GESTION DEL #RIESGO

 

27 de abril de 2023

Por Carlos Díaz Llorca

Un buen sistema de #gestión del riesgo debe de estar adecuadamente planeado y contemplar los diferentes momentos que deben tenerse en cuenta. El primer eslabón en la cadena de valor de toda gestión del riesgo es tener claridad conceptual de que las organizaciones en su funcionamiento pueden estar sometidas a la ocurrencia de determinados riesgos y por tanto para ello hay que prepararse.

Las organizaciones no pueden trabajar para hacer la autopsia de lo sucedido, sino que tienen que tener claridad que pueden existir factores que conspiren contra el logro de los objetivos propuestos que tienen que ser previstos y estar preparados para evitarlos o al menos reducir el impacto de sus efectos.

Gestionar el riesgo es descubrir de manera planificada las reservas que aún existen en la organización al tratar de minimizar las fugas por pérdidas tangibles e intangibles que conspiran contra el éxito organizacional. Es contar con un mecanismo de gestión que permita convertir amenazas en oportunidades.

Con estos antecedentes podemos plantear que el objetivo de este trabajo es presentar los diferentes momentos que deben seguirse para gestionar el riesgo en las organizaciones.

DESARROLLO

Obviamente, un enfoque de gestión del riesgo requiere invariablemente el poder contar con un proceso que nos permita definir el riesgo de manera planificada, por lo que debemos contar con los procedimientos lógicos y necesarios para de manera sistemática gestionarlos.

Los principales pasos para una buena gestión del riesgo pueden verse en el esquema siguiente:

Alineamiento		Supervisión y ajuste
	Premisas necesarias
	Identificación de riesgos
	Evaluación de riesgos
	Decisiones oportunas

Premisas necesarias.

Si de gestionar el riesgo se trata, es bueno ser consciente que sólo podremos lograr una buena gestión de riesgos si previamente se garantizan las premisas que son condición “sine quoi non” para que dicha gestión sea efectiva. Entre estas premisas podemos encontrar las siguientes:

1. Tener el permiso permanente de los niveles correspondientes para estudiar de manera sistemática todas las actividades y procesos de la organización, de manera de poder encontrar aquellos factores que representan fugas reales o potenciales.

• Contar con mecanismos instrumentados que permitan identificar y afrontar los riesgos de manera continua, así como contar con los registros necesarios que permitan la creación de una base de datos de los mismos.

• Tener claros y cabal comprensión de los objetivos estratégicos y operativos establecidos por los niveles de dirección con la participación de todos.

• Tener disposición a crear un sistema de creencias y valores propios para trabajar y afrontar los riesgos de cada actividad o proceso.

• No ver la gestión del riesgo como una actividad separada, sino integrada a las gestión general de la organización y donde se involucre a todos, por lo que hay que compartir y comunicar a todos el plan de riesgos.

• La gestión del riesgo no es un programa ni un eslogan sino un proceso que forma parte de los objetivos de la entidad por lo que debe monitorearse y revisarse sistemáticamente.

No debe olvidarse que el éxito de cualquier organización puede encontrarse entre otros por su habilidad para alcanzar los objetivos, evitando los riesgos a que los mismos pueden estar sometidos.

Identificación de los riesgos.

Teniendo claro cuáles son los objetivos que una organización se propone alcanzar, así como aquellos objetivos que sus unidades subordinadas se plantean para tributar a los objetivos globales de la organización, un primer momento en la gestión del riesgo es la identificación de los mismos.

En la misma medida que los objetivos de una entidad busquen un mejor posicionamiento de la organización y por tanto sean de mayores pretensiones y alcance el nivel de riesgo aumenta, ya que esto hace que la organización se aleje de su comportamiento medio y factores de diferente índole comiencen a convertirse en factores de riesgo.

Es vital en las organizaciones contar con la capacidad necesaria para que todos los factores sean identificados y para ello puede resultar clave el integrar la identificación de riesgos al momento en que se definen los objetivos estratégicos de la organización.

