La gestión del riesgo reputacional: una cuestión estratégica
Andrea Bonime-Blanc es CEO y fundadora de GEC Risk Advisory LLC, consultora sobre temas de riesgo y oportunidad estratégicos, experta en ciber-riesgo y gobernanza en The Conference Board, y miembro del Comité de Expertos de Corporate Excellence. Además, suma más de dos décadas de experiencia en la alta dirección liderando el departamento jurídico, de gobernanza, ética, cumplimiento, riesgo, auditoría interna y responsabilidad corporativa, tanto en el sector privado como público.
Bonime-Blanc nació y creció en Europa, y ha trabajado y viajado por todo el mundo. Es doctora en Derecho (PhD) y en Ciencias Políticas (PhD), ambos por la Columbia University, profesora adjunta en la NYU e invitada en otras, así como conferenciante y autora de múltiples artículos y libros. Precisamente, con motivo de la presentación de la adaptación y traducción al español de uno de ellos: The Reputation Risk Handbook (Manual de Riesgo Reputacional), que ya forma parte de la Biblioteca Corporate Excellence, Andrea viajó a Madrid y nos concedió la siguiente entrevista.
EXECUTIVE EXCELLENCE: En España hemos vivido casos decepcionantes de grandes empresas donde la gobernanza ha brillado por su ausencia. ¿Cómo se puede llegar a integrar dentro del ADN corporativo el concepto de integridad y responsabilidad? ¿Qué papel juegan los máximos responsables (Consejo de Administración y alta dirección) en esa tarea?
A.B.B.: Cuando hablamos sobre estos temas, siempre es importante partir de la idea de que si no hay interés y dedicación en los asuntos de integridad y Responsabilidad Social (RS) por parte de las capas más altas de la empresa, empezando por el CEO y los consejeros; si no existe un sistema donde, además de valorar los resultados financieros, se valore cómo se alcanzan, cómo funciona la identificación de los riesgos y la cultura dentro de la empresa, etc., todo lo demás no se puede alcanzar. Hasta hace poco, los consejeros y altos ejecutivos no se habían enfocado en estos asuntos, por eso creo que se han producido muchos fallos y escándalos.
Sin embargo, ahora los grupos de interés comienzan a preocuparse, y los órganos de gestión y gobierno de las empresas se han dado cuenta de que deben prestar atención. Es decir, ya no son solo importantes los resultados financieros, sino también cuáles son las expectativas de los consumidores, de los empleados, de los reguladores... Por lo tanto, hay que tener una perspectiva mucho más holística y estratégica, que incluya los factores ESG (Environmental, Social and Governance) para poder gestionar bien las crisis que van a ocurrir.
E.E.: El impacto que tienen estos factores en la valoración bursátil de las compañías es muy interesante, así como la influencia que ejercen sobre la atracción de los inversores. Nos llama la atención que, en España, los Consejos de Administración, en general, están compuestos por el tradicional old boys’ network y que, de hecho, la edad media de los consejeros en España es la más alta de Europa. ¿Hasta qué punto es importante que los Consejos sean realmente advisory boards efectivos?
A.B.B.: Es un gran reto que no solamente tenéis aquí en España, sino también en los países avanzados en general, en Estados Unidos, Alemania, Inglaterra… Aunque los europeos están empezando a exigir una diversidad de género, creo que es necesaria una mayor diversidad también de experiencias, sobre todo, de expertise de los consejeros.
Comparto tu opinión acerca de que el old boys’ network se da en casi todos los países, pero además el problema es que todos ellos son personas que siempre han estado involucradas en los temas financieros, y desde los Consejos no se atiende a los asuntos ESG, que son tan importantes y que afectan a la empresa. Por eso soy muy partidaria de que los Consejos de Administración tengan diversidad de género, de nacionalidad, pero sobre todo de expertise; que haya dos o tres personas en un Consejo con experiencia en gestión de riesgos, en gestión de la RS, en ciber (aunque este sea todavía un asunto muy novedoso y muy debatido ahora en los Estados Unidos), etc.
