Análisis de riesgos: Una guía completa

Diferencia entre evaluación y análisis de riesgos

Evaluación de riesgos es sólo un componente del análisis de riesgos. Los otros componentes del análisis de riesgos son la gestión y la comunicación de riesgos. La gestión de riesgos es el control y la evaluación pro activos de los riesgos, mientras que la comunicación de riesgos es el intercambio de información sobre los mismos. A diferencia del análisis de riesgos, la evaluación de riesgos se centra principalmente en la seguridad y identificación del peligro .

Tipos de análisis de riesgos

Como el análisis de riesgos abarca una amplia gama de temas, existen muchos enfoques para analizar los riesgos o tipos de análisis de riesgos. Entre ellas se encuentran, entre otras, las siguientes:

• Análisis de riesgos y beneficios

El análisis riesgo-beneficio consiste en sopesar los pros y los contras (beneficios y riesgos) de una acción. Ayuda a los líderes a decidir si deben o no llevar a cabo esa acción. Optar por una acción de riesgo puede suponer tener que pagar más por el seguro o una mayor prima de seguro.

• Evaluación de las necesidades

Análisis de necesidades es un proceso sistemático de identificación y evaluación de las necesidades y carencias de la organización. Da a los dirigentes una idea de las carencias de la empresa y les ayuda a re orientar los recursos hacia la consecución de los objetivos de forma más eficaz.

• Análisis del impacto empresarial

El análisis del impacto empresarial implica la planificación de las interrupciones operativas causadas por las catástrofes naturales y otros factores externos. Es la base para invertir en estrategias de recuperación, prevención y mitigación.

• Análisis modal de fallos y efectos

El Análisis del modo de fallo y sus efectos es un método sistemático para anticipar posibles fallos en los procesos empresariales y mitigar su impacto en los clientes. Mejora la fiabilidad de los productos y servicios y reduce el coste de los fallos.

• Análisis de la causa raíz

El análisis de la causa raíz se centra en la identificación y eliminación de las causas profundas para resolver los problemas. Ayuda a la prevención de problemas recurrentes al dirigirse a los sistemas ineficaces que los originan. Además del análisis del modo de fallo y sus efectos, otras herramientas de análisis de la causa raíz son 5 razones , 8D y DMAIC (parte de Six Sigma ).

Métodos de análisis de riesgos

Existen dos métodos principales de análisis de riesgos. El método más fácil y conveniente es el análisis de riesgo cualitativo. El análisis de riesgos cualitativo califica o puntúa el riesgo en función de la percepción de la gravedad y la probabilidad de sus consecuencias. El análisis de riesgo cuantitativo, en cambio, calcula el riesgo a partir de los datos disponibles.

Los tipos de análisis de riesgos asociados al análisis cualitativo de riesgos son todas las herramientas de análisis de causa raíz (ACR), excepto el análisis de modo de fallo y efectos, la evaluación de necesidades y la matriz de riesgos.

Los tipos de análisis de riesgos incluidos en el análisis cuantitativo de riesgos son el análisis de impacto en el negocio (BIA), el análisis de modos de fallo y efectos (FMEA) y el análisis de riesgos y beneficios.

Una diferencia clave entre análisis de riesgo cualitativo y cuantitativo es el tipo de riesgo que produce cada método. En el caso del análisis de riesgos cualitativo, se trata del riesgo proyectado, que es una estimación o conjetura de cómo se manifestará el riesgo. Por su parte, el análisis de riesgo cuantitativo se ocupa del riesgo estadístico. A diferencia del riesgo proyectado, el riesgo estadístico es específico y está verificado. Por esta razón, suele utilizarse en el cálculo de las primas de los seguros.

Ejemplos

Aunque el análisis de riesgos se utiliza en todos los sectores y en empresas de todos los tamaños y tipos, algunos dirigentes pueden encontrar más útil un ejemplo de análisis de riesgos específico para su sector que uno genérico. A continuación se presentan ejemplos de análisis de riesgos en tres grandes sectores: construcción, transporte y logística, y fabricación.

Ejemplo de análisis de riesgos en la construcción: Al propietario de una empresa de construcción se le presentó una propuesta de proyecto para construir un complejo turístico de lujo. Si bien el proyecto puede tener buena prensa para la empresa, la propietaria duda en aceptarlo porque su empresa está especializada en edificios residenciales de gama media. Asumir este proyecto sería tanto un salto como un reto. Antes de tomar una decisión definitiva, realiza un análisis de riesgo-beneficio junto con su equipo para ver si los beneficios de seguir con este proyecto superan los riesgos.

