Por Eduardo Poblete

Gestión de Riesgos: La base invisible de la sostenibilidad empresarial

El riesgo no está en lo que ves, sino en lo que ignoras: ¿Está tu empresa preparada?

“El mayor riesgo es pensar que no tienes ninguno.”

¿Te parece una frase contundente? Su verdad se revela con una claridad desgarradora cuando analizamos casos emblemáticos de fracaso empresarial. Pocas historias ilustran esto mejor que la de Blockbuster. En su apogeo, dominaba la industria del entretenimiento con más de 9,000 tiendas en todo el mundo. ¿Su error fatal? No fue la falta de clientes ni una crisis económica global. Fue algo mucho más sutil y, por eso mismo, más letal: ignoró a un competidor emergente llamado Netflix.

Blockbuster no quebró por falta de recursos ni de experiencia. Quebró por una ceguera voluntaria frente a lo invisible: la transformación digital, el cambio en los hábitos de consumo y la falsa seguridad de pensar que su modelo de negocio era intocable.

Y eso, precisamente, es lo que quiero que reflexionemos hoy.

Este artículo no busca solo provocar una reflexión momentánea. Mi objetivo es ofrecerte un enfoque estructurado sobre la gestión de riesgos empresariales, fundamentado en normativas internacionales, regulaciones mexicanas y buenas prácticas de cumplimiento. Porque no se trata solo de sobrevivir en un entorno incierto, sino de prosperar en él.

La ilusión del control: ¿Qué tan sólido es tu suelo?

Las organizaciones suelen sentirse seguras cuando sus procesos están bien documentados, cuando han pasado auditorías rigurosas o cuando su modelo de negocio ha funcionado “siempre de esta manera”. Pero, ¿es esa seguridad real o solo una ilusión reconfortante?

Pensemos en el Titanic, el icónico barco que se creía insumergible. La tripulación confiaba tanto en la ingeniería de la nave que ignoró advertencias sobre icebergs en su ruta. El resultado fue catastrófico. La lección es simple: no importa cuán sólido creas que es tu negocio, siempre hay variables fuera de tu control.

Ahora bien, ¿qué diferencia a una organización resiliente de una que sucumbe ante la adversidad? La respuesta está en su capacidad para gestionar riesgos de forma proactiva, no reactiva.

Fundamentación Legal y Normativa Aplicable:

• ISO 31000:2018 (Gestión del Riesgo – Directrices): Establece que el riesgo no es estático; lo que hoy parece inofensivo podría convertirse en crítico mañana.

• Ley del Mercado de Valores (México), Artículo 28: Obliga a las empresas que cotizan en bolsa a implementar sistemas de control interno y gestión de riesgos, recordándonos que la confianza basada en auditorías pasadas puede ser peligrosa.

• ISO 22301 (Gestión de la Continuidad del Negocio): Porque identificar riesgos no es suficiente. Hay que estar preparado para responder de forma efectiva cuando ocurra una disrupción.

Riesgos invisibles: lo que no ves, ¿Podría derrumbar tu empresa?

No todos los riesgos aparecen en los balances financieros, pero algunos de ellos pueden destruir el valor de tu empresa en cuestión de horas.

Cultura organizacional:

¿Cómo mides el costo de un ambiente laboral tóxico? No se refleja en los estados financieros, pero impacta la productividad, la rotación de personal y puede derivar en litigios laborales costosos.

En México, el caso de Bimbo es un ejemplo de cómo una cultura organizacional sólida puede ser un activo estratégico. Su enfoque en el bienestar de los empleados no solo mejora la moral interna, sino que también reduce riesgos legales y reputacionales. En el extremo opuesto, casos de acoso o discriminación laboral pueden generar crisis mediáticas y sanciones legales, además de pérdidas económicas.

Riesgos reputacionales:

Un error de gestión en redes sociales puede borrar en días lo que costó años construir. Recuerda el caso de United Airlines: un solo video viral provocó la pérdida de más de 1,000 millones de dólares en valor de mercado. En México, incidentes como el mal manejo de crisis por parte de empresas durante la pandemia expusieron lo frágil que puede ser la reputación si no se gestiona adecuadamente.

Ciberseguridad:

¿Piensas que tener un antivirus es suficiente? El verdadero riesgo no es si ocurrirá un ciberataque, sino cuándo.

