Nota de los editores: Desde que este número de HBR fue publicado, JP Morgan, cuyas prácticas de gestión de riesgos se destacan en este artículo, reveló pérdidas comerciales significativas en una de sus unidades. Los autores aportan sus comentarios sobre este giro de los acontecimientos en su contribución al Centro de Insight de HBR sobre la gestión de comportamientos de riesgo.

Cuando Tony Hayward se convirtió en CEO de BP, en 2007, prometió hacer de la seguridad su máxima prioridad. Entre las nuevas reglas que instituyó estaban los requisitos de que todos los empleados usaran tapas en las tazas de café mientras caminaban y se abstuvieran de enviar mensajes de texto mientras conducían. Tres años más tarde, bajo la vigilancia de Hayward, la plataforma petrolera Deepwater Horizon explotó en el Golfo de México, causando uno de los peores desastres provocados por el hombre en la historia. Una comisión de investigación de los Estados Unidos atribuyó el desastre a fallas de gestión que paralizaron «la capacidad de las personas involucradas para identificar los riesgos a los que se enfrentaban y para evaluarlos, comunicarse y abordarlos adecuadamente». La historia de Hayward refleja un problema común. A pesar de toda la retórica y el dinero invertido en ella, la gestión de riesgos se trata con demasiada frecuencia como un problema de cumplimiento que se puede resolver mediante la elaboración de un montón de reglas y asegurarse de que todos los empleados las sigan. Muchas de esas normas, por supuesto, son sensatas y reducen algunos riesgos que podrían dañar gravemente a una empresa. Pero la gestión del riesgo basada en normas no disminuirá ni la probabilidad ni el impacto de un desastre como Deepwater Horizon, del mismo modo que no evitó el fracaso de muchas instituciones financieras durante la crisis crediticia 2007—2008.

En este artículo presentamos una nueva categorización del riesgo que permite a los ejecutivos saber qué riesgos pueden ser manejados a través de un modelo basado en reglas y cuáles requieren enfoques alternativos. Examinamos los desafíos individuales y organizacionales inherentes a la generación de discusiones abiertas y constructivas sobre la gestión de los riesgos relacionados con las elecciones estratégicas y argumentamos que las empresas necesitan anclar estas discusiones en sus procesos de formulación e implementación de estrategias. Concluimos examinando cómo las organizaciones pueden identificar y prepararse para los riesgos no prevenibles que surgen externamente a su estrategia y operaciones.

El primer paso para crear un sistema eficaz de gestión de riesgos es comprender las distinciones cualitativas entre los tipos de riesgos a los que se enfrentan las organizaciones. Nuestra investigación de campo muestra que los riesgos entran en una de las tres categorías. Los eventos de riesgo de cualquier categoría pueden ser fatales para la estrategia de una empresa e incluso para su supervivencia.

Categoría I: Riesgos prevenibles.

Se trata de riesgos internos, derivados de la organización, que son controlables y que deben eliminarse o evitarse. Ejemplos de ello son los riesgos de las acciones no autorizadas, ilegales, poco éticas, incorrectas o inapropiadas de los empleados y gerentes, así como los riesgos de averías en los procesos operativos rutinarios. Sin duda, las empresas deben tener una zona de tolerancia frente a defectos o errores que no causen daños graves a la empresa y para los que lograr una evitación completa sería demasiado costosa. Pero, en general, las empresas deben tratar de eliminar estos riesgos, ya que no obtienen beneficios estratégicos al asuirlos. Un comerciante deshonesto o un empleado que soborna a un funcionario local puede producir algunos beneficios a corto plazo para la empresa, pero con el tiempo tales acciones disminuirán el valor de la empresa.

Esta categoría de riesgo se gestiona mejor a través de la prevención activa: monitoreo de los procesos operativos y orientación de los comportamientos y decisiones de las personas hacia las normas deseadas. Dado que ya existe una considerable literatura sobre el enfoque de cumplimiento basado en normas, remitimos a los lectores interesados a la barra lateral «Identificación y gestión de riesgos prevenibles» en lugar de una discusión completa de las mejores prácticas aquí.

Categoría II: Riesgos estratégicos.

Una empresa acepta voluntariamente algún riesgo con el fin de generar rendimientos superiores a partir de su estrategia. Un banco asume el riesgo de crédito, por ejemplo, cuando presta dinero; muchas empresas asumen riesgos a través de sus actividades de investigación y desarrollo.

