Una visión de la gestión de riesgos en la toma de decisiones estratégicas

Quizás durante la edad media cuando un rey decidía dónde construir sus murallas ya había escuchado algunas sugerencias según un análisis que alguien más quizás hizo, sobre pensando en futuras “visitas” enemigas, o en la necesidad de controlar la población, en cualquier caso probablemente estemos ante un análisis de riesgos, y en consecuencia la decisión que el rey tomara llevaría a la gestión del riesgo.

Voltaire dijo “Un día todo estará bien, esa es nuestra esperanza. Todo está bien hoy, esa es nuestra ilusión”, y para tratar de cumplir con aquello que esperamos es que se puede decidir analizar qué nos impediría estar bien, es aquí donde empezamos a visionar el futuro y nos enfocamos en aquellas malas cosas que podrían sucedernos.

De la edad media a la actualidad, la forma de ver y analizar el riesgo ha cambiado en búsqueda de métodos cada vez más acertados, búsqueda incitada por aseguradoras, bancos, mercados financieros y algunas otras entidades. Quizás es por estos iniciadores que hay quienes consideran la gestión de riesgos como un sinónimo de seguros o gestión financiera (principalmente cartera).

Cuando la gestión del riesgo va a ser considerada en la toma de una decisión se puede entender que antes de la decisión se usó algún método, el cual puede ser basado en la intuición de un experto (es posible que no se presenten escalas, probabilidades, puntajes, categorías; simplemente basados en una sensación), auditoría de un experto (más sistemático, generalmente son externos, puede que presenten una escala o valoración formal, quizás basados en alguna lista de chequeo), algún método de niveles (verde-amarillo-rojo, bajo-medio-alto, 1-5), un sistema de ponderación (basado en algún indicador de riesgo multiplicado por algún peso para obtener un riesgo ponderado), un análisis financiero (busca ejemplificar cómo afectaría el flujo financiero, puede presentar el “mejor escenario” y el “peor escenario”), un modelo probabilístico, entre otros métodos.

El objetivo final de la gestión del riesgo es minimizar el riesgo en alguna área donde la compañía busca sacar provecho de alguna oportunidad a la vez que (de tomar una buena decisión) pudiese optimizar recursos. Un riesgo alto pudiese ser aceptado si la oportunidad así lo amerita, sin embargo tampoco se desea tomar más riesgos de los necesarios (considerando que además de aceptarse, los riesgos se pueden mitigar, transferir o evitar).

Ahora considere que en cualquier caso el análisis (o la interpretación) del contexto futuro puede tener alguna consideración inadecuada atribuible a factores humanos. Si buscamos cuantificar esto ¿la probabilidad de que suceda un error humano es una vez en un millón?, ¿quizás menos? o ¿quizás más?, en esa misma medida podrá estar errado el análisis que se hizo al riesgo.

Supongamos que no solo el análisis final lo realiza un humano, ¿qué pasa si todo el método en sí es basado en análisis y valoraciones afectables por la valoración humana?. Si ese fuese el caso tal vez nos encontraríamos ante una decisión que se tomará basado en un sistema fundamentalmente defectuoso; y si quizás está basado en estadísticas pasadas ¿se puede predecir correctamente el futuro? (considerando que el tamaño de la muestra y el tipo de análisis altera el resultado, ejem. considerando que durante la vida de la compañía solo han ocurrido 2 infecciones de ramsonware, ambas en el último año, para la compañía daría algo muy probable de suceder si analizamos el más reciente año y poco probable si consideramos el histórico de 10 años), tal vez sí, tal vez no. Recaemos de nuevo en una parametrización humana.

Mientras más decisiones se deban tomar, más riesgos hay que analizar, lo que implica que se tendrá que usar un “lenguaje del riesgo”, lo que de entrada para algunas personas (que por ejemplo confunden riesgo con amenaza, caso que me tocó durante una clase) puede ser complicado, más si a ese concepto deben sumarle el tema de estadística o probabilidad. Si las personas involucradas no entienden correctamente el lenguaje usado el sistema podrá ser mal “alimentado” y quizás se acabará.

La experiencia de los que lideren la gestión de riesgos se convierte en una cuestión relevante, ya que son los encargados de traducir los posibles problemas identificados en los pasos a ejecutar más eficientes y eficaces. Una dificultad en la traducción (de nuevo el factor humano) puede derivar en una mala toma de decisiones, entendiendo malo como la no satisfacción de la expectativa y no necesariamente la pérdida.

He escuchado a algunos experimentados en temas de gestión la frase “si no se puede medir no se puede gestionar”, y esta mentalidad puede derivar en una interpretación del tipo “si no se puede medir el riesgo entonces no se puede gestionar”, afirmación que veo como una excusa para no lograr el objetivo que se supone les fue asignado. Decir que no se puede medir un riesgo no hará que desaparezca, hacer gestión únicamente a lo medible puede no ser suficiente, quizás esta mentalidad haría omitir asuntos importantes par la toma de una decisión.

Las decisiones son constantes y deberían estar basadas en información, si bien no podría decir que confiable, al menos sí un análisis reciente. Esto implica un compromiso con mantener los datos, la información, o quizás se pueda decir “el papeleo”, compromiso que no todos aceptarán gustosos, generando imprecisiones, y mientras más volátil el contexto más se requiere estar actualizados (ejem, mercado de divisas).

Ahora imagine que en algún momento se decidió trabajar más por gestionar un riesgo que se analizó como prioritario para atender, ¿qué sucede si esa priorización tiene algún “punto ciego”?, es decir, es probable que no se tenga una correcta alineación entre la visión de la organización y la decisión que se tomará basado en lo que se determinó durante la gestión del riesgo. No es solo pensar que el contexto puede ser volátil, la organización también es cambiante.

Digamos que es posible hacer que todos los involucrados se comprometan, que los datos están actualizados, que está claro el contexto y se conoce a la organización. El resultado es un análisis realmente “valioso”, sin embargo ¿quién le da el valor?. Acá hay que considerar que puede primar la expectativa de la alta dirección, quienes serán los que tomen las decisiones estratégicas. Una posible pregunta sería ¿ellos verán valioso que se les informe que se les pronostica un riesgo negativo? o ¿dictarán que el análisis es más valioso si se redacta de forma más laxa?, o ¿simplemente descartarán el “valioso” análisis porque (creen) es menos costoso asumir el riesgo?

Finalmente es probable que, a pesar de que todo se logre hacer de la mejor manera, las decisiones se tomen demasiado tarde. Si el sistema de gestión de riesgos es “lento” en sus predicciones ¿qué tanto ayudará para que se tome una correcta decisión?. La gestión de riesgos busca precisamente evitarlos, no convertirse en el “plano” de los acontecimientos ni en el que lidia con las consecuencias. Separar riesgos de hechos pudiese ser el equivalente de hablar de prevención en lugar de reacción.

Una mala gestión del riesgo puede convertirse en el peor riesgo a la hora de tomar decisiones. De manera personal considero acertada una popular frase de Peter Drucker: “La gente que no se arriesga generalmente comete dos grandes errores por año. Los que sí toman riesgos generalmente cometen dos grandes errores por año”.

Y tú, gestionas riesgos?

Published by

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *