Ensayo

EL RIESGOEnsayo por Ing. Juan Carlos Angarita Castellanos, M.E.

El riesgo, entendido como el efecto de la incertidumbre en el logro de los objetivos de la organizacin y de los territorios, est presente en sus diversas actividades y escenarios, pudiendo afectar cualquiera o incluso todas las reas de la misma, a las personas y al medio ambiente, por lo que debe ser gestionado.

El concepto de riesgo ha evolucionado desde la percepcin del producto de la probabilidad o frecuencia por la consecuencia, hasta alcanzar el estado actual, donde se habla de riesgo positivo (aprovechamiento de oportunidades) y negativo (prdidas econmicas, de imagen y de vidas, o su afectacin), adems de observar las posibles desviaciones (positivas o negativas) frente a lo esperado (Guide 73:2009 NTC GTC 137:2011 Risk Management Vocabulary) bajo un enfoque de aprendizaje y mejora continua. De hecho la gestin del riesgo tiende a ser un problema de optimizacin en dos etapas, la primera mediante la identificacin y priorizacin de activos y procesos a gestionar, y la segunda consistente en la seleccin del mejor conjunto de controles que al menor costo posible se alcance mayor cobertura (en activos y procesos y/o en escenarios de riesgo) y mayor resiliencia.

Al respecto, existen directrices tcnicas que sistemticamente permiten estructurar la identificacin, anlisis y valoracin del riesgo y soportar la toma de decisiones en cuanto a la modificacin del riesgo segn los criterios organizacionales del riesgo. A nivel internacional, resalta el estndar ISO 31000:2009, el cual proporciona principios, estructura y un proceso de uso genrico (para cualquier organizacin o territorio) para la gestin del riesgo, de forma que se incremente la posibilidad del logro de objetivos, se mejore la identificacin de oportunidades al igual que las amenazas, y se optimice el uso y aplicacin de recursos para el tratamiento de riesgos. Sin embargo, no es la nica norma. La norma ISO/IEC 27005 en materia de seguridad de la informacin junto a modelos como Risk-IT; NORSOK Z-013, API RP 579, 580 y 581 as como API 1160 en materia de identificacin del riesgo, preparacin para el funcionamiento e inspeccin basada en riesgos, para el sector petrolero; COSO-ERM a nivel organizacional con nfasis en lo financiero; Y la serie de normas de ISO as como de IEC, que plantean metodologas de anlisis, valoracin y tratamiento de riesgo, entre otras.

La plataforma actual y prxima de normas tcnicas para los sistemas de gestin (ISO 9001, ISO 14001, OHSAS 18001, ISO 22301, ISO 27001, ISO 55001, etc.) comparten diversos elementos en comn, donde resalta la gestin del riesgo. En efecto, la nueva generacin de normas, segn la nueva versin (2012) del Anexo SL bajo el cual se desarrollan normas tcnicas, establece diversos cambios incluyendo la desaparicin de las acciones preventivas. En su lugar, ISO plantea que una adecuada planeacin y una idnea gestin del riesgo, son las mejores acciones preventivas.

En mi carrera como auditor lder certificado (ISO 27001 seguridad de la informacin IRCA; ISO 9001 calidad IRCA; OHSAS 18001 seguridad y salud laboral IRCA; ISO/TS 29001 calidad para el sector petrolero; ISO 22301 continuidad para el negocio; ISO 17024 organizaciones que certifican personas; NORSOK S-006 Evaluacin HSE de contratistas), auditor interno (ISO 50001 gestin energtica), ingeniero certificado en seguridad funcional FSCE (IEC 61511) y calificado como auditor de tercera parte, adems de mi base acadmica de maestra (donde investigu sobre la evaluacin del cumplimiento mediante la auditora basada en riesgos) y especializacin, donde resalta la de auditora de sistemas, he observado una fuerte deficiencia de la base actual de conocimiento en Latinoamrica en materia de riesgos, en su identificacin, anlisis y tratamiento, llevndolo a la ms mnima expresin: una matriz de riesgos sin fundamento tcnico. Adicionalmente, se observa incluso la existencia de patrones generales de amenazas como el caso de la normatividad colombiana en materia de corrupcin, aspecto que de entrada ignora la existencia del contexto, insumo primario de la identificacin y el anlisis de riesgos.Adicionalmente, en Colombia, as como en otros pases, se observa la existencia del correspondiente marco normativo que conlleva la gestin del riesgo como obligatorio en diversos sectores: En los entes gubernamentales a nivel administrativo, la Ley 80 de 1993; en contratacin pblica el CONPES 3714 que trata sobre riesgos previsibles en el marco de contratacin pblica en conjunto con el Decreto 1510 de 2013; respecto a la gestin del riesgo en desastres la Ley 1523 de 2012; respecto a riesgos profesionales se tiene la Ley 1562 de 2012; y en salud con el Decreto 1011 de 2006, etc. A nivel industrial, en sectores crticos como el energtico o el de alimentos, si bien no hay un marco legal tan amplio, si existe el deber de garantizar calidad en los productos as como continuidad en el servicio (en el caso energtico). En todos los mbitos, en diversos roles (consultor, instructor o auditor), se sigue observando no solo el desconocimiento general en el tema, sino el poco o nulo aprovechamiento de esta herramienta tanto en la toma de decisiones como en el aseguramiento de la calidad y mejor uso de los recursos, y en especial en la consecucin de los objetivos de la organizacin.

Lo anterior plantea la necesidad y el deber de investigar, aprovechar las competencias adquiridas a nivel de formacin, de entrenamiento y de experiencia, para aportar al mbito tcnico de la gestin del riesgo, no solo para ampliar la ciencia, sino tambin para aportar al pas y de manera transversal a las diversas disciplinas que se basan, o deben estar basadas, en la gestin del riesgo, configuracin propia del nivel de doctorado, para lo cual, considero, este claustro acadmico y en especial el programa de doctorado en ingeniera industrial, aportan el escenario y recursos pertinentes para trabajar positivamente en la materia.

Ing. Juan Carlos Angarita Castellanos, M.E.