Afrontar riesgos emergentes

Transcripción

Ampliar la gestión de riesgos
corporativos para afrontar
los riesgos emergentes
Gestionar
riesgos
actuales
Afrontar
riesgos
emergentes
Indice
Presentación de Samuel A. DiPiazza Jr 1
Capítulo 1
El quid de la cuestión
3
Capítulo 2
Estudio profundizado
7
2.1 Comprensión de los riesgos emergentes
2.2 Asignación de recursos para estar preparado
2.3 Disciplina para afrontar los riesgos emergentes en la gestión
de riesgos corporativos
7
11
Capítulo 3
Qué significa para su negocio
15
3.1 Identificación de los riesgos emergentes en relación con los objetivos básicos
3.2 Evaluación de la importancia de los riesgos, interconexión con otros riesgos
e implicaciones para la empresa
3.3 Determinación de las estrategias de respuesta a los riesgos, considerando
la colaboración con partes externas
3.4 Control rutinario de los riesgos emergentes a través de un uso efectivo
de los indicadores
16
Conclusión: Riesgos emergentes convertidos en oportunidades emergentes
25
Anexo A: Gestionar los riesgos emergentes mediante una estructura gestión
de riesgos corporativos Anexo B: G
estionar riesgos emergentes. Casos prácticos 26
27
Capítulo 4
13
18
22
Anexos
Agradecimientos
30
Presentación de Samuel A. DiPiazza Jr
En los últimos años, importantes sucesos que nos parecían improbables, lejanos o aislados
(cambio climático, inseguridad alimentaria, volatilidad en el suministro energético, cambios
tecnológicos y crisis de liquidez mundial, por nombrar sólo algunos) se han manifestado o han
modificado el curso de los negocios de numerosas organizaciones.
Hemos visto que prestigiosas compañías de servicios
financieros sucumbían ante la mayor crisis financiera
conocida en décadas; la evolución de la industria de la
automoción se ha acelerado por la necesidad de reducir la
dependencia de los recursos naturales no renovables; los
temas relacionados con la seguridad de productos y de
alimentos han tenido unas repercusiones considerables en
empresas con una excelente reputación; y otras
preocupaciones actuales, como la volatilidad de los precios
energéticos y la inestabilidad política, han hecho que la
economía global interconectada sea impredecible e incierta.
Estos riesgos globales o “emergentes” tienen una naturaleza
propia y van más allá de la capacidad de control de una única
empresa. Por mucho que su probabilidad pareciera baja en
otros tiempos, su impacto es ahora tan importante, con
potencial de destrucción o de generación de oportunidades,
que ya no se puede mirar hacia otro lado. Ahora lo
desconocido está en las agendas de los Directores de
Empresas, lo que no sorprende en absoluto.
Y es que tras estos sucesos inesperados se ha descubierto
en muchos casos la falta de preparación o de respuesta
efectiva. Por mucho que hubiera procesos en marcha para
identificar, evaluar y gestionar riesgos, las deficiencias se
hacen evidentes cuando estos procesos no se actualizan de
modo sistemático según las condiciones del momento. Si se
identifica el riesgo después de que se haya manifestado
seguramente ya será demasiado tarde.
La agilidad para detectar y adaptarse a los cambios y
detectar las interrelaciones entre sucesos se hace
imprescindible, no sólo para aguantar, sino también para
aprovechar las oportunidades que se presenten. Según los
datos obtenidos por PricewaterhouseCoopers en la Encuesta
Anual de CEO 2008, un 95% de los encuestados creen que la
agilidad en el cambio es importante, incluso crítica, para
hacerse con ventaja competitiva en el crecimiento sostenible
a largo plazo. De hecho, como casos destacados de este
panorama de crisis financiera tenemos a las empresas que
han demostrado ser capaces de identificar las señales de
mayor exposición antes que las demás. Nos referimos al
aumento de las hipotecas, a la relajación de las condiciones
crediticias, a que los prestatarios estaban firmando
documentos hipotecarios con cláusulas que no entendían, a
la emergencia de nuevos instrumentos financieros
relacionados con hipotecas o la posible burbuja inmobiliaria.
Mientras que algunas entidades financieras se han tenido
que doblegar a los movimientos realizados anteriormente y
las dificultades para hacer los ajustes necesarios cuando las
señales eran ya más que evidentes, otras han sido capaces
de dar los pasos adecuados en sus posiciones y han podido
llevar a cabo adquisiciones y crecer.
Comprender el potencial del cambio en las reglas del juego
requiere una gran conciencia de las condiciones en cada
momento y una correcta evaluación de riesgos y de su
impacto, además de conocer bien la interconexión entre los
riesgos y las implicaciones para la estrategia y los objetivos
de la organización. La organización protegida contra los
riesgos revisa continuamente las condiciones en busca de
cambios que puedan afectar a su estrategia y sus objetivos,
aplica los ajustes necesarios para adaptarse, y es consciente
de que ciertos riesgos pueden ser demasiado importantes
para afrontarlos en solitario. Por ello, se pueden firmar
acuerdos de colaboración para mitigar determinados riesgos
con socios de la cadena de suministros o con empresas del
mismo nivel (industrial, geográfico, etc.) que se enfrenten al
mismo tipo de problemas. Las estrategias de colaboración
también son válidas entre unidades de negocio
independientes dentro de una misma organización.
Las organizaciones deben ofrecer una nueva mirada a sus
procesos de gestión de riesgos y a la asignación de recursos
para garantizar que los riesgos emergentes estén
correctamente identificados, evaluados y gestionados desde
la planificación estratégica a los procesos del día a día en
todos los niveles de la organización. Las prácticas de gestión
de riesgos y los radares de riesgos resultantes deben
evolucionar desde los programas centrados en una única
empresa, diseñados para gestionar el impacto de los riesgos
de una única organización, y pasar a un proceso más
colaborativo, en que varias organizaciones y las diferentes
partes implicadas cooperan para evaluar y mitigar riesgos
compartidos. Comprometerse como es debido con ese
espíritu de colaboración obtiene la recompensa de una mejor
preparación y una mejor respuesta a los riesgos que pueden
afectar a la estrategia comercial de las organizaciones y a su
propia supervivencia, y puede desvelar unas oportunidades
desconocidas hasta el momento.
Samuel A. DiPiazza Jr
Consejero delegado de PricewaterhouseCoopers
PricewaterhouseCoopers
1
Evitar
riesgos
desconocidos
Sacar partido
a las
oportunidades
2
Ampliar la gestión de riesgos corporativos para afrontar los riesgos emergentes
Capítulo 1
El quid de la cuestión
Muchas organizaciones han puesto en marcha programas de gestión de riesgos para identificar,
evaluar, gestionar y dar respuesta a riesgos. Mediante técnicas de evaluación de riesgos, como por
ejemplo análisis de escenarios y stress testing (pruebas de tensión), se diseñan estrategias de
respuesta de acuerdo con los objetivos de la entidad, su tolerancia y perfil de riesgo.
Ahora bien, a raíz de un suceso importante pueden revelarse
carencias en los programas de gestión de riesgos que
limiten la resistencia de la organización en ese sentido.
Cuestiones que se plantean entonces: ¿Dónde estaba la
brecha? ¿Por qué no funcionó el proceso de gestión de
riesgos? ¿Cómo se podía haber previsto?
La gestión de riesgos corporativos sólo es
efectiva si puede crear un radar de riesgos
adecuado y que tenga en cuenta el futuro.
La gestión de riesgos corporativos (en inglés, enterprise risk
management, ERM) sólo es efectiva si el proceso de gestión
de riesgos crea un radar de riesgos para la empresa que sea
adecuado y que tenga en cuenta el futuro. Pensemos en
cómo, en los dos últimos años, el cambio climático ha
pasado de décadas de ser un componente del debate
científico a ser un motor fundamental de las estrategias
empresariales. O pensemos en lo sucedido tras el 11-S: el
terrorismo pasó de ser una mera especulación a convertirse
en una prioridad absoluta para los comités directivos. Este
tipo de “riesgos emergentes”, que van más allá de la
capacidad unilateral de control, han transformado el mundo
en que nos movemos. Algunas empresas han llegado a
desaparecer por culpa de estos riesgos, pero otras ahora
son más fuertes. ¿Por qué unos fracasan y otros se
fortalecen?
Dado que la confluencia de tendencias en las últimas
décadas ha llevado a una mayor interdependencia en la
economía global, también ha aumentado la interconexión de
los riesgos, que en principio no entienden de empresas,
sectores y fronteras nacionales. Para poder mejorar, las
empresas cada vez colaboran más estrechamente con
distintos grupos, inversores, reguladores, etcétera. En este
proceso, se exponen a una mayor lista de riesgos, y el riesgo
reputacional no es precisamente el menos importante.
Mientras que la tecnología nos ha permitido nuevas formas
de colaboración dentro y fuera de la propia empresa, los
riesgos que representa no conocen fronteras. Pensemos,
por ejemplo, en las consecuencias de un apagón de Internet.
No hay duda de que las interacciones del mundo
interconectado han aumentado la complejidad de la gestión
de riesgos.
Desde las agencias de calificación crediticia, como Standard
& Poor’s, se insta también a un mayor protagonismo de la
gestión de riesgos, pues sus directrices en materia de
gestión de riesgos corporativos estipulan que “un buen
programa de gestión de riesgos debe considerar los riesgos
que actualmente no existen o que aún no se reconocen,
pero que podrían surgir a raíz de cambios en el entorno.
Para dichos riesgos, el control y la identificación de riesgos
normal no bastan, porque su frecuencia y sus
consecuencias nos son del todo desconocidas. No
obstante, la experiencia nos demuestra que cuando se
materializan, tienen un impacto significativo y por lo tanto, no
se pueden ignorar”.1
Además, las disposiciones del documento “Implementing
Recommendations of the 9/11 Commission Act of 2007” de
los Estados Unidos (conjunto voluntario pero formal de
procesos de certificación, normativas y protocolos para la
continuidad de las empresas y la gestión protegida)
refuerzan la idea de que, en general, los grupos de interés,
los inversores y los reguladores esperan que las empresas
gestionen los riesgos en su totalidad, que también mitiguen
los riesgos que antes se percibían como escenarios
extremos, y que quizá se sigan percibiendo así.
1 Standard & Poor’s, “Criteria: Summary of Standard & Poor’s Enterprise Risk Management Evaluation Process for Insurers”, RatingsDirect (2007).
3
Para responder a riesgos que pueden parecernos
desconocidos o imposibles de conocer, las organizaciones
deben adoptar un enfoque sistemático para la identificación
de los riesgos emergentes, su valoración y su gestión. Poner
en práctica de modo efectivo los principios de la gestión de
riesgos corporativos puede ayudar a los directivos de las
empresas a tomar decisiones con conocimiento de causa,
de modo racional, con vistas a crear valor siempre que haya
riesgos emergentes implicados. Las organizaciones se
pueden proteger mejor y pueden ahondar en su gestión de
estrategias y objetivos, asimilando esta disciplina en su
cultura de gestión de riesgos asimilando esta disciplina
veamos los pasos recomendados:
Identificación de los riesgos emergentes
relevantes para la organización
En relación con la estrategia y los objetivos de la
organización, los riesgos deberían identificarse mediante un
correcto proceso de estudio y análisis de todos los factores
de riesgo relevantes, por muy remotos que nos parezcan.
Dichos riesgos, junto con los otros riesgos conocidos,
conforman la base del radar de riesgos de la organización, y
deben actualizarse a tiempo real conforme se vayan
produciendo cambios en el entorno.
Evaluación de la importancia de los
riesgos, interconexión con otros riesgos e
implicaciones para la empresa
Evaluar de modo eficaz los riesgos emergentes requiere
plantearse la importancia del riesgo para la entidad y sus
grupos de interés (tanto internos como externos),
considerando el impacto, la probabilidad y las correlaciones
(interconexión con otros riesgos) de acuerdo con la
estrategia y los objetivos de la organización.
Al aplicar la gestión de riesgos corporativos
a los riesgos emergentes, las
organizaciones demuestran una mayor
agilidad para detectar y responder a los
riesgos a gran escala.
4
Determinación de las estrategias de respuesta
a los riesgos, considerando la colaboración
con partes externas.
Al afrontar riesgos emergentes, la organización puede tener
que aceptar el riesgo tal cual o responder mediante
estrategias de mitigación y mediante una correcta
preparación. Al determinar su enfoque, según el impacto
esperado y la probabilidad de ocurrencia en relación con la
aversión al riesgo de la empresa y la tolerancia de desviación
de objetivos, la organización puede tantear a posibles
colaboradores para mitigar el riesgo o prepararse para su
posible materialización. La colaboración siempre será más
fluida si se comparte la experiencia con terceros también
afectados (miembros de la misma cadena de valor o
empresas del mismo sector o punto geográfico). Se puede
compartir el coste de no mitigar el riesgo como las ventajas
de mitigarlo correctamente.
Control rutinario de los riesgos emergentes a
través del uso efectivo de indicadores
Es preciso que se asignen recursos (o se reasignen) para
identificar y controlar indicadores de riesgos emergentes y
mejorar los mecanismos empresariales para afrontarlos con
más agilidad en caso de que se materialicen. Considerando la
naturaleza, la escala y la interconexión de los riesgos, así
como las alternativas de mitigación de riesgos organizativos,
esos recursos deben permitir una gestión de riesgos dinámica
en apoyo de la estrategia y los objetivos de la organización.
Los riesgos emergentes se pueden controlar a través de
indicadores cualitativos y cuantitativos. Comprender las
circunstancias en torno a los posibles riesgos emergentes
proporciona un punto de partida para controlar los síntomas
de los temas que se desarrollan, que deberán limarse
conforme se vaya disponiendo de más datos para controlar y
determinar la necesidad de respuestas de riesgo alternativas.
Poner en práctica los principios de gestión de riesgos
corporativos para los riesgos emergentes representa una
oportunidad de captar por completo la recompensa de una
gestión de riesgos efectiva, que se manifiesta en la agilidad
para detectar y responder a los riesgos a gran escala. Esa
disciplina debe estar asimilada en los procesos y las
herramientas utilizadas para planificar, ejecutar y evaluar el
rendimiento del negocio. Con el uso de procesos innovadores
como el análisis de escenarios y simulaciones de sucesos, y
con el apoyo de una fuerte cultura de gestión de riesgos, las
organizaciones serán más capaces de identificar y priorizar
los riesgos emergentes para proteger el valor y profundizar en
la estrategia y los objetivos de la organización.
Controlar
riesgos
actuales
Radar de
riesgos
emergentes
5
Capítulo 2
Estudio profundizado
2.1 Comprender los riesgos emergentes
Los riesgos emergentes, también conocidos como riesgos
globales, son sucesos a gran escala o circunstancias
derivadas de tendencias globales; quedan fuera del control de
una entidad por sí sola; y suelen tener efectos no sólo en la
propia organización, sino también en terceros dentro del área
geográfica, industria o sector, con una magnitud difícil de
imaginar a día de hoy. Los riesgos emergentes son los que
tienen un fuerte impacto, son difíciles de predecir y superan
las expectativas “normales”. Es lo que el filósofo y
epistemiólogo Nassim Nicholas Taleb llama “cisnes negros”,
haciendo referencia al hecho de que los europeos pensaban
que todos los cisnes eran blancos hasta que unos
exploradores descubrieron en Australia que había cisnes
negros.
Como estos riesgos presentan un alto impacto pero una baja
probabilidad, y recaen en el control directo de la organización
en cuanto a su mitigación, a menudo acusan una falta de
recursos. Cuando el presupuesto es escaso, los riesgos con
una mayor probabilidad de ocurrencia tienden a priorizarse.
Cuando se compite por la atención de la Dirección, los
riesgos con una mayor probabilidad de impactar en los
resultados y en los beneficios también se anteponen. Ahora
bien, si no se comprenden y no se realiza un seguimiento de
los riesgos emergentes, se puede llegar a una situación en
que lo que hoy se pospone, acaba ocupando la primera
plana de los periódicos. A consecuencia de ello, esos riesgos
suelen llevar la etiqueta de “inesperados” o “desconocidos”.
Uno puede argumentar, sin embargo, que “casi todos los
hechos de la historia con consecuencias son inesperados”.2
De hecho, con un adecuado proceso de información y
análisis, lo inesperado suele ser predecible, extrapolando de
variaciones en estadísticas basadas en observaciones
previas.
Los riesgos emergentes son sucesos de
gran envergadura con circunstancias que
quedan fuera de nuestro alcance en cuanto
al control, y que nos afectan de un modo
difícil de imaginar
La velocidad y el impacto de esos riesgos se exacerban aún
más por su interdependencia con otros riesgos, lo que
requiere una profunda comprensión, no sólo de los factores
de riesgo subyacentes, sino también de otros
acontecimientos que puedan desencadenarse. En la
economía global, en la que se buscan oportunidades más
allá de nuestros sectores y fronteras, los riesgos se
extienden con rapidez.
La crisis de las hipotecas subprime se dio cuando, en un
período muy corto de tiempo, las empresas vieron que sus
paquetes de valores respaldados por hipotecas y sus
obligaciones de deuda colaterizada (respaldada por
hipotecas subprime) se situaban en unas posiciones que no
se podían vender de ninguna de las maneras. La crisis
afectaba por igual a empresas que no tenían nada que ver,
los mercados de crédito estaban congelados y la crisis de
liquidez se extendía por todo el mundo, hasta el punto de
que los bancos centrales se han visto forzados a inyectar
miles de millones de dólares en los mercados de capitales y
el crecimiento económico se ha ralentizado en
prácticamente todos los países del mundo.
Algunas empresas lo hicieron mejor que otras controlando
de modo proactivo sus carteras durante la crisis,
identificando tendencias, llevando a cabo análisis de cartera
y controlando sus posiciones con respecto al riesgo del
mercado. Pudieron detectar cuándo se superaba su
tolerancia de riesgo y modificar su modus operandi. Por
ejemplo, algunas empresas optaron por reducir los valores
que tenían en cartera relacionados con hipotecas y las
propias hipotecas, y adquirir seguros (nada económicos)
para protegerse contra pérdidas futuras. Este control del
riesgo proactivo que implica el análisis de tendencias y ser
consciente de las interdependencias en los mercados
comerciales interconectados puede ayudar a evitar pérdidas
y a aprovechar las oportunidades.
A través de su Red de Riesgos Globales, el Foro Económico
Mundial ha identificado una serie de riesgos globales y los
ha clasificado en función de su probabilidad y gravedad.
(Véase el gráfico 2.1.1.)
2Nassim Nicholas Taleb, The Black Swan: The Impact of the Highly Improbable, Random House (2007))
6
Capítulo 2
2.1.1
Más de 1 billón.
Paisaje de riesgos globales 2009: Probabilidad de riesgos con impacto por pérdida económica
250 MM - Mil. de Mill.
31
29
1
5
19
4
34
23
50-250 MM
Impacto en dólares
6
7
2
24
14
20
30
GEOPOLÍTICOS
11 Terrorismo internacional
12 Fracaso del Tratado de no
proliferación de armas nucleares
(TNP)
13 Conflicto EE.UU. - Irán
14 Conflicto EE.UU. - República
Popular Democrática de Corea
15 Inestabilidad en Afganistán
16 Crimen y corrupción
transnacional
17 Conflicto Israel - Palestina
18 Violencia en Irak
19 Errores de gobierno global
8
9
16
32
35
25
10-50 MM
21
13
3
18
17
10
26
11
36
28
27
2-10 MM
15
22
12
33
-1%
1-5%
5-10%
10-20%
+20%
Probabilidad
Según valoración de riesgos a 10 años realizado por la Red de Riesgos del Foro Económico Mundial.
Leyenda: En los cuadros se ve el cambio en la valoración comparado con el año anterior.
Mayor
Menor
Estable
Nuevo riesgo para 2009
ECONÓMICOS
1 Volatilidad del precio de los
alimentos
2 Precios del gas y del petróleo
3 Caída importante del US Dólar
4 Ralentización de la economía
china (6%)
5 Crisis fiscales
6 Desplome de precios de los
activos
7 Retraimiento de la globalización
(países desarrollados)
8 Retraimiento de la globalización
(países emergentes)
9 Coste de regulación
10 Inversión en infraestructuras
Probabilidad Gravedad
MEDIO AMBIENTE
20 Fenómenos climáticos extremos
asociados al cambio climático
21 Sequía y desertificación
22 Declive en la cantidad y
calidad del agua
23 Cat. nac.: Ciclón
24 Cat. nac.: Terremoto
25 Cat. nac.: Inundaciones de ríos
26 Cat. nac.: Inundaciones costeras
27 Contaminación del aire
28 Pérdida de biodiversidad
SOCIAL
29 Pandemia
30 Enfermedad infecciosa
31 Enfermedad crónica
32 Responsabilidad legal
33 Migraciones
TECNOLÓGICO
34 Fallo del sistema de
infraestructura de información
crítica (ICI)
35 Riesgos de la nanotecnología
36 Fraudes/pérdidas de datos
Fuente: World Economic Forum, Global Risks 2009: A Global Risk Network Report
7
Otros ejemplos de riesgos emergentes se derivan de diferentes estudios. Un punto de partida para las organizaciones puede
ser la lista ilustrativa y no exhaustiva 2.1.2 que les presentamos a continuación.
2.1.2
Ejemplos ilustrativos de riesgos emergentes
• Aumento de las limitaciones de los recursos naturales
(p. ej., disminución de las reservas de agua fresca,
agotamiento de las reservas petrolíferas, pérdida de
biodiversidad), que puede hacer subir el precio de las
materias primas y de los alimentos, aumentar el sufrimiento
humano e intensificar la presión para encontrar fuentes de
energía alternativas.
• Desastres naturales o provocados por el ser humano
(p. ej., inundaciones, terrorismo, ciberterrorismo, virus,
Spyware), que pueden crear problemas a las empresas y
causar catástrofes humanas.
• Mayor contaminación industrial y aumento de las
emisiones de CO2, lo que está relacionado con el cambio
climático, que puede causar una disminución de la
biodiversidad, un cambio en la ubicación de la producción
y el consumo y escasez de recursos regionales.
• Cambio rápido de los patrones demográficos
(p. ej., envejecimiento de la población), que puede
traducirse en falta de personas preparadas para ciertos
mercados liberales o ciertas tareas; falta de habilidades
adecuadas o cambio en la demanda o la lealtad de la
clientela.
• Aumento de los costes laborales debido, en parte, al
aumento de los beneficios laborales (pensiones,
compensación de los trabajadores y otros beneficios), lo
que puede redundar en menores beneficios y pérdida de
ventaja competitiva.
• Mayor volatilidad en los precios de los activos y en los
mercados de materias primas (p. ej., cambios en los
precios del petróleo, caída de los precios de los activos), lo
que podría provocar fluctuaciones en las estructuras de
costes, que no puedan repercutirse en el consumidor ni
absorberse de ninguna otra manera.
• Crisis de liquidez mundial (p. ej., derivada de las prácticas
de concesión de hipotecas subprime), que puede aumentar
el coste del capital para transacciones financieras.
• Emergencia de nuevas tecnologías (p. ej., nanotecnología),
que puede evolucionar de manera imprevisible en un
mercado emergente: por ejemplo, adelantándose a las
tecnologías existentes conforme van saliendo nuevas
aplicaciones.
una revisión de la gestión de los negocios o afectar al
origen de los beneficios.
• Realineación de poder en los mercados de capitales de un
país (p. ej., mayor control gubernamental de las empresas,
inversión extranjera) que puede redundar en inversores
interesados en la aplicación de diferentes enfoques a la
estructura de capitales, a la asignación de beneficios o a
objetivos estratégicos.
• Disminución del crecimiento económico mundial (p. ej., por
la ralentización económica en China, la recesión global,
niveles de déficit insostenibles), lo que puede afectar
negativamente a la demanda y efectuar una presión a la
baja en los precios.
