La Gestión de Riesgos es una gran idea y un pilar básico para el Buen Gobierno de una organización. Los que creemos en ello estamos convencidos de que si se implementa y gestiona de manera correcta, un proyecto de Gestión de Riesgos añade un enorme valor a la organización. Sin
embargo, muchos de estos proyectos no avanzan más allá de su estatus inicial y, por tanto, terminan por convertirse en un activo infravalorado y susceptible de ser enajenado.
¿Cuales son, entonces, los motivos por los que fracasa un proyecto de Gestión de Riesgos? Para dar respuesta a esta pregunta es poco probable que podamos argumentar la existencia de un único factor. Por lo tanto, a continuación enumeramos una serie de razones que se encuentran vinculadas entre sí y que ofrecen una idea concreta de las principales causas que provocan el estancamiento de este tipo de proyectos. No obstante, entendemos que, dadas ciertas características específicas de cada una de las organizaciones de que se trate, puedan existir otras causas que
no identificamos aquí.
Principales factores que influyen en el fracaso:
Errores en la razón de ser. En primer lugar, es necesario plantearse por qué se tomó la decisión de
adoptar un sistema de gestión de riesgos en la organización. Seguramente existan muchas argumentaciones al respecto, pero únicamente si el motivo fue plantar la semilla para mejorar la gestión integral del negocio, entonces se recolectarán los resultados de éxito en el futuro. Demasiados programas de gestión de riesgos se han promovido por dar cumplimiento a obligaciones de carácter legal o regulatorio; si este fuera el caso, nos encontraríamos ante una de las razones más débiles, aquellas que se orientan a la "cultura del aprobado raspado" (el 4,5 de nota que se obtiene en el examen y que finalmente se convierte en el 5 después de la revisión).
Está claro que el Consejo (u órgano de gobierno) apoyará el proyecto (otra condición sine qua non) pero, desde luego, el proyecto será visto como un gasto necesario, un tipo de "impuesto revolucionario" por operar en un sector determinado de la economía o
por cotizar en un mercado determinado. En este caso, la Gestión de Riesgos se
convierte en un fin en sí mismo y no un medio para mejorar la toma de decisiones que afectan a la organización.
No se cuenta con el
apoyo de los órganos de gobierno: Como hemos precisado anteriormente, constituye una condición indispensable para que el sistema de gestión de riesgos funcione, e incluso si apuramos, para que
llegue a ver la luz. El apoyo del Consejo es
como la forma física de nuestros cuerpos; es un estado de gracia temporal. En cuanto no se aprecie el valor añadido del proyecto, el apoyo se irá desvaneciendo.
Alcances demasiados
optimistas: Las organizaciones casi siempre optarán, en muchos casos apoyados por las firmas de
consultoría, por un despliegue del sistema con un máximo alcance. Estamos de acuerdo en
que la gestión de riesgos es algo parecido a un ultra maratón (una carrera exigente de larga distancia para la que hay que estar bien entrenado) y que con el tiempo debemos tener una cobertura total de la organización. No obstante, identificar y valorar todos
los riesgos en toda la organización, sin disponer del conocimiento y los
medios para mantener su relevancia actualizada al día, podría ser entendido como un despilfarro de recursos de diferente naturaleza. Creemos que es necesario apostar siempre por un enfoque piloto; probemos cómo funciona a una escala razonable para perfeccionarlo antes de hacerlo extensivo a toda la organización.
La información que genera no es relevante: aunque quizás esto sea más una consecuencia que una causa. Las causas de la irrelevancia de la
información son múltiples:
- No existe vínculo con objetivos: Un riesgo que no se vincule con un objetivo es una fuente de información incompleta y, a veces, inútil. Adicionalmente, a los diferentes niveles de la organización les interesará un nivel de desagregación de información diferente. Por ejemplo, al Consejo de Administración le interesará más un riesgo que impacte en los objetivos estratégicos de la compañía que un asunto de protección de datos en la filial situada en un país suramericano. Sin embargo, los responsables de la filial del país suramericano tendrán más interés por los riesgos de índole operacional en su territorio.
