martes, 1 de abril de 2008

Riesgos administrativos. Introducción.

Introducción ¿Qué es un riesgo?

En muchos textos especializados (1, 2 y 3) en análisis de riesgos se confunde el concepto de riesgo con el de peligro y presentan fenó­me­nos tales como sismos, huracanes o corrupción como sinónimo de riesgo. Nada más alejado de la realidad.

Estos fenómenos representan peligros o ame­nazas para la salud, la vida o la situación financiera, pero el riesgo que originan, a final de cuentas y como se verá más ade­lante con más detalle, también depende de las condiciones en las que se enfrentaron tales fenó­menos, es decir, del grado de vulnerabilidad. En los procesos administrativos (PA), el riesgo se puede analizar y evaluar de una manera similar al riesgo que conllevan estos fenómenos peligrosos.

El peligro para un proceso administrativo está representado por eventos que de presentarse causarán pérdidas económicas o daños que impedirán el cumplimiento de objetivos. El riesgo está definido como la probabilidad de sufrir un impacto negativo por la presencia del peligro, sea éste de tipo económico, político, estructural, etc. en un lapso temporal (usualmente un año). La respuesta del proceso frente a los peligros se fundamenta en la eficacia de los controles que se aplican para lograr que cumpla su propósito y representa su estado de vulnerabilidad ante los éstos.

Riesgo y probabilidad

Antes de relacionar el riesgo con los posibles impactos que las instituciones, los procesos o las actividades pueden sufrir, es importante presentar algunos ejemplos de eventos azarosos que son ampliamente conocidos y que se pueden utilizar para comprender mejor este concepto. Conocer los riesgos es como conocer el futuro pero de una manera especial.

Tómese como ejemplo el riesgo de sufrir un accidente de tránsito en México (4). Los datos que sirven para obtener esta información normalmente se toman del número total de accidentes por esa causa en un año. Si se divide este número entre el total de habitantes del país se obtiene una indicación de la probabili­dad de que un habitante de México sufra un accidente de tránsito en el lapso de un año. Con esta información se puede tener una idea del tamaño del grupo de personas que sufrirán un accidente de tránsito este año, multiplicando esa fracción (o porcentaje) por el número de habitantes en el país.


Los juegos de azar se rigen por las probabilidades

Esto es similar a los juegos de azar, en los cuales se puede saber cual es la probabi­lidad de ganar. Si se juega con un dado, una de cada seis caras es la que cae hacia arriba cuando se lanza. Es decir que si se tiene seis posibles resultados cuando se lanza el dado y sólo el uno es el que interesa, entonces la probabilidad de que se dé el resultado “uno arriba” es de una oportunidad en seis, es decir 0.1666 (o 16.66%) (5).

Si se lanza el dado un número grande de veces y se re­gistra los resultados, se puede mostrar que aproximadamente la sexta parte de las ocasiones caerá el número uno. Sucede lo mismo con otros juegos de azar, por ejemplo las cartas. Si se juega al póquer, quizá sea conveniente saber que hay una probabilidad de 1 en 693 de obtener un “full“ (un par y una tercia).

Esta es una forma en que, a partir de datos estadísticos, se obtiene la probabili­dad de que un evento se presente. Se considera un número grande de eventos y se clasifican aquellos que son de interés; después este número se divide entre el nú­mero total de eventos y el resultado se expresa ya sea en fracciones, ya sea en deci­males o bien en porcentaje.

Sin embargo, en el caso de los riesgos que atentan contra el cumplimiento de metas y objetivos de una institución, los datos estadísticos dicen sólo parte de la historia, pues como se verá más adelante, no todos los componentes de una organización se encuentran bajo el mismo riesgo, y no todos los procesos tienen los mismos peligros, aunque sean equivalentes.

Riesgos físicos y riesgos administrativos.

