La gestión de los riesgos: un nuevo marco

Nota de la redacción: Desde que se publicó este número de HBR, JP Morgan, cuyas prácticas de gestión de riesgos se destacan en este artículo, reveló importantes pérdidas de negociación en una de sus unidades. Los autores comentan este giro de los acontecimientos en su contribución al Insight Center de HBR sobre la gestión de conductas de riesgo.

Cuando Tony Hayward se convirtió en CEO de BP, en 2007, se comprometió a hacer de la seguridad su principal prioridad. Entre las nuevas normas que instituyó están los requisitos de que todos los empleados usen tapas en las tazas de café mientras caminan y se abstengan de enviar mensajes de texto mientras conducen. Tres años después, bajo la supervisión de Hayward, la plataforma petrolera Deepwater Horizon explotó en el Golfo de México y provocó uno de los peores desastres provocados por el hombre de la historia. Una comisión de investigación estadounidense atribuyó el desastre a fallos de gestión que paralizaron «la capacidad de las personas involucradas para identificar los riesgos a los que se enfrentaban y evaluarlos, comunicarse y abordarlos adecuadamente».

La historia de Hayward refleja un problema común. A pesar de toda la retórica y el dinero invertido en ello, la gestión de riesgos se trata con demasiada frecuencia como una cuestión de cumplimiento que se puede resolver elaborando muchas normas y asegurándose de que todos los empleados las siguen. Muchas de esas normas, por supuesto, son sensatas y reducen algunos riesgos que podrían perjudicar gravemente a una empresa. Pero la gestión de riesgos basada en normas no disminuirá ni la probabilidad ni el impacto de un desastre como Deepwater Horizon, del mismo modo que no impidió la quiebra de muchas instituciones financieras durante la crisis crediticia de 2007-2008.

En este artículo, presentamos una nueva clasificación del riesgo que permite a los ejecutivos decir qué riesgos se pueden gestionar mediante un modelo basado en reglas y cuáles requieren enfoques alternativos. Examinamos los desafíos individuales y organizacionales inherentes a la generación de debates abiertos y constructivos sobre la gestión de los riesgos relacionados con las decisiones estratégicas y sostenemos que las empresas deben basar estos debates en la formulación de sus estrategias y procesos de implementación. Concluimos analizando cómo las organizaciones pueden identificar y prepararse para los riesgos no evitables que surgen de forma externa a su estrategia y operaciones.

Gestión del riesgo: ¿reglas o diálogo?

El primer paso para crear un sistema de gestión de riesgos eficaz es entender las distinciones cualitativas entre los tipos de riesgos a los que se enfrentan las organizaciones. Nuestros estudios de campo muestran que los riesgos entran en una de tres categorías. Los eventos de riesgo de cualquier categoría pueden ser mortales para la estrategia de una empresa e incluso para su supervivencia.

Categoría I: Riesgos evitables.

Se trata de riesgos internos, derivados de la organización, que son controlables y deben eliminarse o evitarse. Algunos ejemplos son los riesgos derivados de las acciones no autorizadas, ilegales, poco éticas, incorrectas o inapropiadas de los empleados y directivos y los riesgos de las interrupciones en los procesos operativos rutinarios. Sin duda, las empresas deben tener una zona de tolerancia para los defectos o errores que no causen graves daños a la empresa y que evitarlos por completo sería demasiado caro. Pero, en general, las empresas deberían tratar de eliminar estos riesgos, ya que no obtienen ningún beneficio estratégico al asumirlos. Un comerciante deshonesto o un empleado que soborna a un funcionario local puede producir algo beneficios a corto plazo para la empresa, pero con el tiempo esas acciones disminuirán el valor de la empresa.

Identificación y gestión de los riesgos evitables

Las empresas no pueden anticipar todas las circunstancias o conflictos de intereses a los que pueda enfrentarse un empleado. Por lo tanto, la primera línea de defensa contra los

…

La mejor manera de gestionar esta categoría de riesgo es mediante la prevención activa: supervisar los procesos operativos y guiar el comportamiento y las decisiones de las personas hacia las normas deseadas. Como ya existe mucha literatura sobre el enfoque de cumplimiento basado en normas, remitimos a los lectores interesados a la barra lateral «Identificación y gestión de los riesgos evitables» en lugar de un debate completo sobre las mejores prácticas aquí.

Categoría II: Riesgos estratégicos.

Una empresa acepta algunos riesgos de forma voluntaria para generar una rentabilidad superior a partir de su estrategia. Un banco asume el riesgo crediticio, por ejemplo, cuando presta dinero; muchas empresas asumen riesgos a través de sus actividades de investigación y desarrollo.

