Dr. David Hillson, FIRM, HonFAPM, PMI Fellow
Albert Einstein intentó durante décadas desarrollar una sencilla “Teoría de Todo”, pero falló. Desde entonces los físicos han buscado una Teoría Unificada y Distinguida para unificar las distintas fuerzas fundamentales (debilidad, fortaleza, electromagnetismo y gravedad) y ofrecer un entendimiento más elegante de la organización del universo y de la naturaleza de la materia, de la energía, del espacio y del tiempo. El conductor hacia una Teoría Unificada y Distinguida está arraigada en la convicción de que todo en el Universo está interconectado y es interdependiente, y que debe ser posible por tanto describir esto matemáticamente.
¿Es posible desarrollar una “Teoría Unificada y Distinguida sobre el riesgo”? ¿Es un simple refuerzo de la “Teoría de Todo” para el riesgo? Quizás la gestión de riesgo empresarial (ERM) es la respuesta.
Hay muchos tipos de gestión de riesgos, cada uno con su propio lenguaje, procesos, herramientas y técnicas, y cada uno soportado por especialistas y expertos. Estos incluyen continuidad de negocio, gobierno corporativo, salud y seguridad, riesgo de proyecto y de programa, riesgo operativo, riesgo de la reputación, ciberriesgo, seguridad de la información, y muchos más.
El propósito de ERM es integrar estos diferentes elementos de la gestión de riesgos en un todo unido. Proporciona un marco sencillo de unificación dentro del cual cada disciplina de riesgo puede operar, permitiendo a cada especialidad centrarse en su propio enfoque, pero asegurando que pueden comunicar una con otra y apoyar una a otra. ERM reconoce que cada disciplina de riesgo es distinta, pero están interconectadas y son interdependientes.
Uno de los principios clave de ERM es la existencia de una “jerarquía de objetivos” dentro de la organización. Los objetivos globales del negocio están definidos en el enunciado de la visión o de la misión. Estos son entonces implementados a través de los departamentos y funciones, cada uno con su propio conjunto de objetivos, donde la suma de los objetivos de más bajo nivel describe completamente el máximo secreto. Es posible un mayor desglose, por ejemplo implementando objetivos operacionales a través de una jerarquía de portafolios, programas, proyectos y tareas, cada una con objetivos a un nivel incremental de detalle.
El riesgo se define como una incertidumbre que puede afectar al alcance de los objetivos, por tanto ERM proporciona un marco de gestión de riesgos jerárquico que iguala la jerarquía organizativa de los objetivos. La gestión de riesgos puede aplicarse entonces de una manera unida e integrada de arriba abajo en la jerarquía. Este enfoque ofrece una Unificación Importante del Riesgo en toda la organización, generando juntas todas las diversas aplicaciones de la gestión de riegos en un marco sencillo, y asegurando que el riesgo se gestiona de forma efectiva a todos los niveles.
Desafortunadamente, mientras ERM podría funcionar bien dentro de una organización sencilla, no hay todavía ninguna Teoría Unificada y Distinguida genuina que se pueda aplicar a cualquier negocio, independientemente de su tamaño, sector de la industria o modelo de negocio. Aunque hay algún consenso y convergencia sobre lo que ERM debería ser, no hay en la actualidad un enfoque sencillo de ERM que funcione en todas las dimensiones de la gestión de riesgos en nuestro universo. El estándar internacional de riesgos ISO31000 establece una base importante de los principios y guía sobre el riesgo, pero no está todavía claro si esto conllevará finalmente a una forma mejor de gestionar los riesgos en todas las circunstancias.
Si Albert Einstein encontró difícil definir una “Teoría Unificada y Distinguida” para el universo, quizás no nos deberíamos sorprender si nos lleva algún tiempo organizar un enfoque unificado de ERM para gestionar los riesgos en toda la empresa. Pero si Einstein pensó que valía la pena intentarlo, nosotros deberíamos intentarlo también.