Basado en el texto de Robert Kaplan, Managing risks: a new framework*
En 2007, cuando Tony Hayward se convirtió en el Presidente Ejecutivo de British Petroleum (BP) se comprometió en hacer de la seguridad la prioridad más importante. Estableció nuevas normas que obligaban a ponerle tapas a los vasos con café para que no se derramaran y a prohibir a los empleados que usaran sus teléfonos mientras manejaban. Tres años más, aún bajo la dirección de Hayward, la plataformaDeepwater Horizon operada por BP en el Golfo de México explotó, causando uno de los desastres ecológicos más grandes producidos por el hombre hasta la fecha. Una comisión designada por el gobierno de Estados Unidos, atribuyó el accidente a profundas fallas gerenciales que deformaron y limitaron la habilidad de los responsables en identificar los riesgos que enfrentaban, así como a evaluarlos, comunicarlos y mitigarlos adecuadamente.
Esta historia refleja una situación muy común. Las organizaciones suponen que mitigar riesgos es un asunto de cumplir con un conjunto de reglas bien diseñadas y que mientras no traspasemos algunos límites, las cosas estarán siempre en una zona de seguridad. En este punto es clave entender que las normas, en muchos casos, no reducen la probabilidad o el impacto de los riesgos. Su función es prevenir, pero una vez los riesgos se materializan, otras acciones son necesarias.
El primer paso para ensamblar un sistema efectivo para la gestión de riesgos es entender las diferencias cualitativas entre ellos. Puede decirse que todos los riesgos se distribuyen en una de estas tres categorías:
Riesgos Prevenibles: Estos son los riesgos internos de una organización, son controlables y debieran ser eliminados o evitados. Ejemplo de estos riesgos son las acciones ilegales, no éticas, inapropiadas o incorrectas de gerentes y empleados. La mejor forma de manejar estos riesgos es a través de la prevención activa. Es decir, monitoreando y guiando a la gente y sus decisiones hacia las normas deseadas.
Riesgos de Estrategia: es el tipo de riesgos que una organización acepta voluntariamente para sacar el máximo provecho en el camino hacia sus objetivos. Un banco asume el riesgo de prestar dinero a sus clientes porque entiende que si lo hace bien, puede maximizar sus utilidades.Una estrategia de la que se espere altos retornos implica también riesgos significativos, por lo tanto, gerenciar riesgos de estrategia requiere un sistema diseñado para reducir las probabilidades que el riesgo asumido se materialice. La idea no es evitar a través de estos sistemas, que las organizaciones no asuman riesgos, al contrario, se trata de brindarles una red de seguridad para que se arriesguen con algo más de confianza.
Riesgos Externos: algunos riesgos surgen de eventos ajenos a la organización y más allá de su control. Las fuentes de estos riesgos incluyen desastres naturales, cambios políticos o grandes variaciones macroeconómicas. Este tipo de riesgos requieren un método distinto de aproximación. Debido a que no son prevenibles, el foco de atención debe ponerse en identificarlos y planificar para reducir la severidad de sus impactos.
Aunque la explicación parece sencilla, existe un buen número de investigaciones sobre la indisposición de la conducta humana y organizacional que señalan la tendencia cognitiva que tenemos los seres humanos para pensar y actuar antes que sea demasiado tarde.
La gerencia de riesgos no es intuitiva, de hecho en ocasiones va en contra de la cultura de las organizaciones. El cumplimiento de las reglas puede, en cierta medida, mitigar algunos riesgos críticos, pero las posibilidades de que varios de ellos pasen bajo el radar es muy alta. Una gestión activa y efectiva de riesgos exige un equipo que los aborde sistemáticamente en sus distintas categorías e instituyendo procesos adecuados para cada uno. Sólo respetando los procesos, la dirección de la organización podrá ver la realidad tal cual se presenta y no como nos gustaría que fuera.
@seguritips