Skip to main content

Un abordaje práctico para la gestión de riesgos en la cadena de suministro

A la hora de gestionar los riesgos en la cadena de suministro, muchas veces las organizaciones no saben por dónde comenzar. Para esos casos, les proponemos un abordaje práctico.

Durante la última década, varias organizaciones se han visto sacudidas por vulnerabilidades e interferencias imprevistas en sus cadenas de suministro, que derivaron en revisiones o retiros de productos con costos multimillonarios en industrias como bienes de consumo, electrónica, productos farmacéuticos o automóviles. De manera similar, múltiples entidades públicas y empresas privadas se han enfrentado a ataques cibernéticos que les hicieron perder valiosos derechos de propiedad intelectual debido a fallas en sus ecosistemas de proveedores.

Todas estas crisis comparten un núcleo común: la falta de procesos robustos para identificar y gestionar adecuadamente los crecientes riesgos para la cadena de suministro que son consecuencia de un mundo cada vez más interconectado. Nuevas amenazas, como ciberataques con pedidos de rescate, están emergiendo junto a los riesgos tradicionales y conocidos asociados a los proveedores, como su insolvencia.

El desafío que plantea la gestión de riesgos en la cadena de suministro se ve exacerbado por la globalización, que ha llevado a que productos sensibles como sistemas de defensa utilicen materias primas, circuitos y otros componentes provenientes de países que el fabricante probablemente no sepa que forman parte de su cadena de suministro. Esta mayor complejidad ha traído consigo más potenciales puntos de falla y mayores niveles de riesgo.

No obstante, los avances para abordar estos riesgos han sido lentos. En nuestra encuesta de 2010 con 639 ejecutivos de una amplia variedad de industrias y regiones, el 71% de los participantes manifestaron que sus organizaciones se enfrentaban a mayores riesgos de cadena de suministro que en el pasado, y el 72% preveía que continuarían aumentando. En 2018, el gobierno de Estados Unidos estableció varias agencias y grupos de trabajo para abordar mejor los riesgos de cadena de suministro, entre ellas la Agencia de Seguridad Cibernética y de la Infraestructura (CISA) en el ámbito del Departamento de Seguridad Interior y la Fuerza de Tareas para la Protección de la Tecnología Crítica (PCTTF) en el Departamento de Defensa, mientras que el sector privado continúa en la búsqueda de una metodología uniforme y probada para evaluar y monitorear los riesgos con el fin de minimizar efectivamente las disrupciones de sus negocios.

Creemos que las organizaciones de los sectores público y privado han tenido dificultades para lograr avances significativos en esta área por varias razones:

  1. La transparencia de la base de suministro es difícil (o imposible) de lograr. En las cadenas de suministro modernas de múltiples niveles, cientos o miles de proveedores pueden contribuir a un mismo producto. E identificarlos a todos, desde las materias primas hasta el producto final ensamblado, puede requerir una inversión de tiempo significativa.
  2. El alcance y la escala de los riesgos son intimidantes. La probabilidad y la severidad de muchos riesgos es difícil de estimar, y en consecuencia de abordar, cuantificar y mitigar. Por ejemplo, ¿qué tan probables son determinados patrones climáticos? ¿Con qué frecuencia puede un empleado de un proveedor pasar por alto ciertas prácticas de ciberseguridad?
  3. El avance se ve impedido por restricciones referidas a la propiedad de los datos. Para productos complejos, los proveedores de niveles 1 y 2 (sistemas y componentes) pueden considerar confidenciales a sus cadenas de suministro, limitando la visibilidad a nivel de comprador o integrador.

En lugar de limitarse a contemplar el problema y las dificultades que acarrea, proponemos que las organizaciones empiecen a atacarlos en forma estructurada, catalogando y abordando los riesgos conocidos y mejorando la resiliencia de la organización para enfrentar los riesgos inevitables que se convertirán en futuros problemas.

Un abordaje estructurado para la gestión de riesgos en la cadena de suministro

Nuestra recomendación es que las organizaciones comiencen por categorizar sus riesgos en conocidos y desconocidos.

Los riesgos conocidos pueden ser identificados, medidos y gestionados a lo largo del tiempo. Por ejemplo, la insolvencia de un proveedor que conduce a una disrupción del abastecimiento sería un riesgo conocido. Su probabilidad puede ser estimada sobre la base del historial financiero del proveedor, y el impacto en la organización calculado considerando los productos y los mercados que experimentarían una disrupción. Los riesgos de origen más reciente, como vulnerabilidades de ciberseguridad, son ahora cuantificables gracias a herramientas que recurren a un análisis “outside-in” de los sistemas de TI de una organización.

