Encuesta global de gestión de riesgo operativo 2019: ¿Complaciente o cómplice?

Hoy, operar un negocio exitoso es más complejo y desafiante que nunca antes. La longevidad media de las empresas en la lista S&P 500 está declinando continuamente, de 37 años en 1980 a 24 años en el 2016, y se proyecta que sea de apenas 12 años en el 2027¹. En este contexto, queda claro que los ejecutivos necesitan adaptarse con más efectividad a las diversas fuerzas y riesgos que impactan a sus organizaciones. Las viejas formas de enfrentar los riesgos son insuficientes en el entorno de negocios global de la actualidad, si los ejecutivos desean que sus organizaciones sean exitosas.

En este momento, los ejecutivos deben gestionar efectivamente los riesgos que surgen de numerosas fuentes, tanto dentro como fuera de una organización. Coordinar las operaciones de diversos establecimientos dispersos a través de distintas regiones geográficas; ajustarse a cambiantes regímenes y normatividades comerciales: anticiparse a los impactos de los desastres naturales sobre las operaciones de negocios; y administrar dinámicas cadenas de operaciones globales y presiones de los precios sobre los productos de consumo clave, son unos cuantos de los desafíos que hoy enfrentan los líderes de las empresas.

Con estos desafíos llega una miríada de nuevos riesgos asociados que los ejecutivos deben anticipar y mitigar exitosamente, si no quieren amenazar el desempeño operativo de su empresa, la continuidad del negocio, el derecho a operar y la capacidad para entregar un valor consistente a sus accionistas.

Los ejecutivos están revelando una peligrosa ambivalencia hacia la gestión del riesgo

Los hallazgos de la encuesta global anual de la gestión del riesgo operativo para ejecutivos del 2018 de dss⁺ muestra que, si bien existe un acuerdo y un reconocimiento general entre los ejecutivos participantes de la importancia de un programa de gestión del riesgo amplio y exitoso, en la práctica los líderes están fracasando en la implementación efectiva de dicho programa dentro de sus organizaciones. Esta incapacidad se está manifestando de las siguientes maneras:

1.

Los ejecutivos no están poniendo énfasis suficiente en los riesgos que pueden llevar a incidentes a gran escala.

Si bien el 78% de los ejecutivos que participaron en la encuesta coinciden en que las bajas tasas de incidentes no se correlacionan con la reducción del riesgo; dos terceras partes de ellos, sin embargo, reconocen sentirse seguros al ver datos que indican que las tasas de incidentes son bajas o que tienden hacia el cero. Al parecer, los ejecutivos están permitiendo que las bajas tasas de incidentes les den una falsa sensación de seguridad y están ignorando otros indicadores de potenciales eventos significativos.

Por ejemplo, los datos relativos a las tasas de incidentes de una organización no tienen nada que hacer con los riesgos externos para la empresa derivados de los ciber-ataques, como el ataque del ransomware “WannaCry” del 2017, que obligó a Renault y a Nissan a detener algunos de sus establecimientos en Europa². De manera similar, las tasas de incidentes no son aplicables a los riesgos en la cadena de operaciones de una organización. Este año, por ejemplo, un gran incendio en uno de los proveedores de partes automotrices alteró significativamente el rendimiento en diversas plantas de General Motors, Fiat Chrysler y Mercedes-Benz, y obligó a la Ford Motor Co., a paralizar de manera temporal a 3,600 trabajadores y a suspender la producción, afectando a 4,000 empleados.³

Adicionalmente, muchos de los ejecutivos que participaron en la encuesta, en particular a los niveles del Consejo de Directores y el Comité Ejecutivo, no están analizando los indicadores de pronóstico de los futuros riesgos que pueden impactar negativamente a la empresa y que amenazan su derecho a operar. En su lugar, los ejecutivos están poniendo más atención a los indicadores retrospectivos que reflejan los problemas inmediatos que impactan la rentabilidad de la organización en el corto plazo. Ésta es una receta para lograr que los pequeños problemas que pueden remediarse con facilidad se conviertan en eventos significativos que amenazan las operaciones y la ventaja competitiva de una organización.

“Nosotros medimos la tasa de accidentes, el tiempo perdido y los cuasi-accidentes”.

VICEPRESIDENTE, INDUSTRIA DE MANUFACTURA

Por ejemplo, los participantes de entre algunas de las industrias más importantes parecieron no dar un valor suficiente a los indicadores de pronóstico que reflejan la confiabilidad de los activos, incluso cuando tales indicadores les permiten ver con anticipación los futuros problemas y vulnerabilidades operativas que son más fáciles y menos costosas de reparar antes que después. Los datos muestran que, si observamos atentamente en la sala de juntas, cosas tales como los aspectos financieros y el cumplimiento normativo son los dos temas principales que los directores discuten. La integridad de los activos, la integridad de la cadena de operaciones y la seguridad del proceso son los temas menos discutidos.

Estos hallazgos son idénticos a los de la encuesta del año pasado. No es sorpresa que el 40% de los ejecutivos encuestados no tenga un buen entendimiento del perfil del riesgo en su empresa.

Desde luego, trabajar con vistas a tener operaciones cotidianas seguras es una importante meta para las organizaciones, pero los ejecutivos no deben confundir “seguridad” con “riesgo”. Mientras la seguridad de los empleados es una parte del perfil de riesgo de una organización, existe otro gran número de riesgos de los que los ejecutivos deben estar conscientes, particularmente aquellos como activos antiguos o desastres naturales que pueden ocasionar eventos catastróficos. Con base en los hallazgos de la encuesta, los ejecutivos, al parecer, tienen una desproporcionada inquietud por las tasas de incidentes a pesar de darse cuenta de que existen otros riesgos que pueden ocasionar graves trastornos al negocio.

Este enfoque en las tasas de incidentes y los impactos en el corto plazo, en lugar de un perfil del riesgo más amplio para la empresa, indica una mentalidad reactiva, con un enfoque estrecho que no logra tomar en cuenta otros riesgos de largo plazo que amenazan a la organización.

2.

Los ejecutivos cierran las brechas en los Procesos de Gestión del Riesgo añadiendo más procesos

Los ejecutivos que participaron en la encuesta reconocen la importancia de tener sistemas implementados para gestionar exitosamente los riesgos que están integrados, que se complementan entre sí, y cuya eficiencia y efectividad son revisadas de manera regular. Sin embargo, estos ejecutivos admiten que uno de los mayores desafíos que enfrentan son las brechas en los procesos. El 44% de los ejecutivos que participaron en la encuesta admite que las brechas en sus sistemas existentes representan un desafío para sus organizaciones.

Adicionalmente, reconocieron que algunos de sus procedimientos internos vigentes son insuficientes para manejar los riesgos actuales. Por ejemplo, el 40% de los líderes encuestados expresó tener desafíos con la efectiva gestión del desempeño de los empleados. Esta falta de integración entre los sistemas, procesos, gobernanza y capacitación de los empleados podría ocasionar fallas en los activos y problemas en la seguridad del proceso, así como incrementos en las lesiones y los incidentes catastróficos.

Los ejecutivos que participaron en la encuesta también coinciden en que los procesos y los sistemas por sí mismos son inadecuados para gestionar el riesgo y garantizar el desempeño operativo y del negocio, aunque en la práctica admiten tratar de dirigir un mejor desempeño simplemente ampliando los procesos existentes o implementando otros nuevos, y obligando al personal a adherirse a ellos. La adición de un nuevo procedimiento arriba de otro, aumenta la complejidad operativa, lo que no sólo suma riesgos para la empresa, sino que también es insostenible para la organización en el largo plazo.

En la experiencia de dss⁺ , la principal inquietud de los CEOs en todo el mundo es que sus operaciones son demasiado complejas. Los procesos deben ser simplificados en la mayor medida posible, y el enfoque deberá estar en hacerlos operativos; es decir, garantizar que cada empleado comprenda por qué cada proceso es importante, además de darles la capacitación necesaria para ejecutarlo de manera efectiva y con facilidad, en lugar de simplemente sumarlo a una lista de las tareas a ser realizadas.

3.

Los ejecutivos confirman la desconexión entre el personal para la Gestión del Riesgo.

