Documentos de Académico
Documentos de Profesional
Documentos de Cultura
LA GRAN IDEA
Gestión de riesgos:
un nuevo marco
Las empresas inteligentes ajustan su enfoque
a la naturaleza de las amenazas que enfrentan.
por Robert S. Kaplan y Anette Mikes
La gran idea
GESTIÓN
RIESGOS
UN NUEV
MARCO
PARA REIMPRESIONES DEL ARTÍCULO LLAME AL 800-988-0886 O AL 617-783-7500, O VISITE HBR.ORG
N DE
S:
VO
Junio 2012 Harvard Business Review 3
LA GRAN IDEA GESTIÓN DE RIESGOS: UN NUEVO MARCO
C
CUANDO TONY HAYWARD ASUMIÓ COMO DIRECTOR EJECUTIVO
DE BP EN 2007, juró que la seguridad sería su prioridad. Que
todos los empleados utilizaran tapas en las tazas de café al
caminar y se abstuvieran de enviar mensajes de texto mientras
conducían fueron algunas de las reglas que implementó. Tres
años después, mientras Hayward estaba a cargo, la plataforma
petrolera Deepwater Horizon explotó en el Golfo de México
y desató uno de los peores desastres provocados por el
hombre en la historia. Una comisión investigadora de los
EE. UU. atribuyó el desastre a un fallo de gestión que afectó
«la capacidad de los individuos involucrados para identificar
los riesgos que enfrentaban, y para evaluar, comunicar y
abordarlos adecuadamente».
La historia de Hayward releja un problema frecuente. Gestión de riesgos: ¿reglas o diálogo?
A pesar de toda la retórica y el dinero invertido en ella, El primer paso para crear un sistema eicaz de gestión
con demasiada frecuencia se considera a la gestión de de riesgos consiste en entender las diferencias
riesgos como una cuestión de cumplimiento que puede cualitativas entre los tipos de riesgos a los que se
resolverse redactando muchas reglas y procurando enfrentan las organizaciones. Nuestra investigación
que todos los empleados las respeten. Muchas de esas de campo muestra que los riesgos se clasiican en
reglas, por supuesto, son sensatas y reducen algunos tres categorías. Los eventos de riesgo de cualquier
riesgos que podrían perjudicar gravemente a una categoría pueden ser letales para la estrategia de una
empresa. Sin embargo, la gestión de riesgos regulada no empresa e incluso para su supervivencia.
disminuirá la probabilidad ni el impacto de un desastre Categoría 1: Riesgos evitables. Estos son
como el de Deepwater Horizon, como tampoco evitó el riesgos internos que surgen desde adentro de la
fracaso de muchas instituciones inancieras durante la organización, son controlables y deben eliminarse
crisis crediticia de 2007-2008. o evitarse. Estos riesgos surgen por acciones
E n e s te a r t í c u l o, p re s e nt a m o s u n a n u e v a no autorizadas, ilegales, antiéticas, incorrectas
clasificación del riesgo que permite a los directivos o inapropiadas de empleados o gerentes y por
decidir qué riesgos se pueden gestionar a través de un fracasos en procesos operativos de rutina. Para
modelo reglamentado y cuáles requieren enfoques estar seguras, las empresas deben tener una zona
alternativos. Estudiamos los desafíos personales de tolerancia para defectos o errores que no les
y organizacionales inherentes a la generación de causarían un daño grave y que sería demasiado
debates abiertos y constructivos sobre la gestión de costoso eludir por completo. Pero, en general, las
los riesgos relacionados con las elecciones estratégicas empresas deben buscar eliminar estos riesgos ya
y sostenemos que las empresas tienen que basar que no obtienen beneicios estratégicos al asumirlos.
estos debates en sus procesos de formulación e Un comerciante deshonesto o un empleado que
implementación de estrategias. Por último, analizamos soborna a un funcionario local pueden producir
cómo las organizac iones pueden identific ar y algún tipo de ganancia a corto plazo para la empresa,
prepararse para los riesgos inevitables que surgen fuera pero con el tiempo este tipo de acciones disminuirán
de su estrategia y sus operaciones. su valor.
