ISOSCORECARD

¿Qué es la Gestión de Riesgos?

Published by

Gilberto Quesada (ISOSCORECARD)

on

Introducción:

En nuestras experiencias en consultoría y en seminarios sobre el Balanced Scorecard recibimos solicitudes para que incluyamos el tema de la Gestión del riesgo. A pesar de ser obligatorio para toda organización, es crítico para las empresas del sector público, las cuales están obligadas a incluir este elemento tanto en sus sistemas de control como en su planificación estratégica y en sus planes operativos.

El Dr. Kaplan, en su libro Strategy Maps, incluye una sección dedicada al tema dentro de la perspectiva de Procesos Internos. Señala entre otros, la importancia de reducir el costo asociado con la angustia financiera, reducir el riesgo para las partes interesadas, reducir el costo del monitoreo. Una empresa debe administrar tanto el riesgo financiero, y el riesgo de operación como el riesgo tecnológico. En muchas empresas ya se incluye la Gestión del Riesgo como uno de los objetivos de su Balanced Scorecard. Algunos países han creado leyes específicas para obligar a las instituciones gubernamentales a incluir dentro de sus prácticas la Gestión del Riesgo.

¿Qué es la Gestión de Riesgos?

Desde 1999, existe un estándar australiano el AS/NZS 4360:1999 sobre la Gestión de Riesgos que algunas empresas han utilizado para la implementación de este tema. Esta norma pretende proveer una guía genérica para el establecimiento e implementación del proceso de administración de riesgos, lo cual involucra tanto la identificación, el análisis, la evaluación, el tratamiento, y la comunicación, como el monitoreo del riesgo.

La Gestión del Riesgo es considerada una parte integral de las buenas prácticas gerenciales, que las empresas excelentes utilizan en el mundo de los negocios.

El estándar mencionado cuenta con 32 importantes definiciones que le permiten clarificar los diferentes aspectos de esta metodología, dentro de ellas está la definición de la Gestión del Riesgo que dice: «la cultura, procesos y estructuras que están dirigidas hacia la administración efectiva de oportunidades potenciales y efectos adversos».

Otra definición que es conveniente tomar en cuenta es sobre el Análisis de riesgo, el cual se define como “un uso sistemático de la información disponible para determinar cuan frecuentemente pueden ocurrir eventos especificados y la magnitud de sus consecuencias”.

Dentro de la serie de recomendaciones que propone esta norma hay que resaltar una de las técnicas comúnmente utilizada en los procesos de mejora continua como es el Análisis de Modos y Efectos de Fallas (AMEF): un procedimiento por el cual se analizan los modos de fallas que potencialmente se podrían dar en un proceso o sistema. Sobre este tema hemos escrito varios artículos y desarrollado la metodología de aplicación. Adoptando la definición de la norma diríamos que la Gestión del Riesgo es: “un procedimiento por el cual se analizan modos de fallas potenciales en un sistema técnico«.

En el análisis de modo, efecto y criticidad de fallas, cada modo de falla identificado es ordenado de acuerdo a la influencia combinada de la: Probabilidad de ocurrencia y severidad de sus consecuencias.

Similar a lo que se establecía en la norma ISO 9000:2000 (Sistema de gestión de la calidad-requisitos) o bien a la norma ISO 14000:2004 (Sistemas de gestión ambiental — Especificación con orientación para su uso), ambas normas establecen la necesidad de contar con una política organizacional de Gestión de Riesgos y un mecanismo de soporte con objeto de proveer una estructura para llevar a cabo un programa de implementación. Hoy día la nueva versión de la norma ISO 9001:2015, plantea como tema relevante el “Pensamiento basado en Riesgos”, con una dimensión distinta de la Gestión de Riesgos tal y como se plantea en la ISO 31000.

