El webinar «La Gerencia de Riesgos. Una visión práctica» impartido por Mariano Blanco para EALDE generó muchas cuestiones de debate entre los asistentes. El ponente, experto en Gestión de Riesgos y Seguros, da respuesta a cada una de ellas y aclara las dudas planteadas.

Pregunta. ¿Cuál sería su recomendación para poder determinar indicadores de riesgos?

Respuesta. Dos tipos de indicadores: A) el tipo de suceso que nos pueda afectar (Tempestad, Robo, Incendio, Infidelidad de Empleados, Responsabilidad Civil, etc. y B) para cada tipo de suceso el importe económico con que nos pueda golpear en la peor de las situaciones posibles/imaginables.

P. ¿Cómo se puede medir la prioridad del recurso que tenemos para cubrir un riesgo?

R. ¿Qué tan importante es el recurso para la empresa? Puede tratarse de una máquina compleja y fabricada por encargo a la medida de nuestras necesidades. Si esa máquina tiene además un periodo de reposición de 18 meses (hacen falta 18 meses para tener otra máquina si se destruye la actual) … pues obviamente esa máquina tendrá una alta prioridad y nos podrá causar primero un grave daño Patrimonial y después una enorme pérdida de beneficios. Es decir que esa máquina se convertirá en un elemento súper-prioritario… A veces lo prioritario ni siquiera es algo sobre lo que tengamos control, por ejemplo, cerca de mi casa hay un hipermercado Carrefour, en la autopista N-II, pero ese supermercado depende de un puente sobre la autopista para entrar o salir, si algún día el Estado Español descuida el mantenimiento del puente, o el puente se hunde, el supermercado quedará inactivo, completamente paralizado, simplemente te porque los clientes no podrán acceder, ¿cuántos meses tardará el Estado en repararlo? Si tardan mucho, el supermercado perderá a sus clientes que preferirán ir a hacer sus compras en otro lugar… Un puente público se convierte en el riesgo fatal para una empresa privada.

P. ¿Cómo iniciar un departamento de gerencia de riesgos?

R. A veces de un siniestro enorme que golpea a la empresa y la deja muy dañada surge la concienciación de crear una estructura de gerencia de riesgos. Eso le pasó a Telefónica en Ríos Rosas en 1975, por ejemplo. En otras ocasiones la cúpula directiva de la empresa comprende que necesita gestionar sus riesgos de manera profesional y científica. En ocasiones son exigencias regulatorias, por ejemplo, para salir a bolsa, o por la llegada de un nuevo accionista. Otras veces son los clientes o los proveedores los que exigen que haya en pie unos protocolos… No existe una respuesta única, son varias las motivaciones que pueden conducir a la instauración de un sistema de Gestión de Riesgos.

P. En textos recientes, vemos que el riesgo también puede ser positivo y aprovecharlo y maximizarlo como medidas de tratamiento. Sobre lo positivo del riesgo, ¿qué podemos decir?

R. En efecto aquí hablamos sólo de las consecuencias dañosas de los Riesgos, muy en especial cuando se materializan en forma de «Siniestro» es decir pérdidas o daños inesperados, ajenos a la voluntad de quien los sufre y que se pueden cuantificar económicamente. Desde ese enfoque inicial, lo único positivo del concepto riesgo es su análisis previo y las opciones de minimizar sus consecuencias y en el más óptimo de los escenarios impedir que el riesgo se materialice en pérdidas.

P. ¿Qué metodologías específicas para la administración de riesgos existen y cuál recomienda para aplicar a pymes?

R. Las pymes se ven expuestas a los mismos riesgos que cualesquiera otras empresas. Dicen por ahí que «El tamaño NO importa», en este caso esa afirmación es bien válida. La única diferencia es que por lo general una pyme tendrá menores capitales invertidos y también un más dificultoso acceso al capital pero el análisis de Gerencia de Riesgos para una PYME debe contemplar los mismos criterios que si se tratase de una empresa mayor. Desgraciadamente la evidencia empírica es que las pymes suelen estar más ocupadas en su supervivencia y no prestan tanta atención a la Gestión de Riesgos y en demasiadas ocasiones no han previsto determinados riesgos, con lo que en caso de siniestro se ven abocadas a veces al cese de actividad, por no poder continuar en el mercado debido a una reclamación para la que no tienen ni capital ni póliza de seguro, o por un impago de un cliente que les lleva a la ruina, por un desastre natural, etc.

