La gestión de riesgos es el proceso de identificar, evaluar y controlar las amenazas al capital, las ganancias y las operaciones de una organización. Estos riesgos surgen de una variedad de fuentes, incluidas incertidumbres financieras, responsabilidades legales, problemas tecnológicos, errores de gestión estratégica, accidentes y desastres naturales.
Un programa exitoso de gestión de riesgos ayuda a una organización a considerar toda la gama de riesgos que enfrenta. La gestión de riesgos también examina la relación entre los diferentes tipos de riesgos comerciales y el impacto en cascada que podrían tener en los objetivos estratégicos de una organización.
Este enfoque holístico para gestionar el riesgo a veces se describe como gestión del riesgo empresarial debido a su énfasis en anticipar y comprender el riesgo en toda la organización. Además de centrarse en las amenazas de riesgo internas y externas, la gestión de riesgos empresariales (ERM) enfatiza la importancia de gestionar el riesgo positivo. Los riesgos positivos son oportunidades que podrían aumentar el valor del negocio o, por el contrario, dañar a una organización si no se aprovechan, como lo atestiguarán las empresas perturbadas por Amazon, Netflix y otras potencias nacidas en el ámbito digital.
De hecho, el objetivo de cualquier programa de gestión de riesgos no es eliminar todos los riesgos, sino preservar y aumentar el valor general de la empresa mediante la toma de decisiones de riesgo inteligentes.
“No gestionamos los riesgos para no tener riesgos. Gestionamos los riesgos para saber qué riesgos vale la pena asumir, cuáles nos llevarán a nuestro objetivo y cuáles tienen un pago suficiente para siquiera asumirlos”, dijo Forrester. Alla Valente, analista senior de investigación, que se especializa en gobernanza, riesgo y cumplimiento (GRC), gestión de riesgos de terceros, ERM y otros temas relacionados con el riesgo.
Por lo tanto, un programa de gestión de riesgos debe estar entrelazado con la estrategia organizacional. Para vincularlos, los líderes de gestión de riesgos deben definir primero el apetito de riesgo de la organización, es decir, la cantidad de riesgo que está dispuesta a aceptar para alcanzar sus objetivos. Algunos riesgos se ajustarán al apetito de riesgo y se aceptarán sin necesidad de tomar medidas adicionales. Otros se mitigarán para reducir los posibles efectos negativos, se compartirán o transferirán a otra parte, o se evitarán por completo.
Toda organización enfrenta el riesgo de sufrir eventos inesperados y dañinos que pueden costarle dinero o, en el peor de los casos, provocar su cierre. Esta guía para la gestión de riesgos proporciona una descripción general completa de los conceptos, requisitos, herramientas, tendencias y debates clave que impulsan este campo dinámico.
¿Por qué es importante la gestión de riesgos?
Quizás la gestión de riesgos nunca haya sido más importante que ahora. Los riesgos que enfrentan las organizaciones modernas se han vuelto más complejos, impulsados por el rápido ritmo de la globalización. Constantemente surgen nuevos riesgos, a menudo relacionados y generados por el uso ahora generalizado de la tecnología digital. Los expertos en riesgos han calificado el cambio climático de “multiplicador de amenazas”.
Un riesgo externo reciente que inicialmente se manifestó como un problema en la cadena de suministro en muchas empresas (la pandemia de COVID-19) evolucionó rápidamente hasta convertirse en una amenaza existencial, que afectó la salud y la seguridad de los empleados, los medios para hacer negocios y la capacidad de interactuar. con los clientes y la reputación corporativa.
Las empresas se adaptaron rápidamente a las amenazas planteadas por la pandemia. Pero, de cara al futuro, se enfrentan a riesgos novedosos, incluida la cuestión actual de cómo o si hacer que los empleados vuelvan a la oficina, qué se puede hacer para que las cadenas de suministro sean menos vulnerables, la inflación y los efectos empresariales y económicos de la guerra en Ucrania.
En muchas empresas, los ejecutivos y las juntas directivas están dando una nueva mirada a sus programas de gestión de riesgos. Las organizaciones están reevaluando su exposición al riesgo, examinando los procesos de riesgo y reconsiderando quién debería participar en la gestión de riesgos. Las empresas que actualmente adoptan un enfoque reactivo para la gestión de riesgos (protegerse contra riesgos pasados y cambiar prácticas después de que un nuevo riesgo cause daño) están considerando las ventajas competitivas de un enfoque más proactivo. Existe un mayor interés en apoyar la sostenibilidad, la resiliencia y la agilidad empresarial. Las empresas también están explorando cómo las tecnologías de inteligencia artificial y las sofisticadas plataformas GRC pueden mejorar la gestión de riesgos.
