El mapa de calor es una herramienta importante ya que nos permite una visualización gráfica de los riesgos de la empresa. En su versión más conocida, muestra los riesgos en un mapa delimitado por dos ejes cartesianos que miden: (i) la probabilidad de ocurrencia, y (ii) su impacto. Normalmente los mapas se suelen ver en un formato donde los ejes tienen una escala de 3×3, es decir, ”alto, medio y bajo”, o una escala de 5×5, “muy alto, alto, medio, bajo, muy bajo”. Los mapas suelen asimismo tener un código de colores que ayuda a visualizar rápidamente la situación del riesgo; su ubicación en el mapa, dependiendo de los ejes y los colores, nos permitirán trabajar respecto de los planes de mitigación, las herramientas de cobertura, y los esfuerzos de seguimiento que se haga de los mismos. La Figura 1 que mostramos a continuación muestra los clásicos mapas 3×3 y 5×5.
Figura 1. Mapa de Calor 3 x 3 y 5 x 5
Sobre esta figura podemos hacer dos consideraciones importantes. Primero, el código de colores es absolutamente personal, y de hecho suele dar lugar a opiniones diversas. Por un lado, hay un criterio que sostiene que cualquier riesgo con un impacto alto o muy alto debería ser rojo. Otros sin embargo opinan que un riesgo con probabilidad de ocurrencia baja o muy baja, no debería ser rojo dada su baja probabilidad de ocurrencia. Creo que la discusión sobre este punto, depende del uso que uno quiera darle al mapa de calor. Si a partir de esta herramienta, decimos que todos los riesgos en zona roja deberán tener el mismo tratamiento (o inversión de recursos) en términos de mitigación, es claro que deberíamos hacer diferencias entre riesgos de probabilidad alta y, riesgos de probabilidad baja. Sin embargo, también es cierto que un riesgo de probabilidad muy baja, y un impacto muy alto, puede tener consecuencias catastróficas (por ejemplo el COVID), por lo que no queremos que salga de la zona de máxima atención. Es decir, las categorías de las zonas de color tienen que ser consistentes con el uso que se les va a dar, más allá de las convenciones cromáticas.
La segunda consideración importante que tendremos que hacer es la de la valorización de los ejes. Hay empresas que categorizan los riesgos con un único valor que viene de multiplicar su valor de probabilidad de ocurrencia por el del impacto. Es decir, considerando la matriz 5 x 5, un riesgo en probabilidad media con impacto alto, sería un riesgo 3 x 4 = 12. Hay empresas que usan estos valores para ordenar los riesgos en base a su importancia, y listarlos de mayor a menor. Esta práctica puede llevar a errores. No hay problemas con los riesgos 1 x 1 = 1, y los 5 x 5 = 25, sin embargo el problema se genera con los riesgos de probabilidad muy baja e impacto muy alto, es decir, 1 x 5 = 5, que categorizan igual que los riesgos de probabilidad muy alta e impacto muy bajo, 5 x 1 = 5. Claramente ambos riesgos, si bien se tienen el mismo valor, no deberían generarnos la misma preocupación. Un evento muy frecuente con un impacto irrelevante no puede valer lo mismo que uno muy poco frecuente pero con consecuencias catastróficas. Por ello sugerimos no clasificar los riesgos en base a su Probabilidad x Impacto, sino verlos gráficamente en el mapa de calor. Otras compañías cuantifican los ejes mediante dos clasificaciones numéricas diferentes, con un eje de probabilidad de ocurrencia que va de 0 a 1, y el eje de de impacto que va de 1 a 100, y que la escala del eje de impacto no sea lineal sino que tenga algún tipo de no linealidad (a medida que nos alejamos del origen los impactos aumentan su importancia más que proporcionalmente).
