Estar preparado: este es el lema de los Scouts, un movimiento social juvenil internacional fundado a principios del siglo XX. Y con razón. Para ser útil y servir de ayuda, hay que estar preparado para los posibles riesgos y amenazas.
Esto también es válido en el ámbito empresarial, por lo que el campo de la gestión de riesgos está en constante crecimiento. Ya se trate de un ataque distribuido de denegación de servicio [DDoS] a sus servidores, un conflicto político que afecte a su cadena de suministro, una catástrofe natural que destruya su propiedad o una startup que lance un producto competitivo, todas las empresas están expuestas a innumerables riesgos.
En esta entrada del blog, exploramos una parte inicial y fundamental de su estrategia de gestión de riesgos: la evaluación de riesgos. Le mostramos por qué necesita evaluaciones de riesgos, cómo puede llevarlas a cabo y qué herramientas le ayudan a realizar el trabajo.
Comprender la evaluación de riesgos
Empecemos por lo básico: ¿qué es una evaluación de riesgos?
La evaluación de riesgos es el estudio estratégico y periódico que permite identificar los posibles peligros para una empresa.
Una buena evaluación de riesgos aborda:
Naturaleza: esta parte del informe de evaluación de riesgos define el riesgo. Por ejemplo, podría definir un riesgo como «el incumplimiento del Reglamento General de Protección de Datos [RGPD] acarreará sanciones cuando el producto se lance en la región de la UE».
Razones: Esto es un poco más complejo. El incumplimiento del RGPD puede ser el resultado de no invertir tiempo o no darle prioridad. Sin embargo, si se tiene en cuenta un riesgo como un desastre natural, las razones son muchas y, a menudo, están fuera de su control. Por lo tanto, utilice esta parte con discreción.
Probabilidad: ¿Cuál es la probabilidad de que el riesgo se materialice y se produzcan eventos adversos? Si no cumple con el RGPD, no se enfrenta a riesgos hasta que interactúa con un «interesado» en la UE, que puede ser una persona, una empresa o incluso un visitante. Esto significa que si su cliente con sede en EE. UU. utiliza su producto mientras viaja a Francia, corre el riesgo de incumplir la normativa.
Impacto potencial: en esta parte del estudio, se mide lo que significaría para usted incurrir en dicho riesgo. Por ejemplo, el incumplimiento del RGPD puede acarrear multas de hasta el 4 % de los ingresos globales o 20 millones de euros.
Riesgo frente a peligro
Los términos «riesgo» y «peligro» suelen utilizarse indistintamente, pero tienen significados distintos, especialmente en el contexto de la seguridad y la gestión de riesgos.
Un peligro es cualquier cosa que tenga el potencial de causar daño, lesiones o perjuicios. Esto incluye objetos físicos, sustancias o condiciones que amenacen la salud y la seguridad. Los peligros no se pueden medir.
El riesgo se refiere a la probabilidad de que un peligro cause realmente daños o efectos adversos. Abarca la repetición y la gravedad del daño potencial. Los riesgos pueden cuantificarse como altos, medios o bajos en función de su probabilidad y gravedad.
Veamos la diferencia entre ambos con algunos ejemplos. Al realizar una evaluación de riesgos medioambientales, es posible que se encuentre con los siguientes peligros.
- Desastres naturales como terremotos, inundaciones, huracanes, deslizamientos de tierra...
- Peligros biológicos, incluidas especies invasoras, epidemias y pandemias, floraciones de algas tóxicas.
- Riesgos químicos como derrames de petróleo, contaminación por metales pesados, pesticidas.
Los riesgos correspondientes serán:
- Riesgos para la propiedad y la vida
- Riesgos para el ecosistema que conducen a la pérdida de biodiversidad
- Riesgos para la seguridad alimentaria, la salud y el impacto económico derivados de las sequías, la contaminación de las ciudades y el aumento del estrés medioambiental.
