Así gestionamos los riesgos
La exposición a una pérdida directa o indirecta resultante de una falta de adecuación o de un fallo de los procesos, el personal y los sistemas internos o bien de acontecimientos externos, es lo que se conoce como riesgo operacional.
El riesgo operacional está directamente relacionado con las actividades que se ejecutan en la organización, es decir, es el conjunto de posibles fallos o deficiencias en los recursos y procesos de las actividades cotidianas. En T-share gestionamos los riesgos operacionales, legales y reputacionales.
Premisas
En T-share nos ocupamos de detectar, evaluar, monitorizar y gestionar los posibles riesgos a los cuales está expuesto nuestro modelo de negocio, buscando con ello minimizar su impacto en la cadena de valor y en las finanzas. Para cumplir con esta actividad realizamos un ejercicio de identificación de los principales riesgos, evaluando cómo pueden incidir en nuestro negocio. Esta evaluación la hicimos con las siguiente premisas:
- Nos enmarcamos en la primera etapa de diseño e implementación del modelo de negocio.
- Identificamos los riesgos operacionales, legales y reputacionales.
- El portafolio de riesgos se basa en el conocimiento generado, a la fecha, del negocio.
- Se prevé una inversión mínima para la puesta en marcha del negocio (identificada en el presupuesto).
- Se prevé el incremento paulatino de las funcionalidades y actividades propias del negocio.
Identificación de los riesgos
Este ejercicio fue realizado tomando en consideración todos los elementos del modelo de negocio de T-share, generando un listado de 23 posibles situaciones conocidas a las que luego le asociamos un riesgo genérico y una causa genérica ya tipificados, clasificándolos en las siguientes categorías:
- Recursos humanos: asociada con errores humanos, negligencias, fraudes, sabotajes, robos, espionaje industrial o lavado de dinero, así como las derivadas de conflictos laborales o de un ambiente laboral inadecuado. También se asocia a falta de destrezas y capacitación.
- Procesos: relacionada con actividades críticas indebidamente diseñadas o con procedimientos inexistentes que pudieran generar un desarrollo deficiente y/o suspensión de servicios. Se incluyen aspectos como la evaluación inadecuada de contratos y operaciones, el incumplimiento de plazos y presupuestos planificados, los errores en las transacciones o en la información contable, etc..
- Tecnología: se refiere al mal uso de los sistemas de información y de tecnologías relacionadas, así como a la vulneración de la integridad, confidencialidad o disponibilidad de la información digital. Contempla las brechas en la seguridad de la información, errores de implementación y programación de plataformas tecnológicas, uso de tecnologías incompatibles entre sí y/o con los sistemas y procedimientos de nuestro negocio.
- Eventos externos: vinculadas a aquellos eventos que, siendo ajenos al control del negocio, pueden alterar el desarrollo de las actividades. Esto incluye los fallos en los servicios públicos, los desastres naturales y atentados, los conflictos legales y administrativos, así como los problemas derivados de la conflictividad delictiva o política del país y la Unión Europea.
Documento de identificación, evaluación y planificación de riesgos de T-share.
Los riesgos genéricos identificados en los que hay que poner especial atención son: retrabajo, incremento de costos operativos y alto tiempo de respuesta al cliente.
Las principales causas genéricas de los riesgos identificados son: el desconocimiento de funciones, políticas y procedimientos, el incumplimiento de condiciones por parte de proveedores y la ausencia o fallos de las interfaces.
Para finalizar esta primera parte del ejercicio, se identificaron las posibles consecuencias o efectos de cada uno de los riesgos.
Evaluación de los riesgos
Partiendo de la lista de riesgos identificados, procedimos a su evaluación valorando en cada uno:
- Probabilidad de ocurrencia: Número de veces que puede ocurrir el evento en un tiempo dado.
- Impacto: Valor económico de la pérdida, daño o desventaja.
- Criticidad: Riesgo inherente (producto de la probabilidad de ocurrencia y el impacto).
Con esta evaluación, obtuvimos como resultado el siguiente mapa de calor:
Plan de gestión de riesgos
No lograríamos nada si solamente identificáramos esas posibles situaciones que acarrearían pérdidas al negocio. Gestionar el riesgo también incluye la elaboración de un plan donde se plantean las estrategias para manejar los riegos.
Para T-share los riesgos pueden tener tres tipos de tratamiento: aceptar, mitigar y transferir. Cuando aceptamos el riesgo nos preparamos para que su impacto sea el menor posible. Cuando lo mitigamos, actuamos conscientemente desde distintas aristas para evitar que el riesgo se materialice. Y cuando lo transferimos, asumimos un costo derivando el riesgo a un tercero.
Nuestro plan tiene un total de 16 estrategias proyectadas en el tiempo (corto, medio y largo plazo), asumidas por un responsable que velará por su implementación.
Este plan será revisado y evaluado a diario en nuestras Daily Meetings, cuando se presente algún evento que nos haga reflexionar y ajustar. Además, es necesario un seguimiento del plan completo, que es asumido por nuestra Product Owner.
"Está bien celebrar el éxito, pero es más importante prestar atención a las lecciones del fracaso" -Bill Gates