Mitigación de riesgos

Para alcanzar el éxito en sus objetivos y ambiciones, las organizaciones necesitan evaluar y revisar de forma constante los productos y servicios que ofrecen, los procedimientos empleados en sus operaciones y cadenas de suministro, así como el impacto de las exigencias de las partes interesadas y de la normativa aplicable. Todas estas áreas plantean posibles riesgos que las organizaciones deben abordar mediante estrategias eficaces de mitigación de riesgos. Además, están surgiendo continuamente nuevos riesgos y amenazas, como la ciberseguridad y los distintos impactos medioambientales. Para hacer frente a estos riesgos, un número cada vez mayor de organizaciones implanta sistemas de gestión conformes con normas desarrolladas por organismos como ISO (Organización Internacional de Normalización). Estas normas cubren aspectos como la calidad, la seguridad, la seguridad de la información, el medio ambiente, entre otros. Los sistemas de gestión ISO ayudan a las organizaciones a implantar una planificación y mitigación de riesgos estructuradas en las operaciones, los productos y las cadenas de suministro, dentro del ámbito del sistema de gestión ISO específico que se esté implementando.

¿Qué es la mitigación de riesgos?

La mitigación o tratamiento del riesgo es un componente clave del proceso más amplio de gestión de riesgos y tiene como objetivo específico seleccionar e implementar opciones para abordar los riesgos. Se refiere al proceso de planificar ante acontecimientos imprevistos y disponer de mecanismos para reducir los impactos negativos. Aunque el principio de la mitigación de riesgos es preparar a una organización para todos los riesgos potenciales, un plan adecuado de tratamiento o mitigación del riesgo evaluará el impacto de cada riesgo y priorizará la planificación en función de dicho impacto.

La gestión de riesgos y la mitigación, como componente clave de la primera, son un requisito de la mayoría de las normas ISO; además, ISO ha desarrollado una norma de orientación – ISO 31000 – para ayudar a las organizaciones en su implementación. Esta norma proporciona directrices sobre cómo las empresas pueden integrar la toma de decisiones basada en el riesgo en la gobernanza, la planificación, la gestión, los informes, las políticas, los valores y la cultura de la organización.

¿Por qué es importante la mitigación de riesgos?

El proceso de mitigación de riesgos es crucial por muchas razones. No todos los riesgos pueden evitarse, por lo que, al analizar los riesgos dentro del proceso de gestión de riesgos, las organizaciones deben desarrollar planes para gestionar, eliminar o reducir los impactos en la medida de lo posible si se produce un riesgo concreto. En esencia, la mitigación de riesgos consiste en los procesos planificados previamente que una organización activa cuando ocurre algo fuera de lo habitual.

El proceso de gestión de riesgos debe identificar cómo proteger a las personas y los activos, garantizar la continuidad del negocio y la resiliencia, mantener la estabilidad financiera, preservar la reputación y la confianza pública, cumplir con los requisitos legales y reglamentarios y mejorar las capacidades de toma de decisiones.

Las etapas del proceso de mitigación de riesgos

El proceso es dinámico y requiere un seguimiento y una revisión continuos y periódicos para adaptarse a los nuevos riesgos y a los cambios que puedan surgir:

1. Identificación de riesgos: Identificar los riesgos potenciales que puedan afectar a las operaciones, los activos, las personas o la reputación. Estos riesgos pueden ser internos, como ineficiencias en los procesos, o externos, como cambios normativos o amenazas cibernéticas.
2. Análisis de riesgos: Los riesgos deben analizarse para comprender su impacto potencial y su probabilidad.
3. Priorización de riesgos: Algunos riesgos suponen una amenaza mayor que otros, y la priorización de riesgos ayuda a las organizaciones a centrar sus recursos en aquellos que deben abordarse en primer lugar.
4. Análisis y evaluación de riesgos: Una vez que los riesgos han sido analizados y evaluados, las organizaciones deben decidir cómo abordarlos. Esto puede implicar la evitación, la reducción, la transferencia o la aceptación de los riesgos, en función de su naturaleza y de su impacto potencial.
5. Seguimiento y revisión de riesgos: El seguimiento continuo y las revisiones son importantes para garantizar que las estrategias de mitigación de riesgos sigan siendo eficaces y que los procesos del sistema de gestión se ajusten según sea necesario.