Los riesgos estratégicos son muy diferentes de los riesgos evitables porque no son intrínsecamente indeseables. Una estrategia con rentabilidades esperadas altas generalmente requiere que la empresa asuma riesgos importantes, y la gestión de esos riesgos es un factor clave para captar las posibles ganancias. BP aceptó los altos riesgos de perforar varios kilómetros por debajo de la superficie del Golfo de México debido al alto valor del petróleo y el gas que esperaba extraer.

Riesgos estratégicos no se puede gestionar mediante un modelo de control basado en reglas. En cambio, necesita un sistema de gestión de riesgos diseñado para reducir la probabilidad de que los riesgos asumidos se materialicen realmente y para mejorar la capacidad de la empresa para gestionar o contener los eventos de riesgo en caso de que se produzcan. Un sistema así no impediría que las empresas emprendieran proyectos arriesgados; por el contrario, permitiría a las empresas emprender proyectos de mayor riesgo y mayor rentabilidad que los competidores con una gestión de riesgos menos eficaz.

Categoría III: Riesgos externos.

Algunos riesgos se derivan de acontecimientos ajenos a la empresa y están fuera de su influencia o control. Las fuentes de estos riesgos incluyen los desastres naturales y políticos y los grandes cambios macroeconómicos. Los riesgos externos requieren otro enfoque. Como las empresas no pueden impedir que se produzcan estos eventos, su dirección debe centrarse en la identificación (suelen ser evidentes en retrospectiva) y en la mitigación de su impacto.

Comprender las tres categorías de riesgo

Los riesgos a los que se enfrentan las empresas se dividen en tres categorías, cada una de las cuales requiere un enfoque de gestión de riesgos diferente. Los riesgos evitables, derivados de una organización, se supervisan y controlan mediante normas, valores y herramientas de cumplimiento estándar. Por el contrario, los riesgos estratégicos y los riesgos externos requieren procesos distintos que animen a los directivos a hablar abiertamente de los riesgos y a encontrar formas rentables de reducir la probabilidad de que se produzcan eventos de riesgo o mitigar sus consecuencias.

1. Riesgos evitables

2. Riesgos estratégicos

3. Riesgos externos

DESCRIPCIÓN DE LA CATEGORÍA

1. Riesgos evitables

Riesgos derivados de la empresa que no generan ningún beneficio estratégico

2. Riesgos estratégicos

Riesgos asumidos para obtener una rentabilidad estratégica superior

3. Riesgos externos

Riesgos externos e incontrolables

OBJETIVO DE MITIGACIÓN DE RIESGOS

1. Riesgos evitables

Evitar o eliminar la incidencia de forma rentable

2. Riesgos estratégicos

Reducir la probabilidad y el impacto de forma rentable

3. Riesgos externos

Reducir el impacto de forma rentable en caso de que se produzca un evento de riesgo

MODELO DE CONTROL

1. Riesgos evitables

Modelo integrado de cultura y cumplimiento:

Desarrollar la declaración de misión; los sistemas de valores y creencias; los sistemas de normas y límites; los procedimientos operativos estándar; los controles internos y la auditoría interna

2. Riesgos estratégicos

Debates interactivos sobre los riesgos para los objetivos estratégicos, basados en herramientas como:

• Mapas de probabilidad e impacto de los riesgos identificados
• Tarjetas de mando de indicadores clave de riesgo (KRI)

Asignación de recursos para mitigar los eventos de riesgo crítico

3. Riesgos externos

«Imaginar» los riesgos mediante:

• Evaluaciones del riesgo de cola y pruebas de estrés
• Planificación de escenarios
• Juegos de guerra

PAPEL DE LA FUNCIÓN DEL PERSONAL DE GESTIÓN DE RIESGOS

1. Riesgos evitables

Coordina, supervisa y revisa los controles de riesgo específicos con una función de auditoría interna

2. Riesgos estratégicos

Dirige talleres y reuniones de revisión de riesgos

Ayuda a desarrollar una cartera de iniciativas de riesgo y su financiación

Actúa como abogado del diablo

3. Riesgos externos

Realiza ejercicios de pruebas de estrés, planificación de escenarios y juegos de guerra con el equipo directivo

Actúa como abogado del diablo

RELACIÓN DE LA FUNCIÓN DE GESTIÓN DE RIESGOS CON LAS UNIDADES DE NEGOCIO

1. Riesgos evitables

Actúa como supervisores independientes

2. Riesgos estratégicos

Actúa como facilitadores independientes, expertos independientes o expertos integrados

3. Riesgos externos

Complementa el equipo de estrategia o actúa como facilitador independiente de los ejercicios de «visión»

Las empresas deben adaptar sus procesos de gestión de riesgos a estas diferentes categorías. Si bien un enfoque basado en el cumplimiento es eficaz para gestionar los riesgos evitables, es totalmente inadecuado para los riesgos estratégicos o los riesgos externos, que requieren un enfoque fundamentalmente diferente basado en debates abiertos y explícitos sobre los riesgos. Sin embargo, es más fácil decirlo que hacerlo; amplias investigaciones conductuales y organizacionales han demostrado que las personas tienen fuertes sesgos cognitivos que las desalientan de pensar y hablar del riesgo hasta que es demasiado tarde.