El pensamiento basado en riesgos como se describe en la ISO 9001: 2015, permite a una organización determinar los factores que podrían causar que sus procesos y su sistema de gestión de la calidad se desvíen de los resultados planificados, para poner en marcha controles preventivos para minimizar los efectos negativos y maximizar el uso de las oportunidades a medida que surjan”, y se plantea como sustituto de las «acciones preventivas» que aparecía en anteriores versiones de la norma ISO 9001.

ISO 31000 Gestión de Riesgos

Para las personas que tienen experiencia en la implementación de Sistemas de Gestión, encontrarán que los requisitos de la ISO 31000 son similares. Su estructura es bastante parecida, en temas tales como:

  1. Planeamiento y recursos

1.1 Compromiso gerencial

1.2 Responsabilidad y autoridad

1.3 Recursos

Estos aspectos son similares a las normas mencionadas, por lo que remitimos al lector a la lectura de las normas a efecto de entender con claridad su similitud.

2 Programa de implementación

La norma contiene un apéndice en donde se establecen 6 pasos para implementar un sistema efectivo de Gestión de Riesgos dentro de una organización, los siguientes son los pasos señalados:

Paso 1: Necesidad de contar con el respaldo de la alta gerencia

Paso 2: Desarrollo de una política organizacional

Paso 3: Comunicar la política definida en el punto 2

Paso 4: Administrar riesgos a nivel organizacional

Paso 5: Administrar riesgos a nivel de programa, proyecto y

Paso 6: Monitorear y revisar

No obstante el estándar permite combinar u omitir ciertos pasos, sin embargo, es conveniente analizar todos los pasos sugeridos. Más adelante ampliaremos estos pasos.

Al igual que otras normas de gestión establece la revisión gerencial por el director de la organización, para asegurar que se lleve a cabo una evaluación del sistema de Gestión de Riesgos junto con el resto de los elementos que se establecen en las norma citada.

El elemento de diferenciación de esta norma esta en la necesidad de establecer diversos contextos dentro de los cuales destacan:

  1. Establecer el contexto estratégico[1], organizacional y de administración de riesgos en el cual tendrá lugar el resto del proceso.

Aquí el aspecto más importante está relacionado con la necesidad de contar con criterios contra los cuales se evaluarán los riesgos. Muchas empresas incluyen este análisis desde su plan estratégico.

  • Identificar qué, por qué y cómo pueden surgir los riesgos.
  • Determinar los controles existentes y analizar riesgos en términos de consecuencias y probabilidades. En este punto es donde se aplica la técnica del AMEF con la cual se busca evaluar los riesgos potenciales.

Otro aspecto a destacar es además de evaluar los riesgos es importante definir cual es el tratamiento que se le dará, mediante un plan de administración de riesgos.

Contextos sugeridos:

1 El contexto estratégico

Nace a partir de la definición del análisis FODA (Fortalezas, Oportunidades, Debilidades, Amenazas) de la organización en su relación con los “stakeholders”, partes interesadas o bien las perspectivas que se mencionan en el Balanced Scorecard: financiera, clientes, comunidad, procesos, recurso humano.

2 El contexto organizacional

Está más referido al plan estratégico que a nuestro entender forma uno solo contexto con el punto anterior, tal y como lo consideramos dentro de la metodología del Balanced Scorecard.

3 El contexto de administración de riesgos

Considera la administración del riesgo como un proceso, y plantea la necesidad de definir el alcance y los límites de una aplicación del proceso de administración de riesgos, definir el proyecto o actividad y establecer sus metas y objetivos; definir la extensión del proyecto, así como definir el alcance y amplitud de las actividades de administración de riesgos a llevar a cabo. Algo así como establecer un procedimiento.

Identificación de riesgos

La identificación de riesgos planteada por la norma, no es otra que la aplicación de la metodología del AMEF o FMEA por sus siglas en inglés y otra serie de técnicas sugeridas. Se pueden utilizar las herramientas de los procesos de mejora continua Kaizen, o bien las técnicas estadísticas en la aplicación del Control Estadístico de Procesos (SPC).

