La Gestión de Riesgos no es algo nuevo, pero sin duda es algo que está ganando terreno en todas las industrias, especialmente en la financiera. De hecho, está emergiendo como una industria por sí misma. Exactamente igual como surgió la industria de la Gestión de Calidad.
El objetivo es claro, eliminar, mitigar o en el peor de los casos poder lidiar, con los efectos que pueda generar la materialización de un riesgo. Es decir, riesgos hay montones, pero en base a su probabilidad y a su impacto serán más o menos dañinos para la organización si llegan a ocurrir.
No es lo mismo lidiar con el impacto de un corte de energía de 5 horas (que obviamente tiene su impacto) que manejar un hackeo de la base de datos de la compañía.
Identificando Riesgos
Hay muchas, no soy experto en riesgos, pero ya son 4 años que he ido entrando al mundo de su gestión como para entender sus fundamentos.
La mayoría (por no decir todos) parten de la base de hacer un listado gigante de posibles riesgos. En eso los inspectores/auditores y demás representantes de la industria de la Gestión de Riesgos siempre tienen observaciones puesto que siempre piensan en riesgos que en su momento el equipo no pensó. Por otro lado, siempre es bueno tener puntos de vista externo para ver las cosas de otra forma y así complementar nuestro análisis.
Nunca podremos imaginar todas las posibilidades, nuestras industrias y las mismas organizaciones son sistemas tan caóticos que pretender predecir cada posible salida es ser demasiado pretencioso. Esa lista puede ser flexible, un elemento vivo que reciba y elimine entradas de acuerdo al mundo.
Evaluando Riesgos
Una vez teniendo toda la lista de riesgos empieza lo que para mí es el proceso que determina el triunfo de una Gestión de Riesgos, o su fin. Evaluar aquellos que representen una amenaza real para la organización a tal punto que exijan acciones de parte nuestra.
Cada cierto tiempo aparecen cada vez más métodos y técnicas de evaluación no entraremos en detalle, pero el fundamento de todas es considerar la probabilidad de que suceda, la frecuencia y el daño que pueden llegar a causar.
De momento la Gestión de Riesgos está apoyándose bastante en la Estadística y Probabilidad para determinar la probabilidad de un suceso. Pero sigue siendo algo muy delicado, hay técnicas que asignan valores que se traducen en: Muy Probable, Probable y Poco Probable; con todas sus variaciones de por medio. Por lo cual una mala asignación ya hará variar el resultado final.
De igual manera con el impacto que puede ocasionar un suceso. ¿Cómo anticipas el daño que puede causar una falla de máquina, un hackeo o una pandemia global?
Hasta inconscientemente parecemos bastante adversos a querer imaginar escenarios catastróficos.
ACTUAR
Lo más importante es actuar, tomar acciones y no congelarse en el análisis, en el listado o la evaluación de los riesgos.
Las acciones deben ser pocas, concretas y contundentes. Una típica tabla con 200 o 300 acciones de las cuales solo se llegan a cumplir 5% no será útil para defender el proceso ni para causar un impacto en el manejo del riesgo.
No desarrollo más porque no hay fórmula mágica, hay que actuar y no quedarse viviendo en las tablas de análisis, el impacto se genera haciendo. Si nos equivocamos pues volvemos a replantear las acciones, pero nunca debemos quedarnos quietos.
¿Una Industria Autocomplaciente?
Como dije, veo muchas similitudes con la industria que surgió gracias a Demming, la industria de la Gestión de Calidad. Si bien soy partidario de que la excelencia es la meta, he vivido de primera mano que estas industrias a veces pierden su foco y promueven la burocracia, el papeleo, autocomplacencia al tener algunas cosas en orden documentalmente, aunque el impacto en la organización finalmente sea casi imperceptible.
Nunca debemos olvidar que esta industria está a nuestro servicio, a servicio de los stakeholders para eliminar, reducir o al menos manejar riesgos. No puede darse la vuelta donde las empresas estén a la orden de la industria de la Gestión de Riesgos buscando solo el compliance. No hagamos las cosas solo por el cartón, hagámoslas siguiente su propósito real, caso contrario no vale la pena.
Ejemplo de esto es algo que un docente nos hizo pensar hace media década, ¿cómo un sistema tan sofisticado con Calificadoras de Riesgo de talla mundial, no pudo anticipar la catástrofe bursátil que se generó el 2008 en Wall Street? Los actores partícipes de uno de los peores desastres financieros contaban con buenas calificaciones de riesgos. Las Calificadoras descargan su responsabilidad indicando que no encontraron ninguna señal que permitiera anticipar esta situación o al menos reducir la calificación de riesgo. Y el resto, es historia.
Te deseo lo mejor.
Buena caza, guerreras y guerreros.