Las empresas deberían invertir tiempo suficiente con un equipo multi-funcional para catalogar todo el espectro de riesgos a que se enfrentan y construir una estructura de gestión de riesgos que determine qué métricas son más apropiadas para medir los riesgos, cuál sería el ideal de esas métricas, y cómo medirlas y monitorearlas rigurosamente. El mismo equipo también puede identificar “zonas grises” donde los riesgos son difíciles de comprender o definir (e.g., niveles de cadena de suministro que carecen de visibilidad). Este análisis permitirá dimensionar la escala y el alcance de los riesgos desconocidos.

Llamamos riesgos desconocidos a aquéllos imposibles o muy difíciles de prever. Consideren por ejemplo la repentina erupción de un volcán inactivo que afecta a un proveedor que ni siquiera sabíamos que formaba parte de nuestra cadena de suministro, o la explotación de una vulnerabilidad de seguridad oculta en el firmware de un componente electrónico crítico. Predecir escenarios como éstos es casi imposible hasta para los gerentes más conscientes de los riesgos.

Para los riesgos desconocidos, reducir su probabilidad y acelerar la velocidad de respuesta cuando se presentan resulta clave para sostener las ventajas competitivas. Construir múltiples capas de protección y combinarlas con una cultura de conciencia sobre los riesgos puede brindar a una organización esta ventaja.

Gestionar los riesgos conocidos

Las empresas pueden usar una combinación de resolución estructurada de problemas y herramientas digitales para administrar eficazmente su cartera de riesgos conocidos siguiendo cuatro pasos:

Paso 1: Identificar y documentar los riesgos

Un abordaje habitual de identificación de riesgos consiste en mapear y analizar las cadenas de valor de los principales productos. Cada nodo de la cadena de suministro – proveedores, plantas, almacenes y rutas de transporte – es evaluado en detalle (Gráfico 1). Los riesgos son cargados en un registro y monitoreados rigurosamente y en forma continua. En este paso también deben registrarse aquellos sectores de la cadena de abastecimiento que carecen de datos y requieren investigación adicional.

We strive to provide individuals with disabilities equal access to our website. If you would like information about this content we will be happy to work with you. Please email us at: McKinsey_Website_Accessibility@mckinsey.com

Paso 2: Diseñar una metodología de gestión de riesgos de cadena de suministro

Todos los riesgos del registro deben recibir un puntaje basado en tres dimensiones para crear una metodología integral de gestión de riesgos: impacto en la organización si el riesgo se materializara, probabilidad de que ello suceda, y nivel de preparación de la organización para hacer frente al riesgo específico. A estos puntajes se asignan umbrales de tolerancia que reflejan el apetito de riesgo de la organización.

Es de vital importancia diseñar y utilizar un método de scoring consistente para evaluar todos los riesgos. Ello permite priorizar y agregar las amenazas para identificar los productos de más alto riesgo, así como los nodos de la cadena de valor con mayor potencial de falla.

Paso 3: Monitorear los riesgos

Una vez establecida la estructura de gestión de riesgos, el monitoreo continuo es un factor de éxito clave para identificar los riesgos que podrían perjudicar a la organización. Las nuevas herramientas digitales posibilitan este control incluso para las cadenas de suministro más complejas, identificando y haciendo seguimiento de los principales indicadores de riesgo. Por ejemplo, una gran organización con operaciones en una industria regulada identificó 25 indicadores principales de problemas de calidad en sus plantas y con sus contratistas, desde factores estructurales como ubicación geográfica y cantidad de años en operación hasta métricas de desempeño operacional, como tasa de productos correctos y desviaciones de tiempos de ciclo. Estos 25 indicadores fueron ponderados cuidadosamente para elaborar un puntaje de exposición al riesgo y luego monitoreados regularmente.

Los mejores sistemas de monitoreo son adaptados a las necesidades de cada organización, e incluyen perspectivas de impacto, probabilidad y capacidad de respuesta. De esta manera, mientras una organización puede medir las desviaciones en las líneas de producción para predecir problemas de calidad, otra puede consultar informes meteorológicos en tiempo real para conocer el riesgo de huracanes en sus plantas de Puerto Rico. De todas formas, es fundamental contar con un sistema de alerta temprana para medir los principales riesgos y maximizar las chances de mitigarlos, o al menos limitar el impacto en caso de que se materialicen.

Paso 4: Instituir un mecanismo de gobierno y controles regulares

El último paso crítico consiste en crear un mecanismo de gobierno robusto para evaluar periódicamente los riesgos en la cadena de suministro y definir acciones para mitigarlos con el objetivo de mejorar la resiliencia y la agilidad de la cadena de suministro.

