Novedades Artículos y opinión

Revista Estrategas

Tres sencillas preguntas para mitigar los riesgos

PLANES DE MITIGACIÓN El autor advierte que la mayoría de las organizaciones -en gran parte por pedido de los reguladores- tiene algún tipo de mapa de riesgo, pero lamentablemente, se suelen quedar en ese estadío y no avanzan en el diseño de planes de mitigación, que bajen su probabilidad de ocurrencia y/o su impacto.
Publicado 16 de noviembre

L a mayoría de las organizaciones, en gran parte por pedido de los reguladores, tiene algún tipo de mapa de riesgo, pero lamentablemente, se suelen quedar en ese estadío y no avanzan en el diseño de planes de mitigación. Esto hace que, en caso de ocurrir un evento de riesgo, simplemente no estén preparados para reaccionar de manera adecuada, ya sea que se trate de un peligro que se quiera evitar o de una oportunidad que se podría aprovechar. En la mayoría de los casos escuchamos, “y? sabíamos que esto algún día iba a ocurrir” como si por el mero hecho de decir que ya estábamos enterados de que esto podría haber ocurrido nos eximiera de la negligencia de no haber hecho nada. Tener un mapa de riesgos, sin un modelo integral de gestión, es más o menos lo mismo que no tener nada, pero bastante más caro. El problema es que la mitigación de riesgos suele ser una tarea que requiere de un proceso de análisis y pensamiento profundo y no hay recetas sencillas que nos ayuden a realizarlo correctamente. Por eso es común ver empresas que realizan una identificación inicial de los riesgos, tras lo cual se quedan tranquilas, total ya tienen su mapa de riesgo. El problema es que un mapa de riesgo por sí solo, no ayuda a una gestión adecuada. Normalmente, las empresas que no tienen planes de mitigación de riesgos se suelen dar cuenta de su importancia cuando ya es demasiado tarde.

RECETA. Si bien no hay una receta sencilla para diseñar planes de mitigación de riesgos, hay tres preguntas que nos ayudan a enfocar la estrategia adecuada:

  1. ¿Cuál es el riesgo?
  2. ¿De dónde viene?
  3. ¿En dónde impacta y de qué manera?

Estas nos ayudan a pensar con mayor detalle y profundidad en los riesgos y en sus posibles estrategias de mitigación.

Preguntándonos cuál es el riesgo nos forzamos a definirlo de manera correcta. La mayoría de los riesgos que escucho en las primeras rondas de los talleres de identificación de riesgos, suelen estar mal definidos, suelen ser simplemente debilidades de la organización. Debilidades que por sí mismas no constituyen un riesgo. Un ejemplo de definición errónea de riesgo suele ser: “pagamos bajos salarios”. Eso, que puede ser cierto, por sí solo no es un riesgo, el hecho de pagar salarios bajos, no constituye un riesgo en sí mismo, pero sí puede contribuir a que la empresa tenga el riesgo de pérdida de talento, ya sea por incapacidad de retener o atraer el talento necesario. Otro ejemplo de definición poco adecuada de riesgo es hablar del “riesgo de ciberseguridad”. Hoy en día, hablar de ciberseguridad es demasiado genérico. Podemos hablar de un riesgo de robo de datos; riesgo de intrusión en los sistemas y bloqueo de las operaciones, etc. Decir simplemente ciberseguridad es demasiado amplio y no nos permite gestionarlo correctamente.

La segunda pregunta que nos deberemos hacer es ¿De dónde viene ese riesgo? Esta es una pregunta de fundamental impor tancia, ya que nos permite, si logramos seguir adecuadamente aquellas situaciones que lo anticipan, pronosticar la ocurrencia de un riesgo antes de que se materialice. Esto es fundamental por dos razones: la primera es que nos permite estar esperando el evento cuando ocurre y responder de manera eficiente. Pero, la segunda razón por la que es importante poder anticiparnos a los riesgos, es porque en algunas ocasiones el costo de mitigarlos no es menor, por lo que, si somos capaces de activar esos planes de mitigación cerca del momento de ocurrencia, podemos tener un ahorro significativo de costos. Los riesgos no vienen por sí solos, sino que suelen ser explicados por lo que llamamos los determinantes de un riesgo. Podríamos llamarlos los gatillos, o disparadores de un riesgo si eso ayuda a entender mejor la idea. El seguimiento sistemático de los determinantes de un riesgo nos ayuda a diseñar y ejecutar mejores estrategias de mitigación de riesgos.

