ARTÍCULO ORIGINAL
SPEED AND PERSISTENCE OF RISK IN PANDEMIC AND THE ROADMAP FOR RETURN
Armando Manuel Villacorta Cavero
Universidad Nacional Mayor de San Marcos
Lima, Perú
ORCID: https://orcid.org/0000-0003-3464-7593
Correo electrónico:avillacorta@unmsm.edu.pe
Juan Carlos Orellano Antúnez
Universidad Nacional Mayor de San Marcos
Lima, Perú
ORCID: https://orcid.org/0000-0001-6055-4433
Correo electrónico: jorellanoa@unmsm.edu.pe
[Recibido: 30/05/2020 Aceptado: 15/07/2020 Publicado: 31/08/2020]
RESUMEN
Objetivo: Hacer una revisión teórica-práctica de la velocidad y persistencia del riesgo en pandemia y la hoja de ruta del retorno. Método: Estudio no experimental y descriptivo. Se analizaron artículos y modelos de gestión publicados en revistas científicas indexadas e instituciones reguladoras; así como artículos publicados por firmas de consultoría líderes a nivel mundial. Resultados: Se observó que en la gestión de riesgos se vienen estudiando e incorporando nuevas variables, como son la velocidad y la persistencia (relacionadas con el tiempo). Conclusiones: Referente a la parte teórica se concluye que incluir en el análisis de la gestión de riesgos, a las variables de velocidad y persistencia, cobra gran importancia en un entorno COVID-19. En la parte práctica, se presenta una propuesta de acciones con el fin de que las organizaciones retornen a sus operaciones en medio de esta pandemia.
Palabras clave: Gestión de riesgos, protección individual, pandemia, persistencia, velocidad.
ABSTRACT
Objective: Make a theoretical-practical review of the speed and persistence of pandemic risk and the return roadmap. Method: Non-experimental and descriptive study. Management articles and models published in indexed scientific journals and regulatory institutions were analyzed; as well as articles published by worldwide leading consulting firms. Results: It was observed that the risk management has been studying and incorporating new variables, such as speed and persistence (related with time). Conclusions: Concerning to the theoretical part it concluded that including in the analysis of risk management, the variables of speed and persistence, becomes highly important in a COVID-19 environment. In the practical part, a proposal for actions is presented in order to organizations return to their operations in the midst of this pandemic.
Keywords: Risk management, individual protection, pandemic, persistence, speed.
INTRODUCCIÓN
El proceso de gestión de riesgos se estableció como campo científico hace 40 años aproximadamente, con el propósito principal de producir conocimiento a través de la resolución del enigma de la incertidumbre que influye en las decisiones de las empresas. Esta disciplina desarrolla principios, variables y modelos sobre cómo conceptualizar, evaluar y gestionar el riesgo. Estos principios y modelos todavía representan en gran medida la base de este campo, pero se han realizado diversos avances, vinculados tanto en la plataforma teórica como en las variables y procedimientos prácticos.
Este artículo hace una revisión teórica y práctica de tales avances, y busca encuadrarlos en la necesidad de cambios que el actual entorno de riesgos bajo la pandemia mundial por la presencia del COVID-19 enfrenta. Tiene un enfoque especial en las ideas fundamentales y en el pensamiento que nuevas variables como la velocidad y la persistencia al riesgo se proponen como elemento de análisis. Adicionalmente al desarrollo conceptual, se presenta una propuesta práctica para que las organizaciones analicen las acciones que deberán plantearse en este nuevo entorno de pandemia, al realizar el retorno a sus operaciones en el país o en su entorno global, con ideas y herramientas prácticas que, posteriormente, pueden implicar un mayor desarrollo de acciones de respuesta en el campo de riesgo.
Después de identificar los riesgos, tanto a nivel de la entidad como de transacciones, se lleva a cabo su respectivo análisis. Este proceso debe incluir la evaluación de la probabilidad de que ocurra un riesgo, el impacto que causaría y la importancia del riesgo.
Respecto al impacto, Casares y Lizarzaburu (2016) afirman que “toda organización debe ser consciente de que su actividad tiene repercusiones en el ambiente en el que opera. Los entornos donde están ubicadas las empresas pueden sufrir tanto externalidades negativas como positivas, que pueden causar un riesgo para la organización” (p. 159).
En cuanto a la probabilidad, Casares y Lizarzaburu (2016) señalan:
Es la posibilidad que existe entre varias posibilidades, que un hecho o condición se produzca. La probabilidad, entonces, mide la frecuencia con la cual se obtiene un resultado en oportunidad de la realización de un experimento sobre el cual se conocen todos los resultados posibles gracias a las condiciones de estabilidad que el contexto supone de antemano. (p. 160)
Por lo tanto, es importante estimar la probabilidad de ocurrencia de los riesgos identificados con el fin de calcular posibles pérdidas. Esta estimación comprende variables como la probabilidad, impacto, velocidad y persistencia (estas dos últimas se empiezan a tomar en cuenta en el debate); con estas consideraciones se puede construir una matriz de riesgos para determinar los riesgos prioritarios.
El Committee of Sponsoring Organizations of the Treadway Commission (COSO) (2013) incorpora principios relacionados a la gestión de riesgos, en los cuales indica que el control interno se basa en la evaluación de la probabilidad de la manifestación y en el impacto que pueden causar los riesgos en la organización. Incorpora la velocidad del riesgo, que se refiere a la rapidez con la que el impacto se evidenciará en la entidad, y la persistencia de un riesgo hace referencia a la duración del impacto en la entidad después de que el riesgo se haya materializado; ambos conceptos vinculados a la variable tiempo (Deloitte & Touche LLP, 2012) .
El riesgo comprende barreras e incertidumbres que afectan a la organización en su crecimiento o inclusive para su supervivencia. Eliminar completamente el riesgo es una situación hipotética porque los factores a evaluar van evolucionando e incorporando nuevas variables.
En forma complementaria, Deloitte & Touche LLP (2012) presenta las variables de velocidad de ocurrencia y vulnerabilidad en la evaluación del riesgo, cuyos conceptos se relacionan a la incapacidad de resistencia cuando se presenta un fenómeno amenazante, o la incapacidad para reponerse después de que haya ocurrido un desastre, como estamos experimentando en el actual entorno de pandemia.
Por otro lado, en el campo de la gestión de riesgos, en principio su concepto global es el mismo, pero reflejado en modelos con orientación financiera, operativos, matemáticos o analíticos. En este contexto, es necesario hacer un breve comentario sobre los alcances de la Norma ISO 31000:2018 del Instituto Nacional de Calidad (INACAL, 2018) y el documento emitido por la Organización COSO (2017) denominado Gestión de Riesgos Empresariales. Ambas normas, recomiendan que las organizaciones desarrollen, implementen y mejoren continuamente un marco cuyo objetivo es integrar el proceso de gestión de riesgos con el gobierno corporativo y sus estrategias; resalta en sus aportes un marco de principios —ética, valores y cultura— de manera que sea un proceso integrado en toda la entidad.
Para ampliar más sobre ISO 31000, Lizarzaburu, Barriga, Noriega, Lopez y Mejía (2017) señalan que “en general, el objetivo de este estándar ISO 31000 es complementar los procesos de administración del riesgo tanto en procesos estratégicos, de planificación, de gestión, de creación de informes y en las directrices, y la cultura de toda la organización” (p. 2).
Asimismo, algunos investigadores como Quan y Chiang (2017), Ramamoorti, Epstein, Baskin y Wanserski (2017) y Simpson (2015) tienen como objetivo usar diferentes modelos para medir y representar la velocidad de riesgo en una evaluación. En relación con la persistencia, estos artículos buscan crear una corriente de inclusión más intensa en la comunidad científica.
La tecnología asegura que la mayoría estará continuamente conectado a este nuevo entorno. El negocio y su ambiente regulador se enfrentan a un panorama complejo y acelerado con emergentes disruptivos ambientales nunca vistos, como es el caso del virus COVID-19.
