Un tonto con una herramienta sigue siendo un tonto

Por David Hillson, el Doctor de Riesgo.

Siervo o Maestro?

El

proceso

de

gestin

de

riesgos

produce

grandes

cantidades

de

datos

que

requieren una gestin cuidadosa con el fin de apoyar el anlisis adecuado, informacin, toma
de decisiones y la accin. El proceso tambin es iterativo, lo que resulta en la necesidad de
ser capaz de comparar la exposicin actual al riesgo con la exposicin en un punto anterior,
apoyando el uso de mtricas y anlisis de tendencias. Esto significa que cualquier
organizacin seria acerca de la gestin de riesgos debe pensar cuidadosamente cmo
proporcionar un nivel adecuado de infraestructura para apoyar el proceso de riesgo y permitir
el almacenamiento eficiente, anlisis y la presentacin de datos de riesgo.
El exceso de infraestructura puede crear una sobrecarga burocrtica que provocara prdida
de tiempo y esfuerzo, dinero y desaliento en el uso del proceso de gestin de riesgos. Sin
embargo, una infraestructura demasiado simple puede provocar que sea difcil implementar
un proceso de gestin de riesgos eficaz. Por lo tanto, el nivel de infraestructura se debe elegir
con cuidado a fin de llegar al Goldilocks level"1, donde el nivel de soporte de tecnologa es el
correcto.
La implementacin de una infraestructura para la gestin del riesgo podra incluir
eleccin

de

tcnicas

aplicar

en

el

proceso

de

riesgo,

la

asignacin

de

recursos para la gestin de riesgos, la formacin en conocimientos y habilidades de riesgo, el

desarrollo de procedimientos de riesgo que se integren con otros procesos de negocio, la
produccin de plantillas para diversos elementos del proceso de riesgos y, teniendo en cuenta
la necesidad de apoyo de fuentes externas, especialistas en riesgos. Sin embargo, para la
mayora de la gente, "infraestructura" es sinnimo de herramientas de software.

Referencia al cuento Ricitos de Oro y los tres Osos, donde la protagonista debe elegir entre opciones muy
grandes, muy pequeas y la opcin exacta (opcin correcta).

No hay duda de que las herramientas de software pueden servir un propsito til
para ayudarnos a gestionar grandes cantidades de datos de riesgo con rapidez y
consistencia, as como la produccin de entregables de buena calidad. Sin embargo, hay que
tener cuidado y mantener a la herramientas de soporte del proceso de riesgos en su lugar
correcto: como siervos del proceso de riesgo y no como sus amos.
Es comn que una organizacin invierta fuertemente en un paquete de software de riesgos
particular y ordene su uso en toda la empresa, slo para encontrar que el personal est tan
ocupado manteniendo la herramienta, que se ha descuidado negligentemente de la gestin
del riesgo real. Esto sera como comprar un caballo nuevo y gastar tanto tiempo en
alimentarlo asearlo, que nunca se llegara a montarlo.

Hacer o comprar?

Quizs la pregunta ms importante es: dnde encontrar una herramienta de software de

riesgo que sea la adecuada para las necesidades de su organizacin? Muchos programas
informticos comerciales propietarios estn disponibles en el mercado para apoyar diferentes
elementos del proceso de gestin de riesgos, y tambin es posible el desarrollo de
herramientas a medida para aplicaciones especficas. La primera pregunta es por lo tanto:
Decide hacer o comprar?, y un montn de organizaciones parecen inseguras esta pregunta
bsica. Hay decenas de productos competidores disponibles que dicen estar acorde sus
necesidades. O debe desarrollar su herramienta puertas adentro, sobre la base de hojas y
de clculo y bases de datos comunes de software ofimtico?
Las organizaciones que estn iniciando la gestin del riesgo a menudo deciden desarrollar
sus propias herramientas simples de riesgo, con el objetivo de migrar a algo ms sofisticado
en el futuro. Pero tal vez esa es una falsa economa y que sera mejor invertir de inmediato en
un paquete de software que puede crecer con el negocio. La decisin de desarrollar
herramientas a medida debe tomarse con cuidado, para evitar gastar mucho tiempo y
recursos en la tarea. De hecho las organizaciones que han seguido esta ruta frecuentemente
han encontrado que no es tan fcil como parece a primera vista el "solamente desarrollar una
hoja de clculo de riesgo rpida.

