Una buena cultura del riesgo debe recompensar a los responsables de la toma de decisiones en todos los niveles jerárquicos y permitirles asumir los riesgos adecuados estando lo mejor informados posible . Los siguientes criterios permiten reconocer el éxito de una cultura del riesgo:

  • Cultura de liderazgo: señales claras y coherentes de los líderes sobre los riesgos que hay que aceptar y los que hay que evitar.
  • Responsabilidad de los empleados: reconocer que la gestión de riesgos no se limita a marcar casillas de una vez por todas, sino que es un trabajo continuo, con procesos y responsabilidades bien definidos.
  • Comunicación abierta y diálogo crítico: Todos los miembros de la organización tienen acceso a información transparente y actualizada sobre los riesgos. Incluso los malos riesgos (en el sentido de posibles pérdidas económicas) se comunican rápida y abiertamente, sin temor a posibles consecuencias negativas. Se anima a los empleados de todos los niveles a comunicar incidentes, cuasi accidentes y actividades sospechosas para aprender de ellos.
  • Estructuras de incentivos adecuadas: se recompensa y fomenta el comportamiento adecuado consciente de los riesgos y, por el contrario, se cuestiona y sanciona el comportamiento inadecuado.
  • Se hace todo lo posible para comprender plenamente las consecuencias de un riesgo sobre la consecución de los objetivos (y ello antes de decidir la acción adecuada).
  • El papel del gestor de riesgos está bien establecido en la estructura de la empresa: su trabajo se valora en su justo valor, se le proporcionan los recursos adecuados (empleados, capacidades, medios financieros) y recibe el apoyo de la dirección de la empresa.
  • Una cultura del riesgo requiere una cultura de empresa que valore la diversidad de opiniones y puntos de vista, que no se base en el statu quo y que se esfuerce continuamente por mejorar las cosas.

¿Qué significa exactamente cultura del riesgo?

Al igual que la cultura corporativa, la cultura del riesgo es difícil de definir porque la propia definición contiene conceptos abstractos como valores, normas y enfoques. Aun así, permíteme intentarlo dando la definición del Comité de Supervisión Bancaria de Basilea (BCBS):

«La Cultura del Riesgo es el conjunto de normas, planteamientos y comportamientos de una empresa en relación con la conciencia del riesgo, la propensión al riesgo y la gestión del riesgo. La cultura del riesgo influye en las decisiones de la dirección y los empleados en su trabajo diario y tiene consecuencias sobre los riesgos que asumen.»

Toda organización (independientemente de su forma jurídica y tamaño) tiene una cultura empresarial y una cultura del riesgo. La cuestión decisiva es si esta cultura es más bien positiva o más bien negativa para el éxito a largo plazo de la empresa. Por tanto, la cultura del riesgo sería como una placa de Petri que promueve el desarrollo de una buena actitud hacia el riesgo.

¿Por qué es tan importante la cultura del riesgo?

Para alcanzar sus objetivos, toda empresa debe asumir ciertos riesgos. La cultura del riesgo de una empresa influye decisivamente en el éxito o el fracaso de su gestión del riesgo, así como en la capacidad de decisión y el rendimiento de la empresa. Las empresas con una cultura de riesgo inadecuada animan involuntariamente a sus empleados a asumir riesgos más allá de los límites de tolerancia, las pautas de comportamiento definidas y las políticas. Y lo que es peor: ¡los riesgos inaceptables que asumen determinados colaboradores o grupos a menudo pasan desapercibidos (o no interesan a nadie)! En los casos más graves, esto se traduce en graves perjuicios económicos y/o daños a la reputación de la empresa.

¿Cuál es el papel de la dirección y el del gestor de riesgos?

Desarrollar y fomentar una cultura del riesgo adecuada y sostenible es, ante todo, función de la dirección de cualquier empresa. Una parte integrante de esta cultura del riesgo es el «apetito de riesgo» definido individualmente por la dirección como parte de la estrategia de gestión del riesgo. Este apetito permite asumir y gestionar los riesgos dentro de la capacidad de asumirlos, con vistas a alcanzar los objetivos estratégicos. Por tanto, corresponde a la dirección aplicar un enfoque descendente a la comunicación de la cultura del riesgo y asegurarse de que ésta coincide continuamente con los objetivos estratégicos de la empresa. La cultura de liderazgo antes mencionada, es decir, la posición de la propia dirección, desempeña un papel decisivo. La dirección de la empresa debería plantearse las siguientes preguntas

  • ¿Cómo es actualmente nuestra cultura del riesgo y cómo podemos mejorar la gestión del riesgo dentro de esa cultura?
  • ¿Qué queremos cambiar en nuestra cultura del riesgo? ¿En qué dirección queremos ir?
  • ¿Qué debemos hacer para conseguirlo? ¿Qué aspecto tiene nuestra hoja de ruta? ¿A quién o qué necesitamos?

Entre los gestores de riesgos aún no hay consenso sobre la mejor forma de ayudar a la dirección de la empresa a responder a estas preguntas. Pero organizaciones como el Instituto de Gestión de Riesgos (IRM) creen que los gestores de riesgos, como agentes del cambio, pueden contribuir en gran medida a mejorar la cultura y la gestión del riesgo dentro de una organización. cultura empresarial existente.

Si no puedes medirlo, no puedes gestionarlo

La reorientación de la cultura del riesgo es un proyecto de gestión del cambio que no debe subestimarse y cuyo progreso y grado de consecución de objetivos debe -como cualquier otro proyecto- supervisarse periódicamente. Junto a la definición de procesos y responsabilidades, una herramienta informática centralizada y fácil de usar desempeña un papel decisivo. Según el lema «Si no puedes medirlo, no puedes gestionarlo», atribuido al famoso consultor de gestión Peter Drucker, una plataforma centralizada de gestión de riesgos crea la base para una captura, evaluación y seguimiento eficaces, estructurados y permanentes de los riesgos relevantes de la empresa. Además, es una plataforma de comunicación a través de la cual los responsables de riesgos, los gestores de riesgos y otras partes interesadas pueden -independientemente de la ubicación y el momento- informarse sobre los riesgos, las acciones y las tareas e intercambiar información sobre las mejores prácticas y las lecciones aprendidas.