Gestión de riesgos: un nuevo marco

Cuando Tony Hayward se convirtió en CEO de BP, en 2007, prometió hacer de la seguridad su máxima prioridad. Entre las nuevas reglas que instituyó estaban los requisitos de que todos los empleados usan tapas en las tazas de café mientras camina y se abstengan de enviar mensajes de texto mientras conducen. Tres años más tarde, bajo la vigilancia de Hayward, la plataforma petrolera Deepwater Horizon explotó en el Golfo de México, causando uno de los peores desastres provocados por el hombre de la historia. Una comisión de investigación estadounidense atribuyó el desastre a fallas de gestión que paralizaron «la capacidad de las personas involucradas para identificar los riesgos que enfrentaban y evaluarlos, comunicarse y abordarlos adecuadamente». La historia de Hayward refleja un problema común. A pesar de toda la retórica y el dinero invertido en ella, la gestión de riesgos se trata con demasiada frecuencia como un problema de cumplimiento que puede resolverse elaborando muchas reglas y asegurándose de que todos los empleados las sigan. Muchas de estas reglas, por supuesto, son sensatas y reducen algunos riesgos que podrían dañar gravemente a una empresa. Pero la gestión de riesgos basada en normas no disminuirá ni la probabilidad ni el impacto de un desastre como Deepwater Horizon, del mismo modo que no evitó el fracaso de muchas instituciones financieras durante la crisis crediticia 2007-2008.

En este artículo, presentamos una nueva categorización del riesgo que permite a los ejecutivos saber qué riesgos se pueden gestionar a través de un modelo basado en reglas y cuáles requieren enfoques alternativos. Examinamos los desafíos individuales y organizacionales inherentes a la generación de discusiones abiertas y constructivas sobre la gestión de los riesgos relacionados con las elecciones estratégicas y argumentamos que las empresas necesitan anclar estas discusiones en sus procesos de formulación e implementación de estrategias. Concluimos analizando cómo las organizaciones pueden identificar y prepararse para los riesgos no prevenibles que surgen externamente en su estrategia y operaciones.

Gestión del riesgo: ¿Reglas o diálogo?

El primer paso para crear un sistema eficaz de gestión de riesgos es comprender las distinciones cualitativas entre los tipos de riesgos a que se enfrentan las organizaciones. Nuestra investigación de campo muestra que los riesgos entran en una de tres categorías. Los eventos de riesgo de cualquier categoría pueden ser fatales para la estrategia de una empresa e incluso para su supervivencia.

Categoría I: Riesgos prevenibles.

Se trata de riesgos internos, derivados de la organización, que son controlables y que deben eliminarse o evitarse. Ejemplos de ello son los riesgos de las acciones no autorizadas, ilegales, poco éticas, incorrectas o inapropiadas de los empleados y gerentes, así como los riesgos derivados de averías en los procesos operativos rutinarios. No cabe duda de que las empresas deberían tener una zona de tolerancia para defectos o errores que no causen daños graves a la empresa y para los cuales el logro de la evitación completa resultaría demasiado costoso. Pero, en general, las empresas deben tratar de eliminar estos riesgos, ya que no obtienen beneficios estratégicos al asumir ellos. Un comerciante deshonesto o un empleado sobornando a un funcionario local puede producir algunos beneficios a corto plazo para la empresa, pero con el tiempo tales acciones disminuirán el valor de la compañía.

Esta categoría de riesgo se gestiona mejor a través de la prevención activa: monitoreo de procesos operativos y guiando los comportamientos y decisiones de las personas hacia las normas deseadas. Dado que ya existe mucha literatura sobre el enfoque de cumplimiento basado en reglas, remitimos a los lectores interesados a la barra lateral «Identificación y gestión de riesgos prevenibles» en lugar de una discusión completa de las mejores prácticas aquí.

Identificación y gestión de riesgos prevenibles

Las empresas no pueden anticipar cualquier circunstancia o conflicto de intereses que un empleado pueda encontrar.

Por lo tanto, la primera línea de defensa contra eventos de riesgo prevenibles es proporcionar pautas que clarifiquen los objetivos y valores de la empresa.

La Misión

Una declaración de objetivos bien elaborada articula el propósito fundamental de la organización, sirviendo como un «verdadero norte» para que todos los empleados sigan. La primera frase del renombrado credo de Johnson & Johnson, por ejemplo, dice: «Creemos que nuestra primera responsabilidad es hacia los médicos, enfermeras y pacientes, con madres y padres, y todos los demás que usan nuestros productos y servicios», dejando claro a todos los empleados cuyos intereses deben tener prioridad en cualquier situación. Las declaraciones de misión deben ser comunicadas a todos los empleados y entenderlas.