Una diferencia fundamental entre los riesgos derivados de peligros físicos y los riesgos a que se enfrentan los PA es la forma en que son determinados y analizados. Los primeros, como se dijo antes, son determinados sobre la base de datos estadísticos, utilizando la presencia repetida de eventos deletéreos sobre los sistemas afectables, aunque también es posible obtener los valores de riesgo analizando en primera instancia el estado de vulnerabilidad del sistema.

En el caso de los riesgos para los PA, en el mejor de los casos, no se cuenta con una base de datos estadísticos en la cual fundamentar un análisis confiable, aunque siempre es posible analizar en cada caso los eventos cuyo impacto ha sido negativo en el pasado. Se debe reconocer que en México no existe una cultura para registrar estos eventos, por lo que el análisis caso por caso es lo más recomendable.

Aunque existe esta marcada diferencia entre ambos conceptos, el riesgo para ambos casos permanece como una medida probabilística de sufrir un cierto impacto frente a un peligro en un año. En el caso de los PA el impacto puede ser que no se cumplan las metas o los objetivos de la institución, del proceso, del proyecto o de una actividad específica, la afectación a los intereses económicos de la institución, la falta de credibilidad, la pérdida de clientes y ganancias, etc. En el mundo físico, el impacto negativo puede ser la pérdida de vidas humanas, la afectación de la salud, la pérdida de infraestructura, la inutilización de medios de producción, etc.

Tres ejemplos de análisis de riesgo

Para entender el concepto de análisis de riesgo o contingencia, de manera más apegada a la realidad, imaginemos el siguiente ejemplo: se desea saber la probabilidad de que se derrumbe una casa por el efecto de un sismo.

No se sabe cuando ocurrirá un evento peligroso

En primera instancia, es conveniente preguntar si ocurrirá un sismo en la locali­dad (6). La res­puesta a esta pregunta, para la mayor parte del territorio nacional, es sí. No se sabe con exactitud cuando ocurrirá un sismo ni de que intensidad será, pero con gran facilidad se puede saber si la casa en cuestión está situada en una zona sísmica, es decir, en una porción del territorio nacional en la que es probable que ocurran sismos.

Si bien es cierto que existen entidades de la República Mexicana en las que tiembla esporádicamente (los estados de Campeche, Quintana Roo y Yucatán, por ejemplo), y que hay otras regiones en las que casi a diario tiembla (la costa de los estados de Oaxaca, Guerrero y Michoacán), se han registrado sismos en toda la extensión del territorio nacional, de diferentes magnitudes y con diferentes periodici­dades.

Existe por lo tanto una probabilidad, ya sea baja o alta, de que tiemble en una localidad, pero esta probabilidad no depende de lo que se haga o se deje de hacer. Los sismos obedecen a fenómenos geológicos que están fuera del alcance de la in­fluencia humana, y son independientes de las actividades que realizamos día con día. De no ser que alguien decida mudarse a otra localidad para evitar los sismos, nada se puede hacer para evitar los procesos geológicos que los originan.

...que tan bien está construida.

¿Son entonces los sismos un riesgo para la edificación de una casa? La res­puesta debe ser contundente: No. Los sismos son un peligro. El riesgo es que la casa se dañe por el sismo, y depende de que tan bien esté construida y cómo resista el sismo. Recordemos que los sismos más destructivos que han ocurrido en México, los del 19 y 20 de septiembre de 1985, fueron capaces de dañar un buen número de casas y edificios, y se podía ob­ser­var edificaciones totalmente colapsadas junto a casas que no ha­bían sufrido da­ños. La razón principal de esta circunstancia aparentemente con­tradictoria estriba en la calidad de la construcción (7).

En distinto orden de ideas, se tiene el ejemplo de un proceso industrial de manufactura de piezas metálicas. En todo proceso industrial existen pasos o etapas de fabricación o transformación. En cada etapa existe una serie de operaciones que moldean, transforman, perforan, quitan o ponen materiales diversos al producto. Es natural pensar que puede existir un número considerable de eventos que impidan que las operaciones logren el objetivo previamente fijado.