Entre 1995 y 2002, yo era asesora general de una empresa internacional eléctrica, y por primera vez en mi vida formaba parte del grupo ejecutivo de la compañía, donde todos mis colegas no solo eran hombres sino que tenían un background exclusivamente financiero, o sea, business people. Yo era la única con conocimiento en ESG.
Por aquel entonces, la compañía estaba haciendo negocios en China, en India, en toda Latinoamérica y también en Europa del Centro y del Este. Eran muchos los retos de corrupción, de fraude, medio ambientales, de salud de los trabajadores, etc. que había que afrontar, y afortunadamente yo tenía esa perspectiva. Sin duda, eso nos ayudó a prepararnos, a tener una buena gestión de riesgos y una mejor gestión de crisis. Recuerdo que estábamos desarrollando trabajos en Colombia. Mientras que el país estaba inmerso en la guerra civil, nosotros teníamos que construir una planta eléctrica en medio de la jungla. Era fundamental estar bien preparados, y eso implicaba estar gestionando los riesgos y contar con un sistema de gestión de crisis muy avanzado.
Pues lo mismo debe suceder en todos los Consejos de Administración. No solo hay que poner las lentes sobre los resultados financieros, sino sobre quiénes son nuestros grupos de interés más importantes, cómo les estamos afectando, cuáles son sus expectativas…, porque eso va a tener un impacto directo en los resultados financieros, antes o después. Poco a poco, vamos avanzando y los inversores también están empezando a demandar este foco. Son ellos los que empiezan a analizar cómo es la cultura de las empresas, cómo trata a los empleados y consumidores, cómo son los factores ESG, etc. El problema es que no todos los consejeros –que son de ese grupo old boys’ network– tienen la sensibilidad de pensar en estos asuntos, porque han pasado su vida profesional dedicados únicamente a los temas financieros.
E.E.: También creemos que existe una diferencia cultural. Un importante consejero nos decía que, en España, hacer una pregunta se consideraba mala educación y hacer dos, una impertinencia. Por el contrario, en el entorno anglosajón, la gente está dispuesta a encajar una crítica constructiva y se habla de los temas con mucha más transparencia. ¿Influye el efecto cultural?
A.B.B.: El inconveniente es contar siempre con las mismas personas, porque se vuelven conformistas y la gente no se siente cómoda ante situaciones donde hay alguien diverso o que tiene otra perspectiva, y acaban aislándole. Al final afecta el tipo de persona que tienes alrededor de la mesa, es decir, “tu amigo” que también ha sido CEO durante muchos años y que piensa más o menos igual que tú. Hasta que eso se rompa y se abra el pipeline de personas que pueden entrar en un Consejo, me temo que seguirá siendo así. No creo que se trate tanto de una diferencia cultural, porque esto también sucede en algunos Consejos anglosajones. Yo he oído a consejeros americanos hablar sobre el miedo a no estar alineado, y decidir quedarse callados.
Una de las herramientas que están empezando a utilizarse es la evaluación a través de encuestas y entrevistas por parte de expertos, para comprobar de manera anónima qué es lo que sienten los consejeros y, al mismo tiempo, ayudarles en la retroalimentación y ofrecerles los medios que necesitan para reformarse.
E.E.: Nos decía Stéphane de Creisquer, el presidente de la marca sueca Volvo en España, que “ser transparente no es solo un deber, sino que es un valor añadido”, y que eso era algo que Suecia, y en general los Países Nórdicos, habían entendido antes que los demás, por eso el modelo de negocio nórdico es una referencia. Siendo miembros de la Unión Europea, ¿por qué no se copia esa forma de pensar (pues al final la posición política sí que obliga –y ahí tenemos el ejemplo de Francia donde por ley el 40% de los consejeros tienen que ser mujeres–)? ¿Por qué no se aplica una política común de gobernanza dentro de la UE?
A.B.B.: No sé si quizá el ejemplo de los Consejos de Administración franceses sea el mejor, pues recuerdo haber leído hace algunos años un reportaje que desvelaba cómo algunos consejeros habían apuntado a sus propias mujeres a los Consejos; con lo cual, ese caso no ayuda.
