Por: Jim Deloach *
Toda empresa tiene una exposición al riesgo considerable. La pregunta es ¿la Dirección Ejecutiva y el Consejo Directivo saben realmente cuáles son los riesgos?
Para muchas empresas, el proceso de evaluación del riesgo empresarial (ERA 1 ) se centra en la gravedad del impacto de posibles eventos futuros en el logro de los objetivos de negocio de la organización y en la probabilidad de que esos sucesos ocurran dentro de un horizonte de tiempo determinado. El desarrollo de mapas de riesgo y la clasificación del riesgo con base en estas evaluaciones subjetivas es una práctica común. El proceso de ERA abarca la evaluación de los datos disponibles y de los indicadores, y la toma de decisiones por parte de los ejecutivos conocedores. Este es un proceso intuitivo para la mayoría de las personas y proporciona un perfil aproximado de los riesgos de la empresa.
Sin embargo, hay algunos problemas con el enfoque tradicional del mapa de riesgos:
- Ya que el proceso es a menudo influenciado por la experiencia pasada, los sesgos individuales pueden afectar la evaluación, fomentar el “pensamiento de grupo” e impedir la generación de ideas innovadoras. Cuando se utilizan escalas, las evaluaciones de los participantes menos expertos a menudo se quedan a medio camino, sesgando las intersecciones resultantes en el mapa. Estas intersecciones no son otra cosa que los promedios medios de opiniones a veces muy dispersas ―que no necesariamente representan un verdadero consenso de los evaluadores participantes.
- El proceso es una evaluación lineal, localizada en un punto en el tiempo que no toma en consideración las características únicas de los riesgos de la empresa. Dicho de otra manera, el proceso somete riesgos, con características y horizontes temporales diferentes, a un marco analítico común. Si bien este proceso puede ser conveniente, no es lo suficientemente robusto como para añadir valor continuamente y de manera sostenida en el tiempo.
- El proceso no aporta suficiente orientación a los responsables de los riesgos sobre las respuestas apropiadas a las amenazas. No es raro que los encargados de los riesgos expresen frustración por la falta de información procesable que emana del proceso. El punto principal es que usualmente las evaluaciones de riesgo tradicionales llegan a un callejón sin salida, dejando a quienes toman las decisiones con una lista de los riesgos y con pocas ideas sobre qué hacer a continuación. Una queja común es que las evaluaciones de riesgo pocas veces proveen resultados reveladores que alteren la perspectiva de la Dirección.
- El proceso no ofrece prácticamente ninguna información en cuanto a qué hacer con respecto a la exposición a eventos extremos o de “alto impacto y baja probabilidad de ocurrencia” ubicados en el cuadrante de la esquina superior izquierda del mapa de riesgos. Curiosamente, estos acontecimientos son a menudo los que causan el mayor daño, cuando se producen de forma inesperada; sobre todo si la empresa no está preparada.
Los enfoques tradicionales para la evaluación del riesgo crean conciencia y brindan una visión general del riesgo. Sin embargo, surge una pregunta importante: ¿Debería el proceso de ERA evaluar todos los riesgos utilizando la misma metodología? A medida que los enfoques tradicionales pierden su vigencia, llega la hora de considerar mecanismos de evaluación nuevos y más robustos que tengan en cuenta las características particulares de las diferentes categorías de riesgos ―estratégicos, operacionales, financieros y de cumplimiento.
Riesgos estratégicos
Los riesgos estratégicos amenazan con una desconexión o desajuste entre el modelo de negocio y la estrategia lo que provocaría que uno o más eventos futuros invalidaran las hipótesis fundamentales que subyacen a la estrategia de negocio y truncaran las perspectivas a largo plazo de la gestión. Estos riesgos se relacionan principalmente con el ambiente externo (por ejemplo, competidores, clientes, innovación tecnológica, reguladores, etc.) y requieren el uso de un análisis contrario aplicado a los supuestos críticos que subyacen a la estrategia. El análisis contrario consiste en cuatro pasos:
- Definir los supuestos fundamentales que subyacen a la estrategia.
- Desarrollar postulados contrarios que describan los escenarios posibles que podrían invalidar uno o más supuestos estratégicos.