4 Harvard Business Review Junio de 2012 COPYRIGHT © 2012 HARVARD BUSINESS SCHOOL PUBLISHING CORPORATION. TODOS LOS DERECHOS RESERVADOS.
PARA REIMPRESIONES DEL ARTÍCULO LLAME AL 800-988-0886 O AL 617-783-7500, O VISITE HBR.ORG
Resumen de la idea
A pesar de toda la conducta de los empleados, al alcance de los riesgos a herramientas como los
retórica y el dinero pero no es adecuado para involucrados y a su velocidad juegos de guerra y el análisis
invertido en ella, con gestionar riesgos inherentes de variación. Aunque las de escenarios. La elección
demasiada frecuencia a las elecciones estratégicas funciones de gestión de riesgo del enfoque depende de
de una empresa o los riesgos pueden variar de una empresa la inmediatez del impacto
se considera a la
que plantean los problemas a otra, todos los esfuerzos del potencial riesgo y de
gestión de riesgos
o cambios del ambiente deben basarse en procesos si este deriva de cambios
como una cuestión de externo. Esos tipos de riesgos corporativos de planiicación geopolíticos, ambientales,
cumplimiento. requieren sistemas destinados estratégica. económicos o competitivos.
Un sistema de gestión a generar discusión y debate. Para gestionar los
de riesgos regulado puede En el caso de los riesgos principales riesgos externos
funcionar bien para alinear estratégicos, las empresas que están fuera de su control,
los valores y controlar la deben adaptar los enfoques las empresas pueden recurrir
Esta categoría de riesgo se gestiona mejor mediante incluyen desastres naturales o políticos y cambios
la prevención activa: controlando los procesos macroeconómicos importantes. Los riesgos externos
operativos y orientando las conductas y las decisiones también requieren otro enfoque. Debido a que las
de las personas hacia las normas deseadas. Como empresas no pueden evitar que este tipo de eventos
ya existe bastante bibliografía sobre el enfoque de ocurran, su gestión debe centrarse en la identiicación
cumplimiento regulado, el lector interesado puede (tienden a ser obvios a posteriori) y en la mitigación de
consultar la barra lateral «Cómo identiicar y gestionar sus efectos.
los riesgos evitables» en lugar de tratar las mejores Las empresas deben adaptar sus procesos de
prácticas aquí. gestión de riesgos a estas diferentes categorías.
Categoría 2: Riesgos estratégicos. Una empresa Mientras que un enfoque basado en el cumplimiento
asume riesgos de manera voluntaria a fin de poder es eicaz para manejar riesgos evitables, es totalmente
generar mayor rentabilidad a partir de su estrategia. Un inadecuado para los riesgos estratégicos y los externos,
banco asume riesgo crediticio, por ejemplo, cuando que requieren un enfoque radicalmente diferente,
presta dinero; muchas empresas asumen riesgos a basado en debates abiertos y explícitos. Sin embargo,
través de actividades de investigación y desarrollo. es más fácil decirlo que hacerlo; la vasta investigación
Los riesgos estratégicos son bastante diferentes sobre la conducta y de las organizaciones ha
de los evitables porque no son intrínsecamente demostrado que las personas tienen sesgos cognitivos
indeseables. Una estrategia que se espera que tenga fuertes que les impiden pensar y discutir los riesgos
un retorno alto exige que la empresa asuma riesgos hasta que es demasiado tarde.
signiicativos, y la gestión de esos riesgos es un factor
clave para capturar las potenciales ganancias. BP Por qué resulta difícil hablar de los riesgos
aceptó los grandes riesgos inherentes a la perforación Varios estudios han determinado que la gente
de varias millas bajo la supericie del Golfo de México sobrestima su capacidad de inluir en eventos que, en
debido al alto valor del petróleo y del gas que esperaba realidad, están determinados en alto grado por el azar.
extraer. Tendemos a coniar demasiado en la exactitud de los
Los riesgos estratégicos no se pueden gestionar pronósticos y las evaluaciones de riesgo y a considerar
mediante un modelo de control reglamentado. En poco la gama de resultados que pueden ocurrir.
cambio, se necesita un sistema de gestión que También basamos nuestras estimaciones en la
reduzca la probabilidad de que los riesgos asumidos evidencia que se puede conseguir
se materialicen y, en el caso de que ocurran, mejore la fácilmente a pesar de conocer los
capacidad de la empresa de manejarlos o contenerlos.
