Su empresa ha hecho los deberes: ha formulado y desplegado su Estrategia para los próximos cinco años.
Comenzó definiendo su objetivo principal, su misión, su visión de futuro y sus valores. Planteó escenarios y cruzó los más probables con la visión de adónde quiere llegar, la base de un sólido análisis DAFO. Fue más allá. Definió sus objetivos estratégicos (¿alguien recuerda el BSC?), establecer métricas (KPI’s, elementos de control, elementos de seguimiento) y metas, así como, determinar los procesos necesarios para afrontar los objetivos y cumplir las metas año tras año.
¿Siguiente paso? Mapeó todos los procesos: utilizando Bizagi, Visio o incluso las herramientas de diseño del paquete Office, dentro de un enfoque de procesos basado en SIPOC – cada proceso tiene sus proveedores (suppliers), entradas (inputs), actividades de proceso (process), salidas (outputs) y clientes (clients).
Por último, su empresa ha distribuido todo esto en cascada a través de sus procesos, departamentos y áreas.
¡Uf! Cuánto trabajo, ¿verdad?
Y… ¿será que no está faltando algo?
¡Ay, ay, ay! ¿Y la gestión de riesgos?
Todo fue formulado, desplegado, comunicado y entendido por todos, y nos preguntamos: ¿será que funcionará?
Aquí es donde aparecen los riesgos y las oportunidades.
La identificación, el reconocimiento y la mitigación de los riesgos, junto con el relevamiento de las oportunidades, son pasos fundamentales para que la empresa, a partir de los procesos mapeados, defina quizás la parte más importante del despliegue de su Estrategia: ¿qué necesita estandarizar para que los riesgos de los procesos estén debidamente controlados?
En otras palabras: es necesario definir cómo tratar los riesgos de cada proceso, llevando la estandarización y el control a quienes realizan las actividades que fueron identificadas, es decir, ¡a quienes aprietan las tuercas para que se cumpla la Estrategia!
En el mercado existen varias herramientas para abordar los riesgos y las oportunidades (desde sofisticadas soluciones tecnológicas hasta hojas de cálculo de MS Excel). Incluso existe una norma para tratar el tema (ISO 31000). A lo largo del tiempo se han desarrollado muchos métodos para abordar los riesgos y las oportunidades, y la norma ISO 9001 también habla de ellos.
El secreto, a la hora de adoptar cualquiera de estas herramientas, es tener en mente lo que se quiere conseguir con su uso. ¡Ahí es donde se desvenda lo oculto!
Tiene que ser sencillo y tener sentido.
Existen métodos y herramientas que tienen en cuenta un gran número de variables: probabilidad, frecuencia, gravedad, alcance, temporalidad, límites geográficos, entre otros. Hay herramientas que tienen en cuenta siete (¡¡siete!!) variables. Para cuantificar el riesgo es casi necesario calcular una integral desde el menos-infinito hasta el más-infinito.
¡Esto no tiene sentido!
“Ser sencillo y tener sentido” significa centrarse en lo que importa (con sencillez) y de forma que añada valor al proceso de gestión de riesgos (es decir, a los que utilizan la herramienta).
Un buen (y sencillo) método utiliza dos variables a la hora de cuantificar los riesgos vinculados a un proceso: la probabilidad de que el riesgo se produzca en la práctica y la gravedad (es decir, los impactos) de esta ocurrencia. El riesgo es el producto de una variable y la otra. Así de sencillo: si ambos (probabilidad y gravedad) varían entre 1 y 3, los valores de riesgo calculados pueden ser 1, 2, 3, 4, 6 y 9.
Otro punto a favor de la simplicidad: no es necesario un “arco iris” para identificar el riesgo, con un color que represente cada uno de los siete valores posibles y, en consecuencia, con siete clasificaciones diferentes (por ejemplo: catastrófico, extremadamente alto, muy alto, alto, medio, bajo, muy bajo). Basta con una clasificación entre “significativo” (por ejemplo: cuando el producto es mayor o igual a 6, o cuando la gravedad es igual a 3) y “no significativo” o “insignificante”.
A partir de esta clasificación, se establecen las acciones que deben ser realizadas por la empresa. Ejemplo:
- para los riesgos “significativos”: establecer obligatoriamente medidas de control y acciones de contingencia, mientras se sigue vigilando la ocurrencia práctica del riesgo en el día a día;
- para los riesgos “no significativos”: vigilar su aparición, verificando la necesidad de cambiar su clasificación en función de lo que surja con el tiempo.
¿Cómo aplicar este método en la práctica?
¡Todo empieza y termina en los procesos que se han mapeado!
Para cada “cajita” de cada proceso, se deben enumerar TODOS los RIESGOS detectados, sin importar si “son muy pequeños”, “casi nunca ocurren”, o si “el impacto es pequeño”. Lo correcto es enumerar todo y clasificar cada uno de los riesgos según la puntuación de probabilidad y gravedad.
Una vez completada esta etapa (que es larga, detallada y conlleva mucho trabajo), y con los puntos debidamente asignados, pasamos a la fase más importante de la gestión de riesgos de los procesos de la empresa: definir qué hacer para mitigarlos.
Normalmente se definen dos tipos de acciones:
- Medidas de control: ¿qué debo hacer (y normalizar) para evitar que el riesgo se produzca en la práctica?
- Acciones de contingencia: cuando las medidas de control fallen, ¿cómo debo actuar?
Pero ¿cómo hacer que las medidas de control y las acciones de contingencia lleguen a quienes operan los procesos? Mediante la normalización de estas medidas y acciones en manuales, procedimientos, instrucciones, formularios… En otras palabras: mantener (y conservar) la información documentada, que permite a la empresa asegurarse de que los riesgos se están mitigando.
¡¡¡Taran!!! Este es el vínculo entre la planificación estratégica y la gestión de riesgos de la empresa.
¡¡¡¿¿Qué??!!! ¡¡¡¿Cómo así?!!!
En resumen…
Primer paso: la formulación de la estrategia (propósito principal, misión, visión de futuro, valores, escenario, análisis DAFO).
Segundo paso: despliegue de la estrategia (objetivos, métricas/indicadores, metas, definición de los procesos de gestión de la empresa).
Tercer paso: mapear (es decir, detallar) cada uno de los procesos definidos (¿qué tiene que hacer la empresa para cumplir sus objetivos y alcanzar sus metas?)
Cuarto paso: aplicar un método para identificar, reconocer y mitigar los riesgos, aprovechando las oportunidades identificadas.
Quinto paso: crear normas de trabajo (manuales, procedimientos, instrucciones, formularios) para abordar los riesgos de cada proceso (¿cómo debe trabajar la empresa en sus procesos para cumplir sus objetivos y alcanzar sus metas?)
¡Y así, la Estrategia se despliega desde la “placa en la pared” (con la misión, la visión…) y llega a cada empleado que realiza las operaciones del día a día, ¡con un análisis de los riesgos de cada proceso de la empresa y su forma de mitigación!
¡CQD! (*)