El mapa de calor
Por Lorenzo Preve
El mapa de calor es una herramienta importante ya que nos permite una visualización gráfica de los riesgos de la empresa. En su versión más conocida, muestra los riesgos en un mapa delimitado por dos ejes cartesianos que miden: (i) la probabilidad de ocurrencia, y (ii) su impacto.
Normalmente los mapas se suelen ver en un formato donde los ejes tienen una escala de 3×3, es decir “alto, medio y bajo”, o una escala de 5×5, “muy alto, alto, medio, bajo, muy bajo”. Los mapas suelen asimismo tener un código de colores que ayuda a visualizar rápidamente la situación del riesgo. Su ubicación en el mapa, dependiendo de los ejes y los colores, nos permitirán trabajar respecto de los planes de mitigación, las herramientas de cobertura, y los esfuerzos de seguimiento que se haga de los mismos. (Figura 1)
Sobre este cuadro podemos hacer dos consideraciones importantes. Primero, el código de colores es absolutamente personal y de hecho suele dar lugar a opiniones diversas. Por un lado, hay un criterio que sostiene que cualquier riesgo con un impacto alto o muy alto debería ser rojo. Otros, sin embargo, opinan que un riesgo con probabilidad de ocurrencia baja o muy baja, no debería ser rojo dada su baja probabilidad de ocurrencia. Creo que la discusión sobre este punto depende del uso que uno quiera darle al mapa de calor. Si a partir de esta herramienta decimos que todos los riesgos en zona roja deberán tener el mismo tratamiento (o inversión de recursos) en términos de mitigación, es claro que deberíamos hacer diferencias entre riesgos de probabilidad alta y riesgos de probabilidad baja.
Sin embargo, también es cierto que un riesgo de probabilidad muy baja y un impacto muy alto, puede tener consecuencias catastróficas (por ejemplo, el COVID), por lo que no queremos que salga de la zona de máxima atención. Es decir, las categorías de las zonas de color tienen que ser consistentes con el uso que se les va a dar, más allá de las convenciones cromáticas.
La cuantificación del riesgo
La segunda consideración importante que tendremos que hacer es la de la valorización de los ejes.
Hay empresas que categorizan los riesgos con un único valor que viene de multiplicar su valor de probabilidad de ocurrencia por el del impacto. Es decir, considerando la matriz 5 x 5, un riesgo en probabilidad media con impacto alto sería un riesgo 3 x 4 = 12. Hay empresas que usan estos valores para ordenar los riesgos en base a su importancia y listarlos de mayor a menor. Esta práctica puede llevar a errores.
No hay problemas con los riesgos 1 x 1 = 1, y los 5 x 5 = 25. Sin embargo, el problema se genera con los riesgos de probabilidad muy baja e impacto muy alto, es decir, 1 x 5 = 5, que categorizan igual que los riesgos de probabilidad muy alta e impacto muy bajo, 5 x 1 = 5. Claramente ambos riesgos, si bien tienen el mismo valor, no deberían generarnos la misma preocupación. Un evento muy frecuente con un impacto irrelevante no puede valer lo mismo que uno muy poco frecuente, pero con consecuencias catastróficas. Por ello sugerimos no clasificar los riesgos en base a su Probabilidad por Impacto, sino verlos gráficamente en el mapa de calor.
Otras compañías cuantifican los ejes mediante dos clasificaciones numéricas diferentes, con un eje de probabilidad de ocurrencia que va de 0 a 1, y el eje de impacto que va de 1 a 100, y que la escala del eje de impacto no sea lineal, sino que tenga algún tipo de no linealidad (a medida que nos alejamos del origen los impactos aumentan su importancia más que proporcionalmente).
Otro tema importante es el de la cuantificación de los valores de los riesgos en ambos ejes.
Observamos una tensión entre el uso directo de los datos pasados (en caso de tenerlos), y la previsión a futuro de los expertos. Si bien los datos pasados son una tentación, no siempre su pronóstico va a ser el adecuado.
