“¡Listo!  Ya tenemos nuestro Mapa de Riesgo, ya terminamos el proyecto de risk management”.  Esto es lo que probablemente mucha gente piensa al ver la primera versión del mapa de riesgo de su organización. Para llegar a ese momento pasaron —o deberían haber pasado en el caso de un proceso bien diseñado— una serie de talleres de identificación de riesgos, reuniones de depuración de las varias versiones preliminares, etc. Solemos creer que tener un mapa de riesgo implica hacer gestión de riesgo. Eso es como pensar que, por comprarme la bicicleta y el equipo de ciclista, ya estoy entrenado para ir a correr un gran fondo. No funciona así. De hecho, me he encontrado con empresas que, sin tener un mapa de riesgo formalizado, hacen un mejor risk management que otras que sí cuentan con un mapa de riesgo y un modelo implementado. Es común ver empresas con un Chief Risk Officer (CRO), pero que no hacen una real gestión de riesgo, simplemente cumplen con algunas formalidades autoimpuestas o solicitadas por un regulador. Normalmente, el CRO termina siendo percibido como un estorbo por quienes llevan adelante el negocio. Estos, sin embargo, deberían ser los principales interesados en tener un buen modelo de gestión de riesgo y el CRO debería ser su aliado estratégico, cosa que no siempre ocurre.

Si definimos riesgo como “todo aquello que nos aparta del cumplimiento de nuestro objetivo”, es fácil ver a la gestión de los riesgos como una herramienta que ayuda a la empresa a tener una mayor probabilidad de cumplir con sus objetivos. Por eso decimos que es “el socio estratégico de quienes llevan adelante el negocio”, y no una función de control a la que hay que “convencer” o “esquivar” en el camino a conseguir los objetivos de la organización. Lamentablemente, en muchos casos se suele ver al CRO como un obstáculo, una traba burocrática que impide “hacer negocios” o una piedra en el camino a la que hay que intentar superar en la búsqueda de cumplir con los objetivos. En mis conversaciones con directivos de empresas suelo escuchar frases como “una vez que Riesgos me dio el ok trato de no cruzármelo más”. Después de todo, el objetivo (al menos en una empresa) suele ser el plan estratégico, el presupuesto, el plan operativo, el plan de ventas, etc., dependiendo de cuál sea la función dentro de la organización. Y dado que es bastante común que una parte de la remuneración dependa de la consecución de dichos objetivos, los incentivos deberían estar alineados con la gestión de aquello que nos puede apartar del cumplimiento de los objetivos.  Sin embargo, esto no es así.  Muchas organizaciones tienen modelos de gestión de riesgo bien estructurados, con mayor o menor grado de complejidad, pero las personas en la empresa no terminan de usar el modelo. ¿Por qué ocurre esto? ¿Qué podemos hacer para cambiar esta situación?

Existen múltiples razones por las que vemos este comportamiento organizacional, y seguramente están afectadas por una serie de sesgos que hacen que subestimemos la probabilidad de ocurrencia y el impacto de los riesgos al tiempo que sobreestimamos nuestra capacidad de solucionar un eventual problema. Sin entrar en detalle, desde los primeros trabajos de Kahneman y Tversky, hay abundante bibliografía respecto de cómo los sesgos afectan la racionalidad en la toma de decisiones. Por otro lado, en pos de una mayor búsqueda de eficiencia, las organizaciones suelen tener a la gente con un grado de ocupación tan alto que les cuesta agregar una tarea más a su agenda, y, lamentablemente, cuando piensan en el modelo de gestión de riesgo, ven más trabajo en una agenda ya completamente llena.

Si a esto le sumamos que, además de tiempo, deberían invertir dinero para mitigar el impacto de algo que, no sabemos si va a ocurrir, es fácil comprender la decisión de no hacer nada y enfrentar el eventual evento en caso de que ocurra. Los presupuestos (y las agendas) cada vez más ajustados no ayudan a planificar considerando los riesgos. Además, recordemos que los sesgos mencionados, nos incentivan a no tomar medidas de mitigación. Por estas razones las empresas hacen una gestión mínima e indispensable de los riesgos, generalmente dictada por los eventuales pedidos del regulador. Esto funciona muy bien mientras no ocurre ningún evento inesperado, ya sea un peligro o una oportunidad. Pero cuando ocurre el evento de riesgo, las compañías quedan desprotegidas, o no pueden aprovechar una oportunidad estratégica, por no haber previsto su eventual ocurrencia y haber preparado un plan de acción adecuado. Es común ver que, frente a un evento, los directivos tenían conciencia de que podía ocurrir, pero simplemente no estaban preparados para enfrentarlo.

Para cambiar esto es necesario diseñar e implementar un proceso de cambio cultural en el que se logren instalar algunas cuestiones relacionadas con el riesgo en las organizaciones. En este proceso es clave que todos los integrantes de la empresa comprendan:

• Cómo funciona el modelo de gestión de riesgo.
• Que gestionar los riesgos es parte de conseguir los objetivos de la empresa.
• Que todo negocio genera riesgos.
• Que no existen empresas que no asuman riesgos, y que hacerlo no es malo: el riesgo es parte integral de hacer negocios.
• Que hay riesgos que se deben asumir y otros que es mejor eliminar.
• Que la buena gestión de los riesgos no limita a la empresa, sino que potencia sus capacidades.

Estos objetivos son ambiciosos y nunca estarán 100 % logrados por lo que el cambio cultural es un proceso. Funciona en la empresa de manera continua. Tras la identificación de los riesgos y su medición, la identificación de sus determinantes y el diseño de sus mitigantes, el armado del mapa de riesgo y el mapa de calor, se deberá comenzar el proceso de cambio cultural, para que este modelo “se viva” en la organización. Un primer paso crucial es diseñar políticas de gestión de riesgo, comunicarlas a todos los integrantes de la empresa y mantenerlas activas. El problema es que la población objetivo a la que tenemos que concientizar suele ser bastante heterogénea. Algo que suele funcionar bien es hacer una encuesta en toda la organización para entender el grado de conocimiento y awareness respecto de los riesgos y su gestión, y con base en eso diseñar los planes de comunicación y capacitación que sean necesarios. Para comunicar adecuadamente la importancia de la gestión de riesgo, se puede recurrir a herramientas como artículos, trivias, juegos, merchandising interno, en los que se difundan conceptos cortos y fáciles de recordar, tips de seguridad, o el contenido del mensaje que se quiera transmitir. Es útil pensar en frases y eslóganes que se recuerden con facilidad.

Es fundamental recalcar que la gestión del riesgo solo resulta efectiva si se incorpora y se vive en los niveles más altos de la organización, marcando un “tone at the top” que permea a toda la empresa.