En un lugar de trabajo, algunos de los riesgos más comunes son:
- Riesgos para la seguridad, como suelos mojados, cables expuestos o maquinaria sin protección.
- Riesgos relacionados con las condiciones de trabajo, como el ruido, la luz y la temperatura.
- Riesgos ergonómicos, como puestos de trabajo inadecuados.
Los riesgos correspondientes podrían ser:
- Lesiones
- Enfermedad
- Una mala experiencia de los empleados
- Desgaste
- Pérdida de reputación para la empresa.
Los ejemplos anteriores demuestran que existen varios tipos de riesgos. Veamos primero cuáles son los más comunes.
Tipos de evaluaciones de riesgos
Puede realizar evaluaciones de riesgos en múltiples dimensiones. Por ejemplo, en función de los tipos de peligros, puede realizar evaluaciones de riesgos medioambientales, tecnológicos, financieros, de cumplimiento normativo, etc. También puede llevar a cabo evaluaciones genéricas o específicas; por ejemplo, puede evaluar los riesgos para la salud y la seguridad en toda la organización o en ubicaciones específicas.
En todas estas dimensiones, existen algunos tipos comunes de evaluaciones de riesgos, tales como:
Evaluación cuantitativa de riesgos: medición de los riesgos y el impacto potencial mediante datos numéricos.
Por ejemplo, puede determinar que tiene un 30 % de probabilidades de sufrir una violación de datos, lo que probablemente causaría una pérdida de 1 millón de dólares.
Evaluación cualitativa de riesgos: uso de juicios y observaciones subjetivos para clasificar los riesgos en una escala de gravedad y probabilidad baja, media o alta.
Por ejemplo, un centro de datos podría ser de «alto riesgo» debido a su ubicación en una zona sísmica.
Evaluación de riesgos específica del sitio: evaluar las condiciones de una ubicación concreta, como una obra de construcción o una plataforma petrolífera. También puede tratarse de sitios virtuales, como un centro de datos o su infraestructura en la nube.
Evaluación de riesgos basada en activos: identificación de riesgos asociados a activos específicos, como sistemas informáticos, equipos, vehículos, etc. Algunas empresas de servicios también incluyen a las personas en sus evaluaciones de riesgos basadas en activos.
Evaluación de riesgos basada en vulnerabilidades: identificación de puntos débiles en sistemas y entornos. Esta evaluación es de carácter interno. Por ejemplo, en el mundo tecnológico, las evaluaciones de vulnerabilidades y las pruebas de penetración [VAPT] son prácticas habituales.
Evaluación de riesgos basada en amenazas: evaluar los riesgos examinando las condiciones que los provocan. Se trata de una perspectiva externa. Por ejemplo, una institución financiera podría evaluar los riesgos relacionados con el fraude.
Evaluación dinámica de riesgos: evaluaciones continuas en tiempo real que responden a situaciones inmediatas o cambiantes.
Por ejemplo, los servicios de emergencia realizan una evaluación dinámica de riesgos durante un incendio para comprender el potencial de colapso estructural.
Aunque estos son los tipos más comunes, no son mutuamente excluyentes. Por ejemplo, puede realizar una evaluación cuantitativa específica de los activos o evaluaciones dinámicas basadas en amenazas, etc. La que utilice dependerá del momento en que realice la evaluación.
Cronogramas de evaluación de riesgos
Hay dos momentos en los que las organizaciones suelen realizar evaluaciones: a intervalos regulares o en función de determinados desencadenantes.
Intervalos regulares
La identificación de riesgos financieros se suele realizar cada año. La evaluación de la seguridad de la información puede realizarse cada trimestre. Las empresas deciden el calendario en función de la empresa y del tipo de evaluación.
Desencadenantes
A veces, los peligros, riesgos o situaciones empresariales emergentes son desencadenantes de la necesidad de una evaluación. Esto podría ser:
- Antes de realizar una evaluación de proyecto, lanzar un producto o abrir una nueva vertical
- Antes de realizar cambios en el equipo, los materiales, el software o el liderazgo.
