Gestión de riesgos: un nuevo marco

Explore El Archivo
RECOMMENDED
Henkel: Building a Winning Culture
CASE
8.95 View Details

Creating Shared Value (HBR Bestseller)

HBR ARTICLE
8.95 View Details

HBR Tools: SWOT Analysis

PRESS TOOLKIT
39.95 View Details
Nota del editor: desde que se publicó este número de HBR, JP Morgan, cuyas
prácticas de gestión de riesgos se destacan en este artículo, reveló pérdidas
comerciales significativas en una de sus unidades. Los autores brindan sus
comentarios sobre este giro de los acontecimientos en su contribución al Centro
Insight de HBR sobre la gestión del comportamiento riesgoso.
Cuando Tony Hayward se convirtió en CEO de BP, en 2007, prometió hacer de la
seguridad su máxima prioridad. Entre las nuevas reglas que instituyó estaban los
requisitos de que todos los empleados usen tapas en las tazas de café mientras
caminan y se abstengan de enviar mensajes de texto mientras conducen. Tres años
después, bajo la supervisión de Hayward, la plataforma petrolera Deepwater
Horizon explotó en el Golfo de México, causando uno de los peores desastres
provocados por el hombre en la historia. Una comisión de investigación de EE. UU.
Atribuyó el desastre a fallas de gestión que paralizaron "la capacidad de las
personas involucradas para identificar los riesgos que enfrentaban y evaluarlos,
comunicarlos y abordarlos adecuadamente". La historia de Hayward refleja un
problema común. A pesar de toda la retórica y el dinero invertido en ella, la gestión
de riesgos se trata con demasiada frecuencia como un problema de cumplimiento
que se puede resolver elaborando muchas reglas y asegurándose de que todos los
empleados las sigan. Muchas de esas reglas, por supuesto, son sensatas y reducen
algunos riesgos que podrían dañar gravemente a una empresa. Pero la gestión de
riesgos basada en reglas no disminuirá ni la probabilidad ni el impacto de un
desastre como Deepwater Horizon, al igual que no evitó el fracaso de muchas
instituciones financieras durante la crisis crediticia de 2007-2008.
En este artículo, presentamos una nueva categorización de riesgo que permite a los
ejecutivos determinar qué riesgos se pueden gestionar mediante un modelo basado
en reglas y cuáles requieren enfoques alternativos. Examinamos los desafíos
individuales y organizacionales inherentes a la generación de debates abiertos y
constructivos sobre la gestión de los riesgos relacionados con las elecciones
estratégicas y argumentamos que las empresas deben anclar estos debates en sus
procesos de formulación e implementación de estrategias. Concluimos observando
cómo las organizaciones pueden identificar y prepararse para riesgos no
prevenibles que surgen externamente a su estrategia y operaciones.
Gestión del riesgo: ¿Reglas o diálogo?
El primer paso para crear un sistema eficaz de gestión de riesgos es comprender
las distinciones cualitativas entre los tipos de riesgos que enfrentan las
organizaciones. Nuestra investigación de campo muestra que los riesgos se dividen
en una de tres categorías. Los eventos de riesgo de cualquier categoría pueden ser
fatales para la estrategia de una empresa e incluso para su supervivencia.
Categoría I: riesgos prevenibles.
Estos son riesgos internos, que surgen dentro de la organización, que son
controlables y deben eliminarse o evitarse. Algunos ejemplos son los riesgos de
acciones no autorizadas, ilegales, poco éticas, incorrectas o inapropiadas de los
empleados y gerentes y los riesgos de fallas en los procesos operativos de
rutina. Para estar seguros, las empresas deben tener una zona de tolerancia a
defectos o errores que no causen daños graves a la empresa y para los cuales
lograr una evasión completa sería demasiado costoso. Pero, en general, las
empresas deben tratar de eliminar estos riesgos, ya que no obtienen beneficios
estratégicos al asumirlos. Un comerciante deshonesto o un empleado que soborna
a un funcionario local puede producir algunas ganancias a corto plazo para la
empresa, pero con el tiempo tales acciones disminuirán el valor de la empresa.
Esta categoría de riesgo se gestiona mejor a través de la prevención activa:
monitoreando los procesos operativos y guiando los comportamientos y las
decisiones de las personas hacia las normas deseadas. Como ya existe una
considerable literatura sobre el enfoque de cumplimiento basado en reglas,
remitimos a los lectores interesados a la barra lateral "Identificación y gestión de
riesgos evitables" en lugar de una discusión completa de las mejores prácticas aquí.