• Crisis políticas (p. ej., estados en crisis, guerra,
inestabilidad en Oriente Medio, caída de instituciones
democráticas, cambio de régimen), lo que puede redundar
en nacionalizaciones de activos, en una mayor regulación,
en tendencias proteccionistas u otras pérdidas de control.
• Pandemias y crisis sanitarias (p. ej., patógenos de contagio
rápido como la gripe aviar, enfermedades habituales en
países en vías de desarrollo, como el VIH/SID, tuberculosis,
malaria), que podrían afectar a la cadena de suministros, a
los consumidores, a los empleados, etcétera.
• Desigualdades económicas que pueden exacerbar la
pobreza y el sufrimiento y aumentar la presión en las
empresas para que colaboren en causas humanitarias.
• Incremento de la capacidad nuclear, que puede poner en
peligro la estabilidad política global y la seguridad física.
• Amenazas terroristas que podrían reducir la confianza
económica o causar pérdidas económicas directas,
además de pérdidas de vidas, bienes y seguridad.
• Mayor competencia de los mercados emergentes o del
mercado nacional, que puede traducirse en una presión a
la baja de los precios.
• Aumento del sentimiento antiglobalización y
proteccionismo (p. ej., políticas fiscales, embargos
comerciales, mayores aranceles u otras prácticas
anticompetencia), que pueden redundar en la disminución
del comercio y de la inversión internacional.
• Problemas de comunicación y tecnología (p. ej., apagón
cibernético) o fallos de sistemas que pueden redundar en
complicaciones comerciales o pérdidas económicas.
• Aumento de la corrupción (p. ej., sobornos en
compraventas), que pueden traducirse en prácticas
comerciales contrarias a la competencia y conllevar multas
y sanciones, por no hablar del daño reputacional.
• Cambios en leyes y regulaciones (p. ej., responsabilidades
en caso de inversión en el extranjero o legislación
específica por sector como la prohibición que afecta al
sector de las bebidas alcohólicas), lo que puede provocar
• Disminución del reconocimiento o de la aplicación de los
derechos de propiedad intelectual (p. ej., patentes,
licencias), que pueden originar actividades comerciales sin
licencia o pérdida de información con derechos.
Fuente: PricewaterhouseCoopers
8
Capítulo 2
Para organizar los riesgos emergentes relevantes se pueden
aplicar diferentes planes de categorización. Éstos deberán
integrarse en el marco de gestión de riesgos corporativos de
la organización para facilitar la responsabilización, así como
los procesos adecuados de identificación, evaluación y
gestión de riesgos. Entre los ejemplos de categorización,
tenemos los siguientes:
Por origen del riesgo o por tema
p. ej., por categorías, según la
Red de Riesgos Globales del Foro
Económico Mundial:3
•
•
•
•
•
En relación a los objetivos
p. ej., según el Committee of
Sponsoring Organizations (COSO):4
•
•
•
•
Por características del riesgo
Estratégicos
Operativos
Reporting
Cumplimiento
p. ej.:
•
•
•
•
Por la manera en que se
manifiesta
Tecnológico
Geopolítico
Social
Medioambiental
Económico
Exógeno/endógeno
Predictibilidad
Grado de control
Duración
p. ej.:
• Cambios a largo plazo
• Acontecimientos inesperados,
repentinos
• Condiciones de funcionamiento
que se deterioran gradualmente
• Sucesos locales con efectos
expansivos
La Encuesta de CEO 2008 de PricewaterhouseCoopers
revela varios datos en relación con los riesgos que van más
allá de la propia empresa:
• Entre los riesgos que se consideran más probables
encontramos las tensiones políticas y religiosas; la
emergencia de un nuevo conjunto de países que
cuestionarán el liderazgo económico, político y cultural del
G8; y las presiones sobre los recursos naturales.
• Las principales amenazas para el crecimiento empresarial
parecen ser la crisis de las principales economías, los
trastornos en los mercados de capitales, el exceso de
regulación, los costes energéticos, la inflación, la
competencia low-cost y el acceso a habilidades
importantes.
• Las principales oportunidades para el crecimiento
empresarial parece que son las siguientes: mejor
penetración en los mercados existentes, nuevos
desarrollos de productos, nuevos mercados geográficos,
fusiones y adquisiciones, y nuevas joint ventures y alianzas
estratégicas.
Es importante ser consciente de que los riesgos emergentes
pueden ser oportunidades, más que amenazas, si se
identifican, evalúan y gestionan para conseguir y/o potenciar
la ventaja competitiva, como lo ilustran los casos de éxito en
tiempos de turbulencias y cambios.
Los riesgos emergentes pueden ser
oportunidades, más que amenazas, si se
identifican, evalúan y se gestionan para
conseguir y/o potenciar la ventaja
competitiva...
3 World Economic Forum, Riesgos Globales 2009: Un informe de Global Risk Network (2009)
4 Committee of Sponsoring Organizations (COSO), Enterprise Risk Management - Integrated Framework (2004)
9
2.2 Asignación de recursos para la
preparación
Que funcione o no la respuesta a los riesgos emergentes
suele depender del rigor de la organización a la hora de
aplicar los principios de gestión de riesgos y de su agilidad
para adaptarse al entorno cambiante y a los nuevos retos.
Para ser capaz de cubrir de modo efectivo dichos riesgos,
hay que tener conciencia de los recursos necesarios, siendo
preciso identificar el amplio abanico de riesgos potenciales,
incluyendo los riesgos emergentes.
En la mayoría de organizaciones, existe un desencuentro
fundamental entre la exposición a los riesgos y la asignación
de recursos para su gestión. Según estimaciones de
PricewaterhouseCoopers, los riesgos que provocaron un
60% de “pérdidas rápidas” (caídas en el valor de las
acciones en un 50% en un año) en las empresas del Fortune
500 y del FTSE 100 son de naturaleza estratégica.5 Ahora
bien, la mayoría de los recursos dedicados a gestión de
riesgos tienden a centrarse en riesgos de cumplimiento,
financieros y operativos. Los riesgos estratégicos y del tipo
“cisnes negros”, de baja probabilidad, suelen carecer de
recursos.
El interrogante de la asignación de recursos se puede
entender si consideramos el riesgo desde lo conocido,
pasando por lo desconocido, hasta lo que no es posible
conocer. Algunos riesgos, especialmente los relacionados
con los desastres naturales, se pueden clasificar como
“conocidos”. Sus causas, su probabilidad y sus efectos
probables se conocen y están bien definidos, aunque hay
incertidumbre en torno a las estimaciones. Los riesgos
conocidos ya han ocurrido antes, y por lo tanto, se pueden
cuantificar y se pueden gestionar.
También están los riesgos “desconocidos”. Este tipo de
riesgos están bien definidos, pero no es posible asignar
probabilidades en cuanto a la ocurrencia de hechos
concretos (por ejemplo, terrorismo o inestabilidades
financieras globales). Otra manera de considerar los riesgos
desconocidos es pensar en ellos como riesgos en que hay
varios modelos plausibles sobre la realidad, y no un único
paradigma aceptado. Los riesgos desconocidos requieren
Los recursos de gestión de riesgos tienden
a centrarse en los riesgos de cumplimiento,
financieros y operativos. Los riesgos
estratégicos y del tipo “cisnes negros”, de
baja probabilidad, suelen carecer de
recursos.
que los gobiernos o las empresas aporten resistencia a sus
modelos de riesgo: mediante la planificación de continuidad,
acumulación de stocks, aprovechamiento máximo del
sistema o diversificación de las fuentes de aprovisionamiento
de bienes vitales.
El último tipo de riesgo es “lo que no es posible conocer”.
Los riesgos que no podemos conocer aún no han sucedido
y cualquier estimación/aproximación a los mismos es pura
especulación. Lo “desconocido” es una consideración clave
en el contexto de combinación de riesgos, en que un gran
número de posibles combinaciones de riesgos y
vulnerabilidades pueden derivar en una amplia serie de
resultados posibles, algunos de los cuales se convierten en
una “tormenta perfecta”.
Los recursos suelen asignarse más claramente a los riesgos
conocidos por varias razones:
• En primer lugar, los incentivos existentes no suelen estar
alineados con los resultados corporativos a largo plazo. En
caso de las hipotecas subprime, por ejemplo, muchos de
los implicados, como los intermediarios hipotecarios y los
bancos de inversión que reunieron las obligaciones de
deuda garantizadas (CDO), recibían una compensación
por volumen de operaciones, y no les importaban
demasiado los riesgos a largo plazo que estaban
introduciendo en el sistema financiero. Tenían pocos
incentivos para ser más estrictos porque en principio los
riesgos los soportaban otros. En la práctica, se estaban
vendiendo valores accionariales a largo plazo y la
estabilidad del sistema financiero a cambio de primas
anuales.
• Una segunda razón es la falta generalizada de relevancia
percibida, el error de no reconocer el fenómeno global
hasta que los hechos adquieren relevancia local. A
posteriori, como suele decirse, todo está claro: un cliché
que parece repetirse cada vez que se manifiesta un riesgo
emergente. Sin embargo, el impacto potencial de esos
riesgos puede amortiguarse mediante un enfoque más
proactivo, prudente y colaboracionista. En otras palabras,
es preferible que la relevancia no sea determinada a
posteriori.
• La tercera razón para ampliar la gestión de riesgos
corporativos a los riesgos emergentes es la más pertinente
y la más antigua: los recursos son limitados. Es preciso
asignar recursos (o reasignarlos) para contribuir a anticipar
los riesgos que actualmente se están pasando por alto.
5PricewaterhouseCoopers, State of the Internal Audit Profession Study: Targeting Key Threats and Changing Expectations to Deliver Greater Value (2008)
10 Ampliar la gestión de riesgos corporativos para afrontar los riesgos emergentes
Capítulo 2
En el gráfico 2.2.1 se ilustran los niveles actuales de
preparación para dar respuesta a los riesgos emergentes,
según identificados por los principales Directivos.
Una organización resistente al riesgo debe poder minimizar
los riesgos desconocidos identificando y valorando
activamente dichos riesgos, ideando estrategias para
mitigarlos y controlando los cambios de exposición de
manera rutinaria. A consecuencia de ello, los riesgos
desconocidos se transforman en riesgos conocidos y la
organización gestiona un conjunto más manejable de
limitaciones.
Aplicar la gestión de riesgos corporativos para afrontar los
riesgos emergentes ayudará a mejorar la preparación contra
los acontecimientos más inseguros a través de la
reasignación de los recursos existentes. Evidentemente,
según el tipo de riesgo emergente se requieren diferentes
niveles de reasignación de recursos, y distintos enfoques.