- La información no se actualiza con suficiente frecuencia: Hoy en día, más que nunca, el entorno es extremadamente volátil y la información se vuelve perenne en cortos períodos de tiempo. Es posible que lo que hace seis meses fueran objetivos estratégicos, hoy se encuentren en la papelera, sustituidos por otros más adecuados al entorno actual. Entonces es cuando nos asalta la duda: ¿por qué creemos que tenemos un buen sistema de gestión de riesgos, si la última vez que se actualizó la información fue hace 12 meses?
- Es bidimensional: algo estrechamente relacionado con lo anterior es que casi todas las organizaciones utilizan el binomio impacto /probabilidad para evaluar los riesgos. Se trata de un binomio muy, pero que muy estático. Creemos necesario considerar, además, el criterio de la velocidad del riesgo, es decir, su potencial para cambiar o materializarse de repente. Es especialmente importante intentar incorporar este concepto sobre aquellos riesgos de impacto potencial muy alto pero baja probabilidad de ocurrencia (los famosos cisnes negros de Nassim Nicholas Taleb[1]). Nosotros abogamos por una perspectiva tridimensional la P x I x V!
- Cuantificación: En realidad, se trata de un tema espinoso donde los haya. Existen auténticos evangelistas de la cuantificación, que abogan por ponerle un valor económico a todo. En nuestra opinión, no es el enfoque más práctico ni ágil y, en muchos casos, la cuantificación puede encontrarse muy lejos de la realidad, al no contemplar el impacto cruzado o las coberturas naturales de los riesgos. Cuantifiquemos, sí, pero lo que podamos hacer sin excesiva complejidad. Con el resto de situaciones, busquemos alternativas cualitativas para la valoración del riesgo.
No se monitoriza: Pocas organizaciones utilizan Key Risk Indicators. Si no somos capaces de determinar unos KRI, nuestra capacidad de hacer un seguimiento de P x I x V será muy limitada. De nuevo, elijamos un piloto; un área o un proyecto clave para la organización y probemos lo que funcione. Nos ayudará a anticipar las situaciones de riesgo, sus posibles consecuencias y elegir el control o la acción de tratamiento de riesgo más adecuada.
No se aplica a proyectos: Los proyectos y la innovación en el negocio son elementos críticos para la creación de valor y para la definición de una ventaja competitiva en el mercado. Las organizaciones que solo aplican la gestión de riesgos a sus negocios actuales están instrumentalizando un aseguramiento mucho más defensivo que ofensivo, a nuestro entender, una gestión de riesgos parcial.
Se encuentra aislado del proceso de toma de decisiones. El proceso de gestión de riesgos tiene que ser imbuido en el día a día de la organización. No debe ser algo aislado, periódico y alejado de la cultura. Entender el proceso como algo tangente al negocio solo creará rechazo entre los propios stakeholders.
Se promueve la Gestión de Riesgos por Auditoría Interna: lo que puede generar bastante controversia. De verdad creemos que no es el órgano más adecuado para promover la función de Gestión de Riesgos, a pesar de ser una de las áreas (si no el área) que más conoce del negocio en su conjunto. Los auditores internos promueven su independencia del negocio y esto está directamente contrapuesto a lo que requiere el proceso de gestión de riesgos.
[1] "The Black Swan: The Impact of the Highly Improbable"; The New York Times, 22 de abril de 2007: "Lo que aquí llamamos un Cisne Negro (y con mayúscula) es un
evento con los tres atributos siguientes. En primer lugar, es un caso atípico,
ya que se encuentra fuera del ámbito de las expectativas regulares, porque no
hay nada en el pasado que puede apuntar de manera convincente a su posibilidad.
En segundo lugar, conlleva a un impacto extremo. En tercer lugar, a pesar de su
condición de rareza, la naturaleza humana nos hace inventar explicaciones de su
presencia después de los hechos, por lo que es explicable y predecible.(...)"
Muy buena entrada, no podria estar mas de acuerdo con todos y cada uno de los puntos. La unica excepcion, sin embargo, esta relacionada con la cuantificacion (si bien el articulo concede que, en caso de dificultad al cuantificar, se debera optar por un metodo simple). Soy un firme creyente de la maxima "si no puedes cuantificarlo, no existe":
ResponderEliminarEn primer lugar, porque los riesgos deben seguir una racionalizacion, que muchas veces lleva a priorizar unos sobre otros (cual es mas importante, cual menos, etc.) - esto ayuda a los gestores a asignar optimamente los recursos, es decir, la respuesta al riesgo.