Identificación y gestión de riesgos prevenibles
Read More
Categoría II: Riesgos de estrategia.
Una empresa acepta voluntariamente cierto riesgo para generar retornos superiores
de su estrategia. Un banco asume riesgo de crédito, por ejemplo, cuando presta
dinero; Muchas empresas asumen riesgos a través de sus actividades de
investigación y desarrollo.
Los riesgos estratégicos son bastante diferentes de los riesgos prevenibles porque
no son inherentemente indeseables. Una estrategia con altos rendimientos
esperados generalmente requiere que la compañía asuma riesgos significativos, y
administrar esos riesgos es un factor clave para capturar las ganancias
potenciales. BP aceptó los altos riesgos de perforar varias millas debajo de la
superficie del Golfo de México debido al alto valor del petróleo y el gas que
esperaba extraer.
Los riesgos de estrategia no se pueden gestionar a través de un modelo de control
basado en reglas. En cambio, necesita un sistema de gestión de riesgos diseñado
para reducir la probabilidad de que los riesgos asumidos realmente se materialicen
y para mejorar la capacidad de la empresa para gestionar o contener los eventos de
riesgo en caso de que ocurran. Tal sistema no detendría a las empresas de
emprender empresas arriesgadas; por el contrario, permitiría a las empresas asumir
empresas de mayor riesgo y mayor recompensa que los competidores con una
gestión de riesgos menos efectiva.
Categoría III: Riesgos externos.
Algunos riesgos surgen de eventos fuera de la empresa y están más allá de su
influencia o control. Las fuentes de estos riesgos incluyen desastres naturales y
políticos y grandes cambios macroeconómicos. Los riesgos externos requieren otro
enfoque más. Debido a que las empresas no pueden evitar que ocurran tales
eventos, su gestión debe centrarse en la identificación (tienden a ser obvias en
retrospectiva) y la mitigación de su impacto.
Las empresas deben adaptar sus procesos de gestión de riesgos a estas diferentes
categorías. Si bien un enfoque basado en el cumplimiento es efectivo para gestionar
los riesgos prevenibles, es totalmente inadecuado para los riesgos de estrategia o
riesgos externos, que requieren un enfoque fundamentalmente diferente basado en
discusiones de riesgo abiertas y explícitas. Eso, sin embargo, es más fácil decirlo
que hacerlo; Una extensa investigación conductual y organizacional ha demostrado
que las personas tienen fuertes sesgos cognitivos que los desalientan de pensar y
discutir el riesgo hasta que sea demasiado tarde.
Por qué es difícil hablar del riesgo
Múltiples estudios han encontrado que las personas sobreestiman su capacidad de
influir en eventos que, de hecho, están fuertemente determinados por el
azar. Tendemos a estar demasiado confiados acerca de la precisión de nuestros
pronósticos y evaluaciones de riesgo y demasiado limitados en nuestra evaluación
del rango de resultados que pueden ocurrir.
También anclamos nuestras estimaciones a la evidencia fácilmente disponible a
pesar del peligro conocido de realizar extrapolaciones lineales de la historia reciente
a un futuro altamente incierto y variable. A menudo agravamos este problema con
un sesgo de confirmación, lo que nos impulsa a favorecer la información que
respalda nuestras posiciones (generalmente exitosas) y suprime la información que
las contradice (típicamente fallas). Cuando los eventos se apartan de nuestras
expectativas, tendemos a aumentar el compromiso, dirigiendo irracionalmente aún
más recursos a nuestro curso de acción fallido, arrojando dinero bueno después del
malo.
Los sesgos organizacionales también inhiben nuestra capacidad de discutir el
riesgo y el fracaso. En particular, los equipos que enfrentan condiciones inciertas a
menudo participan en el pensamiento grupal : una vez que un curso de acción ha
reunido apoyo dentro de un grupo, los que aún no están a bordo tienden a suprimir
sus objeciones, por válidas que sean, y se alinean. El pensamiento grupal es
especialmente probable si el equipo está dirigido por un gerente autoritario o
confiado que quiere minimizar el conflicto, la demora y los desafíos a su autoridad.
Colectivamente, estos sesgos individuales y organizacionales explican por qué
tantas compañías pasan por alto o interpretan mal las amenazas ambiguas. En
lugar de mitigar el riesgo, las empresas realmente incuban el riesgo a través de
la normalización de la desviación, ya que aprenden a tolerar fallas y defectos
aparentemente menores y tratan las señales de alerta temprana como falsas
alarmas en lugar de alertas de peligro inminente.
