Gestión preventiva de la reputación corporativa: el mapa de riesgos

La prensa económica internacional ha sido testigo, en los últimos tiempos, de un buen número de situaciones de crisis cuya mala gestión ha dañado gravemente la credibilidad de las compañías afectadas. Incidencias graves en la calidad del producto, como el reciente brote de salmonelosis originado en una planta de carne de ave del Grupo SADA, dejando más de 2.000 afectados, incluidos varios muertos.

La emisión incontrolada de productos altamente contaminantes como la que asoló, en 1989, un paraje virgen de la costa de Alaska con más de 40.000 toneladas de crudo vertidos por la petrolera ExxonMobil, muriendo en el desastre más de 250.000 aves marinas.

El conocimiento público de malas prácticas contables, como el caso Enron que está siendo juzgado en estos momentos por un tribunal norteamericano y ha sentado en el banquillo de los acusados a sus principales directivos. El cobro de comisiones indebidas y sobornos como el que ha afectado recientemente a dos altos directivos alemanes de la compañía sueca Ikea que, presuntamente, habrían recibido dinero y otras prestaciones a cambio de la concesión de proyectos a determinadas compañías.

Las prácticas de explotación infantil, como las que salpicaron en 1996, en forma de avalancha internacional de denuncias, los centros de producción de Nike en el sudeste asiático. Este tipo de incidencias derivan siempre en la pérdida de la posición competitiva e incluso, en los casos más extremos, han provocado la desaparición de compañías que en otro momento fueron emblemáticas.

Pero esta problemática debe examinarse más allá de la anécdota de unos pocos escándalos notables. Su recurrencia resulta indicativa de que muchas compañías, hoy por hoy, todavía no comprenden en profundidad los riesgos que amenazan a su reputación corporativa; es decir, aquellos que afectan negativamente a la credibilidad de la compañía ante sus grupos de interés o stakeholders.

En consecuencia, si no son capaces de diagnosticar los riesgos, tampoco lo serán para prevenirlos y gestionarlos adecuadamente cuando éstos se desencadenen.

Esta sintomatología se ve agravada por el hecho de que dilapidar la buena imagen de una compañía resulta mucho más sencillo que construirla y, por lo tanto, siguiendo la analogía médica, una vez se ha contraído la enfermedad, el paciente, si sobrevive, debe afrontar un largo periodo de convalecencia para recuperar su bienestar original; en especial si se ven afectados por el descrédito los valores «universales» que determinan la construcción de la reputación: cumplimiento de los compromisos adquiridos, respeto de los derechos humanos, honestidad e integridad en las relaciones con terceros, responsabilidad con la sociedad y con el medio ambiente, transparencia,…

Por ello, comprender cuáles son los riesgos que se están asumiendo en reputación, identificar su origen y conocer cuál es el posible impacto de cada uno de ellos en la confianza de los diferentes grupos de interés para facilitar su prevención y adecuada respuesta, se configura, hoy por hoy, como un factor de sostenibilidad clave. En consecuencia, su gestión requiere el compromiso decidido de la alta dirección de la compañía.

Sin embargo, abordar la compleja tarea de identificar y disminuir en lo posible los riesgos que pueden afectar a la reputación de la compañía y conocer mejor las consecuencias derivadas de cada uno de estos riesgos no puede improvisarse.

Requiere visión, método y sistemática para su control. En reputación, las empresas necesitan, al igual que las personas en salud, chequeos regulares que identifiquen riesgos y amenazas, evalúen su evolución en el tiempo y anticipen terapias preventivas que eviten el desarrollo de una posible enfermedad.

Con este fin, las compañías deben cimentar un modelo eficiente de Prevención de los Riesgos que afectan a la reputación, alrededor del levantamiento de sus respectivos mapas de riesgos, que facilite el acercamiento sistemático a la revisión crítica de todos los procesos y procedimientos susceptibles de sufrir contingencias que puedan derivar en futuras situaciones de crisis con daño potencial a la reputación.