Solamente a modo de un ejemplo sencillo piensen en los datos de un pluviómetro que registró información de los últimos 30 años de lluvias en un campo. Si bien la información es técnicamente correcta, si sabemos que con el pronóstico del año se espera un año “Niña”, por lo que difícilmente, el promedio de los últimos 30 años sea un indicador adecuado de las lluvias esperadas del año siguiente. Siguiendo esta línea argumental cada uno podrá construir ejemplos similares basados en su experiencia. Es decir, algunas veces podremos pensar en ejemplos sustentados en datos pasados y otras veces deberemos usar metodologías más enfocadas a las opiniones de los expertos.
El impacto y los stakeholders
En el caso de la medición del impacto se suele generar un problema con los diferentes potenciales impactos en la empresa.
Es importante reconocer que un riesgo puede tener impacto en diferentes aspectos de la organización. Por ejemplo, puede impactar en el flujo de fondos y en el valor de la empresa, pero también puede impactar en su capacidad operativa o en su reputación, o en la salud de los empleados o de terceras personas o en el medio ambiente, entre otros. Si profundizamos en este aspecto veremos que, para medir adecuadamente el impacto de los riesgos en una organización, es indispensable tener un buen mapa de stakeholders donde poder medir el impacto de los riesgos. De esta manera es fácil comprender que un riesgo puede tener un impacto bajo en flujo de fondos, pero alto en la reputación y así sucesivamente.
Mi recomendación es la de identificar adecuadamente los impactos de los riesgos en los diferentes stakeholders y usar el impacto más severo para su ubicación en el mapa de calor. Una buena manera de reflejar el impacto es la de usar diferentes indicadores del riesgo (punto, cuadrado, triángulo, etcétera) según donde se refleja mayormente el impacto del riesgo (flujo de fondos, en la reputación, en la capacidad de operar etcétera).
Por otro lado, es importante que las empresas logren definir lo que quiere decir un riesgo alto, un riesgo medio o uno bajo. Esto depende mayormente de la capacidad de tolerar el impacto y del apetito al riesgo de las organizaciones.
En mi caso, me gusta el mapa de calor en el que en el eje de abscisas mostramos la probabilidad de ocurrencia (variable independiente) y en el de ordenadas el impacto (variable dependiente), aunque es común ver algunos mapas de calor en los que los ejes están invertidos. Esto no genera un problema; la interpretación es exactamente la misma, es solo una cuestión de gustos o costumbres.
“Las empresas logren definir lo que quiere decir un riesgo alto, un riesgo medio o uno bajo. Esto depende mayormente de la capacidad de tolerar el impacto y del apetito al riesgo de las organizaciones”
El mapa de calor tradicional tiene probabilidad e impacto en los ejes. Sin embargo, es una herramienta que se puede adaptar perfectamente. Por ejemplo, se pueden poner otras variables en los dos ejes o se puede hacer un gráfico tridimensional en el que se use una tercera variable en un tercer eje, como la capacidad de la empresa de asumir un determinado riesgo, entre otras. La herramienta es muy versátil y de hecho no es necesario tener un único mapa de calor, se pueden tener más de uno en el que se relacionen más variables.
Riesgo inherente y residual
Por último, me gustaría hacer una breve mención al concepto de riesgo inherente y riesgo residual, conceptos que varias veces se mencionan en el contexto del mapa de calor.
El riesgo inherente es aquel que tenemos naturalmente y el residual es aquel que nos queda una vez que ya instalamos las herramientas de mitigación. Mi sugerencia es considerar que los riesgos inherentes ya son cuestión del pasado y me concentraría en mostrar los riesgos residuales, que difieren de empresa en empresa dado que dependen de la gestión de los riesgos que cada empresa haga.