2.2.1
Gráfico de riesgos de largo alcance
45 42 Huracán
Terremoto
18
Preparación para el riesgo
17
Sequía / Carencia de agua potable
31
16
Baja
Incremento de pandemias y otras crisis de salud (por ejemplo VIH/ SIDA, malaria, tuberculosis…)
44
Embargo
comercial
Inundaciones
43 Nacionalización
de activos
8
Cambio climático 11
Inestabilidad en Oriente Medio
15 Incremento de la postura anti-globalización
5 Terrorismo internacional
12 Mayor contaminación industrial
Pandemia 14
Incremento de enfermedades
crónicas (por ejemplo cáncer,
41 40
enfermedades cardiacas, diabetes)
Aumento de las protestas
medioambientales
Crisis fiscal causada por cambios demográficos
Retraimiento
de la globalización
Descenso del reconocimiento
de los derechos de propiedad intelectual
Niveles bajos
26
de formación y habilidades 27
Media
Dificultad para pagar las pensiones
30
28
4
3 Desplome de precios de los activos
2 Precios del petróleo
Sobornos y corrupción
Aumento del
Recesión 7 6 Cambios regulatorios
19 coste de materias
global
inesperados
primas
29
Ciberterrorismo
21
10 Falta de talento
Fracaso para cumplir 22
9
Competencia mercados emergentes
23
con los contratos
Falta formación
24 Las fuerzas disruptivas de la tecnología
33
Recesión en
tecnológica
cambian en el modelo de negocio
el país origen
Falta de preparación
por envejecimiento de la población
Cortes de luz 32
1
Cambios en el modelo
de negocios
46
Aumento costes laborales 25
Incremento de
los tipos de interés
Mayor volatilidad
macroeconómica 13
Elevada
Declive en consumo 39
Fallo
sistemas 38
Problemas de virus
Baja
37
Media
Exposición
datos
confidenciales
36
20
Menos lealtad
34 clientes
Presión
a la baja de los
precios
Mayor competencia en el
35 mercado interno
Elevada
Importancia
Fuente: The Economist Intelligence Unit, Risk 2018: Planning for an Unpredictable Decade (marzo de 2008)
PricewaterhouseCoopers 11
2.3 Asumir la disciplina de afrontar los
riesgos emergentes en la gestión de riesgos
corporativos
La disciplina para afrontar los riesgos emergentes debe
formar parte de la planificación estratégica de toda
organización, ejecución empresarial, evaluación de
resultados y estructura de compensación. ¿En qué se
diferencia esto de las actividades de gestión de riesgo
tradicionales? Aplicar los principios de gestión de riesgos
corporativos a los riesgos emergentes es una oportunidad
para compartir el esfuerzo y la recompensa de preparación
y mitigación con otras partes. Las empresas con la visión
para conectar las tendencias globales y los riesgos con sus
propios puntos fuertes y su conocimiento del mercado, y
que a su vez colaboran para gestionar esos riesgos de la
manera adecuada, estarán más preparadas para el
crecimiento global.6 Por tanto, un marco ya establecido para
la gestión de riesgos corporativos (como el Enterprise Risk
Management-Marco Integrado de COSO) debería ser
ampliado con varias actividades para afrontar de modo
efectivo los riesgos emergentes e incluir esas prácticas en la
planificación del negocio, la ejecución y los procesos de
evaluación de la organización.
Así como una organización diseña o evalúa su entorno
interno, debe también garantizar que tiene las habilidades y
las capacidades necesarias dentro de la organización para
asegurar una correcta supervisión y gestión de riesgos
emergentes según su estrategia, la misión y sus valores.
(Véase el gráfico 2.3.1.)
Para garantizar que cada uno de estos componentes se
pone en práctica de modo efectivo en las diferentes partes
de la organización, y que las partes externas relevantes
participan en la medida de lo necesario, las organizaciones
deben evaluar su cultura de gestión de riesgos de manera
periódica.
A consecuencia de una cultura de gestión de riesgos
efectiva y de la ampliación de la gestión de riesgos
corporativos a los riesgos emergentes, la organización
seguirá un enfoque estructurado para definir, evaluar y
gestionar los riesgos relevantes, incluyendo los que están
apareciendo. Dicha disciplina pasa a formar parte de la
gestión del negocio.
2.3.1
La gestión de riesgos corporativos aplicada a los riesgos emergentes
Componentes de la gestión
de riesgos corporativos (COSO)
Aplicados a los riesgos emergentes
Fijación de objetivos
Los objetivos que la organización se marca a distintos niveles (corporativo, por unidades de negocio u otros) y el riesgo que
está dispuesta a asumir para lograr esos objetivos deben servir de base para identificar, valorar y gestionar riesgos
emergentes relevantes. Dichos riesgos pueden tener un efecto en uno o varios de los objetivos de la empresa, estratégicos u
operativos, cumplimiento o reporting.
Identificación de sucesos
La identificación de sucesos conlleva no sólo captar riesgos emergentes conocidos sino también llevar a cabo un análisis
histórico y futuro para cubrir posibles exposiciones en relación con los objetivos de la organización. Introducir esta capacidad
en los procedimientos diarios requiere concienciación, formación y dedicación clara a esos riesgos en la organización, hasta
que los riesgos desconocidos se reduzcan y la organización pueda centrar sus esfuerzos en gestionar los riesgos conocidos y
prepararse para lo que no es posible conocer.
Evaluación de riesgos
Este paso requiere plantearse el impacto de los riesgos emergentes no sólo en la organización o la propia unidad de negocio
sino también en otras organizaciones o unidades de negocio. También requiere comprender las maneras en que las
interconexiones entre los riesgos emergentes y otros riesgos podrían incrementar el impacto de los riesgos emergentes o la
probabilidad de ocurrencia. La organización debería estipular el rango de variación desde el logro de objetivos que está
dispuesta a tolerar.
Respuesta al riesgo
Una organización debería determinar la apropiada respuesta al riesgo basándose en sus niveles de aversión y de tolerancia, y
en los resultados de su evaluación de riesgos emergentes. Mientras que las típicas opciones de respuesta al riesgo de
aceptar, avisar, compartir o reducir siguen estando ahí, la respuesta más efectiva puede ser la que se logre con la
colaboración con otras partes, una respuesta que puede contribuir a mitigar el impacto o su probabilidad de ocurrencia,
minimizar el impacto negativo en el logro de objetivos y posiblemente llegar a captar oportunidades.
Actividad de control
Deben ponerse en práctica las comprobaciones consideradas adecuadas para controlar y gestionar los riesgos conocidos y
prepararse para la ocurrencia de los riesgos que no se pueden conocer.
Información
y comunicación
La información y la comunicación son básicas para comprometer a las partes necesarias, aumentar la concienciación y
provocar el análisis de riesgos emergentes en relación con los objetivos de la organización, en concreto a la luz de la conexión
de los riesgos emergentes con otros riesgos.
Control
Controlar la efectividad de los esfuerzos de mitigación de riesgos emergentes requiere evaluar los hechos pasados y analizar
las tendencias futuras. Un análisis histórico considera cómo eran los riesgos emergentes o cómo se podían haber mitigado, y
proporciona datos para mejorar la capacidad de gestión de dichos riesgos en el futuro. El análisis futuro requiere la definición
y el uso de indicadores relevantes para alertar a la Dirección ante cambios en la exposición a riesgos emergentes.
6 Foro Económico Mundial. Global Growth © Risk 2008: A Report of the Global Risk Network (2008)
Establecer
herramientas
de riesgo
Sistemas
óptimos
para responder
al riesgo
Capítulo 3
Qué significa para su negocio
Mientras que muchas organizaciones tienen procesos y estructuras en marcha para gestionar los
riesgos en el día a día, la práctica revela que no suelen responder por completo a los riesgos
emergentes, sobre todo debido a muchas de las características de estos riesgos, descritas
anteriormente: difíciles de cuantificar, de apariencia remota, con poca probabilidad y con un
elevado impacto.
La aparente urgencia por centrarse en el corto y medio plazo
a menudo impide que muchas organizaciones reparen en
estos riesgos. Los grupos de interés de nuestra
organización, en cambio, no sólo se fijan en los resultados a
corto plazo, también dan importancia al largo plazo.
La cultura de la organización debe reforzar el hecho de que
la gestión de riesgos corporativos se puede optimizar
ampliando la aplicación tradicional de sus principios a los
riesgos emergentes y una mayor resistencia al riesgo. La
gestión de riesgos corporativos, según la definen
organismos internacionales como COSO, proporciona los
principios básicos para gestionar los riesgos emergentes.
Consideremos cuatro pasos básicos:
Cada uno de estos pasos se beneficia de las perspectivas y
contribuciones más amplias posibles, no sólo internas sino
también externas, gestionados a través de un proceso de
gestión de riesgos integrado.
(Véase el anexo A para una imagen gráfica de estos pasos y
en anexo B para un caso práctico.)
1. Identificación de los riesgos emergentes relevantes para
la organización
2. Evaluación de la importancia, la interconexión con otros
riesgos y las implicaciones
3. Determinación de la respuesta a esos riesgos,
considerando las opciones de colaboración con terceros
4. Control rutinario de los riesgos emergentes a través del
uso efectivo de indicadores
3.0.1
Asumir la disciplina de afrontar los riesgos emergentes en gestión de riesgos
corporativos
Identificación de los
riesgos emergentes
en relación con los
objetivos básicos
Evaluar los riesgos
y las interconexiones
con otros riesgos
Controlar los
riesgos mediante
indicadores de
riesgos
Determinar la
respuesta al riesgo,
considerando la
colaboración
Incluir la
disciplina de
afrontar los
riesgos emergentes
en la gestión de
riesgos
corporativos
Capítulo 3
3.1 Identificación de los riesgos emergentes
en relación con los objetivos básicos
Las organizaciones tienen que pensar cada vez más en su
perfil de riesgo no sólo por ellas mismas, sino como
componente integral de los perfiles de riesgo de sus socios
internacionales. El éxito en un mundo conectado sólo es
posible mediante un cambio paradigmático: hay que dejar de
ignorar los riesgos que no aparecen de inmediato
relacionados con nuestra empresa y pasar a afrontar y
gestionar los riesgos emergentes mediante una cadena de
valor de la organización. Por ejemplo, un fabricante local
puede ser cliente de un proveedor en un continente,
proveedor de un minorista en otro continente, cliente de un
banco en otro continente distinto e intermediario financiero
de una serie de inversiones de distintos continentes. Cada
una de estas relaciones implica oportunidades y riesgos.
Fallar en sólo una de esas relaciones conlleva consecuencias
para todos los demás. Así, comprender cuáles son los
riesgos a que nos enfrentamos con cada relación se ha
convertido en una información importante para identificar y
evaluar el riesgo.
A partir de la estrategia y los objetivos de la organización, la
Dirección debería identificar todos los riesgos relevantes,
tanto a nivel corporativo como en los diferentes niveles y
unidades de la organización. Ir más allá de los riesgos
conocidos significa que las organizaciones deben explorar lo
que les puede parecer desconocido, pero que podría
cubrirse mediante un análisis de los datos históricos y un
análisis de cara al futuro. La Dirección debería llevar a cabo
regularmente un control de las características y los cambios
en el entorno para identificar los acontecimientos con
efectos en el valor accionarial de la empresa en el pasado o
en el futuro. Entre los factores que cabe considerar
encontramos acontecimientos económicos, sociales,
políticos, tecnológicos y medioambientales. Todos ellos se
pueden identificar mediante fuentes externas, como por
ejemplo, artículos publicados, informes de agencias de
calificación y analistas, y publicaciones de fundaciones sin
ánimo de lucro.
Para identificar todos los riesgos relevantes, las
organizaciones deberían sondear las perspectivas del
sector, la opinión de los representantes académicos, de los
economistas, de los no conformistas y los contestatarios en
general. Es decir, cualquiera que pueda ayudar a guiar el
pensamiento de los Directivos y otros expertos tanto
internos como externos. La experiencia nos dice que
muchos riesgos se han materializado en el pasado por un
exceso de complacencia, por una visión limitada y una
reticencia a cuestionar el statu quo, igual que por la falta de
controles, de valoraciones y de buen gobierno.
Los riesgos se pueden clasificar de distintas formas. Por
ejemplo, por origen, según los objetivos, la implicación y
otras características que ayudan a analizar el riesgo y que
asignan responsabilidades en el control y la respuesta. Esto
debe ir alineado con el marco de clasificación de riesgos
existente en la organización (por ejemplo, como parte del
programa gestión de riesgos corporativos), considerando
una amplia gama de motores como los económicos, los
sociales, los políticos, los tecnológicos y los
medioambientales.
La organización debería definir los niveles de tolerancia para
todos los riesgos clave y las categorías de riesgo definidas.
¿Qué grado de variación en cuanto a consecución de
objetivos es aceptable? Debería estar sincronizado con el
nivel general de riesgo que la organización es capaz de
aceptar para conseguir sus objetivos; en otras palabras, su
aversión al riesgo. Algunos riesgos emergentes podrían dejar
a la organización fuera del negocio mientras que otros
pueden presentar una oportunidad para remodelar el
mercado.
Los riesgos emergentes pueden representar una amenaza o
una oportunidad para toda la organización o sólo parte de
ella. Por definición, también pueden afectar a otras
organizaciones, en positivo o en negativo. El planteamiento
de la organización, pues, debe ir más allá de sus límites.
Un buen radar de riesgo es el resultado del análisis no sólo
de los riesgos habituales, sino también de riesgos
extraordinarios, que pueden tener implicaciones aún
desconocidas. En el entorno del negocio cambiante actual,
las organizaciones deben revisar continuamente sus
técnicas y mecanismos de identificación para mejorar su
análisis de riesgos. Esto les permitirá predecir sucesos que
incrementen un riesgo, de modo que puedan crearse unos
mecanismos de respuesta mejores.