Por otra parte, es necesario apuntar que ninguna compañía es capaz de evaluar, anticipar y controlar todos los riesgos que afectan a su reputación; y que el desarrollo de políticas y procesos de prevención tiene un coste y este coste tiene que ser razonable y asumible. El riesgo de vivir sin riesgo es la paralización de la organización y el desborde de los costes de supervisión y control. Por ello, el sentido común debe imperar y establecer el justo punto entre la obsesión paralizadora y el olvido irresponsable.

En la construcción de este modelo se observan tres etapas que detallamos a continuación:

1 IDENTIFICACIÓN DE LAS AMENAZAS A LA REPUTACIÓN

La primera etapa consiste en elaborar una visión integrada y uniforme, tanto de las amenazas, como de sus fuentes desde una triple perspectiva: corporativa, unidad de negocio y geográfica.

Debe tenerse en cuenta que las amenazas afectan a la reputación de cada compañía de forma diferente, en función de sus propias características y del mercado en el que actúan.

Por ello, no es posible aplicar una fórmula de «café para todos»; cada compañía debe desarrollar su propia taxonomía de amenazas en el marco común que supone el cumplimiento legal y normativo, como primer nivel de análisis; y, posteriormente, desde el análisis de los seis pilares reputacionales fundamentales, descritos en detalle en el número anterior de Revista Haz, que configuran y son responsables del comportamiento sistemáticamente íntegro de las compañías:

• Respeto de los derechos humanos.

• Respeto de los derechos laborales.

• Protección del medio ambiente.

• Políticas anticorrupción.

• Transparencia e información.

• Respeto del «compromiso» con el cliente.

De este modo, la identificación de las principales amenazas a la reputación debe partir de la revisión crítica de todos los procesos y procedimientos de negocio, a la luz de los seis pilares mencionados.

Para llevar a cabo este análisis se acostumbra utilizar dos tipos complementarios de fuentes: por un lado, la apreciación relativa, mediante entrevistas en profundidad, de los diferentes responsables corporativos, de país y/o unidades de negocio y de los principales representantes de los diferentes grupos de interés en la compañía; y por otro lado, un inventario de riesgos confeccionado a partir de la revisión en profundidad de la información de incidencias disponibles, tanto de la propia compañía, como del sector en el que desarrolla su actividad.

De este modo, como resultado final, se obtiene un listado consensuado de procesos o actividades de negocio susceptibles de originar amenazas a la reputación de la compañía que a su vez pueden clasificarse, según su incidencia, por unidad de negocio, área geográfica o stakeholder (Gráfico 1).

2 EVALUACIÓN Y JERARQUIZACIÓN DE LAS AMENAZAS IDENTIFICADAS

Una vez identificadas y clasificadas las principales amenazas que ponen en peligro la reputación de la compañía, debe procederse a su evaluación, pronosticando su impacto sobre la credibilidad de la compañía ante sus principales grupos de interés, e incorporando una segunda dimensión que estime el nivel de desarrollo por parte de la compañía de políticas preventivas respecto a dichas amenazas.

Sólo de este modo, es posible lograr una buena apreciación del riesgo real que corre la compañía. El riesgo es el resultado final de una determinada amenaza en función del nivel de desarrollo, por parte de la compañía, de políticas preventivas adecuadas. Así, mientras la amenaza persiste en el tiempo, el riesgo se atempera o elimina si a la amenaza se ha respondido con una política preventiva real.

El daño a la reputación inducido por una determinada amenaza puede estimarse a partir de la experiencia y percepciones de directivos de la compañía, grupos de interés afectados y especialistas en reputación corporativa. Así, suele ser común clasificar el impacto de una amenaza ligada a un determinado proceso o actividad de negocio dentro de alguna de las siguientes categorías: insignificante, menor, moderado, importante o catastrófico.