Los valores

Las empresas deben articular los valores que guían el comportamiento de los empleados hacia las principales partes interesadas, incluyendo clientes, proveedores, compañeros de trabajo, comunidades y accionistas. Las declaraciones claras de valor ayudan a los empleados a evitar violar los estándares de la empresa y poner en riesgo su reputación y sus activos.

Los límites

Una fuerte cultura corporativa aclara lo que no está permitido. Una definición explícita de límites es una forma efectiva de controlar las acciones. Consideremos que nueve de los Diez Mandamientos y nueve de las primeras 10 enmiendas a la Constitución de los Estados Unidos (comúnmente conocida como la Carta de Derechos) están escritos en términos negativos. Las empresas necesitan códigos de conducta empresarial que prescriban comportamientos relacionados con conflictos de intereses, cuestiones antimonopolio, secretos comerciales e información confidencial, soborno, discriminación y acoso.

Por supuesto, las declaraciones claramente articuladas de misión, valores y límites no garantizan en sí mismas un buen comportamiento. Para contrarrestar las presiones cotidianas de la vida organizativa, los altos directivos deben servir como modelos a seguir y demostrar que significan lo que dicen. Las empresas deben instituir sólidos sistemas de control interno, como la segregación de funciones y un programa activo de denuncia de irregularidades, para reducir no sólo la mala conducta sino también la tentación. Un departamento de auditoría interna capaz e independiente encargado de verificar continuamente el cumplimiento por parte de los empleados de los controles internos y los procesos operativos estándar también disuadirá a los empleados de violar los procedimientos y políticas de la empresa y puede detectar violaciones cuando ocurran.

Ver también El artículo de Robert Simons sobre la gestión de riesgos prevenibles, «¿Qué arriesgado es su empresa?»(HBR mayo de 1999), y su libro Palancas de control (Harvard Business School Press, 1995).

Categoría II: Riesgos de la estrategia.

Una empresa acepta voluntariamente algún riesgo con el fin de generar rendimientos superiores a partir de su estrategia. Un banco asume el riesgo de crédito, por ejemplo, cuando presta dinero; muchas empresas asumen riesgos a través de sus actividades de investigación y desarrollo.

Los riesgos estratégicos son muy diferentes de los riesgos prevenibles porque no son intrínsecamente indeseables. Una estrategia con altos rendimientos esperados generalmente requiere que la empresa asume riesgos significativos, y la gestión de esos riesgos es un factor clave para captar las ganancias potenciales. BP aceptó los altos riesgos de perforar varias millas por debajo de la superficie del Golfo de México debido al alto valor del petróleo y el gas que esperaba extraer.

Los riesgos de la estrategia no se pueden gestionar mediante un modelo de control basado en reglas. En cambio, se necesita un sistema de gestión de riesgos diseñado para reducir la probabilidad de que los riesgos asumidos se materialicen realmente y para mejorar la capacidad de la empresa para gestionar o contener los eventos de riesgo en caso de que se produzcan. Este sistema no impediría a las empresas emprender empresas arriesgadas; por el contrario, permitiría a las empresas asumir empresas de mayor riesgo y mayor recompensa que competidores con una gestión de riesgos menos eficaz.

Categoría III: Riesgos externos.

Algunos riesgos surgen de eventos fuera de la empresa y están más allá de su influencia o control. Entre las fuentes de estos riesgos figuran los desastres naturales y políticos y los grandes cambios macroeconómicos. Los riesgos externos requieren otro enfoque. Debido a que las empresas no pueden evitar que se produzcan tales eventos, su gestión debe centrarse en la identificación (tienden a ser evidentes en retrospectiva) y en la mitigación de su impacto.

Las empresas deben adaptar sus procesos de gestión de riesgos a estas diferentes categorías. Si bien un enfoque basado en el cumplimiento es eficaz para gestionar los riesgos prevenibles, es totalmente inadecuado para los riesgos de estrategia o los riesgos externos, que requieren un enfoque fundamentalmente diferente basado en debates abiertos y explícitos sobre los riesgos. Eso, sin embargo, es más fácil decirlo que hacerlo; extensas investigaciones conductuales y organizacionales han demostrado que los individuos tienen fuertes sesgos cognitivos que los desalientan de pensar y discutir el riesgo hasta que sea demasiado tarde.

Por qué es difícil hablar del riesgo

Múltiples estudios han encontrado que las personas sobreestiman su capacidad para influir en eventos que, de hecho, están fuertemente determinados por el azar. Tendemos a ser demasiado confiado acerca de la exactitud de nuestros pronósticos y evaluaciones de riesgos y demasiado estrecho en nuestra evaluación de la gama de resultados que pueden ocurrir.

Nosotros también anclar nuestras estimaciones a pruebas fácilmente disponibles a pesar del peligro conocido de hacer extrapolaciones lineales de la historia reciente a un futuro muy incierto y variable. A menudo componemos este problema con un sesgo de confirmación, que nos impulsa a favorecer la información que apoya nuestras posiciones (típicamente éxitos) y suprimir la información que las contradice (típicamente fracasos). Cuando los eventos se apartan de nuestras expectativas, tendemos a intensificar el compromiso, dirigiendo irracionalmente aún más recursos a nuestro fracasado curso de acción: tirar dinero bueno tras malo.

