La NASA ha realizado recientemente una simulación del peor escenario posible, demostrando lo que ocurriría si un asteroide gigante se estrellara contra la ciudad de Nueva York. Aunque es altamente improbable, la NASA quería que el asunto se expusiera y se planificara, dado que las catástrofes naturales son una de las mayores amenazas para nuestra civilización. La simulación puede parecer injustificada dada la escasa probabilidad de un ataque, pero que algo sea improbable no significa que no conlleve enormes consecuencias. Puesto que los asteroides son las únicas amenazas naturales que realmente pueden prevenirse -existen medios técnicos para desviarlos antes de que lleguen a la Tierra-, ¿por qué no íbamos a tomar medidas para proteger el planeta de un ataque? El llamamiento de la NASA a una planificación proactiva del riesgo debería animar a las organizaciones a gestionar el riesgo empresarial de la misma manera.

 

Los sucesos de riesgo tienen muchas formas y tamaños.

El riesgo adopta formas muy diversas: financiero, operativo, estratégico, tecnológico, de personal y más. Y aunque tener una bola de cristal es el sueño de todo gestor de riesgos, las organizaciones nunca saben qué tipo de suceso de riesgo va a ocurrir y cuándo. Por eso es importante planificar proactivamente todos los acontecimientos potenciales, especialmente los que podrían causar graves daños, aunque parezcan improbables. A menudo son estos sucesos los que más daño hacen. Los atentados terroristas, los asteroides y los tsunamis son ejemplos de escenarios de baja probabilidad y altas consecuencias: sucesos de riesgo que son inesperados pero que, cuando ocurren, el impacto es extremo. Aparte de las preocupaciones sociales, los costes de tales sucesos pueden ser significativos, razón por la cual deben priorizarse como parte de un plan holístico y proactivo de mitigación de riesgos. Para ponerlo en perspectiva, sólo los cinco atentados terroristas que sufrió el Reino Unido en 2017 costaron a la economía británica 3.500 millones de euros. Los sucesos de baja probabilidad y altas consecuencias son difíciles de planificar porque es intrínsecamente difícil para las organizaciones determinar de antemano los efectos en cascada de sucesos desconocidos tan grandes, y aún más difícil imaginar el impacto humano real del suceso de forma que se puedan definir los pasos y procedimientos siguientes. El papel de la organización tras un suceso de alto riesgo de consecuencias depende de su proximidad a la situación: si se encuentra lejos, es difícil apoyar el triaje, la evacuación y la reparación. Si está cerca, esas cosas son mucho más fáciles de apoyar. Sin embargo, la ubicación sólo puede revelarse una vez que se produce el suceso. Por eso la mayoría de las organizaciones suelen estar más preparadas para las bajas por sucesos de riesgo que afectan a sus propias operaciones, como las interrupciones de las fuentes de energía o suministro, o tener que dejar fuera de servicio una instalación. Éstos son los aspectos que las organizaciones pueden contemplar, modelar, planificar y a los que pueden responder, independientemente de cosas que escapan a su control, como la duración o la ubicación de un suceso. También es imposible identificar todas las fuentes y causas potenciales de sucesos de consecuencias graves y prepararse para cada una de ellas. Por ejemplo, si una empresa de servicios públicos intentara conceptualizar todo y cualquier cosa que pudiera causar un corte de electricidad a gran escala, sería difícil definir todos los pasos y resultados para prepararse para cada posible tipo de amenaza única. Es mucho más fácil crear un plan para gestionar el impacto de un suceso, como saber qué hacer cuando se va la luz, independientemente de lo que lo haya causado. Se trata de un requisito básico para una buena gestión de riesgos que contribuye en gran medida a estar preparado para todo tipo de riesgos.

 

Las organizaciones no son impotentes ante un riesgo «del nivel de un asteroide».

Los enfoques de gestión integrada de riesgos (IRM) pueden ayudar a las empresas a gestionar y planificar mejor incluso los sucesos de riesgo más improbables, aunque perjudiciales. Esto se debe a que una estrategia integrada proporciona una visión holística de todos los tipos de riesgo -financiero, de reputación, estratégico, tecnológico, de personal, etc.- que permite a las organizaciones ver el panorama completo, incluido dónde podría producirse cada amenaza potencial y el impacto de ese riesgo en el resto de la organización. Esta visión completa es increíblemente difícil de conceptualizar con las herramientas dispares, la información estática y las partes interesadas aisladas típicas de los enfoques tradicionales de gestión de riesgos. Específico para sucesos de baja probabilidad y altas consecuencias, el IRM ayuda a los gestores de riesgos a no sentirse impotentes ante las dificultades inherentes a la gestión de tales situaciones, permitiendo una mejor planificación y comprensión del análisis del impacto, la planificación de la continuidad y la definición de procedimientos, y las simulaciones y ejercicios de prueba. Esto prepara a la empresa y al equipo para una navegación lo más tranquila posible tras un suceso de grandes consecuencias, porque todos comprenden la mejor forma de abordar y gestionar el riesgo en lo que respecta a la empresa, y sus cursos de acción individuales. Aunque el ataque de un asteroide no esté en el futuro de tu empresa, es importante saber cómo hacer frente a otros sucesos de consecuencias graves, ya que los riesgos de este nivel rara vez se producen con tiempo de antelación. Aprende cómo la gestión integrada de riesgos puede ayudar a tu empresa a prepararse para sucesos de riesgo de todos los tamaños.