Tipos de mitigación de riesgos

En el ámbito de la gestión de riesgos, comprender los distintos tipos de mitigación de riesgos —como la evitación del riesgo, la transferencia del riesgo, la reducción del riesgo y la aceptación del riesgo— es fundamental para desarrollar una estrategia integral.

Cada uno de los cuatro tipos de mitigación de riesgos se dirige a áreas específicas de preocupación, desde fallos técnicos hasta desajustes estratégicos, y requiere enfoques adaptados para gestionar eficazmente las amenazas potenciales. Al clasificar los riesgos en tipos diferenciados, las organizaciones pueden asignar los recursos de manera más eficiente e implementar tácticas de mitigación específicas que se alineen con sus objetivos operativos, financieros y estratégicos particulares.

Evitar el riesgo

Modificar los planes para eliminar el riesgo o la condición que lo genera. Por ejemplo, si un proyecto implica trabajar en altura, el uso de métodos alternativos que no requieran trabajar a esas alturas puede evitar el riesgo de caídas.

Transferencia del riesgo

Trasladar el riesgo a un tercero, por ejemplo, mediante seguros o la externalización. Por ejemplo, una empresa puede contratar un seguro para cubrir posibles pérdidas derivadas de un ciberataque, transfiriendo el riesgo financiero al asegurador. Este ejemplo puede ampliarse mediante la externalización de la ciberseguridad y la contratación de otra parte para gestionar este aspecto del negocio de la organización. La externalización de elementos de gestión es bastante habitual en las empresas.

Reducción del riesgo

Adoptar medidas para reducir la gravedad o la probabilidad del riesgo. Una empresa de TI puede implantar protocolos de seguridad sólidos y cifrado para mitigar el riesgo de violaciones de datos. Otro ejemplo es el de una empresa que considera que su política de producción o entrega justo a tiempo se ha visto comprometida y recurre al almacenamiento de un stock de seguridad para garantizar la continuidad de su actividad.

Aceptación del riesgo

Reconocer el riesgo y decidir aceptarlo sin una intervención activa. Esto puede ocurrir cuando el coste de tratar un riesgo es mayor que la pérdida potencial derivada del propio riesgo.

Estrategias de mitigación de riesgos y ejemplos

Una organización estará inevitablemente expuesta a varios riesgos empresariales típicos, entre los que se incluyen riesgos financieros, riesgos estratégicos, riesgos operativos, riesgos de cumplimiento, riesgos reputacionales, riesgos de seguridad de TI, riesgos de seguridad y salud en el trabajo, riesgos de mercado y de clientes, riesgos medioambientales, riesgos de calidad y riesgos tecnológicos. La combinación de estrategias de mitigación de riesgos para abordar cada uno de ellos implicará el debate entre todas las partes involucradas, incluidos los grupos de interés internos y externos, para determinar el enfoque óptimo.

Las estrategias de mitigación de riesgos son esenciales para gestionar y minimizar los riesgos dentro de una organización. Existen muchas estrategias que pueden adoptarse de manera individual o en combinación. Las estrategias para mitigar los riesgos diferirán entre las empresas y los ámbitos de negocio en los que participan; por lo tanto, es difícil generalizar qué planes de acción podrían utilizarse para mitigar los riesgos.

Las normas de sistemas de gestión de ISO, como ISO 90001 (calidad), ISO 50001 (energía), ISO 14001 (medioambiente) ISO 450001 (seguridad y salud laboral) ISO 22000 (seguridad alimentaria) e ISO 27001 (seguridad de la información), proporcionan orientación general sobre la gestión de riesgos.

La certificación conforme a estas normas por organismos de certificación independientes permite a las organizaciones demostrar su compromiso con los clientes y las partes interesadas, generando confianza y, en algunos casos, proporcionando un acceso para poder operar comercialmente.

La norma ISO 31000, que proporciona principios y orientación para la gestión de riesgos, no es en sí misma una norma certificable, pero ofrece una orientación en profundidad que puede ayudar a las organizaciones a abordar el tema de la gestión y la mitigación de riesgos de una manera estructurada. Los organismos de certificación de terceros, como DNV, pueden ayudar a las empresas con formación y certificación en las normas que sí son certificables.