Gestión de Riesgo Institucional ¿Por qué es importante un enfoque metodológico estándar?

La respuesta a esta pregunta podría ser muy corta: la administración eficaz de riesgo institucional no solo protege el valor actual de su organización, sino que genera valor adicional. Esa respuesta estaría bien si usted tuviera que responder a un director o miembro de una junta directiva. Pero la siguiente pregunta sería: ¿Cuál es la diferencia entre implementar un enfoque metodológico estándar y no hacerlo? ¿Acaso no administran (en cierto modo) el riesgo todas las organizaciones? Esa pregunta es ligeramente más compleja, antes de responder, es necesario aclarar la veracidad de tres hipótesis

Verdad o mito: todas las organizaciones administran riesgo

Esto es una verdad a medias, es correcto indicar que todas las organizaciones e incluso las personas administran el riesgo a la hora de tomar decisiones, pues consideran análisis rápidos o extensos antes de tomar la mejor decisión posible desde su perspectiva. Pero, ¿qué pasa cuando ponemos a 50 personas a decidir cuánto apostar en un juego de azar? Es probable que tarden mucho tiempo en ponerse de acuerdo. Lo mismo ocurre en las organizaciones, si el apetito de riesgo no es específico, va ser muy difícil avanzar en temas fundamentales y es ahí donde inicia la ineficiencia.

Verdad o mito: la gestión de riesgo es un tema financiero

Si alguien pensó en que esto era verdad, por favor considere lo siguiente: la gestión de riesgo es un tema organizacional, no financiero. Los impactos que pueda tener dicha gestión, siempre van a ser financieros: un daño en la reputación va reducir facturación, un acto de corrupción, va reducir nuestras posibilidades de nuevos contratos o acuerdos, etc. No obstante, el mayor desafío en diversas organizaciones, es la integración del riesgo en todos los niveles.

Verdad o mito: no necesitamos una metodología para administrar el riesgo, podemos hacerlo como siempre lo hemos hecho.

Este es el mito más grande, la prueba de ello es que la mayor parte del tiempo las organizaciones se pasan “apagando fuegos”, ideando formas de resolver problemas inesperados, resolviendo demandas, investigando fraudes, buscando fondos de emergencia, solicitando excepciones o intentando explicar porque no se cumplen los objetivos organizacionales. Todo esto en lugar de ejecutar los planes previamente definidos y enfocar los recursos en los desafíos o problemas que van a tener mayor impacto.

6 razones para implementar una metodologia de gestión de riesgo institucional formal en una ONG

Una vez aclarados estos mitos, consideremos que existen diversas metodologías para administrar el riesgo, entre las más conocidas están ISO 31000, COSO 2017, ISO 27005, MAGERIT, etc. La implementación de una o varias de estas va depender del análisis del contexto en el que su organización opera, por lo que hablaremos de esto más adelante, por ahora responderemos porque una organización debe administrar el riesgo utilizando alguna metodología estándar. Para ellos 6 razones que no tienen objeción:

