La administración de riesgo es más que un seguro
A partir de la década de 1970, las compañías expandieron su conglomerado de administración de riesgo del seguro contra desastres a iniciativas internas de pérdida de control, tales como mejoras a la seguridad en plantas de montaje para reducir accidentes en el lugar de trabajo. En los años subsecuentes, los líderes de negocios poco a poco se han interesado más en el riesgo empresarial – no en los riesgos individuales aislados, sino en la exposición fija y total de una compañía a la incertidumbre. Para fines de los años 90, algunas corporaciones importantes ya llevaban a cabo la administración de riesgo empresarial mediante reevaluaciones regulares de riesgos identificados, exámenes rutinarios de amenazas mal definidas y análisis constante de las posibilidades comerciales que tuvieran más potencial positivo que negativo.
“El riesgo empresarial varía según el tipo de negocio, la naturaleza de la entidad, los problemas políticos y económicos, y otros factores”.
La administración de riesgo moderna reduce el riesgo de desastres físicos, en conformidad con las regulaciones gubernamentales, y mantiene auditorías y controles internos productivos. Aun con esos ingredientes comunes, hay una gran variedad de sistemas de ERM. Por ello, la mejor forma de administrar el riesgo varía de empresa a empresa. Manejar una multiplicidad de riesgos en el mundo de negocios es uno de los retos más grandes de la ERM. Aun dentro de una misma industria, no hay una sola fórmula de control de riesgo que funcione para todas las compañías. Piense en el perfil de riesgo de la aerolínea JetBlue. Su sede en Nueva York significa que los riesgos relacionados con el clima no son los mismos que los de las aerolíneas con sede en el sur de EE.UU. u otras zonas templadas. En el 2007, JetBlue no estuvo preparada para la terrible tormenta de invierno que detuvo sus operaciones de vuelos en el centro de su red, el aeropuerto internacional John F. Kennedy. Mucha gente abordó sus aviones, pero no voló a ningún sitio; estuvo detenida en tierra durante horas porque JetBlue no se había preparado bien para los caprichos del clima invernal.
Cómo afrontar la administración del riesgo empresarial
Para determinar cuáles riesgos aceptar y cuáles evitar, una compañía debe asignar un monitor interno (un grupo o individuo) que cubra la “función central de riesgo”. Debe identificar y asesorar todos los riesgos que afronta la compañía. El monitor interno comunica las conclusiones materiales a los gerentes corporativos y a la gente encargada de analizar riesgos específicos en sus áreas de conocimiento. Un fabricante, por ejemplo, estaría alerta a riesgos en las áreas de “producción, mercadotecnia, finanzas, tecnología, administración, unidades de negocio” e “iniciativas claves”. En esa compañía, por ejemplo, un “director ejecutivo de producción” podría estar encargado de administrar riesgos debidos al “diseño, suministro, proceso [y] eficacia”.
“Las organizaciones deben implementar la ERM para probar su valor, pero la gerencia a menudo espera que se pruebe el valor antes de implementar el programa”.
Una ERM eficaz también debe adoptar tecnología de la información que use el poder computacional para hacer un complejo análisis de riesgos. Estructure su sistema de ERM para el mismo proceso de evaluación de todos los riesgos y para garantizar que el personal asignado sea responsable de la administración de riesgos específicos. Para que funcione la ERM, el Consejo de administración debe desempeñar un papel activo de liderazgo en el proceso de reconocimiento y manejo de riesgos.
Riesgos imprevistos y falso optimismo
Aunque algunos riesgos son predecibles, otros son imposibles de predecir hasta no ver sus consecuencias. El prestigioso libro de Nassim Nicholas Taleb del 2007, The Black Swan [El cisne negro], habla de que algunos sucesos son tan terribles e intensos que, en un principio, son inexplicables. Los ataques terroristas del 11 de septiembre del 2001 son un ejemplo de un suceso “cisne negro”, algo que ocurrió más allá de los límites de las expectativas populares (el título del libro viene de la falsa creencia de que todos los cisnes son blancos). Taleb afirma que la administración de riesgo empresarial es más un arte que una ciencia. Critica, con razón, los sistemas excesivamente cuantitativos de ERM, que prestan excesiva atención a lo que probablemente ocurra 95 de cada 100 veces y pasan por alto las posiblemente dramáticas consecuencias de sucesos que tienen una probabilidad del 5%. Taleb también hace una contribución importante a la ERM, al atacar la dependencia excesiva en la información factual sobre el riesgo, especialmente en la información histórica. Este error puede llevar a que los líderes y gerentes de la compañía tengan la falsa creencia de que entienden sucesos dinámicos y aleatorios que son incomprensibles. No frenar la tendencia humana común de ser optimista ante la incertidumbre podría exponer a individuos, organizaciones y sociedades enteras a grandes riesgos.