Los riesgos estratégicos son muy diferentes de los riesgos prevenibles porque no son inherentemente indeseables. Una estrategia con altos rendimientos esperados generalmente requiere que la empresa asuma riesgos significativos, y la gestión de esos riesgos es un factor clave para captar las ganancias potenciales. BP aceptó los altos riesgos de perforar varias millas por debajo de la superficie del Golfo de México debido al alto valor del petróleo y el gas que esperaba extraer.

Los riesgos de estrategia no pueden gestionarse mediante un modelo de control basado en reglas. En su lugar, necesita un sistema de gestión de riesgos diseñado para reducir la probabilidad de que los riesgos asumidos realmente se materialicen y para mejorar la capacidad de la empresa para gestionar o contener los eventos de riesgo en caso de que ocurran. Dicho sistema no impediría a las empresas emprender empresas arriesgadas; por el contrario, permitiría a las empresas asumir empresas de mayor riesgo y mejor remuneración que los competidores con una gestión de riesgos menos eficaz.

Categoría III: Riesgos externos.

Algunos riesgos surgen de eventos ajenos a la empresa y están fuera de su influencia o control. Las fuentes de estos riesgos incluyen los desastres naturales y políticos y los cambios macroeconómicos importantes. Los riesgos externos requieren otro enfoque. Dado que las empresas no pueden impedir que ocurran tales eventos, su dirección debe centrarse en la identificación (tienden a ser obvias en retrospectiva) y en la mitigación de su impacto.

Las empresas deben adaptar sus procesos de gestión de riesgos a estas diferentes categorías. Si bien un enfoque basado en el cumplimiento es eficaz para gestionar los riesgos prevenibles, es totalmente inadecuado para los riesgos estratégicos o los riesgos externos, que requieren un enfoque fundamentalmente diferente basado en debates abiertos y explícitos sobre los riesgos. Eso, sin embargo, es más fácil decirlo que hacerlo; una extensa investigación conductual y organizacional ha demostrado que los individuos tienen fuertes sesgos cognitivos que los desalientan de pensar y discutir el riesgo hasta que sea demasiado tarde.

Por qué el riesgo es difícil hablar

Varios estudios han encontrado que las personas sobreestiman su capacidad para influir en eventos que, de hecho, están fuertemente determinados por el azar. Tendemos a ser demasiado confiado acerca de la exactitud de nuestras previsiones y evaluaciones de riesgos y demasiado estrecha en nuestra evaluación de la gama de resultados que pueden ocurrir.

Nosotros también anclar nuestras estimaciones a pruebas fácilmente disponibles a pesar del peligro conocido de hacer extrapolaciones lineales de la historia reciente a un futuro muy incierto y variable. A menudo complicamos este problema con un sesgo de confirmación, que nos lleva a favorecer la información que apoya nuestras posiciones (normalmente éxitos) y suprimir la información que las contradice (normalmente fallas). Cuando los eventos se apartan de nuestras expectativas, tendemos a aumentar el compromiso, dirigiendo irracionalmente aún más recursos a nuestro fracasado curso de acción: arrojar buen dinero tras mal.

Los sesgos organizacionales también inhiben nuestra capacidad de discutir el riesgo y el fracaso. En particular, los equipos que se enfrentan a condiciones inciertas suelen participar en Pensar en grupo: Una vez que un curso de acción ha reunido apoyo dentro de un grupo, los que aún no están a bordo tienden a suprimir sus objeciones, por válidas que sean, y se alinean. Groupthink es especialmente probable si el equipo está dirigido por un gerente dominante o demasiado confiado que quiere minimizar el conflicto, el retraso y los desafíos a su autoridad.

Colectivamente, estos sesgos individuales y organizacionales explican por qué tantas empresas pasan por alto o malinterpretan amenazas ambiguas. En lugar de mitigar el riesgo, las empresas realmente incuban el riesgo a través del normalización de la desviación, ya que aprenden a tolerar fallas y defectos aparentemente menores y tratan las señales de alerta temprana como falsas alarmas y no como alertas de peligro inminente.

