La pérdida de JP Morgan: más allá de la «gestión de riesgos»

La reciente divulgación de una pérdida bursátil multimillonaria en JPMorgan Chase nos recuerda una vez más el desafío y la complejidad de la gestión del riesgo, tema de nuestro artículo de HBR de junio de 2012, «Gestión de los riesgos: un nuevo marco». Muchas personas, incluidos bastantes legisladores y reguladores estadounidenses, creen que los riesgos se pueden gestionar estableciendo y siguiendo normas, estándares y directrices. Sin embargo, para ciertas categorías de riesgo, se trata de una suposición falsa y peligrosa.

Nuestro artículo clasifica los riesgos según su grado de controlabilidad y su relación con la estrategia. Identificamos y describimos tres categorías de riesgos: los riesgos evitables, los riesgos estratégicos y los riesgos externos (no evitables). Cada uno requiere procesos de gestión de riesgos personalizados.

Un enfoque basado en las normas y el cumplimiento puede funcionar bien para gestionar los riesgos evitables, pero es inadecuado para la estrategia y los riesgos externos, como lo ilustraron muy bien las empresas que quebraron durante la crisis financiera. El gestor de riesgos de un banco británico en quiebra, orientado al cumplimiento, observó que su organización tenía «una indisposición cultural a los desafíos» y que la tarea de «ser gestor de riesgos y cumplimiento… se parecía un poco a ser un hombre en un barco de remos que intenta frenar un petrolero».

Hemos aprendido, una y otra vez, que las reglas no superan los diversos sesgos individuales y organizacionales que impiden que las personas imaginen y discutan las cosas que pueden salir mal con estrategias complejas. Sin embargo, los procesos que fomentan debates abiertos y desafiantes pueden superar estos sesgos, razón por la cual los procesos de gestión de riesgos altamente interactivos deben seguir siendo fundamentales para la función de gestión de riesgos de cualquier empresa. Pero, ¿se puede mantener una gestión de riesgos eficaz?

Durante la crisis financiera mundial, cuando varios bancos de inversión quebraron, JP Morgan utilizó un enfoque muy diferente en la gestión del riesgo. En primer lugar, el CEO Jamie Dimon fue ampliamente reconocido como el «máximo director de riesgos del banco». En segundo lugar, el director formal de la función de gestión de riesgos dependía directamente del Sr. Dimon y formaba parte del equipo ejecutivo con acceso continuo al consejo de administración de la empresa.

Además de estos datos bien informados, tras estudiar los procesos de gestión de riesgos en JP Morgan Private Bank durante la crisis financiera de 2008-2009 ( Mikes, Rose y Sesia, 2010, HBS Case 311-003), nos llamó la atención un enfoque pionero: además de gestores de riesgos independientes, la unidad de banca privada también desplegó un grupo de gestores de riesgos locales e «integrados» que estaban lo suficientemente inteligentes, informados y capacitados sobre la complejidad de los riesgos que se asumían como para poder ser asesores de riesgos activos de los gestores de inversiones.

No sabemos hasta qué punto este enfoque se replicó en el banco y, por lo tanto, no podemos decir si se aplicó en la unidad de CIO que sufrió las recientes pérdidas de negociación. Sin embargo, según Dina Dublon, exdirectora financiera de JPMorgan Chase y actualmente profesora de prácticas de gestión de la HBS, el empoderamiento y el despliegue de gestores de riesgos integrados formaban parte de la gestión formal de riesgos en el banco mucho antes de la crisis financiera.

Esto plantea la pregunta: ¿las multimillonarias pérdidas bursátiles de JP Morgan fueron un fracaso de la gestión de riesgos como función del personal, o fue un fracaso que va más allá del ámbito de lo que podemos esperar que hagan los oficiales de riesgo?

El Sr. Dimon atribuye la pérdida a una «mala estrategia, mal ejecutada», así como a «muchos errores, descuido y mal juicio». Varios ejecutivos de la Oficina Principal de Inversiones (CIO), en la que se produjo la pérdida, abandonaron el banco poco después de que se revelara la pérdida. Pero ninguno de ellos era un oficial de riesgo de alto perfil. Según todas las pruebas, el banco no ha culpado de la pérdida a la función de gestión de riesgos.

De hecho, la semana pasada, un grupo de gestores de riesgos (descritos por Dimon como «algunos de nuestros mejores empleados») se lanzaron en paracaídas contra la unidad de CIO para investigar y «solucionar» los problemas. Dina Dublon, exejecutiva de JP Morgan, nos comentó: «Él [Dimon] colgaría al gerente de la empresa, como el que tiene la responsabilidad final de asumir y gestionar los riesgos, antes de hablar con un administrador de riesgos funcional. La gestión de riesgos no puede ser una responsabilidad totalmente delegada».

