LOS RIESGOS EMPRESARIALES, ¿CÓMO SE GESTIONAN? Entrevista a Miguel Ángel Carmona Calvo, Gestor de Conocimiento del Área de Gestión Avanzada (IAT) A genda de la Empresa: En el contexto empresarial actual, ¿por qué se habla cada vez más de gestionar los riesgos? Miguel Ángel Carmona Calvo: Entre otros aspectos, creo que la complicada situación económica con la que estamos conviviendo en los últimos años, y las circunstancias altamente cambiantes en los mercados globales, en la tecnología, e incluso en el ámbito regulatorio, están impulsado en las empresas y organizaciones la necesidad de identificar aquellos factores que potencialmente pueden ocasionarles algún perjuicio o que les genera incertidumbre en los resultados de gestión. Creo que los directivos y gestores tienen cada vez mayor interés, por un lado, en conocer, evaluar y controlar los riesgos a los que sus empresas están expuestas, con el fin de tomar las decisiones apropiadas que les prevengan de su materialización, y también, por otro lado, en demostrar una buena gestión en este ámbito ante las demandas de determinados grupos de interés. A.E.: ¿Qué se entiende por “riesgo” en el contexto de una empresa u organización? M.A.C.C.: De todas las definiciones de “riesgo” que podemos encontrar, me quedaría con la aportada por la norma internacional ISO 31000:2009. Esta norma establece los principios y directrices para la gestión del riesgo, y lo define como el “efecto de la incertidumbre sobre la consecución de los objetivos”. No obstante, puede resultar más intuitivo asociar el riesgo al término de suceso. Pensar en un riesgo es pensar en algo que potencialmente puede ocurrir, y que de producirse, tendría unos determinados efectos en la consecución de los resultados productivos, económicos, etc., ya sean positivos o negativos. Por eso, podemos hablar de riesgos “positivos” y “negativos”. Identificar un riesgo implica reconocer, además de la existencia del suceso potencial, sus causas y sus posibles consecuencias. Creo que no se puede gestionar bien un riesgo si previamente no hemos caracterizado adecuadamente dicha cadena “causasuceso-consecuencia”. A.E.: ¿Puede ponernos algún ejemplo de riesgo empresarial? M.A.C.C.: Ejemplos de riesgos empresariales podrían ser: los impagos de clientes, los fallos de la infraestructura, un incendio, los conflictos laborales, la fuga de trabajadores cualificados, una caída del sistema de información, etc. No obstante, más allá del “título” del riesgo dado por el suceso potencial, es importante caracterizarlo mediante sus causas y consecuencias. Un ejemplo más completo de caracterización de un riesgo sería el siguiente: los proveedores de componentes nos entregan materiales no conformes (suceso), debido a una errónea/ escasa definición de las especificaciones de los productos comprados (causa), que implica un reproceso en fabricación y la entrega fuera de plazo al cliente (consecuencias). En todo caso, el nivel de detalle dependerá del contexto y la finalidad de la gestión de riesgos. A.E.: Afirmaba anteriorm e n t e que podemos encontrar ries- gos positivos y negativos, ¿es así? M.A.C.C.: Imaginemos, por ejemplo, que tenemos proveedores en Marruecos, a los que compramos materia prima a un coste determinado en Dirhams, moneda marroquí. El tipo de cambio afecta a la transacción económica en el momento del pago. Las fluctuaciones del tipo de cambio es un tipo de suceso que puede tener como consecuencia un sobrecoste o una ganancia respecto al coste del producto adquirido. Es decir, puede ser negativo o positivo. En alguna bibliografía, podemos encontrar que los “riesgos positivos” son denominados también como “oportunidades”. En todo caso, una buena gestión de riesgos debería considerar ambos tipos. A.E.: Por los ejemplos anteriores, parece que existen riesgos de muy diferente naturaleza. ¿Es posible ordenar la identificación de los riesgos para facilitar su gestión? M.A.C.C.: La heterogeneidad de riesgos