De hecho, para el diseño de cada etapa es necesario considerar las posibles fallas en el proceso. Para evitar al máximo estas fallas los ingenieros diseñan los procesos con una serie de controles que minimizan su ocurrencia o sus efectos. Vistas bajo esta perspectiva, las posibles fallas son peligros, probables eventos que de presentarse causarán un impacto negativo al impedir que el proceso o etapa del proceso, cumpla su cometido. No se puede evitar que se presenten eventos negativos o fallas, pero sí se puede diseñar controles que minimicen su ocurrencia, o sus efectos en caso de que ocurran.

De manera similar, en un proceso administrativo, existen pasos o funciones de atención o trámite. En este caso uno de los grandes peligros es el de la corrupción del personal que se desempeña en el proceso. Se considera a la corrupción como un verdadero peligro puesto que ninguna organización puede controlar los pensamientos, decisiones o acciones de los individuos que las conforman.

Al contrario de los peligros físicos, para este peligro la metodología estadística es insuficiente para medir su frecuencia de ocurrencia, puesto que los datos que se tienen al respecto sólo revelan los eventos que se han denunciado, investigado y sancionado. Sin embargo, con la ayuda de los responsables del proceso para obtener los datos de incidencia de los peligros y sus impactos, así como la respuesta del proceso frente a este peligro, el riesgo es perfectamente susceptible de ser analizado.

Identificando los puntos de control del proceso y sometiéndolos a diversos escenarios, se puede obtener un valor numérico que represente la probabilidad de impacto específico, frente a este peligro. El valor obtenido (conocido como índice de vulnerabilidad) se encuentra entre cero y uno. Combinado con la probabilidad de que se presente el peligro en cuestión y con el monto probable de pérdidas por esta causa, se obtiene el valor económico del riesgo de corrupción.

Se puede ver que en estos ejemplos se tienen dos componentes del riesgo. Uno que en general se encuentra fuera de los sistemas afectables (personas u organizaciones) y otro que está en su interior, dentro de sus límites (8).

Recurriendo una vez más al ejemplo de los dados y descartando que estén alterados para propiciar un resultado sesgado, se puede decir que la ocurrencia del evento deseado es totalmente independiente de lo que se haga para que suceda, pero en el caso de un riesgo, ciertamente hay una dependencia entre la respuesta ante el peligro y el impacto que se puede sufrir, por lo que es muy importante saber que se puede hacer para reducir esta probabilidad de impacto.


Los componentes del riesgo y la probabilidad del daño


En los ejemplos citados se pudo ver que el riesgo depende de dos aspectos:

La probabilidad de que ocurra un evento peligroso.

La probabilidad de que el sistema afectable resulte dañado por este evento.

Siempre existe la posibilidad de fallar.

La probabilidad de sufrir un daño es la esencia del riesgo (9). De las dos probabilidades antes mencionadas, la que más pesa en cuanto al impacto que un peligro puede causar es la segunda.

Si se revisan los peligros a los que los PA están expuestos se encuentra que, de materializarse, no todos serán causantes de impacto. Por ejemplo, tener a un empleado que tiende a holgazanear puede ser un peligro si se consi­dera la probabilidad de que se le asigne una tarea relevante del proceso, pero el valor del riesgo dependerá del es­tado de eficacia de la supervisión en el proceso.

La holgazanería por sí misma no producirá el impacto, sino una combinación de ésta con una deficiente supervisión (dicho de otra forma, con una deficiencia de control); por otro lado, quizá el proceso administrativo no presente los síntomas de retraso por este peligro si no se asignan tareas relevantes o si se motiva al empleado holgazán, sin embargo la condición de vulnerabilidad ante el peligro es la que determina el posible impacto, visto éste como un retraso en una actividad relevante.

