Gestionar el riesgo geopolítico en un mundo más turbulento — 7 cosas a tener en cuenta

Hace una década, la mayoría de las empresas podían tratar el riesgo geopolítico como algo episódico y lejano. Solo afectaba a unos pocos sectores específicos, como las empresas de servicios financieros que monitorizan las fluctuaciones de las divisas o las compañías energéticas que modelan choques precios del petróleo provocados por conflictos. Hoy en día, el riesgo geopolítico está en todas partes, afectando a todos los sectores—y no va a desaparecer.

Alianzas geopolíticas cambiantes, amenazas cibernéticas, aranceles y otras presiones sumadas a nuestro panorama interconectado empresarial global están aumentando la frecuencia y la gravedad de las interrupciones. Las empresas necesitan un nuevo enfoque para identificar y gestionar de forma proactiva estos posibles eventos. Sin embargo, elevar el riesgo geopolítico en la agenda del liderazgo implica superar varias barreras institucionales e individuales.

• Sesgo mental hacia la estabilidad. Muchos líderes, especialmente en las economías occidentales, están acostumbrados a décadas de crecimiento estable y suposiciones. Esa mentalidad mantiene a algunos directivos en modo de espera y observación, con la esperanza de que los cambios en las políticas se estabilicen y que el entorno empresarial vuelva a la "normalidad".

• Limitaciones de tiempo y de recursos. Las presiones a corto plazo suelen dominar la atención. Con los líderes priorizando el informe de resultados del próximo mes o del siguiente trimestre, tienen menos tiempo para considerar las disrupciones que están saliendo en el horizonte. 

• La "paradoja de la preparación". Muchos líderes siguen viendo el riesgo geopolítico como una protección a corto plazo, no como una fuente de oportunidad estratégica. A menudo les cuesta justificar una inversión significativa, tratándola como un coste con un retorno de inversión poco claro y canalizando fondos hacia iniciativas de crecimiento con rendimientos más evidentes. Pero una visión más clara del riesgo geopolítico podría mejorar directamente esas decisiones estratégicas.

• Límites organizativos. En muchas empresas, el riesgo geopolítico no tiene un solo culpable, y la responsabilidad suele estar repartida entre los líderes empresariales de los mercados afectados, con el área legal ayudando a interpretar las leyes locales. El resultado suele ser fragmentado y reactivo. Para superar esta situación, las empresas necesitan responsabilidades claramente asignadas, recursos suficientes y una atención ejecutiva dedicada, de modo que el riesgo geopolítico se gestione de forma estratégica.

Los riesgos geopolíticos más complejos requieren un enfoque más holístico —uno que mire más allá, considere una gama más amplia de temas, involucre a todo el equipo directivo y la junta, y formalice proactivamente las respuestas. Aquí es donde tú y tu equipo ejecutivo deberían de centrar sus esfuerzos.

Para entender el entorno geopolítico, algunas organizaciones compran inteligencia comercializada a proveedores externos. Eso puede ser un punto de partida útil, pero a menudo no incluye suficiente profundidad o contexto y no considera industrias específicas, la presencia de la empresa, la base de proveedores y clientes, ni su cultura y fortalezas organizacionales.

Algunas empresas globales crean equipos internos de inteligencia—investigadores, analistas, economistas, antiguos funcionarios de inteligencia—para generar información más precisa, oportuna y contextualizada. Ese modelo no aplica a todas las empresas, pero la mayoría necesita dedicar más recursos al problema. De forma crítica, esta unidad debe tener acceso directo al director, con un flujo bidireccional de información para que el equipo pueda plantear los problemas y el director pueda hacer consultas específicas.

Las juntas directivas también deberían desempeñar un papel importante. Muchos directores de empresas son profesionales experimentados con un largo historial de conocimientos específicos del sector. Esto es útil, pero las principales empresas amplían la perspectiva añadiendo directores con formación y experiencia en defensa, seguridad nacional o un mercado geográfico específico. Estos directores no solo señalan riesgos, sino que ayudan a descubrir oportunidades en medio de la volatilidad.

Segmenta los riesgos según su impacto potencial, utilizando una perspectiva personalizada y específica para cada empresa que tenga en cuenta la exposición actual y las salvaguardas existentes. Algunos riesgos, como los "rinocerontes grises", que son de alta probabilidad, riesgos evidentes que a menudo se pasan por alto o no se priorizan. Estos difieren de los "cisnes negros", o eventos raros que no se esperan. Ambos pueden tener consecuencias importantes, pero los equipos deberían ser capaces de identificar los “rinocerontes grises”, entender el valor que está en juego y contar con una visión clara de las opciones estratégicas para reducir la exposición (por ejemplo, seguros, diversificación, planes de continuidad/contingencia).

