Es desconcertante, ¿verdad? La gestión de riesgos, un campo que ha sido formalizado y estandarizado en empresas no financieras desde la década de 1990 y aceptado ampliamente en 2009 con la publicación de la ISO31000, de alguna manera no parece haber provocado los cambios sísmicos que anticipábamos. Al hojear artículos en Forbes, encuentro más historias de "la gestión de riesgos ha fallado nuevamente" que de "éxito".
Los gestores de riesgos de todo el mundo han estado rascándose la cabeza por el problema. Cada conferencia de gestión de riesgos, cada encuesta de riesgos, muchos estudios académicos y grupos de trabajo intentaron identificar las barreras para la efectividad de la gestión de riesgos. Pero la ironía es evidente; las conclusiones que se sacan a menudo parecen rascar la superficie, dejando las causas raíz intactas. Entonces, ¿qué está fallando?
En mis ojos, la respuesta es clara, aunque un poco dura: los gestores de riesgos deben ser realmente malos en la habilidad básica de análisis de causa raíz. Ahora, antes de que discutas, profundicemos un poco más.
Año tras año, se identifican los culpables comunes por el pobre rendimiento de la gestión de riesgos: falta de integración, mala aplicación, necesidad de capacitación del personal; la lista continúa. Sin embargo, estas razones parecen más como señuelos, distracciones de los verdaderos problemas en cuestión.
En cambio, argumento que la causa raíz son las fallas fundamentales en el diseño de la gestión de riesgos en sí misma. Tomemos el ejemplo más popular: el concepto de ERM. No es que nuestro personal necesite una mejor educación o que de alguna manera la estemos implementando mal. ERM está defectuoso por diseño. Es una tontería incluso intentar implementar la gestión de riesgos empresariales en toda la organización. Aquí tienes un desafío, escribe cualquier principio de ERM en los comentarios a continuación y explicaré cómo está equivocado y cuál es una mejor alternativa. Hay muchas ideas prácticas y útiles de gestión de riesgos bajo el paraguas de la GRC, pero la forma en que estas ideas se reúnen y se presentan como GRC es simplemente un mal negocio.
¿Qué hay del siguiente favorito, las evaluaciones cualitativas de riesgos, una piedra angular de las prácticas actuales de gestión de riesgos? A menudo se les ignora, no porque los empleados carezcan del conocimiento para comprenderlos, sino porque son inherentemente engañosos. Los tomadores de decisiones ignoran a los gestores de riesgos con sus talleres de riesgos no porque sean malvados, sino porque ven a través de las fallas de la metodología para darse cuenta de cuánto tiempo perdido es eso. Talleres de riesgo destinados a descubrir amenazas ocultas, pero que a menudo son solo cámaras de eco, donde las voces fuertes dominan y los riesgos reales se pasan por alto.
¿Otra señal de advertencia? Declaraciones de apetito por el riesgo. Son bastante en papel, pero en la práctica son vagas, sujetas a interpretación y rara vez vinculadas a decisiones comerciales reales. Porque los apetitos de riesgo para las decisiones comerciales existentes ya están documentados en lugares completamente diferentes.
Incluso el sistema de reporte de riesgos forma parte del problema. Largos, centrados en el riesgo, desconectados de las decisiones o el rendimiento, es más probable que confundan que que informen. Terminan enterrados en las bandejas de entrada de los ejecutivos, que tienen poco tiempo para descifrarlos.
Defectuoso por diseño, un ERM efectivo es un oxímoron.
Entonces, ¿dónde nos deja esto? Parece claro que hay un problema fundamental en la forma en que abordamos la gestión de riesgos. No se trata de parchear agujeros o hacer ajustes menores; se trata de volver a la mesa de dibujo. Hacer una mejor declaración de apetito por el riesgo o un mejor mapa de calor es como reorganizar las sillas del Titanic.
Si eres un gestor de riesgos, esto podría ser difícil de escuchar. Pero creo que es una comprobación de realidad necesaria. Necesitamos reconocer los problemas inherentes a nuestros modelos actuales de gestión de riesgos antes de poder avanzar de manera significativa.
¿Qué piensas? ¿Estamos fallando en identificar la causa raíz de la limitada efectividad de la gestión de riesgos? Me encantaría escuchar tus pensamientos.