La disciplina formal de gestión de riesgos es tan antigua como las empresas de seguros. Como fue inventada por y para aseguradores, comencemos por examinar la idea en su contexto inicial. Si usted fuera un ejecutivo en alguna compañía como AXA, Allianz, MetLife, Aviva, Aegon, Mapfre, etc., usted pensaría en gestión de riesgos desde el punto de vista agregado de cartera de riesgos. Sus riesgos no se gestionan bien si muchas de sus pólizas están sujetas a pérdida debido al mismo evento catastrófico. Así, por ejemplo, una elevada concentración de pólizas de hogar en la costa de Florida le expone demasiado: Si no hay huracanes, usted gana dinero, pero si hay un huracán lo pierde todo. ¿Qué puede hacer para diversificar el riesgo? ¿Qué paso daría para asegurar que su caso peor es aceptable sin renunciar a todo el beneficio posible del caso mejor (esos cheques y recibos bancarios y todos esos beneficiarios pagando)?
La acción básica en gestión de riesgos en el negocio de seguros es transferir parte de los riesgos a otro asegurador, típicamente a cambio de algunos de sus otros riesgos que desequilibran su cartera. Usted cambia algunos de sus seguros de hogar en Florida por parte de otras coberturas en seguros por discapacidad en California, o de seguros laborales de trabajadores en Hawai, etc. Ahora, si un huracán azota la costa de Florida, usted incurre en pérdidas, pero no tan grandes como para llevar a su empresa a la quiebra.
A continuación, algunos puntos destacables en nuestro ejemplo del sector de seguros:
- Los riesgos no son inherentemente malos (son la razón del negocio asegurador).
- Los riesgos no se eliminan del todo (sigue habiendo pérdidas cuando ocurre la amenaza).
- Gestionar riesgos cuesta dinero (el trabajo de transferir las pólizas, las penalizaciones que el otro asegurador puede imponer por aceptar ciertas coberturas, etc.)
- Si el riesgo no se materializa, los costes de la gestión de riesgos son costes adicionales (pérdida de margen comercial sobre las pólizas de ese año en que no hubo reclamaciones).
- La gestión se aplica a la cartera global, no sólo sobre uno de sus componentes (tener todos los huevos en la misma cesta -sólo una póliza- no le permite asegurar que ganará dinero ese año).
Todos estos puntos se cumplen en la gestión de riesgos del negocio asegurador, pero también se cumplen en la gestión de riesgos en su negocio.
Las malas noticias
Dado que usted no es un ejecutivo de una compañía de seguros, su principal uso de la gestión de riesgos será probablemente gestionar los riesgos de una asignación singular, es decir, un proyecto. Si es así, usted tiene todos los huevos en la misma cesta: ese proyecto. Usted entiende que el rol en el que le han puesto consiste en lograr el éxito en ese proyecto porque ¡la empresa cuenta con ello! La mala noticia es que la gestión de riesgos no le da una vía para forzar el éxito en ese proyecto, sólo para maximizar las probabilidades de éxito. Si finalmente se materializan suficientes componentes de riesgo, el proyecto entero fracasará (esto es, terminará con retraso, con sobrecoste, y puede que no genere el valor suficiente para los interesados).
El tipo de control que le proporciona la gestión de riesgos es de tipo estocástico, no es determinista. Usted tiene control determinista, por ejemplo, sobre la presión determinada de un gas en un recipiente. La forma en la que usted controla la temperatura y el volumen determina la presión absolutamente. Mientras usted pueda controlar estos parámetros, tiene todo el control. Por otra parte, usted tiene control estocástico sobre la tasa de personal que abandona su empresa y se va a trabajar a la competencia. Variables como salario, beneficios, horas de trabajo, grado de presión, etc., producen una tendencia en la tasa de salidas, pero no importa lo bien que se gestionen, no hay garantía absoluta de que Enrique tendrá un desempeño excelente hasta que el proyecto termine.
El control estocástico puede estar bien para la empresa, pero no es tan bueno para un gestor individual, que termina siendo un ganador o un perdedor sobre la base de un solo proyecto. Pero es importante notar que es bueno para la empresa. Además, algunos proyectos son lo suficientemente grandes para ser considerados carteras de riesgos en su conjunto, y es posible utilizar el control estocástico en el proyecto para conseguir el éxito global.
