Gestión de Riesgos

gestión de riesgos - plan maestro de seguridad

Gestión de Riesgos es un término o concepto que maneja el mercado desde hace años, pero con diferentes modelos y metodologías dependiendo de gran manera en qué marco se desarrolle (seguros, operaciones, finanzas, etc.). Durante años la gestión de riesgos no ha tenido un método común, incluso los términos empleados tenían distintos significados dependiendo de cada negocio o industria.

Con el paso del tiempo la industria a nivel mundial empezó a ver la necesidad de unificar criterios, métodos e incluso el vocabulario en lo referente a Gestión de Riesgos. 

Es así, que la primera norma ISO 31000 se publicó el 13 de noviembre de 2009. Su propósito en ese momento fue proporcionar principios y pautas genéricas sobre la gestión de riesgos, buscando proporcionar un enfoque común a los procesos de gestión de riesgos en apoyo de las normas que se ocupan de riesgos específicos. 

La versión actualizada de ISO 31000 se lanzó en febrero de 2018, reemplazando a la ISO 31000: 2009.

Desde la óptica de la norma ISO 31000 definimos al riesgo como el “efecto de la incertidumbre sobre los objetivos”

Se enfoca en cualquier desviación (positiva, negativa o ambas) de los resultados esperados que pueden crear o generar oportunidades y amenazas. Al mismo tiempo, la Gestión de Riesgos es definida como el conjunto de “actividades coordinadas para dirigir y controlar la organización con respecto al riesgo”. 

En un espectro más amplio, la definición de Gestión de Riesgos es establecer una aplicación coordinada y económica de recursos que reduzca, monitoree y regule la probabilidad y el impacto de eventos desafortunados. 

La gestión del riesgo es crucial para las organizaciones: ayuda a establecer los pasos necesarios para mantenerse resiliente y desarrollar un plan de acción y estrategias que puedan eliminar o reducir los impactos de los riesgos.

Más allá de estas definiciones, y con la intención de que el lector pueda interpretar mejor nuestra labor vamos a realizar un paralelismo con la medicina / salud.

Tomemos que el negocio o proceso son el paciente y la gestión de riesgos el médico. El paciente se presenta ante el médico porque percibe que algo no está bien en su salud, tal cual sucede cuando en las empresas hay evidencias claras de que algo no está funcionando bien y que es necesario realizar una consulta con un asesor externo ya que internamente la autogestión no está dando los resultados esperados.

Este primer paso es uno de los más importantes: darse cuenta, que hay evidencias de un problema y que no se le encuentra la solución con los recursos internos que se poseen. Es tal cual sucede con nuestra salud, saber interpretar los síntomas que manifiesta nuestro cuerpo, “escuchar al cuerpo”. Salir del autodiagnóstico y la consecuente automedicación.

El paciente tiene su primera visita con el médico, donde el primero le cuenta los síntomas, el médico debe realizar distintas preguntas y con ello poder definir a qué estudios deberá someterse su paciente para que luego con los resultados de aquellos pueda llegar a un diagnóstico. 

De la misma manera en la Gestión de Riesgos, los referentes y responsables de las áreas o procesos en cuestión manifiestan los problemas y evidencias que ellos observan; siempre es conveniente poder dialogar con referentes de distintos niveles (operativo, táctico y estratégico) eso permite tener una mirada desde distintas ópticas.

Otra cuestión fundamental, a tener en cuenta es el contexto interno y externo de la organización, esto se obtiene por medio de las tareas propias de la Gestión de Riesgos y también en el diálogo con los distintos referentes.

Luego de estas primeras entrevistas se puede establecer cómo se llevarán a cabo las distintas tareas y actividades para reunir la información necesaria para poder arribar a un diagnóstico.

Dentro de estas tareas y actividades se pueden plantear: relevamientos de campo, revisiones de documentación, auditorías de procesos, nuevas entrevistas, verificación de sistemas, entre otras. Todas tienen por finalidad reunir información y evidencias para identificar, analizar y evaluar los riesgos; como parte del proceso de arribar a un diagnóstico.

Ya teniendo el médico los resultados de los estudios a los que fue sometido su paciente puede iniciar el proceso de análisis de estos y de esa manera arribar a un diagnóstico.

En la Gestión de Riesgos una vez obtenida la información comienza el proceso de identificación, análisis y evaluación de riesgos. Se identificarán amenazas, fuentes de riesgos y riesgos, estableciendo sus niveles en base a la frecuencia e impacto. Con esto ya se puede arribar a un diagnóstico.

Cuando el médico le informa a su paciente el diagnóstico, también le menciona las indicaciones sobre el tratamiento a realizar para normalizar su estado de salud; como todos sabemos esto puede ir desde tomar determinados medicamentos, hacer dietas específicas, cambios de hábitos de vida, abandonar determinadas cuestiones que también pueden ser vicios como el tabaquismo, realizar actividad física, etc. Pero finalmente será el paciente el que acepte o no las indicaciones del tratamiento, el paciente es el único dueño de su salud y está en él la posibilidad de mejorar o no.

De igual modo en la Gestión de Riesgos, sobre la base del diagnóstico y los niveles de riesgo obtenidos se establece un listado de medidas de tratamiento que tienen por finalidad reducir aquellos; aplicando medidas de control para trabajar sobre las probabilidades de suceso y medidas de mitigación para trabajar sobre las consecuencias. Es el Cliente el que aprueba, desaprueba o posterga las medidas de tratamiento propuestas.

Las medidas de tratamiento aprobadas son puestas en marcha comenzando así la etapa de implementación; algunas medidas serán implementadas bajo el formato de autogestión y otras con el apoyo del Asesoramiento Externo.

El paciente vuelve a ver a su médico para poder evaluar los resultados del tratamiento y determinar si es necesario modificar o reforzar algo de aquel.

En la Gestión de Riesgos comienza una etapa de monitoreo y control luego de que se implementan las medidas de tratamiento propuestas. Ello permite evaluar si los niveles de riesgo están llegando a los valores deseados y si existe riesgo residual; también se analizan cambios en los contextos interno y externo. 

Una vez que el paciente regularizó su estado de salud, debe concurrir frecuentemente (en los períodos indicados) a ver a su médico para realizarse los chequeos recomendados.

La Gestión de Riesgos es una actividad dentro de un proceso cíclico, una vez alcanzados los niveles de riesgo deseados se debe monitorear y controlar; no solo para garantizar que aquellos se mantengan sino también por los cambios que pudieran generarse en los contextos interno y externo; que pueden provocar modificaciones en los niveles de riesgo o en las medidas de tratamiento aplicadas.

Un buen estado de salud dependerá de un adecuado diagnóstico por parte del médico y de un responsable seguimiento del tratamiento por parte del paciente; el resultado depende de ambos.

En la Gestión de Riesgos sucede lo mismo, siendo tan importante la identificación, análisis y evaluación de los riesgos como parte del diagnóstico; como la elaboración de las medidas de tratamiento y su posterior implementación en conjunto con el Cliente.

El seguimiento mediante el monitoreo y control son actividades esenciales y necesarias para poder adecuar las medidas de tratamiento a los cambios de contexto y así colaborar con la organización en reducir los niveles de incertidumbre en el camino hacia el cumplimiento de sus objetivos.

FERNANDO MUZIO, CPP
Director BlueRisk
CPP ASIS International
PECB Certified ISO 31000 Lead Risk Manager
ISO 28000 Senior Lead Implementer
IMO ISPS Code Port Facilities Security Officer
Implementador OEA OMA

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *