Hasta hace pocos meses el riesgo parecía un visitante ocasional, un problema que ocurría de tanto en tanto para recordar a muchos ejecutivos incautos activaban el sesgo de confirmación: "no todo se puede prever". Pero hoy ese visitante se mudó definitivamente a nuestra casa. Vivimos en la era de la "permacrisis": un mundo en el que la turbulencia no se apaga, sino que, lejos de ello, se encadena. Los riesgos climáticos se entrelazan con los geopolíticos y los de la cadena de suministro; los tecnológicos con los de talento, y entonces, el panorama se asemeja más a un tablero de ajedrez en movimiento constante que a un clásico mapa de calor pintado de rojo, amarillo y verde.
En ese escenario, muchas organizaciones siguen operando bajo una lógica conservadora: reducir el riesgo, evitarlo, ignorarlo. Casi el setenta por ciento de los ejecutivos confiesa que su empresa tiene una aversión explícita al riesgo. Recordemos, la aversión al riesgo es la tendencia a evitar decisiones que implican incertidumbre, incluso cuando podrían generar importantes beneficios. En las organizaciones, se traduce en preferir la seguridad del statu quo antes que innovar o asumir desafíos estratégicos. Pero esto es un grave problema hoy; pues la aversión al riesgo se convierte en el riesgo mismo. Esperar a que la tormenta pase puede ser la forma más elegante de naufragar.
Tan preocupante como eso es la tendencia a convertir la gestión de riesgos en un ritual de cumplimiento. En este sentido, cada vez más organizaciones adoptan un enfoque centrado en "cumplir con la norma" (obviamente cumplir es algo bueno), pero no lo es tanto cuando no se integra la gestión del riesgo a la estrategia. Entonces es cuando el famoso "check in the box" se transforma en una epidemia consistente en llenar casilleros, producir matrices, emitir reportes semaforizados impecables... pero sin tomar mejores decisiones. Sucede que cumplir no es sinónimo de gestionar. Es más, el "mal compliance" puede ser la forma más sofisticada de no hacer nada.
La ciberseguridad es un claro ejemplo de esa contradicción. Mientras algunas organizaciones la abordan como una carga regulatoria, otras la transformaron en un motor de confianza y competitividad. Las primeras gastan dinero para evitar penalidades; las segundas invierten para construir resiliencia. Y en ese simple matiz se juega el futuro de empresas que, según múltiples estudios, hoy tienen una duración que es de entre 10 y 12 años promedio (tasa que se muestra incluso decreciente).
El panorama de riesgos, además, cambió de forma vertiginosa. El riesgo vinculado al talento y al capital humano saltó de la posición doce a la dos en las preocupaciones de los líderes según el estudio realizado por BDO. Las empresas están comprendiendo que los procesos pueden automatizarse, pero las personas no. Sin ellas, no hay cultura, ni continuidad, y, ni mucho menos innovación. En paralelo, la inteligencia artificial avanza vertiginosamente y como un arma de doble filo: erosiona parte del conocimiento institucional, pero también multiplica las oportunidades de análisis y predicción. Cada vez más ejecutivos la ven como una aliada desde lo teórico, aunque la implementen como si fuera un electrodoméstico: enchufándola, sin saber que, sin estrategia, lo que enchufan es el riesgo.
Y en medio de tanto ruido, el riesgo de fraude parece haber pasado de moda. Solo el quince por ciento de los ejecutivos lo menciona entre los tres principales riesgos. Tal vez porque no sale en las fotos de la agenda más mediática. Sin embargo, las cifras siguen siendo tremendas: las organizaciones pierden en promedio el cinco por ciento de sus ingresos anuales por fraudes internos. Y lo más paradójico es que los canales de denuncia, esos que muchos desestiman o implementan como un requisito porque "hay que tenerlo", son responsables del descubrimiento del cuarenta y tres por ciento de los casos detectados (más que ningún otro dispositivo diseñado con las tecnologías más sofisticadas).
Me gusta en las charlas a directores mezclar teología con risk management ¿cómo es eso? Les hablo de los siete pecados capitales de la gestión de riesgos:
- la soberbia de creer que "a nosotros no nos va a pasar";
- la avaricia de recortar presupuestos de para automatizar controles, sobre todo los preventivos;
- la envidia de mirar de reojo al vecino, copiando modelos ajenos sin entender el contexto;
- la ira de reaccionar enfáticamente solo después de producido el impacto, buscando culpables;
- la lujuria de enamorarse de coloridos "dashboards" sin conexión a la operatoria del día a día;
- la gula de acumular hermosos informes que nadie lee;
- y la pereza de no actualizar periódicamente el mapa de riesgos en forma colaborativa, como si la realidad no se moviera y la gestión de riesgos fuera "para colección".
Resetear la gestión de riesgos implica mucho más que modernizar planillas o digitalizar matrices. Significa volver a pensar qué lugar ocupa el riesgo en la estrategia. No se trata de deshacerse del riesgo, sino de algo muy diferente: de liderarlo. El riesgo, cuando se lo entiende y se lo abraza con inteligencia, puede ser un poderoso habilitador de innovación. Quien lo asume con audacia gana resiliencia; quien lo teme, se paraliza.
Los directorios deberían dedicar a la gestión del riesgo el mismo interés con el que observan los resultados financieros o la evolución de las ventas. Preguntarse si se ha podido implementar dentro de la cultura organizacional un "pensamiento basado en riesgo", si los riesgos clave están realmente integrados a la toma de decisiones, si el apetito y la tolerancia al riesgo están definidos y comunicados, si los controles se prueban o simplemente se dan por buenos (que es más fácil).
La madurez de una organización no se mide por la cantidad de papeles que produce, sino por la calidad de las conversaciones que sostiene y las decisiones que toma. Por supuesto, las matrices de riesgos y controles deben existir, y son una gran herramienta, pero solo cuando esa herramienta se utiliza, deja de oxidarse.
Y que no se malinterprete, resetear no es comenzar de cero; es pensar distinto. Es pasar del cumplimiento reactivo a la anticipación estratégica. Es dejar de ver el riesgo como aquel monstruo que acecha a la empresa y empezar a tratarlo como un maestro que viene a enseñarnos cómo hacer negocios con mayor probabilidad de alcanzar los objetivos.
En un mundo donde la incertidumbre se ha convertido en la única certeza (frase hecha si las hay), la gestión de riesgos no debería ser un refugio donde esconderse, sino una brújula para salir con la espada a conquistar el mercado. Porque, al final del día, el riesgo no se vence escondiéndose, sino concibiéndolo como ese apasionante juego de estrategia que vale la pena jugar.