Por qué es difícil hablar del riesgo

Varios estudios han descubierto que las personas sobreestiman su capacidad para influir en eventos que, de hecho, están determinados en gran medida por el azar. Tendemos a ser demasiado confiado sobre la precisión de nuestras previsiones y evaluaciones de riesgos y es demasiado limitada en nuestra evaluación de la gama de resultados que pueden producirse.

Nosotros también anclar nuestras estimaciones a las pruebas fácilmente disponibles, a pesar del conocido peligro de hacer extrapolaciones lineales de la historia reciente a un futuro muy incierto y variable. A menudo agravamos este problema con un sesgo de confirmación, lo que nos lleva a favorecer la información que apoya nuestras posiciones (normalmente éxitos) y a suprimir la información que las contradice (normalmente fracasos). Cuando los acontecimientos se alejan de nuestras expectativas, tendemos a aumentar el compromiso, Dirigir irracionalmente aún más recursos a nuestro plan de acción fallido, desperdiciando dinero bueno tras malo.

Los sesgos organizacionales también inhiben nuestra capacidad de hablar del riesgo y el fracaso. En particular, los equipos que se enfrentan a condiciones inciertas suelen participar en pensamiento grupal: Una vez que una línea de conducta ha obtenido el apoyo de un grupo, los que aún no se han unido tienden a suprimir sus objeciones, por válidas que sean, y a hacer cola. El pensamiento grupal es especialmente probable si el equipo está dirigido por un gerente autoritario o demasiado confiado que quiere minimizar los conflictos, los retrasos y los desafíos a su autoridad.

En conjunto, estos sesgos individuales y organizacionales explican por qué tantas empresas pasan por alto o malinterpretan las amenazas ambiguas. En lugar de mitigar el riesgo, las empresas incuban el riesgo a través del normalización de la desviación, a medida que aprenden a tolerar fallos y defectos aparentemente menores y a tratar las señales de alerta temprana como falsas alarmas en lugar de alertas de un peligro inminente.

Los procesos eficaces de gestión de riesgos deben contrarrestar esos sesgos. «La mitigación del riesgo es dolorosa, no es un acto natural para los humanos», afirma Gentry Lee, ingeniero jefe de sistemas del Laboratorio de Propulsión a Chorro (JPL), una división de la Administración Nacional de Aeronáutica y del Espacio de los Estados Unidos. Los científicos espaciales de los equipos del proyecto JPL son los mejores graduados de universidades de élite, muchos de los cuales nunca han fracasado en la escuela o el trabajo. El mayor desafío de Lee para establecer una nueva cultura de riesgo en el JPL era lograr que los equipos de proyecto se sintieran cómodos pensando y hablando sobre lo que podría salir mal con sus excelentes diseños.

Las normas sobre qué hacer y qué no hacer no ayudarán en este caso. De hecho, suelen tener el efecto contrario, ya que fomentan una mentalidad de listas de verificación que inhibe el desafío y el debate. Gestionar los riesgos estratégicos y los riesgos externos requiere enfoques muy diferentes. Empezamos por analizar cómo identificar y mitigar los riesgos estratégicos.

Gestionar los riesgos estratégicos

Durante los últimos 10 años de estudio, hemos descubierto tres enfoques distintos para gestionar los riesgos estratégicos. El modelo adecuado para una empresa determinada depende en gran medida del contexto en el que opere la organización. Cada enfoque requiere estructuras y funciones muy diferentes para una función de gestión de riesgos, pero los tres animan a los empleados a cuestionar las suposiciones existentes y a debatir la información sobre los riesgos. Nuestra conclusión de que «una talla única no sirve para todos» va en contra de los esfuerzos de las autoridades reguladoras y las asociaciones profesionales por estandarizar la función.

Expertos independientes.

Algunas organizaciones, especialmente las que, como el JPL, van más allá de la innovación tecnológica, se enfrentan a un alto riesgo intrínseco al llevar a cabo proyectos de desarrollo de productos largos, complejos y costosos. Pero dado que gran parte del riesgo proviene de hacer frente a las leyes naturales conocidas, el riesgo cambia lentamente con el tiempo. Para estas organizaciones, la gestión de riesgos se puede gestionar a nivel de proyecto.

El JPL, por ejemplo, ha creado una junta de revisión de riesgos compuesta por expertos técnicos independientes cuya función es impugnar las decisiones de diseño, evaluación y mitigación de los riesgos de los ingenieros de proyectos. Los expertos se aseguran de que las evaluaciones del riesgo se realicen periódicamente a lo largo del ciclo de desarrollo del producto. Como los riesgos son relativamente inmutables, la junta de revisión solo tiene que reunirse una o dos veces al año, y el líder del proyecto y el director de la junta de revisión se reúnen trimestralmente.