Pueden estar sometidos a riesgos externos a nivel de toda la organización factores asociados a la tecnología, los clientes, la competencia, los proveedores, la aparición de nuevos proveedores o nuevos productos, las políticas de gobierno, los desastres naturales o cambios económicos derivados del nivel de globalización imperante en estos momentos.

Los riesgos de carácter interno a nivel de toda la organización también pueden ser muchos: factores asociados a los problemas de carácter tecnológicos de las redes de los sistemas informáticos, la competencia de los trabajadores, el clima laboral, la rotación del personal, el ausentismo, la naturaleza de la entidad, el consejo de dirección, el grupo de auditores internos y hasta los cambios de directivos, pueden ser entre otro factores de riesgo interno.

Si importante es identificar los riesgos a nivel de toda la organización, no menos es identificarlos a nivel de cada actividad de las funciones más importantes, ya que esto es una significativa contribución al mantenimiento de un nivel de aceptable de riesgo del conjunto de la entidad. De esta forma, identificar los riesgos de almacenamiento, producción, comercialización, transporte, recursos humanos y contabilidad a manera de ejemplo, es una gran ayuda para alcanzar los objetivos estratégicos de la entidad.

En otro plano de análisis, pueden considerarse áreas de riesgo tanto aquellos aspectos de carácter general de la organización, como los asociados a problemas específicos de dirección, situaciones relacionadas con los mercados, problemas con las operaciones financieras o con condiciones externas, así como cuestiones propias de la administración de recursos humanos o con sistemas informáticos.

Finalmente, puedo decir, a manera de ejemplo, que pueden considerarse factores de riesgo en las organizaciones situaciones como: no poder lograr alcanzar los objetivos estratégicos de la organización, fallar en el cuidado y conservación de los activos tangibles, insatisfacciones de los clientes, mala publicad y daño a la imagen de la empresa, implementar políticas, normas y procedimientos  no alineados a los objetivos de la organización, incumplimientos de la legislación vigente, uso de los recursos de manera ineficaz e ineficiente o pérdida del personal clave para la organización.

Evaluación de los riesgos.

Una vez identificados los riesgos su evaluación no es una actividad puramente teórica, sino todo lo contrario, de un fuerte carácter práctico y esencial para el logro  del éxito de la entidad donde se aplique. Los métodos a emplear pueden variar, acá les voy a explicar uno resultado de la experiencia de trabajo.

Ideas pasadas nos hacían pensar que el riesgo es una “contingencia o posibilidad de daño”. Sin embargo, este concepto hoy en día tiene un nuevo enfoque y el riesgo se ve como “la contingencia de que suceda algo que tendrá impacto en los objetivos” y se mide en términos de una probabilidad de ocurrencia y una valoración de sus consecuencias.

Derivado del nuevo enfoque del concepto de riesgo, se hace evidente la necesidad de determinar la probabilidad de ocurrencia de cualquier factor de riesgo. En virtud de ello la experiencia indica que por el conocimiento que tienen los directivos de la actividad con que trabajan pueden estimar la posible probabilidad de ocurrencia de determinados factores, por ello se pudiera utilizar como elementos de referencia la tabla que a continuación les presento:

MEDIDA DE LA PROBABILIDAD

NIVEL	DENOMINACION	DESCRIPCION
81 a 100%	Valor 5 Casi probable	Se espera ocurra en la mayoría de los casos.
61 a 80%	Valor 4 Probable	Probablemente ocurrirá.
41 a 60%	Valor 3 Posible	Podría ocurrir.
21 a 40%	Valor 2 Improbable	Pudo ocurrir en un momento.
0 a 20%	Valor 2 Raro	Puede ocurrir excepcionalmente.

A su vez, el nuevo concepto de riesgo nos impone la necesidad de determinar una valoración de la medida o magnitud que implican las consecuencias que se pueden derivar de la ocurrencia de cada uno de los factores de riesgo. En este caso, aplicando el mismo criterio anterior, la valoración de los directivos como expertos de la actividad, pudieran utilizarse para tal valoración los criterios expuestos en la tabla siguiente:

VALORACION DE LAS CONSECUENCIAS

NIVEL	DENOMINACIÓN	DESCRIPCIÓN
1	Insignificante	Tratamiento mínimo, baja pérdida.
2	Menor	Tratamiento menor, media pérdida.
3	Moderado	Tratamiento, pérdida alta.
4	Mayor	Tratamiento intenso, pérdida mayor.
5	Catastrófico	Tratamiento mayor, enorme pérdida.

Obviamente, para estas consecuencias hay que considerar que las mismas son determinadas en relación al logro de los objetivos, que pueden ser expresadas cualitativa o cuantitativamente y que pueden tener ya sea un sentido positivo o negativo.

Si las valoraciones dadas en las tablas anteriores las llevamos a una nueva matriz que nos permita evaluar la relación entre las probabilidades de ocurrencia de un número de factores con la valoración del impacto que pudiera derivarse de las consecuencias por la ocurrencia del riesgo, pudiéramos tener una tabla como la que a continuación les presento:

Probabilidad		IMPACTO
		Insignificante 1	Menor 2	Moderado 3	Mayor 4	Catastrófico 5
Casi cierto	Entre 81 y 100%	A	A	E	E	E
Probable	Entre 61 y 80%	M	A	A	E	E
Posible	Entre 41 y 60	B	M	A	E	E
Improbable	Entre 21 y 40%	B	B	M	A	E
Raro	Entre 1 y 20%	B	B	M	A	A

La lectura de esta nueva tabla está dada porque en la zona con la letra E caerían aquellos riesgos que llegan a ser Riesgos Extremos, o sea de una alta probabilidad de ocurrencia o de consecuencias muy altas. Mientras los escaques con la A son de riesgo alto porque su probabilidad  es alta y altas también son las consecuencias que se derivan. Por otro lado, los escaques con M son de riesgo medio y las B de riego bajo.

Decisiones oportunas.

Las acciones a tomar pueden ser variadas, según el tipo de riesgo, pero de la tabla se deduce que aquellos factores de riesgo que son extremos o altos requieren de tratamiento especial. No tanto así los factores de riesgo medios y bajos, pero que no deben ser descuidados tampoco.

Las decisiones que pueden derivarse según el caso particular pudieran estar enmarcadas en:

1. Tratar de tomar las medidas pertinentes para reducir la probabilidad de ocurrencia o las consecuencias derivadas. En este caso sería necesario desarrollar los mecanismos requeridos, ya sea con nuevos procedimientos o con la asignación de los recursos que sean necesarios para minimizar la probabilidad de ocurrencia y con ello el impacto de los efectos derivados.
2. También pudiera renunciarse y no hacer nada ante la actividad riesgosa. En este caso pudiéramos estar ante un factor de riesgo probablemente bajo o tal vez medio y estamos dispuestos a renunciar a sus consecuencias. No hay pérdidas significativas de recursos ni de imagen.
3. O pudiéramos estar dispuesto a asumir el riesgo y aceptarlo sin gestionarlo. Este caso es similar al anterior, pero tal vez los riesgos pueden ser medios o altos, pero de baja probabilidad y por tanto estamos dispuestos a asumir el riesgo y aceptarlo sin gestión alguna, sus consecuencias no son significativas.
4. Finalmente, pudiéramos pasar el riesgo a otra parte para compartirlo en alguna medida. En este caso la decisión puede responder a contar con cierto resguardo que permite compartirlo con otra persona o entidad. Por ejemplo, es el caso en el que pudiéramos tener el resguardo de algún tipo de seguro.

Alineamiento.

Para dirigir basado en los riesgos es necesario darse cuenta que el punto de partida es una decisión estratégica de largo plazo, donde los dirigentes deben convencerse que tienen que trabajar por ellos para agregarle valor a la organización.  