En este entorno, la capacidad de gestionar el riesgo y la incertidumbre son variables esenciales para apaciguar la velocidad y persistencia con que se presentan los hechos. Pero el riesgo rara vez es estático, y la velocidad a la que un riesgo puede afectar a una organización ahora se considera como otro elemento vital para medir y responder a los riesgos (la tradicional medición binaria de probabilidad e impacto ya no es suficiente).
En resumen, se aprecia que el mundo es indiscutiblemente más cambiante e impredecible hoy, de lo que era en los primeros meses del año 2020.
MATERIAL Y MÉTODOS
El articulo presentado es no experimental y de corte transversal, dado que no hubo intervención de los investigadores, se utilizó información secundaria y se realizó en un espacio de tiempo determinado con precisión. El alcance es descriptivo, ya que se abordaron las características de la gestión de riesgos y se clasificaron las variables que influyen en su gestión.
El proceso de investigación empezó con la búsqueda de información, teniendo en cuenta los objetivos planteados. Se establecieron criterios de filtro en las bases de datos y motores de búsqueda seleccionadas; luego, se escogieron los contenidos y datos más importantes para realizar el correspondiente análisis. Se buscaron artículos en revistas científicas indexadas publicados en el periodo 2012-2020 sobre las variables que impactan en la gestión de riesgos; así como también, artículos de entidades reguladoras y de empresas de consultoría internacionales más importantes de los últimos dos años, relacionados con las recomendaciones para el retorno a la operación en un entorno de pandemia. También se consultaron textos que versan sobre el tema de gestión de riesgo, con énfasis en las variables velocidad y persistencia.
RESULTADOS
Producto de la búsqueda realizada, se encontraron más de 10 artículos en revistas indexadas y 20 artículos de firmas de consultoría y organismos reguladores, de cuya lectura se pueden extraer enfoques e ideas especiales de nuevas variables para gestionar los riesgos, así como también recomendaciones para que las organizaciones vuelvan a sus operaciones.
A Continuación, se analiza el material teórico, empezando con una propuesta de riesgos críticos, que de acuerdo con los expertos hoy vulneran en una primera línea a las organizaciones.
Modelo con 3 variables (incluyendo la variable velocidad)
La fórmula planteada para medir el riesgo sería:
RIESGO = (Probabilidad × Impacto) + Velocidad
Figura 1. Mapa de Riesgos Críticos COVID-19 con tres variables
Fuente: Elaboración propia
Bajo esta fórmula, la Velocidad del Riesgo se considera por separado. Por ejemplo: es de alto riesgo, si la probabilidad es de 4 y el impacto de 5, en una matriz de 5 x 5, el puntaje de impacto inicial será 20. La velocidad se evalúa por el tiempo estimado antes de un evento adverso teniendo como límite 5; por ejemplo, de horas a días, que en este caso de COVID-19 se agregó 5 para obtener una puntuación total de 25 (Simpson, 2015).
La velocidad está representada en el tamaño del círculo, el círculo más grande representa el riesgo de mayor velocidad, es decir, el riesgo que tarda menos días en afectar la entidad. El riesgo de menor velocidad, su tamaño es más pequeño y por consiguiente se tarda más tiempo en causar daños.
Esta tercera dimensión del riesgo es una variable cuyo momento ha llegado, y las empresas necesitan reconocerla, entenderla y tratarla como parte de sus procedimientos operativos estándar en la gestión de sus riesgos (Ramamoorti, Epstein, Baskin y Wanserski, 2017).
Como se aprecia en la matriz de la figura 1, los riesgos externos a la empresa (pandemia, discontinuidad del negocio y desempleo), se considera los más extremos y de mayor velocidad; quedando en un segundo lugar, los riesgos de ciberseguridad, fraude y corrupción, fallas de gobernabilidad y burbuja de activos.
