ERM, más vale prevenir que curar

José Esteves. Profesor. Instituto de Empresa

26 Febrero 2007

Los riesgos están en todas partes y cualquier “pequeño detalle” puede herir gravemente a las empresas, que necesitan gestionar integradamente este amplio espectro.

Los últimos escándalos empresariales internacionales, y algunos nacionales, han contribuido a crear una conciencia sobre la necesidad de gestionar los riesgos de manera proactiva. Recientemente, la respetada Hewlett-Packard admitió públicamente que usó una serie de tácticas poco éticas, mermando su credibilidad y reputación tanto en la opinión pública como en sus inversores y clientes. Otros escándalos sonados como Enron, Worldcom, Xerox o el desastre de la lanzadera espacial que puso de relieve la ineficiencia de la gestión de riesgos en la NASA y provocó la muerte de 7 personas, han desatado un claro cambio de enfoque en la gestión de riesgos empresariales. Lógico, teniendo en cuenta que el grado de decepción de los inversores en las grandes empresas aumentó un 10% en 3 años.

[*D En banca, hasta hace, el concepto de riesgo se ceñía a la gestión de riesgos, no lo veían como un concepto que integra todas las aristas del grupo (ERM) *]

En muchas empresas, se siguen analizando los riesgos de manera funcional o muy específica. El caso de la banca resulta paradigmático: hasta hace bien poco, el concepto de riesgo se refería únicamente a la gestión de riesgos bancarios. En contraste, el enfoque de Enterprise Risk Management (ERM) supone la gestión integrada y sistemática de todos los riesgos dentro y fuera de una empresa. El ERM reconoce algo tan intuitivo como que cualquier toma de decisión, acción o plan estratégico desarrollado por una empresa tiene objetivos que llevan aparejados una serie de riesgos inherentes. Resulta fundamental, por tanto, identificarlos, evaluarlos en función de su probabilidad e impacto, y tratar de mitigar, cuando menos, los más críticos de todos ellos. El ERM intenta analizar todos los riesgos a través de la misma óptica, y tratarlos todos ellos con el mismo conjunto de herramientas. La falta de una cultura y de una buena gestión de riesgos conlleva que muchas empresas no definan claramente lo que es un riesgo, y que diferentes áreas evalúen los riesgos de distintas formas y con diferentes criterios, a veces dispares entre sí.

[*D El ERM intenta analizar todos los riesgos a través de la misma óptica, y tratar todos ellos con el mismo conjunto de herramientas. *]

Y es que, efectivamente, muchas empresas no evalúan amplios aspectos relacionados con diversos tipos de riesgos, o los evalúan de forma simplemente departamental, desestimando su posible impacto a nivel de otras áreas de la empresa o de la empresa en su conjunto. Con la ayuda de la tecnología, la integración de procesos y personas en las empresas pasa a ser una realidad, pero una realidad que, paradójicamente, ha magnificado los riesgos en lugar de reducirlos. Existen riesgos, incluso, que pueden tener un impacto muy bajo si se analizan de forma aislada, pero que combinados con otros pueden llegar a tener un efecto catastrófico.

Otro ejemplo muy típico: que los directivos o gestores de una empresa utilicen cuentas de correo electrónico gratuitas, como Hotmail o Yahoo!, para enviar información a sus clientes cuando tienen su correo profesional lleno. Muchos analistas lo considerarían un riesgo bajo, o peor aún, ni siquiera lo considerarían un riesgo. Ahora deténgase a analizar, además del posible riesgo de seguridad inherente a este tipo de cuentas de correo, el escándalo mediático que produciría sobre la imagen de un banco un artículo de prensa que mencionase que sus gestores envían los balances a sus clientes mediante cuentas de Hotmail… Visualice la imagen y profesionalidad del banco: tanto dinero invertido en imagen corporativa y que se destaparan semejantes “detalles sin importancia”. Como en el caso del presidente de una conocida entidad financiera española, que enviaba los planes estratégicos a través de una cuenta de este tipo.

[*D El riesgo de reputación e imagen es probablemente el riesgo que más empresas olvidan evaluar *]

Numerosas empresas invierten verdaderas fortunas en sistemas de seguridad para protegerse de ataques externos, y se olvidan de que, en realidad, muchos de los riesgos resultan estar dentro. Se lo puedo asegurar: no hablamos de ficción, sino de la realidad de muchas de las más importantes empresas españolas. Y aunque las nuevas normativas, como Sarbanes Oxley, vienen a exigir algo más de orden en muchos de estos riesgos, un enfoque de gestión de riesgos nunca debería de ser reactivo, obligado por normativas o leyes. Debería ser proactivo, genuino, motivado por el conocimiento del negocio y creado mediante el desarrollo de una cultura de gestión de riesgos en la compañía.

El riesgo de reputación e imagen es probablemente el riesgo que más empresas olvidan evaluar. Hoy en día empieza a existir mucha presión en las empresas para cuantificar todos sus riesgos. Sin embargo, esta cuantificación es muy holística. Mientras en España el tema de ERM es aún muy novedoso, internacionalmente el enfoque ERM es crítico y prioritario en muchas empresas. Muchas de ellas están creando el cargo de Chief Risk Officer. En España, como mejor práctica, esperamos siempre algún escándalo para que se actúe después, aprisa y corriendo…

Último vídeo

Martha Thorne valora el fallo del Premio Pritzker 2017

See video
Síguenos en
IE Focus Newsletter
Agenda IE
Most read
IE Business School | María de Molina 11, 28006 Madrid | Tel. +34 91 568 96 00 | e-mail: info@ie.edu

Contacto

IE Business School

María de Molina, 11. 28006 Madrid

Tel. +34 915 689 600

info@ie.edu