El riesgo de no gestionar los riesgos

Por Julián Laski

Hace un par de años, me encontré ante el desafío de llevar a cabo la auditoría de una importante entidad pública latinoamericana. Cuando digo “importante”, me refiero al tamaño de la institución, su carácter estratégico y el volumen de sus operaciones, con una cantidad de recursos – financieros, humanos y tecnológicos – acordes a su envergadura.

Unos meses antes de comenzar las tareas, me sorprendí al leer un correo electrónico enviado por el área de Sistemas de la institución, donde se solicitaba que informe qué computadoras ingresarían a la entidad por parte del equipo auditor, especificando la marca, modelo y número de serie de los dispositivos. Debo admitir que, en ese momento, quedé impresionado: imaginé que, si me pedían esos datos con semejante anticipación, me encontraría con una entidad que tendría una estructura de control robusta, lo cual no es tan habitual en el sector público de la región.

Hasta que llegó el día: tuve mi primera reunión en la entidad, a la cual fui, claro está, con mi computadora – la misma que había declarado unos meses antes. Apenas llegué, me encontré con un puesto de seguridad en el cual un guardia me pidió que muestre la laptop con la cual estaba ingresando. “Qué bien, ahora, van a cotejar la información con la que indiqué hace unos meses”, pensé. Pero en ese momento me empecé a percatar de que, una vez más, no todo lo que reluce es oro: el empleado de seguridad comenzó a tomar nota de los datos de la computadora a mano en una planilla, donde en lugar de escribir el número de serie, anotó la licencia del sistema operativo, cuya etiqueta estaba pegada en la parte posterior de la laptop. “No importa, luego lo revisará e indagará acerca de la inconsistencia”, me dije… Pero no, eso jamás pasó. Y tampoco me solicitaron la computadora al salir. Ni al día siguiente: como el guardia me conocía, se limitó a preguntarme si traía la misma laptop que el día anterior, y como le dije que sí, en mis sucesivas entradas ya ni siquiera me consultó al respecto. Y, al no controlarme en la salida, nadie analizó la posibilidad de que estuviera llevándome algo mucho más valioso que una computadora (que bien podía ser la mía, u otra): la información de la institución.

Esta situación encendió mis señales de alarma – como todo auditor, soy escéptico por naturaleza – respecto del análisis de riesgos por parte de la entidad pública. Por ello, pedí hablar con el responsable del área de riesgos. La respuesta fue terminante: allí no había un jefe de riesgos, sino que era el gerente financiero quien se ocupaba de los seguros. Es decir, se asumía que la contratación de seguros era la única respuesta al riesgo posible. Casi resignado, me junté con el gerente financiero, y le pregunté por los seguros que tenían contratados. “Aquí invertimos más dinero en seguros todos los años, porque queremos estar tranquilos”, me dijo. Cuando le pregunté por el tipo de siniestros para los cuales tenían un seguro vigente, me di cuenta de que no abarcaban ni la mitad de los posibles eventos para los cuales se podía contratar una cobertura. El posterior resultado de la auditoría de los seguros fue lapidario, y casi le cuesta el puesto al gerente financiero, que estaba tan tranquilo por simplemente gastar dinero…

¿Alcanza el seguro como una respuesta al riesgo? No, claramente. ¿Es suficiente saber que se invierten muchos recursos en cobertura para dormir tranquilo? Menos aún. Una organización que gestiona sus riesgos de manera efectiva debe:

• Listar los posibles riesgos, financieros y no financieros, a los que se encuentra expuesta. Por ello, no suele ser aconsejable que sea un gerente financiero quien se responsabilice por la gestión de los riesgos. No existen riesgos inverosímiles ni eventos absolutamente inesperados; si no, pensemos en el atentado contra las Torres Gemelas, por caso.
• Valorar adecuadamente, mediante herramientas cualitativas y cuantitativas, la probabilidad y el impacto de los eventos que pudieran afectar la consecución de sus objetivos. ¡No todos los riesgos son igual de importantes! Para la entidad, tiene un impacto mucho mayor que alguien se lleve, por el medio que sea, una base de datos sin permiso, que la posibilidad de que un funcionario o visitante ingrese con una computadora y salga con otra.
• Diseñar e implementar respuestas al riesgo adecuadas, donde no sólo se contemple la cobertura mediante seguros, sino también la mitigación, la posibilidad de evitar el riesgo y, en algunos casos, incluso la necesidad de aceptar el riesgo. No podemos tomar medidas frente a todos los riesgos, pero debemos conocerlos y ser conscientes de los mismos. Si existe la posibilidad de que llueva, y nuestro objetivo es ir a ver un partido de fútbol de Atlanta, al aire libre, ¿qué podemos hacer, además de esperar que el cielo no se nuble?
• Verificar que las medidas adoptadas son eficaces, y monitorear la estrategia frente al riesgo. Un riesgo puede ser importante en un momento, y dejar de serlo después. Hace un tiempo atrás, el activo fijo era lo más importante para una organización; hoy, el conocimiento, y la información, son mucho más críticos, por lo cual las medidas frente al riesgo deben necesariamente ser revisadas de manera periódica.
• En el caso específico de los seguros, realizar una auditoría de los mismos, a fin de determinar si se cubren adecuadamente los siniestros y si la relación costo – beneficio del control es adecuada. ¿De qué sirve invertir dinero, si no se contemplan los eventos que pueden afectar a la institución de manera adecuada?

El día en que terminaba mi trabajo en la institución, al salir, fui a hablar con el guardia que me había recibido el primer día. Le pregunté por la famosa hoja donde había tomado nota de los datos de mi computadora y si bien al principio me miró con desconfianza, como ya habíamos entablado una relación cordial al saludarnos todos los días, finalmente me dijo que la guardaba, que estaba bien archivada, y que me la mostraría. Cuando le pregunté para qué había anotado los datos, me dijo algo muy simple: “yo sólo hago lo que el guardia que trabajaba antes que yo me dijo que tenía que hacer”…