Un Tonto Con Una Herramienta Sigue Siendo Un Tonto

 

Un tonto con una herramienta sigue siendo un tonto P or David Hillson , el el Doct or de Riesgo.

 ¿S i e r v o o M a e s t r o ?

El

proceso

de

gestión

de

riesgos

produce

grandes

cantidades

de

datos

que

requieren una gestión cuidadosa con el fin de apoyar el análisis adecuado, información, toma de decisiones y la acción. El proceso también es iterativo, lo que resulta en la necesidad de ser capaz de comparar la exposición actual al riesgo con la exposición en un punto anterior, apoyando el uso de métricas y análisis de tendencias. Esto significa que cualquier organización seria acerca de la gestión de riesgos debe pensar cuidadosamente cómo proporcionar un nivel adecuado de infraestructura para apoyar el proceso de riesgo y permitir el almacenamiento eficiente, análisis y la presentación de datos de riesgo. El exceso de infraestructura puede crear una sobrecarga burocrática que provocaría pérdida de tiempo y esfuerzo, dinero y desaliento en el uso del proceso de gestión de riesgos. Sin embargo, una infraestructura demasiado simple puede provocar que sea difícil implementar un proceso de gestión de riesgos eficaz. Por lo tanto, el nivel de infraestructura se debe elegir con cuidado a fin de llegar al

1

“Goldilocks level"  ,

donde el nivel de soporte de tecnología es el

“correcto”.   “correcto”. La implementación de una infraestructura para la gestión del riesgo podría incluir elección

de

técnicas

a

aplicar

en

el

proceso

de

riesgo,

la

asignación

de

recursos para la gestión de riesgos, la formación en conocimientos y habilidades de riesgo, el desarrollo de procedimientos de riesgo que se integren con otros procesos de negocio, la producción de plantillas para diversos elementos del proceso de riesgos y, teniendo en cuenta la necesidad de apoyo de fuentes externas, especialistas en riesgos. Sin embargo, para la mayoría de la gente, "infraestructura" es sinónimo de herramientas de software.

1

Referencia al cuento “Ricitos de Oro y los tres Osos”, donde la protagonista pr otagonista debe elegir entre opciones “muy grandes”, “muy pequeñas” y la “opción exacta” (opción correcta).  correcta). 

 

No hay duda de que las herramientas de software pueden servir un propósito útil para ayudarnos a gestionar grandes cantidades de datos de riesgo con rapidez y consistencia, así como la producción de entregables de buena calidad. Sin embargo, hay que tener cuidado y mantener a la herramientas de soporte del proceso de riesgos en su lugar correcto: como siervos del proceso de riesgo y no como sus amos. Es común que una organización invierta fuertemente en un paquete de software de riesgos particular y ordene su uso en toda la empresa, sólo para encontrar que el personal está tan ocupado manteniendo la herramienta, que se ha descuidado negligentemente de la gestión del riesgo real. Esto sería como comprar un caballo nuevo y gastar tanto tiempo en alimentarlo asearlo, que nunca se llegaría a montarlo.

 ¿H a c e r o c o m p r a r ?

Quizás la pregunta más importante es: ¿dónde encontrar una herramienta de software de riesgo que sea la adecuada para las necesidades de su organización? Muchos programas informáticos comerciales propietarios están disponibles en el mercado para apoyar diferentes elementos del proceso de gestión de riesgos, y también es posible el desarrollo de herramientas a medida para aplicaciones específicas. La primera pregunta es por lo tanto: ¿Decide “hacer o comprar”?, y un montón de organizaciones parecen inseguras esta pregunta básica. Hay decenas de productos competidores disponibles que dicen estar acorde sus necesidades. ¿O debe desarrollar su herramienta “puertas adentro”, sobre la base de hojas y de cálculo y bases de datos comunes de software ofimático? of imático? Las organizaciones que están iniciando la gestión del riesgo a menudo deciden desarrollar sus propias herramientas simples de riesgo, con el objetivo de migrar a algo más sofisticado en el futuro. Pero tal vez esa es una falsa economía y que sería mejor invertir de inmediato en un paquete de software que puede crecer con el negocio. La decisión de desarrollar herramientas a medida debe tomarse con cuidado, para evitar gastar mucho tiempo y recursos en la tarea. De hecho las organizaciones que han seguido esta ruta frecuentemente han encontrado que no es tan fácil como parece a primera vista el "solamente desarrollar una hoja de cálculo de riesgo rápida”.  rápida”.  

