Gestión Estratégica de los Riesgos Críticos por el Estado

En Enero de este año, la revista Risk, a través de su versión web Risk.net. publicó los Top Ten de los riesgos operacionales tales como los veían los risk managers y los ejecutivos del sector financiero en su acepción amplia (es decir incluyendo a las empresas de seguros y a los gestores de fondos) para sus empresas; se trata de una encuesta internacional, por lo que ello no significa necesariamente que una encuesta en el Perú hubiera arrojado exactamente los mismos resultados. Pero vale la pena destacar que esta revista es muy influyente. Y que curiosamente, hay un tipo de riesgo que está fuera de la lista y ello quizás revela algo. Al mismo tiempo, el cómo las empresas ven cuáles riesgos son los prioritarios no es algo neutral para el Estado, pues este tiene que gestionar también los riesgos críticos para el país, como lo recomienda la OCDE.

 Dicha encuesta efectuada en los dos últimos meses del 2016 arroja el ranking siguiente de riesgos operacionales:

. Riesgo cibernético y de seguridad de la información; este riesgo figura como número uno por segundo año consecutivo, lo que no sorprende viendo la intensidad de los ciber-ataques

. Riesgo regulatorio (en el sentido de los desafíos operacionales que plantean las nuevas regulaciones y el riesgo de verse obligados a reservar más capital por riesgo operacional)

. El riesgo de “outsourcing”, cada vez más relevante por la cantidad de actividades que se sub-contratan y que pueden fallar; y cuya mala gestión dará lugar a multas crecientes

. El riesgo geopolítico: parece curioso verlo ahí, pero las entidades financieras están pensando sobre todo en las consecuencias operativas del Brexit y de la incertidumbre en cuanto a estándares internacionales que está introduciendo la administración Trump

. El riesgo de “mala conducta”, por el nivel gigantesco de las multas que se pueden sufrir, como las impuestas por las autoridades norteamericanas

. El riesgo de cambio organizacional: la evolución de las regulaciones y de las tecnologías digitales han generado un temor de no estar en capacidad de adaptarse bien

. Las fallas de las tecnologías de la información: los incidentes en que “se cuelgan” los sistemas y el acceso a la información, con quejas de clientes, han aumentado

. El cumplimiento de las regulaciones en materia de lavado de dinero y de financiamiento del terrorismo; genera multas y escándalos y cumplir  es más difícil de lo que se cree

. El fraude tanto externo como interno, que va en aumento según varios reguladores

. Los “ataques físicos”, lo que concierne sobre todo al terrorismo, cuyos costos se habrían multiplicado por 11 en los últimos 15 años; ya se sobrepasó anualmente el nivel excepcional del 11 de setiembre del 2001.

Como habrán notado, en esa lista no figuran….los desastres naturales; ello podría ser porque tal vez la mayoría de los encuestados sea de países desarrollados para los cuales esos desastres son más localizados y también tal vez porque la industria financiera tendría una menor conciencia de su rol disruptivo que los sectores industriales que ven fácilmente como sus cadenas de abastecimiento se pueden romper a causa de un desastre natural. Pero también puede tener que ver con una fuerte tendencia a verlos como “eventos o riesgos de la cola”, lo que parece coincidir con el hecho de que los supervisores y reguladores financieros no ven a los desastres naturales como relevantes para su acción y para la estabilidad financiera, como lo indiqué en posts de febrero y marzo últimos. Sería interesante saber cómo respondieron las entidades peruanas contactadas, así como las japonesas, las chilenas, las colombianas, las filipinas, las indonesias, etc.

 Pero sí habrán notado cómo varios de estos “riesgos top” tienen que ver con los riesgos ligados a la continuidad del negocio u operativa. Este riesgo en sí es visto así como uno de los más importantes, a través de varias de sus causas posibles.

 Y al mismo tiempo, varios de estos riesgos operacionales forman parte, de manera similar o a través de un enfoque estatal específico, de los riesgos críticos que cualquier Estado bien organizado debería gestionar de manera estratégica; por ejemplo el terrorismo y los ciber-ataques, lo que es obvio, pero también el riesgo que el lavado de dinero, muchas veces efectuado por poderosas organizaciones del crimen organizado, que incluso se infiltran en la política, supone para la seguridad nacional, o que malas conductas repetidas del sistema financiero y de grandes empresas terminen por favorecer a movimientos políticos extremistas (una forma de riesgo geopolítico interno); la ”mala conducta” bajo forma de corrupción estatal afecta al mismo tiempo a la gobernabilidad y a la seguridad nacional.