Otro tema importante es el de la cuantificación de los valores de los riesgos en ambos ejes. Observamos una tensión entre el uso directo de los datos pasados (en caso de tenerlos), y la previsión a futuro de los expertos. Si bien los datos pasados son una tentación, no siempre su pronóstico va a ser el adecuado. Solamente a modo de ejemplo sencillo, piensen en los datos de un pluviómetro que registró información de los últimos 30 años de lluvias en un campo, si bien la información es técnicamente correcta, si sabemos que el pronóstico del año se espera un año “niña”, difícilmente el promedio de los últimos 30 años sea un indicador adecuado de las lluvias esperadas del año siguiente. Siguiendo esta línea argumental cada uno podrá construir ejemplos similares basado en su experiencia. Es decir, algunas veces podremos pensar en ejemplos basados en datos pasados, y otras veces deberemos usar metodologías más enfocadas a las opiniones de los expertos.
En el caso de la medición del impacto, se suele generar un problema con los diferentes potenciales impactos en la empresa. Es importante reconocer que un riesgo puede tener impacto en diferentes aspectos de la organización, por ejemplo, puede impactar en el flujo de fondos y el valor de la empresa, pero también puede impactar en su capacidad operativa, o en su reputación, o en la salud de los empleados o de terceras personas o en el medio ambiente, entre otros. Si profundizamos en este aspecto, veremos que para medir adecuadamente el impacto de los riesgos en una organización, es indispensable tener un buen mapa de stakeholders donde poder medir el impacto de los riesgos. De esta manera es fácil comprender que un riesgo puede tener un impacto bajo en flujo de fondos pero alto en la reputación, y así sucesivamente. Mi recomendación es la de identificar adecuadamente los impactos de los riesgos en los diferentes stakeholders, y usar el impacto más severo para su ubicación en el mapa de calor. Una buena manera de reflejar el impacto es la de usar diferentes indicadores del riesgo (punto, cuadrado, triángulo, etc.) según donde se refleje mayormente el impacto del riesgo (flujo de fondos, en la reputación, en la capacidad de operar etc). Por otro lado, es importante que las empresas logren definir lo que quiere decir un riesgo alto, un riesgo bajo, etc. Esto depende mayormente de la capacidad de tolerar el impacto y del apetito al riesgo de las organizaciones.
A mi me gusta el mapa de calor en el que en el eje de abscisas mostramos la probabilidad de ocurrencia (variable independiente) y en el de ordenadas el impacto (variable dependiente), aunque es común ver algunos mapas de calor en los que los ejes están invertidos. Esto no genera un problema, la interpretación es exactamente la misma, es solo una cuestión de gustos o costumbres.
El mapa de calor tradicional tiene probabilidad e impacto en los ejes, sin embargo es una herramienta que se puede adaptar perfectamente. Por ejemplo, se pueden poner otras variables en los dos ejes, o se puede hacer un gráfico tridimensional en el que se use una tercera variable en un tercer eje, por ejemplo la capacidad de la empresa de asumir un determinado riesgo, etc. La herramienta es muy versátil, y de hecho no es necesario tener un único mapa de calor, se pueden tener más de uno en el que se relacionen más variables.
Por último, me gustaría hacer una breve mención al concepto de riesgo inherente y riesgo residual, conceptos que varias veces se mencionan en el contexto del mapa de calor. El riesgo inherente es aquel que tenemos naturalmente, y el residual es aquel que nos queda una vez que ya instalamos las herramientas de mitigación. Mi sugerencia es considerar que los riesgos inherentes ya son cuestión del pasado, me concentraría en mostrar los riesgos residuales, que difieren de empresa en empresa dado que dependen de la gestión de los riesgos que cada empresa haga. Si se quiere hacer un upgrade de la herramienta, se podrían mostrar los riesgos objetivos, los que definiremos como los riesgos que queremos tener en nuestro negocio, que serán los que nos queden una vez que terminemos de implementar las herramientas de mitigación planificadas. De esta manera podríamos tener un mapa de calor y un mapa de calor objetivo (eventualmente a corto, mediano y largo plazo); la diferencia entre ambos sería el plan de acción de los diferentes riesgos.
En resumen, el mapa de calor es una herramienta muy útil para la gestión de riesgo de las organizaciones, vemos que muchas ya lo tienen, pero todavía hay mucho camino para mejorar.
