Nuevas formas de ver el riesgo en suministros

A pesar de que las empresas afirman estar atendiendo adecuadamente el tema de riesgo, existen aún muchas áreas de oportunidad en el proceso y nuevos retos como el que trae la ciber-seguridad.

La presión por lograr ahorros, puede forzar a las organizaciones a correr riesgos innecesarios y que a la larga resulten en un costo mayor para la organización. Los CEOs son necesariamente tomadores de riesgo cuando ven la posibilidad de crecer los ingresos y las utilidades, por lo que para ellos invertir en la gestión del riesgo es algo costoso que debe ser minimizado, esto es algo que el responsable del riesgo debe enfrentar dentro de su organización.

La continuidad del suministro es un elemento clave para el éxito de los negocios, esto implica a simple vista prevenir cuellos de botella, aspectos logísticos o interrupciones, sin embargo también se deben de considerar asuntos legales y regulatorios, fluctuaciones de precios o aspectos geopolíticos que son elementos claves en la gestión del riesgo y sobre los cuales no se pone tanta atención.

En un estudio de Hackett Group, se identificaron como los mayores retos, para que el área de abastecimiento establezca un programa de gestión de riesgo, los siguientes:

  1. Se reacciona ante los problemas en lugar de anticiparlos.
  2. Se tiene la responsabilidad pero no los recursos o autoridad para atender el tema.
  3. No se aprueban fácilmente inversiones para proteger a la organización de riesgos.
  4. Como no ha pasado nada, el tema no es relevante.
  5. No se mide el riesgo como parte del proceso de selección de los proveedores.

La gestión del riesgo debe identificar de forma sistemática y activa los eventos que tienen el potencial de afectar negativamente el suministro. La información se usa para evitar los eventos o al menos reducir su frecuencia, probabilidad y severidad. Tengamos claro que la gestión del riesgo también implica identificar las oportunidades y se debe actuar acorde a esto.

Un programa de gestión del riesgo del suministro se sustenta en nueve principios:

  1. Se definen las metas generales del programa.
  2. Se recolecta información sobre los proveedores. Aspectos como nivel de gasto, desempeños, movimientos de precios, obligaciones contractuales.
  3. Monitorear la base de proveedores para identificar problemas y oportunidades.
  4. Crear planes de respuesta para eventos que pueden poner en riesgo a la empresa.
  5. Priorizar los esfuerzos de gestión de riesgo por categorías de proveedores, por complejidad e importancia.
  6. Identificar eventos potenciales de riesgo por categoría.
  7. Medir la exposición total al riesgo considerando la madurez del mercado, la complejidad de la solución y otros factores.
  8. Asignar un valor monetario a cada evento de riesgo.
  9. Refinar el plan considerando el impacto de los eventos conocidos.

Un análisis completo de riesgo es en esencia multidimensional y debe considera efecto individual y cruzado de al menos estos 4 factores:

  • Fiscales, legales, de seguridad, éticas o propias de la industria.
  • Internas: Productos, unidades de negocio, ubicaciones geográficas.
  • Del ecosistema: Cadena de proveedores, alianzas, operaciones tercerizadas, contratos.
  • Eventos por categorías: Proveedores, mercado, tecnología, etc.

En el caso particular de eventos originados por proveedores, podemos mencionar entre los más relevantes:

  • Falta de solvencia financiera.
  • Fallas en la calidad que originan interrupciones del suministro o “recalls”.
  • Degradación del desempeño.
  • Comunicación bajo una relación hostil entre las partes.
  • Cambios en la estructura como consecuencia de fusiones o adquisiciones.
  • Pérdida de datos relevantes.
  • Malas prácticas administrativas asociadas principalmente con sostenibilidad.

El tema de riesgo sobre el cual sigue creciendo la atención en la comunidad de suministros es el asociado con la ciber-seguridad, que se ha vuelto un tema que capta la alta dirección de muchas organizaciones.

Para atender la gestión de los ciber-riesgos, se recomienda que las empresas pongan atención en tres temas en particular:

  • La estructura de análisis y reporteo. Los responsables de TI usan reportes manuales y a un nivel muy general, lo que facilita la gestión del problema.
  • El enfoque. Los riesgos deben ser definidos en función de sus implicaciones a los procesos de negocio y no a nivel técnico para que sean comprendidos por el resto de la organización.
  • La oportunidad y consistencia. Los datos de diferentes áreas deben coincidir al explicar un evento de riesgo. Deben ser proactivos para que se puedan tomar acciones y no solamente un registro de eventos ocurridos.

Basados en datos oportunos, una infraestructura adecuada, gente preparada y aplicaciones en tiempo real, se debe diseñar un modelo de gestión que abarque diferentes niveles:

  • Centrarse en los activos críticos de la organización.
  • Cuidando el balance entre seguridad y agilidad.
  • Enfocados en respuestas efectivas.
  • Organización. Con las habilidades y procesos de decisión adecuados para una integración total de la empresa.
  • Centrada en generar una resiliencia operativa.
  • Socios de negocio. Con una cobertura a lo largo de la cadena de suministro.

El sistema de reporteo del sistema de gestión de riesgo es un elemento clave para la efectividad del modelo, debe poder transmitir de forma fácil las evaluaciones cualitativas y cuantitativas resultado de las metodologías aplicadas, los activos o procesos con mayor exposición al riesgo, ya sean equipos, accesos, personas o bases de datos así como también el nivel de madurez en la gestión del riesgo de la organización.

Para más referencias, consultar “Integrated Risk Management: A Playbook for Procurement”, escrito por Patrick Connaughton y Christopher Sawchuk, The Hackett Group, “Cyber risk measurement and the holistic cybersecurity approach” escrito por Jim Boehm, Peter Merrath, Thomas Poppensieker, Rolf Riemenschnitter, y Tobias Stähle.

Discuss this:

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.