- Después de una incidencia significativa que ha puesto de manifiesto una vulnerabilidad
- En respuesta a cambios normativos o legislativos.
Con esa base, veamos cómo llevar a cabo una evaluación de riesgos.
Pasos clave para llevar a cabo una evaluación de riesgos
Las evaluaciones de riesgos son uno de los aspectos más críticos de cualquier operación de empresa. Ayudan a prevenir resultados negativos. Una buena evaluación de riesgos puede ahorrar dinero, reputación e incluso vidas humanas.
Por lo tanto, es importante realizar evaluaciones de riesgos exhaustivas y eficaces. Aquí tienes una guía básica sobre cómo hacerlo.
1. Realice la configuración de los sistemas para su evaluación de riesgos.
Antes de evaluar nada, cree su marco de gestión de proyectos de evaluación de riesgos.
Defina el alcance
¿Qué funciones, ubicaciones, activos y procesos evaluará? ¿Cuáles son las metas de su evaluación? ¿Necesita explorar los riesgos relacionados con los costes del proyecto? ¿Qué busca identificar/aprender?
Identifique los requisitos
¿Qué tiempo, personal, presupuestos y activos necesitará para la evaluación de riesgos? Por ejemplo, si está llevando a cabo una evaluación de riesgos sobre solicitudes de préstamos fraudulentas, es posible que necesite científicos de datos que su empresa aún no tiene. Describa estos requisitos con claridad.
Inscriba a las partes interesadas
¿Quién participará y en qué medida? Asigne roles y responsabilidades a las personas. Lo ideal es que cuente con un gestor de riesgos, un jefe de equipo de evaluación, expertos en la materia y un socio de la empresa.
Estudie las normas y reglamentos
¿En qué marco normativo debe trabajar? ¿Hay normas específicas que deba seguir? ¿El informe debe crearse y presentarse de una manera específica al organismo regulador?
Configure sus herramientas
Un proceso exhaustivo requiere un número de listas de control de hitos, plantillas de evaluación de riesgos, etc. Un buen software de gobernanza, riesgo y cumplimiento, es decir, GRC, puede simplificar drásticamente el proceso de evaluación y mejorar la precisión y la eficacia de los resultados.
Elija una herramienta de gestión de proyectos de evaluación de riesgos como ClickUp para que le ayude en el proceso.
2. Identifique los peligros
Una vez que esté todo configurado, es el momento de evaluar el primer aspecto de su riesgo, es decir, el peligro. Dependiendo del tipo de evaluación de riesgos, puede encontrarse con varios peligros.
Por ejemplo, si está realizando evaluaciones de riesgos medioambientales, podría tener en cuenta los riesgos biológicos y los desastres naturales. Si está evaluando el riesgo de rotación de personal, podría explorar los riesgos para la salud y la seguridad, como los accidentes laborales, las huelgas o los riesgos psicosociales, como el acoso o el estrés, etc.
Para identificar los peligros, puede recopilar datos de:
Observación
Realice recorridos por la ubicación, los activos o los procesos que se están evaluando. Observe cuidadosamente cada aspecto y cómo interactúa con los demás.
Conversación
Hable con el equipo que trabaja sobre el terreno. Comprenda sus preocupaciones y lo que ellos consideran riesgos. [Puede que no esté de acuerdo con ellos, pero siempre es bueno escuchar].
Informes históricos
Revise los informes de incidentes, quejas, análisis, recomendaciones, etc., del pasado. Estudie los datos históricos sobre accidentes o incidentes para identificar los peligros que los provocaron.
Puntos de referencia
Consulte las fichas de datos de seguridad y los manuales de los equipos para recopilar información sobre los posibles riesgos.