Dicho sistema no impedirá que las empresas asuman
operaciones riesgosas; por el contrario,
les permitiría embarc arse en
FOTOGRAFÍA: SHUTTERSTOCK
peligros que provienen de hacer extrapolaciones división de la NASA. Los científicos espaciales de
lineales de la historia reciente a un futuro muy los equipos de proyectos de JPL son graduados de
incierto y variable. A menudo agravamos este las mejores universidades, muchos de los cuales
problema con un sesgo de confirmación, que nos jamás han experimentado el fracaso en el trabajo
lleva a favorecer la información que respalda o la universidad. El desafío más grande de Lee al
nuestra postura (generalmente, éxitos) y a suprimir establecer una nueva cultura del riesgo en JPL fue
la información que la contradice (generalmente, que los equipos de proyectos se sintieran cómodos
fracasos). Cuando los eventos se alejan de nuestras pensando y hablando sobre lo que podría fallar en
expectativas, tendemos a aumentar el compromiso, sus excelentes diseños.
es decir, asignamos irracionalmente aún más Contar con reglas sobre qué se puede y no se
recursos a un plan de acción fallido y seguimos puede hacer no sirve en estos casos. De hecho, por
tirando dinero a la basura. lo general tienen el efecto contrario, ya que alientan
Los sesgos de la organización también inhiben la cultura de la lista de verificación que inhibe la
nuestra capacidad de debatir el riesgo y el fracaso. discusión y el cuestionamiento. La gestión de los
En especial, cuando un grupo enfrenta condiciones riesgos estratégicos y externos requiere enfoques
inciertas por lo general cae en el pensamiento grupal: muy diferentes. Comencemos analizando cómo
una vez que un plan de acción toma fuerza dentro identiicar y mitigar los riesgos estratégicos.
de un grupo, aquellos que no están convencidos
tienden a suprimir sus objeciones, aunque estas Gestión de riesgos estratégicos
sean válidas, y se alinean con la decisión de los Durante los últimos 10 años de estudio, hemos
demás. El pensamiento grupal es muy probable encontrado tres enfoques diferentes a la gestión de
sobre todo si el equipo es dirigido por una persona riesgos estratégicos. Qué modelo es apropiado para
dominante o con exceso de confianza que desea una empresa determinada depende en gran medida
minimizar conflictos, demoras o desafíos a su del contexto en el que opera. Cada enfoque requiere
autoridad. estructuras y roles bastante diferentes para una
En conjunto, estos sesgos personales y función de gestión de riesgos, pero los tres alientan a
organizacionales explican por qué tantas empresas los empleados a desaiar las suposiciones existentes
pasan por alto o malinterpretan amenazas ambiguas. y a debatir la información sobre riesgos. Nuestro
En lugar de mitigar el riesgo, las empresas lo incuban hallazgo de que «no existe una única solución» se
a través de la normalización de la irregularidad, opone a los esfuerzos de las autoridades regulatorias
ya que aprenden a tolerar fracasos y defectos y las asociaciones profesionales de normalizar la
aparentemente menores y tratan las señales de función.
