Identificación de riesgos en la empresa (I)

 

En la entrega anterior señalábamos que un relevamiento inicial o primario de riesgos (“screening”) es clave para conocer a las personas y para comenzar a pensar en el diseño de un marco de gestión de riesgos integral, estructurado, exhaustivo y que propenda a la mejora continua. Los principales estándares para la gestión de riesgos introducen, en este punto, todo lo referido al marco de gestión de riesgos, alcance y criterios (ISO 31000) o el Plan de Gestión de Riesgos, incluyendo las normas, procesos, procedimientos, formatos, límites, roles y responsabilidades de la gestión de riesgos (PMI). Lógicamente debe ser así.

En la práctica de las empresas, he observado más beneficios si nos adentramos primero en la identificación de riesgos, para luego retomar el marco teórico.

La norma ISO 31000 define riesgo como efecto de la incertidumbre sobre los objetivos, aclarando que es una desviación respecto a lo previsto, positiva o negativa, y puede abordar, crear o resultar en oportunidades y amenazas. En general, un riesgo se puede expresar en términos de causas, eventos inciertos y consecuencias. Y será clave esforzarnos por diferenciar estos conceptos.

Ejemplo: Llevo mi automóvil al mecánico y me diagnostican que los frenos están gastados, a lo que en mi planilla de registro de riesgos escribo “frenos gastados”. Esto no es un enunciado correcto del riesgo. En principio, describo un hecho cierto, es un dato de la realidad, por lo tanto, esto no está sujeto a incertidumbre.

¿Qué evento incierto podría suceder? El más sencillo, que llegando a una esquina el auto no frene y choque. El evento incierto es entonces chocar, y posiblemente una causa sería el mal estado del sistema de frenos. Aquí estamos diferenciando causas de evento.

Obviamente, como muchos deben estar pensando, puedo colisionar con otro automóvil y simplemente rozar un paragolpes. Por lo que podría medir las consecuencias del siniestro en términos de valores monetarios (reparaciones), tiempo perdido, etc. O podría también chocar con un bus de transporte colectivo, con una masa diez veces superior a la de mi coche y terminar con varias fracturas en un hospital. Muchas consecuencias podría valorarlas monetariamente (mayores gastos hospitalarios, lucro cesante, etc.) pero quizás sería más complejo valorar una muerte o una discapacidad permanente.

Volviendo a nuestro ejemplo del Jefe de Compras, en esa primera entrevista nos señaló como riesgo: “No comprar al mejor precio”, y este parecería ser el evento incierto -y en este caso, negativo-. Pero para incluirlo en nuestro Registro de Riesgos, debemos investigar más, tanto en lo referido a las causas como a las consecuencias. Allí nos menciona que cuenta con un procedimiento de compras que indica que se deben pedir tres cotizaciones antes de comprar. Por otro lado, las compras que gestiona son las de plaza, que representan el 20% del total de las compras anuales.

“Si no se cumple con el pedido de tres cotizaciones para proveedores en plaza, podríamos no comprar al mejor precio, resultando en un sobrecosto en el 20% de las compras.”

Así luce mejor, pero además, este enunciado aporta más información. Y ya que estamos con el Jefe de Compras, le preguntaría por más datos, información que me pueda clarificar aún más la situación. Por ejemplo: ¿Cuántas compras en plaza se realizan anualmente? ¿Cuál es el monto global de dichas compras? ¿Podría estimar cuántas veces y por qué montos no fueron seguidas las pautas del procedimiento? Con estas preguntas busco establecer si el riesgo está especificado claramente y comienzo a pensar en dos términos siempre asociados como son: probabilidad de ocurrencia e impacto, y su cuantificación.

Claramente podría haber otras razones para “No comprar al mejor precio”, por ejemplo, que no hayamos establecido acuerdos de suministros a mediano plazo. Y desde este punto de vista es una oportunidad. Establecer acuerdos de suministros anuales podría ser un evento -hoy incierto- cuya consecuencia sería positiva para los objetivos de compras en lo referido a los gastos totales. Supongamos que en base a referencias o primeras conversaciones se establece un valor objetivo de disminuir las erogaciones en un 10%, nuestro riesgo podría registrarse así:

“Si establecemos contratos de suministros a mediano plazo, podríamos comprar a menores precios, resultando en un ahorro global del 10% en las compras en plaza.”

Resumiendo, identificar riesgos implica enunciarlos, incluyendo causas, eventos y consecuencias e incorporando las especificidades de cada caso, valores y métricas. Un riesgo puede tener una o más causas y, de materializarse, uno o más impactos.