- Utilizar el análisis de escenarios y las pruebas de estrés para seleccionar los postulados contrarios que tienen mayor probabilidad de generar un gran impacto sobre la validez de la estrategia de la compañía si llegaran a ocurrir.
- Articular las implicaciones de alto impacto de los postulados contrarios para determinar los indicadores de tendencias y otras formas de medición que la empresa pueda utilizar para controlar el entorno en busca de signos de los escenarios más preocupantes que ya hayan sucedido o que estén en desarrollo.
Las incertidumbres estratégicas conciernen a menudo a un cambio brusco. El tiempo para actuar en respuesta a los riesgos estratégicos es un bien muy preciado en un entorno dinámico. Se obtiene gracias al reconocimiento oportuno del riesgo y le permite al equipo de gestión aprovechar las oportunidades críticas y los riesgos derivados de los cambios bruscos. Considerando la gran velocidad de los eventos repentinos, tener tiempo para reaccionar le permite a la gestión afrontar el futuro con confianza, identificar las nuevas tendencias y formular opciones para hacerles frente a tiempo, en vez de hacerlo bajo presión.
Riesgos operacionales
Estos riesgos se refieren a uno o más eventos futuros que pueden menoscabar la efectividad del modelo de negocio en la creación de valor para los clientes y en el logro de los resultados financieros esperados. Estos riesgos requieren una visión amplia y global de la empresa que tenga en cuenta su impacto en toda la cadena de valor.
Con esta perspectiva en mente, las causas fundamentales de las disparidades significativas en el rendimiento se evalúan, y se identifican e implementan mejoras en los procesos. Esta perspectiva empresarial global da importancia a las relaciones comerciales extendidas: hacia arriba con los proveedores y los proveedores de los proveedores, y hacia abajo con los canales, los clientes y los usuarios finales. De igual manera, este enfoque tiene en cuenta la logística que conecta todos los puntos a lo largo de la cadena de valor, además de los procesos internos, el personal y los sistemas. El análisis apunta a comprender el riesgo de perder cualquiera de estos elementos esenciales de la cadena y de perder la intermediación, si la organización es un intermediario clave entre los productores y el consumidor final.
Para evaluar estos riesgos se deben tener en cuenta preguntas tales como:
- ¿Qué pasaría si alguno de estos componentes operacionales vitales fuera eliminado debido a una falla o a una pérdida catastrófica inesperada?
- ¿Cuál es la velocidad de impacto de estos riesgos, considerando el escenario de la pérdida de algún componente crítico sin previo aviso? ¿Daría indicios o sería repentina?
- ¿Cuánto tiempo durarían los efectos de estos riesgos? ¿Cuánto tiempo pasaría antes de que el componente perdido pudiera ser reemplazado?
- ¿Qué planes de respuesta se ha implementado para hacer frente a la pérdida de un componente crítico por un periodo indeterminado de tiempo?
- ¿A qué riesgos no compensados nos enfrentamos en toda la cadena de valor (por ejemplo, medio ambientales, de salud y de seguridad) y cómo los estamos manejando?
- ¿Existe la posibilidad de que nuestro posicionamiento dentro de la cadena de valor sea suplantado por un competidor o por un modelo alternativo de negocio (por ejemplo, un modelo basado en Internet que venda directamente a los clientes)?
Tenga en cuenta que la probabilidad de ocurrencia no es un factor tan importante en la evaluación de la exposición a eventos catastróficos como la preparación de la empresa para responder a ellos. ¿Qué tan resistente es la empresa al responder ante un evento catastrófico? El análisis de riesgo operativo anterior es el punto en el cual la evaluación de riesgo comienza a confluir con la planificación de la continuidad del negocio y con la gestión de crisis.
Riesgos financieros
Estos se refieren a los flujos de caja y a los riesgos financieros que no se están gestionando de manera rentable para:
- Maximizar la disponibilidad de efectivo y reducir al mínimo el riesgo sobre la liquidez.
- Reducir la incertidumbre en cuanto al cambio, la tasa de interés, el crédito y otros riesgos financieros.
