Por: Jim Deloach

Siempre es interesante ponernos nuestras “gafas para verlo todo” y observar situaciones en las que la gestión de riesgos ha fracasado. Al hacer esto, tenemos la oportunidad de identificar las señales de advertencia que indican fallas comunes. Los siguientes son cinco errores frecuentes de gestión de riesgos y algunas señales de advertencia de cada uno. Las señales de alarma se dividen en indicadores organizacionales, de procesos y de comportamiento [1].

1. Mal gobierno y “tono de la organización”

El gobierno es el acto o proceso de ejercer supervisión, dirección y control con autoridad. El término se utiliza a menudo para describir lo que el Comité Directivo y la Dirección Ejecutiva hacen para supervisar la planificación y las operaciones de la empresa, y para garantizar la eficacia del establecimiento de la estrategia y de otros procesos de gestión en la organización .

“El tono directivo” de la Dirección Ejecutiva proporciona una base vital para la transparencia, la apertura y el compromiso con la mejora continua, que son tan necesarios en la gestión eficaz del riesgo. Sin embargo, el tono en la parte superior debe ser complementado con un tono efectivo “en los mandos medios”. No importa lo que los líderes comuniquen a sus organizaciones, lo que realmente impulsa el comportamiento de los empleados es lo que ven y escuchan todos los días de los directivos a quienes les reportan. Si el comportamiento de los mandos intermedios contradice los mensajes y valores transmitidos desde la Dirección, no pasará mucho tiempo para que los empleados de nivel inferior lo noten. Debido a que el énfasis de proveniente de las directivas (top-down) en la gestión eficaz del riesgo es tan fuerte como su eslabón más débil, es vital que este énfasis se traduzca en un tono efectivo en los mandos medios antes de que pueda llegar a toda la organización. Por lo tanto, se necesita un “tono organizacional” fuerte.

Estos son algunos indicadores de las deficiencias en el gobierno y en el tono de la organización:

Indicadores organizacionales:

  • El mal gobierno de riesgo, y la falta de liderazgo y disciplina ocasionan que en las actividades de creación de valor empresarial de las líneas de negocio primordiales se ignoren el riesgo y las alertas tempranas planteadas por la gestión de riesgo independiente.
  • La falta de enfoque del Consejo en la supervisión del riesgo ocasiona que los Directores no puedan abordar las preguntas difíciles.

Indicadores de proceso:

  • El riesgo no es considerado explícitamente por la Gerencia al evaluar las alternativas estratégicas ni al entrar en nuevos mercados, introducir nuevos productos o realizar una inversión o adquisición compleja.
  • La comunicación y el intercambio de información sobre los riesgos a niveles superiores, inferiores y, en general, en toda la empresa son ineficaces o inexistentes.

Indicadores de conducta:

  • Un enfoque limitado al corto plazo ―un mes o un trimestre― causa que la empresa, al tomar riesgos, hipoteque el futuro en beneficio del presente.
  • Un CEO dominante ignora las señales de advertencia enviadas por la gestión de riesgos, se resiste a aceptar las malas noticias o la información contraria, que indica que la estrategia de la organización no está funcionando y/o que no involucra oportunamente al Consejo en cuestiones estratégicas y asuntos normativos.
  • Hay evidencia de estrategias que no pueden ser implementadas, de presiones extremas de desempeño, de planes de expansión irreales, de falta de experiencia ejecutiva, de una “cultura combativa” y de una competencia interna malsana que incentiva la toma de riesgos excesivos.

2. Toma de riesgos imprudente

La toma de riesgos imprudente es un asesino del valor de la empresa. Quiere decir que la empresa corre riesgos que el Consejo de Directivo y/o la Dirección Ejecutiva no comprenden ni aprueban. Una lección que seguimos aprendiendo una y otra vez consiste en ser disciplinados al tomar riesgos durante los períodos de crecimiento rápido y mercados favorables. Por ejemplo, todos los programas de MBA cuentan con estudios de caso de empresas que tienen que volver a aprender una lección de larga tradición:

Si bien es cierto que las personas competentes son un aspecto importante de la gestión de riesgos; el hecho de que la administración dependa de ellas sin límites, que no mantenga controles ni haga balances de su desempeño y que no cuente con una supervisión independiente, es tan desaconsejable como el no comprender los riesgos inherentes a sus actividades.

Es interesante observar cómo las empresas, incluso las industrias enteras, continúan descubriendo esta lección fundamental. En la crisis financiera, a algunas instituciones les fue mejor que a otras y podemos aprender sobre sus decisiones.

Los indicadores clave de este error incluyen:

Indicadores organizacionales:

  • El Consejo no lleva a cabo suficiente supervisión del riesgo.
  • Los líderes de las unidades de operación y los encargados de los procesos no son los responsables gestionar los riesgos que sus actividades crean; por tanto, los encargados de los riesgos primarios no están realizando el seguimiento y la gestión del riesgo desde su origen.
  • No hay ninguna función de gestión de riesgo independiente que supervise el riesgo.
  • Auditoría interna no se centra en la eficacia de las dos primeras líneas de defensa ―los responsables de los riesgos primarios y las funciones de riesgo independientes.