P. ¿Cómo se calcula el apetito de riesgo?

R. No se trata tanto de un cálculo matemático, sino de una estimación para cada riesgo. Si nuestra empresa dispone de un total de 10 millones de Euros (o Dólares o moneda x) en fondos no comprometidos, es decir un nivel de acceso y disponibilidad de capital, tendremos que discutir con la gerencia hasta qué punto deseamos asumir internamente determinados de los riesgos que nos puedan afectar, por ejemplo para el riesgo de incendios como disponemos de 10 millones, podemos cifrar que la empresa soportara bien pérdidas de hasta 5 millones y para los riesgos de Responsabilidad Civil limitamos el riesgo asumible a 4 millones y en el caso de Pérdida de Beneficios nuestra empresa quiere tener un apetito de hasta 8 millones. Una vez hecho ese análisis y tomada la decisión, ese será nuestro apetito de riesgo que tendrá una intervención fundamental en varios frentes, por un lado 1) nos dirá si conviene o no externalizar parte de los riesgos, es decir nos orientara en cuanto a transferencia de riesgos y contratación de pólizas de seguros, porque podremos comprar seguros en exceso de los 5 millones (Incendios) y de los 4 millones (R. Civil). por otro lado 2) una vez definidos nuestros apetitos respecto a cada riesgo potencial, también estaremos en disposición de invertir más o menos capital en medidas de prevención o atenuación de nuestros riesgos en cada sector. Por ejemplo, si tenemos una pequeña instalación y su valor total es de sólo 1 millón, estará claramente por debajo de nuestro apetito máximo y no será prioritario el invertir en esa instalación, puesto que, si nos afecta un siniestro, podemos recurrir fácilmente a la reposición completa de ese activo. Lo más importante es analizar todos los riesgos, ya que esa pequeña instalación pudiera tener una importancia excepcional en los Beneficios de la empresa y si no la priorizamos desde el punto de vista de Incendios, sí que tal vez sea un «cuello de botella» en nuestra actividad manufacturera y debamos protegerla ante la contingencia de Perdida de Beneficios.

P. ¿Cómo es posible hacer entender a la alta dirección lo que es el apetito a riesgo?

R. Los directivos o propietarios de las empresas son «hombres de negocios», saben de riesgos y conviven con la incertidumbre y el riesgo. Lo que tendremos que explicarles es que existen multitud de tipos de riesgos y que hay que analizarlos, tratar de eliminarlos y al menos conseguir reducir su potencial impacto. Por supuesto que una vez analizados los distintos peligros que puedan afectar a la empresa, habrá que ponerlos sobre la mesa en un informe bien ordenado, con las correspondientes medidas de prevención y sus costes, a partir de ahí la directiva adoptara decisiones bien informadas sobre el mayor o menor apetito de riesgo que deseen y si eventualmente su apetito de riesgo es igual a cero, pues transferirán todo a través de pólizas de seguro. Un ejemplo personal mío, yo tengo dos coches en casa, uno es un Fiat 500, pequeño y bastante antiguo, que además uso muy poco, mi apetito de riesgo respecto a ese coche es alto y no le doy una importancia tan alta, lo tengo asegurado sólo a RC Obligatoria y RC Voluntaria (daños a Terceros), la prima anual es de unos 80 euros. El otro coche es un Skoda Superb, muy nuevo, con el que viajo mucho y lo uso muy a diario, ese coche tiene para mí una valoración más alta y mi apetito de riesgo es menor, por lo tanto, lo tengo asegurado a «All Risk», sin ninguna franquicia. Espero que este pequeño ejemplo sea ilustrativo, aunque anecdótico.

P. ¿Cómo convencer a la Alta Dirección de la metodología ROSI?

R. ROSI o Return on Security Investment es una buena metodología, no lo voy a negar aquí. Es un buen elemento de convicción para la gerencia, bajo la simple premisa de que cualquier inversión en seguridad tiene un retorno en seguridad, OK. Pero no siempre es así, por ejemplo, en materias medioambientales es difícil calcular el retorno que producirán las inversiones en mejorar la calidad del aire (por eso la polución avanza tanto). La metodología ROSI es un buen elemento, pero no el único a la hora de lograr el compromiso de la dirección en materia de Gestión de Riesgos.

