Las últimas opiniones de Alex Sidorenko sobre cómo la “innovación”, la falta de perspicacia empresarial y los consultores están matando la gestión de riesgos moderna en organizaciones no financieras.
Primero estuvo la ciencia…
Algunas fuentes sugieren que la teoría de la probabilidad comenzó en el juego y en el seguro marítimo. En ambos casos, la ciencia se utilizó principalmente para ayudar a las personas y a las empresas a tomar mejores decisiones y, por lo tanto, ganar dinero. La gestión de riesgos utilizaba herramientas matemáticas disponibles en ese momento para cuantificar el riesgo y su aplicación era bastante pragmática.
Los bancos y los fondos de inversión comenzaron a aplicar la gestión de riesgos y también la utilizaban para tomar mejores decisiones de precios e inversiones y para ganar dinero. La gestión de riesgos en ese momento era bastante científica. H. Markowitz, M. Miller, W. Sharpe ganaron un Premio Nobel en 1990 por el CAPM, una herramienta también utilizada para la gestión de riesgos. Esto no significa que la gestión de riesgos haya sido siempre precisa, solo hay que ver el caso de LTCM, pero una cosa es segura: los gestores de riesgos aplicaron lo último en teoría de la probabilidad y utilizaron herramientas bastante sofisticadas para ayudar a las empresas a ganar dinero (ya sea generando nuevos flujos de efectivo o protegiendo los existentes).
Entonces, la gestión de riesgos se convirtió en arte…
Luego llegó el turno de las empresas no financieras y las entidades gubernamentales. Y fue entonces cuando la gestión de riesgos comenzó a ser más un arte que una ciencia.
Algunas de las razones detrás del cambio fueron, sin duda:
- Falta de datos confiables para cuantificar riesgos (Douglas W. Hubbard en sus libros en realidad demostró que esto no es cierto). Hoy, literalmente no hay excusa para no cuantificar los riesgos en cualquier tipo de organización.
- Falta de demanda por parte de la empresa. Muchas organizaciones no financieras en ese momento eran menos sofisticadas en términos de planificación, presupuestación y toma de decisiones. Tantos ejecutivos ni siquiera pidieron a los gerentes de riesgos que proporcionaran un análisis de riesgos cuantificable.
- Falta de gerentes de riesgos calificados. Como resultado, muchos gestores de riesgos se volvieron "suaves" y "adorables", sin tener las habilidades o experiencia necesarias para cuantificar riesgos y medir su impacto en los objetivos y decisiones empresariales.
- Esto estuvo bien por el momento, fue parte de la curva de aprendizaje, supongo, y muchas de las empresas no financieras aprendieron rápidamente qué riesgos cuantificar y cómo. Otras empresas que no lograron madurar generalmente perdieron interés en la gestión de riesgos, o debería decir, nunca vieron el valor real.
Hoy es un desastre...
Lo que estoy viendo hoy, sin embargo, no es más que notable
En lugar de ser pragmático, simple y enfocado en ganar dinero, la gestión de riesgos se trasladó a la "tierra de las palabras de moda". Si estás leyendo esto y pensando: “Espera, Alex, la velocidad del riesgo es importante, las organizaciones deben ser resistentes al riesgo, la gestión del riesgo trata tanto de oportunidades como de riesgos, el apetito, la capacidad y las tolerancias al riesgo deben ser cuantificadas y discutidas en el nivel de la Junta y el riesgo inherente es útil.” ¡Felicidades! Es posible que hayas perdido contacto con la realidad empresarial y que estés contribuyendo al problema.
He agrupado mi pensamiento en cuatro áreas problemáticas
A. No existe literalmente ninguna relación entre la ciencia moderna y la gestión del riesgo empresarial.
Hoy, incluso las organizaciones no financieras más avanzadas utilizan las mismas herramientas de gestión de riesgos (árboles de decisión, Monte Carlo, VaR, pruebas de estrés, análisis de escenarios) creadas en los años 40 y 60. La investigación más reciente en pronósticos, modelado de incertidumbre, cuantificación de riesgos y redes neuronales es principalmente ignorada por la mayoría de los gestores de riesgos en el sector no financiero.
Irónicamente, muchas organizaciones sí utilizan herramientas como las simulaciones de Monte Carlo (desarrolladas en 1946, por cierto) para la previsión y la investigación, pero no es el gestor de riesgos quien lo hace. Lo mismo se puede decir sobre el último avance en la tecnología blockchain, posiblemente la mejor herramienta para una gestión transparente y precisa del riesgo de contraparte. Pero prácticamente ignorado por los gestores de riesgos.
También han pasado años desde la última vez que vi a un científico presentar en algún evento de gestión de riesgos compartiendo nuevas formas o herramientas para cuantificar los riesgos asociados con los objetivos comerciales. Lo mismo se puede decir sobre la mala calidad general de la investigación de posgrado publicada en el campo de la gestión de riesgos.
