HBR.

ORG JUNIO DE 2012

REIMPRESIÓN R1206B

LA GRAN IDEA

Gestión de riesgos:
un nuevo marco
Las empresas inteligentes ajustan su enfoque
a la naturaleza de las amenazas que enfrentan.
por Robert S. Kaplan y Anette Mikes
La gran idea

LAS EMPRESAS INTELIGENTES AJUSTAN

SU ENFOQUE A LA NATURALEZA DE LAS
AMENAZAS QUE ENFRENTAN.
POR ROBERT S. KAPLAN Y ANETTE MIKES

GESTIÓN
RIESGOS
UN NUEV
MARCO
 PARA REIMPRESIONES DEL ARTÍCULO LLAME AL 800-988-0886 O AL 617-783-7500, O VISITE HBR.ORG

Robert S. Kaplan es Anette Mikes es profesora

profesor emérito Baker adjunta de Harvard
Foundation, en Harvard Business School.
Business School, y
cocreador del sistema de
administración del Cuadro
de mando integral.

N DE
S:
VO
Junio 2012 Harvard Business Review 3
LA GRAN IDEA GESTIÓN DE RIESGOS: UN NUEVO MARCO
C
CUANDO TONY HAYWARD ASUMIÓ COMO DIRECTOR EJECUTIVO
DE BP EN 2007, juró que la seguridad sería su prioridad. Que
todos los empleados utilizaran tapas en las tazas de café al
caminar y se abstuvieran de enviar mensajes de texto mientras
conducían fueron algunas de las reglas que implementó. Tres
años después, mientras Hayward estaba a cargo, la plataforma
petrolera Deepwater Horizon explotó en el Golfo de México
y desató uno de los peores desastres provocados por el
hombre en la historia. Una comisión investigadora de los
EE. UU. atribuyó el desastre a un fallo de gestión que afectó
«la capacidad de los individuos involucrados para identificar
los riesgos que enfrentaban, y para evaluar, comunicar y
abordarlos adecuadamente».
La historia de Hayward releja un problema frecuente.
A pesar de toda la retórica y el dinero invertido en ella,
con demasiada frecuencia se considera a la gestión de
riesgos como una cuestión de cumplimiento que puede
resolverse redactando muchas reglas y procurando
que todos los empleados las respeten. Muchas de esas
reglas, por supuesto, son sensatas y reducen algunos
riesgos que podrían perjudicar gravemente a una
empresa. Sin embargo, la gestión de riesgos regulada no
disminuirá la probabilidad ni el impacto de un desastre
como el de Deepwater Horizon, como tampoco evitó el
fracaso de muchas instituciones inancieras durante la
crisis crediticia de 2007-2008.
E n e s te a r t í c u l o, p re s e nt a m o s u n a n u e v a
clasificación del riesgo que permite a los directivos
decidir qué riesgos se pueden gestionar a través de un
modelo reglamentado y cuáles requieren enfoques
alternativos. Estudiamos los desafíos personales
y organizacionales inherentes a la generación de
debates abiertos y constructivos sobre la gestión de
los riesgos relacionados con las elecciones estratégicas
y sostenemos que las empresas tienen que basar
estos debates en sus procesos de formulación e
implementación de estrategias. Por último, analizamos
cómo las organizac iones pueden identific ar y
prepararse para los riesgos inevitables que surgen fuera
de su estrategia y sus operaciones.
4 Harvard Business Review Junio de 2012 COPYRIGHT © 2012 HARVARD BUSINESS SCHOOL PUBLISHING CORPORATION. TODOS LOS DERECHOS RESERVADOS.
Gestión de riesgos: ¿reglas o diálogo?
El primer paso para crear un sistema eicaz de gestión
de riesgos consiste en entender las diferencias
cualitativas entre los tipos de riesgos a los que se
enfrentan las organizaciones. Nuestra investigación
de campo muestra que los riesgos se clasiican en
tres categorías. Los eventos de riesgo de cualquier
categoría pueden ser letales para la estrategia de una
empresa e incluso para su supervivencia.
Categoría 1: Riesgos evitables. Estos son
riesgos internos que surgen desde adentro de la
organización, son controlables y deben eliminarse
o evitarse. Estos riesgos surgen por acciones
no autorizadas, ilegales, antiéticas, incorrectas
o inapropiadas de empleados o gerentes y por
fracasos en procesos operativos de rutina. Para
estar seguras, las empresas deben tener una zona
de tolerancia para defectos o errores que no les
causarían un daño grave y que sería demasiado
costoso eludir por completo. Pero, en general, las
empresas deben buscar eliminar estos riesgos ya
que no obtienen beneicios estratégicos al asumirlos.
Un comerciante deshonesto o un empleado que
soborna a un funcionario local pueden producir
algún tipo de ganancia a corto plazo para la empresa,
pero con el tiempo este tipo de acciones disminuirán
su valor.
 PARA REIMPRESIONES DEL ARTÍCULO LLAME AL 800-988-0886 O AL 617-783-7500, O VISITE HBR.ORG

Resumen de la idea
A pesar de toda la
retórica y el dinero
invertido en ella, con
demasiada frecuencia
se considera a la
gestión de riesgos
como una cuestión de
cumplimiento.
Un sistema de gestión
de riesgos regulado puede
funcionar bien para alinear
los valores y controlar la
conducta de los empleados,
pero no es adecuado para
gestionar riesgos inherentes
a las elecciones estratégicas
de una empresa o los riesgos
que plantean los problemas
o cambios del ambiente
externo. Esos tipos de riesgos
requieren sistemas destinados
a generar discusión y debate.
En el caso de los riesgos
estratégicos, las empresas
deben adaptar los enfoques
al alcance de los riesgos
involucrados y a su velocidad
de variación. Aunque las
funciones de gestión de riesgo
pueden variar de una empresa
a otra, todos los esfuerzos
deben basarse en procesos
corporativos de planiicación
estratégica.
Para gestionar los
principales riesgos externos
que están fuera de su control,
las empresas pueden recurrir
a herramientas como los
juegos de guerra y el análisis
de escenarios. La elección
del enfoque depende de
la inmediatez del impacto
del potencial riesgo y de
si este deriva de cambios
geopolíticos, ambientales,
económicos o competitivos.