En segundo lugar, porque la eficacia de los amortiguadores del riesgo se mide normalmente por el coste del recurso (amortiguador) versus lo que esta en juego (es decir, la cuantificacion de lo que perderiamos si el riesgo se materializase). Un ejemplo: el riesgo de perder a personas claves (RRHH) es dificil de cuantificar, pero si asumimos que si se va un ejecutivo podemos perder tal o cual cartera, entonces sabemos de cuanto hablamos... y podremos actuar consecuentemente, pagandole mejor o dandole mayores beneficios economicos. Si no cuantificamos el riesgo, podemos estar matando moscas a martillazos (pagando a un ejecutivo 1 millon de euros mas, cuando la perdida de su portfolio nos supondria 'solo' 10mil euros).
Un punto interesante de esta entrada es la asociacion con Auditoria Interna (o, en muchos casos, con Compliance). Como bien indicais, hay que escapar de esa asociacion cuanto antes, ya que puede afectar a la calidad de la informacion obtenida y, lo que es mas importante, a la valoracion que la empresa otorgue a las propuestas finales. La gestion de riesgos deberia ayudar a tomar decisiones vitales para el negocio, por lo que su relacion con funciones de "assurance" deberia ser como la de cualquier otra funcion del negocio (Ventas, Estrategia, etc.).
Muchas gracias por tu comentario Jaime. Nos gusta saber que hay gente que piensa como nosotros, lo cual es un buen indicador de que nuestras opiniones tienen sentido (o al menos, algo de sentido). Aunque en ocasiones sean un poco heterodoxas...
EliminarEn cuanto a lo que dices sobre la cuantificación, coincidimos plenamente contigo en el enfoque de la eficacia de los amortiguadores basada en el "coste-beneficio". No obstante, nos gustaría hacer una aclaración; en un mundo ideal, sería bueno disponer de datos concretos y cuantificados sobre los impactos de las situaciones de riesgo que se presentan, pero somos conscientes de que existen dos variables que pueden influir negativamente a la hora de cuantificar impactos y/o probabilidades:
1. Las características de las organizaciones: diferentes cifras de negocio, diferentes sectores de actividad, diferentes estructuras, diferentes culturas.... Muchas variables que influyen, en mayor o menor medida, en la disponibilidad y aplicabilidad de métodos de cuantificación (ausencia de recursos o de know-how). Por ejemplo, a una organización multinacional del Sector Financiero le será, presumiblemente, más fácil cuantificar los impactos de la mayor parte de sus riesgos que a una empresa local de actividades agro-forestales.
2. La naturaleza de los propios riesgos: en las organizaciones confluyen diferentes situaciones que pueden afectar a la consecución de sus objetivos. Es por ello que suelen existir diferentes categorías de eventos en los inventarios de riesgo que se utilizan. La propia naturaleza de estos eventos determina, en gran medida, la posibilidad real de cuantificar su impacto y su probabilidad de ocurrencia. ¿Cómo podemos expresar en cifras el impacto sobre la reputación corporativa de un comentario de un directivo en Twitter? ¿O el fallecimiento de trabajadores en unas instalaciones industriales debido a un accidente? . Al igual que si hablamos de probabilidad de ocurrencia; ¿cómo determinar las posibilidades de materialización de un evento que no ha sucedido nunca antes en la organización? Normalmente la cuantificación se asocia a impacto en unidades monetarias (sobre beneficios u otras variables) y la probabilidad a la frecuencia de ocurrencia del evento (expresada en porcentaje), pero creemos que pueden existir criterios adicionales para otras clases de riesgos, que sean mejor expresados en términos cualitativos (siempre manteniendo un lógica razonable sobre lo que consideramos como Impacto Bajo/Medio/Alto y Probabilidad Improbable/Posible/Probable)
Totalmente de acuerdo a que Gestión de Riesgos debe ser un proceso más dentro de la organización y que Auditoría Interna desempeñe su labor de aseguramiento sobre él, al igual que haga con el resto de procesos de la organización.