 

2 

Especificar cuidadosamente los requisitos es esencial, para evitar el gold plating  . También es común que las herramientas a medida contengan deficiencias ocultas, errores, o que necesiten la manipulación manual de los datos. Los problemas surgen con frecuencia con el control de configuración, con múltiples copias de las hojas de cálculo o bases de datos proliferando alrededor la organización, cada una conteniendo sus datos ligeramente diferentes al resto. Actualizar los datos de riesgo y el mantenimiento del historial de variaciones puede ser particularmente difícil. Además, al combinar datos de varias hojas de cálculo o bases de datos con el fin de generar una visión global de la exposición al riesgo en toda la empresa o a través de un programa de proyectos, requiere fundamentarse en un nivel de consistencia de los datos que, es por lo general, ausente. Como resultado de estas y otras deficiencias, el desarrollo de herramientas a medida no suele ser la mejor opción, a pesar de su inicial atractivo como solución "rápida y fácil". En cambio, la mayoría de las organizaciones finalmente optan por una herramienta propietaria para riesgos, lo que plantea la cuestión de cómo elegir entre la gran variedad.

 ¿C óm o e l e g i r ?

Cuando se toma la decisión de comprar una herramienta de riesgo propietaria, es importante 3

recordar la antigua advertencia de "caveat emptor"  . Usted obtiene lo que paga, y es su responsabilidad asegurarse de que lo que usted compra se adapte a sus necesidades. Entonces: ¿cómo elegir? Es importante evitar la aplicación de sistemas complejos, cuya funcionalidad y costo supera significativamente los requisitos del proceso de riesgos que se pretende apoyar. Por otro lado, una herramienta demasiado simple o carente de funcionalidad esencial termina por frustrar al personal y no les ayuda a hacer lo que hay que hacer. Las siguientes cuestiones fundamentales deben abordarse al seleccionar un herramienta de software comercial:

2

Término generalmente usado durante el ciclo de vida del desarrollo de paquetes informáticos. Se rrefiere efiere al

desarrollo de funcionalidades que le parece serán buenas al programador, pero que el cliente-usuario no las encuentra útiles, si no, molestosas y fuera del objetivo del negocio. 3 Es una frase en latín que significa "Cuidado por parte del comprador".

 

  Decida los requisitos primero, a continuación, seleccione una herra herramienta mienta de funcionalidad



adecuada para cumplir con estos requisitos.   Desarrolle una "especificación de requisitos” con un conjunto de criterios de selección



ponderados, con los que las herramientas que compiten se puedan evaluar, usando el 4

método MoSCoW   de aproximación a la categorización de requisitos.   Identifique la b base ase de usuarios impac impactados tados y asegúrese d de e que s se e le pu pueda eda dar soporte con la herramienta. Pregunte a los l os usuarios acerca de sus criterios de MoSCoW.



  Asegúrese de que la herramienta selecc seleccionada ionada s soporte oporte el proceso act actual ual de g gestión estión de



riesgos de la organización y no permita que el proceso se convierta en un proceso orientado por la herramienta.   Tenga en cue cuenta nta los problemas de integración c con on otras herramientas y proc procesos esos



existentes, incluida la transferencia de datos, convenciones de formato de datos, frecuencia de actualización, etc.   Evalúe el conjunto está estándar ndar de reportes y entregables disp disponibles onibles en la herramienta, así



como la opción para producir informes a medida, con el fin de garantizar que los formatos requeridos en los informes se pueden generar de forma automática y que la generación de informes flexibles adicionales también sea posible.   Tenga en cuenta las necesidades de entrenamien entrenamiento, to, y ga garantice rantice que el pr proveedor oveedor o una



organización acreditada en entrenamiento lo puedan proveer.   Tenga en cuenta las necesidades de mant mantenimiento enimiento y garantice q que ue el proveedor brin brinde de



soporte continuo, en el momento oportuno y a un costo razonable.   Asegúrese de que la herramienta sea escalable, d de e forma que apo apoye ye la gestión de riesgos



en distintos niveles de la organización, incluyendo el alto nivel e implementaciones detalladas, o proyectos que varían en tamaño desde muy pequeño hasta mega-proyectos. mega -proyectos.   Construya sobre bases para crecimiento futuro, de tal forma que la herramienta p pueda ueda



crecer con los posibles cambios en los requisitos o en el negocio.

