La segunda edición del webinar “La Gerencia de Riesgos. Una visión práctica”, impartido por Mariano Blanco para EALDE, volvió generar muchas cuestiones de debate entre los asistentes. El ponente, experto en Gestión de Riesgos y Seguros, da respuesta a cada una de ellas y aclara las dudas planteadas.

Pregunta. ¿Cuál es el rol de Gobierno Corporativo en la Gerencia de Riesgos?

Respuesta. En las empresas modernas y, especialmente, en aquellas que están cotizadas en Bolsa existen una serie de roles que cada día van adquiriendo una mayor importancia. El de Gobierno Corporativo, muchas veces conocido por su nombre anglosajón de Compliance, se entremezcla mucho con los aspectos legales y normativos de las empresas.

Se trata de funciones de vigilancia, pero están más orientadas a que las normas y principios éticos, también los preceptos legales, sean escrupulosamente respetados y controlados. Eso los hace aparecer como posiciones muy cercanas a la alta dirección de las empresas y en esa misma altura jerárquica debe encontrarse la Gestión de Riesgos. Pero las similitudes acaban ahí, ya que la función de Gerencia de Riesgos está mucho más orientada a la acción preventiva, al análisis de los posibles peligros, incluyendo peligros de falta de cumplimiento, riesgos reputacionales o fallas contra las leyes, etc. Mientras que el Gobierno Corporativo se ocupa de detectar y analizar los incumplimientos, la Gerencia de Riesgos incluye un análisis, detección… evaluación, proposición e implementación de soluciones, su vigilancia y evolución.

P. ¿Cuál es la función de la Unidad de Auditoría Interna en una organización que tiene Gestión de Riesgos?

R. Cada día están más cerca las funciones de Auditoría, las de Compliance y las de Gerencia de Riesgos. Tiene todo el sentido que coexistan y además que se comuniquen y coordinen muy bien entre ellas.

P. La Gestión de Riesgos expuesta, ¿es el mismo concepto o metodología expresados en el PMBOK?

R. La Gerencia de Riesgos es un concepto que se ocupa de vigilar, identificar, evaluar los riesgos durante toda la vida de la empresa. No se limita a un proyecto concreto, ni a un ciclo determinado de la empresa, sino que es una constante y debe revisarse continuamente, por los nuevos escenarios que se vayan presentando. Eso incluye los proyectos, pero la Gerencia de Riesgos va mucho más allá.

P. ¿Existen algunos ejemplos de gobiernos y ONGs?

R. Existen buenos ejemplos, tanto gubernamentales, como de ONGs. Y cuando digo ejemplos, me refiero a casuísticas en positivo y en negativo. En el caso de España, que es el que mejor conozco, son muy buenas las políticas en materia de gerencia de riesgos aplicadas por el gobierno autónomo de Cataluña. Lo que sucede en general con los programas de gerencia de riesgos en todos los tipos de entidades, gobiernos, empresas, ONGs, asociaciones, etc. es que se tiende a tratar el contenido de gestión de riesgos como material sensible. Nadie explica en público sus debilidades, ni sus fortalezas, porque cualquier elemento externo y hostil podría aprovecharse si conociese tales debilidades. Es una constante en todas las organizaciones y casi nadie cuenta sus «vergüenzas». Aun así, le animo a que busque sobre la Generalitat de Catalunya, en el fondo documental de MAPFRE, en la web de AGERS…

P. ¿Con que frecuencia es prudente que se revise el apetito al riesgo en la política de riegos?

R. No sería yo capaz de proponer una periodicidad concreta sin conocer la empresa en concreto y sus circunstancias. Puede ser necesaria una periodicidad mensual para temas muy arriesgados, como sería el uso de soldaduras con soplete en las instalaciones. Esa política habrá que revisarse con mucha frecuencia, pero para otros temas como las decisiones de los Consejos de Administración, tal vez con una revisión anual sea suficiente. En la misma empresa se pueden conjugar periodos distintos. Como regla general una vez al año es un mínimo internacionalmente aceptado.

P. ¿Cómo determino el apetito al riesgo?

R. El apetito de riesgo será diferente para cada tipo de peligro, pero también variará a lo largo del tiempo, según nuestra empresa se haga más fuerte o se debilite. Para que el apetito de riesgo crezca se necesitan dos elementos clave y algunos menores. Los clave son experiencia y capital financiero. Sólo así aumentará el apetito, a parte de la intervención de otros criterios complementarios.

P. ¿Puede una política en su totalidad ser un control que mitigue un riesgo?

R. Sí, con determinadas medidas de control y salvaguardando eliminar el riesgo. Por ejemplo, una cadena de supermercados en Europa sufría constantes atracos. Los ladrones llegaban, amenazaban a las cajeras y se llevaban todo el dinero. Eso sucedía cada día. Era un riesgo terrible. Como solución se instalaron «Tirelires», que son unos arcones de hormigón armado enterrados en el suelo de las cajas de los supermercados. Cada vez que en la caja de cobros había 500 euros, el dinero se metía en un sobre. Cada cajera firmaba su sobre y se introducía en la ranura del suelo, para caer al buzón (Tirelire). Sólo los vigilantes armados con un camión de recogida de fondos tenían las llaves. Se acabó el problema de los robos.

