Tom Ivell, Partner en Oliver Wyman /Brink News
Herramientas como el análisis de datos y la personalización del producto han comenzado a generar una amplia gama de oportunidades de negocio emocionantes, que van desde el asesoramiento de los clientes impulsado por robots hasta las cuentas de ahorro inteligentes. Pero estos servicios traen consigo riesgos adicionales.
Las empresas que desean aprovechar al máximo estas nuevas herramientas y productos necesitan un enfoque nuevo para la gestión de riesgos, uno que se adapte a productos de alta tecnología desarrollados de forma no familiar por personas innovadoras. Esto significa otorgar a los administradores de riesgos un mandato más amplio, a fin de garantizar que la empresa no obstaculice la búsqueda de propuestas innovadoras, ni comprometa su seguridad.
Los enfoques tradicionales de gestión de riesgos tienden a consistir en una decisión de “sí o no” en ciertos momentos, o en la revisión periódica de un proceso de negocio estable. Un cambio de IT o un nuevo producto, por ejemplo, está sujeto a una aprobación previa al lanzamiento, y las inquietudes que se identifican en este punto se traducen en controles de riesgo adicionales. Pero antes y después de este proceso de aprobación, los gestores de riesgos tienen un compromiso limitado.
En una era de innovación, este enfoque está destinado a fallar. El desarrollo ágil puede significar que las proposiciones nunca se terminan del todo, sino que están en un estado constante de desarrollo, lo que hace que el compromiso de un punto en el tiempo sea impráctico. Además, los procesos de innovación a menudo están separados del negocio tradicional, ya que las empresas aíslan los equipos de desarrollo para permitirles adoptar métodos de trabajo ágiles. Esto puede dificultar la participación de los gestores de riesgos.
Finalmente, cuando las empresas son demasiado lentas en su desarrollo, en su lugar importan la innovación desde el exterior. Esto genera otros desafíos, ya que estas fuentes son a menudo nuevas empresas que solo gradualmente, si acaso alguna, cumplirán con los estándares corporativos establecidos, dejando una larga lista de excepciones a la política corporativa.
La innovación, por lo tanto, significa cambios dramáticos en las formas en que las instituciones deben gestionar el riesgo. Creemos que, primero, deben establecer un apetito institucional explícito por el riesgo de innovación; después, deben comprometerse continuamente.
Apetito de riesgo de innovación
Los gestores de riesgos deberían trabajar con la alta gerencia para codificar una declaración explícita de apetito por el riesgo en relación con la innovación. Esto debería abordar preguntas importantes como: ¿Qué riesgos son negociables y dónde necesitamos dibujar líneas rojas? ¿Dónde somos un primer motor en nuestra industria y donde un seguidor? ¿Dónde asumimos riesgos, qué formas de reembolso son aceptables y cómo se rastrean? ¿El costo de la gestión de riesgos para un producto en particular se refleja en su caso de negocio?
Algunas respuestas son claras: los delitos financieros, por ejemplo, deben estar al otro lado de la línea roja. Pero en muchas otras áreas, los riesgos deben sopesarse contra los rendimientos potenciales. Cuando las empresas crean un nuevo mercado para un segmento mal atendido (piense en los servicios de nómina para los trabajos temporales como un ejemplo reciente), ¿sería aceptable inicialmente un cierto nivel de fraude, mientras se desarrolla el mercado?
En otros casos, las empresas pueden necesitar seguir a la competencia solo para defender una base de clientes existente. Al principio, muchos bancos se abstuvieron de introducir carteras móviles como Apple Pay, ya que el riesgo adicional parecía superar los beneficios probables. Pero los lanzaron después de que un número crítico de competidores avanzó, demostrando un enfoque diferenciado, si no explícito, para sopesar los riesgos y beneficios.
Nuevos controles para nuevos riesgos
Las proposiciones digitales cambiarán fundamentalmente el perfil de riesgo de una empresa. Los riesgos relacionados con la tecnología, desde la resiliencia hasta los riesgos cibernéticos, pueden aumentar a medida que se depende mucho de la infraestructura técnica y se disuelven las alternativas manuales anteriores. El fraude puede aumentar si no se controla cuidadosamente, como se ha observado en las etapas iniciales de muchas proposiciones digitales.
Al mismo tiempo, una menor interacción humana, tanto interna como con los clientes, puede reducir los riesgos relacionados con el mal comportamiento, como la malversación o la venta indebida. Algunos riesgos pueden transformarse en nuevas formas. Para abordar el riesgo de que un cliente termine con un producto inadecuado, su viaje debe ser evaluado en su totalidad, incluidas las puertas de salida para cuando no hay un producto adecuado para un cliente en particular. Esto forma parte de la disciplina emergente de la conducta digital.
Compromiso continuo
Los gestores de riesgos deben contribuir al desarrollo innovador a través de la identificación de riesgos, el análisis y las recomendaciones de control, y deben hacerlo de manera consistente y continua. Para garantizar que los controles de riesgo estén totalmente integrados en las propuestas resultantes, los administradores de riesgos deben participar en las etapas de desarrollo, prueba, validación e implementación independientes, así como una revisión periódica.
Hay varios conductores que hacen que el compromiso continuo sea una necesidad:
Los laboratorios de innovación y las nuevas empresas tecnológicas de hoy operan a través de ciclos de sprints de diseño. Para que la gestión de riesgos sea efectiva, debe estar profundamente arraigada en el diseño durante todo el proceso de desarrollo, idealmente desde el principio.
A medida que los procesos de negocios se digitalizan, la intervención manual se vuelve menos deseable y los controles de riesgo deben convertirse cada vez más en una parte integral del diseño del producto.
Los reguladores y los legisladores están haciendo eco cada vez más de estas demandas. El Reglamento General de Protección de Datos de la Unión Europea, por ejemplo, consagra la "Privacidad por diseño" como uno de sus principios fundamentales.
Una vez que se hayan lanzado los productos digitales, es probable que sigan existiendo excepciones a los estándares corporativos habituales. Por ejemplo, una empresa de inicio que proporciona análisis de clientes puede no tener las certificaciones de riesgo cibernético requeridas. El rol de la administración de riesgos tendrá que extenderse más allá de la etapa de aprobación para garantizar que las excepciones finalmente se cierren para proteger la infraestructura crítica de la empresa y los datos de sus clientes. Las empresas deben poder iterar rápidamente sin sacrificar los estándares corporativos que son la base de la confianza de sus clientes.
Haciendo la transición
La innovación digital podría generar nuevos riesgos que solo se harán evidentes a lo largo del tiempo y que no se ajusten a taxonomías establecidas, como el riesgo de crédito y cumplimiento, por lo que la gestión del riesgo de innovación requerirá un cambio profundo para las funciones de riesgo de una empresa. Se requerirán nuevas herramientas y procesos.
La gestión de riesgos también necesitará un mandato más amplio para reflejar puntos de intervención anteriores y posteriores. Los gestores de riesgos necesitarán las habilidades adecuadas para este modelo de compromiso, y la organización deberá apoyar los métodos de trabajo ágiles.
Las funciones de riesgo en muchas empresas están comenzando a enfrentar el desafío, a menudo provocadas por un proyecto o una empresa de alto perfil. La siguiente tarea es aprender de esos primeros movimientos e integrar la gestión de la innovación como parte fundamental del mandato de la función de riesgo.
Si la gestión de riesgos de una empresa no se adapta, la innovación simplemente sucederá en otro lugar.