P. ¿Existe una metodología o literatura recomendable para crear una matriz de riesgos?

R. Sí, hay muchísima literatura, muy valiosa y especializada. Una de las publicaciones más sensacionales que he visto recientemente, es el premio Julio Sáez de AGERS sobre Gerencia de Riesgos, aplicada a la industria pesquera del Atún, lo ha publicado la editorial Mapfre y es fácil de encontrar. Hay literatura en lengua española y en inglés para cada tipo de tema.
El webinar va de una matriz de riesgos distinta que se compone de los distintos tipos de peligros que pueden afectar a cualquier empresa: Riesgos a las Personas, a los Patrimonios, Amenazas a los Beneficios, Temas de Responsabilidad Civil. En definitiva, se trata de construir una matriz o tabla de riesgos en la que para cada empresa en concreto analizamos las diferentes exposiciones a cada riesgo y las consecuencias de cada tipología, desde ahí vamos analizando cada caso y tomando las decisiones correspondientes en cada ámbito.

P. ¿Cómo aplicar ISO 31000 en la gestión de riesgos?

R. Desde la crisis global de 2008, la metodología ISO 31000 aplicada a la Gerencia de Riesgos ha tomado una importancia creciente. En mi personalísima opinión se le da una desmesurada importancia, mayor de la que realmente merece. La normativa ISO es utilizada más bien por su carácter de documentar los procesos y justificar las inversiones en materia de Risk Management. Hay multitud de software disponible para la aplicación de la metodología ISO a la Gestión de Riesgos, por cierto, con sus costes asociados que no son nada desdeñables. Yo recomendaría centrarse mucho más en el análisis de riesgo de manera exhaustiva y una vez muy asentada en la empresa entonces empezar a pensar en un proceso certificado ISO.

P. ¿Cuáles son los elementos de una cultura de riesgo en una organización de salud?

R. No es nada fácil de responder. Un hospital o una organización de salud tiene varias características especiales, por ejemplo, en caso de accidente es más difícil trasladar a los enfermos que si se tratase de personas sanas, eso hará que tengamos una especial precaución pues no podemos contar con un desalojo total. Aparte de eso, tenemos datos muy sensibles de los clientes almacenados en los ordenadores, puesto que las historias clínicas son especialmente confidenciales. Además, están los riesgos de los diagnósticos (pueden ser erróneos) y las medicinas que se recetan y/o emplean. Es muy normal que también haya servicios de restaurante y cafetería. Ese proceso de análisis de cada sección de la organización son las que nos irán dando en la práctica las pautas sobre los riesgos y sus diferentes ponderaciones. En cuanto a la cultura, una organización sanitaría debe estar presidida por la cultura de la calidad, el método científico, el rigor en la evaluación y toma de decisiones, una selecta elección de los profesionales y proveedores, con revisiones constantes, la creación y mantenimiento de una cultura de equipo que asegure un mayor nivel de compromiso entre todos los profesionales de la entidad (desde el máximo directivo al más humilde celador o limpiadora). En resumen, estos mismos principios son válidos para otras organizaciones de diferentes sectores.

P. ¿Qué información existe sobre la industria minera y metalúrgica en cuanto a mediciones de riesgos sociales y otros intangibles?

R. Las industrias mineras son muy específicas en cuanto a los tipos de riesgos a los que se ven expuestas, muy en particular las de minería subterránea. Tanto si es subterránea como a cielo abierto la minería tiene unos riesgos muy especiales que incluyen entre otros las enfermedades profesionales (ejemplo Silicosis), o los vertidos al medio ambiente, la inestabilidad del terreno y los seísmos, etc. Existe mucha literatura especifica enfocada a estos riesgos, los mejores trabajos que yo conozco son de la Editorial MAPFRE, de SWISS Re y de MUNCHENER Rückversicherungs, pero hay muchos más tratados y obras de consulta. Lo mismo sucede con las empresas metalúrgicas que tienen mucho en común con las mineras. Temas sociales e intangibles, bien, acá nos encontramos de nuevo con los temas de enfermedades profesionales, los accidentes subterráneos que dejan enterradas a muchas personas y el medioambiente. Para estos temas las empresas deben tener primero un sólido plan de prevención de riesgos, muchos controles en cuanto a seguridad e higiene, disponibilidad para afrontar tragedias como equipos propios de rescate y brigadas de seguridad; aun así, cuando sobreviene un accidente es importante que haya unas pautas de intervención que pongan en marcha todas las medidas previstas y muy importante un buen plan de comunicación transparente y proactivo para dar a la opinión publica información veraz y rápida sobre lo que la empresa esté haciendo en caso de accidente, puesto que ahí se pondrá en riesgo su reputación, valioso intangible comercial, vital para su supervivencia.

