Ciclo de Gestión de Riesgos.

Carlos se paseaba nervioso en la sala de juntas, había pasado ya una semana desde el día que asistió a la capacitación sobre gestión de riesgos y él tuvo la iniciativa de compartir con sus compañeros, los Gerentes de Operaciones, Ventas, Administración y Finanzas y Recursos Humanos, los conocimientos adquiridos en dicho ejercicio. Estaba seguro que esto le serviría a la empresa para afianzar su posición en el mercado y que contribuía grandemente a la continuidad del negocio.

El primero en llegar fue David, quien había tenido una reunión con los coordinadores, dando seguimiento al programa de producción. Serio pero disciplinado, aunque poco paciente.

– Hola Carlos, no tardará mucho la junta en comenzar ¿o sí?

– Hola David, esperemos que lleguen los demás para comenzar y solo esperaremos los 5 minutos que estipulaba la convocatoria.

Carlos, Gerente de Calidad y Procesos, había solicitado le enviaran al curso de Gestión de Riesgos para complementar sus competencias y dado que estaba en medio de un proceso de certificación, era imprescindible empaparse de todo lo que tenía que ver con Riesgos.

Los siguientes en llegar fueron Elizabeth y Felipe, Gerentes de Ventas y Administración y Finanzas, finalmente llegó corriendo Graciela, fiel a su estilo acelerado, la Gerente de Recursos Humanos.

“Gracias a todos por su asistencia”, comenzó Carlos, como sabrán la semana pasada tuve oportunidad de asistir a un curso de capacitación sobre Gestión de Riesgos y considero fundamental transmitirles algo de mi experiencia por lo que, en 5 sesiones, trataré de replicar lo que aprendí y que nos será de mucha utilidad dentro de la empresa.

– Espera Carlos, interrumpió David, ¿ese curso de Riesgos es lo que nos servirá para atender los temas pendientes de la certificación?

– Efectivamente, solo que no solamente se debe aplicar la Gestión de Riesgos en los procesos productivos sino a lo largo y ancho de toda la Organización.

– Me parece muy interesante, hubiera querido asistir, dijo Elizabeth.

– Pero, y ¿eso de qué nos servirá a nosotros?, dijo secamente Felipe.

– Si Carlos, explícanos, mencionó Graciela.

Para eso estamos aquí para aclarar todas sus dudas o comenzar a aclararlas… – Carlos sonrió, poniéndose de pie ante la mirada atenta de sus compañeros, quienes poco a poco centraban su atención.

Antes que nada -continúo-, recordemos que los principales problemas a los que nos enfrentamos como empresa se pueden resumir en los siguientes:

• Vivimos el día a día apagando incendios sin llevar a cabo actividades planificadas y, peor aún, cuando hemos intentado llevar a cabo ejercicios de planeación, nada o muy poco de lo planeado lo ejecutamos, debido a que nos “come la operación”.
• Los problemas a los que nos hemos enfrentado, muchas veces no los veíamos venir simplemente por estar inmersos en resolver lo urgente, sin preocuparnos por lo importante.
• No tenemos procesos estandarizados y la información no fluye como debiera, en tiempo y forma.
• Tenemos la falta de definición en roles y responsabilidades que limitan nuestro campo de acción.
• Llevamos a cabo proyectos, no los que la empresa necesita sino los que a nosotros se nos ocurre, sin importar si el resultado, de lograrse, va a contribuir al bienestar de la compañía, o peor aún, solo con el fin de justificar el empleo de recursos.

Ante una general aceptación de los asistentes Carlos siguió con su exposición, – Hemos trabajado arduamente para desarrollar el Modelo Central de Procesos de Negocio, con todos sus componentes, donde uno de los cuales es clave: Tener descritas nuestras actividades a través de procedimientos, ya que a partir de aquí es que nos falta la cereza del pastel: Riesgos y Controles.

Para eso estamos aquí, -dijo enfáticamente -, para presentarles el Modelo de Gestión de Riesgos el cual contempla una metodología basada en mejores prácticas, una de ellas precisamente es la Norma ISO 31000, la cual establece que la gestión de riesgos se realiza considerando diversas etapas las cuales nacen a partir del Contexto de la Organización.

Los riesgos están presentes en todas las actividades que realizamos diariamente, -continuó Carlos con toda la atención de sus compañeros- por eso la importancia de abrir el panorama, para que vean que no solamente “en producción” existen riesgos sino en cada proceso de la empresa.

– Pero, ¿cómo se aplica el Modelo?, mencionó Felipe, que ya se encontraba, ahora sí, interesado en lo que exponía Carlos.

– En primera instancia se debe definir el Contexto de la Organización lo cual consiste en analizar los factores internos y externos que afectan a la organización para, a partir de ello, definir los objetivos estratégicos y los mecanismos para lograrlos, le respondió y continuó Carlos, – una vez definida la estrategia, es momento de aplicar la segunda etapa, identificar riesgos.