Modelo con 4 variables (incluyendo la variable persistencia)
La fórmula planteada para medir el riesgo sería:
RIESGO = (Probabilidad × Impacto) + Velocidad + Persistencia
Figura 2. Mapa de Riesgos Críticos COVID-19 con cuatro variables
Fuente: Elaboración propia
Siguiendo la fórmula de 3 variables y ahora ampliando a 4 variables: la Persistencia del riesgo se considera por separado. Por ejemplo, es de alto riesgo, si la probabilidad es de 4 y el impacto de 5, en una matriz de 5 x 5, el puntaje de impacto inicial será 20. La velocidad se evalúa por el tiempo estimado antes de un evento adverso (por ejemplo, de horas a días, que en el caso de COVID-19 se agregó 5) para obtener una puntuación total de 25, y se representa por el tamaño del círculo. En los niveles de persistencia cada color agrega un elemento de intensidad al riesgo (incierto, intenso, tolerado, débil). En el caso del COVID- 19 se considera incierto y se lleva al puntaje máximo de 5. El color del circulo representa el nivel de persistencia es incierto (verde es el menor y se logra cuando dura una semana o menos; y morado es el extremo cuando la variable de permanencia es incierta) para llegar a un riesgo total en el análisis de riesgos de 30.
Esta cuarta dimensión del riesgo es una variable complementaria cuyo momento ha llegado, y las empresas necesitan reconocerla, entenderla y tratarla como parte de sus procedimientos operativos estándar (COSO, 2013).
Como se aprecia en la matriz de la figura 2, los riesgos: pandemia, fallas de gobernabilidad, desastres naturales y desempleo, se consideran riesgos de persistencia inciertos; en un segundo lugar quedan: la discontinuidad del negocio, los riesgos de ciberseguridad, fraude y corrupción, y burbuja de activos, que se consideran riesgos de persistencia intenso.
Acciones y prioridades de reflexión
El reto de los gestores es gerenciar estos riesgos en lo que resta del año 2020 y el 2021, para lo cual, proponemos en este artículo referencias, herramientas y acciones que pueden ser de utilidad para las organizaciones.
Gestión de crisis financiera
Cuando se desata una crisis, el Instituto Internacional de Auditores de Australia – IIA (2020), en su Hoja Informativa Auditoría Interna y Pandemia, recomienda que las organizaciones evalúen la necesidad de tener acceso a efectivo suficiente para sobrevivir mientras dure la pandemia ¿Cuánto tiempo puede hacer frente la organización al pago de los sueldos de empleados, alquileres, arrendamientos y otras obligaciones regulares? ¿Qué medidas deben adoptarse para asegurar su liquidez? ¿En qué etapa se debe informar al regulador, la institución financiera, los proveedores y otras partes interesadas si la empresa empieza a tener dificultades?
En relación con las herramientas o acciones, flujos de caja, estados financieros, revisión de ayudas financieras, laborales y tributarias del gobierno, identificación de personal clave, diseño de escenarios financieros, etc. Ayudarán a tener una primera visión de lo que tiene, y lo que necesita financieramente la empresa.
Gestión de teletrabajo y tecnología
El Instituto Nacional de Estándares y Tecnología – NIST (2020), en su documento SP 800-46 presenta al teletrabajo y la seguridad de la siguiente forma: Para muchas organizaciones hoy en un entorno complejo, sus empleados, contratistas, socios comerciales, clientes, proveedores u otros usuarios podrían utilizar tecnologías de teletrabajo empresariales para realizar trabajos desde ubicaciones externas. La naturaleza del teletrabajo y de las tecnologías de acceso remoto, que permiten el ingreso a recursos protegidos desde redes externas y, a menudo, también desde hosts controlados externamente, ponen, generalmente, en mayor riesgo que las tecnologías similares a las que solo se accede desde dentro de la organización (Souppaya y Scarfone, 2016).
Para contrarrestar estos problemas, se debe revisar los contratos con proveedores de servicios y equipos de tecnología, el personal tecnológico que apoya o asesora, los ambientes de trabajo y la seguridad en los sitios remotos habilitados, el nivel de seguridad de los proveedores, clientes u otros, que se piensan incluir en la red remota.
Gestión de continuidad del negocio
Un plan de gestión de crisis o un plan de continuidad del negocio requiere un conjunto de personas y el trabajo activo en general que suele ser desbordante. Los departamentos de actividades no esenciales de un negocio pueden prestar a su personal para cubrir necesidades o colaborar con los esfuerzos de remediación y recuperación, y subsistir en esta etapa.