Los procesos eficaces de gestión de riesgos deben contrarrestar esos sesgos. «La mitigación de riesgos es dolorosa, no es un acto natural para los humanos», dice Gentry Lee, ingeniero jefe de sistemas del Laboratorio de Propulsión a Chorro (JPL), una división de la Administración Nacional de Aeronáutica y del Espacio de los Estados Unidos. Los científicos de cohetes en los equipos del proyecto JPL son los mejores graduados de universidades de élite, muchos de los cuales nunca han experimentado fracasos en la escuela o en el trabajo. El mayor desafío de Lee al establecer una nueva cultura de riesgo en JPL era conseguir que los equipos del proyecto se sintieran cómodos pensando y hablando sobre lo que podría salir mal con sus excelentes diseños.

Las reglas sobre qué hacer y qué no hacer no ayudarán aquí. De hecho, generalmente tienen el efecto contrario, alentando una mentalidad de lista de verificación que inhibe el desafío y la discusión. La gestión de los riesgos estratégicos y los riesgos externos requiere enfoques muy diferentes. Comenzamos examinando cómo identificar y mitigar los riesgos de la estrategia.

Gestión de riesgos de estrategia

En los últimos 10 años de estudio, hemos encontrado tres enfoques distintos para gestionar los riesgos estratégicos. El modelo apropiado para una empresa determinada depende en gran medida del contexto en el que opera una organización. Cada enfoque requiere estructuras y funciones muy diferentes para una función de gestión de riesgos, pero los tres alientan a los empleados a cuestionar las hipótesis existentes y debatir la información sobre riesgos. Nuestra conclusión de que «un tamaño no es adecuado para todos» va en contra de los esfuerzos de las autoridades reguladoras y las asociaciones profesionales por estandarizar la función.

Expertos independientes.

Algunas organizaciones, particularmente aquellas como JPL que impulsan la innovación tecnológica, enfrentan un alto riesgo intrínseco a medida que persiguen proyectos de desarrollo de productos largos, complejos y costosos. Pero dado que gran parte del riesgo surge de hacer frente a las leyes de la naturaleza conocidas, el riesgo cambia lentamente con el tiempo. Para estas organizaciones, la gestión de riesgos se puede manejar a nivel de proyecto.

JPL, por ejemplo, ha establecido una junta de examen de riesgos integrada por expertos técnicos independientes cuya función es impugnar las decisiones de diseño, evaluación de riesgos y mitigación de riesgos de los ingenieros de proyectos. Los expertos velan por que las evaluaciones del riesgo se realicen periódicamente a lo largo del ciclo de desarrollo de productos. Dado que los riesgos son relativamente inalterables, la junta de examen sólo debe reunirse una o dos veces al año, y el jefe del proyecto y el jefe de la junta de examen se reúnen trimestralmente.

Las reuniones de la junta de revisión de riesgos son intensas, creando lo que Gentry Lee llama «una cultura de confrontación intelectual». Como dice el miembro de la junta, Chris Lewicki, «Nos desgarramos mutuamente, lanzamos piedras y hacemos comentarios muy críticos sobre todo lo que está pasando». En el proceso, los ingenieros del proyecto ven su trabajo desde otra perspectiva. «Aleja sus narices de la piedra de muela», añade Lewicki.

Las reuniones, tanto constructivas como conflictivas, no tienen por objeto impedir que el equipo del proyecto persiga misiones y diseños muy ambiciosos. Pero obligan a los ingenieros a pensar de antemano sobre cómo describirán y defenderán sus decisiones de diseño y si han considerado suficientemente fallas y defectos probables. Los miembros de la junta, actuando como defensores del diablo, contrarrestan el exceso de confianza natural de los ingenieros, ayudando a evitar la escalada del compromiso con proyectos con niveles de riesgo inaceptables.

En JPL, la junta de revisión de riesgos no sólo promueve un debate vigoroso sobre los riesgos del proyecto, sino que también tiene autoridad sobre los presupuestos. La Junta establece las reservas de costes y tiempo que se reservarán para cada componente del proyecto en función de su grado de innovación. Una simple extensión de una misión anterior requeriría una reserva financiera del 10% al 20%, por ejemplo, mientras que un componente completamente nuevo que aún no había trabajado en la Tierra —mucho menos en un planeta inexplorado— podría requerir una contingencia del 50% al 75%. Las reservas garantizan que cuando surgen problemas inevitablemente, el equipo del proyecto tenga acceso al dinero y el tiempo necesarios para resolverlos sin poner en peligro la fecha de lanzamiento. La JPL toma en serio las estimaciones; los proyectos se han aplazado o cancelado si los fondos eran insuficientes para cubrir las reservas recomendadas.

