Gestión del riesgo aplicada a una fábrica según la norma ISO9001:2015.

Alessandro Mazzeranghi

En la actualidad, algunos hechos importantes nos “obligan” a volver a este tema con énfasis aún más fuerte. Voy a listarlas en orden cronológica:

• La caída de la demanda y en el precio de los commodities ha generado una crisis a los emprendedores involucrados en ese campo principalmente, aceite de esquistos - con base financieras sólidas insuficientes que confiaron en el crecimiento continuo del mercado. Las empresas más grandes y más fuertes pasaron por difíciles procesos de reestructuración; las menores, más vulnerables a los bancos, en su mayoría enfrentaron la bancarrota.

• El escándalo de la VW destacase como un problema de gobierno (independientemente de la culpa individual, es obvio que el Gobierno haya fracasado totalmente) que puede perjudicar la credibilidad de una empresa muy grande, haciendo que pierda su valor, incluso antes que todas las consecuencias queden visiblemente claras.

• En su supuesta pequeña línea de acción la nueva ISO 9001, edición 2015 destaca la gestión de riesgo y de las oportunidades, claramente lo que implica, sobretodo, los riesgos y oportunidades que pueden cambiar radicalmente el futuro de una empresa. Personalmente, he aprendido un término que juzgo que representa uno de mis clientes: amenaza (la continuidad de los negocios). Ella da la idea de un riesgo tan grande relativo a la cuestión de la supervivencia de una fábrica, una marca o de toda una empresa o corporación.

SI QUIERES SEGUIR EXISTIENDO, UNA ESTRUCTURA INDUSTRIAL AUTO GOBERNANTE debe conocer y controlar las amenazas a los cuáles estás expuesto. ¡Conocer y controlar! Permítame ilustrar un ejemplo: una empresa de prestigio está expuesta a la inundación del río que fluye cerca de sus instalaciones. Ella tiene seguro contra eso (referente al daño en potencial), y en sus contratos hay una cláusula que puede se puede aplicar multas por atraso en la entrega causado por desastres naturales. Pero dos inundaciones en un año, además de eso la empresa acumula un atraso de un año en su pedido más importante y eso conlleva una grande pérdida de credibilidad en el mercado y las dificultades de organización en la gestión del programa de los riesgos de la empresa establece que se cierre, solamente, puede ser salvado por un aumento de capital. ¿Qué podemos aprender con eso? Era conocido el riesgo de las inundaciones, se han adoptado medidas de control estándar, pero la amenaza general quedó fuera de control. ¿Tal vez fue subestimado?

GESTIÓN DEL RIESGO: EL PAPEL DE LA EVALUACIÓN DEL RIESGO. Si se conoce una amenaza, entonces deducimos que la gestión corporativa está tratando de enfrentar con ella y que tomará algún tipo de acción. Pero, si no se conoce, queda claro que la gestión no hará nada en términos de prevención. Un concepto tan obvio que no debería ni siquiera ser expresado, si no fuera por el hecho que, a menudo, no se conoce las amenazas que es la raíz de las más grandes fallas del gobierno corporativo. Si, por ejemplo, tenemos en cuenta las directivas europeas sobre la responsabilidad administrativa de personas jurídicas y de agencias/órganos libres de persona jurídica, que tienden a ampliar continuamente las violaciones a los cuales pueden ser aplicados, notamos que las consecuentes amenazas a las empresas ni siempre son bien conocidas o correctamente evaluadas. Y eso nos sorprende porque estamos hablando de leyes específicas (dirigidas explícitamente a regular la gestión de negocios y se refieren con detalles en textos relacionados) y por lo tanto son “conocidos” y “fácilmente interpretados”.

IMAGÍNESE CUÁNTO MÁS FUGACES, PUEDEN SER OTRAS AMENAZAS que no se derivan de esas reglas bien abordadas (y por lo tanto “reconocidos”) - incluso legales. Y entonces hay riesgos que no derivan de las leyes escritas, pero de la sensibilidad de los clientes, o de riesgos que aparentemente son de encargo solamente de la clientela. Tomemos un ejemplo “industrial”, aunque sea de otra campo, una empresa que fábrica un producto semi-acabado siguiendo las especificaciones del cliente destinados para una refinería de petróleo e indispensable para arrancar la planta. ¿Qué daños podrían ser causados si es debido a problemas en el sistema de producción, la entrega es prorrogada en 5 meses, causando un retraso de un mes en el arranque de la refinería? Está claro que, en nuestro campo, esas situaciones catastróficas no existen, pero veamos si dejamos vacías cierta marca de papel higiénico premium en las estanterías de los supermercados franceses, eso puede convertirse en un daño considerable o si lo prefieres, sería un gran regalo para la competencia. Hechos evidentes, que ya fueron citados. Pero, siempre debemos preguntarnos: ¿Conocemos realmente todos los riesgos a los cuales nuestra empresa está expuesta?

