Como entender “El criterio de valoración” en asuntos del riesgo
Este fin de semana, mientras revisábamos la nueva Norma, Estándares y Guías de Implementación del Sistema de Gestión en Control y Seguridad BASC en su Versión 6, aprobados el 2 de marzo de 2022, y prestando atención especialmente en el Glosario de Términos y Definiciones, en su numeral 10.3 al referirse al término “CRITERIO”, lo define como “Requisito de la Norma y Estándares Internacionales de Seguridad BASC aplicables, así como la documentación declarada en el SGCS, contra los cuales se compara la evidencia de auditoría”.
Siempre hemos tenido la curiosidad del por qué en ocasiones es tan complicado diseñar, establecer e implementar “CRITERIOS”, especialmente en los temas relacionados con la Valoración del Riesgo, por eso nos dimos en la tarea de poder comprenderlo. Partamos por definir la palabra criterio, que se denomina como el principio o norma según la cual se puede conocer la verdad, tomar una determinación, u opinar o juzgar sobre determinado asunto. La palabra, como tal, proviene del griego κριτήριον (kritérion), que a su vez deriva del verbo κρίνειν (krínein), que significa ‘juzgar’. Visto así, el criterio es figuradamente aquello que nos sirve para clasificar, dividir o separar en sus partes un asunto.
Los criterios para un asunto, por ende, pueden ser inmensamente variados y forman parte del aparato racional con que el ser humano enfrenta la realidad y formula juicios, opiniones o pensamientos. Es por eso que a menudo la gente “cambia de criterio”, es decir, cambia los parámetros con que juzga una realidad y por ende cambia también de opinión o de veredicto sobre ella.
De allí que la palabra criterio acabó siendo más o menos sinónima de “opinión” o “punto de vista”, y también de racionalidad o sensatez: cuando alguien hace algo “según su criterio”, entendemos que lo hace conforme a su entendimiento, como producto de una decisión tomada de manera consciente.
Lo mismo ocurre, en un sentido contrario, cuando se dice que alguien “carece de criterio” (o sea, no tiene idea) o tiene un “pobre criterio” (es decir, piensa poco o mal las cosas).
Teniendo en cuenta lo anterior, quisimos revisar donde podemos y a que se refiere el término “CRITERIO” en la Norma BASC Versión 6-2022, y en la Norma ISO 31000 -2018 de la siguiente manera:
NORMA BASC, Versión 6-2022
en su cláusula 6, Planificación, en su numeral 6.1 Gestión del Riesgo, la empresa debe establecer un procedimiento documentado para la gestión del riesgo con base en el enfoque de procesos y su rol en la cadena de suministro y debe asegurar el cumplimiento e incluir entre otros, el elemento Criterios e identificación del riesgo, de la siguiente manera:
- Establecer los criterios que le permitan a la empresa definir los riesgos que puede asumir para alcanzar los objetivos del SGCS BASC.
- Identificar los riesgos o sus fuentes en los diferentes procesos de la empresa y la cadena de suministro, con base en el análisis del contexto, las partes interesadas, el alcance y los compromisos establecidos en la política de gestión en control y seguridad.
Lo encontramos en el análisis de riesgos donde la empresa debe establecer una metodología que permita determinar el nivel de prioridad del riesgo con base en los criterios establecidos.
Podemos encontrarlo en la evaluación de riesgos donde la empresa debe comparar los resultados del análisis y los criterios definidos para apoyar las decisiones sobre el tratamiento del riesgo.
Nos indica la Guía de Implementación de la Norma que “La identificación del riesgo responde a la necesidad de reconocer y describir las amenazas o vulnerabilidades que pueden ayudar o impedir a una empresa lograr sus objetivos. Esta identificación debe ser por procesos, considerando su alcance y contexto y los compromisos establecidos en su política, objetivos y con las partes interesadas”.
En la cláusula 7. Apoyo, en su numeral 7.1. Recursos, 7.1.2. Personal, nos indica que la empresa debe establecer y documentar de acuerdo con la autoridad y responsabilidad, en su aparte b, los criterios para determinar cargos críticos, acordes con la gestión del riesgo.
La empresa debería revisar y actualizar periódicamente los criterios de gestión del riesgo para determinar cargos críticos, generando evidencia objetiva de dicha revisión, el establecimiento de cargos críticos permite que la empresa defina responsabilidades asociadas a los riesgos de cada proceso, los cargos críticos son aquellos que, por alguno de los criterios determinados por la empresa, según sus riesgos, requieren controles exhaustivos, tales como acceso a la carga, a información clasificada, a sitios sensibles, entre otros y es la empresa quien determinará, de acuerdo con las actividades que desarrolle, la criticidad de su personal.
También la encontramos en la cláusula 8. Evaluación de desempeño, en el numeral 8.2.4, nos indica que en el plan de la auditoría la empresa debe documentar en su plan para la auditoría interna, el objetivo, alcance, criterios, responsables, agenda y equipo auditor.
La empresa en su programa de auditoría interna debería considerar como mínimo los siguientes aspectos: objetivos, alcance, responsables, registros, gestión y seguimiento de los resultados, revisión y mejora del programa.