Industrias financieras versus no financieras. En los debates sobre gestión de riesgos, muchos expertos señalan que la gestión de riesgos es una función formal en empresas que están fuertemente reguladas y tienen un modelo de negocio basado en riesgos.
Los bancos y las compañías de seguros, por ejemplo, han tenido durante mucho tiempo grandes departamentos de riesgos generalmente encabezados por un director de riesgos (CRO), un título todavía relativamente poco común fuera de la industria financiera. Además, los riesgos que enfrentan las empresas de servicios financieros tienden a basarse en números y, por lo tanto, pueden cuantificarse y analizarse de manera efectiva utilizando tecnología conocida y métodos maduros. Los escenarios de riesgo en las empresas financieras se pueden modelar con cierta precisión.
Para otras industrias, el riesgo tiende a ser más cualitativo y, por lo tanto, más difícil de gestionar, lo que aumenta la necesidad de un enfoque deliberado, exhaustivo y consistente para la gestión de riesgos, dijo el analista de Gartner Matt Shinkman, quien dirige las prácticas de auditoría y gestión de riesgos empresariales de la firma consultora. “Los programas de gestión de riesgos empresariales tienen como objetivo ayudar a estas empresas a ser lo más inteligentes posible en la gestión de riesgos”, añadió.
Gestión de riesgos tradicional frente a gestión de riesgos empresariales
La gestión de riesgos tradicional suele tener mala reputación hoy en día en comparación con la gestión de riesgos empresariales. Ambos enfoques tienen como objetivo mitigar los riesgos que podrían dañar a las organizaciones. Ambos compran seguros para protegerse contra una variedad de riesgos, desde pérdidas por incendio y robo hasta responsabilidad cibernética. Ambos siguen las orientaciones proporcionadas por los principales organismos de normalización. Pero los expertos sostienen que la gestión de riesgos tradicional carece de la mentalidad y los mecanismos necesarios para entender el riesgo como parte integral de la estrategia y el desempeño empresarial.
Para muchas empresas, “el riesgo es una mala palabra de cuatro letras, y eso es desafortunado”, dijo Valente de Forrester. “En ERM, el riesgo se considera un factor estratégico versus el costo de hacer negocios”.
Según Shinkman, “aislados” versus holístico es una de las grandes distinciones entre los dos enfoques. En los programas tradicionales de gestión de riesgos, por ejemplo, el riesgo suele ser tarea de los líderes empresariales a cargo de las unidades donde reside el riesgo. Por ejemplo, el CIO o CTO es responsable del riesgo de TI, el CFO es responsable del riesgo financiero, el COO del riesgo operativo, etc. Los departamentos y unidades de negocios pueden contar con sistemas sofisticados para gestionar sus diversos tipos de riesgos, explicó Shinkman, pero la empresa aún puede tener problemas al no ver las relaciones entre los riesgos o su impacto acumulativo en las operaciones. La gestión de riesgos tradicional también tiende a ser reactiva más que proactiva.
“La pandemia es un gran ejemplo de una cuestión de riesgo que es muy fácil de ignorar si no se adopta una visión estratégica holística y de largo plazo de los tipos de riesgos que podrían perjudicarlo como empresa”, dijo Shinkman. “Muchas empresas mirarán hacia atrás y dirán: ‘Sabes, deberíamos haber sabido sobre esto, o al menos haber pensado en las implicaciones financieras de algo como esto antes de que sucediera'”.
En la gestión de riesgos empresariales, la gestión del riesgo es un esfuerzo colaborativo, multifuncional y de gran alcance. Un equipo de ERM, que podría estar formado por tan solo cinco personas, trabaja con los líderes y el personal de las unidades de negocio para informarles, ayudarles a utilizar las herramientas adecuadas para analizar los riesgos, recopilar esa información y presentarla al liderazgo ejecutivo y a la junta directiva de la organización. . Tener credibilidad con los ejecutivos de toda la empresa es imprescindible para los líderes de riesgo de este tipo, dijo Shinkman.
Este tipo de expertos provienen cada vez más de una experiencia en consultoría o tienen una “mentalidad de consultoría”, dijo, y poseen un profundo conocimiento de la mecánica de los negocios. A diferencia de la gestión de riesgos tradicional, donde el jefe de riesgos normalmente reporta al director financiero, los jefes de los equipos de gestión de riesgos empresariales (ya sea que tengan el título de director de riesgos o algún otro título) comúnmente reportan al director ejecutivo, un reconocimiento de que el riesgo es parte integrante de la estrategia empresarial.