La tercera pregunta es ¿En dónde impacta el riesgo y de qué manera lo hace? Esta es una pregunta fundamental, ya que nos indica el nivel y el tipo de impacto que podemos tener. Saber si un riesgo va a impactar en el flujo de fondos, en la reputación, en la capacidad de operar o en los resultados de la empresa; saber si hay peligro de que alguien se lastime o, peor aún, una posible pérdida de vidas humanas; o un potencial impacto en el medio ambiente, es muy valioso para poder diseñar una estrategia de mitigación adecuada.

El hecho de pagar salarios bajos, no constituye un riesgo en sí mismo, pero sí puede contribuir a que la empresa tenga el riesgo de pérdida de talento, ya sea por incapacidad de retener o atraer el talento necesario.

Mitigar un riesgo implica bajar su probabilidad de ocurrencia y/o su impacto, y para poder hacerlo es necesario contestar adecuadamente las tres preguntas que planteamos en el artículo. Vamos a un ejemplo concreto. Supongamos que identificamos el riesgo de incendio de nuestra planta industrial, y que encontramos que sus determinantes son:

    • las altas temperaturas de operación de la sala de máquinas
    • la instalación eléctrica obsoleta
    • la falta de capacitación de los empleados.

Supongamos que los impactos identificados son:

    • Un impacto de xx millones en el flujo de fondos de la compañía.
    • La incapacidad de continuar operando normalmente por una determinada cantidad de meses lo que redundaría en un problema con nuestros clientes.
    • La posibilidad de tener heridos y eventuales pérdidas de vidas en el incendio.

El seguimiento sistemático de los determinantes de un riesgo nos ayuda a diseñar y ejecutar mejores estrategias de mitigación de riesgos.

ESTRATEGIAS. Una vez respondidas las tres preguntas, estaremos en condiciones de diseñar y ejecutar las estrategias de mitigación. Veamos algunas de ellas:

  • La modernización de los materiales de planta, y una mejor ventilación de la sala de máquinas van a disminuir la probabilidad de un incendio.
  • El entrenamiento de los empleados en cuanto a la mejor manera de operar la planta en condiciones de riesgo va a disminuir la probabilidad de un incendio.
  • La capacitación de los empleados respecto a cómo comportarse frente a un incendio va a mitigar el impacto en daños materiales, en caso de que el mismo se materialice.
  • Un plan de gestión de crisis (crisis management) y evacuación de la planta, puede ayudar a minimizar la probabilidad de lamentar heridos y eventualmente muertos.
  • Una póliza de seguro contra incendios va a mitigar el impacto en el flujo de fondos.
  • Una póliza contra todo riesgo operativo va a mitigar el impacto en el flujo de fondos de la incapacidad de seguir operando la empresa durante los meses de reconstrucción.
  • Un business continuity plan (BCP) bien diseñado puede mitigar el impacto operativo de la interrupción de las operaciones de la empresa.

Como vemos existen varias maneras, mayormente complementarias, aunque puede haber varias que son redundantes, de mitigar un riesgo; cada una de ellas responde a una necesidad y a lo que intentamos mitigar. No sugerimos que todas las empresas deberán implementar todas estas estrategias de mitigación, pero el objetivo de este artículo es el de mostrar la gran cantidad de estrategias que se pueden encontrar en un sólo riesgo tan sencillo como el riesgo de incendios, si tan sólo se lo analiza de manera adecuada.

16/11/2022 Revista Estrategas - Nota - Información General - Pag. 18