Los sesgos organizativos también inhiben nuestra capacidad para discutir el riesgo y el fracaso. En particular, los equipos que se enfrentan a condiciones inciertas a menudo participan en pensamiento grupal: Una vez que un curso de acción ha recibido apoyo dentro de un grupo, aquellos que aún no están a bordo tienden a suprimir sus objeciones, aunque sean válidas, y se alinean. El pensamiento grupal es especialmente probable si el equipo está dirigido por un gerente dominante o demasiado seguro que quiere minimizar conflictos, retrasos y desafíos a su autoridad.

Colectivamente, estos sesgos individuales y organizativos explican por qué tantas empresas pasan por alto o malinterpretan amenazas ambiguas. En lugar de mitigar el riesgo, las empresas incuban el riesgo a través del normalización de la desviación, ya que aprenden a tolerar fallas y defectos aparentemente menores y tratan las señales de alerta temprana como falsas alarmas en lugar de alertas de peligro inminente.

Los procesos eficaces de gestión de riesgos deben contrarrestar esos prejuicios. «La mitigación de riesgos es dolorosa, no un acto natural para los seres humanos», dice Gentry Lee, ingeniero jefe de sistemas en Jet Propulsion Laboratory (JPL), una división de la Administración Nacional de Aeronáutica y Espacio de los Estados Unidos. Los científicos de cohetes de los equipos del proyecto JPL son los mejores graduados de universidades de élite, muchos de los cuales nunca han experimentado fracasos en la escuela o el trabajo. El mayor desafío de Lee para establecer una nueva cultura de riesgo en JPL era conseguir que los equipos de proyectos se sintieran cómodos pensando y hablando sobre lo que podría salir mal con sus excelentes diseños.

Las reglas sobre qué hacer y qué no hacer no ayudarán aquí. De hecho, suelen tener el efecto contrario, fomentando una mentalidad de lista de verificación que inhibe el desafío y la discusión. La gestión de los riesgos estratégicos y los riesgos externos requiere enfoques muy diferentes. Comenzamos examinando cómo identificar y mitigar los riesgos de la estrategia.

Gestión de riesgos de estrategia

En los últimos 10 años de estudio, hemos encontrado tres enfoques distintos para gestionar los riesgos de la estrategia. El modelo apropiado para una empresa determinada depende en gran medida del contexto en el que opera una organización. Cada enfoque requiere estructuras y funciones muy diferentes para una función de gestión de riesgos, pero los tres alientan a los empleados a desafiar los supuestos existentes y debatir la información sobre riesgos. Nuestro hallazgo de que «una talla única no se ajusta a todos» va en contra de los esfuerzos de las autoridades reguladoras y las asociaciones profesionales para estandarizar la función.

Expertos independientes.

Algunas organizaciones, especialmente aquellas como JPL que empujan la envolvente de la innovación tecnológica, se enfrentan a un alto riesgo intrínseco a medida que persiguen proyectos de desarrollo de productos largos, complejos y costosos. Pero dado que gran parte del riesgo surge de hacer frente a las leyes conocidas de la naturaleza, el riesgo cambia lentamente con el tiempo. Para estas organizaciones, la gestión de riesgos se puede gestionar a nivel de proyecto.

La JPL, por ejemplo, ha establecido una junta de examen de riesgos integrada por expertos técnicos independientes cuya función es cuestionar las decisiones de diseño, evaluación de riesgos y mitigación de riesgos de los ingenieros de proyectos. Los expertos velan por que las evaluaciones del riesgo se lleven a cabo periódicamente a lo largo del ciclo de desarrollo del producto. Debido a que los riesgos son relativamente inmutables, la junta de revisión debe reunirse sólo una o dos veces al año, con el jefe del proyecto y el jefe de la junta de revisión reunirse trimestralmente.

Las reuniones de la junta de revisión de riesgos son intensas, creando lo que Gentry Lee llama «una cultura de confrontación intelectual». Como dice el miembro de la junta, Chris Lewicki, «Nos destrozamos mutuamente, lanzando piedras y dando comentarios muy críticos sobre todo lo que está pasando». En el proceso, los ingenieros de proyectos ven su trabajo desde otra perspectiva. «Levanta sus narices de la piedra de afilar», añade Lewicki.

Las reuniones, tanto constructivas como de confrontación, no tienen por objeto impedir que el equipo del proyecto persiga misiones y diseños muy ambiciosos. Pero obligan a los ingenieros a pensar de antemano sobre cómo describirán y defenderán sus decisiones de diseño y si han considerado suficientemente fallas y defectos probables. Los miembros de la junta, actuando como defensores del diablo, contrarrestan el exceso de confianza natural de los ingenieros, ayudando a evitar la escalada del compromiso con proyectos con niveles de riesgo inaceptables.

