Los criterios de riesgo son un punto de referencia importante para evaluar la importancia del riesgo. Vinculan la estrategia y la acción y ayudan a determinar si se está asumiendo la cantidad adecuada de riesgo. Los criterios de riesgo también pueden autorizar a los responsables de la toma de decisiones a asumir más riesgos para obtener el rendimiento adecuado y aprovechar eficazmente los recursos disponibles.

Sin embargo, por muy vitales que sean los criterios de riesgo para un programa de gestión de riesgos empresariales, a menudo quedan eclipsados por herramientas más visibles, como los mapas de calor y los indicadores clave de riesgo. Muchas organizaciones ven los criterios de riesgo como algo que funciona en segundo plano, y rara vez se toman tiempo para reexaminarlos o actualizarlos en función de las condiciones cambiantes.

Los criterios de riesgo bien elaborados también son complejos y no son fáciles de desarrollar. Lleva tiempo y esfuerzo crear una vara de medir para comprender y conectar la propensión al riesgo, la tolerancia al riesgo y la estrategia. Pero si su vara de medir no funciona, ¿cómo sabrá si está asumiendo los riesgos adecuados para alcanzar sus objetivos estratégicos?

Un punto de referencia coherente

Los criterios de riesgo proporcionan una interpretación clara de la tolerancia al riesgo y la propensión al riesgo, ya que se alinean con sus objetivos generales. La naturaleza coherente de los criterios de riesgo elimina el sesgo cognitivo que puede colarse en momentos de incertidumbre. Y eso puede ayudarle a evitar tomar decisiones precipitadas que no le beneficien a largo plazo.

Los criterios de riesgo también establecen un lenguaje común para una comunicación eficaz sobre el riesgo, lo cual es importante ya que estimular una conversación valiosa es una de las partes más importantes de un programa de ERM. Cuando el debate pasa a la acción, los criterios de riesgo también pueden utilizarse para priorizar recursos. Esto es especialmente útil en caso de objetivos contrapuestos.

Encontrar criterios de riesgo significativos

Para desarrollar criterios de riesgo, empiece por plantearse dos preguntas: ¿Qué nivel de riesgo asume actualmente? ¿Y es aceptable ese nivel de riesgo?

Una vez que tenga respuestas precisas, puede pasar a definir los criterios específicos para su empresa. Tenga en cuenta que los criterios de riesgo no son una herramienta estándar. Para que tengan sentido, deben ajustarse a la estrategia, los objetivos, las medidas y la propensión al riesgo de su empresa. Y revise periódicamente sus criterios para asegurarse de que las condiciones actuales se reflejan en la forma de priorizar los riesgos.

Aquí tienes seis pasos que te pueden servir de guía:

  1. Defina sus objetivos estratégicos. ¿Cuáles son sus objetivos de crecimiento? ¿Dónde quiere mover el listón? ¿Qué otras cosas -por ejemplo, la seguridad, el medio ambiente, el cumplimiento de la normativa, su reputación- valora? Incluya las cosas que le importan y en las que gasta dinero, aunque no figuren explícitamente en su estrategia.
  2. Elija medidas para su cuadro de mando. ¿Qué métricas reflejan mejor el fracaso y el éxito? Hable con expertos y responsables de finanzas, recursos humanos, ventas, etc., y extraiga las medidas que importan y son comprensibles al instante. Y si esos KPI no existen, aprovecha esta oportunidad para ponerlos en marcha.
  3. Define el evento. ¿Qué es un resultado no deseado o no previsto? En algunos casos, un resultado que se salga un poco de lo previsto puede provocar catástrofes. Dedicar tiempo a visualizar circunstancias indeseables ayuda a evaluar el impacto que determinados acontecimientos pueden tener en las operaciones, la reputación y los resultados.
  4. Identifica los puntos finales. ¿Qué sería una catástrofe? ¿Qué tipo de resultado contra cada una de sus medidas destruiría efectivamente su estrategia y causaría un daño irreparable a la empresa? ¿Y qué tipo de acontecimientos sólo se considerarían problemáticos? El resultado más grave es su límite o punto de anclaje.
  5. Determinar la desviación intolerable. ¿Cuánta desviación del objetivo es aceptable y cuánta es inaceptable? ¿Qué indicadores le dirán cuándo se está acercando a una desviación inaceptable? En algunos casos, puede que tenga que profundizar más, aplicar otros criterios y evaluar el riesgo de manera más formal.
  6. Rellene los puntos entre riesgo tolerable e intolerable. Utilice su cuadro de mando, sus puntos finales y sus desviaciones para definir sus límites en cuanto a lo que es aceptable y lo que no, es decir, su tolerancia al riesgo. Conviene examinar más detenidamente los riesgos que podrían superar de forma creíble el umbral de tolerancia.

Otras consideraciones al elaborar los criterios de riesgo

Los criterios de riesgo también están determinados por fuerzas como la velocidad del riesgo. En el mundo de la gestión de riesgos, la velocidad es el intervalo de tiempo entre la aparición de un suceso y su máximo impacto.

Imagine una línea de tiempo que marque cuándo estalla algo, cuándo se detecta y cuándo repercute en la empresa. En el caso de los riesgos de alta velocidad, como las ciberamenazas, el suceso puede producirse tan rápidamente que no da tiempo a tomar medidas para evitar que se produzca el daño. Los riesgos de baja velocidad -como un cambio en el panorama competitivo- se producen a lo largo del tiempo, lo que le da margen para mitigarlos.

Otro aspecto a tener en cuenta son los controles de que dispone para evitar que se produzca el riesgo o gestionar su impacto. ¿Sus esfuerzos están a la altura del riesgo? ¿Dispone de planes? ¿Tiene personas responsables de ejecutar esos planes? ¿Comprueba que todo funciona correctamente? ¿Necesita hacer algún ajuste? Si se cumplen estas condiciones, se puede decir que el riesgo está totalmente controlado. El último paso es hacer que un tercero independiente compruebe periódicamente los controles relacionados con los riesgos más graves.

La última consideración es la probabilidad de que se produzca el riesgo. La forma más eficaz de evaluar la probabilidad es examinar los riesgos en el contexto de cada uno de ellos. Preste especial atención a los riesgos que podrían producirse de forma creíble y que podrían evitarse mediante la preparación o, al menos, limitar los daños.

¿Y ahora qué?

Puede utilizar los criterios de riesgo en cualquier situación en la que tenga que evaluar o comunicar riesgos y oportunidades, como evaluaciones de riesgos, talleres sobre riesgos e identificación de riesgos de proyectos. Una vez realizado este análisis y establecidos los criterios de riesgo, también tienes libertad para hacer las cosas de otra manera y asumir la cantidad de riesgo adecuada. En lugar de proteger su reputación a toda costa, por ejemplo, puede decidir que la recompensa de hacer ciertos cambios operativos que benefician a la empresa vale el riesgo de que no todos los empleados estén contentos con ello.

"Unos criterios de riesgo bien elaborados son de gran ayuda en muchos aspectos de la gestión del riesgo empresarial", explica Rob Quail, célebre autor y experto en gestión del riesgo empresarial. "Los criterios de riesgo son los puntos desencadenantes que indican que el riesgo debe comunicarse al alza. Así se superan los prejuicios y se pueden comparar los riesgos. A continuación, puede incorporar toda esa lógica a los procesos empresariales clave. Mejores conversaciones conducen a una mejor toma de decisiones sobre prioridades".

Para más información sobre ERM, descargue nuestro ebook, Trazando el rumbo de la gestión del riesgo empresarialy consulte la página web de Riskonnect Software de ERM.