Desconozco por qué no se están creando más políticas. En Estados Unidos rechazamos cualquier forma de control, es decir, no tenemos ninguna regulación que exija la diversidad o porcentaje alguno. En Canadá están empezando a hacer algo distinto, como es tener que explicar por qué no tienes diversidad. Quizás eso sea lo que acabemos haciendo en Estados Unidos, pues no concibo regulaciones al respecto, pero sí la presión de los grupos de interés, de los grandes inversores, diciendo que debemos tener diversidad.
Eso ha sucedido recientemente en algunas de las grandes empresas de tecnología, entre ellas Apple, que no tenía ni una mujer en su Consejo. Al final la presión social, de los inversores y de otros grupos, les hizo incorporarlas. Creo que ese es el paso que daremos en Estados Unidos, pero no sé lo que está parando a la Unión Europea a tener más política. Quizás la gente lo rechaza, y entiendo que debe haber un equilibrio de poder.
E.E.: Cuando hablamos de riesgo reputacional, solemos equipararlo a un tema de gestión de la marca o de relaciones públicas, pero ¿qué se considera riesgo reputacional?
A.B.B.: Suelo decir que el riesgo reputacional es como la otra cara de la marca. La gestión de la marca y de la reputación es algo que ha existido desde hace mucho tiempo, y tradicionalmente han sido los departamentos de relaciones públicas y de comunicación o marketing los que se ocupaban de ella.
El riesgo reputacional se ha alzado en la conciencia de todos en los últimos años porque vivimos en la era de la hipertransparencia, donde los medios sociales facilitan que cualquier persona pueda publicar una información, aunque no sea verdad, en cualquier momento a millones de personas, y esto produce un impacto asimétrico. Por eso en los últimos cinco o 10 años, hay una mayor presión sobre el riesgo reputacional.
Tal y como lo defino en mi libro, Manual de Riesgo Reputacional, este no es algo que está aislado, sino que es un riesgo que se añade encima de otros que existen, y de los que quizás no te hayas preocupado suficiente, o no los hayas identificado ni mitigado. Cuando se produce un escándalo o una crisis, si no has tenido una buena preparación previa identificando tus riesgos, el reputacional te amplifica el impacto negativo. También ocurre al revés, si estás gestionando bien tu riesgo y preparándote para posibles crisis, si algo ocurre, quizás puedes mantener tu reputación e incluso tener un impacto positivo, y mejorarla.
El caso más famoso es el de Johnson and Johnson, con las cápsulas Tylenol. Finalmente, la compañía salió reforzada porque los consumidores percibieron que estaba muy preocupada por su salud e incluso luego fabricó envases con un sistema de triple protección, mucho más seguro que antes y que los de sus competidores.
El riesgo reputacional es relativamente nuevo, porque no es sobre la gestión de la marca y de la reputación, sino sobre la gestión de los riesgos que pueden ser amplificados si no estás preparado. Por eso creo que la mayoría de los CEOs y Consejos de Administración lo están situando en el top ten de riesgos estratégicos que tiene una empresa.
E.E: Todos los consejeros que hemos tenido oportunidad de entrevistar señalan a la ciberseguridad como una necesidad apremiante. ¿Deben ser los Consejos de Administración los que impulsen actuaciones en esa área? ¿Tienen la formación necesaria? ¿Qué pueden hacer las compañías?
A.B.B.: El ciberriesgo es el peligro más reciente y estratégico que existe y, a diferencia de los otros riesgos que normalmente gestionan las empresas, este no lo pueden controlar, porque tiene que ver con una tecnología y un mundo abierto que no existía hace cinco o 10 años. Las empresas están mal equipadas para gestionarlo, como por ejemplo sí pueden gestionar la calidad o la corrupción.
El año pasado hicimos un exhaustivo informe sobre la gobernanza del ciberriesgo y cuáles son las tendencias emergentes en este ámbito. En ese estudio, analizamos cinco casos de ciberriesgo que fueron malos para las empresas y cinco casos de empresas globales del Fortune 500 –que no identificamos porque así lo desearon–, pero que son una muestra de compañías que han intentando gestionar este problema proactivamente.
