Desarrollo de un modelo comprensivo de madurez de prácticas de gestión de riesgos para municipios neerlandeses

Cienfuegos, Ignacio; Cienfuegos, Ignacio

doi:10.29265/gypp.v28i1.544

Serviços Personalizados

Journal

Artigo

Indicadores

Citado por SciELO
Acessos

Links relacionados

Similares em SciELO

Mais
Mais

Permalink

Gestión y política pública

versão impressa ISSN 1405-1079

Gest. polít. pública vol.28 no.1 Ciudad de México Jan./Jun. 2019

https://doi.org/10.29265/gypp.v28i1.544

Gestión regional y local

Desarrollo de un modelo comprensivo de madurez de prácticas de gestión de riesgos para municipios neerlandeses

Developing A Comprehensive Maturity of Risk Management Practices Model For Dutch Municipalities

Ignacio Cienfuegos¹
http://orcid.org/0000-0003-0784-6132

^¹ Profesor instructor del Departamento de Política y Gobierno de la Facultad de Ciencias Sociales, Universidad Alberto Hurtado. Tel: +056 02 2692 0200. Correo-e: icienfuego@uahurtado.cl.

Resumen:

Al igual que en el sector privado, la gestión de riesgos ha aumentado su popularidad en entidades públicas. Sin embargo, su correcta implementación puede ser difícil de lograr. El caso neerlandés es interesante, porque los municipios de los Países Bajos tienen un estatuto especial para la gestión de riesgos. Sin embargo, por innovador que parezca en el contexto público, hay cierta evidencia de las limitaciones a las que los municipios neerlandeses se han enfrentado al implementar prácticas de gestión de riesgos (^{Boorsma y Haisma, 2005}). Asumimos que los modelos de madurez podrían contribuir a la tarea de evaluar la implementación de prácticas de gestión de riesgos. Tomando en cuenta también las dificultades prácticas y fundamentales de los modelos actuales de madurez de gestión de riesgos, nos hemos esforzado, en particular, por explicar y también por adaptar este método a las características de tales entidades. Al aplicar el modelo mejorado de madurez de prácticas de gestión de riesgos a una muestra de municipios holandeses, encontramos respaldo empírico para la validez del constructo del modelo que proponemos, al igual que hallazgos relevantes para nuestro campo. En nuestra muestra descubrimos un patrón que indicaba que los municipios más grandes obtuvieron una mejor puntuación de madurez de prácticas de gestión de riesgos, es decir que implementaban prácticas de gestión de riesgos más sofisticadas. Además, descubrimos que las entidades que participaron en la parte empírica de nuestro estudio obtuvieron mejores resultados durante las primeras etapas y peores en las últimas dimensiones (“decisión y control de riesgos” e “implementación y evaluación de riesgos”). Mediante el análisis en profundidad de dos casos de nuestra muestra, también evaluamos posibles asociaciones entre “acuerdos organizacionales” y las puntuaciones de madurez de prácticas de gestión de riesgos. Aunque todavía consideremos que este modelo de madurez de prácticas de gestión de riesgos propuesto es un instrumento en desarrollo que requiere mejorías, también creemos que el modelo que proponemos podría ser un método pertinente para el diagnóstico de prácticas de gestión de riesgos de municipios neerlandeses, y también para influir en que estas entidades locales implementen correctamente la disciplina.

Palabras clave: gestión de riesgos; modelos de madurez; cambio organizacional y aprendizaje organizacional

Abstract:

As in the private sector, risk management has gained also increasing popularity by public entities. Nonetheless, the correct implementation of risk management might be a difficult task to accomplish. The Dutch case is an interesting example, since municipalities in the Netherlands have a special bylaw for risk management. However, as innovative as it might seems for the public context, there would be some evidence of the limitations that municipalities in the Netherlands have faced in the implementation of risk management practices (^{Boorsma and Haisma, 2005}). We consider that maturity models could contribute on the task of assessing the implementation of risk management practices. Taking to account also the fundamental and practical difficulties found in current maturity of risk management models, we have made significant efforts to explain and also adapt this method to the characteristics of these entities. When applying the improved maturity of risk management practices model to a sample of municipalities, we found empirical support for the construct validity of our proposed model, as well as relevant findings for the field. We discovered in our sample a pattern indicating that larger municipalities have a higher maturity of risk management practices score, thus implemented more sophisticated risk management practices. In addition, we found that the entities that participated in the empirical part of our study, had higher scores in the first stages while obtaining lower scores in the last dimensions (“risk decision and control” and “risk implementation and reviewing”). Through the analysis of two cases of our sample, we also evaluated possible associations between “organizational arrangements” and the maturity of risk management practices scores. Even though we still considered this proposed maturity of risk management practices model a developing method that need additional enhancements, we also believe that our proposed model could be a pertinent method for the diagnosis of risk management practices of Dutch municipalities, as well as to influence the correct implementation of the discipline by these local entities.

Keywords: risk management; maturity models; organizational change and organizational learning

Introducción

Este artículo se basa en el supuesto de que la disciplina de la gestión de riesgos, en especial su perspectiva integrada, puede contribuir a que los municipios economicen pérdidas financieras, prevengan la pérdida de vidas humanas y, en general, logren objetivos estratégicos, entre otras metas (^{Boorsma, 2006}). Los municipios han empezado a desarrollar “conciencia del riesgo”, en parte por los incidentes que han sufrido en el pasado y por la presión que puedan estar recibiendo de su entorno. Sin embargo, parece que el nivel de implementación de procesos de gestión de riesgos en las organizaciones públicas podría ser muy heterogéneo y difícil de medir.^¹ En ese sentido, el caso neerlandés —aunque sea innovador para el sector público— podría ser un ejemplo excelente en el que la implementación de prácticas de gestión de riesgos ha tenido algunas limitaciones. Los municipios neerlandeses tienen desde 1995 un estatuto que incluye un párrafo sobre gestión de riesgos financieros y, a partir de 2004, otro sobre resiliencia financiera. Ese estatuto crea un escrutinio de la capacidad financiera disponible y una devaluación de los riesgos (la capacidad financiera requerida). Sin embargo, como señalan ^{Boorsma y Haisma (2005)}, los municipios neerlandeses podrían tener dificultades al implementar la mencionada regla de gestión de riesgos, contando con una brecha importante en cuanto a las mejores prácticas de la disciplina. Finalmente, los Países Bajos son un ejemplo clave de implementación de gestión de riesgos financieros en Europa (^{Holzmann y Jørgensen, 2001}). Es necesario mencionar que este trabajo se enfoca en la gestión de riesgos organizacionales y en sus consecuencias, aplicada al análisis municipal. En este sentido, no es una investigación sobre la gestión de riesgos aplicada a desastres naturales ni a otros niveles de gobierno.

Aunque, tal como señalan ^{Ibbs y Kwak (2000)}, no hay ninguna metodología aceptada para medir imparcialmente las prácticas de gestión en organizaciones, creemos que los modelos de madurez podrían contribuir a medir objetivamente y también a obtener el control de las prácticas de gestión de riesgos en los municipios neerlandeses. Sin embargo, y a partir de una revisión crítica de la bibliografía existente sobre modelos de madurez, y en particular sobre modelos de madurez de gestión de riesgos, hemos encontrado algunas dificultades. Nosotros sostenemos que los modelos de madurez de gestión de riesgos existentes son muy simplistas, diseñados para identificar rápidamente las debilidades de la implementación de gestión de riesgos. Además, los modelos de madurez y los modelos de madurez de gestión de riesgos existentes en la bibliografía se concentran en prácticas relacionadas con industrias privadas y, por lo tanto, no necesariamente toman en cuenta las características de entidades públicas locales. Siguiendo a ^{Wendler (2012)}, quien desarrolló una revisión bibliográfica sistemática de modelos de madurez, declaramos que hay poca reflexión teórica y validación empírica en los modelos actuales. Como consecuencia, los modelos de madurez carecen de respaldo teórico y empírico; basan su construcción sobre todo en la experiencia de expertos en gestión de riesgos (^{Bach, 1994}). En este sentido, es particularmente reconocible que los modelos de madurez de gestión de riesgos actuales carecen de una explicación que respalde su lógica. Por último, creemos que los modelos de madurez de gestión de riesgos disponibles están en general más preocupados por adaptar los principios de los modelos de madurez de capacidades, que por ser consistentes con los principios de la teoría de gestión de riesgos. Por lo tanto, declaramos que otra deficiencia de los modelos de madurez de gestión de riesgos revisados está relacionada con el hecho de que, en general, no toman en cuenta el llamado proceso o ciclo de la gestión de riesgos.

En concordancia con lo anterior, nosotros sostenemos que la bibliografía sobre cambio organizacional y aprendizaje organizacional podría darnos argumentos para construir un razonamiento teórico y un andamiaje formal para los modelos de madurez de gestión de riesgos, que afirmamos que hace falta en los modelos actuales. En específico, creemos que los modelos por etapas podrían brindarnos explicaciones para la perspectiva evolutiva y progresiva que sugiere la madurez de la gestión de riesgos (^{Damsgaard y Scheepers, 2000}; ^{Stubbart y Smalley, 1999}). Además, como han considerado otros investigadores (^{Strutt et al., 2006}; ^{MacGillivray et al., 2006a}), creemos que las contribuciones de ^{Argyris y Schön (1978)} sobre el bucle simple y doble podrían ayudarnos a desarrollar un fundamento teórico, en particular para las proposiciones de transición entre un nivel y otro. Esto último sería razonable si tomamos en cuenta que esa estrategia explica la adquisición de conocimiento por medio de etapas progresivas, una lógica que también está presente en el método de madurez de gestión de riesgos.