Este año, los hallazgos de la encuesta confirman nuevamente una alarmante desconexión entre el personal dentro de una organización cuando se trata de la gestión del riesgo.

Un compromiso continuo y en ambos sentidos entre los trabajadores de la línea del frente y los ejecutivos senior con respecto a los riesgos que la compañía enfrenta, y una cultura organizacional que otorgue el poder a todo el proceso para compartir información y engancharse a través de las funciones, son elementos esenciales para identificar y mitigar el riesgo con efectividad.

Sin un liderazgo visible por parte de los ejecutivos que alinee a todas las personas en la organización, ningún programa efectivo para la gestión del riesgo podrá materializarse, y la credibilidad de los ejecutivos se verá disminuida. Pero los hallazgos de este año indican que los ejecutivos poco han hecho para cerrar estas divisiones.

Hablando culturalmente, el 83% acepta que al final, son los corazones y las mentes de sus empleados los que ellos necesitan influenciar para lograr y sustentar un buen desempeño operativo (es decir, para maximizar la eficiencia y minimizar la pérdida). Pero sólo el 11% de los ejecutivos considera estar haciendo un buen trabajo para enganchar a los empleados. Sin el compromiso continuo y directo entre los ejecutivos y el staff de operaciones, los riesgos ocultos con frecuencia permanecen sin ser identificados, y estos pequeños riesgos tienen el potencial para convertirse en incidentes catastróficos que amenazan al negocio.

“La gestión del riesgo funciona mejor cuando todas las personas tienen el poder de hablar claro e iniciar una acción”.

DIRECTOR EJECUTIVO, INDUSTRIA DE SALUD

Sin embargo, una cuarta parte de los ejecutivos encuestados perciben con fuerza que el personal de la línea del frente no está alineada con los principales riesgos que la organización enfrenta. Y si bien sólo el 11% de los ejecutivos está muy convencido de que existe una desalineación a nivel del liderazgo senior, no creen que tampoco haya una alineación completa.

De hecho, más de la mitad (55%) de los participantes considera que existe cierta desalineación con los riesgos a nivel del liderazgo senior. Hallazgos similares se encontraron en la encuesta del año pasado (44%), que es una indicación general de una brecha significativa en el compromiso entre los líderes y los trabajadores en una empresa.

Que los ejecutivos senior y el staff de la línea del frente tengan diferentes percepciones del riesgo significa que no tendrán un adecuado entendimiento de los riesgos que existen en el área de producción o en la línea de proceso. El personal de la línea tiene una aguda comprensión de los riesgos operativos; mejor que la de los demás en toda la organización, dado que ellos ven esos riesgos durante sus actividades laborales cotidianas.

Un compromiso en dos sentidos entre los líderes y el personal de la línea de frente garantizará un entendimiento consistente de los principales riesgos a través de la empresa, y promoverá la alineación en la comprensión de los riesgos operativos, que permitirá la efectiva jerarquización de recursos para la reducción del riesgo.

Cerrando las brechas: gestionando efectivamente el riesgo para mejorar la continuidad del negocio y el desempeño

Los ejecutivos empresariales que participaron en la encuesta global de la gestión del riesgo operativo de este año, han dejado en claro su deseo para reducir los riesgos que sus respectivas organizaciones enfrentan; en donde les falta algo es en la ejecución de los elementos necesarios para concretarlo en realidad. Y, sin embargo, las consecuencias potenciales no podrían ser mayores. Cada empresa está a sólo un incidente significativo de tener pérdidas en su reputación y sus finanzas. El valor de los accionistas de BP se desplomó 55% inmediatamente después del incidente del Deepwater Horizon⁴, por ejemplo. Si bien esta enorme corporación multinacional británica se recuperó en un momento determinado, muchas otras podrían no ser tan afortunadas después de sufrir un incidente similar.

Nosotros, en dss⁺ , hemos visto a través del trabajo con nuestros clientes en todo el globo, que la clave para gestionar exitosamente los riesgos a lo largo de su cadena de valor, está en implementar un programa de gestión del riesgo operativo (operational risk management) (ORM) holístico, que:

• Identifique las amenazas y vulnerabilidades potenciales;
• Desarrolle estrategias para mitigar los riesgos;
• Integre totalmente el programa a través de las funciones clave de la organización para eliminar los silos;
• Revise regularmente los componentes del programa para garantizar su utilidad y efectividad continuas.