Esta categoría de riesgo se gestiona mejor mediante
la prevención activa: controlando los procesos
operativos y orientando las conductas y las decisiones
de las personas hacia las normas deseadas. Como
ya existe bastante bibliografía sobre el enfoque de
cumplimiento regulado, el lector interesado puede
consultar la barra lateral «Cómo identiicar y gestionar
los riesgos evitables» en lugar de tratar las mejores
prácticas aquí.
Categoría 2: Riesgos estratégicos. Una empresa
asume riesgos de manera voluntaria a fin de poder
generar mayor rentabilidad a partir de su estrategia. Un
banco asume riesgo crediticio, por ejemplo, cuando
presta dinero; muchas empresas asumen riesgos a
través de actividades de investigación y desarrollo.
Los riesgos estratégicos son bastante diferentes
de los evitables porque no son intrínsecamente
indeseables. Una estrategia que se espera que tenga
un retorno alto exige que la empresa asuma riesgos
signiicativos, y la gestión de esos riesgos es un factor
clave para capturar las potenciales ganancias. BP
aceptó los grandes riesgos inherentes a la perforación
de varias millas bajo la supericie del Golfo de México
debido al alto valor del petróleo y del gas que esperaba
extraer.
Los riesgos estratégicos no se pueden gestionar
mediante un modelo de control reglamentado. En
cambio, se necesita un sistema de gestión que
reduzca la probabilidad de que los riesgos asumidos
se materialicen y, en el caso de que ocurran, mejore la
capacidad de la empresa de manejarlos o contenerlos.
Dicho sistema no impedirá que las empresas asuman
operaciones riesgosas; por el contrario,
les permitiría embarc arse en
FOTOGRAFÍA: SHUTTERSTOCK
incluyen desastres naturales o políticos y cambios
macroeconómicos importantes. Los riesgos externos
también requieren otro enfoque. Debido a que las
empresas no pueden evitar que este tipo de eventos
ocurran, su gestión debe centrarse en la identiicación
(tienden a ser obvios a posteriori) y en la mitigación de
sus efectos.
Las empresas deben adaptar sus procesos de
gestión de riesgos a estas diferentes categorías.
Mientras que un enfoque basado en el cumplimiento
es eicaz para manejar riesgos evitables, es totalmente
inadecuado para los riesgos estratégicos y los externos,
que requieren un enfoque radicalmente diferente,
basado en debates abiertos y explícitos. Sin embargo,
es más fácil decirlo que hacerlo; la vasta investigación
sobre la conducta y de las organizaciones ha
demostrado que las personas tienen sesgos cognitivos
fuertes que les impiden pensar y discutir los riesgos
hasta que es demasiado tarde.
Por qué resulta difícil hablar de los riesgos
Varios estudios han determinado que la gente
sobrestima su capacidad de inluir en eventos que, en
realidad, están determinados en alto grado por el azar.
Tendemos a coniar demasiado en la exactitud de los
pronósticos y las evaluaciones de riesgo y a considerar
poco la gama de resultados que pueden ocurrir.
También basamos nuestras estimaciones en la
evidencia que se puede conseguir
fácilmente a pesar de conocer los