- Mover los fondos en efectivo de forma rápida y sin pérdida de valor a donde más se necesiten.
Debido a su naturaleza, estos riesgos se abordan con herramientas y técnicas de medición, incluyendo la modelización financiera, la planificación de escenarios, los marcos de valor en riesgo y el seguimiento permanente de los presupuestos y pronósticos. Las técnicas para evaluar los riesgos financieros incluyen evaluaciones de la exposición de los activos financieros y físicos a la pérdida y la susceptibilidad de las operaciones a la interrupción. Si bien algunas de estas técnicas pueden facilitar la evaluación de los riesgos estratégicos y operativos, su centro de atención en los riesgos financieros es doble e incluye la gestión de la liquidez y la obtención de los resultados financieros esperados.
Riesgos legales y de cumplimiento/
Estos son los riesgos de incumplimiento de las leyes, reglamentos, políticas internas y/o modificaciones contractuales que resultan en sanciones, multas, aumento de los costos, pérdida de ingresos, sanciones de mercado y/o en la pérdida de la reputación. Se debe realizar análisis del cumplimiento de la organización con estos requisitos y disposiciones. En lugar de conjeturas basadas en probabilidades sin sentido, las empresas deben tener en cuenta los efectos de los eventos de incumplimiento en función de los siguientes factores:
- La adecuación de las políticas, los procedimientos y la cultura de la organización al cumplimiento desde un punto de vista regulatorio y centrado en la industria.
- El impacto en la reputación (por ejemplo, multas, sanciones, pérdida de ingresos, gastos legales y otros costes), la pérdida de capitalización de mercado y de mercados, y las consecuencias de convertirse en el “centro de atención”, etc.
- La velocidad de impacto, incluso si los efectos del incumplimiento ocurren sin previo aviso, y la rapidez con que tales efectos pueden escalar y tomar impulso, atrayendo la atención de los medios de comunicación y de las entidades reguladoras.
- La duración del impacto (es decir, la cantidad de tiempo durante el cual el evento de incumplimiento afectará a la empresa).
- La preparación de la empresa para responder (es decir, la fortaleza de la empresa para responder ante un evento de incumplimiento).
Aunque los marcos para evaluar el cumplimiento y los riesgos operacionales pueden parecer similares en cuanto a los factores que consideran, la distinción clave para evaluar los riesgos operacionales es el uso de una visión sin límites de la empresa. Hay, por supuesto, excepciones a esta regla general; por ejemplo, los agentes de terceras partes pueden implicar a las empresas para las que trabajan. Por supuesto, la tolerancia a las violaciones de cumplimiento frente a los riesgos operativos es una discusión completamente diferente.
Integración del perfil de riesgo compuesto
En el entorno empresarial actual, caracterizado por cambiar rápidamente, una perspectiva ad hoc y/o una rejilla de evaluación simplificada para la exposición al riesgo de la empresa resulta inadecuada. Los enfoques robustos aplicados a diferentes categorías de riesgo, de acuerdo a las características de riesgo subyacentes, ayudan a identificar los principales riesgos dentro de estas categorías. Tales enfoques deben luego alimentar el proceso de consolidación del equipo de gestión para formular un perfil de riesgo en toda la empresa, que integre los riesgos principales entre sí, por categorías, y proporcione un resumen consolidado de unos pocos riesgos críticos esenciales.
La aplicación de los marcos analíticos más apropiados para tratar las características únicas de los riesgos que enfrenta la empresa es un método eficiente y eficaz para la integración de la gestión de riesgos con los procesos básicos de gestión de la empresa. Al involucrar a los gerentes mejor posicionados para asumir las evaluaciones de riesgo utilizando los marcos analíticos que ellos entienden ―y lo más importante, que usan―, aumenta la probabilidad de que actúen teniendo en cuenta los resultados de dichas evaluaciones.
* Miembro del Equipo de Liderazgo Soluciones de Protiviti. Tiene más de 35 años de experiencia ayudando a las empresas a responder a los mandatos gubernamentales, demandas de los accionistas y a un entorno empresarial cambiante de una manera rentable y sostenible.
1 Enterprise Risk Assessment.
Recuperado de: http://corporatecomplianceinsights.com