Gestión del Riesgo Operacional y Desastres: Reflexiones para la Acción
El tema de los desastres, naturales o provocados por el hombre, está muy presente en la gestión del riesgo operacional. Forman parte de los factores externos que pueden afectar el buen funcionamiento de una organización, como lo son los ataques cibernéticos o las guerras; siendo también uno de los factores de eventos de riesgo operacional que pueden afectar la continuidad de las operaciones de la organización, uno de los peores riesgos que puede tener que afrontar: de ahí que la gestión de la continuidad del negocio o continuidad operativa (GCN o GCO) sea una de las ramas de la gestión del riesgo operacional (GROp) que ha conocido un desarrollo específico. Pero además uno podría preguntarse: ¿la Gestión del Riesgo de Desastres (GRD) debería ser vista también como una rama de la gestión del riesgo operacional o no? La respuesta no es fácil y pensarlo puede llevar a consecuencias prácticas. Veamos.
Como mínimo, por lo explicado en introducción, puede decirse que hay una fuerte relación entre la GRD y la GROp.
Pero también debe reconocerse que la GRD se ha ganado con el tiempo una especificidad bastante marcada y alentada a nivel internacional. Se suele decir, con variantes según los organismos y los países que consta de los procesos siguientes : estimación (o conocimiento o evaluación) del riesgo, prevención y reducción (o mitigación) del riesgo, preparación y respuesta (uno es antes y el otro durante y después pero están ligados porque uno se prepara para responder a la emergencia), rehabilitación (que consiste por ejemplo volver a poner los servicios básicos en marcha), y reconstrucción; aunque no pocos prefieren no separar estas dos fases y considerarlas juntas hablando de recuperación (lo hacen sobretodo resaltando que a menudo la frontera entre los dos no es tan obvia y para cuestionar que sean dos organismos diferentes los que vean la rehabilitación y la reconstrucción).
Ahora bien, hay aspectos que hacen pensar que en gran parte, estos procesos pueden formar parte de una GROp por lo menos a nivel “macro” (aunque no únicamente, también pueden traducirse a nivel “micro”)
. estimar el riesgo, factores de riesgo (como las amenazas, la exposición y la vulnerabilidad), es algo que se hace también en la GROp
. prevenir y reducir el riesgo, así como prepararse forman parte de lo que en GROp se llamaría medidas de mitigación o tratamiento del riesgo
. la respuesta y la rehabilitación son también, para fines prácticos, medidas de mitigación del riesgo que se toman en el momento para impedir que el desastre (evento de riesgo operacional) tenga un impacto excesivo
. ah, pero ¿la reconstrucción? Cierto ahí la relación es algo más difícil de hacer, pero no tanto como se cree: en GROp, entre las medidas de tratamiento del riesgo en un sentido amplio, están las de reconstruir, y sobre todo las de “reconstruir mejor” (el famoso “build-back better”), que a nivel macro se traduce incluso hasta con medidas tan fuertes como el reasentamiento de poblaciones, o como tener toda una planificación pensando no sólo en el pasado sino en riesgos futuros y tomar acciones de reducción del riesgo futuro más sistémicas que van más allá de la reconstrucción y que forman parte más bien de la prevención y reducción del riesgo, pero incorporadas en un programa de reconstrucción (como las grandes obras de ingeniería hidráulica que se hicieron en China, Francia o Ecuador, trabajando a nivel de cuencas; o programas de construcción de grandes conjuntos habitacionales, y de sus servicios básicos y su conectividad, con los mejores conocimientos anti-sìsmicos) para reducir el riesgo de que fuertes lluvias provoquen catastróficas inundaciones o de que en caso de futuro sismo, grandes conjuntos de vivienda popular o de clase media se caigan como castillos de naipes por estar construidos en suelos de mala calidad y/o mal diseñados o mal inspeccionados (como ya se vio en otros países). A nivel micro: la empresa que vio su local inundado por estar en el lecho seco de un río, la reconstruirá en otro lugar; desde su punto de vista, gestionó mal el riesgo operacional y lo hará mejor con esta decisión (hace poco me mostraron la foto de un “mall” en Piura que resultó tener una ubicación bastante extraña, por decir lo menos).