operaciones más riesgosas y más

rentables que los competidores cuya
gestión del riesgo es menos eicaz.
Categoría 3: Riesgos externos. Algunos riesgos
surgen de eventos externos a la empresa y exceden
su inluencia o control. Los orígenes de estos riesgos
LA GRAN IDEA GESTIÓN DE RIESGOS: UN NUEVO MARCO
Identiicar y gestionar riesgos evitables
Las empresas no pueden anticipar todas las
circunstancias o conlictos de intereses con
los que un empleado podría encontrarse.
Por lo tanto, la primera línea de organización y sirve como un
defensa contra los riesgos evitables «verdadero norte» que todos los
es brindar lineamientos que aclaren empleados deben seguir. Cuando
los objetivos y los valores de la Johnson & Johnson afirma, en
empresa. la primera frase de su conocido
LA MISIÓN: Una declaración credo, «Creemos que nuestra
de misión bien elaborada articula primera responsabilidad es con los
el objetivo fundamental de la médicos, enfermeros y pacientes,
peligros que provienen de hacer extrapolaciones
lineales de la historia reciente a un futuro muy
incierto y variable. A menudo agravamos este
problema con un sesgo de confirmación, que nos
lleva a favorecer la información que respalda
nuestra postura (generalmente, éxitos) y a suprimir
la información que la contradice (generalmente,
fracasos). Cuando los eventos se alejan de nuestras
expectativas, tendemos a aumentar el compromiso,
es decir, asignamos irracionalmente aún más
recursos a un plan de acción fallido y seguimos
tirando dinero a la basura.
Los sesgos de la organización también inhiben
nuestra capacidad de debatir el riesgo y el fracaso.
En especial, cuando un grupo enfrenta condiciones
inciertas por lo general cae en el pensamiento grupal:
una vez que un plan de acción toma fuerza dentro
de un grupo, aquellos que no están convencidos
tienden a suprimir sus objeciones, aunque estas
sean válidas, y se alinean con la decisión de los
demás. El pensamiento grupal es muy probable
sobre todo si el equipo es dirigido por una persona
dominante o con exceso de confianza que desea
minimizar conflictos, demoras o desafíos a su
autoridad.
En conjunto, estos sesgos personales y
organizacionales explican por qué tantas empresas
pasan por alto o malinterpretan amenazas ambiguas.
En lugar de mitigar el riesgo, las empresas lo incuban
a través de la normalización de la irregularidad,
ya que aprenden a tolerar fracasos y defectos
aparentemente menores y tratan las señales de
alerta temprana como falsas alarmas en lugar de
como alertas de peligro inminente.
L os procesos efic aces de gestión de
riesgos deben contrarrestar estos sesgos. «La
mitigación de riesgos es dolorosa, no es algo
que los humanos hagan naturalmente», dice
Gentry Lee, ingeniero sénior de sistemas
del Jet Propulsion Laboratory (JPL), una
6 Harvard Business Review Junio de 2012
madres y padres, y todos aquellos claridad los valores que guían
que usan nuestros productos la conducta de los empleados
y servicios», proporciona una hacia los grupos de interés,
orientación clara a todos sus incluidos clientes, proveedores,
empleados sobre cuáles intereses compañeros de trabajo,
proteger ante cualquier situación. comunidades y accionistas. Contar
Las declaraciones de misión con declaraciones de valores
deben comunicarse a todos claras ayuda a los empleados a
los empleados y estos deben evitar la infracción de las normas
entenderla. de la empresa y poner en riesgo su
LOS VALORES: Las empresas reputación y sus activos.
también deben articular con
división de la NASA. Los científicos espaciales de
los equipos de proyectos de JPL son graduados de
las mejores universidades, muchos de los cuales
jamás han experimentado el fracaso en el trabajo
o la universidad. El desafío más grande de Lee al
establecer una nueva cultura del riesgo en JPL fue
que los equipos de proyectos se sintieran cómodos
pensando y hablando sobre lo que podría fallar en
sus excelentes diseños.
Contar con reglas sobre qué se puede y no se
puede hacer no sirve en estos casos. De hecho, por
lo general tienen el efecto contrario, ya que alientan
la cultura de la lista de verificación que inhibe la
discusión y el cuestionamiento. La gestión de los
riesgos estratégicos y externos requiere enfoques
muy diferentes. Comencemos analizando cómo
identiicar y mitigar los riesgos estratégicos.
Gestión de riesgos estratégicos
Durante los últimos 10 años de estudio, hemos
encontrado tres enfoques diferentes a la gestión de
riesgos estratégicos. Qué modelo es apropiado para
una empresa determinada depende en gran medida
del contexto en el que opera. Cada enfoque requiere
estructuras y roles bastante diferentes para una
función de gestión de riesgos, pero los tres alientan a
los empleados a desaiar las suposiciones existentes
y a debatir la información sobre riesgos. Nuestro
hallazgo de que «no existe una única solución» se
opone a los esfuerzos de las autoridades regulatorias
y las asociaciones profesionales de normalizar la
función.
Expertos independientes. Algunas
organizaciones, sobre todo aquellas como JPL
que trascienden los límites de la innovación
tec nológic a, enf rentan grandes riesgos
intrínsecos porque se dedican a proyectos
largos, complejos y costosos de desarrollo
de productos. Sin embargo, ya que la mayor
parte del riesgo proviene de lidiar con leyes
 PARA REIMPRESIONES DEL ARTÍCULO LLAME AL 800-988-0886 O AL 617-783-7500, O VISITE HBR.ORG
VÉASE TAMBIÉN el artículo de Robert Simons sobre la gestión de riesgos
evitables, «How Risky Is Your Company?» (HBR de mayo de 1999) y su
libro Levers of Control (Harvard Business School Press, 1995).

LOS LÍMITES: Las empresas
también deben determinar
qué acciones están prohibidas.
Una definición explícita de los
límites es una manera eficaz de
controlar las acciones. Nueve
de los Diez Mandamientos y 9
de las 10 primeras enmiendas
a la Constitución de los EE. UU.
(comúnmente conocidas como
Declaración de Derechos) están
escritos en términos negativos.
Las empresas necesitan códigos
de conducta empresarial que
proscriban comportamientos
relacionados con el conflicto
de intereses, la competencia
desleal, los secretos comerciales
y la información confidencial, el
soborno, la discriminación y el
acoso.
Por supuesto, las declaraciones
de misión, valores y límites bien
articuladas no garantizan por sí
solas la buena conducta. Para
contrarrestar las presiones diarias
de la vida de la organización, los
gerentes de alto nivel deben
servir de ejemplo y demostrar que
hablan en serio. Las empresas
deben implementar fuertes
controles internos, tales como
la separación de funciones y un
programa activo de denuncia
de irregularidades, para reducir
no solo la mala conducta sino
también las tentaciones. Un
departamento de auditoría interna
capaz e independiente tiene la
tarea de supervisar de forma
continua el cumplimiento de los
controles internos y procesos
operativos convencionales por
parte de los empleados, con el in
de disuadirlos de transgredir los
procedimientos y políticas de la
empresa y detectar infracciones
cuando se produzcan.