 En nuestro país, casi nadie parece estar familiarizado con la idea de que el Estado debe gestionar de manera organizada y proactiva los riesgos críticos que amenazan al país. Y sin embargo, en muchos países es visto como algo obvio. Y la OECD, en las recomendaciones de su Foro de Alto Nivel, sobre la Gobernanza de los Riesgos Críticos, aprobadas a nivel de Ministros en Mayo del 2014, da una serie de pautas recordando que los Estados tienen la responsabilidad de proveer seguridad a sus ciudadanos, defender la integridad territorial de la nación, de mantener en funcionamiento la infraestructura crítica y de preservar el buen funcionamiento de los mercados. Todo ello con un objetivo de resiliencia frente a los diferentes choques en aras de la preservación de la competitividad y de un desarrollo económico sostenible.

 El mismo documento, entre los principales riesgos, cita los fenómenos naturales, las pandemias, los accidentes industriales y tecnológicos de gran magnitud, y toda suerte de acciones “malévolas” (tales como ciber-ataques, terrorismo, crimen organizado de todo tipo incluyendo al que afecta a los activos ambientales…) en un contexto de globalización, evoluciones demográficas, cambios tecnológicos, cambio climático, etc. Y recuerda que si un Estado no los gestiona bien, el impacto en las finanzas públicas y en la gobernabilidad del país (via la falta de confianza en las autoridades) puede ser devastador.

 El documento no cita mucho a la corrupción (salvo para el tema de recuperación ante desastres) pero en ciertos países, como el nuestro, esta es un peligro mortal para el desarrollo sostenible: tanto por el daño directo que hace, siendo además la gran aliada del crimen organizado, como por los efectos paralizadores que puede tener en la economía, cuando la lucha contra esta no se lleva correctamente (con medios financieros, humanos y técnicos insuficientes – de paso ¿es normal que haya OCIs que no dependan de la Contraloría? No lo creo- , y hasta trabas legales impuestas a los que luchan contra ella, o aterrorizando más a la gente honesta que a los corruptos) o en función de agendas políticas lo que le quita credibilidad (se persigue sólo a algunos y no a otros que parecen gozar de gran impunidad). Además tiene un efecto desmoralizador en la población que a la larga afecta la gobernabilidad. Algunos la relativizan diciendo que siempre ha existido en nuestro país y que igual hemos salido adelante; cuidado con ese tipo de razonamientos, las cosas evolucionan y en cierto momento las consecuencias pueden ser más graves que antes (un acto corrupto único puede por ejemplo matar a mucha gente, a través de un gigantesco incendio, o de un derrumbe masivo de edificios de apartamentos); y desde el punto de vista macro puede ser fuente de estancamiento y hasta de involución, hacia el “estado fallido” o el “estado mafioso”.

 Nuestro Estado, siendo nosotros un país que aspira a formar parte de la OCDE, no está organizado para gestionar bien sus riesgos críticos, al punto de ni siquiera haber identificado a varios de éstos, o en el mejor de los casos, tenerlos identificados, pero subestimados, por lo que no se les da suficiente importancia al momento de organizarse y priorizar medidas; por ejemplo, la necesidad de tener un buen control de todo el territorio nacional, llevando el desarrollo en todos sus rincones y buscando dar un “mayor sentido de seguridad” a la población (de que se ocupan de uno) no parece ser entendida, salvo por unos pocos que en general “predican en el desierto” (los he visto más en las Fuerzas Armadas).

 Sólo tenemos algunos “pedazos” de esa gestión estratégica, como el Sistema Nacional de Gestión del Riesgo de Desastres (SINAGERD), el Sistema Nacional del Gestión de la Seguridad de la Información, el Sistema Nacional de Seguridad y Defensa Nacional…

 Pero no tenemos un Sistema Nacional de Continuidad del Negocio y Operativa (algo que ya mencionaba en otro post como necesario), la gestión del riesgo de desastres está como separada de la gestión del riesgo operacional en el Estado, de paso no hay ningún rector de la Gestión del Riesgo Operacional en el Estado, lo que deja a la Contraloría como la única entidad tratando de asegurarse de que las entidades evalúen esos riesgos (pero desde el enfoque del Sistema de Control Interno, lo que no es suficiente). Tampoco tenemos un Consejo de Estabilidad Financiera formal. El CEPLAN y la DINI están marginalizados, cuando podrían tener un rol muy útil en la identificación de riesgos y de soluciones.

 No parece haber ninguna reflexión estratégica (reflexión para la acción, y no por ejercicio intelectual) sobre toda una serie de riesgos, como los que mencioné en una pequeña columna de marzo 2012 en Gestión, como el tema del agua, que visiblemente no se toma en consideración y donde no hay ningún sentido de urgencia (basta ver su derroche en Lima, o el riego por inundación en numerosas regiones; o las peleas entre regiones y hasta entre provincias por ese tema), de la falta de verdadera cohesión territorial y de un ordenamiento territorial con visión  nacional (nuestra descentralización más parece una “feudalización”, como lo han notado agudos observadores y hasta un talentoso caricaturista; países de estructura federal y hasta confederal parecen mucho más cohesionados, sin obstaculizar políticas nacionales).  

