Hace unos días comentaba con un compañero el concepto de «apetito de riesgo» y de cómo, dependiendo de él, las organizaciones y personas pueden tomar un tipo de decisiones u otras bajo las mismas circunstancias.
El riesgo es una parte inherente de la vida y los negocios. Cada decisión que tomamos lleva consigo un cierto nivel de riesgo que debemos evaluar. Pero, ¿por qué unas personas toman un tipo de decisiones y otras personas otro bajo unas mismas circunstancias? ¿Qué impulsa a una persona a invertir en bolsa o criptomonedas y a otra en fondos garantizados? El análisis del riesgo y la percepción del mismo se encargan de ello.
El apetito por el riesgo es la cantidad de riesgo que una persona u organización está dispuesta a aceptar para alcanzar sus objetivos. Es una medida del nivel de incertidumbre que están dispuestos a manejar. Por ejemplo, una empresa de nueva creación puede tener un apetito de riesgo elevado, dispuesta a asumir riesgos significativos por la posibilidad de obtener grandes recompensas. Por otro lado, una empresa bien establecida podría tener un apetito de riesgo menor, prefiriendo asumir menos riesgos para mantener su posición actual en el mercado. En el mundo empresarial, el apetito de riesgo es una decisión estratégica que varía de una organización a otra. Del mismo modo, una persona soltera, joven y sin hijos será más propicia a cambiar a un trabajo en una startup que una persona establecida ya en un trabajo y con familia a su cargo. Su apetito de riesgo es distinto.
Muy relacionado con el apetito de riesgo nos encontramos con el concepto más conocido de gestión riesgos. La gestión de riesgos es el proceso de identificación, evaluación (cuantitativa y cualitativa) y priorización de riesgos, seguido de la aplicación coordinada y económica de recursos para minimizar, supervisar y controlar la probabilidad o el impacto del riesgo. En las organizaciones, estas amenazas, o riesgos, pueden provenir de una amplia variedad de fuentes, como la incertidumbre financiera, las responsabilidades legales, los errores de gestión estratégica, los accidentes o los desastres naturales.
La relación entre el apetito de riesgo y la gestión del riesgo radica en que el apetito de riesgo define los límites dentro de los cuales una organización o persona está dispuesta a operar en términos de riesgo, mientras que la gestión del riesgo se encarga de implementar estrategias y acciones para mantenerse dentro de esos límites establecidos. Dicho de otra manera, el apetito de riesgo establece el marco general, y la gestión del riesgo se encarga de operacionalizar y controlar los riesgos dentro de esos límites predefinidos.
El proceso de gestión de riesgos
La gestión de riesgos no es una acción puntual, sino que es un proceso iterativo. Normalmente, los pasos implicados son los siguientes:
- Identificación de riesgos: Implica el reconocimiento de las fuentes potenciales de riesgo que podrían afectar a la organización. Es una tarea de todos los integrantes de la organización, todas las personas pueden identificar riesgos a diferentes niveles.
- Evaluación de riesgos: Una vez identificados los riesgos, se procede a su evaluación para conocer el impacto potencial sobre la organización. Es muy importante que todos los riesgos se evalúen de la misma manera, siguiendo el mismo baremo para poder comparar entre ellos. Las herramientas de evaluación de riesgos, como las matrices de riesgos y los árboles de fallas, pueden ayudar a las organizaciones a visualizar y cuantificar los riesgos. En este paso es muy utilizada la matriz de riesgos. Se trata de una tabla donde se define la importancia del riesgo, teniendo en cuenta posibilidad de que ocurra frente a la gravedad de sus consecuencias. Cada organización debe definir qué es para ella cada valor, por ejemplo, una posibilidad baja se puede definir como «que ocurra una vez cada 10 años». Teniendo las definiciones de cada nivel, conseguiremos una evaluación más homogénea a lo largo de los riesgos.
- Mitigación de riesgos: Una vez detectados los riesgos y evaluado su impacto, se tratan de desarrollar estrategias para gestionar los riesgos y evitar o disminuir su impacto. Las estrategias pueden incluir transferir el riesgo a otra parte, evitar el riesgo, reducir el efecto negativo del riesgo o aceptar algunas o todas las consecuencias de un riesgo concreto (depende del apetito).
- Revisión de riesgos: Se trata de un proceso continuo en el que la organización examina y revisa periódicamente el plan de gestión de riesgos en función de los nuevos riesgos, los cambios en el riesgo o la eficacia de las estrategias de mitigación.
A pesar de que se hayan tomado medidas para reducir o eliminar el riesgo inherente, siempre hay un nivel de riesgo residual que subsiste, es lo que se denomina riesgo residual. El riesgo residual podemos definirlo como el nivel de riesgo que permanece después de que se han implementado medidas de control para mitigar los peligros en el lugar de trabajo o en una situación específica. La organización (la persona asignada) debe estar dispuesta a asumir ese riesgo residual.
Los marcos de gestión de riesgos, como el propuesto por la Organización Internacional de Normalización (ISO 31000:2018, Risk management), proporcionan un enfoque estructurado de la gestión de riesgos. En el caso del marco ISO, se incluyen los pasos: establecer el contexto, identificar los riesgos, analizar los riesgos, evaluar los riesgos, tratar los riesgos, y supervisar y revisar los riesgos. Aunque puede haber pequeñas diferencias en nomenclatura, casi todos los marcos abarcan las mismas etapas durante el proceso.
Una gestión eficaz de los riesgos requiere una cultura de concienciación sobre ellos y un compromiso de mejora continua. Las organizaciones deben establecer políticas y procedimientos claros de gestión de riesgos, proporcionar formación y recursos a los empleados, y revisar y actualizar periódicamente sus estrategias de gestión.
Comprendiendo el apetito por el riesgo, aplicando un proceso estructurado de gestión del riesgo y realizando evaluaciones periódicas, las organizaciones pueden tomar decisiones con conocimiento de causa y planificar el futuro con mayor confianza. Hay que recordar que el objetivo no es eliminar todos los riesgos; eso es imposible. El objetivo final es gestionar los riesgos de acuerdo con el apetito de riesgo y los objetivos empresariales.