Estos criterios básicos deben constituir la base de un proceso de selección que se puede utilizar para evaluar las herramientas de riesgo disponibles, generar una lista algunas

4

MoSCoW:

M: MUST have this (esencia del producto) - S: SHOULD have this if at all posible (también

debe de tener esto) - C:COULD have this if it does not affect anything else (puede estar pero sin afectar al resto) - W: WON'T have this time, WOULD like in the future (no lo tiene pero en algún momento lo tendrá).

 

herramientas pre-seleccionadas y la posterior evaluación a mayor profundidad de la lista. Los vendedores preseleccionados pueden ser invitados a una competencia tipo "desfile de belleza", donde la organización se ocupa de brindar cuestiones de implementación en mayor detalle al proveedor. Se debe incluir instalaciones demostrativas para que el nivel funcionalidad pueda ser probado con datos reales de riesgo de la organización (ya sea datos en tiempo real o archivados y depurados, cuando sea necesario para proteger confidencialidad comercial) para asegurar que las necesidades reales estén a la altura de la oferta de venta del proveedor. Es notable que los criterios de selección descritos anteriormente no mencionen el precio o costo. Por supuesto, una organización que esté considerando la posibilidad de la compra de una herramienta de riesgo comercial debe establecer un presupuesto, y la capacidad de compra es un parámetro clave de la decisión. Pero el costo no debe ser el factor que mande sobre el proceso de selección.

¿T’s y C’s?  

Las organizaciones que deseen implementar un gestión de riesgos efectiva probablemente empezarán por considerar las Tres T: Techniques (técnicas), Tools (herramientas) y Training (Entrenamiento). Si bien estas son sin duda parte de lo que se necesita para dar soporte a la gestión eficaz del riesgo, no son suficientes – suficientes  – son  son necesarias pero no suficientes. Por supuesto, cualquier enfoque de gestión del riesgo implica el uso de una gama de técnicas y muchas de ellas requieren herramientas para apoyarlas. La naturaleza especializada de las técnicas y herramientas de riesgo es probable que plantee la necesidad de capacitación para que el personal pueda utilizarlas de manera adecuada. Pero estos tres elementos por sí solos no harán que la gestión de riesgos sea eficaz, como está ampliamente demostrado por la experiencia común de muchas organizaciones que pensaron que lo harían. Además, complementando a las tres T, hay un conjunto de factores críticos extra que deben estar presentes, en particular las tres C: Cultura

 

La organización debe demostrar un conjunto de valores, actitudes y comportamientos que respondan adecuadamente a los riesgos, teniendo el derecho niveles de riesgo de ser necesario, y tomar decisiones conscientes de los riesgos a todos los niveles.

Competencia Todo el personal debe poseer los conocimientos, habilidades y experiencia que les permitan reconocer y manejar el riesgo en su nivel de responsabilidad, desde la sala de juntas a la planta de producción y, deben sólo actuar dentro de sus límites de competencia. Compromiso La información de riesgos debe ser utilizada para informar las decisiones y acciones en toda la organización, cada persona debe estar comprometida con evaluar la exposición al riesgo con honestidad y responder apropiadamente.

En el análisis final, debemos aceptar que una mera herramienta no puede garantizar una gestión eficaz del riesgo, por muy buena que la herramienta pueda ser. Toda la funcionalidad en el mundo no podrá nunca sustituir la capacidad (o incapacidad) del usuario. La posesión de una copia de Microsoft Word no te hará un novelista, y ser dueño de un taladro eléctrico no significa que podrás construir un armario. De la misma manera, el uso de una herramienta de riesgo no garantiza la capacidad de gestionar el riesgo. Esto se resume en el proverbio: "Un tonto con una herramienta sigue siendo un tonto”.  tonto”.   Proveer un paquete de software para alguien que no sabe lo que está haciendo simplemente le permite poner en práctica su estupidez de forma más rápida y eficaz. En su lugar, tenemos que desarrollar una cultura de conciencia del riesgo y un personal competente en gestión de riesgo dentro de la organización, organización, en todos los niveles, con conjuntamente juntamente con el compromiso de utilizar la información de riesgo para tomar decisiones y actuar con medidas adecuadas. Cuando las tres C existan, la gestión de riesgos será eficaz en la creación de valor significativo para el negocio y las herramientas añadirán eficiencia efi ciencia a la ef eficacia icacia mencionada.