1. Tener un plan organizacional estructurado: parece obvio, pero la mayor parte de las veces no hay un plan. No me refiero a un plan estratégico o de negocio, sino a un plan de gestión de riesgo con objetivos, actividades, fechas claves e indicadores de riesgo clave (KRI por sus siglas en inglés Key Risk Indicators). Esto solo se logra con una metodología clara que crea y protege el valor desde el nivel más estratégico, y para ello involucra activamente al consejo directivo y a la alta gerencia, de tal forma que estos puedan crear planes de mitigación adecuados que brinden una mayor probabilidad del logro de los objetivos estratégicos.  
2. Determinar el apetito de riesgo (cantidad de riesgo que estamos dispuestos a asumir): cuando aparece una oportunidad de negocio o un ofrecimiento que parece apropiado, nadie tiene claro si debemos o no incursionar. O lo que es peor, las decisiones trascendentales las toman perfiles operativos con menor criterio. Todo esto ocurre porque la organización no definió un marco de referencia de riesgo así como un apetito en las diferentes categorías. Una metodología hace esto, además de detallar procesos y procedimientos para mantener el riesgo dentro del rango de dicho apetito (es decir, en el nivel deseado).
3. Definir roles, responsabilidades y alcances: este punto tiene relación con unos de los mitos antes mencionados: los esfuerzos para mitigar riesgos son mayoritariamente hechos por los equipos financieros. Esto es insuficiente, la gestión debe venir como vimos en el punto anterior desde el liderazgo, y descender en todos los niveles de la organización. De tal manera que todas las personas y todos los niveles, hay roles y responsabilidades claras.
4. Tomar ventaja de lo inesperado: existe una diferencia muy grande entre una administración reactiva y una proactiva. Actuar de forma reactiva, en muchas de las ocasiones nos ayuda a generar un beneficio, reducir un costo o mitigar cierto nivel de impacto; esto es parte de la gestión de riesgo. Pero nada brinda mayores oportunidades, beneficios, reducción de costos y mitigación de impactos que la administración proactiva de riesgos, lo que permite saber de antemano cuales son los movimientos a realizar ante ciertos eventos, además de indicar el momento oportuno. 
5. Ser más eficiente en el uso de los recursos: ¿tiene usted idea del costo monetario de las amenazas o de la pérdida de oportunidades? ¿ha realizado análisis de costo beneficio respecto a la ineficiencia, el fraude, los desastres naturales? ¿Tiene cálculos precisos de cuanto significa para su organización el no poder operar durante una semana? Todas estas respuestas se obtienen al planificar y asignar recursos donde más vale la pena. No es secreto las grandes cantidades de dinero que se pierden porque los recursos se priorizaron en áreas o procesos que no agregan valor.
6. Saber el nivel de madurez de la organización: para los gerentes, socios, donantes o inversionistas, es importante saber cual es el estatus de las principales áreas; pero ¿Cómo saber cuál es el nivel de madurez o capacidad en la gestión de riesgo, sino tenemos un estándar? ¿De 1 a 10 que calificacion pondremos? Y cuales son los criterios? Esto sin contar que el limitado expertise en las organizaciones para elaborar estas mediciones. Y si queremos responder estas preguntas ¿Cuenta la organización con el personal calificado para realizar estas mediciones y criterios? Contar con una metodología estándar, le permite decir con confianza cuál es el nivel de madurez en la gestión de riesgo.

Bonus. Si bien es cierto las cinco razones anteriores deberían ser suficientes, aca una adicional: si usted es una organización sin fines de lucro y tiene acuerdos (o espera tenerlos) con grandes donantes: no existe mayor tranquilidad para un donante, que saber que una organización cuenta con una metodología de gestión de riesgo institucional estándar, pues podrían hablar en el mismo idioma. Esto puede hacer la diferencia a la hora de cerrar acuerdos de cooperación con donantes.

Corolario: es posible que una organización “gestione” el riesgo informalmente, y aún es posible que tenga éxito. Es cierto, un equipo de fútbol puede ganar sin una estrategia, con solo tener buenos jugadores que salgan a la cancha y hagan lo que quieran. Eso está bien para equipos aficionados; pero seamos honestos, en un torneo competitivo, siempre gana el equipo que tiene clara la estrategia.

Ocurre lo mismo en todos los mercados, una metodología de gestión de riesgos, articula una estrategia clara que brinda mayores probabilidades de alcanzar los objetivos organizacionales, mayor capacidad para reacciones a situaciones inesperadas y mayor eficiencia en el uso de los recursos, factores que sin duda, son fundamentales a la hora de competir en cualquier tipo de mercado. En resumen, me brinda posibilidades infinitamente mayores de éxito, recordemos que finalmente, todas las empresas y organizaciones buscan una cosa: lograr sus objetivos, protegiendo e incrementando el valor de su propuesta.