El objetivo general de este artículo es, entonces, medir el nivel de implementación de prácticas de gestión de riesgos en municipios neerlandeses. Nuestra meta es evaluar si los gobiernos locales están implementando correctamente las prácticas de gestión de riesgos relacionadas con el “párrafo de resiliencia”, y si cuentan con las mejores prácticas de gestión de riesgos prescritas en la bibliografía. Trataremos ademas de mejorar el sustento teórico del modelo de madurez de prácticas de gestión de riesgos, para adaptarlo a los requerimientos y características de los municipios neerlandeses. Finalmente, aunque nuestro intento por desarrollar un modelo de madurez de gestión de riesgos va a derivarse de modelos de madurez de gestión de riesgos existentes y de las investigaciones sobre el tema, no debería ser una extensión de esos modelos, sino más bien una interpretación novel de la forma de modelar la madurez de la gestión de riesgos en los municipios neerlandeses. Sin embargo, esta investigación debería considerarse un intento exploratorio y piloto para construir un modelo de madurez de gestión de riesgos apropiado para entidades públicas locales en los Países Bajos, un esfuerzo que deberá ser continuado por investigaciones posteriores.

Marco teórico

La perspectiva integrada de la gestión de riesgos

Como ya mencionamos, la gestión de riesgos ha desarrollado una enorme utilidad y popularidad entre científicos, así como entre practicantes y sus organizaciones. Aunque la gestión de riesgos siempre ha formado parte de la humanidad, tuvieron que pasar algunas décadas antes de que el método moderno se diseminara y sus beneficios estuvieran a la vista de quienes administran y toman las decisiones.

Podríamos afirmar que la máxima evolución del “arte de la gestión de riesgos”, como muchos autores la llaman, sería el método integral de la disciplina que a menudo se denomina gestión de riesgos empresarial (GRE), gestión de riesgos organizacional (GRO) o gestión de riesgos corporativos (GRC), entre otros.^² Según esta perspectiva, las organizaciones deben gestionar proactivamente los riesgos, monitoreando de manera continua y consciente los riesgos asociados con sus objetivos estratégicos. Esto último también supone una medición permanente de la severidad y evolución de los riesgos al interior de la organización, con el propósito de mantener un perfil de riesgos general alineado con los objetivos estratégicos de las organizaciones (^{Van Staveren, 2009}).

La perspectiva integrada de la gestión de riesgos se estructura en un proceso que incluye una secuencia de pasos lógicos llamada el “proceso de gestión de riesgos” o el “ciclo de gestión de riesgos”. Según ^{Van Staveren (2009)}, el proceso de gestión de riesgos se compone por lo menos de cinco etapas: determinar los objetivos, identificar los riesgos, evaluar los riesgos, tomar en cuenta alternativas y elegir los dispositivos de tratamiento de riesgos, y, finalmente, la etapa de implementación y evaluación. Como consecuencia —e independientemente de su nombre específico—, podemos ver que siempre habrá un primer paso en el que la entidad necesite establecer un objetivo claro para su programa de gestión de riesgos. El segundo paso de un proceso de gestión de riesgos estándar, está relacionado con la identificación de riesgos a los que podría enfrentarse la organización. La etapa de identificación normalmente se realiza utilizando varios instrumentos, tales como registros internos de la organización, la lista de control de la póliza de seguro, cuestionarios de análisis de riesgos, diagramas de flujo, análisis de declaraciones financieras, inspección de las operaciones de la empresa y entrevistas, entre otros (^{Vaughan, 1997}). Más tarde, la organización tendrá que medir el tamaño potencial de la pérdida y la probabilidad de que pueda suceder, con algún tipo de clasificación que ordene los riesgos por prioridad. El cuarto paso del proceso de gestión de riesgos tiene que ver con decidir las técnicas o estrategias que deberían usarse para lidiar con cada riesgo.

La perspectiva integrada de la disciplina pone gran énfasis en la gestión de ganancias potenciales (riesgos positivos), a la par que la de las pérdidas potenciales (^{AS/NZS, 2004}). Adicionalmente, el método moderno de gestión de riesgos hace hincapié en la necesidad de una mejora continua de la toma de decisiones y el desempeño (UK Standard, 2002). Establecer una infraestructura adecuada y aplicar un método lógico y sistemático para analizar el contexto, medir y evaluar riesgos, al igual que monitorear y comunicar esas amenazas relacionadas con cualquier actividad o función de la organización (UK Standard, 2002) también son prácticas distintivas presentes en la bibliografía y estándares de la perspectiva integrada de la gestión de riesgos. La participación y el liderazgo de la administración superior también se discute mucho en la bibliografía, para enfatizar que se requiere su apoyo en todas las fases del programa de gestión de riesgos, así como la asignación de responsabilidades en toda la organización (^{Airmic, 2002}). El requerimiento de un gestor de riesgos o similar también se menciona bastante, definido como un individuo con la responsabilidad de integrar y coordinar los esfuerzos de gestión de riesgos (ISO, 3100). La necesidad de desarrollar, usar y sistematizar información de gestión de riesgos también se incluye en las mejores prácticas de esta perspectiva moderna. Esto último incluye fuentes internas y externas de información, e identificar, capturar y comunicar información de gestión de riesgos en toda la organización de manera sistemática (^{COSO, 2004}). Según esta perspectiva, afirma el comité de la Comisión Treadway de Patrocinio de Organizaciones (^{COSO, 2004}), la información de gestión de riesgos se requiere en todos los niveles de la organización, así como durante el ciclo de gestión de riesgos.

La perspectiva regulatoria de gestión de riesgos para municipios neerlandeses: párrafo de resiliencia

En 1994, los Países Bajos establecieron una ley provincial con vistas a asegurar la autonomía financiera de las provincias (^{Yesilkagit y De Vries, 2002}). Un par de años después (1997), un mecanismo de control presupuestal (marco político de control financiero) la formalizo y detalló. Con ese instrumento, el Ministerio de Asuntos Internos esperaba controlar el presupuesto provincial de las distintas comunidades. El objetivo principal de esa ley era prevenir que las autoridades provinciales —debido a una mala administración financiera— cayeran en morosidad en términos financieros (^{Yesilkagit y De Vries, 2002}). Más tarde, en 2004, el BBV (besluit begroting en verantwoording) determinó que ese control presupuestal debería incluir un párrafo especial sobre resiliencia financiera, una suerte de reserva financiera para sucesos inesperados. Esta estrategia de gestión de riesgos se define como un cociente entre la capacidad financiera disponible en el municipio dividida entre la capacidad financiera requerida por la entidad (^{Boorsma, 2006}). Específicamente, el estatuto establece que el párrafo debería incluir por lo menos: a) un escrutinio de la capacidad financiera disponible, b) un escrutinio de los riesgos (la capacidad financiera requerida) y c) la política de resiliencia financiera con riesgos y medidas tomados en cuenta (^{Cienfuegos, 2011}).

Como discute ^{Boorsma (2006)}, el párrafo de riesgos supone una serie de pasos preliminares para tomar en cuenta la resiliencia financiera en el presupuesto municipal. El primer paso debería tratar de resumir los riesgos no cubiertos, es decir, los riesgos que no cubra ninguna otra reserva presupuestal ni sean transferibles fuera del municipio mediante un mecanismo de seguros. Después de identificar esos riesgos sin cubrir, esta regulación establece un segundo paso, que indica que el municipio debería calcular la pérdida financiera debida a esos riesgos sin cubrir. Por lo tanto, la suma de ese cálculo es la capacidad financiera requerida (CFR) (^{Boorsma, 2006}). Como tercer paso, el estatuto define la capacidad financiera disponible (CFD) como la suma de las reservas presupuestales libres disponibles, más el espacio disponible de ingresos fiscales adicionales, más las reservas ocultas. El cuarto paso considerado en este estatuto es el cálculo de la resiliencia financiera como tal, que es el cociente entre la capacidad financiera disponible (CFD) y la capacidad financiera requerida (CFR). Por lo tanto, los municipios que tengan un resultado positivo en este cálculo —en los que el cociente sea mayor de uno— están en una zona segura en términos de resiliencia financiera o capacidad de confrontar potenciales sucesos indeseables. Como quinto y último paso, esta regulación de control presupuestal establece que el municipio deberá desarrollar una política de gestión de riesgos explícita y oficial.

^{Boorsma y Haisma (2005)} realizaron una investigación específica sobre el párrafo de riesgos. Usaron datos de 130 municipios para determinar cómo se implementó esa estrategia de gestión de riesgos para organizaciones públicas locales en los Países Bajos. En dicha investigación encontraron algunas inconsistencias entre las prácticas municipales reales y las recomendaciones tal como se establecen en el estatuto, y también con las mejores prácticas de la gestión de riesgos. Por ejemplo, ^{Boorsma y Haisma (2005)} reportan que los municipios no identifican riesgos de manera sistemática. Concluyen que los municipios habían simplemente redactado una lista de riesgos, sin distinguir entre sucesos (como robo o incendios), políticas sujetas a riesgo (como política ambiental, hacienda, ambulancias municipales) y exposiciones a riesgo (como edificios, computadoras, empleados, ciudadanos, etc.). Este hallazgo, según ellos, puede estar relacionado con un aspecto ya mencionado: que los municipios neerlandeses sólo resumen e identifican riesgos “sin financiamiento”, un aspecto prescrito en el párrafo de resiliencia. Otra explicación posible discutida por estos autores podría ser atribuible a una falta de experiencia y “conocimiento” de la gestión de riesgos, lo que situa a los muncipios de los Paises Bajos como no muy maduros tomando en cuenta la implementación de esta disciplina (^{Cienfuegos, 2011}).