Los procesos efectivos de gestión de riesgos deben contrarrestar esos sesgos. "La
mitigación del riesgo es dolorosa, no es un acto natural para los humanos", dice
Gentry Lee, ingeniero jefe de sistemas en el Laboratorio de Propulsión a Chorro
(JPL), una división de la Administración Nacional de Aeronáutica y del Espacio de
EE. UU. Los científicos de cohetes en los equipos del proyecto JPL son los mejores
graduados de universidades de élite, muchos de los cuales nunca han
experimentado un fracaso en la escuela o el trabajo. El mayor desafío de Lee para
establecer una nueva cultura de riesgo en JPL fue lograr que los equipos del
proyecto se sintieran cómodos pensando y hablando sobre lo que podría salir mal
con sus excelentes diseños.
Las reglas sobre qué hacer y qué no hacer no ayudarán aquí. De hecho,
generalmente tienen el efecto contrario, fomentando una mentalidad de lista de
verificación que inhibe el desafío y la discusión. La gestión de riesgos estratégicos y
riesgos externos requiere enfoques muy diferentes. Comenzamos examinando
cómo identificar y mitigar los riesgos de la estrategia.
Gestión de riesgos estratégicos
En los últimos 10 años de estudio, hemos encontrado tres enfoques distintos para
gestionar los riesgos de la estrategia. El modelo apropiado para una empresa
determinada depende en gran medida del contexto en el que opera una
organización. Cada enfoque requiere estructuras y roles bastante diferentes para
una función de gestión de riesgos, pero los tres alientan a los empleados a desafiar
los supuestos existentes y debatir la información sobre riesgos. Nuestro hallazgo de
que "una talla no sirve para todos" va en contra de los esfuerzos de las autoridades
reguladoras y las asociaciones profesionales para estandarizar la función.
Expertos independientes
Algunas organizaciones, en particular aquellas como JPL que amplían la innovación
tecnológica, enfrentan un alto riesgo intrínseco a medida que persiguen proyectos
de desarrollo de productos largos, complejos y costosos. Pero dado que gran parte
del riesgo surge de hacer frente a las leyes de la naturaleza conocidas, el riesgo
cambia lentamente con el tiempo. Para estas organizaciones, la gestión de riesgos
puede manejarse a nivel de proyecto.
JPL, por ejemplo, ha establecido una junta de revisión de riesgos compuesta por
expertos técnicos independientes cuyo papel es desafiar las decisiones de diseño,
evaluación de riesgos y mitigación de riesgos de los ingenieros de proyectos. Los
expertos aseguran que las evaluaciones de riesgo se realicen periódicamente
durante todo el ciclo de desarrollo del producto. Debido a que los riesgos son
relativamente constantes, la junta de revisión debe reunirse solo una o dos veces al
año, y el líder del proyecto y el jefe de la junta de revisión se reúnen
trimestralmente.
Las reuniones de la junta de revisión de riesgos son intensas, creando lo que
Gentry Lee llama "una cultura de confrontación intelectual". Como dice el miembro
de la junta Chris Lewicki, "Nos separamos, tirando piedras y dando comentarios
muy críticos sobre todo lo que está sucediendo". Durante el proceso, los ingenieros
del proyecto ven su trabajo desde otra perspectiva. "Se levanta la nariz de la
muela", agrega Lewicki.
Las reuniones, tanto constructivas como de confrontación, no pretenden inhibir que
el equipo del proyecto persiga misiones y diseños altamente ambiciosos. Pero
obligan a los ingenieros a pensar de antemano sobre cómo describirán y
defenderán sus decisiones de diseño y si han considerado suficientemente las
posibles fallas y defectos. Los miembros de la junta, actuando como defensores del
diablo, contrarrestan el exceso de confianza natural de los ingenieros, ayudando a
evitar una escalada de compromiso con proyectos con niveles de riesgo
inaceptables.
En JPL, la junta de revisión de riesgos no solo promueve un debate vigoroso sobre
los riesgos del proyecto, sino que también tiene autoridad sobre los
presupuestos. La junta establece las reservas de costos y tiempo que se reservarán
para cada componente del proyecto de acuerdo con su grado de innovación. Una
extensión simple de una misión anterior requeriría una reserva financiera del 10% al
20%, por ejemplo, mientras que un componente completamente nuevo que aún
tenía que funcionar en la Tierra, mucho menos en un planeta inexplorado, podría
requerir una contingencia del 50% al 75% . Las reservas aseguran que cuando
surjan problemas inevitablemente, el equipo del proyecto tenga acceso al dinero y al
tiempo necesarios para resolverlos sin poner en peligro la fecha de
lanzamiento. JPL toma en serio las estimaciones; los proyectos han sido diferidos o
cancelados si los fondos fueron insuficientes para cubrir las reservas
recomendadas.
