22 de noviembre de 2024 | Por Carol A. Williams
No se puede negar la popularidad de la lista de los 10 principales.
Cualquiera que sea el asunto, deportes, música, literatura, negocios, que tenga tu nombre, existe una lista de los 10 principales para ello.
¿Quieres conocer los 10 animales más peligrosos del mundo? Existe una lista de ello.
¿O qué acerca de los 10 eventos para rellenar el espacio en blanco del año? Puedes estar seguro de que existe una lista para eso.
Existe hasta una página de internet que promueve su publicación “tres listas de los 10 mejores llenas de información” cada día.
Es fácil entender porqué las listas de los 10 principales son tan populares. Son fáciles de hojear y digerir, pueden provocar un debate intenso y pueden ser muy interesantes.
Por tanto, no debe ser una sorpresa que exista una abundancia de listas de los 10 principales riesgos específicos a elegir. Algunas de estas listas son más generalizadas en naturaleza, como el Reporte Mundial Anual de Riesgos del Foro Económico o encuestas de Protiviti, mientras otros como la de Aon con los Principales Riesgos que enfrentan las Organizaciones de Seguros enfocada en una industria específica.
A pesar de que estos reportes pueden ser buenas herramientas para una evaluación comparativa y comparten los mismos atributos que otras listas de los 10 principales, lo que muchas organizaciones asumen desafortunadamente es lo que otras personas dicen que son los riesgos principales de la seguridad cibernética, los desastres naturales, el cambio climático y cambios regulatorios, esto debe significar que esos riesgos deberían estar en la lista principal de tu empresa.
Este error fatal es una de las razones por las que cerca de las dos terceras partes de los encuestados para el Informe sobre el estado de la supervisión de riesgos de 2024 del estado de Carolina del Norte, piensa que los procesos de gestión de riesgos de su empresa fracasan totalmente u ofrecen una mínima ventaja competitiva.
Como consultor de riesgos y estrategias para aseguradoras, existe una queja común que escucho de los ejecutivos y es que este tipo de gestión de riesgos a partir de una lista simplemente repite lo que ya está dicho.
El consejero, entrenador y autor Tim Leech hace eco de este sentimiento cuando explica:
“…la evidencia es clara, la lista de riesgos ERM fue/es un cambio peligroso que no ayudará a lo que RM debe hacer, ayudar a las compañías a seguir hacia adelante.”
Existen algunas razones por las que utilizar listas de riesgos principales es muy problemático, siendo respuesta más simple que todas las empresas son diferentes.
Los riesgos principales, y qué hacer acerca de ellos, puede variar de una empresa a otra según factores como:
- Tamaño de la empresa (pequeña, mediana, grande)
- Ubicación (una sola ciudad, múltiples ciudades, regional, super-regional, nacional, internacional)
- Estructura corporativa (mutua, acciones cotizadas públicamente, recíproca)
- Tipos de negocios (líneas personales, comercial, pequeños negocios)
- Contratos de trabajo (totalmente remotos, híbrido, totalmente en la oficina)
- Cantidad de trabajo que es contratado de manera externa vs. lo manejado internamente
Además de estas diferencias “superficiales” es difícil, en realidad es imposible, crear planes de acción para todos. Una empresa puede no tener absolutamente nada en práctica y sin embargo necesita planes de acción extensos. Otra empresa puede que ya se encuentre haciendo cosas para gestionar riesgos encontrados en la lista por lo cual no son tan importantes.
Sin embargo, otra empresa puede que tenga una mayor tolerancia o disposición a asumir riesgos en ciertas áreas. Una empresa en este grupo sentirá como si no necesitara hacer nada, o algo muy mínimo.
Pero así como todos son importantes, existe otra razón por la que utilizar listas de riesgos principales puede ser difícil, sino peligroso, y por eso es que ninguno de los riesgos se encuentran atados a los objetivos estratégicos de la empresa o los motivadores de los valores más importantes.
Toma uno de los riesgos que vemos incluidos en casi todas las listas de riesgos principales: la seguridad cibernética. Pienso que estaríamos de acuerdo en su importancia y también en los peligros y costos de una brecha de información. Sin embargo, como el autor y antiguo encargado de riesgos, auditoría y gobernancia Norman Marks preguntó acerca del riesgo cibernético en su libro Otorgándole Sentido de Empresa al Riesgo de la Tecnología, “¿es el riesgo tan grande para todas las organizaciones que la junta directiva y dirección ejecutiva debe otorgarle mayor prioridad que otros riesgos? ¿deberían estar invirtiendo fondos escasos en la gestión del riesgo cibernético, o en tecnologías nuevas y disruptivas, desarrollo de producto, capacidad de ventas, capacidad de fabricación, y así sucesivamente?
(énfasis añadido)
Esta cita, junto al conocimiento de Leech mencionado anteriormente, llega al centro de las deficiencias de las listas de los riesgos principales: están muy enfocadas en los riesgos, y aunque pueden ayudar a prevenir alguna falla ese no es el camino al éxito en un mundo volátil, incierto, complejo y ambigüo (VUCA) como el de hoy en día.
Además, muestra como sería seguir ciegamente y basar las decisiones en una lista de 10 principales en las palabras del filósofo inglés, hombre de estado y ensayista Francis Bacon, “un remedio que es peor que la enfermedad.”
