Por Scott Fenstermaker

«Hidra, de cuyo único cuerpo brotaban cien cuellos, cada uno con cabeza de serpiente. Y cuando se le cortaba una cabeza, el lugar donde había sido cercenada producía otras dos; por esta razón se la consideraba invencible, y con razón, ya que la parte de ella que había sido sometida enviaba una doble ayuda en su lugar.»

-Diodoro Sículo, Biblioteca de la Historia 4. 11. 5 (trad. Oldfather) (historiador griego del siglo I a.C.)

Si finalmente te encuentras en Florencia, Italia, en la famosa Galería de los Uffizi, busca una obra maestra poco conocida: Hércules matando a Anteo, de Pollaiuolo, que representa el undécimo de los doce trabajos de Hércules: matar con sus propias manos al gigante Anteo, hijo de Poseidón y de la diosa de la tierra Gea. Lo que hacía a Anteo casi imposible de matar era que podía sacar fuerzas de la tierra, haciéndose más fuerte cada vez que era derribado. Por tanto, cualquier daño que le infligieran los adversarios hacía que Anteo fuera aún más difícil de derrotar. Hércules tuvo que sostener a Anteo completamente del suelo para acabar estrangulándolo. Un avance rápido de quinientos cincuenta años y Nassim Taleb acuña el término «antifrágil» para describir aquellos sistemas que no sólo resistían la volatilidad, sino que mejoraban positivamente con ella. En su libro Antifrágil: Cosas que ganan con el desorden, escribió

Algunas cosas se benefician de los choques; prosperan y crecen cuando se exponen a la volatilidad, la aleatoriedad, el desorden y los factores de estrés, y aman la aventura, el riesgo y la incertidumbre. Sin embargo, a pesar de la ubicuidad del fenómeno, no existe una palabra para designar exactamente lo contrario de frágil. Llamémosla antifrágil. La antifragilidad va más allá de la resiliencia o la robustez. Lo resiliente resiste los choques y permanece igual; lo antifrágil mejora. Esta propiedad está detrás de todo lo que ha cambiado con el tiempo: la evolución, la cultura, las ideas, las revoluciones, los sistemas políticos, la innovación tecnológica, el éxito cultural y económico, la supervivencia de las empresas, las buenas recetas (digamos, la sopa de pollo o el steak tartare con una gota de coñac), el surgimiento de las ciudades, las culturas, los sistemas jurídicos, los bosques ecuatoriales, la resistencia bacteriana… incluso nuestra propia existencia como especie en este planeta.

Al igual que los ejemplos de Taleb, las empresas de éxito y duraderas obtienen valor de la exposición a las tensiones del mercado. Las mejores empresas, como los organismos, se fortalecen a medida que superan las dificultades y compiten. Sin embargo, pocas empresas son antifrágiles. Las empresas caen en bancarrota todo el tiempo, incluso iconos probados en el tiempo como JC Penney y Sears. De hecho, toda la industria minorista, con sus márgenes tradicionalmente estrechos, resultó ser extremadamente frágil ante un factor de estrés socialmente perturbador como la pandemia de COVID-19. La fragilidad de la industria acabó concentrando el poder en manos de unos pocos gigantes, como Amazon y Walmart, que tienen las operaciones y el posicionamiento para demostrar antifragilidad. ¿Qué implicaciones tiene este concepto de antifragilidad para otras organizaciones, que emergen de una pandemia mundial y están en una búsqueda continua de resiliencia? ¿Existe una forma de construir programas de riesgo y cumplimiento que no sólo permitan a las organizaciones capear los acontecimientos extremos, sino que se fortalezcan directa y sistemáticamente de ellos? Recientemente, Bob Bowman, director de gestión de riesgos de The Wendy’s Company, se sentó con el equipo de Riskonnect para grabar un seminario web sobre cómo su equipo utilizó la tecnología ERM para gestionar los riesgos asociados a la pandemia COVID-19. Se puede acceder a la grabación a continuación:

Escucha más de Bob en nuestro reciente seminario web Risk@Work.

