los riesgos empresariales, ¿cómo se gestionan?

LOS RIESGOS EMPRESARIALES,
¿CÓMO SE GESTIONAN?
Entrevista a Miguel Ángel Carmona Calvo, Gestor
de Conocimiento del Área de Gestión Avanzada (IAT)
A
genda de la Empresa: En el
contexto empresarial actual,
¿por qué se habla cada vez
más de gestionar los riesgos?
Miguel Ángel Carmona Calvo: Entre otros aspectos, creo
que la complicada situación
económica con la que estamos
conviviendo en los últimos
años, y las circunstancias altamente cambiantes en los
mercados globales, en la tecnología, e incluso
en el ámbito regulatorio, están impulsado en
las empresas y organizaciones la necesidad
de identificar aquellos factores que potencialmente pueden ocasionarles algún perjuicio o
que les genera incertidumbre en los resultados
de gestión. Creo que los directivos y gestores
tienen cada vez mayor interés, por un lado,
en conocer, evaluar y controlar los riesgos a
los que sus empresas están expuestas, con el
fin de tomar las decisiones apropiadas que les
prevengan de su materialización, y también,
por otro lado, en demostrar una buena gestión
en este ámbito ante las demandas de determinados grupos de interés.
A.E.: ¿Qué se entiende por “riesgo” en el
contexto de una empresa u organización?
M.A.C.C.: De todas las definiciones de “riesgo” que podemos encontrar, me quedaría con
la aportada por la norma internacional ISO
31000:2009. Esta norma establece los principios y directrices para la gestión del riesgo, y
lo define como el “efecto de la incertidumbre
sobre la consecución de los objetivos”. No
obstante, puede resultar más intuitivo asociar
el riesgo al término de suceso. Pensar en un
riesgo es pensar en algo que potencialmente
puede ocurrir, y que de producirse, tendría
unos determinados efectos en la consecución
de los resultados productivos, económicos,
etc., ya sean positivos o negativos. Por eso,
podemos hablar de riesgos “positivos” y
“negativos”. Identificar un riesgo implica reconocer, además de la existencia del suceso
potencial, sus causas y sus posibles consecuencias. Creo que no se puede gestionar bien
un riesgo si previamente no hemos caracterizado adecuadamente dicha cadena “causasuceso-consecuencia”.
A.E.: ¿Puede ponernos algún ejemplo de
riesgo empresarial?
M.A.C.C.: Ejemplos de riesgos empresariales podrían ser: los impagos de clientes, los
fallos de la infraestructura, un incendio, los
conflictos laborales, la fuga de trabajadores
cualificados, una caída del sistema de información, etc. No obstante, más allá del “título”
del riesgo dado por el suceso potencial, es importante caracterizarlo mediante sus causas y
consecuencias. Un ejemplo más completo de caracterización de un riesgo
sería el siguiente: los proveedores
de componentes nos entregan
materiales no conformes (suceso), debido a una errónea/
escasa definición de las especificaciones de los productos
comprados (causa), que implica
un reproceso en fabricación y la
entrega fuera de plazo al cliente
(consecuencias). En todo caso, el
nivel de detalle dependerá del contexto y la finalidad de la gestión
de riesgos.
A.E.: Afirmaba
anteriorm e n t e
que podemos
encontrar ries-
gos positivos y negativos, ¿es así?
M.A.C.C.: Imaginemos, por ejemplo, que tenemos proveedores en Marruecos, a los que
compramos materia prima a un coste determinado en Dirhams, moneda marroquí. El tipo
de cambio afecta a la transacción económica
en el momento del pago. Las fluctuaciones del
tipo de cambio es un tipo de suceso que puede
tener como consecuencia un sobrecoste o una
ganancia respecto al coste del producto adquirido. Es decir, puede ser negativo o positivo.
En alguna bibliografía, podemos encontrar
que los “riesgos positivos” son denominados
también como “oportunidades”. En todo caso,
una buena gestión de riesgos debería considerar ambos tipos.
A.E.: Por los ejemplos anteriores, parece que existen riesgos de muy diferente
naturaleza. ¿Es posible ordenar la identificación de los riesgos para facilitar su
gestión?