Las reuniones de la junta de revisión de riesgos son intensas y crean lo que Gentry Lee llama «una cultura de confrontación intelectual». Como dice Chris Lewicki, miembro de la junta: «Nos separamos, tiramos piedras y hacemos comentarios muy críticos sobre todo lo que está sucediendo». En el proceso, los ingenieros de proyectos ven su trabajo desde otra perspectiva. «Les aleja la nariz de la muela», añade Lewicki.

Las reuniones, tanto constructivas como conflictivas, no pretenden impedir que el equipo del proyecto lleve a cabo misiones y diseños muy ambiciosos. Pero obligan a los ingenieros a pensar con antelación sobre cómo describirán y defenderán sus decisiones de diseño y si han tenido suficientemente en cuenta los posibles fallos y defectos. Los miembros de la junta, que actúan como defensores del diablo, contrarrestan el exceso de confianza natural de los ingenieros y ayudan a evitar que se intensifique el compromiso con proyectos con niveles de riesgo inaceptables.

La gestión de riesgos es dolorosa, no es un acto natural para los humanos.

En el JPL, la junta de revisión de riesgos no solo promueve un debate vigoroso sobre los riesgos del proyecto, sino que también tiene autoridad sobre los presupuestos. La junta establece las reservas de costes y tiempo que se reservan para cada componente del proyecto según su grado de innovación. Una simple ampliación con respecto a una misión anterior requeriría una reserva financiera del 10 al 20%, por ejemplo, mientras que un componente completamente nuevo que aún no hubiera funcionado en la Tierra (y mucho menos en un planeta inexplorado) podría requerir una contingencia del 50 al 75% Las reservas garantizan que, cuando inevitablemente surjan problemas, el equipo del proyecto tenga acceso al dinero y al tiempo necesarios para resolverlos sin poner en peligro la fecha de lanzamiento. JPL se toma las estimaciones en serio; los proyectos se han aplazado o cancelado si los fondos eran insuficientes para cubrir las reservas recomendadas.

Facilitadores.

Muchas organizaciones, como las empresas tradicionales de energía y agua, operan en entornos tecnológicos y de mercado estables, con una demanda de los clientes relativamente predecible. En estas situaciones, los riesgos se deben en gran medida a decisiones operativas aparentemente no relacionadas en una organización compleja, que se acumulan de forma gradual y pueden permanecer ocultas durante mucho tiempo.

Como ningún grupo de personal tiene los conocimientos necesarios para realizar la gestión de riesgos a nivel operativo en diversas funciones, las empresas pueden desplegar un grupo central de gestión de riesgos relativamente pequeño que recopile información de los directores de operaciones. Esto aumenta la conciencia de los directivos sobre los riesgos que se han asumido en la organización y proporciona a los responsables de la toma de decisiones una visión completa del perfil de riesgo de la empresa.

Leer más sobre

Cuando cada empleado es un gestor de riesgos

Observamos este modelo en acción en Hydro One, la empresa eléctrica canadiense. El director de riesgos, John Fraser, con el respaldo explícito del CEO, dirige docenas de talleres cada año en los que los empleados de todos los niveles y funciones identifican y clasifican los principales riesgos que ven para los objetivos estratégicos de la empresa. Los empleados utilizan una tecnología de votación anónima para calificar cada riesgo, en una escala del 1 al 5, en términos de su impacto, probabilidad de que se produzca y fortaleza de los controles existentes. Las clasificaciones se discuten en los talleres y los empleados están facultados para expresar y debatir su percepción del riesgo. En última instancia, el grupo desarrolla una visión consensuada que se registra en un mapa visual de riesgos, recomienda planes de acción y designa un «propietario» para cada riesgo importante.

Hydro One refuerza la responsabilidad al vincular capital decisiones de asignación y presupuestación para identificar los riesgos. El proceso de planificación del capital a nivel corporativo asigna cientos de millones de dólares, principalmente a proyectos que reducen el riesgo de forma eficaz y eficiente. El grupo de riesgo recurre a expertos técnicos para impugnar los planes de inversión y las evaluaciones de riesgos de los ingenieros de línea y para supervisar por expertos independientes el proceso de asignación de recursos. En la reunión anual de asignación de capital, los gerentes de línea tienen que defender sus propuestas ante sus pares y altos ejecutivos. Los directores quieren que sus proyectos atraigan financiación en el proceso de planificación del capital basado en el riesgo, para que aprendan a superar su sesgo de ocultar o minimizar los riesgos en sus áreas de responsabilidad.

Expertos en embebidos.