El manejo del riesgo es doloroso, no es un acto natural para que los humanos realicen.

Facilitadores.

Muchas organizaciones, como las empresas tradicionales de energía y agua, operan en entornos tecnológicos y de mercado estables, con una demanda relativamente previsible de los clientes. En estas situaciones, los riesgos provienen en gran medida de opciones operacionales aparentemente no relacionadas en una organización compleja que se acumulan gradualmente y pueden permanecer ocultas durante mucho tiempo.

Dado que ningún grupo de personal tiene los conocimientos necesarios para llevar a cabo la gestión de riesgos a nivel operacional en diversas funciones, las empresas pueden desplegar un grupo central de gestión de riesgos relativamente pequeño que reúna información de los directores de operaciones. Esto aumenta la conciencia de los gerentes sobre los riesgos que se han asumido en toda la organización y proporciona a los encargados de tomar decisiones una imagen completa del perfil de riesgo de la compañía.

Observamos este modelo en acción en Hydro One, la compañía canadiense de electricidad. El director de riesgos John Fraser, con el respaldo explícito del CEO, organiza docenas de talleres cada año en los que empleados de todos los niveles y funciones identifican y clasifican los principales riesgos que ven para los objetivos estratégicos de la compañía. Los empleados utilizan una tecnología de votación anónima para evaluar cada riesgo, en una escala de 1 a 5, en términos de su impacto, la probabilidad de ocurrencia y la fuerza de los controles existentes. Los rankings se discuten en los talleres, y los empleados están capacitados para expresar y debatir sus percepciones de riesgo. En última instancia, el grupo desarrolla una visión de consenso que se registra en un mapa visual de riesgos, recomienda planes de acción y designa un «propietario» para cada riesgo importante.

El peligro de integrar a los gestores de riesgos dentro de la organización de línea es que «se convierten en nativos», convirtiéndose en responsables de acuerdos en lugar de cuestionadores de acuerdos.

Hydro One fortalece la rendición de cuentas vinculando las decisiones de asignación de capital y presupuestación con los riesgos identificados. El proceso de planificación de capital a nivel corporativo asigna cientos de millones de dólares, principalmente a proyectos que reducen los riesgos de manera eficaz y eficiente. El grupo de riesgo recurre a expertos técnicos para impugnar los planes de inversión y las evaluaciones de riesgos de los ingenieros de línea y para proporcionar una supervisión independiente por expertos del proceso de asignación de recursos. En la reunión anual de asignación de capital, los gerentes de línea tienen que defender sus propuestas frente a sus pares y altos ejecutivos. Los gerentes quieren que sus proyectos atraigan fondos en el proceso de planificación de capital basado en el riesgo, para que aprendan a superar su sesgo de ocultar o minimizar los riesgos en sus áreas de responsabilidad.

Expertos integrados.

La industria de los servicios financieros plantea un desafío singular debido a la dinámica volátil de los mercados de activos y al impacto potencial de las decisiones adoptadas por los comerciantes descentralizados y los gestores de inversiones. El perfil de riesgo de un banco de inversión puede cambiar drásticamente con un único acuerdo o un movimiento importante del mercado. Para estas empresas, la gestión de riesgos requiere que los expertos integrados dentro de la organización supervisen e influyan continuamente en el perfil de riesgo del negocio, trabajando codo a codo con los gerentes de línea cuyas actividades están generando nuevas ideas, innovación y riesgos, y, si todo va bien, beneficios.

JP Morgan Private Bank adoptó este modelo en 2007, al inicio de la crisis financiera mundial. Los administradores de riesgos, integrados en la organización de línea, informan tanto a los ejecutivos de línea como a una función centralizada e independiente de gestión de riesgos. El contacto cara a cara con los gestores de línea permite a los gestores de riesgo expertos en el mercado formular continuamente preguntas «qué pasaría si», desafiando las suposiciones de los gestores de cartera y obligándolos a mirar diferentes escenarios. Los gestores de riesgos evalúan cómo las operaciones propuestas afectan el riesgo de toda la cartera de inversiones, no solo en circunstancias normales, sino también en momentos de extrema tensión, cuando las correlaciones de los rendimientos entre las diferentes clases de activos aumentan. «Los gestores de cartera vienen a mí con tres operaciones, y el modelo [de riesgo] puede decir que los tres se están añadiendo al mismo tipo de riesgo», explica Gregoriy Zhikarev, gerente de riesgos de JP Morgan. «Nueve de cada diez veces un gerente dirá: ‘No, eso no es lo que quiero hacer’. Entonces podemos sentarnos y rediseñar las operaciones».