Lo mismo se ve para la GCN o GCO: porque ésta siempre empieza con identificar y estimar las amenazas, y su impacto potencial, y hay que tomar medidas para reducir vulnerabilidades que acentúan el riesgo de continuidad (por ejemplo: reforzamiento anti-sísmico de urgencia, “retro-fitting”), medidas, que de paso, y es un factor esencial, permiten salvar vidas, lo que además contribuye a la continuidad (es no sólo bueno en cuanto a la GROp, es también un deber ético o moral), y para estar preparado para enfrentar mejor el “durante” y poder recuperar las operaciones esenciales lo más rápido posible. Ah, pero acá la reconstrucción no tiene nada que ver, me dirán: bueno, si no se gestionó bien la continuidad, en caso de mega-evento, va a ser mucho más difícil hacer la reconstrucción por falta tanto de gente para ello como de materiales suficientes o por mayor tiempo en restablecer la conectividad física necesaria. Y acá tenemos además al build-back better: contribuye a reducir a futuro el riesgo de continuidad.
Desde una visión estrecha podría decirse: “responder, rehabilitar y reconstruir no es GRD, sino más bien, gestión del desastre que ya ocurrió; el riesgo ya se materializó. Entonces menos puede tener que ver con la GROp.”. Hay bastante de cierto en ello, y se podría discutir horas sobre el tema, lo que no sirve para nada, pero por lo que han podido ver, desde el punto de vista de la GROp, y lo que hay que hacer en la práctica, si tiene mucho que ver; en la GROp existe algo clave que se llama “base de incidencias de riesgo operacional”: esta no sirve solo para registrar incidentes, sino también para registrar las medidas que se propone tomar/ que se han tomado, y hacerles seguimiento para que la incidencia no se vuelva a producir o por lo menos tenga un menor impacto (el fenómeno natural no se puede evitar, que se transforme en un gran desastre, sí se puede evitar; y el desastre causado por el hombre – recuérdese la mega-explosión de Halifax en Canadá, cuyo centenario se conmemoraba en estos meses, no recuerdo bien, y que dio luego a medidas de mitigación del riesgo que son un modelo; más cerca tenemos Mesa Redonda, y potencialmente, pero con mayor impacto, Tamboraque – sí se puede evitar).
Ahora bien, la GRD tiene una rama especialmente importante que es la gestión financiera del riesgo de desastres, conocida por los especialistas como DRFI (Disaster Risk Financing and Insurance). Pues bien, que no se crea que esta escapa a las necesidades de la GROp: primero, puede “disfuncionar” totalmente, hasta la parálisis, si hay miedo a tomar decisiones o diferentes partes de una organización funcionan en silos, sin articularse, o se “tiran la pelota” sobre ciertos temas clave. A eso se le llama riesgo operacional organizacional o sistémico. Y luego, sin GCO, que es parte de la GROp tampoco podrá funcionar si las personas que deben implementarla perecen casi todas en un mismo evento. Y finalmente, el seguro es también una de las técnicas de mitigación del riesgo operacional.
Y si han tenido la oportunidad de ver el DRIOR Model desarrollado por el Economist Intelligence Unit, objeto de uno de mis últimos posts, al tomar en cuenta al riesgo desastres y a la GRD en su análisis del riesgo país, el EIU adopta un enfoque de riesgo operacional. Es ingenioso y acertado: porque la resiliencia operativa y financiera de un país están muy ligadas, así como sucede a nivel micro para las empresas o para las entidades públicas. De ahí la importancia de las infraestructuras de comunicaciones y de servicios básicos resilientes frente a desastres, o de entidades clave del Estado que no se derrumben como castillos de naipes en caso de gran desastre o de guerra, lo que se logra en gran parte con una buena GROp, incluyendo buena GCO/GCN. Y la resiliencia operativa de ciertas empresas puede tener una importancia vital para la resiliencia operativa del Estado y de toda la economía. Lo que me sorprende mucho es cómo esa noción de doble resiliencia inter-relacionada sigue siendo muy poco entendida, es como hablar algún idioma extraterrestre.
