La semana pasada tuve la oportunidad de asistir a una ponencia sobre gestión de riesgos, pero esta vez a un nivel mucho más macro. El ponente, un Coronel de Infantería del ejército español. Trabaja en el Instituto Español de Estudios Estratégicos, unidad de apoyo a las fuerzas armadas dedicada al análisis de riesgos a nivel nacional, regional e internacional. El evento se denominó: “Foro de Gestión Avanzada: Riesgos y Amenazas Globales”.
Fui con cierta curiosidad, tratándose de mis responsabilidades dentro de INTEDYA he podido tener acceso a varios y diferentes métodos para la gestión del riesgo. Así que mi primera, y podría decir que única expectativa, era si esta denominada gestión “avanzada” de riesgos globales sería más compleja que las metodologías que estábamos aplicando.
La presentación comenzó con un análisis de contexto de España, como parte de la Unión Europea, como parte del pacto militar OTAN y como parte del mundo globalizado.
El coronel fue muy explícito en indicar que el análisis de riesgos y amenazas contra los países del denominado bloque “occidental” cambió radicalmente a partir de los atentados terroristas del 11 de septiembre contra las torres gemelas de Nueva York. Indicó que las consecuencias fueron notablemente nefastas para los sistemas internacionales de la época y que aún hoy son palpables. No solo fue un ataque al pueblo norteamericano, sino que dejo en total evidencia la ineficiente gestión del riesgo al mostrar al mundo la vulnerabilidad de todo un sistema, pudiendo ser atacados el corazón financiero (WTC), el corazón militar (Pentágono) y el corazón político (Washington) del mundo occidental. Afirmó que, a partir de ese día, el mundo es otro y que, si debe marcar una fecha del antes y después para las metodologías de gestión del riesgo es, sin duda, el 11/09.
Siguiendo con atención la presentación, me intrigó una frase que implicó una clara aplicación universal de la metodología de gestión del riesgo.
“Me preocupa si me afecta, si no me afecta no me preocupo”
El tema está en saber, de la forma más certera posible, primero si me afecta y segundo, si lo hace de qué forma lo hace. Este es el momento de preocuparse, asumiendo que esta preocupación implicaba tomar acciones.
La segunda frase que sirvió para dar entrada a la identificación de los riesgos fue:
“Las acciones se toman sobre amenazas con una probabilidad creíble de que se concreten”
Aunque desde un principio pesaríais que no tienen mucho en común, los primeros 10 riesgos identificados por la metodología empleada por los militares son muy similares a los identificados por el mundo empresarial. Por ejemplo, un ataque cibernético a los flujos de información, sobre todo financieros. La paralización del comercio mundial por el efecto de un ataque considerado grave navieros. En este punto hasta identificó donde, un tanquero (petróleo) en el golfo pérsico y un transporte de mercancías en el mar de China, pueden paralizar el comercio mundial. Las presiones de la inmigración, al cual también calificó en algún momento de Oportunidad (dependiendo de cómo se aborde). La concentración de conocimientos, el cambio climático y la disponibilidad de alimentos siguen en la lista.
Puedo indicaros que las cinco áreas que el coronel indicó en la presentación como prioritarias fueron (sin orden de importancia, todas por igual):
- Amenazas Ciber ataques
- Crimen Organizado (drogas, armas, trata de personas, corrupción)
- Paralización del comercio internacional (marítimo, terrestre y aéreo)
- Desestabilización económica
- Terrorismo (en distintas formas)
Una vez identificadas las amenazas y riesgos, el paso lógico siguiente debía de ser su evaluación y enseguida mi expectativa fue abordada. Lo interesante, fue que la formulación para la identificación inicial es idéntica a la que aplicamos todos los días dentro de nuestra metodología INTEDYA “Probabilidad x consecuencia”, siempre es el punto de partida. Obviamente los análisis son mucho más profundos y las subcategorías son mucho más específicas debido al contexto del análisis.
Otro elemento que completó mi expectativa fue el foco inicial del análisis. Los tipos de amenazas a los cuales están sometidos los países y como se toman como “organizaciones”. El análisis parte del contexto, una cosa es España como país, otra es el contexto del país dentro de su entorno natural, en nuestro caso la Unión Europea y, otra muy distinta es el análisis como arte del mundo occidental, así que se cumple la premisa de que todo arranca como parte del contexto.
Para todos los efectos la estructura para análisis de riesgos que se identificó en la presentación fue:
- Contexto y/o entorno donde se realiza el análisis
- Estrategias y políticas presentes y futuras del contexto/entorno
- Análisis de riesgos, amenazas y consecuencias en caso de concretarse alguna de ellas
- Recursos necesarios
- Planes de acción preventivos
- Planes de acción reactivos
- Procesos de retroalimentación
Concluyó con indicar que la efectividad de las metodologías depende en gran medida de quien interpreta y aborda los resultados. Esta es la principal premisa de las normativas ISO que adoptan el espíritu preventivo dentro de su estructura como un elemento esencial para la gestión los riesgos particulares a su objeto y campo de aplicación.
Arturo Enrique Michelena
PMO Central Internacional
Intedya