Estándares de referencia para la gestión de riesgos: ISO 31.000

Artículo "Estándares de referencia para la gestión de riesgos: ISO 31.000" de Pedro Balsa en la Revista Stakeholders.news

En mi anterior articulo explicaba la importancia de la gestión de riesgos y como medir su impacto directo e indirecto en el éxito de los proyectos.

Si en gestión de proyectos basados en planificación hay dos o tres estándares internacionales comúnmente aceptados: el PMBok del PMI, PRINCE2 de AXELOS y como emergente PM2 en el ámbito europeo no ocurre así con las metodologías de gestión de riesgos en las que hay mucha más dispersión.

Para que nos hagamos una idea si busco la palabra “risk”en la base de datos de ISO me encuentro con 7.436 resultados, si limito la búsqueda a los términos y definiciones de me encuentro 1.202 resultados.

Voy a explicar algunos de los aspectos más interesantes de ISO 31.000.

Según la norma “El propósito de la gestión del riesgo es la creación y la protección del valor. Mejora el desempeño, fomenta la innovación y contribuye al logro de objetivos”, dicho de otro modo, el objetivo del Risk Management es gestionar los proyectos de un modo mas eficiente y eficaz. Para algunos autores la gestión de proyectos se está transformado en gestión de riesgos, de hecho, los fondos de inversión gestionan los proyectos de Real Estate como proyectos con riesgo de construcción, riesgo que transfieren a la empresa constructora.

Según la norma es responsabilidad de la alta dirección asegurar que la gestión del riesgo esté integrada en todas las actividades de la organización y deberían demostrar el liderazgo y compromiso.

El riesgo se define como “el efecto de la incertidumbre en los objetivos” el riesgo consta de cuatro elementos: fuentes de riesgo, eventos potenciales, consecuencias y probabilidades. El último termino es una traducción del termino ingles “likehood” que tiene un sentido mucho más amplio que la probabilidad en español, de hecho, se aproxima mucho mas al significado de “probability” (probabilidad matemática).

Un concepto muy importante en la gestión de riesgos es que todo evento puede tener una o más causas y puede generar una o mas consecuencias. Solemos hablar del riesgo sin mencionar la causa. Por ejemplo, decimos riesgo de de rotura de una presa, esta formulación es poco útil, ya que no gestionamos los riesgos sino las causas. No requiere la misma acción de respuesta al riesgo una rotura por mala calidad del hormigón de la presa, que por lluvias torrenciales que por impacto de un misil. Sin embargo, si tendrán la misma consecuencia.

Para cerrar este articulo quiero indicar que la gestión de los riesgos solo tiene sentido cuando se definen y ejecutan las acciones de respuesta a riesgo ya que riesgo de muy alta prioridad que puede causar daños a las personas en muchos casos puede resolverse con una acción de respuesta sencilla, probada y poco costosa. Por ejemplo, en trabajos en alta tensión el acceso a los equipos se protege con un simple candado que custodia el operador de planta, de modo que no se trabaja nunca sobre cubículos en tensión.

El otro día estaba conversando con el Director de la PMO de una de las más importantes empresas públicas de infraestructuras. Estaba definiendo los KPIs para medir el rendimiento de su PMO. Me preguntaba: ¿Cómo mido la eficacia en la gestión de riesgos?

Hay dos medidas de eficacia de la gestión de riesgos: una más fundamental e indirecta para conseguir el éxito de los proyectos, la predictibilidad de tiempos y costes y por tanto mejorar todos los otros indicadores de rendimiento. Abundando en este concepto hay una trazabilidad entre recientes proyectos multimillonarios de infraestructuras que han llegado a un arbitraje internacional y no haber ejecutado las acciones incluidas en el plan de respuesta al riesgo.

Otra mas directa la diferencia entre el riesgo bruto o intrínseco, es decir el riesgo que tiene el proyecto antes de tomar las medidas de respuesta al riesgo, si no tomara ninguna acción y el riesgo residual del proyecto después de haberlas implantado.

Con esto estamos consiguiendo en proyectos recientes en los que estamos involucrados reducciones del coste asociado a los riesgos del entorno del 20% (diferencia entre el coste inherente asociado a los riesgos y el coste residual).

La buena noticia es que implantar las buenas practicas de gestión de riesgos es no precisa de inversiones costosas para su implantación ni de software especializado en la mayoría de los casos. Simplemente con una adecuada definición de probabilidad e impacto, un registro de riesgos que perfectamente se puede llevar en una hoja Excel.

La clave del éxito es contar con un Risk Manager experimentado, este perfectamente puede ser externo a la organización, y la involucración de los expertos en las distintas disciplinas del proyecto. El uso de buenas prácticas internacionales como el Practice Standard For Project Risk Management del PMI o ISO 31000, la confianza entre los stakeholders y la transparencia son claves para el éxito de la gestión de riesgos.

Pedro Balsa es Socio Director de Leapman, y Miembro de la Junta directiva de Madrid Network. Especializado en la gestión integral del ciclo de vida de los proyectos, desde la detección de la necesidad hasta su exitosa transferencia a operaciones asegurando los beneficios y expectativas esperados. Posee dilatada experiencia en gestión de Programas y Portafolios, así como en la implantación de PMOs. Tiene experiencia de trabajo en 21 países. Está participando como Evaluador Experto en el Programa Horizonte Europa de la Unión Europea.

Todo lo que un Directivo debe saber...

Ha llegado la hora de formar a la Alta Dirección

Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.