Durante años, la gestión de riesgos fue tratada en las organizaciones brasileñas como una función de apoyo, un área técnica que producía informes que terminaban guardados en cajones y que aparecía en las reuniones de la dirección únicamente cuando algo ya había salido mal. El especialista en seguridad institucional y protección de autoridades, Ernesto Kenji Igarashi, observó de cerca las consecuencias de esta marginación: organizaciones que descubrieron demasiado tarde que sus mayores riesgos no eran los que figuraban en sus mapas, simplemente porque nadie había pensado en hacer las preguntas correctas.
El escenario ha cambiado. No por completo, pero sí lo suficiente para que la gestión de riesgos comience a ocupar el lugar que siempre debió tener: dentro de las conversaciones estratégicas más importantes de una organización, antes de las decisiones y no después de las consecuencias.
¿Qué significa integrar la gestión de riesgos a la estrategia organizacional?
Integrar la gestión de riesgos a la estrategia no significa crear un departamento de riesgos con un asiento en las reuniones del consejo de administración. Significa que cada decisión estratégica relevante, ya sea una expansión geográfica, el lanzamiento de un producto, una fusión o adquisición, un cambio de liderazgo o la entrada en un nuevo mercado, debe pasar por un análisis de riesgos que aporte información antes de que la decisión sea tomada.
Ernesto Kenji Igarashi comprende este proceso a partir de su experiencia en entornos donde las consecuencias de ignorar los riesgos eran inmediatas y graves. En las operaciones de seguridad de alto nivel, el análisis de riesgos no es opcional. Es la base de cualquier planificación que pretenda funcionar en la realidad.
En el entorno corporativo, la lógica es exactamente la misma. La diferencia es que las consecuencias suelen manifestarse más lentamente, lo que crea la ilusión de que es posible actuar sin un análisis de riesgos y aun así obtener buenos resultados. Esa ilusión persiste hasta que un riesgo ignorado se transforma en una crisis.
¿Cuáles son los riesgos que las organizaciones brasileñas más subestiman?
Ernesto Kenji Igarashi identifica tres categorías de riesgo que son sistemáticamente subestimadas por las organizaciones brasileñas. La primera es el riesgo humano interno: empleados con acceso a información sensible, procesos de desvinculación mal gestionados y conflictos internos que terminan trascendiendo al entorno externo. La segunda es el riesgo reputacional derivado de fallos operativos que se hacen públicos antes de ser gestionados internamente. La tercera es el riesgo de concentración: una dependencia excesiva de una persona clave, de un único proveedor crítico o de un solo canal de operación.
Estos tres factores aparecen repetidamente en los análisis de crisis de organizaciones que no los identificaron de manera preventiva. No porque sean impredecibles, sino todo lo contrario: son altamente previsibles. Sin embargo, exigen una disposición para mirar hacia el interior de la organización que muchas empresas todavía se resisten a desarrollar.
¿Cómo construir un mapa de riesgos que realmente oriente las decisiones?
Un mapa de riesgos eficaz no es simplemente una lista de posibles eventos negativos. Es una estructura dinámica que relaciona amenazas, vulnerabilidades, probabilidades e impactos de manera que cualquier directivo pueda identificar rápidamente cuáles son los riesgos que requieren atención prioritaria.
Ernesto Kenji Igarashi trabaja con mapas de riesgos que combinan análisis cuantitativos, cuando los datos lo permiten, con análisis cualitativos basados en la experiencia de profesionales que conocen el sector y el entorno operativo de la organización. Esta combinación produce resultados más ricos que cualquier enfoque puramente metodológico, ya que incorpora el conocimiento tácito que los modelos matemáticos no pueden captar.
El mapa debe revisarse periódicamente. Un riesgo que tenía baja probabilidad hace seis meses puede tener una alta probabilidad hoy si el entorno ha cambiado. Del mismo modo, un riesgo que parecía tener un gran impacto puede haber sido mitigado mediante una modificación operativa. Un mapa que no evoluciona junto con estos cambios pierde rápidamente su validez.
Gestión de riesgos y toma de decisiones bajo incertidumbre
En condiciones de alta incertidumbre, la tendencia humana suele ser paralizarse mientras se espera más información o actuar impulsivamente para eliminar la incomodidad de la indefinición. Ninguna de estas respuestas es adecuada en contextos de gestión de riesgos complejos.
A lo largo de su trayectoria en operaciones sensibles, Ernesto Kenji Igarashi desarrolló la capacidad de tomar decisiones equilibradas en escenarios inciertos: decidir con la información disponible, sin esperar una certeza que nunca llega, pero sin renunciar al análisis mínimo necesario para fundamentar la decisión.
Este equilibrio entre agilidad en la toma de decisiones y rigor analítico es una de las competencias más escasas y valiosas tanto en la seguridad institucional como en la gestión corporativa. Y es precisamente el tipo de habilidad que distingue a los líderes que funcionan bajo presión de aquellos que solo obtienen buenos resultados cuando todo es previsible.
Riesgo residual: ¿qué hacer con aquello que no puede eliminarse?
Ninguna organización puede eliminar todos sus riesgos. Ni siquiera debería intentarlo, ya que el costo de eliminar por completo ciertos riesgos sería superior al impacto esperado del propio riesgo. La gestión de riesgos madura reconoce este límite y trabaja con el concepto de riesgo residual: el nivel de riesgo que permanece después de que se han aplicado todas las medidas de mitigación viables.
Ernesto Kenji Igarashi entiende que la decisión sobre qué nivel de riesgo residual es aceptable constituye una decisión estratégica y no técnica. Corresponde al liderazgo de la organización determinar hasta dónde llega su tolerancia al riesgo, tomando en cuenta los objetivos estratégicos, los recursos disponibles y las posibles consecuencias de cada escenario. El papel del especialista en seguridad consiste en proporcionar la información necesaria para esa decisión con claridad y precisión, no en sustituir el criterio de quienes lideran la organización.
Autor: Diego Rodríguez Velázquez
