Cómo líder de gestión de riesgos, haces bien en prepararte ante las amenazas externas, pero también debes considerar lo que puede salir mal dentro de tu organización, es decir, la gestión del riesgo operacional u operativo.
Veamos los tipos de riesgos operacionales y cómo identificar, medir y mitigar aquellos en los que deberías centrar tu gestión para proteger mejor a tu organización.
Es el riesgo de pérdida resultante de procesos internos, personas, sistemas o eventos externos ineficaces o fallidos que interrumpen las operaciones comerciales habituales. Si un empleado comete un error, si un proceso no logra su propósito o si falla un sistema, estamos frente a algo que puede generar un evento de riesgo.
Te dejo aquí algunos ejemplos de cómo podría verse el riesgo operativo en cada categoría:
Los riesgos operativos que se originan en las personas pueden ser el resultado de niveles inadecuados de personal que llevan a que se pasen por alto tareas importantes y se tomen atajos, se malinterpreten o ignoren políticas, actividad interna maliciosa o capacitación ineficaz de la fuerza laboral.
Cuanto más complejos sean sus procesos internos, mayor será la probabilidad de que se omitan uno o más pasos cruciales del mismo y que las operaciones se interrumpan, se retrasen, sean ineficientes o más costosas.
Los delitos y otras amenazas cibernéticas van en aumento, y ser víctima de uno de ellos puede provocar filtraciones de datos dañinas o, peor aún, paralizar a la organización. No proteger adecuadamente tus sistemas y no tomar medidas para detectar y protegerse de los ciberataques malintencionados puede exponer tu organización a riesgos operativos por interrupciones no planificadas o forzadas.
Este tipo de riesgo operativo se puso de manifiesto cuando la pandemia de COVID-19 paralizó la economía global (con todo y las cadenas de suministro que la impulsan) durante prácticamente dos años.
Cualquier evento que interrumpa las operaciones de tu organización, desde un cambio en el liderazgo político local hasta un terremoto o huracán, es un riesgo operativo que se origina fuera de tu organización, pero que también debes considerar en términos de su impacto interno. Estos riesgos también pueden entrar en la categoría de riesgos organizacionales.
Hacer negocios es exponerse al riesgo, y aplica para todas las organizaciones. A medida que las operaciones se vuelven más complejas, es cada vez más probable que las cosas se queden en el tintero, que las políticas se vuelvan “letra muerta” o no se comuniquen a medida que crece la fuerza laboral, o que los controles -que no han sido monitoreados y actualizados continuamente- comiencen a fallar.
Todo esto aumenta la exposición al riesgo operativo con el tiempo, lo que hace más probable que alguno se materialice y afecte los ingresos o la reputación de la marca (o ambas).
El riesgo operacional puede presentarse en una variedad de formas y muchas son exclusivas de la industria específica en la que opera su organización, pero estos son algunos de los tipos más comunes de riesgo organizacional con repercusiones operativas que puedes llegar a enfrentar y ante los que conviene prepararte.
El riesgo de incumplimiento es el riesgo de que tu organización no cumpla con los requisitos, estándares, lineamiento o reglamentarios en general por parte de las instituciones reguladoras de tu industria o sector.
Se traduce en operativo cuando, por ejemplo, por falta de un permiso que no se logró obtener por no cumplir con las condiciones necesarias, una unidad de negocio no puede operar.
Cada proveedor de servicios externo con el que trabaja representa otro vector de riesgo operativo para ingresar a su organización. Además, es casi seguro que los terceros con los que trabajas hagan a su vez negocios con una red de terceros (que serían “cuartas partes”, con referencia a tu organización), lo que induce la posibilidad de que este tipo de riesgo crezca exponencialmente.
Cada una de estas partes debe ser examinada en la mayor medida posible para garantizar que ninguno de los riesgos de proveedores pase por la puerta delantera (o trasera) de tu organización.
Imagina que, por no tener visibilidad sobre la logística de entrega de algún material que tu proveedor necesita para fabricar un producto y entregártelo, este se retrasa y es un paso intermedio en la creación de tu producto final… He ahí una materialización de un incidente externo en un proceso interno tuyo.
Otra fuente de riesgo operacional es el riesgo tecnológico. A medida que proliferan las herramientas digitales y los servicios basados en la nube y el trabajo se realiza cada vez más a través de internet, las organizaciones han comenzado a enfrentar ataques cibernéticos más frecuentes y sofisticados.
Pero no todo es ciberseguridad: también está el riesgo de que tu tecnología deje de funcionar correctamente y ralentice o detenga las operaciones, o que provoque un tiempo de inactividad significativo por falta de mantenimiento y conduzca a otros resultados negativos.
Es especialmente importante prestar atención a este tipo de riesgo a medida que la mayoría de las organizaciones aceleran sus transformaciones digitales, ya que la velocidad con la que una tecnología puede quedar obsoleta es hoy muy alta.
Hoy en día, gran parte de nuestra vida diaria sucede a través de internet, y cada tarea completada, artículo comprado, formulario enviado y video visto genera datos. Algunos de estos datos (muchos, de hecho) pueden ser de naturaleza muy personal y es fundamental que las organizaciones mantengan esta información segura.
No hacerlo puede causar un daño irreparable a sus clientes, provocar la revisión intensa de los reguladores y generar importantes daños financieros y de reputación. Cuando la gente siente su privacidad transgredida, puede llamar a boicots masivos a través de redes sociales, amplificando su impacto, algo digno de ser contemplado,
Todo el mundo comete errores de vez en cuando. Pero muchos de los errores que tienen el potencial de descarrilar tus operaciones de alguna manera se pueden prevenir mediante prácticas adecuadas de gestión de riesgos operativos y programas eficaces de capacitación de empleados.
Dentro de esta categoría se incluyen errores en el ingreso de datos, no seguir los procesos correctamente, divulgación involuntaria de información confidencial y otros errores. Ante ellos, los controles automatizados y con alertas son muy útiles, dado que sirven de recordatorio permanente sobre las mejores prácticas a seguir.
Desafortunadamente, las acciones de los empleados que causan problemas a su empresa no siempre son inadvertidas. Los empleados descontentos, los ladrones corporativos, los saboteadores y otros malos actores que se escinden a plena vista aumentan el riesgo de que su organización experimente un ataque interno malicioso.
Aquí, las recomendaciones son tan amplias como hacer exámenes de integridad, así como políticas de firma de NDAs y destrucción de documentación (tanto para exempleados como para proveedores desvinculados).
Cualquier trabajo llevado a cabo puede exponer a los colaboradores a diferentes tipos de riesgos de seguridad ocupacional, ya sea transportando bolsas de concreto a un sitio de construcción o programando el código fuente de un producto digital en su escritorio.
Estos peligros pueden afectar tanto la salud física como la mental y pueden ocurrir por mero accidente o porque alguien ignoró los protocolos de seguridad; bajo algunas circunstancias, podría achacársele responsabilidad a la organización por ciertas omisiones.
Cualquiera de los riesgos operativos que cubrimos anteriormente también puede exponer a tu organización a riesgos legales. Usualmente, los riesgos de cumplimiento, cuando se materializan, exigen la entrada del equipo Legal.
Con estos tipos de riesgos operacionales, tienes un primer vistazo para crear una tipificación general de riesgos, y pensar en los controles que podrías implementar, así como las personas y áreas que deberían estar más o menos relacionados, según la naturaleza del riesgo.
Si deseas ayuda con una tipificación más detallada, nuestro equipo de consultores expertos te puede ayudar. Haz clic en la imagen de abajo y con gusto revisamos tu caso.