3.2 Evaluación y comprensión de los riesgos
emergentes. Interconexión con otros riesgos e
implicaciones para la empresa
Tradicionalmente, la valoración de riesgos considera la
importancia para la entidad y sus grupos de interés (internos y
externos), así como la correlación entre riesgos, a menudo
basada en hechos y tendencias observados. Valorar los
riesgos emergentes requiere una evaluación más amplia,
considerando una escala mayor para el impacto y la
interconectividad de los riesgos que en principio aún no se
han manifestado. Igual que la evaluación de cualquier otro
riesgo es necesario la implicación de expertos en el tema en
cuestión y el uso de una metodología de calificación de
riesgos coherente.
El análisis de escenarios puede servir como un medio efectivo
para que las organizaciones hagan una estimación de su
exposición potencial al riesgo y de los niveles de preparación
en caso de que se produzcan sucesos que representen un
riesgo catastrófico. Según datos de un informe elaborado en
2008 por The Economist Intelligence Unit, “al plantearse
diferentes situaciones futuras, los directivos tienen la
oportunidad de poner a prueba su estrategia y cuestionar las
ideas preconcebidas que tienen sobre lo que podría funcionar
en los próximos años”.7
Para desarrollar escenarios de riesgo, las principales
organizaciones suelen adoptar un enfoque basado en talleres,
con el apoyo de una planificación de lo necesario y de las
debidas fases de revisión. Dicho enfoque, conducido por un
responsable y que implica a diferentes expertos en los temas
en cuestión, comprende los seis pasos que se detallan en el
gráfico 3.2.1.
Las principales prácticas para llevar a cabo esos talleres de
análisis de escenarios indican que el impacto y la probabilidad
de los riesgos emergentes deberían evaluarse mediante
escalas de evaluación de riesgos para generar
representaciones gráficas o radares de riesgos. Esto permitirá
establecer comparaciones relativas y determinar las
respuestas de riesgo basadas en la aversión al riesgo de la
organización y en su nivel de tolerancia, que deberían
definirse al fijar la estrategia y llevar a cabo la planificación del
negocio.
Las escalas de evaluación del riesgo pueden definirse en
términos cuantitativos y cualitativos. Las escalas cuantitativas
aportan un mayor grado de precisión y medición al proceso
de evaluación del riesgo. Sin embargo, los términos
cualitativos deben usarse cuando los riesgos no se pueden
cuantificar, cuando no hay datos creíbles disponibles o
cuando obtener y analizar datos no es económicamente
viable. Debido a la naturaleza estratégica de los riesgos
emergentes, las escalas de evaluación suelen ser cualitativas.
Estas escalas no son estándar, deben definirse caso por caso
para permitir una evaluación y priorización adecuadas de los
riesgos y facilitar el diálogo para determinar cómo asignar los
recursos dentro de la organización. Las escalas de evaluación
de riesgos proporcionan una forma común de análisis para
ayudar a las organizaciones a priorizar los riesgos y a
determinar las acciones necesarias según su tolerancia al
riesgo, previamente definida.
Para los riesgos emergentes, una diferencia clave de los
enfoques de gestión de riesgos corporativos tradicionales es
que las escalas de evaluación de riesgos deben tener en
cuenta las repercusiones en toda la organización y la escala
de riesgos potenciales, así como las interdependencias de
riesgos existentes. Del mismo modo, el horizonte temporal
utilizado para valorar la probabilidad de riesgos debería ser
coherente con los horizontes temporales relacionados con los
objetivos. Sin embargo, algunos riesgos emergentes, como
por ejemplo, el cambio climático, requieren una consideración
del largo plazo, porque su posible impacto (negativo y/o
3.2.1
Análisis de escenarios
Implicar a los grupos
de interés en los
riesgos emergentes
Debatir sobre
los riesgos
emergentes y los
motores asociados
Calcular la
probabilidad y el
impacto de los riesgos
emergentes
7 Economist Intelligence Unit, Risk 2018: Planning for an Unpredictable Decade (2008)
Tratar los escenarios
y revisar su probabilidad
e impacto
Desarrollar
respuestas para los
riesgos emergentes
Acordar acciones
y dirección en el
proceso
Capítulo 3
positivo) va más allá del periodo de los objetivos de negocio
actuales.
(75%), proveedores de capital, como acreedores e inversores
(67%) y Gobierno y reguladores (61%).
Un mapa de riesgos permite el análisis temporal, pues la
evaluación de riesgos se va actualizando (p. ej. si se detecta
una tendencia al alza o a la baja en las amenazas y la
existencia de correlaciones negativas o positivas entre ciertos
riesgos). En concreto, la interconexión de los riesgos
emergentes precisa de una evaluación de su grado de
correlación. Se puede llevar a cabo mediante un análisis de la
correlación entre diferentes variables. El grado de correlación
entre varios riesgos emergentes (por ejemplo, correlación
positiva perfecta, correlación negativa perfecta, sin
correlación) permite a la organización mitigar los riesgos de
modo más efectivo y eficiente. Por ejemplo, se pueden
emplear estrategias de mitigación similar para gestionar los
riesgos que están correlacionados, y los riesgos que no
tienen correlación pueden requerir distintas técnicas de
mitigación.
Las estrategias de mitigación del riesgo suelen ser los únicos
medios disponibles para que las organizaciones puedan
imaginarse lo desconocido y proteger adecuadamente sus
activos, especialmente en casos sin precedentes históricos.
En un mundo conectado, tanto las recompensas como los
riesgos de hacer negocios están, por definición, conectados.
De este modo, las respuestas efectivas a los riesgos en red
también deben tener una naturaleza de interconexión. Ahora
bien, los esfuerzos de colaboración no tienen por qué incluir
distintas empresas y/o gobiernos y agencias no
gubernamentales.
Además de evaluar las amenazas para la organización, las
principales organizaciones también evaluan cómo ciertos
acontecimientos o circunstancias pueden hacer que tengan
que ayudar a otras organizaciones a gestionar su exposición a
riesgos catastróficos. La capacidad de aprovechar esas
oportunidades requiere un flujo de información adecuado,
tanto interno como externo.
3.3 Determinación de las estrategias de
respuesta a los riesgos, considerando la
colaboración con partes externas.
Las respuestas al riesgo varían dependiendo de su
evaluación, del apetito al riesgo que esté dispuesta a asumir
la organización y de su tolerancia en cuanto a desviación de
objetivos. Cuando la organización elija su vía de respuesta a
los riesgos emergentes, debe hacerlo con conocimiento de
causa. Puede optar por aceptar ciertos riesgos emergentes,
confiando en las compensaciones naturales dentro de la
cartera, o considerando que los riesgos son un coste de
hacer negocios, de acuerdo con las tolerancias de riesgo
definidas. Para los riesgos en que se superan las tolerancias y
es preciso actuar, la organización puede verse en la tesitura
de que los riesgos sean superiores a lo esperado y se
escapen de su control, por lo que su mitigación deba tener en
cuenta posibles colaboraciones. La Encuesta Anual de CEO
2008 de PricewaterhouseCoopers ha revelado que la
colaboración para temas a largo plazo suele hacerse con el
personal y los sindicatos (83% de encuestados para el
estudio contaban con algún tipo de colaboración en este
sentido), clientes (84%), socios de la cadena de suministros
Los mismos principios y procesos son igual de importantes
cuando se organizan respuestas entre unidades comerciales
de una organización, cada una de las cuales puede tener
exposiciones distintas al riesgo y diferentes recursos en
relación con un riesgo emergente concreto. Es importante
que las centrales comprendan los distintos escenarios de
cómo un riesgo se puede manifestar de modo diferente en
cada unidad de negocio. Las unidades de negocio
independientes también deberán reconocer los beneficios de
la colaboración con otras unidades. Mientras que una unidad
de negocio puede tener una exposición más directa a un
riesgo emergente concreto (por ejemplo, aumento de los
precios energéticos y sus efectos en los costes de
transporte), otra unidad de negocios quizá sea capaz de
mitigar ese riesgo y generar oportunidades comerciales a
través de fuentes de energía alternativas. Mitigar los riesgos
de forma óptima para la organización en general puede
requerir que las unidades colaboren estrechamente. Dicha
colaboración puede ayudar a los que toman las decisiones a
racionalizar las implicaciones de los riesgos emergentes para
sus respectivas organizaciones o unidades de negocio, y
mitigar los riesgos emergentes a través de técnicas que se
sumen a los enfoques existentes de la gestión de riesgos.
Las estrategias de mitigación del riesgo
suelen ser los únicos medios disponibles
para que las organizaciones puedan
imaginarse lo desconocido y proteger
adecuadamente sus activos, especialmente
en casos sin precedentes históricos. En un
mundo conectado, tanto las recompensas
como los riesgos de hacer negocios están,
por definición, conectados.
Consideramos el siguiente enfoque para el desarrollo de
estrategias de mitigación de riesgos:
A. Cuestionar el status quo
Se pueden presentar varias estrategias de mitigación. Las
organizaciones a menudo afrontan los riesgos emergentes
con la inacción, simplemente porque los grupos de interés
no están obligados por ley y no hay recursos disponibles. Su
razonamiento es que los gastos a corto plazo de la
asignación de recursos a los riesgos gestionables superan
los beneficios a largo plazo de prepararse para los riesgos
catastróficos del mañana. Las estructuras de compensación
mal alineadas, que también se centran en el corto plazo,
agravan la tendencia a ignorar estos riesgos emergentes. El
coste de la inacción debe cuantificarse en relación con el
impacto esperado del riesgo, en caso de que se materialice,
destacando el hecho de que no hacer nada no está libre de
costes.
B. Identificar a los colaboradores potenciales
D. Evaluar los retos y los beneficios de la colaboración
Cada colaborador debe desarrollar una visión clara de lo que
va a obtener con la colaboración y de qué esfuerzos serán
necesarios para superar los retos que se presenten.
El escepticismo sobre la factibilidad o la efectividad de un
enfoque de colaboración en los riesgos emergentes suele
centrarse en los factores siguientes:
• Múltiples grupos de interés
Las distintas partes afectadas por un riesgo concreto
pueden tener diferentes visiones sobre el tema, diferentes
niveles de urgencia y diferentes estrategias; además, el
tiempo y el esfuerzo necesario para coordinar las
estrategias de respuesta entre todas las partes pueden ser
elevados.
• Asimetrías de información
La información imperfecta y los retos en la cuantificación
de los costes y los beneficios que afectan a las entidades
complican la identificación y la mitigación de los riesgos
emergentes.
Es importante reconocer que el impacto de los riesgos
emergentes suele superar a la propia empresa y que la
preparación o mitigación requieren colaboración. El paso
siguiente será definir el valor de la colaboración e identificar
a los socios potenciales: entidades públicas o privadas, de
la competencia o colaboradoras, legisladores, ONG,
etcétera.
• Miopía
La estrechez de miras en cuanto a los riesgos se potencia
por la complejidad de los riesgos que van más allá del
control de la empresa, especialmente cuando se
considera que no es probable que se materialicen en un
período concreto.
C. Explorar escenarios de mitigación de riesgos mediante
la colaboración
• Ambigüedades analíticas
La ausencia de datos históricos para ponerle cifras a las
posibles pérdidas dificulta el consenso en torno a los
riesgos y a las oportunidades de colaboración.
Los escenarios deberían ayudar a determinar cómo
responderían los potenciales colaboradores si se
materializara un riesgo emergente. El objetivo es explorar
por completo la complejidad de gestionar el riesgo
emergente y determinar un conjunto amplio de interacciones
que ayudarían a minimizar pérdidas colectivas y a maximizar
las oportunidades derivadas del riesgo. Este ejercicio
contribuye a estimar la magnitud de los recursos necesarios
para gestionar el riesgo y destaca la importancia de
gestionar la relación más débil. Por ejemplo, en las cadenas
de suministro internacionales, basta una relación poco
consistente para “que un agente fuerte logre penetrar en la
cadena de suministro y menoscabe las actuaciones de
mitigación de riesgos de todos los demás miembros de la
cadena”.8
• Desequilibrio de incentivos
Los planes de compensación raramente se construyen
pensando en la gestión de riesgos, y los comportamientos
existentes raramente incluyen el compromiso de las partes
externas para mitigar los riesgos.