El análisis de Taleb propone varias dinámicas que pueden aumentar la antifragilidad en los sistemas complejos. He aquí tres de esas dinámicas, y cómo el programa ERM de Bowman demuestra estos principios.

número unoEnsayo y error frente a planificación descendente

Los sistemas antifrágiles aprovechan el ensayo y error sistemáticos. En la naturaleza, la selección natural elimina a los incapaces de adaptarse, confiriendo fuerza al permitir que se reproduzcan los supervivientes con éxito. En las empresas, los buenos departamentos de riesgo y cumplimiento tienen un liderazgo con visión, por supuesto. Los grandes departamentos de riesgo y cumplimiento también se resisten a caer en la trampa de dictar desde arriba en lugar de adaptarse desde abajo. Pueden ver los acontecimientos adversos no sólo como algo que hay que capear, sino como algo de lo que se puede aprender. Una de las funciones más importantes de un sistema de ERM, señala Bowman, es memorizar la dinámica de los sucesos de riesgo una vez que han pasado, capturando los impactos empresariales, las respuestas de control, las adaptaciones de procedimiento y cualquier otro dato relevante que pueda hacer más eficaces las respuestas futuras. Canalizar los comentarios de la experiencia hacia el programa es una forma de corregir los controles y mitigaciones insuficientes, afinando así el sistema para la próxima vez. Las organizaciones antifrágiles ponen en marcha mecanismos para imitar el ensayo y error de la selección natural. Captan sistemáticamente los aprendizajes de los acontecimientos adversos, los agregan, analizan su importancia y permiten que los hallazgos significativos informen sus hojas de ruta y estrategias.

número dosAdaptabilidad frente a confianza en la predicción acertada

Bowman habla en profundidad de la enorme cantidad de planificación previa y análisis del panorama de riesgos para informar su programa de ERM. Sin embargo, por mucha previsión que pongas en tu registro de riesgos, siempre habrá sucesos de riesgo que se manifiesten de forma distinta a como habías previsto. Tu preparación puede orientarte sobre el impacto en el negocio, la velocidad, etc., pero también debes adaptarte a los aspectos del acontecimiento que se manifiesten de forma distinta a como habías previsto. La pandemia COVID-19 es un buen ejemplo. Bowman señala: «Reconocimos muy rápidamente que este acontecimiento de riesgo podía exceder realmente la planificación razonable, o los esfuerzos razonables de mitigación, y que la respuesta podía ser más amplia o tener mayor profundidad de lo previsto originalmente.» Muchas empresas tienen pandemias registradas en sus sistemas de ERM, pero pocas -si es que alguna- imaginaron la escala de perturbación causada por el COVID-19. Un gestor de riesgos ágil reconoce que COVID-19 se parece a distintos aspectos de varios riesgos. La pandemia, por ejemplo, puede parecerse parcialmente a un riesgo de catástrofe natural en su capacidad para cerrar oficinas físicas y obligar a trabajar desde casa. También puede parecerse a los riesgos relacionados con las recesiones económicas, en su efecto sobre los proveedores externos. Podemos comprender mejor un acontecimiento de riesgo novedoso o sorprendente analizando otros riesgos que tengan cualidades similares, extrayendo un poco de éste y un poco de aquél para completar el cuadro.

número tresEventos de riesgo que conducen a menos eventos futuros (Correlación negativa de errores)