alerta temprana como falsas alarmas en lugar de Expertos independientes. Algunas
como alertas de peligro inminente. organizaciones, sobre todo aquellas como JPL
L os procesos efic aces de gestión de que trascienden los límites de la innovación
riesgos deben contrarrestar estos sesgos. «La tec nológic a, enf rentan grandes riesgos
mitigación de riesgos es dolorosa, no es algo intrínsecos porque se dedican a proyectos
que los humanos hagan naturalmente», dice largos, complejos y costosos de desarrollo
Gentry Lee, ingeniero sénior de sistemas de productos. Sin embargo, ya que la mayor
del Jet Propulsion Laboratory (JPL), una parte del riesgo proviene de lidiar con leyes
LOS LÍMITES: Las empresas Las empresas necesitan códigos solas la buena conducta. Para también las tentaciones. Un
también deben determinar de conducta empresarial que contrarrestar las presiones diarias departamento de auditoría interna
qué acciones están prohibidas. proscriban comportamientos de la vida de la organización, los capaz e independiente tiene la
Una definición explícita de los relacionados con el conflicto gerentes de alto nivel deben tarea de supervisar de forma
límites es una manera eficaz de de intereses, la competencia servir de ejemplo y demostrar que continua el cumplimiento de los
controlar las acciones. Nueve desleal, los secretos comerciales hablan en serio. Las empresas controles internos y procesos
de los Diez Mandamientos y 9 y la información confidencial, el deben implementar fuertes operativos convencionales por
de las 10 primeras enmiendas soborno, la discriminación y el controles internos, tales como parte de los empleados, con el in
a la Constitución de los EE. UU. acoso. la separación de funciones y un de disuadirlos de transgredir los
(comúnmente conocidas como Por supuesto, las declaraciones programa activo de denuncia procedimientos y políticas de la
Declaración de Derechos) están de misión, valores y límites bien de irregularidades, para reducir empresa y detectar infracciones
escritos en términos negativos. articuladas no garantizan por sí no solo la mala conducta sino cuando se produzcan.
12 3
en que interactúan riesgos diferentes. Los buenos
debates sobre riesgos deben ser controvertidos
pero también integradores. Las empresas pueden
descarrilarse por una combinación de pequeños
eventos que se refuerzan mutuamente de forma no
anticipadas.
CATEGORÍA 1 CATEGORÍA 2 CATEGORÍA 3
Los gerentes pueden desarrollar una perspectiva
Riesgos evitables Riesgos Riesgos externos
del riesgo general a toda la empresa, basando
sus debates en la planificación estratégica, el
estratégicos
Riesgos que surgen del Riesgos asumidos Riesgos externos que no
único proceso integrador que las empresas mejor
interior de la empresa para generar mayor se pueden controlar
dirigidas ya tienen implementado. Por ejemplo, y no generan beneicios rentabilidad estratégica
Infosys, la empresa hindú de servicios de TI, genera estratégicos
debates del riesgo a partir del Cuadro de mando OBJETIVO DE LA MITIGACIÓN DEL RIESGO
integral, su herramienta de gestión para medición Evitar o eliminar los Reducir la probabilidad Reducir el costo del impacto
y comunicación de la estrategia. «Como nos riesgos de manera y el impacto de manera de manera eicaz en el caso
rentable rentable de que se produzca el
preguntamos por los riesgos a los que deberíamos evento de riesgo
prestarle atención», dice M.D. Ranganath, director
MODELO DE CONTROL
de riesgo, «nos centramos poco a poco en los riesgos
Modelo integrado de Debates interactivos «Previsión» de los riesgos
a los objetivos empresariales especificados en el valores y cumplimiento: sobre los riesgos a los a través de los siguientes
cuadro de mando corporativo». objetivos estratégicos mecanismos:
Desarrollar la declaración sobre las base de las
Al construir su Cuadro de mando integral, de la misión, sistemas siguientes herramientas: •Evaluación del riesgo de
Infosys había identificado «relaciones crecientes de valores y creencias, cola y pruebas de tensión
sistemas de reglas y • Mapas de la probabilidad
con los clientes» como un objetivo clave y límites, procedimientos e impacto de los riesgos
•Planiicación de
operativos identiicados escenarios
había seleccionado indicadores para medir el
