🏠 Inicio ISO 9001:2015 ¿Cómo Se Hace Una Matriz De Riesgo? – Ventajas Y Desventajas
matriz de riesgos

¿Cómo Se Hace Una Matriz De Riesgo? – Ventajas Y Desventajas

Por Daniel Jimenez
477 vistas

La evaluación objetiva de los riesgos es una tarea critica; no todas las empresas disponen de recursos para tratar cada uno de los riesgos identificados; es por eso que los esfuerzos deben realizarse inteligentemente, existen herramientas como la matriz de riesgos que usando criterios cualitativos / cuantitativos nos permiten priorizarlos; veamos cómo hacer ésto.

Índice del contenido

¿Qué es una matriz de riesgo?

¿Qué uso le podemos dar?

¿Cómo utilizar matriz de riesgos?

Beneficios de una matriz de evaluación de riesgos… y sus desventajas.

Resumiendo, las cosas.

¿Qué es una matriz de riesgo?

Una matriz de riesgo es un gráfico que muestra la gravedad de un evento (impacto) que ocurre en un eje y la probabilidad de que ocurra en el otro.

También se puede formatear la matriz como una tabla, donde la probabilidad de riesgo y el impacto son columnas y los riesgos se enumeran en filas.

Al visualizar los riesgos existentes y potenciales de esta manera, puede evaluar su impacto y también identificar cuáles son de mayor prioridad.

Un riesgo alto es un evento que tiene una alta probabilidad de ocurrir y afectará significativamente al negocio. Un riesgo bajo es un evento que probablemente no ocurrirá y tendrá poco impacto si ocurre.

Matriz de riesgos básica

Los riesgos de nivel más alto están en un extremo, el nivel más bajo en el otro y los riesgos medios en el medio. La matriz de evaluación de riesgos a menudo codifica con colores los niveles de riesgo, lo que aumenta su visibilidad y facilita la toma de decisiones.

¿Qué uso le podemos dar?

La matriz se usa para evaluar y definir la fortaleza de la relación existente entre un conjunto de opciones y un conjunto de criterios.

También es útil para seleccionar una opción de un listado procedente de una lluvia de ideas que haya sido resumido mediante una herramienta como la reducción de listas.

A partir de sus resultados, se puede crear un plan para responder a los riesgos que necesitan más atención.

La creación de una matriz de riesgos es a menudo uno de los primeros pasos en el proceso de gestión de riesgos, y con frecuencia ocurre en la fase de análisis.

La gestión de riesgos es el proceso mediante el cual las organizaciones descubren, analizan y abordan el riesgo para alcanzar los objetivos, mantener los procesos en marcha. Consta de cinco etapas: planificación, identificación, análisis, respuesta y seguimiento / control.

¿Cómo utilizar matriz de riesgos?

También conocida como matriz de gestión de riesgos, matriz de calificación de riesgos o matriz de análisis de riesgos, una plantilla de matriz de riesgos se centra en dos aspectos:

Severidad: el impacto de un riesgo y las consecuencias negativas que resultarían.
Probabilidad: la probabilidad de que ocurra el riesgo.

La Probabilidad puede ser representada en porcentaje, número o frecuencia de la ocurrencia y la Severidad en términos de costos, impacto en el logro de los objetivos, afectación en la calidad del producto o servicio, afectación en el desempeño, daño a la imagen de marca o cualquier otro factor que sea importante para la organización.

Para colocar un riesgo en la matriz de riesgos, asigne una calificación a su gravedad y probabilidad. Las clasificaciones típicas utilizadas son las siguientes:

Severidad:

  • Insignificante: Riesgos que no traen consecuencias negativas reales o que no representan una amenaza significativa para la organización o sus objetivos particulares, valor asignado en la escala = 1.
  • Menor: Riesgos que tienen un pequeño potencial de consecuencias negativas, pero que no afectarán significativamente el éxito general, valor asignado en la escala = 2.
  • Moderado: Riesgos que potencialmente podrían traer consecuencias negativas, presentando una amenaza moderada para la organización y sus objetivos particulares, valor asignado en la escala = 3.
  • Crítico: Riesgos con consecuencias negativas sustanciales que impactarán seriamente en el éxito de la organización o sus objetivos particulares, valor asignado en la escala = 4.
  • Catastrófico: Riesgos con consecuencias negativas extremas que podrían hacer que toda la organización fallara o impactar severamente las operaciones diarias. Estos son los riesgos de mayor prioridad a abordar, valor asignado en la escala = 5.

Probabilidad:

La probabilidad mide las posibilidades de que se produzca cada uno de los resultados.

Llamamos sucesos a los posibles resultados de una acción que depende del azar.