Hacer esto lleva a tener empleados más enfocados, comprometidos y conscientes del riesgo; activos más confiables y sistemas y procesos más efectivos. El resultado de esto, a su vez, es una mayor productividad y mejor desempeño del negocio en toda la organización. Hay algunos pasos que los ejecutivos pueden dar de inmediato para desarrollar un plan de gestión del riesgo integrado y traducir su compromiso en un plan que puede ponerse en acción.

“Hemos actualizado nuestro Sistema de Gestión del Riesgo para incrementar la visibilidad y enfocar la atención para identificar actividades de alto riesgo, mejorar la gobernanza de nuestra ASP, tener métricas más visibles, e incrementar el intercambio de los aprendizajes obtenidos en los incidentes a través de todo el globo”.

DIRECTOR , INDUSTRIA DEL GAS Y EL PETRÓLEO

Evaluar, jerarquizar y perfilar el riesgo

El primer paso para el desarrollo de una estrategia de ORM holística, es hacer una exhaustiva evaluación del riesgo para identificar todas las amenazas posibles que existen a través de toda la corriente de valor del negocio y que pueden impactar la continuidad y desempeño. Una vez que todos los riesgos han sido identificados, deben ser jerarquizados. No todos los riesgos son iguales. La probabilidad de que algunos eventos de riesgo ocurran es mejor, pero llevan con ellos significativas consecuencias. Otros riesgos tienen mayor probabilidad de ocurrir, pero su impacto puede ser menos grave. Debido a que los recursos son finitos, ya sean financieros o físicos, es importante que se apliquen en forma tal que se maximice la reducción general del riesgo de la organización. Esto requiere el desarrollo de un perfil del riesgo operativo para la empresa, que jerarquice el enfoque y la propiedad de los riesgos identificados con base en la tolerancia que la compañía tenga para ellos, dado su perfil de negocios único (sector, ubicación, composición, etc.).

Una vez que el perfil del riesgo operativo de una organización haya sido establecido, se deberá desarrollar una estrategia completamente integrada que asocie las funciones clave a través de la empresa con una meta común, la de impulsar los resultados deseados en la reducción del riesgo. Es importante tener en mente que el programa de ORM siempre debe estar enlazado a la meta de mejorar el desempeño general del negocio; es decir, la mitigación de las alteraciones del negocio que surgen de cosas tales como los desarrollos en el comercio internacional, los cambios en la normatividad o las perturbaciones en la cadena de operaciones.

Sistemas de gobernanza y gestión para equilibrar el riesgo de corto y de largo plazos

Los resultados deseados para la empresa deben ser traducidos en sistemas de gobernanza y gestión, incluyendo indicadores clave del desempeño que sean monitoreados y reportados regularmente a los ejecutivos y al Consejo Directivo, así como la estructura organizacional necesaria para mantener a la empresa enfocada en las necesidades de los resultados a ser desarrollados.

Fundamentalmente, el Consejo Directivo y los Comités Ejecutivos deben poner tanta atención en los riesgos de largo plazo que sus organizaciones enfrentan, como la que ponen actualmente en los impactos financieros de corto plazo. Las inquietudes con las ventas, ingresos y flujos de efectivo, así como con los indicadores retrospectivos que indican problemas que pueden impactarles, son prioridades comprensibles para los líderes corporativos. Pero como analizamos previamente, existe otro gran número de riesgos que puede tener tremendos impactos negativos, llevando con frecuencia a un incidente catastrófico que impacta el derecho a operar de la organización, ocasiona decesos entre los empleados, o amenaza en alguna otra forma el futuro desempeño de la empresa.

Tomemos, por ejemplo, la cascada de consecuencias que puede ser originada por los desastres naturales o por eventos meteorológicos extremos, tales como el impacto que el Huracán Harvey tuvo sobre numerosas industrias en el 2017. Las inundaciones de Harvey obligaron a parar a casi una quinta parte de la capacidad de refinación petrolera de EU, lo que a su vez ocasionó el cierre de los grandes oleoductos del Noreste que, a su vez, ocasionó un incremento en los costos de la gasolina al menudeo de 40 centavos por galón en esa región⁵.

