¿Es lo mejor, enemigo de lo bueno?

Hace muchos años, allá por los años 70 del siglo pasado, cuando empecé a trabajar en estos temas de auditoría, mi primer jefe, del que, como de todos los que después he tenido, aprendí mucho, en algunas ocasiones me corregía lo que le presentaba, señalándome lo que aparece en el título de este artículo, pero sin interrogantes, ya que era una expresión plenamente afirmativa, pues él estaba convencido de que: rizar el rizo puede ser contraproducente.

Desde entonces siempre he pretendido tenerlo presente, pues creo que es algo importante que debemos considerar en nuestras actividades, donde las recomendaciones sobre las oportunidades de mejora a introducir en los procesos, es algo que está asociado con nuestro trabajo.

He recordado esta expresión, dado que, entre los nuevos cambios que se han producido en COSO I, están los correspondientes a los nuevos atributos a considerar a la hora de ponderar los riesgos; que siendo hasta ahora dos los atributos que se debían estimar, el impacto y la probabilidad. A partir de ahora, y dada la interrelación que existe entre COSO I y COSO II, los cambios introducidos en el Marco sobre Control Interno, el denominado I, repercutirán en el II, el correspondiente a la Gestión Empresarial de Riesgos.

Motivo por el que los mapas de riesgos deberán ser, como ya hemos comentado anteriormente en estas mismas páginas, a cuatro dimensiones, ya que a los dos habituales ya citados (impacto y probabilidad) habrá que incorporar los correspondientes a la velocidad a  la que impacta el riesgo en la organización una vez este se ha materializado, es decir, el ritmo con el que se espera que la entidad experimente el impacto; así como también la persistencia del riesgo, o sea la duración del impacto después de que el riesgo se haya desencadenado.

Aparte de las dificultades de representación que ello conllevará, pues a más de tres dimensiones no estamos acostumbrados a hacer representaciones, creo que, además, lo que se nos propone amerita una reflexión.

Hasta ahora, los dos atributos, el impacto y la probabilidad, eran los dos  aspectos que debían ser debidamente administrados para controlar los riesgos. En el primer caso reduciendo las consecuencias de los daños que se podrían materializar  si se producía la amenaza, a través de determinadas medidas (los controles), como por ejemplo: el mantener menos efectivo en la caja por si nos atracaban, suscribiendo  pólizas de seguros con los que paliar el perjuicio que nos produciría tener un accidente con el coche, etcétera, etcétera.

En el ámbito de la probabilidad de ocurrencia también estamos acostumbrados a identificar medidas con las que reducirla. Cruzar la calle cuando el semáforo está abierto para los viandantes, no hacer ostentación cuando circulamos por zonas conflictivas, vacunándonos para evitar enfermedades, y así miles de ejemplos.

Es decir, estos dos atributos de los riesgos son los elementos sobre los que estamos habituados a actuar, aplicando los controles que estimemos necesarios, para reducir su agresividad, bien disminuyendo su impacto y/o probabilidad de ocurrencia.

Con los cambios el problema de gestionar los riesgos se amplía, puesto que si los controles son las medidas con las que influimos en sus componentes, tendremos que pensar que controles implementaremos para administrar el componente velocidad de ocurrencia y el de persistencia. Personalmente no lo veo fácil.

En lo que se refiere a la velocidad de ocurrencia, supongamos que viajamos en un avión, está claro que el impacto es importante, nuestra vida; la probabilidad de ocurrencia también está claramente definida, dependerá de las labores de mantenimiento que se hayan aplicado, así como de la pericia de la tripulación y de las condiciones atmosféricas en las que realizar el viaje, entre otras. Pero todas ellas controlables.