Un mecanismo efectivo puede consistir en un comité de riesgo multi-funcional con representantes de todos los nodos de la cadena de valor. Por lo general incluye gerentes de línea que además son responsables por los riesgos de su función y tienen a su cargo la identificación y la mitigación de esos riesgos. En la mayoría de los casos, el comité de riesgo recibe apoyo adicional de una función de gestión de riesgo central, compuesta por expertos que proveen asesoramiento para la identificación y la mitigación de riesgos.

Idealmente, el comité deberá reunirse con una frecuencia regular para analizar los riesgos clave de la cadena de suministro y definir medidas para mitigarlos. Los participantes estarán encargados de ejecutar las acciones de mitigación definidas para sus respectivos nodos funcionales. Por ejemplo, si el comité decide aprobar e incorporar a un nuevo proveedor de un componente crítico, el representante de compras en el comité tendrá a su cargo las acciones respectivas y controlará su ejecución.

Adicionalmente, en muchas organizaciones el comité de riesgo efectúa recomendaciones para mejorar la agilidad y la resiliencia en la cadena de suministro, desde reconfigurar la red de abastecimiento hasta hallar nuevas maneras de reducir los tiempos de entrega o colaborar con los proveedores para ayudarlos a optimizar sus propias operaciones. Mejorar la agilidad en la cadena de suministro puede constituir una estrategia de mitigación muy efectiva para que las organizaciones mejoren su preparación para una amplia variedad de riesgos.

Gestionar los riesgos desconocidos

Los riesgos desconocidos son, por su naturaleza, difíciles o imposibles de predecir, cuantificar o incorporar a la estructura de gestión de riesgos explicada anteriormente. Según nuestra experiencia, la mejor manera de mitigar riesgos desconocidos es construir fuertes defensas y promover una cultura de mayor conciencia sobre los riesgos.

Construir defensas sólidas

Las defensas fuertes, desde el lenguaje de las solicitudes de propuestas (RFPs) hasta la capacitación de los trabajadores, contribuyen a que la organización identifique y prevenga los riesgos desconocidos antes de que afecten las operaciones. El Gráfico 2 describe las capas de defensa típicas empleadas por las organizaciones para protegerse de riesgos desconocidos.

We strive to provide individuals with disabilities equal access to our website. If you would like information about this content we will be happy to work with you. Please email us at: McKinsey_Website_Accessibility@mckinsey.com

Construir una cultura de mayor conciencia de los riesgos

Una cultura de riesgo ayuda a la organización a establecer y mantener capas de defensa firmes contra riesgos desconocidos, y responder más rápidamente ante la aparición de un riesgo inesperado que amenaza las operaciones.

  • Reconocimiento. Los ejecutivos y los empleados deben sentirse empoderados para comunicar malas noticias y lecciones aprendidas de los errores. Esta apertura contribuye a crear un ambiente que promueve la difusión y el tratamiento de los problemas. Culturalmente, resulta crítico que la organización no se desaliente o busque culpables cuando un riesgo se hace presente, y en lugar de ello trabaje en armonía para su rápida resolución.
  • Transparencia. Los líderes deben definir y comunicar con claridad el nivel de tolerancia al riesgo de la organización. La mitigación de riesgos suele tener un costo adicional asociado, y por ello es importante acordar cuáles riesgos necesitan ser mitigados y cuáles pueden ser tolerados por la compañía. La cultura de la organización también debe facilitar la comunicación de señales de alerta acerca de riesgos internos y externos.
  • Capacidad de respuesta. Los empleados necesitan estar empoderados para percibir y reaccionar rápidamente a los cambios externos. Para ello es conveniente generar una cultura de rendición de cuentas, en la que cada miembro se sienta responsable por el resultado de sus acciones y decisiones.
  • Respeto. El apetito de riesgo de los empleados debe estar alineado en toda la organización, de manera que individuos o grupos no tomen riesgos o realicen acciones que los beneficien individualmente pero podrían perjudicar a la organización en conjunto.

El camino por delante

Las cadenas de suministro globales son irreversibles, al igual que los riesgos que la globalización ha traído consigo. Nuestra experiencia indica que resulta vital para las organizaciones desarrollar programas robustos para gestionar los riesgos en la cadena de suministro, tanto conocidos como desconocidos. Los líderes también deben reconocer que la gestión de riesgos no se reduce a diseñar procesos y modelos de gobierno, sino que implica además cambios en la cultura y las mentalidades. Empleando los abordajes descriptos, las compañías mejorarán sus chances de minimizar las disrupciones y las crisis en la cadena de suministro, a la vez que se posicionarán mejor para capturar todo el valor de sus estrategias de abastecimiento.

Sobre el/los autor(es)

Tucker Bailey y Edward Barriball son Socios de la oficina de McKinsey en Washington, DC; Arnav Dey es Gerente de Proyectos de la oficina de Boston; y Ali Sankur es Gerente de Práctica Sr. en Chicago.