Por lo que podido observar, los que mayor capacidad tienen para entender esa visión integral son numerosos especialistas de la GROp, o los que están familiarizados con los temas de seguros, o banqueros con experiencia variada. En general, alguien demasiado especializado en riesgos financieros, sobre todo si son de mercado (como el cambiario o el de tasa de interés) sencillamente no entiende a la GROp, con la justas llega a entender lo que le afecta directamente, es un tema que hasta puede asustarlo por su “complejidad”. Al que tiene experiencia práctica del riesgo crediticio empresarial le es más fácil, porque muchas veces este riesgo se puede deteriorar por factores de riesgo operacional, tales como los desastres y su impacto en la operatividad de infraestructuras clave y cadenas de suministro; pero eso en términos generales, porque puedo dar dos grandes bemoles respecto de los “perfiles no-GROp”: el que conoce de riesgo de crédito pero tiende a ver a las crisis financieras como muy poco probables (“eventos de la cola”), hace igual con los desastres naturales, no los incorpora bien en su análisis crediticio y en general eso va junto con no interesarse en si el cliente está bien asegurado o no; y también he podido notar que entre los operadores de capital markets, hablo del “front” sobretodo, sí existe una fuerte conciencia de algunos tipos muy específicos de riesgo operacional (el de “fat finger” que hace tipear ceros de más, y el de “tipeo invertido”, estilo 10 acciones a 1000 en vez de 1000 acciones a 10 o viceversa), y sí son más sensibles al riesgo de continuidad por la velocidad a la que tienen que trabajar, donde cada interrupción, por corta que sea, puede hacer perder mucho dinero, por lo que suelen estar entre los que más rápido aprenden a entrenarse para los ejercicios de continuidad y a adecuarse a escenarios disruptivos para reanudar operaciones lo más rápido posible; de paso, la Bolsa de Valores de Lima está certificada en continuidad del negocio,
En fin de cuentas, los mejores aliados intrínsecos de la GRD integral, son los que conocen bien la GROp, porque para ellos, la GRD es prácticamente una rama de la GROp, por más que los marcos normativos las separen, y aunque exista esa rama específica de la GRD que es la DRFI, que es la mejor razón para mantenerle cierta especificidad a la GRD, porque cada uno de sus procesos no se financia exactamente de la misma manera, hay un enorme componente de finanzas públicas que no se verá en el mundo privado. Los conocedores de la GROp, como los experimentados en riesgo crediticio empresarial/corporativo, llegan a entender también la parte financiera de la GRD, a través de un mayor conocimiento de los seguros y de los arbitrajes entre retención y transferencia del riesgo. Con un bemol: el especialista GROp será un buen aliado, e incluso buen agente de la GRD si deja de lado esa visión tradicional de las matrices de riesgo, con cálculos aritméticos simples, que hacen aparecer a eventos de baja frecuencia pero de alto impacto en una zona de riesgo media, porque eso sí es una terrible subestimación del riesgo real (y ya tuve la oportunidad de escribir sobre ese tema), similar a la que pueden hacer muchos especialistas de riesgos de mercado y liquidez o de riesgo crediticio (y a veces, hasta los que los supervisan).
Es una razón adicional, y más aún en países tan fuertemente expuestos a desastres naturales como el nuestro (igual que en los países expuestos a riesgos de guerra o de terrorismo masivo) para darle la mayor importancia a la GROp y su rama la GCN/GCO. Y no sólo en el ámbito privado, sino también en el público. No por nada varias entidades de cooperación multilateral y bilateral han priorizado estos temas en sus programas de asistencia técnica para la mejora de la gestión pública y de las finanzas públicas y ello a nivel mundial.