Por si esto fuera poco, las herramientas de gestión de riesgos son bastante contra-intuitivas. Puesto que trabajan con incertidumbres, son por naturaleza probabilísticas, de ahí que no sean fáciles de dominar. Más malas noticias: La gestión de riesgos se contrapone claramente con un artículo de la teología corporativa llamado “mentalidad de se puede hacer” (más sobre esto al final).
Ya hemos terminado con las malas noticias, el resto ya son buenas. Pero las negativas hacen un paquete bastante devastador: control no determinista, herramientas contra-intuitivas, choque con la cultura corporativa. ¿Por qué puede interesarle hacer algo así?
¿Por qué hay que gestionar riesgos?
Suponga que yo voy a su empresa a trabajar en su proyecto clave durante unos días. Suponga que al final de mi estancia le informo de que “terminar antes de enero es imposible, la fecha más probable para entregar un producto aceptable es el 1 de marzo, pero incluso esta fecha no es muy creíble (30%), hay que esperar al 15 de abril si se quiere publicar una fecha límite con el 50% de confianza, pero si se quiere probabilidad de retraso virtualmente nula, hay que publicar como fecha de fin de proyecto el 1 de julio”.
Usted ya tenía incertidumbre sobre la fecha de cierre de su proyecto antes de llamarme. Yo también tengo incertidumbre, sin duda. La diferencia entre su incertidumbre y la mía es que yo le he dado alguna información sobre cuánto mide mi incertidumbre. Yo puedo ver la posible finalización ocurriendo en cualquier momento desde el 1 de enero al 1 de julio. También le he dado información sobre el pico de probabilidad, mi mejor apuesta sobre cuándo el proyecto estará terminado. Mi evaluación se puede representar gráficamente de la siguiente manera:
Usted ya tenía incertidumbre sobre la fecha de cierre de su proyecto antes de llamarme. Yo también tengo incertidumbre, sin duda. La diferencia entre su incertidumbre y la mía es que yo le he dado alguna información sobre cuánto mide mi incertidumbre. Yo puedo ver la posible finalización ocurriendo en cualquier momento desde el 1 de enero al 1 de julio. También le he dado información sobre el pico de probabilidad, mi mejor apuesta sobre cuándo el proyecto estará terminado. Mi evaluación se puede representar gráficamente de la siguiente manera:
Este diagrama de riesgo es una declaración explícita del grado de incertidumbre. Muestra la probabilidad relativa de que la finalización ocurra en cualquier momento dado. La probabilidad de terminar antes de una fecha dada es el porcentaje de área bajo la curva a la izquierda.
Gestionar cuantitativamente los riesgos es declarar explícitamente la incertidumbre. Usted podrá medir cuánto riesgo está soportando. La declaración explícita de las incertidumbres de cada componente de riesgo (aquellos que le llevan a un posible retraso, por ejemplo) le permitirá justificar una reserva de contingencia razonable para maximizar las oportunidades del éxito global.
Considere lo que le ocurre a los proyectos en ausencia de esa declaración explícita del riesgo:
- ABUSO Nº 1: La declaración de que un proyecto no tiene ninguna posibilidad de ser completado antes de enero se interpretará como que el 1 de enero es una fecha razonable de terminación. Esto lleva a seleccionar una fecha que (como el gráfico demuestra) tiene 0% de probabilidad de cumplirse.
- ABUSO Nº 2: Ciertos gestores más liberales seleccionarán la fecha más probable, pero aun así terminan generalmente más tarde (2 veces de cada 3). El diagrama explica por qué: Los proyectos, como la mayoría de los cometidos humanos, se caracterizan por prolongadas disminuciones de probabilidad cuanto más a la derecha, de manera que el pico de la curva se desplaza a la izquierda. El área a la izquierda del pico es apenas 1/3 del total.
- ABUSO Nº 3: La noticia de que el proyecto se desplazará hasta julio se oculta a los clientes y a otros interesados. Cuando esto ocurre un proyecto después de otro, los interesados pierden la fe en todas esas “predicciones” sobre fechas.
La mayoría de mis clientes a menudo hablan de la dificultad de lidiar con los interesados: “No puedo decirle a marketing que su nuevo producto puede que no esté listo durante otros 6 meses, me despellejarían vivo, o bien no financiarían el proyecto”. Pero los interesados no son una abstracción amorfa; son personas (gente muy lista y con buena memoria). Cuando aprenden que las declaraciones sobre las fechas no son más que frases vacías, no tienen manera de saber qué riesgos están soportando. Eso les fuerza a ser mucho más conservadores, imaginando lo peor. La paradoja aquí es que esas organizaciones no pueden ser agresivas a la hora de tomar riesgos sin alguna convicción realista sobre la medida de las incertidumbres. Sin una gestión de riesgos adecuada, las organizaciones acaban teniendo aversión al riesgo.
