30
Todas las actividades de una organización están sometidas de forma permanente a una
serie de amenazas, lo cual las hace altamente vulnerables, comprometiendo su
estabilidad. Accidentes operacionales, enfermedades, incendios u otras catástrofes
naturales, son una muestra de este panorama, sin olvidar las amenazas propias de su
negocio.
Tradicionalmente, las organizaciones han tratado estos riesgos mediantes estrategias de
reacción y soluciones puntuales. No obstante, la experiencia ha demostrado que los
elementos que conforman los riesgos y los factores que determinan el impacto de sus
consecuencias sobre un sistema, son los mismos que intervienen para todos los riesgos
en una organización.
Por ello, la tendencia moderna es utilizar un enfoque integral de
manejo de los mismos conocido como “Enterprise Risk Management” (ERM), con el fin de evaluar, administrar y comunicar estos riesgos de una manera integral, basados en los
objetivos estratégicos de la organización.
La gestión integral de riesgos ha ganado impulso en los últimos años, especialmente a
partir de la década de los noventa, lo que ha conllevado la aparición de “Modelos de
Gestión de Riesgos”, algunos de ellos de carácter más específico, como por ejemplo:
COSO, ISO 14000, ISO 22000, OHSAS, etc. y otros de carácter más global como la norma AS/NZS 4630 o la norma ISO 31000.
La variedad, complejidad y naturaleza de los riesgos puede ser de muy diversa índole. La
norma ISO 31000 no es certificable dado que no establece directrices para el tratamiento
de riesgos concretos sino que da orientaciones para la implantación de un sistema de
gestión del riesgo que sea compatible con los estándares de gestión de riesgos
particulares de cualquier sector al proponer pautas genéricas sobre cómo gestionar los
riesgos de forma sistemática y transparente. El diseño y la implantación de la gestión de
riesgos dependerá de las diversas necesidades de cada organización, objetivos
concretos, contexto, estructura, operaciones, procesos, proyectos, servicios, etc
Es importante que la organización establezca las reglas para la toma de riesgos o dicho
de otra forma, cual será su “actitud frente al riesgo” y que elaboren una declaración
respecto del “apetito de riesgo” que es aplicable a los mismos. Es bastante fácil decir que la organización no tiene apetito por causar lesiones o provocar enfermedades a sus
empleados. En la práctica, esto normalmente se documenta en un conjunto de objetivos
para el control de riesgos respecto de salud y seguridad.
Pero los riesgos pueden afectar a una organización en el corto, mediano y largo plazo.
Estos riesgos están relacionados con la operación diaria, la táctica y la estrategia,
respectivamente. La estrategia establece los objetivos a largo plazo de la organización,
cuyo horizonte de planificación típico podría ser de 3, o 5 años. Las tácticas definen cómo
una organización tiene la intención de lograr un cambio. Por lo tanto, los riesgos tácticos
son típicamente asociados con los proyectos, fusiones, adquisiciones y desarrollos de
productos. Las operaciones son las actividades rutinarias de la organización
En el nivel directivo, la actitud y el apetito de riesgo es el conductor de las decisiones
estratégicas de riesgo de toda la organización. A nivel ejecutivo, el apetito de riesgo se
traduce en un conjunto de procedimientos para garantizar que el riesgo reciba la atención
adecuada al tomar decisiones tácticas. A nivel operativo, el apetito de riesgo dicta las
restricciones operacionales de las actividades de rutina. A pesar de su importancia, es
sorprendente que el concepto de apetito por el riesgo no se menciona en la norma ISO
31000, a pesar de que está incluido en la mayoría de los estándares de gestión de
riesgos. Las consecuencias de la materialización de riesgos pueden ser riesgos (peligros)
negativos, o riesgos (oportunidades) positivos. A nivel operativo normalmente se controlan
los riesgos peligrosos o daños físicos, a nivel táctico y estratégico sobre todo, se debe
también contemplar las oportunidades.
Los procesos de la gestión de riesgos propuesta por la ISO 31000 es similar a la que se estudia con el PMBOK, excepto en cuanto al tratamiento tipo ERM. Las organizaciones
tienen que establecer definiciones adecuadas para los diferentes niveles de probabilidad y
consecuencias asociadas a los diferentes riesgos. La clasificación de riesgos puede ser
cuantitativos, semi-cuantitativa o cualitativa en términos de la probabilidad de ocurrencia y
las posibles consecuencias