La norma ISO 31000 deja bien en claro que el propósito de la gestión de riesgos en una organización es aportar a la creación y protección del valor para dicha organización. Una correcta gestión de riesgos tiene varios efectos positivos: logra mejorar el desempeño de la organización; fomenta la innovación y las habilidades de gestión; y contribuye al logro de los objetivos estratégicos. Por este motivo es que un sistema de gestión de riesgos es un asunto que corresponde al nivel de dirección de la organización. No es un asunto operativo ni comercial aunque, por supuesto, va a mejorar el resultado de estos procesos.

La versión 2018 de la ISO 31000 hace énfasis en que la dirección debe involucrarse en la implantación de la gestión de riesgos en su organización. Un sistema de gestión de riesgos que no nace de la dirección, o que no es asumido por esta en el momento oportuno, está condenado al fracaso. Mejor no gastar recursos en ello.

- ¿Y qué pasa en la realidad? – Bueno, la realidad es que son muy pocas las organizaciones que se han decidido a implantar un sistema de gestión de riesgos. Según estadísticas de consultoras especializadas, el 1% de las empresas que tienen un sistema de gestión de la calidad tienen un sistema de gestión de riesgos.

- ¿Y por qué se da esta situación? - La respuesta tiene varias aristas. Resumiendo: (1) La primera respuesta es dura porque desnuda una serie de falencias que encontramos en la dirección de muchas organizaciones que están centradas más en los temas operativos que en los temas estratégicos. (2) Hay que reconocer que hay cierto descrédito respecto de los remedios milagrosos para las organizaciones que periódicamente están apareciendo y que tienen un crecimiento espectacular y luego pasan al olvido sin pena ni gloria. (3) Un sistema de gestión de riesgos no es certificable (a diferencia de los sistemas de gestión de la calidad, de gestión ambiental y otros), así que no es un aporte comercial que mostrar ante los clientes y la comunidad. (4) Implantar un sistema para toda la organización puede ser un esfuerzo demasiado grande para algunas organizaciones cuyos frutos solo se verán después de un par de años…o más.

Sin embargo, hay que reconocer que lo planteado por la ISO 31000 es la sistematización de una recopilación de las mejores prácticas actuales de la industria. Todo lo que se plantea es de sentido común porque todos gestionamos riesgos en nuestra vida diaria…pero no lo hacemos en forma sistemática ni estandarizada. Y ahí está el talón de Aquiles de las organizaciones sobre el cual la ISO 31000 realiza su gran aporte.

- Pero, ¿cómo la dirección de una organización puede tomar el liderazgo en la implantación de un sistema de gestión de riesgos? - Para que esto suceda es fundamental que las personas a cargo de la dirección de la organización, en su rol de tomadores de decisiones estratégicas, adquieran la conciencia del aporte que un sistema de gestión de riesgos puede entregar a la organización.

Lo siguiente es buscar soluciones escalables que permitan avanzar gradualmente en la implantación de un sistema partiendo por las áreas en que se pueda obtener un mayor beneficio/costo.

Nuestra propuesta, que es asequible a todas las organizaciones, es implantar un sistema de gestión de riesgos focalizado en el ámbito de los contratos (SGRC). Esto tiene las siguientes ventajas para la organización: (1) El esfuerzo a realizar por la organización es mucho menor porque la cantidad de procesos involucrados en un contrato es significativamente menor que para el total de la organización; (2) El personal que participa en la gestión y administración de los contratos, también es una parte menor de la organización, por lo que el esfuerzo en la capacitación del personal resulta más practicable; (3) La mayoría de los contratos tienen un periodo de vida bastante acotado, lo que permite realizar el ciclo completo de gestión de riesgos hasta cerrar el contrato y evaluar el aporte que tuvo el sistema a los resultados del contrato; (4) También, de la evaluación de los resultados, se puede tener una retroalimentación pronta para mejorar el sistema; (5) Para aquellas organizaciones que externalizan gran parte de las actividades, como el desarrollo de proyectos de inversión o diversos servicios de apoyo a las operaciones, los contratos que establecen con terceros son de carácter estratégico para su negocio; (6) La organización puede seleccionar cuáles serán los contratos a los que se les realizará gestión de riesgos en función de la relevancia que tenga cada uno de estos para la organización; (7) La organización va adquiriendo una cultura de gestión de riesgos que le permitirá escalar el sistema a otras áreas de la organización.

Esta solución se potencia notablemente si el sistema está en una plataforma informática que permita el trabajo conjunto y colaborativo, la supervisión en línea, el seguimiento de todas las acciones por realizar, la trazabilidad de cada una de las acciones realizadas, la gestión de los documentos generados por las actividades, el monitoreo y control permanente de los riesgos, la emisión de reportes según los diversos criterios que el usuario estime necesarios.

Finalmente, aunque el SGRC esté focalizado en la gestión de los contratos, sigue siendo absolutamente necesario el compromiso de la dirección con la gestión de los riesgos ya que este sistema deberá alinearse con la planificación estratégica de la organización.