Cuando cada empleado es un gestor de riesgos

La mayoría de las empresas consideran que sus principales herramientas de gestión de riesgos son los programas de cumplimiento, los controles internos y las auditorías internas y externas. Si bien es importante reducir la incidencia de las infracciones éticas, de denuncia y de cumplimiento,  un enfoque tan limitado impide que la función de gestión de riesgos ayude a sus empresas a gestionar un universo de riesgos mucho mayor y cada vez mayor.

Este equipo de autores ha presentado y documentado cómo Swissgrid, el operador fiable de redes eléctricas de Suiza, introdujo dos procesos paralelos de gestión de riesgos en su sistema empresarial para identificar y mitigar riesgos estratégicos, riesgos externos e, incluso, nuevos riesgos. En primer lugar, organiza talleres sobre riesgos recurrentes y altamente interactivos para cada unidad de negocio, para el equipo ejecutivo y para el consejo de administración. En los talleres, los participantes revisan los riesgos identificados anteriormente y los recién identificados. Evalúan cada riesgo, utilizando escalas bien estructuradas, y establecen prioridades entre ellas para los recursos y las acciones que reducen su probabilidad e impacto

En segundo lugar, Swissgrid complementa estas reuniones con una aplicación de bajo umbral para denunciar problemas (llamada RiskTalk, creada conjuntamente por Kurt Meyer y Anette Mikes) que todos los empleados llevan en los bolsillos o bolsos. RiskTalk facilita a los empleados denunciar, de forma anónima si lo desean, cualquier problema u obstáculo que pueda afectar negativamente a una prioridad estratégica u operativa empresarial, como la seguridad. La herramienta canaliza las observaciones y preocupaciones de los empleados hasta un equipo de clasificación formado por una docena de gerentes de Swissgrid que actúan como directores de facto de preocupación de la empresa, garantizando que ningún tema emergente pase desapercibido, sin analizar o sin abordar.

La alta dirección de Swissgrid ha adoptado y mantenido estos dos procesos de gestión de riesgos incluso después de que su fundador, el primer director de riesgos, dejara la organización. Varias características clave explican su éxito.

Aproveche el tiempo de todos de manera eficiente.

Cada proceso y herramienta de riesgo del sistema ERM de Swissgrid está diseñado para minimizar el tiempo que necesitan los altos directivos. Los oficiales de riesgos, integrados en cada unidad de negocio, deciden la frecuencia de los talleres para sus unidades. La mayoría de las unidades de negocio organizan talleres semestrales, pero la unidad central (corporativa) solo organiza un taller anual, ya que la mayoría de los riesgos corporativos, como los asuntos legales y reglamentarios, evolucionan lentamente con el tiempo. Los oficiales de riesgos integrados actualizan continuamente sus evaluaciones de riesgos mediante conversaciones cara a cara con los gerentes de su unidad y según los problemas que se filtran entre los empleados de primera línea que utilizan su aplicación RiskTalk.

La propia RiskTalk se diseñó para minimizar el tiempo de los usuarios. Los empleados, en menos de un minuto, pueden enviar un mensaje con etiquetas geográficas, con fecha y con la opción de adjuntar una fotografía de una situación potencialmente peligrosa. Los empleados pueden utilizar el lenguaje natural, no la jerga de la gestión de riesgos, y no están obligados a clasificar ni fijar una prioridad para los problemas que denuncian. El equipo de clasificación realiza el metanálisis para evaluar la prioridad y el posible impacto del riesgo denunciado.

Centra a los gerentes en los riesgos que más les afectan.

Los oficiales de riesgos escuchan todas las preocupaciones, ya sean expresadas por los ejecutivos en los talleres de riesgos o denunciadas a través de RiskTalk. Hacen un seguimiento con el reportero de riesgos sobre temas particularmente irritantes. De vez en cuando, organizan talleres sobre riesgos especiales, con un experto de dentro o fuera de la organización, para hablar de un tema emergente pero poco entendido. Los ejecutivos de línea asisten de buen grado a estos talleres porque los perciben como oportunidades de aprendizaje. Uno señaló que el taller «fue un buen ejemplo de cómo la función de gestión de riesgos añadía valor. Nos ayudaron a identificar un riesgo importante en el que no habíamos pensado antes. Este riesgo en particular me dejó perplejo la primera vez que me enteré y mi primera reacción fue: «No tengo ni la más remota idea de lo que está hablando».

El diseño de RiskTalk incluía los temas más relevantes para las prioridades operativas y estratégicas de la empresa, como la seguridad, la prestación de servicios, la excelencia de los procesos y la rentabilidad. La aplicación pide a los usuarios que etiqueten el problema denunciado con la prioridad con más probabilidades de que se vea afectado. Con las prioridades etiquetadas, los ejecutivos y los miembros del consejo de administración pueden ver cuántos temas relacionados con una prioridad determinada siguen pendientes, lo que hace que se formule una pregunta de seguimiento como: «Si la seguridad es nuestra prioridad número uno, ¿por qué tres cuestiones relacionadas con la seguridad han estado sin resolver durante seis meses?» Las respuestas posteriores combaten la patología más temida por los gestores de riesgos, que describen como «incubación de riesgos», aunque se muestran más vívidamente como permitir que los perros dormidos se conviertan en dragones que escupen fuego.