ESTÁNDAR INTERNACIONAL ISO 31000
Revisando el estándar internacional ISO 31000, en su segunda edición 02-2018, en su cláusula 6.3.4, que nos indica que, al definir criterios de riesgo, la organización debería especificar la cantidad y el tipo de riesgo que puede o no tomar, en relación con los objetivos:
- También debería definir criterios para evaluar la importancia del riesgo y apoyar los procesos de toma de decisiones.
- Los criterios de riesgo deben alinearse con el marco de gestión de riesgos y personalizarse según el propósito específico y el alcance de la actividad que se está examinando.
- Los criterios de riesgo deben reflejar los valores, objetivos y recursos de la organización y ser coherentes con las políticas y las declaraciones sobre la gestión del riesgo.
- Los criterios deben definirse teniendo en cuenta las obligaciones de la organización y las opiniones de los interesados.
Si bien los criterios de riesgo deben establecerse al comienzo del proceso de valoración del riesgo, son dinámicos y deben revisarse y modificarse continuamente, si es necesario.
Para establecer los criterios de riesgo, debería tenerse en cuenta lo siguiente:
- La naturaleza y el tipo de incertidumbres que pueden afectar a los resultados y objetivos (tangibles e intangibles).
- Cómo se definirán y medirán las consecuencias (positivas y negativas) y las probabilidades.
- Factores relacionados con el tiempo.
- Consistencia en el uso de mediciones.
- Cómo se va a determinar el nivel de riesgo;
- Cómo se tendrán en cuenta las combinaciones y secuencias de múltiples riesgos.
- La capacidad de la organización.
QUÉ ES LA EVALUACIÓN
El diccionario de la Real Academia Española define la evaluación como la “acción y efecto de evaluar”, o sea, de “estimar, apreciar, señalar el valor de algo”, y de inmediato lo vincula con el mundo escolar y educativo. Probablemente porque nuestras primeras experiencias formales con el proceso de ser evaluados provienen justamente de allí, de la escuela y la academia.
Definido así, en abstracto, la evaluación es la acción de juzgar o medir un procedimiento, o sea, de indicar qué tan bien o qué tan mal ha salido, o qué tanto se aproximó al objetivo que inicialmente nos habíamos planteado.
Toda evaluación, por lo tanto, depende en gran medida de los resultados esperados de antemano, y del sistema que se emplea para medir los resultados reales, en el que deben hallarse especificados los criterios utilizados para evaluar. Dicho de otro modo, toda evaluación implica cotejar la realidad contra una serie de criterios prestablecidos.
En líneas generales, el refinamiento de los métodos de evaluación ha permitido a las sociedades tener un mejor control de sus resultados en las distintas áreas de su interés. Así es posible retroalimentar los procesos con información que, a la larga, sirve para tomar decisiones que conduzcan a la mejoría de dichos procesos.
CARACTERÍSTICAS DE LA EVALUACIÓN
La evaluación se caracteriza por lo siguiente:
- Consiste en el cotejo de los resultados obtenidos en un proceso contra los resultados establecidos inicialmente.
- Para dicho cotejo emplea diferentes herramientas o procedimientos de medición, dependiendo de la naturaleza del asunto, que permiten obtener información respecto al desempeño evaluado.
En general, contempla tres propósitos fundamentales:
- Recopilar información respecto al proceso evaluado.
- Analizar la información obtenida para obtener conclusiones.
- Definir así los logros alcanzados y los no alcanzados, para poder así retroalimentar el proceso.
PARA QUÉ SIRVE LA EVALUACIÓN
Como hemos dicho antes, la evaluación tiene el propósito fundamental de someter a juicio y valoración un proceso determinado.
Esto quiere decir que no sólo debe juzgar si las metas iniciales se cumplieron, y en qué medida, sino también obtener información respecto a cuáles fueron los tropiezos, cuáles las fallas inesperadas, cuáles las predecibles y, en general, cuáles fueron las características del proceso que pueden posteriormente modificarse: corregirse, mejorarse, repensarse, etc. La evaluación es, ante todo, un mecanismo de retroalimentación.
PROPÓSITO DE LOS CRITERIOS DE EVALUACIÓN
- El propósito de los criterios de evaluación está vinculado con el propósito de la evaluación, esto es, determinar el mérito, el valor o la importancia de una intervención. Cada criterio supone un lente o una perspectiva diferente a través de la que puede verse la intervención. En conjunto, los criterios ofrecen un panorama más completo de la intervención, su proceso de ejecución y sus resultados.
- Los criterios desempeñan una función normativa, en conjunto, describen las características que se esperan de las intervenciones, deben ser pertinentes para el contexto, ser coherentes con otras intervenciones, alcanzar sus objetivos, producir resultados de manera eficiente y dar lugar a efectos positivos duraderos.
- Los criterios también se utilizan en ámbitos distintos a la evaluación para el seguimiento y la gestión de resultados, así como para la planificación estratégica y el diseño de intervenciones.
- Asimismo, pueden utilizarse para examinar los procesos (¿cómo se produce el cambio?) y los resultados (¿qué ha cambiado?). Todos los criterios pueden utilizarse para evaluar la situación “antes, durante y después” de una intervención
Fuente: CARLOS A BOSHELL NORMAN