El principal peligro de integrar a los administradores de riesgos dentro de la organización de línea es que «se convierten en nativos», alineándose con el círculo interno del equipo de liderazgo de la unidad de negocio, convirtiéndose en responsables de acuerdos en lugar de cuestionadores de acuerdos. Evitar esto es responsabilidad del director general de riesgos de la compañía y, en última instancia, del CEO, que marca el tono de la cultura de riesgo de una empresa.

Evitar la captura de funciones

Incluso si los gerentes tienen un sistema que promueve discusiones ricas sobre el riesgo, les espera una segunda trampa cognitivo-conductual. Debido a que muchos riesgos estratégicos (y algunos riesgos externos) son bastante previsibles, incluso familiares, las empresas tienden a etiquetarlos y compartimentarlos, especialmente a lo largo de las líneas funcionales del negocio. Los bancos a menudo administran lo que denominan «riesgo de crédito», «riesgo de mercado» y «riesgo operativo» en grupos separados. Otras empresas compartimentan la gestión del «riesgo de marca», «riesgo de reputación», «riesgo de cadena de suministro», «riesgo de recursos humanos», «riesgo de IT» y «riesgo financiero».

Esos silos organizativos dispersan tanto la información como la responsabilidad de una gestión eficaz de los riesgos. Inhiben el debate sobre cómo interactúan los diferentes riesgos. Los buenos debates sobre los riesgos deben ser no sólo conflictivos, sino también integradores. Las empresas pueden verse descarriladas por una combinación de pequeños acontecimientos que se refuerzan mutuamente de maneras imprevistas.

Los gerentes pueden desarrollar una perspectiva de riesgo para toda la empresa al anclar sus discusiones en la planificación estratégica, el único proceso integrador que la mayoría de las empresas bien administradas ya tienen. Por ejemplo, Infosys, la empresa india de servicios de IT, genera discusiones sobre riesgos a partir del Balanced Scorecard, su herramienta de gestión para la medición de estrategias y la comunicación. «A medida que nos preguntábamos sobre qué riesgos deberíamos estar considerando», dice M.D. Ranganath, el director de riesgos, «gradualmente nos centramos en los riesgos para los objetivos empresariales especificados en nuestro cuadro de mando corporativo».

Al crear su sistema de puntuación equilibrada, Infosys había identificado las «relaciones crecientes con los clientes» como un objetivo clave y unos indicadores seleccionados para medir el progreso, como el número de clientes globales con facturas anuales superiores a los 50 millones de dólares y el aumento porcentual anual de los ingresos de los grandes clientes. Al examinar juntos el objetivo y las métricas de rendimiento, la administración se dio cuenta de que su estrategia había introducido un nuevo factor de riesgo: el incumplimiento de los clientes. Cuando el negocio de Infosys se basaba en numerosos clientes pequeños, un solo cliente predeterminado no pondría en peligro la estrategia de la empresa. Pero un incumplimiento por parte de un cliente de $50 millones representaría un gran revés. Infosys comenzó a monitorear la tasa de permuta por impago de crédito de cada cliente grande como un indicador principal de la probabilidad de impago. Cuando la tasa de un cliente aumentaba, Infosys aceleraba el cobro de cuentas por cobrar o solicitaría pagos de progreso para reducir la probabilidad o el impacto de impago.

Para tomar otro ejemplo, considere Volkswagen do Brasil (posteriormente abreviado como VW), la filial brasileña del fabricante de automóviles alemán. La unidad de gestión de riesgos de VW utiliza el mapa estratégico de la empresa como punto de partida para sus diálogos sobre el riesgo. Para cada objetivo del mapa, el grupo identifica los eventos de riesgo que podrían hacer que VW no alcanzara dicho objetivo. A continuación, el equipo genera una tarjeta de evento de riesgo para cada riesgo en el mapa, en la que se enumeran los efectos prácticos del evento en las operaciones, la probabilidad de ocurrencia, los indicadores principales y las posibles acciones de mitigación. También identifica quién es el principal responsable de la gestión del riesgo. (Consulte la exposición «La tarjeta de eventos de riesgo»). A continuación, el equipo encargado de los riesgos presenta un resumen de alto nivel de los resultados al personal directivo superior. (Consulte «La tarjeta de informe de riesgos»).