“Los riesgos externos son sumamente incontrolables, ya que surgen del entorno competitivo, factores económicos, decretos de cuerpos regulatorios y otras fuentes externas”.
Algunos pronosticadores previeron el colapso del mercado hipotecario de EE.UU. que llevó al pánico financiero global del 2008. Pero pocos predijeron acertadamente la profundidad de la crisis o la magnitud de la escasez de crédito resultante. Es evidencia de que los cisnes negros vistos de lejos se hacen sorprendentemente más grandes a medida que se acercan. Por supuesto que los gerentes de riesgo expertos toman en cuenta el impacto de sucesos probables, pero también toman en cuenta los sucesos improbables que tendrían consecuencias importantes.
Software para aplicaciones de ERM
Las compañías grandes generalmente tienen tecnología de la información que apoya la ERM antes de implementarla. Algunos programas de software de ERM hacen una visualización de los riesgos en la pantalla de la computadora para ayudar al monitoreo y la priorización. Los gerentes pueden usar ese software para determinar si los diversos riesgos de una compañía tienen el potencial de interactuar, y si el personal asignado mitiga la exposición específica a pérdidas y documenta su avance. El software que apoya la ERM permite a los usuarios separar visualmente sus riesgos en categorías principales con subcategorías, lo que ayuda a comprender las interrelaciones entre riesgos distintos. Por ejemplo, si una compañía identifica la inestabilidad financiera como uno de sus mayores riesgos, podría mostrar subcategorías de riesgos que contribuyeran a la inestabilidad, incluyendo los relacionados con generación de ingresos, disponibilidad de créditos, acciones legales y conformidad con las regulaciones. Las compañías expuestas a un gran número de riesgos pueden usar una característica del software de ERM llamada “etiquetar” para hacer un complejo análisis de riesgos. Etiquetar permite al usuario identificar riesgos afines y analizarlos aislados de otros riesgos. Esta característica ayuda a los usuarios a monitorear los riesgos externos más allá del control de la compañía y a evaluar su posible impacto interno.
Cinco riesgos que requieren un enfoque de equipo
Aun sin grandes inversiones en tecnología, las compañías grandes y pequeñas se pueden beneficiar de la comprensión fundamental de ciertos riesgos. Aunque hay muchos tipos distintos de riesgos empresariales, los más comunes incluyen aquellos relacionados con estrategia, calidad de liderazgo, subcultura de la compañía, la edad de la compañía y detección de riesgos. La necesidad de un enfoque de equipo a estos riegos empresariales los distingue de otros riesgos. Una sola persona no puede manejar eficazmente ninguno de estos cinco riesgos:
- “Riesgo estratégico” – El riesgo estratégico que se corre con razón y planeación puede generar dinero. Permitir, sin saberlo, que una exposición oculta se encone puede ser fatal para una compañía. Por eso, la función central de riesgo de un sistema de ERM bien diseñado desempeña “un papel en el desarrollo e investigación de estrategias corporativas”. La ERM se enfoca en tratar de encontrar problemas que pudieran surgir. Por ejemplo, los fabricantes estadounidenses deberían tratar de ver posibles amenazas estratégicas en China, India y otros países emergentes, donde las compañías hacen productos competitivos a menor costo.
- “Riesgo de liderazgo” – Las empresas que manejan la ERM deben evaluar riesgos de personal directivo. Los líderes toman decisiones con base en una mezcla de suposiciones, opiniones y sentimientos, además de hechos demostrables e incluso meras creencias. Los gerentes tienen un papel distinto; llevan a cabo las decisiones de los líderes. Por ello, las empresas requieren, para detectar y anular riesgos, líderes fuertes y gerentes firmes.
