Seguinos en

Revista Estrategas

Del mapa de riesgo a gestionar riesgos

EL NECESARIO CAMBIO CULTURAL
Muchas organizaciones tienen modelos de gestión de riesgo bien estructurados, con mayor o menor grado de complejidad, pero las personas en la empresa no terminan de usar el modelo. ¿Por qué ocurre esto y qué podemos hacer para cambiar esta situación?
Publicado jueves 9 de noviembre de 2023

09/11/2023 Revista Estrategas - Nota - Información General - Pag. 16

"Listo! Ya tenemos nuestro Mapa de Riesgo, ya terminamos el proyecto de riskmanagement”. Esto es lo que probablemente mucha gente piensa al ver la primera versión del mapa de riesgo de su organización. Para llegar a ese momento pasaron una serie de talleres de identificación de riesgos, reuniones de depuración de las varias versiones preliminares, etc. Solemos creer que tener un mapa de riesgo implica hacer gestión de riesgos. Eso es como pensar que, dado que ya me compré la bicicleta y el equipo de ciclista, ya estoy entrenado para ir a correr un gran fondo. No funciona así. De hecho, me he encontrado con empresas que, sin tener un mapa de riesgo formalmente implementado hacen mejor riskmanagement que otras con un mapa de riesgo, y empresas que tienen un modelo formalmente implementado, con un responsable de su seguimiento, pero que no gestionan riesgos; simplemente cumplen con algunas formalidades autoimpuestas o solicitadas por un regulador. Normalmente, en estos casos la función de gestión de riesgos, generalmente encarnada por un Chief Risk Officer, CRO, termina siendo percibida como un estorbo por quienes llevan adelante el negocio. El problema es que, quienes llevan adelante el negocio deberían ser los principales interesados en tener un buen modelo de gestión de riesgo y el CRO debería ser su aliado estratégico. Sin embargo, esto no siempre ocurre.

Si definimos riesgo como todo aquello que nos aparte de nuestro objetivo, es fácil ver a la gestión de los riesgos como una herramienta que ayuda a la empresa a tener una mayor probabilidad de cumplir con sus objetivos. Por eso decimos que es “el socio estratégico de quienes llevan adelante el negocio”, y no una función de control a quien hay que “convencer” o “esquivar” en el camino a conseguir los objetivos de la organización. Lamentablemente, en muchos casos se suele ver al CRO como un obstáculo, una traba burocrática que impide “hacer negocios” o una piedra en el camino a la que hay que superar en el intento de cumplir con los objetivos. En mis conversaciones con directivos de empresas, suelo tener reacciones como “una vez que Riesgos me dio el ok, ya trato de no verlo más”. No lo ven como alguien que nos ayuda a lograr cumplir nuestros objetivos. Después de todo, nuestro objetivo (al menos en una empresa) suele ser el plan estratégico, el plan operativo, el plan de ventas, etc., dependiendo de cuál es nuestra función dentro de la organización. Y dado que es bastante común que una parte de nuestra remuneración dependa de la consecución de dichos objetivos, los incentivos deberían estar alineados con la gestión de lo que nos puede apartar de conseguir los objetivos. Sin embargo, esto no es así; muchas organizaciones tienen modelos de gestión de riesgo bien estructurados, con mayor o menor grado de complejidad, pero las personas en la empresa no terminan de usar el modelo. ¿Por qué ocurre esto? ¿Qué podemos hacer para cambiar esta situación?