La gestión del riesgo es dolorosa, no es un acto natural para los humanos.
Facilitadores
Muchas organizaciones, como las empresas tradicionales de energía y agua,
operan en entornos tecnológicos y de mercado estables, con una demanda de los
clientes relativamente predecible. En estas situaciones, los riesgos provienen en
gran medida de elecciones operativas aparentemente no relacionadas en una
organización compleja que se acumulan gradualmente y pueden permanecer
ocultas durante mucho tiempo.
Dado que ningún grupo de personal tiene el conocimiento para realizar una gestión
de riesgos a nivel operativo en diversas funciones, las empresas pueden
implementar un grupo de gestión de riesgos central relativamente pequeño que
recopila información de los gerentes operativos. Esto aumenta la conciencia de los
gerentes sobre los riesgos que se han asumido en toda la organización y
proporciona a los tomadores de decisiones una imagen completa del perfil de riesgo
de la compañía.
Observamos este modelo en acción en Hydro One, la compañía eléctrica
canadiense. El director de riesgos, John Fraser, con el respaldo explícito del CEO,
organiza docenas de talleres cada año en los que los empleados de todos los
niveles y funciones identifican y clasifican los principales riesgos que ven para los
objetivos estratégicos de la compañía. Los empleados utilizan una tecnología de
votación anónima para calificar cada riesgo, en una escala de 1 a 5, en términos de
su impacto, la probabilidad de ocurrencia y la solidez de los controles
existentes. Las clasificaciones se discuten en los talleres, y los empleados están
facultados para expresar y debatir sus percepciones de riesgo. El grupo finalmente
desarrolla una vista de consenso que se registra en un mapa visual de riesgos,
recomienda planes de acción y designa un "propietario" para cada riesgo
importante.
El peligro de incorporar gerentes de riesgo dentro de la organización de línea es
que se “vuelven nativos”, convirtiéndose en creadores de acuerdos en lugar de
cuestionadores de acuerdos.
Hydro One fortalece la responsabilidad al vincular la asignación de capital y las
decisiones presupuestarias con los riesgos identificados. El proceso de planificación
de capital a nivel corporativo asigna cientos de millones de dólares, principalmente a
proyectos que reducen el riesgo de manera efectiva y eficiente. El grupo de riesgo
recurre a expertos técnicos para desafiar los planes de inversión de los ingenieros
de línea y las evaluaciones de riesgos y para proporcionar supervisión experta
independiente al proceso de asignación de recursos. En la reunión anual de
asignación de capital, los gerentes de línea deben defender sus propuestas frente a
sus pares y altos ejecutivos. Los gerentes desean que sus proyectos atraigan
fondos en el proceso de planificación de capital basado en el riesgo, por lo que
aprenden a superar su sesgo para ocultar o minimizar los riesgos en sus áreas de
responsabilidad.
Expertos empotrados.
La industria de servicios financieros plantea un desafío único debido a la dinámica
volátil de los mercados de activos y el impacto potencial de las decisiones tomadas
por los operadores descentralizados y los administradores de inversiones. El perfil
de riesgo de un banco de inversión puede cambiar drásticamente con un solo
acuerdo o un movimiento importante del mercado. Para tales empresas, la gestión
de riesgos requiere expertos integrados dentro de la organización para monitorear e
influenciar continuamente el perfil de riesgo del negocio, trabajando codo a codo
con los gerentes de línea cuyas actividades generan nuevas ideas, innovación y
riesgos, y, si todo va bien, las ganancias .
JP Morgan Private Bank adoptó este modelo en 2007, al comienzo de la crisis
financiera mundial. Los gerentes de riesgos, integrados en la organización de la
línea, informan a los ejecutivos de la línea y a una función centralizada e
independiente de gestión de riesgos. El contacto cara a cara con los gerentes de
línea les permite a los gerentes de riesgo conocedores del mercado hacer
continuamente preguntas de "qué pasaría si", desafiando las suposiciones de los
gerentes de cartera y obligándolos a mirar diferentes escenarios. Los gestores de
riesgos evalúan cómo las operaciones propuestas afectan el riesgo de toda la
cartera de inversiones, no solo en circunstancias normales sino también en
momentos de extrema tensión, cuando las correlaciones de los rendimientos en las
diferentes clases de activos aumentan. "Los gerentes de cartera acuden a mí con
tres operaciones, y el modelo [de riesgo] puede decir que las tres están agregando
al mismo tipo de riesgo", explica Gregoriy Zhikarev, un gerente de riesgos de JP
Morgan. “Nueve de cada 10 veces un gerente dirá: 'No, eso no es lo que quiero
hacer'. Entonces podemos sentarnos y rediseñar los oficios ".