Pero tengo una duda, ¿qué controles estarían en nuestras manos establecer para administrar/gestionar/ disminuir la velocidad de ocurrencia del accidente aviación al que nos hemos referido?. Lo mismo podemos señalar con el nuevo atributo de la persistencia del efecto perjudicial. Pongamos un ejemplo: Si se desencadena una pandemia, lo que podemos hacer es tomar medidas para evitar sus repercusiones, es decir reducir el impacto, así como reducir las probabilidades, pero si esta estalla, ahí la tenemos, y durará lo que tenga que durar. En España tenemos como bien sabemos una gran crisis, cómo luchamos para reducir su permanencia. La respuesta sería: Estamos en ello, como diría un antiguo presidente del gobierno, pero sin ninguna concreción, como de hecho sucede.

En mi opinión, la velocidad de ocurrencia y la persistencia son dos características de los riesgos, que lo que definen es la variedad del riesgo al que nos enfrentamos, y que deben ser tenidos en consideración a la hora de definir los tipos de controles que debemos aplicar, lo mismo que ya hacemos cuando analizamos un riesgo y este se evidencia  en proceso desarrollado en un ámbito terrestre o marítimo,………..

Me explico, si estamos analizando los controles que podemos aplicar ante un caso de incendio en unas instalaciones, deberíamos considerar su ubicación, observando si el parque de bomberos está próximo o no, pues de ello dependerán las medidas que apliquemos: Solo extintores y a esperar, o nos proveemos de unas medidas propias que nos permitan actuar de forma adecuada hasta que lleguen los profesionales, incorporando una pequeña dotación de bomberos propios.

De la misma manera, si lo que nos tememos es una crisis económica, lo que habrá que hacer es tomar medidas para que ésta no se pueda presentar (probabilidad) o minimizando su impacto, adoptando las medidas para sustituir el consumos/inversión privada por la pública, tal como nos enseñó Keynes, hace ya muchos años, y que algunos han olvidado.

En resumen, los nuevos atributos incorporados en el COSO I, son dos características que no negamos que debamos tenerse en consideración, pero para decidir el tipo de controles que deberíamos aplicar, al igual que hacemos con otras muchas características: ámbito de desarrollo, posibilidades de propagación, infraestructuras afectadas, etc., pero que no creo afecten a la importancia de los riesgos.

Llegado a este punto no quisiera terminar sin comentar una anécdota vivida hace unos cuantos años, exactamente 14; que espero se entienda el sentido con el que la comento.

Los que son de mi generación recordarán que llegando al fin del siglo pasado, hubo una gran pregunta trasladada a las empresas: ¿Están Vdes. preparados para abordar con sus sistemas informáticos al cambio de milenio?. La respuesta era. ¿Qué me dice Vd.?

Se nos comentó que los ordenadores sabían contar hasta 1999, es decir: 1995, 1996, 1997, 1998 y 1999. Pero ¿sabrían continuar con el 2000, 2001,…?, y así sucesivamente. Bueno, pues manos a la obra, todas la organizaciones a  revisar los  sofwares de sus aplicaciones. En resumen un coste adicional.

Bueno hasta aquí normal. Pero realizadas las verificaciones aconsejadas y hechos los cambios recomendados, hubo, al menos en mi empresa, una pregunta posterior. ¿Tienen Vdes. diseñado el plan de contingencias?, Respuesta fué: ¿Qué?.

Aclaración: “No, mire Vd. como no estamos muy seguros de que lo que hemos hecho (y cobrado) surta el efecto buscado, se hace necesario que tengan Vds. un plan de emergencias por si acaso lo hecho no funciona”. Conclusión, nuevo proyecto y más gastos.

Con esto creo que estamos dando respuesta a la pregunta con la que encabezábamos estas líneas. ¿Es lo mejor, enemigo de lo bueno?. Pues creo sinceramente que sí.

Conclusión: consolidemos nuestros Sistemas de Gestión de Riesgos en la forma tradicional, y dejemos las mejoras para cuando sea procedente.

Jesús Aisa Díez. Madrid 10 de Junio de 2013