“El riesgo inherente es aquel que tenemos naturalmente y el residual es aquel que nos queda una vez que ya instalamos las herramientas de mitigación”
Si se quiere hacer un up grade de la herramienta, se podrían mostrar los riesgos objetivos, los que definiremos como los riesgos que queremos tener en nuestro negocio, que serán los que nos queden una vez que terminemos de implementar las herramientas de mitigación planificadas. De esta manera podríamos tener un mapa de calor y un mapa de calor objetivo (eventualmente a corto, mediano y largo plazo); la diferencia entre ambos sería el plan de acción de los diferentes riesgos.
En resumen, el mapa de calor es una herramienta muy útil para la gestión de riesgo de las organizaciones; muchas de las cuales, ya lo tienen, pero todavía hay mucho camino para mejorar.
Del mapa a gestionar los riesgos
“¡Listo! Ya tenemos nuestro Mapa de Riesgo y terminamos el proyecto de “Risk management”. Esto es lo que probablemente mucha gente piensa al ver la primera versión del mapa de riesgo de su organización.
Para llegar a ese momento pasaron una serie de talleres de identificación de riesgos, reuniones de depuración de las varias versiones preliminares y más cosas. Solemos creer que tener un mapa de riesgo implica hacer gestión de riesgos. Eso es como pensar que, dado que ya me compré la bicicleta y el equipo de ciclista, ya estoy entrenado para ir a correr un gran fondo. No funciona así.
De hecho, me he encontrado con empresas que, sin tener un mapa de riesgo formalmente implementado, hacen mejor Risk management que otras con un mapa de riesgo y un modelo formalmente implementado con un responsable de su seguimiento, pero que no gestionan riesgos. Simplemente cumplen con algunas formalidades autoimpuestas o solicitadas por un regulador.
Normalmente, en estos casos la función de gestión de riesgos termina siendo percibido como un estorbo por quienes llevan adelante el negocio. El problema es que quienes llevan adelante el negocio, deberían ser los principales interesados en tener un buen modelo de gestión de riesgo, pero esto no siempre ocurre.
“Solemos creer que tener un mapa de riesgo implica hacer gestión de riesgos. Eso es como pensar que, dado que ya me compré la bicicleta y el equipo de ciclista, ya estoy entrenado para ir a correr un gran fondo”
Si definimos riesgo como todo aquello que nos aparte de nuestro objetivo es fácil ver a la gestión de los riesgos como una herramienta que ayuda a la empresa a tener una mayor probabilidad de cumplir con sus objetivos, por eso decimos que es “el socio estratégico de quienes llevan adelante el negocio” y no una función de control a quien hay que “convencer” o “esquivar” en el camino a conseguir los objetivos de la organización. Lamentablemente, en muchos casos se suele ver a la persona que controla y administra los riesgos de la empresa como un obstáculo, una traba burocrática que impide “hacer negocios” o una piedra en el camino a la que hay que intentar superar en el intento de cumplir con los objetivos.
En mis conversaciones con directivos de empresas suelo tener reacciones como “una vez que riesgos me dio el OK ya trato de no verlo más”. No lo ven como alguien que nos ayuda a lograr cumplir nuestros objetivos. Después de todo, nuestro objetivo (al menos en una empresa) suele ser el plan estratégico, el plan operativo, el plan de ventas, etcétera, dependiendo de cuál es nuestra función dentro de la organización. Y dado que es bastante común que una parte de nuestra remuneración dependa de la consecución de dichos objetivos, los incentivos deberían estar alineados con la gestión de lo que nos puede apartar de conseguir los objetivos.
Aquí no pasa nada
Sin embargo, esto no es así. Muchas organizaciones tienen modelos de gestión de riesgo bien estructurados, con mayor o menor grado de complejidad, pero las personas en la empresa no terminan de usar el modelo. ¿Por qué ocurre esto? ¿Qué podemos hacer para cambiar esta situación?
Respecto de las razones por las que vemos este comportamiento organizacional, hay múltiples causas, pero seguramente están afectadas por una serie de sesgos que hacen que subestimemos la probabilidad de ocurrencia y el impacto de los riesgos, al tiempo que sobreestimamos nuestra capacidad de solucionar un eventual problema, en caso de que éste ocurra.