En este caso, para los riesgos distinguimos una escala con 5 tipos de probabilidad de sucesos:

  • Nada probable: riesgos extremadamente raros, con casi ninguna probabilidad de que ocurran, valor asignado en la escala = 0.0
  • Ligeramente probable: riesgos que son relativamente poco comunes, pero que tienen una pequeña posibilidad de manifestarse, valor asignado en la escala = 0.25
  • Un poco probable: riesgos que son más típicos, con una probabilidad de 50/50 de que ocurran, valor asignado en la escala = 0.50
  • Muy probable: riesgos que es muy probable que ocurran, valor asignado en la escala = 0.75
  • Extremadamente probable: Riesgos que casi con certeza se manifestarán. Aborde estos riesgos primero, valor asignado en la escala = 1.0

¿Podemos usar una escala de probabilidad diferente?: Sí;

p.ej. una matriz de tres niveles para la Probabilidad y tres para el Impacto, nos dará una matriz 3×3. No es aconsejable un tamaño menor, aunque lo ideal es una matriz de 5×5.

En este artículo utilizaremos una matriz de 5×5, con el Impacto en el eje de abscisas (x) y la Probabilidad en el eje de ordenadas (y).

Clasificación y priorización de riesgos

Los riesgos que tienen graves consecuencias negativas y es muy probable que se produzcan reciben la clasificación más alta; los riesgos con bajo impacto y baja probabilidad reciben la clasificación más baja.

Las clasificaciones de riesgo combinan las calificaciones de impacto y probabilidad para ayudarle a identificar qué riesgos representan las mayores amenazas generales (y, por lo tanto, son la principal prioridad por abordar).

Algunas organizaciones utilizan una escala numérica para asignar clasificaciones de riesgo más específicas. Sin embargo, la mayoría de las clasificaciones se dividen en algunas categorías amplias, que a menudo están codificadas por colores:

  • Bajo: las consecuencias del riesgo son menores y es poco probable que ocurra. Estos tipos de riesgos generalmente se ignoran y, a menudo, se codifican con colores verdes.
  • Medio: Es posible que ocurra algo, pero estos riesgos tienen consecuencias un poco más graves. Si es posible, tome medidas para evitar que ocurran riesgos medios, pero recuerde que no son de alta prioridad y no deben afectar significativamente el éxito de la organización o del proyecto. Estos riesgos suelen estar codificados con colores amarillos.
  • Alto: estos son riesgos graves que tienen consecuencias importantes y es probable que ocurran. Priorizar y responder a estos riesgos a corto plazo es importante. A menudo tienen un código de color naranja.
  • Extremo: Riesgos catastróficos que tienen graves consecuencias y es muy probable que ocurran. Los riesgos extremos son la máxima prioridad. Debe responderlas de inmediato, ya que pueden amenazar el éxito de la organización o sus objetivos particulares. A menudo tienen un código de color rojo.

Ejemplo de matriz de evaluación de riesgos de 5X5

Matriz de riesgos de 5x5

Una vez que haya clasificado sus riesgos, puede hacer un plan de respuesta al riesgo para prevenir o abordar aquellos que son «altos» o «extremos».

Es posible que no necesite responder a los riesgos clasificados como «bajo» o «medio» antes de comenzar a trabajar.

Beneficios de una matriz de evaluación de riesgos… y sus desventajas.

Estas son algunas de las ventajas de utilizar una matriz de evaluación de riesgos:

  • Ayuda a abordar los riesgos según su nivel de impacto.
  • Simplifica el proceso de gestión de riesgos.
  • Nos permite clasificar riesgos con poco esfuerzo.
  • La información se registra y evalúa fácilmente.
  • Muestra la eficiencia de mitigación de riesgos de una organización en un antes y después.
  • Actuando inmediatamente anulamos eficazmente cualquier impacto indeseado.

Una matriz puede ayudar a la mayoría de las organizaciones en la mayoría de las circunstancias a:

  • Promover una discusión sólida sobre los riesgos (a veces más útil que la calificación real)
  • Proporcionar cierta coherencia para priorizar los riesgos.
  • Ayudar a mantener encaminados a los participantes en un análisis de riesgos.
  • Enfocar a los tomadores de decisiones en los riesgos de mayor prioridad.
  • Presenta datos de riesgo complejos de una manera visual concisa.

Pueden ser muy eficaces para obtener resultados oportunos en un análisis de riesgos y para presentar datos.

Limitaciones

Existen varias limitaciones de las matrices de riesgo, nos centraremos en sólo tres de las principales limitaciones, no debemos olvidar que esta herramienta conduce a discusiones inteligentes que involucran el impacto de los riesgos en el logro de los objetivos organizacionales.

Ausencia de datos objetivos

Una desventaja en las matrices de riesgo que se utilizan en los procesos de toma de decisiones es la falta de objetividad basada en hechos y datos (por ejemplo, cuantitativos) utilizados para evaluar los riesgos que se colocan en el mapa de colores de nuestras matrices.

Las escalas usadas para los niveles de Probabilidad / Impacto se basan en fundamentos cualitativos de terceras fuentes que hacen que estas herramientas sean muy peligrosas si se utilizan como un recurso importante en decisiones clave que involucran estrategias y asignación de recursos.