Otras técnicas de análisis se encuentran descritas en la norma ISO 10017, la cual puede conseguir con el ente responsable de la emisión de normas de su país. En nuestro artículo “Herramientas para la Mejora Continua” se describen algunas de ellas.

Como toda decisión implica la necesidad de considerar los riesgos esporádicos pero severos, podría requerir medidas de seguridad no necesariamente justificables con razonamientos estrictamente económicos, esto es válido cuando existe riesgo contra las personas o el ambiente.

El impacto negativo de los riesgos se debe reducir tanto como sea razonable. Si el nivel de riesgo es alto, pero podrían resultar en excelentes oportunidades, la aceptación del riesgo debe estar basada en una evaluación de los costos de su tratamiento y los costos de rectificar las consecuencias potenciales versus las oportunidades que se podrían deparar de tomar el riesgo. Se recomienda en estos casos un análisis de costo beneficio. Una buena recomendación es hacer una combinación de opciones para reducir la probabilidad de los riesgos, reducir sus consecuencias, y transferir o retener algunos riesgos residuales.

La norma plantea establecer planes de tratamiento y documentar la forma en cómo deben ser implementadas las opciones seleccionadas, identificar las responsabilidades, el programa, los resultados esperados, el presupuesto, las medidas de desempeño y el proceso de revisión.

Establece que el plan incluya un mecanismo para evaluar la implementación de las opciones contra criterios de desempeño, las responsabilidades individuales y otros objetivos, y para monitorear los puntos críticos de implementación.

Pasos en el desarrollo e implementación de un programa de administración de riesgos

Los pasos que establece la norma AS/NZS 4360:1999 sobre la Gestión de Riesgos son los siguientes:

Paso 1: Respaldo de la alta gerencia

Similar a lo establecido dentro de todas las filosofías y normas de gestión ISO, inclusive en el desarrollo del Balanced Scorecard.

Es importante el respaldo decidido de la alta Gerencia, la cual se debe responsabilizar por mantener esta nueva filosofía y ser ejemplo de la toma de conciencia sobre ‘la Gestión de Riesgos’. Sin el respaldo de la alta gerencia, es preferible no emprender ningún proyecto de esta naturaleza. En el sector público es obligatorio, indiferentemente del apoyo superior, aunque siempre es conveniente su aplicación .

Paso 2: Desarrollar la política y estructura organizacional

Igual que ISO 9000 e ISO 14000, se requiere desarrollar y documentar una política corporativa para administrar los riesgos, endosada por el ejecutivo de la organización e implementada en toda la organización.

Los aspectos recomendados son:

  • Definir los objetivos a partir de la política y cómo administrar los riesgos;
  • Al igual que en las otras normas es importante establecer los vínculos entre la política y el plan estratégico / corporativo de la organización;
  • El alcance, o el rango de aspectos a los cuales se aplica la política;
  • Una guía de lo que puede ser considerado como riesgo aceptable;
  • Definición de quién es responsable de administrar riesgos;
  • Establecer el apoyo disponible para asistir a los responsables de administrar riesgos;
  • Nivel de documentación requerido; y
  • Plan para revisar el desempeño organizacional en relación con la política, algo similar a las auditorias internas de ISO. De una u otra forma se debe aplicar el círculo de Mejora Continua de Planear, Hacer, Verificar y Actuar.

Paso 3: Comunicar la política

Asegurar que la administración de riesgos se convierte en una parte integral de los procesos de Planificación Estratégica y de la cultura de la organización.

La norma recomienda los siguientes aspectos:

  • Constituir un equipo responsable por la comunicación interna de la política;
  • Fortalecer la toma de conciencia acerca de la administración de riesgos;
  • Comunicar en toda la organización los alcances de la administración de riesgos;
  • Desarrollar una cultura de administración de riesgos, y desarrollar competencias en el personal a través de la formación (educación y capacitación);
  • Establecer esquemas apropiados de reconocimiento, recompensas y sanciones, punto que no siempre compartimos por no creer en los castigos y recompensas.