Para hacer un adecuado análisis de estos otros riesgos, los líderes corporativos deberán esforzarse para considerar todos los riesgos externos potenciales, al mismo tiempo que buscan acceso y evalúan los importantes indicadores de pronóstico del desempeño del negocio para determinar los riesgos internos.

“Mi organización está mejorando nuestro proceso de planeación estratégica e incluyendo la gestión del riesgo en nuestros temas estratégicos a ser medidos y monitoreados regularmente.”

DIRECTOR EJECUTIVO DE TRANSFORMACIÓN, INDUSTRIA DE SERVICIOS PÚBLICOS

Los datos que indican las vulnerabilidades organizacionales, por ejemplo, las restricciones en el suministro, una alta tasa de rotación de empleados, y un incremento en el uso de tecnologías sin soporte u obsoletas, son igual de importantes como aquellos que muestran el desempeño en seguridad de los empleados, el tiempo laboral perdido por lesiones, y el tiempo de paro del activo. Aún más importante, la evaluación regular de estos factores dentro del contexto de la vulnerabilidad organizacional, y su resolución antes de que haya una interrupción en el negocio, pueden fomentar una extensa mentalidad organizacional de vigilancia que no se quede limitada a resolver sólo lo que es obvio. Esto ayudará a equilibrar el enfoque entre los riesgos de corto y largo plazos, y será un poderoso freno para la complacencia.

Procesos y tecnología para reducir el riesgo y la ineficiencia

Dadas las presiones internas asociadas con la administración de una empresa, para los líderes puede ser fácil confiar en iniciativas y procedimientos que les ayuden a gestionar el riesgo. Con demasiada frecuencia se desarrollan nuevos procedimientos para resolver los problemas cuando aparecen, y son sumados a una letanía de procesos existentes, sin dar un paso atrás para analizar la forma en que el nuevo procedimiento se relaciona con los procedimientos ya implementados.

Además, sumar procedimiento tras procedimientos lleva a una saturación de iniciativas dentro de una organización, lo que representa gravámenes significativos al tiempo disponible y a la motivación. En el área de aseguramiento de calidad, esto puede crear una cultura en la que los trabajadores se acerquen a los procedimientos con una actitud de “marcar la caja”, que puede tener el efecto opuesto al deseado y en realidad contribuir a las condiciones de trabajo inseguras, dado que los empleados dejan de buscar conscientemente los potenciales riesgos cotidianos, o anticiparse a ellos. En su lugar, las empresas deben simplificar sus procesos mientras aseguran que estén asociados con una amplia visión del riesgo operativo que la organización enfrenta, con la meta de fortalecer el desempeño del negocio. Los ejecutivos deben buscar las aportaciones de los trabajadores de la línea, que experimentan los riesgos de manera cotidiana, y hacer un esfuerzo para demostrar a cada uno de ellos su sólido compromiso – personal y, por lo tanto, de toda la organización – hacia la concientización y reducción del riesgo.

“Se requiere capacitación, auditoría, cumplimiento, mejora de los procesos y desarrollo del liderazgo en todos los niveles para mejorar la gestión del riesgo”.

C-SUITE, INDUSTRIA DE ALIMENTOS Y BEBIDAS

Capacidades y competencias para implementar los procesos con efectividad

Al final, cualquier sistema de administración de la seguridad necesita ser ejecutado por personas. Un sistema de gestión del riesgo bien diseñado no dará los resultados deseados sin una fuerza de trabajo que sea capaz, y que tenga la mentalidad y la disciplina correctas para ejecutarlo. Al evaluar un sistema de gestión del riesgo, es importante darse cuenta de que la capacidad y la cultura organizacional juegan roles significativos, al igual que los procesos para administrar su desempeño.

“Involucrar a todos los empleados, generar consciencia y otorgar a toda la organización el poder de las herramientas y sistemas para la gestión correcta”.