viene dada por la variedad de factores que los pueden generar. Y, francamente, puede ser muy amplia. Tan amplia que si no ponemos cierto orden en la identificación de riesgos es fácil olvidarse de algunos de ellos. En este sentido, es frecuente escuchar hablar de riesgos financieros, tecnológicos, operativos, de cliente, de proveedores, estratégicos, logísticos, etc. La mejor manera de abordar la identificación de riesgos es partir de una categorización predeterminada de los mismos. Cada empresa podrá definir su propia categorización. Cada categoría o familia de riesgos comprende un bloque más acotado en el que llevar a cabo la identificación, y es recomendable asignar cada familia a un responsable o propietario de riesgo. De esta forma, cada propietario identificaría los riesgos dentro de su familia. Con esta sistemática, se conseguirá aplicar un enfoque más completo, especializado, ordenado y participativo. A.E.: Además de la identificación de los riesgos, ¿qué otras actividades comprende la gestión del riesgo? M.A.C.C.: 28 Agenda de la Empresa / Marzo 2016 Agenda 210.indd 28 24/02/2016 10:14:06 La primera fase de la gestión del riesgo es el ANÁLISIS DE CONTEXTO donde, entre otras cosas, se establece el alcance y los objetivos. A partir de ahí, se lleva a cabo la IDENTIFICACIÓN DE LOS RIESGOS, donde se reconocen y caracterizan los riesgos, el ANÁLISIS DE LOS RIESGOS, donde se valora cada riesgo atendiendo a la probabilidad de ocurrencia y a las consecuencias potenciales, la EVALUACIÓN DE LOS RIESGOS, donde se compara cada riesgo con los criterios de aceptabilidad previamente definidos, y el TRATAMIENTO DE LOS RIESGOS, donde se definen las acciones necesarias. Paralelamente, trascurren otras dos fases: COMUNICACIÓN Y CONSULTA y SEGUIMIENTO Y REVISIÓN. Más allá de los detalles de cada una de estas fases, destacaría con carácter general la importancia de dotar a la gestión de riesgos de una estructura, que facilite de manera efectiva la toma de decisiones y la implantación de las acciones de tratamiento necesarias. A.E.: ¿Con qué alcance se puede aplicar la gestión del riesgo? M.A.C.C.: El proceso de gestión del riesgo puede aplicarse a muy diferentes contextos y con muy diferentes alcances, como a un proyecto específico, a un centro de trabajo, a una línea de negocio o a una empresa a nivel general. Además, los objetivos pueden ser parciales o globales. Todo ello se define en la fase de análisis de contexto, en función de las necesidades de la empresa. A.E.: ¿Qué normas pueden servir de referencia a una empresa para implantar una gestión de riesgos? M.A.C.C.: La principal es la norma ISO 31000:2009, en la que se establecen principios y directrices de la gestión del riesgo, y se desarrollan sus diferentes fases. También es de gran ayuda la norma ISO /IEC 31010:2009, sobre técnicas de apreciación del riesgo. A.E.: Parece que ahora la nueva versión de 2015 de la norma ISO 9001 también introduce fuertemente la gestión de riesgos, ¿qué opina al respecto? M.A.C.C.: En la versión anterior de la norma ISO 9001, la gestión del riesgo permanecía de manera implícita a través, por ejemplo, de las acciones preventivas y del análisis de las no conformidades del sistema. Pero ahora, la versión del 2015 incluye explícitamente la gestión del riesgo, reforzando más aún el carácter preventivo de los sistemas de gestión de la calidad. Por ello, en adelante, los sistemas de gestión de la calidad conforme a esta norma deberán mostrar cómo se determinan los riesgos y oportunidades para asegurar que se logran los resultados previstos y se previenen los efectos indeseados. Esto reforzará el análisis de riesgos y oportunidades asociado al logro de los objetivos de los procesos que conforman el sistema de gestión de la calidad. Otra razón más para integrar la gestión de riesgos en la empresa. A.E.: ¿Qué le diría a aquellos que opinan que la gestión de riesgos es una novedad, una moda más? M.A.C.C.: No es una moda. La