De los 10 takeaways que extrajimos de este estudio, el más importante para mí es que cada empresa, con independencia del sector y del tamaño, debe tener un marco (que yo denomino triangular) entre el Consejo de Administración, el grupo ejecutivo y un equipo interdisciplinario que implemente las funciones y operaciones. El Consejo tiene que pedir proactivamente que el management desarrolle una estrategia de ciberriesgo que sea apropiada para esa empresa, y eso significa varias cosas. Lo más relevante es saber dónde están tus activos digitales más valiosos (ya sea información de personas, controles de plantas eléctricas que puedan verse afectadas a través de la red, etc., cada empresa va a ser distinta), lo que yo llamo las joyas de la corona de la compañía.
El board tiene que pedir que el grupo ejecutivo –incluido el CEO– desarrolle un marco estratégico sobre este tema y se involucre para crear un equipo dentro de la empresa destinado a encontrar dónde están las joyas, para, a partir de ahí, crear las medidas tecnológicas necesarias pero también las medidas políticas. Es decir, enseñar y entrenar a los empleados y a las terceras partes con las que se trabaja, desarrollar y observar unos protocolos, etc.
Por tanto, la estructura triangular ha de estar formada por el Consejo, el grupo ejecutivo y el equipo interdisciplinario que incluye a profesionales de seguridad informática, al equipo legal, al de riesgos, etc. Son ellos quienes tienen que implementar la estrategia, pero debe empezar arriba. Lo que sucede en muchas organizaciones es que tienen gente de tecnología intentando poner parches, pero sin una filosofía empresarial sólida detrás.
Conozco bien este tema porque, en la última empresa en la que trabajé antes de fundar mi consultora, me pidieron ser jefa del grupo de informática, cuando yo soy abogada, no experta tecnológica. Tuve que aprender mucho, pero mi conclusión principal fue que la empresa, empezando por el CEO, debe hacer un ejercicio de cómo se van a desarrollar las acciones y con qué RR.HH. cuentan dentro de la organización para ello. Dependiendo del sector en el que esté, habrá diferencias, pero tener buenos profesionales es imprescindible en cualquiera.
El Consejo de Administración tiene importantes responsabilidades, y esto enlaza con el tema de la diversidad. Por ejemplo, actualmente en Estados Unidos hay un gran debate sobre si es necesario tener un experto de ciber-riesgo como consejero. Personalmente creo que no lo es, excepto para algún tipo de empresa donde exista alto riesgo de ciberataque, pero opino que sí es fundamental la diversidad de backgrounds y contar con un consejero que tenga en su bagaje los temas ESG, y que pueda aportar la perspectiva que se necesita para hacer las preguntas importantes, así como traer expertos del exterior para ayudar.
E.E.: Según explica el CEO de HP en Francia, Gérald Karsenti, en su último libro, los líderes narcisistas tienden a desaparecer por la complejidad. Antes había personas muy dotadas, con gran empuje y que eran capaces de llevar adelante grandiosos proyectos, pero hoy la complejidad es tal que este tipo de perfiles son más bien un riesgo; con lo cual, la responsabilidad empieza a ser más compartida y horizontal. Cuando las decisiones tengan que ser además contrastadas por lo complejo y lo cambiante, ¿entraremos en un entorno donde el aspecto de la ética y la transparencia encuentre un campo abonado?
A.B.B.: Me gusta esa observación y encaja con mi pensamiento. Una de las cosas a las que me he dedicado mucho, especialmente en los últimos años trabajando como consultora, y que aprendí tras haber estado en cuatro empresas como ejecutiva durante 20 años, reportando a CEOs y a los Consejos, es que dependiendo de quién era el CEO, yo podía tener un gran apoyo y la capacidad de crear los programas y proyectos necesarios en el tema ESG, o todo lo contrario.
