Tanto la evaluación como el plan de respuesta a riesgos se deben revisar periódicamente. Esto es debido a que la gestión de riesgos es una tarea siempre vigente porque estos son dinámicos. Siempre tenemos que estar alerta ante la aparición de nuevos riesgos, al cambio de algunos de ellos, y, algunas veces, a la extinción de otros.
En este proceso cíclico, el plan de respuesta a riesgos debe atender a los resultados de la evaluación, que, a su vez, se fundamentan en la identificación precedente. Y reaccionar en consecuencia de modo proporcionado.
¿Porque es necesario actualizar el plan de respuesta a riesgos?
Veamos un ejemplo: una organización identifica el riesgo de que sus archivos, guardados en las instalaciones, puedan perderse como consecuencia de un incendio, una inundación u otro fenómeno natural.
La evaluación del riesgo da como resultado que es de probabilidad media, con un muy alto impacto negativo en caso de ocurrir. Así, la organización, dentro de su plan de respuesta a riesgos, decide que puede minimizarlo y compartirlo.
Gracias a las acciones emprendidas, la organización digitaliza toda su información, contrata un software de gestión ubicado en la nube, que le garantiza backups varias veces al día. Y, por si acaso, los archivos aún se conservan en papel, en dependencias seguras fuera de las instalaciones de la organización.
Con ello, en la evaluación de riesgos un año después, se determina que ese riesgo ha dejado de existir. Pero se tienen que tener en cuenta, ahora, otros: el de pérdida de la información en la nube o el de que el proveedor tenga problemas para cumplir con su obligación de obtener copias diarias de los archivos. Este nuevo es un riesgo de baja probabilidad de ocurrencia, que tendría un impacto mínimo, pues la organización ha decidido conservar copias en otra ubicación, y, además, siempre contará con los archivos originales en papel.
Como vemos los riesgos son dinámicos: mutan, aparecen, desaparecen, aumentan o disminuyen su probabilidad de ocurrencia y también su impacto. Por ello, la tarea de implementar un plan de respuesta a riesgos se realiza de forma periódica de modo anual o semestral.
4 Estrategias para seguir en un plan de respuesta a riesgos
Las estrategias dentro de un plan de respuesta a riesgos tienen que ver básicamente con el apetito de riesgo de la organización. Esto significa que, al igual que algunas personas buscan la seguridad de un empleo estable para toda la vida y otras se lanzan a la aventura, unas organizaciones prefieren “digerir” algunas cosas y otras no.
Así, ya sea por su naturaleza, por el sector económico en el que se desenvuelvan o sencillamente por su política de negocios, pueden estar dispuestas a “vivir en el peligro” o, en caso contrario, a trabajar en un paraíso de seguridad.
En cualquier caso, siempre es necesario contemplar 4 estrategias a las que acuden los profesionales a la hora de formular un plan de respuesta para el tratamiento de los riesgos:
Estrategia 1. Evitar o eliminar el riesgo
En este caso, se implementan las acciones para hacer que las condiciones o los factores que pueden generar el riesgo desaparezcan, y con ellos, el riesgo. Esta es una opción para aquellos casos de alta probabilidad de ocurrencia, con un muy alto impacto negativo.
Al formular un #PlanRespuestaRiesgos podemos hacer uso de algunas estrategias. Conozcamos hoy las cuatro principales. Clic para tuitearEstrategia 2. Reducir o mitigar
No siempre es posible eliminar el riesgo. O, quizás, eliminarlo completamente resulta mucho más costoso que las consecuencias negativas de que este llegara a suceder. En esos casos, procedemos a implementar acciones para reducir o mitigar.
En los supermercados, el robo por parte de los clientes o de los empleados es una circunstancia latente, de alta probabilidad y, sumados todos los casos, de alto impacto económico. Pero es muy difícil de eliminar. Es el típico riesgo que se trata con acciones que disminuyen su efecto: guardias de seguridad, cámaras…
Estrategia 3. Transferir o compartir
Esto significa que pasamos el problema a alguien más. En nuestro primer ejemplo sobre el peligro de los archivos, la organización no cuenta inicialmente con las herramientas y los mecanismos para preservar con seguridad su información documentada. Así, decide “transferir” el problema a proveedores.
Pero esta no es la única forma de transferir o compartir un riesgo. La más usual es contratar una póliza de seguros que indemnice a la organización en caso de que se presente el problema.
Estrategia 4. Aceptar el riesgo
Finalmente, cuando no tenemos otra opción, debemos aceptar el riesgo. Se trata de no hacer nada. Simplemente, sabemos que no tenemos como evitarlo y debemos convivir con él. Las organizaciones deciden aceptar un riesgo, cuando este es de muy baja probabilidad de ocurrencia. La posibilidad de que las instalaciones de la organización sean destruidas por un terremoto, es un ejemplo de ello.
Curso ISO 31000:2018 Gestión de Riesgos
Un riesgo a tener en cuenta es que en las organizaciones no existan profesionales formados en estándares internacionales sobre prevención y tratamiento de riesgos. Y este se puede evitar o eliminar fácilmente: mediante el Curso ISO 31000:2018 Gestión de Riesgos.
En él los profesionales aprenden a gestionar con herramientas metodológicas específicas los diferentes riesgos y oportunidades que pueden surgir. Además, cuentan con el acceso a recursos de gran utilidad y con la ayuda de expertos para resolver cualquier inquietud.
Consiga que su organización esté preparada ante cualquier riesgo realizando este curso con la Escuela Europea de Excelencia.