conocidas de la naturaleza, el riesgo cambia lentamente

con el tiempo. En el caso de estas organizaciones, la
gestión del riesgo puede manejarse a nivel del proyecto.
JPL, por ejemplo, ha conformado una junta de revisión
de riesgo con expertos técnicos independientes, cuyo
rol es cuestionar el diseño de los ingenieros de proyecto,
su evaluación del riesgo y las decisiones para mitigarlo.
Los expertos garantizan que las evaluaciones se realicen
periódicamente a lo largo del ciclo de desarrollo del
producto. Dado que los riesgos son relativamente
invariables, la junta de revisión necesita reunirse
únicamente una o dos veces al año, mientras que el
director del proyecto y el jefe de la junta de revisión se
reúnen cada tres meses.
Las reuniones de la junta de revisión de riesgo son
intensas y crean lo que Gentry Lee denomina «la cultura
de la confrontación intelectual». Chris Lewicki, miembro
de la junta, dice: «Nos destrozamos, lanzamos piedras
y hacemos comentarios muy críticos sobre todo lo que
sucede». En el proceso, los ingenieros de proyecto ven su
trabajo desde otra perspectiva. «Los ayuda a despejarse»,
agrega Lewicki.
Las reuniones, que son al mismo tiempo constructivas
y controvertidas, no están destinadas a impedir que el
equipo del proyecto persiga misiones y diseños muy
ambiciosos, sino que obligan a los ingenieros a pensar de
antemano cómo van a describir y defender sus decisiones
de diseño y si se han detenido lo suiciente a evaluar los
posibles fracasos y defectos. Los miembros de la junta, que
actúan como abogados del diablo, sirven de contrapeso al
exceso de conianza natural de los ingenieros y los ayuda
a evitar el aumento del compromiso en proyectos con
niveles inaceptables de riesgo.
En JPL, la junta de revisión de riesgo no solo promueve
el debate enérgico sobre los riesgos del proyecto, sino
que también tiene autoridad sobre los presupuestos. La
junta establece reservas de costos y de tiempo para cada
componente del proyecto en función de su grado de
innovación. Una extensión simple de una misión anterior
requeriría una reserva inanciera de entre el 10% y el 20%,
La gestión de riesgos
es dolorosa, no es algo
que los humanos hagan
naturalmente.
por ejemplo, mientras que un componente totalmente nuevo
que todavía tuviera que funcionar en la Tierra –mucho menos
en un planeta inexplorado– podría requerir una contingencia
del 50% al 75%. Las reservas garantizan que, cuando
inevitablemente surjan problemas, el equipo del proyecto
tenga acceso al dinero y al tiempo necesarios para resolverlos
sin poner en peligro la fecha de lanzamiento. JPL se toma
en serio esas estimaciones; se han postergado o cancelado
proyectos si los fondos fueron insuficientes para cubrir las
reservas recomendadas.
Facilitadores. Muchas organizaciones, como las que
proveen servicios públicos de agua y energía, operan en
entornos tecnológicos y mercados estables, donde la demanda
de los clientes es relativamente predecible. En estas situaciones,
los riesgos derivan en buena parte de elecciones operativas
aparentemente no relacionadas en una organización compleja,
que se acumulan de manera gradual y pueden permanecer
ocultos durante mucho tiempo.
Ya que un solo grupo de personas no posee el conocimiento
para gestionar el riesgo en el ámbito operativo en varias
funciones, las empresas pueden hacer uso de un grupo de
gestión de riesgos central relativamente pequeño que recopile
información de los gerentes operativos. De esta manera, los
gerentes son más conscientes de los riesgos que se han asumido
en la organización y quienes toman las decisiones tienen una
imagen completa del peril de riesgo de la empresa.
Vemos este modelo en acción en Hydro One, la empresa
canadiense de electricidad. El director de riesgo John Fraser,
con el respaldo explícito del director ejecutivo, organiza
decenas de talleres cada año en los que los empleados de
todos los niveles y funciones identifican y clasifican los

Junio 2012 Harvard Business Review 7

LA GRAN IDEA GESTIÓN DE RIESGOS: UN NUEVO MARCO
El peligro de integrar a los gerentes de
riesgo dentro de la organización jerárquica
es que «adoptan las costumbres de la
empresa», por lo que se convierten en
negociadores en lugar de cuestionadores.
principales riesgos que ven a los objetivos estratégicos de
la empresa. Una tecnología de votación anónima permite
a los empleados evaluar, en una escala de 1 a 5, el impacto
de cada riesgo, la probabilidad de que ocurran y la fortaleza
de los controles existentes. Las clasiicaciones se discuten
en los talleres, y los empleados están empoderados para
expresar y debatir sus percepciones del riesgo. Por último, el
grupo desarrolla un consenso general que se registra en un
mapa conceptual de riesgos, recomienda planes de acción y
designa un «dueño» para cada riesgo principal.
Hydro One fortalece la responsabilidad, vinculando
la asignación de capital y las decisiones presupuestarias
a los riesgos identificados. El proceso de planificación de
capital a nivel corporativo asigna cientos de millones de
dólares, principalmente a proyectos que reduzcan el riesgo
efectiva y eicazmente. El grupo de riesgo recurre a expertos
técnicos para que cuestionen los planes de inversión y las
evaluaciones del riesgo de los ingenieros de primera línea
y para que brinden supervisión profesional independiente
para el proceso de asignación de recursos. En la reunión
anual de asignación de capital, los gerentes de primera línea
tienen que defender sus propuestas frente a sus compañeros
y directivos. Los gerentes desean que sus proyectos reciban
financiación en el proceso de planificación de capital
basado en riesgos, por lo que aprenden a superar su sesgo
a fin de ocultar o minimizar los riesgos en sus áreas de
responsabilidad.
Expertos internos. La industria de los servicios
financieros plantea un desafío único debido a la
dinámica volátil de los mercados de activos y el
posible impacto de las decisiones
que toman los operadores
descentralizados y los
gerentes de inversión.
El perfil de riesgo
de un banco de
inversión puede
cambiar radicalmente
con un solo acuerdo
o movimiento
importante del
merc ado. En estas
empresas, la gestión
del riesgo requiere de
8 Harvard Business Review Junio de 2012
expertos internos que controlen continuamente el peril
de riesgo de la empresa e inluyan en él. Estos expertos
trabajan codo a codo con los gerentes de primera línea,
cuyas actividades consisten en generar ideas nuevas,
innovación, riesgos y, si todo va bien, ganancias.
El banco privado JP Morgan adoptó este modelo en
2007, al comienzo de la crisis financiera mundial. Los
gerentes de riesgo, integrados dentro de la organización
jerárquica, responden a los ejecutivos de primera línea
y a una función de gestión de riesgo centralizada e
independiente. El contacto cara a cara con los gerentes
de primera línea permite a los gerentes de riesgo
conocedores del mercado formular continuamente
preguntas hipotéticas que cuestionan las suposiciones
de los gerentes de carteras y los obliga a mirar diferentes
escenarios. Los gerentes de riesgo evalúan la manera en
la que los negocios propuestos afectan el riesgo de toda
la cartera de inversión, no solo en situaciones normales
sino también en momentos de extrema tensión, cuando
las correlaciones de los retornos en diferentes clases
de activos aumentan. «Los gerentes de cartera se me
acercan con tres negocios, y el modelo [de riesgo] puede
decir que los tres están sumando al mismo tipo de riesgo»,
explica Gregoriy Zhikarev, gerente de riesgo de JP Morgan.
«Nueve de cada diez veces un gerente dirá: “No, eso no es
lo que quiero”. Entonces podemos sentarnos y rediseñar
los negocios».
El peligro principal de integrar a los gerentes de riesgo
dentro de la organización jerárquica es que «adoptan las
costumbres de la empresa» y se alinean con el círculo
interno del equipo de liderazgo de la unidad de negocios,
por lo que se convierten en negociadores en lugar de
cuestionadores. El director de riesgo y en última instancia,
el director ejecutivo son quienes marcan la pauta de la
cultura de riesgo de la empresa y son los responsables de
evitar esta situación.
Cómo evitar la trampa de la función
Incluso cuando los gerentes cuentan con un sistema que
promueve debates valiosos sobre el riesgo, los espera
una segunda trampa cognitivo-conductual. Debido a
que que muchos riesgos estratégicos (y algunos riesgos
externos) son bastante predecibles e incluso familiares,
las empresas suelen etiquetarlos y compartimentarlos,
 PARA REIMPRESIONES DEL ARTÍCULO LLAME AL 800-988-0886 O AL 617-783-7500, O VISITE HBR.ORG