Ejemplo de análisis de riesgos de transporte y logística: El director de una compañía naviera multinacional está preocupado por el impacto que tendrá una tormenta en las operaciones comerciales. Cree que la empresa debería reservar algo de dinero para la recuperación después de la tormenta. Su colega, sin embargo, piensa de forma diferente. Argumenta que la tormenta no les afectará tanto. Para convencer a su colega y a sus compañeros de dirección, realiza un análisis del impacto empresarial y presenta sus resultados en la siguiente reunión del consejo.

Ejemplo de análisis de riesgos de fabricación: Un gerente recién contratado se encarga de preparar una fábrica y a sus trabajadores para una gran afluencia de pedidos de clientes debido a la temporada de verano. Para saber qué necesita hacer para que esta fábrica consiga producir suficientes unidades, realiza una rápida evaluación de necesidades pidiendo a los trabajadores que rellenen una encuesta sobre los procesos de la fábrica.

Cómo realizar el análisis de riesgos

Para los dirigentes que ya han decidido el tipo de análisis de riesgos que van a realizar, a continuación se indican los pasos y las instrucciones para realizar el análisis de riesgos de cada tipo:

Cómo realizar la evaluación de necesidades

• Paso 1: Identificar los requisitos – ¿Qué debe ofrecer la empresa para tener éxito?
• Paso 2: Evaluar los recursos existentes – ¿Qué se puede utilizar para lograr el éxito?
• Paso 3: Identificar las necesidades – ¿Qué le falta a la empresa para tener éxito?
• Paso 4: Desarrollar un plan de acción – ¿Qué hay que hacer para llenar las lagunas y tener éxito?

Plantilla de evaluación de necesidades

Utilice esta plantilla digital para identificar las necesidades de la empresa/departamento, del rendimiento y del aprendizaje. Dispone de todas las herramientas que los dirigentes necesitan para mejorar la gestión de sus empresas.

Cómo realizar un análisis de impacto empresarial

• Paso 1: Recopilar información sobre los procesos empresariales, las finanzas y la gestión.
• Paso 2: Identificar el objetivo de tiempo de recuperación (RTO) o el tiempo que se necesita para restaurar los procesos de negocio después de la interrupción. El RTO ayuda a determinar cuánto tiempo puede funcionar la empresa sin los procesos empresariales normales.
• Paso 3: Identificar el objetivo de punto de recuperación (RPO) o la pérdida aceptable para los clientes cuando se produce una interrupción. La OPR ayuda a determinar el impacto financiero estimado en la empresa.
• Paso 4: Desarrollar procedimientos de solución de la empresa en caso de interrupción.
• Paso 5: Decidir las necesidades de la empresa a partir de la información recopilada en los pasos anteriores.

Plantilla de análisis de impacto empresarial

Utilice esta plantilla digital para evaluar el impacto de posibles eventos disruptivos en las principales funciones empresariales. Esta plantilla incluye una evaluación de las pérdidas en términos de actividades operativas e ingresos. Los líderes pueden utilizarlo para priorizar las funciones de recuperación durante las crisis.

Cómo realizar el análisis modal de fallos y efectos

• Paso 1: Identificar el mecanismo de fallo

El mecanismo de fallo (modos de fallo potenciales, efectos y causas) puede identificarse correctamente cuando los responsables de los AMFE tienen en cuenta los fallos anteriores, se ponen de acuerdo sobre ciertas hipótesis y establecen reglas básicas.

• Paso 2: Determinar el NPR

El número de prioridad del riesgo se utiliza para priorizar los posibles fallos que requieren una planificación adicional. Es un producto de tres factores: la gravedad, la ocurrencia y la detección.

Los líderes deben centrar sus esfuerzos de mejora en los fallos potenciales del 20% de los NPR más altos. Estos modos de fallo de alto riesgo deben abordarse mediante planes de acción eficaces.

• Paso 3: Seguimiento de las acciones

Después de establecer y ejecutar planes de acción eficaces, los líderes deben recordar revisar continuamente estos planes y los modos de fallo de alto riesgo que abordan.

Plantilla de análisis modal de fallos y efectos

Utilice esta plantilla digital para identificar problemas en los procesos o productos. Describa el efecto potencial del fallo, la causa potencial y los controles actuales. Añade los índices de gravedad, ocurrencia y detección. Por último, registre el NPR y fírmelo.

Cómo realizar el análisis de la causa raíz

• Paso 1: Definir el problema – En el contexto del análisis de riesgos, un problema es una consecuencia observable de un riesgo no identificado o de una causa raíz.
• Paso 2: Seleccionar una herramienta – 5 razones , 8D o DMAIC

Los 5 porqués consisten en preguntarse cinco veces «por qué». Aunque los 5 porqués son los más fáciles de usar, también pueden simplificar demasiado los problemas. 8D significa las ocho disciplinas de la resolución de problemas. Aunque la 8D ofrece soluciones a largo plazo, su ejecución correcta requiere una amplia formación.