 Ya hace tiempo que deberíamos tener a la Gestión Estratégica de Riesgos Críticos bien establecida en nuestro Estado, y siguiendo las recomendaciones de la OCDE ya mencionadas, aunque con algunas adaptaciones “nacionales” : el tema de la corrupción en nuestro caso es crítico, como el de la falta de control del territorio, de cohesión territorial y de ordenamiento territorial con visión nacional, y el de la penetración del crimen organizado en la política – siendo el financiamiento en efectivo de las campañas electorales una de sus armas favoritas- y el tema de la desastrosa gestión global del agua, así como la dependencia excesiva de gran parte de la población de auto-empleo de subsistencia, por la falta de empleos adecuados suficientes, el terrible problema- una verdadera “bomba de tiempo”- de la cantidad creciente de jóvenes con títulos universitarios que en realidad no valen gran cosa y al mismo tiempo de empresas que no encuentran la gente calificada que necesitan, con su correlato el aumento de los NI-NI (ni trabajan, ni estudian), la aún enorme prevalencia de la pobreza multidimensional, de la anemia infantil, la desnutrición y el déficit calórico (que no se mide); esto para dar algunos ejemplos.

 Un buen comienzo sería tener un líder institucional claro que debería ser la PCM o la Presidencia, aunque en nuestro contexto histórico, más parecería ser la PCM, vale la pena hacerse la pregunta de qué es mejor (en Colombia, es la Presidencia, por ejemplo).

 En ese líder institucional tiene que haber una estructura orgánica de gestión de riesgos, pero que no sea un monstruo burocrático, sino un órgano articulador/coordinador ágil, con gente realmente especializada, con mística, pasión intelectual y capacidad ejecutora/articuladora a la vez, no poniendo a gente “incolocable” con la que no se sabe qué hacer ni a asesores sin ningún conocimiento de los temas por “amiguismo”. Ello debe acompañarse de la creación de verdaderos Sistemas Nacionales de la Continuidad del Negocio y Operativa y de la Gestión del Riesgo Operacional en el Estado, construyendo respectivamente a partir de lo desarrollado normativamente por la PCM y en la práctica y normativamente por el MEF (aspectos que mencioné en un post reciente).

 Y entre los temas organizacionales a resolver rápidamente,  sin esperar que el tema a nivel global sea resuelto, cada Ministerio debería tener, según sus características, una Oficina  ó una Oficina General de Gestión de Riesgos y de Defensa Nacional, construyendo a partir del hecho de que en varios Ministerios estas ya existen, aunque armados bajo la óptica del SINAGERD, lo que no es suficiente, y con medios insuficientes, desgraciadamente. El alcance no debería estar limitado a la gestión del riesgo de desastres, sino al conjunto del riesgo operacional, y del tema de la continuidad operativa. Y el rol, con verdaderos especialistas, debería ser de detección de riesgos y de propuestas, de concepción normativa y organizacional, articulación y coordinación, y de concientización y capacitación; así como de articulación con las otras entidades, con la unidad central y con el sector privado. Ello porque, vuelvo a repetirlo, cada parte de la organización debe gestionar sus riesgos, como se recomienda de manera universal en tanto que mejores prácticas. Estructuras similares deberían replicarse en el resto del Estado, según el grado de complejidad de las Entidades. Sin olvidar que entre las técnicas que pueden contribuir mucho a combatir la corrupción, está la gestión del riesgo operacional, con su amplia experiencia de la gestión del riesgo de fraudes internos y externos, por ejemplo.

  En conclusión: ya es tiempo de institucionalizar de manera integral la gestión de riesgos en el Estado. Esta tiene una enorme importancia no sólo para el Estado, sino también para las empresas y para la sociedad. Es un tema de gestión proactiva del propio riesgo país, que no debe ser un tema exclusivo del MEF, cuyo enfoque es económico-financiero, mientras que las clasificadoras de riesgo y otros analistas de riesgo país hace tiempo que también miran otros aspectos, como los institucionales y cada vez más la gestión del riesgo de desastres. Tal como la OCDE lo ha recomendado a sus Estados miembros; esta no ha partido de cero, sino de la observación de las mejores prácticas; es decir, varios ya hacen en gran parte lo que ella recomienda.

  http://www.oecd.org/gov/risk/recommendation-on-governance-of-critical-risks.htm