Gestión de riesgos: un desafío para las organizaciones Risk management: a challenge for organizations
Contenido principal del artículo
https://orcid.org/0000-0001-5944-099X
Cómo citar
Resumen
Con la progresiva complejidad e imprevisibilidad del entorno, la gestión del riesgo es esencial en las organizaciones, tanto privadas como públicas, en todos los sectores. Para ello, se realizó la identificación y representación lo más precisa posible de los riesgos, describiendo cómo y por qué se considera algo un riesgo, como pregunta que a menudo se oculta detrás de los modelos. Para la elaboración de este artículo, un componente de la metodología fue realizar la compilación y evaluación de la información disponible en bases de datos académicas. El resultado permitió plantear que la gestión del riesgo es fundamental, aunque ésta se realiza dentro un marco subjetivo y normativo de pensar y actuar frente a la incertidumbre, según sea la cultura organizacional. Así mismo, evidenciar algunos desafíos que enfrentan las organizaciones, por ejemplo, al emplear el control algorítmico para mejorar dicha gestión.
Palabras clave:
riesgo, gestión de riesgos, riesgos organizacionales, riesgos empresariales, cultura del riesgo.Abstract
With the increasing complexity and unpredictability of the environment, risk management is essential in organizations, both private and public, in all sectors. To do this, identification and representation of the risks are made. How and why, something is considered a risk is a question often hidden behind models. For the elaboration of this article, a component of the methodology was the compilation and evaluation of information available in academic databases. The result allows us to state that risk management is fundamental, although it is conducted within a subjective and normative framework of thinking and acting in the face of uncertainty, depending on the organizational culture. Likewise, are highlighted challenges that organizations face, for example, when using algorithmic control to improve said management.
Key words:
risk, risk management, organizational risks, business risks, risk culture.Introducción
La pandemia provocada por el COVID-19 evidenció que la gestión del riesgo es esencial debido a factores como: las organizaciones los asumen, sus actividades pueden generarlos y, cada vez más, están reguladas en un intento de evitar o contenerlos (Hardy et al., 2020, p. 3). En la actualidad, se entiende que riesgo y organización están vinculados entre sí.
El concepto de riesgo evolucionó y permitió comprender que el futuro es más que el capricho de los dioses y que las personas podrían llegar a tener un papel importante en la construcción de éste. Se transformó la percepción del riesgo de la posibilidad de pérdida como una oportunidad de ganancia, es decir, gestionarlo desde el destino y diseño original mediante sofisticados pronósticos del futuro basados en la probabilidad, y desde la impotencia hacia la elección, aunque la incertidumbre en nuestras vidas siga siendo ilimitada (Bernstein, 1996, p.2). En el entorno global, los cambios y la evolución de los riesgos son constantes, y no prepararse deja desprotegida a toda la organización (ISOTool, 2022). Como resultado, cada vez más, los gerentes se involucran con acciones, prácticas y rutinas a través de las cuales dan sentido a la gestión del riesgo, a sí mismos y a sus roles (Mayer et al., 2020, p. 2).
En este documento se presentan los siguientes temas: riesgos, desarrollando marcos de referencia, modelos, normas, estándares y metodologías; desafíos en la gestión de riesgos (metodologías de gestión de riesgos, entorno organizacional, objetividad, trivialización y complejidad, autoengaño, conocimiento distribuido, poder y realidad, desorganización, talento humano, cultura del riesgo, comunicación, monitoreo permanente, retroalimentación y decisiones, culpar o aprender, información y tecnología, control algorítmico y transferencia del riesgo) y, por último, se entregan algunas conclusiones importantes acerca del estudio.
Riesgo
Según el Diccionario de la RAE (Real Academia Española, 2022), el riesgo es definido como una “contingencia o proximidad de un daño”. Para el Project Management Institute - PMI (2021) es una situación incierta que puede traer efectos positivos o negativos en uno o varios objetos que pueden llegar o no a materializarse (p. 53).
En este mismo sentido, la International Organization for Standardization (ISO) define el riesgo como un efecto que se tiene de la incertidumbre de los objetivos. Por su parte, la ICONTEC (2018)lo define como un efecto que se desvía de lo previsto, llegando a ser positivo, negativo o ambos, creando oportunidades y amenazas.
Con el tiempo, el concepto de riesgo pasó desde las áreas económicas y financieras a otras disciplinas como, por ejemplo, ingeniería, medicina, química, estudios ambientales, salud, seguridad y psicología, entre otras. Al hacerlo, se asoció con connotaciones negativas y el riesgo empezó a verse menos como oportunidad de ganancia y más con la posibilidad de pérdida, amenaza, peligro o alguna forma de daño (Gephart et al, 2009, p. 141).
En el entorno interno de la empresa se considera de manera principal la posibilidad de pérdida, porque pueden ocurrir diversas situaciones que resultan onerosas y obligan a invertir recursos destinados a crecimiento y fortalecimiento. Por ejemplo, ¿qué sucede si, por un inadecuado proceso de selección o inducción, un empleado nuevo comete un error que conlleva a pagar una indemnización?, ¿cómo impacta un empleado que muere?, ¿se genera alguna parálisis o desarticulación en los procesos?, ¿cuál es el costo de reparar una máquina en comparación con realizar su mantenimiento periódico?, ¿cómo este daño puede impactar la utilidad? (Maldnado-Pedroza et al., 2020, p. 162).