Paso 4: Administrar riesgos a nivel organizacional

Desarrollar y establecer un programa para administrar riesgos a nivel de toda la organización.

El proceso de Gestión de Riesgos debe estar integrado con los procesos de planificación estratégica y gestión de la organización.

Para esto la norma recomienda:

  • Analizar el contexto dentro del cual se encuentra la organización y de la administración de riesgos;
  • Identificar los riesgos potenciales para la organización;
  • Analizar y evaluar estos riesgos mediante la utilización del AMEF (Análisis de Modo y Efectos de Falla);
  • Definir las estrategias con las cuales se dará tratamiento al riesgo detectado;
  • Establecer mecanismos para revisar los planes de acción; y
  • Establecer las estrategias para procurar la toma de conciencia, la adquisición de experiencia, la capacitación y la educación.

Paso 5: Administrar riesgos a nivel de programa, proyecto y equipo

Desarrollar y establecer un programa para administrar los riesgos para cada área de la organización, programa, proyecto o actividad de equipo. En este particular es conveniente seguir lo establecido bajo la norma ISO 14000 para la Gestión Ambiental en los programas de gestión ambiental.

Paso 6: Monitorear y revisar

Desarrollar y aplicar mecanismos para asegurar revisiones de los riesgos sobre la marcha, algo similar a las auditorías de los sistemas de gestión ISO.

La gerencia de forma planificada debe revisar la efectividad del sistema de control de riesgos.

Documentación para la administración de riesgos

En referencia a la documentación requerida o información documentada, como se dice hoy día en la ISO 9001:2015, en un sistema de administración de riegos, analizaremos lo propuesto por la Norma AS/NZS 4360:1999, no obstante queremos aclarar que toda organización debe valorar cuál es la documentación que realmente brinda valor agregado a su sistema de administración de riesgos y a los resultados planificados de la organización que implementa esta metodología.

Para administrar correctamente el riesgo, se requiere contar con la documentación apropiada, sin que se esté pensando en hacer un complicado sistema documental similar a lo que se ha llegado con otros sistemas de gestión. Es importante no caer en la práctica de crear documentación para satisfacer a una auditoria independiente o a un consultor. Las decisiones concernientes al alcance de la documentación pueden involucrar costos y beneficios y debería tomar en cuenta los siguientes factores listados en la Cláusula 5.2:

  1. Que la documentación permita demostrar que el proceso es conducido apropiadamente;
  2. proveer evidencia de que hay un enfoque sistemático de identificación y análisis de riesgos;
  3. proveer un registro de los riesgos, así como desarrollar la base de datos de conocimientos de la organización;
  4. proveer a los tomadores de decisión relevantes de un plan de administración de riesgos para aprobación y subsiguiente implementación;
  5. proveer un mecanismo y herramienta de responsabilidad;
  6. facilitar el continuo monitoreo y revisión;
  7. proveer una pista de auditoria; y
  8. compartir y comunicar información.

Documentación necesaria:

Declaración de la Política

Es conveniente contar con una declaración de cumplimiento de la política, de forma tal que se tome conciencia formal de su responsabilidad por el cumplimiento de las políticas y procedimientos de la administración de riesgos.

Registro de riesgos

Los riesgos identificados deben contar con un registro en donde se identifique:

  1. fuente del riesgo;
  2. naturaleza del riesgo;
  3. controles existentes;
  4. consecuencias y probabilidad;
  5. puntaje inicial del riesgo (según la aplicación del AMEF) ; y
  6. vulnerabilidad a factores externos / internos.

Programa de tratamiento de riesgos y plan de acción

Un plan de acción sobre el tratamiento de los riesgos y documentación de los controles gerenciales a adoptar, este plan debería contener la siguiente información:

  1. Quién tiene responsabilidad por la implementación del plan;
  2. Qué recursos se van a utilizar;
  3. Asignación de presupuesto;
  4. Cronograma de implementación;
  5. Detalles del mecanismo y frecuencia de la revisión de cumplimiento del plan de tratamiento.

