Gestión de riesgos en los directorios

Luis Hernán Paúl

Sin perjuicio que la gestión de riesgos es una de las labores fundamentales que corresponde desarrollar a los directorios, en la práctica son pocas las empresas donde ésta se realiza correctamente. Y la razón de ello es simple. Se trata de una actividad difícil de efectuar cuyos resultados prácticos no siempre son efectivos. Sin embargo, de todas formas puede ser útil aclarar cómo los directorios pueden hacer frente a esta labor.

Personalmente considero valioso utilizar el enfoque que siguen algunas compañías de separar los riesgos en tres categorías en función de su grado de predictibilidad, posibilidad de control y manejo, y lo que es muy importante, la magnitud de sus potenciales perjuicios.

Los riesgos nivel 1 son aquellos que es conocido que son conocidos. Surgen de acciones no deseadas o no autorizadas de la gente que por lo general trabaja en la empresa. Se relacionan fundamentalmente con la operación regular y con el "compliance" o cumplimiento de normas. Entre estos riesgos se encuentran por ejemplo las fallas en los procesos, la pérdida o destrucción de activos y/o información y los errores en los procedimientos de control interno destinados a la protección frente a fraudes, negligencias e incumplimiento de leyes y normas.

La principal labor que pueden realizar los directorios para manejar estos riesgos es asegurar el correcto desarrollo de las labores control interno. Para este efecto es que se generan sistemas de denuncias, procedimientos, políticas, códigos de ética, etc.

Los riesgos nivel 2 son aquellos que es conocido que son desconocidos. Se relacionan con la ejecución de la estrategia de la empresa. Pueden ser de carácter financiero (i.e. alza de tasa de interés, devaluaciones de monedas o cambios de precios de commodities), comercial (i.e. cierre de mercados, falla de productos o caídas de precios), productivos (i.e. falla en suministro de materia prima), ambientales (i.e. cierre de una planta o reducción de producción), tecnológicos (i.e. ingreso de sustitutos) o de otro carácter.

Para definir qué hacer con estos riesgos muchas empresas utilizan la metodología de la matriz de riesgos, la cual consiste básicamente en segmentar los riesgos en función de la magnitud de los perjuicios que pueden generar en caso de materializarse y su probabilidad de ocurrencia. De este modo, mientras mayor sea la magnitud del perjuicio y la probabilidad de ocurrencia de un riesgo, mayor es la preocupación que debiera existir respecto del mismo.

Pero hay que tener claro que para hacer negocios hay que asumir ciertos riesgos y una de las labores importantes del directorio es justamente asegurar que la administración identifique y dimensione en lo posible los principales riesgos que enfrenta la empresa y presente al directorio su posición respecto a cuáles son los riesgos y el nivel de riesgos que propone asumir, y por defecto cuáles son los riesgos que propone no tomar o reducir. Asimismo, el directorio debe asegurarse que se respete la política de riesgos acordada.

Los riesgos nivel 3 son aquellos que no es conocido que son desconocidos. Estamos hablando de riesgos que generan eventos desconocidos, impredecibles o muy inusuales como por ejemplo un alza al doble o el triple en el precio del petróleo, un terremoto o huracán devastador en zona relevante del mundo, una guerra en el medio oriente, una macro devaluación del dólar o una epidemia masiva. Estos eventos se conocen como eventos tipo faisán negro a propósito del famoso libro del mismo nombre de Nassim Taleb.

El faisán negro para General Motors y Chrysler durante la última crisis financiera fue justamente la gigantesca alza ocurrida en el precio del petróleo, la cual llevó a que los vehículos grandes poco eficientes en uso de bencina que eran altamente rentables previo a la crisis fueran invendibles.

En algunas compañías se efectúan esfuerzos para identificar este tipo de riesgos, analizar sus posibles consecuencias y definir las medidas que podrían adoptarse para hacerle frente. Sin embargo, como se trata de eventos poco predecibles, lo usual es que ocurran otras cosas y los planes de contingencias requieran ser adaptados. Pero al menos es preferible partir de algo que no tener nada y partir de cero.

Finalmente conviene tener presente que la gestión de riesgos requiere de liderazgo, especialmente en los buenos tiempos cuando no hay nubes en el horizonte que hagan predecible la llegada de una tormenta. Los gerentes generales y los directorios necesitan tener el coraje de rechazar involucrarse en iniciativas o negocios aparentemente rentables que exponen a la compañía a riesgos excesivos.