Modelos de madurez de la gestión de riesgos

Distintas industrias y disciplinas han usado modelos de madurez con el objetivo de medir el nivel de sofisticación de sus procesos organizacionales y de facilitar la implementación de las mejores prácticas. Discutida por ^{MacGillivray (2007)}, la metodología de la madurez ha tenido cada vez más aceptación e interés entre practicantes y académicos. Tan sólo en 2009 y 2010 se publicaron 62 artículos académicos, los cuales incluían 34 nuevos desarrollos sobre modelos de madurez (^{Wendler, 2012}). Según Andersen (2003, en ^{Pazderka 2008}), el concepto de madurez aplicado a organizaciones se refiere a un estado en el que la entidad está en perfectas condiciones de alcanzar sus objetivos. Como discuten ^{Maier, Eckert y Clarkson (2006)}, esta idea también significa madurez en el sentido de la noción de desarrollo desde un punto inicial hasta uno más avanzado. Siguiendo esa idea, una organización pasa por cierto número de etapas intermedias hasta ganarse la etiqueta de madurez. Siendo más específicos, según ^{Chiesa, Coughlan y Voss (1996)}; ^{Dooley, Subra y Anderson (2001)}, y ^{Kumta y Shah (2002)}, la madurez de un proceso se refiere al grado en el que un proceso o actividad es efectivo y está institucionalizado. Por lo tanto, si aplicamos esta noción a un municipio, se refiere a un estado en el que los procesos de esta organización pública local están en perfectas condiciones de lograr sus objetivos (^{Andersen y Jessen, 2003}). En específico, un municipio maduro, cuando se habla de gestión de riesgos, sería una organización perfectamente condicionada para lidiar con los riesgos a los que se enfrenta. Tal como afirman ^{Andersen y Jessen (2003)}, en realidad será muy difícil encontrar una organización totalmente madura; sin embargo, tiene sentido definir grados de madurez al medir la complejidad del proceso organizacional según alguna disciplina en especial.

A pesar de la capacidad para medir el proceso organizacional que tiene esta metodología, nosotros afirmamos que los modelos actuales de madurez de la gestión de riesgos no son apropiados para los requerimientos y especificaciones de las entidades públicas locales. Además, estos marcos teóricos casi siempre son representativos de compañías orientadas a grandes proyectos y tecnología de la información. También podríamos mencionar que, en nuestra opinión, los marcos teóricos revisados no siguen el ciclo de gestión de riesgos. Esto último es una dificultad importante, porque, tal como mostramos antes, la bibliografía prescribe que la gestión de riesgos se implemente mediante un proceso estructurado y científico que incluya una secuencia de pasos lógicos (objetivos de riesgo, identificación de riesgos, análisis de riesgos, decisión o control e implementación y revisión).

Por otro lado, también podemos observar una falta de respaldo teórico y empírico en la construcción de modelos de madurez de gestión de riesgos, que están sobre todo basados en la experiencia de expertos y practicantes (^{Bach, 1994}). En particular, reconocemos que no existe un fundamento teórico que pueda explicar la lógica subyacente a esta secuencia de pasos que la organización tendría que seguir para volverse consciente de una nueva práctica, para aprender de la gestión de riesgos gracias a la guía de este método especial hasta alcanzar un desempeño excelente. ^{Wendler (2012)}, quien hizo una evaluación sistemática de las investigaciones sobre modelos de madurez, confirma esta última observación. Además, como resultado de sus investigaciones, ^{Wendler (2012)} arguye que la mayoría de las investigaciones disponibles sobre modelos de madurez incluyen investigación conceptual; sin embargo, no llevan a cabo ninguna validación empírica de su estructura ni hacen una reflexión teórica de los modelos propuestos.

Cambio organizacional y aprendizaje organizacional

Hemos usado el marco teórico propuesto por ^{Van de Ven y Poole (1995)} como un dispositivo que nos asista en la tarea de identificar los supuestos teóricos de los modelos de madurez de gestión de riesgos. Consideramos en especial la perspectiva evolutiva del cambio, que interpreta el cambio en las organizaciones como algo acumulativo. De la misma manera en que se explica el cambio en la evolución biológica, según esta perspectiva, el cambio en las organizaciones ocurre por medio de un ciclo continuo de variación, selección y retención. La definición y descripción de un proceso evolutivo en el que formas y prácticas previas se mantienen por medio de la retención (^{Weick, 1979}, en ^{Van de Ven y Poole, 1995}), podría ser coherente con la característica progresiva de los modelos de madurez. Como consecuencia, esto supone que los cambios acumulativos están prescritos por medio de la implementación de prácticas específicas, y así retienen el conocimiento y prácticas adquiridas en el nivel de madurez previo. En ese sentido, podríamos clasificar teóricamente los modelos de madurez en lo que la bibliografía llama un modelo por etapas (^{Damsgaard y Scheepers, 2000}). Los modelos por etapas hacen hincapié en la perspectiva evolutiva del cambio al afirmar que los cambios en un contexto organizacional se producen como una sucesión de etapas en la que cada una es precursora de la siguiente, y la entidad aumenta su complejidad o perfección al pasar el tiempo, hasta alcanzar un estado definitivo. En esa perspectiva, los modelos por etapas consideran que las etapas progresivas son una optimización necesaria de las estructuras que la entidad tiene para su supervivencia. Así, cada etapa nueva representa un conjunto de rasgos superiores a los anteriores (^{Damsgaard y Scheepers, 2000}).

También hemos tomado en cuenta el trabajo seminal de ^{Argyris y Schön (1978)}, para hacer hincapié en los aspectos cognitivos de aprender nuevos marcos de referencia de manera evolutiva, tal como sugieren los modelos de madurez de la gestión de riesgos (^{Huber, 1991}). ^{Argyris y Schön (1978)} afirman que hay un bucle de retroalimentación simple que conecta resultados de acción detectados con estrategias organizacionales y supuestos que se modifican para mantener el desempeño organizacional dentro del rango establecido por las normas de la organización. En el caso de los municipios neerlandeses, y usando la taxonomía del párrafo de resiliencia descrito en su estatuto especial, podríamos decir que, al identificar riesgos que no han sido tratados, el municipio decide transferirlos a un tercero (seguros), abordando el problema según la teoría en práctica recomendada por el párrafo de resiliencia. Como era de esperarse, el municipio —o sus miembros—, no cuestiona la norma, tan sólo aplica la regulación de gestión de riesgos para municipios neerlandeses y actúa en consecuencia.

Por lo tanto, podría ser suficiente un aprendizaje de bucle simple, en el que la corrección de errores pueda proceder al interior de un marco normativo constante. Eso significa que lo que más le interesa es la efectividad, es decir, cómo lograr mejor las metas y objetivos existentes y cómo mantener mejor el desempeño organizacional dentro del rango especificado por las normas existentes. Sin embargo, como mencionan ^{Cheung-Judge y Holbeche (2010)}, en algunos casos, la corrección de errores requiere un ciclo de aprendizaje organizacional en el que las normas organizacionales mismas se modifiquen. La respuesta a esta situación es el concepto de aprendizaje de bucle doble, en el que se lleva a cabo una indagación para redefinir las normas organizacionales y reestructurar las estrategias y supuestos asociados con ellas (^{Cheung-Judge y Holbeche, 2010}). Por lo tanto, volviendo a nuestro ejemplo del párrafo de resiliencia para municipios neerlandeses, esto debería implicar que los miembros de la organización exploren y adopten nuevas estrategias para gestionar riesgos que sobrepasen lo que prescribe el párrafo de resiliencia. Como consecuencia, al cuestionar esta perspectiva estrecha de la gestión de riesgos y considerarla tan sólo una piedra fundacional de prácticas más sofisticadas e integradas de la disciplina, los municipios podrían hallar una oportunidad de hacer aprendizaje organizacional de doble bucle.

Nosotros sostenemos que esta estrategia de aprendizaje organizacional, y especialmente la perspectiva de ^{Argyris y Schön (1978)}, es un argumento fuerte a favor de explicar la adquisición de conocimiento y el proceso de aprendizaje por medio de etapas acumulativas, tal como suponen los modelos de madurez de la gestión de riesgos. Igual que otros investigadores (^{Strutt et al., 2006}; ^{MacGillivray et al., 2006b}), nosotros sostenemos que esta estrategia, en particular los conceptos de aprendizaje de bucle simple y doble (^{Argyris y Schön, 1978}), podrían entonces ayudarnos a encontrar lo que creemos que es una de las principales dificultades de los modelos de madurez de gestión de riesgos: la falta de explicaciones teóricas del instrumento, en particular, la lógica subyacente a la transición entre un nivel de madurez y el siguiente.

Metodología

La construcción de un modelo mejorado

Como mencionamos antes, ésta es una investigación exploratoria con orientación al diseño. Podríamos justificarlo considerando las pocas investigaciones disponibles en el campo (la construcción de un modelo especial de madurez de gestión de riesgos para municipios neerlandeses), y la falta de una teoría que pueda explicar las propuestas de medida de los modelos de madurez de gestión de riesgos (^{Hox y De Jong-Gierveld, 1990}). Tal como mencionan Becker et al. (2009, en ^{Wendler, 2012}), los modelos de madurez tienen que ser evaluados para demostrar que son apropiados; esta evaluación debe llevarse a cabo con métodos de investigación rigurosos. Por lo tanto, después de haber estudiado investigaciones previas sobre modelos de madurez de la gestión de riesgos que adaptaban este método a sectores particulares, concluimos que lo que se debe decidir para construir un modelo especial de madurez de la gestión de riesgos para municipios neerlandeses son las mejores prácticas de la disciplina. Esto último no sólo es consistente con la bibliografía sobre modelos de madurez de riesgos y los modelos de madurez en general que hemos evaluado (e.g., ^{Software Engineering Institute, 2007}; ^{Fraser, Moultrie y Gregory, 2002}; ^{MacGillivray et al., 2006a}), sino que también coincide con lo que sugiere la teoría del aprendizaje organizacional. En esa perspectiva, podríamos decir que el aprendizaje organizacional y el conocimiento en general se organizan y adquieren al interior de la organización por medio de procedimientos y prácticas estándar que garanticen que una organización en particular adquiera el punto de vista propio de la disciplina y aprenda a hablar su idioma (^{Holmqvist, 2003}). Por lo tanto, como presentamos en el diagrama 1, hemos usado las mejores prácticas de gestión de riesgos como las principales variables para construir nuestro modelo de madurez de la gestión de riesgos. Es decir que hemos trasvasado esas mejores prácticas elegidas de entre la bibliografía sobre gestión de riesgos a una escala de madurez de la gestión de riesgos. Esas variables representan las mejores prácticas individuales de gestión de riesgos, clasificándolas en las cinco dimensiones que representan las etapas del proceso o ciclo de la gestión de riesgos. Creemos que incluir el ciclo de gestión de riesgos en nuestras prácticas propuestas de madurez de gestión de riesgos es esencial, pues eso es lo que la bibliografía sobre gestión de riesgos prescribe para la implementación efectiva de la disciplina en una organización (e.g., ^{ISO 31000, 2004}; UK Standard, 2002; ^{COSO, 2004}; ^{Vaughan, 1997}; Culp, 2001). De manera similar a otras investigaciones que han construido modelos de madurez de la gestión de riesgos para distintas industrias (^{MacGillivray et al., 2007a}, ^2007b; Mayer y Fagundes, 2009), nuestro cuestionario también usará un método con escalas.