Comprender las tres categorías de riesgo

sobre todo en las líneas de función. Los bancos
a menudo manejan lo que etiquetan como
«riesgo crediticio», «riesgo de mercado» y «riesgo
operativo» en grupos separados. Otras empresas
compartimentan la gestión de «riesgo de la marca»,
«riesgo de la reputación», «riesgo de la cadena de
suministro», «riesgo de recursos humanos», «riesgo
de TI» y «riesgo inanciero».
Estos silos organizacionales dispersan tanto la
información como la responsabilidad de una gestión
eicaz del riesgo. Inhiben el debate sobre la manera
Los riesgos que las empresas enfrentan se clasiican en tres
categorías, cada una de las cuales requiere un enfoque de
gestión de riesgos diferente. Los riesgos evitables, que surgen
desde adentro de la organización, se monitorean y controlan
a través de reglas, valores y herramientas convencionales
de cumplimiento. Por el contrario, los riesgos estratégicos
y los externos requieren procesos distintos que alienten a
los gerentes a debatir abiertamente los riesgos y encontrar
maneras rentables de reducir la probabilidad esos riesgos o
mitigar sus consecuencias.

12 3
en que interactúan riesgos diferentes. Los buenos
debates sobre riesgos deben ser controvertidos
pero también integradores. Las empresas pueden
descarrilarse por una combinación de pequeños
eventos que se refuerzan mutuamente de forma no
anticipadas.
CATEGORÍA 1 CATEGORÍA 2 CATEGORÍA 3
Los gerentes pueden desarrollar una perspectiva
Riesgos evitables Riesgos Riesgos externos
del riesgo general a toda la empresa, basando
sus debates en la planificación estratégica, el
estratégicos
Riesgos que surgen del Riesgos asumidos Riesgos externos que no
único proceso integrador que las empresas mejor
interior de la empresa para generar mayor se pueden controlar
dirigidas ya tienen implementado. Por ejemplo, y no generan beneicios rentabilidad estratégica
Infosys, la empresa hindú de servicios de TI, genera estratégicos
debates del riesgo a partir del Cuadro de mando OBJETIVO DE LA MITIGACIÓN DEL RIESGO
integral, su herramienta de gestión para medición Evitar o eliminar los Reducir la probabilidad Reducir el costo del impacto
y comunicación de la estrategia. «Como nos riesgos de manera y el impacto de manera de manera eicaz en el caso
rentable rentable de que se produzca el
preguntamos por los riesgos a los que deberíamos evento de riesgo
prestarle atención», dice M.D. Ranganath, director
MODELO DE CONTROL
de riesgo, «nos centramos poco a poco en los riesgos
Modelo integrado de Debates interactivos «Previsión» de los riesgos
a los objetivos empresariales especificados en el valores y cumplimiento: sobre los riesgos a los a través de los siguientes
cuadro de mando corporativo». objetivos estratégicos mecanismos:
Desarrollar la declaración sobre las base de las
Al construir su Cuadro de mando integral, de la misión, sistemas siguientes herramientas: •Evaluación del riesgo de
Infosys había identificado «relaciones crecientes de valores y creencias, cola y pruebas de tensión
sistemas de reglas y • Mapas de la probabilidad
con los clientes» como un objetivo clave y límites, procedimientos e impacto de los riesgos
•Planiicación de
operativos identiicados escenarios
había seleccionado indicadores para medir el
convencionales, controles • Juegos de guerra
progreso, como la cantidad de clientes globales internos y auditorías •Cuadros de mando con
con facturac iones anuales superiores a los internas. indicadores clave de
riesgo (KRI)
USD 50 millones y el aumento anual porcentual
de los ingresos de grandes clientes. Al observar Asignación de recursos
para mitigar los riesgos
conjuntamente el objetivo y los indicadores de fundamentales
desempeño, la gerencia advirtió que su estrategia
ROL DE LA FUNCIÓN DE GESTIÓN DE RIESGOS
había introducido un nuevo factor de riesgo: el
Coordina, supervisa Organiza talleres de Realiza pruebas de
incumplimiento de los clientes. Cuando el negocio y revisa controles riesgo y reuniones de tensión, planiicación de
de Infosys se basaba en un gran número de pequeños especíicos del riesgo con revisión de riesgo escenarios y juegos de
la función de auditoría guerra con el equipo de
clientes, el incumplimiento de cualquiera de ellos interna Ayuda a desarrollar la gestión
no ponía en peligro la estrategia de la empresa. cartera de iniciativas de
riesgo y su inanciación Actúa como abogado del
Sin embargo, el incumplimiento de un cliente de diablo
Actúa como abogado del
USD  50  millones presentaría un contratiempo diablo
importante. Infosys comenzó a monitorear la tasa
RELACIONES DE LA FUNCIÓN DE GESTIÓN DE RIESGOS CON LAS UNIDADES DE NEGOCIOS
de permuta de incumplimiento crediticio de cada
uno de sus clientes como un indicador clave de la Actúa como supervisor Actúa como facilitador Complementa el equipo
independiente independiente, experto de estrategia o funciona
probabilidad de incumplimiento. Si la tasa de un independiente y experto como facilitador
cliente aumentara, Infosys aceleraría el cobro de las interno independiente de los
ejercicios de «previsión»
cuentas o solicitaría pagos parciales para reducir la
probabilidad o el impacto del incumplimiento.

