Que levante la mano todo aquel que se desempeña en gestión de riesgos y que haya relacionado su área, rol o función con el término “aburrido”.
Generalizando (algo que se sabe, no es conveniente), diremos que los gestores de riesgos tienden al pesimismo; que las personas de cumplimiento normativo son alarmistas; que los auditores son unos aguafiestas y que la gente de control interno es… bueno, sí, controladora.
Quizás los apasionados de verdad, los que entienden la profundidad e impacto de su labor y su aporte en términos de valor al negocio dirán otra cosa; el problema acá es que no pocos directivos piensan de aquella forma.
Como resultante, la gestión de riesgos es una disciplina mal comprendida y no apreciada... hasta que ocurre un desastre; es entonces que la gestión de riesgos pasa a ser, para la mayoría, una tarea laboriosa y costosa, casi un "mal necesario", dada la circunstancia de la materialización.
Pero los entornos laborales cada vez más volátiles demuestran que la gestión de riesgos nunca ha sido tan importante. Aún así, los directores de riesgo luchan por hacerse escuchar, sin dejar de luchar contra las presiones comerciales en el corto plazo.
En este artículo presentaremos un marco de gestión de riesgos organizacionales innovador que pretende cambiar esta narrativa entorno de la función de la gestión de riesgos, y que se basa en tres acciones:
- Diseñar controles proporcionales a los riesgos en juego
- Analizar las lecciones del éxito (sí, leíste bien, “éxitos”, no fracasos); y
- Utilizar la gestión de riesgos para impulsar y proteger el desempeño organizacional.
Sin más, entremos en materia…
La gestión de riesgos positiva es proporcional
Proporcionalidad significa que los pequeños riesgos requieren poca preocupación y solo los grandes riesgos exigen gran atención. Nada nuevo aquí, ¿cierto?
Sin pretender caricaturizarlo, los riesgos diarios son aceptables: olvidar adjuntar el correo electrónico, no invitar a un miembro a una junta, pagar dos veces una factura de costo discreto, no cumplir con la fecha límite de un informe interno, etc. Errores y deslices como estos dan cuenta de lo dinámico del entorno laboral; son descuidos comprensibles.
Por el contrario, los riesgos críticos merecen mayor atención: un enlace de phishing que es la puerta de entrada para un ciberataque a escala corporativa, la pérdida de propiedad intelectual clave en una innovación que va a salir a mercado, no renovar un permiso de operación en una planta que tiene todo para producir, excepto dicho permiso, y por tanto para, etc.
Descuidar los peligros reales cuesta millones, dolores de cabeza y vidas, y es entonces cuando lamentamos no haber sido más “aguafiestas”, más “controladores”… más “aburridos”.
Con todo, las grandes organizaciones a menudo calculan mal sus riesgos, y son los incidentes más pequeños los más frecuentes, lo que les da visibilidad por su frecuencia, pero poca prioridad.
De una muestra de 500 000 pérdidas operativas en bancos a lo largo de varios años, los datos muestran que los incidentes de la categoría de menor tamaño son los más frecuentes, con 61% de ocurrencia, pero también que son los menos dañinos en general, sólo un 6% del impacto total de las pérdidas.
El daño real proviene de los incidentes más grandes y raros: cada año, el 0.3% de los incidentes principales causan en promedio el 63% de las pérdidas totales. A pesar de este desequilibrio, los directores de riesgos y las organizaciones dedican más tiempo -y atención- a los pequeños problemas, en lugar de los de más impacto; atienden por cantidad (frecuencia de ocurrencia), no por calidad (impacto al negocio).
“Todo exceso es malo”, y aplica también en gestión de riesgos, encareciéndola. Por ejemplo, las medidas de ciberseguridad excesivas ralentizan las computadoras, los inicios de sesión y/o los permisos sobre documentos colaborativos; hacer double-check a cada pago y transacción toma tiempo que podría aprovecharse mejor para actividades estratégicas.
La clave acá es que la credibilidad proviene de la moderación: los gestores de riesgos son respetados cuando muestran pragmatismo y prudencia. Los directores de riesgos más competentes se preparan para escenarios graves y plausibles, mientras toleran contratiempos limitados.
La gestión de riesgos proporcional reduce las ineficiencias que surgen de los extremos del control: o demasiado o insuficiente. Ser demasiado cauteloso conduce a lentitud, rigidez y costos de oportunidad. Pero la desatención causa accidentes, inestabilidad y costos de remediación.
Hay que entender que los riesgos no financieros también tienen su relación riesgo-rentabilidad, tal como sus equivalentes financieros: ahorrar costos al eliminar algunos controles operativos para aumentar la productividad es un “retorno” de la gestión de riesgos operativos.
Los directores de riesgos efectivos, combinados con un liderazgo organizacional astuto, hacen crecer a las organizaciones: tiene definición sobre cuánto riesgo aceptar y la visión de los beneficios que persiguen. Nada nuevo aquí, tampoco: hablamos del apetito de riesgo.
La gestión de riesgos positiva celebra el éxito
Es buena práctica en gestión de riesgos analizar la causa-raíz de los incidentes, sobre todo aquellos con más daño potencial.