En JPL, la junta de revisión de riesgos no solo promueve un debate vigoroso sobre los riesgos de los proyectos, sino que también tiene autoridad sobre los presupuestos. La junta establece las reservas de costes y tiempo que se reservarán para cada componente del proyecto en función de su grado de innovación. Una simple extensión de una misión anterior requeriría una reserva financiera del 10% al 20%, por ejemplo, mientras que un componente completamente nuevo que aún no había trabajado en la Tierra —mucho menos en un planeta inexplorado— podría requerir una contingencia del 50% al 75%. Las reservas garantizan que cuando surjan problemas inevitablemente, el equipo del proyecto tenga acceso al dinero y el tiempo necesarios para resolverlos sin poner en peligro la fecha de lanzamiento. La JPL toma en serio las estimaciones; los proyectos se han aplazado o cancelado si los fondos eran insuficientes para cubrir las reservas recomendadas.

Facilitadores.

Muchas organizaciones, como los servicios públicos tradicionales de energía y agua, operan en entornos tecnológicos y de mercado estables, con una demanda relativamente predecible de los clientes. En estas situaciones, los riesgos provienen en gran medida de opciones operativas aparentemente no relacionadas en una organización compleja que se acumulan gradualmente y pueden permanecer ocultas durante mucho tiempo.

Dado que ningún grupo de personal tiene los conocimientos necesarios para llevar a cabo la gestión de riesgos a nivel operacional en diversas funciones, las empresas pueden desplegar un grupo central de gestión de riesgos relativamente pequeño que recopila información de los administradores de operaciones. Esto aumenta la conciencia de los gerentes sobre los riesgos que se han asumido en toda la organización y proporciona a los responsables de la toma de decisiones una imagen completa del perfil de riesgo de la empresa.

Observamos este modelo en acción en Hydro One, la compañía eléctrica canadiense. El director de riesgos John Fraser, con el apoyo explícito del CEO, organiza decenas de talleres cada año en los que empleados de todos los niveles y funciones identifican y clasifican los principales riesgos que ven para los objetivos estratégicos de la empresa. Los empleados utilizan una tecnología de votación anónima para evaluar cada riesgo, en una escala de 1 a 5, en términos de su impacto, la probabilidad de ocurrencia y la fuerza de los controles existentes. Las clasificaciones se discuten en los talleres, y los empleados están facultados para expresar y debatir sus percepciones de riesgo. En última instancia, el grupo desarrolla una visión consensuada que se registra en un mapa visual de riesgos, recomienda planes de acción y designa un «propietario» para cada riesgo mayor.

Hydro One fortalece la rendición de cuentas al vincular las decisiones de asignación de capital y presupuestación con los riesgos identificados. El proceso de planificación de capital a nivel corporativo asigna cientos de millones de dólares, principalmente a proyectos que reducen el riesgo de manera eficaz y eficiente. El grupo de riesgos recurre a expertos técnicos para impugnar los planes de inversión y las evaluaciones de riesgos de los ingenieros de línea y para que supervisen el proceso de asignación de recursos por expertos independientes. En la reunión anual de asignación de capital, los gerentes de línea tienen que defender sus propuestas frente a sus pares y altos ejecutivos. Los gerentes quieren que sus proyectos atraigan financiación en el proceso de planificación de capital basado en el riesgo, para que aprendan a superar su sesgo para ocultar o minimizar los riesgos en sus áreas de rendición de cuentas.

Expertos integrados.

La industria de servicios financieros plantea un desafío único debido a la dinámica volátil de los mercados de activos y al impacto potencial de las decisiones adoptadas por los comerciantes descentralizados y los gestores de inversiones. El perfil de riesgo de un banco de inversión puede cambiar drásticamente con un solo acuerdo o con un movimiento importante del mercado. Para tales empresas, la gestión de riesgos requiere expertos integrados dentro de la organización para monitorear e influir continuamente en el perfil de riesgo de la empresa, trabajando codo con codo con los gerentes de línea cuyas actividades están generando nuevas ideas, innovación y riesgos y, si todo va bien, beneficios.

JP Morgan Private Bank adoptó este modelo en 2007, al inicio de la crisis financiera mundial. Los gestores de riesgos, integrados en la organización de línea, informan a ambos ejecutivos de línea y una función centralizada e independiente de gestión de riesgos. El contacto cara a cara con los gerentes de línea permite a los gestores de riesgos conocedores del mercado formular continuamente preguntas «qué pasaría si», desafiando las suposiciones de los gestores de cartera y obligándolos a mirar diferentes escenarios. Los gestores de riesgos evalúan cómo las operaciones propuestas afectan el riesgo de toda la cartera de inversiones, no solo en circunstancias normales sino también en momentos de extrema tensión, cuando las correlaciones de rendimiento entre diferentes clases de activos aumentan. «Los gestores de cartera vienen a mí con tres operaciones, y el modelo [riesgo] puede decir que los tres están agregando al mismo tipo de riesgo», explica Gregoriy Zhikarev, gerente de riesgos de JP Morgan. «Nueve de cada diez veces un gerente dirá: ‘No, eso no es lo que quiero hacer’. Entonces podemos sentarnos y rediseñar los oficios».