El sector de los servicios financieros plantea un desafío único debido a la volátil dinámica de los mercados de activos y al posible impacto de las decisiones que toman los operadores y gestores de inversiones descentralizados. El perfil de riesgo de un banco de inversión puede cambiar drásticamente con una sola operación o con un movimiento importante del mercado. Para estas empresas, la gestión de riesgos requiere expertos integrados en la organización para supervisar e influir continuamente en el perfil de riesgo de la empresa, trabajando codo a codo con los directores de línea cuyas actividades generan nuevas ideas, innovación y riesgos y, si todo va bien, beneficios.

El principal peligro de incluir a los gestores de riesgos en la organización de línea es que «se vuelven nativos», es decir, se convierten en negociadores en lugar de en cuestionadores de acuerdos.

El banco privado JP Morgan adoptó este modelo en 2007, al principio de la crisis financiera mundial. Los gestores de riesgos, integrados en la organización de línea, rinden cuentas tanto a los ejecutivos de la línea como a una función de gestión de riesgos centralizada e independiente. El contacto cara a cara con los gestores de línea permite a los gestores de riesgos expertos en el mercado hacer preguntas continuas sobre «qué pasaría si», lo que pone en duda las suposiciones de los gestores de carteras y los obliga a analizar diferentes escenarios. Los gestores de riesgos evalúan cómo las operaciones propuestas afectan al riesgo de toda la cartera de inversiones, no solo en circunstancias normales sino también en momentos de estrés extremo, cuando las correlaciones de rentabilidad entre las diferentes clases de activos se intensifican. «Los gestores de carteras acuden a mí con tres operaciones, y el modelo [de riesgo] puede decir que las tres aumentan el mismo tipo de riesgo», explica Gregoriy Zhikarev, gestor de riesgos de JP Morgan. «Nueve de cada 10 veces un gerente dice: ‘No, eso no es lo que quiero hacer’. Entonces podemos sentarnos y rediseñar las operaciones».

El principal peligro de incluir a los gestores de riesgos en la organización de línea es que «pasan a ser nativos» y se alinean con el círculo íntimo del equipo directivo de la unidad de negocio, convirtiéndose en negociadores en lugar de en cuestionadores de acuerdos. Prevenir esto es responsabilidad del director superior de riesgos de la empresa y, en última instancia, del CEO, que marca la pauta de la cultura de riesgos de la empresa.

Evitar la trampa funcional

Incluso si los gerentes tienen un sistema que promueve discusiones enriquecedoras sobre el riesgo, les espera una segunda trampa cognitivo-conductual. Como muchos riesgos estratégicos (y algunos riesgos externos) son bastante predecibles, incluso familiares, las empresas tienden a etiquetarlos y compartimentarlos, especialmente según las funciones empresariales. Los bancos suelen gestionar lo que denominan «riesgo crediticio», «riesgo de mercado» y «riesgo operativo» en grupos distintos. Otras empresas compartimentan la gestión del «riesgo de marca», el «riesgo de reputación», el «riesgo de la cadena de suministro», el «riesgo de recursos humanos», el «riesgo de TI» y el «riesgo financiero».

Estos silos organizativos dispersan tanto la información como la responsabilidad para una gestión eficaz de los riesgos. Inhiben el debate sobre cómo interactúan los diferentes riesgos. Las discusiones sobre el buen riesgo no solo deben ser conflictivas sino también integradoras. Los negocios pueden descarrilarse por una combinación de pequeños acontecimientos que se refuerzan unos a otros de formas imprevistas.

Los directivos pueden desarrollar una perspectiva de riesgo en toda la empresa basando sus debates en la planificación estratégica, el único proceso integrador que ya tienen la mayoría de las empresas bien gestionadas. Por ejemplo, Infosys, la empresa india de servicios de TI, genera debates sobre los riesgos a partir del Cuadro de Mando Integral, su herramienta de gestión para la medición de estrategias y la comunicación. «A medida que nos preguntamos qué riesgos deberíamos analizar», afirma el Dr. Ranganath, director de riesgos, «poco a poco nos centramos en los riesgos para los objetivos empresariales especificados en nuestro cuadro de mando corporativo».

Al crear su cuadro de mando integral, Infosys identificó el «aumento de las relaciones con los clientes» como un objetivo clave y seleccionó los parámetros para medir el progreso, como el número de clientes globales con una facturación anual superior a los 50 millones de dólares y el aumento porcentual anual de los ingresos de los grandes clientes. Al analizar el objetivo y las métricas de rendimiento juntos, la dirección se dio cuenta de que su estrategia había introducido un nuevo factor de riesgo: el incumplimiento del cliente. Cuando el negocio de Infosys se basaba en numerosos clientes pequeños, el incumplimiento de un solo cliente no pondría en peligro la estrategia de la empresa. Pero el incumplimiento de un cliente de 50 millones de dólares representaría un gran revés. Infosys empezó a supervisar la tasa de permuta de incumplimiento crediticio de todos los grandes clientes como uno de los principales indicadores de la probabilidad de impago. Cuando la tarifa de un cliente aumentaba, Infosys aceleraba el cobro de las cuentas por cobrar o solicitaba pagos progresivos para reducir la probabilidad o el impacto del impago.