Junio 2012 Harvard Business Review 9

LA GRAN IDEA GESTIÓN DE RIESGOS: UN NUEVO MARCO

Otro ejemplo es Volkswagen do Brasil (que luego se
abrevió como VW), la sucursal brasileña del fabricante de
automóviles alemán. La unidad de gestión de riesgos de VW
utiliza el mapa de estrategia de la empresa como punto de
partida de sus diálogos sobre riesgo. Para cada objetivo del
mapa, el grupo identiica los eventos de riesgo que podrían
hacer que VW no alcance ese objetivo. El equipo luego genera
un Cuadro del evento de riesgo para cada uno de los riesgos
del mapa y enumera los efectos prácticos del evento en las
operaciones, la probabilidad de que ocurran, los principales
indicadores y las posibles acciones de mitigación. También
identifica quién tiene la responsabilidad principal de
manejar el riesgo. (Véase el anexo «El Cuadro del evento de
riesgo»). El equipo de riesgo luego presenta un resumen de
alto nivel de los resultados a los directivos séniores. (Véase
«El Boletín de riesgos»).
Además de introducir un proceso sistemático para
identiicar y mitigar los riesgos estratégicos, las empresas
también necesitan una estructura de supervisión de riesgos.
Infosys utiliza una estructura doble: un equipo central que
identifica los riesgos estratégicos generales y establece
la política central, y equipos funcionales especializados
que diseñan y monitorean las políticas y los controles
con el asesoramiento de los equipos locales de negocios.
Los equipos descentralizados tienen la autoridad y el
conocimiento para ayudar a las líneas del negocio a responder
a las amenazas y los cambios en sus periles de riesgo, y solo
remiten las excepciones al equipo central para su revisión.
Por ejemplo, si un gerente de relaciones con clientes quiere
otorgar un periodo de crédito más prolongado a una
empresa cuyos parámetros de riesgo crediticio son altos, el
gerente de riesgo funcional puede remitir el caso al equipo
central para su revisión.
Estos ejemplos muestran que el tamaño de la
organización no determina el tamaño y el alcance de la
función de riesgo. Hydro One, una empresa grande, tiene un
grupo de riesgo relativamente pequeño para concientizar y
comunicar sobre el riesgo en toda la empresa y para asesorar
al equipo ejecutivo sobre las asignaciones de recursos
en función de los riesgos. Por el contrario, empresas o
unidades relativamente pequeñas, como JPL o el banco
privado JP Morgan, necesitan que varias juntas de revisión
a nivel del proyecto o equipos de gerentes internos apliquen
el conocimiento del campo para evaluar el riesgo de las
decisiones empresariales. Infosys, una empresa grande
con un amplio alcance operativo y estratégico, requiere
una fuerte función centralizada de gestión de riesgos
así como gerentes de riesgo dispersos que respalden las
decisiones empresariales locales y faciliten el intercambio
de información con el grupo de riesgo centralizado.
Manejar lo incontrolable
Los riesgos externos, la tercera categoría de riesgo, por
lo general no se puede reducir o evitar a través de los
enfoques utilizados para gestionar los riesgos evitables
y los estratégicos. Los riesgos externos se encuentran en
buena parte fuera del control de la empresa; esta debe
concentrarse en identificarlos, evaluar su potencial de

El Cuadro del evento de riesgo

VW do Brasil utiliza cuadros de eventos riesgo para evaluar sus riesgos estratégicos. En primer lugar, los gerentes
documentan los riesgos asociados al logro de cada uno de los objetivos estratégicos de la empresa. Para cada riesgo
identiicado, los gerentes crean un cuadro de riesgo que enumera los efectos prácticos de los eventos que ocurren en las
operaciones. A continuación se incluye un cuadro simple que muestra los efectos de una interrupción en las entregas, que
podría poner en peligro el objetivo estratégico de VW de lograr una cadena de suministro que funcione sin problemas.
OBJETIVO EVENTO DE INDICADORES PROBABILIDAD/ GERENTE
ESTRATÉGICO RIESGO RESULTADOS DE RIESGO CONSECUENCIAS CONTROLES DE GESTIÓN RESPONSABLE
Garantizar que Interrupción Horas extra Informe de 1 Celebrar una reunión diaria Sr. O. Manuel,
los procesos de entregas artículos 2 de cadena de suministro con director de logística
Flete de
de proveedor
emergencia
fundamentales 3 X logística, compras y control de fabricación
a fabricante 4 de calidad
sean coniables Entregas fuera 5
Problemas de término Controlar las herramientas
y competitivos de calidad 1 2 3 4 5
de los proveedores para
Defectos en el detectar deterioro
Pérdidas de ingreso
producción Iniciativa de mitigación
Envíos de del riesgo: Mejorar las
componentes herramientas de los
incorrectos proveedores
Iniciativa de mitigación
del riesgo: Identiicar el
ejecutivo clave de la cadena
de suministro en cada
proveedor fundamental