Al definir el rol del director de riesgos, Forrester hace una distinción entre las “CRO transaccionales” que normalmente se encuentran en los programas tradicionales de gestión de riesgos y las “CRO transformacionales” que adoptan un enfoque de ERM. Los primeros trabajan en empresas que ven el riesgo como un centro de costes y la gestión de riesgos como una póliza de seguro, según Forrester. Las CRO transformacionales, en el léxico de Forrester, están “obsesionadas con el cliente”, dijo Valente. Se centran en la reputación de la marca de su empresa, comprenden la naturaleza horizontal del riesgo y definen la ERM como “la cantidad adecuada de riesgo necesaria para crecer”, como lo expresó Valente.
La aversión al riesgo es otro rasgo de las organizaciones con programas tradicionales de gestión de riesgos. Pero, como señaló Valente, las empresas que se definen a sí mismas como reacias al riesgo y con un bajo apetito por el riesgo a veces se equivocan en sus evaluaciones de riesgo.
“Muchas organizaciones piensan que tienen un bajo apetito por el riesgo, pero ¿tienen planes de crecer? ¿Están lanzando nuevos productos? ¿Es importante la innovación? Todas estas son estrategias de crecimiento y no están exentas de riesgos”, afirmó Valente.
Proceso de gestión de riesgos
La disciplina de gestión de riesgos ha publicado muchos conjuntos de conocimientos que documentan formas en que las organizaciones gestionan el riesgo. Uno de los recursos más conocidos es la norma ISO 31000. Formalmente llamada ISO 31000:2018 Gestión de riesgos – Directrices, fue desarrollada por la Organización Internacional de Normalización, un organismo de normalización comúnmente conocido como ISO.
ISO 31000 describe un proceso de gestión de riesgos que puede ser utilizado por cualquier tipo de entidad e incluye los siguientes pasos para identificar, evaluar y gestionar riesgos:
- Identifique los riesgos que enfrenta su organización.
- Analizar la probabilidad y posible impacto de cada uno.
- Evaluar y priorizar los riesgos en función de los objetivos de negocio.
- Tratar o responder a las condiciones de riesgo.
- Monitorear los resultados de los controles de riesgos y ajustarlos según sea necesario.
Estos pasos son sencillos, pero los comités de gestión de riesgos no deben subestimar el trabajo necesario para completar el proceso. Para empezar, se requiere una comprensión sólida de lo que motiva a la organización. Para lograrlo, el proceso ISO 31000 también incluye un paso inicial para establecer el alcance de los esfuerzos de gestión de riesgos, el contexto empresarial para ellos y un conjunto de criterios de riesgo. El objetivo final es saber cómo cada riesgo identificado se relaciona con el riesgo máximo que la organización está dispuesta a aceptar y qué acciones se deben tomar para preservar y mejorar el valor organizacional.
Al identificar riesgos, es importante comprender que, por definición, algo es sólo un riesgo si tiene un impacto comercial, según el experto en riesgos Greg Witte, ingeniero de seguridad senior de Huntington Ingalls Industries y arquitecto de marcos desarrollados por la National Instituto de Estándares y Tecnología (NIST) sobre ciberseguridad, privacidad y riesgos laborales, entre otros. Por ejemplo, los siguientes cuatro factores deben estar presentes para un escenario de riesgo negativo, según la guía de NISTIR 8286A, un informe sobre la identificación de riesgos de ciberseguridad en iniciativas de ERM que el NIST publicó en 2021:
- Un activo o recursos valiosos que podrían verse afectados.
- Una fuente de una acción amenazante que actuaría contra el activo o los recursos.
- Una condición o vulnerabilidad preexistente que permite que la fuente de la amenaza actúe.
- Algún impacto dañino que se produce cuando la fuente de la amenaza explota esa vulnerabilidad.
Si bien los criterios del NIST se refieren a riesgos negativos, se pueden aplicar procesos similares para gestionar los riesgos positivos.
De arriba hacia abajo, de abajo hacia arriba. Al identificar escenarios de riesgo que podrían impedir o mejorar los objetivos de una organización, muchos comités de riesgos encuentran útil adoptar un enfoque de arriba hacia abajo y de abajo hacia arriba, dijo Witte. En el ejercicio de arriba hacia abajo, el liderazgo identifica los procesos de misión crítica de la organización y trabaja con las partes interesadas internas y externas para determinar las condiciones que podrían impedirlos. La perspectiva ascendente comienza con las fuentes de amenaza (terremotos, crisis económicas, ataques cibernéticos, etc.) y considera su impacto potencial en los activos críticos.
La tarea final en el paso de identificación de riesgos es que las organizaciones registren sus hallazgos en un registro de riesgos, lo que ayuda a rastrear los riesgos a través de los pasos posteriores del proceso de gestión de riesgos. Un ejemplo de tal registro de riesgos se puede encontrar en el informe NISTIR 8286A citado anteriormente.