Fuente: Elaboración propia.

Diagrama 1 Ilustración de las variables (mejores prácticas de gestión de riesgos) consideradas para medir la madurez de las prácticas de gestión de riesgos en municipios neerlandeses

El diseño de este modelo de madurez construido deductivamente está basado, por un lado, en la bibliografía de modelos de madurez, modelos de madurez de riesgo y su aplicación en distintos campos y sectores (en especial las investigaciones previas de ^{MacGillivray et al., 2006a}, ^2006b; ^{Sarshar et al., 2000}; Mayer y Fagundes, 2009, ^{Strutt et al., 2006}; Shah, Siadat y Vernadat, 2009; Ren y Yeo 2004; Ongel, 2009; ^{Pazderka, 2008}). Por otro lado, está basado en un proceso deductivo de ^{Stubbart y Smalley (1999)}. Los modelos por etapas deberían brindar argumentos para las transformaciones abruptas que sugieren, hacer distinciones entre etapa y nivel, mencionar las variables incluidas en las distintas etapas, identificar las fuerzas causales detrás de las etapas y dar una definición clara del uso de modelos por etapas.

También hemos incluido algunas de las prácticas, descritas antes en este artículo, en las que discutimos los requerimientos específicos de los municipios neerlandeses según su regulación especializada (el párrafo de resiliencia). Combinamos en el diseño del cuestionario opciones del uno al cinco (1. Muy en desacuerdo, 2. En desacuerdo, 3. Ni de acuerdo ni en desacuerdo, 4. De acuerdo, y 5. Muy de acuerdo), al igual que preguntas dicotómicas de “sí o no” (1 = no y 5 = sí). De la misma manera, la escala se construyó deductivamente, al tomar en cuenta modelos de madurez de gestión de riesgos y su aplicación a otras industrias. Nuestros encuestados serán administradores superiores o autoridades del municipio (concejal, contralor, gestor de riesgos, planeador de riesgos senior, etc.), quienes suponemos tendrán conocimiento integral de las prácticas de gestión de riesgos implementadas en el municipio. En ese sentido, aunque pueda considerarse que esta perspectiva sea una encuesta de élites (^{Hambrick, 1981}; Cusumano y Takeishi, 1991, en ^{Enticott Boyne y Walker, 2008}), usaremos una variedad de informantes organizacionales en vez de sólo un informante más confiable (^{Phillips, 1981}, en ^{Enticott, Boyne y Walker, 2008}), lo que debería brindarnos información más acertada.

Derivamos la estructura del modelo piloto de madurez de gestión de riesgos que proponemos abstrayendo MGC y MGR en varias disciplinas e industrias (^{Kumta y Shah, 2002}; ^{Software Engineering Institute, 2007}; ^{Sharp, et al., 2002}; ^{Strutt, et al.,2006}; ^{Sarshar, et al., 2000}; ^{MacGillivray, et al., 2006b}; ^{Pollard, et al., 2004}; ^{Hamilton, et al., 2004}). Como consecuencia de la definición pionera de Humphrey (1989), más tarde adaptada por el Instituto de Ingeniería de Software (1993), los niveles de madurez de las prácticas de gestión de riesgos en nuestro instrumento piloto pueden definirse como: incompleta, realizada, gestionada, definida y optimizada (véase el diagrama 1). Por lo tanto, no innovamos en términos del formato del modelo de madurez de gestión de riesgos que proponemos, sino que nos basamos en investigadores previos en el tema. En ese sentido, siguiendo la lógica de los modelos de madurez, nuestro modelo propuesto toma en cuenta explícitamente que la ejecución del proceso esté completa como un aspecto que caracteriza la madurez del mismo (^{Kumta y Shah, 2002}). Esta jerarquía propuesta en nuestro modelo piloto de madurez de gestión de riesgos está basada en cómo aprenden y reaccionan las organizaciones al conocimiento obtenido (^{Argyris y Schön, 1978}), tomando en cuenta las prácticas del ciclo de gestión de riesgos. Nos basamos en específico en la investigación de ^{Strutt et al. (2006)}, quienes adaptaron las ideas de la teoría de la acción y el bucle simple y doble de ^{Argyris y Schön (1978)}, para discriminar a partir del nivel de madurez más alto en el modelo que proponemos. En esa perspectiva, en nuestro modelo, las organizaciones en el nivel más alto de madurez de prácticas de gestión de riesgos (nivel 5) serían entidades adaptativas, que aprenden continuamente y mejoran su proceso de gestión de riesgos como sugiere la perspectiva integrada de la disciplina, y cuestionan y revisan permanentemente su estrategia de gestión de riesgos (bucle doble). Por el contrario, los municipios de nivel 4 siguen una perspectiva de bucle simple: se concentran en volver más efectiva la estrategia de gestión de riesgos existente, corrigen errores en el marco de la misma teoría en uso. Además, tal como proponemos para la reconfiguración de los distintos niveles de nuestro modelo, la perspectiva de aprendizaje de los municipios en los niveles 1 a 3 sería un bucle abierto. Esto último significa que los municipios en esos niveles tienen un conocimiento vulnerable de la gestión de riesgos, por lo que, cuando se cometen errores, la organización no aprende y los fracasos se repiten, al igual que las victorias.

También incluimos algunas variables de contexto en nuestros cuestionarios, las cuales exploraremos más a fondo en la parte empírica de nuestra investigación. Estas variables de contexto no se usarán para el cálculo de la madurez de las prácticas de gestión de riesgos, sino para investigar posibles asociaciones con las variables de contenido ya descritas. Queremos observar si el municipio es miembro del círculo de expertos en gestión de riesgos del Ministerio del Interior y de Primo Nederland. La justificación para incluir estas dos variables en especial está relacionada con el hecho de que estas organizaciones de expertos podrían considerarse fuentes de conocimiento de gestión de riesgos. Esto es porque este tipo de vínculos podría dar acceso a información especializada sobre gestión de riesgos y distribuir el conocimiento de la disciplina por medio de sus miembros. Eso es lo que la bibliografía llama aprendizaje interorganizacional, cuando las entidades aprenden nuevos marcos de referencia mediante la interacción con sus pares y la promoción de un cambio adaptativo (Kraatz, 2012). Por otro lado, incorporamos un reactivo en la encuesta como variable de contexto, en el que investigamos la existencia de un gestor de riesgos en la organización. Esto también se discute en la bibliografía sobre gestión de riesgos, y se argumenta que un especialista en el campo es un componente necesario para implementar la disciplina, pues pondría la responsabilidad del programa de gestión de riesgos en el nivel estratégico de la entidad (^{COSO, 2004}). Podríamos decir que mediante una perspectiva de aprendizaje del cambio, los gestores tratan de entender un entorno ambiguo por medio de acciones iterativas (por ejemplo, recabación de datos) que contribuyan a comprender el contexto que enfrenta una entidad (amenazas y oportunidades) (Koberg, 1987; Lant y Mezias, 1992, en Rajagopalan y Spreitzer, 1997). Finalmente, incluimos un reactivo con el que planeamos observar a quién le reporta el gestor de riesgos o su equivalente. Para hacerlo, mencionamos en la encuesta seis opciones, que incluyen una gama que va del Consejo Municipal al director de finanzas del municipio. La intención es tener información adicional sobre la importancia relativa de la función de la gestión de riesgos en los municipios neerlandeses.

Fuente: Elaboración propia.

Diagrama 2 Resumen del diseño del modelo de madurez de la gestión de riesgos que proponemos, tomando en cuenta el proceso de aprendizaje descrito por ^{Argyris y Schön (1978)}

Resultados

En esta parte del artículo presentamos los resultados de la aplicación empírica del modelo de madurez de la gestión de riesgos que proponemos en una muestra de municipios neerlandeses. Se distribuyó la encuesta, que incluía las mejores prácticas de gestión de riesgos definidas, mediante una plataforma web estándar a todos los municipios existentes en el periodo durante el cual se recopilaron datos (430 municipios en 2010). Al final recibimos 140 respuestas y, como es común en la recopilación de datos por medio de una encuesta como ésta (Groves, et al., 2004), tuvimos algunos valores faltantes o sin observación. Después de descartar los casos con información incompleta de nuestra base de datos, terminamos con una muestra de 72 municipios. Para el cálculo de madurez de las prácticas de gestión de riesgos, se usaron valores medios para la puntuación de proceso y las puntuaciones de madurez general. Se clasificaron los puntajes de menor a mayor, con respecto a niveles de madurez del uno al cinco. Las puntuaciones se dieron con un solo decimal, para mostrar el progreso hacia el siguiente nivel de madurez de la gestión de riesgos. No se redondeó el cálculo de la puntuación de proceso y madurez general hacia el entero más cercano, con el propósito de indicar los municipios que se encuentran entre niveles de madurez. Los municipios de nuestra muestra obtuvieron una puntuación general de madurez de la gestión de riesgos en un rango entre 1.7 y 4.5.

En el cuadro 1 presentamos la puntuación general de la madurez de las prácticas de gestión de riesgos de la muestra, que calculamos como promedio de los valores medios de las etapas de gestión de riesgos, tomando cada una de sus dimensiones (etapas) como un solo elemento. Como consecuencia, calculamos el alfa de Cronbach para las cinco etapas de gestión de riesgos de nuestro modelo combinadas, y obtuvimos un valor de 0.87. Esto sugiere una consistencia interna general sólida para la escala. Basados en esto, concluimos que las prácticas de gestión de riesgos seleccionadas y los reactivos construidos podrían ser adecuados para evaluar la implementación de la gestión de riesgos en los municipios neerlandeses.