“Muchas organizaciones tienen modelos de gestión de riesgo bien estructurados, con mayor o menor grado de complejidad, pero las personas en la empresa no terminan de usar el modelo”
Sin entrar en detalles es fácil ver cómo los sesgos afectan la racionalidad de nuestra toma de decisiones. Vemos también que, en busca de la eficiencia, las organizaciones suelen tener a la gente con un grado de ocupación tan alto que les cuesta agregar una tarea más a su agenda, y, lamentablemente, cuando piensan en el modelo de gestión de riesgos, ven más trabajo en una agenda ya completamente llena. Si a esto le sumamos que deberían invertir recursos escasos, además del tiempo y un poco de dinero para mitigar el impacto de algo que no sabemos si va a ocurrir, es fácil comprender la decisión de no hacer nada.
Los presupuestos (y las agendas) cada vez más ajustados de los tiempos que corren no ayudan a tomar esta decisión. Además, recordemos que los sesgos mencionados al inicio de este párrafo, nos llevan a no hacer nada. Por estas razones las empresas hacen una gestión mínima e indispensable de los riesgos, generalmente dictada por los eventuales pedidos del regulador.
Esto funciona muy bien mientras no ocurra ningún evento inesperado, ya sea un peligro o una oportunidad. Pero cuando ocurre el evento, las compañías quedan desprotegidas frente al evento o no pueden aprovechar una oportunidad estratégica por no haber previsto su eventual ocurrencia y haber preparado un plan de acción adecuado.
Es común ver que, frente a un hecho, los directivos tenían consciencia de que podía ocurrir, pero simplemente no estaban preparados para enfrentarlo.
“Las empresas hacen una gestión mínima e indispensable de los riesgos, generalmente dictada por los eventuales pedidos del regulador”
El cambio es cultural
Para cambiar esto es necesario diseñar e implementar un proceso de cambio cultural en el que se logren instalar algunas cuestiones relacionadas con el riesgo en las organizaciones. Los principales objetivos de este proceso son que todos los integrantes de la empresa comprendan:
- su modelo de gestión de riesgo.
- la relación entre gestionar los riesgos y conseguir los objetivos de la empresa.
- que todos los negocios generan riesgos.
- que no existen empresas que no asumen riesgos y que asumir riesgos no es malo; que el riesgo es parte integral de los negocios.
- que hay que ser consciente de que hay riesgos que conviene asumir y otros que deberán ser eliminados.
- Que la gestión de los riesgos potencia las capacidades de la empresa, no las frena.
Estos objetivos son ambiciosos y nunca estarán 100% logrados por lo que el cambio cultural es un proceso que empieza, pero no termina. Funciona en la empresa de manera continua.
Tras la identificación de los riesgos y su medición, la identificación de sus determinantes, y el diseño de sus mitigantes y el armado del mapa de riesgo y el mapa de calor, se deberá comenzar el proceso de cambio cultural, para que este modelo “se viva” en la organización.
Un primer paso crucial es el de diseñar políticas de gestión de riesgo, comunicarlas a todos los integrantes de la empresa y mantenerlas activas. El problema es que la población objetivo a la que tenemos que concientizar suele ser bastante heterogénea. Algo que suele funcionar bien es hacer una encuesta en toda organización para entender el grado de conocimiento del tema, y en base a eso diseñar planes de comunicación y capacitación en donde sea necesario.
Para comunicar adecuadamente la importancia de este tema se puede recurrir a herramientas tales como artículos, juegos o merchandising interno, en los que se difundan conceptos cortos y fáciles de recordar, tips de seguridad o el contenido del mensaje que se quiera transmitir. Es útil pensar en frases y slogans que se recuerden con facilidad. También es útil hacer trivias y juegos con premios a quienes internalizan estos conceptos.
Es muy importante recalcar, que todo esto funciona si desde los niveles más altos de la organización se vive la gestión de riesgo, ya que esto se percibe muy fuertemente en todos los niveles, algo que muchos colegas llaman “tone at the top”.