El principal peligro de integrar a los gerentes de riesgos dentro de la organización
de línea es que "se vuelven nativos", alineándose con el círculo interno del equipo
de liderazgo de la unidad de negocios, convirtiéndose en creadores de acuerdos en
lugar de interlocutores. Prevenir esto es responsabilidad del oficial superior de
riesgos de la compañía y, en última instancia, del CEO, quien establece el tono de
la cultura de riesgos de una compañía.
Evitar la trampa de funciones
Incluso si los gerentes tienen un sistema que promueve discusiones ricas sobre el
riesgo, les espera una segunda trampa cognitivo-conductual. Debido a que muchos
riesgos de estrategia (y algunos riesgos externos) son bastante predecibles, incluso
familiares, las empresas tienden a etiquetarlos y dividirlos en compartimentos,
especialmente a lo largo de las líneas de función del negocio. Los bancos a menudo
gestionan lo que denominan "riesgo de crédito", "riesgo de mercado" y "riesgo
operativo" en grupos separados. Otras compañías compartimentan la gestión de
"riesgo de marca", "riesgo de reputación", "riesgo de cadena de suministro", "riesgo
de recursos humanos", "riesgo de TI" y "riesgo financiero".
Comprender las tres categorías de riesgo
Read More
Tales silos organizacionales dispersan tanto la información como la responsabilidad
para una gestión de riesgos efectiva. Inhiben la discusión sobre cómo interactúan
los diferentes riesgos. Las buenas discusiones sobre el riesgo deben ser no solo de
confrontación sino también integradoras. Las empresas pueden descarrilarse
mediante una combinación de pequeños eventos que se refuerzan entre sí de
manera imprevista.
Los gerentes pueden desarrollar una perspectiva de riesgo en toda la compañía al
anclar sus discusiones en la planificación estratégica, el único proceso integrador
que la mayoría de las compañías bien administradas ya tienen. Por ejemplo,
Infosys, la compañía india de servicios de TI, genera discusiones de riesgos a partir
del Balanced Scorecard, su herramienta de gestión para la medición de estrategias
y la comunicación. "Cuando nos preguntamos qué riesgos deberíamos considerar",
dice el director general de riesgos MD Ranganath, "gradualmente nos
concentramos en los riesgos para los objetivos comerciales especificados en
nuestro cuadro de mando corporativo".
Al construir su Cuadro de Mando Integral, Infosys identificó las "relaciones
crecientes con los clientes" como un objetivo clave y seleccionó métricas para medir
el progreso, como el número de clientes globales con facturas anuales superiores a
$ 50 millones y los aumentos porcentuales anuales en los ingresos de grandes
clientes . Al analizar el objetivo y las métricas de rendimiento juntas, la gerencia se
dio cuenta de que su estrategia había introducido un nuevo factor de riesgo: el
incumplimiento del cliente. Cuando el negocio de Infosys se basaba en numerosos
clientes pequeños, el incumplimiento de un solo cliente no pondría en peligro la
estrategia de la compañía. Pero un incumplimiento por parte de un cliente de $ 50
millones presentaría un revés importante. Infosys comenzó a monitorear la tasa de
swap de incumplimiento crediticio de cada cliente grande como un indicador
principal de la probabilidad de incumplimiento. Cuando aumentaba la tasa de un
cliente, Infosys aceleraría el cobro de cuentas por cobrar o solicitaría pagos
progresivos para reducir la probabilidad o el impacto del incumplimiento.
Para tomar otro ejemplo, considere Volkswagen do Brasil (abreviado posteriormente
como VW), la filial brasileña del fabricante de automóviles alemán. La unidad de
gestión de riesgos de VW utiliza el mapa estratégico de la compañía como punto de
partida para sus diálogos sobre el riesgo. Para cada objetivo en el mapa, el grupo
identifica los eventos de riesgo que podrían causar que VW no esté a la altura de
ese objetivo. Luego, el equipo genera una Tarjeta de evento de riesgo para cada
riesgo en el mapa, enumerando los efectos prácticos del evento en las operaciones,
la probabilidad de ocurrencia, los indicadores principales y las posibles acciones
para la mitigación. También identifica quién tiene la responsabilidad principal de
gestionar el riesgo. (Consulte la exposición "La tarjeta de eventos de riesgo"). El
equipo de riesgo luego presenta un resumen de alto nivel de resultados a la alta
gerencia. (Ver "La tarjeta de informe de riesgos").