10 Harvard Business Review Junio de 2012

 PARA REIMPRESIONES DEL ARTÍCULO LLAME AL 800-988-0886 O AL 617-783-7500, O VISITE HBR.ORG

impacto y determinar cuál es la mejor manera de mitigar
sus efectos, si llegaran a ocurrir.
Algunos riesgos externos son lo suficientemente
inminentes que los gerentes pueden gestionarlos como lo
hacen con los riesgos estratégicos. Por ejemplo, durante la
desaceleración económica posterior a la crisis inanciera
mundial, Infosys identiicó un nuevo riesgo relacionado
con su objetivo de desarrollar una fuerza de trabajo global:
un incremento del proteccionismo. Esta medida podía
generar fuertes restricciones a los visados y permisos de
trabajo para los extranjeros en varios países de la OCDE
donde Infosys tenía grandes compromisos con los clientes.
Aunque la legislación proteccionista es técnicamente
un riesgo externo ya que excede el control de la empresa,
Infosys la consideró un riesgo estratégico y creó un Cuadro
del evento de riesgo, que incluía un nuevo indicador de
riesgo: la cantidad y el porcentaje de empleados con doble
ciudadanía o permisos de trabajo vigentes fuera de la India.
Si esta cantidad disminuyera debido a la renovación del
personal, la estrategia global de Infosys podría estar en
peligro. Por lo tanto, la empresa implementó políticas de
selección y retención que mitigan las consecuencias de este
evento de riesgo externo.
La mayoría de los riesgos externos, sin embargo,
demandan un enfoque analítico diferente, ya sea porque
la probabilidad de que ocurran es muy baja o porque a los
gerentes les resulta difícil preverlos durante los procesos
estratégicos normales. Hemos identiicado diversas fuentes
de riesgos externos:
• Desastres naturales y económicos con impacto inmediato.
Estos riesgos se pueden predecir de manera general, aunque
normalmente no se puede determinar el momento (un
terremoto de gran magnitud azotará algún día a California,
pero no se sabe con exactitud dónde ni cuándo). Solo pueden
anticiparse mediante señales relativamente débiles. Algunos
ejemplos de este tipo de riesgo son los desastres naturales,
como la erupción del volcán islandés que cerró el espacio
aéreo europeo durante una semana en 2010, y los desastres
económicos, como el estallido de la burbuja financiera.
Los efectos de estos riesgos generalmente son drásticos e
inmediatos, como los trastornos que causaron el terremoto y
el tsunami en Japón en 2011.
• Cambios geopolíticos y ambientales con impacto a largo
plazo. Incluyen cambios políticos, como cambios importantes
en las políticas, golpes de estado, revoluciones y guerras;
cambios ambientales a largo plazo, como el calentamiento
global; y agotamiento de recursos naturales fundamentales
como el agua potable.
• Riesgos competitivos con impacto a mediano plazo.
Incluyen la aparición de tecnologías disruptivas (como
Internet, teléfonos inteligentes y códigos de barras) y
movimientos estratégicos radicales por parte de los actores
del sector (como la entrada de Amazon en la venta de libros
y de Apple en las industrias de teléfonos móviles y productos
electrónicos).
Las empresas usan enfoques analíticos diferentes para
cada una de las fuentes de riesgo externo.

El Boletín de riesgo
VW do Brasil resume sus riesgos estratégicos en un Boletín de riesgo organizado por objetivos estratégicos (a continuación
se muestra un fragmento). Los gerentes pueden ver con facilidad cuántos de los riesgos identiicados son fundamentales
y requieren atención o mitigación. Por ejemplo, VW identiicó 11 riesgos asociados con el logro del objetivo «Satisfacer las
expectativas del cliente». Cuatro de estos riesgos fueron críticos, pero esto representó una mejora respecto de la evaluación
del trimestre anterior. Los gerentes también pueden controlar el progreso en la gestión de riesgos en toda la empresa.
RIESGOS RIESGOS
OBJETIVO ESTRATÉGICO EVALUADOS FUNDAMENTALES TENDENCIA
Lograr un crecimiento de la participación de mercado 4 1
Satisfacer las expectativas del cliente 11 4
Mejorar la imagen de la empresa 13 1
Desarrollar una organización distribuidora 4 2
Garantizar la gestión de innovaciones orientadas al cliente 5 2
Lograr la eicacia de la gestión de lanzamientos 1 0
Aumentar la eicacia de los procesos directos 4 1
Crear y gestionar una estrategia sólida de volumen de producción 2 1
Garantizar que los procesos de proveedor a fabricante sean coniables y competitivos 9 3
Desarrollar una cartera de productos atractiva e innovadora 4 2