Cuadro 1 Escala de la puntuación general de madurez de las prácticas de gestión de riesgos de la muestra

Puntuación general (5 elementos)	Media	(Desviación estándar)
Contexto y objetivos	3.7	(0.53)
Identificación de riesgos	3.9	(0.78)
Análisis y medición de riesgos	3.3	(0.96)
Decisión y control	2.9	(0.85)
Implementación y evaluación	2.7	(0.83)
Puntuación general	3.3	(0.62)
Valor del alfa de Cronbach		0.87

Fuente: Elaboración propia.

Tomando en cuenta investigaciones previas, en particular la desarrollada por ^{Boorsma y Haisma (2005)}, que descubrieron una relación entre el tamaño de los municipios y la sofisticación de las prácticas de gestión de riesgos implementadas por éstos, también exploramos si el tamaño de las organizaciones que participaron en nuestro estudio está relacionado con el nivel de madurez de sus prácticas de gestión de riesgos. Como mostramos en el cuadro 2 y la gráfica 1, el grupo de las comunidades más pequeñas recibió la puntuación general más baja (2.9) para la madurez de sus prácticas de gestión de riesgos, mientras que el segmento con las comunidades más grandes recibió la puntuación general más alta para la madurez de sus prácticas de gestión de riesgos en nuestra muestra (3.4). Este hallazgo podría sugerir que el tamaño sí importa al tomar en cuenta la implementación de prácticas de gestión de riesgos más sofisticadas en municipios neerlandeses; se observa un patrón claro que indica que los municipios más grandes de nuestra muestra tienden a tener una puntuación general de madurez de sus prácticas de gestión de riesgos más alta.

Cuadro 2 Puntajes medios de la madurez de las prácticas de gestión de riesgos para las distintas etapas de gestión de riesgos y segmentos definidos

Etapas de gestión de riesgos	<20000	Entre 20000 y 50000	Entre 50000 y 100000	>100000	Total
Etapas de gestión de riesgos	(n = 10)	(n = 29)	(n = 19)	(n = 14)	(n = 72)
Contexto y objetivos
Media con desviación estándar	(3.4)	3.6 (0.56)	3.8 (0.50)	3.8 (0.51)	3.7 (0.53)
Identificación de riesgos
Media con desviación estándar	3.4 (0.66)	3.8 (0.81)	4.1 (0.62)	4.0 (0.85)	3.9 (0.78)
Análisis y medición de riesgos
Media con desviación estándar	2.7 (0.85)	3.0 (0.95)	3.8 (0.86)	3.5 (0.91)	3.3 (0.96)
Decisión y control
Media con desviación estándar	2.5 (1.02)	(2.6)	(3.3)	3.0 (0.72)	2.9 (0.85)
Implementación y evaluación
Media con desviación estándar	2.3 (0.78)	2.6 (0.96)	3.0 (0.59)	2.9 (0.73)	2.7 (0.83)
Puntuación general
Media con desviación estándar	2.9 (0.70)	3.2 (0.70)	3.6 (0.57)	3.4 (0.65)	3.3 (0.62)

Fuente: Elaboración propia.

Gráfica 1 Puntuación general de la madurez de las prácticas de gestión de riesgos según el tamaño de los municipios

En el cuadro 2 y la gráfica 1 también presentamos la puntuación de madurez de la gestión de riesgos para cada grupo de proceso, clasificada por tamaño de los municipios. Como podemos ver en el cuadro 2 y la gráfica 1, aunque la puntuación general del grupo más pequeño de comunidades en nuestra muestra sea relativamente baja (2.9), tuvieron una puntuación más alta en las áreas de proceso de objetivos de riesgos (3.4) e identificación de riesgos (3.4). Al observar el cuadro 2 y la gráfica 1, podemos ver asimismo que los municipios en el segundo segmento (entre 20 mil y 50 mil habitantes) tienen una puntuación de madurez de prácticas de gestión de riesgos distintiva en la misma etapa de gestión de riesgos (objetivos de riesgos con 3.6 e identificación de riesgos con 3.8). También vemos que los municipios del tercer segmento (entre 50 mil y 100 mil habitantes) tienen una puntuación relativamente mayor en los grupos de proceso contexto y objetivos (3.8), identificación de riesgos (4.1) y análisis de riesgo y métodos (3.8). Como podemos observar en el cuadro 2, los municipios en el grupo de las entidades más grandes (>100 mil habitantes) también tuvieron una puntuación relativamente más alta en las etapas de grupo de proceso contexto y objetivos (3.8), identificación de riesgos (4.0) y análisis y medición de riesgos (3.5). Hay que señalar el claro patrón que podemos observar en nuestra muestra, que podría indicar que las prácticas de las últimas etapas del ciclo de gestión de riesgos (decisión y control e implementación y evaluación) serían más difíciles de implementar que las primeras etapas del proceso de gestión de riesgos, incluyendo nuestro modelo propuesto de madurez de gestión de riesgos (contexto y objetivo, identificación de riesgos y análisis y medición). Sin embargo, es sorprendente percatarse de que este patrón sigue siendo notorio al analizar los segmentos de distintos tamaños, incluso entre comunidades grandes.

Aunque, como hemos mostrado en secciones previas, obtuvimos una puntuación general media de 3.3 para toda la muestra, la distribución de casos está en un rango entre 1.7 y 4.5. Como consecuencia, nos interesa en especial analizar a fondo dos casos seleccionados que están en ambos extremos de nuestra distribución, y revisar con cuidado las prácticas de gestión de riesgos que implementaron. Esto nos permitirá caracterizar una entidad inmadura (en el nivel 1, según nuestro modelo) y una organización casi madura (en el nivel 4).

El primer caso que evaluaremos es un municipio que denominamos entidad A, que obtuvo la puntuación general de gestión de riesgos más alta de nuestra base de datos, con una puntuación promedio de 4.5, en un nivel de madurez 4. El municipio A pertenece al grupo de las entidades locales grandes (entre 50 mil y 100 mil habitantes). El alto nivel de madurez de las prácticas de gestión de riesgos obtenido por este municipio en particular se debió a la aplicación de varias prácticas de gestión de riesgos que hemos considerado en el modelo que proponemos. Por consiguiente, este municipio había establecido papeles y responsabilidades para implementar la gestión de riesgos. Además, el municipio A registra riesgos materializados (pérdidas) y amenazas prevenidas, una práctica incluida en nuestra definición del proceso de identificación de riesgos. Como era de esperarse para una entidad relativamente madura, el municipio A menciona en su política qué instrumento usa para el análisis y medición de riesgos, y también tiene acceso y usa apoyo externo para el análisis de riesgos. De manera similar, en este municipio, la evaluación de riesgos está a cargo de la unidad financiera o el departamento de seguros (Afdeling Financiën de Verzekeringen). Además, el municipio A determina respuestas de riesgos acordes con el párrafo de resiliencia (weerstandsparagraaf), por lo que reserva recursos financieros para sucesos futuros sin financiamiento. Aunque no sea totalmente inesperado, hay que señalar que el municipio A menciona explícitamente en su política qué medidas se toman para cada riesgo específico y también adopta una combinación de opciones de tratamiento de riesgos. Considerando su alto nivel de madurez, fue sorprendente ver que el municipio A no tiene un presupuesto especial designado para la implementación de un control o respuesta específica de gestión de riesgos, ni para la mejora de prácticas de gestión de riesgos (capacitación). Esto último, según ^{Huber (1991)}, facilita el aprendizaje organizacional, pues desarrolla una comprensión uniforme de la interpretación de la disciplina de la gestión de riesgos (la teoría organizacional en uso). Sin embargo, esta entidad sí tiene un sistema de gestión de riesgos para almacenar, analizar y distribuir información de gestión de riesgos. Esto último también concuerda con lo que hemos visto en la parte teórica de esta tesis: hay más aprendizaje organizacional cuando más componentes de la organización obtienen este conocimiento y lo reconocen como potencialmente útil. Por lo tanto, es fundamental desarrollar una memoria organizacional, por medio de la cual el conocimiento se deposite y disemine como procedimientos y rutinas, al igual que la información no rutinaria (^{Huber, 1991}).

En otros aspectos que no se consideraron en el cálculo del nivel de madurez de las prácticas de gestión de riesgos, pero que serían variables interesantes para análisis posteriores, podemos mencionar que quien contestó la encuesta en el municipio A fue el coordinador de gestión de riesgos, con un nivel educativo de maestría. Además, este municipio ha implementado una unidad especial para la gestión de riesgos y es miembro del círculo de expertos en gestión de riesgos del Ministerio del Interior y de Primo Nederland. La participación de este municipio en estas dos organizaciones también podría sugerir una fuente importante de conocimiento para la entidad A, lo que explica en parte su alto nivel de madurez de prácticas de gestión de riesgos, si aceptamos como válido lo que sugiere la bibliografía sobre aprendizaje interorganizacional: que los vínculos en redes brindan acceso a información y flujos de conocimiento (Schulz, 2012) para las organizaciones por medio de la interacción con sus pares, lo que promueve el cambio adaptativo (Kraatz, 2012). Como consecuencia, el respaldo externo en la etapa de implementación podría contribuir a adquirir el nuevo marco de referencia, al intervenir en la teoría en uso y las creencias de la organización (bucle doble). Hay que considerar aquí que cuando se preguntó si la entidad tenía un gestor de riesgos, el encuestado declaró: “De momento tenemos dos, uno en proyectos y otro en el departamento de finanzas-contraloría”. En la gráfica 2 mostramos una representación de las puntuaciones en cada proceso o etapa de gestión de riesgos para esta entidad en particular.

Fuente: Elaboración propia. CO significa contexto y objetivos; ID, identificación de riesgos; AM, análisis y medición; DC, decisión y control, e IMR, implementación y evaluación.