La forma más sencilla de tomar nota de todo lo que encuentre durante esta fase de la evaluación es utilizar una herramienta como ClickUp Docs. Gracias a la colaboración en tiempo real, los equipos grandes pueden consolidar todas sus notas en un solo lugar para su posterior revisión y análisis.
También puede utilizar cualquiera de las plantillas de registro de riesgos disponibles para optimizar este proceso.
3. Evalúa los riesgos
No todos los peligros son un riesgo. Es posible que manipule productos químicos tóxicos, pero con las medidas de seguridad adecuadas, es posible que no corra el riesgo de sufrir un accidente. Por lo tanto, el siguiente paso es la evaluación de riesgos: averiguar si existe algún riesgo derivado de los peligros que ha identificado.
La plantilla de pizarra de evaluación de riesgos de ClickUp es un lugar ideal para hacerlo. Adecuada para principiantes, esta plantilla le permite identificar y evaluar los riesgos de forma metódica. En colaboración con un equipo remoto, también puede utilizar esta plantilla de pizarras de ClickUp para intercambiar ideas y reflexionar sobre sus riesgos.
4. Mida la probabilidad y el impacto
Una parte importante del proceso de evaluación consiste en valorar la probabilidad y el impacto de los riesgos identificados.
- Probabilidad: Probabilidad de que se produzca el riesgo [Alta, Media, Baja]
- Impacto: ¿Dónde, quién y qué se verá afectado por el riesgo?
Este es también el paso en el que la mayoría de las organizaciones flaquean. Profesores y expertos en riesgos escriben que «tendemos a confiar excesivamente en la precisión de nuestras previsiones y evaluaciones de riesgos y a ser demasiado restrictivos en nuestra evaluación del intervalo de resultados que pueden producirse».
Para evitar este escollo:
- Es mejor pecar de precavido: en lo que respecta a los riesgos, es mejor preocuparse demasiado que demasiado poco.
- Sea expansivo: analice el riesgo para comprender cómo se verán expuestos los diferentes grupos y cómo
- Anticípese a las sorpresas: en la gestión de riesgos no existen las sorpresas agradables. Esté siempre atento a dónde y cuándo es probable que se produzca una sorpresa.
Por ejemplo, si tiene un frigorífico que no funciona bien en su tienda minorista, piense más allá de su impacto en el desperdicio de productos o los costes de reparación. Considere cómo los clientes que compran productos almacenados en ese frigorífico podrían enfermar.
Un marco como la plantilla de registro de riesgos de ClickUp ayuda a organizar toda esta información de forma eficaz.
Con esta plantilla, puede documentar sus riesgos, su probabilidad de ocurrencia, los planes de mitigación y las medidas de control, todo en un solo lugar. También puede realizar el seguimiento del estado, asignar la propiedad y consolidar los datos para revisarlos más adelante.
5. Documente los procesos actuales
A menos que se trate de un riesgo emergente, la mayoría ya cuenta con algún tipo de mecanismo de respuesta. Documenta estos mecanismos de forma exhaustiva para que puedan optimizarse con cada evaluación posterior.
Incluya lo siguiente.
- Propiedad: defina quién es responsable del riesgo y de la respuesta.
- Proceso: describa el flujo de trabajo tras identificar el riesgo, incluyendo acciones, recursos, plazos, hitos, KPI y otras responsabilidades.
- Dependencias: ¿Cuáles son las interdependencias entre tareas o equipos?
- Control: ¿Cuál es el plan actual de mitigación de riesgos o de contingencia?
6. Programe la próxima evaluación
Su lugar de trabajo es dinámico. Su proceso y documento de evaluación de riesgos deben reflejarlo.
Programa revisiones periódicas
Hágalo semestralmente, anualmente o incluso con mayor frecuencia, dependiendo del tipo de organización. Si trabaja en un entorno en rápida evolución, como el de la ciberseguridad, tal vez le convenga considerar la posibilidad de realizar evaluaciones de riesgos y alertas de automatización de forma continua.