En el entorno global, las organizaciones tienen mayores exigencias por el número de competidores existentes, lo cual implica asumir mayores riesgos, adoptar acciones para mitigarlos, proteger su patrimonio y buscar la continuidad del negocio. Así mismo, conllevan innovación y creatividad para competir; vincular nuevas tecnologías y talento humano cualificado; inversiones en propiedad, planta y equipo; alinearse con las nuevas regulaciones, entre otros (Maldonado-Pedroza et al., 2020, p. 163).
Por tanto, las organizaciones se esfuerzan por la identificación de riesgos emergentes, internos y externos (Project Management Institute, 2021, p. 53), para seleccionar la mejor acción para explotarlos, evitarlos, prevenirlos, asumirlos, transferirlos o ignorarlos. Si bien es deseable evitar resultados adversos, cuando sea posible, con frecuencia vale arriesgarse para asegurar las ganancias asociadas. En consecuencia, muchas organizaciones asumen riesgos para obtener mayores ganancias financieras o empresariales, mostrando al mundo cómo entenderlo, medirlo y sopesar sus consecuencias. Asumir riesgos se convirtió en uno de los principales catalizadores que impulsan a la sociedad occidental (Hardy et al., 2020, p. 3).
Los riesgos se organizan en tres modos: prospectivamente, en tiempo real y retrospectivamente. Prospectivamente, para predecir y prevenir el daño antes de que surja; en tiempo real, para controlar y contener los daños a medida que se materializan; y retrospectivamente, para revisar las prácticas después de que se haya producido el daño (o casi se haya producido) a fin de mejorar (Mayer et al., 2020, p. 2).
Gestionar el riesgo implica mucho más que identificarlos, clasificarlos, valorarlos y monitorearlos antes de que surjan; también significa mitigar el efecto de los que se presentan y reflexionar sobre cómo mejorar la organización en el futuro. En la medida en que el riesgo se vive como omnipresente, solo hay tres posibles reacciones: negación, apatía o transformación (Beck, 2006, p. 331).
Marcos de referencia, modelos, normas, estándares y metodologías
Existen diferentes marcos de referencia, modelos, normas, estándares y metodologías que ayudan a las organizaciones en la gestión de riesgos que pueden presentarse en el logro de los objetivos. Estos se pueden utilizar de manera individual o combinada, por ejemplo, en las normas ISO (International Organization for Standardization), por su estructura de alto nivel, los numerales están relacionados y el enfoque varía según el tema considerado en cada una de ellas.
El dilema al que se enfrentan las organizaciones es cuál escoger. Para ello, es importante realizar un análisis acorde al contexto y seleccionar el que permita definir e implementar controles de manera integral. De igual manera, asignar los recursos necesarios, por ejemplo, talento humano, recursos financieros y físicos, software, entre otros. A continuación, se describen de manera breve los más conocidos.
ISO 31000
Esta norma internacional permite que se den las directrices para la gestión del riesgo que presentan las organizaciones. Para ello, se propone que en el proceso de la gestión del riesgo se dé la aplicación de prácticas, políticas y procedimientos a aquellas actividades de las empresas en cuanto a tratamientos, registro, seguimiento, evaluación y revisión (ICONTEC, 2018, p. 10). Puede utilizarse en todas las organizaciones, sin tener en cuenta tamaño o sector, y complementarse con la ISO/IEC 31010 Gestión del riesgo - Técnicas de evaluación de riesgos.
ISO/IEC 27005
Esta norma internacional da las directrices para que se dé la gestión de los riesgos para la seguridad de la información y define los siguientes pasos: establecimiento del contexto, identificación de las inseguridades que se relacionan con la seguridad de la información, análisis, evaluación, tratamiento, aceptación, consulta, monitoreo y revisión del riesgo (ICONTEC, 2020, p. 5). Hace parte de la familia de normas del Sistemas de Gestión de Seguridad de la Información (SGSI) que ayuda a organizaciones de todo tipo y tamaño a implementar y operar un SGSI
ISO 31022
Brinda pautas para gestionar los desafíos del riesgo legal que pueden enfrentar las organizaciones, siendo este un documento complementario a la ISO 31000. La personalización de las pautas se aplica a cualquier organización y contexto. Esta norma internacional da un enfoque para la gestión del riesgo legal de una industria o sector (International Organization for Standardization, 2020).
COSO ERM
El Committee of Sponsoring Organizations of the Treadway Commission (COSO) se creó como una iniciativa de cinco organizaciones profesionales, la cual se va a dedicar a ayudar a las empresas en la mejora de su rendimiento mediante el desarrollo de un liderazgo que permita la mejora del control interno, el fraude y la gestión de riesgos. El Enterprise Risk Management (ERM) aborda la gestión de riesgos empresariales (Committee of Sponsoring Organizations of the Treadway Commission, 2022).
ISO 31000 y COSO están dentro de los más conocidas y adoptadas por parte de las organizaciones.
PMBOK Del PMI (Guía para la dirección de proyectos)
Es la guía de los fundamentos para la dirección de proyectos del Project Management Institute (PMI); con ella se busca la maximización de oportunidades y la disminución de amenazas. Las oportunidades pueden dar beneficios como la mejora del desempeño, mejora de la buena reputación y reducción del tiempo y el costo; y las amenazas que se pueden dar son: sobrecostos, déficit del desempeño y fallas técnicas del proyecto.
La ejecución exitosa de los proyectos es fundamental para la creación de valor, el crecimiento sostenible y la consecución de los objetivos organizacionales.