El despliegue de la aplicación RiskTalk y un equipo de clasificación asociado estuvo motivado por una amplia investigación académica sobre los desastres provocados por el hombre. Los causados por un solo error humano son poco frecuentes; la mayoría se puede atribuir a los fracasos organizacionales en la gestión del riesgo, incluida la incubación de riesgos, la normalización de las desviaciones y el pensamiento grupal. Los temas de los que se informa en RiskTalk a veces pasan tan desapercibidos, incluso triviales, que muchos directivos los pasan por alto o los ignoran instintivamente. Swissgrid compensa los sesgos conductuales de los humanos al subestimar la probabilidad y las consecuencias de eventos inusuales al pedir a su dedicado equipo multidisciplinario de clasificación que se preocupe deliberadamente, incluso paranoico, por todas las posibles consecuencias posteriores de cualquier suceso denunciado. Se anima al equipo de clasificación a unir los puntos entre eventos aparentemente aislados para imaginar las causas fundamentales de las anomalías que, de forma aislada, parecen fracasos independientes. Los gerentes de Swissgrid citan con frecuencia: «No tenemos fracasos de operadores, solo fracasos organizativos».

Cree seguridad psicológica para las discusiones sobre el riesgo.

Seguridad psicológica en torno a la notificación de riesgos es, como indica un sólido conjunto de investigaciones, esencial para la cultura de alzar la voz que es el oxígeno de la gestión de riesgos. Antes de que se introdujeran los dos procesos de gestión de riesgos, Swissgrid era propenso a la tendencia organizacional natural de «matar al mensajero» de las malas noticias. Los procesos de riesgo ayudaron a cambiar la cultura y a hacer que los empleados de primera línea y los mandos intermedios pudieran plantear problemas de riesgo. Desde su presentación, ningún gerente o empleado de primera línea ha sido castigado o castigado por denunciar un problema, falta o error.

Permitir que los recursos se asignen a donde más se necesitan.

La información de los talleres sobre riesgos y RiskTalk permite a los gerentes de línea, los propietarios finales de los riesgos de Swissgrid, obtener los recursos que necesitan para mitigar los riesgos. Los talleres de gestión de riesgos concluyen con acuerdos sobre la priorización de los riesgos, las medidas de mitigación de los riesgos, la propiedad de los riesgos y la asignación de recursos. Los riesgos que afectan a varias funciones se evalúan desde la perspectiva de cada unidad, lo que genera transparencia sobre su papel en la mitigación de los riesgos y su consiguiente necesidad de recursos.

El equipo administrativo de clasificación aborda los problemas revelados por la aplicación RiskTalk desde el punto de vista de los recursos. Si las habilidades y los recursos financieros ya están disponibles para hacer frente a un riesgo en particular, el equipo moviliza una respuesta inmediata. Los temas que requieren una autorización de nivel superior o formación y recursos adicionales figuran en la agenda de los próximos talleres de gestión de riesgos a nivel departamental o ejecutivo.

Establezca la pauta en la cúspide para la visibilidad y la responsabilidad del riesgo.

El director de riesgos convoca y facilita un taller semestral sobre riesgos ejecutivos para los directores de las unidades de negocio y el CEO. En el taller, cada ejecutivo hace una presentación sobre el perfil de riesgo de su unidad, seguida de las impugnaciones y solicitudes de aclaraciones. Las reuniones crean visibilidad sobre cuándo un riesgo denunciado por una unidad de negocio también puede ser experimentado por otras, a veces de formas inesperadas. Exigir a los ejecutivos ocupados que dediquen dos días a hablar de los riesgos envía una poderosa señal sobre la importancia de la gestión de riesgos y de la propiedad y la responsabilidad de los ejecutivos de línea por los riesgos. Después de cada taller ejecutivo sobre riesgos, el director de riesgos prepara un informe para el comité de auditoría del consejo de supervisión, que luego comparte y analiza con todo el consejo.

Identificar y gestionar los riesgos estratégicos y emergentes es muy diferente de gestionar las funciones de auditoría y cumplimiento. La identificación, la evaluación y la mitigación de los riesgos requieren un flujo continuo de información y una supervisión por parte de los gerentes de toda la organización. Gracias a su nuevo enfoque, Swissgrid ha transformado con éxito su función de gestión de riesgos, pasando de ser un ejercicio de marcar casillas a un auténtico proceso de gestión que los empleados, directivos y ejecutivos adoptan como parte de su vida diaria.