Los líderes de la industria de todo el mundo se están dando cuenta del hecho de que la gestión de riesgos (incluidas las exposiciones de seguridad) es un método clave para controlar las pérdidas. Sin embargo, gestionar el riesgo empresarial no es una tarea sencilla. Es una especialidad en evolución que debe seguir el ritmo de un panorama que cambia rápidamente.
El enfoque convencional de la gestión de riesgos buscaba analizar, enumerar y categorizar los riesgos, tratándolos como entidades individuales y separadas. En todas las industrias, las organizaciones intentaron clasificar estos riesgos en categorías ordenadas de control de pérdidas como Seguridad, Salud, Medio Ambiente y Calidad.
Esto resultó inadecuado para gestionar los complejos riesgos a los que se enfrenta toda empresa. Si bien los riesgos pueden clasificarse claramente en cajas separadas sobre el papel, en realidad son indivisibles y se influyen entre sí, a menudo de manera bastante significativa.
Si bien la gestión de riesgos ha adoptado métodos más holísticos que consideran la forma en que interactúan los distintos factores, muchas empresas todavía tienen estructuras organizativas que mantienen segregados a los departamentos que supervisan estas categorías (o, peor aún, totalmente aislados y rara vez interactúan). En algunos casos, las empresas han intentado torpemente reintegrar estas categorías en un único monstruo de Frankenstein: un súper departamento que presume de inicialismos engorrosos e impronunciables como HSSEQR.
Ningún riesgo es una isla
Adoptar un enfoque aislado de los riesgos individuales (o incluso de los riesgos tipos) impide que un programa de Gestión de Riesgos Empresariales (ERM) funcione eficazmente. No importa cómo queramos clasificarlos, los riesgos identificados no son unidades discretas: están interconectados y son interdependientes. Además, las categorías mismas están interrelacionadas. Pensar en Calidad y Seguridad, o en Regulación y Medio Ambiente, como algo separado es un poco como la fábula de los ciegos y el elefante: cada uno ve una parte pero no comprende el todo debido a su perspectiva limitada.
Lo hemos visto claramente en la escala macro. Los riesgos a nivel global que han impactado a las organizaciones pueden encajar perfectamente en la rúbrica de riesgos para la salud y la seguridad (pandemia) o riesgos financieros (temores de recesión), pero verlos de esta manera pasa por alto las formas obvias en que estas dos tendencias se influyen y se agravan entre sí. . Para gestionarlos de manera eficaz, una organización debe comprender cómo estos diversos elementos se impactan entre sí, sopesar sus niveles de riesgo relativos y utilizar esa información para anticipar mejor los problemas y adoptar un enfoque estratégico y proactivo para abordarlos.
Sin embargo, hacerlo requiere mucha información.
De los datos al conocimiento
A medida que la tecnología mejora, también mejora nuestra capacidad para recopilar datos. De hecho, la recopilación de datos se ha vuelto tan avanzada que ha superado nuestra comprensión de qué hacer con ellos.
Con más datos rastreados y almacenados, los líderes de la industria han aprovechado la tecnología emergente para administrar esta montaña de información: determinar la confianza y la relevancia, detectar tendencias e interpretar el significado. Hasta hace poco, estas soluciones se basaban en modelos rudimentarios de entrada/salida, pero el auge de las API y el software empresarial que utiliza IA nos ha proporcionado resultados que antes eran onerosos de obtener o que requerían tanta mano de obra que resultaban impracticables.
Sin embargo, incluso el mejor modelo es propenso a perder información. Todavía estamos bastante lejos de desarrollar una bola de cristal tecnológica. A pesar de todos nuestros enfoques sofisticados, los intentos de control son solo las mejores conjeturas basadas en datos pasados, que podemos utilizar para mejorar continuamente.
Cuando se gestionan riesgos de seguridad en particular, existe una gran responsabilidad de hacerlo bien: ¡»adivinar y comprobar» no es suficiente! Es imperativo ser activo en la obtención y curación de datos, aplicar metodologías probadas y comprobadas y hacer uso de los datos disponibles. La IA será de gran ayuda para este proceso, ya que tiene la capacidad potencial de aprender de una gran cantidad de datos, detectar conexiones y generar modelos con información procesable.
(Descubra por qué la participación de los trabajadores es clave para la captura de datos y el seguimiento de los KPI de seguridad)
Por qué los rezagados seguirán luchando
Nos estamos alejando del enfoque convencional de golpear al topo en la gestión de riesgos hacia uno más holístico. La esfera se extiende a los aspectos institucionales y culturales de una organización, como sus iniciativas ESG y DEI. El liderazgo en estas áreas ayuda a mitigar algunas de las categorías de riesgo amplias y confusas a través de la cultura y el empoderamiento, en lugar de tratar de abordar los efectos sintomáticos posteriores.
Es difícil ilustrar estos conceptos de manera que fomenten su adopción en los niveles más altos de una organización, porque no siguen una relación lineal de costo-beneficio. La relación se comunica mucho más efectivamente como un mapa de nube o burbuja, algo que es completamente desagradable para muchos ejecutivos de la industria que lo ven como una tontería de la neogestión.
Se trata de un desafío que es necesario superar, ya que quienes siguen dependiendo de relaciones de riesgo que se pueden trazar y cuantificar fácilmente se están quedando atrás y perdiendo terreno más rápidamente de lo que creen.
en su Informe sobre el estado de riesgo 2023, Origami Risk encuestó a casi 300 profesionales de seguridad y riesgos y descubrió que solo el 47% se consideraban líderes en gestión de riesgos. Los restantes operaban sin un programa de riesgo centralizado (40%) o estaban rezagados y dependían de programas de riesgo ad hoc (14%). Esos rezagados también tienden a ser usuarios tardíos que se niegan a gastar dinero en iniciativas ESG y DEI, o incluso en investigación y capacitación en IA y otras nuevas tecnologías. Su continua dependencia de modalidades de la vieja escuela puede estar funcionando por ahora, pero pronto será demasiado tarde para ponerse al día. Como otras empresas ya están invirtiendo y desarrollando enfoques avanzados para la gestión de riesgos, las rezagadas habrán perdido la carrera incluso antes de empezar a tomar el ritmo. La exposición incontrolada al riesgo hará que esas empresas sean cada vez más vulnerables a las presiones competitivas.
A medida que crece nuestra comprensión del riesgo, queda claro que explicaciones como «A causó B» ya no serán suficientes. Es demasiado simplista. Tarde o temprano, tendremos que dejar atrás el dominó, las escaleras e incluso los diagramas de espina de pescado en favor de redes y burbujas ponderadas. Las empresas que puedan adoptar esta comprensión del riesgo llegarán a la cima, porque podrán confiar en modelos superiores que pueden manejar los riesgos tal como existen en el papel y en la realidad: interconectados, interdependientes y complejos.