Junio 2012 Harvard Business Review 11

LA GRAN IDEA GESTIÓN DE RIESGOS: UN NUEVO MARCO
La capacidad de una empresa
de capear tempestades depende
de la seriedad con la que los
directivos se tomen la gestión de
riesgos cuando el sol brilla y no
hay nubes en el horizonte.
Pruebas de tensión de riesgos de cola. Mediante
las pruebas de tensión, las empresas pueden evaluar
cambios en una o dos variables específicas cuyos
efectos serían importantes e inmediatos, aunque no
es posible prever la fecha exacta. Las empresas de
servicios inancieros utilizan pruebas de tensión para
evaluar, por ejemplo, la manera en que un evento, como
la triplicación de los precios del petróleo, una gran
oscilación en el tipo de cambio o las tasas de interés, o
el incumplimiento de una institución importante o de
un país soberano, afectaría posiciones comerciales e
inversiones.
No obstante, los beneicios de las pruebas de tensión
dependen fundamentalmente de las suposiciones, las
cuales pueden ser tendenciosas, sobre cuánto va a
cambiar la variable en cuestión. Las pruebas de tensión
de riesgos de cola de muchos bancos en 2007-2008,
por ejemplo, supusieron el peor de los panoramas en
el que los precios de las viviendas en los EE. UU. se
estabilizarían y se mantendrían fijos durante varios
períodos. Muy pocas empresas pensaron probar que
pasaría si los precios comenzaban a bajar, un excelente
ejemplo de la tendencia a basar las estimaciones en
datos recientes y que se pueden conseguir fácilmente.
Muchas empresas hicieron una extrapolación de los
precios recientes de las viviendas en los EE. UU., que
no habían sufrido una baja durante varias décadas,
para desarrollar evaluaciones de mercado demasiado
optimistas.
Planificación de escenarios. Esta
herramienta es adecuada para un
análisis a largo plazo, por lo general
de cinco a diez años. El análisis
de escenarios, que se desarrolló
originalmente en Shell Oil en la
década de los años 60, es un proceso
sistemático para deinir los límites
plausibles de estados futuros del
mundo. Los participantes analizan
las fuerzas políticas, económicas,
tecnológicas, sociales, regulatorias
y ambientales y seleccionan algunos
impulsores, por lo general cuatro,
que tendrían el mayor impacto sobre
la empresa. Algunas compañías
12 Harvard Business Review Junio de 2012
recurren explícitamente al conocimiento de sus
juntas de asesoramiento para informarles acerca
de tendencias significativas, fuera del enfoque
diario de la empresa y de la industria, que deben
considerarse en sus escenarios.
Para cada uno de los impulsores seleccionados,
los participantes calculan valores máximos y
mínimos anticipados durante cinco a diez años.
Al combinar los valores extremos de cada uno de
los cuatro impulsores, se obtienen 16 escenarios.
Alrededor de la mitad tienden a ser inverosímiles y
se descartan; los participantes luego evalúan cómo
se desempeñaría la estrategia de la empresa en el
resto de los escenarios. Si los gerentes ven que su
estrategia depende de una visión generalmente
optimista, pueden modificarla para contemplar
escenarios pesimistas o planiicar cómo cambiarían
su estrategia en el caso de que los primeros
indicadores mostraran una creciente probabilidad
de que los eventos se vuelvan en su contra.
Juegos de guerra. Los juegos de guerra evalúan
la vulnerabilidad de una empresa a tecnologías
disruptivas o cambios en las estrategias de los
competidores. En un juego de guerra, la empresa
asigna a tres o cuatro equipos la tarea de idear
estrategias o acciones plausibles a corto plazo que
los competidores actuales o potenciales podrían
adoptar durante el plazo de uno o dos años (un
horizonte de tiempo más corto que el del análisis
de escenarios). Los equipos luego se reúnen para
analizar cómo competidores ingeniosos podrían
atacar la estrategia de la empresa. Este proceso
ayuda a los líderes a superar su tendencia a
ignorar los hechos que se oponen a sus creencias
actuales, incluida la posibilidad de medidas que
los competidores podrían tomar para desbaratar la
estrategia.
L a s e m p r e s a s n o p u e d e n i n fl u i r e n l a
probabilidad de los eventos de riesgo identiicados
a través de métodos como las pruebas de riesgo de
cola, la planiicación de escenarios y los juegos de
guerra, pero los gerentes pueden tomar medidas
específicas para mitigar su impacto. Dado que el
riesgo moral no deriva de eventos inevitables, las
empresas pueden utilizar el seguro y la cobertura
para mitigar algunos riesgos, como lo hace una
aerolínea cuando se protege contra fuertes subas en
los precios del combustible
mediante derivados
financieros. Otra opción
es que las empresas
hagan inversiones ahora
para ev itar costos mucho
más altos después. Por ejemplo,
un fabricante con instalaciones
en zonas propensas a los terremotos
 PARA REIMPRESIONES DEL ARTÍCULO LLAME AL 800-988-0886 O AL 617-783-7500, O VISITE HBR.ORG
puede aumentar los costos de construcción para proteger
instalaciones fundamentales contra temblores graves.
Además, empresas expuestas a riesgos diferentes pero
comparables pueden cooperar para mitigarlos. Por ejemplo,
los centros de datos de TI en una universidad de Carolina
del Norte serían vulnerables a los huracanes, mientras
que los de una universidad comparable en la falla de San
Andrés en California serían vulnerables a los terremotos. La
probabilidad de que ambos desastres ocurrieran el mismo
día es tan baja que las dos universidades podrían decidir
mitigar los riesgos haciendo una copia de seguridad del
sistema de la otra todas las noches.
El desafío de los líderes
Gestionar el riesgo es muy diferente de gestionar la
estrategia. La gestión de riesgos se concentra en lo negativo:
amenazas y fracasos en lugar de oportunidades y éxitos.
Es exactamente contrario a la cultura del «se puede» que
la mayoría de los equipos de liderazgo intentan fomentar
cuando implementan la estrategia. Muchos líderes suelen
no tener en cuenta el futuro; son reacios a gastar tiempo y
dinero ahora para evitar un problema incierto que podría
ocurrir en el futuro, en el mandato de otra persona. Además,
la mitigación del riesgo por lo general supone dispersar
recursos y diversificar inversiones, justo lo contrario al
enfoque profundo de una estrategia exitosa. Los gerentes
pueden considerar que es antiético a su cultura abogar por
procesos que identifican los riesgos a las estrategias que
ayudaron a formular.
Es por ello que la mayoría de las empresas necesitan una
función aparte para manejar los riesgos estratégicos y los
externos. El tamaño de la función de riesgo variará de una
empresa a otra, pero el grupo debe responder directamente
al equipo principal. De hecho, podría decirse que cultivar
una relación cercana con los líderes séniors es la tarea
más importante; la capacidad de una empresa de capear
tempestades depende de la seriedad con la que los directivos
se tomen la gestión de riesgos cuando el sol brilla y no hay
nubes en el horizonte.
Eso es lo que diferenció a los bancos que fracasaron en
la crisis inanciera de los que sobrevivieron. Las empresas
que fracasaron habían relegado la gestión de riesgos a una
función de cumplimiento; sus gerentes de riesgo tenían
acceso limitado a directivos séniors y a sus directorios.
Asimismo, los ejecutivos por lo general ignoraron las
advertencias de los gerentes de riesgo sobre posiciones
muy apalancadas y concentradas. Por el contrario, Goldman
Sachs y JP Morgan Chase, dos empresas que enfrentaron
bien la crisis inanciera, tenían fuertes funciones internas de
gestión de riesgos y equipos de líderes que comprendieron
y gestionaron los riesgos a los que las empresas estaban
expuestas. Barry Zubrow, director de riesgo de JP Morgan
Chase, nos dijo: «Puedo tener el cargo, pero [el director
ejecutivo] Jamie Dimon es el director de riesgo de la
empresa».
LA GESTIÓN de riesgos no es intuitiva; se opone a muchos
sesgos personales y organizacionales. Las reglas y el
cumplimiento pueden mitigar algunos riesgos clave pero
no todos. Una gestión de riesgos activa y rentable exige a los
gerentes pensar sistemáticamente en las diversas categorías
de riesgos que enfrentan a in de que puedan implementar
procesos adecuados para cada una. Estos procesos
neutralizarán la tendencia de los gerentes a ver el mundo
como les gustaría que fuera más que como realmente es o
podría llegar a ser.
Reimpresión de HBR R1206B
DIBUJO: ROY DELGADO
Junio 2012 Harvard Business Review 13