Sin embargo, la prensa se apresuró a declarar la pérdida de JP Morgan como un fracaso espectacular en la gestión del riesgo. ¿Pero lo fue? Desde luego, no todas las pérdidas son fallos en la gestión del riesgo, a menos que esperemos no correr ningún riesgo. El profesor de finanzas Rene Stulz, por ejemplo, ha señalado que una pérdida importante en sí misma no es evidencia de un fallo en la gestión del riesgo, ya que se pueden producir grandes pérdidas incluso si la gestión del riesgo es perfecta ( Seis formas en que las empresas gestionan mal el riesgo, HBR, marzo de 2009).

Describe seis tipos de fallos en la gestión de riesgos: la medición errónea de los riesgos conocidos, la ignorancia de los riesgos conocidos, la mala comunicación de los riesgos, la falta de supervisión de los riesgos, la elaboración de una respuesta equivocada al riesgo y la medición del riesgo con métricas incorrectas. Podemos pensar en este catálogo de tipos de fallos como los riesgos evitables de la propia gestión de riesgos. Esto puede ayudarnos a entender si las «atroces» pérdidas bursátiles de JP Morgan se debieron a una combinación de problemas detectables, o si se produjeron a pesar de un proceso bastante riguroso de gestión del riesgo.

Lo que está en juego no son solo las expectativas que tenemos sobre la gestión de riesgos como disciplina de gestión, sino, en última instancia, si creemos que las buenas prácticas de gestión del riesgo son sostenibles. El éxito genera autocomplacencia, y es posible que las empresas que creen que controlan bien sus riesgos empiecen a perder el control a medida que adquieren confianza, o incluso, demasiado confianza, en su gestión de riesgos. Una buena gestión del riesgo también debe tener en cuenta los riesgos de la gestión del riesgo.

¿Podemos seguir confiando en las empresas para gestionar esos riesgos por sí mismas? Es comprensible que la cobertura actual de los medios de comunicación esté repleta de argumentos altamente politizados que sugieren que los políticos, los reguladores y los comentaristas no confían en que los bancos puedan hacerlo. Pero debemos preguntarnos, ¿qué tipo de reguladores (reglamentos) habrían detectado (impedido) la creciente exposición al riesgo en la Oficina Principal de Inversiones de JP Morgan? ¿Cuáles serían los costes de esos reglamentos?

Sean cuales sean los argumentos técnicos, como nos advierte el profesor de contabilidad Michael Power, los próximos debates no pueden abstraerse de las cuestiones sociales sobre la credibilidad y la legitimidad de los expertos (expertos en riesgos, reguladores, etc.): el «cómo» de la gestión del riesgo sigue inextricablemente vinculado a la condición de «quién» lo hace.

En nuestro artículo, expresamos nuestra opinión de que la gestión de riesgos (con todos sus riesgos) es una práctica viable, valiosa y que las organizaciones pueden aprender, pero solo funciona si se adapta al contexto en el que se implementa y no se da por sentada. Tiene que seguir siendo un proceso intrusivo y poco intuitivo, ya que a menudo va en contra de las creencias más arraigadas de las personas, incluido el deseo de demostrar grandes beneficios y beneficios de sus acciones. La gestión eficaz de los riesgos también es costosa, porque tiene que estar separada de las funciones actuales orientadas a la estrategia. Como lo describe Gentry Lee, ingeniero jefe de sistemas del Laboratorio de Propulsión a Chorro de la NASA: «La mitigación del riesgo es difícil; no es un hecho natural para los humanos».

Con todo esto, no perdamos de vista el propósito de la gestión de riesgos, que es limitar la inconveniente exposición por el optimismo inherente a los operadores, directores de proyectos y ejecutivos esperan altas rentabilidades de las estrategias arriesgadas, ya sea creando mercados con nuevos valores financieros, enviando misiones al espacio o perforando en busca de petróleo y gas a tres millas por debajo de la superficie del Golfo de México. Pero limitar las desventajas no significa inhibir la asunción de riesgos. Todo lo contrario; debería permitir a las organizaciones adoptar estrategias atrevidas e innovadoras que prometan una alta rentabilidad esperada.

MÁS INFORMACIÓN SOBRE LA GESTIÓN DE LAS CONDUCTAS DE RIESGO

Los seis errores que cometen los ejecutivos en la gestión de riesgos

Cómo las normas de inteligencia competitiva fomentan las trampas

Breve historia de la toma de decisiones

Gestión de los riesgos: un nuevo marco