Registros de auditoría de documentos o información documentada

Similar a lo establecido en ISO 9001:2015 o ISO 14001:2004 (existe una nueva versión, la cual desconocemos), los registros auditoría deberían documentar lo siguiente:

  1. Detalles del mecanismo y frecuencia de la revisión de riesgos y del proceso de administración de riesgos como un todo;
  2. Los resultados de las auditorías y de otros procedimientos de monitoreo;
  3. Detalles de cómo son seguidas e implementadas las recomendaciones de las revisiones.

En resumen los documentos necesarios son: La política, los registros de riesgos, el programa de tratamiento de riesgos y plan de acción y los registros de auditoría.

La administración del Riesgo en el Sector Público

La mayoría de los países cuentan con legislación para la administración y valoración del riesgo, la cual puede variar de un país a otro, razón por la cual solo mencionamos algunas generalidades:

Definiciones para el Sector Público:

  1. Ambiente de control: conjunto de factores del ambiente organizacional que deben establecer y mantener el jerarca, los titulares subordinados y demás funcionarios, para permitir el desarrollo de una actitud positiva y de apoyo para el control interno y para una administración escrupulosa.
  2. Valoración del riesgo: identificación y análisis de los riesgos que enfrenta la institución, tanto de fuentes internas como externas relevantes para la consecución de los objetivos; deben ser realizados por el jerarca y los titulares subordinados, con el fin de determinar cómo se deben administrar dichos riesgos.
  3. Actividades de control: políticas y procedimientos que permiten obtener la seguridad de que se llevan a cabo las disposiciones emitidas por los entes reguladores, por los jerarcas y los titulares subordinados para la consecución de los objetivos del sistema de control interno.

Como en el sector público existe obligatoriedad de disponer de un sistema de control interno, las leyes generalmente establecen que éstos sean aplicables, completos, razonables, integrados y congruentes con sus competencias y atribuciones institucionales.

Se entiende por sistema de control interno la serie de acciones ejecutadas por la administración activa, diseñadas para proporcionar seguridad en la consecución de los objetivos tales como:

a) Proteger y conservar el patrimonio público contra cualquier pérdida, despilfarro, uso indebido, irregularidad o acto ilegal.

b) Exigir confiabilidad y oportunidad de la información.

c) Garantizar eficiencia y eficacia de las operaciones.

d) Cumplir con el ordenamiento jurídico y técnico.

Nivel de riesgo

Se acostumbra en el sector público “Desarrollar y mantener una filosofía y un estilo de gestión que permitan administrar un nivel de riesgo determinado, orientados al logro de resultados y a la medición del desempeño, y que promuevan una actitud abierta hacia mecanismos y procesos que mejoren el sistema de control interno”.

Valoración del riesgo

En relación con la valoración del riesgo, se establece una serie de deberes para los funcionarios entre otros, los siguientes:

  1. Identificar y analizar los riesgos relevantes asociados al logro de los objetivos y las metas institucionales, definidos tanto en los planes anuales operativos como en los planes de mediano y de largo plazos.
  2. Analizar el efecto posible de los riesgos identificados, su importancia y la probabilidad de que ocurran, y decidir las acciones que se tomarán para administrarlos.
  3. Adoptar las medidas necesarias para el funcionamiento adecuado del sistema de valoración del riesgo y para ubicarse por lo menos en un nivel de riesgo organizacional aceptable.
  4. Establecer los mecanismos operativos que minimicen el riesgo en las acciones por ejecutar.

Documentación:

Al igual que en el sector privado se recomienda un adecuado sistema de documentación (información documentada), así como mantener actualizados y divulgar internamente, las políticas, las normas y los procedimientos de control que garanticen el cumplimiento del sistema de control interno institucional y la prevención de todo aspecto que conlleve a desviar los objetivos y las metas trazados por la institución en el desempeño de sus funciones.

