El riesgo empresarial proviene de tener información imperfecta. Las posibles consecuencias del riesgo son principalmente pérdidas financieras debido a inversiones en productos, crecimiento, adquisiciones o acciones que fracasan. Sin embargo, la existencia de riesgo es también lo que genera ganancias, y un mayor riesgo y mayores recompensas potenciales van de la mano. El riesgo es igual a la probabilidad de falla por las consecuencias de la falla, lo que nos permite adoptar un enfoque cuantitativo para medir el riesgo. Realice una evaluación de riesgos antes de realizar esas inversiones para que pueda comprender las posibles desventajas y pueda poner en práctica las estrategias de mitigación.
Crear una matriz de análisis de riesgo. Esta es una hoja de cálculo que incluye filas para las áreas de riesgo, incluidos Productos, Mercados, Finanzas y Ejecución u Operaciones, y columnas para cada componente del análisis, incluidas Actividades o Aspectos de esas actividades, Amenaza, Nivel de riesgo no mitigado, Probabilidad de Amenaza de ocurrencia, estrategia de mitigación y nivel de riesgo mitigado.
Enumere las actividades específicas en cada una de las áreas de riesgo que analizará. Por ejemplo, en el área de Riesgo del producto, la actividad podría ser Desarrollo de nuevo producto y el Riesgo de operaciones podría ser contratar a un nuevo proveedor para uno de sus componentes críticos. Es posible que tenga múltiples actividades para cada área de riesgo.
Para cada actividad, determine la amenaza, la probabilidad de que ocurra y el resultado si no está mitigado. Por ejemplo, si su actividad es implementar una nueva pieza de software en toda la compañía, una amenaza podría ser que falle mientras se encuentra en medio de cambiar del software anterior. De acuerdo con el fabricante, la probabilidad de este fallo es del 5 por ciento, y las consecuencias, suponiendo que no haya implementadas estrategias de mitigación, son 2 horas de trabajo perdido para todos en la empresa mientras vuelve a poner en línea el software antiguo. Calcule esas 2 horas en términos de su impacto financiero total en la empresa y multiplique por el 5 por ciento de probabilidad. Indique ese número como el nivel de riesgo no mitigado. (Si no hay una cifra en dólares cuantificable, use una escala de 1 a 5, siendo 1 incidental y 5 desastrosa).
Describa la estrategia de mitigación para cada actividad y calcule su impacto en el nivel de riesgo. En el ejemplo anterior, puede hacer que su departamento de TI cree un sistema de respaldo automatizado que pueda restaurar el software anterior en 5 minutos en lugar de 2 horas. O bien, puede comprar un paquete de soporte adicional que reduce la probabilidad de fallas catastróficas a 0.1 por ciento. Calcule el costo para la organización de esos 5 minutos más el costo de crear la copia de seguridad automatizada, o el paquete de soporte más el nuevo valor de 2 horas por 0.01 por ciento. Este es su nivel de riesgo mitigado.
Una vez que haya calculado los niveles de riesgo mitigado para cada una de sus actividades, agregue los niveles de riesgo para cada actividad dentro de un área de riesgo para llegar al riesgo para esa área del negocio. Entonces debería poder ver si su riesgo es mayor en Producto, Finanzas, Operaciones, etc. Esto debería permitirle determinar qué área de su negocio necesita la mayor atención para aliviar y / o disminuir el riesgo.
