Riesgo: ¿percepción o análisis?

Salvo las áreas de algunas empresas, y del sector financiero y por supuesto, las agencias gubernamentales que manejan los riesgos, normalmente no se sabe a ciencia cierta de riesgo, pero todo el mundo intuye su significado, y por eso es fácil encontrarse hablando de riesgos. En realidad, es fácil encontrarse especulando de riesgos.

Resulta obvio, también por intuición, que es importante saber de riesgos cuando se dirige una empresa o institución, de cualquier tamaño, sector y mercado, o cuando se está al frente de un área o función de negocio, ya que el riesgo es inherente a todas las actividades del ser humano, incluyendo las de negocios.

La brecha en esta contradicción quizá nace de la dificultad de analizar y, más de medir, los riesgos en cualquier actividad. Aquí hacemos una introducción conceptual rápida para colaborar a cerrar esa brecha, porque el debido manejo de riesgos es una competencia requerida para la competitividad.

Riesgo = función (amenaza, vulnerabilidad)

El primer concepto importante es que el riesgo se define en función de la combinación entre amenaza y vulnerabilidad que se presente. La amenaza que se presenta sobre la circunstancia, situación o actividad, que generalmente proviene del entorno, y casi siempre es incontrolable. La vulnerabilidad depende del estado en que está la empresa o institución o actividad para hacerle frente a la amenaza. Esto aplica perfectamente a todas las circunstancias, situaciones y actividades en que está involucrado el ser humano, desde los eventos de la naturaleza hasta las actividades empresariales.

Como usualmente se le denomina a los riesgos con una nomenclatura que omite los artículos, anteponiendo la palabra riesgo al origen del riesgo, en adelante se usará esa convención. El riesgo cambio climático, por ejemplo, depende de las amenazas que se están sobreviniendo por el recalentamiento del planeta, cuya ocurrencia no es controlable por el ser humano  (sequías, inundaciones, avalanchas, ciclones), en la cual, la mayor o menor exposición a la amenaza, que algunos casos también puede ser no controlable (posición geográfica), y la mejor o peor preparación para evitar, atenuar o soportar la amenaza (reservorios, canales, diques, relocalizaciones), se constituyen en la vulnerabilidad. El riesgo corrupción, como ejemplo en una empresa, lo constituye la combinación de la amenaza, la falta de honestidad de los empleados que provienen de la cultura generalizada en el medio (malos procesos de selección aumentan la amenaza en este caso), y la vulnerabilidad que presente la empresa (a través de sus controles, auditorías, arqueos, procesos blindados, trato y salarios justos o no, cultura empresarial más o menos fuerte que la del medio).

En la ilustración aparece una explicación conceptual de la clasificación de riesgo dependiendo de la combinación de variables explicada.

Riesgo bajo que proviene de una amenaza baja (relativamente hablando), y una vulnerabilidad baja de la empresa o institución o actividad. La costa atlántica colombiana se encuentra en una zona sísmica que ha presentado baja ocurrencia de sismos, por lo cual hay una amenaza relativamente baja de terremoto. Los edificios que en su construcción hayan seguido las normas sismo-resistentes, deberían tener una baja vulnerabilidad ante la ocurrencia de posibles eventos. Es decir, el riesgo terremoto allí, es bajo.

Riesgo controlable que se presenta cuando la combinación consiste en una amenaza alta pero baja vulnerabilidad, quiere decir que, aunque puedan presentarse eventos de riesgo con mayor probabilidad, la vulnerabilidad en la empresa, institución o actividad, es baja, lo cual quiere decir que, o está bien preparada ante la amenaza o el impacto de la ocurrencia de un evento de la amenaza es bajo. Esto introduce el concepto del impacto que se trata más adelante. Un ejemplo es la operación de camiones en las carreteras frente a una parte del riesgo negocio, específicamente, del riesgo operacional del negocio, porque al rodar con camiones en las carreteras se presentan eventos de accidentes, bien sea con origen en fallas de conducción de otros vehículos que transitan (incontrolable, con una probabilidad de ocurrencia medible), o incluso en la impericia o errores de los conductores propios (controlable parcialmente, con buenos procesos de selección), combinado con una vulnerabilidad baja, siempre y cuando se hayan asegurado todos los “riesgos asegurables” como lo llaman las aseguradoras, cuando se tienen muchos camiones rodando (en ambos casos y más cuando se combinan, se baja el impacto sobre la empresa, por cuanto la ocurrencia de un evento no afecta fundamentalmente a la empresa) y cuando se trabaja en prevención y seguridad vial con los conductores. La empresa en este ejemplo, tiene muchas formas de “controlar el riesgo” tomando acciones que le bajen la probabilidad de ocurrencia de un evento generado en causas propias, y muchas acciones para bajar la vulnerabilidad.

