Que una adecuada gestión de riesgos empresariales es una de las principales funciones de los órganos de administración de las sociedades mercantiles es un convencimiento que cada vez se extiende a más categorías de empresas. En el pasado las empresas eran puro emprendimiento, esto es, el resultado del impulso de un emprendedor o un grupo de emprendedores que ponían en marcha una acción de producción o de servicios y se lanzaban a comercializarlos, a estructurar su prestación o fabricación y a cumplir con los clientes procurando el mejor retorno posible.
Las incidencias que surgían en el camino eran eso, incidencias que había que solucionar, y las crisis se convertían en terribles retos que hacían caer muchos proyectos. Con el tiempo se fue valorando la conveniencia de prever esas posibles incidencias e incluso esas posibles crisis. Al principio la previsión de incidencias no nacía de la actitud consciente de un empresario en la preparación de soluciones, sino de la acción comercial de terceros, compañías aseguradoras generalmente, que advertían que tenían una forma de asegurar contra un determinado riesgo, desde el básico seguro de incendio, hasta, con el tiempo, aspectos más complejos como los seguros de impago.
La convicción de que los riesgos afectaban al futuro de la empresa llevó al desarrollo de técnicas de gestión orientadas precisamente a la gestión de riesgos. Estas técnicas empezaron a madurar en las grandes empresas y, poco a poco, por el camino de la profesionalización de los equipos directivos, se ha ido extendiendo a cada vez más empresas con independencia de su tamaño.
Lógicamente las pequeñas y medianas empresas no pueden tener ni los equipos ni los medios ni los recursos tecnológicos, ni tan siquiera el “tiempo” de mano de obra intelectual que puedan tener las grandes empresas. Pero hay formas y métodos para que cualquier empresa, incluso para que cualquier empresario individual, gestione sus riesgos. Los modelos de las grandes empresas son modelos maduros, con sólidas estadísticas, con herramientas de prevención y de cálculo. Pensemos que en la banca, esos modelos de gestión de riesgo llegan a determinar incluso el grado de capitalización que necesitan tener. Pero las pequeñas y medianas empresas no necesitan tanto y, por poco que hagan, aportan mucho valor a su gestión.
El Código de Buen Gobierno para las empresas cotizadas publicado por la CNMV en su Recomendación 45 define cómo debería ser la gestión de riesgos:
"
Que la política de control y gestión de riesgos identifique al menos:"
- Los distintos tipos de riesgo, financieros y no financieros (entre otros los operativos, tecnológicos, legales, sociales, medio ambientales, políticos y reputacionales) a los que se enfrenta la sociedad, incluyendo entre los financieros o económicos, los pasivos contingentes y otros riesgos fuera de balance.
- La fijación del nivel de riesgo que la sociedad considere aceptable.
- Las medidas previstas para mitigar el impacto de los riesgos identificados, en caso de que llegaran a materializarse.
- Los sistemas de información y control interno que se utilizarán para controlar y gestionar los citados riesgos, incluidos los pasivos contingentes o riesgos fuera de balance.
Esto en las grandes empresas se puede hacer con un gran nivel de precisión. Pero en las pequeñas empresas también se puede hacer. ¿No puede el empresario incluso individual dedicar un día, junto con su equipo de colaboradores a pensar en los riesgos que la empresa corre y hacer una lista de los mismos?: Riesgos operativos, riesgos financieros, riesgos sancionadores o legales, riesgos reputacionales, riesgos de producto, etc.
Si lo hiciese poco le costaría además hacer una valoración intuitiva del nivel de riesgo. Y éste se mide en dos parámetros: el grado de probabilidad de que llegue a suceder (algo que las grandes empresas miden accediendo a datos estadísticos del sector y datos históricos propios; pero que el empresario individual puede valorar de forma intuitiva, que siempre será mejor que nada) y el grado de intensidad del riesgo, esto es, si sucede qué gravedad tendrían las consecuencias para la empresa.
Y con el cuadro resultante la decisión: qué riesgos puedo cubrir trasladándolos a terceros (asegurándolos o subcontratando y externalizando los procesos afectados), qué riesgos asumo con todas las consecuencias porque creo que puedo soportarlos, y qué riesgos debo empezar a gestionar para intentar evitarlos con medidas que estén a mi alcance.
¿Y qué pasa con riesgos catastróficos como el COVID? Pocas empresas se preparan para los riesgos catastróficos, aunque algunas lo hacen. Si de algo alecciona el COVID es de la falta de previsión de riesgos de este tipo por la inmensa mayoría de las empresas. Sus consecuencias pueden ser devastadoras. Pero lo cierto es que este tipo de riesgos se convierte en una cascada de riesgos diversos que se ponen en marcha todos a la vez: proveedores que caen, mercados que se cierran, riesgos sanitarios de trabajadores, impagos, etc. etc., Si un riesgo como el COVID es difícil de prever y mucho más difícil de prepararse contra él , esto no quita para que una adecuada gestión de riesgos podría librar a las empresas de una buena parte de las consecuencias de los riesgos en cascada que produce una crisis así, otorgando un poco de oxígeno para intentar superarla mejor.
En SENEX CONSEJOS DE BUEN GOBIERNO pretendemos ayudar a empresas de todo tipo a incorporar metodología de gestión de riesgos, adecuada al tamaño de cada empresa, a su capacidad de gestión y a los recursos de los que pueda disponer.