Desde principios de este siglo, cuando incipientemente al principio y con mayor fuerza después, las empresas comenzaron a pensar en gestionar sus riesgos, hemos avanzado bastante en los aspectos conceptuales y prácticos del risk management.  Vemos que ya casi cualquier empresa mediana grande, y por supuesto aquellas cuyos títulos cotizan en los mercados de capitales, tienen un mapa de riesgo.  Vemos también, que ese mapa está bastante presente en la gestión diaria de las compañías, a diferencia de hace algunos años en los que había empresas que tenían un mapa de riesgo conocido por tan solo unos pocos integrantes del equipo directivo.  En los últimos años notamos un avance en ese aspecto, ahora el mapa de riesgo es conocido por quienes gestionan las organizaciones.  Sin embargo, vemos que el camino hacia una buena gestión de riesgo todavía nos presenta una serie de desafíos.  En lo que respecta a estar preparado para mitigar los riesgos o aprovechar las oportunidades todavía tenemos bastante camino por recorrer.  Muchas empresas tienen su mapa de riesgo, y alguien que se dedica a mantenerlo actualizado mediante cuestionarios e interacciones con los gerentes involucrados en la operación, sin embargo vemos que fallan en dar el siguiente paso, en general, nos cuesta encontrar una buena gestión de los riesgos.  No solemos ver un plan integral que incluya un proceso de revisión constante de los riesgos de la compañía, un seguimiento sistemático de los determinantes de dichos riesgos, un plan de acción tendiente a su mitigación, y un set de políticas tendientes a incorporar la gestión del riesgo a la estrategia misma de la empresa.

Hay varias razones que pueden explicar este comportamiento, pero diría que la más importante es el posicionamiento de la gestión de riesgo, que se sigue viendo como una función de control.  Al risk manager se lo suele ver todavía como alguien que tiene que aprobar un proyecto o un plan de acción, se lo ve como un escollo a superar para poder “trabajar sin problemas”. Una vez una persona del area de negocios de una institución financiera me dijo “una vez que riesgos me puso la aprobación, no me lo quiero volver a encontrar, no vaya a ser cosa que haya cambios…”.  Y, al menos en su acepción moderna, el risk manager es algo totalmente diferente, es el socio estratégico del negocio, es quien ayuda al negocio a tener una mayor probabilidad de poder cumplir con sus objetivos estratégicos.  El risk manager no es quien te dice “no hagas este proyecto porque es riesgoso”, sino que te dice; “dado que la estrategia de la empresa implica entrar en este proyecto, vamos a buscar juntos la mejor manera de tener la mayor probabilidad de tener éxito”.  Se me ocurren pocas maneras mejores de definir un socio estratégico.

Para entender mejor esta diferencia en el  posicionamiento, veamos de definir riesgo e incertidumbre.  Según el diccionario de la Real Academia Española (RAE), Riesgo se define como “contingencia o proximidad de un daño”, es decir, algo malo que podría ocurrir con cierta probabilidad de ocurrencia, mientras que Incertidumbre se define como “falta de certidumbre”.  Nosotros vamos a definir Riesgo, e Incertidumbre (indistintamente a los efectos de nuestros objetivos), como “toda aquella variación con respecto a un valor esperado”.  Es decir, el riesgo, y la incertidumbre, son aquellos eventos, hechos, circunstancias, volatilidades, etc. que nos apartan de nuestro objetivo.  Y en el caso de una empresa, “lo esperado, o el objetivo” es justamente su plan estratégico que se destila en sus proyecciones financieras.  De esta manera vemos que riesgo, o incertidumbre es aquello que nos aleja de la posibilidad de cumplir nuestros objetivos, por eso la gestión de riesgo, es aquello que nos ayuda a tener una mayor probabilidad de cumplirlos.

Hace unos años, trabajando en una organización tuvimos oportunidad de poner este concepto en práctica por primera vez.  La organización estaba terminando al mismo tiempo un plan de redefinición estratégica y un modelo de risk management.  Ambos procesos, que avanzaban en paralelo, habían definido diez objetivos estratégicos, y cuarenta y dos riesgos que se plasmaron en un mapa de riesgo.  El siguiente paso fue el de unificar ambos modelos, para lo cual se analizó cuáles eran los riesgos que afectaban, de manera positiva o negativa, la consecución de cada uno de los objetivos estratégicos, se analizó y documentó el impacto de cada uno de los cuarenta y dos riesgos sobre los diez objetivos estratégicos.  Por supuesto que muchos de los riesgos afectaban más de un objetivo, y cada uno de los objetivos era afectado por más de un riesgo.  Esto ayudó además a validar la importancia de los riesgos identificados; si hubiéramos tenido algún riesgo que no afectaba ningún objetivo estratégico seguramente nos hubieramos debido replantear su incorporación al mapa de riesgo.

A partir del análisis se hizo un cuadro de impacto estratégico de los riesgos como el que mostramos a continuación:

De esa manera, cada vez que la organización trabajaba en las reuniones de estrategia y se discutía el estado de los objetivos, se discutían también los riesgos que los podían afectar, con sus determinantes y el estado de sus estrategias de mitigación. Este análisis se puede complementar trabajando sobre la amplitud de la variabilidad de la consecución de los resultados y estudiando cómo ésta se va modificando a medida que pasa el tiempo y las acciones de gestión van surtiendo efecto.

Este mismo modelo se puede usar también con diferentes niveles de objetivos estratégicos.  Se puede aplicar a las iniciativas que llevan a la consecución de los objetivos estratégicos, usando el mismo formato de análisis.

Lo importante de esta manera de ver el modelo, es que nos ayuda a poner la gestión de los riesgos y la incertidumbre en donde realmente debe estar, en la mesa de estrategia de las organizaciones.