8 Howard Kunreuther (Wharton School of the University of Pennsylvania), Risk Management Strategies for Dealing with Interdependencies (2007)
Capítulo 3
El valor y las ventajas de colaboración suelen manifestarse
de la siguiente manera:
• Ahorro de costes: por ejemplo, menores costes de seguro.
• Mejor información a raíz del diálogo y del análisis de datos
en torno al tema de los riesgos, con ventajas como
mecanismos mejorados para identificación, mitigación y
control.
• Menos dedicación del personal para responder a sucesos
catastróficos.
• Menos pérdidas si el riesgo se llega a producir; por
ejemplo, las presiones colectivas a favor o en contra de un
cambio en la regulación pueden atenuar la severidad del
impacto en la organización.
• Mayor valor accionarial derivado de la mayor confianza de
los inversores, que a su vez resulta de una mejora
percibida en la preparación y las estrategias de mitigación.
Mientras que la cuantificación de costes y beneficios a
menudo es ambigua, los estudios demuestran que todas las
partes pueden beneficiarse de la colaboración.
E. Desarrollar un proceso de colaboración
y buen gobierno
Esto ayuda a garantizar que el proceso se lleva a cabo de
manera efectiva, que se logran los resultados y que los
temas se tratan como es debido. Se pueden ver ejemplos
ilustrativos en el gráfico 3.3.1. Los colaboradores clave
deben estar de acuerdo y “participar”. Para facilitar la toma
de decisiones y mejorar el compromiso definitivo, debe
nombrarse a una persona responsable. Esto se puede hacer
según la exposición al riesgo general, los ingresos anuales o
la presencia global, o mediante un proceso de voto
democrático. Una estructura de liderazgo rotativa también
puede ser adecuada para repartir las responsabilidades
entre los colaboradores clave.
F. Evaluar y mejorar la colaboración
Para garantizar la mejora continua y los ajustes a los
cambios en el entorno, todos los grupos de interés
identifican y evalúan periódicamente los costes y los
beneficios de las medidas de colaboración. Esto conlleva
mirar al pasado e identificar los éxitos y los fracasos en la
mitigación de los riesgos o la preparación. Las
organizaciones resistentes al riesgo revisan las medidas de
colaboración con las partes implicadas para la mejora
continua y para garantizar la adecuación y la relevancia de
los esfuerzos de respuesta al riesgo.
3.3.1
Ejemplos ilustrativos de colaboración para las categorías de riesgo de muestra
Riesgos emergentes de
muestra
Ejemplos ilustrativos de mitigación de riesgos en colaboración
y estrategias de mitigación de riesgos
Seguridad
• Tras el 11-S, las compañías aéreas reconocían que tenían que adoptar medidas de seguridad
mejoradas en el sector y hacer que se aplicaran iniciativas concretas en los aeropuertos para mitigar el
riesgo de mayores incumplimientos de seguridad. Fue necesario un gran esfuerzo de colaboración en
el sector para minimizar el riesgo de atentados terroristas mediante dispositivos explosivos
introducidos en las aeronaves a través del equipaje de mano. Medidas como la aplicación de los
escáneres para el equipaje de mano sólo podían ser efectivas si todas las aerolíneas participaban y
compartían costes, porque todas se iban a beneficiar de los beneficios de una mayor seguridad. Si una
sola compañía se negaba a participar, todas las demás quedaban expuestas al riesgo de catástrofe si
se introducía un dispositivo explosivo en su flota.9
• Con la ayuda de los ministerios de Defensa de los EE.UU. y del Reino Unido, se creó en 2002 el
Transatlantic Secure Collaboration Programme (ahora Transglobal Secure Collaboration Programme o
TSCP) para tratar temas de seguridad de información en las compañías y en la colaboración
internacional tras el 11-S, ofreciendo un foro para compartir información entre los participantes de la
industria de defensa. El TSCP establece unas políticas estandarizadas y unos procedimientos para
mejorar la colaboración entre los departamentos de defensa de los gobiernos y las empresas de
defensa. También pretende mejorar el cumplimiento de la normativa nacional y reducir los costes
operativos; ha creado un programa de correo electrónico para transmitir información delicada de
modo seguro, y sigue mejorando la eficiencia y la seguridad con la que sus miembros se comunican y
colaboran. Además de los ministerios de Defensa del Reino Unido y los EE.UU., TSCP agrupa también
a las empresas BAE Systems, Boeing, EADS, Raytheon, Lockheed Martin o el Ministerio de Defensa
de los Países Bajos, entre otros.
Cambio climático
• La iniciativa estratégica “ecológica” de Wal-Mart consiste en trabajar directamente con los
proveedores para reducir el impacto del cambio climático y medioambiental de los productos que la
empresa vende a cliente final. Wal-Mart evalúa y busca de modo proactivo cómo reducir su huella de
carbono (y simultáneamente, sus costes de empaquetado) dedicando recursos humanos y financieros,
y realineando sus operaciones y las de sus proveedores con una estrategia de costes más eficiente y
más respetuosa con el medio ambiente. Más allá de las ventajas financieras y medioambientales,
Wal-Mart quiere también cosechar un reconocimiento a su reputación mejorando su imagen entre un
público que cada vez tiene una mayor conciencia ecológica.
• El programa “Climate Savers” de The World Wildlife Fund (WWF) es una iniciativa para que las
empresas se comprometan de manera voluntaria a reducir sus emisiones de gases invernadero. WWF
proporciona a las empresas participantes consejos de implementación, asistencia para fijarse unos
objetivos de emisiones razonables y efectivos, y acceso a información compartida de otras empresas.
WWF y Sony patrocinaron la 2008 Climate Savers Conference, a la que asistieron los miembros de
Climate Savers: Allianz, Hewlett-Packard, Nokia, Nike, Tetra Pak... En dicha conferencia, 12
multinacionales reconocidas firmaron la Declaración de Tokio, en la que se pide un compromiso desde
la comunidad empresarial internacional para reducir las emisiones de gases invernadero. Dicha
conferencia hizo hincapié en la innovación a la hora de combatir las causas del cambio climático, y
destacó la colaboración entre empresas. Un ejemplo lo tenemos en la empresa Novo Nordisk,
dedicada al cuidado de la diabetes, y en la proveedora de energía danesa DONG Energy, que han
invertido en energías renovables. En 2014, Novo Nordisk espera poder utilizar exclusivamente energía
eólica para su funcionamiento en Dinamarca. La conferencia también ha ofrecido un foro para que las
empresas compartan sus planes y sus mejores prácticas para reducir las emisiones de gases
invernadero, allanando el camino para una mayor colaboración al afrontar este riesgo emergente.
Sanidad
• Determinadas organizaciones están trabajando para solucionar las deficiencias en el desarrollo o la
entrega de fármacos y servicios sanitarios, y desarrollando procesos conjuntos para lograr mejores
resultados y más valor para todas las partes.
• La farmacéutica Merck se ha asociado con el Gobierno de Botswana y la ONG The Bill & Melinda
Gates Foundation para incrementar el acceso y la cobertura del tratamiento contra el VIH/SIDA y para
apoyar la sostenibilidad de una respuesta nacional a la enfermedad. Los resultados se reflejan en el
porcentaje de población que puede recibir tratamiento, que ha pasado del 5% al 90% en cinco años, y
en la caída de la mortalidad por SIDA en más del 50%. Si bien los márgenes siguen bajos si los
comparamos con las ventas regulares, el nivel de éxito crea un impacto significativo en la marca.
Fuente: PricewaterhouseCoopers, Wharton, and Eurasia Group
9 Howard Kunreuther (Wharton School of the University of Pennsylvania) and Geoffrey Heal (Graduate School of Business, Columbia University), Interdependent Security (2006)
10 World Economic Forum, Strategic Partner Corporate Global Citizenship Advisory Group Presentation (2008)
Capítulo 3
3.4 Control rutinario de los riesgos
emergentes a través de un uso efectivo de los
indicadores
Para tomar decisiones con conocimiento de causa en lo
referente a los riesgos, la Dirección debe analizar y hacer un
seguimiento rutinario en su entorno para identificar
potenciales exposiciones a los riesgos emergentes a través
del análisis de hechos históricos y tendencias futuras. Esos
datos pueden estar estructurados o no, pueden ser
cuantitativos o cualitativos. En todos los casos, debería
ayudar a dilucidar lo desconocido y su potencial impacto en
la organización. Es importante solicitar la participación de
los expertos en los temas relevantes para poder validar los
datos.
Comprender las circunstancias generales en torno a los
posibles riesgos emergentes proporciona un punto de
partida para controlar los síntomas de los temas a tratar, que
deberán estudiarse con mayor profundidad conforme se
disponga de más datos para controlar y determinar la
necesidad de respuestas alternativas a los posibles riesgos.
El gráfico 3.4.1 proporciona una muestra ilustrativa de esos
indicadores en relación con varias áreas con posibles
riesgos emergentes. Además, lo que la experiencia nos ha
enseñado debería constar en los archivos de las empresas
para su análisis en relación con los indicadores, para mejorar
la resistencia al riesgo de la empresa.
Hacer un seguimiento de los indicadores de
riesgo emergente ayuda a ser más ágil con
la gestión de riesgos en caso de que el
peligro se materialice.
Los recursos básicos dentro de una entidad deben ser
conscientes de los objetivos y de las potenciales amenazas
mucho antes de que estas últimas se hagan realidad. La
adecuación de las habilidades y recursos en una
organización son claves para garantizar que los indicadores
están controlados de manera continua y sistemática. En
concreto, las organizaciones deberían:
• Relacionar los riesgos emergentes con los motores
comerciales estratégicos.
• Buscar información y analizarla mediante una asignación
adecuada de recursos.
• Revisar los indicadores de riesgo tradicionales y los
controles en relación con las condiciones cambiantes del
mercado.
• Saber escuchar las señales “débiles” (por muy flojas que
sean), invirtiendo en tecnología para controlar los riesgos
emergentes.
• Aprender de la experiencia directiva con los riesgos a
partir de hechos del pasado.
• Proporcionar información para las estrategias de gestión
de riesgos a través de los datos relevantes y el análisis
adecuado.
Además de mejorar el papel de sus recursos humanos, las
organizaciones deberían hacer inversiones adicionales en
tecnología para identificar y controlar las señales más
débiles que manda el mercado y los indicadores de los
riesgos emergentes. Los análisis de las posibilidades futuras
permiten a las organizaciones identificar y controlar los
indicadores de riesgo emergente, por lo que se limita el
impacto de los riesgos desconocidos y se desarrolla una
agilidad en la organización en relación con la gestión de
riesgos en caso de que el peligro se materialice. Considerar
la interconexión de los riesgos y las alternativas para mitigar
los riesgos interconectados ayuda a formular estrategias de
gestión de riesgo dinámicas para lograr la estrategia y los
objetivos de la organización.
3.4.1
Ejemplos ilustrativos de indicadores de riesgos emergentes
Riesgos emergentes de muestra
Ejemplos ilustrativos de indicadores
Riesgo político
• Inestabilidad o cambio político
• Inestabilidad o cambio de Gobierno
• Inestabilidad o cambio de régimen
• Sistema de actuación para la seguridad interior (escala de nivel de amenaza terrorista por colores que
implica diferentes acciones según el nivel)
Retraimiento de la globalización
• Introducción de control de capitales
• Barreras al comercio o ventajas a los productos nacionales
• Endurecimiento de las políticas de inmigración o resentimiento o violencia con grupos inmigrantes
Nacionalización/expropiación
• Aumento de tendencias populistas
• La economía confía en un sector o una industria concretos
• Complicación de las relaciones entre el Gobierno que acoge a la empresa y el Gobierno del país de
origen de la empresa
Crisis de crédito/financiera
• Indicadores macroeconómicos, como el aumento de la deuda externa, el déficit por cuenta corriente,
el déficit público o los tipos de interés
• Indicadores de mercado, como el aumento de los activos que no dan buenos resultados, la burbuja
de precios o la capitalización del mercado
• Indicadores de gestión financiera, como la capacidad de responder a obligaciones a corto plazo o el
nivel de efectivo
Precios energéticos
• Sucesos geopolíticos, medioambientales o de mercado que afectan a los productores de energía (por
ejemplo, la inestabilidad de Oriente Medio para el petróleo, las cosechas de maíz para el etanol...)
