«Cuál es la diferencia entre un riesgo y una oportunidad?»
… fue la pregunta que me hizo el representante de una empresa hace unos días, en mitad de una auditoría.
A priori y pensando únicamente en términos de consecuencias, la diferencia entre un riesgo y una oportunidad parece evidente. Riesgo y oportunidad son conceptos muy distintos, casi opuestos: riesgo es una situación que puede conducir a un daño1; una oportunidad puede conducir a una situación de ventaja.
Más allá de esta consideración general, la pregunta era totalmente pertinente en el contexto en el que nos encontrábamos: para una organización, el pensamiento basado en riesgos (y oportunidades) es un requisito de los principales standards de gestión (calidad ISO 9001, medio ambiental ISO 14001, seguridad y salud ISO 45001)
Sin embargo, el análisis profundo de riesgos y oportunidades en una organización va más allá de un mero requisito que se cumple con la implementación de procedimientos o instrucciones técnicas según la norma correspondiente. La diferencia entre ambos conceptos se encuentra en los valores primarios de la organización, en sus fundamentos, en su forma de afrontar su desempeño y desarrollarse dentro de su sector. O dicho de otra forma, los valores, fundamentos y formas de afrontar la vida son la variable principal para considerar una situación dada como un riesgo o una oportunidad.
Más que el concepto genérico de riesgo vs oportunidad o incluso el requisito del pensamiento basado en riesgos y oportunidades de los standards de gestión que auditábamos, la duda del responsable de la empresa estaba más sobre cuál era la actitud de su organización frente a los riesgos y oportunidades y, en consecuencia, sobre sus valores, fundamentos y planteamientos.
Tres tipos de organizaciones
Existen empresas y organizaciones en los niveles de análisis de riesgos y oportunidades mencionados.
Hay organizaciones que consideran las situaciones de riesgo u oportunidad como una consecuencia dada externamente, sobre las que no pueden influir y cuya actitud es pasiva, reactiva y poco analítica. Estas organizaciones simplemente se consideran expuestas a eventos que alteran su status quo. A falta de un análisis de las situaciones, los eventos son normalmente vistos como una amenaza, un riesgo.
De este tipo de organización cada vez quedan menos por una razón simple: pensando únicamente en términos de riesgo y actuando de forma pasiva y reactiva2, están cerrando las puertas al descubrimiento de oportunidades que pudieran posicionar bien a la empresa y, en el largo término, amenazando la sostenibilidad de la empresa.
En contraste con esta posición cada vez más minoritaria, la realidad es que la mayoría de organizaciones comprenden que se desenvuelven en un contexto que les influye pero sobre el que también pueden influir. Son empresas que, por medio de un sistema de gestión estandarizado (e.g. ISO 9001, ISO 14001, ISO 45001) o sin él, analizan los factores internos y externos y su relación con las partes interesadas3 y reaccionan de una forma u otra.
Dentro de este grupo hay organizaciones (bastantes) que realizan análisis y acciones de mínimos, motivados principalmente por el cumplimiento con requisitos establecidos. Es el típico caso de los requisitos de una norma convertidos en un fin en sí mismo («lo hacemos porque dice la norma que hay que hacerlo»). Cuando se actúa a la baja, para cubrir el expediente, las acciones resultantes son más estéticas que efectivas. En el caso del análisis de riesgos y oportunidades, esto se traduce en que las organizaciones tendrán un set de riesgos y oportunidades «de manual» y un «catálogo» de acciones para abordarlos superfluo y de poca profundidad.
Formalmente puede que se cumpla con la norma y que la organización supere una auditoría, pero el análisis de riesgos y oportunidades es ficticio y de valor limitado. Una evidencia de este enfoque reactivo-preventivo2 surge cuando a estas organizaciones se les proponen análisis o acciones fuera de los contemplados en los manuales o catálogos establecidos, caso en el cual la respuesta puede ser de considerar la situación planteada como un riesgo por defecto, sin un análisis profundo, acercándose más a la actitud defensiva del primer caso.
Sin embargo, cada vez hay más empresas que afrontan las situaciones de una forma totalmente proactiva2, integrando el análisis de situaciones dadas en la gestión del día a día, desde el más alto nivel de la organización. Llegar a este nivel de pensamiento en una organización resulta remarcable, ya que demuestra auténtico pensamiento analítico y crítico y las empresas que lo alcanzan suelen tener recompensa en términos de ventajas competitivas.
Estas organizaciones dan pleno sentido al concepto de «abordar riesgos y oportunidades», que se materializan más en oportunidades que en amenazas, por la propia actitud proactiva y de constante búsqueda de la mejora. No lo hacen por cumplir con los requisitos de una norma (que los cumplen de sobras), lo hacen porque está en su ADN.
Mi respuesta a la pregunta de mi colega en la auditoría fue que la diferencia entre un riesgo y oportunidad dependía en gran medida de la posición de la propia empresa frente a las situaciones que le van surgiendo. Que hay situaciones que son de amenaza evidente y que sólo pueden ser abordadas como un riesgo, pero que había otras muchas -la mayoría, creo- que deben explotarlas como una oportunidad.