convencionales, controles • Juegos de guerra
progreso, como la cantidad de clientes globales internos y auditorías •Cuadros de mando con
con facturac iones anuales superiores a los internas. indicadores clave de
riesgo (KRI)
USD 50 millones y el aumento anual porcentual
de los ingresos de grandes clientes. Al observar Asignación de recursos
para mitigar los riesgos
conjuntamente el objetivo y los indicadores de fundamentales
desempeño, la gerencia advirtió que su estrategia
ROL DE LA FUNCIÓN DE GESTIÓN DE RIESGOS
había introducido un nuevo factor de riesgo: el
Coordina, supervisa Organiza talleres de Realiza pruebas de
incumplimiento de los clientes. Cuando el negocio y revisa controles riesgo y reuniones de tensión, planiicación de
de Infosys se basaba en un gran número de pequeños especíicos del riesgo con revisión de riesgo escenarios y juegos de
la función de auditoría guerra con el equipo de
clientes, el incumplimiento de cualquiera de ellos interna Ayuda a desarrollar la gestión
no ponía en peligro la estrategia de la empresa. cartera de iniciativas de
riesgo y su inanciación Actúa como abogado del
Sin embargo, el incumplimiento de un cliente de diablo
Actúa como abogado del
USD 50 millones presentaría un contratiempo diablo
importante. Infosys comenzó a monitorear la tasa
RELACIONES DE LA FUNCIÓN DE GESTIÓN DE RIESGOS CON LAS UNIDADES DE NEGOCIOS
de permuta de incumplimiento crediticio de cada
uno de sus clientes como un indicador clave de la Actúa como supervisor Actúa como facilitador Complementa el equipo
independiente independiente, experto de estrategia o funciona
probabilidad de incumplimiento. Si la tasa de un independiente y experto como facilitador
cliente aumentara, Infosys aceleraría el cobro de las interno independiente de los
ejercicios de «previsión»
cuentas o solicitaría pagos parciales para reducir la
probabilidad o el impacto del incumplimiento.
Otro ejemplo es Volkswagen do Brasil (que luego se otorgar un periodo de crédito más prolongado a una
abrevió como VW), la sucursal brasileña del fabricante de empresa cuyos parámetros de riesgo crediticio son altos, el
automóviles alemán. La unidad de gestión de riesgos de VW gerente de riesgo funcional puede remitir el caso al equipo
utiliza el mapa de estrategia de la empresa como punto de central para su revisión.
partida de sus diálogos sobre riesgo. Para cada objetivo del Estos ejemplos muestran que el tamaño de la
mapa, el grupo identiica los eventos de riesgo que podrían organización no determina el tamaño y el alcance de la
hacer que VW no alcance ese objetivo. El equipo luego genera función de riesgo. Hydro One, una empresa grande, tiene un
un Cuadro del evento de riesgo para cada uno de los riesgos grupo de riesgo relativamente pequeño para concientizar y
del mapa y enumera los efectos prácticos del evento en las comunicar sobre el riesgo en toda la empresa y para asesorar
operaciones, la probabilidad de que ocurran, los principales al equipo ejecutivo sobre las asignaciones de recursos
indicadores y las posibles acciones de mitigación. También en función de los riesgos. Por el contrario, empresas o
identifica quién tiene la responsabilidad principal de unidades relativamente pequeñas, como JPL o el banco
manejar el riesgo. (Véase el anexo «El Cuadro del evento de privado JP Morgan, necesitan que varias juntas de revisión
riesgo»). El equipo de riesgo luego presenta un resumen de a nivel del proyecto o equipos de gerentes internos apliquen
alto nivel de los resultados a los directivos séniores. (Véase el conocimiento del campo para evaluar el riesgo de las
«El Boletín de riesgos»). decisiones empresariales. Infosys, una empresa grande
Además de introducir un proceso sistemático para con un amplio alcance operativo y estratégico, requiere
identiicar y mitigar los riesgos estratégicos, las empresas una fuerte función centralizada de gestión de riesgos
también necesitan una estructura de supervisión de riesgos. así como gerentes de riesgo dispersos que respalden las
Infosys utiliza una estructura doble: un equipo central que decisiones empresariales locales y faciliten el intercambio
identifica los riesgos estratégicos generales y establece de información con el grupo de riesgo centralizado.