Desafíos en la gestión de riesgos
Las organizaciones existen para generar más valor a sus grupos de interés, enfrentándose así a la incertidumbre de si puede aumentar o disminuir su valor. La gestión de riesgos contribuye a maximizar el valor cuando la dirección encuentra un equilibrio entre rentabilidad, crecimiento y riesgos, empleando los recursos de forma eficaz y eficiente para el logro de los objetivos (Committee of Sponsoring Organizations of the Treadway Commission, s.f., p.1). Algunos desafíos que enfrentan las organizaciones en la Gestión de riesgos son:
Metodología de gestión de riesgo
La organización puede definir su propia metodología, adaptar o acoger alguna existente de acuerdo con las necesidades. En la mayoría, la gestión de riesgos tiene en común: análisis del contexto, identificación y análisis de los riesgos, establecimiento de controles, evaluación, plan de acción y monitoreo (ISOTool, 2022, p. 22). Siempre que se adelanta la descripción de un riesgo es obligatorio abordar tres variables: posibilidad de ocurrencia, impacto que causa y controles, con el fin de establecer tratamientos adecuados (Maldonado-Pedroza et al., 2020, p. 172). El monitoreo evidencia si los planes de acción implementados fueron efectivos; si los riesgos permanecen, se han modificado o materializado de un periodo a otro, y, en última instancia, determinar la eficacia de los controles (ISOTool, 2022, p. 22).
En general, no existe un modelo o metodología correcta, sino que cada uno tiene ventajas, limitaciones y aplicaciones específicas. Estos no son verdades absolutas, sino herramientas que permiten a las personas ser productivas en la labor conjunta. Por eso, algunos se acomodan a ciertas condiciones y momentos, convirtiéndose en caso de éxito y, a veces, generalizándose a varias organizaciones.
Entorno organizacional
Los líderes deben aprender a vivir con el caos y la incertidumbre, ampliando sus aptitudes y desarrollando nuevas habilidades. Los ganadores serán quienes se adapten al cambio, redefiniendo las organizaciones, creando nuevos mercados, abriendo senderos, reinventando las normas de competencia y cuestionando el statu quo (Gibson, 1997, p. 12). Así mismo, analizando y modificando la gama de productos, eliminando aquellos en donde no tienen ninguna posibilidad, adaptando otros a las condiciones competitivas imperantes y adicionando nuevos que aprovechen las capacidades culturales y económicas.
La gestión de riesgos está abordando desafíos como, por ejemplo, la inclusión social. Considerar estos grandes desafíos del siglo XXI conlleva a ampliar los límites organizacionales y generar interdependencias aún más complejas (Mayer et al., 2020, p. 3). Para ello, se requiere una exploración desde múltiples perspectivas, para comprender la relación entre el riesgo y la organización (Mayer et al., 2020, p. 3), en el entorno externo e interno (relación riesgo vs objeticos estratégicos, estrategia, gestión financiera, innovación, tecnología, seguridad de la información, transformación digital, entre otras variables).
Con la explotación de recursos en zonas protegidas y la pandemia, los temas ambientales y de salud han generado polarización política y constantes disputas sobre cuáles son los riesgos reales, la apreciación de los expertos sobre estos riesgos y la legitimidad de las administraciones para gestionarlos. En estas condiciones se debe pensar en: ¿cómo crear diseños integrados para el conocimiento y la acción administrativa, proyectando racionalidad, credibilidad y control en sociedades que constantemente cuestionan estos mismos atributos de las administraciones? ¿cómo crear un modelo aceptado y legítimo para la toma de decisiones en medio de intensas controversias, dudas y dificultades reales para establecer decisiones compartidas sobre problemas ambientales? (Demortain, 2020, p. 9).
Por ende, se debe seguir profundizando en una comprensión integradora de lo que es el riesgo, articulando perspectivas multidisciplinarias, para responder a los siguientes interrogantes: ¿cómo las organizaciones pueden abordar los grandes desafíos como el cambio climático, la inclusión social, la desigualdad social, las migraciones, los desplazamientos, los conflictos internacionales, la pérdida de la democracia, entre otros? ¿cómo influye el poder en la rendición de cuentas o en las prácticas antifraude o antisoborno?
Objetividad
Cuando se quiere convencer, se ofrece un argumento objetivo o racional, el cual debe aceptarse porque su validez se fundamenta en la verdad (Watzalawick & Krieg, 1998, p. 59). Bajo estas circunstancias, el administrador es quien acepta o rechaza un modelo o metodología de gestión de riesgos, dependiendo si satisface un criterio de aceptación implícito o explícito, que aplica.
Trivialización y complejidad
La trivialización es un señuelo: vale más una cifra imprecisa pero pertinente (rápida), que una precisa sin aptitud para la acción. Sin embargo, es utilizada porque ante la urgencia por resolver el problema, se reducen variables para tomar acciones o utilizar datos parciales ante la complejidad para perfeccionar la información.
Por otra parte, si las variables involucradas son demasiadas, se impacta el proceso de toma de decisiones. La búsqueda de precisión se puede dar como cuando el fotógrafo busca perfeccionismo en la preparación de la fotografía y deja escapar al sujeto (Figueroa, 2019, p. 50).
Autoengaño
En la organización se construyen modelos2 del entorno y de ella, para actuar, comprender la realidad, anticipar el futuro y construir los planes (Sanchis, 2008, p. 28). Así, los miembros ven al mundo de una manera particular o le atribuyen significados compartidos, que permiten tomar una u otra decisión dependiendo de la interpretación de la situación.
