El principal rol del Directorio no consiste en eliminar los riesgos. Consiste en asegurar que la organización comprenda cuáles está dispuesta a asumir y cuáles no.
Resumen ejecutivo
Toda decisión estratégica implica incertidumbre. Lanzar un nuevo producto, ingresar a un mercado diferente, adquirir una empresa, invertir en tecnología o cambiar el modelo de negocio supone asumir riesgos cuyo resultado nunca puede conocerse completamente.
En este contexto, la gestión de riesgos constituye una responsabilidad esencial del Directorio. Sin embargo, su rol no consiste en administrar cada riesgo operativo ni en revisar matrices detalladas elaboradas por la administración. Su verdadera responsabilidad es asegurar que la organización comprenda los riesgos que enfrenta, defina claramente el nivel de riesgo que está dispuesta a asumir y tome decisiones coherentes con su estrategia.
Un Directorio efectivo no busca eliminar la incertidumbre. Busca gobernarla.
Este artículo analiza el papel del Directorio en la gestión de riesgos, las diferencias entre supervisar y administrar riesgos, y las prácticas que fortalecen la capacidad de la organización para enfrentar un entorno cada vez más incierto.
1. Toda estrategia implica riesgo
No existe estrategia sin riesgo.
Cada vez que una organización decide invertir, crecer, innovar o transformarse, está aceptando la posibilidad de que las cosas no ocurran como fueron planificadas.
Intentar eliminar completamente los riesgos significaría renunciar también a las oportunidades.
Por esa razón, la pregunta relevante no es:
¿Cómo evitamos todos los riesgos?
La verdadera pregunta es:
¿Qué riesgos estamos dispuestos a asumir para alcanzar nuestros objetivos estratégicos?
Responder adecuadamente esa pregunta constituye una responsabilidad del Directorio.
2. Riesgo e incertidumbre no son lo mismo
En muchas conversaciones ambos conceptos se utilizan como sinónimos.
Sin embargo, representan ideas diferentes.
El riesgo corresponde a una situación donde es posible identificar eventos potenciales y estimar, al menos parcialmente, sus consecuencias.
La incertidumbre es más amplia.
Representa aquello que todavía no conocemos o que incluso no somos capaces de imaginar.
El Directorio debe preocuparse por ambos.
Los riesgos pueden gestionarse.
La incertidumbre exige desarrollar capacidad de adaptación.
3. El verdadero rol del Directorio
Uno de los errores más frecuentes consiste en transformar al Directorio en un comité técnico de riesgos.
Las reuniones comienzan a concentrarse en matrices, indicadores, controles y detalles metodológicos.
Todo ello puede ser importante.
Pero corresponde principalmente a la administración.
El Directorio debe responder preguntas distintas.
- ¿Estamos asumiendo los riesgos correctos?
- ¿Nuestros riesgos son coherentes con la estrategia?
- ¿Estamos preparados para enfrentar escenarios extremos?
- ¿Existen riesgos que todavía no estamos viendo?
- ¿La organización aprende de los incidentes ocurridos?
Estas preguntas pertenecen al gobierno.
No a la administración.
4. El apetito por el riesgo
Toda organización posee un nivel de riesgo que está dispuesta a aceptar.
A este concepto se le denomina habitualmente apetito por el riesgo.
No significa buscar riesgos.
Significa definir los límites dentro de los cuales la organización está dispuesta a actuar.
Por ejemplo:
Una empresa tecnológica probablemente aceptará mayores niveles de incertidumbre que una institución financiera.
Una fundación puede aceptar riesgos programáticos importantes, pero no riesgos que comprometan su reputación o su patrimonio.
Definir ese apetito corresponde al Directorio.
La administración debe gestionar dentro de esos límites.
5. Los riesgos que más preocupan al Directorio
Aunque cada organización enfrenta desafíos distintos, existen categorías de riesgos que normalmente requieren especial atención del órgano de gobierno.
Entre ellas destacan:
- riesgos estratégicos;
- riesgos financieros;
- riesgos regulatorios;
- riesgos tecnológicos;
- riesgos reputacionales;
- riesgos relacionados con personas clave;
- riesgos asociados a ciberseguridad;
- riesgos derivados de cambios en el entorno.
No todos tienen la misma probabilidad.
No todos tienen el mismo impacto.
Pero todos pueden afectar significativamente la capacidad de la organización para crear valor.
6. La importancia de los escenarios
Una buena conversación sobre riesgos rara vez comienza con una matriz.