El principal peligro de incorporar a los gestores de riesgos en la organización de línea es que «se vuelvan nativos», alineándose con el círculo interno del equipo de liderazgo de la unidad de negocio, convirtiéndose en responsables de acuerdos en lugar de cuestionadores de acuerdos. Prevenir esto es responsabilidad del funcionario senior de riesgo de la compañía y, en última instancia, del CEO, que marca el tono de la cultura de riesgo de una empresa.

Evitar la trampa de función

Incluso si los gerentes tienen un sistema que promueve discusiones ricas sobre el riesgo, una segunda trampa cognitivo-conductual les espera. Debido a que muchos riesgos estratégicos (y algunos riesgos externos) son bastante predecibles, incluso familiares, las empresas tienden a etiquetarlos y compartimentarlos, especialmente a lo largo de las líneas de función del negocio. Los bancos suelen gestionar lo que denominan «riesgo de crédito», «riesgo de mercado» y «riesgo operacional» en grupos separados. Otras empresas compartimentan la gestión de «riesgo de marca», «riesgo de reputación», «riesgo de cadena de suministro», «riesgo de recursos humanos», «riesgo de IT» y «riesgo financiero».

Comprender las tres categorías de riesgo

Los riesgos a que se enfrentan las empresas se dividen en tres categorías, cada una de las cuales requiere un enfoque diferente de gestión de riesgos. Los riesgos prevenibles, derivados de una organización, se supervisan y controlan mediante reglas, valores y herramientas de cumplimiento estándar. Por el contrario, los riesgos estratégicos y los riesgos externos requieren procesos distintos que alienten a los administradores a debatir abiertamente los riesgos y encontrar formas eficaces en función de los costos de reducir la probabilidad de eventos de riesgo o mitigar sus consecuencias.

Esos silos organizativos dispersan tanto la información como la responsabilidad de una gestión eficaz del riesgo. Inhiben la discusión de cómo interactúan los diferentes riesgos. Las buenas discusiones sobre riesgos no sólo deben ser confrontativas sino también integradoras. Las empresas pueden verse descarriladas por una combinación de pequeños eventos que se refuerzan mutuamente de manera imprevista.

Los gerentes pueden desarrollar una perspectiva de riesgo en toda la empresa anclando sus discusiones en la planificación estratégica, el único proceso integrador que ya tienen las empresas bien gestionadas. Por ejemplo, Infosys, la empresa india de servicios de IT, genera discusiones sobre riesgos a partir de Balanced Scorecard, su herramienta de gestión para la medición de estrategias y la comunicación. «Mientras nos preguntábamos sobre los riesgos que deberíamos tener en cuenta», dice M.D. Ranganath, el director de riesgos, «gradualmente nos centramos en los riesgos para los objetivos empresariales especificados en nuestro cuadro de mando corporativo».

Al crear su Balanced Scorecard, Infosys había identificado el «aumento de las relaciones con los clientes» como un objetivo clave y seleccionó métricas para medir el progreso, como el número de clientes globales con facturas anuales superiores a los 50 millones de dólares y el aumento porcentual anual de los ingresos de los grandes clientes. Al examinar conjuntamente el objetivo y las métricas de rendimiento, la administración se dio cuenta de que su estrategia había introducido un nuevo factor de riesgo: el valor predeterminado del cliente. Cuando el negocio de Infosys se basaba en numerosos clientes pequeños, un solo cliente predeterminado no pondría en peligro la estrategia de la empresa. Pero un incumplimiento de un cliente de $50 millones representaría un gran revés. Infosys comenzó a monitorear la tasa de swap de impago de cada gran cliente como indicador líder de la probabilidad de impago. Cuando la tasa de un cliente aumenta, Infosys aceleraría el cobro de cuentas por cobrar o solicitar pagos de progreso para reducir la probabilidad o el impacto del impago.