Para poner otro ejemplo, piense en Volkswagen do Brasil (posteriormente abreviada como VW), la filial brasileña del fabricante de automóviles alemán. La unidad de gestión de riesgos de VW utiliza el mapa estratégico de la empresa como punto de partida para sus diálogos sobre el riesgo. Para cada objetivo del mapa, el grupo identifica los eventos de riesgo que podrían provocar que VW no alcance ese objetivo. A continuación, el equipo genera una tarjeta de eventos de riesgo para cada riesgo del mapa, con los efectos prácticos del evento en las operaciones, la probabilidad de que se produzca, los principales indicadores y las posibles medidas de mitigación. También identifica quién tiene la responsabilidad principal de gestionar el riesgo.

Ver más gráficos de HBR en Datos e imágenes

El equipo de riesgos presenta entonces un resumen de alto nivel de los resultados a la alta dirección.

Ver más gráficos de HBR en Datos e imágenes

Además de introducir un proceso sistemático para identificar y mitigar los riesgos estratégicos, las empresas también necesitan una estructura de supervisión de los riesgos. Infosys utiliza una estructura dual: un equipo central de riesgos que identifica los riesgos de la estrategia general y establece la política central, y equipos funcionales especializados que diseñan y supervisan las políticas y los controles en consulta con los equipos empresariales locales. Los equipos descentralizados tienen la autoridad y la experiencia necesarias para ayudar a las líneas de negocio a responder a las amenazas y los cambios en sus perfiles de riesgo, y solo elevan las excepciones al equipo central de riesgos para su revisión. Por ejemplo, si un gestor de relaciones con los clientes quiere conceder un período de crédito más largo a una empresa cuyos parámetros de riesgo crediticio son altos, el gestor de riesgos funcionales puede enviar el caso al equipo central para que lo revise.

Estos ejemplos muestran que el tamaño y el alcance de la función de riesgo no vienen dictados por el tamaño de la organización. Hydro One, una gran empresa, tiene un grupo de riesgo relativamente pequeño para generar conciencia y comunicación sobre los riesgos en toda la empresa y para asesorar al equipo ejecutivo sobre la asignación de recursos en función del riesgo. Por el contrario, las empresas o unidades relativamente pequeñas, como JPL o JP Morgan Private Bank, necesitan varios consejos de revisión a nivel de proyecto o equipos de gestores de riesgos integrados para aplicar su experiencia en el campo y evaluar el riesgo de las decisiones empresariales. E Infosys, una gran empresa con un amplio alcance operativo y estratégico, necesita una función de gestión de riesgos sólida y centralizada, así como gestores de riesgos dispersos que apoyen las decisiones empresariales locales y faciliten el intercambio de información con el grupo de riesgo centralizado.

Gestionar lo incontrolable

Los riesgos externos, la tercera categoría de riesgo, no pueden reducirse ni evitarse normalmente mediante los enfoques utilizados para gestionar los riesgos evitables y estratégicos. Los riesgos externos escapan en gran medida al control de la empresa; las empresas deben centrarse en identificarlos, evaluar su posible impacto y determinar la mejor manera de mitigar sus efectos en caso de que se produzcan.

Algunos eventos de riesgo externos son lo suficientemente inminentes como para que los gerentes puedan gestionarlos como lo hacen con sus riesgos estratégicos. Por ejemplo, durante la desaceleración económica tras la crisis financiera mundial, Infosys identificó un nuevo riesgo relacionado con su objetivo de desarrollar una fuerza laboral mundial: un aumento del proteccionismo, que podría llevar a restricciones estrictas a los visados y permisos de trabajo para ciudadanos extranjeros en varios países de la OCDE en los que Infosys tenía grandes contratos con clientes. Aunque la legislación proteccionista es técnicamente un riesgo externo, ya que está fuera del control de la empresa, Infosys lo trató como un riesgo estratégico y creó una tarjeta de eventos de riesgo para ello, que incluía un nuevo indicador de riesgo: el número y el porcentaje de sus empleados con doble ciudadanía o permisos de trabajo en vigor fuera de la India. Si esta cifra cayera debido a la rotación del personal, la estrategia global de Infosys podría ponerse en peligro. Por lo tanto, Infosys puso en marcha políticas de contratación y retención que mitigan las consecuencias de este evento de riesgo externo.