¿Significa esto que las aseguradoras de propiedades/accidentes no deben preocuparse por la idea de los riesgos más importantes?
¡Para nada!
No es como si no existiera ningún riesgo importante para una empresa. Es simplemente que los reportes genéricos tienen poca o ninguna relavancia para la verdadera situación de una empresa. Además, tratar de identificar cada fuente de riesgo de una empresa es una tarea muy incómoda para considerarla.
En lugar de eso, las siguientes preguntas pueden ayudar a tu empresa a descubrir exactamente cuales son sus riesgos principales y donde los esfuerzos serían más impactados. La primera pregunta que se debe hacer es:
- ¿Cuáles riesgos nos impedirían cumplir X objetivo?
A medida que tu compañía desarrolla sus objetivos, debes conocer los riesgos que implica alcanzarlos. Un objetivo significativo unido a un riesgo que tiene un gran impacto y probabilidad podría poner el objetivo en peligro.
Esos objetivos pueden incluir ambas cosas: estrategias (por ejemplo, crecimiento y madurez) y negocios (por ejemplo, operaciones del día a día).
Evadir el establecimiento de esta conexión será traumático para la dirección a ciegas del ciego, provocando la pérdida de objetivos, el caos constante y otras situaciones.
2. ¿Cuáles de estos riesgos se encuentra por encima de la tolerancia de la empresa?
Una vez que ha sido establecida la conexión entre los objetivos estratégicos y los operacionales y los riesgos han sido identificados, el próximo paso es encontrar cuáles riesgos se encuentran por encima de la tolerancia de la empresa. Si el riesgo se encuentra dentro de los límites que han sido establecidos y la cantidad de riesgos que la empresa está dispuesta a asumir para lograr sus objetivos, entonces no puede ser considerado un riesgo principal.
Un verdadero “riesgo principal” sería uno que excede lo que ha sido considerado como aceptable para la dirección.
3. ¿Cuáles son los efectos acumulados de los riesgos relacionados a un objetivo específico?
Solo porque un riesgo se encuentre dentro de la tolerancia de una empresa, no significa que se encuentra automáticamente cubierto.
Es posible que un riesgo sea pequeño pero ¿qué sucede cuando se une a otro que es mayor? ¿Podría un riesgo aparentemente pequeño detonar uno mayor más adelante?
Si es así, entonces la empresa querrá entender mejor la probabilidad de ocurrencia de los riesgos de un objetivo específico. Si la probabilidad está en el extremo más alto, este objetivo debe ser considerado “en riesgo” para no crear mayores problemas en el proceso.
4. ¿Cuáles son los mayores riesgos de todos los objetivos? En otras palabras, ¿cuáles objetivos tienen más riesgos?
Afortunadamente, conocer la lista de los riesgos principales ha sido disminuido pero el liderazgo debe ahora enfocarse en comprender los objetivos que tienen más riesgos. Para hacerlo, cambia la pregunta hacia “¿qué tanto confiamos en que podemos alcanzar este objetivo? Si el nivel de confianza es bajo basado en la información reunida, entonces esos objetivos deben ser priorizados para ser abordados.
5. ¿Cuáles de estos riesgos podemos controlar vs. cuáles necesitamos solo monitorear?
Aún luego de priorizar los objetivos que serán abordados, pueden existir muchos riesgos que tengamos que enfrentar. Es en este punto donde la habilidad de controlar un riesgo debe ser incluida en la ecuación.
Si no se encuentra bajo el control de la compañía y todo lo que puede hacerse es monitorearlo y abordar las situaciones según suceden, ¿debería ser considerado como un riesgo principal?
¿Qué si el riesgo está más allá de la tolerancia de la compañía pero dentro del control de la compañía y hay ideas sobre la disminución del riesgo? Es tiempo de ejecutar planes de acción para estos riesgos.
Por suspuesto, una vez que las disminuciones han reducido los riesgos por debajo de la tolerancia de la empresa, entonces sería más seguro moverlos a la posición de monitoreo para asegurar que permanezcan dentro de los umbrales y límites establecidos.
Con esto completado, la empresa ahora tiene su propia lista de riesgos principales, una que puede ser trabajada para obtener resultados reales.
Pero espera, antes de liberar al personal o los terceros para salir y conquistar, la empresa tiene que asegurarse de que tiene el presupuesto para abordar estos riesgos principales, lo cual es una trampa en la que muchos caen. Aún si todo lo demás para determinar los riesgos principales de la empresa es llevado a cabo de manera adecuada, no funcionará si no hay fondos disponibles para abordar esos riesgos.
Una vez más, las listas de riesgos principales pueden ser interesantes para leerse y una manera de comparar lo que tu empresa está haciendo con relación a otras. Pero depender solo de ellas hará más daño que bien.
Conectar los riesgos a los objetivos de la compañía o a los motivadores de mayor valor pondrá la administración de los riesgos en un camino hacia ayudar al liderazgo a tomar decisiones informadas sobre trazar el futuro de la empresa.
¿Estás listo para descubrir cuáles son los verdaderos riesgos principales de tu empresa?
De Paz y Asociados, SRL 