Los criterios de riesgo son un punto de referencia importante para evaluar la importancia del riesgo. Vinculan la estrategia y la acción y te ayudan a determinar si estás asumiendo la cantidad adecuada de riesgo. Los criterios de riesgo también pueden dar permiso a los responsables de la toma de decisiones para asumir más riesgos con el fin de obtener el rendimiento adecuado y aprovechar eficazmente los recursos disponibles.

Sin embargo, por muy vitales que sean los criterios de riesgo para un programa de gestión de riesgos empresariales, a menudo quedan eclipsados por herramientas más visibles, como los mapas de calor y los indicadores clave de riesgo. Muchas organizaciones ven los criterios de riesgo como algo que funciona en segundo plano, y rara vez se toman tiempo para reexaminarlos o actualizarlos según las condiciones cambiantes.

Los criterios de riesgo bien elaborados también son complejos, y no son fáciles de desarrollar. Lleva tiempo y esfuerzo crear una vara de medir para comprender y conectar el apetito de riesgo, la tolerancia al riesgo y la estrategia. Pero si tu vara de medir no funciona, ¿cómo sabrás si estás asumiendo los riesgos adecuados para alcanzar tus objetivos estratégicos?

Un punto de referencia coherente

Los criterios de riesgo proporcionan una interpretación clara de la tolerancia al riesgo y la propensión al riesgo, ya que se alinean con tus objetivos generales. La naturaleza coherente de los criterios de riesgo elimina el sesgo cognitivo que puede colarse en momentos de incertidumbre. Y eso puede ayudarte a evitar hacer juicios precipitados que no te beneficien a largo plazo.

Los criterios de riesgo también establecen un lenguaje común para una comunicación eficaz sobre el riesgo, lo cual es importante, ya que estimular una conversación valiosa es una de las partes más importantes de un programa de ERM. Cuando la conversación pasa a la acción, los criterios de riesgo también pueden utilizarse para priorizar los recursos. Esto es especialmente útil en caso de objetivos contrapuestos.

Encontrar criterios de riesgo significativos

Para desarrollar criterios de riesgo, empieza por hacerte dos preguntas: ¿Cuánto riesgo asumes actualmente? ¿Y es aceptable ese nivel de asunción de riesgos?

Una vez que tengas respuestas precisas, puedes pasar a definir los criterios específicos para tu empresa. Ten en cuenta que los criterios de riesgo no son una herramienta estándar. Para que tengan sentido, los criterios de riesgo deben calibrarse con la estrategia, los objetivos, las medidas y la propensión al riesgo de tu empresa. Y revisa periódicamente tus criterios para asegurarte de que las condiciones actuales se reflejan en la forma en que priorizas los riesgos.

Aquí tienes seis pasos que te pueden servir de guía:

  1. Define tus objetivos estratégicos. ¿Cuáles son tus objetivos de crecimiento? ¿Dónde intentas mover el listón? ¿Qué otras cosas -por ejemplo, la seguridad, el medio ambiente, el cumplimiento de la normativa, tu reputación- valoras? Incluye las cosas que te importan y en las que gastas dinero, aunque no figuren explícitamente en tu estrategia.
  2. Elige medidas para tu cuadro de mando. ¿Qué métricas reflejan mejor el fracaso y el éxito? Habla con expertos y líderes de funciones de finanzas, RRHH, ventas, etc., y extrae medidas que importen y sean comprensibles al instante. Y si esos KPI no existen, aprovecha esta oportunidad para ponerlos en marcha.
  3. Define el acontecimiento. ¿Qué es un resultado indeseable o distinto del previsto? En algunos casos, un resultado que esté incluso un poco fuera de lo previsto puede provocar una espiral de desastres. Dedicar tiempo a visualizar las circunstancias indeseables te ayuda a evaluar el impacto que determinados acontecimientos pueden tener en tus operaciones, reputación y resultados.
  4. Identifica los puntos finales. ¿Qué sería una catástrofe? ¿Qué tipo de resultado contra cada una de tus medidas destruiría efectivamente tu estrategia y causaría un daño irreparable a la empresa? ¿Y qué tipo de sucesos sólo se considerarían problemáticos? El resultado más grave es tu límite o punto de anclaje.
  5. Determina la desviación intolerable. ¿Cuánta desviación de tu objetivo es aceptable y cuánta es inaceptable? ¿Qué indicadores te dirán cuándo te estás acercando a una desviación inaceptable? En algunos casos, puede que necesites profundizar más, aplicar otros criterios y evaluar el riesgo de manera más formal.
  6. Rellena los puntos entre riesgo tolerable e intolerable. Utiliza tu cuadro de mando, tus puntos finales y tus desviaciones para definir tus límites en cuanto a lo que es aceptable y lo que no, es decir, tu tolerancia al riesgo. Querrás examinar más detenidamente los riesgos que podrían superar de forma creíble tu umbral de tolerancia.