BÁSICAMENTE, ESTAMOS TRATANDO DE RESALTAR QUE, EN LA GESTIÓN DE RIESGO, EL PUNTO FUNDAMENTAL (que no podemos darnos el lujo de errar) es la gestión de riesgos, es decir, identificar los riesgos, su estimativa y evaluación. Eso es un aspecto importante y en cierto sentido innovador si es comparado con el sistema de gestión empresarial normal de las empresas. Y es reconfortante saber que la ISO 9001:2015 establece un énfasis importante sobre este asunto. Ciertamente, sin afirmar eso explícitamente conforme lo haremos en las líneas abajo, ella destaca otro concepto básico: • Si primero debemos realizar una evaluación del riesgo para entender, de una manera ordenada y sistemáticamente (y también completa, es de esperarse) Cuáles son los riesgos a que están expuestos una empresa por ser una estructura unitaria y monolítica, • De inmediato, debe vital importancia comprender cuáles son los procesos industriales dentro de los cuales pueden ser cometidos “errores” que generarían esos riesgos.

EL ANÁLISIS DEL PROCESO BAJO EL PERFIL DE RIESGO ES DE SUMA IMPORTANCIA, y de hecho es una práctica bastante rara. Ella debe ser instituida, principalmente en los contextos donde hay muchos riesgos reconocidos como probables para la empresa. Tomemos un ejemplo de nuestro propio ramo, teniendo en cuenta el tópico (proceso) clásico de mantenimiento. Dentro de ellos están integrados “pasajes” críticas para la salud y seguridad ocupacional, otras que son fundamentales para la protección del medio ambiente y otras necesarias para la protección de activos estratégicos y mercaderías corporativas y otros más fuertemente relacionados con la calidad del producto y compliance. Tal vez ese ejemplo no esté entre los más complejos de su naturaleza (el proceso de compras de bienes y servicios es sin duda más complicado), pero creemos que la idea es eso de cómo la evaluación de riesgos de un proceso multidisciplinario no es algo que se pueda hacer usando el simple “sentido común”, pero que si exige un abordaje sistemático y analítico. Una vez hecho esto, como fue dicho, no será tan difícil introducir las modalidades y controles de gestión de procesos necesarios para evitar posibles riesgos bajo control. Naturalmente, viene enseguida el momento de la aplicación de las leyes establecidas, ese tema no será tratado aquí debido a su extrema complejidad.

EL FLUJO SIGUIENTE. Si conocemos los riesgos a los cuales las empresas están hoy expuestos son realmente urgentes de aquellas empresas que enfrentaban hace 30 años atrás, entonces no vemos en la necesidad obligatoria que gobernar una empresa sin controlar los riesgos es muy peligroso, para decir lo mínimo. Entonces vamos tratar de resumir los “pasos” a continuación:

• Realizar una evaluación de riesgos a los cuales una empresa puede estar expuesta, empezando por aquellos que están relacionados con las violaciones legales cuyas penas podrían perjudicar o destruir la continuidad del negocio, para luego pasar a los riesgos asociados con la posible pérdida de credibilidad en el mercado, la posible pérdida de know-how, etc..;

• Con base a los resultados de los procedimientos de evaluación de riesgos, identificar un número limitado de riesgos críticos que merecen la prioridad en términos de prevención y protección (no más de cinco, según la famosa tabla de Pareto); es mejor no extender los riesgos considerados exagerados, de lo contrario, existe la posibilidad de crear estructuras de organizaciones muy complejas y que pueden hacerse realidad, paralizando las súper estructuras;

• Para los riesgos seleccionados, investigar el proceso corporativo dentro de los cuales esos riesgos pueden ser generados; básicamente, los resultados de estos análisis producen una lista de procesos corporativos esenciales y, para cada uno de ellos, serán indicados los posibles riesgos asociados;

• Para los procesos esenciales, definir procedimientos para identificar las medidas de gestión de riesgos, puntos de control y personas (fundamentales) “existentes” responsable por las diferentes medidas. Recomendamos en definir claramente, quién debe hacer, qué y cuándo; el “cómo “ puede ser “referente”’ a las competencias y habilidades de las diferentes personas, o claramente definido (basado en las características de los recursos humanos disponibles, pero también con base en el grado de autonomía que será atribuido a los individuos).

NATURALMENTE, ANTES DEL RACIOCINIO DE LOS PROCEDIMIENTOS Y PROCESOS, aconsejamos siempre en mapear y definir la organización corporativa a través de una descripción del cargo, una actividad necesaria que, de cierto modo, está más allá de la definición de los procesos y se pretende definir los recursos de prevención de riesgos son empleados por la empresa.

PEQUEÑA CONCLUSIÓN. Solamente me gustaría de reiterar un concepto: en la actualidad, una gestión corporativa correcta no puede ignorar el aspecto del control de riesgos (para la empresa) que ganan cada vez más importancia y que se ha convertido en uno de los elementos inevitables de un gobierno corporativo orientado para el mantenimiento/ elevación del valor de la empresa con el tiempo. Hoy, la idea de que “no tenemos mala suerte, que puede pasar con nosotros” ¡perdió toda la credibilidad práctica! Por lo tanto, primero, debe entenderse y después en actuar. *