Especificar cuidadosamente los requisitos es esencial, para evitar el gold plating2. Tambin es
comn que las herramientas a medida contengan deficiencias ocultas, errores, o que
necesiten la manipulacin manual de los datos. Los problemas surgen con frecuencia con el
control de configuracin, con mltiples copias de las hojas de clculo o bases de datos
proliferando alrededor la organizacin, cada una conteniendo sus datos ligeramente diferentes
al resto. Actualizar los datos de riesgo y el mantenimiento del historial de variaciones puede
ser particularmente difcil. Adems, al combinar datos de varias hojas de clculo o bases de
datos con el fin de generar una visin global de la exposicin al riesgo en toda la empresa o a
travs de un programa de proyectos, requiere fundamentarse en un nivel de consistencia de
los datos que, es por lo general, ausente.
Como resultado de estas y otras deficiencias, el desarrollo de herramientas a medida no suele
ser la mejor opcin, a pesar de su inicial atractivo como solucin "rpida y fcil". En cambio, la
mayora de las organizaciones finalmente optan por una herramienta propietaria para riesgos,
lo que plantea la cuestin de cmo elegir entre la gran variedad.

Cmo elegir?

Cuando se toma la decisin de comprar una herramienta de riesgo propietaria, es importante

recordar la antigua advertencia de "caveat emptor" 3 . Usted obtiene lo que paga, y es su
responsabilidad asegurarse de que lo que usted compra se adapte a sus necesidades.
Entonces: cmo elegir? Es importante evitar la aplicacin de sistemas complejos, cuya
funcionalidad y costo supera significativamente los requisitos del proceso de riesgos que se
pretende apoyar. Por otro lado, una herramienta demasiado simple o carente de funcionalidad
esencial termina por frustrar al personal y no les ayuda a hacer lo que hay que hacer.
Las siguientes cuestiones fundamentales deben abordarse al seleccionar un herramienta de
software comercial:

Trmino generalmente usado durante el ciclo de vida del desarrollo de paquetes informticos. Se refiere al
desarrollo de funcionalidades que le parece sern buenas al programador, pero que el cliente-usuario no las encuentra
tiles, si no, molestosas y fuera del objetivo del negocio.
3
Es una frase en latn que significa "Cuidado por parte del comprador".

Decida los requisitos primero, a continuacin, seleccione una herramienta de funcionalidad

adecuada para cumplir con estos requisitos.

Desarrolle una "especificacin de requisitos con un conjunto de criterios de seleccin

ponderados, con los que las herramientas que compiten se puedan evaluar, usando el
mtodo MoSCoW4 de aproximacin a la categorizacin de requisitos.

Identifique la base de usuarios impactados y asegrese de que se le pueda dar soporte

con la herramienta. Pregunte a los usuarios acerca de sus criterios de MoSCoW.

Asegrese de que la herramienta seleccionada soporte el proceso actual de gestin de

riesgos de la organizacin y no permita que el proceso se convierta en un proceso
orientado por la herramienta.

Tenga en cuenta los problemas de integracin con otras herramientas y procesos

existentes, incluida la transferencia de datos, convenciones de formato de datos,
frecuencia de actualizacin, etc.

Evale el conjunto estndar de reportes y entregables disponibles en la herramienta, as

como la opcin para producir informes a medida, con el fin de garantizar que los formatos
requeridos en los informes se pueden generar de forma automtica y que la generacin de
informes flexibles adicionales tambin sea posible.

Tenga en cuenta las necesidades de entrenamiento, y garantice que el proveedor o una

organizacin acreditada en entrenamiento lo puedan proveer.

Tenga en cuenta las necesidades de mantenimiento y garantice que el proveedor brinde

soporte continuo, en el momento oportuno y a un costo razonable.

Asegrese de que la herramienta sea escalable, de forma que apoye la gestin de riesgos
en distintos niveles de la organizacin, incluyendo el alto nivel e implementaciones
detalladas, o proyectos que varan en tamao desde muy pequeo hasta mega-proyectos.

Construya sobre bases para crecimiento futuro, de tal forma que la herramienta pueda
crecer con los posibles cambios en los requisitos o en el negocio.