DIRECTOR DE RIESGO, INDUSTRIA DE MANUFACTURA

Alinear las mentalidades y las conductas para impulsar el cambio sustentable

Es necesario construir y nutrir una cultura a través de toda la organización que alinee las Mentalidades y las Conductas de todos los empleados para lograr los resultados deseados, y esto debe hacerse con la participación activa de todos los ejecutivos de la empresa.

Apalancar el conocimiento operativo del día a día del personal de la línea del frente en el área de producción o el campo, es un factor clave para el éxito en cualquier transformación cultural. Si bien estos trabajadores generalmente podrían ser conscientes de los riesgos operativos existentes, a lo largo del tiempo pueden desensibilizarse. La re-internalización de estos riesgos por parte del personal operativo es importante, y sólo puede lograrse de manera efectiva a través del enganche amplio y continuo.

Las organizaciones deben reconocer que este personal es una capa de protección crítica dentro de sus operaciones. Estos trabajadores están más familiarizados con las actividades, equipos y procesos de la organización y, por lo tanto, con sus riesgos. Deben estar adecuadamente comprometidos, y con el poder y el apoyo adecuados.

“Estamos enfocándonos en las Conductas y la diferencia entre el empleado individual y la conducta de la gerencia.”

DIRECTOR , INDUSTRIA QUÍMICA Y PETROQUÍMICA

Finalmente, es importante que los líderes sean “afectivos” en su estrategia hacia la gestión del riesgo. En otras palabras, las acciones y los mensajes consistentes de la gerencia de una organización deben ser auténticos y de todo corazón al interactuar con los empleados.

Los ejecutivos de la empresa deben buscar impulsar un entorno laboral de confianza, y su estilo de liderazgo debe demostrar humildad y colaboración con sus empleados. Deben promover el enganche de abajo hacia arriba con los empleados, no los edictos de arriba hacia abajo desde las oficinas ejecutivas.

Al estar conscientes de los riesgos en el largo plazo, no poniendo la capa de un nuevo procedimiento encima de otro más antiguo y creando un complejo parchado de procesos para resolver los problemas cuando surjan; e implementando un programa de gestión del riesgo holístico, los ejecutivos de la empresa serán capaces de trascender un mero enfoque en la seguridad del empleado, para mitigar los muchos riesgos adicionales que amenazan la continuidad y el desempeño del negocio. Ellos van a eliminar los silos que les impiden minimizar – o incluso eliminar – los riesgos antes de que se manifiesten en costosos incidentes. Ellos van a fortalecer su capacidad para integrar la capacidad de adaptación en la organización. Y van a mejorar su proceso de toma de decisiones para tomar las decisiones correctas en el momento correcto, y extraer el máximo valor del negocio.

“Estamos enganchando a nuestra fuerza de trabajo para comprender y mitigar los riesgos.”

DIRECTOR EJECUTIVO DE OPERACIONES, INDUSTRIA DEL GAS Y EL PETRÓLEO

Acerca de la encuesta – un vistazo

• En esta encuesta participaron ejecutivos de más de 350 empresas de todo el mundo.
• La mitad de los participantes (52%), fueron ejecutivos senior (CEO, CFO, etc.), y la mitad (48%) estuvieron a nivel de Director Ejecutivo.
• Las empresas que participaron en la encuesta representaron una amplia gama de sectores industriales:
  • El 60% representó industrias de alto riesgo, incluyendo minería y metales, petróleo y gas, y manufactura.
  • El 40% representó industrias que impactan al público en general, incluyendo trabajo, servicios públicos, alimentos y bebidas, y cuidado de la salud.
  • Aproximadamente el 38% puede ser caracterizado por tener complejas cadenas de valor, incluyendo química y petroquímica, alimentos y bebidas, y manufactura.
• En términos de la ubicación geográfica, el 44% de quienes participaron en la encuesta pertenecen a empresas ubicadas en América del Norte, 24% en Europa, y 27% en la región Asia-Pacífico.
• Alrededor de dos tercios de las empresas representadas en la encuesta tienen presencia global, y el resto sólo regional.
• Cerca de la mitad (46%) de las empresas representadas en la encuesta tienen una fuerza laboral integrada por contratistas en más del 20%.

---