Las personas experimentan más de lo que atienden conscientemente y, cuando se da una explicación, ordenan el contenido informativo de la experiencia en la estructura narrativa. Aunque toda experiencia humana presenta un orden cronológico, temático y causal, puede presentarse un autoengaño (León & Tamayo, 2011, pp. 43-44), que es un proceso mediante el cual se hace coherente la experiencia, con el fin de mantener una narración viable (Fernández, 2015, p. 80). Desde esta perspectiva, la organización no puede verse como “es” y, por ende, cada operación de conciencia de sí misma, es un autoengaño en un mundo complejo.
El autoengaño emerge después de ocurrido el evento (por ejemplo, la materialización de un riesgo) y puede descubrirse en el proceso de diagnóstico a posteriori de la organización. En otras ocasiones, la experiencia conlleva a la anticipación del tipo de riesgo equivocado, el que se cree se puede calcular y controlar, cuando el desastre surge de lo que no se sabe y no se puede calcular (Beck, 2006, p. 330).
Conocimiento distribuido
El conocimiento se encuentra distribuido en diversos actores, que poseen fragmentos diferentes del mismo. A veces, el conocimiento individual se oculta a otros por múltiples razones como, por ejemplo, no es comunicable en un plazo y a un costo razonable (dificultad o imposibilidad de formalizarlos) o, en ciertos casos, el poseedor no desea transmitirlo. Independientemente de las razones, diversos actores de la organización detectan y apropian una parte del saber. Por ende, el administrador debe apoyarse en la parte que posee cada uno, crear las condiciones para la consecución de objetivos concertados y dirigirlos de un modo particular dependiendo del momento.
Por otra parte, es necesario tener en cuenta que las relaciones entre conocer y dejar conocer son complejas. En ocasiones, lo que alguien sabe resulta un obstáculo para el conocimiento del otro. Hoy el riesgo tiene un alcance transdisciplinario y una aplicación multinivel, es un concepto con un alcance y un poder organizativo sin precedentes (Power, 2014). El trabajo de los directivos es precisamente saber correr riesgos (Hernández et al., 2020, p. 103).
Poder y realidad
El poder les permite a algunos miembros de la organización definir qué es validado como “realidad”, creando en ocasiones una mancha ciega cognitiva que inhabilita para percibir los problemas.
La gestión de riesgos de “todo” genera ambigüedades y tensiones entre los niveles organizacionales (por ejemplo, estratégico vs. operativo), así como entre áreas funcionales (por ejemplo, área jurídica vs. sistema integrado de gestión; operaciones vs comercial, entre otros), debido a escalas de tiempo incompatibles, objetivos en conflicto o asimetrías de información. Esto debería fomentar la búsqueda de “nuevas formas de ver” el riesgo como un concepto integrador y de varios niveles (Mayer et al., 2020, p. 3).
Desorganización
La organización genera los elementos necesarios para la propia supervivencia y funcionamiento, aunque tiende a degenerarse porque la decadencia es un fenómeno normal. Dicho de otro modo, lo normal no es que las cosas duren como son, sin una aptitud permanente de regenerarlas y reorganizarlas (Morin, 1998, p. 126).
Inevitablemente la desorganización y la degeneración acompañarán al proceso, cuando no se definen los reguladores que mantengan a la organización dentro de límites viables. Con demasiada libertad, la organización tenderá al caos por carencia de guía. Si existe demasiado control, no podrá ser flexible y adaptable. Por consiguiente, el gerente debe definir el grado de libertad que permita cumplir con los objetivos establecidos y comprender que la adhesión sólo puede provenir de un sujeto libre. Imponerla es una ilusión o una manipulación.
Talento humano
La actitud facilita lograr metas, asumir riesgos, agregar valor y enfocarse en los resultados (Chiavenato, 2020, p. 41). Para ello, los colaboradores deben cambiar actitudes y comportamientos para aprender, correr riesgos, innovar, crear nuevas habilidades y competencias, trabajar en equipo, comprometerse e involucrarse de manera creativa y proactiva en la organización (Chiavenato, 2020, p. 78).
De igual manera, es necesario innovar para que los talentos permanezcan en la organización y la apalanquen. Adoptar mecanismos que los atraigan, encanten y agraden y hagan de la organización un mejor lugar para trabajar. La gestión del talento humano tiene sus riesgos, por ejemplo, perder al personal clave. De ahí que existan estrategias para comprometerlos (Chiavenato, 2020, p. 151).
Por otra parte, es importante resaltar que la neurociencia cognitiva y social puede proporcionar una amplia gama de herramientas y paradigmas neurocientíficos para la investigación del comportamiento competitivo. Específicamente, el hyperscanning es un paradigma relativamente nuevo que implica capturar la actividad cerebral de dos o más participantes que realizan una tarea conjunta, como un juego competitivo, de manera simultánea. El estudio neurocientífico del comportamiento competitivo podría explorarse de manera fructífera en el contexto organizacional (Balconi & Angioletti, 2022).
Cultura del riesgo
El término cultura de riesgo se usa para describir la atmósfera o cultura corporativa en la que se promueve la gestión del riesgo. Caracteriza a aquellas organizaciones que incorporan el contexto de la incertidumbre e identifican riesgos, aunque de manera distinta. Basados en lógicas y creencias culturales, los individuos advierten, abordan y responden a ciertos riesgos y no atienden a otros potenciales (Hardy et al., 2020, p. 22).
En consecuencia, existen organizaciones con culturas en las que el riesgo se considera una responsabilidad colectiva. Por ejemplo, en donde “la seguridad se entiende y se acepta como la prioridad número uno” (Cooper, 2000, p. 113). Aunque se puede diseñar una cultura para evitar resultados catastróficos (Silbey, 2009, p. 343).