Además de introducir un proceso sistemático para identificar y mitigar los riesgos estratégicos, las empresas también necesitan una estructura de supervisión de riesgos. Infosys utiliza una estructura dual: un equipo central de riesgo que identifica riesgos estratégicos generales y establece políticas centrales, y equipos funcionales especializados que diseñan y supervisan políticas y controles en consulta con equipos empresariales locales. Los equipos descentralizados tienen la autoridad y los conocimientos necesarios para ayudar a las líneas de negocio a responder a las amenazas y a los cambios en sus perfiles de riesgo, elevando únicamente las excepciones al equipo central de riesgo para su revisión. Por ejemplo, si un gestor de relaciones con clientes desea conceder un período de crédito más largo a una empresa cuyos parámetros de riesgo crediticio son altos, el gestor funcional de riesgos puede enviar el caso al equipo central para su revisión.

Estos ejemplos muestran que el tamaño y el alcance de la función de riesgo no están determinados por el tamaño de la organización. Hydro One, una gran empresa, tiene un grupo de riesgo relativamente pequeño para generar conciencia y comunicación sobre el riesgo en toda la empresa y para asesorar al equipo ejecutivo sobre la asignación de recursos basada en el riesgo. Por el contrario, las empresas o unidades relativamente pequeñas, como JPL o JP Morgan Private Bank, necesitan varias juntas de revisión a nivel de proyecto o equipos de gestores de riesgos integrados para aplicar conocimientos de dominio para evaluar el riesgo de decisiones empresariales. Y Infosys, una gran empresa con amplio alcance operativo y estratégico, requiere una fuerte función centralizada de gestión de riesgos, así como gestores de riesgos dispersos que apoyen las decisiones empresariales locales y faciliten el intercambio de información con el grupo de riesgo centralizado.

Administración de lo incontrolable

Por lo general, los riesgos externos, la tercera categoría de riesgos, no pueden reducirse ni evitarse mediante los enfoques utilizados para gestionar los riesgos prevenibles y estratégicos. Los riesgos externos quedan en gran medida fuera del control de la empresa; las empresas deben centrarse en identificarlos, evaluar su impacto potencial y encontrar la mejor manera de mitigar sus efectos en caso de que se produzcan.

Algunos eventos de riesgo externos son lo suficientemente inminentes como para que los gerentes puedan manejarlos a medida que hacen sus riesgos de estrategia. Por ejemplo, durante la desaceleración económica tras la crisis financiera mundial, Infosys identificó un nuevo riesgo relacionado con su objetivo de desarrollar una fuerza de trabajo mundial: un aumento del proteccionismo, que podría conducir a restricciones estrictas a los visados y permisos de trabajo para extranjeros en varios países de la OCDE donde Infosys tenía grandes compromisos con clientes. Aunque la legislación proteccionista es técnicamente un riesgo externo ya que está fuera del control de la empresa, Infosys lo trató como un riesgo estratégico y creó una Tarjeta de Evento de Riesgo para ella, que incluía un nuevo indicador de riesgo: el número y porcentaje de sus empleados con doble ciudadanía o permisos de trabajo existentes fuera de la India. Si este número disminuyese debido a la rotación del personal, la estrategia global de Infosys podría verse en peligro. Por lo tanto, Infosys puso en marcha políticas de reclutamiento y retención que mitigan las consecuencias de este evento de riesgo externo.

La mayoría de los eventos de riesgo externos, sin embargo, requieren un enfoque analítico diferente, ya sea porque su probabilidad de ocurrencia es muy baja o porque los gerentes encuentran dificultades para imaginarlos durante sus procesos de estrategia normales. Hemos identificado varias fuentes diferentes de riesgos externos:

  • Desastres naturales y económicos de impacto inmediato. Estos riesgos son predecibles de una manera general, aunque su momento no suele ser (un gran terremoto azotará algún día en California, pero no se sabe exactamente dónde o cuándo). Sólo pueden ser anticipados por señales relativamente débiles. Algunos ejemplos incluyen desastres naturales como la erupción volcánica islandesa de 2010 que cerró el espacio aéreo europeo durante una semana y desastres económicos como el estallido de una importante burbuja de precios de los activos. Cuando se producen estos riesgos, sus efectos son típicamente drásticos e inmediatos, como vimos en la interrupción causada por el terremoto y el tsunami japonés en 2011.
  • Cambios geopolíticos y ambientales con impacto a largo plazo. Estos incluyen cambios políticos tales como cambios políticos importantes, golpes de Estado, revoluciones y guerras; cambios ambientales a largo plazo como el calentamiento global; y el agotamiento de recursos naturales críticos como el agua dulce.
  • Riesgos competitivos con impacto a medio plazo. Estos incluyen la aparición de tecnologías disruptivo (como Internet, teléfonos inteligentes y códigos de barras) y movimientos estratégicos radicales de los actores de la industria (como la entrada de Amazon en la venta al por menor de libros y Apple en las industrias de teléfonos móviles y electrónica de consumo).

Las empresas utilizan diferentes enfoques analíticos para cada una de las fuentes de riesgo externo.

La capacidad de una empresa para hacer frente a las tormentas depende de la seriedad con que los ejecutivos toman la gestión de riesgos cuando el sol brilla y no hay nubes en el horizonte.

Pruebas de estrés de riesgo de cola.

Las pruebas de estrés ayudan a las empresas a evaluar cambios importantes en una o dos variables específicas cuyos efectos serían importantes e inmediatos, aunque el momento exacto no es pronosticable. Las empresas de servicios financieros utilizan pruebas de resistencia para evaluar, por ejemplo, cómo un acontecimiento como la triplicación de los precios del petróleo, una gran oscilación de los tipos de cambio o de interés, o el incumplimiento de una institución importante o un país soberano afectaría a las posiciones comerciales y a las inversiones.

Los beneficios de las pruebas de estrés, sin embargo, dependen críticamente de las suposiciones —que a su vez pueden estar sesadas— acerca de cuánto cambiará la variable en cuestión. Por ejemplo, las pruebas de tensión de riesgo de cola de muchos bancos en 2007—2008 supusieron un escenario peor en el que los precios de la vivienda en Estados Unidos se estabilizaron y permanecieron estables durante varios períodos. Muy pocas empresas pensaron probar lo que sucedería si los precios comenzaran a disminuir, un excelente ejemplo de la tendencia a anclar las estimaciones en datos recientes y fácilmente disponibles. La mayoría de las empresas extrapolaron de los recientes precios de la vivienda en Estados Unidos, que habían pasado varias décadas sin un descenso general, para desarrollar evaluaciones de mercado excesivamente optimistas.

Planificación de escenarios.

Esta herramienta es adecuada para análisis a largo plazo, normalmente de cinco a diez años. Originalmente desarrollado en Shell Oil en la década de 1960, el análisis de escenarios es un proceso sistemático para definir los límites plausibles de los futuros estados del mundo. Los participantes examinan las fuerzas políticas, económicas, tecnológicas, sociales, regulatorias y ambientales y seleccionan a algunos conductores, normalmente cuatro, que tendrían el mayor impacto en la empresa. Algunas empresas recurren explícitamente a la experiencia de sus consejos asesores para informarles acerca de tendencias significativas, fuera del enfoque diario de la empresa y la industria, que deben tenerse en cuenta en sus escenarios.

Para cada uno de los conductores seleccionados, los participantes estiman los valores máximos y mínimos previstos a lo largo de cinco a diez años. La combinación de los valores extremos para cada uno de los cuatro conductores conduce a 16 escenarios. Alrededor de la mitad tienden a ser inverosímiles y se descartan; los participantes luego evalúan cómo funcionaría la estrategia de su empresa en los escenarios restantes. Si los gerentes ven que su estrategia depende de una visión generalmente optimista, pueden modificarla para adaptarse a escenarios pesimistas o elaborar planes sobre cómo cambiarían su estrategia si los indicadores iniciales muestran una probabilidad creciente de que los acontecimientos se vuelvan en contra de ella.

Juegos de guerra.

WAR-gaming evalúa la vulnerabilidad de una empresa a tecnologías disruptivo o cambios en las estrategias de los competidores. En un juego de guerra, la compañía asigna a tres o cuatro equipos la tarea de idear estrategias o acciones plausibles a corto plazo que los competidores existentes o potenciales puedan adoptar durante los próximos uno o dos años, un horizonte temporal más corto que el del análisis de escenarios. Los equipos se reúnen para examinar cómo los competidores inteligentes podrían atacar la estrategia de la compañía. El proceso ayuda a superar el sesgo de los líderes para ignorar pruebas que van en contra de sus creencias actuales, incluida la posibilidad de acciones que los competidores podrían tomar para generar disrupción su estrategia.