Por otro lado, DMAIC es más completo que 5 porqués, pero también es relativamente más fácil de realizar que 8D, sobre todo si se simplifica el tercer paso (Analizar).

• Paso 3: Poner en marcha las acciones – Abordar la(s) causa(s) raíz(s) identificada(s) mediante la herramienta seleccionada en el paso anterior, creando e implementando acciones. Estas acciones deben ser específicas y estar dirigidas a la/s persona/s más capaces de ejecutarlas.

Plantilla de análisis de la causa raíz

Utilice esta plantilla digital para analizar un problema recurrente y su efecto en la productividad. Enumere las razones por las que se produce el problema y califique la probabilidad de que sean las causas principales. Una vez identificada la causa principal, elija su categoría y proporcione una estrategia de prevención.

Para los dirigentes que no se hayan decidido por un tipo específico o quieran un esquema general de cómo realizar el análisis de riesgos, consulte los pasos que se indican a continuación:

1. Establecer el objetivo del análisis de riesgos
2. Recoger datos para identificar los riesgos
3. Añadir valores a los riesgos
4. Identificar los riesgos más prioritarios
5. Desarrollar un plan para mitigar estos riesgos
6. Seguir el plan
7. Revisar la eficacia del plan

Cómo gestionar y comunicar los riesgos

Una forma de gestionar los riesgos de forma eficaz es utilizar la norma ISO 31000. ISO 31000 es una referencia reconocida internacionalmente para la gestión de riesgos. Se puede resumir en tres reglas orientativas que deben seguir los líderes:

• La gestión de riesgos debe ser estructurada, innovadora, integradora, dinámica, en continua mejora y adaptada a los objetivos de la empresa.
• Los líderes deben integrar pro activamente la gestión de riesgos en todos los niveles de la empresa.
• Las políticas y prácticas de gestión de riesgos deben apoyar la comunicación abierta de los riesgos.

Otro aspecto clave de la utilización de la norma ISO 31000 es garantizar que todos los empleados estén familiarizados con la norma y/o hayan recibido formación sobre cómo aplicarla en su trabajo. Aunque los líderes deben asumir la responsabilidad de la gestión global de los riesgos, deben tener cuidado de no apartar a los empleados de este proceso. Sin el apoyo y la aportación de los empleados, la aplicación de la norma ISO 31000 será mucho más difícil de lo necesario.

ISO 31000:2018 Plantilla de gestión de riesgos

Utilice esta plantilla digital para establecer un sólido marco de gestión de riesgos basado en la norma ISO 31000. Demuestre su liderazgo comprometiéndose con la gestión de riesgos. Compartir la responsabilidad de gestionar los riesgos con otras partes interesadas de la empresa, incluidos los empleados.

Aunque se recomienda la adhesión a la norma ISO 31000, ésta puede parecer intimidante o demasiado complicada para las empresas más pequeñas o con menos recursos para dedicar a la gestión de riesgos. Una alternativa temporal es utilizar un plan de gestión de riesgos que debe tener las siguientes partes:

• Descripciones de todos los riesgos identificados, sus consecuencias y posibles causas
• Un modelo para estimar la probabilidad y la gravedad de las consecuencias (análisis de riesgos)
• Acciones correctoras para atajar las posibles causas o disminuir la gravedad de las consecuencias

Cuando se utiliza un plan de gestión de riesgos, puede ser útil contar con una plantilla de plan de gestión de riesgos que sea fácil de distribuir a los empleados y de actualizar cuando sea necesario. Sin una plantilla, puede ser difícil utilizar o crear un plan de gestión de riesgos para toda la empresa.

Plantilla del Plan de Gestión de Riesgos

Utilice esta plantilla digital para evaluar la probabilidad y la gravedad de las consecuencias. Especifique las estrategias de mitigación previstas y el/los empleado/s responsable/s de ejecutarlas. Indique el coste estimado y el calendario de las acciones de mitigación.

Gestione los riesgos con SafetyCulture (antes iAuditor)

SafetyCulture (iAuditor) es una plataforma de inspección digital que las empresas pueden utilizar para identificar, analizar, comunicar y gestionar los riesgos con eficacia. Junto con Mitti, una compañía de seguros que da prioridad a la tecnología, SafetyCulture (iAuditor) recompensa a las empresas que son pro activas en la gestión de sus riesgos.

Plantillas de análisis de riesgos destacadas