La Gestión de Riesgos, o Risk Management, es un conjunto de métodos y herramientas para identificar, analizar, evaluar y tratar los riesgos que pueden afectar al logro de los objetivos de una organización. El propósito de la gestión de riesgos es aumentar la seguridad en la toma de decisiones, minimizar las pérdidas y optimizar las oportunidades.
Los últimos informes publicados confirman que los escenarios que se avecinan no son nada alentadores. Por ello, es cada vez más importante y estratégico que las organizaciones apliquen principios de Risk Management empresariales para gestionar los distintos riesgos.
Vivimos en un entorno de gran incertidumbre derivada de conflictos, crisis económicas, geopolíticas y sanitarias, ciberataques y fenómenos meteorológicos extremos en aumento. Todo ello está llamado a tener un impacto perturbador en el equilibrio social, en nuestras economías y, en consecuencia, en las organizaciones. Cada vez son más las amenazas que pueden afectar a una empresa.
En este artículo, se presentan los principios, el marco y el proceso de la gestión de riesgos, según las normas internacionales ISO 31000. También se describen algunos ejemplos de la aplicación de la gestión de riesgos en diferentes sectores y contextos.
Índice de temas
Qué es el Risk Management empresarial
El Risk Management consiste en un proceso dirigido a la gestión global e integrada de los riesgos a través de una serie de actividades sistemáticas como la identificación, la medición, la evaluación y el tratamiento de los riesgos.
Cuando hablamos de Risk Management, técnicas de evaluación de riesgos y modelos de gestión de riesgos para prevenir pérdidas, hoy nos referimos a la norma ISO 31000 – Gestión de Riesgos – Directrices. La primera versión de la ISO se publicó en 2009, e inmediatamente se convirtió en el término de referencia para aquellos que querían crear y proteger el valor de la organización. La norma ponía un énfasis extremo en la gestión de riesgos con vistas a maximizar las oportunidades y minimizar la influencia de las amenazas.
La proliferación de nuevos riesgos y la volatilidad de los mercados, ahora muy globalizados, hizo necesario ampliar aún más las actividades de gestión de riesgos a todos los riesgos empresariales y, en 2018, dio lugar a una actualización de la norma ISO 31000 que:
- Se alinea con otras normas ISO referidas a sistemas de gestión -que siguen la estructura del Harmonized Approach (HA)-
- Fomenta la adopción de un proceso continuo, gradual y proactivo, involucrando la estrategia corporativa e implicando -con el apoyo de la alta dirección- su integración en la cultura de la organización
Se requiere, por lo tanto, un enfoque integral del Risk Management, con una serie de cumplimientos que permitan a una empresa -independientemente de su industria y tamaño- considerar el impacto potencial de los diferentes tipos de riesgo en los procesos de negocio, actividades, operadores, productos y servicios.
Las ventajas de gestionar eficazmente el Risk Management
De hecho, el Risk Management pretende proteger y aumentar el valor de una organización en beneficio de sus partes interesadas, de forma que se garantice la consecución de sus objetivos mediante la provisión de un marco metodológico que permita:
- La realización coherente y controlada de todas las actividades futuras
- La mejora del proceso de toma de decisiones
- La planificación y creación de prioridades mediante una comprensión global y estructurada de la propia actividad
Además, el Risk Management ayuda a:
- Utilizar y asignar más eficazmente el capital y los recursos de la organización
- Proteger los activos, la imagen corporativa y los conocimientos técnicos de la organización y de las personas clave
- Optimizar la eficacia operativa
Cómo planificar una estrategia corporativa de Risk Management
Toda organización, para responder y controlar los desafíos contingentes, debe tener el máximo grado de conocimiento y conciencia de sí misma (como organización y como personas) y del contexto interno y externo en el que opera.
Por tanto, la máxima del Oráculo de Delfos, gnothi seauton -conócete a ti mismo- sigue siendo tan pertinente como siempre y aplicable a cualquier organización y contexto. Se trata de identificar las prioridades y necesidades de la organización y, en consecuencia, de enmarcar el alcance del Risk Management.
Además, cabe señalar que el Risk Management presupone una resiliencia que se declina en tres modalidades, a saber:
- Resiliencia estructural: conocimiento de la dinámica sistémica dentro de la organización
- Resiliencia integradora: conocimiento de las complejas interconexiones con el contexto externo
- Resiliencia transformadora: conciencia de que reducir algunos riesgos implica transformar la organización
Por lo tanto, tras el análisis, la comprensión del contexto interno y externo y la definición del alcance, se tratará de definir los criterios de riesgo que desempeñan un papel fundamental y estratégico en el proceso de Risk Management.