gestión de riesgos puede parecer algo nuevo, pero es realmente un concepto muy antiguo. Hace más de tres siglos que se desarrollaron aspectos de riesgos en sectores como las finanzas y los seguros. Realmente, la gestión del riesgo es de hecho algo inherente a la propia operativa de estos dos sectores mencionados. Los sistemas de previsión y de seguridad social para la protección de los trabajadores se basan igualmente en estos conceptos. Y durante el último siglo, se han ido generando referencias y estándares para la gestión de riesgos, y su aplicación a nivel empresarial, inicialmente con mayor fuerza en empresas que cotizan en bolsa (p.e.: COSO). Los sistemas de gestión de riesgos laborales y de aspectos ambientales no son más que ámbitos concretos de la gestión del riesgo, y cada vez están más extendidos con el uso de normas como OHSAS 18001 o ISO 14001. Los clientes demandan cada vez más que sus proveedores generen confianza demostrando que gestionan sus riesgos. Y, en el marco de la gestión de proyectos, PMBOK establece la gestión de los riesgos como un área clave. Son muchos argumentos para pensar que no se trata de una novedad o moda, sino de un ámbito que se extiende y toma fuerza por el potencial que ofrece. A.E.: ¿Podría indicarme tres beneficios claves de implantar una gestión de riesgos? M.A.C.C.: Son muchos, pero si tuviera que resumirlo en tres de ellos diría: ANTICIPACIÓN, INTEGRACIÓN y CONFIANZA. Una buena gestión de riesgos facilita la anticipación a los problemas con un enfoque preventivo, favorece la integración y alineación de todos los ámbitos de conocimiento de la organización con un enfoque participativo y genera confianza a los grupos de interés. A.E.: ¿Qué le recomendaría a un director de una empresa para implantar un proceso de gestión del riesgo? M.A.C.C.: Lo primero, le pediría un fuerte compromiso y una firme creencia de que la gestión del riesgo puede ser una potente herramienta de gestión, operativa y directiva. Creo también que es vital designar, dentro de la estructura organizativa, a la autoridad pertinente que asuma la coordinación de este proceso. Esto no debe significar que esta autoridad “se lo guise y se lo coma”. Todo lo contrario. La gestión de riesgos es una cosa de todos. Por ello, le recomendaría que apoyara la designación de propietarios de riesgo por familias o categorías de riesgos. Los propietarios de riesgos deberían ser elegidos sobre la base de sus responsabilidades y sus conocimientos, y deberían ser la referencia para cada familia de riesgos, liderando la identificación, el análisis, la evaluación y el tratamiento de los riesgos bajo su ámbito, de forma coordinada. Le recomendaría también que estableciera un órgano o comité consultivo, constituido por el coordinador de riesgos y los propietarios de riesgos, para la puesta en común y el consenso sobre las evaluaciones y planes de acción. Por último, le sugeriría que todas las personas con responsabilidades en la gestión de riesgos tuviesen una formación en la materia y que se dispusiese de una descripción explícita del proceso. A.E.: Por último, ¿cómo apoya IAT la aplicación de la gestión del riesgo en las empresas? M.A.C.C.: Por un lado, IAT lleva a cabo actividades de desarrollo de las capacidades en este ámbito dentro de las empresas, vía formación práctica y/o sesiones tuteladas, principalmente. Y, por otro, IAT desarrolla proyectos específicos en gestión de riesgos tanto en agrupaciones sectoriales como en el marco de la gestión de las relaciones cliente-proveedor. El objetivo de estos proyectos es facilitar la “capilarización” de la gestión de riesgos entre los proveedores en favor de la mejora de la cadena de suministro. Un ejemplo de esto es el proyecto realizado por IAT durante 2014 y 2015 en un conjunto de empresas del sector aeronáutico, bajo el impulso y auspicio de Airbus Military. l Manuel Bellido Marzo 2016 / Agenda de la Empresa 29 Agenda 210.indd 29 24/02/2016 10:14:07