Encuentro con el futuro: gestión dinámica de riesgos para tiempos inciertos

6 octubre, 2021

Más allá de la profunda incertidumbre económica y de salud de nuestro momento actual, se espera que los eventos catastróficos ocurran con mayor frecuencia en el futuro. La revolución digital, el cambio climático, las expectativas de las partes interesadas y los riesgos geopolíticos jugarán un papel importante.

La revolución digital ha aumentado la disponibilidad de datos, el grado de conectividad y la velocidad a la que se toman las decisiones. Esos cambios ofrecen una promesa de transformación, pero también conllevan el potencial de fallas a gran escala y brechas de seguridad, junto con una rápida cascada de consecuencias. Al mismo tiempo, impulsado por la conectividad digital y las redes sociales, el daño a la reputación puede desencadenarse y extenderse rápidamente.

El clima cambiante presenta cambios estructurales masivos en los perfiles de riesgo-retorno de las empresas, que se acelerarán de manera no lineal. Las empresas deben navegar por las preocupaciones por sus resultados inmediatos junto con las presiones de los gobiernos, los inversores y la sociedad en general. Todo eso, y los desastres naturales también, son cada vez más frecuentes y graves.

Las expectativas de las partes interesadas sobre el comportamiento empresarial son más altas que nunca. Se espera que las empresas actúen de forma lícita pero también con un sentido de responsabilidad social. Los consumidores esperan que las empresas adopten una posición sobre los problemas sociales, como los que alimentan los movimientos #MeToo y Black Lives Matter.

Los empleados expresan cada vez más las políticas y acciones de la empresa. La atención de los reguladores y los gobiernos reflejan las preocupaciones de la sociedad en áreas que van desde la privacidad de los datos hasta el clima.

Un futuro geopolítico incierto proporciona el telón de fondo para tales presiones. El mundo está más interconectado que nunca, desde las cadenas de suministro hasta los viajes al flujo de información. Pero esos vínculos están amenazados y la mayoría de las empresas no han diseñado roles sólidos dentro del sistema global que les permitan seguir funcionando sin problemas si las conexiones se cortan abruptamente.

Las empresas requieren una gestión de riesgos dinámica y flexible para navegar en un futuro impredecible en el que el cambio se produce rápidamente. El nivel de madurez de la gestión de riesgos varía entre industrias y empresas.

En general, los bancos tienen el enfoque más maduro, seguidos de las empresas de industrias en las que la seguridad es primordial, incluidas las de petróleo y gas, fabricación avanzada y productos farmacéuticos. Sin embargo, casi todas las organizaciones necesitan actualizar y fortalecer su enfoque de la gestión de riesgos para estar mejor preparadas para la próxima normalidad. La siguiente exposición describe el núcleo de la gestión dinámica de riesgos y describe las acciones que las empresas pueden tomar para desarrollarla.

El núcleo de la gestión dinámica de riesgos

La gestión dinámica de riesgos tiene tres actividades de componentes centrales: detectar posibles nuevos riesgos y debilidades en los controles, determinar el apetito por la toma de riesgos y decidir el enfoque apropiado de gestión de riesgos.

Detectar riesgos y controlar debilidades

Las instituciones necesitan tanto predecir nuevas amenazas como detectar cambios en las existentes. Hoy en día, muchas empresas mantienen una visión estática y formulada de los riesgos, con vínculos limitados con la toma de decisiones comerciales. Algunas de estas mismas empresas se vieron sorprendidas por la pandemia de COVID-19.

En el futuro, las empresas requerirán identificación hiperdinámica y priorización de riesgos para mantenerse al día con el entorno cambiante. Deberán anticipar, evaluar y observar las amenazas en función de puntos de datos internos y externos dispares. La gestión dinámica de riesgos requerirá que las empresas respondan las siguientes tres preguntas:

¿Cómo se desarrollará el riesgo con el tiempo? Algunos riesgos son lentos, mientras que otros pueden cambiar y aumentar rápidamente. Independientemente de la velocidad, los riesgos pueden ser cíclicos y revertir o estructurales y permanentes. Históricamente, la mayoría de las empresas se han centrado en gestionar riesgos cíclicos de reversión a la media, como el riesgo crediticio, que suben y bajan con los ciclos macroeconómicos. Históricamente, la economía fundamental a largo plazo de las líneas de negocio se ha mantenido firme, requiriendo solo ajustes a lo largo del ciclo. El riesgo crediticio en los servicios financieros es un ejemplo de tal riesgo. Sin embargo, los principios tradicionales de trayectoria y carácter cíclico de los riesgos son cada vez menos relevantes. El impacto económico global causado por la pandemia de COVID-19 ha demostrado que muchas empresas no estaban preparadas para eventos con un impacto profundo y duradero que podría cambiar fundamentalmente la forma en que se llevan a cabo los negocios.
¿Estamos preparados para responder a los riesgos sistémicos? En el mundo actual, el impacto del riesgo puede ir mucho más allá de los estados financieros del próximo trimestre para tener consecuencias normativas o de reputación a más largo plazo. Las instituciones también deben considerar si el evento que desencadena el riesgo tiene amplias implicaciones para su industria, la economía y la sociedad en general, y lo que eso significa para ellas. La pandemia de COVID-19 ha tenido un impacto directo en la mayoría de las empresas, pero también ha cambiado significativamente la economía global y el terreno social. Las empresas deben considerar si cuentan con los controles, los mitigantes y los planes de respuesta para tener en cuenta los riesgos sistémicos en el peor de los casos. Por ejemplo, a medida que las empresas albergan más datos personales, los riesgos asociados con las violaciones de datos se vuelven más sistémicos, con el potencial de afectar a millones de clientes en todo el mundo.
¿Qué nuevos riesgos acechan en el futuro? Las empresas deberán lanzar redes lo suficientemente amplias como para detectar riesgos nuevos y emergentes antes de que sucedan. Los enfoques tradicionales de identificación de riesgos basados en revisiones y evaluaciones ex post facto no serán suficientes. La mayoría de las instituciones no han tenido pérdidas históricas relacionadas con el cambio climático y muchas no han sufrido un retroceso significativo en su reputación por estar en el lado equivocado de un problema social. Las instituciones deberán trabajar en todas las divisiones comerciales y funcionales para mantener taxonomías integrales y prospectivas de los factores fundamentales de sus riesgos. Para obtener una vista en tiempo real de esos impulsores, las empresas deben buscar métricas de desempeño internas, indicadores externos y vistas cualitativas de lo que los líderes empresariales ven en su trabajo diario.

Determinar el apetito por el riesgo

Las empresas necesitan una forma sistemática de decidir qué riesgos tomar y cuáles evitar. Hoy en día, muchas instituciones piensan en su apetito por el riesgo en términos financieros puramente estáticos. Pueden caer en las trampas simultáneas de ser inflexibles e imprudentes. Por ejemplo, las empresas que no se arriesgan lo suficiente al innovar pueden salir perdiendo frente a competidores más ágiles.

Pero al mismo tiempo, las empresas que se centran en métricas puramente financieras pueden asumir riesgos sin saberlo, por ejemplo, con su reputación al continuar con un proceso empresarial rentable que va en contra de las expectativas de la sociedad.

En el futuro, las empresas deberán establecer un apetito por el riesgo que se alinee con los valores, las estrategias, las capacidades y el entorno competitivo en un momento dado. La gestión eficaz del riesgo empresarial les ayudará a delimitar dinámicamente la asunción de riesgos, traduciendo directamente los principios y métricas financieras y no financieras en una visión concreta de lo que la empresa hará y no hará en un momento dado. Las empresas deberán poder responder las siguientes tres preguntas:

¿Cuánto riesgo debemos correr? Los cambios rápidos pueden desarraigar rápidamente los perfiles de riesgo de las empresas. Deberán ajustar su apetito por el riesgo para adaptarse a los comportamientos cambiantes de los clientes, las capacidades digitales, los paisajes competitivos y las tendencias globales. Por ejemplo, muchas empresas que se negaron categóricamente a utilizar la nube hace cinco años están migrando a soluciones de software y almacenamiento basadas en la nube en la actualidad, impulsadas por una tecnología y una seguridad mejoradas. La inestabilidad geopolítica tiene el potencial de aumentar las consideraciones de riesgo cambiario y de contraparte para las industrias de viajes e infraestructura cuando se consideran contratos de ingeniería, adquisiciones y construcción para megaproyectos que duran varios años. La pandemia de COVID-19 ha provocado que las compañías farmacéuticas consideren de nuevo qué riesgos están dispuestos a tomar para desarrollar y producir tratamientos rápidamente.
¿Debemos evitar los riesgos por completo? Las empresas querrán trazar algunas líneas claras en la arena: sin criminalidad, ningún acoso sexual de los empleados. Pero para muchos riesgos, las líneas no están claras y cada empresa necesitará una perspectiva matizada construida sobre una base de hechos sólida y objetiva. Por ejemplo, ¿los factores de riesgo como el cambio climático harán que los riesgos en ciertas empresas sean completamente insostenibles (por ejemplo, el desarrollo de bienes raíces en ciertas regiones costeras)? ¿O el riesgo de reputación de verse atrapado en medio de problemas ambientales y de responsabilidad social altamente cargados debería expulsar a una empresa de ciertos segmentos comerciales por completo (por ejemplo, en la forma en que algunos minoristas tomaron la decisión de dejar de vender armas)? Las empresas deberán desarrollar puntos de vista sobre estas cuestiones y actualizarlas continuamente a medida que evolucionan sus entornos y las bases de datos correspondientes.
¿Nuestro apetito por el riesgo refleja adecuadamente nuestra eficacia de control? Las empresas se sienten más cómodas asumiendo los riesgos para los que tienen controles estrictos. Pero la creciente amenaza de nuevos y graves riesgos no financieros desafía los supuestos del statu quo sobre la eficacia del control. Por ejemplo, muchas empresas han confiado en la automatización para acelerar los procesos, reducir los costos y reducir los errores manuales. Al mismo tiempo, los riesgos de infracciones a gran escala y violaciones de la privacidad de los datos han aumentado drásticamente, acentuándose durante la crisis de COVID-19 a medida que la digitalización se acelera sustancialmente en muchas industrias. Con menos riesgo de errores manuales pero mayor riesgo de fallas a gran escala, las instituciones deberán ajustar su apetito por el riesgo y los controles asociados para reflejar la evolución de los perfiles de riesgo.