Pero bien dijo Rabindranath Tagore: “Si lloras porque se ocultó el sol, las lágrimas no te dejarán ver las estrellas”. La licencia poética viene como anillo al dedo: si nos centramos únicamente en las pérdidas pasadas y los posibles errores futuros, los directores de riesgo no reconocerán lo que ya se está haciendo bien, es decir, la detección y prevención de la causa-raíz de sus actuales éxitos.
Mirar retrospectivamente las causas de los fracasos es valioso -y quizás ineludible en nuestra industria- pero puede crear fricciones y pesimismo.
Reflexionar sobre las historias de éxito es inspirador. “¿Por qué triunfamos?” genera más entusiasmo por el análisis que “¿Por qué perdimos?”. Analizar los logros pasados es alentador y revelador: nos habla del valor que aportamos a la organización.
Los éxitos están ahí, pero solemos obviarlos: el lunes por la mañana, nadie destaca la migración que TI realizó sin problemas durante el fin de semana, ni se elogia la ausencia de quejas de los clientes, producto del desempeño eficiente del personal.
El sesgo de negatividad del cerebro humano significa que las experiencias negativas se graban en nuestra memoria más rápidamente y duran más que las positivas; y es que la gestión de riesgos parte de la planificación, ventaja evolutiva del ser humano, así que aquí vemos un elementos que pudiera referir a nuestro "cableado interno".
La reflexión deliberada sobre las victorias pasadas es un bienvenido contrapeso al enfoque habitual en gestión de riesgos sobre lo que salió mal.
Elogiar las buenas prácticas de gestión de riesgos refuerza los comportamientos ganadores, y los directores de riesgo positivos se convierten en mentores, no en aves de mal agüero. Bienvenida y aceptada, la gestión de riesgos se convierte en un activo estratégico que impulsa al crecimiento, a ganar más; bajo el enfoque pesimista, si bien le va, evita perder lo ganado hasta entonces.
La gestión positiva de riesgos protege el rendimiento
La gestión de riesgos es inseparable de la gestión del desempeño. La gestión positiva del riesgo tiene como objetivo aprovechar las ventajas de la incertidumbre y prevenir sus desventajas, en medida de lo posible.
Sueña en grande, arriesga en grande: correr riesgos es necesario, incluso deseable (a veces, hasta obligatorio). Pero hace falta método.
Los actores que son dobles de riesgo son excelentes gestores de riesgos, de lo contrario, no sobrevivirían a su primera película. Los emprendedores deben equilibrar la audacia con la prudencia, o estarán destinados al fracaso; sea por un riesgo perjudicial materializado o por la falta de haber tomado algún riesgo necesario.
Las organizaciones y los gobiernos deben vigilar y responder a las amenazas, o causarán estragos para ellos mismos y para los demás, como hemos presenciado demasiadas veces. Cuando la gestión de riesgos falla, las organizaciones fracasan. Desde el crack del 29 hasta la covid-19, los grandes colapsos tienen su origen en una mala gestión de riesgos.
La gestión de riesgos es una condición para la ambición: cuanto más ambicioso sea el objetivo, más importante será la gestión de riesgos para lograrlo. Los hoteles y resorts requieren procesos impecables para una experiencia de cliente satisfactoria; las fintech deben ser expertas en ciberseguridad para, primero, ganar la confianza de los usuarios y entonces sí, operar sin contratiempos; el sector salud depende de procedimientos impecables de tratamiento del paciente para sobrevivir (y hacer que sobrevivamos).
Con la creciente atención prestada al cambio climático, los reguladores financieros y los inversores como BlackRock, "dueña del mundo", esperan que las organizaciones comprendan, evalúen y comuniquen su exposición a los riesgos relacionados con el clima.
Sin embargo, lo que ahora se requiere para los riesgos relacionados con el clima es válido para todo nivel de exposición: para proteger su modelo de negocio y su desempeño, los gerentes deben supervisar todos los cambios relevantes en su entorno operativo.
Por ejemplo, las innovaciones de blockchain y las criptomonedas son más relevantes para los proveedores de plataformas de pago, mientras que las condiciones de extracción de cobalto y la disponibilidad de elementos de tierras raras son esenciales para el seguimiento de los productores de baterías de iones de litio.
La IA generativa asusta a muchos, pero si se usa bajo una gestión de riesgos adecuada, esta herramienta puede ser un fantástico impulso a la productividad que hay que adoptar en lugar de combatir.
Conclusión
Al ser positivos acerca de la gestión de riesgos, los profesionales pueden aportar una narrativa inspiradora a su disciplina, reconociendo el valor de asumir riesgos y la necesidad de proteger el desempeño. Un diálogo constructivo entre optimistas y pesimistas, entre los que se atreven y los que prefieren la cautela, es un potente catalizador para el logro de los objetivos organizacionales.
En la búsqueda del éxito y la felicidad, tanto en lo laboral como en lo personal, debemos decidir en qué podemos apostar y qué no podemos permitirnos perder.
Y de tanto hablar de riesgos, parece natural invitarte a que tengas en el radar a los más preocupantes, según miles de colegas, así que te invitamos a que descargues el ebook Perspectivas de riesgo para 2024; no para ponerte pesimista, sino para ser prudente respecto a los riesgos que requieren más recursos, ¡y no olvides lo que ya estás haciendo bien para evitar algunos de los que encontrarás en el descargable!