Estos criterios bsicos deben constituir la base de un proceso de seleccin que se puede
utilizar para evaluar las herramientas de riesgo disponibles, generar una lista algunas
4

MoSCoW:
M: MUST have this (esencia del producto) - S: SHOULD have this if at all posible (tambin
debe de tener esto) - C:COULD have this if it does not affect anything else (puede estar pero sin afectar al
resto) - W: WON'T have this time, WOULD like in the future (no lo tiene pero en algn momento lo
tendr).

herramientas pre-seleccionadas y la posterior evaluacin a mayor profundidad de la lista. Los

vendedores preseleccionados pueden ser invitados a una competencia tipo "desfile de
belleza", donde la organizacin se ocupa de brindar cuestiones de implementacin en mayor
detalle al proveedor. Se debe incluir instalaciones demostrativas para que el nivel
funcionalidad pueda ser probado con datos reales de riesgo de la organizacin (ya sea datos
en tiempo real o archivados y depurados, cuando sea necesario para proteger
confidencialidad comercial) para asegurar que las necesidades reales estn a la altura de la
oferta de venta del proveedor.
Es notable que los criterios de seleccin descritos anteriormente no mencionen el precio o
costo. Por supuesto, una organizacin que est considerando la posibilidad de la compra de
una herramienta de riesgo comercial debe establecer un presupuesto, y la capacidad de
compra es un parmetro clave de la decisin. Pero el costo no debe ser el factor que mande
sobre el proceso de seleccin.

Ts y Cs?

Las organizaciones que deseen implementar un gestin de riesgos efectiva probablemente

empezarn por considerar las Tres T: Techniques (tcnicas), Tools (herramientas) y Training
(Entrenamiento). Si bien estas son sin duda parte de lo que se necesita para dar soporte a la
gestin eficaz del riesgo, no son suficientes son necesarias pero no suficientes.
Por supuesto, cualquier enfoque de gestin del riesgo implica el uso de una gama de tcnicas
y muchas de ellas requieren herramientas para apoyarlas. La naturaleza especializada de las
tcnicas y herramientas de riesgo es probable que plantee la necesidad de capacitacin para
que el personal pueda utilizarlas de manera adecuada. Pero estos tres elementos por s solos
no harn que la gestin de riesgos sea eficaz, como est ampliamente demostrado por la
experiencia comn de muchas organizaciones que pensaron que lo haran. Adems,
complementando a las tres T, hay un conjunto de factores crticos extra que deben estar
presentes, en particular las tres C:
Cultura

La organizacin debe demostrar un conjunto de valores, actitudes y comportamientos que

respondan adecuadamente a los riesgos, teniendo el derecho niveles de riesgo de ser
necesario, y tomar decisiones conscientes de los riesgos a todos los niveles.

Competencia
Todo el personal debe poseer los conocimientos, habilidades y experiencia que les permitan
reconocer y manejar el riesgo en su nivel de responsabilidad, desde la sala de juntas a la
planta de produccin y, deben slo actuar dentro de sus lmites de competencia.
Compromiso
La informacin de riesgos debe ser utilizada para informar las decisiones y acciones en toda
la organizacin, cada persona debe estar comprometida con evaluar la exposicin al riesgo
con honestidad y responder apropiadamente.

En el anlisis final, debemos aceptar que una mera herramienta no puede garantizar una
gestin eficaz del riesgo, por muy buena que la herramienta pueda ser. Toda la funcionalidad
en el mundo no podr nunca sustituir la capacidad (o incapacidad) del usuario.
La posesin de una copia de Microsoft Word no te har un novelista, y ser dueo de un
taladro elctrico no significa que podrs construir un armario. De la misma manera, el uso de
una herramienta de riesgo no garantiza la capacidad de gestionar el riesgo. Esto se resume
en el proverbio: "Un tonto con una herramienta sigue siendo un tonto.
Proveer un paquete de software para alguien que no sabe lo que est haciendo simplemente
le permite poner en prctica su estupidez de forma ms rpida y eficaz. En su lugar, tenemos
que desarrollar una cultura de conciencia del riesgo y un personal competente en gestin de
riesgo dentro de la organizacin, en todos los niveles, conjuntamente con el compromiso de
utilizar la informacin de riesgo para tomar decisiones y actuar con medidas adecuadas.
Cuando las tres C existan, la gestin de riesgos ser eficaz en la creacin de valor
significativo para el negocio y las herramientas aadirn eficiencia a la eficacia mencionada.