Decíamos en el post anterior que un consejo de administración está continuamente ante la disyuntiva de velar por la proyección de la empresa a largo plazo y, a su vez, asegurar su continuidad. Lo primero implica renovarse, y por lo tanto asumir riesgos. Lo segundo significa tener controlado el riesgo para no exponer la empresa a peligros innecesarios.
Proyectar la empresa a largo plazo lleva implícito aprobar la explotación de oportunidades, y por lo tanto asumir los riesgos asociados a cada oportunidad. El consejo de administración debe tener un nivel de control estratégico y financiero suficiente para monitorizar y supervisar la acción de la dirección en materia de riesgos. En este sentido la definición del sistema de reporting al consejo es crítico. El consejo no necesita el nivel de detalle que requiere la gestión en el comité de dirección, pero sí la suficiente para tener la visibilidad adecuada para poder evaluar el nivel de riesgo, tanto de negocio como financiero. Es importante disponer de un mapa de riesgos donde se pueda ver el nivel de cada riesgo identificado y nuestra capacidad para neutralizarlo o mitigarlo.
Un tema muy importante es el nivel de accountability en la organización. El consejo ha de contribuir a crear una cultura de accountability en toda la empresa. Hay que conseguir que todas las personas, de cualquier nivel en la empresa, entiendan que han de dar razón de sus actos y decisiones. Desde mi punto de vista dar razón no es lo mismo que rendir cuentas. Rendir cuentas va ligado a unos parámetros previamente establecidos en la norma. Dar razón (reddere rationem) tiene que ver con la esencia del funcionamiento. Toda persona debe poder explicarse a sí mismo si lo que está haciendo es lo más adecuado para la empresa en cada momento. Es una cuestión de juicio. Es obvio que conseguir esto en todos los niveles de la organización es una ardua tarea, pero está entre una de las más importantes tareas del consejo de administración: Crear, a través de la dirección, una cultura en la que dar razón sea un acto reflejo de todas y cada una de las personas que forman parte de la empresa.
Por supuesto, sólo con esto no conseguiremos evitar todos los riesgos, pero los mitigaremos en buena parte. Por definición el riesgo cero no existe, pero el consejo de administración debe saber:
Definir el perfil de riesgo de la empresa
Establecer el nivel de apetito y tolerancia al riesgo
Conocer los riesgos más significativos en los que la empresa puede incurrir
Evaluar los posibles efectos de esos riesgos
Gestionar la crisis si el riesgo no ha conseguido evitarse
Para una gestión eficaz de los tres últimos puntos, es muy importante disponer del mapa de riesgos al que hemos aludido en este mismo post.