- Por George Leal Jamil.
- Profesor asociado de la Fundação Dom Cabral, Brasil
Aunque siempre hablamos sobre la Gestión de Riesgos, aún hay algo más que añadir. Las dinámicas mundiales, sectoriales y locales no cesan de exponer nuevos factores, exigiendo que nos organicemos para percibir, identificar, clasificar, priorizar y buscar la mitigación de los riesgos, además de estar preparados para admitir nuevos riesgos, todavía no completamente conocidos. Si hablamos de gestión de proyectos, gestión estratégica, gestión financiera o gestión de la innovación, entre otros temas, siempre estará presente la cuestión de los riesgos, en cada uno de estos escenarios, agregando conocimiento sobre este tema.
En primer lugar, no es un tema del todo agradable. Al entregar algo esperado, al concluir un evento, producto o servicio, difícilmente a alguien le agradará que le pregunten: “¿Y si no resulta? ¿Y si el resultado no es exactamente este?” o, aún peor, “¿Y si la próxima vez fallamos?”. Por eso, a veces, el tema pasa desapercibido. No genera mucha luz en el escenario, no es precisamente placentero.
Pero es esencial, fundamental para la madurez de una organización en términos de sus procesos y de sus métodos de gestión en general.
La gestión de riesgos comprende todas las tareas mencionadas anteriormente: identificar evidencias o fuentes de incidentes y eventos fuera de control, configurar, mapear, clasificar (según la severidad y la probabilidad de ocurrencia), cuantificar y buscar tratamientos o mitigaciones para cada riesgo.
Más allá de este proceso elemental, la gestión de riesgos también abarca la planificación de emergencia —para eventos no mapeados, no controlados o imposibles de detectar en un primer momento — y la planificación de contingencia, donde los riesgos ya comprendidos se integran en una metodología que prescribe que todo debe ser verificado antes y durante la ejecución de un proyecto o proceso. Finalmente, la auditoría de riesgos se ocupa de la comunicación entre estos dos ambientes de planificación, emergencia y contingencia para, por ejemplo, asegurar que los aprendizajes en situaciones de emergencia se registren como hechos en el plan de contingencia, convirtiéndose en elementos activos de la gestión de riesgos.
Un ejemplo claro de esto lo vemos en los programas de protección contra virus y ataques digitales. En su configuración actual, ya existe un acervo (considerable, por cierto) de ataques identificados y con tratamientos diversos por parte del sistema de protección, que van desde la simple notificación hasta la total restricción del uso de un entorno que contenga amenazas. Y, como sabemos, hay una constante actualización del conjunto de conocimientos, de la base de datos de ataques, aprendiendo con las nuevas ocurrencias e incidentes, incorporando ese conocimiento al acervo de análisis.
Actualmente, con la aplicación de recursos de inteligencia artificial, los riesgos organizacionales, en sus distintos niveles, pueden ser tratados de forma aún más ágil, dinámica y versátil. Las plataformas actuales de IA y análisis de datos permiten el registro, el aprendizaje a partir de lo que sucede, traduciendo señales de ataques y tratamientos en relaciones algorítmicas automáticas y/o instrucciones para incorporar al contexto de prevención de riesgos.
Es interesante notar que, en la gran dinámica a la que están sometidas las organizaciones hoy en día, los errores y fallos ocurren en niveles y magnitudes variadas, desde un simple equívoco de comunicación (por ejemplo, al ofrecer un producto con un precio incorrecto, mucho más bajo o alto de lo debido) hasta el acceso indebido a información protegida, confidencial o inaccesible por terceros, como ocurre en casos de filtraciones de códigos, contraseñas y contenidos de propiedad privada. ¡Y esto solo en lo que respecta al contenido comunicacional!
Hemos acumulado la percepción de errores y fallos en proyectos y procesos organizacionales. Lamentablemente, las malas noticias siempre tienen más espacio en los medios, muchas veces divulgadas de manera incompleta, lo que agrega un componente de riesgo adicional a las prácticas que las originaron.
Recuerdo, por último, que, según la tradición en gestión de riesgos, se pueden observar diversos niveles de impacto cuando estos eventos desafortunados ocurren. A nivel operativo, los incidentes basados en riesgos causan retrasos con previsión de recuperación, pérdidas recuperables y otros eventos con soluciones previstas. Por supuesto, hay repercusiones negativas para la imagen y las relaciones con socios, entre otros aspectos.
A nivel táctico, la recuperación es cuestionable. Los plazos y costos para que los procesos se reanuden no están completamente bajo control e involucran varias etapas y señales, siendo, evidentemente, más relevantes en términos de los impactos percibidos por los distintos agentes de negocio. Finalmente, en el nivel estratégico se presenta el mayor drama: la discontinuidad total de proyectos, su cancelación o la indisponibilidad definitiva.
Por ello, la gestión de riesgos en las organizaciones es una disciplina cotidiana, parte de la rutina, indispensable y directamente relacionada con la madurez organizacional.