Por tanto, es necesario que las organizaciones promuevan la cultura de riesgo. Para ello, entre otras cosas, se debe considerar lo siguiente: capacitación, comunicación sobre la importancia del riesgo, colaboradores flexibles que pueden aprender y protección para los denunciantes (Hardy et al., 2020, p. 22).
Comunicación
Es importante generar un clima que promueva la comunicación. De esta manera, se puede evitar que la organización sufra situaciones permanentes de pérdida de control, por carencia de buenos mecanismos de comunicación, información y toma de decisiones.
Las organizaciones absorben mensajes o señales sobre acontecimientos que son importantes para su viabilidad, pero que no son oídos o se disuelven en la complejidad de ésta. Las estructuras de interacción pueden facilitar o inhibir la comunicación.
En algunas organizaciones se percibe en las personas apatía, desconfianza, violencia, desconexión, impotencia, etcétera. Esto se puede llamar una “crisis participativa”, porque se ha excluido al individuo de la participación en el proceso debido a la ausencia de adecuados “canales de comunicación” o bucle de retroalimentación (Foerster, 1996, p. 185). El colaborador no puede desarrollar ningún tipo de creatividad o aprendizaje si todo lo que debe hacer le es ordenado. Es necesario permitir el pensar y hacer, a todos los niveles.
Monitoreo permanente
Los gerentes requieren, para lograr una gestión del riesgo, un sistema que indique en forma oportuna las desviaciones, porque los sucesos imprevistos pueden ocurrir y alterar los resultados deseados. La revisión de los datos regulares debe complementarse con la observación y la consideración de “imponderables” desconocidos en el modelo de entrada o de proceso, pero los cuales tienen efectos sobre el sistema.
Realimentación y decisiones
Los directivos sólo pueden desempeñarse bien si los colaboradores asumen la responsabilidad de instruirlos, es decir, indicarles lo que debe hacerse en las diferentes áreas. Sin embargo, dichos colaboradores pueden sabotearlos ofreciéndoles un argumento objetivo o racional, el cual debe aceptarse porque su validez se funda en la verdad (Maturana, 1998, p. 13). De ahí que el gerente debe aceptar o rechazar una afirmación como explicación, dependiendo si satisface un criterio de aceptación implícito o explícito que él aplica, sin importar si se es consciente de ello. Él no describe al sistema “desde afuera”, sino participa y emerge en la construcción de éste a través de los instrumentos conceptuales usados, generados o co-generados en la interacción. Él es un elemento del sistema que está administrando (Foerster, 1996, p. 146).
La organización puede verse como un todo en el cual cada una de las partes debe contribuir al funcionamiento del conjunto. Con realimentación en los diferentes puntos, niveles e integrantes se participa de forma creativa en el cumplimiento de objetivos y toma de decisiones. Por ende, la dirección adquiere teóricamente un carácter menos autocrático, porque en dicha toma de decisiones se involucra de alguna manera a los representantes de las diferentes áreas de la organización (Weiss, 1994, p. 137). Lo importante no es la rapidez con la cual se tome, sino la identificación temprana de la necesidad de tomarla. La calidad de la decisión se logra cuando se reconoce a tiempo la relevancia de los hechos, en especial de los cambios.
Culpar o aprender
Cuando un riesgo se materializa se genera una tensión entre culpar o aprender. A menudo, culpar juega un papel importante porque las investigaciones buscan asignar responsabilidades y se dirigen a los individuos en lugar de a los sistemas. Aunque culpar contribuye a la rendición de cuentas y justicia, puede impedir el aprendizaje necesario para realizar futuras mejoras en la forma en que se gestionará el riesgo (Hardy et al., 2020, p. 38), dificultando un ciclo de mejoramiento continuo.
Información y Tecnología (I&T)
Con la transformación digital, I&T son fundamentales para el soporte, la sostenibilidad y el crecimiento de las organizaciones. Ahora, en la mayoría de los sectores, los directivos no pueden delegar, ignorar o evitar las decisiones relacionadas con información y tecnología. La generación de valor para los grupos de interés implica digitalización, procesos eficientes, innovación, entre otros. Las empresas digitales dependen de ella para su supervivencia y crecimiento (Information Systems Audit and Control Association, 2018, p. 11).
Las TIC facilitan la adquisición, almacenamiento, análisis y difusión de la información; y nacen “por la convergencia de la informática, las telecomunicaciones, la electrónica y la microelectrónica” (Pazmiño et al., 2020, p. 174). Han generado una revolución social, cultural y económica; transformado la forma en la que se comunican las personas; la forma en la que hacen los negocios, trabajar, etc. Así mismo, han facilitado el surgimiento de aplicaciones en diferentes mercados: administración pública (e-gobierno), en la salud (e-salud), en la banca (e-banca), etc. Aunque también han incrementado las situaciones de riesgo asociados a equipos y seguridad de la información (Pazmiño et al, 2020, p. 175).
Las amenazas son globales, con diferente criticidad y cada día surgen nuevas que aprovechan las vulnerabilidades internas de la organización, impactando la seguridad de la información. Esto hace complejo el panorama porque el acceso a la información es un factor crítico en el desarrollo de la economía y las TIC facilitan su disponibilidad (Pazmiño et al., 2020, p. 180).
