blog 1

Quiero comentar sobre la relación que existe entre la calidad y la gestión de riesgos.

Conozco empresas con proyectos millonarios, y a veces, hasta billonarios que gestionan sus riesgos de un modo muy precario y poco formal. A veces solo hacen una pequeña lista de riesgos para “cumplir con el Banco y condiciones del préstamo” o para cumplir con alguna metodología de riesgos interna pero dicha lista de riesgos es incompleta e irrelevante. No es una herramienta de gestión, es algo para figurar que “estamos cumpliendo”.

La Norma ISO 31000 para Gestión de Riesgos define ciertos principios que guían la realización de una efectiva gestión de riesgos. Considerando que la incertidumbre, el riesgo y las amenazas son inherentes al trabajo u actividad que cualquier organización y/o proyecto realiza, es imperativo que las empresas se profesionalicen en esta área. Que detecten cuáles son las áreas de mejora que tienen en gestión de riesgos, que evalúen qué tipo de habilidades y capacitación necesita su personal para realizar una gestión de riesgos seria y profesional. A menudo encuentro, desde empresas pequeñas a muy grandes, que han descuidado esta parte, que quizá dicen tener “metodologías” o cumplir con “estándares” que consideran la gestión de riesgos, pero que en la práctica, en la labor diaria, no lo hacen con la seriedad y formalidad que se requiere.

La ISO 31000 es uno de los estándares del mercado para gestión de riesgos, pero hay otros alrededor del mundo en Australia, Canadá, Estados Unidos, Nueva Zelanda, etc. También hay estándares específicos para riesgos de proyectos, programas o portafolios. Por ejemplo, el PMI tiene un estándar llamado PMI Practice Standard for Project Risk Management. La ISO también tiene normas de gestión de proyectos, programas y portafolios que abordan la gestión de riesgos específicamente para dicho alcance como son la ISO 21.500 y la ISO 21.504.

A veces, juega un poco en contra la cultura informal que hay en muchos lugares de América Latina. Por definición, cuando se estudian las dimensiones idiosincráticas de diferentes países, basados en modelos que hay en el mercado (por ejemplo el modelo de cultura de Hoftsede, referido a patrones culturales), se confirma que los países latinoamericanos por definición responden a una cultura informal y no formal. Para poder implementar una gestión apropiada de riesgos que impacte y contribuya con una mejor calidad y salud, es necesario cambiar dicha cultura en las organizaciones. La gestión de riesgos no puede ser algo informal o que dependa de los individuos. No puede ser algo que el que quiere lo aplica y el que no quiere no. Debe ser algo formal, establecido, que se implemente, monitoree, audite y que lleve a generar una cultura proactiva de gestión de riesgos en lugar de una cultura reactiva. Debemos olvidarnos de tantos bomberos en las empresas, y en lugar de ellos, debemos tener más personas trabajando en la prevención. No hay que esperar incendios para apagarlos. El trabajo es prevenir incendios.

Una empresa que por definición es aversa** al riesgo tendrá definida una matriz de evaluación del riesgo que se rige por una tolerancia aversa. Sin embargo, nada quita que dicha empresa en un momento determinado decida llevar adelante un proyecto arriesgado, no averso, y que para dicho proyecto en particular utilizará una matriz de riesgo que siga una tolerancia arriesgada. Obligarlos a usar la matriz aversa corporativa en dicho caso provocará que el análisis de riesgos del proyecto sea erróneo. Por eso, hay organizaciones que tienen diferentes estándares de riesgos a distintos niveles de la organización (corporativos, operativos, proyectos, portafolios, etc.), pero dichos estándares están integrados en forma coherente. Por ejemplo, una organización puede utilizar ISO31000 para la gestión de riesgos corporativos u operativos (trata la gestión de riesgos en el apartado de planificación), y utilizar el estándar de gestión de riesgos del PMI y no el ISO21500 a nivel de proyecto. Y eso se puede integrar perfectamente porque si bien el estándar del PMI y la Norma ISO tienen diferencias, son compatibles.

La gestión profesional de riesgos no asegura que no existirán riesgos materializados o que nada saldrá mal en un proyecto u organización, pero sí que se minimizarán las amenazas y se aumentarán considerablemente las posibilidades de éxito de los proyectos y megaproyectos, y como resultado el éxito y resultados de sus organizaciones. También resulta evidente que una mejor gestión del riesgo lleva a una mejor calidad, menor retrabajo, y mayores garantías para la salud y seguridad de las personas en el trabajo, entre otros beneficios. Es tiempo que las empresas peruanas y latinoamericanas dejen de ver a la gestión de riesgos como un costo y lo vean como una inversión. Aquellos que gestionamos riesgos profesionalmente vemos a diario los increíbles ahorros que se generan como consecuencia de una cultura proactiva de gestión de riesgos.