La matriz de riesgos aparece en cualquier charla, tratado o texto sobre Gestión de Riesgos. Es sin duda una metodología que cuenta con amplia aceptación debido a la visión gráfica que entrega sobre la verdadera magnitud de las amenazas consideradas.
La matriz de riesgos, para un profesional en esta área, equivale al escalpelo para un cirujano o el telescopio para un astrónomo. El experto en riesgos lleva su matriz siempre bajo el brazo, porque es la herramienta que le permite obtener información inmediata para tomar decisiones informadas ante la incertidumbre generada por amenazas aún no evaluadas.
La información visual que proporciona la matriz de riesgos permite optimizar procesos de asignación de recursos, agregando valor a la gestión, que adquiere así la capacidad para identificar amenazas en tiempo real, abordarlas y tratarlas con éxito.
La visión gráfica que entrega la matriz de riesgos incorpora datos y elementos de discusión que permiten a los interesados entender lo que pasa, comprender la dimensión del riesgo y tomar decisiones inmediatas.
Una característica que realza la importancia de la matriz es su funcionalidad en Sistemas de Gestión de Riesgos automatizados y digitalizados, o en los tradicionales en papel o basados en hojas de cálculo. Por supuesto, la digitalización y la Transformación Digital tienen la posibilidad de potenciar el trabajo de la matriz de riesgos y alcanzar niveles de rendimiento sorprendentes.
¿Cuáles son los elementos de una matriz de riesgos?
En cuanto a la metodología, la matriz de riesgo no implica mayores complejidades: se trata de una herramienta de cálculo que ordena de forma visual el impacto negativo que implican varios riesgos.
Esta metodología de evaluación es dúctil y aplicable en cualquier circunstancia o condición. Un experto en gestión de riesgos en un escenario excepcional, alejado de la tecnología o de algún dispositivo electrónico, podría elaborar sobre una hoja de papel una matriz de riesgos que le permita entender un panorama complejo y tomar las mejores decisiones sobre la marcha.
La matriz de riesgos, como ya se advirtió, también puede ser programada y automatizada si se cuenta con una plataforma que digitalice el Sistema de Gestión. En cualquier circunstancia, el modelo necesita definir algunos parámetros y obtener información mínima:
1. Categorías de riesgos
Es un parámetro que define la organización de acuerdo con su contexto. Existen diferentes categorías de riesgos: empresarial, operativo, reputacional, común, financiero, legal, de cumplimiento…
La organización necesita definir las categorías que son de su interés y en las que presenta alguna vulnerabilidad. No es una buena idea mezclar riesgos de diversas categorías en una sola matriz.
2. Probabilidad de impacto
Es un dato específico asociado a cada riesgo evaluado o considerado dentro de la matriz. La probabilidad se refiere a la posibilidad real de que un riesgo ocurra. Puede utilizar un indicador cuantitativo o cualitativo. El indicador cuantitativo necesita registros e informes de diversas fuentes, y por ello suele ser utilizado en Sistemas automatizados.
Por supuesto, la categorización con base en indicadores cuantitativos es mucho más exacta. El indicador cualitativo usualmente considera tres niveles: alto, medio y bajo.
3. Impacto negativo
El impacto se refiere a la capacidad para ocasionar daño que implica el riesgo. También puede ser clasificado con base en indicadores numéricos o cualitativos. En este caso funciona mejor la descripción cualitativa: alto, medio y bajo.
4. Escala de calificación
La matriz de riesgos es en esencia una tabla que opera sobre variables en dos ejes: uno vertical y otro horizontal. Así, la escala de clasificación puede ser de 3 x 3, 4 x 4, 5 x 5, o tantas variables como considere necesarias el profesional en Gestión de Riesgos. Más variables, mayor exactitud y mejor visibilidad del panorama.
Aprende a crear una #MatrizRiesgos en tres sencillos pasos y crea el marco de seguridad que tu organización requiere #RiskManager #ISO31000 Clic para tuitear¿Cómo crear una matriz de riesgos en tres pasos?
Con los parámetros mencionados definidos, la tarea de crear la matriz de riesgos no requiere mayor trabajo. Se hace en tres pasos:
1. Establecer los riesgos
El primer paso es hacer un inventario de los riesgos que se evaluarán en la matriz. Si La matriz se desarrolla siguiendo un cronograma de evaluación de riesgos preestablecido, los profesionales encargados ya sabrán cuáles son los tipos de riesgos que conformarán la lista.
Algunas evaluaciones se hacen para proyectos específicos o atendiendo situaciones de emergencia inmediatas. El desarrollo o puesta en el mercado de un producto nuevo, es un buen ejemplo del primer caso.
2. Determinar el impacto y la probabilidad
Con la lista de riesgos a evaluar, lo que sigue es determinar el impacto y la probabilidad para cada riesgo. En los elementos básicos ya se definió que tipo de indicador se utilizará.
Es el paso que mayor capacidad de análisis requiere. El impacto, por ejemplo, necesita considerar afectación financiera, reputacional e incluso, sobre la integridad de las personas.
3. Incorporar los datos a la matriz
Lo que resta es incorporar los datos en la matriz, de acuerdo con la calificación y la puntuación obtenidas. La puntuación es el resultado de multiplicar la probabilidad por el impacto. Este dato aparece en la casilla de intercepción de los dos ejes.
Una forma interesante y atractiva para presentar la matriz es asignado colores de acuerdo con la escala de clasificación. Si se ha elegido una matriz de 3 x 3, los colores serán tres. Si la elección ha sido 4 x 4, los colores serán cuatro y así de forma sucesiva.
Elaborar la matriz para evaluación de riesgos es una de las tareas más interesantes en el área de Gestión de Riesgos. El procedimiento confirma que se puede realizar sin ningún apoyo electrónico o digital, utilizando hojas de cálculo o automatizando la tarea mediante el uso de una plataforma diseñada para ese fin.
Por supuesto, la última opción es la más recomendable. El complemento final para asegurar el éxito de esta y otras tareas en el área de Gestión de Riesgos es la formación adecuada.
Diplomado en Risk Manager
Matrices de riesgos, modelo DOFA y otro tipo de metodologías para evaluación de amenazas son conceptos básicos aprendidos por los alumnos del Diplomado en Risk Manager.
Pero el programa va mucho más allá: técnicas y estrategias sofisticadas, tratamiento de riesgos del tipo cisne negro, Sistemas de Gestión basados en la norma ISO 31000, auditoría de Sistemas de Gestión de Riesgos, son, entre otros muy interesantes, temas abordados por la formación.
Si a esto sumamos la interacción con alumnos en otros continentes y con docentes con reconocimiento internacional en el área, nos encontramos con el programa más completo y profundo disponible en la modalidad e-learning. Hoy tienes la oportunidad de liderar el equipo de Gestión de Riesgos en tu organización: inicia aquí.
