Despejando la incertidumbre
El riesgo desde el punto de vista de la norma ISO-31000:2018 se define como “el efecto de la incertidumbre sobre los objetivos”, y las normas ISO de Sistemas de Gestión lo retoman para expresarlo únicamente como “el efecto de la incertidumbre”, entonces ¿qué es la incertidumbre?
Los conceptos de riesgos e incertidumbre son dos expresiones que nos permite entender cómo funcionan ambas dentro de los Sistemas de Gestión ISO. De manera esquemática lo podemos representar de esta forma:
Entonces, podemos decir que el riesgo se desconoce o se conoce parcialmente la situación potencial o probabilidad de que se manifieste, por lo que la incertidumbre tiene un efecto o consecuencia en los procesos y que decanta en resultados negativos o en oportunidades
O también se puede expresar: el riesgo es una situación que potencialmente tiene un efecto en los procesos estratégicos, operacionales, proyectos o programas y que decantan en resultados negativos o en oportunidades.
Gestión de riesgos
Los riesgos ya no son definidos por un área o función especial, ahora la participación de las personas que directamente ven los efectos del riesgo se convierte en algo esencial para el logro de los objetivos de la gestión de los riesgos.
El liderazgo y compromiso de la alta dirección, es un ingrediente central en la gestión de los riesgos, ya que es quien define una política en la que se deben fundamentar las líneas de acción para gestionar los riesgos.
Definir un marco de referencia que le permita a la organización comprender de qué manera el liderazgo y compromiso son los ejes rectores que articulan los elementos de integración, diseño, implementación, valoración y mejora, como lo propone la norma ISO-31000:2018, es el modo en que la organización tendrá la perspectiva de cómo lograr la gestión de riesgos. Figura 1
De manera resumida y con el fin de comprender la gestión de los riesgos, podemos decir que hay dos etapas, la primera es la planificación y la segunda la implementación, aunque debemos de considerar un tercera que es la revisión y seguimiento.
En la etapa inicial se sugiere tomar en cuenta:
a) El liderazgo y compromiso de la alta dirección por medio del establecimiento de una política, directriz o lineamiento sobre la gestión de riesgos en la organización.
b) Integrar a las personas que viven los efectos de los riesgos en los procesos.
c) Diseñar el marco de referencia o modelo gestión basado en el análisis del contexto de la organización interno y externo.
d) Implementación del marco de referencia o modelo de gestión que incluya:
– un plan con plazos y recursos
– la identificación de las personas para la toma de decisiones y modificaciones de los procesos cuando se requiera.
-asegurar que las disposiciones para gestionar los riesgos se comprenden.
e) Valoración. Definir la periodicidad para medir el desempeño del marco de referencia o modelo de gestión en relación con el propósito, implementación de la gestión de riesgos, indicadores y el comportamiento esperado.
f) Mejora. Del resultado de la valoración, la organización puede realizar el seguimiento continuo y adaptar el marco de referencia o modelo de gestión en función de los cambios que puedan ocurrir tanto al interior como al exterior.
Proceso
Una vez que la organización ha definido el marco de referencia o modelo de gestión de riesgos, inicia la fase para sistematizar el proceso de evaluación de los riesgos. En la siguiente figura de la norma ISO-31000:2018 ilustra la manera en que se desarrolla el proceso.
Fig. 2
De esta figura, explicaremos los elementos que consideramos más relevantes.
a) En la comunicación se promueve la toma de conciencia para la compresión del riesgo y en la consulta se busca obtener opiniones, comentarios e información que apoye la toma de decisión.
b) La definición del alcance en la gestión de los riesgos se puede establecer en los niveles estratégicos, operacional, de un programa o de un proyecto, o bien en actividades. Siempre es recomendable que estos niveles se alineen con los objetivos de la organización.
c) Definir los criterios con base en las siguientes consideraciones:
– Tipos de incertidumbres que pueden afectar a los resultados (intangibles o tangibles)
– Definir y medir las consecuencias y probabilidades (positivas y negativas)
– Factores relacionados con el tiempo
– Determinar el nivel de riesgo (bajo, medio, alto, catastrófico)
– Combinación y secuencia de múltiples riesgos
– La capacidad de la organización (resiliencia)
Evaluación del riesgo
La evaluación del riesgo es el proceso global de identificación, análisis, valoración y tratamiento de los riesgos.
