La gestión de riesgos: una estrategia para controlar amenazas

Las empresas se desenvuelven en entornos cada vez más complejos y potencialmente más amenazantes, donde surgen eventos inesperados, que involucran aspectos internos y externos de la organización. La gestión de riesgos apunta precisamente a aprender a convivir con dichos sucesos, enfocando el accionar de la empresa en su prevención y mitigación.Hoy en dí­a, un análisis de la gestión basado únicamente en variables técnico–económico– financieras resulta, como mí­nimo, insuficiente, para administrar y tomar decisiones en ambientes turbulentos, dinámicos y extremadamente cambiantes. De esta manera, prevenir y encarar adecuadamente "desastres predecibles" se vuelve una responsabilidad inherente a la alta gerencia, lo cual exige a su vez una sofisticada percepción de los nuevos entornos y agudizadas capacidades analí­ticas por parte de los lí­deres.Sorpresas predecibles: los desastres que la empresa debió prevenirIncluso las empresas mejor dirigidas, con gerentes altamente capacitados y sólidos procesos de gestión y planificación, son muchas veces sorprendidas por acontecimientos nefastos que deberí­an haber anticipado y para los cuales se suponí­a que debí­an estar preparadas. Analicemos dos ejemplos emblemáticos de estas situaciones:

• El caso Arthur Andersen: es una de las firmas de auditorí­a y consultorí­a más grandes del mundo, que seguramente contaba con los más sólidos estándares en cuanto a su estructura y sistemas de control, difundidos en todas las oficinas del mundo y sometidos a un monitoreo periódico a los efectos de verificar su fiel cumplimiento. A pesar de ello, independientemente de sus estrictos procedimientos y numerosos controles, Arthur Andersen se desplomó a partir de los efectos del caso Enron y sus coletazos posteriores.
• La petrolera Royal Dutch Shell: el 29 de abril de 1995, Shell se aprestaba a hundir una plataforma obsoleta de extracción y almacenamiento de crudo en el Mar del Norte. Esa mañana, un grupo de activistas de Greenpeace abordó dicha plataforma impidiendo su destrucción, difundiendo el hecho ante la opinión pública y comenzando a desencadenar una serie de acontecimientos que incluyeron boicots a sus estaciones de servicio en Alemania, incendios y otros actos de vandalismo en toda Europa. Todo ello, pese a que los propios expertos en seguridad industrial de Shell habí­an alertado a la gerencia sobre la posibilidad de ocurrencia de hechos de este tipo.