Sin embargo, la mayoría de los eventos de riesgo externo requieren un enfoque analítico diferente, ya sea porque su probabilidad de ocurrir es muy baja o porque a los gerentes les resulta difícil imaginarlos durante sus procesos estratégicos normales. Hemos identificado varias fuentes diferentes de riesgos externos:

• Desastres naturales y económicos con un impacto inmediato. Estos riesgos son predecibles en general, aunque no suelen ser oportunos (algún día se producirá un gran terremoto en California, pero no se sabe exactamente dónde ni cuándo). Puede que solo se anticipen con señales relativamente débiles. Los ejemplos incluyen los desastres naturales, como la erupción del volcán islandés de 2010, que cerró el espacio aéreo europeo durante una semana, y los desastres económicos, como el estallido de una importante burbuja de precios de los activos. Cuando se producen estos riesgos, sus efectos suelen ser drásticos e inmediatos, como vimos en la perturbación provocada por el terremoto y el tsunami japoneses de 2011.

• Cambios geopolíticos y ambientales con un impacto a largo plazo. Estos incluyen los cambios políticos, como los principales cambios de política, los golpes de estado, las revoluciones y las guerras; los cambios ambientales a largo plazo, como el calentamiento global, y el agotamiento de recursos naturales críticos, como el agua dulce.

• Riesgos competitivos con impacto a medio plazo. Estos incluyen la aparición de tecnologías disruptivas (como Internet, los teléfonos inteligentes y los códigos de barras) y las medidas estratégicas radicales de los actores del sector (como la entrada de Amazon en la venta minorista de libros y de Apple en las industrias de la telefonía móvil y la electrónica de consumo).

Las empresas utilizan diferentes enfoques analíticos para cada una de las fuentes de riesgo externo.

Pruebas de esfuerzo con riesgo en la cola.

Las pruebas de resistencia ayudan a las empresas a evaluar los cambios importantes en una o dos variables específicas cuyos efectos serían importantes e inmediatos, aunque no se puede pronosticar el momento exacto. Las empresas de servicios financieros utilizan las pruebas de resistencia para evaluar, por ejemplo, cómo un hecho como la triplicación de los precios del petróleo, una gran oscilación de los tipos de cambio o de interés o la quiebra de una importante institución o país soberano afectaría a las posiciones comerciales y a las inversiones.

Sin embargo, los beneficios de las pruebas de resistencia dependen en gran medida de las suposiciones —que en sí mismas pueden estar sesgadas— sobre cuánto cambiará la variable en cuestión. Las pruebas de resistencia al riesgo de cola que realizaron muchos bancos en 2007-2008, por ejemplo, partieron del peor de los casos, en el que los precios de la vivienda en EE. UU. se estabilizaron y permanecieron estables durante varios períodos. Muy pocas empresas pensaron en comprobar qué pasaría si los precios empezaran a bajar, un excelente ejemplo de la tendencia a basar las estimaciones en los datos recientes y fácilmente disponibles. La mayoría de las empresas extrapolaron los precios recientes de la vivienda en EE. UU., que habían pasado varias décadas sin una caída general, para desarrollar evaluaciones de mercado demasiado optimistas.

Planificación de escenarios.

Esta herramienta es adecuada para análisis a largo plazo, normalmente dentro de cinco a 10 años. Desarrollado originalmente en Shell Oil en la década de 1960, el análisis de escenarios es un proceso sistemático para definir los límites plausibles de los futuros estados del mundo. Los participantes examinan las fuerzas políticas, económicas, tecnológicas, sociales, reguladoras y ambientales y seleccionan algunos factores (normalmente cuatro) que tendrían el mayor impacto en la empresa. Algunas empresas recurren explícitamente a la experiencia de sus consejos asesores para informarles sobre tendencias importantes, ajenas al enfoque diario de la empresa y del sector, que deberían tenerse en cuenta en sus escenarios.

Para cada uno de los conductores seleccionados, los participantes estiman los valores máximos y mínimos anticipados en un plazo de cinco a 10 años. La combinación de los valores extremos de cada uno de los cuatro conductores conduce a 16 escenarios. Aproximadamente la mitad tiende a ser inverosímil y se descarta; los participantes evalúan entonces el rendimiento de la estrategia de su empresa en los escenarios restantes. Si los directivos ven que su estrategia depende de una visión generalmente optimista, pueden modificarla para adaptarse a escenarios pesimistas o desarrollar planes para cambiar su estrategia en caso de que los primeros indicadores muestren una probabilidad creciente de que los acontecimientos se pongan en su contra.

Juegos de guerra.

