Frecuencia e impacto en la matriz de riesgos

La matriz de riesgos es una de las herramientas más importantes para la gestión de riesgos en las empresas y dos de sus elementos esenciales son la frecuencia y el impacto. 

En el siguiente artículo te explicamos en qué consisten, qué significan cada una de sus escalas y cómo obtener el nivel de riesgo inherente para ubicarlo en la matriz.

Para que la gestión de riesgos en tu empresa sea efectiva y contribuya al cumplimiento de los objetivos estratégicos del negocio, es clave contar desde el inicio con una matriz de riesgos, que como vimos en otro de nuestros artículos, permite visualizar, cuantificar, controlar, transferir o mitigar los riesgos y, uno de los aspectos más importantes, tomar decisiones.

Aunque esta herramienta de gestión y de control también sirve para ver, analizar y monitorear elementos como los criterios de riesgo, el apetito y la tolerancia al riesgo, la frecuencia y el impacto son sus elementos fundamentales. 

Felipe Perdomo, especialista en gestión de riesgos y seguros, nos explica a continuación cada uno de estos.

¿Qué es la frecuencia y cuáles son sus escalas?

La frecuencia se entiende como la probabilidad de que ocurra un riesgo. En la matriz de riesgos esta probabilidad puede determinarse a través de escalas de valores cualitativas y cuantitativas, estas pueden ser tres, cuatro, cinco o más (esto lo define la metodología escogida por cada empresa).

Generalmente, las escalas más usadas son las de cinco valores, por ejemplo:

1. Improbable: la probabilidad de que ocurra un riesgo, es decir, que se materialice, es demasiado baja, casi nula. 
2. Posible: la probabilidad de que ocurra es baja, aunque puede presentarse. 
3. Ocasional: el riesgo puede materializarse en cualquier momento. 
4. Probable: la materialización del riesgo es alta, de hecho, suele presentarse.
5. Frecuente: es muy alta la probabilidad de ocurrencia del riesgo. 

Esta escala también puede hacerse por porcentajes y con otros nombres, así, podría ser:

Este sistema de escalas es aplicable a cualquier organización, la recomendación es utilizar la escala que mejor se adapte a la metodología de cada empresa.

¿Qué es el impacto y cuáles son sus escalas?

El impacto puede explicarse como el conjunto de consecuencias que origina la materialización de un riesgo, es decir, la afectación que este causaría en la empresa, y pueden ser económicas, legales, reputacionales, entre otras.

Al igual que en la frecuencia, en la matriz de riesgos el impacto se determina por medio de escalas, que en una de cinco valores, puede ser:

1. Insignificante: el impacto no representa un problema para la organización.
2. Menor: el impacto que causa la materialización del riesgo en los objetivos de la empresa es mínimo.
3. Moderado: la materialización del riesgo puede causar una pérdida momentánea.
4. Mayor: genera retrasos importantes que afectan el cumplimiento de los objetivos.
5. Catastrófico: puede detener la operación de la empresa, incluso, tener consecuencias como el cierre definitivo.

Estos valores también pueden nombrarse diferente, por ejemplo, Muy bajo, Bajo, Medio, Alto y Muy Alto, esto lo define cada organización teniendo en cuenta su metodología y objetivos.

Ubicación de la frecuencia y el impacto en la matriz de riesgos

La matriz de riesgos, también conocida como mapa de riesgos, está compuesta por un eje vertical (Y) y un eje horizontal (X). Las matrices pueden ser de 3x3, 4x4, 5x5 (las más usadas).

En el eje Y se ubican los valores de frecuencia y en el eje X los del impacto que tiene el riesgo sobre los objetivos de la organización. Al multiplicar los valores de frecuencia por los de impacto, se obtiene el nivel de riesgo inherente, de esta forma, puede ubicarse en las celdas de la matriz. Pongamos un caso específico para ver cómo se vería reflejado un riesgo inherente en la matriz:

Una empresa del sector automotriz, por ejemplo, tiene identificados riesgos como:

Riesgo 1: Interrupciones en la cadena de suministro.
Riesgo 2: Fallas en los equipos operativos.
Riesgo 3: Ciberataques. 

Para cada uno, la empresa ha determinado una probabilidad de ocurrencia y un impacto, que al multiplicarlos entre sí dan como resultado el valor de riesgo inherente:

En la matriz quedarían ubicados de la siguiente forma:

Lo que vemos es que para esta empresa automotriz, el riesgo 1 (interrupciones en la cadena de suministro) está ubicado en una celda de la franja naranja, esto significa que deben contemplar controles y tratamientos para reducir su probabilidad de ocurrencia y en caso de presentarse, su impacto. 

Por su parte, el riesgo 2 (fallas en los equipos operativos) se ubica en una casilla de color amarillo, esto indica que es necesario monitorearlo periódicamente para evitar que pase a una de color naranja o rojo. 

Y el riesgo 3 (ciberataques) está en una celda de color verde, es decir, está en una zona aceptable para la empresa, aun así, lo tiene en cuenta y lo monitorea para que no suba de nivel.

Toda esta información permite a la empresa tomar decisiones respecto a qué controles implementar para reducir la frecuencia o mitigar el impacto de los riesgos más importantes.

Los controles a aplicar pueden ser preventivos, detectivos o correctivos y según su efectividad, pueden disminuir el nivel de riesgo, es decir, que un riesgo pase de tener un valor a otro, incluso, puede moverse de una casilla de la matriz a otra. Con esto lo que se obtiene es un riesgo residual (tiene controles) y los valores en la matriz cambian.

Por todo lo anterior, es importante contar con una herramienta como Pirani, donde puedes generar una matriz de riesgos de la forma más fácil y sencilla, sin fórmulas complicadas ni tablas de Excel.

Finalmente, debes tener presente que para que la matriz de riesgos sea una herramienta efectiva para la gestión de riesgos es fundamental actualizarla y reevaluarla periódicamente, pues así como cambia el entorno los riesgos también. En este webinar te contamos más sobre la importancia de reevaluar los riesgos en tu empresa. 

¿Te sirvió esta información? Déjanos tus comentarios y conoce más sobre gestión de riesgos, prevención de lavado de activos y financiación del terrorismo, y seguridad de la información a través de los artículos del blog de nuestra Academia Pirani.