La tarjeta de evento de riesgo

Read More
La tarjeta de informe de riesgos
Read More
Más allá de introducir un proceso sistemático para identificar y mitigar los riesgos de
la estrategia, las empresas también necesitan una estructura de supervisión de
riesgos. Infosys utiliza una estructura dual: un equipo de riesgo central que identifica
los riesgos de la estrategia general y establece una política central, y equipos
funcionales especializados que diseñan y monitorean políticas y controles en
consulta con los equipos comerciales locales. Los equipos descentralizados tienen
la autoridad y la experiencia para ayudar a las líneas de negocios a responder a las
amenazas y los cambios en sus perfiles de riesgo, aumentando solo las
excepciones al equipo central de riesgos para su revisión. Por ejemplo, si un
gerente de relación con el cliente desea otorgar un período de crédito más largo a
una empresa cuyos parámetros de riesgo de crédito son altos, el administrador de
riesgo funcional puede enviar el caso al equipo central para su revisión.
Estos ejemplos muestran que el tamaño y el alcance de la función de riesgo no
están dictados por el tamaño de la organización. Hydro One, una gran empresa,
tiene un grupo de riesgo relativamente pequeño para generar conciencia y
comunicación sobre el riesgo en toda la empresa y asesorar al equipo ejecutivo
sobre las asignaciones de recursos basadas en el riesgo. Por el contrario, las
empresas o unidades relativamente pequeñas, como JPL o JP Morgan Private
Bank, necesitan múltiples juntas de revisión a nivel de proyecto o equipos de
gerentes de riesgos integrados para aplicar la experiencia del dominio para evaluar
el riesgo de las decisiones comerciales. E Infosys, una gran empresa con un amplio
alcance operativo y estratégico, requiere una fuerte función de gestión de riesgos
centralizada, así como gerentes de riesgos dispersos que apoyen las decisiones
comerciales locales y faciliten el intercambio de información con el grupo de riesgos
centralizado.
Gestionar lo incontrolable
Los riesgos externos, la tercera categoría de riesgo, generalmente no se pueden
reducir o evitar a través de los enfoques utilizados para gestionar los riesgos
prevenibles y estratégicos. Los riesgos externos se encuentran en gran medida
fuera del control de la empresa; las empresas deberían centrarse en identificarlos,
evaluar su impacto potencial y descubrir la mejor manera de mitigar sus efectos si
ocurrieran.
Algunos eventos de riesgo externo son lo suficientemente inminentes como para
que los gerentes puedan gestionarlos a medida que corren los riesgos de su
estrategia. Por ejemplo, durante la desaceleración económica después de la crisis
financiera mundial, Infosys identificó un nuevo riesgo relacionado con su objetivo de
desarrollar una fuerza laboral mundial: un aumento en el proteccionismo, que podría
conducir a restricciones estrictas en las visas de trabajo y permisos para ciudadanos
extranjeros en varias OCDE países donde Infosys tenía grandes compromisos con
clientes. Aunque la legislación proteccionista es técnicamente un riesgo externo ya
que está más allá del control de la compañía, Infosys lo trató como un riesgo
estratégico y creó una Tarjeta de eventos de riesgo para este, que incluía un nuevo
indicador de riesgo: el número y el porcentaje de sus empleados con doble
ciudadanía o existentes. permisos de trabajo fuera de la India. Si este número
disminuyera debido a la rotación del personal, la estrategia global de Infosys podría
verse en peligro. Por lo tanto, Infosys estableció políticas de reclutamiento y
retención que mitigan las consecuencias de este evento de riesgo externo.
Sin embargo, la mayoría de los eventos de riesgo externo requieren un enfoque
analítico diferente, ya sea porque su probabilidad de ocurrencia es muy baja o
porque a los gerentes les resulta difícil imaginarlos durante sus procesos de
estrategia normales. Hemos identificado varias fuentes diferentes de riesgos
externos:
Desastres naturales y económicos con impacto inmediato. Estos riesgos son
predecibles de manera general, aunque su momento generalmente no lo es (un
gran terremoto golpeará algún día en California, pero no se sabe exactamente
dónde ni cuándo). Pueden ser anticipados solo por señales relativamente
débiles. Los ejemplos incluyen desastres naturales como la erupción del volcán
islandés de 2010 que cerró el espacio aéreo europeo durante una semana y
desastres económicos como el estallido de una importante burbuja de precios de
activos. Cuando ocurren estos riesgos, sus efectos son típicamente drásticos e
inmediatos, como vimos en la interrupción del terremoto y tsunami japonés en 2011.
Cambios geopolíticos y ambientales con impacto a largo plazo. Estos incluyen
cambios políticos tales como cambios importantes de política, golpes de estado,
revoluciones y guerras; cambios ambientales a largo plazo como el calentamiento
global; y el agotamiento de los recursos naturales críticos como el agua dulce.
Riesgos competitivos con impacto a medio plazo. Estos incluyen la aparición de
tecnologías disruptivas (como Internet, teléfonos inteligentes y códigos de barras) y
movimientos estratégicos radicales por parte de los actores de la industria (como la
entrada de Amazon en la venta minorista de libros y Apple en las industrias de
teléfonos móviles y electrónica de consumo).
Las empresas utilizan diferentes enfoques analíticos para cada una de las fuentes
de riesgo externo.
La capacidad de una empresa para hacer frente a las tormentas depende de cuán
en serio los ejecutivos tomen la gestión del riesgo cuando el sol esté brillando y no
haya nubes en el horizonte.
Pruebas de estrés de riesgo de cola.
Las pruebas de esfuerzo ayudan a las empresas a evaluar los cambios importantes
en una o dos variables específicas cuyos efectos serían importantes e inmediatos,
aunque el momento exacto no es previsible. Las empresas de servicios financieros
utilizan pruebas de resistencia para evaluar, por ejemplo, cómo un evento como la
triplicación de los precios del petróleo, un gran cambio en las tasas de cambio o de
interés, o el incumplimiento de una institución importante o país soberano afectaría
las posiciones comerciales y las inversiones.
Sin embargo, los beneficios de la prueba de esfuerzo dependen críticamente de los
supuestos, que pueden estar sesgados, sobre cuánto cambiará la variable en
cuestión. Las pruebas de resistencia al riesgo de cola de muchos bancos en 2007–
2008, por ejemplo, asumieron el peor de los casos en el que los precios de la
vivienda en Estados Unidos se estabilizaron y se mantuvieron estables durante
varios períodos. Muy pocas compañías pensaron probar qué pasaría si los precios
comenzaran a bajar, un excelente ejemplo de la tendencia a anclar estimaciones en
datos recientes y fácilmente disponibles. La mayoría de las compañías extrapolaron
los precios recientes de la vivienda en Estados Unidos, que habían pasado varias
décadas sin una disminución general, para desarrollar evaluaciones de mercado
demasiado optimistas.
Planificación de escenarios.
Esta herramienta es adecuada para análisis de largo alcance, generalmente de 5 a
10 años. Desarrollado originalmente en Shell Oil en la década de 1960, el análisis
de escenarios es un proceso sistemático para definir los límites plausibles de los
futuros estados del mundo. Los participantes examinan las fuerzas políticas,
económicas, tecnológicas, sociales, regulatorias y ambientales y seleccionan una
cantidad de factores, generalmente cuatro, que tendrían el mayor impacto en la
empresa. Algunas compañías recurren explícitamente a la experiencia en sus juntas
asesoras para informarles sobre tendencias significativas, fuera del enfoque diario
de la compañía y la industria, que deben considerarse en sus escenarios.
Para cada uno de los controladores seleccionados, los participantes estiman los
valores máximos y mínimos anticipados durante cinco a 10 años. La combinación
de los valores extremos para cada uno de los cuatro conductores conduce a 16
escenarios. Aproximadamente la mitad tiende a ser inverosímil y se
descarta; Luego, los participantes evalúan cómo funcionaría la estrategia de su
empresa en los escenarios restantes. Si los gerentes ven que su estrategia
depende de una visión generalmente optimista, pueden modificarla para acomodar
escenarios pesimistas o desarrollar planes sobre cómo cambiarían su estrategia si
los primeros indicadores muestran una probabilidad creciente de que los eventos se
vuelvan contra ella.
Juegos de guerra.
Los juegos de guerra evalúan la vulnerabilidad de una empresa a tecnologías
disruptivas o cambios en las estrategias de los competidores. En un juego de
guerra, la compañía asigna a tres o cuatro equipos la tarea de diseñar estrategias o
acciones plausibles a corto plazo que los competidores existentes o potenciales
puedan adoptar durante los próximos uno o dos años, un horizonte temporal más
corto que el del análisis de escenarios. Luego, los equipos se reúnen para examinar
cómo los competidores inteligentes podrían atacar la estrategia de la compañía. El
proceso ayuda a superar el sesgo de los líderes de ignorar la evidencia que va en
contra de sus creencias actuales, incluida la posibilidad de acciones que los
competidores podrían tomar para interrumpir su estrategia.