Lectura adicional 📖: Introducción al marco de gestión de riesgos de ciberseguridad.
Involucre a los empleados
Los que están más cerca del terreno son los que mejor comprenden los riesgos. Hable con ellos regularmente y recopile información y comentarios. En la gestión de proyectos, esto puede ser especialmente importante, ya que los expertos en la materia y los gestores de riesgos pueden no ver las complejidades de las actividades cotidianas.
Utilice la plantilla de análisis de riesgos de la gestión de proyectos de ClickUp para documentar los hallazgos del equipo de ejecución.
Manténgase informado
Los riesgos derivados de peligros externos están en constante evolución. Las amenazas a la ciberseguridad son cada vez más sofisticadas. En respuesta a ello, las leyes están evolucionando. Manténgase a la vanguardia de estos avances buscando información de forma proactiva.
Un proceso de evaluación de riesgos bien establecido le ayudará a usted y a su equipo a planificar cada posible incertidumbre, incluidos los eventos imprevistos. Independientemente del área de impacto, un software de gestión de riesgos sólido puede resultar útil.
Herramientas para implementar procesos de evaluación de riesgos
La evaluación de riesgos es una actividad basada en la investigación. El equipo que lleva a cabo la evaluación de riesgos normalmente necesitará lo siguiente.
- Documentación: la capacidad de tomar notas sobre observaciones, lagunas y otros puntos importantes.
- Plantillas: marcos, listas de control y plantillas de evaluación de riesgos, como una matriz de riesgos para analizar los resultados.
- Herramientas visuales: funciones para intercambiar ideas o colaborar con equipos remotos con el fin de llegar a un entendimiento común.
- Uso compartido y registro: Posibilidad de compartir el informe de evaluación con todas las partes interesadas pertinentes con el control de acceso adecuado.
Hoy en día, la mayoría de los equipos utilizan múltiples herramientas para lograrlo. Pueden utilizar Documentos de Google para tomar notas, hojas de cálculo para listas de control, archivos PDF para el uso compartido, etc. Aunque esto es muy popular, también es ineficaz.
Una herramienta todo en uno como ClickUp puede suponer un gran cambio para los equipos de evaluación de riesgos. Con ClickUp, puede realizar su evaluación, documentar los resultados, llevar a cabo análisis y realizar el uso compartido de sus informes con seguridad, todo en un solo lugar.
Considere la plantilla de pizarra de análisis de riesgos de ClickUp. Aquí, añada sus riesgos y clasifíquelos según su probabilidad y gravedad. Incluya notas adhesivas con cualquier punto de referencia.
Enlace documentos, imágenes y otros archivos directamente desde la plantilla de pizarra. Desde allí, asigne la propiedad y configure tareas para implementar también su estrategia de mitigación.
Minimice sus riesgos con ClickUp
Cuando los riesgos son inevitables, la única solución posible es estar preparado. Las evaluaciones de riesgos ayudan precisamente a eso.
Te ayudan a considerar la posibilidad de que las cosas salgan mal y te aseguran de no pasar por alto los peligros. Arrojan luz sobre todas las posibilidades, desde el síndrome del túnel carpiano y los dolores de espalda hasta la radiación y los derrames de petróleo.
Las evaluaciones de riesgos le permiten establecer prioridades y crear un entorno de trabajo más seguro para usted y sus empleados. También le ofrecen la oportunidad de tomar decisiones basadas en datos sobre la asignación de recursos, los presupuestos y las inversiones en medidas de seguridad.
No escatime en una actividad tan importante como la evaluación de riesgos. Elija una herramienta sólida, completa y colaborativa como ClickUp para realizar auditorías periódicas, mejorar los procesos internos, crear su plan de gestión de riesgos y reforzar su resiliencia.
ClickUp te facilita mantener tus evaluaciones de riesgos actualizadas y relevantes. ¡Palabra de scout!
¡Regístrese gratis y comience hoy mismo con su evaluación de riesgos!