El universo de la gestión de riesgos

Qué es el universo de la gestión de riesgos

Hay un tema que he titulado “el universo de la gestión de riesgos” y que ¡me encanta! Es algo de lo que a veces, en la comunidad de profesionales de proyectos, programas y portafolios, así como entre quienes gestionan riesgos corporativos, se habla poco. Cuando hablo de esto me refiero a los diferentes tipos de riesgos que conviven en una compañía u organización. Es decir, considerar los riesgos corporativos, los estratégicos, los de procesos y operaciones; como generalmente los sistemas de gestión de riesgos empresariales o ERM (Enterprise Risk Management) consideran. Pero es también considerar los riesgos de contratos, de proyectos, de programas y de portafolios. Asimismo, me gusta hablar de la gestión de riesgos de 360 grados. O, dicho de otro modo, de la gestión integral de riesgos en general. Porque cuando una compañía tiene realmente una gestión de360 grados, sí está considerando todos los tipos de riesgos, independientemente de que vengan del mundo de operaciones o proyectos, y además consideran los riesgos adecuadamente considerando sus particularidades y diferencias.

El problema del ERM

Se habla mucho a nivel corporativo de los ERM, pero el problema con el ERM es que tiene una visión más bien operacional, de procesos, de riesgos corporativos y estratégicos, pero no siempre, incluyen la visión de riesgos de proyectos, programas y portafolios. El ERM trata del mismo modo todos los tipos de riesgos de la compañía, usa un “modelo común”, sin considerar las particularidades relevantes que tienen algunos, por ejemplo, los proyectos en comparación con las operaciones. Y a veces se obliga a hacer un plug-and-play de metodologías que funcionan muy bien para riesgos de procesos u operaciones, como la ISO 31.000, pero que no funcionan tan bien para programas o proyectos, porque no fueron diseñadas para ese fin. Por ello existen metodologías específicas para riesgos de proyectos, para tratar sus particularidades.

Diferencias entre riesgos de proyectos y de operaciones

Y hay diferencias relevantes entre riesgos de proyectos y riesgos operacionales. Entre los riesgos de procesos u operaciones hay riesgos permanentes como los ciberataque, para mencionar un caso. Son riesgos que siempre están latentes. No tienen una fecha de inicio o fecha de fin de exposición. En cualquier momento podría haber un ciberataque. Sin embargo, los riesgos de proyectos no son permanentes. Un proyecto, por definición, tiene una fecha, inicio y una fecha de fin. Por lo tanto, la vida de los riesgos de un proyecto es limitada, son riesgos temporales.

Otra diferencia es que los riesgos operacionales se enfocan en controles para tratar el riesgo, mientras que en proyectos, dado que son iniciativas nuevas que no existían antes, se enfocan en planes de respuestas. Muchas veces no existen controles en los proyectos y por eso la gestión de riesgos de proyectos se enfoca más que en controles, en planes de respuesta. Es más, las metodologías o los estándares internacionales para gestión de riesgos de proyectos, casi ni mencionan a los controles, se enfocan en planes de respuestas.

Otra diferencia son las tablas de evaluación de impacto, que en un proyecto generalmente se evalúa contra un ámbito de impacto en el cronograma, donde los riesgos se evalúan en términos de cuánto impactan la duración del proyecto. Eso no aplica operaciones, porque en las operaciones son un proceso continuo, no hay un cronograma. Lo mismo si se quiere evaluar el impacto en el CAPEX o presupuesto del proyecto, se evalúan los riesgos del proyecto contra su presupuesto. Mientras que en operaciones por ejemplo, se pueden utilizar otros ámbitos de impacto como pérdida de producción en una minera, por mencionar un caso.

Por qué en las empresas no siempre hay gestión de 360 grados

Estos son solo tres diferencias a considerar, pero hay más. Sin embargo, en las empresas es difícil frecuentemente discutir estos temas, porque no siempre los gerentes de riesgo corporativo están abiertos a hablar de ello. Y el problema es que a veces los gerentes de riesgos corporativos nunca trabajaron en proyectos y no entienden la dinámica de los mismos. Y por otro lado, pasa lo mismo con las personas que trabajan en oficinas de proyectos, las cuales no siempre conocen de riesgos corporativos.