No es fácil, porque son temas que, además de ser para muchos muy difíciles de entender, no son fácilmente atractivos (es como en el fútbol, la gente se fija más en los goleadores que en los buenos defensas) frente a un riesgo de mercado cuyo monitoreo es más “adrenalínico” y por ende, atractivo, y obligan a hacerse preguntas incómodas y tener que buscar soluciones y tomar decisiones a menudo difíciles, que “fastidian” y que al no reportar beneficios inmediatos visibles, son a veces difíciles de explicar a gente que ve ciertos riesgos como muy remotos mientras no pase nada; se prefiere a menudo hacer como el avestruz y enterrar la cabeza en la arena, y/o que las cosas no se digan. Son esfuerzos que toman años de trabajo, en realidad, como en el sector privado, y que para colmo, parecen no terminar nunca porque a cada cambio de organización, hay que repensar los riesgos y medidas, por ejemplo, o porque siempre se aparecen riesgos nuevos.
Y sin embargo hay entidades públicas que sí lo están haciendo, por ejemplo ciertas empresas públicas o ciertos organismos públicos. Y también Ministerios, como lo hizo el MEF, el cual mediante la RM 081-2016-EF/10 de marzo del 2016, publicó lineamientos y metodologías de gestión del riesgo operacional que ya había venido desarrollando y aplicando en gran parte en la práctica desde varios años con financiamiento de la cooperación ; de paso, extenderlos a otros Ministerios y entidades públicas que no tengan especificidades de tipo empresarial, porque han sido desarrollados para las realidades de un Ministerio, le ahorraría mucho dinero al Estado; el MEF puede enseñarles a los otros, apoyados por consultorías que no necesitan ser muy costosas, más como un acompañamiento en la concientización y construcción de matrices internas, y no para “reinventar la rueda”. Se tendría el mismo lenguaje metodológico en todo el Estado, con la perspectiva de desarrollar la GROp y la GRD con una lógica de carrera en todo el Estado (que pueden unificarse, la DRFI integral es una especificidad MEF), en el marco de SERVIR, y ello acompañado por el posicionamiento jerárquico suficientemente alto que mencionaba en el post anterior, para los encargados en cada entidad. La GRD, como la GROp (GCO incluida) debe ser algo que hace toda la organización, formar parte de sus actividades diarias.
Y además la misma PCM aportó con lineamientos de GCO para entidades públicas, mediante la RM 028-2015 de febrero 2015, en aplicación del PLANAGERD 2014-2021, y muchas entidades se acostumbraron a ver a gente de la antigua Secretaría de GRD venir a “fastidiarlos” con el seguimiento de su implementación. Es un trabajo arduo y de largo aliento como lo ha sido para el sector privado más desarrollado, y nunca se deja de aprender, pero vale la pena en aras de la resiliencia operativa del país. Se notó cruelmente con el Niño Costero, por lo que sufrieron las entidades públicas de las zonas más afectadas, que todavía falta mucho para tenerla plenamente implementada en el Estado.
Un aliado clave para una mayor extensión de la GROp en el Estado, incluyendo la GCO, y de la GRD, puede ser la Contraloría, que ya obliga a que las entidades públicas gestionen sus riesgos, a través de su normativa sobre el control interno (como dije anteriormente, GROp y control interno se relacionan fuertemente y se potencian mutuamente), siempre y cuando no confunda las dos cosas y siga una lógica de auditoría más práctica que burocrática, y se le dote de los recursos suficientes para ello. También lo pueden ser los reguladores de los servicios básicos, que además de ocuparse de empresas privadas, tienen a empresas públicas bajo su ámbito, y el FONAFE, por la misma razón.
Pero el rol de la Contraloría es fundamental: muchas entidades públicas han empezado a trabajar el tema bajo presión de la Contraloría con el tema del control interno; puede terminar jugando el rol clave que tuvo la SBS para generalizar la GROp y la gestión integral de riesgos en el sistema financiero. Y como ya lo dije antes , eso puede ayudar mucho a la simplificación administrativa y la lucha anti-corrupción.
En conclusión: la gestión del riesgo operacional en el sector público, incluyendo la continuidad del negocio u operativa, es demasiado fundamental para el país; un Estado que funciona mal, que no ayuda a construir resiliencia de país, o que no resiste a un mega-desastre puede hacerle demasiado daño al país, y ya es el caso por temas como los excesos burocráticos y la corrupción. Por ello es un asunto que no puede dejar de interesar al sector privado, porque lo afecta directamente, pero además porque es indispensable un trabajo conjunto público-privado en varios temas claves de la GRD.