En 2020, la SEDENA sufrió una filtración masiva de datos, conocida como “Guacamaya Leaks”, dejando al descubierto información confidencial. Si esto le sucede a una institución nacional, imagina lo vulnerable que puede ser una empresa que subestima sus protocolos de seguridad digital.

Fundamentación Legal y Normativa Aplicable:

• Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), Artículo 19: Exige medidas de seguridad estrictas para proteger datos personales, incluyendo protocolos ante incidentes de ciberseguridad.

• ISO 27001 (Seguridad de la Información): No solo protege sistemas, sino que gestiona riesgos relacionados con la confidencialidad, integridad y disponibilidad de la información.

• Código de Mejores Prácticas Corporativas (Consejo Coordinador Empresarial, México): Establece lineamientos para la gestión de riesgos éticos y reputacionales, vinculándolos con la responsabilidad social y la integridad empresarial.

La fragilidad de lo implícito: ¿Qué suposiciones ponen en riesgo tu negocio?

En la gestión empresarial, solemos dar por sentadas muchas cosas: la lealtad de los clientes, la estabilidad de los proveedores, la resiliencia del mercado. Pero lo implícito es, por naturaleza, frágil.

La crisis financiera de 2008 lo demostró. Los bancos operaban bajo la suposición de que el mercado inmobiliario estadounidense era inquebrantable. ¿El resultado? Empresas colapsadas, millones de empleos perdidos y una recesión global.

En México, la crisis del 94 golpeó a empresas que confiaban ciegamente en la estabilidad económica del país. Las suposiciones implícitas sobre el tipo de cambio, la inflación y la seguridad financiera se derrumbaron de un día para otro.

Fundamentación Legal y Normativa Aplicable:

• COSO ERM (Enterprise Risk Management): Destaca la importancia de identificar suposiciones subyacentes en la estrategia corporativa para revelar riesgos que suelen pasar desapercibidos.

• Ley de Instituciones de Crédito (México), Artículo 73: Obliga a las instituciones financieras a tener un sistema integral de administración de riesgos, precisamente para evitar la complacencia en suposiciones erróneas.

• ISO 37301 (Sistemas de Gestión de Cumplimiento): Establece directrices para identificar riesgos de cumplimiento que pueden derivarse de prácticas empresariales asumidas como “normales”, pero vulnerables ante cambios regulatorios o éticos.

Del riesgo a la resiliencia

Ahora te pregunto directamente: ¿Estás segura o seguro de que conoces todos los riesgos de tu empresa?

No se trata de vivir con paranoia empresarial, sino de adoptar una mentalidad de anticipación y resiliencia. Las organizaciones más exitosas no son aquellas que eliminan los riesgos (porque eso es imposible), sino aquellas que saben gestionarlos antes de que sea demasiado tarde.

El verdadero peligro no es el iceberg que ves en el horizonte. Es el que está justo debajo de la superficie, esperando que bajes la guardia.

Invertir en la gestión de riesgos no es un gasto. Es la póliza de seguro más valiosa para la supervivencia y el crecimiento sostenible de tu organización.

• Evalúa regularmente tus riesgos: Apóyate en marcos como ISO 31000 y COSO ERM para estructurar tu enfoque.

• Integra la gestión de riesgos en la cultura corporativa: No es responsabilidad exclusiva del área de cumplimiento; debe permear toda la organización.

• Capacitación continua: Los riesgos evolucionan. Asegúrate de que tu equipo esté preparado para identificar y responder a amenazas emergentes, desde ciberseguridad hasta riesgos regulatorios.

Todos los caminos conducen a Roma…

Como habrás observado, en cada uno de los casos analizados se encuentra un denominador común: la relación directa con normas de cumplimiento. Algunas son internas, otras externas; algunas son de carácter voluntario, mientras que otras son de estricto cumplimiento obligatorio. Sin embargo, todas las decisiones empresariales y actividades de negocio están ineludiblemente vinculadas a estas normativas.

Por ello, la mejor y más recomendable decisión que puedes tomar como lector es buscar asesoría de abogados verdaderamente expertos en derecho corporativo, gestión de riesgos y cumplimiento normativo. No se trata solo de cumplir con la ley, sino de anticipar riesgos, proteger el valor de tu empresa y garantizar su sostenibilidad en un entorno cada vez más complejo.

Porque, al final del día, el riesgo más grande no es el que ves. Es el que ignoras.