• Niveles de reserva o capacidad de producción energética (petróleo, gas natural, carbón)
• Niveles de consumo de petróleo y otras fuentes de energía (gas natural, carbón, nuclear,
hidroeléctrica)
Fenómenos climáticos extremos
asociados al cambio climático
• Cambios fuertes en comparación con los niveles de temperatura y precipitaciones normales
• Aumento significativo del nivel del mar
• Coordinación mundial para mitigar las emisiones de CO 2
Enfermedad epidémica mortal
• Respuesta pandémica a la gripe
• Tuberculosis extremadamente resistente a los fármacos (XDR TB) que se extiende rápidamente
Fuente: PricewaterhouseCoopers and Eurasia Group
Respuesta
a los
riesgos
Colaborar
para mitigar
riesgos
Capítulo 4
Conclusión: Riesgos emergentes que se
convierten en oportunidades emergentes
Los acontecimientos y las circunstancias que conllevan los riesgos emergentes también pueden
representar oportunidades, y la estrategia y el pensamiento operativo de las empresas deben
tenerlo en cuenta. La previsión y la rapidez de reacción ante los cambios son esenciales para la
resistencia al riesgo en un entorno cambiante.
La competencia global y la volatilidad económica dejan poco
margen para el error, y un mal juicio empresarial o una
decisión desafortunada no sólo pueden conllevar malos
resultados; pueden hacer que esa empresa desaparezca. En
cambio, si la empresa logra anticiparse a los riesgos de
modo efectivo, puede conseguir ventajas competitivas.
Los procesos del negocio y las estructuras existentes a
menudo se pueden potenciar a coste mínimo y aportar valor
añadido a la empresa. Los minoristas con cadenas de
proveedores globales pueden llevar a cabo simulaciones en
que se aprovechen sus redes para hacer llegar ayuda de
emergencia a víctimas de catástrofes naturales. Por ejemplo,
ese escenario se vio en la actuación de Wal-Mart cuando el
huracán Katrina asoló las costas estadounidenses en 2005.
Aprovechando su amplia cadena de proveedores, Wal-Mart
tuvo un papel crucial, colaborando con agencias
gubernamentales y ONG, tras la catástrofe. Wal-Mart no
sólo cosechó alabanzas por su rápida y efectiva respuesta;
también demostró el poder de una respuesta común a un
riesgo con repercusiones tan amplias.
Consideremos el riesgo estratégico que representa para las
empresas de entretenimiento y medios de comunicación la
llegada del formato mp3 y el intercambio de archivos que
caracteriza a la primera década del siglo xxi. Dadas las
pérdidas crecientes y las copias ilegales de sus principales
activos, la industria se enfrentaba a un riesgo emergente que
amenazaba su modelo de negocio. Era necesario establecer
una plataforma de colaboración, pero tuvo que llegar Apple
Inc. para desarrollar una solución que funcionase. Lo que
para un grupo de organizaciones era un imperativo
comercial, estratégico y emergente, para Apple fue una
oportunidad revolucionaria. La llegada del reproductor de
música digital iPod de Apple y la gestión de derechos
digitales incluida en el formato le daban un giro de 180
grados a la industria del ocio y los medios. Apple valoró el
cambio en los hábitos de los consumidores y la relativa
ineficacia de la oferta de los principales sellos musicales.
Aprovechó toda esa información para crear un nuevo
negocio de colaboración comercial entre los principales
sellos, y el resultado fue el iTunes Music Store, que facilita y
domina la distribución de música legal a día de hoy.
La gestión de los riesgos emergentes debe verse a través de
un prisma que anime a las entidades a aprovechar sus
puntos fuertes inherentes. Deben potenciar los esfuerzos en
gestión de riesgos corporativos con el fin de asegurar
recursos para analizar, responder y realizar seguimiento de
los riesgos emergentes. Concretamente, las empresas
deberían centrarse en demostrar cómo sus actividades
ayudan a otros a gestionar sus respectivas exposiciones a
riesgos catastróficos. Las organizaciones que participen en
la mitigación de los riesgos emergentes tienen potencial, no
sólo para aumentar su valor económico, sino también, y de
modo significativo su reputación.
Para mejorar su resistencia al riesgo, las organizaciones
deberían revisar, innovar y mejorar en lo necesario cada uno
de los elementos de su programa de gestión de riesgos para
garantizar que:
• Los riesgos emergentes que pueden ser relevantes se
identifican y se analizan de modo sistemático.
• La evaluación de estos riesgos se hace periódicamente,
con la participación de los expertos adecuados.
• Las respuestas al riesgo se determinan o se revisan según
sea necesario, considerando las oportunidades de
colaboración con otras partes.
• Los mecanismos de control adecuados se desarrollan y se
controlan de modo rutinario.
Introducir los riesgos emergentes en la cultura de la
organización –y en los procesos y las herramientas utilizadas
para planificar, ejecutar y evaluar los resultados
comerciales– es esencial para responder adecuadamente a
las expectativas de los distintos grupos de interés en un
entorno tan cambiante como el nuestro, en que una
organización puede prosperar o desaparecer de la noche a
la mañana.
Anexo A
Gestionar los riesgos emergentes
mediante una estructura gestión de
riesgos corporativos
A1
Proceso de 4 pasos
1. Identificar los riesgos emergentes relevantes
Determinar los riesgos
emergentes relevantes
para la organización
Identificar los riesgos
potenciales a gran escala
y los riesgos locales con
implicaciones expansivas,
considerando un análisis
histórico y futuro
Utilizar las
capacidades técnicas
para identificar
y controlar las señales
del mercado y los
indicadores de los
riesgos emergentes
potenciales
4. Controlar los riesgos
emergentes
Determinar los criterios de respuesta
Captar valores
y objetivos
de la
organización
Articular
contexto
2. Evaluar riesgos
Reconocer
barreras
Identificar
stakeholders
Evaluar los riesgos
emergentes
identificados a través
de escenarios
simulados
Determinar los
cambios necesarios
para las prácticas
de gestión de riesgos
Talleres de análisis de escenarios
Reunir a los
stakeholders
Dedicar recursos
humanos y financieros
para mejorar la
capacidad para
afrontar los riesgos
emergentes relevantes
Definir los
riesgos
emergentes
según
escenarios
concretos
3. Determinar
la respuesta
a los riesgos
emergentes
Evaluar el
impacto y la
probabilidad
según
gravedad
estimada
¿Es necesaria
la colaboración?
Determinar el proceso de colaboración
Identificar
estrategias
para los
riesgos
emergentes
Identificar
a los
colaboradores
Proponer un
escenario de
riesgos
emergentes
Examinar el
status quo
Subrayar los
beneficios para
la colaboración
Establecer las
condiciones
de la
colaboración
Establecer el
proceso de
colaboración
en la
mitigación de
riesgos
Definir la
estrategia
de mitigación de
riesgos emergentes
interna
Anexo B
Gestionar riesgos emergentes. Casos
prácticos
Caso práctico 1: PepsiCo
Contexto de la compañía
PepsiCo es líder mundial en snacks, alimentación y bebidas,
con unos beneficios en 2007 de más de 39.000 millones de
dólares y una plantilla que supera los 185.000 empleados.
PepsiCo se compone de tres divisiones: Alimentación,
Bebidas e Internacional. Los productos de PepsiCo se
pueden adquirir en casi 200 países y generan unas ventas
directas de más de 98.000 millones de dólares.
Algunas de las marcas de PepsiCo tienen más de cien años,
aunque la corporación es relativamente joven. PepsiCo se
fundó en 1965 con la fusión de Pepsi-Cola y Frito-Lay.
Tropicana se adquirió en 1998 y PepsiCo se fusionó con The
Quaker Oats Company (que incluye la marca Gatorade) en
2001. PepsiCo ofrece una oferta de productos para
responder a muy distintas necesidades y preferencias,
desde pequeños caprichos a productos más saludables.
La gestión de riesgos en general y en relación con los
riesgos emergentes
La gestión de riesgos dentro de la compañía está dirigida
por el Grupo de Gestión de Riesgo Empresarial.
La compañía está expuesta a los riesgos en el transcurso
normal de sus negocios debido al desarrollo adverso
relacionado con: demanda de producto, reputación,
tecnologías de la información, cadena de suministros,
consolidación de la venta al por menor y pérdida de
principales clientes, condiciones medioambientales y
económicas a nivel mundial, entorno regulatorio, retención
de mano de obra, materias primas y energía, competencia y
riesgos de mercado.
El proceso de gestión de riesgos de la compañía está
enfocado a garantizar que los riesgos se asumen de modo
consciente. De este modo, se aprovecha un marco de
gestión de riesgos integrado para identificar, valorar,
establecer prioridades, gestionar, controlar y comunicar
riesgos en la compañía. Dicho marco incluye:
Veamos la misión de PepsiCo: “Ser la primera empresa
mundial de productos de consumo en comida rápida y
refrescos. Queremos brindar una compensación financiera
adecuada a nuestros inversores al tiempo que ofrecemos
oportunidades de crecimiento y enriquecimiento a nuestros
empleados, a nuestros colaboradores comerciales y a las
comunidades en que estamos presentes. Y todo ello, sin
dejar de tener presente la honestidad, la justicia y la
integridad”.
• Consejo Ejecutivo compuesto por un grupo de altos
directivos interfuncional y de diferentes procedencias
geográficas que identifica, valora, establece prioridades y
responde a los principales riesgos estratégicos y
relacionados con la reputación
Riesgos emergentes a la vista
• Oficina de Gestión de Riesgos, que gestiona el proceso
general; proporciona asesoramiento, herramientas y
apoyo analítico al Consejo y a los comités; identifica y
valora riesgos potenciales; y facilita la comunicación entre
las partes, también con el Comité de Auditoría
Los principales riesgos emergentes identificados y
controlados por PepsiCo son los siguientes:
• Acceso a materias primas de calidad, como el agua
• Riesgos políticos (por ejemplo, el movimiento del
Gobierno venezolano de nacionalizar empresas)
• Inseguridad alimentaria en la cadena de suministros:
PepsiCo tiene un papel muy activo en colaboración con el
Programa Mundial de Alimentos
• Emisiones de CO2 y cambio climático
• Inflación y crecientes costes de los factores de
producción, sobre todo los precios del petróleo
• Comités de Riesgo por división, comprendidos por
equipos directivos experimentados interfuncionales que
se reúnen regularmente cada año para identificar, valorar,
establecer prioridades y responder a los riesgos
operativos de la división
• Auditoría Corporativa, que confirma la efectividad del
marco de gestión de riesgos a través de procesos de
revisión y auditoría periódicos
Para mantenerse al día de los riesgos conocidos, pero
también de los emergentes, la compañía sigue centrándose
en la mitigación de riesgos del modo en que se puedan
gestionar con mayor eficiencia y efectividad, y en el refuerzo
de la responsabilización para la gestión de riesgos dentro
del negocio. Explora asimismo las posibilidades de
colaboración con terceros por el bien de los objetivos
comunes. Algunos puntos destacados son los siguientes:
Anexo B
• Con respecto a la demanda de productos, la empresa
sigue centrándose en el desarrollo de productos que
responden a tendencias de consumo, tales como temas
que preocupan relacionados con la salud, como la
obesidad, los atributos de los productos y sus
ingredientes. Entre las acciones previstas vemos la
reformulación de productos con menos azúcar, menos
grasas y menos sal; también se pueden añadir
ingredientes beneficiosos para la salud, y ampliar la oferta
de paquetes por porciones. PepsiCo sigue prestando
atención a la comercialización de sus productos para
promover estilos de vida saludables o al equilibrio de
energía saludable mediante el patrocinio de America On
the Move.