M.A.C.C.: La heterogeneidad de riesgos viene dada por la variedad de factores que los
pueden generar. Y, francamente, puede ser
muy amplia. Tan amplia que si no ponemos
cierto orden en la identificación de riesgos es
fácil olvidarse de algunos de ellos. En este
sentido, es frecuente escuchar hablar de riesgos financieros, tecnológicos, operativos, de
cliente, de proveedores, estratégicos, logísticos, etc. La mejor manera de abordar la identificación de riesgos es partir de una categorización predeterminada de los mismos. Cada
empresa podrá definir su propia categorización. Cada categoría o familia de
riesgos comprende un bloque más
acotado en el que llevar a cabo la
identificación, y es recomendable
asignar cada familia a un responsable o propietario de riesgo.
De esta forma, cada propietario
identificaría los riesgos dentro de
su familia. Con esta sistemática,
se conseguirá aplicar un enfoque
más completo, especializado, ordenado y participativo.
A.E.: Además de la
identificación
de los riesgos,
¿qué
otras
actividades
comprende
la gestión
del riesgo?
M.A.C.C.:
28 Agenda de la Empresa / Marzo 2016
Agenda 210.indd 28
24/02/2016 10:14:06
La primera fase de la gestión del riesgo es el
ANÁLISIS DE CONTEXTO donde, entre
otras cosas, se establece el alcance y los objetivos. A partir de ahí, se lleva a cabo la IDENTIFICACIÓN DE LOS RIESGOS, donde se
reconocen y caracterizan los riesgos, el ANÁLISIS DE LOS RIESGOS, donde se valora
cada riesgo atendiendo a la probabilidad de
ocurrencia y a las consecuencias potenciales,
la EVALUACIÓN DE LOS RIESGOS, donde se compara cada riesgo con los criterios
de aceptabilidad previamente definidos, y el
TRATAMIENTO DE LOS RIESGOS, donde
se definen las acciones necesarias. Paralelamente, trascurren otras dos fases: COMUNICACIÓN Y CONSULTA y SEGUIMIENTO
Y REVISIÓN. Más allá de los detalles de
cada una de estas fases, destacaría con carácter general la importancia de dotar a la gestión
de riesgos de una estructura, que facilite de
manera efectiva la toma de decisiones y la
implantación de las acciones de tratamiento
necesarias.
A.E.: ¿Con qué alcance se puede aplicar la
gestión del riesgo?
M.A.C.C.: El proceso de gestión del riesgo
puede aplicarse a muy diferentes contextos
y con muy diferentes alcances, como a un
proyecto específico, a un centro de trabajo, a
una línea de negocio o a una empresa a nivel general. Además, los objetivos pueden ser
parciales o globales. Todo ello se define en la
fase de análisis de contexto, en función de las
necesidades de la empresa.
A.E.: ¿Qué normas pueden servir de referencia a una empresa para implantar una
gestión de riesgos?
M.A.C.C.: La principal es la norma ISO
31000:2009, en la que se establecen principios y directrices de la gestión del riesgo, y
se desarrollan sus diferentes fases. También es
de gran ayuda la norma ISO /IEC 31010:2009,
sobre técnicas de apreciación del riesgo.
A.E.: Parece que ahora la nueva versión de
2015 de la norma ISO 9001 también introduce fuertemente la gestión de riesgos,
¿qué opina al respecto?
M.A.C.C.: En la versión anterior de la norma
ISO 9001, la gestión del riesgo permanecía
de manera implícita a través, por ejemplo, de
las acciones preventivas y del análisis de las
no conformidades del sistema. Pero ahora,
la versión del 2015 incluye explícitamente
la gestión del riesgo, reforzando más aún el
carácter preventivo de los sistemas de gestión
de la calidad. Por ello, en adelante, los sistemas de gestión de la calidad conforme a esta
norma deberán mostrar cómo se determinan
los riesgos y oportunidades para asegurar que
se logran los resultados previstos y se previenen los efectos indeseados. Esto reforzará el
análisis de riesgos y oportunidades asociado
al logro de los objetivos de los procesos que
conforman el sistema de gestión de la calidad.
Otra razón más para integrar la gestión de
riesgos en la empresa.
A.E.: ¿Qué le diría a aquellos que opinan
que la gestión de riesgos es una novedad,
una moda más?