En el otro extremo del espectro hay riesgos menores que deberían reconocerse, pero que pueden no justificar una acción inmediata. En algunos casos, el coste de abordarlos supera su impacto potencial y podría afectar la capacidad de tu empresa para avanzar más rápido y crecer. Sin embargo, sus indicadores de riesgo deberían seguir siendo monitorizados y evaluados periódicamente.

Observa las grandes tendencias que se están desarrollando y cómo pueden afectar a las áreas críticas de tu negocio. Identifica los interruptores empresariales a gran escala e indicadores de riesgo empresarial relevantes para monitorear e identificar señales de alerta temprana. Desarrolla un conjunto de opciones de respuesta para cada uno y no solo consideres las desventajas. No necesitas un manual completo para cada interruptor, pero tus primeros pasos deben ser claros en las áreas claves de tu negocio que podrían verse afectadas. Este ejercicio involucra a las personas de alto nivel en supuestos estratégicos clave que podrían divergir sin un ejercicio estructurado de planificación de escenarios. Más importante aún, fomenta la confianza en la toma de decisiones e incluso puede permitir que los líderes que aprovechen las oportunidades tempranamente, antes de que ocurra la interrupción. Y luego, cuando ocurra un evento desencadenante, tendrás una hoja de ruta de acciones a tomar lista.

Un gran posible interruptor, el ciber riesgo, es ahora una parte inherente del riesgo geopolítico global, y la amenaza está creciendo. El 60% de los líderes empresariales y tecnológicos están haciendo de la inversión en riesgos cibernéticos una prioridad en respuesta a la incertidumbre geopolítica actual. A diferencia de la relativa estabilidad que siguió a la Guerra Fría, el mundo está transitando hacia un paradigma de competencia estratégica, en el que los Estados-nación ejercen mucha más tecnología que antes. Y dado que gran parte de los datos que buscan se encuentran en el sector privado, las empresas terminan expuestas a amenazas de espionaje que nunca imaginaron tener que enfrentar.

La IA pueden causar amenazas acumulativas. Los ciberdelincuentes pueden adoptar y adaptar la IA más rápido de lo que las empresas pueden protegerla. El agente de IA  añade otra capa de riesgo: un usuario automatizado que puede ser manipulado y utilizado para ampliar el área del ataque. Y la nube crea un riesgo de concentración, haciendo que cientos o miles de empresas sean vulnerables si un hiper escalador clave se ve comprometido.

Aun así, aborda las crecientes amenazas cibernéticas de la misma manera que los riesgos geopolíticos. Mira hacia adelante, identifica los tipos de ataques probables —desde ransomware y robo de propiedad intelectual hasta hack-and-dump o daños colaterales en un ataque a infraestructuras físicas críticas— construye manuales de respuesta e irlos mejorando con el tiempo.

Cabe destacar que la gran mayoría de los ciberataques tienen éxito no por tácticas altamente avanzadas, sino porque las empresas no logran acertar de forma consisten las areas básicas. Aquí es donde la inversión puede dar frutos. Revalidar defensas básicas como la autenticación multifactor. Mantener una visibilidad profunda sobre activos críticos. Segmentar sistemas de alto valor, retirar sistemas heredados no utilizados y aplicar controles sólidos finales. 

Por encima de todo, haz de la ciberdefensa la prioridad de todos. Una brecha de ciberseguridad no es un problema cibernético o informático—es un asunto empresarial que exige responsabilidad compartida tanto entre la alta dirección como la junta directiva.

Muchos directivos creen que necesitan planes de contingencia para cada riesgo, pero las probabilidades de predecir una amenaza o interrupción específica son bajas. Un enfoque más inteligente es centrarse en la recuperación y la resiliencia mirando internamente: identificando los elementos críticos del negocio, activos y recursos esenciales, y las dependencias que mantienen las operaciones en funcionamiento. Dado que muchas de las medidas de mitigación y respuesta son similares, esta es una forma más manejable y eficaz de abordar el problema. También prepara a tu empresa para disrupciones más allá de la geopolítica, incluidos eventos relacionados con el clima.

La planificación de la resiliencia a este nivel implica plantearse algunas preguntas clave mucho antes de que llegue una crisis.

• ¿Dónde están ubicadas nuestras instalaciones más importantes?, ¿Quiénes son esenciales para mantener las operaciones en funcionamiento?, ¿Cómo los evacuaríamos de forma segura? 

• ¿Cuáles son nuestros activos y aplicaciones TI principales y dónde se ubican? 