Entonces hay dos visiones sobre los los riesgos. Es como que hay dos mundos de la gestión de riesgos y estos mundos no están sincronizados como deberían. Es más, a nivel mundial hay muy poca  bibliografía al respecto. Yo he trabajado muchísimo con la gestión de riesgos corporativa y con la de proyectos, programas y portafolios, y he tenido que inventar la rueda en muchos casos con mis clientes, debatir horas determinadas cuestiones para hacerlas funcionar, porque no hay mucho sobre esta integración documentado.

Y a veces también se confunde tener un marco de gestión de riesgos y una política de riesgos común en la empresa, con permitir metodologías de riesgos específicas o complementarias. Un marco o una política es lo que te define el qué, pero una metodología define el cómo.

Cuál es la solución

Debe haber un marco común, pero también puede haber una metodología que aborde las diferencias que tienen los riesgos para distintos grupos. Por ejemplo, los riesgos de contratos tienen particularidades que no tienen los riesgos de proyectos u operaciones. Los riesgos corporativos, de operaciones y de procesos se gestionan entonces dentro de este marco común con metodologías o estándares, como la ISO 31.000 u otras similares, pero para los riesgos de cartera, programas y proyectos se requiere una metodología complementaria, un estándar distinto que respete el marco común.

Eso no quiere decir que todo va a ser diferente. Hay muchas cosas que van a ser comunes entre riesgos de proyectos y operacionales, porque hay cosas básicas de los riesgos de ambos mundos que son iguales: todo riesgo tiene un nombre, un número, un título, sus causas, impactos, etc. Por ello, los riesgos de proyectos podrían gestionarse siguiendo lineamientos de estándares como los de PMI y de este modo el marco general de ERM lo daría la ISO 31.000 y son perfectamente compatibles. Yo tengo varios clientes donde a nivel corporativo gestionamos con la ISO 31.000 en las operaciones y procesos, pero en los proyectos y megaproyectos utilizamos otra metodología que yo les ayudé a diseñar que está basado en la ISO 31.000 pero que se complementa y detalla con lineamientos de estándares de riesgos de proyectos específicamente y de mi experiencia.

Se debe buscar lograr una gestión de riesgos genere valor al negocio, tanto a nivel corporativo, a las operaciones como a los proyectos y carteras. Lo más importante nunca debe ser el método o la metodología tal o cual, o si es una o dos. Lo importante es que funcione bien en el mundo real y de resultados positivos.

Por eso es necesario tener este tipo de conversaciones de estos temas, tanto con gerentes de riesgo corporativo como con los responsables de las oficinas de proyectos, o de las oficinas de riesgos de proyectos o de vicepresidencias de proyectos, para que ellos puedan ampliar su visión al respecto del universo de la gestión de riesgos, que va más allá de lo que a veces algunos conocen. Las empresas de clase mundial reconocen y saben sincronizar o compatibilizar adecuadamente estas diferencias.

No es sabio que un gerente de riesgo corporativo busque obligar al personal de proyectos o de la PMO a usar una metodología de riesgo corporativa que está orientada a operaciones, cuando ni siquiera considera que los proyectos tienen dinámicas distintas. Me ha tocado trabajar con clientes que tienen distintas realidades. En algunos casos los gerentes de riesgo corporativo han sido abiertos y han entendido las diferencias y han aceptado tener un manual de riesgo corporativo que da el marco general y común, y también tener un procedimiento o un anexo para proyectos con sus particularidades, excepciones y agregados.

Pero en otros casos, lamentablemente, eso no ha ocurrido. Se ha trabajado con un marco común para riesgos de procesos y operaciones y con una metodología bastante diferente para los riesgos de proyectos, lo cual esto último no es una buena práctica. Es necesario integrar. Espero que te haya sido de interés este tema sobre cómo hacer convivir estos mundos, porque la gestión de riesgos, en definitiva, con sus particularidades, con sus diferencias, es única para la compañía. Y es vital que a todo nivel, tanto a nivel de proyecto, de contrato, de portafolio, de cartera, de proceso, funcione correctamente.

Si quieres aprender más sobre este tema, te invito a considerar participar en cualquiera de mis próximos cursos de Secretos para Dominar la Gestión de Portafolios o Secretos para Dominar la Gestión de Riesgos en Proyectos. En ambos cursos conversamos sobre estos temas. Te invito además a suscribirte a mi canal de YouTube, seguirme en Twitter, Linkedin, Instagram y Facebook. donde encontrarás más conocimiento e información de valor para tu trabajo y carrera.