Por Scott Fenstermaker

"Hidra, de cuyo único cuerpo se formaron cien cuellos, cada uno de los cuales llevaba la cabeza de una serpiente. Y cuando se cortaba una cabeza, el lugar donde se seccionaba daba lugar a otras dos; por esta razón se la consideraba invencible, y con razón, ya que la parte de ella que era sometida enviaba una ayuda doble en su lugar."

-Diodoro Sículo, Biblioteca de la Historia 4. 11. 5 (trans. Oldfather) (historiador griego del siglo I a.C.)

Si se encuentra en Florencia, Italia, en la famosa Galleria degli Uffizi, busque una obra maestra poco conocida: Hércules matando a Anteo, de Pollaiuolo, que representa el undécimo de los doce trabajos de Hércules: matar con sus propias manos al gigante Anteo, hijo de Poseidón y de la diosa de la tierra Gea.

Lo que hacía a Anteo casi imposible de matar era que podía sacar fuerzas de la tierra, lo que le hacía más fuerte cada vez que era derribado. Por lo tanto, cualquier daño que le infligieran los adversarios hacía que Anteo fuera aún más difícil de derrotar.

Hércules tuvo que sostener a Anteo completamente del suelo para finalmente estrangularlo.

Avancemos quinientos años y Nassim Taleb acuña el término "antifrágil" para describir aquellos sistemas que no sólo resistieron la volatilidad, sino que mejoraron positivamente con ella. En su libro Antifrágil: Cosas que ganan con el desordenescribió:

Algunas cosas se benefician de los choques; prosperan y crecen cuando se exponen a la volatilidad, la aleatoriedad, el desorden y los factores de estrés, y aman la aventura, el riesgo y la incertidumbre. Sin embargo, a pesar de la ubicuidad del fenómeno, no existe una palabra para designar exactamente lo contrario de frágil. Llamémosla antifragilidad. La antifragilidad va más allá de la resiliencia o la robustez. Lo resiliente resiste los golpes y se mantiene igual; lo antifrágil mejora. Esta propiedad está detrás de todo lo que ha cambiado con el tiempo: la evolución, la cultura, las ideas, las revoluciones, los sistemas políticos, la innovación tecnológica, el éxito cultural y económico, la supervivencia de las empresas, las buenas recetas (por ejemplo, la sopa de pollo o el steak tartare con una gota de coñac), el surgimiento de las ciudades, las culturas, los sistemas jurídicos, los bosques ecuatoriales, la resistencia bacteriana... incluso nuestra propia existencia como especie en este planeta.

Al igual que los ejemplos de Taleb, las empresas exitosas y duraderas obtienen valor de la exposición a las tensiones del mercado. Las mejores empresas, al igual que los organismos, se fortalecen a medida que superan las dificultades y compiten.

Sin embargo, pocas empresas son antifrágiles.

Las empresas caen en la bancarrota todo el tiempo, incluso iconos probados en el tiempo como JC Penney y Sears. De hecho, todo el sector minorista, con sus márgenes tradicionalmente estrechos, resultó ser extremadamente frágil a un factor de estrés socialmente perturbador como la pandemia de COVID-19. La fragilidad de la industria terminó concentrando el poder en manos de unos pocos gigantes, como Amazon y Walmart, que tienen las operaciones y el posicionamiento para demostrar la antifragilidad.

¿Qué implicaciones tiene este concepto de antifragilidad para otras organizaciones, que están saliendo de una pandemia mundial y en una búsqueda continua de resiliencia? ¿Existe una forma de crear programas de riesgo y cumplimiento que no sólo permitan a las organizaciones capear los acontecimientos extremos, sino ¿fortalecer directa y sistemáticamente a partir de ellos?

Recientemente, Bob Bowman, director de gestión de riesgos de The Wendy's Company, se sentó con el equipo de Riskonnect para grabar un seminario web sobre cómo su equipo utilizó la tecnología de ERM para gestionar los riesgos asociados a la pandemia de COVID-19. La grabación está disponible a continuación:

Escuche más de Bob en nuestro reciente Seminario web Risk@Work.