Otras consideraciones al elaborar los criterios de riesgo

Los criterios de riesgo también están determinados por fuerzas como la velocidad del riesgo. En el mundo de la gestión de riesgos, la velocidad es el intervalo de tiempo entre la aparición de un suceso y su máximo impacto.

Imagina una línea de tiempo que marque cuándo estalla algo, cuándo se detecta y cuándo repercute en la empresa. Para los riesgos de alta velocidad -como las ciberamenazas-, el suceso puede ocurrir tan rápidamente que no tienes tiempo de poner en marcha medidas para evitar que se produzca el daño. Los riesgos de baja velocidad -como un cambio en el panorama competitivo- se producen con el tiempo, lo que te da margen para mitigarlos.

Otra consideración son los controles que tienes establecidos para evitar que se produzca el riesgo o gestionar su impacto. ¿Están tus esfuerzos a la altura del riesgo? ¿Tienes planes? ¿Tienes personas responsables de ejecutar esos planes? ¿Estás comprobando que todo funciona correctamente? ¿Necesitas hacer algún ajuste? Si tienes estas cosas en marcha, puedes decir que un riesgo está totalmente controlado. El último paso es hacer que un tercero independiente compruebe periódicamente los controles relacionados con los riesgos más graves.

La última consideración es la probabilidad de que se produzca el riesgo. La forma más eficaz de evaluar la probabilidad es examinar tus riesgos en el contexto de cada uno de ellos. Presta especial atención a los riesgos que podrían producirse de forma creíble, en los que la preparación podría evitar que ocurriera o, al menos, limitar los daños.

¿Y ahora qué?

Puedes utilizar los criterios de riesgo en cualquier escenario en el que necesites evaluar o comunicar riesgos y oportunidades, como las evaluaciones de riesgos, los talleres de riesgos y la identificación de riesgos del proyecto. Una vez que hayas hecho este análisis y establecido tus criterios de riesgo, también eres libre de hacer las cosas de otra manera para asumir la cantidad adecuada de riesgo. En lugar de proteger tu reputación a toda costa, por ejemplo, puedes decidir que la recompensa de hacer ciertos cambios operativos que benefician a la empresa vale el riesgo de que no todos los empleados estén contentos con ello.

«Unos criterios de riesgo bien desarrollados son de gran ayuda en muchos aspectos de la ERM», explica Rob Quail, conocido autor y experto en ERM. «Los criterios de riesgo son tus puntos de activación que dicen que el riesgo debe comunicarse hacia arriba. Así se superan los prejuicios y se pueden comparar los riesgos. Luego puedes incorporar toda esa lógica a los procesos empresariales clave. Mejores conversaciones conducen a una mejor toma de decisiones sobre las prioridades».

Para saber más sobre ERM, descárgate nuestro ebook, Trazar el rumbo de la gestión del riesgo empresarial, y echa un vistazo al software ERM de Riskonnect .