¿Por qué suceden estas cosas? ¿Por qué el management de las empresas se ve sorprendido por acontecimientos que se sobrevení­an y que tení­an ante sus ojos, produciéndose el fenómeno de la "sorpresa predecible" (concepto paradójico si los hay)? Existen determinadas barreras que impiden que se vea lo que a los ojos de terceros, parece evidente. Estas barreras pueden dividirse en tres grandes grupos: barreras psicológicas (tendemos a creer que las cosas son como creemos que son, sin considerar las pruebas en contrario); barreras polí­ticas (como las presiones de grupos de poder ante determinados hechos); y las barreras organizacionales (existencia de "feudos" que parcelan la información y esconden los riesgos para conservar su cuota de poder).La gestión de riesgos: identificación, implementación y administración Entonces, las empresas deben adaptarse al entorno y sus circunstancias, considerando la posibilidad de que determinados hechos se presenten y diseñando planes de acción tendientes a minimizar la gravedad de su impacto en la organización. Conceptualmente, se define a la gestión de riesgos como un proceso llevado a cabo por el Directorio, los gerentes y el resto del personal, aplicado al establecimiento de una estrategia, diseñado para identificar los potenciales eventos que puedan afectar a la entidad y para administrar los riesgos dentro de la capacidad de riesgo (o "risk appetite") de la organización, a fin de proveer una seguridad razonable en el logro de los objetivos.Dicha definición implica que se trata de un proceso dinámico, que constituye un medio para un fin y no un fin en sí­ mismo, ejecutado por toda la organización, cuya implementación proporciona una seguridad no absoluta en cuanto a que el manejo de determinados eventos no afecte al desempeño y alcance de objetivos empresariales.La gestión de riesgos involucra las siguientes etapas:1. Establecimiento de objetivos: para poder determinar cuáles son los eventos que pueden afectar a una organización, es necesario que la empresa haya previamente definido sus objetivos estratégicos y operativos en forma consistente. Si no conocemos el rumbo hacia el cual queremos dirigirnos, difí­cilmente sepamos qué problemas podemos enfrentarnos en el camino. Por ejemplo, una empresa comercializadora de productos de consumo masivo que pretenda ser lí­der en un segmento determinado del mercado, deberá orientar sus acciones de marketing operativas en pos de conseguir dicho objetivo.2. Identificación de eventos: considerando los objetivos organizacionales, deben tenerse en cuenta los eventos que potencialmente puedan afectar a la capacidad de la organización de implementar en forma exitosa su estrategia y sus objetivos. Siguiendo el ejemplo anterior, la empresa deberá identificar la posibilidad de que ingrese un nuevo competidor al mercado, ofreciendo productos similares.3. Evaluación de riesgos: una vez reconocidos los eventos amenazantes, se debe analizar la probabilidad de ocurrencia de dichos acontecimientos y su incidencia en el logro de los objetivos de la organización. En el caso de la empresa comercializadora de productos de consumo masivo antes mencionada, se trata de evaluar la probabilidad de ingreso de un nuevo competidor, y la reducción del market share que ello podrí­a acarrear.4. Respuesta al riesgo: habiendo evaluado la probabilidad de presentación de los eventos, la gerencia debe determinar la acción adecuada, que podrá ser: evitar el riesgo; reducir el riesgo; compartirlo; o aceptarlo. A tal efecto, se considera la relación costo–beneficio y se selecciona la respuesta que otorga la probabilidad esperada y el impacto dentro de la tolerancia al riesgo deseada. Una forma que tendrí­a la empresa considerada como ejemplo de reducir el riesgo, es construyendo barreras de ingreso al mercado que le permitan reducirlo.La función de la gerencia en este procesoActualmente, la gestión de riesgos parece únicamente ser una obligación de los bancos, compañí­as de seguros, entidades financieras, empresas que cotizan en bolsa o grandes corporaciones que parecen estar mucho más expuestas o cuyas operaciones resultan de mayor volatilidad. Tradicionalmente, el análisis de riesgos fue diseccionado hacia aspectos especí­ficos del negocio, como el riesgo crediticio al otorgar un préstamo a un cliente, el riesgo de siniestros para una compañí­a de seguros, etc. Una verdadera administración integral de riesgos involucra a la totalidad de la gestión organizacional de cualquier empresa independientemente de su tamaño o actividad, siendo responsabilidad de los directivos identificar los riesgos, acotarlos y lo que es más importante, gerenciarlos.¿Cómo hacerlo? Una empresa puede encarar un proyecto de este tipo a través de la aplicación de una metodologí­a de trabajo bastante sencilla, cuyos pasos se exponen a continuación:

• 1. Elaboración de un diagnóstico de las prácticas de administración de riesgos de la organización.
• 2. Generación de un mapa de riesgos de la empresa, en el que se definan los puntos crí­ticos y la evaluación del posible impacto.
• 3. Diseño de planes de acción, tales como la medición de riesgos en áreas especí­ficas, fortalecimiento del ambiente de control de la organización, ajustes a procesos y procedimientos.
• 4. Implementación y seguimiento de la gestión de riesgos, que comprenda una evaluación sistemática del riesgo. Para esta etapa, existen en el mercado numerosas herramientas informáticas que ayudan a identificar eventos y analizar probabilidades en base a completos modelos de simulación de eventos.

Si bien se considera que llevar a cabo un proyecto de esta naturaleza requiere de una inversión significativa por parte de las empresas, el principal desafí­o es el cambio de mentalidad de la gerencia, considerando que hay determinados hechos e involucrados que ya no pueden soslayarse ni olvidarse. En cuanto a los costos, los beneficios por la identificación y generación de una respuesta ante cualquier hecho amenazante que no hubiera sido considerado por la gerencia en caso de no haber implementado una iniciativa de este tipo, excede largamente el costo de desarrollo del proyecto.Julian Laski julianlaski@pkfargentina.com.arwww.pkfargentina.com.ar