Por su parte, el nivel de actuación viene determinado por lo que la compañía hace para evitar o soslayar la amenaza identifi- cada y, en consecuencia, está asociado a la ausencia o carencia de políticas y procesos preventivos adecuados. De manera análoga a la valoración del impacto, es posible clasificar el nivel de actuación para cada amenaza asociada a una determinada actividad de negocio dentro de alguno de los siguientes niveles de implicación cualitativos: nulo, bajo, medio, alto y completo.

Esta clasificación responde a los posibles niveles de actuación en función de la naturaleza de la amenaza. Así, por ejemplo, se puede identificar todo un abanico de niveles de riesgo de exposición al trabajo infantil por parte de los proveedores en función del nivel de compromiso de las compañías en relación con esta amenaza.

Desde no hacer nada, confiando en la honestidad de los proveedores, hasta la exigencia de operar en todos sus centros de producción sometidos a auditorías independientes, pasando por todo tipo de declaraciones, contratos y acuerdos con ONGs especializadas.

Los resultados del cruce de ambas dimensiones -impacto de las amenazas y nivel de desarrollo de políticas preventivas- se concretan en la elaboración del mapa de riesgos. En general, si bien cada uno de los riesgos identificados puede tener sus propias particularidades, podemos adoptar unas pautas para establecer la siguiente taxonomía:

RIESGO EXTREMO. La existencia de amenazas situadas en esta zona requiere atención inmediata, disparando alarmas en toda la organización:

• Incidencias que puedan afectar a la salud pública; el medio ambiente; el cumplimiento legal o normativo o el respeto de los derechos humanos.
• No cumplir, de manera recurrente, con las obligaciones respecto a los principales grupos de interés.
• Tener alta probabilidad de que el incidente salte con virulencia a la opinión pública.

RIESGO MEDIO. Se trata de una zona de reglamentación, donde los daños severos pueden reducirse adoptando las medidas de precaución y alarmas apropiadas:

• La reputación de la compañía respecto a sus grupos de interés puede sufrir daños, pero no destrucción repentina; siempre y cuando se tomen las medidas de contención y restitución de la credibilidad pertinentes.

RIESGO BAJO. Zona de sensibilización de la compañía:

• Desarrollo de protocolos y políticas activas que reafirmen el compromiso explícito de la compañía con estos principios y los incorporen a las operaciones ordinarias de la compañía.

NINGÚN RIESGO. Zona de peligro despreciable:

• Incidentes menores que no afectan a la buena reputación corporativa para ninguno de los principales grupos de interés considerados.

Finalmente, una vez elaborado el mapa global de riesgos y desde un punto de vista de posterior gestión operativa, resulta aconsejable definir áreas de vulnerabilidad -a modo de mapas de riesgos específicos- agrupando las diferentes amenazas por unidad de negocio, ámbito geográfico o stakeholder. De este modo se facilita el diseño global de medidas y mecanismos eficientes que permitan mitigar el efecto conjunto de los peligros observados; así como la asignación de responsabilidades.

Cada mapa de riesgos específico debe tener su responsable. El análisis de vulnerabilidad es un proceso dinámico que toma como centro la unidad de actuación seleccionada y determina su nivel de exposición y su predisposición a la pérdida de reputación corporativa frente a un conjunto determinado de amenazas.

La elaboración de mapas de riesgos se configura, además, como una herramienta eficaz para promover y ordenar el diálogo dentro de la organización en términos de respuesta a los intereses de los stakeholders. Es indudable que el proceso sistemático y ordenado de elaboración de los mapas genera visión transversal y esfuerzo en la organización, con frutos tangibles en su concienciación y compromiso en defensa de la reputación corporativa.

3 GESTIÓN DEL RIESGO QUE AFECTA A LA REPUTACIÓN

En la última fase, una vez identificadas las principales áreas de vulnerabilidad y evaluados los riesgos asociados, se deben elaborar las correspondientes recomendaciones que incorporen medidas activas destinadas a soslayar, controlar y mitigar los mencionados riesgos.