B. La gestión moderna de riesgos está desconectada de las operaciones comerciales diarias y la toma de decisiones
A menos que estemos hablando de una organización sin fines de lucro o una entidad gubernamental, el objetivo es simple: ganar dinero. Y mientras generan dinero, cada organización enfrenta mucha incertidumbre. Por suerte, los negocios cuentan con una variedad de herramientas para ayudar a lidiar con la incertidumbre, herramientas como la planificación empresarial, la previsión de ventas, la elaboración de presupuestos, el análisis de inversiones, la gestión del rendimiento y otras más.
Sin embargo, en lugar de integrarse en todos los gestores de riesgos mencionados anteriormente, a menudo optan por seguir su propio camino, crear un universo paralelo, específicamente dedicado a los riesgos (lo cual creo que es muy ingenuo). Algunos de los ejemplos comunes incluyen
- Crear un documento de marco de gestión de riesgos en lugar de actualizar las políticas y procedimientos existentes para alinearlos con los principios generales de gestión de riesgos en ISO31000:2009
- Realizar talleres de riesgos en lugar de discutir riesgos durante la fijación de estrategias o reuniones de planificación empresarial
- Realizando evaluaciones de riesgo por separado en lugar de calcular riesgos dentro del presupuesto existente o modelos financieros o de proyecto
- Crear planes de mitigación de riesgos en lugar de integrar la mitigación de riesgos en los planes de negocio y KPIs existentes
- Informar los niveles de riesgo en lugar de informar KPI@Risk, CF@Risk, Budget@Risk, Schedule@Risk
- Crear informes de riesgo separados en lugar de integrar la información de riesgo en los informes de gestión habituales, y así sucesivamente…
- La gestión de riesgos se ha convertido en un objetivo en sí misma. Los ejecutivos del sector no financiero dejaron de ver, o quizás nunca lo hicieron, la gestión de riesgos como una herramienta para ganar dinero. Los gestores de riesgos no hablan, muchos ni siquiera entienden el idioma de los negocios o cómo se toman las decisiones en la organización. El análisis de riesgos suele estar desactualizado y, cuando los gestores de riesgos lo capturan, las decisiones comerciales importantes ya se han tomado hace mucho tiempo.
C. Los gestores de riesgos siguen ignorando la naturaleza humana
A pesar de la extensa investigación realizada por los ganadores del Premio Nobel D. Kanehmman, A. Tversky y otros, los gestores de riesgos siguen utilizando juicio experto, mapas/matrices de riesgos, escalas de probabilidad x impacto, encuestas y talleres para captar y evaluar riesgos. Estas herramientas no proporcionan resultados precisos (por decirlo suavemente), nunca lo han hecho y nunca lo harán. Simplemente deja de usarlos. Existen mejores herramientas para integrar el análisis de riesgos en la toma de decisiones.
Construir la cultura de conciencia de riesgo es fundamental para el éxito de cualquier organización, sin embargo, muy pocos gestores de riesgos modernos invierten en ello. En lugar de realizar talleres de riesgo, los gerentes de riesgo deberían enseñar a los empleados sobre la percepción del riesgo, sesgos cognitivos, los fundamentos de la ISO31000:2009 y cómo integrar el análisis de riesgos en sus actividades diarias y en la toma de decisiones.
D. Los gestores de riesgos están demasiado ocupados persiguiendo al unicornio
En lugar de ceñirse a lo básico y hacer que funcionen, muchos están demasiado ocupados persiguiendo las últimas “palabras de moda” y “innovaciones”. Recuerda, cómo la “resiliencia” fue algo importante hace unos años, antes estaban los “riesgos emergentes”, también la “inteligencia de riesgos”, la “agilidad”, el “riesgo cibernético”, la lista continúa y continúa. Parece que estamos tan ocupados buscando al nuevo enemigo cada año que olvidamos hacer bien lo básico.
Los consultores últimamente parecen tener demasiado peso en cómo evoluciona la gestión de riesgos moderna. La última entrega fue el nuevo borrador de COSO:ERM, creado por PwC y publicado por COSO en junio de este año. Y qué montón de tonterías fue esa. Los autores seguramente "innovaron": entre otras "ideas útiles", idearon una nueva forma de captar perfiles de riesgo. Qué bien... si la evaluación de riesgos fuera el objetivo de la gestión de riesgos. Lamentablemente, no lo es. La evaluación de riesgos en cualquier forma hace poco para ayudar a los ejecutivos y gerentes a tomar decisiones arriesgadas todos los días. Para más comentarios sobre COSO:ERM haz clic aquí.
Para ser completamente justos, el equipo global que actualmente trabaja en la actualización de la ISO31000:2009 también cuenta con algunos consultores, que tienen un conocimiento muy limitado sobre la aplicación de la gestión de riesgos en las decisiones diarias y en ayudar a las organizaciones a generar ingresos.
Creo que es hora de volver a lo básico y convertir la gestión de riesgos en la herramienta para ayudar a tomar decisiones y ganar dinero.
Interesado en escuchar tus pensamientos, comparte, dale me gusta y comenta abajo.
guías y plantillas de RISK-ACADEMY
