“¡Listo!  Ya tenemos nuestro Mapa de Riesgo, ya terminamos el proyecto de risk management”.  Esto es lo que probablemente mucha gente piensa al ver la primera versión del mapa de riesgo de su organización.  Para llegar a ese momento pasaron una serie de talleres de identificación de riesgos, reuniones de depuración de las varias versiones preliminares, etc.  Solemos creer que tener un mapa de riesgo implica hacer gestión de riesgos.   Eso es como pensar que dado que ya me compré la bicicleta y el equipo de ciclista, ya estoy entrenado para ir a correr un gran fondo.  No funciona así.  De hecho me he encontrado con empresas que, sin tener un mapa de riesgo formalmente implementado, hacen mejor risk management que otras con un mapa de riesgo, y un modelo formalmente implementado, con un responsable de su seguimiento, pero que no gestionan riesgos, simplemente cumplen con algunas formalidades autoimpuestas, o solicitadas por un regulador.  Normalmente, en estos casos la función de gestión de riesgos, generalmente encarnada por un Chief Risk Officer, CRO, termina siendo percibido como un estorbo por quienes llevan adelante el negocio.  El problema es que, quienes llevan adelante el negocio, deberían ser los principales interesados en tener un buen modelo de gestión de riesgo y el CRO debería ser su aliado estratégico, sin embargo esto no siempre ocurre.

Si definimos riesgo como todo aquello que nos aparte de nuestro objetivo, es fácil ver a la gestión de los riesgos, como una herramienta que ayuda a la empresa a tener una mayor probabilidad de cumplir con sus objetivos, por decimos que es “el socio estratégico de quienes llevan adelante el negocio”, y no una función de control a quien hay que “convencer” o “esquivar” en el camino a conseguir los objetivos de la organización.  Lamentablemente, en muchos casos se suele ver al CRO como un obstáculo, una traba burocrática que impide “hacer negocios” o una piedra en el camino a la que hay que intentar superar en el intento de cumplir con los objetivos.  En mis conversaciones con directivos de empresas, suelo tener reacciones como “una vez que riesgos me dió el ok ya trato de no verlo más”, no lo ven como alguien que nos ayuda a lograr cumplir nuestros objetivos.  Después de todo, nuestro objetivo (al menos en una empresa) suele ser el plan estratégico, el plan operativo, el plan de ventas, etc., dependiendo de cuál es nuestra función dentro de la organización. Y dado que es bastante común que una parte de nuestra remuneración dependa de la consecución de dichos objetivos, los incentivos deberían estar alineados con la gestión de lo que nos puede apartar de conseguir los objetivos.  Sin embargo esto no es así, muchas organizaciones tienen modelos de gestión de riesgo bien estructurados, con mayor o menor grado de complejidad, pero las personas en la empresa no terminan de usar el modelo. ¿Por qué ocurre esto? ¿Qué podemos hacer para cambiar esta situación?

Respecto de las razones por las que vemos este comportamiento organizacional, hay múltiples causas, pero seguramente están afectadas por una serie de sesgos que hacen que subestimemos la probabilidad de ocurrencia y el impacto de los riesgos al tiempo que  sobreestimamos nuestra capacidad de solucionar un eventual problema, en caso de que éste ocurra.  Sin entrar en detalle es fácil ver cómo los sesgos afectan la racionalidad de nuestra toma de decisiones.  Vemos también que, en busca de la eficiencia, las organizaciones suelen tener a la gente con un grado de ocupación tan alto que les cuesta agregar una tarea más a su agenda, y, lamentablemente, cuando piensan en el modelo de gestión de riesgos, ven más trabajo en una agenda ya completamente llena.  Si a esto le sumamos que deberían invertir recursos escasos, además del tiempo, algo de dinero, para mitigar el impacto de algo que, no sabemos si va a ocurrir, es fácil comprender la decisión de no hacer nada.  Los presupuestos (y las agendas) cada vez más ajustados de los tiempos que corren no ayudan a tomar esta decisión.  Además recordemos que los sesgos mencionados al inicio de este párrafo, nos llevan a no hacer nada.  Por estas razones las empresas hacen una gestión mínima e indispensable de los riesgos, generalmente dictada por los eventuales pedidos del regulador.  Vemos que esto funciona muy bien mientras no ocurra ningún evento inesperado, ya sea un peligro o una oportunidad, pero cuando ocurre el evento, las compañías quedan desprotegidas frente al evento, o no pueden aprovechar una oportunidad estratégica por no haber previsto su eventual ocurrencia y haber preparado un plan de acción adecuado.  Es común ver que frente a un evento, los directivos tenían consciencia de que podía ocurrir, pero simplemente no estaban preparados para enfrentarlo.

Para cambiar esto es necesario diseñar e implementar un proceso de cambio cultural en el que se logren instalar algunas cuestiones relacionadas con el riesgo en las organizaciones.  Los principales objetivos de este proceso son que todos los integrantes de la empresa comprendan:

  • su modelo de gestión de riesgo
  • la relación entre gestionar los riesgos y conseguir los objetivos de la empresa
  • que todos los negocios generan riesgos
  • que no existen empresas que no asumen riesgos, y que asumir riesgos no es malo; que el riesgo es parte integral de los negocios
  • que hay que ser consciente de que hay riesgos que conviene asumir y otros que deberán ser eliminados
  • Que la gestión de los riesgos potencia las capacidades de la empresa, no las frena

Estos objetivos son ambiciosos y nunca estarán 100% logrados por lo que el cambio cultural es un proceso que empieza, pero no termina.  Funciona en la empresa de manera continua.  Tras la identificación de los riesgos y su medición, la identificación de sus determinantes, y el diseño de sus mitigantes y el armado del mapa de riesgo y el mapa de calor, se deberá comenzar el proceso de cambio cultural, para que éste modelo “se viva” en la organización.  Un primer paso crucial es el de diseñar políticas de gestión de riesgo, comunicarlas a todos los integrantes de la empresa, y mantenerlas activas.  El problema es que la población objetivo a la que tenemos que concientizar, suele ser bastante heterogénea.  Algo que suele funcionar bien, es hacer una encuesta en toda organización para entender el grado de conocimiento del tema, y en base a eso diseñar planes de comunicación y capacitación en donde sea necesario.  Para comunicar adecuadamente la importancia de este tema, se puede recurrir a herramientas tales como artículos, juegos, merchandising interno, en los que se difundan conceptos cortos y fáciles de recordar, tips de seguridad, o el contenido del mensaje que se quiera transmitir.  Es útil pensar en frases y slogans que se recuerden con facilidad.  También es útil hacer trivias y juegos con premios a quienes internalizan estos conceptos.

Es muy importante recalcar, que todo esto funciona si desde los niveles más altos de la organización se vive la gestión de riesgo, ya que esto se percibe muy fuertemente en todos los niveles, algo que muchos colegas llaman “tone at the top”.