Hay que aprovechar las lecciones aprendidas, las experiencias, el pensamiento de grupo o referencias adecuadas a la naturaleza de nuestra organización para establecer los sistemas de escala utilizados en su matriz de riesgo.

Esto puede ser como jugar con fósforos en una fábrica de fuegos artificiales. En ausencia de datos objetivos, los sesgos cognitivos y las técnicas heurísticas nublan la toma de decisiones y desvían el análisis.

Las matrices de riesgo nunca pueden ser perfectas, pero cuando se basan en un análisis cuantitativo pueden producir una imagen mucho más clara para los directivos sobre cómo los riesgos podrían afectar negativamente al logro de los objetivos de la organización.

Crea una falsa sensación de seguridad sobre los niveles de riesgo y la eficacia del tratamiento.

Una segunda señal de alerta importante con el uso de matrices de riesgo es cómo puede proporcionar una falsa sensación de seguridad a los analistas de riesgos sobre dónde se encuentran los riesgos clave actuales y dónde estarán en el mapa de riesgo una vez que se asignen los recursos para el tratamiento adecuado del riesgo.

Una vez vi una diapositiva de presentación corporativa que comparaba una matriz de riesgo «residual» (después de) con una matriz de riesgo «actual» (antes de), que mostraba cómo las opciones de tratamiento de riesgo seleccionadas impactaban la probabilidad y severidad de los riesgos organizacionales clave.

¿Cómo se le ocurrió al analista de riesgos las nuevas posiciones de los riesgos clave una vez que se introdujo el tratamiento de riesgos?

Sorprendentemente, no había datos cuantitativos para respaldar las posiciones de riesgos «residuales» en la colorida matriz, simplemente se basaba tal vez en la forma en que soplaba el viento ese día.

Sabiendo esto, las matrices de riesgo, si se utilizan en gran medida para la toma de decisiones estratégicas, pueden ser una de las herramientas más peligrosas del mercado, una falsa sensación de seguridad al leer los riesgos clave puede conducir a eventos que pueden paralizar una organización o simplemente apagarla.

Puede llevar a una asignación de recursos subóptima

A estas alturas, hemos esbozado la falla más importante en las matrices de riesgo, la dependencia de demasiados insumos cualitativos para crear un resultado visualmente atractivo que se supone que evoca decisiones de calidad sobre cómo mitigar los riesgos organizacionales actuales.

La mitigación de riesgos requiere la asignación de recursos para tratar el impacto de la incertidumbre en el logro de los objetivos, ya sea para un proyecto específico o para la organización en general. Este es otro defecto peligroso de las matrices de riesgo; pueden llevar a una asignación de recursos subóptima para tratar los riesgos residuales.

Por ejemplo, una matriz de riesgos no puede mostrar cómo ciertos riesgos están interconectados e impactan en varias áreas diferentes de una organización / proyecto.

Esto podría llevar a la implementación de una técnica de tratamiento de riesgos que aborde un riesgo, pero en realidad trate de manera adversa un riesgo interconectado, lo que generaría la necesidad de asignar recursos adicionales para el tratamiento.

Un ejercicio de locura, despidos o quizás ambos, lamentablemente estas opciones no pueden conducir a resultados positivos para las empresas.

Las organizaciones no tienen tantos recursos, tiempo y dinero que pueden asignarse para controlar los riesgos organizacionales, por lo que confiar únicamente en las matrices de riesgos como hoja de ruta para la asignación de recursos puede ser un fracaso en términos de una gestión adecuada del riesgo.

A esta lista, también podría agregarse:

  • No incluye ninguna evaluación de los plazos. El riesgo de un incidente en las próximas dos semanas puede ser muy diferente en comparación con los próximos diez años.
  • Puede simplificar en exceso la complejidad o volatilidad de un riesgo en la medida en que algunos riesgos son relativamente estáticos con el tiempo, mientras que otros pueden cambiar para bien o para mal casi de la noche a la mañana.

Resumiendo, las cosas

Es importante comprender que una matriz de riesgos es solo una herramienta, no una solución completa para todas sus necesidades. Todo se reduce al valor intelectual de las personas que interpretan los resultados de la matriz. Alternativamente, puede utilizar una herramienta de gestión de riesgos para ayudarlo a identificar y evaluar la probabilidad y severidad de los riesgos.

Una estrategia cuidadosamente resuelta para la mitigación de riesgos siempre es útil en caso de eventos imprevisibles y es un gran medio para equipar al equipo con un plan de contingencia eficaz.

¿La esencia de la historia? La Gestión de Riesgos debe ser un requisito obligatorio siempre que se realice la planificación de un nuevo ciclo de objetivos para mantenerse lo más informado posible sobre los riesgos.

guia para implementar iso 9001

Deja un comentario

* Tu comentario será bienvenido. Sin embargo será moderado según las políticas para comentarios.

Al navegar en este sitio aceptas las cookies que utilizo para mejorar tu experiencia Entendido Más información