En este orden de ideas, la XXIII Encuesta Mundial de CEOs, elaborada por PricewaterhouseCoopers (PwC-2019) refleja la naturaleza imprevista del brote. El informe no menciona ningún plan de contingencia frente a los riesgos relacionados con la salud. Pero el informe resalta lo siguiente: “Casi todos los directores (96%) dicen que han discutido el plan de la gerencia para responder a una crisis importante, un aumento de 12 puntos desde 2018” (p.10). Sin embargo, el COVID-19 en materia de continuidad se ha convertido en un tema de vida y muerte a la velocidad del riesgo.
Como medidas de acciones, se debe realizar de una manera sencilla, un plan de trabajo de corto, mediano y largo plazo, revisión de la estructura de costos en una perspectiva de costos fijos y variables, una revisión de precios, descuentos y promociones, del personal, de proveedores, de clientes críticos, de disposiciones del Gobierno sobre la industria, de alianzas con empresas de cobranzas en línea, de canales de distribución, de evaluación y de venta por delivery, de nuevos mercados, de alternativas de financiamiento; en resumen, se debe hacer una reestructuración del negocio.
Además, se debe trabajar una documentación simple y clara, que se enmarque sobre las nuevas políticas y el diseño de nuevos procedimientos necesarios para reorganizar la empresa o reinventarla hacia otros negocios.
Plan de higiene general y equipamiento de protección individual
De manera general se debe cumplir con la normativa que el gobierno viene emitiendo en referencia a la protección de la salud de todos los colaboradores de los negocios. Asimismo, Los equipos de protección personal (EPP) son esenciales para el control del riesgo
La empresa necesitará trabajar para obtener certificaciones de limpieza y desinfección, inversión en pruebas de medición de COVID-19 (opcional), compras de equipos de seguridad personal, redefinición del layout en la empresa, entre otras acciones.
Responsabilidad social y el bienestar común
El análisis de costo-beneficio muestra que el valor en soles de una vida salvada por el distanciamiento social es demasiado alto para sostener las restricciones existentes. Este enfoque puramente utilitario está lejos del ideal de solidaridad, que requiere que demostremos tanto cuidado y preocupación por aquellos que son débiles y vulnerables como por aquellos que son fuertes y poderosos.
¿Por qué no considerar, como condición para enviar a los ciudadanos de regreso al trabajo, extender estas protecciones económicas y de salud a todos durante los próximos meses? Quizás este gesto de solidaridad del Estado demuestre la creación de hábitos, y valga la pena continuar incluso cuando el virus retroceda, y realmente sea un respaldo para el proceso de recuperación.
Se debe evaluar el aporte como respaldo social a la comunidad a través de donaciones, cuidado de los puestos laborales, precios sociales para ciertos sectores entre las principales ideas que, junto a lo que haga el Gobierno, son un reto para todos en esta búsqueda de la estabilidad social.
Deterioro de los activos (efecto burbuja), los fraudes, la corrupción y la seguridad personal
En vista de la extensión de la pandemia en el tiempo, la probabilidad de recesión en la economía mundial ha aumentado considerablemente, por lo que ahora forma parte de nuestro escenario básico: pérdida o ajuste de los activos, que en función a las normas internacionales de información financiera deben evaluarse.
Asimismo, los ciberdelincuentes no cesan y siempre encuentran nuevas formas de llevar a cabo sus estafas y fraudes online. No hay que perder de vista los fraudes internos de falsas ventas, apropiación de cobranzas, falsos reportes, etc. También, hay que tener presente que en la medida que el bienestar común no sea suficiente, el incremento de la delincuencia puede aumentar (secuestros, asaltos, pandillaje, etc.
Para frenar estos problemas, se puede evaluar el valor del patrimonio empresarial de la empresa bajo NIIF, establecer un plan de control antifraude, utilizar líneas de denuncia colaborativas y, finalmente, trabajar un plan de protección personal, por si la delincuencia se incrementa.
