MSc. José Sánchez
Introducción
Muchas veces se asume que gestionar los Riesgos es una tarea fácil y que en cuestión de meses la organización estará 100% madura en el tema. En otras ocasiones creemos que la complejidad de la implementación es proporcional al tamaño de la organización, al tipo de industria o a la regulación. En realidad, estos y otros factores son necesarios analizar. Te explicamos el paso a paso que sugerimos seguir.
Paso 1: La Comprensión del Contexto
El análisis de entorno es el primer paso para evitar que el modelo de gestión a implementar no responda a la coyuntura actual interna y externa de la organización. Algunas metodologías de análisis conocidas se pueden utilizar en esta fase, FODA para el diagnostico interno y PESTEL para el diagnostico externo, entre otras más. En este punto la organización conocerá las oportunidades y ventajas que puede aprovechar asi como los puntos vulnerables donde más adelante se encontraran las fuentes de riesgos.
Conocer el nivel de madurez adquirido que tiene la compañía en administración de riesgos, aunque sea de forma empírica, es importante para delimitar el punto de partida en la implementación. La pluralidad de conocimientos y experiencias laborales de los empleados reflejan la cultura de riesgo actual, la cual puede ser fuerte o débil.
Adicionalmente es clave llevar a cabo un análisis de las leyes y regulaciones aplicables a la compañía, conocer lo que está permitido y lo que no, que derechos y obligaciones existen, es decir, conocer las reglas del juego.
Para completar este primer paso la compañía buscará un análisis sectorial que permita ampliamente conocer la industria, productos, competidores y el mercado en general.
Paso 2: Delimitación del Alcance
En este punto toma un papel relevante el tamaño de la organización, las más pequeñas es probable que tengan Unidades de Riesgos también pequeñas y dada esta condición la alta Gerencia tendrá que definir un Programa por fases para la implementación, cuidadosamente se deben elegir los componentes del programa y tiempo que tomará ejecutarlo. Por ejemplo, una compañía grande para el componente de Riesgo Operativo puede tener un mayor alcance que incluya no solo el Riesgo Operativo puro sino también otras disciplinas como Continuidad de Negocios, Seguridad de la Información, Cumplimiento, etc.
Paralelamente otra decisión a tomar es la conformación de la Unidad de Riesgos, de quien dependerá y sobre todo decidir si el proceso de Gestión de Riesgos será Centralizado o Descentralizado. En un modelo Descentralizado cada Gerente de Area se convierte en una Embajador de Riesgos.
Una vez que se ha seleccionado el modelo de gestión, nos tomaremos el tiempo necesario para estudiar y comprender a profundidad la Misión, Visión y Estrategia de la organización, ya que de esto se desprenderá el Plan de Trabajo de la Unidad de Riesgos, el cual debe cubrir todos los objetivos estratégicos y las derivaciones de ellos, como son procesos, productos, proyectos, líneas de negocios, etc.
Paso 3: Elección de Criterios
El Criterio más importante de todos es elegir el Marco de Gestión que será aplicado en la organización. Afortunadamente la buena fama le precede a algunos estándares internacionales como ISO 31000, CORO ERM o ORANGE, por ejemplo. Una aclaración crucial que vale la pena hacer es que Marco Normativo y Marco de Gestión no son lo mismo, aunque a veces suele asumirse que sí. La regulación en materia de Gestión de Riesgo es la base o los cimientos del Marco de Gestión de la Organización, lo que significa que, a penas es una pequeña parte de algo más grande que le corresponde construir a cada organización por su propia cuenta, “El Marco”. Es recomendable que se documente y se someta a aprobación del Consejo de Administración o su equivalente este Marco de Gestión.
A continuación, tendremos los elementos necesarios para documentar la Política de Riesgos que rescatará los principios del marco de gestión, los objetivos de la Gestión de Riesgos, las responsabilidades en el Proceso de Gestión y una clara descripción del proceso como tal y sus diferentes etapas. Otras políticas especificas o documentos complementarios se pueden generar, como por ejemplo las metodologías de evaluacion de Riesgos, manuales y procedimientos.
Finalmente, una vez que contamos con Marco, Políticas y Proceso definido podremos con bastante libertad y seguridad construir la Declaración de Apetito y Tolerancia de Riesgos, lo que implicará un reconocimiento a alto nivel de los riesgos a los que está expuesta la organización y cuales de estos serán retenidos y cuales no.
Conclusión
La implementación de la Gestión de Riesgos en cualquier compañía es una tarea que se facilitará cuando seguimos ciertos pasos como los descritos en este artículo que ayudan a actuar de una forma más estructurada, ágil y objetiva. Hoy conocemos el valor detrás de cada paso; Comprensión de Contexto para crear el perímetro de acción, Delimitación de Alcance para no hacer más de lo que somos capaz y Definición de Criterios para no implementar de forma arbitraria.
Disclaimer: Este artículo refleja únicamente la opinión personal y exclusiva del autor y no representa necesariamente la postura de CYCCO.