Además, es vital que cada una de las personas de la organización conozca cuál es el sistema de riesgos previstos y comprendan la forma en que sus acciones individuales en los procesos cotidianos alimentan y apoyan todo el proceso de gestión de riesgos y de esta forma impulsan los objetivos y las estrategias de la organización.

Por ello, una de las cosas que  hay que hacer para utilizar un sistema de gestión del riesgo es tomar los riesgos definidos y moverlos, hay que ponerlos en funcionamiento y ese movimiento se hace mediante un proceso comunicativo.

Trabajar con un sistema de riesgos es un proceso de personas, por lo que hay que consensuarlos, compartirlos y operar con ellos. Al mover el sistema de riesgos se presupone que aumente la comprensión y el compromiso entre todos los participantes de la organización.

Lo más importante para dirigir haciendo uso de un sistema de gestión de riesgos  es resolver que todo el mundo sepa la importancia de los riesgos, por lo que hay que buscar la forma de armonizarlos con las decisiones estratégicas y las actuaciones diarias.

Mover los riesgos es desarrollar un proceso comunicativo continuado y consistente para formar a la gente en un compromiso por reducirlos. Esta alineación es un movimiento estratégico y debe de ser en cascada, así como desarrollarse en múltiples direcciones.

Los procesos para consensuar los riesgos pueden ser variados pero, regularmente, estos se inician  con reuniones donde se dan a conocer los posibles riesgos a todos en sus áreas.

Comunicar es un paso en este proceso y debe  conseguir el compromiso necesario y crear una conciencia tanto individual como colectiva con el sistema de gestión de riesgos.

No quisiera terminar esta parte sin destacar que crear una cultura de riesgo no es un proceso fácil, invariablemente se hace necesario crear un ambiente de riesgo, que permitan limitarlos de manera consciente o al menos hagan mínimas sus ocurrencias y el impacto de sus efectos. Tal ambiente puede estar asociado a procedimientos de trabajo específicos y a la asignación de recursos previamente determinados.Todos los mecanismos que se utilicen tienen que ser entretejidos con el único propósito de alinear a la gente +.

Supervisión y ajuste

Un último paso para el desarrollo de este proceso es el de la supervisión y ajuste del sistema de riesgo. En la misma medida que el sistema de riesgos se convierta en criterio de orientación de la conducta, dicho sistema debe ser evaluado para lograr su mejora continua.

Por eso es necesario evaluar las diferencias que puedan existir entre el sistema de riesgos asumido y los procesos cotidianos en todos los niveles de la organización. Esta confrontación de datos es el verdadero reto del cambio de cultura y del uso de la gestión del riesgo.

En esta supervisión se puede medir el desempeño individual, grupal y organizacional en función de los resultados alcanzados. La única forma de medir su cumplimiento es mediante la evaluación del desempeño en función de los resultados alcanzados.

Tal mecanismo de medición puede ser a través de una auditoria del sistema de indicadores de riesgo que sirve para revisar su puesta en marcha y su ejecución. Esta auditoria debe comprobar si las bases teóricas establecidas se corresponden y son coherentes con la práctica organizacional. Este tipo de auditoria no es para sancionar, sino es una oportunidad para agregar valor y mejorar las operaciones, que busca como objetivos la coherencia entre el discurso y la acción, así como consolidar el  compromiso en todos los niveles.

Son indicadores complementarios de medición en este caso los resultados alcanzados en la competitividad, eficiencia, eficacia y efectividad  lograda por la organización en su conjunto. El resultado de tal medición puede conllevar a la realización de ajustes al sistema de gestión de riesgo diseñado.

CONCLUSION

La única conclusión que puede sacarse en este caso es que la gestión del riesgo es un proceso y que ese proceso tiene que ser consensuado entre todos los que operan en la organización, porque el riesgo está presente en toda operación que se realice, desde la más simple hasta la más compleja. Evitar el riesgo está en el detalle y evitando los riesgos se alcanzan mejores resultados y se aumenta la competencia.