DISCUSIÓN
La gestión de riesgos dentro del campo científico proporciona contribuciones importantes para apoyar la toma de decisiones en las organizaciones en la práctica. Los principios, variables, teorías y métodos se continúan ajustando, desarrollando y calibrando. Este artículo se ha centrado en el trabajo reciente relacionado con las variables velocidad y persistencia (relacionadas al tiempo) en la medición de riesgos influenciados por el Committee of Sponsoring Organizations of the Treadway Commission (2013) y Deloitte & Touche LLP (2012), de la organización COSO, y cubren las ideas en las que estas variables encajan en el campo del riesgo. Asimismo, se plantea desde una perspectiva práctica ideas, herramientas y reflexiones, que las empresas deben elaborar en la etapa de retorno que sucederá al terminar la etapa de confinamiento que se ha desarrollado en la mayoría de los países. Hoy la pandemia, de acuerdo con un esquema desarrollado en la página web del Instituto Internacional de Auditores de Australia (2020), con la ayuda de la especialista española en Resiliencia Eva María Arrabal Martín, ha ubicado al mundo en tres etapas muy críticas: la etapa de miedo: acumular alimentos, contagiarse del miedo por las estadísticas, estado irritable, impotencia. Luego se evoluciona a la etapa de aprendizaje: toma de conciencia de lo que está pasando y cómo actuar, se comienza a recolectar información y a contrastarla, se reconoce que todos está tratando de hacer lo mejor dentro de las limitaciones en las que se vive. Y finalmente la etapa de crecimiento: se vive el presente y se piensa en el futuro, se pone el talento personal en función a los intereses de la sociedad y de los propios, se empieza a adaptar a los nuevos cambios y el entorno. En este orden de ideas, se debe empezar a revisar la empresa y sus intereses dentro de la pandemia de COVID-19, que tiene todos los ingredientes para hacer perder el equilibrio a un gran número organizaciones. Es posible, que numerosas organizaciones, en particular pequeñas empresas, nunca se recuperen. Muchas organizaciones pueden encontrarse en una situación realmente grave, y el resultado podría ser que muchos empleados pierdan el trabajo y que la comunidad sufra interrupciones de servicios y racionamiento de productos.
REFERENCIAS
Casares, I. y Lizarzaburu, E. (2016). Introducción a la gestión integral de Riesgos Empresariales Enfoque : ISO 31000. Lima: Platinium
Committee of Sponsoring Organizations of the Treadway Commission. (2013). Guidance on Internal Control. Recuperado de: https://www.coso.org/Pages/ic.aspx
Deloitte & Touche LLP. (2012). Risk Assessment in practice. Recuperado de: https://www2.deloitte.com/content/dam/Deloitte/global/Documents/Governance-Risk-Compliance/dttl-grc-riskassessmentinpractice.pdf
Instituto Internacional de Auditores de Australia. (2020). Hoja Informativa: Auditoría Interna y Pandemia. Conectar Promover Avanzar, 2. Recuperado de: https://dl.theiia.org/Documents/Fact-Sheet-Internal-Audit-and-Pandemics-IIA-Australia-Spanish.pdf
Instituto Nacional de Calidad. (2018). Norma técnica peruana NTP-ISO 31000 2018. Lima.
PwC. (2019). The collegiality conundrum. Finding balance in the boardroom. PwC’s 2019 Annual Corporate Directors Survey. Recuperado de: http://www.circulodedirectores.org/wp-content/uploads/2019/12/pwc-2019-annual-corporate-directors-survey-full-report-v2.pdf
Quan, N. y Chiang, A. (2017). Risk management at the speed of business. Features. Directors’ Bulletin 2017, (1), 24-27. Recuperado de: https://www.sid.org.sg/Web/Publications/SID_DIRECTORS_BULLETIN/SID_DIRECTORS__ BULLETIN_-_2017_Q1.aspx
Ramamoorti, S., Epstein, B., Baskin, D. y Wanserski, J. (2017). Managing Risk at the Speed of Change - The CPA Journal.Recuperado el 4 de junio de 2020, de: https://www.cpajournal.com/2017/06/19/managing-risk-speed-change/
Simpson, K. (31 de marzo de 2015). Risk Velocity [publicación en blog]. Recuperado de: http://blog.capablepeople.net/risk-velocity/
Souppaya, M., y Scarfone, K. (2016). Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security. doi.org/10.6028/NIST.SP.800-46r2