P. ¿Qué opinas como guía para la administración del riesgo de la norma ISO/IEC 31000? ¿Y de su visión positiva del riesgo como oportunidad?

R. Las normas ISO son siempre una buena guía desde el punto de vista de organizar los procesos. Dan orden y generan confianza. Pero son sólo una acreditación de la metodología empleada. Nunca certifican la calidad de las evaluaciones, ni la buena toma de decisiones, ni los tiempos en los que se genera cada decisión y la consiguiente acción. Son más bien un elemento burocrático de control de los procesos, pero en sí mismas no aportan otro valor. Solo garantizan el control operativo, pero no la calidad intrínseca de las decisiones ni de las evaluaciones.

En cuanto al sentido positivo con que ven los riesgos, he asistido a muchos debates al respecto. Para mí un riesgo sólo es positivo cuando conseguimos reducir su impacto, bajar su intensidad o eliminarlo. Un huracán siempre será dañino para las personas y sus bienes. Sólo si conseguimos una protección adecuada y «le ganamos la partida» al huracán, lo podré ver con positividad. Hay un gran debate internacional sobre la positividad de los riesgos. A mí me resultan siempre negativos, salvo cuando se les consigue vencer.

P. ¿Con qué frecuencia deberíamos hacer la matriz de riesgos? ¿Se debería hacer un focus group para identificarlos o es responsabilidad exclusiva del Project Manager?

R. La matriz o mapa de riesgos se hace una vez, al principio. Lo siguiente son versiones de la misma, que van evolucionando a lo largo de la historia de la compañía, con la vida y situaciones de la empresa. Añadiremos nuevos riesgos, variaremos otros y, si todo va bien, habrá algunos que disminuyan, incluso algunos que desaparezcan. Pero serán sucesivas versiones del mismo documento, cada vez más profundas y certeras. En cuanto a la periodicidad, dependerá de cada empresa y, dentro de ella, de cada riesgo. Pero al menos una vez al año se impone una revisión de todo.

P. ¿Hay algún criterio recomendado para clasificar los riesgos?

R. No existe ninguna clasificación universalmente aceptada. Hay varios criterios, por el tipo de actos que generan daño, Actos de Dios o Actos de los Hombres; por el tipo de bienes que se ponen en peligro, considerando el primero la integridad de las personas y, a continuación, los patrimonios. Hay que insistir en que estas clasificaciones dependerán de cada situación y cada casuística concreta.

P. ¿Cuál es la mejor forma de evaluar los riesgos identificados?

R. En cuanto a la evaluación de los riesgos, mi mejor criterio es en función de su impacto potencial, de cuál sea la cuantía del daño que cada riesgo nos pueda causar. Así, los riesgos más peligrosos y con mayor potencial económico de daño serán los primeros en los que nos pondremos a trabajar. Es como la pirámide de las necesidades. Si no respiro, no me preocupo por beber. Si no puedo beber, no importa que coma o no coma. Si tengo resuelto el tema de respirar, beber y comer, entonces pensaré en mi vestuario. Así sucesivamente.

P. ¿Cómo considerar el contexto en la identificación de riesgos?

R. Dicen los anglosajones que el «situational awarenes» es la clave en muchas cosas, incluyendo la supervivencia. Por “situational awarenes” se refieren a ser conscientes de qué entorno nos rodea, de cuáles son las circunstancias en que nos encontramos. Si miro por la ventana y veo que llueve, procuraré coger unos zapatos adecuados, una ropa impermeable o llevaré un paraguas. En la empresa sucede lo mismo. Si mis productos se venden mal, porque un competidor lo hace mejor y más barato, eso formará parte de mi contexto y lo deberé vigilar. Si lo que me preocupa es el coste de la energía o de las materias primas, deberé estar atento a esa parte del contexto. Pero no sólo habré de observar a la vez todas las variables que interactúan con mi negocio y que pueden ser el origen de un problema potencial. Desde luego nadie dijo que esto fuese fácil ni apto para pusilánimes, hay que ser muy valiente y observar siempre alrededor.

P. ¿Podría exponer algunas herramientas para la Gestión de Riesgos?

R. En materia de Gerencia de Riesgos la mejor herramienta es el «Sentido Común». Se dice mucho en Europa que hay que aplicar la prudencia de «un buen padre de familia», como si eso fuera una definición. En general las herramientas dependerán mucho del tipo de riesgos y de las peculiaridades de cada empresa.

Hay muchas herramientas comerciales de gestión de riesgos, incluso algunas que se dicen predictivas. Puede buscar el software de «Palisade» en materia de riesgos. Si busca en relación con implantaciones de riesgos en diversos países le puede ayudar «AXCO». Cada necesidad en el mercado ofrece herramientas, pero ninguna como la observación atenta, cuidadosa y con buen juicio.

P. Para poder desarrollar un plan de riesgos adecuado, ¿sería necesario hacerse de los servicios de expertos en cada área?

R. Para determinados riesgos los expertos ya los tendremos en plantilla. Por ejemplo, en mi empresa tenemos los mejores profesionales en materia de seguridad informática. Por eso nuestros ordenadores resisten a los ataques. Para otras cuestiones puede ser necesario que busquemos el conocimiento de expertos fuera y, por eso, en ocasiones contratamos a personas con especiales conocimientos en temas. Para ciertos temas si habrá que buscar conocimientos en el exterior. Para otros no será necesario.