La gestión de riesgos y los planes de contingencia desde la óptica empresarial

En sentido general, cuando hablamos de riesgos, debemos hacerlo bajo la premisa de que la probabilidad de ocurrencia de un hecho no deseado jamás será de cero porcientos. Por preventivos que seamos tratando de establecer controles para mitigar el impacto de esos eventos, indistintamente de que provengan de factores internos o externos, se recomienda contar con planes de contingencia que garanticen la continuidad de nuestros negocios, previendo respuestas oportunas ante cualquier incidencia. 

En el mundo empresarial, la historia nos cuenta que muchos negocios, grandes o pequeños, intentan manejar sus riesgos de acuerdo con sus respectivos tamaños, la complejidad de sus modelos de negocios, sus presupuestos, entre otros; sin embargo, cuando ciertos eventos se materializan, aun creyendo tener controles – detectivos o preventivos – probados y efectivos, el escenario real ha resultado más catastrófico de lo previsto. 

Lo anterior suele ocurrir porque pocas organizaciones asumen la gestión de riesgos de forma integral. De igual forma, se realizan evaluaciones para cumplir con regulaciones que les obligan a realizar esta tarea, pero sin entender o prestar mucha atención a que el objetivo principal de este ejercicio se concibe como una herramienta para la creación y protección del valor de las organizaciones. 

En el mundo financiero y de las inversiones se asume que un “mayor riesgo implica mayor rentabilidad”; sin embargo, los gestores de riesgos no deben tomar esta afirmación como regla absoluta. Si bien pudiera ser cierto de que los activos con mayores riesgos pueden ofrecer mayores oportunidades de ganancia o rendimientos, también vienen acompañados de una mayor posibilidad de pérdidas. Es justo aquí, cuando ocurre el evento no deseado y que perdemos nuestra inversión por una mala decisión, que debemos preguntarnos lo siguiente: ¿evalué correctamente mis riesgos? ¿entendí mis riesgos? ¿excedí mi decisión por encima de mis límites de tolerancia? ¿Tengo claro que sigue después? ¿mis decisiones estaban respaldadas por planes de contingencia ante las perdidas?

La aplicación de un enfoque basado en riesgos dentro de las empresas debe permitir que las decisiones de más alto nivel sean tomadas en función de su propia declaración de tolerancia o apetito de los riesgos a los que se expone y, sobre todo, respetarla con recelo; especialmente cuando las partes interesadas del negocio pueden estar siendo afectas como consecuencia de una decisión respaldada en uno o varios riesgos mal gestionados.

Es por lo anterior expuesto que encontramos en la norma ISO 31000:2018 algunos principios y directrices que pueden contribuir a una gestión del riesgo realista y efectiva, y que el autor intenta sintetizar de la forma más sencilla posible:

Integrada: Toda la organización debe integrarse para la toma decisiones y su planificación estratégica. La cultura organizacional y la participación activa de las personas son factores críticos para el éxito de la gestión del riesgo.

Mejora Continua: Los riesgos no son estáticos, mutan, evolucionan, cambian y/o desaparecen. Por esta razón su gestión debe realizarse periódicamente para identificar, evaluar, tratar, monitorear, y revisar de que los controles previstos para mitigar el impacto de los riesgos sean efectivos en el tiempo. 

Adaptada: La gestión de riesgo debe responder a las necesidades y contextos específicos de la organización, considerando su tamaño, cultura, objetivos y actividades. Las metodologías para emplearse deben ser un traje hecho a la medida del negocio. Un error muy frecuente que impacta este principio es la adquisición de matrices genéricas que han sido realizadas para modelos de negocios que, aunque se asume pudieran ser homogéneos entre sí, nunca lo serán.