- “Riesgo de subcultura” – Algunas compañías tienen subculturas destructoras: los empleados de ciertos departamentos tienen actitudes divisorias que pueden impedir el avance de toda la empresa. Algunas compañías albergan unidades burocráticas con la capacidad de debilitar a la gerencia. Las organizaciones deben aprovechar la habilidad de “personalizar la ERM para adaptarla a sus culturas individuales”.
- “Riesgo del ciclo de negocios” – Desde su origen hasta su desaparición, la mayoría de las compañías está sujeta a un ciclo de vida con una serie de etapas que empieza con el lanzamiento del negocio, seguido de períodos sucesivos de crecimiento, maduración y declive. Pueden surgir problemas si los líderes no adoptan las políticas apropiadas a la edad de la compañía. Por ejemplo, pueden aplicar una estrategia de crecimiento que no corresponda a un negocio en crecimiento.
- “Riesgo de horizontes” – Unas compañías buscan riesgos próximos y no analizan las probabilidades más lejanas. Estudie detalladamente tres tipos de riesgos: debilidad por modelos de negocio erróneos, escasez de recursos críticos y acciones desfavorables de clientes o competidores.
El panorama de riesgo dinámico
Los riesgos cambian constantemente de tamaño y forma. Internet permite conductas que exponen a las compañías al daño, incluyendo hacking malicioso en los sistemas computacionales y la propagación de virus malignos. Los ataques del 11 de septiembre hicieron que se diera máxima prioridad gubernamental y comercial a la reducción de riesgos de seguridad. La ley Sarbanes-Oxley del 2002, por ejemplo, requiere que los directores ejecutivos de muchas compañías públicas firmen declaraciones que den fe de la integridad de los controles internos de su corporación y que presenten estas declaraciones trimestralmente a la Securities and Exchange Commission de EE.UU. Hoy en día, cualquier director ejecutivo que no conozca bien los controles internos está en riesgo de ser despedido y enjuiciado.
“Una oportunidad perdida usualmente es más riesgo que una suspensión de actividades del negocio”.
La crisis financiera global del 2008 hizo que las compañías, por temor, redoblaran sus esfuerzos para protegerse contra la escasez de crédito y la insolvencia financiera. Salvo por una disminución aparente de la probabilidad de una guerra nuclear entre EE.UU. y otro país, el mundo está acumulando – no reduciendo – riesgos que amenazan los intereses empresariales.
¿Más líderes que seguidores?
Los principales profesionales en ERM ofrecen ejemplos sobresalientes de mejoras en el desempeño. Paul Buckley tenía 29 años de experiencia profesional en telecomunicaciones, y desarrolló una especialidad gerencial en control de riesgos. Pasó de la industria de telecomunicaciones al conglomerado industrial Tyco International, que lo contrató como vicepresidente de administración de riesgo. Entre otras mejoras, amplió el sistema de control de riesgo y convirtió a los asesores de riesgo de Tyco en personal operativo responsable de la ejecución de elementos específicos del programa de ERM. Lance Ewing empezó su carrera profesional en la industria de seguros; calculaba el riesgo de accidentes en empresas de operaciones y transportes de aserraderos, y en otras actividades laborales peligrosas. Su enfoque ocupacional cambió al control de pérdidas y la prevención. Después de cinco años en el negocio de seguros, Ewing se encargó de la administración de riesgo en el sistema de educación pública en Filadelfia, Pensilvania. Ahí, sus resultados en el control de pérdidas produjeron grandes reducciones en las primas de seguros que pagaban las escuelas. Luego fue vicepresidente de administración de riesgo en Harrah’s Entertainment, una compañía líder en juegos de azar en los casinos.
“La ERM lleva a la conformidad con las normas. La conformidad no lleva a la administración de riesgo”.
Sin embargo, el campo de la ERM tal vez tenga más líderes que seguidores. En el 2008, una encuesta a los ejecutivos corporativos de EE.UU. sobre la administración de riesgo empresarial indicó que sólo el 7% de las compañías había implementado por completo un sistema de ERM, y el 33% no tenía planes de hacerlo. Una mejor administración de riesgo es ampliamente justificada. Las compañías de EE.UU. se han enfocado en cumplir con las regulaciones después de la promulgación de la ley Sarbanes-Oxley, pero cumplir no significa identificar ni administrar proactivamente todos los riesgos importantes que afrontan las compañías contemporáneas.