Las empresas no tienen influencia sobre la probabilidad de eventos de riesgo
identificados a través de métodos como pruebas de riesgo de cola, planificación de
escenarios y juegos de guerra. Pero los gerentes pueden tomar medidas
específicas para mitigar su impacto. Dado que el riesgo moral no surge para
eventos no prevenibles, las compañías pueden usar seguros o coberturas para
mitigar algunos riesgos, como lo hace una aerolínea cuando se protege contra
aumentos bruscos en los precios del combustible mediante el uso de derivados
financieros. Otra opción es que las empresas realicen inversiones ahora para evitar
costos mucho más altos más adelante. Por ejemplo, un fabricante con instalaciones
en áreas propensas a terremotos puede aumentar sus costos de construcción para
proteger instalaciones críticas contra terremotos severos. Además, las empresas
expuestas a riesgos diferentes pero comparables pueden cooperar para
mitigarlos. Por ejemplo, los centros de datos de TI de una universidad en Carolina
del Norte serían vulnerables al riesgo de huracanes, mientras que los de una
universidad comparable en la falla de San Andreas en California serían vulnerables
a los terremotos. La probabilidad de que ambos desastres ocurran el mismo día es
lo suficientemente pequeña como para que las dos universidades elijan mitigar sus
riesgos haciendo una copia de seguridad de los sistemas de cada una todas las
noches.
El desafío del liderazgo
La gestión del riesgo es muy diferente de la estrategia de gestión. La gestión de
riesgos se centra en lo negativo: amenazas y fracasos en lugar de oportunidades y
éxitos. Funciona exactamente en contra de la cultura de "poder hacer" que la
mayoría de los equipos de liderazgo intentan fomentar al implementar la
estrategia. Y muchos líderes tienden a descontar el futuro; son reacios a gastar
tiempo y dinero ahora para evitar un problema futuro incierto que podría ocurrir en el
futuro, bajo la supervisión de otra persona. Además, la mitigación del riesgo
generalmente implica la dispersión de recursos y la diversificación de inversiones,
justo lo contrario del intenso enfoque de una estrategia exitosa. Los gerentes
pueden encontrar antitético a su cultura defender procesos que identifiquen los
riesgos para las estrategias que ayudaron a formular.
Por esas razones, la mayoría de las empresas necesitan una función separada para
manejar la gestión de riesgos estratégicos y externos. El tamaño de la función de
riesgo variará de una compañía a otra, pero el grupo debe informar directamente al
equipo superior. De hecho, fomentar una relación cercana con el liderazgo superior
podría ser su tarea más crítica; La capacidad de una empresa para hacer frente a
las tormentas depende en gran medida de la seriedad con la que los ejecutivos
asuman su función de gestión de riesgos cuando el sol brilla y no hay nubes en el
horizonte.
Eso fue lo que separó a los bancos que fracasaron en la crisis financiera de los que
sobrevivieron. Las empresas fallidas habían relegado la gestión de riesgos a una
función de cumplimiento; sus gerentes de riesgo tenían acceso limitado a la alta
gerencia y sus juntas directivas. Además, los ejecutivos ignoraron rutinariamente las
advertencias de los gerentes de riesgo sobre posiciones altamente apalancadas y
concentradas. Por el contrario, Goldman Sachs y JPMorgan Chase, dos empresas
que resistieron bien la crisis financiera, tenían fuertes funciones internas de gestión
de riesgos y equipos de liderazgo que entendían y administraban las múltiples
exposiciones al riesgo de las compañías. Barry Zubrow, director de riesgos de JP
Morgan Chase, nos dijo: "Puedo tener el título, pero [CEO] Jamie Dimon es el
director de riesgos de la compañía". La gestión de riesgos no es intuitiva; va en
contra de muchos prejuicios individuales y organizacionales. Las reglas y el
cumplimiento pueden mitigar algunos riesgos críticos, pero no todos. La gestión de
riesgos activa y rentable requiere que los gerentes piensen sistemáticamente sobre
las múltiples categorías de riesgos que enfrentan para poder instituir procesos
apropiados para cada uno. Estos procesos neutralizarán su sesgo gerencial de ver
el mundo como les gustaría que fuera, en lugar de como realmente es o podría
llegar a ser.