La mayoría de los consejos de administración no gobiernan el riesgo: lo administran. Firman informes trimestrales, aprueban matrices de probabilidad e impacto coloreadas en verde, ámbar y rojo, y dan por cumplida su función de supervisión. Pero administrar el riesgo y gobernarlo son ejercicios distintos, y la diferencia entre ambos suele ser la línea que separa a las organizaciones que sobreviven a una disrupción estructural de las que sucumben ante ella.
El gobierno del riesgo no es una función dentro del organigrama. Es la arquitectura de decisión que determina quién tiene autoridad para asumir qué nivel de exposición, en nombre de qué objetivo estratégico, y con qué información disponible en el momento exacto en que la decisión se toma. Cuando esa arquitectura no existe (o existe solo en el papel), la organización no carece de riesgo: carece de claridad sobre quién lo está asumiendo y por qué.
El síntoma más común: el comité como ritual
La mayoría de las organizaciones medianas y grandes tienen, hoy, un comité de riesgos. Se reúne con la periodicidad que marca su reglamento interno, revisa un registro de riesgos heredado de auditorías anteriores, y produce actas que documentan que la reunión tuvo lugar. Pocas veces ese comité interviene en el momento en que realmente importa: antes de que se tome la decisión estratégica, no después de que el riesgo se haya materializado.
Esta es la trampa estructural más extendida que observamos en nuestro trabajo: el comité de riesgos opera en paralelo a la toma de decisiones, no integrado en ella. Revisa el pasado reciente (incidentes, near-misses, hallazgos de auditoría) en lugar de informar el futuro inmediato: la expansión a un nuevo mercado, la adquisición en curso, el cambio de proveedor crítico, la decisión de externalizar una función sensible. El riesgo se gestiona como un departamento de control de calidad al final de la cadena de producción, cuando su valor real está en intervenir en el diseño.
Apetito de riesgo: de documento de cumplimiento a instrumento estratégico
Casi todas las organizaciones que auditamos tienen una declaración de apetito de riesgo. Casi ninguna la utiliza para decidir nada. El documento existe porque un marco normativo o un estándar de buen gobierno lo exige, se redacta una vez, se revisa formalmente cada ejercicio, y rara vez se consulta en el momento en que un directivo se enfrenta a una decisión con exposición real.
Un apetito de riesgo bien diseñado no es una declaración de intenciones: es un instrumento operativo que un director de división puede invocar para justificar por qué rechaza una oportunidad de negocio que, sobre el papel, parece atractiva. Es, dicho de otro modo, una herramienta para decir que no con autoridad, y esa es, precisamente, la función que con más frecuencia falta en las organizaciones que hemos acompañado: la capacidad institucional de declinar una oportunidad sin que quien lo hace cargue con el coste reputacional de «haber frenado el crecimiento».
Lo que el buen gobierno del riesgo hace visible
Una arquitectura de gobierno del riesgo bien construida se reconoce, paradójicamente, por lo que la organización decide no hacer. No por el grosor de su matriz de riesgos ni por la frecuencia de sus comités, sino por la existencia de decisiones documentadas en las que la organización tuvo la oportunidad de asumir una exposición, contaba con la información para hacerlo, y eligió no hacerlo (con el respaldo formal de quien tenía la autoridad para tomar esa decisión).
Eso exige tres condiciones que rara vez coexisten: información de riesgo que llegue a quien decide antes de que decida, no después; líneas de autoridad explícitas sobre quién puede asumir qué nivel de exposición sin escalar; y una cultura en la que declinar una oportunidad se entienda como ejercicio de buen juicio, no como fallo de ambición comercial.
La pregunta que de verdad importa
Cuando trabajamos con un consejo o un comité ejecutivo, la pregunta que estructura nuestro diagnóstico inicial no es «¿qué riesgos tiene la organización?» (esa lista, en cualquier compañía con cierta complejidad, es prácticamente infinita y rara vez resulta útil). La pregunta es otra: ¿quién, en esta organización, tiene autoridad real para decir que no, y llega esa persona a tiempo a la conversación en la que la decisión todavía se puede cambiar?
La respuesta a esa pregunta (no el grosor del informe de riesgos trimestral) es el verdadero indicador de madurez en el gobierno del riesgo de una organización.
Reciba los próximos análisis
El contenido de Insights es abierto. Si quiere recibir los próximos análisis al publicarse, déjenos su correo — nada más.
Suscribirme →