Indicadores de proceso:

  • O bien se carece de un documento que dé cuenta de la propensión al riesgo o no hay rendición de cuentas que asegure que los riesgos se asuman de manera prudente dentro de los límites establecidos por la propensión al riesgo de la organización.
  • No se aplica un análisis contrario a los supuestos críticos que subyacen a la estrategia para supervisar las tendencias y otros indicadores de riesgo y así determinar si uno o más supuestos críticos se han vuelto o se están volviendo inválidos.
  • Los cargos de confianza (por ejemplo, los asignados a personas cuyas acciones u omisiones pueden someter a la empresa a eventos significativos de riesgo) no se identifican ni se gestionan; por lo tanto, sus actividades no pueden ser objeto de supervisión por parte de un ejecutivo bien informado.

Indicadores de conducta:

  • La estructura de compensación de incentivos y la cultura de la organización conducen a un comportamiento de riesgo inapropiado; por ejemplo, un plan de compensación del tipo “cara yo gano, cruz usted pierde” puede producir consecuencias no deseadas que la administración y el Consejo querrían evitar si se les diera la opción.
  • La responsabilidad de la gestión del riesgo no está vinculada con el sistema de recompensa; o peor, el programa de compensación de incentivos fomenta la toma desenfrenada de riesgos.
  • Existen “grandes estrellas” que hacen mucho dinero, pero nadie sabe cómo o por qué tienen éxito.
  • Las personas “más inteligentes en la sala” dominan la discusión y dirigen el flujo de pensamiento del grupo.
  • Hay conflictos de intereses significativos en áreas complejas, volátiles y/o difíciles de medir.

3. Incapacidad para implementar una gestión de riesgo (ERM  [2] ) efectiva

La mayoría de los esfuerzos para implementar la ERM están mal enfocados, han sido severamente restringidos por la limitación de recursos y han sido tan relegados en la organización que es difícil establecer su relevancia. El resultado a corto plazo es una dinámica de “arrancar y parar” y de discutir incesantemente para comprender cuál es el objetivo. El resultado a largo plazo es que la gestión de riesgos es rara vez, o nunca, elevada a un nivel estratégico y continúa siendo impulsada por silos [3] funcionales dentro de la organización.

Los indicadores comunes de este error incluyen:

Indicadores organizacionales:

  • Existe una falta de apoyo por parte de la Dirección Ejecutiva y otros sectores clave. La empresa sufre de falta de empuje debido que se ha delegado la toma de iniciativa a los niveles inferiores de la organización.
  • La iniciativa de ERM no tiene un alcance global a nivel de la empresa ni adopta un enfoque estratégico.
  • La respuesta de ERM tiene en una orientación “de adición” en la cual los diversos silos de gestión de riesgos se suman porque así cubren en conjunto los riesgos de la empresa.

Indicadores de proceso:

  • O bien no existe una política de gestión de riesgo o la política existe, pero no hace hincapié en los principios de la ERM.
  • El proceso de ERM no se centra en los pocos riesgos vitales que realmente importan y/o no posiciona a la organización para avanzar a tiempo y aprovechar las oportunidades de mercado y los riesgos emergentes.

Indicadores de conducta:

  • Falta claridad en cuanto a la motivación del negocio y a la justificación económica para la ERM; por ejemplo, al tratar de comprender el problema que se está tratando de resolver con la ERM se genera un diálogo sin fin sobre el “qué” y “por qué”.
  • Los responsables son incapaces de responder de manera aceptable ante el Consejo Directivo a preguntas tales como: ¿Cuáles son los riesgos críticos? ¿Cómo los estamos manejando y cómo damos cuenta de ello?
  • Se evidencia parálisis o falta de voluntad de empezar los procesos necesarios para asegurar un acercamiento efectivo a la gestión de riesgo en toda la empresa.

4. Inexistencia, ineficacia o ineficiencia de la evaluación del riesgo

Esta falla se produce cuando las actividades de evaluación de riesgos no identifican de manera eficiente, eficaz y rápida los riesgos de la empresa. También ocurre cuando la evaluación del riesgo consiste tan solo en compartir la lista actualizada de los riesgos con los ejecutivos de la compañía sin ir más allá.

Algunos indicadores clave de esta falla son los siguientes:

Indicadores organizacionales:

  • La gran cantidad de silos de gestión de riesgo y la falta de una visión de proceso ocasionan que muchos riesgos pasen desapercibidos.
  • Múltiples solicitudes de evaluación de riesgos abruman el proceso de la entidad y a los responsables de las funciones debido a la mentalidad de silo de las numerosas solicitudes de los evaluadores de riesgo.