Decidir sobre un enfoque de gestión de riesgos

Las empresas deben decidir cómo responder a medida que detectan nuevos riesgos o controlan debilidades. Hoy en día, muchos dependen de procesos de gobernanza lineales basados en comités para tomar decisiones sobre la toma de riesgos, lo que ralentiza su capacidad de actuación.

Sin embargo, en la próxima etapa normal, las instituciones deberán tomar decisiones de riesgo de manera rápida y flexible, diseñando y ejecutando respuestas, ya sean inmediatas o prolongadas, sobre cómo evitar, controlar o aceptar cada riesgo.

Las decisiones deben involucrar activamente a los líderes de toda la organización para determinar los esfuerzos de mitigación y respuesta que han funcionado bien en el pasado, así como aquellos que no. De esa manera, la organización puede desarrollar las formas en que gestiona los riesgos en el mundo actual. Las empresas deberán poder responder a las siguientes preguntas:

¿Cómo debemos mitigar los riesgos que asumimos? Históricamente, muchas empresas se han basado en gran medida en los controles manuales y en las evaluaciones humanas de la eficacia del control. Ese enfoque puede generar niveles de control excesivos y costosos en algunas áreas y dejar vacíos o controles insuficientes en otras. Hoy en día, el arte de lo posible en la defensa contra resultados adversos está evolucionando rápidamente. Los sistemas de control automatizados están integrados en los procesos y detectan anomalías en tiempo real. Los empujones conductuales influyen en las personas para que actúen de la manera correcta. Los controles guiados por análisis avanzados protegen simultáneamente contra los riesgos y minimizan los resultados falsos positivos.
¿Cómo responderíamos si se produjera un evento de riesgo o una avería del control? En caso de una falla importante en el control, las empresas deben poder cambiar rápidamente al modo de respuesta a crisis, guiadas por un manual de acciones establecido. La mayoría de las empresas han hecho poco para prepararse para las crisis, aparentemente adoptando una actitud de que “no sucederá aquí”. Sin embargo, en un mundo en evolución, las empresas deberán desarrollar sistemáticamente capacidades de preparación para crisis. Como ha demostrado la crisis de COVID-19, las empresas con enfoques bien ensayados para gestionar una crisis serán más resistentes a los impactos. La preparación debe incluir la identificación de los posibles escenarios negativos exclusivos de una organización y las estrategias de mitigación que se deben adoptar antes de que ocurra una crisis. Eso incluye simulaciones periódicas que involucran tanto a la alta dirección como a la junta. Las empresas deben mantener y actualizar periódicamente manuales detallados de crisis.
¿Cómo podemos construir una verdadera resiliencia? Las empresas resilientes no solo resisten las amenazas, sino que emergen más fuertes. Las empresas pueden aprender de cada evento de riesgo real y controlar las fallas, perfeccionando los procesos y controles de riesgo a través de un circuito de retroalimentación dinámica. A mayor escala, las empresas también tienen la oportunidad de convertir las consecuencias de las crisis reales en una ventaja competitiva, como lo está demostrando la crisis del COVID-19. Por ejemplo, algunas empresas que ofrecen alquileres de vacaciones se dieron cuenta de que necesitarían hacer más que proporcionar comodidades y medidas de higiene. Han comenzado a ofrecer experiencias personalizadas para los clientes, que incluyen juegos, clases de cocina virtuales y recorridos remotos por la naturaleza, basados en la comprensión de los microsegmentos de los clientes. Estas empresas han comenzado a diferenciarse de sus competidores y están posicionadas para emerger más resilientes, incluso dentro de un sector muy afectado. Las empresas deben prepararse para garantizar cinco tipos de resiliencia: resiliencia financiera, operativa, organizacional, de reputación y de modelo de negocio. Los planes de continuidad del negocio, financieros y de otro tipo pueden proporcionar amortiguadores contra los impactos. Pero la verdadera resiliencia también se deriva de una diversidad de habilidades y experiencia, innovación, resolución creativa de problemas y la seguridad psicológica básica que permite el máximo rendimiento. Esas características son útiles en los buenos tiempos e indispensables cuando se necesita una adaptación rápida y colaborativa para que una institución prospere. la resolución creativa de problemas y la seguridad psicológica básica que permite un rendimiento máximo.