la política central, y equipos funcionales especializados
que diseñan y monitorean las políticas y los controles Manejar lo incontrolable
con el asesoramiento de los equipos locales de negocios. Los riesgos externos, la tercera categoría de riesgo, por
Los equipos descentralizados tienen la autoridad y el lo general no se puede reducir o evitar a través de los
conocimiento para ayudar a las líneas del negocio a responder enfoques utilizados para gestionar los riesgos evitables
a las amenazas y los cambios en sus periles de riesgo, y solo y los estratégicos. Los riesgos externos se encuentran en
remiten las excepciones al equipo central para su revisión. buena parte fuera del control de la empresa; esta debe
Por ejemplo, si un gerente de relaciones con clientes quiere concentrarse en identificarlos, evaluar su potencial de
impacto y determinar cuál es la mejor manera de mitigar • Desastres naturales y económicos con impacto inmediato.
sus efectos, si llegaran a ocurrir. Estos riesgos se pueden predecir de manera general, aunque
Algunos riesgos externos son lo suficientemente normalmente no se puede determinar el momento (un
inminentes que los gerentes pueden gestionarlos como lo terremoto de gran magnitud azotará algún día a California,
hacen con los riesgos estratégicos. Por ejemplo, durante la pero no se sabe con exactitud dónde ni cuándo). Solo pueden
desaceleración económica posterior a la crisis inanciera anticiparse mediante señales relativamente débiles. Algunos
mundial, Infosys identiicó un nuevo riesgo relacionado ejemplos de este tipo de riesgo son los desastres naturales,
con su objetivo de desarrollar una fuerza de trabajo global: como la erupción del volcán islandés que cerró el espacio
un incremento del proteccionismo. Esta medida podía aéreo europeo durante una semana en 2010, y los desastres
generar fuertes restricciones a los visados y permisos de económicos, como el estallido de la burbuja financiera.
trabajo para los extranjeros en varios países de la OCDE Los efectos de estos riesgos generalmente son drásticos e
donde Infosys tenía grandes compromisos con los clientes. inmediatos, como los trastornos que causaron el terremoto y
Aunque la legislación proteccionista es técnicamente el tsunami en Japón en 2011.
un riesgo externo ya que excede el control de la empresa, • Cambios geopolíticos y ambientales con impacto a largo
Infosys la consideró un riesgo estratégico y creó un Cuadro plazo. Incluyen cambios políticos, como cambios importantes
del evento de riesgo, que incluía un nuevo indicador de en las políticas, golpes de estado, revoluciones y guerras;
riesgo: la cantidad y el porcentaje de empleados con doble cambios ambientales a largo plazo, como el calentamiento
ciudadanía o permisos de trabajo vigentes fuera de la India. global; y agotamiento de recursos naturales fundamentales
Si esta cantidad disminuyera debido a la renovación del como el agua potable.
personal, la estrategia global de Infosys podría estar en • Riesgos competitivos con impacto a mediano plazo.
peligro. Por lo tanto, la empresa implementó políticas de Incluyen la aparición de tecnologías disruptivas (como
selección y retención que mitigan las consecuencias de este Internet, teléfonos inteligentes y códigos de barras) y
evento de riesgo externo. movimientos estratégicos radicales por parte de los actores
La mayoría de los riesgos externos, sin embargo, del sector (como la entrada de Amazon en la venta de libros
demandan un enfoque analítico diferente, ya sea porque y de Apple en las industrias de teléfonos móviles y productos
la probabilidad de que ocurran es muy baja o porque a los electrónicos).
gerentes les resulta difícil preverlos durante los procesos Las empresas usan enfoques analíticos diferentes para
estratégicos normales. Hemos identiicado diversas fuentes cada una de las fuentes de riesgo externo.
de riesgos externos:
El Boletín de riesgo
VW do Brasil resume sus riesgos estratégicos en un Boletín de riesgo organizado por objetivos estratégicos (a continuación
se muestra un fragmento). Los gerentes pueden ver con facilidad cuántos de los riesgos identiicados son fundamentales
y requieren atención o mitigación. Por ejemplo, VW identiicó 11 riesgos asociados con el logro del objetivo «Satisfacer las
expectativas del cliente». Cuatro de estos riesgos fueron críticos, pero esto representó una mejora respecto de la evaluación
del trimestre anterior. Los gerentes también pueden controlar el progreso en la gestión de riesgos en toda la empresa.