Indicadores de proceso:

  • El proceso de evaluación de riesgos no involucra a las principales partes interesadas y los resultados no son reportados a la Junta Directiva para obtener su opinión y perspectiva.
  • Las evaluaciones de riesgo pocas veces generan un entendimiento que altere el punto de vista de la Dirección, dejan a los responsables de tomar las decisiones con pocas ideas en cuanto a qué hacer a continuación para gestionar el riesgo y rara vez afectan las decisiones y los planes de negocio.
  • El proceso ofrece pocas indicaciones sobre qué hacer frente a eventos extremos, y tiene poco o ningún impacto en la mejora de la preparación de las respuestas.
  • El proceso no dedica suficiente atención a ayudar a los gerentes a pensar acerca de lo que no saben.
  • El marco analítico común utilizado no tiene en cuenta las múltiples visiones de futuro y no aborda las características únicas y los límites temporales de los riesgos que enfrenta la empresa.
  • El Consejo General limita el proceso de evaluación de riesgos con preocupaciones sobre la documentación del riesgo.

Indicadores de conducta:

  • La organización practica ELM [4], o “gestión de lista empresarial”, que clasifica los riesgos periódicamente; pero que contribuye muy poco a informar cómo se gestionan.
  • Las evaluaciones subjetivas son a menudo influenciadas por la experiencia pasada, fomentan el pensamiento homogéneo del grupo y evitan la generación de ideas innovadoras.

5. Ausencia de integración de la gestión de riesgo con el planteamiento de estrategias y la gestión del rendimiento

Este error se produce cuando el riesgo es tratado como un aditamento de la estrategia, lo que resulta en objetivos estratégicos poco realistas y en una gestión de riesgos convertida en un apéndice de la gestión del rendimiento. Las consecuencias de esta falla incluyen una estrategia con la cual organización no puede cumplir, un deterioro de la posición competitiva, una incapacidad para adaptarse a un entorno de negocios cambiante y una importante pérdida de valor de la empresa.

Los posibles indicadores clave de esta falla son los siguientes:

Indicadores organizacionales:

  • La administración no ha puesto en práctica un enfoque eficaz para integrar las implicaciones del riesgo en la planificación estratégica y en la gestión del rendimiento.

Indicadores de proceso:

  • Los riesgos inherentes a la estrategia de la organización no han sido identificados, localizados ni mitigados.
  • No se toma en consideración el riesgo que conllevan los cambios que afectan al modelo de negocio.
  • Los principales riesgos inherentes a las operaciones de la empresa, incluyendo la forma en que se manejan, no son claros para las partes interesadas.
  • Hay una falta de conectividad de la gestión de riesgos con los procesos centrales de gestión.
  • La alineación de las respuestas a los riesgos con la estrategia y la gestión del rendimiento empresarial es pobre o deficiente.
  • No existe ningún proceso establecido que permita anticipar escenarios extremos de riesgo que podrían descarrilar la ejecución de la estrategia. Por ejemplo, ni la velocidad ni la persistencia ni la disposición de respuesta asociadas con los riesgos de alto impacto ―y de baja probabilidad de ocurrencia― son evaluadas para determinar si son necesarios nuevos planes de acción frente al riesgo.
  • La estrategia y las respuestas a los riesgos relacionados no se comunican de manera coherente en toda la empresa.

Indicadores de conducta:

  • La gestión del riesgo está absorbida en minucias en lugar de centrarse en lo realmente importante: los riesgos estratégicos vitales.
  • Hay pruebas de toma de riesgos inaceptables o de actividad innecesaria de aversión al riesgo.

Resumen

Hemos discutido las cinco fallas más comunes de la gestión de riesgos:

  1. Mal gobierno y “tono de la organización”.
  2. Conducta imprudente de toma de riesgos.
  3. Incapacidad para implementar una gestión de riesgo (ERM ) efectiva.
  4. Inexistencia, ineficacia o ineficiencia de la evaluación del riesgo.
  5. Ausencia de integración de la gestión de riesgo con el planteamiento de estrategias y la gestión del rendimiento.

Las señales de advertencia previstas para cada una de las anteriores fallas proporcionan un diagnóstico de alto nivel para el Consejo y la Dirección que permite controlar la solidez y vitalidad de la gestión de riesgos en la organización.

* Es miembro del equipo de liderazgo Protiviti Solutions. Su enfoque es ayudar a las organizaciones responder exitosamente ante los mandatos gubernamentales, las demandas de los accionistas y el entorno empresarial cambiante de una manera rentable y sostenible que reduzca el riesgo a un nivel aceptable.

[1] “Mejora del rendimiento organizativo y de gobierno: Cómo pueden ayudar los marcos de COSO” (Improving Organizational Performance and Governance: How the COSO Frameworks Can Help), James DeLoach y Jeff Thomson, 2014.

[2] Enterprise Risk Management.

[3] El “efecto silo” imposibilita que las cuestiones interdepartamentales se resuelvan a niveles medios o bajos. Los problemas se elevan a los directivos para que estos los resuelvan y luego la información retorna al silo en donde las tares deben de ser ejecutadas. Debido a esto, se genera la necesidad de un control “extra” y los costes de coordinación aumentan. Los silos complican los flujos de información y le restan agilidad a la empresa.

[4] Enterprise List Managment.