Con la ubicuidad de la tecnología se crea una nueva era dorada del espionaje. Los sistemas de vigilancia e inteligencia usados con fines estratégicos abarcan la recolección, análisis y comunicación de la información para la toma de decisiones; aunque también la acción e influencia encubiertas y la contrainteligencia. Las redes informáticas modernas amplían las oportunidades para todo tipo de inteligencia, en la cual nuevos actores pueden participar en estas actividades y cualquier persona u organización se convierta en objetivos. Aunque también amplifican los clásicos desafíos éticos, operativos y estratégicos asociados con los sistemas de vigilancia e inteligencia (Lindsay, 2021)
Control algorítmico
La transformación digital ha impulsado la implementación de tecnologías, modificado la operación de las empresas y los mercados y contribuido con nuevas prácticas de control (Mora, 2021, p. 265), de manera específica el control algorítmico.
El término algoritmo proviene de Mohammed alKhoWârizmi, matemático persa del siglo IX. La palabra algorismus corresponde a la traducción del apellido al latín, la cual derivó en algoritmo, que puede definirse como un “método para resolver un problema” (Joyanes, 2020, p. 59; Mora, 2021, p. 267). Con los algoritmos se está buscando trascender el prejuicio humano con una herramienta más precisa, pero se puede aumentar la desigualdad de manera progresiva, con efectos negativos en la sociedad. Quien tiene el control despliega el algoritmo (Mora, 2021, p. 268).
El control algorítmico determina qué debe realizarse, el orden, período de tiempo y grado de precisión. Al igual que en anteriores formas de control racional, los empleadores pueden utilizar la tecnología para priorizar decisiones que implementan los colaboradores (Kellogg et al., 2020. p. 372; Mora, 2021, p. 268). En el caso de las plataformas digitales, como Uber o Amazon Mechanical Turk, las cuales utilizan algoritmos para gestionar a los trabajadores autónomos (Jiang et al., 2021; Mora, 2021, p. 268).
Aunque la esperanza es que los algoritmos mejoren la precisión y objetividad de las decisiones, estos pueden afectar a las personas, cuando las recomendaciones algorítmicas no son claras para ellos (Kellogg et al., 2020, p. 374; Mora, 2021, p. 268). Por ejemplo, cuando Uber no permite ver a los conductores el destino de un pasajero, antes de aceptar el viaje, esto dificulta determinar la rentabilidad del servicio (Rosenblat & Stark, 2016, p. 3771; Mora, 2021, p. 268
Las condiciones de trabajo, producidas por las tecnologías digitales, generan una forma novedosa de inseguridad denominada “Inseguridad algorítmica” (Wood & Lehdonvirta, 2021, pp. 1-2; Mora, 2021, p. 269). Si bien las plataformas pueden ofrecer altos niveles de flexibilidad, autonomía y variedad de tareas, estos beneficios con frecuencia se combinan con salarios bajos, aislamiento social, horarios laborales irregulares, y agotamiento (Perelman, 2020; Mora, 2021, p. 269).
Los algoritmos se perciben no sólo como herramientas que facilitan la eficiencia y mejoran los intercambios de información, sino como instrumentos controvertidos que pueden incluir preferencias ideológicas, implementadas de acuerdo con intereses particulares poderosos, o tener sesgos de entrenamiento que generan discriminaciones (Mora, 2021, p. 269).
La gestión algorítmica, omnipresente y automática, es un método de control costo-efectividad (Woodcock, 2020, p. 69; Mora, 2021, p. 269), pero lejos de ser satisfactorio para todas las partes. Por tal razón, son los trabajadores los primeros en reaccionar ante el control algorítmico que puede generar concentración de poder y discriminación (Coscubiela, 2021).
Transferencia del riesgo
En los últimos tiempos, las organizaciones han enfrentado guerras, pandemia, terremotos, avalanchas, atentados terroristas de diferentes características, inundaciones por lluvias, incendios, explosiones, derrames, ciberataques, fraudes, parálisis en el transporte, fluctuaciones en las tasas de cambio, entre otros, con cuantiosas pérdidas, a veces sin cobertura por un seguro.
Desde el análisis financiero, se recomienda realizar una revisión de los riesgos asegurables, los cuales generan pérdidas a la organización, asociados a las personas, las materias primas, la infraestructura y la tecnología, y que tienen relación con el proceso misional de la empresa (Maldonado Pedroza et al., 2020, p.167). Estos riesgos pueden compartirse con compañías aseguradoras adquiriendo pólizas de seguros, en las cuales el tomador y/o el asegurado mantienen la responsabilidad sobre un porcentaje del riesgo asegurado (deducible). Dicho porcentaje se pacta desde el mismo momento en que se contrata la póliza (Maldonado-Pedroza et al., 2020, p.170).
Cuando el riesgo se materializa, pueden presentarse consecuencias desde leves hasta catastróficas, donde se expone la continuidad del negocio y el patrimonio de la empresa, de manera especial en las micro y pequeñas empresas. Por ello, es indispensable hacer un inventario de bienes y activos expuestos a la acción de los riesgos (Maldonado-Pedroza et al., 2020, p. 170). El desconocimiento sobre la gestión del riesgo, su transferencia y la falta de una cultura del seguro, genera baja contratación de pólizas y falencias en los reclamos (Mejía Delgado, 2011, p. 32)
Conclusiones
En el entorno global, las organizaciones tienen mayores exigencias por el número de competidores existentes. Por tanto, éstas deben caracterizar los riesgos que deben enfrentar sus líderes en los procesos productivos y de servicio que impactan la consecución de objetivos estratégicos y la satisfacción de clientes y otras partes interesadas. De igual manera, cuando lo consideren pertinente, deben identificar, analizar, discutir e implantar nuevos modelos de gestión de riesgos porque existen diversas maneras de abordar y resolver los problemas.