Para tomar otro ejemplo, considere Volkswagen do Brasil (posteriormente abreviado como VW), la filial brasileña del fabricante alemán de automóviles. La unidad de gestión de riesgos de VW utiliza el mapa estratégico de la empresa como punto de partida para sus diálogos sobre el riesgo. Para cada objetivo del mapa, el grupo identifica los eventos de riesgo que podrían hacer que VW no alcanzara ese objetivo. A continuación, el equipo genera una tarjeta de evento de riesgo para cada riesgo en el mapa, en la que se enumeran los efectos prácticos del evento en las operaciones, la probabilidad de ocurrencia, los indicadores principales y las posibles acciones de mitigación. También identifica quién es el responsable principal de la gestión del riesgo. (Consulte la exposición «La tarjeta de evento de riesgo»). A continuación, el equipo de riesgos presenta un resumen de alto nivel de los resultados al personal directivo superior. (Consulte «La ficha de informe de riesgos»).

La tarjeta de evento de riesgo

VW do Brasil utiliza tarjetas de eventos de riesgo para evaluar los riesgos de su estrategia. En primer lugar, los gerentes documentan los riesgos asociados al logro de cada uno de los objetivos estratégicos de la empresa. Para cada riesgo identificado, los gerentes crean una tarjeta de riesgo que enumera los efectos prácticos de la ocurrencia del evento en las operaciones. A continuación se muestra una tarjeta de muestra en la que se analizan los efectos de una interrupción en las entregas, lo que podría poner en peligro el objetivo estratégico de VW de lograr una cadena de suministro que funcione sin problemas.

La ficha de informe de riesgos

VW do Brasil resume sus riesgos estratégicos en una tarjeta de informe de riesgos organizada por objetivos estratégicos (extracto a continuación). Los gerentes pueden ver de un vistazo cuántos de los riesgos identificados para cada objetivo son críticos y requieren atención o mitigación. Por ejemplo, VW identificó 11 riesgos asociados con el logro del objetivo «Satisfacer las expectativas del cliente». Cuatro de los riesgos son críticos, pero eso representa una mejora con respecto a la evaluación del trimestre anterior. Los gerentes también pueden supervisar el progreso en la gestión de riesgos en toda la empresa.

Además de introducir un proceso sistemático para identificar y mitigar los riesgos de la estrategia, las empresas también necesitan una estructura de supervisión de riesgos. Infosys utiliza una estructura dual: un equipo central de riesgos que identifica los riesgos de estrategia general y establece políticas centrales, y equipos funcionales especializados que diseñan y supervisan políticas y controles en consulta con los equipos empresariales locales. Los equipos descentralizados tienen la autoridad y la experiencia para ayudar a las líneas de negocio a responder a amenazas y cambios en sus perfiles de riesgo, aumentando solo las excepciones al equipo central de riesgo para su revisión. Por ejemplo, si un gestor de relaciones con clientes desea otorgar un período de crédito más largo a una empresa cuyos parámetros de riesgo crediticio son altos, el gestor de riesgo funcional puede enviar el caso al equipo central para su revisión.

Estos ejemplos muestran que el tamaño y el alcance de la función de riesgo no están dictados por el tamaño de la organización. Hydro One, una empresa grande, tiene un grupo de riesgo relativamente pequeño para generar conciencia sobre el riesgo y comunicación en toda la empresa y asesorar al equipo ejecutivo sobre asignaciones de recursos basadas en el riesgo. Por el contrario, las empresas o unidades relativamente pequeñas, como JPL o JP Morgan Private Bank, necesitan varias juntas de revisión a nivel de proyecto o equipos de gestores de riesgos integrados para aplicar la experiencia de dominio para evaluar el riesgo de las decisiones empresariales. Además, Infosys, una gran empresa con un amplio alcance operativo y estratégico, requiere una sólida función centralizada de gestión de riesgos, así como gestores de riesgos dispersos que apoyan las decisiones comerciales locales y facilitan el intercambio de información con el grupo de riesgo centralizado.

Administración de lo incontrolable

Por lo general, los riesgos externos, la tercera categoría de riesgo, no pueden reducirse ni evitarse mediante los enfoques utilizados para gestionar los riesgos prevenibles y estratégicos. Los riesgos externos se encuentran en gran medida fuera del control de la empresa; las empresas deben centrarse en identificarlos, evaluar su impacto potencial y determinar la mejor manera de mitigar sus efectos en caso de que se produzcan.

Algunos eventos de riesgo externos son lo suficientemente inminentes como para que los gerentes puedan gestionarlos a medida que hacen sus riesgos de estrategia. Por ejemplo, durante la desaceleración económica tras la crisis financiera mundial, Infosys identificó un nuevo riesgo relacionado con su objetivo de desarrollar una fuerza de trabajo mundial: un aumento del proteccionismo, que podría dar lugar a restricciones estrictas a los visados de trabajo y permisos para los extranjeros en varios países de la OCDE donde Infosys tenía grandes compromisos con clientes. Aunque la legislación proteccionista es técnicamente un riesgo externo ya que está más allá del control de la empresa, Infosys la trató como un riesgo de estrategia y creó una Tarjeta de Evento de Riesgo para ella, que incluía un nuevo indicador de riesgo: el número y porcentaje de sus empleados con doble ciudadanía o permisos de trabajo existentes fuera de la India. Si esa cifra disminuyera debido a la rotación del personal, la estrategia global de Infosys podría verse comprometida. Por lo tanto, Infosys puso en marcha políticas de reclutamiento y retención que mitigan las consecuencias de este evento de riesgo externo.

