Según el Diccionario de la RAE, el riesgo es definido como una «contingencia o proximidad de un daño». En este mismo sentido, la ISO define el riesgo como un efecto que se tiene de la incertidumbre de los objetivos. Con el tiempo, el concepto de riesgo pasó desde las áreas económicas y financieras a otras disciplinas como, por ejemplo, ingeniería, medicina, química, estudios ambientales, salud, seguridad y psicología, entre otras. Al hacerlo, se asoció con connotaciones negativas y el riesgo empezó a verse menos como oportunidad de ganancia y más con la posibilidad de pérdida, amenaza, peligro o alguna forma de daño.
En el entorno interno de la empresa se considera de manera principal la posibilidad de pérdida, porque pueden ocurrir diversas situaciones que resultan onerosas y obligan a invertir recursos destinados a crecimiento y fortalecimiento. En el entorno global, las organizaciones tienen mayores exigencias por el número de competidores existentes, lo cual implica asumir mayores riesgos, adoptar acciones para mitigarlos, proteger su patrimonio y buscar la continuidad del negocio. Por tanto, las organizaciones se esfuerzan por la identificación de riesgos emergentes, internos y externos, para seleccionar la mejor acción para explotarlos, evitarlos, prevenirlos, asumirlos, transferirlos o ignorarlos. En consecuencia, muchas organizaciones asumen riesgos para obtener mayores ganancias financieras o empresariales, mostrando al mundo cómo entenderlo, medirlo y sopesar sus consecuencias.
Existen diferentes marcos de referencia, modelos, normas, estándares y metodologías que ayudan a las organizaciones en la gestión de riesgos que pueden presentarse en el logro de los objetivos:
ISO/IEC 27005
Hace parte de la familia de normas del Sistemas de Gestión de Seguridad de la Información que ayuda a organizaciones de todo tipo y tamaño a implementar y operar un SGSI. Brinda pautas para gestionar los desafíos del riesgo legal que pueden enfrentar las organizaciones y es afín a la ISO 31000. La personalización de las pautas se aplica a cualquier organización y contexto. Esta norma internacional da un enfoque para la gestión del riesgo legal de una industria o sector.
PMBOK Del PMI
La ejecución exitosa de los proyectos es fundamental para la creación de valor, el crecimiento sostenible y la consecución de los objetivos. Las organizaciones existen para generar más valor a sus grupos de interés, enfrentándose así a la incertidumbre de si puede aumentar o disminuir su valor.
Metodología de gestión de riesgo
La organización puede definir su propia metodología, adaptar o acoger alguna existente de acuerdo con las necesidades. En general, no existe un modelo o metodología correcta, sino que cada uno tiene ventajas, limitaciones y aplicaciones específicas. Por eso, algunos se acomodan a ciertas condiciones y momentos, convirtiéndose en caso de éxito y, a veces, generalizándose a varias organizaciones.
Entorno organizacional
Los ganadores serán quienes se adapten al cambio, redefiniendo las organizaciones, creando nuevos mercados, abriendo senderos, reinventando las normas de competencia y cuestionando el statu quo. La gestión de riesgos está abordando desafíos como, por ejemplo, la inclusión social. Para ello, se requiere una exploración desde múltiples perspectivas, para comprender la relación entre el riesgo y la organización, en el entorno externo e interno. Con la explotación de recursos en zonas protegidas y la pandemia, los temas ambientales y de salud han generado polarización política y constantes disputas sobre cuáles son los riesgos reales, la apreciación de los expertos sobre estos riesgos y la legitimidad de las administraciones para gestionarlos.
Autoengaño
En la organización se construyen modelos del entorno y de ella, para actuar, comprender la realidad, anticipar el futuro y construir los planes. Desde esta perspectiva, la organización no puede verse como «es» y, por ende, cada operación de conciencia de sí misma, es un autoengaño en un mundo complejo. El autoengaño emerge después de ocurrido el evento y puede descubrirse en el proceso de diagnóstico a posteriori de la organización. En otras ocasiones, la experiencia conlleva a la anticipación del tipo de riesgo equivocado, el que se cree se puede calcular y controlar, cuando el de- sastre surge de lo que no se sabe y no se puede calcular.
Conocimiento distribuido
Independientemente de las razones, diversos actores de la organización detectan y apropian una parte del saber. Por ende, el administrador debe apoyarse en la parte que posee cada uno, crear las condiciones para la consecución de objetivos concertados y dirigirlos de un modo particular dependiendo del momento. Hoy el riesgo tiene un alcance transdisciplinario y una aplicación multinivel, es un concepto con un alcance y un poder organizativo sin precedentes. El trabajo de los directivos es precisamente saber correr riesgos.