• ¿Quiénes son nuestros proveedores importantes y dónde se encuentran? 

• ¿Quiénes son los líderes principales del equipo de respuesta?, ¿Quién necesita estar involucrado cuando la empresa responde a una interrupción? 

Mapear una red operativa completa para una gran organización, incluyendo servicios críticos y dependencias ascendientes y descendente, puede ser un proceso que consume mucho tiempo y que puede llevar años en realizarse, por lo que es esencial mantener el impulso y la concentración durante todo el proceso. Y una vez que tu plan de resiliencia esté en marcha, debe mantenerse y actualizarse continuamente a medida que el negocio evoluciona.

El ritmo de los cambios de política—aranceles, incentivos fiscales, precios de los medicamentos—obliga a las empresas a comprender mejor cómo lidiar con los cambios continuos. Algunas empresas están trabajando para obtener una mejor visibilidad en sus cadenas de suministro, preparándose mejor para evaluar riesgos geopolíticos, pero no entienden cómo los cambios operativos pueden propagarse a lo largo de la cadena de suministro. Tecnologías como los gemelos digitales pueden ayudarte a cerrar esa brecha.

Los gemelos digitales modelan toda una cadena de suministro y operaciones, permitiendo a los líderes anticipar y simular condiciones, crisis y posibles respuestas. Esto da a tu equipo una idea más clara de las implicaciones antes de tomar decisiones, cuando aún hay tiempo para adaptarse. De forma crucial, los gemelos digitales no solo mitigan riesgos, sino que también pueden ayudarte a identificar oportunidades de disrupción y fortalecer la resiliencia.

Una vez que tus planes de gestión de riesgos o escenarios estén establecidos, no deberían quedarse sin utilizarse. Los equipos de liderazgo deben realizar ejercicios regulares para coordinar los planes y mantener la toma de decisiones sólida control.

Un ejercicio típico cibernético, por ejemplo, puede completarse en dos o tres horas con un grupo multifuncional de altos directivos: CEO, CFO, COO, CIO, CHRO, director de riesgos y asesor jurídico. Estos ejercicios deben utilizar escenarios realistas basados en las exposiciones y riesgos específicos de tu empresa. Tú y otros líderes deberían trabajar en protocolos de escala, planes de respuesta y procesos de toma de decisiones en momentos claves, y luego documentar las lecciones aprendidas e identificar oportunidades para fortalecer la resiliencia.

Los ejercicios a nivel de junta directiva suelen ser más breves y de mayor nivel estratégico. Por lo general, la gerencia informa a los directores durante 30 a 45 minutos, estableciendo expectativas sobre cómo fluirá la información y cómo se tomarán las decisiones en caso de una crisis real. Aunque el enfoque de estos ejercicios suele estar en el ámbito cibernético, el mismo enfoque puede aplicarse a otros riesgos críticos, como las disrupciones operativas y las crisis en la cadena de suministro.

El área fiscal siempre es un factor en la geopolítica, pero muchas empresas no utilizan sus equipos de impuestos para la gestión de riesgos de forma estratégica. A menudo se aíslan—se tratan como una idea táctica secundaria una vez que los altos ejecutivos ya han elegido un curso de acción. Eso debería cambiar.

A medida que las empresas toman medidas para reducir riesgos o aprovechar oportunidades —como trasladar operaciones hacia o fuera de mercados específicos— los líderes de impuestos deberían formar parte de las discusiones desde el principio. Las implicaciones fiscales de una medida concreta pueden cambiar de forma significativa la economía de cualquier opción. Cuando los líderes planifican escenarios para diferentes medidas de respuesta, los equipos de impuesto deben ayudar a modelar las consecuencias fiscales de cada elección.

Los responsables de impuestos también deberían ir más allá de su mandato tradicional de cumplimiento para hablar el lenguaje de la empresa e identificar oportunidades así como riesgos. Ese tipo de pensamiento estratégico y colaborativo suele requerir un cambio de mentalidad, uno que ayude a tu equipo directivo a comprender todas las consideraciones mientras trabajas para reducir el riesgo de forma proactiva.

El riesgo geopolítico no puede gestionarse en partes parciales. Exige un enfoque unido que conecte inteligencia, segmentación de riesgos, planificación de escenarios, inversión tecnológica, ejercicios rigurosos y visión estratégica de impuestos en una sola capacidad cohesionada. Cuando el equipo ejecutivo aborda estas áreas de manera integrada, se fortalece la visión y la agilidad necesarias para responder, proteger y generar valor, avanzando con solidez en un entorno donde la disrupción es la constante.