• Coordina las iniciativas de integridad de producto por
división mediante la creación de un Consejo de Integridad
de Producto interfuncional para toda la empresa con
vistas a compartir buenas prácticas y detectar áreas de
riesgo potencial.
• Mejora la infraestructura informática interna a través de la
consolidación y la actualización, así como retirando los
equipos más antiguos y mejorando las opciones de
seguridad.
Caso práctico 2: ArcelorMittal
Contexto de la compañía
ArcelorMittal es el mayor productor siderúrgico mundial.
Con unos ingresos de más de 105.000 millones en 2007, y
más de 320.000 empleados en plantilla, tiene presencia en
más de 60 países. La compañía ha dirigido la consolidación
mundial del sector siderúrgico y hoy en día es el principal
productor de acero a nivel mundial. Es líder en I+D y
tecnología, tiene sustanciales recursos propios de materias
primas y excelentes redes de distribución. Su presencia
industrial en Europa, Asia, África y América le concede
exposición a todos los mercados importantes del acero,
desde los más emergentes a los más maduros, con
participación en varios sectores, incluyendo la automoción,
la construcción, los electrodomésticos y el packaging.
ArcelorMittal quiere abrirse camino en mercados de alto
crecimiento como China y la India.
Asimismo, la empresa está comprometida a establecer unos
estándares globalmente reconocidos, con las necesidades
de las generaciones futuras en mente y haciendo especial
hincapié en:
• Adopta iniciativas de transformación de procesos
comerciales para ayudar a seguir los pasos a las
necesidades de cambio de los clientes y a tener una
gestión de riesgos efectiva y unos procesos de calidad.
• Sostenibilidad
La compañía quiere asumir el liderazgo en la evolución del
acero para garantizar el mejor futuro para la industria y
para las generaciones a venir. El compromiso con la
comunidad global se amplía más allá del balance.
• Valora la capacidad para mitigar los problemas
comerciales potenciales y evalúa un enfoque integrado
para la gestión de problemas en el negocio, concluyendo
la recuperación de desastres, la gestión de crisis y la
continuidad comercial.
• Calidad
Como los resultados de calidad dependen de la calidad
de las personas, la empresa hace lo posible por trabajar
con los mejores y formarles para que logren soluciones
superiores para los clientes.
• Tiene una estructura de liderazgo ético y de cumplimiento.
• Liderazgo
Su espíritu emprendedor ha puesto a esta compañía en la
bandera de la industria siderúrgica y sigue llevando los
avances más allá de lo que todo el mundo espera del
acero.
• Los programas de recursos humanos se centran en la
diversidad y la inclusión, el desarrollo de liderazgo, la
planificación de la sucesión y la flexibilidad de los
trabajadores en su vida laboral, y eso se tiene en cuenta
en la contratación, desarrollo y retención de empleados
motivados y con talento.
La empresa tiene un total de nueve categorías de riesgo que
controla, incluyendo los trastornos comerciales, que
consideran escenarios de riesgos catastróficos (seguridad
de los edificios, incendios, etc.) y están dirigidos por el
grupo Seguridad Global.
Por otro lado, la compañía está sometiéndose a un cambio
paradigmático actualmente, con un fuerte movimiento hacia
la gestión de riesgos con dimensiones globales
(internacionales). Se llevan a cabo simulaciones de
seguridad global cada año en apoyo de los planes de
continuidad del negocio. Además, para gestionar los riesgos
globales de modo efectivo, se tiene que dar el tono desde
arriba. Las variaciones en los riesgos relevantes basados en
parámetros geográficos y regionales son naturales, pero el
mensaje tiene que venir desde arriba. Hacer que los
objetivos de gestión de riesgos bajen al nivel de las
divisiones y se interpreten correctamente es una parte
importante de la ecuación.
Riesgos emergentes a la vista
• Aumento de las limitaciones de los recursos naturales
(energía, agua)
• Menor cantidad y calidad de materias primas
• Cambio climático y reducción de las emisiones de CO2
• Problemas con las condiciones económicas y acceso a la
financiación para la industria y los stakeholders, como
clientes, proveedores y proveedores de servicios.
• Responsabilidades derivadas en el área de medio
ambiente y sanidad
• Riesgos políticos y barreras nacionales a la economía
mundial
• Nanotecnología, que podría revolucionar ciertas industrias
y desarrollar una competencia sustitutoria o intermaterial
• Acceso al talento en el sector tras muchos años de
crecimiento lento y perspectivas de carrera limitadas
• Reducción del ritmo de desarrollo de países como la India
o China
• Temas de cumplimiento e impacto en la reputación
La gestión de riesgos en general y en
relación con los riesgos emergentes
La gestión de riesgos en ArcelorMittal es competencia de la
Dirección y, en última instancia, del Consejo de
Administración. La responsabilidad para identificar, valorar y
gestionar el riesgo, incluyendo los riesgos emergentes,
radica en las unidades de negocio. Este enfoque ascendente
se completa con una evaluación de riesgos estratégica
hecha a nivel de grupo y con un horizonte temporal más
amplio. Todo el proceso lo controla el equipo de gestión de
riesgos corporativo, que informa al Consejo de
Administración del grupo, con el apoyo de una red de
responsables de riesgos.
La empresa ha adoptado una política de gestión de riesgos
y normas que proporcionan un marco y definen las
expectativas para gestionar los riesgos dentro de la
compañía. Se basa en marcos conocidos y en las mejores
prácticas internas y externas. Se revisa con regularidad la
política y los estándares para garantizar el cumplimiento con
los requisitos legales locales. Están previstos para
proporcionar una toma de decisiones descentralizada en
línea con las expectativas de gestión de riesgo corporativo.
El ciclo de gestión de riesgos comprende cuatro pasos clave
que en principio se espera que se lleven a cabo dentro de
las actividades habituales y que formen parte integral de los
procesos de toma de decisiones: la identificación de los
posibles acontecimientos que podrían representar riesgos u
oportunidades en relación con los objetivos empresariales;
la valoración de los riesgos mediante una combinación de
enfoques ascendentes y descendentes; el tratamiento de los
riesgos, y el control de los riesgos a través del uso de varios
indicadores externos e internos.
Los riesgos se categorizan en riesgos comerciales, riesgos
de sucesos, riesgos financieros y riesgos operativos. Los
principales riesgos constan en un registro que se actualiza
trimestralmente con una valoración de las exposiciones
actuales, tendencias futuras y acciones de mitigación
realizadas. Se revisa en detalle como parte del proceso
presupuestario anual.
Se identifican las perspectivas de gestión de los posibles
riesgos a través de datos internos y externos, con el diálogo
interactivo con otras partes –participación en foros de
debate del sector, talleres de análisis de escenarios dentro
de los ejercicios de planificación anuales (para tratar riesgos
emergentes y explorar lo que se puede hacer de modo
diferente para gestionar esos riesgos de modo más
efectivo)– y con los perfiles de país trazados antes de entrar
en un nuevo mercado.
Los riesgos se evalúan en términos de impacto y
probabilidad de ocurrencia, mediante una combinación de
factores cualitativos y cuantitativos. Se simulan escenarios
para valorar el impacto en los objetivos de la compañía y
para saber qué riesgos emergentes pueden ser relevantes
para la organización.
La compañía reconoce la interconexión entre muchos de los
riesgos clave y por ello, intenta captar las correlaciones
entre los riesgos, al menos en términos cualitativos. Por
ejemplo, un aumento del proteccionismo puede causar una
mayor dificultad para acceder al talento, lo que a su vez
puede afectar al nivel de innovación y de crecimiento de la
empresa. Además, la ralentización de la economía china, la
inestabilidad en Oriente Medio, los estados con problemas
de cambio de Gobierno y las guerras civiles e interestatales
tendrían su efecto en la compañía por separado, pero
conjuntamente tendrían un efecto compuesto en la empresa,
sus activos y la cadena de suministros de esa ubicación.
Los indicadores de alarma ayudan a la empresa a hacer un
seguimiento de los riesgos emergentes, mediante
tendencias macroeconómicas y otros datos relevantes,
actualizados al menos semestralmente. Un comité de riesgo
estratégicos, compuesto por cuatro altos directivos y
presidido por el responsable de Estrategia, analiza cómo
esos riesgos emergentes pueden afectar al grupo,
determina las oportunidades que se asocian al riesgo y
evalúa la adecuación de la respuesta estratégica propuesta.
El informe de riesgo se incluye en el informe de rendimiento,
y los riesgos significativos los transmiten las diferentes
empresas y funciones con regularidad para comprender la
adecuación de la gestión de riesgos y evaluar la efectividad
de los planes de continuidad de los negocios. El reporting
incluye un proceso mensual de análisis de sucesos
significativos del mes desde una perspectiva de gestión de
riesgos, las causas iniciales de esos acontecimientos y las
acciones de mitigación emprendidas. Con una periodicidad
trimestral, esa información de riesgos se presenta al
Consejo de Dirección del grupo y al Comité de Auditoría.
Normalmente, el impacto financiero se evalúa dentro de un
horizonte temporal de un año. Ahora bien, sigue siendo un
reto hacer más hincapié en los riesgos emergentes con
menor probabilidad e insuficientes datos de apoyo.
Agradecimientos
Este documento ha sido elaborado por PricewaterhouseCoopers en colaboración con sus socios.
Autores de PricewaterhouseCoopers:
Catherine Jourdan y Christopher Michaelson.
El comité asesor estaba compuesto por Joe Atkinson, Brian Kinman, Hans Borghouts, Peter Frank, Gary Keaton, Sophie
Lambin y Dietmar Serbee.
Un especial agradecimiento a las personas que han aportado información
y comentarios al texto:
Sheana Tambourgi, World Economic Forum, Global Risk Network
Howard Kunreuther y Erwan Michel-Kerjan, Risk Management and Decision Processes Center, Wharton School, University of
Pennsylvania
Sage Newman, Eurasia Group
Bill Scotting y Patrick Claude, ArcelorMittal
Shawna Wilson, PepsiCo
M.D. Ranganath, Infosys Technologies Limited
Para más información, pueden ponerse en contacto con:
Ramón Abella, Socio, España +34 91 568 46 00
Ferrán Rodríguez, Socio, España +34 91 568 40 89
Joe Atkinson, Principal, EE.UU.
+1 267 330 2494
Hans Borghouts, Socio, Países Bajos +31 (0)20 568 4314
Catherine Jourdan, Director, EE.UU. +1 646 471 7389
Christopher Michaelson, Director, EE.UU. +1 612 596 4497
www.pwc.com/es
El presente informe se ha elaborado únicamente con fines orientativos generales en torno al tema que nos ocupa. La información reflejada en el presente informe se ha
obtenido de fuentes fiables, pero PricewaterhouseCoopers no se responsabiliza ante posibles errores u omisiones ni de los acontecimientos derivados de la aplicación de
dicha información. PricewaterhouseCoopers no está ofreciendo mediante este documento servicios legales, contables, fiscales u otros servicios profesionales. Antes de
tomar ninguna decisión o llevar a cabo actuaciones concretas en este ámbito, le recomendamos encarecidamente que se ponga en contacto con un profesional
competente.
PricewaterhouseCoopers (www.pwc.com) ofrece a las empresas y a la Administración servicios profesionales especializados en cada sector. Más de 155.000 personas en
153 países aúnan sus conocimientos, experiencia y soluciones para dar confianza e incrementar el valor de sus clientes y stakeholders. PwC presta servicios de auditoría,
asesoramiento legal y fiscal (Landwell), consultoría de negocio, corporate finance y consultoría de recursos humanos con una fuerte especialización sectorial.
© 2009 PricewaterhouseCoopers. Todos los derechos reservados. “PricewaterhouseCoopers” se refiere a la red de firmas miembros de PricewaterhouseCoopers
International Limited; cada una de las cuales es una entidad legal separada e independiente.

Afrontar riesgos emergentes

Transcripción

Documentos relacionados

ESTRUCTURAS PARA ANALIZAR Y EVALUAR LA PERCEPCIÓN