La Gestión de Riesgos según el Contexto

La gestión de riesgos, es un tema recurrente en una gran variedad de normas ISO, pero, ¿Es el mismo en todas las normas?

Para responder a esta pregunta, es necesario, primero de todo, determinar el contexto y el alcance del sistema de gestión y de la norma en la cual certificamos nuestro sistema.

Habitualmente, las organizaciones, realizan un análisis del contexto de manera generalista, más enfocado a la organización en su conjunto y eso está bien cuando se trata de un Análisis Estratégico, pero no tanto cuando hablamos de sistemas de gestión, pues los ámbitos son muy diversos y distintos.

Pero para poder desarrollar mejor la anterior reflexión, lo que primero que tenemos que hacer es definir correctamente que es un “Riesgo” para posteriormente aplicarlo al ámbito deseado.

Concepto de Riesgo

En primer lugar, decir que el término Riesgo es un concepto muy amplio. En general, toda actividad está sujeta a riesgos. Está de moda hablar de riesgos entendidos como incertidumbres, posibilidades futuras que no están aseguradas al 100%

Según la norma ISO 31000: Gestión de Riesgos, este concepto consiste en el “Efecto de la Incertidumbre sobre nuestros Objetivos”, pero según la RAE se trata de la “Posibilidad de que ocurra algo malo”. Pero , la pregunta es. ¿Por qué malo?. ¿Necesariamente ha de ser así?.

Realmente, el Riesgo, podríamos definirlo en términos de términos matemáticos, como la probabilidad de que algo ocurra, pero la consecuencia de su materialización puede tener una connotación tanto negativa (pérdida), como positiva (ganancia). Esta definición captura la idea matemática de balance final, entre lo que puede sumar y lo que puede restar.

La realidad es que el objetivo de todas las organizaciones (certificadas o no), es maximizar su beneficio neto dentro de la incertidumbre del futuro. Y la incertidumbre, produce miedo, y este, a su vez, paraliza.

La Gestión de Riesgos

Según la situación anterior, podría ser una buena decisión, quedarnos quietos, a ver que sucede, pero esto no suele ser una buena idea en términos empresariales (ni personales) ya que no nos permite avanzar, porque estaríamos siempre a merced del entorno externo para poder reaccionar.

Por tanto, la única situación posible es poder gestionar estas situaciones de incertidumbre, mantenerlas bajo control o bien, asumirlas.

Pero para ello, tenemos que llevar a cabo una serie de pasos mínimos para mantener la situación bajo control.

1º Determinación de los Propietarios de los Riesgos. Dentro del contexto elegido, se han de determinar quienes son los dueños de los riesgos que son identificados para su posterior estudio.

Dichos dueños, han de ser aquellas funciones o roles que pueden tomar de manera directa decisiones sobre su tratamiento. Los técnicos no son los dueños, sino que son quienes obedecen órdenes utilizando los recursos que se les facilitan.

Si en una organización somos incapaces de identificar al propietario de cada riesgo, la consecuencia es que ante un incidente nadie es responsable. Y eso, no puede ser.

2º Estudiar el Riesgo”. Para ello, el primer paso es “identificarlo” convenientemente, tratando de concretar la fuente que lo produce (una debilidad, una amenaza, etc). Una vez identificado habrá que “Analizarlo”, mediante el uso de alguna metodología y por último realizar una “Evaluación”. Los dos pasos anteriores, habitualmente se realiza conforme alguna metodología, pudiendo ser una general y transversal a cualquier tipo de riesgo (calidad, medio ambiente, seguridad laboral, alimentaria, de la información, etc.

2º Tratamiento de los Riesgos. Una vez analizados y evaluados conforme a la metodología elegida, determinamos su significancia. Es ahí, cuando la organización adopta medidas o no, para tratar de minimizar el impacto que puede llegar a ocasionar la materialización de un riesgo y que ello suponga un perjuicio para la organización.

Generalmente, los riesgos son tratados mediante la adopción de medidas que pretenden reducir la probabilidad de que se materialicen, si bien es cierto que es prácticamente imposible eliminar dicha posibilidad.

Pero la cuestión es: ¿Tengo que tratar siempre los riesgos?. ¿Hasta dónde lo hago?. La respuesta es clara a este respecto. Hay que llegar a una situación de compromiso entre lo que vamos a salvaguardar y el coste previsto para poder evitarlo. Dicho de otra manera, si el coste de evitar que un riesgo se produzca es superior al problema que puede llegar a ocasionar la materialización del mismo, podemos determinar que habremos llegado a nuestro punto de equilibrio coste-beneficio Esto nos lleva al concepto de “Apetito al riesgo”, que no deja de ser más que la cantidad de riesgo que una Organización quiere asumir sin perjudicar sus objetivos empresariales, si bien esta situación entra en conflicto con uno de los requisitos que tienen todas las norma ISO de sistemas de gestión que no es otro más que la Mejora Continua.

Conclusiones

Ya hemos analizado y visto de manera general en qué consiste la Gestión de Riesgos y que debemos de establecer el contexto adecuado para cada Organización y Sistema de Gestión (9001, 14001, 45001, 27001, 22000, etc)

Para algunos de estos esquemas es relativamente sencillo determinar los riesgos . Ej: Riesgo de Inundación, de accidente, de pérdida de información, pero hay otros, fundamentalmente relacionados con la norma ISO 9001, que se hacen excesivamente generalistas y se confunden con los riesgos de la organización a nivel de negocio. Nos referimos en concreto a identificar riesgos tales como pérdida de cuota de ventas, desaceleración económica, impagos, existencia de nuevos competidores o sustitutos, etc. Nada de lo anterior, tiene que ver con hacer las cosas bien (con calidad) o mal. Nosotros podemos cumplir perfectamente con nuestras políticas y procedimientos de calidad, tener productos conformes, pero perder cuota de mercado.

Con todo ello, lo que pretendemos con esta reflexión es que la determinación de los riesgos asociados a los esquemas certificables (ISO) es en general un trabajo complejo que exige una profunda reflexión intelectual por parte de los gestores para que ello tenga valor para los sistemas de gestión que la organización tiene o pretende implantar.