P. ¿Cuáles serían los aspectos más relevantes a tener en cuenta en la gestión de riegos de una empresa de servicios?

R. Empresas de Servicios hay de muchos tipos. Una empresa de servicios de limpieza, no tiene grandes riesgos… ¿o sí? Las personas encargadas de limpiar pueden provocar un incendio por la noche mientras hacen su trabajo y destruir las instalaciones que estaban cuidando. Otro caso, una empresa de servicios de marketing puede confundir las necesidades de su cliente y promocionar un producto de mala forma, causando un daño grave a la imagen de sus clientes. Podríamos seguir así, pero básicamente dependerá del tipo de servicios que se vayan a realizar y sobre que materias se vaya a operar.

P. ¿Se puede gerenciar el riesgo en el Estado?

R. Absolutamente sí, el Estado tiene que gestionar sus riesgos. Las infraestructuras, los bienes de titularidad estatal, los daños que el estado puede causar a terceros, por supuesto que sí que son riesgos y se deben gestionar y evaluar de manera profesional ¡Claro que sí! Otra cosa es que en la práctica se haga (o se haga correctamente). En principio cada Ministerio o Sección Gubernamental tiene sus propias exposiciones de riesgos y es a nivel ministerial que deben de analizarse y gestionarse los riesgos. Por desgracia, no conozco ningún estado que lo haga bien (ni siquiera en USA o Alemania), la razón es que, si no se ha pensado adecuadamente la gerencia de riesgos y sucede algo, el Estado tiene una fórmula más fácil que consiste en políticas monetarias (imprimir más dinero) o mediante el recurso a bonos (endeudarse) para conseguir financiación y reparar el daño emergente que cualquier siniestro no previsto, haya causado.

P. ¿Puede recomendarnos alguna herramienta que nos ayude a definir los ciclos a nivel de riesgos operacionales?

R. Personalmente soy poco partidario de las herramientas comerciales en materia de gerencia de riesgos. Aun así, existen varios softwares como Palysade, por ejemplo. De todas maneras, lo mejor es conocer bien los procesos internos de cada empresa, con sus fortalezas y debilidades, sus oportunidades y sus amenazas, a partir de ese conocimiento y los ciclos que periódicamente va recorriendo la empresa es bastante sencillo (e intuitivo) el poder hacer una adecuada gerencia de riesgos. Con permiso, me apoyare en un ejemplo Apple, ha estado vendiendo sus productos de forma casi milagrosa, antes de que estuviese a la venta cualquier nueva versión del teléfono o de tablet, prácticamente había lista de espera para comprarlos, Apple se ha instalado en ese ciclo de demanda casi «esclava» y garantizado, en 2015 Apple dio unos beneficios record en la historia de las compañías cotizadas. Pero ahora en 2016 sus nuevos lanzamientos han cambiado de signo y son mucho más débiles, no se vende lo previsto y se acumulan stocks de productos, mal asunto y lo que es peor cambio de ciclo, no adecuadamente previsto. O sea, mala gestión de riesgos operacionales y mala previsión de sus ciclos comerciales.

P. Para los establecimientos financieros, ¿qué estándares podemos encontrar para gestionar los riesgos asociados al fraude?

R. Gran cuestión, veamos, el fraude puede afectar a la entidad financiera, o a los clientes o a ambos. Generalmente el fraude suele tener una importancia discreta, o sea que en volumen económico no es demasiado grave (excepto en las películas). El mayor perjuicio para las entidades financieras es la «mala publicidad», Si, porque si se descubre que al banco X le han conseguido defraudar por el procedimiento XXXX, pues el banco se enfrenta al ridículo y en el mundo competitivo en que vivimos si se quiebra la imagen (o la confianza), puede resultar mortal. Tercerizar operaciones, es una buena idea, pero al final el banco es quien responde y su imagen la que potencialmente se verá afectada. Si externalizamos funciones delicadas, deberemos ser muy exigentes con los controles de calidad y prevención del socio y especialmente de controlar la estanqueidad de la información, la norma debe ser «si sucede, que no se sepa en el exterior». Para que no se sepa en el exterior será necesario indemnizar a los clientes que se hubieran podido ver perjudicados, nada de RC, sino indemnizaciones directas y sin discutir. Es un territorio complejo e interesantísimo. He pasado algunos años solucionando problemas por fraude en tarjetas de crédito y es un universo apasionante, que nos podría dar para otro webinar… Se van a enfadar conmigo en EALDE, como siga así.