Gráfica 2 La puntuación de la madurez de las prácticas de gestión de riesgos del caso A en los distintos grupos de procesos

El otro caso analizado, que denominamos municipio B, se encuentra en el segmento de municipios con entre 20 mil y 50 mil habitantes. El municipio B obtuvo una puntuación general de madurez de 1.7, y por lo tanto fue clasificado como nivel 1, según nuestro modelo propuesto de madurez de gestión de riesgos. Como era de esperarse, al desarrollar su política de gestión de riesgos, el municipio B no establece papeles ni responsabilidades a nivel estratégico ni operacional. Además, esta entidad no tiene un objetivo definido para su programa de gestión de riesgos. En el proceso de identificación de riesgos, el municipio B no identifica elementos de oportunidad ni posibles daños a terceros, sólo se concentra en identificar riesgos regulares. Además, el municipio B no mide riesgos para determinar sus consecuencias y probabilidad. Este municipio tampoco tiene un proceso formal de análisis de riesgos: lo realiza de manera intuitiva. Adicionalmente, el encuestado en este municipio declaró lo siguiente respecto al cálculo del párrafo de riesgos: “Por el momento sólo se presta atención al tamaño de las reservas”. Esto sólo demuestra poca comprensión del estatuto específico y de la disciplina de la gestión de riesgos en general. En cuanto a la determinación de las respuestas para sucesos de riesgo futuros, la entidad B sólo desarrolla respuestas para lidiar con riesgos puros y para cumplir el párrafo de resiliencia, reservando recursos financieros para sucesos futuros sin financiamiento. Como también era predecible, el municipio B toma decisiones de gestión de riesgos basado en experiencias pasadas con casos similares. Esta entidad tampoco tiene un presupuesto designado para implementar la gestión de riesgos (capacitación, asesoría, sistemas, etc.). Por lo tanto, el municipio B no tiene un programa de capacitación sobre gestión de riesgos que pueda contribuir al proceso de aprendizaje de la organización. En cuanto a otra parte importante del proceso de evaluación de la implementación y retroalimentación, la entidad B no lleva a cabo auditorías regulares en el municipio. También tenemos que declarar que quien contestó el cuestionario en el caso del municipio B fue un gestor de seguros. Finalmente, este municipio no cuenta con una unidad especial para la gestión de riesgos ni es miembro del círculo de expertos en gestión de riesgos del Ministerio del Interior ni de Primo Nederland, por lo que no cuenta con los beneficios de obtener conocimiento de primera mano (marco de referencia) de gestión de riesgos por medio de esas organizaciones especializadas (véase la gráfica 3, en la que presentamos las puntuaciones medias de este municipio).

Fuente: Elaboración propia. CO significa contexto y objetivos; ID, identificación de riesgos; AM, análisis y medición; DC, decisión y control, e IMR, implementación y evaluación.

Gráfica 3 La puntuación de la madurez de las prácticas de gestión de riesgos del caso B en los distintos grupos de procesos

En estos dos casos descritos hemos mostrado que, además de la implementación particular de las prácticas definidas en todos los niveles del ciclo de gestión de riesgos, había actividades adicionales en nuestro cuestionario relacionadas con la participación de los municipios en el círculo de expertos en gestión de riesgos del Ministerio del Interior, la membresía en Primo Nederland y tener la función de un gestor de riesgos en las organizaciones, aspectos que consideramos dignos de medir en el diseño de nuestro cuestionario, pues podrían tener alguna influencia en el proceso de aprendizaje del municipio. Aunque no podemos suponer ninguna generalización al observar los casos A y B, deberíamos seguir analizando estas prácticas en particular como una explicación adicional posible del nivel de madurez de las prácticas de gestión de riesgos obtenido por los municipios de nuestra muestra.

Conclusiones

Siguiendo la tendencia de organizaciones de casi todos los sectores, algunas entidades públicas, como los municipios, también han empezado a desarrollar conciencia de la gestión de riesgos en las últimas décadas. Este proceso, relacionado con la presión de un entorno más demandante y los incidentes que han sufrido estas organizaciones, ha provocado el desarrollo de estándares especiales y el diseño de políticas de gestión de riesgos por parte de los gobiernos centrales.

Los municipios neerlandeses, un caso innovador para el contexto público, cuentan con un estatuto distintivo sobre gestión de riesgos. Esa regulación exige que los municipios consideren la resiliencia financiera en su presupuesto, para confrontar posibles riesgos sin financiamiento. Para cumplir este estatuto, los municipios deberían tener por lo menos un método para identificar los riesgos sin financiamiento y mencionar las medidas a tomar para tales riesgos. Sin embargo, podría haber alguna evidencia que indique que los municipios neerlandeses se enfrentan a ciertas dificultades en la implementación de prácticas de gestión de riesgos (^{Boorsma y Haisma, 2005}).

Aunque no haya una única metodología aceptada para medir de manera imparcial las prácticas de gestión (^{Ibbs y Kwak, 2000}), creemos que los modelos de madurez de la gestión de riesgos podrían contribuir a la tarea de evaluar la implementación de las prácticas de gestión de riesgos en municipios neerlandeses con objetividad. Sin embargo, después de evaluar los modelos actuales de madurez de gestión de riesgos, llegamos a la conclusión de que tienen ciertas limitaciones. En primer lugar, estimamos que no son adecuados para los municipios neerlandeses, pues la mayoría se concentra en una estrategia de gestión de riesgos por proyectos. Además, afirmamos que, en general, los modelos de madurez de la gestión de riesgos no responden a la perspectiva integral o integrada de la gestión de riesgos. Asimismo, argumentamos que la mayoría de los modelos de madurez de la gestión de riesgos existentes no toman en cuenta el llamado ciclo de gestión de riesgos en su estructura. En efecto, es necesario entender que podría haber poca evidencia a favor de la idea de que los cambios en los municipios sucederían según un camino tan determinista y lineal. Así que, tomando en cuenta otros autores (^{Phelps, Adams y Bessant, 2007}), habría una incongruencia entre la conceptualización normativa del cambio que sugieren los modelos de madurez y la evidencia de que el cambio radical suele caracterizarse por retrasos y oscilaciones. Por otro lado, los modelos de madurez de la gestión de riesgos como el que proponemos consideran una etapa final (nivel 5), en la que el municipio está caracterizado como una entidad adaptativa y flexible, siempre en busca de formas innovadoras de lidiar con sus riesgos y consciente del contexto en el que se desempeña. Como ya mencionamos, consideramos las proposiciones del análisis de bucle doble de ^{Argyris y Schön (1978)}, apropiado para explicar la transición a este nivel maestro de la gestión de riesgos. Esto también podría explicarse usando otros marcos teóricos, como la teoría de juegos, la teoría del caos y la teoría de la complejidad, entre otros, que apoyen una perspectiva del cambio drástica. Para terminar, creemos que los modelos actuales de madurez de la gestión de riesgos carecen de reflexiones teóricas sobre sus conceptos de madurez y no suelen estar validados (^{Wendler, 2012}), ya que basan sus proposiciones sobre todo en la experiencia de los expertos.

Por consiguiente, en este artículo nos hemos esforzado por responder a las limitaciones de los modelos de madurez de gestión de riesgos, pues creemos que pueden ser un instrumento pertinente para la evaluación de procesos de gestión de riesgos en municipios neerlandeses, con lo que también influyen en que estas organizaciones implementen las mejores prácticas de gestión de riesgos. Para construir un modelo revisado de madurez de la gestión de riesgos, usamos un método orientado al diseño, con el que primero identificamos las variables principales del modelo propuesto deductivamente. Con el propósito de explicar la lógica evolutiva dada por supuesto en los modelos de madurez de la gestión de riesgos y las proposiciones de medición de los modelos de madurez de gestión de riesgos, usamos la teoría del aprendizaje organizacional, en particular la propuesta de ^{Argyris y Schön (1978)}.

La aplicación del modelo mejorado de madurez de gestión de riesgos en una muestra de 72 municipios brindó algunos hallazgos interesantes y respaldo empírico para la validez de nuestro modelo. El resultado del alfa de Cronbach (0.87) obtenido para la puntuación general de gestión de riesgos podría sugerir una consistencia general interna de la escala. De las cinco etapas de gestión de riesgos incluidas en el modelo propuesto, se construyeron escalas separadas, basadas en un gran número de variables distintas. Esas variables se midieron mediante una encuesta. Las puntuaciones generales también se calcularon en una escala de uno a cinco. La investigación empírica muestra que hay grandes diferencias en la madurez de las prácticas de gestión de riesgos de los municipios, con un mínimo de 1.7 y un máximo de 4.5 (con una puntuación promedio de 3.3). Confirmamos que los municipios en nuestra muestra todavía están lejos de las mejores prácticas de gestión de riesgos, en especial de la perspectiva amplia o integrada, en parte a causa de las limitaciones de sus mecanismos de retroalimentación (^{Argyris y Schön, 1978}).

Además, podemos identificar en nuestra muestra un patrón que indica que los municipios más grandes tienen una puntuación de madurez de prácticas de gestión de riesgos más alta, es decir, que implementaron prácticas de gestión de riesgos más sofisticadas. También es interesante señalar que las entidades que participaron en la parte empírica de nuestro estudio tuvieron puntuaciones más altas en las primeras etapas o dimensiones de nuestro modelo (objetivo de riesgos, identificación de riesgos y análisis y medición de riesgos), mientras que obtuvieron puntuaciones menores en las últimas dimensiones (decisión y control de riesgos e implementación y evaluación). Deberíamos tratar de explicar más a fondo este hallazgo en investigaciones futuras, pues no es algo que la bibliografía considere de forma explícita. Sin embargo, podemos suponer que las últimas dos etapas del ciclo de gestión de riesgos (las etapas de decisión y control de riesgos e implementación y evaluación) son las más difíciles de implementar en el mundo real. Esto puede defenderse si tomamos en cuenta que las entidades suelen definir objetivos para su programa de gestión de riesgos, identificar y después medir los riesgos que podrían ser relevantes para éstas. Sin embargo, pueden fracasar en la decisión de implementar medidas pertinentes para enfrentar los riesgos detectados, y en monitorear y evaluar esas decisiones.

Aunque, dado el tamaño de nuestra muestra, no podamos generalizar a toda la población, podemos afirmar que el tamaño de los municipios podría tener un efecto en el nivel de madurez de las prácticas de gestión de riesgos de las entidades, pues los municipios más grandes tienen prácticas de gestión de riesgos más sofisticadas (puntuaciones de madurez de la gestión de riesgos más altas). También hemos descrito las prácticas de gestión de riesgos específicas implementadas por dos casos seleccionados de nuestra muestra. El análisis profundo de estos dos casos nos permitió caracterizar una organización madura y una inmadura, desde el punto de vista de la implementación de la gestión de riesgos. Al analizar estos dos casos, descubrimos que los acuerdos organizacionales (los municipios miembros de redes específicas, como el círculo de expertos del Ministerio del Interior y la Organización Pública de Gestión de Riesgos Primo) podrían influir en las puntuaciones de madurez de las prácticas de gestión de riesgos. Esto último estaría acorde con lo que sugiere la teoría del aprendizaje organizacional: que los vínculos en redes brindan a las organizaciones acceso a la información y flujos de conocimiento (Schulz, 2001) mediante la interacción con pares, lo que promueve un cambio adaptativo (Kraatz, 1998). Además, la existencia de gestores de riesgos especiales puede haber tenido una influencia en el nivel de madurez de las prácticas de gestión de riesgos en el municipio A, pues un especialista de planta de gestión de riesgos en el municipio pudo haber contribuido al desarrollo de comprensiones uniformes de la disciplina de la gestión de riesgos (la teoría organizacional en uso) (^{Huber, 1991}).

Al no poder generalizar a partir de la evidencia de los dos casos presentados en este artículo, tendremos que analizar a detalle, en investigaciones futuras, el efecto de posibles asociaciones entre estos acuerdos organizacionales y la puntuación de madurez de las prácticas de gestión de riesgos para toda la muestra.

Creemos que nuestro estudio tiene varias contribuciones científicas y prácticas. Al establecer la meta de medir la implementación de las prácticas de gestión de riesgos, tratamos de adaptar y mejorar los modelos de madurez de la gestión de riesgos. Esto nos llevó a investigar algunas propuestas teóricas que pudieran responder a las dificultades encontradas en la bibliografía. Como menciona ^{Wendler (2012)}, quien desarrolló una revisión bibliográfica sistemática de modelos de madurez, más de la mitad de los artículos publicados en el campo siguen un diseño de investigación conceptual (describen el desarrollo de la madurez), pero carecen de reflexión teórica y de aplicación empírica de los modelos propuestos. Nuestra principal contribución científica ha sido estudiar e interpretar la lógica de los modelos de madurez de la gestión de riesgos e identificar teorías que podrían explicar su forma de razonar. También incorporamos en nuestro modelo las distintas etapas del ciclo de gestión de riesgos como las fuerzas principales de este proceso de aprendizaje evolutivo. Finalmente, validamos empíricamente nuestro modelo de madurez de la gestión de riesgos propuesto con una muestra de municipios neerlandeses, en los que evaluamos las prácticas de gestión de riesgos que han implementado. Como resultado, creemos haber llenado las lagunas de la bibliografía y logrado así una contribución relevante al campo.

Aunque todavía consideremos que el modelo de madurez de la gestión de riesgos que proponemos es un método en desarrollo que requiere mejoras adicionales, también creemos que el modelo que proponemos podría ser un método pertinente para el diagnóstico de prácticas de gestión de riesgos en municipios neerlandeses, al igual que para influir en la correcta implementación de la disciplina en estas entidades locales. Creemos que el modelo de madurez de la gestión de riesgos y los datos obtenidos en su aplicación empírica podrían brindar información valiosa para quienes tomen decisiones, no sólo en los municipios neerlandeses sino en provincias y juntas de aguas, pues también necesitan implementar prácticas de gestión de riesgos. A estas organizaciones podrían resultarles relevantes los resultados de nuestra tesis, ya sea como mecanismo comparativo (al compararse con segmentos y categorías similares) o para evaluar las políticas públicas de gestión de riesgos que las regulan. Por lo tanto, nuestra investigación podría contribuir a una discusión sobre la estrategia del párrafo de la resiliencia, pues aunque esa política quizá sea suficiente para la meta de prevenir que los municipios neerlandeses tengan una caída financiera importante debido a sucesos imprevistos, puede que no incentive la implementación de una perspectiva más amplia de la gestión de riesgos.

Referencias bibliográficas

Andersen, E., y S. Jessen (2003), “Project Maturity in Organizations”, International Journal of Project Management, 21(6), pp. 457-461. [ Links ]

Airmic (The Public Risk Management Association) (2002), A Risk Management Standard, Reino Unido: Airmic. [ Links ]

Argyris, C. (1982), Reasoning, Learning and Action, Individual and Organizational, San Francisco: Jossey-Bass. [ Links ]

Argyris, C. (1990), Overcoming Organizational Defenses: Facilitating Organizational Learning, Englewood Cliffs: Prentice-Hall. [ Links ]

Argyris, C. (1991), “Teaching Smart People how to Learn”, Harvard Business Review, 69(3), pp. 99-109. [ Links ]

Argyris, C. (1992), On Organizational Learning, Oxford: Blackwell. [ Links ]

Argyris, C. (2009), Critical Evaluations in Business and Management, Abingdon-on-Thames: Routledge. [ Links ]

Argyris, C., y D. Schön (1978), Organizational Learning: A Theory of Action Perspective, Reading: Addison Wesley. [ Links ]

Argyris, C., y D. Schön (1998), Organizational Learning II: Theory, Method and Practice, Reading: Addison Wesley. [ Links ]

AS/NZS (Australian/New Zealand Standard) (2004), Risk Management: AS/NZS 4360: 2004, Sídney y Wellington: Standards Australia International/Standards New Zealand. [ Links ]

Bach, J. (1994), The Immaturity of CMM, disponible en: (1994), The Immaturity of CMM, disponible en: http://ocw.mit.edu/NR/rdonlyres/Aeronautics-and-Astronautics/16-355JFall-2005/A832C947-2CB2-47BE-9947-50993932EC28/0/bach_reading.pdf [fecha de consulta: 19 de mayo de 2012]. [ Links ]

Becker, J. (2009), “Developing Maturity Models for IT Management: A Procedure Model and its Application”, Business & Information Systems Engineering, 1(3), pp. 213-222. [ Links ]

Bernstein, P.L. (1998), Against the Gods: The Remarkable Story of Risk, Nueva York: John Wiley & Sons. [ Links ]

Bloodgood, J.M. (2006), “The Influence of Organizational Size and Change in Financial Performance on the Extent of Organizational Change”, Strategic Change, 15(5), pp. 241-252. DOI:10.1002/jsc.765. [ Links ]

Boorsma, P.B. (2006), “Public Risk Management, with a Special Reference to Dutch Municipalities”, documento presentado en la Conferencia de Macao, China. [ Links ]

Boorsma, P.B., y G. Haisma (2005), Research Considering the Application of the Resilience Paragraph in Dutch Municipalities, Enschede: Universidad de Twente. [ Links ]

Burke, W. (1987), Organization Development: A Normative View, Reading: Addison Wesley. [ Links ]

Cheung-Judge, M., y L. Holbeche (2010), Organization Development: A Practitioner’s Guide for OD and HR, Londres: Kogan Page. [ Links ]

Chiesa, V., P. Coughlan, y C. Voss (1996), “Development of a Technical Innovation Audit”, Journal of Product Innovation Management, 13(2), pp. 105-136. [ Links ]

Cienfuegos, I. (2011), “Risk Management Policy in Dutch Municipalities: Understanding the Process, Identifying its Strengths and Visualizing the Possible Improvements”, Revista Enfoques, Ciencia Política y Administración Pública, IX(14), pp. 155-176. [ Links ]

COSO (Committee of Sponsoring Organizations of the Treadway Commission) (2004), Enterprise Risk Management: Integrated Framework, COSO. [ Links ]

Damsgaard, J., y R. Scheepers (2000), “A Stage Model of Intranet Technology Implementation and Management”, Information Systems Journal, 10(2), pp. 131-150. [ Links ]

Dooley, K., A. Subra, y J. Anderson (2001), “Maturity and its Impact on New Product Development Project Performance”, Research in Engineering Design, 13(1), pp. 23-39. [ Links ]

Drennan, L.T., y A. McConnell (2007), Risk and Crisis Management in the Public Sector, Abingdon y Nueva York: Rutledge. [ Links ]

Enticott, G., G.A. Boyne, y R.M. Walker (2008), “The Use of Multiple Informants in Public Administration Research: Data Aggregation Using Organizational Echelons”, Journal of Public Administration Research and Theory, 19(2), pp. 229-253. [ Links ]

Ettlie, J.E., y A.H. Rubenstein (1987), ‘‘From Size and Product Innovation”, Journal of Product Innovation Management, 4(2), pp. 89-108. [ Links ]

Fone, M., y P.C. Young (2000), Public Sector Risk Management, Oxford: Butterworth-Heinemann. [ Links ]

Fraser, P., J. Moultrie, y M. Gregory (2002), “The Use of Maturity Models. Grids as a Tool in Assessing Product Development Capability”, presentado en Proceedings of IEEE International Engineering Management Conference (IEMC), Cambridge, 19 y 20 de agosto. [ Links ]

Fritsch, M., y M. Meschede (2001), “Product Innovation, Process Innovation, and Size”, Review of Industrial Organization, 19(3), pp 335-350. [ Links ]

Hambrick, D.C. (1981), “Strategic Awareness within the Top Management Team”, Strategic Management Journal, 2, pp. 263-279. [ Links ]

Hamilton, P.D., S.J.T. Pollard, J.E. Strutt, B.H. Macgillivray, y S.E. Hrudey (2004), “Risk Analysis and Management in the Water Utility Sector: A Review of Drivers, Tools and Techniques”, Process Safety and Environmental Protection, 82(6), pp. 453-462. [ Links ]

