Tributo al AS/NZ4360 Risk Management Standard
"...Y el sentido común prevaleció." Pasaron más de 10 años, para que se comprendiera que la gestión de riesgo operacional no es simplemente un tema que consiste en desarrollar un marco de trabajo a través del cual se establecen procedimientos para administrar los riesgos, que son derivados o habilitados por los medios y componentes utilizados para alcanzar los objetivos en una organización. En un artículo publicado en este muro hace unos días[1], se enaltece la práctica de riesgo operacional, pues se destaca que dicho marco de trabajo, debe perseguir el logro de los objetivos del negocio, más allá que la simple esencia de mitigar los riesgos. Se argumenta esto, debido a que si bien, la idea es mitigar riesgos, muchas veces, los especialistas se pierden en el mar de escenarios repletos de riesgos identificados, con niveles de importancia (frecuencias e impactos) que no siempre, vistos fuera de contexto reflejan la verdadera severidad. Resultando que, el contexto no es más que el objetivo que es perseguido por los procesos dentro de la organización específica, en la cual se evalúan los riesgos.
Todo esto, en breves palabras y menos drama, lo establece el ISO 31000[2]. En principio, éste estándar ofrece una nueva definición, que derriba barreras de suma importancia, para la práctica de riesgo operacional en el mundo de las organizaciones. Esto es porque define el riesgo (operacional) como: El Efecto de la Incertidumbre sobre los Objetivos. La importancia de dicha definición estriba en que ahora no puede ser vista la gerencia de riesgos como un tema de una unidad especializada de la organización; sino de toda la organización. Por cierto, siempre se había dicho asi, sólo que, por no existir un estándar que así lo estableciera, no se consideraba correcto. Esta situación no es más, que el sentido común tomando posición en la gerencia de riesgos.
El antecedente a este estándar no es otro que el destacado y exitoso AS/NZ4360[3], eternamente nombrado en este muro a través de los artículos. Este estándar, desarrollado en Australia y Nueva Zelanda, ha marcado desde 1999, las líneas de acción de muchas organizaciones a nivel global en materia de riesgo operacional, tanto para el ámbito cualitativo, como semi cuantitativo. Para nuestra práctica en la organización[4] ha servido como guía metodológica desde 2004; y ha permitido fortalecer el criterio y conocimiento de unas cuantas (muchas) personas que se han dispuesto a administrar los riesgos, en particular el complejo, pero fascinante riesgo operacional.
El estándar ISO 31000 acoge prácticamente todo el AS/NZ4360; adicionalmente, incorpora once (11) principios clave, en los cuales, se recomienda, por la novedad que imprime a un estándar de riesgos, revisar con detalle cinco (5) de ellos, enunciados a continuación:
Principio I: La Gerencia de Riesgos crea y protege valor
Principio II: La Gerencia de Riesgos es parte integral de los procesos de la organización
Principio III: La Gerencia de Riesgos es parte de la toma de decisiones
Principio V: La Gerencia de Riesgos es sistemática, estructurada y oportuna
Principio XI: La Gerencia de Riesgos facilita el mejoramiento continuo de la organización
Lo anterior brinda a la gerencia de riesgos el piso firme para desarrollar el modelo de gestión de riesgo operacional más amplio y con poder para abarcar todos los objetivos que se soporten en la estrategia del negocio, respondiendo así al cuestionamiento constante, si debe considerarse la gestión de riesgo operacional, como un asunto estratégico[5].
Respecto al marco general de trabajo, el cual permita incorporar la práctica basada en el estándar en todos los niveles de la organización, se desarrollaron unas guías de importante valor que orientan con detalle las acciones a ejecutar, agrupadas en el siguiente ciclo continuo:
- Diseño del marco de gestión de riesgos
- Implementación de la gestión de riesgos
- Monitorización y revisión del marco de riesgos
- Mejoramiento continuo del marco
Un aspecto relevante del ISO 31000; y que nos agrada saber; es que, en el centro del marco de gestión de riesgos, está el proceso de evaluación (risk assessment), el cual se mantiene casí identico al apreciado y efectivo AS/NZ4360.
En resumen, el estándar ISO 31000 adopta lo mejor del mundo gerencial y de riesgos; además hace justicia a los especialistas de riesgo que han luchado constantemente por hacerse ver en las organizaciones como factores críticos de éxito en las estrategias de negocios, los cuales, cuando logran hacer funcionar adecuadamente dicha gestión, los objetivos de las organizaciones se logran, sin mayores traumas.
[1] Conocer la Organización para aplicar la Gestión de Riesgo Operacional http://bit.ly/f9e1Eo
[2] ISO 31000 Risk Management - Principles and Guidelines
[3] Risk Management AS/NZS 4360:2004
[4] Modelo de Riesgo Operacional de Durán & Asociados, Consultores de Riesgo www.da.com.ve
[5] La Gestión de Riesgo Operacional como estratégia de Negocios http://bit.ly/gjUAas