El análisis de Taleb propone varias dinámicas que pueden aumentar la antifragilidad en los sistemas complejos. He aquí tres de esas dinámicas - y cómo el programa de ERM de Bowman demuestra estos principios.

number onePrueba y error frente a la planificación descendente

Los sistemas antifrágiles se aprovechan del ensayo y error sistemático. En la naturaleza, la selección natural elimina a los incapaces de adaptarse, confiriendo fuerza al permitir que los supervivientes exitosos se reproduzcan.

En las empresas, los buenos departamentos de riesgo y cumplimiento tienen un liderazgo con visión, por supuesto. Los grandes departamentos de riesgo y cumplimiento también se resisten a caer en la trampa de dictar desde arriba en lugar de adaptarse desde abajo. Pueden ver los acontecimientos adversos no sólo como algo que hay que capear, sino como algo de lo que pueden aprender.

Una de las funciones más importantes de un Sistema ERMEl objetivo de este programa, según Bowman, es memorizar la dinámica de los eventos de riesgo una vez que han pasado, capturando el impacto en el negocio, las respuestas de control, las adaptaciones de los procedimientos y cualquier otro dato relevante que pueda hacer que las respuestas futuras sean más efectivas. La canalización de los comentarios de la experiencia en el programa es una forma de corregir los controles y mitigaciones insuficientes, afinando así el sistema para la próxima vez.

Las organizaciones antifrágiles ponen en marcha mecanismos para imitar el proceso de prueba y error de la selección natural. Captan sistemáticamente los aprendizajes de los sucesos adversos, los agregan, analizan su importancia y permiten que los hallazgos significativos informen sus hojas de ruta y estrategias.

number twoAdaptabilidad frente a la confianza en el éxito de la predicción

Bowman habla en profundidad sobre la enorme cantidad de planificación previa y el análisis del panorama de riesgos para informar su programa de ERM.

Sin embargo, por mucha previsión que ponga en su registro de riesgos, siempre habrá eventos de riesgo que se manifiesten de forma diferente a la prevista. Su preparación puede orientar sobre el impacto en el negocio, la velocidad, etc., pero también debe adaptarse a los aspectos del evento que se manifiestan de forma diferente que como lo habías planeado.

La pandemia de COVID-19 es un buen ejemplo. Bowman señala: "Reconocimos muy rápidamente que este evento de riesgo puede realmente exceder la planificación razonable, o los esfuerzos razonables de mitigación, y que la respuesta puede ser más amplia o tener mayor profundidad de lo previsto originalmente."

Muchas empresas tienen registradas las pandemias en sus sistemas de ERM, pero pocas -si es que alguna- se imaginaron la magnitud de la perturbación causada por COVID-19. Un gestor de riesgos ágil reconoce que COVID-19 se asemeja a diferentes aspectos de varios riesgos. La pandemia, por ejemplo, puede parecerse en parte a un riesgo de catástrofe natural en su capacidad para cerrar oficinas físicas y obligar a trabajar desde casa. También puede parecerse a los riesgos relacionados con las crisis económicas, en su efecto sobre los proveedores externos.

Podemos entender mejor un evento de riesgo novedoso o sorprendente analizando otros riesgos que tienen cualidades similares, sacando un poco de esto y un poco de aquello para completar el cuadro.

number threeEventos de riesgo que conducen a menos eventos futuros (Correlación negativa de errores)

He aquí un problema matemático común de gestión de riesgos. Digamos que tiene tres eventos de riesgo potenciales: 1) una penetración cibernética exitosa con una probabilidad de 2% de ocurrir dentro del año; 2) una recesión económica con una probabilidad de 5%; y 3) una gran demanda de los empleados con una probabilidad de 3%. ¿Cuál es la probabilidad de que los tres eventos ocurran al mismo tiempo?

Si se supone que los tres sucesos no están relacionados, se multiplicaría 2% por 5% por 3%, llegando a una probabilidad de 0,003% de que los tres sucesos ocurran a la vez.