Inclusiva/participativa: La gestión de riesgos debe involucrar a todas las partes interesadas relevantes en la organización, incluyendo a la dirección, los empleados y los socios externos. Ante este principio, suele ocurrir que las áreas gestoras de los riesgos trabajan de forma aislada y este escenario provoca que no se consideren elementos relevantes para la gestión y evaluación; que no haya una comprensión exhaustiva de las actividades vulnerables y, que finalmente, se escalan resultados sesgados a los directorios para la toma de decisiones. Por último, y no menos importante, los riesgos no son consultados o comunicados a todas las partes interesadas y, por tanto, se limita la mejora continua de la gestión.

Factores humanos y culturales:  Este principio se refiere al conocimiento exhaustivo que tiene la empresa sobre todas sus operaciones, su modelo de negocio, sus objetivos y sus partes interesadas, es decir, accionistas, socios comerciales, relacionados, proveedores, colaboradores, clientes. Adicionalmente, abarca elementos del entorno no limitativos, tales como los sociales, económicos, políticos, religiosos, entre muchos otros más. Este principio busca identificar posibles exposiciones de riesgos desde lo interno hasta lo externo de las organizaciones.  

Mejor información disponible: Es frecuente encontrarnos con empresas con presencia histórica importante en nuestras regiones, y que por su crecimiento se ven en la necesidad de gestionar riesgos, pero que no saben por dónde iniciar la recolección de datos que les permita evaluar y gestionar sus exposiciones o vulnerabilidades. Por otro lado, están aquellas nuevas empresas, pequeñas o medianas, que para operar deben gestionar riesgos como regla de juego u obligación legal. En todo caso, este principio invita a que las decisiones relacionadas con la gestión del riesgo se basen en la mejor información y datos disponibles, evitando decisiones basadas en suposiciones. El denominado benchmarking puede resultar un método razonable y buen punto de partida ante ambos escenarios.  

A pesar de que la adopción de los principios del estándar internacional ISO siempre será una buena práctica dentro de las organizaciones, debe considerarse que la gestión del riesgo cuenta con un elemento de incertidumbre inherente a los riesgos y que, a pesar de que tan robustos o exhaustivos puedan ser los controles implementados, también deberá reconocerse que no todos los riesgos pueden ser prevenidos o eliminados por completo. Esto puede ser conocido como riesgo residual.

Una vez identificados y evaluados, y conforme a la declaración de tolerancia o apetito de riesgo de la organización, se pueden desarrollar estrategias para transferirlos, por ejemplo, a través de la contratación de una póliza de seguros. En otros casos, también es válida la aceptación informada o el rechazo absoluto del riesgo.

De igual forma, resulta relevante garantizar el monitoreo y control de nuestra gestión para asegurarnos que las medidas tomadas sean efectivas en el tiempo y ajustarlas cuando ya no sean de utilidad. 

En todo caso, y luego de intentar sintetizar la gestión de riesgos en el ámbito empresarial, es relevante resaltar la importancia de las organizaciones cuenten con planes de contingencia diseñados para minimizar los daños cuando, aun habiendo previsto controles, se materialice un evento no deseado. Esto contribuye en gran medida a la protección de valor de la empresa, sus objetivos, sus activos, sus operaciones, y no menos importante, la reputación de la misma organización, sus accionistas y sus directivos. En sentido general, facilita tener respuestas oportunas, contribuyendo ágilmente a preservar el clima de confianza de las partes interesadas. 

En conjunto, la gestión de riesgos y los planes de contingencia ayudan a las organizaciones a prepararse y responder de manera efectiva ante situaciones imprevistas, protegiendo así sus activos, reputación, operaciones y la continuidad del negocio.

Finalmente, tanto la gestión de riesgos como la construcción de planes contingencia, en conjunto generan un aprendizaje continuo. Su sincronía responsable permitirá anticipar escenarios de crisis, definir roles y responsabilidades que sean ejecutables sin demora, acciones y procedimientos específicos para cada escenario. Lo anterior, va de la mano con una estrategia de comunicación, coordinación, entrenamientos y simulacros que permitirán que toda la organización esté preparada para enfrentar eventos inesperados, detectar oportunidades de mejora para robustecer las acciones ante situaciones adversas futuras.