La base de un sistema de gestión de riesgos en contratos es una política de gestión de riesgos para contratos. Si tu organización ha decidido realizar la gestión de los riesgos en sus contratos en forma sistemática, lo primero que debe considerar es elaborar y dar a conocer a sus integrantes una política de gestión de riesgos que oriente a la organización respecto al alcance, forma y criterios de riesgos que tiene la dirección superior.

En la búsqueda de mejorar la forma de administrar los riesgos en los contratos de tu organización, es importante que comiences con la política de gestión de riesgos específica para los contratos. Esta debe estar basada en la política de gestión de riesgos de la organización. Sin embargo, si tu organización no cuenta con esta política, el primer paso debe ser elaborar una política de gestión de riesgos a nivel de toda de la organización. Este es el primer paso en cualquier sistema de gestión de riesgos porque ayuda a alinear a todos los miembros de una organización en torno a cómo se debe abordar la gestión de los riesgos.

La política de gestión de riesgos es esencial para que los miembros de una organización se alineen en su enfoque de gestión de riesgos y adopten una cultura corporativa en torno a este tema.

- ¿Qué es la política de gestión de riesgos? - Es el conjunto de decisiones que toma la empresa para determinar cuál es el marco de actuación aceptable para los niveles de riesgo inherentes a su actividad (nivel de riesgo tolerable), dentro del cual debe circunscribirse el desarrollo normal del negocio.

- ¿Cuál es su objetivo? - La política de gestión de riesgos de una organización debe tener no uno, sino varios objetivos:

- ¿Qué relevancia tiene la política? - Es un elemento clave para que la organización se alinee en la forma de gestionar los riesgos y adquiera una cultura corporativa en esta materia.

- ¿Cómo se debe construir la política de gestión de riesgos? – Al igual que todas las políticas de la organización, esta debe nacer de las definiciones estratégicas de la organización, toma en consideración la cultura existente y establece un camino hacia la cultura proyectada como objetivo. Es decir, es como un foco que ilumina de arriba hacia abajo, desde la dirección superior hasta las áreas operativas.

- ¿Qué debe contener la política? - Son tres los elementos fundamentales de la política:

- ¿Quién tiene la obligación de establecer la política de gestión de riesgos? - Para que la política cumpla con su objetivo, y esté alineada con los objetivos estratégicos, es fundamental que sea definida por la alta dirección de la organización.

Además, la alta dirección también es responsable de asignar los recursos para implementarla, evaluarla y mejorarla cuando corresponda.

Si tu organización ya cuenta con la política de gestión de riesgos puede avanzar en una política de gestión de riesgos específica para los contratos.

- ¿Y por qué no es suficiente con la política de gestión de riesgos de la organización? – Tener una política específica para contratos permite a la organización contar con estándares mínimos para la realización de las actividades de las diversas etapas de un contrato, desde la licitación hasta el cierre, pasando por la ejecución de los contratos, y contar con criterios de riesgos específicos para la gestión de riesgos en los contratos. No corresponde que en la política de la organización vayan estos estándares y criterios propios de los contratos.

- ¿Qué son los criterios de riesgos? -  Según la norma ISO Guía 73:2013, los criterios de riesgos son términos de referencia en base a los cuales se evalúa la relevancia de los riesgos. Al definir los criterios de riesgo, la organización especifica qué tipos de riesgos no son tolerables y cuáles pueden ser tolerados por la organización y hasta qué nivel. Para ello, la organización debe basarse en los diversos objetivos que tiene de modo de evaluar cuánto riesgo puede ser aceptable para cada uno de los objetivos. Por ejemplo, una organización puede establecer como objetivo no tener evento con impacto ambiental o no sufrir ninguna sanción parte de la autoridad sanitaria. En ambos casos, esto deberá reflejarse en los criterios de riesgos que la organización establezca en la política correspondiente con declaraciones como “no se aceptará ningún riesgo que pueda afectar el medio ambiente en las operaciones que realice la organización durante la gestión de sus contratos” o “no será tolerable un riesgo que pueda exponer a la organización a una sanción de la autoridad correspondiente”. Para ello es fundamental tener en consideración el contexto externo e interno de la organización. Y, dado que los contextos son cambiantes, los criterios de riesgos también deberán adaptarse a las nuevas condiciones. Por lo tanto, los criterios deben ser revisados en forma continua para asegurar que estén actualizados.

Pero, también, es muy relevante que los criterios de riesgos reflejen los valores de la organización. Por ejemplo, un tema que es muy controversial y que en algunos casos se refleja en la política de riesgos se refiere a la tolerancia de la organización a los accidentes fatales o invalidantes para los trabajadores. Si bien es cierto que ninguna acción preventiva de la organización puede eliminar completamente el riesgo de un accidente fatal, ¿se debe establecer en la política como riesgos intolerables? ¿Qué incentivos o desincentivos se generan con esta declaración? ¿Cuáles son los riesgos intolerables de tu organización?