La mayoría de los eventos de riesgo externos, sin embargo, requieren un enfoque analítico diferente, ya sea porque su probabilidad de ocurrencia es muy baja o porque los gerentes encuentran difícil visualizarlos durante sus procesos de estrategia normales. Hemos identificado varias fuentes diferentes de riesgos externos:

• Desastres naturales y económicos con impacto inmediato. Estos riesgos son predecibles de una manera general, aunque su tiempo no suele ser (un gran terremoto llegará algún día en California, pero no se sabe exactamente dónde ni cuándo). Pueden ser anticipados sólo por señales relativamente débiles. Entre los ejemplos cabe citar catástrofes naturales como la erupción del volcán islandés de 2010 que cerró el espacio aéreo europeo durante una semana y catástrofes económicas como el estallido de una importante burbuja de precios de activos. Cuando estos riesgos ocurren, sus efectos suelen ser drásticos e inmediatos, como vimos en la interrupción del terremoto y tsunami japoneses en 2011.

• Cambios geopolíticos y ambientales con impacto a largo plazo. Estos incluyen cambios políticos como cambios políticos importantes, golpes de estado, revoluciones y guerras; cambios ambientales a largo plazo como el calentamiento global; y agotamiento de recursos naturales críticos, como el agua dulce.

• Riesgos competitivos con impacto a medio plazo. Estos incluyen la aparición de tecnologías disruptivo (como Internet, teléfonos inteligentes y códigos de barras) y movimientos estratégicos radicales de los actores del sector (como la entrada de Amazon en el comercio minorista de libros y Apple en las industrias de telefonía móvil y electrónica de consumo).

Las empresas utilizan diferentes enfoques analíticos para cada una de las fuentes de riesgo externo.

Pruebas de tensión de riesgo de cola.

Las pruebas de estrés ayudan a las empresas a evaluar los cambios importantes en una o dos variables específicas cuyos efectos serían importantes e inmediatos, aunque el momento exacto no es pronosticable. Las empresas de servicios financieros utilizan pruebas de resistencia para evaluar, por ejemplo, cómo un acontecimiento como la triplicación de los precios del petróleo, una gran fluctuación de los tipos de cambio o de interés, o el impago de una institución importante o un país soberano afectaría a las posiciones comerciales y las inversiones.

Los beneficios de las pruebas de estrés, sin embargo, dependen críticamente de las suposiciones, que pueden ser sesgadas, acerca de cuánto cambiará la variable en cuestión. Las pruebas de tensión de riesgo de cola de muchos bancos en 2007-2008, por ejemplo, asumieron el peor escenario en el que los precios de las viviendas estadounidenses se estabilizaron y permanecieron estables durante varios períodos. Muy pocas empresas pensaron que probarían lo que pasaría si los precios comenzaran a disminuir, un excelente ejemplo de la tendencia a anclar estimaciones en datos recientes y fácilmente disponibles. La mayoría de las empresas extrapolaron de los recientes precios de la vivienda en Estados Unidos, que habían pasado varias décadas sin una disminución general, para desarrollar evaluaciones de mercado excesivamente optimistas.

Planificación de escenarios.

Esta herramienta es adecuada para el análisis a largo plazo, normalmente de cinco a 10 años. Desarrollado originalmente en Shell Oil en la década de 1960, el análisis de escenarios es un proceso sistemático para definir los límites plausibles de los futuros estados del mundo. Los participantes examinan las fuerzas políticas, económicas, tecnológicas, sociales, reguladoras y ambientales y seleccionan a algunos conductores, normalmente cuatro, que tendrían el mayor impacto en la empresa. Algunas empresas recurren explícitamente a la experiencia de sus consejos asesores para informarles sobre tendencias significativas, fuera del enfoque cotidiano de la empresa y de la industria, que deben tenerse en cuenta en sus escenarios.

Para cada uno de los conductores seleccionados, los participantes estiman los valores máximos y mínimos previstos en cinco a 10 años. Combinar los valores extremos para cada uno de los cuatro controladores conduce a 16 escenarios. Alrededor de la mitad tienden a ser inverosímiles y son descartados; los participantes luego evalúan cómo funcionaría la estrategia de su empresa en los escenarios restantes. Si los gerentes ven que su estrategia depende de una visión generalmente optimista, pueden modificarla para adaptarse a escenarios pesimistas o desarrollar planes para cambiar su estrategia en caso de que los primeros indicadores muestren una creciente probabilidad de que los eventos se vuelvan en contra de ella.

Los juegos de guerra.