El riesgo calculado

Se puede ver que ante una serie de circunstancias en las que las organizaciones expuestas a un peligro resultarán con un cierto impacto, la distri­bución de este impacto puede calcularse como un porcentaje. Además, este porcentaje debiera expresarse por unidad de tiempo, ya que las condiciones de peligro y riesgo pueden cambiar en ese lapso.

De acuerdo con los ejemplos anteriores, sería conveniente que el riesgo indique, al menos, qué tan probable será que el proceso administrativo tenga impactos negativos, ante un peligro específico, en un año. Es oportuno aclarar que algunos riesgos no aplican a todas las organizaciones, pues cada proceso tiene sus peligros intrínsecos que amenazan la conclusión de metas; la elección de un determinado peligro para el análisis de riesgos depende del tipo de impacto que se desee analizar.

En algunas referencias los riesgos se expresan como un porcentaje cuando se trata de analizar los riesgos de las sociedades, y como fracciones cuando se anali­zan los riesgos individuales (10). De esta forma, es posible tener un indicador de la fracción de la sociedad que resultaría afectada afectada o bien la probabili­dad individual de daño. En todo caso, los riesgos expresados numéricamente deben proporcionar una indicación de la proximidad de un daño en el tiempo, debido a la pre­sencia de peligros o amenazas.

No obstante lo anterior surge una duda. ¿Para un riesgo dado, su valor numé­rico se debe a la probabilidad de que se materialice el peligro o a la debilidad de una organización ante este hecho? Recordemos que frente a un evento peligroso, el riesgo tiene dos componentes:

La probabilidad de que ocurra el evento (peligro).

La probabilidad de que el evento derive en un impacto (vulnerabilidad).

Puede haber riesgos con un valor numérico igual pero que sean diferentes en su naturaleza. Por un lado existen eventos que suceden muy a menudo, para los cuales la probabilidad del impacto es pequeña y que rara vez causan daños severos. Por otro lado hay eventos que suceden con muy poca frecuencia, pero que cuando acaecen, con seguridad causarán graves impactos y pérdidas, por ejemplo un fraude multimillonario.

En estos ejemplos la clave es el estado de vulne­rabilidad frente al evento: se es menos vulnerable a caídas de pocos centímetros de altura, y rara vez el golpe recibido resulta ser fatal, sin embargo si la caída es de cientos o miles de metros, la vulnerabilidad es total.

Asimismo, en una organización pueden presentarse una serie de eventos con alta probabilidad de ocurrencia, pero que sus efectos no impiden la concreción de metas u objetivos primordiales. Esta circunstancia es normal; de forma natural las organizaciones están mejor preparadas para eventos peligrosos que ocurren con más frecuencia y más indefensos ante eventos que no se presentan a menudo.

Finalmente se puede llegar a la conclusión que: El riesgo en los PA es la probabilidad en un año (ejercicio) de tener impactos negativos o pérdidas debidas a la ocurrencia de un peligro.

Visto de esta manera, el riesgo puede cuantificarse sometiendo el esquema de controles a escenarios de peligro en los que se evalúa la capacidad de respuesta del proceso ante éstos, resultando en un valor numérico que representa esta probabilidad. Como ejemplo puede verse la siguiente tabla:

Peligro

Riesgo (pérdidas de hasta $10,000 en un año)

Peligro

Riesgo (pérdidas de hasta $10,000 en un año)

Corrupción

12.3%

Retrasos

15.3%

Mala supervisión

5.6%

Ineficacia

18.2%

Multas y recargos

3.9%

Fallas en equipos

4.8%


Conclusión: El riesgo en los procesos administrativos es la probabilidad en un lapso de un año, de tener daños o pérdidas por cierta causa o amenaza, y puede evaluarse sometiendo el esquema de controles a escenarios de peligro en los que se evalúa la capacidad de respuesta del proceso ante éstos, resultando en un valor numérico que representa esta probabilidad.


No hay comentarios:

Recientes ciudadanos de Higadolandia