He aquí un problema matemático habitual de gestión de riesgos. Supongamos que tienes tres posibles eventos de riesgo 1) una penetración cibernética con éxito, con una probabilidad del 2% de que ocurra en el año; 2) una recesión económica, con una probabilidad del 5%; y 3) un pleito importante de un empleado, con una probabilidad del 3%. ¿Cuál es la probabilidad de que los tres sucesos ocurran al mismo tiempo? Si supones que los tres sucesos no están relacionados, multiplicarías 2% por 5% por 3%, llegando a un 0,003% de probabilidad de que los tres sucesos ocurran a la vez. En el mundo real, sin embargo, los acontecimientos rara vez están realmente desvinculados. Pueden estar correlacionados de formas sorprendentes. Supongamos que en el próximo año experimentas uno de los acontecimientos anteriores, una recesión económica. Puede que te sientas muy a salvo de los otros dos riesgos porque has hecho los cálculos y las probabilidades simultáneas son bastante pequeñas. Sin embargo, la recesión económica hace que tengas que despedir personal en varios departamentos, incluido el de TI. El departamento informático resultante, falto de personal y sobrecargado, empieza a retrasar ciertos parches de seguridad cruciales, lo que da lugar a una penetración cibernética. Mientras tanto, el empleado del departamento informático al que sólo despediste a causa de la crisis se siente injustamente perjudicado y te demanda por despido improcedente.

Un acontecimiento de riesgo aumentaba la probabilidad de que se produjeran los otros dos. Así es como funciona la vida. Lo contrario también puede ser cierto. En determinadas condiciones, la presencia de ciertos sucesos de riesgo puede hacer que otros sucesos tengan menos probabilidades de ocurrir. Taleb pone como ejemplo las averías de los aviones. Si un avión tiene una emergencia, los resultados son tan notorios y los protocolos de investigación tan estrictos que los vuelos se interrumpen inmediatamente, y las correcciones se propagan rápidamente, lo que hace que todo el sistema sea más seguro. El valor de la Gestión del Riesgo Empresarial consiste en comprender las repercusiones empresariales de los riesgos tan a fondo, que puedas hacer que tus controles y mitigaciones sean lo más eficaces posible. Bowman habla de ir más allá de las simples puntuaciones de evaluación de un determinado riesgo y desarrollar un perfil completo de las asociaciones, que incluya políticas, procedimientos, objetivos empresariales, indicadores, controles y terceros afectados:

¿Y si pudieras emparejar una evaluación de riesgos con un perfil? … Mientras convocamos rápidamente al equipo interfuncional de respuesta a incidentes, equipemos a cada uno de ellos, individual y colectivamente, con un cuerpo común de conocimientos relativos a este riesgo. ¿Y si pudiéramos hacerlo como resultado de un informe? ¿Y si esa reunión inicial del equipo, esa sesión informativa inicial, el triaje -y aquí también usaremos un «como» o un «como»-, y si todo eso girara en torno a un perfil conocido, detallado y maduro que complementara la evaluación?

Bowman utiliza el Motor de Correlación de Riesgos Riskonnect como núcleo de este perfil de 360 grados para comprender los riesgos. Con su conocimiento detallado del impacto de un riesgo en toda su empresa, puede centrarse en implantar controles y respuestas que desvinculen un suceso de riesgo de posibles sucesos en cascada que pudiera desencadenar. La información sobre el suceso de riesgo primario se utiliza directamente para disminuir la probabilidad de sucesos conectados.

Más allá de la resiliencia: Fortaleza incremental a partir del estrés

Al hablar de un mundo post-COVID, los profesionales del riesgo y el cumplimiento están empezando a hablar más de resiliencia operativa. La resistencia es crucial, pero la conversación debe ir más allá de la rapidez y eficacia con que una organización puede volver al statu quo anterior. La conversación debe extenderse a cómo puede construirse la organización -como Anteo- para adquirir fuerza más allá de su estado inicial cada vez que es derribada. El núcleo de cualquier programa de riesgos empresariales antifrágil es una disciplina de procedimiento y un compromiso con la agilidad, el análisis y el aprendizaje. Los programas de ERM no existen para ser un catálogo estático de Cosas que Podrían Ocurrir; existen para hacer que las organizaciones sean cada vez mejores a la hora de sobrevivir y prosperar.

Para saber más sobre el riesgo empresarial y cómo iniciar un programa de ERM, descarga nuestro libro electrónico, Trazar el rumbo de la gestión del riesgo empresarial.