SESGOS. Respecto de las razones por las que vemos este comportamiento organizacional, hay múltiples causas, pero seguramente están afectadas por una serie de sesgos que hacen que subestimemos la probabilidad de ocurrencia y el impacto de los riesgos, al tiempo que sobreestimamos nuestra capacidad de solucionar un eventual problema, en caso de que este ocurra. Sin entrar en detalle es fácil ver cómo los sesgos afectan la racionalidad de nuestra toma de decisiones. Vemos también que, en busca de la eficiencia, las organizaciones suelen tener a la gente con un grado de ocupación tan alto que les cuesta agregar una tarea más a su agenda, y, lamentablemente, cuando piensan en el modelo de gestión de riesgos, ven más trabajo en una agenda ya completamente llena. Si a esto le sumamos que deberían invertir recursos escasos, además del tiempo, algo de dinero, para mitigar el impacto de algo que no sabemos si va a ocurrir, es fácil comprender la decisión de no hacer nada. Los presupuestos (y las agendas) cada vez más ajustados de los tiempos que corren no ayudan a tomar esta decisión. Además, recordemos que los sesgos mencionados al inicio de este párrafo nos llevan a no hacer nada. Por estas razones las empresas hacen una gestión mínima e indispensable de los riesgos, generalmente dictada por los eventuales pedidos del regulador. Vemos que esto funciona muy bien mientras no ocurra ningún evento inesperado, ya sea un peligro o una oportunidad; pero cuando ocurre el evento, las compañías quedan desprotegidas frente al peligro o no pueden aprovechar una oportunidad estratégica por no haber previsto su eventual ocurrencia y haber preparado un plan de acción adecuado. Es común ver que, frente a un evento, los directivos tenían consciencia de que podía ocurrir, pero simplemente no estaban preparados para enfrentarlo.

Es necesario implementar un proceso de cambio cultural en el que se logren instalar algunas cuestiones relacionadas con el riesgo en las organizaciones.

CAMBIO CULTURAL. Para cambiar esto es necesario diseñar e implementar un proceso de cambio cultural en el que se logren instalar algunas cuestiones relacionadas con el riesgo en las organizaciones. Los principales objetivos de este proceso son que todos los integrantes de la empresa comprendan:

  • Su modelo de gestión de riesgo. La relación entre gestionar los riesgos y conseguir los objetivos de la empresa.
  • Que todos los negocios generan riesgos.
  • Que no existen empresas que no asumen riesgos, y que asumir riesgos no es malo; que el riesgo es parte integral de los negocios.
  • Que hay que ser consciente de que hay riesgos que conviene asumir y otros que deberán ser eliminados.
  • Que la gestión de los riesgos potencia las capacidades de la empresa, no las frena.

Estos objetivos son ambiciosos y nunca estarán 100% logrados por lo que el cambio cultural es un proceso que empieza, pero no termina; funciona en la empresa de manera continua. Tras la identificación de los riesgos y su medición, la identificación de sus determinantes, y el diseño de sus mitigantes y el armado del mapa de riesgo y el mapa de calor, se deberá comenzar el proceso de cambio cultural, para que este modelo “se viva” en la organización.

La gestión de los riesgos potencia las capacidades de la empresa, no las frena.

Un primer paso crucial es el de diseñar políticas de gestión de riesgo, comunicarlas a todos los integrantes de la empresa y mantenerlas activas. El problema es que la población objetivo a la que tenemos que concientizar suele ser bastante heterogénea. Algo que suele funcionar bien es hacer una encuesta en toda la organización para entender el grado de conocimiento del tema, y en base a eso diseñar planes de comunicación y capacitación en donde sea necesario. Para comunicar adecuadamente la importancia de este tema, se puede recurrir a herramientas tales como artículos, juegos, merchandising interno, en los que se difundan conceptos cortos y fáciles de recordar, tips de seguridad, o el contenido del mensaje que se quiera transmitir. Es útil pensar en frases y slogans que se recuerden con facilidad. También es útil hacer trivias y juegos con premios a quienes internalizan estos conceptos.

Es muy importante recalcar que todo esto funciona si desde los niveles más altos de la organización “se vive” la gestión de riesgo, ya que esto se percibe muy fuertemente en todos los niveles, algo que muchos colegas llaman “tone at the top”.

El autor es profesor del IAE Business School, y Managing Partner de Upside Risks S.A.