RIESGOS RIESGOS
OBJETIVO ESTRATÉGICO EVALUADOS FUNDAMENTALES TENDENCIA
Lograr un crecimiento de la participación de mercado 4 1
Satisfacer las expectativas del cliente 11 4
Mejorar la imagen de la empresa 13 1
Desarrollar una organización distribuidora 4 2
Garantizar la gestión de innovaciones orientadas al cliente 5 2
Lograr la eicacia de la gestión de lanzamientos 1 0
Aumentar la eicacia de los procesos directos 4 1
Crear y gestionar una estrategia sólida de volumen de producción 2 1
Garantizar que los procesos de proveedor a fabricante sean coniables y competitivos 9 3
Desarrollar una cartera de productos atractiva e innovadora 4 2
puede aumentar los costos de construcción para proteger una relación cercana con los líderes séniors es la tarea
instalaciones fundamentales contra temblores graves. más importante; la capacidad de una empresa de capear
Además, empresas expuestas a riesgos diferentes pero tempestades depende de la seriedad con la que los directivos
comparables pueden cooperar para mitigarlos. Por ejemplo, se tomen la gestión de riesgos cuando el sol brilla y no hay
los centros de datos de TI en una universidad de Carolina nubes en el horizonte.
del Norte serían vulnerables a los huracanes, mientras Eso es lo que diferenció a los bancos que fracasaron en
que los de una universidad comparable en la falla de San la crisis inanciera de los que sobrevivieron. Las empresas
Andrés en California serían vulnerables a los terremotos. La que fracasaron habían relegado la gestión de riesgos a una
probabilidad de que ambos desastres ocurrieran el mismo función de cumplimiento; sus gerentes de riesgo tenían
día es tan baja que las dos universidades podrían decidir acceso limitado a directivos séniors y a sus directorios.
mitigar los riesgos haciendo una copia de seguridad del Asimismo, los ejecutivos por lo general ignoraron las
sistema de la otra todas las noches. advertencias de los gerentes de riesgo sobre posiciones
muy apalancadas y concentradas. Por el contrario, Goldman
El desafío de los líderes Sachs y JP Morgan Chase, dos empresas que enfrentaron
Gestionar el riesgo es muy diferente de gestionar la bien la crisis inanciera, tenían fuertes funciones internas de
estrategia. La gestión de riesgos se concentra en lo negativo: gestión de riesgos y equipos de líderes que comprendieron
amenazas y fracasos en lugar de oportunidades y éxitos. y gestionaron los riesgos a los que las empresas estaban
Es exactamente contrario a la cultura del «se puede» que expuestas. Barry Zubrow, director de riesgo de JP Morgan
la mayoría de los equipos de liderazgo intentan fomentar Chase, nos dijo: «Puedo tener el cargo, pero [el director
cuando implementan la estrategia. Muchos líderes suelen ejecutivo] Jamie Dimon es el director de riesgo de la
no tener en cuenta el futuro; son reacios a gastar tiempo y empresa».
dinero ahora para evitar un problema incierto que podría
ocurrir en el futuro, en el mandato de otra persona. Además, LA GESTIÓN de riesgos no es intuitiva; se opone a muchos
la mitigación del riesgo por lo general supone dispersar sesgos personales y organizacionales. Las reglas y el
recursos y diversificar inversiones, justo lo contrario al cumplimiento pueden mitigar algunos riesgos clave pero
enfoque profundo de una estrategia exitosa. Los gerentes no todos. Una gestión de riesgos activa y rentable exige a los
pueden considerar que es antiético a su cultura abogar por gerentes pensar sistemáticamente en las diversas categorías
procesos que identifican los riesgos a las estrategias que de riesgos que enfrentan a in de que puedan implementar
ayudaron a formular. procesos adecuados para cada una. Estos procesos
Es por ello que la mayoría de las empresas necesitan una neutralizarán la tendencia de los gerentes a ver el mundo
función aparte para manejar los riesgos estratégicos y los como les gustaría que fuera más que como realmente es o
externos. El tamaño de la función de riesgo variará de una podría llegar a ser.
empresa a otra, pero el grupo debe responder directamente Reimpresión de HBR R1206B
al equipo principal. De hecho, podría decirse que cultivar