En el mundo real, sin embargo, los acontecimientos rara vez están realmente desvinculados. Pueden estar correlacionados de forma sorprendente.

Supongamos que en el próximo año experimenta uno de los sucesos anteriores, una recesión económica. Puede que se sienta muy seguro frente a los otros dos riesgos porque ha hecho los cálculos y las probabilidades simultáneas son bastante pequeñas. Sin embargo, la recesión económica hace que tenga que despedir personal en varios departamentos, incluido el de TI. El departamento de TI resultante, falto de personal y sobrecargado, empieza a retrasar ciertos parches de seguridad cruciales, lo que da lugar a una ciberpenetración. Mientras tanto, el empleado del departamento de TI que usted despidió sólo por la mencionada recesión se siente injustamente atacado y demanda por despido improcedente.

Un evento de riesgo hizo que los otros dos tuvieran más probabilidades de ocurrir. Así es como funciona la vida.

Lo contrario también puede ser cierto. En determinadas condiciones, la presencia de ciertos eventos de riesgo puede hacer que otros eventos sean menos probables. Taleb pone como ejemplo las averías de los aviones. Si un avión tiene una emergencia, los resultados son tan notorios y los protocolos de investigación tan estrictos que los vuelos se suspenden inmediatamente, y las correcciones se propagan rápidamente, lo que hace que todo el sistema sea más seguro.

El valor de Gestión del riesgo empresarial es entender el impacto de los riesgos en el negocio tan a fondo, que pueda hacer que sus controles y mitigaciones sean lo más eficaces posible. Bowman habla de ir más allá de las simples puntuaciones de evaluación de un determinado riesgo y desarrollar un perfil completo de las asociacionesLa información sobre el sistema de gestión de riesgos, incluyendo las políticas, los procedimientos, los objetivos empresariales, los indicadores, los controles y las terceras partes afectadas:

¿Y si pudiéramos emparejar una evaluación de riesgos con un perfil? ... Al convocar rápidamente al equipo multifuncional de respuesta a incidentes, equipemos a cada uno de ellos, individual y colectivamente, con un cuerpo común de conocimientos relativos a este riesgo. ¿Y si pudiéramos hacerlo como resultado de un informe? ¿Y si esa convocatoria inicial del equipo, esa sesión informativa inicial, el triaje -y aquí también usaremos un "como" o un "como"-, y si todo eso girara en torno a un perfil conocido, detallado y maduro que complementara la evaluación?

Bowman utiliza el motor de correlación de riesgos de Riskonnect como núcleo de este perfil de 360 grados para comprender los riesgos. Con su conocimiento detallado del impacto de un riesgo en toda su empresa, puede centrarse en la aplicación de controles y respuestas que desvinculen un evento de riesgo de los posibles eventos en cascada que podría desencadenar. La información sobre el evento de riesgo primario se utiliza directamente para disminuir la probabilidad de eventos conectados.

Más allá de la resiliencia: Fortaleza incremental a partir del estrés

Al hablar de un mundo post-COVID, los profesionales del riesgo y el cumplimiento están empezando a hablar más de la resistencia operativa. La resistencia es crucial, pero la conversación debe ir más allá de la rapidez y eficacia con que una organización puede volver al statu quo anterior. El debate debe extenderse a cómo puede construirse la organización -como Antaeus- para adquirir fuerza más allá de su estado inicial cada vez que es derribado.

El núcleo de cualquier programa de riesgo empresarial antifrágil es una disciplina de procedimiento y un compromiso con la agilidad, el análisis y el aprendizaje. Los programas de ERM no existen para ser un catálogo estático de Cosas que podrían pasar; existen para hacer que las organizaciones sean cada vez mejores para sobrevivir y prosperar.

Para saber más sobre el riesgo empresarial y cómo iniciar un programa de ERM, descargue nuestro libro electrónico, Trazando el rumbo de la gestión del riesgo empresarial.