El juego de guerra evalúa la vulnerabilidad de una empresa frente a tecnologías disruptivo o cambios en las estrategias de los competidores. En un juego de guerra, la compañía asigna a tres o cuatro equipos la tarea de idear estrategias o acciones a corto plazo plausibles que los competidores existentes o potenciales puedan adoptar durante los próximos uno o dos años, un horizonte temporal más corto que el del análisis de escenarios. Los equipos se reúnen para examinar cómo los competidores inteligentes podrían atacar la estrategia de la compañía. El proceso ayuda a superar el sesgo de los líderes para ignorar la evidencia que va en contra de sus creencias actuales, incluyendo la posibilidad de acciones que los competidores podrían tomar para generar disrupción su estrategia.

Las empresas no tienen ninguna influencia sobre la probabilidad de eventos de riesgo identificados a través de métodos tales como pruebas de riesgo de cola, planificación de escenarios y juegos de guerra. Pero los gerentes pueden tomar medidas específicas para mitigar su impacto. Dado que los riesgos morales no surgen para eventos no prevenibles, las empresas pueden utilizar seguros o coberturas para mitigar algunos riesgos, como lo hace una aerolínea cuando se protege contra aumentos bruscos de los precios del combustible mediante el uso de derivados financieros. Otra opción es que las empresas realicen inversiones ahora para evitar costos mucho más elevados posteriormente. Por ejemplo, un fabricante con instalaciones en zonas propensas a terremotos puede aumentar sus costos de construcción para proteger instalaciones críticas contra terremotos graves. Además, las empresas expuestas a riesgos diferentes pero comparables pueden cooperar para mitigarlos. Por ejemplo, los centros de datos de IT de una universidad de Carolina del Norte serían vulnerables al riesgo de huracanes, mientras que los de una universidad comparable en la falla de San Andreas en California serían vulnerables a los terremotos. La probabilidad de que ambos desastres ocurran el mismo día es lo suficientemente pequeña como para que las dos universidades opten por mitigar sus riesgos mediante la copia de seguridad de los sistemas de la otra cada noche.

El desafío de liderazgo

La gestión del riesgo es muy diferente de la estrategia de gestión. La gestión de riesgos se centra en lo negativo: amenazas y fracasos, en lugar de oportunidades y éxitos. Va exactamente en contra de la cultura «puede hacer» que la mayoría de los equipos de liderazgo intentan fomentar al implementar la estrategia. Y muchos líderes tienen una tendencia a descontar el futuro; son reacios a gastar tiempo y dinero ahora para evitar un problema incierto en el futuro que podría ocurrir en el futuro, bajo la vigilancia de otra persona. Además, la mitigación del riesgo suele entrañar la dispersión de recursos y la diversificación de las inversiones, justo lo contrario al enfoque intenso de una estrategia exitosa. Los gerentes pueden encontrar antitético a su cultura defender procesos que identifican los riesgos para las estrategias que ayudaron a formular.

Por estas razones, la mayoría de las empresas necesitan una función separada para manejar la gestión de riesgos estratégicos y externos. El tamaño de la función de riesgo variará de una empresa a otra, pero el grupo debe informar directamente al equipo superior. De hecho, nutrir una estrecha relación con el liderazgo sénior será posiblemente su tarea más crítica; la capacidad de una empresa para capear tormentas depende en gran medida de cuán seriamente los ejecutivos tomen su función de gestión de riesgos cuando el sol brilla y no hay nubes en el horizonte.

Eso fue lo que separó a los bancos que fracasaron en la crisis financiera de los que sobrevivieron. Las empresas fracasadas habían relegado la gestión de riesgos a una función de cumplimiento; sus gestores de riesgos tenían un acceso limitado a la alta dirección y a sus consejos de administración. Además, los ejecutivos ignoraron rutinariamente las advertencias de los administradores de riesgos sobre posiciones altamente apalancadas y concentradas. Por el contrario, Goldman Sachs y JPMorgan Chase, dos firmas que aguardaron bien la crisis financiera, tenían fuertes funciones internas de gestión de riesgos y equipos de liderazgo que comprendieron y gestionaron las múltiples exposiciones al riesgo de las empresas. Barry Zubrow, director de riesgo de JP Morgan Chase, nos dijo: «Puede que tenga el título, pero [CEO] Jamie Dimon es el director de riesgos de la compañía».
La gestión de riesgos no es intuitiva; va en contra de muchos sesgos individuales y organizacionales. Las normas y el cumplimiento pueden mitigar algunos riesgos críticos, pero no todos ellos. La gestión activa y rentable del riesgo requiere que los administradores piensen sistemáticamente acerca de las múltiples categorías de riesgos a los que se enfrentan para que puedan instituir procesos apropiados para cada uno de ellos. Estos procesos neutralizarán su sesgo gerencial de ver el mundo como les gustaría que fuera en lugar de como realmente es o podría llegar a ser.