriz de 3 x 3 también es de uso frecuente. Cuantos más ejes consideremos, más precisos y delimitados serán los resultados.
Compartimos 4 consejos prácticos sobre cómo crear una matriz de riesgos eficaz, pero antes trataremos el tema de los ejes, Probabilidad e Impacto.
Matriz de Riesgos – Los ejes principales
La Probabilidad está relacionada con la frecuencia con que se presenta un evento. El Impacto tiene que ver con la severidad. Así, la probabilidad de que un satélite obsoleto caiga sobre las instalaciones de la organización, por ejemplo, es un riesgo de probabilidad menos que mínima, basados en el hecho de que ha ocurrido “cero” veces.
Sin embargo, es un evento que, en caso de ocurrir, tendría un impacto devastador y catastrófico. De acuerdo con esto, podríamos establecer una matriz de riesgos de 5 x 5 del siguiente modo:
Ejes de probabilidad
Casi seguro: riesgo inevitable imposible de evitar, por lo que vale la pena pensar en su impacto y las acciones necesarias para mitigarlo después de que ocurra.
Alto: la posibilidad de que se produzca el riesgo es grande y con frecuencia realmente sucede.
Media: probabilidad de ocurrencia ocasional. Aún es necesario planear acciones de mitigación, pero no con tanta urgencia como en los casos anteriores.
Baja: pocas posibilidades de que ocurra, aunque ha sucedido una que otra vez en otras organizaciones.
Rara: es extremadamente baja la probabilidad de que el evento ocurra. Solo que, como en nuestro ejemplo del satélite, alguna condición extraordinaria, lo haga subir de categoría, lo que cambiaría la categoría del riesgo.
Ejes de Impacto
Muy grave: puede paralizar la operación de la organización o tener consecuencias irreversibles.
Grave: compromete los resultados de la organización ocasionando serios retrasos o insatisfacción de los clientes.
Medio: pérdida momentánea de operabilidad que puede ser corregida, pero que puede tener impacto en el medio o largo plazo.
Leve: impacto casi imperceptible en los objetivos de negocio de la organización, que pueden ser revisados con facilidad.
Sin impacto: no genera ningún problema para la organización y sus objetivos de negocio por lo que puede ser ignorado, a no ser que la frecuencia sea tan recurrente y cierta que amerite tomar alguna acción.
El curso #ISO31000:2018 enseña a sus estudiantes a crear, desarrollar y evaluar una #MatrizDeRiesgos. Aprenda cómo. Clic para tuitearConsejos para crear una matriz de riesgos
Con la información suministrada podemos crear el formato de la matriz de riesgos. Ahora vamos a desarrollarla. Veamos cuatro consejos básicos tomando como ejemplo un proyecto de implementación de un nuevo software en una organización:
Enumerar los principales riesgos identificados
Elaborar una lista de los riesgos identificados que pueden ocurrir durante la ejecución del proyecto. La lista puede provenir de informes históricos sobre gestión de riesgos, que pueden ser complementados con una lluvia de ideas de los encargados con base en su conocimiento y experiencia:
- Pérdida de información esencial por errores de los programadores.
- Falta de compatibilidad entre datos antiguos y los del nuevo sistema.
- Falta de calidad del servicio prestado por la organización contratada (retrasos, mala programación…).
- Avisos tardíos a los usuarios del sistema sobre los cambios, que generan confusión y fallas.
- Sistema fuera de línea por un espacio de tiempo considerable paralizando la operación.
- Ajustes no realizados dentro de los plazos previstos, ocasionando quejas y malas experiencias de los clientes.
- Uso indebido de la información a la que han accedido empleados del contratista encargado del proyecto.
Elaborar una matriz de riesgo para cada evento
Al elaborar una matriz para cada uno de los eventos identificados, se genera un riesgo único para cada uno de ellos, lo que facilita la comprensión y la visibilidad de la probabilidad y el impacto.
En nuestro ejemplo, podemos tomar el riesgo perdido de información esencial por errores de los programadores, como un riesgo de probabilidad media (3 puntos), con un impacto grave (4 puntos), lo que le otorga 12 puntos en la matriz de riesgos.
Analizar los riesgos más relevantes
Uno de los beneficios de utilizar una matriz de riesgos es que nos permite categorizar los riesgos para no pasar tiempo en la evaluación de eventos poco relevantes.
Por supuesto, puede suceder que todos los eventos identificados generan riesgos de impacto muy grave y alta probabilidad de ocurrencia. De ser así, lo recomendable es revisar toda la gestión de riesgos en la organización porque seguro algo va muy mal.
Diseñar medidas para tratar los riesgos
Ahora que tenemos una evaluación categorizada de los riesgos identificados, podemos formular estrategias de tratamiento que puedan minimizar la probabilidad o reducir el impacto.
Siguiendo nuestro ejemplo, para el riesgo de falta de compatibilidad entre datos antiguos y el sistema nuevo, una acción de tratamiento puede ser realizar reuniones de alineación entre los usuarios de la organización y el equipo técnico del contratista para verificar los puntos críticos de la migración antes de que esta se produzca.
Al finalizar, pueden quedar riesgos que no admiten ningún tipo de gestión. Estos riesgos se pueden compartir o tolerar.
En adelante, solo es necesario el seguimiento constante. Dependiendo del tamaño y la duración del proyecto, se puede hacer en la medida en que se completen etapas. Cuando se trata de un Sistema de Gestión de riesgos, la actividad es dinámica y debe ser revisada desde el primer paso – identificación de riesgos – varias veces en cada ciclo.
Curso ISO 31000:2018 Gestión de Riesgos
La gestión de riesgos requiere utilizar herramientas de evaluación como la matriz de riesgos. Aprender a usar este y otros modelos de eficiencia comprobada, es una de las competencias que adquieren los estudiantes del Curso ISO 31000:2018 Gestión de Riesgos.
ISO 31000:2018 es el estándar sobre gestión de riesgos publicado este año por ISO. Se trata del enfoque más moderno y avanzado sobre el tema, a disposición de las organizaciones que han implementado sistemas de gestión basados en las normas ISO. Usted puede conocerlo y dominarlo inscribiéndose aquí.