P. ¿Qué consecuencias hay sobre Solvencia II?

R. Solvencia II supone un incremento regulatorio, a las entidades financieras (aseguradoras especialmente) se les exige un mayor nivel de seguridad transaccional, que además debe estar sustentado y avalado por auditorias. Mi modesta opinión es que se trata de un proceso muy beneficioso para el sector financiero y lo que es mejor benéfico para los clientes y consumidores que verán más control sobre las instituciones financieras. Para mi solvencia II es una buena noticia.

P. ¿Existe un periodo de invalidez de un seguro o de respuesta de una empresa aseguradora?

R. Las pólizas de seguro a menudo tienen periodos de carencia y no empiezan a funcionar hasta pasado un plazo, por ejemplo, en España para los riesgos catastróficos los primeros 30 días tras contratar no existe la cobertura como tal.

P. ¿Qué diferencia práctica hay entre la póliza de CRIME y la Global Bancaria?

R. Crime es una categoría completa de riesgos. La Global Bancaria o BBB es un tipo concreto de póliza combinada para amparar varias situaciones (generalmente a bancos), aunque la mayor parte de las coberturas de una BBB son de tipo Crime.

P. ¿Cómo se hace la valoración de riesgos de la empresa para contratar una póliza de cyberisk? ¿Cuáles son los principales bienes u operaciones para tener en cuenta?

R. Para contratar una póliza Cyber, lo fundamental es a) el tipo de negocio que tenga la empresa, b) el volumen de exposición monetaria que tenga a los riesgos de internet y c) las protecciones y salvaguardas tecnológicas que tenga la empresa instaladas en sus sistemas. Generalmente la evaluación gira entorno de estos tres conceptos y desde ahí se determinan las condiciones de cobertura.

Los bienes y operaciones a tener en cuenta suelen estar agrupados en varios capítulos: 3a) los datos que puedan quedar expuestos o ser pirateados. 3b) el uso posterior que los piratas podrán hacer de esos datos. 3c) los daños materiales que puedan sufrir los equipos informáticos o las máquinas de la empresa. En Alemania unos hackers han parado un alto horno de fundición y lo enfriaron, para recuperar la actividad, la acería debió construir un horno nuevo. 3d) Los costes de informática forense para reparar el hueco y evitar que se pueda volver a violar la seguridad. 3e) los costes legales por reclamaciones de terceros (los datos de clientes o proveedores dan lugar a importantes demandas legales). 3f) los costes de sanciones y multas que las autoridades nos puedan imponer tras haber sufrido un ataque cibernético.

P. En una empresa que brinda servicios contables, dentro del alcance contractual, ¿es conveniente contratar una póliza de responsabilidad civil para la protección de la información?

R. La respuesta es sí. No sólo para la protección de la información, habrá que pensar también en la posibilidad de que nuestros datos contables sean confusos y por ejemplo las autoridades fiscales duden de la integridad de la empresa y la sancionen. O que se sobrepasen los plazos de rendición de cuentas, o que se pierdan documentos irreemplazables. Si es una empresa que maneja temas contables de terceros una buena póliza de RC Profesional, con cobertura de mala praxis, es fundamental.

P. ¿Podría contar algo sobre la gestión del riesgo industrial, de RBI HAZOP?

R. RBI (Risk Based Inspección) RCM (Risk Centered Maintenance), HAZOP (Hazard & Operability), o en castellano AFO – Análisis Funcional de Operatividad, son técnicas diferentes de resultado muy parecido. Claro que podríamos hablar de ello, pero me temo que se trataría de otro Webinar completo. Lo propondré a EALDE, aun así, debo decir que se trata de herramientas muy mercantilizadas, que emplean las grandes consultoras y bufetes de certificación, para justificar unos honorarios que a veces son desmesurados. Al final la Gestión de Riesgos es algo tan de sentido común, es como si para comer nos centrásemos en un debate previo de si bebemos Coca Cola o Pepsi Cola…me temo que lo más importante es definir si la comida es buena, si se trata de carne o de pescado y al final beberemos lo que mejor convenga al menú.