Riesgo manejable, cuando la combinación es entre una amenaza baja y una vulnerabilidad alta, en cuyo caso puede significar que la empresa, institución o actividad no se ha preparado contra la amenaza porque precisamente la probabilidad de que un evento ocurra es remota, o bien sea porque el impacto no es más alto que la preparación para enfrentar el posible evento. Un ejemplo de la vida real, es cuando se hace un viaje en avión, analizado desde el punto de vista del viajero; existe una probabilidad baja de que suceda el evento, pero si sucede, la vulnerabilidad es altísima ya que significa la muerte en la mayoría de los casos. La decisión del viajero está cimentada en esta combinación, y asume el riesgo cada vez que se monta en un avión. La amenaza es cada vez más baja a partir del desarrollo incremental de la seguridad en la aviación, con base en la corrección de causas de sus propios eventos, y de procedimientos de mantenimiento y seguridad rigurosos, lo cual se refleja en las estadísticas de accidentes de aviones. En cambio los procedimientos que intentan bajar la vulnerabilidad de los viajeros en caso de un evento (posición de las sillas, procedimientos de evacuación, luces en el piso, chalecos salvavidas, etc.) resultan poco significativos en los accidentes graves.

Riesgo alto, cuando la amenaza es alta como la vulnerabilidad alta. Un ejemplo típico es la corrupción en un estado, como el colombiano, a juzgar por los hechos comúnmente conocidos, por cuanto la cultura del medio conlleva falta de honradez de las personas que se ve potenciada por la falta de consecuencias reales ante los eventos (impunidad real, total o parcial) y el monto cada vez más alto por evento, que estimula a que las personas estén cada vez más propensas a cometer corrupción, y una vulnerabilidad alta, no solo porque los controles son insuficientes, las acciones de la justicia precarias y lentas, sino que con el transcurso del tiempo se ha ido sofisticando la acción de los corruptos, incluyendo que quienes se deberían encargar de establecer los controles y medidas, pueden ser quienes no estén interesados en hacerlo.

Valoración del riesgo = impacto de un evento X probabilidad de ocurrencia del evento

La valoración del riesgo es otro concepto muy importante para clasificación de riesgos y priorización de acciones, cuando ellas se pueden tomar frente al riesgo. Consiste en valorar el riesgo, con base en el impacto de un evento sobre la empresa, institución o actividad, multiplicado por la probabilidad de ocurrencia del evento.

El impacto de un evento, podría estimarse con medidas relativas, o calcularse hasta con cifras decimales, en diferentes tipos de unidades. En cuanto a empresas no hay duda que debe ser valorado en dinero, ya que de esto se tratan los negocios. Dinero podría ser también la unidad de medida para valorar riesgos en instituciones, incluso aquellas dedicadas a beneficencia en la que los propósitos no son las utilidades, pero cuyas acciones mejoran más o menos las condiciones de vida de las personas favorecidas. Todo es valorable, y es mejor hacer el esfuerzo de hacerlo en una unidad tan comprensible hoy en día como el dinero; no es una condición necesaria, pero lo que sí es requerido es que una clasificación de riesgos y posterior priorización de acciones, debe basarse en una unidad homogénea, de lo contrario no sería comparable, y por lo tanto, no sería válida la clasificación y priorización de acciones.

Por el lado de la probabilidad, en muchos casos solo se requiere que exista una estadística de la ocurrencia de eventos. En otros, puede que no haya información, lo cual dificulta y debilita el análisis. Es mejor hacer el esfuerzo de tener la probabilidad de ocurrencia de eventos para no degradar el análisis; pero en casos extremos de no existencia de información creíble, es posible traducir las percepciones en números, que permitan hacer sentido en las comparaciones entre riesgos. Pero hay que tener muy buen criterio, lo que normalmente solo corresponde a expertos en el negocio, sector o actividad.

“Riesgo” es un tema fundamental de gerencia

Lo que sí no puede suceder, es que los directivos de las empresas, instituciones o actividades, no abracen el tema de riesgos y no lo hagan parte natural de sus labores gerenciales. Es común ver que se ignora el análisis de riesgos como parte estructural de la gerencia, bien sea por desconocimiento o por la dificultad aparente del análisis, que lleva a posiciones simplistas como la de asumir riesgos, más por desconocimiento que por arrojo. Por sobre todo hay que recordar que no porque se desconozcan no existen los riesgos, y que entre mayor sea el desconocimiento sobre los riesgos más vulnerabilidad conllevará, por haber perdido la oportunidad de prepararse para prevenir las causas o atenuar las consecuencias. En la era de la información, tomar riesgos no analizados debidamente, no corresponde a héroes sino a irresponsables.

Deja un comentario

Tu dirección de correo electrónico no será publicada.