Plantarle cara a la incertidumbre
La gestión cuantitativa de riesgos es la declaración explícita de la incertidumbre. Pero en ciertas culturas corporativas, a las personas no se les permite la incertidumbre. Se les permite equivocarse, pero no tener incertidumbre. Se les obliga a mirar a sus jefes y clientes a la cara y mentir, antes que mostrarse dudosos a cerca de los resultados. La incertidumbre es para los débiles.
Yo no tengo una respuesta sencilla para usted si vive en una cultura así. Ciertamente, gestionar públicamente los riesgos no le va a ser posible. Usted todavía puede practicar alguna gestión de riesgos en privado, en su propio dominio (que usted esté obligado a mentirle a su jefe no es razón para mentirse a sí mismo), pero los beneficios serán menores que si fuera una práctica común a lo largo de la organización.
Una variante del tema “la incertidumbre es para los débiles” es la cultura donde a los gestores se les permite mostrar un poco, pero no mucho, de incertidumbre. La cantidad de incertidumbre declarable es típicamente del orden del 5%. Así, si un proyecto se espera que finalice en 18 meses, un gestor puede salir adelante insistiendo en una ventana de 2 meses, prometiendo terminar en algún momento entre primeros del mes 18 y finales del mes 19 (el 5% de 18 es aproximadamente un mes, la estimación puede ser 18-1 y 18+1). Esa es la máxima extensión de incertidumbre permitida. Todo esto estaría bien si la empresa tuviera un sólido registro mostrando que es capaz de predecir los resultados dentro del 5%. La mayoría de las empresas que yo conozco que tienen la regla del 5% de máxima incertidumbre dentro de su cultura corporativa están lejos de ese nivel de predicción. Regularmente consiguen resultados que se desvían de la predicción entre el 50-100%. Con este registro de aciertos, insistir en una ventana de incertidumbre máxima del 5% hace que todo el mundo acabe sacando el mentiroso que lleva dentro.
La mentalidad de “Se puede hacer”
Mirarle a su jefe a la cara y decirle 1 de enero cuando usted sabe que incluso medio año más podría ser realista, suena mal. Suena a mentira. Pero ser un gestor del tipo “se puede hacer” (en inglés, “Can Do”) suena bien. Algo de esta actitud se espera de todos nosotros. Admitámoslo: Nos conmueve cuando el gran jefe pide rendimiento extraordinario y los subordinados responden “se puede hacer”. Esa es la sumisión y aceptación que conllevan los retos. Y aceptar retos es bueno. Usted se dice a sí mismo: “Nadie hace nada ambicioso si no se compromete, no importa lo poco factible que parezca al principio”. La forma de pensar “se puede hacer” es parte integrante de todas las empresas de hoy en día.
El “se puede hacer” es, desafortunadamente, la antítesis de la gestión de riesgos. La gestión de riesgos ha de reconocer directamente las posibilidades del “no se puede hacer” (en inglés, “Can’t Do”). Usted no puede ser un gestor “se puede hacer” y además practicar la gestión de riesgos.
Usted no puede hacer las dos cosas a la vez, pero no hay razón por la que su empresa no pueda. Un gestor individual ha de ser del tipo “se puede hacer” o “no se puede hacer”, uno de los dos. La empresa, por el contrario, puede tener una mezcla de gestores “se puede hacer” y unos pocos gestores “no se puede hacer”. El propósito para la mayoría de ustedes podría ser mentalizarse para el éxito. Pero el jefe podría explicar al principio, “Luisa es nuestra especialista no-se-puede-hacer, nuestra responsable de gestión de riesgos. Es su cometido fijarse en lo feo, todo lo que podría ir mal y que podría interferir en nuestros planes. El resto de vosotros tendréis éxito si conseguís la mayoría de vuestros ambiciosos objetivos. Luisa tendrá éxito si ella me advierte de cada posible eventualidad que razonablemente podría frustrarnos. Ella fracasa si me sorprende algo que no me ha advertido”.
Este texto se ha traducido del libro:
Slack. Getting past burnout, busywork, and the myth of total efficiency
Editorial: Broadway Books. Autor: Tom DeMarco.
No hay comentarios:
Publicar un comentario