Es posible establecer recomendaciones a dos niveles diferentes: medidas de prevención destinadas, a evitar en lo posible el peligro de crisis y medidas de gestión de la crisis, cuándo el escándalo ya es un hecho.

MEDIDAS DE PREVENCIÓN. Su objetivo es disminuir el riesgo, gestionando sus causas, antes de que se produzcan situaciones de crisis susceptibles de derivar en la pérdida de credibilidad corporativa. Para ello, se deben analizar los efectos individuales de cada uno de los riesgos, identificar las diversas alternativas de tratamiento posible y desarrollar la combinación de tratamientos más apropiada para cada amenaza, de forma que el riesgo inherente se reduzca hasta niveles aceptables.

MEDIDAS DE GESTIÓN DE LA CRISIS. Su objetivo es reducir el efecto nocivo de las situaciones de crisis reputacional cuándo éstas se producen. Debe tenerse en cuenta que ni siquiera una gestión preventiva de primer nivel es capaz de eliminar todos los riesgos que acechan a la reputación de una corporación.

La respuesta apropiada a la crisis precisa de alertas tempranas, oportunas y eficaces y medidas de restauración para proceder a la defensa y recuperación de la reputación corporativa dañada.

Las medidas de gestión de la crisis se suelen formalizar en el llamado manual de gestión de crisis donde se recogen todos los procedimientos y herramientas que facilitan la gestión y resolución, con las mayores garantías de éxito, de cualquier crisis que ponga en riesgo la reputación corporativa.

Finalmente, cualquier esfuerzo de prevención y gestión del riesgo resultará baladí si no viene acompañado de la estructura organizativa adecuada (Gráfico 3) y de un proceso continuo de control y seguimiento.

Si bien la gestión del riesgo que afecta a la reputación es responsabilidad de toda la compañía en su conjunto, es aconsejable formalizar una estructura específica, con dependencia directa del Consejo de Administración, para supervisar que la compañía identifica, evalúa y controla, los riesgos y que establece las debidas actuaciones y principios de protección de la reputación corporativa, observando su adecuado cumplimiento.

HOJA DE RUTA. Comprender cuáles son las posibles amenazas que amenazan a la compañía, su origen y su impacto en la confianza de los diferentes grupos de interés para facilitar su prevención y adecuada respuesta, requiere compromiso por parte de la alta dirección de la compañía y método de trabajo. Alrededor de la elaboración del mapa de riesgos se articula un modelo eficiente de gestión preventiva de la reputación corporativa.

La hoja de ruta marca las siguientes etapas:

• Elaboración y actualización continua del mapa de riesgos que afectan a la reputación a nivel de unidad de negocio, región/país y stakeholder:

• Inventariado y clasificación de las principales amenazas y áreas de vulnerabilidad que afecten a las actividades de la compañía.

• Clasificación de las amenazas según su impacto potencial destructivo y el nivel de desarrollo de medidas preventivas respecto a la amenaza identificada.

• Identificación de sus causas.

• Desarrollo de recomendaciones y controles operativos para mitigar y controlar en lo posible los efectos de los riesgos identificados.

• Puesta en marcha de un reflejo organizativo específico que diseñe y ponga en marcha un Plan de Gestión Corporativa de la Reputación, con dependencia directa de Comité del Consejo de Administración creado a tal efecto.

Finalmente, no puede existir gestión preventiva de la reputación corporativa si ésta no viene acompañada del desarrollo de procesos de negocio que integren adecuadamente los principios «universales» de reputación. Apuntarse a la moda no tiene ningún mérito.

Hay que crear en la compañía tensión permanente, concienciación de la importancia y compromiso en su gestión ordinaria. Se trata de un proceso continuo, de una lluvia constante. Sólo así es posible crear una verdadera cultura de gestión preventiva de los riesgos que afectan a la reputación corporativa.

Por J. A. Segarra, David L. García y Claudi Pellicer