Comienza con una pregunta.
¿Qué podría ocurrir que alterara completamente nuestros supuestos actuales?
Pensar en escenarios obliga al Directorio a salir del presente.
Permite explorar situaciones que hoy parecen improbables, pero cuyas consecuencias podrían ser extraordinarias.
La pandemia de COVID-19 mostró con claridad que los eventos de baja probabilidad también deben formar parte de las conversaciones estratégicas.
7. Riesgo y cultura
La forma en que una organización enfrenta los riesgos depende también de su cultura.
Existen organizaciones donde los problemas se comunican oportunamente.
Y otras donde se ocultan hasta transformarse en crisis.
Existen culturas que favorecen el aprendizaje.
Y otras que buscan culpables.
El Directorio debe prestar atención a estas diferencias.
Porque la cultura constituye uno de los principales mecanismos de gestión de riesgos.
8. Los errores más frecuentes
Existen prácticas que reducen significativamente la calidad del gobierno de riesgos.
Pensar que riesgo significa únicamente cumplimiento.
El cumplimiento es importante.
Pero representa solamente una parte del universo de riesgos.
Concentrarse exclusivamente en riesgos conocidos.
Los cambios más profundos suelen provenir precisamente de aquello que nadie anticipó.
Delegar completamente el tema a un comité.
Los comités apoyan al Directorio.
No lo reemplazan.
Revisar riesgos solamente una vez al año.
Los riesgos evolucionan con mucha mayor rapidez que los planes estratégicos.
Confundir controles con gobierno.
Los controles reducen riesgos.
El gobierno determina qué riesgos vale la pena asumir.
Tabla comparativa
| Administración de riesgos | Gobierno de riesgos |
|---|---|
| Identifica riesgos | Define el apetito por el riesgo |
| Implementa controles | Supervisa el sistema de riesgos |
| Gestiona incidentes | Evalúa riesgos estratégicos |
| Monitorea indicadores | Analiza escenarios |
| Ejecuta planes | Protege la sostenibilidad |
Reflexión para el Directorio
En la próxima reunión, formule una pregunta sencilla.
¿Qué riesgo podría modificar completamente nuestra estrategia durante los próximos cinco años?
Después pregunte algo aún más importante.
¿Estamos hablando suficientemente de ese riesgo?
Conclusiones
La gestión de riesgos constituye una responsabilidad esencial del Directorio.
No porque deba administrar los riesgos cotidianos.
Sino porque debe asegurar que la organización comprenda la incertidumbre que enfrenta, defina claramente los riesgos que está dispuesta a asumir y mantenga la capacidad para adaptarse cuando el entorno cambie.
Gobernar implica tomar decisiones bajo incertidumbre.
Y ninguna decisión estratégica puede comprenderse adecuadamente sin considerar los riesgos que incorpora.
Preguntas frecuentes
¿Debe el Directorio revisar todos los riesgos de la organización?
No. Debe concentrarse en aquellos riesgos que puedan afectar significativamente la estrategia, la sostenibilidad o la capacidad de crear valor.
¿Qué diferencia existe entre administrar y gobernar los riesgos?
La administración identifica, evalúa y controla los riesgos. El Directorio supervisa el sistema, define el apetito por el riesgo y evalúa las implicancias estratégicas.
¿Qué es el apetito por el riesgo?
Es el nivel de riesgo que una organización está dispuesta a aceptar para alcanzar sus objetivos estratégicos.
¿Cada cuánto debería revisarse el mapa de riesgos?
No existe una frecuencia única, pero el Directorio debería revisar periódicamente si los riesgos relevantes y los supuestos estratégicos continúan siendo válidos.
¿Por qué el Directorio debe analizar escenarios?
Porque permiten comprender mejor la incertidumbre y prepararse para eventos que podrían modificar significativamente el futuro de la organización.
Artículos relacionados
- El Directorio y la estrategia.
- Cómo toma decisiones un Directorio efectivo.
- La arquitectura de decisiones.
- La efectividad estratégica del Directorio.
- La información para el Directorio.
- El Directorio no administra. Gobierna.
Referencias
- OECD. G20/OECD Principles of Corporate Governance (2023).
- ISO 37000. Governance of Organizations.
- ISO 31000. Risk Management – Guidelines.
- COSO. Enterprise Risk Management – Integrating with Strategy and Performance.
- Institute of Directors (IoD). Good Governance Handbook.
- Bob Tricker. Corporate Governance: Principles, Policies and Practices.