Planes de actuación en ERM

Para cerrar la última entrada en la que os hablábamos de las matrices de riesgos, nos faltaba aclarar los términos Mitigación, Investigación y Monitorización que aparecían en la matriz que os pusimos de ejemplo.

Tras la fase de análisis de riesgo que se suele llevar a cabo con este tipo de matriz, el siguiente paso para hacer una correcta gestión del riesgo corporativo suele ser la fase de planificación.

En esta fase es necesario establecer los planes de actuación asociados a cada riesgo o grupo de riesgos. Para ello es necesario investigar el riesgo en detalle, establecer indicadores cualitativos y cuantitativos que permitan describirlo y conocer su tendencia.

También se establecen los planes de contingencia por si fallan los de actuación. Estos planes normalmente entrarán en juego cundo se sobrepasen los umbrales de alarma establecidos.

Para diseñar los planes de actuación y de contingencia suele ser una buena práctica clasificar los riesgos según su situación en la matriz de riesgo. En el ejemplo de la entrada anterior utilizamos una clasificación tradicional en la que se distiguían tres tipos de riesgos:
  • Riesgos que necesitan Mitigación. En este caso los planes de actuación son correctivos e intentan utilizar estrategias de evitación o minimización de los riesgos.
  • Riesgos que necesitan Investigación. Los planes de actuación que se diseñan para estos riesgos son planes de actuación preventivos en los que la estrategia es transferir o compartir el riesgo con un proveedor, un cliente, un socio, etc.
  • Riesgos que necesitan Monitorización. En esta última categoría se encuentran los riesgos que necesitan planes de actuación detectivos, es decir, cuyo tratamiento y gestión se basa en estrategias de aceptación debido a su baja probabilidad de ocurrencia o a su impacto mínimo en la organización.
Las fases de identificación de riesgos, análisis y planificación ya tratadas en todas estas entradas dedicadas al ERM en este blog hasta el momento, se realizan off-line sin ningún tipo de exigencia de tiempo real. Sin embargo para completar un ciclo de gestión de riesgo son necesarias fases de monitorización, control, comunicación, etc. En general son fases que se realizan on-line, en tiempo real, y que necesitan apoyarse en un plan estratégico de gestión del riesgo, en procesos de mejora continua y hoy en día, en casi todos los casos, en algún tipo de plataforma tecnológica.

Si os interesa el tema, podemos tratarlo en entradas futuras.


No hay comentarios: