En todos mis años de experiencia nunca he visto en una organización un esquema de categorización de riesgos que enmarque con precisión todas las opciones. Por algún lado, siempre terminamos haciendo ajustes para encuadrarlos, y por el otro, los riesgos se resisten a ser encasillados. Y esto es así porque los riesgos pertenecen a una realidad compleja y dinámica que no “acepta” ser encasillada en modelo alguno; los modelos son gruesas simplificaciones metodológicas que facilitan la comprensión y permiten construir criterios para el diseño de estrategias, pero no son necesariamente una copia exacta del mundo real.
Si bien los modelos y las categorías se quedan cortos frente a la realidad, sería muy difícil lograr un análisis sin ellos. Lo importante aquí es comprender que los riesgos nunca viven solos. Este concepto puede ser familiar para quienes entienden el tema, sin embargo, no es intuitivo. Los riesgos, cuando se materializan, son factores desencadenantes de otros riesgos y tienden a generar un efecto ripple que cambia la realidad de manera inmediata. Por ejemplo, una empresa que falle en la estimación de su flujo de caja tendrá como consecuencia que dejar de pagar algunos de sus compromisos, lo que a su vez le generará una vulnerabilidad con sus colaboradores y proveedores, que se puede transformar en un riesgo reputacional y eventualmente hasta legal.
Este encadenamiento de los riesgos obliga a una visión de conjunto de la organización y su entorno. La idea de contener los riesgos en silos aislados ha dejado de ser funcional, de allí que un programa de gerencia de riesgos debe concebirse en simultáneo como integral y al mismo tiempo detallado. Además, no es suficiente con definir los riesgos, estos deben relacionarse unos a otros y alinear sus impactos cruzados.
La gestión de riesgos tiene su origen en la raíz de los problemas, que son las vulnerabilidades en la base de las estructuras, por tanto, es imperativo mapear toda la organización hasta el nivel más detallado posible. Fallar en los detalles deja un número importante de brechas en todo el proceso de gestión, y mientras esas brechas no se atiendan, irán progresivamente minando la estructura impidiendo así el cumplimiento de los objetivos.
En esta aproximación amplia e interconectada de los riesgos es clave comprender que no existen dos organizaciones idénticas respecto a sus riesgos. Podríamos decir que cada una tiene su universo particular de riesgos y que está en estrecha relación con su modelo de negocios. Aquí debemos tener especial cuidado, pues hoy la mayoría de los modelos de negocio son tremendamente complejos, lo que podría llevarnos a construir unos mapas de riesgo muy extensos, pero que, al verlos un poco más de cerca, será evidente que una gran cantidad de ellos tienen bajísimas probabilidades de materializarse, por tanto, en la determinación de riesgos debemos quedarnos con aquellos que realmente tengan una probabilidad razonable de impactar al negocio. No tiene mucho sentido invertir tiempo y esfuerzo en un inventario de riesgos que difícilmente puedan ocurrir.
Asimismo, en la práctica pueden existir riesgos muy significativos pero que por ser difíciles de identificar o clasificar los obviamos y resultan en un blindside del negocio, es decir un riesgo que nunca vimos venir porque no supimos leer correctamente el entorno y su complejidad. En este territorio habitan los riesgos líquidos, a los que tanto hago referencia.
Para concluir me quedaría por mencionar que una organización que considere dar sus primeros pasos en un programa de gestión de riesgos necesita ir de lo sencillo a lo complejo. Como lo mencioné, cada negocio tiene su universo de riesgos y la idea es ir explorándolo en aproximaciones sucesivas, pues el terreno a recorrer es muy extenso. Mi sugerencia es comenzar por identificar los riesgos más evidentes del negocio e ir intentando una clasificación básica, en el entendido que las categorías no son compartimentos aislados.
Las categorías más comunes de riesgo son algo como esto:
- Financieros
- Legales
- Regulatorios
- Imagen/Reputación
- Integridad, confidencialidad y confiabilidad de información
- Recuperación de desastres y planes de contingencia
- Operaciones
- Seguridad
- Específicos de la industria
Si decidimos que un riesgo debe ser listado y clasificado es porque le vamos a dar la atención requerida. Pero volviendo al principio, muchos riesgos se resistirán a conseguir una clasificación única y en aras de la simplificación inicial del proceso, nuestra tarea es “encasillarlo” en algún sitio, aunque posiblemente no termine siendo su lugar definitivo.
