Por Cinthya Montero, PMP, CISA, SAFe SM, ACPC.
“En un mundo que cambia realmente rápido, la única estrategia en la que el fracaso está garantizado es no asumir riesgos”. (Mark Zuckerberg).
Todas las organizaciones, sin importar el tamaño o el mercado al que se dirijan se enfrentan continuamente a diversos factores e influencias, tanto internas como externas, que crean incertidumbre para el logro de sus objetivos. Estos factores e influencias deben ser considerados como riesgos.
Similar a lo expresado en la reconocida frase de Heráclito: “Lo único constante es el cambio”, también los riesgos son constantes; algunos de ellos se pueden prever y si se tiene el adecuado sustento metodológico y de procesos, incluso se podrán gestionar, y tal vez, algunos de ellos, podrían convertirse en oportunidades. Sin embrago existen muchos otros que ni siquiera imaginemos.
Uno de los mejores ejemplos actuales de riesgos no previstos es la situación que hemos estado viviendo desde hace varios meses: el COVID-19. Pareciera salido de una buena película de ciencia ficción, en donde una enfermedad detenga por completo el ritmo mundial y aquello que nos parecía impostergable y casi de vida o muerte, tuvo que quedar esperando, en pausa. Lo que antes era primordial, ahora se vuelve secundario. Y la capacidad de adaptación se pone a prueba una vez más para toda la humanidad.
Es cierto que ninguna organización estaba cien por ciento preparada para la materialización de este riesgo, sin embargo, algunos llevaban ventaja.
De acuerdo a la Organización Internacional de Normalización (ISO), como lo establece en su norma 31000 la gestión de riesgos debe ser permanente, orientada a ayudar a las organizaciones a lograr sus objetivos, tomando decisiones informadas. Es parte fundamental de la gobernanza de las empresas, y debe estar respaldada por el liderazgo de los directivos, debiéndose aplicar en todos los niveles de la organización, considerando tanto el contexto interno como el externo, incluyendo el comportamiento humano y los factores culturales.
Las prácticas de gestión de riesgos no son nuevas, nacen en la década de los 60s. Actualmente existen diversos modelos, prácticas, procesos y métodos que nos pueden guiar para llevar una gestión de riesgos adecuada. Por ejemplo:
- El marco de gestión de riesgos de TI (Tecnología de la Información) en el cual se gestionan los riesgos asociados con el uso, propiedad, operación, influencia y adopción de las tecnologías de la información en las empresas. Este marco se enfoca en los conceptos de valor y beneficios que las organizaciones esperan obtener a través de la ejecución de sus iniciativas. Gestiona los riesgos relacionados con la no obtención de ese valor o esos beneficios, así como no aprovechar las oportunidades que una iniciativa de TI puede brindar a una organización.
- Project Management Book of Knowledge (PMBOK®) del Project Management Institute (PMI®). Dedica un área de conocimiento a la gestión de riesgos de los proyectos, brindando una guía completa de las actividades necesarias para llevar una adecuada gestión de riesgos en todo proyecto, desde planificar su gestión, hasta el monitoreo de los mismos.
- Enterprise Security Risk Management (ESRM®) Guideline, de la ASIS® (American Society for Industrial Security). Enfocado en la seguridad organizacional, su objetivo es gestionar los riesgos de seguridad con prioridad en las actividades de protección. Vincula la práctica de seguridad con la estrategia de la organización. Principalmente útil para enfrentar todos los ataques cibernéticos que se han incrementado de forma descomunal desde que inició el confinamiento y las empresas han tenido que recurrir al teletrabajo o trabajo en casa.
Cual sea el marco que se tome de base, es importante desarrollar una metodología de gestión de riesgos personalizada propia para cada organización que se adapte a las necesidades, cultura, apetito de riesgo, y que sea adecuada al momento y nivel en que se gestionarán los riesgos.
Sin lugar a dudas, los constantes cambios, así como la velocidad con que la transformación digital va contagiando a cada una de las organizaciones, incrementa los riesgos a los que las empresas pueden estar expuestas, lo que impulsa la evolución en que debemos percibir los riesgos y cómo debemos gestionarlos.