La planeación estratégica se hace para enfrentar el futuro, y éste es incierto. En colaboraciones anteriores, mencionamos que el análisis de entornos y la evaluación de escenarios son elementos clave en el diseño de la estrategia; sin embargo, el primero está anclado en el pasado y el presente, mientras que la segunda es una apuesta al futuro. La gestión de riesgos es una de las ventajas competitivas más fuertes que pueda tener una organización, y una enorme diferenciación estratégica.
Los negocios no son ergódicos: no se pueden hacer predicciones basados en análisis estadísticos o estudios econométricos acerca del pasado.
La incertidumbre es la falta de claridad en el futuro, y de ella derivan los riesgos, que son sus efectos sobre los objetivos de los individuos o las organizaciones. Los riesgos pueden tener un desenlace positivo o negativo, pero siempre deben ser gestionados para evitar que se salgan de control: un riesgo con desenlace negativo podría ser una huelga, mientras uno con desenlace positivo puede ser un súbito incremento en la demanda de nuestros productos; ambos deben ser tratados con el mismo cuidado. Entre los diversos modelos de gestión de riesgos (COSO, COBIT, EPA, etc.) el más difundido y de aplicación más general es ISO31000, que se integra perfectamente con otros modelos ISO (ISO9001, ISO14001, ISO26000, etc.).
Para ISO31000, todas las actividades de una organización implican riesgos, los cuales se gestionan mediante: Identificación, Análisis, Evaluación y Modificación. Cuando un riesgo se sale de control, por una mala gestión, el resultado es una crisis o un desastre.
Las crisis son generadas por intervención humana, y pueden ser accidentales o intencionales (incendio, fraude, hackeo, etc.); mientras que los desastres son naturales y siempre accidentales (terremotos, inundaciones, tsunamis, etc.). Ni las crisis ni los desastres, a diferencia de los riesgos, pueden ser gestionados; deben existir planes de respuesta y acción para ambos.
Para gestionar los riesgos, primero deberemos hacer una lista de TODOS los riesgos potenciales para nuestra organización y su posibilidad de aparición; luego hay que analizar su impacto para nuestros grupos de interés (stakeholders); el tercer paso es crear equipos de crisis (desde nivel planeación, hasta nivel acción de campo); finalmente se documenta todo: políticas, normas, instrucciones, procesos, criterios de riesgo, manuales, etc., todo lo anterior es previo al tiempo real de respuesta a la crisis o desastre.
La acción en tiempo real inicia cuando aparecen la crisis o el desastre. Hay tres niveles de respuesta: Acción Inmediata (eliminar la fuente de la crisis, minimizar consecuencias, identificar víctimas, etc.); Acción Mediata (comunicación a grupos de interés y medios, evaluación del impacto, coordinación de atención a víctimas, recuperación inicial de activos de producción y financieros, acciones correctivas, plan de acciones preventivas, lecciones aprendidas y documentación de resultados); Acciones de Recuperación (de activos, prestigio, identificación de oportunidades y sustentabilidad).
Finalmente, se identifican riesgos residuales y se establece el nuevo contexto de operación (de nuevo, fuera del tiempo real).