– La identificación de riesgos es un ejercicio multidisciplinario donde la experiencia y aportación de los colaboradores es pieza fundamental. La identificación de riesgos se realiza a través de la observación de las actividades que se ejecutan en todos los procesos de la empresa, utilizando una lupa denominada “eventualidades potenciales”, es decir, preguntándonos durante el ejercicio “cuáles son las situaciones que se pueden presentar (es decir riesgos), que podrían impedir la ejecución de nuestras actividades como están planificadas.

Existen algunos documentos guía que nos pueden ayudar en esta etapa que es crucial dentro del Modelo, uno de ellos es la Norma ISO 31010 que contiene diferentes técnicas para realizar esa identificación.

Todos los riesgos identificados se agrupan bajo dos conceptos denominados tipo y factor de riesgo.

Una vez que hemos hecho la identificación de riesgos y su clasificación en tipos y factores de riesgos, pasamos a la tercera etapa que es el análisis de riesgos.

Como les mencioné al principio en la definición de riesgo, regularmente se asocia a cada riesgo con elementos de probabilidad e impacto, en eso precisamente consiste esta etapa, en asignar un valor de probabilidad de ocurrencia y un nivel de impacto. Esa escala de valores la definimos nosotros como empresa, donde para cada valor definimos los límites o fronteras, para que no quede lugar a duda de qué valor debo asignar y por qué.

Toda información hasta ahora recopilada es conveniente agruparla en un documento denominado matriz de riesgos la cual contiene precisamente el listado con los tipos de riesgo y los factores que los integran, así como el nivel de probabilidad y de impacto.

Una vez que hemos asignado el nivel de probabilidad e impacto, realizamos el cálculo del nivel de riesgo, lo cual no es otra cosa que el producto de la probabilidad por el impacto y que, al igual que en los niveles de probabilidad e impacto, se deben definir los umbrales para cada nivel, donde típicamente, al menos, encontramos 3 niveles: crítico, medio y aceptable.

Es muy importante definir el nivel de riesgo, basado en probabilidad de ocurrencia e impacto, porque de aquí continuamos a la siguiente etapa que es la evaluación de los riesgos. La cual consiste en determinar las acciones a seguir para cada riesgo, es decir si los riesgos los vamos a asumir, mitigar, transferir o eliminar.

Ésta última decisión es la menos práctica, ya que la eliminación de un riesgo conlleva la eliminación de la actividad o actividades, que en la empresa resultan poco prácticas. Nos quedamos entonces con las principales que son mitigar, transferir o asumir el riesgo.

Las acciones de mitigación se refieren a todas aquellas actividades que permitan disminuir el nivel de riesgo a un nivel aceptable. Estas acciones se denominan controles.

Las acciones de transferencia se refieren a las actividades que realizamos para que alguien más asuma el riesgo por nosotros. La contratación de un seguro de cobertura extendida o el contratar algún proveedor para que realice parte de nuestros procesos, son acciones de transferencia de riesgos.

Finalmente asumir el riesgo es, como su nombre lo indica que aceptaremos llevar a cabo nuestras actividades, con el consecuente riesgo inherente existente, lo cual, debido a su baja probabilidad de ocurrencia y/o bajo impacto nos permite tomar esta decisión. De ahí la importancia de que dentro de los niveles de riesgos se considere el nivel “aceptable”.

La última etapa dentro del Modelo de Gestión de Riesgos consiste en el tratamiento de los riesgos. La cual consiste en definir puntualmente las acciones que llevaremos a cabo, mediante un plan de trabajo debidamente elaborado, con actividades, duración, responsables y fechas compromiso como mínimo que llevaremos a cabo para mitigar o transferir los riesgos.

Ahora bien, el Modelo de Gestión de Riesgos se basa en la Gestión por Procesos, de ahí que, al igual que los procesos de negocio de la empresa, no estaría completo si no aplicamos el ciclo de Mejora Continua para el Modelo, lo cual nos permite ir refinando el proceso de manera paulatina y ampliarlo no solamente a los procesos de negocio, sino al resto de la Organización, es decir aplicar el aprendizaje organizacional.

Cada uno de nosotros tenemos responsabilidades dentro de la cadena de valor que, dependiendo la función en la que nos encontremos, es el papel que desempeñamos: desde la función comercial, que se encarga de captar más clientes y traer negocio a la empresa, la función operaciones, que se encarga de la entrega de productos y servicios para los clientes y finalmente y no menos importante, la función Back Office que se encarga de dotar de los recursos necesarios para que la empresa pueda operar, apuntó Carlos.