Estándares y marcos de gestión de riesgos
A medida que las reglas de cumplimiento del gobierno y la industria se han ampliado en las últimas dos décadas, el escrutinio regulatorio y a nivel de la junta directiva de las prácticas de gestión de riesgos corporativos también ha aumentado, haciendo que el análisis de riesgos, las auditorías internas, las evaluaciones de riesgos y otras características de la gestión de riesgos sean un componente importante de la estrategia empresarial. . ¿Cómo puede una organización unir todo esto?
Los marcos rigurosamente desarrollados (y en evolución) desarrollados por el campo de la gestión de riesgos pueden ayudar. Aquí hay una muestra de ellos, comenzando con breves descripciones de los dos marcos más reconocidos, ISO 31000 y el marco de gestión de riesgos empresariales COSO ofrecido por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway, más conocido como COSO:
Marco COSO ERM. Lanzado en 2004, el marco COSO se actualizó en 2017 para abordar la creciente complejidad de ERM y resaltar la importancia de incorporar consideraciones de riesgo en las estrategias comerciales y vincular la gestión de riesgos y el desempeño operativo. Define conceptos y principios clave de ERM, sugiere un lenguaje común de ERM y proporciona instrucciones claras para gestionar el riesgo. Desarrollado por la consultora PwC con aportes de las cinco organizaciones miembros de COSO y asesores externos, el marco actualizado es un conjunto de 20 principios organizados en cinco componentes interrelacionados:
- Gobernanza y cultura.
- Estrategia y fijación de objetivos.
- Actuación.
- Revisión y revisión.
- Información, comunicación y presentación de informes.
ISO 31000. Publicada en 2009 y revisada en 2018, la norma ISO incluye una lista de principios de ERM, un marco para ayudar a las organizaciones a aplicar mecanismos de gestión de riesgos a las operaciones y el proceso detallado anteriormente para identificar, evaluar y mitigar riesgos. Desarrollada por el comité técnico de gestión de riesgos de ISO con aportes de los organismos miembros nacionales de ISO, ISO 31000:2018 es un documento más corto y conciso que su predecesor e incluye más orientación estratégica sobre ERM. La versión más reciente también enfatiza el importante papel de la alta dirección en los programas de riesgos y la integración de las prácticas de gestión de riesgos en toda la organización.
BS 31100. La versión actual de este código de prácticas de gestión de riesgos de la norma británica se publicó en 2021 y proporciona un proceso para implementar los conceptos descritos en ISO 31000:2018, incluidas funciones como identificar, evaluar y responder a los riesgos y luego informar y revisar las actividades de gestión de riesgos.
También están disponibles otros marcos que se centran específicamente en los riesgos de TI y ciberseguridad. Incluyen el Marco de Gestión de Riesgos del NIST, que detalla un proceso para integrar iniciativas de gestión de riesgos de la cadena de suministro de seguridad, privacidad de datos y ciberseguridad en el ciclo de vida del desarrollo del sistema, y COBIT 2019 de la asociación profesional ISACA, un marco de gobernanza de la información y la tecnología que respalda los esfuerzos de gestión de riesgos de TI. .
Las empresas también podrían considerar establecer marcos personalizados para categorías específicas de riesgos. El marco de gestión de riesgos empresariales de la Universidad Carnegie Mellon, por ejemplo, examina los riesgos y oportunidades potenciales basándose en las siguientes categorías de riesgo: reputación, seguridad de vida/salud, financiero, misión, operativo y cumplimiento/legal.
Además, se pueden utilizar varios modelos de madurez del riesgo para comparar las capacidades de gestión de riesgos y evaluar sus niveles de madurez. El más destacado es el Modelo de Madurez de Riesgos (RMM) de la Sociedad de Gestión de Riesgos y Seguros, que se desarrolló en 2005 con el proveedor de software LogicManager y se actualizó en 2022. El RMM renovado ayuda a los profesionales de riesgos a evaluar sus programas en cinco categorías: alineación estratégica; cultura y rendición de cuentas; capacidades de gestión de riesgos; gobernanza de riesgos; y análisis. Otros modelos de madurez de riesgo están disponibles en la Asociación de Gestión de Riesgos, la firma consultora Investors in Risk Management y el Foro sobre Administración Tributaria de la Organización para la Cooperación y el Desarrollo Económicos.
El modelo de tres líneas desarrollado por el Instituto de Auditores Internos (IIA) ofrece otro tipo de enfoque estandarizado para respaldar las iniciativas de gobernanza y gestión de riesgos. Originalmente llamado las tres líneas de defensa antes de ser renombrado en 2020, el modelo del IIA describe los diferentes roles que los ejecutivos de negocios, los gerentes de riesgo y cumplimiento y los auditores internos deben desempeñar en los esfuerzos de gestión de riesgos, con un órgano rector que proporcione supervisión y rendición de cuentas.