Similar a lo que se establece en la norma AS/NZS 4360:1999, todo ente u órganización debe contar con un sistema específico de valoración del riesgo institucional por áreas, sectores, actividades o tarea que, de conformidad con sus particularidades, permita identificar el nivel de riesgo institucional y adoptar los métodos de uso continuo y sistemático, a fin de analizar y administrar el nivel de dicho riesgo.

Conclusión:

La administración del riesgo es similar a todos los sistemas de gestión conocidos (pensamiento basado en riesgos) y que aquí mencionamos, como tal se recomienda en su desarrollo la aplicación del círculo de mejora continua (kaizen), conocido como el Círculo de Deming, en donde se practiquen sus diferentes etapas:

1.- Planear:

Planear que se hará, como se hará, quien llevará a cabo la tarea, cuando deberá ejecutarla.

2.- Hacer:

Poner en práctica las formas de minimizar el nivel de riesgo y capacitar a los involucrados en las herramientas para la evaluación del riesgo y su seguimiento

3.- Verificar:

Dar seguimiento a que se cumpla con lo que ha sido planificado mediante auditorías similares a otros sistemas de gestión.

4.- Actuar:

Hacer los ajustes que sean necesarios para que el sistema siga vigente, esta es la responsabilidad máxima del responsable de mayor jerarquía ya sea en la empresa pública o en la privada.

El objetivo de este BLOG es totalmente informativo, ni los autores de los artículos, ni ISOSCORECARD podrán ser sujetos de responsabilidad legal ante ninguna persona, empresa o entidad, con respecto a cualquier pérdida o daño causa, o que se alegue que se causó, directa o indirectamente relacionado por cualquier información aquí contenida. Aunque el BLOG ha sido concebido y diseñado para proveer información correcta y exacta en relación a los temas tratados, no está brindando asesoría de orden legal, financiera, contable, administrativa, gerencial, etc. Si algún servicio o asistencia técnica profesional en esas áreas fuera requerido por el lector de nuestra página, deberá buscar y consultar los servicios de un profesional competente.

Bibliografía:

AS/NZS 4360:1999 Estándar Australiano Administración de Riesgos.

Norma ISO 9000:2000 (Sistema de gestión de la calidad-requisitos).

Norma ISO 14000:2004 (Sistemas de gestión ambiental — Especificación con orientación para su uso.

Ley 8292 LEY GENERAL DE CONTROL INTERNO, REPÚBLICA DE COSTA RICA, 4 Septiembre 2002.

[1] La versión del 2015 de la ISO 9001 incluye el análisis del contexto como elemento fundamental lo que muestra una combinación de ambas normas.

Descubre más desde ISOSCORECARD

Suscríbete y recibe las últimas entradas en tu correo electrónico.

Deja un comentario

Previous Post
Next Post

Entradas recientes

aclaración

 **Nota de aclaración:**  

En algunos artículos e infografias aparece el término «Waze Estratégico” este un concepto propio e independiente de ISOSCORECARD inspirado en la aplicación Waze® (marca registrada). No tiene ninguna afiliación ni relación comercial con Waze Mobile Ltd. ni Google. Se utiliza como metáfora para describir una forma dinámica de gestionar la estrategia organizacional.

~ Gilberto Quesada

ISOSCORECARD

Aclaración

“Waze Estratégico” es un concepto propio e independiente de ISOSCORECARD inspirado en la aplicación Waze® (marca registrada). No tiene ninguna afiliación ni relación comercial con Waze Mobile Ltd. ni Google. Se utiliza como metáfora para describir una forma dinámica de gestionar la estrategia organizacional.

categorias

Síguenos

Designed with WordPress

Descubre más desde ISOSCORECARD

Suscríbete ahora para seguir leyendo y obtener acceso al archivo completo.

Seguir leyendo

Descubre más desde ISOSCORECARD

Suscríbete ahora para seguir leyendo y obtener acceso al archivo completo.

Seguir leyendo