– Tienes razón Carlos, dijo David, de acuerdo a la función, no necesariamente serán los mismos tipos de riesgos incluso, si hablamos de tipos de riesgos pueden ser los mismos pero no así los factores que los conforman, por ejemplo, tenemos riesgos de tipo tecnológico pero dependerá de los sistemas o aplicaciones que utilicemos, por ejemplo Eli, tú en Ventas utilizas un sistema CRM para el monitoreo de los clientes potenciales y cautivos, en Operaciones yo empleo varios módulos del ERP como Producción e Inventarios y en Administración, Felipe tú empleas un Sistema de Gestión Contable.

– Entonces Carlos, si entiendo bien, el tipo de riesgo es el mismo, tecnológico, pero el factor depende de los sistemas y aplicaciones empleados en nuestros procesos.

– Así es Graciela!

Para concluir dijo Carlos, la Gestión de Riesgos se fundamente en 11 principios que a continuación les enlisto:

1. La Gestión de Riesgos crea valor, al contribuir al logro de los objetivos y mejorar el desempeño de la organización.
2. La Gestión de Riesgos está integrada en los procesos de la Organización, donde es fundamental el Modelo de Procesos de Negocio hasta el nivel de detalle de los procedimientos con sus actividades para poder identificar los riesgos que impidan su ejecución como formalmente está establecida.
3. La Gestión de Riesgos forma parte de la toma de decisiones. Es fundamental una eficaz gestión de riesgos para el logro de los objetivos y la toma de decisiones oportuna.
4. La Gestión de Riesgos trata explícitamente la incertidumbre. Al tratarse de un modelo preventivo, fomenta la prevención en lugar de la cultura reactiva, “del bomberazo”.
5. La Gestión de Riesgos es sistemática, estructurada y adecuada. Al propósito de la organización y bajo el mismo modelo de gobierno de procesos.
6. La Gestión de Riesgos está basada en la mejor información disponible. Al integrarse como un componente del Modelo Central de Procesos de Negocio, debe seguir las mismas reglas de comunicación organizacional entre los procesos con los cuales se interrelaciona.
7. La Gestión de Riesgos está hecha a la medida de la organización, cada organización es diferente, por eso parte del análisis del contexto para de ahí definir objetivos y estrategias.
8. La Gestión de Riesgos toma en cuenta factores humanos y culturales. Somos nosotros los que hacemos posible la ejecución de los procesos y es factor crítico de éxito el fomentar la cultura de prevención mediante controles preventivos y mejor aún, predictivos en lugar de reactivos.
9. La Gestión de Riesgos es transparente e inclusiva, es la razón por la que en primera instancia los responsables de procesos, debemos ponernos de acuerdo, para definir las acciones que permitan permear la estrategia que emana del nivel directivo y hacia toda la organización.
10. La Gestión de Riesgos es dinámica, iterativa y sensible al cambio, una característica fundamental de los procesos efectivos es la adaptabilidad que se logra a través de la mejora continua, que le da ese sentido de dinamismo.
11. La Gestión de Riesgos facilita la mejora continua de la organización, tenemos que cambiar el enfoque reactivo a preventivo, en la medida que seamos más efectivos para gestionar los riesgos, seremos más efectivos en el logro de nuestros objetivos.

– Con esto hemos llegado al final de la sesión. Ahora la tarea es construir un sólido proceso de gestión de riesgos con el cual hacer frente a nuestras problemáticas para ser mejores cada día como empresa y como personas, concluyó Carlos.

– Carlos yo tengo una última pregunta, interrumpió Elizabeth, ¿cuándo es nuestra siguiente sesión?

El Modelo Central de Procesos de Negocio permite describir los procesos, subprocesos y procedimientos de la empresa para lograr sus objetivos, donde uno de los componentes principales es la integración de los roles responsables de las actividades, de los objetivos que deben lograr, de las reglas que deben cumplir, de la información que debe fluir, de los indicadores con los que pueden controlar su operación, de los riesgos y controles que deben tener en cuenta, de esta forma todos se interrelacionan y cumplen con lo que la empresa espera de ellos y lo que ellos pueden esperar de los demás.

La gestión de riesgos, es un componente clave para la continuidad del negocio, al integrar un proceso con un enfoque preventivo que permite mejorar la eficiencia en el logro de los objetivos de la organización.

En Equipo mabrieno de Aprendizaje Colaborativo tenemos un Modelo de Gestión Integral de Riesgos que se basa en un marco de referencia sustentado en mejores prácticas: ISO 31000, ISO 27005, HACCP, AMEF MAGERIT, algunos de los cuales aplicables a cualquier industria o bien, a algunas en lo particular.

Contáctanos para darte mayor información de nuestros servicios en esta materia y analizar un servicio a tu medida, que impulse a tus colaboradores hacia el alto desempeño, y se genere un sentido de pertenencia con compromiso y propositividad para hacer de tu organización un lugar donde te sientas orgulloso de participar, con lo mejor de ti.

[email protected]   | 52 1 (55) 6832 0014

Jorge Mercado

Mario Brieño