Cinco acciones para construir una gestión dinámica de riesgos

Hoy en día, muchas empresas ven la gestión de riesgos empresariales como una necesidad triste, pero difícilmente como una fuente de dinamismo o ventaja competitiva. Puede sufrir por estar estático, aislado y separado del negocio. Pero la gestión de riesgos dinámica e integrada, que incluye la capacidad de detectar riesgos, determinar el apetito y decidir la acción en tiempo real, es cada vez más crítica. Los líderes pueden tomar cinco acciones para establecer las capacidades necesarias.

1. Restablecer la aspiración por la gestión de riesgos

Para satisfacer las necesidades del futuro, las empresas deben elevar la gestión de riesgos de la mera prevención y mitigación a la habilitación estratégica dinámica y la creación de valor. Esto requiere objetivos claros, como garantizar que los esfuerzos se centren en los riesgos más importantes, proporcionar claridad sobre los niveles de riesgo y el apetito por el riesgo de una manera que facilite decisiones comerciales efectivas y asegurarse de que la organización esté preparada para gestionar los riesgos y los eventos adversos.

En la práctica, los administradores de riesgos deben entablar un diálogo productivo con los líderes empresariales para obtener un conocimiento profundo de cómo piensa la empresa sobre el riesgo día a día y compartir las capacidades de riesgo que pueden aportar. Las empresas suelen abordar las decisiones con una mentalidad razonable de riesgo versus rentabilidad, pero carecen de información clave para hacerlo de forma eficaz por sí solas. Por ejemplo, las unidades de negocio a menudo no tienen una comprensión sistemática completa de la gama completa de factores de riesgo o una visión clara de cómo un entorno estresado podría afectar a la empresa.

En términos más generales, las empresas también suelen carecer de una visión de toda la organización de cómo podría desarrollarse un riesgo. Por ejemplo, el riesgo climático puede afectar la mayoría de los aspectos de los negocios de algunas empresas, desde el impacto del riesgo climático físico en las instalaciones operativas y las cadenas de suministro hasta la revalorización de las emisiones de carbono en el mercado y los cambios en la demanda del mercado y el panorama competitivo. La pandemia de COVID-19 ha tenido un impacto similar en todas las empresas en casi todas las empresas. Un objetivo de la gestión dinámica de riesgos debería ser proporcionar una visión empresarial.

2. Establecer prácticas ágiles de gestión de riesgos

El entorno de riesgos cada vez más volátil, incierto y dinámico exigirá una gestión de riesgos más ágil. Las empresas deberán recurrir a personas con las habilidades y los conocimientos adecuados en tiempo real, convocando equipos multifuncionales y autorizándolos a tomar decisiones rápidas en la gestión del negocio, la innovación y la gestión de riesgos.

La creación de equipos y órganos de decisión de forma dinámica requiere la capacidad de comprender rápidamente la naturaleza del riesgo en cuestión, incluida su importancia y la rapidez con la que puede desarrollarse. Esto ayuda a determinar quién debe participar y cómo las personas deben trabajar juntas. Una empresa de tecnología financiera, por ejemplo, organiza reuniones diarias para discutir sobre los clientes, reuniendo un equipo multifuncional de líderes empresariales y de riesgo y otros expertos en la materia para revisar las quejas de los nuevos clientes. Esto permite a los ejecutivos revisar las métricas del embudo para el día junto con las quejas de los clientes y les ayuda a clasificar y remediar esas quejas rápidamente, evitando problemas mayores en el futuro.