Los juegos de guerra evalúan la vulnerabilidad de una empresa a las tecnologías disruptivas o a los cambios en las estrategias de la competencia. En un juego de guerra, la empresa asigna a tres o cuatro equipos la tarea de diseñar estrategias o acciones plausibles a corto plazo que los competidores actuales o potenciales puedan adoptar durante los próximos uno o dos años, un horizonte temporal más corto que el del análisis de escenarios. Luego, los equipos se reúnen para examinar cómo los competidores inteligentes podrían atacar la estrategia de la empresa. El proceso ayuda a superar el sesgo de los líderes de ignorar las pruebas que van en contra de sus creencias actuales, incluida la posibilidad de que los competidores tomen medidas para generar disrupción en su estrategia.

La capacidad de una empresa para capear las tormentas depende de la seriedad con la que los ejecutivos se tomen la gestión de riesgos cuando brilla el sol y no hay nubes en el horizonte.

Las empresas no tienen ninguna influencia en la probabilidad de que se identifiquen los eventos de riesgo mediante métodos como las pruebas de riesgo de cola, la planificación de escenarios y los juegos de guerra. Pero los gerentes pueden tomar medidas específicas para mitigar su impacto. Como el riesgo moral no existe en caso de hechos no evitables, las compañías pueden utilizar los seguros o las coberturas para mitigar algunos riesgos, como hace una compañía aérea cuando se protege de las fuertes subidas de los precios del combustible mediante el uso de derivados financieros. Otra opción es que las empresas inviertan ahora para evitar costes mucho más altos en el futuro. Por ejemplo, un fabricante con instalaciones en zonas propensas a terremotos puede aumentar sus costes de construcción para proteger las instalaciones críticas de los terremotos graves. Además, las empresas expuestas a riesgos diferentes pero comparables pueden cooperar para mitigarlos. Por ejemplo, los centros de datos de TI de una universidad de Carolina del Norte serían vulnerables al riesgo de huracanes, mientras que los de una universidad similar en la falla de San Andrés en California serían vulnerables a los terremotos. La probabilidad de que ambos desastres ocurran el mismo día es lo suficientemente pequeña como para que las dos universidades puedan optar por mitigar sus riesgos haciendo copias de seguridad de los sistemas de la otra todas las noches.

El desafío del liderazgo

Gestionar el riesgo es muy diferente a gestionar la estrategia. La gestión de riesgos se centra en lo negativo: las amenazas y los fracasos más que en las oportunidades y los éxitos. Va exactamente en contra de la cultura de «sí se puede hacer» que la mayoría de los equipos de liderazgo tratan de fomentar a la hora de implementar la estrategia. Y muchos líderes tienden a descartar el futuro; se muestran reacios a gastar tiempo y dinero ahora para evitar un problema futuro incierto que podría ocurrir en el futuro, bajo la supervisión de otra persona. Además, mitigar el riesgo normalmente implica dispersar los recursos y diversificar las inversiones, justo lo contrario del enfoque intenso de una estrategia exitosa. Los gerentes pueden encontrar la antítesis de su cultura defender los procesos que identifican los riesgos para las estrategias que ayudaron a formular.

Por esas razones, la mayoría de las empresas necesitan una función independiente que se encargue de la gestión estratégica y de los riesgos externos. El tamaño de la función de riesgos variará de una empresa a otra, pero el grupo debe rendir cuentas directamente al equipo superior. De hecho, fomentar una relación estrecha con la alta dirección será sin duda su tarea más importante; la capacidad de una empresa para capear las tormentas depende en gran medida de la seriedad con la que los ejecutivos se tomen su función de gestión de riesgos cuando brilla el sol y no hay nubes en el horizonte.

Eso fue lo que separó a los bancos que quebraron en la crisis financiera de los que sobrevivieron. Las empresas en quiebra habían relegado la gestión de riesgos a una función de cumplimiento; sus gestores de riesgos tenían acceso limitado a la alta dirección y a sus consejos de administración. Además, los ejecutivos ignoraban rutinariamente las advertencias de los gestores de riesgos sobre los puestos altamente apalancados y concentrados. Por el contrario, Goldman Sachs y JPMorgan Chase, dos firmas que capearon bien la crisis financiera, tenían funciones de gestión de riesgos internas sólidas y equipos directivos que entendían y gestionaban las múltiples exposiciones al riesgo de las empresas. Barry Zubrow, director de riesgos de JP Morgan Chase, nos dijo: «Puede que tenga el cargo, pero [el CEO] Jamie Dimon es el director de riesgos de la empresa».

. . .

La gestión de riesgos no es intuitiva; va en contra de muchos sesgos individuales y organizacionales. Las normas y el cumplimiento pueden mitigar algunos riesgos críticos, pero no todos. Una gestión de riesgos activa y rentable exige que los gerentes piensen sistemáticamente en las múltiples categorías de riesgos a las que se enfrentan para poder instituir los procesos adecuados para cada una de ellas. Estos procesos neutralizarán su sesgo gerencial de ver el mundo como les gustaría que fuera y no como realmente es o podría llegar a ser.