LA ADMINISTRACIÓN EFICAZ DEL RIESGO Y LAS OPORTUNIDADES EN LOS SISTEMAS DE GESTIÓN BAJO NORMAS INTERNACIONALES
La incorporación de temas relacionados con los riesgos y oportunidades no es nuevo en las normas de Sistemas de Gestión. La norma ISO 9004 versión 2000 incluyó una serie de requisitos asociados con los riesgos y oportunidades en el marco de operación de un Sistema de Gestión de la Calidad; tales requisitos se han mantenido e incrementado en las versiones posteriores de esta norma.
En el año 2002, la Organización Internacional para la Normalización (ISO) publicó la Guía ISO/IEC 73, que contenía las definiciones y términos asociados con la gestión del riesgo; la cual fue actualizada como ISO Guide 73 en el año 2009. Lo interesante de este documento fue que se modificó sustancialmente el concepto de “Riesgo” en este periodo de siete años comprendido entre 2002 y 2009. La Guía ISO 73 de 2009 fue revisada y ratificada por ISO en 2016; por lo tanto que se prevé que seguirá igual hasta al menos el año 2020.
Pero, ¿cuál ha sido la evolución del concepto de “riesgo” en las normas de ISO?
En la ISO/IEC Guide 73 de 2002, se definió “riesgo” como “la combinación entre la probabilidad y las consecuencias de un evento”, asignando un contexto numérico al término; pero diversos sectores académicos se opusieron a esta definición, indicando que ésta corresponde al término “nivel de riesgo”. La mayoría de los ponentes académicos de la controversia, indicaron que el concepto de riesgo debería asociarse a un “evento indeseable con potencial de daño”.
Las discusiones mundiales empezaron a girar en torno del concepto más apropiado de “riesgo”, llegando a concluir que no hay un único significado universal y en consecuencia ISO debería generar una definición consensuada para facilitar la aplicación del concepto en las normas basadas en principios de riesgos, tales como la ISO 9004:2000, ISO 9004:2009, OHSAS 18001, entre otras.
La definición inicial del término “riesgo” contenida en la Guía ISO/IEC 73 de 2002 no alcanzó la votación bajo los nuevos argumentos; pero la definición tradicional del término “riesgo” como “evento indeseable con potencial de daño” tampoco logró el consenso de los comités internacionales de normalización de ISO; lo cual llevó a que se analizaran otras opciones.
Muchos expertos en la discusión coincidieron en que los métodos tradicionales de gestión del riesgo tienen una serie de inconvenientes que le restan en fiabilidad y eficacia, por ejemplo la preselección subjetiva, es decir, que los asistentes al panel de expertos en las dinámicas de lluvias de ideas pueden omitir eventos (riesgos según su definición) a conveniencia del público, del jefe o de la organización. Así mismo, las metodologías tradicionales proponen acciones de mitigación a todos los “riesgos” identificados; lo cual hace que el método sea inviable desde lo financiero y operativo cuando se hace una amplia identificación de riesgos.
Por otra parte, los métodos analíticos como AMEF, HACCP o HAZOP, introdujeron una serie de elementos muy interesantes para la lógica de la mejora continua impresa en las normas de Sistemas de Gestión, por ejemplo la valoración del riesgo para priorizar etapas del proceso donde deben generarse intervenciones y de esta manera optimizar los recursos disponibles para la prevención y la mejora.
El resultado final de la discusión a finales del año 2008, condujo a un consenso en la definición del término “riesgo” como el “efecto de la incertidumbre”, la cual fue publicada en la Guía ISO 73 de 2009; pero ¿qué significa el efecto de la incertidumbre?.
En la Guía ISO 73 de 2009 no se define el término “incertidumbre”, lo cual generó una nueva dificultad a la ya compleja discusión en torno del término “riesgo”, generando hasta la fecha un sinnúmero de interpretaciones del concepto, propiciando un retroceso en los avances esperados en el “pensamiento basado en riesgos”.
Para resolver estas dudas, la norma ISO 31000 genera una serie de orientaciones sobre el concepto de “incertidumbre”, mostrando en varios de sus apartes el espíritu del concepto, expresado como un “hecho posible, de incierta ocurrencia, pero con alguna posibilidad”, llevando a concluir que el término “riesgo” hace referencia al efecto o resultado de la materialización de un hecho incierto con alguna posibilidad de ocurrencia, lo cual induce a concluir que la redacción de los riesgos debe hacer referencia a efectos y no a causas o a los eventos potenciales mismos.
Igual vacío genera el término “oportunidades”, que no tiene una definición en los documentos ISO Guide 73:2009 o en ISO 31000:2018, pero que puede ser interpretado, según una “nota” en la Guía ISO 73 de 2009, como el posible efecto positivo de asumir o tratar un riesgo.
En este orden de ideas, los conceptos de “riesgos y oportunidades” deben ser objeto de análisis independientes en función de la norma de Sistema de Gestión que se esté empleando, pero con la tranquilidad conceptual de que tanto los riesgos como las oportunidades son efectos de hechos potenciales inciertos, que deben ser valorados en cuanto a su impacto o posibilidad de mejora para ser abordados mediante acciones por la organización para incrementar la capacidad de cumplir con los objetivos que se ha trazado.