Las falencias en la gestión de riesgos emergen como una dimensión posible, dado que: cualquier criterio u ordenamiento es una cuestión de elección; la simplificación de la realidad o de los fenómenos mutila más de lo que expresa; no existe un modelo organizacional correcto, sino que cada uno tiene ventajas, limitaciones y aplicaciones específicas, etc., y, a veces, los riesgos que se afrontan no son bien definidos y cuantificados.
Para el gerente, por definición un observador-participante de la organización, la autorreferencia adquiere una posición primordial. Él deja de ser alguien que habla con “objetividad” sobre el sistema, para considerar las propias limitaciones y restricciones o revisar las premisas invisibles que limitan o restringen lo dicho por otros actores.
Para el gerente, por definición un observador-participante de la organización, la autorreferencia adquiere una posición primordial. Él deja de ser alguien que habla con “objetividad” sobre el sistema, para considerar las propias limitaciones y restricciones o revisar las premisas invisibles que limitan o restringen lo dicho por otros actores.
Es necesario que, desde la administración, la sociología, la psicología, la neurociencia, las ciencias jurídicas y de la información y la comunicación, entre otras, se contribuya a la gestión del riesgo. Se identifique, por ejemplo: ¿cómo la gestión del riesgo influye en el clima organizacional y el bienestar emocional de las personas? ¿cuál es la responsabilidad en los grandes desafíos de este siglo? ¿cómo la investigación sobre el riesgo puede generar valor para las partes interesadas, la responsabilidad social corporativa y el medio ambiente? ¿cómo toman decisiones los gerentes asumiendo riesgos con alto impacto? ¿cómo la cultura influye en la gestión del riesgo? ¿cómo el control algorítmico puede mejorar la gestión del riesgo sin vulnerar a las personas?
Con la progresiva complejidad e imprevisibilidad del entorno, la gestión del riesgo es esencial en las organizaciones, tanto privadas como públicas, en todos los sectores. Para ello, se realizó la identificación y representación lo más precisa posible de los riesgos, describiendo cómo y por qué se considera algo un riesgo, como pregunta que a menudo se oculta detrás de los modelos. Para la elaboración de este artículo, un componente de la metodología fue realizar la compilación y evaluación de la información disponible
en bases de datos académicas. El resultado permitió plantear que la gestión del riesgo es fundamental, aunque ésta se realiza dentro un marco subjetivo y normativo de pensar y actuar frente a la incertidumbre, según sea la cultura organizacional. Así mismo, evidenciar algunos desafíos que enfrentan las organizaciones, por ejemplo, al emplear el control algorítmico para mejorar dicha gestión.
With the increasing complexity and unpredictability of the environment, risk management is essential in organizations, both private and public, in all sectors. To do this, identification and representation of the risks are made. How and why, something is considered a risk is a question often hidden behind models. For the elaboration of this article, a component of the methodology was the compilation and evaluation of information available in academic databases. The result allows us to state that risk management is fundamental, although it is conducted within a subjective and normative framework of thinking and acting in the face of uncertainty, depending on the organizational culture. Likewise, are highlighted challenges that organizations face, for example, when using algorithmic control to improve said management.
Referencias
Balconi, M. & Angioletti, L. (2022). Neuroscience and Competitive Behavior. The Oxford Hand-book of the Psychology of Competition. Oxford.
Beck, U. (2006). Living in the world risk society: A Hobhouse memorial public lecture. Economy and Society, 35 (3), 329-345. https://edisciplinas.usp.br/pluginfile.php/4095470/mod_resource/content/0/Beck--WorldRisk.pdf
Bernstein, P. (1996). Against the gods: The remarkable story of risk (Vol. 383). John Wiley & Sons.
Chiavenato, I. (2020). Gestión del talento humano: el nuevo papel de los recursos humanos en las organizaciones. McGraw-Hill.
Committee of Sponsoring Organizations of the Treadway Commission. (2022). Welcome to COSO. COSO ORG. https://www.coso.org/Pages/default.aspx
Committee of Sponsoring Organizations of the Treadway Commission. (s.f.). COSO ERM Executive Summary. COSO. https://www.coso.org/Documents/COSO-ERM-Executive-Summary-Spanish.pdf
Cooper, M. (2000). Towards a model of safety culture. Safety Science, 36(2), 111-136.
Coscubiela, J. (2021). La disputa por el control del algoritmo. El diario.es.
Demortain, D. (2020). The science of bureaucracy: Risk decision-making and the US environmental protection agency. Cambridge.
Fernández, G. (2015). Autoengaño, sistemas de creencias y errores en el autoconocimiento. Areté, 27(1), 69-85. https://revistas.pucp.edu.pe/index.php/arete/article/view/13426
Figueroa, M. (2019). El control estratégico de gestión y sustentabilidad: una revisión conceptual. Denarius, (37), 49-82.
Foerster, H. (1996). Las semillas de la Cibernética: Obras escogidas. Edición de Marcelo Pakman y presentación de Carlos Sluzki. Gedisa.
Gephart, R., Van Maanen, J. & Oberlechner, T. (2009). Organizations and risk in late modernity. Organization Studies, 30(2-3), 141–155. https://www.researchgate.net/pub-lication/228960286_Organizations_and_Risk_in_Late_Modernity
Gibson, R. (1997). Repensando el Futuro. Norma.
Hardy, C., Maguire, S., Power, M. & Tsoukas, H. (2020). Organizing Risk: Organization and Management Theory for the Risk Society. Academy of Management Annals, 14(2), 1032-1066.