Creo que el líder narcisista, autoritario y que no está interesado en las opiniones de otros, encaja muy bien con la idea de que en un mundo cada vez más complicado y lleno de riesgos –los cuales incluso aumentarán con la inteligencia artificial y el desarrollo tecnológico–, debe haber gente que sepa trabajar en equipo, con inteligencia emocional y con la habilidad de saber lo que no sabe. Ese es el problema de los líderes narcisistas: no quieren escuchar a los demás ni tampoco asumir lo que no saben, sencillamente porque consideran que lo saben todo. En un mundo donde estamos desarrollando mucha complejidad y hay grupos de interés que están demandando más transparencia, creo que son tendencias que van parejas.
E.E.: ¿Qué nos espera en el futuro en el ámbito de la reputación? ¿En qué temas está trabajando actualmente?
A.B.B.: Estoy trabajando en un nuevo proyecto, que surge a partir del libro que hoy presento, Manual de Riesgo Reputacional, que es una edición en español, más desarrollada y con varias novedades con respecto a la edición en inglés que escribí hace dos años. En el último capítulo de este libro tuve un aha moment! Sobre eso estoy escribiendo ahora, y el libro se publicará el próximo año en Inglaterra.
Diría que he estado esperando ese momento durante 12 años, en los que he estado trabajando en las áreas ESG y también intensamente en conectar con los altos directivos y los Consejos de Administración para explicarles cómo de importantes son estos temas. Investigando sobre riesgo reputacional, me di cuenta de que de lo que estamos hablando no es únicamente riesgo de reputación, sino de crear la organización resiliente. El nuevo libro se llamará Transformar riesgos en valor. La construcción de la empresa resiliente.
Cuando una empresa es resiliente, conoce sus riesgos reputacionales, cuenta con el apoyo del Consejo y del CEO para tener los recursos necesarios para gestionarlos, y sus resultados –tanto financieros como ESG– van a ser congruentes con la expectativa de sus grupos de interés. De modo que la reputación no solamente se mantiene, sino que se alza.
Cuando no eres resiliente, no sabes los riesgos, no estás preparado ni cuentas con el apoyo –quizás por tener un líder narcisista–, y los resultados antes o después van a reflejar eso. Al final, las expectativas de los grupos de interés van a bajar, y eso también tendrá un impacto financiero. Debemos construir empresas resilientes que, además de saber cuáles son sus riesgos, van un paso más allá y saben cómo transformar el riesgo en valor.
Estoy desarrollando casos reales de compañías que tuvieron un riesgo elevado, una crisis grande, pero aprendieron lecciones. Y con ello no solamente mitigaron el problema y recuperaron la reputación, sino que encontraron nuevas maneras de crear valor para sus stakeholders, y también potencialmente ingresos.
Manual de Riesgo Reputacional
En la era de la hipertransparencia en la que vivimos, donde la información circula constantemente y es capaz de provocar una crisis en cuestión de segundos, la gestión efectiva del riesgo reputacional se ha convertido en un imperativo estratégico. ¿Qué entendemos por riesgo? ¿Qué es reputación? ¿Qué se considera riesgo reputacional? En este manual se analizan diferentes tipos de riesgos reputacionales a partir de casos prácticos para responder a estas preguntas. La obra analiza quiénes son los actores del riesgo reputacional: los responsables de su gestión, por un lado, y los que participan en el mismo, por otro. Este manual incluye una tipología de estrategias para gestionar el riesgo reputacional en función de la madurez de la estructura de gestión de riesgos de la organización. Además, presenta un listado de herramientas que resume las funciones y responsabilidades de los actores clave en su gestión.
El riesgo reputacional es un recurso estratégico. Las culturas organizativas más íntegras con líderes más evolucionados y honestos lo aplicarán más fácilmente, pero incluso en las culturas más disfuncionales y atrasadas se pueden encontrar formas de optimizar la gestión del riesgo reputacional. La gestión efectiva de este riesgo apunta a que en un futuro próximo las empresas no solo serán capaces de mitigar sus riesgos, sino que transformarán estos riesgos en oportunidades y valor añadido.
Biblioteca Corporate Excellence:
Entrevista publicada en Executive Excellence n134 noviembre 2016.