Desorganización
La organización genera los elementos necesarios para la propia supervivencia y funcionamiento, aunque tiende a degenerarse porque la decadencia es un fenómeno normal. Inevitablemente la desorganización y la degeneración acompañarán al proceso, cuando no se definen los reguladores que mantengan a la organización dentro de límites viables. Con demasiada libertad, la organización tenderá al caos por carencia de guía. Si existe demasiado control, no podrá ser flexible y adaptable.
Talento humano
La actitud facilita lograr metas, asumir riesgos, agregar valor y enfocarse en los resultados. Para ello, los colaboradores deben cambiar actitudes y comportamientos para aprender, correr riesgos, innovar, crear nuevas habilidades y competencias, trabajar en equipo, comprometerse e involucrarse de manera creativa y proactiva en la organización. De igual manera, es necesario innovar para que los talentos permanezcan en la organización y la apalanquen. Adoptar mecanismos que los atraigan, encanten y agraden y hagan de la organización un mejor lugar para trabajar.
Cultura del riesgo
El término cultura de riesgo se usa para describir la atmósfera o cultura corporativa en la que se promueve la gestión del riesgo. Basados en lógicas y creencias culturales, los individuos advierten, abordan y responden a ciertos riesgos y no atienden a otros potenciales En consecuencia, existen organizaciones con culturas en las que el riesgo se considera una responsabilidad colectiva. Por tanto, es necesario que las organizaciones promuevan la cultura de riesgo.
Comunicación
Es importante generar un clima que promueva la comunicación. De esta manera, se puede evitar que la organización sufra situaciones permanentes de pérdida de control, por carencia de buenos mecanismos de comunicación, información y toma de decisiones. Las estructuras de interacción pueden facilitar o inhibir la comunicación. Esto se puede llamar una «crisis participativa», porque se ha excluido al individuo de la participación en el proceso debido a la ausencia de adecuados «canales de comunicación» o bucle de retroalimentación.
Monitoreo permanente
Los gerentes requieren, para lograr una gestión del riesgo, un sistema que indique en forma oportuna las desviaciones, porque los sucesos imprevistos pueden ocurrir y alterar los resulta dos deseados.
Realimentación y decisiones
Los directivos sólo pueden desempeñarse bien si los colaboradores asumen la responsabilidad de instruirlos, es decir, indicarles lo que debe hacerse en las diferentes áreas. Sin embargo, dichos colaboradores pueden sabotearlos ofreciéndoles un argumento objetivo o racional, el cual debe aceptarse porque su validez se funda en la verdad. La organización puede verse como un todo en el cual cada una de las partes debe contribuir al funcionamiento del conjunto. Con realimentación en los diferentes puntos, niveles e integrantes se participa de forma creativa en el cumplimiento de objetivos y toma de decisiones. Por ende, la dirección adquiere teóricamente un carácter menos autocrático, porque en dicha toma de decisiones se involucra de alguna manera a los representantes de las diferentes áreas de la organización.
Información y Tecnología
Con la transformación digital, I&T son fundamentales para el soporte, la sostenibilidad y el crecimiento de las organizaciones. Ahora, en la mayoría de los sectores, los directivos no pueden delegar, ignorar o evitar las decisiones relacionadas con información y tecnología. Las amenazas son globales, con diferente criticidad y cada día surgen nuevas que aprovechan las vulnerabilidades internas de la organización, impactando la seguridad de la información. Esto hace complejo el panorama porque el acceso a la información es un factor crítico en el desarrollo de la economía y las TIC facilitan su disponibilidad.
Con la ubicuidad de la tecnología se crea una nueva era dorada del espionaje. Las redes informáticas modernas amplían las oportunidades para todo tipo de inteligencia, en la cual nuevos actores pueden participar en estas actividades y cualquier persona u organización se convierta en objetivos. La transformación digital ha impulsado la implementación de tecnologías, modificado la operación de las empresas y los mercados y contribuido con nuevas prácticas de control, de manera específica el control algorítmico. Quien tiene el control despliega el algoritmo.
El control algorítmico determina qué debe realizarse, el orden, período de tiempo y grado de precisión. Al igual que en anteriores formas de control racional, los empleadores pueden utilizar la tecnología para priorizar decisiones que implementan los colaboradores. Los algoritmos se perciben no sólo como herramientas que facilitan la eficiencia y mejoran los intercambios de información, sino como instrumentos controvertidos que pueden incluir preferencias ideológicas, implementadas de acuerdo con intereses particulares poderosos, o tener sesgos de entrenamiento que generan discriminaciones. La gestión algorítmica, omnipresente y automática, es un método de control costo-efectividad, pero lejos de ser satisfactorio para todas las partes. Por tal razón, son los trabajadores los primeros en reaccionar ante el control algorítmico que puede generar concentración de poder y discriminación.