Hernández, S., Palafox, G. & Aguado, C. (2020). Administración: pensamiento, procesos estratégicos y administrativos para la era de la inteligencia artificial. McGraw-Hill.
ICONTEC. (2018). Gestión del riesgo. Directrices (NTC ISO 31000).
ICONTEC. (2020). Tecnología de la información. Técnicas de seguridad. Gestión de riesgos para la seguridad de la información (NTC-ISO/IEC 27005).
International Organization for Standardization. (2020). Risk management – Guidelines for the management of legal risk (ISO 31022). https://www.iso.org/standard/69295.html
Information Systems Audit and Control Association. (2018). COBIT 2019 Marco de referencia. Introducción y metodología. ISACA.
ISOTools. (2022). Guía para la identificación, evaluación y gestión de Riesgos Corporativos. IsoTools.org.
Joyanes, L. (2020). Fundamentos de programación: algoritmos, estructura de datos y objetos (5a. ed.). McGraw-Hill.
Jiang, J., Adam, M. & Benlian, A. (2021). Algoactivistic Practices in Ridesharing - A Topic Modeling & Grounded Theory Approach. ECIS Research Papers.
Kellogg, K., Valentine, M. & Christin, A. (2020). Algorithms at work: The new contested terrain of control. Academy of Management Annals, 14(1), 366-410.
León, A. & Tamayo, D. (2011). La psicoterapia cognitiva posracionalista: un modelo de intervención centrado en el proceso de construcción de la identidad. Katharsis, (12), 37-58.
Lindsay, J. (2021). Cyber Espionage. The Oxford Handbook of Cyber Security. Oxford.
Maldonado-Pedroza, C., Guzmán-Useche, H., Tunjano-Pinzón, I., García-López, J., Álvarez-Barragán, L., Morales-Sierra, M., ... & Vargas-Leguizamón, Y. (2020). Finanzas prácticas para micro, pequeñas y medianas empresas. Catálogo editorial.
Maturana, H. (1998). La objetividad un argumento para obligar. Tercer Mundo.
Mayer, J., Power, M., Maguire, S. & Palermo, T. (2020). Sub-theme 58: Organizing in an Era of Riskification. Researchgate.net. https://www.researchgate.net/publication/344508105_EGOS_2021_Sub-theme_58_Organizing_in_an_Era_of_Riskification
Mejía, H. (2011). Gestión integral de riesgos y seguros para empresas de servicios, comercio e industria (2a. ed.). Ecoe Ediciones.
Mora, O. (2021). Control algorítmico: en organizaciones y sociedad. Revista Compendium: Cuadernos de Economía y Administración, 8(3), 264-273.
Morin, E. (1998). Introducción al pensamiento complejo (2a. ed.). Gedisa.
Pazmiño, C., Serrano, A. & González, M. (2020). Las Tics como herramienta para la gestión de riesgos. RECIMUNDO, 4(1), 173-181.
Perelman, L. (2020). El futuro del trabajo ya llegó: ¿qué hacemos con él? Nueva Sociedad. NUSO. https://nuso.org/articulo/trabajadores-de-plataformas-entre-la-pandemia-y-los-derechos/
Power, M. (2014). Risk, social theories, and organizations. The Oxford handbook of sociology, social theory, and organization studies: Contemporary currents, 370-392.
Project Management Institute. (2021). El estándar para la dirección de proyectos e Guía de los fundamentos para la dirección de proyectos (Guía del PMBOK) (7ma. ed.). Project Management Institute.
Real Academia Española. (2022). Diccionario de la lengua española. RAE. https://dle.rae.es/riesgo?m=form
Rosenblat, A. & Stark, L. (2016). Algorithmic labor and information asymmetries: A case study of Uber’s drivers. International Journal of Communication, 10, 3758-3784.
Sanchis, F. (2008). Apego, acontecimientos vitales y depresión en una muestra de adolescentes [ Tesis doctoral]. Universitat Ramon Llull. https://www.tdx.cat/handle/10803/9262;jsession-id=86C18C22141F8DAD498371798F72EC4B#page=1
Silbey, S. (2009). Taming Prometheus: Talk of safety and culture. Annual Review of Sociology, 35, 341-369.
Watzalawick, P. & Krieg, P. (1998). El ojo del Observador. Contribuciones al Constructivismo (3ra ed.). Gedisa.
Weiss, A. (1994). La Empresa Colombiana entre la Tecnocracia y la Participación. Universidad Nacional de Colombia.
Wood, A & Lehdonvirta, V. (2021). Platform Precarity: surviving algorithmic insecurity in the gig economy. SSRN.
Woodcock, J. (2020). The algorithmic panopticon at Deliveroo: Measurement, precarity, and the illusion of control. Ephemera. Theory & Politics in Organization, 20(3), 67-95.
Esta obra está bajo una licencia internacional Creative Commons Atribución-NoComercial-CompartirIgual 4.0.
Los autores transfieren los derechos patrimoniales de su artículo a la Escuela Superior de Administración Pública - ESAP, manteniendo los derechos morales sobre sus obras. Los artículos de la revista Administración & Desarrollo se publican bajo la Licencia de reconocimiento de Creative Commons Atribución - No comercial - Compartir Igual que permite a terceros la copia, reproducción, distribución, comunicación pública de la obra y generación de obras derivadas, siempre y cuando se cite y reconozca al autor original, la primera publicación en esta revista, no se utilice la obra con fines comerciales y la distribución de las obras derivadas se haga bajo una licencia del mismo tipo.
Anteriormente se empleaba la licencia CC BY-NC-ND, pero se cambió a CC BY-NC-SA.