Las empresas no tienen influencia sobre la probabilidad de eventos de riesgo identificados a través de métodos tales como pruebas de riesgo de cola, planificación de escenarios y juegos de guerra. Pero los gerentes pueden tomar medidas específicas para mitigar su impacto. Dado que el riesgo moral no se plantea para eventos no prevenibles, las compañías pueden utilizar seguros o coberturas para mitigar algunos riesgos, como lo hace una aerolínea cuando se protege contra fuertes aumentos en los precios del combustible mediante el uso de derivados financieros. Otra opción es que las empresas hagan inversiones ahora para evitar costos mucho más altos después. Por ejemplo, un fabricante con instalaciones en zonas propensas a terremotos puede aumentar sus costos de construcción para proteger las instalaciones críticas contra terremotos graves. Además, las empresas expuestas a riesgos diferentes pero comparables pueden cooperar para mitigarlos. Por ejemplo, los centros de datos de IT de una universidad en Carolina del Norte serían vulnerables al riesgo de huracanes, mientras que los de una universidad comparable en la falla de San Andreas en California serían vulnerables a los terremotos. La probabilidad de que ambos desastres ocurran el mismo día es lo suficientemente pequeña como para que las dos universidades opten por mitigar sus riesgos respaldando sus sistemas cada noche.

El desafío del liderazgo

La gestión del riesgo es muy diferente de la gestión de la estrategia. La gestión del riesgo se centra en lo negativo: las amenazas y los fracasos, en lugar de oportunidades y éxitos. Va exactamente en contra de la cultura «puede hacer» que la mayoría de los equipos de liderazgo intentan fomentar al implementar la estrategia. Y muchos líderes tienen una tendencia a descontar el futuro; son reacios a gastar tiempo y dinero ahora para evitar un problema futuro incierto que podría ocurrir en el futuro, bajo la vigilancia de otra persona. Además, la mitigación del riesgo suele implicar la dispersión de recursos y la diversificación de las inversiones, justo lo contrario del intenso enfoque de una estrategia exitosa. Los gerentes pueden encontrar antitético a su cultura defender procesos que identifican los riesgos para las estrategias que ayudaron a formular.

Por esas razones, la mayoría de las empresas necesitan una función separada para gestionar la estrategia y la gestión de riesgos externos. El tamaño de la función de riesgo variará de una empresa a otra, pero el grupo debe informar directamente al equipo superior. De hecho, fomentar una relación estrecha con el liderazgo de alto nivel será sin duda su tarea más crítica; la capacidad de una empresa para hacer frente a las tormentas depende en gran medida de la seriedad con que los ejecutivos toman su función de gestión de riesgos cuando el sol brilla y no hay nubes en el horizonte.

Eso fue lo que separó a los bancos que fracasaron en la crisis financiera de los que sobrevivieron. Las empresas fracasadas habían relegado la gestión de riesgos a una función de cumplimiento; sus gestores de riesgos tenían un acceso limitado a los directivos superiores y a sus consejos de administración. Además, los ejecutivos sistemáticamente ignoraron las advertencias de los gestores de riesgos sobre posiciones altamente apalancadas y concentradas. Por el contrario, Goldman Sachs y JPMorgan Chase, dos empresas que resistieron bien la crisis financiera, tenían fuertes funciones internas de gestión de riesgos y equipos de liderazgo que comprendían y gestionaban las múltiples exposiciones al riesgo de las empresas. Barry Zubrow, director de riesgos de JP Morgan Chase, nos dijo: «Puede que tenga el título, pero [CEO] Jamie Dimon es el director de riesgos de la compañía».
La gestión de riesgos no es intuitiva; va en contra de muchos sesgos individuales y organizacionales. Las normas y el cumplimiento pueden mitigar algunos riesgos críticos, pero no todos. La gestión de riesgos activa y rentable requiere que los administradores piensen sistemáticamente en las múltiples categorías de riesgos a las que se enfrentan para que puedan instituir procesos apropiados para cada una de ellas. Estos procesos neutralizarán su sesgo gerencial de ver el mundo como les gustaría que fuera en lugar de como realmente es o podría llegar a ser.

A version of this article appeared in the
June 2012 issue of
Harvard Business Review.