M.A.C.C.: No es una moda. La gestión de
riesgos puede parecer algo nuevo, pero es
realmente un concepto muy antiguo. Hace
más de tres siglos que se desarrollaron aspectos de riesgos en sectores como las finanzas y los seguros. Realmente, la gestión del
riesgo es de hecho algo inherente a la propia
operativa de estos dos sectores mencionados.
Los sistemas de previsión y de seguridad social para la protección de los trabajadores se
basan igualmente en estos conceptos. Y durante el último siglo, se han ido generando
referencias y estándares para la gestión de
riesgos, y su aplicación a nivel empresarial,
inicialmente con mayor fuerza en empresas
que cotizan en bolsa (p.e.: COSO). Los sistemas de gestión de riesgos laborales y de
aspectos ambientales no son más que ámbitos concretos de la gestión del riesgo, y
cada vez están más extendidos con el uso de
normas como OHSAS 18001 o ISO 14001.
Los clientes demandan cada vez más que sus
proveedores generen confianza demostrando
que gestionan sus riesgos. Y, en el marco de
la gestión de proyectos, PMBOK establece
la gestión de los riesgos como un área clave.
Son muchos argumentos para pensar que no
se trata de una novedad o moda, sino de un
ámbito que se extiende y toma fuerza por el
potencial que ofrece.
A.E.: ¿Podría indicarme tres beneficios
claves de implantar una gestión de riesgos?
M.A.C.C.: Son muchos, pero si tuviera que
resumirlo en tres de ellos diría: ANTICIPACIÓN, INTEGRACIÓN y CONFIANZA.
Una buena gestión de riesgos facilita la anticipación a los problemas con un enfoque preventivo, favorece la integración y alineación
de todos los ámbitos de conocimiento de la
organización con un enfoque participativo y
genera confianza a los grupos de interés.
A.E.: ¿Qué le recomendaría a un director
de una empresa para implantar un proceso de gestión del riesgo?
M.A.C.C.: Lo primero, le pediría un fuerte
compromiso y una firme creencia de que la
gestión del riesgo puede ser una potente herramienta de gestión, operativa y directiva.
Creo también que es vital designar, dentro
de la estructura organizativa, a la autoridad
pertinente que asuma la coordinación de este
proceso. Esto no debe significar que esta autoridad “se lo guise y se lo coma”. Todo lo contrario. La gestión de riesgos es una cosa de
todos. Por ello, le recomendaría que apoyara
la designación de propietarios de riesgo por
familias o categorías de riesgos. Los propietarios de riesgos deberían ser elegidos sobre
la base de sus responsabilidades y sus conocimientos, y deberían ser la referencia para cada
familia de riesgos, liderando la identificación,
el análisis, la evaluación y el tratamiento de
los riesgos bajo su ámbito, de forma coordinada. Le recomendaría también que estableciera
un órgano o comité consultivo, constituido
por el coordinador de riesgos y los propietarios de riesgos, para la puesta en común y el
consenso sobre las evaluaciones y planes de
acción. Por último, le sugeriría que todas las
personas con responsabilidades en la gestión
de riesgos tuviesen una formación en la materia y que se dispusiese de una descripción
explícita del proceso.
A.E.: Por último, ¿cómo apoya IAT la aplicación de la gestión del riesgo en las empresas?
M.A.C.C.: Por un lado, IAT lleva a cabo actividades de desarrollo de las capacidades en
este ámbito dentro de las empresas, vía formación práctica y/o sesiones tuteladas, principalmente. Y, por otro, IAT desarrolla proyectos específicos en gestión de riesgos tanto en
agrupaciones sectoriales como en el marco de
la gestión de las relaciones cliente-proveedor.
El objetivo de estos proyectos es facilitar la
“capilarización” de la gestión de riesgos entre
los proveedores en favor de la mejora de la
cadena de suministro. Un ejemplo de esto es
el proyecto realizado por IAT durante 2014 y
2015 en un conjunto de empresas del sector
aeronáutico, bajo el impulso y auspicio de
Airbus Military.
l
Manuel Bellido
Marzo 2016 / Agenda de la Empresa 29
Agenda 210.indd 29
24/02/2016 10:14:07