Las decisiones mismas deben recibir la transparencia adecuada, pero los gerentes no deben empantanarse en una burocracia excesiva. Las empresas pueden formular una visión clara y basada en principios de qué tipo de decisiones requieren la revisión del comité en lugar de la ejecución por partes responsables individuales. En algunos casos, problemas y riesgos previamente imprevistos que tienen el potencial de evolucionar rápidamente pueden requerir mecanismos especiales de toma de decisiones por la vía rápida. Una organización realiza ejercicios de preparación para crisis con regularidad y ha desarrollado guías relevantes que asignan poder de toma de decisiones si es necesario, según el tipo de problema.

3. Aprovechar el poder de los datos y la analítica

Las empresas pueden adoptar la revolución digital para mejorar la gestión de riesgos. Las tecnologías de automatización pueden digitalizar los flujos de trabajo de transacciones de un extremo a otro, reduciendo el error humano. Los abundantes flujos de datos de fuentes tradicionales, como agencias de calificación, y fuentes no tradicionales, como las redes sociales, brindan una visión cada vez más detallada y en expansión de las características de riesgo. Los algoritmos sofisticados permiten una mejor detección de errores, predicciones más precisas y segmentación a micro niveles.

4. Desarrollar talento de riesgo para el futuro

Para satisfacer las demandas del futuro, los administradores de riesgos deberán desarrollar nuevas capacidades y ampliar el conocimiento del dominio. El sólido conocimiento de cómo opera el negocio proporciona una base fundamental al respaldar la verdadera comprensión del panorama de riesgo. Esto permite a los profesionales del riesgo brindar una mejor supervisión y un desafío más efectivo al mismo tiempo que actúan como consejeros y socios efectivos mientras su empresa navega por el panorama del riesgo.

Los administradores de riesgos también necesitarán un conocimiento sólido de los datos, el análisis y la tecnología, que están impulsando cambios en la forma en que operan la mayoría de las empresas, una tendencia que solo se aceleró con la crisis del COVID-19. Esto se aplica a la forma en que los datos y las interfaces digitales están afectando los procesos de las empresas, cómo las empresas están empleando la inteligencia artificial para respaldar las decisiones del día a día y cómo la revolución digital está dando forma a la gestión de riesgos en sí.

Para unir todo esto, los administradores de riesgos deberán desarrollar capacidades y mentalidades ágiles, lo que les permitirá identificar oportunidades para convocar a las partes interesadas y colaboradores en todas las funciones rápidamente y generar soluciones rápidas. Las personas necesitarán el liderazgo y las capacidades personales para conectarse con colegas con las habilidades y los conocimientos adecuados en tiempo real.

5. Fortalecer la cultura de riesgo

La cultura del riesgo se refiere a las mentalidades y normas de comportamiento que determinan cómo una organización identifica y gestiona el riesgo. En momentos de gran incertidumbre, como los que vivimos durante la pandemia de COVID-19, la cultura del riesgo es de una importancia excepcional. Las empresas no pueden confiar en los músculos reflexivos para predecir y controlar los riesgos. Una buena cultura de riesgo permite que una organización se mueva con rapidez sin romper las cosas. Es la mejor defensa transversal de una organización.

Más allá de las tribulaciones de hoy, una cultura de riesgo sólida es un elemento crítico para la resiliencia institucional frente a cualquier desafío. Las organizaciones que han desarrollado una cultura de riesgo madura superan a sus pares a lo largo de los ciclos económicos y frente a choques externos desafiantes. Al mismo tiempo, las empresas con una fuerte cultura de riesgo tienen menos probabilidades de sufrir heridas autoinfligidas en forma de errores operativos o dificultades de reputación y tienen clientes y empleados más comprometidos y satisfechos.

Las empresas con una fuerte cultura de riesgo comparten varias características esenciales. Lo más importante es que la verdadera propiedad y responsabilidad por la cultura del riesgo se encuentra en la primera línea, con responsabilidad a nivel ejecutivo por las fallas culturales. Para vivir de verdad, la cultura debe estar vinculada con las actividades y los resultados comerciales del día a día de una institución. Al mismo tiempo, alguien debe ser responsable de coordinar la definición, medición, presentación de informes y refuerzo de la cultura de riesgo. Finalmente, la atención a la cultura del riesgo debe ser continua. Una cultura fuerte requiere mantenimiento y refuerzo.

El mundo se enfrenta tanto a la incertidumbre como a un cambio rápido. Para las empresas, los niveles de riesgo están aumentando, al igual que las expectativas de los empleados, clientes, accionistas, gobiernos y la sociedad en general. En este contexto, las empresas deben repensar su enfoque de la gestión de riesgos para convertirla en una fuente dinámica de ventaja competitiva.

¡Accede a todos los post de Adecco Institute

Adecco Institute