REVISTA DIRECCIÓN DE PROYECTOS PMI PANAMÁ ENERO 2017 | Page 30

30

Todas las actividades de una organización están sometidas de forma permanente a una

serie de amenazas, lo cual las hace altamente vulnerables, comprometiendo su

estabilidad. Accidentes operacionales, enfermedades, incendios u otras catástrofes

naturales, son una muestra de este panorama, sin olvidar las amenazas propias de su

negocio.

Tradicionalmente, las organizaciones han tratado estos riesgos mediantes estrategias de

reacción y soluciones puntuales. No obstante, la experiencia ha demostrado que los

elementos que conforman los riesgos y los factores que determinan el impacto de sus

consecuencias sobre un sistema, son los mismos que intervienen para todos los riesgos

en una organización.

Por ello, la tendencia moderna es utilizar un enfoque integral de

manejo de los mismos conocido como “Enterprise Risk Management” (ERM), con el fin de evaluar, administrar y comunicar estos riesgos de una manera integral, basados en los

objetivos estratégicos de la organización.

La gestión integral de riesgos ha ganado impulso en los últimos años, especialmente a

partir de la década de los noventa, lo que ha conllevado la aparición de “Modelos de

Gestión de Riesgos”, algunos de ellos de carácter más específico, como por ejemplo:

COSO, ISO 14000, ISO 22000, OHSAS, etc. y otros de carácter más global como la norma AS/NZS 4630 o la norma ISO 31000.

La variedad, complejidad y naturaleza de los riesgos puede ser de muy diversa índole. La

norma ISO 31000 no es certificable dado que no establece directrices para el tratamiento

de riesgos concretos sino que da orientaciones para la implantación de un sistema de

gestión del riesgo que sea compatible con los estándares de gestión de riesgos

particulares de cualquier sector al proponer pautas genéricas sobre cómo gestionar los

riesgos de forma sistemática y transparente. El diseño y la implantación de la gestión de

riesgos dependerá de las diversas necesidades de cada organización, objetivos

concretos, contexto, estructura, operaciones, procesos, proyectos, servicios, etc

Es importante que la organización establezca las reglas para la toma de riesgos o dicho

de otra forma, cual será su “actitud frente al riesgo” y que elaboren una declaración

respecto del “apetito de riesgo” que es aplicable a los mismos. Es bastante fácil decir que la organización no tiene apetito por causar lesiones o provocar enfermedades a sus

empleados. En la práctica, esto normalmente se documenta en un conjunto de objetivos

para el control de riesgos respecto de salud y seguridad.

Pero los riesgos pueden afectar a una organización en el corto, mediano y largo plazo.

Estos riesgos están relacionados con la operación diaria, la táctica y la estrategia,

respectivamente. La estrategia establece los objetivos a largo plazo de la organización,

cuyo horizonte de planificación típico podría ser de 3, o 5 años. Las tácticas definen cómo

una organización tiene la intención de lograr un cambio. Por lo tanto, los riesgos tácticos

son típicamente asociados con los proyectos, fusiones, adquisiciones y desarrollos de

productos. Las operaciones son las actividades rutinarias de la organización

En el nivel directivo, la actitud y el apetito de riesgo es el conductor de las decisiones

estratégicas de riesgo de toda la organización. A nivel ejecutivo, el apetito de riesgo se

traduce en un conjunto de procedimientos para garantizar que el riesgo reciba la atención

adecuada al tomar decisiones tácticas. A nivel operativo, el apetito de riesgo dicta las

restricciones operacionales de las actividades de rutina. A pesar de su importancia, es

sorprendente que el concepto de apetito por el riesgo no se menciona en la norma ISO

31000, a pesar de que está incluido en la mayoría de los estándares de gestión de

riesgos. Las consecuencias de la materialización de riesgos pueden ser riesgos (peligros)

negativos, o riesgos (oportunidades) positivos. A nivel operativo normalmente se controlan

los riesgos peligrosos o daños físicos, a nivel táctico y estratégico sobre todo, se debe

también contemplar las oportunidades.

Los procesos de la gestión de riesgos propuesta por la ISO 31000 es similar a la que se estudia con el PMBOK, excepto en cuanto al tratamiento tipo ERM. Las organizaciones

tienen que establecer definiciones adecuadas para los diferentes niveles de probabilidad y

consecuencias asociadas a los diferentes riesgos. La clasificación de riesgos puede ser

cuantitativos, semi-cuantitativa o cualitativa en términos de la probabilidad de ocurrencia y

las posibles consecuencias