Haveman, H.A. (1993), “Organizational Size and Change: Diversification and Loan Industry after Deregulation”, Administrative Science Quarterly, 38(1), pp. 20-50. [ Links ]

Holmqvist, M. (2003), “A Dynamic Model of Intra- and Interorganizational Learning”, Organizational Studies, 24(1), pp. 95-123. [ Links ]

Holzmann, R., y S. Jørgensen (2001), “Social Risk Management: A New Conceptual Framework for Social Protection, and Beyond”, International Tax and Public Finance, 8(4), pp. 529-556, disponible en: https://doi.org/10.1023/A:1011247814590 [fecha de consulta: 11 de marzo de 2010]. [ Links ]

Hox, J.J., y J. De Jong-Gierveld (1990), Operationalization and Research Strategy, Leiden: Swets & Zeitlinger. [ Links ]

Huber, G.P. (1991), “Organizational Learning: The Contributing Processes and the Literatures”, Organization Science, 2(1), pp. 88-115. [ Links ]

Ibbs, C.W., y H. Kwak (2000), “Assessing Project Management Maturity”, Project Management Journal, 31(1), pp. 32-43. [ Links ]

ISO 31000 (2009), Risk Management Principles and Guidelines, Ginebra: ISO. [ Links ]

Kumta, G., y M. Shah (2002), “Capability Maturity Model: A Human Perspective”, Delhi Business Review, 3(1), pp 1-14. [ Links ]

Lam, J. (2003), Enterprise Risk Management, From Incentives to Controls, New Jersey: John Wiley & Sons. [ Links ]

MacGillivray, B.H. (2007), “Benchmarking Risk Management Practice within the Water Utility Sector”, tesis doctoral, Cranfield University. [ Links ]

MacGillivray, B.H., P.D. Hamilton, J.E. Strutt, y S.J.T. Pollard (2006a), “Risk Analysis Strategies in the Water Utility Sector: An Inventory of Applications for Better and More Credible Decision-making”, Critical Reviews in Environmental Science and Technology, 36(2), pp. 85-139. [ Links ]

MacGillivray, B.H., S.J.T. Pollard, P.D. Hamilton, y R.A. Bradshaw (2006b), “Benchmarking Risk Management within the International Water Utility Sector. Part II: A Survey of Eight Water Utilities”, Journal of Risk Research, 10(1), pp. 105-123. [ Links ]

MacGillivray, B.H., J.E. Strutt, J.V. Sharp, P.D. Hamilton, y S.J.T. Pollard (2007a), “Benchmarking Risk Management within the Water Utility Sector. Part I: Design of a Capability Maturity Methodology”, Journal of Risk Research, 10(1), pp. 85-104. [ Links ]

MacGillivray, B.H., J.E. Strutt, J.V. Sharp, P.D. Hamilton, y S.J.T. Pollard (2007b), “Benchmarking Risk Management within the International Water Utility Sector. Part II: A Survey of Eight Water Utilities”, Journal of Risk Research, 10(1), pp. 105-123. [ Links ]

Maier, A.M., C.M. Eckert, y P.J. Clarkson (2006), “Identifying Requirements for Communication Support: A Maturity Grid-inspired Approach”, Expert Systems with Applications, 31(4), pp. 663-672. [ Links ]

Paulk, M.C., B. Curtis, M.B. Chrissis, y C.V. Weber (1993), “Capability Maturity Model, Version 1.1”, IEEE Software, 10(4), pp. 18-27. [ Links ]

Pazderka, M. (2008), Project Management Maturity Models: Towards Best Practices for Virtual Teams, Viena: Universidad Técnica de Viena. [ Links ]

Phelps, R., R. Adams, y J. Bessant (2007), “Life Cycles of Growing Organizations: A Review with Implications for Knowledge and Learning”, International Journal of Management Reviews, 9(1), pp. 1-30. [ Links ]

Phillips, L.W. (1981), “Assessing Measurement Error in Key Informants Reports: A Methodological Note on Organizational Analysis in Marketing”, Journal of Marketing Research, 18(4), pp. 395-415. [ Links ]

Pollard, S.J.T., J.E. Strutt, B.H. MacGillivray, P.D. Hamilton, y S.E. Hrudey (2004), “Risk Analysis and Management in the Water Utility Sector: A Review of Drivers, Tools and Techniques”, Process Safety and Environmental Protection, 82(6), pp. 453-462. [ Links ]

Risk Management Research and Development Program Collaboration (2002), Risk Maturity Level Development, INCOSE Risk Management Working Group/Project Management Institute Risk Management Specific Interest Group/UK Association for Project Management Risk Specific Interest Group. [ Links ]

Sarshar, M., R. Haigh, M. Finnemore, G. Aouad, P. Barrett, D. Baldry, y M. Sexton (2000), “SPICE: A Business Process Diagnostics Tool for Construction Projects”, Engineering, Construction and Architectural Management, 7(3), pp. 241-250. [ Links ]

Sharp, J.V., J.E. Strutt, J. Busby, y E. Terry (2002), “Measurement of Organizational Maturity in Designing Safe Offshore Installations”, Proceedings of the International Conference on Offshore Mechanics and Arctic Engineering, 2, pp. 383-390. [ Links ]

Siqueira, J. (2005), “A Model of Process Maturity: How to Maximize the Return on Investments in Quality and Productivity Improvements”, Río de Janeiro: IBQN, disponible en: http://www.ibqn.com.br [fecha de consulta: 21 de septiembre de 2012]. [ Links ]

Software Engineering Institute-Carnegie Mellon University (2006), CMMI for Development Version 1.2, Carnegie Mellon University, disponible en: http://www.sei.cmu.edu/cmmi/ [fecha de consulta: 6 de enero de 2010]. [ Links ]

Software Engineering Institute-Carnegie Mellon (2007), Capability Maturity Model, Integration (CMMI) Version 1.2 Overview, Carnegie Mellon University, disponible en: http://www.sei.cmu.edu/cmmi/ [fecha de consulta: 9 de febrero de 2013]. [ Links ]

Stubbart, C.I., y R.D. Smalley (1999), “The Deceptive Allure of Stage Models of Strategic Processes”, Journal of Management Inquiry, 8(3), pp. 273-286. [ Links ]

Strutt, J.E., J.V. Sharp, E. Terry, y R. Miles (2006), “Capability Maturity Models for Offshore Organizational Management”, Environment International, 32(8), pp. 1094-1105. [ Links ]

Todd, J.D. (1970), “Effective Risk and Insurance Management in Municipal Government”, Austin: Universidad de Texas en Austin-Escuela de Asuntos Públicos. [ Links ]

Van de Ven, A.H., y M.S. Poole (1995), “Development and Change in Organizations”, The Academy of Management Review, 20(3), pp. 510-540. [ Links ]

Van Staveren, M. (2009), Risk Innovation and Change, Enschede: Universidad de Twente. [ Links ]

Vaughan, E.J. (1997), Risk Management, Nueva Jersey: John Wiley & Sons. [ Links ]

Weick, K.E. (1979). The Social Psychology of Organizing, Reading: Addison-Wesley. [ Links ]

Wendler, R. (2012), “The Maturity of Maturity Model Research: A Systematic Mapping Study”, Information and Software Technology, 54 (12), pp. 1317-1339. [ Links ]

Yesilkagit, A.K., y J. De Vries (2002), “The Unanticipated Consequences of Decentralization and Reinvention: The Case of the Province of South Holland”, International Review of Administrative Sciences, 68(4), pp. 579-597. [ Links ]

¹Cuando se realizó esta investigación, no había informes disponibles acerca de la medición de la implementación de gestión de riesgos en municipios. Sin embargo, podemos encontrar varios estudios y sondeos en empresas privadas. Podríamos mencionar, por ejemplo, el Sondeo Comparativo de Gestión de Riesgos Empresarial (GRE) de 2008 de Price Waterhouse, que brindó información sobre la madurez del proceso y funciones de la GRE en Finland Enterprises, y fue llevado a cabo entre enero y marzo de 2008. Ese sondeo se realizó entre 26 de las mayores compañías de Finlandia y demostró que 69 por ciento de ellas tenían establecidos un proceso y función de GRE. Sin embargo, otro estudio de la Universidad Estatal de Carolina del Norte, llevado a cabo con más de 700 entidades durante el otoño de 2008, descubrió que 44 por ciento de las organizaciones encuestadas no realizan una evaluación formal de riesgo estratégico, de mercado ni industrial, y que 55 por ciento señaló que no guardan documentación de riesgos de manera formal.

²Véanse ^{Bernstein (1998)}, ^{Vaughan (1997)}, ^{Lam (2003)}, ^{Fone y Young (2000)}, ^{Drennan y McConnell (2007)}, y muchos otros. ^{Lam (2003)} menciona otros términos para describir su estrategia; éstos incluyen: “gestor de riesgos amplios”, “gestor de riesgos global”, “gestor de riesgos integrado” y “gestor de riesgos holístico”.

Ignacio Cienfuegos. Doctor por la Universiteit Twente (Holanda), magíster en Gestión y Políticas Públicas (U. Adolfo Ibañez), MBA (IEDE, España) y Administrador Público (Universidad de Chile). Es director del Departamento de Política y Gobierno de la Universidad Alberto Hurtado. Con experiencia práctica en el sector público chileno, se ha desempeñado en cargos directivos en la Secretaría General de la Presidencia y en el Ministerio de Economía, entre otros. Evaluador del Programa de Formación de Capital Humano Avanzado Becas-Chile (Conicyt) en el Área de Políticas Públicas y Administración del Estado.

Recibido: 29 de Agosto de 2016; Aprobado: 30 de Mayo de 2018

Este es un artículo publicado en acceso abierto bajo una licencia Creative Commons

Serviços Personalizados

Journal

Artigo

Indicadores

Links relacionados

Compartilhar

Gestión y política pública

versão impressa ISSN 1405-1079

Gest. polít. pública vol.28 no.1 Ciudad de México Jan./Jun. 2019

https://doi.org/10.29265/gypp.v28i1.544