– El objetivo de la identificación del riesgo es encontrar y describir los riesgos que pueden impedir o ayudar a la organización al logro de los objetivos. La organización puede elegir técnicas para identificar las incertidumbres que afectan o potencialmente afectarán a uno o varios objetivos. Algunas técnicas que se emplean son la lluvia de ideas, qué pasaría si, Pareto, otras.
Es importante considerar al momento de identificar la incertidumbre del riesgo elementos como las fuentes de riesgo tangible o intangible, las causas y los eventos, las amenazas y oportunidades, los sesgos, supuestos y creencias de las personas involucradas, entre otros.
En los Sistemas de Gestión ISO la identificación de los riesgos es posible encontrarlos en el análisis del contexto de la organización, en las partes interesadas, en la descripción de los procesos estratégicos, de gestión y operacionales.
a) Análisis del riesgo. Mientras que en la identificación del riesgo el propósito es conocer la incertidumbre, en el análisis del riesgo es comprender la naturaleza del riesgo y sus características, en esta fase es cuando se puede considerar el nivel del riesgo.
El análisis del riesgo se puede examinar con diferentes técnicas para detallar la incertidumbre, las fuentes del riesgo, las consecuencias y probabilidades, eventos, escenarios, controles y su eficacia. Se pueden considerar factores como la complejidad y la interconexión, el tiempo y la volatilidad; la eficacia de los controles existentes, entre otros.
La conclusión de esta fase es la entrada para la valoración del riesgo y las decisiones que se tomarán sobre el tratamiento de los riesgos.
a) La valoración del riesgo es comparar los resultados del análisis del riesgo con los criterios que se definieron para tomar una decisión. Esta valoración puede conducir a una decisión de no hacer nada, considerar opciones para el tratamiento del riesgo, hacer otro análisis, mantener los controles o reconsiderar los objetivos.
Tratamiento del riesgo
Una vez concluido el proceso de análisis, la siguiente etapa es seleccionar las distintas opciones para tratar el riesgo, las cuales pueden implicar una o más de las siguientes opciones: evitar el riesgo, aceptar o aumentar el riesgo en busca de una oportunidad, eliminar la fuente, modificar la probabilidad o consecuencias, compartir el riesgo o retener el riesgo.
Preparación e implementación de planes de tratamiento
Es importante que las personas involucradas preparen los planes de implementación para el tratamiento de los riesgos, el plan debería incluir personas que hacen rendición de cuentas, las acciones propuestas, recursos, mediciones, informes y plazos previamente establecidos.
Seguimiento y revisión
El seguimiento planificado y revisión del proceso de gestión de los riesgos se puede realizar en todas etapas del proceso o definir a qué etapas del proceso se le debería dar seguimiento. La finalidad del seguimiento y revisión es mejorar la calidad y eficacia del diseño, de la implementación y los resultados que se han obtenido del proceso.
Conclusiones
Decidir la implementación de la gestión de riesgos, es en definitiva una decisión estratégica que le corresponde a la alta dirección. El liderazgo y el grado de compromiso que demuestre será un factor para el logro de la toma de conciencia de las personas que se ven afectadas por los riesgos.
La diversidad de interpretaciones y metodologías pueden ser una dificultad al momento de iniciar la gestión de riesgos, la norma ISO-31001:2018 es una excelente alternativa que orienta a las organizaciones. Aparejado a la decisión de cuál será la metodología para la gestión de riesgos deberá ir la capacitación de las personas en el conocimiento y manejo de la gestión de riesgos.
Un ejercicio libre para identificar posibles riesgos permite a las organizaciones adelantarse a los diferentes escenarios que se pueden presentar en el corto, mediano y largo plazo. Las herramientas que se emplean para el análisis del contexto, la planificación estratégica; el uso de técnicas básicas y todas aquellas herramientas que sirvan para acercarnos a la realidad de los efectos que pueden manifestarse y la capacidad para responder ante los diferentes escenarios, representa una combinación óptima cuando se vislumbran los posibles riesgos.
Gestionar los riesgos dentro de la organización es complejo por las diferentes interconexiones que tienen los procesos y los efectos que se producen, sin embargo, la participación de las personas, la claridad con la que se desarrollen los procesos y sus interconexiones permitirá que la gestión de riesgos fluya en todos los niveles de la organización.
Bibliografía y fuentes de información
Norma ISO-31000:2018 Gestión de riesgos – Directrices
Material didáctico de Grupo Calinter
Memoria de proyectos de Grupo Calinter