Risk Management corporativo, los criterios de riesgo
Los criterios de riesgo son definidos por la organización y son elementos clave para realizar la evaluación de los riesgos y apoyar todo el proceso de toma de decisiones en cuanto a la consecución de los objetivos estratégicos fijados.
Definición y estructuración de los criterios de riesgo
La definición y estructuración de los criterios de riesgo abarca los siguientes aspectos:
- La naturaleza y el tipo de amenazas
- Los efectos desencadenados por un acontecimiento perturbador (por ejemplo, pérdidas financieras o materiales, costo de reconstrucción de una instalación destruida, insatisfactoria o no conforme a las expectativas)
- La naturaleza o génesis del suceso (por ejemplo, sucesos causados por el hombre o la naturaleza, productos que no responden a las expectativas del cliente; colocación de bienes en una zona inadecuada o condiciones de almacenamiento inadecuadas que pueden afectar a los productos, etc.)
- Las repercusiones económicas -tanto positivas como negativas- en el balance de la empresa como consecuencia de un suceso (es decir, pérdidas o ganancias)
- Las repercusiones marco-económicas y geopolíticas en la seguridad de la comunidad y del personal de la empresa
- La eficacia de los controles establecidos
- Las variables temporales
Las siguientes son:
- Evaluar los riesgos en términos de gravedad como magnitud o frecuencia
- Controlar los riesgos para prevenirlos o reducirlos
- Decidir qué riesgos son financieramente viables y pueden “asumirse” total o parcialmente
- Transferir los riesgos a terceros o al asegurador
- Supervisar, a lo largo del tiempo, la evolución de los riesgos y el programa de gestión de riesgos implantado
Por lo tanto, el gestor de riesgos deberá, como un “sabio camaleón”, evolucionar para mostrarse capaz de gestionar el entorno altamente errático en el que opera. Además, la figura del Gestor de Riesgos está llamada a desempeñar un papel cada vez más estratégico, dentro de un marco holístico, asistido por el Gestor de Continuidad de Negocio y otras funciones de Seguridad. Esto hará posible garantizar la resiliencia de la organización, al tiempo que será capaz de identificar los riesgos a tiempo y gestionarlos eficazmente.
Procedimientos clave del Risk Management
Una reciente encuesta realizada por FERMA (Federación de Asociaciones Europeas de Gestión de Riesgos), en colaboración con la consultora McKinsey, revela que las empresas más avanzadas en la gestión sistemática y holística de los riesgos tienden a adoptar un enfoque estructurado y a considerar la resiliencia como un factor crítico de éxito y una ventaja competitiva que, por tanto, debe medirse con indicadores cuantitativos y cualitativos.
Evaluación e implementación
- Iniciar ejercicios de evaluación específicos para medir el propio grado de resiliencia en diferentes dimensiones (operativa, financiera, de mercado, de reputación, etc.) e implementar esfuerzos significativos para reforzar las salvaguardas y reducir las áreas más vulnerables (por ejemplo, para las dimensiones de la cadena de suministro, digital, organizativa y de RRHH).
- Implantar herramientas de supervisión equipadas con cuadros de mando reales para medir las tendencias en las métricas clave que miden la resiliencia. Estos cuadros de mando se convierten en herramientas extremadamente eficaces para proporcionar una visión clara e inmediata del posicionamiento de la empresa en relación con el pasado y con los competidores, así como para proporcionar perspectivas y escenarios que se presentarán a la alta dirección para identificar el nivel máximo deseado de exposición a los riesgos considerados relevantes y diseñar las estrategias necesarias.
Ello proporciona, por un lado, una visión global del posicionamiento de la empresa en materia de resiliencia (especialmente útil para hacer frente a posibles crisis) y, por otro, una mayor transparencia sobre las áreas de debilidad para priorizar los procesos y actividades más críticos, así como para definir planes eficaces de continuidad de negocio, recuperación de desastres y gestión de crisis.
Cabe señalar que, en caso de que las crisis y discontinuidades no se materialicen como se esperaba, estos protocolos resultan muy útiles y estratégicos para “movilizar” a la empresa y clarificar el gobierno de las decisiones.
Datos y herramientas a disposición del gestor de riesgos
De ello se desprende que el Gestor de Riesgos, aprovechando los datos y herramientas a su disposición, podrá:
Rediseñar y simplificar los procesos de risk management
La Inteligencia Artificial, Machine Learning (ML) se utilizará cada vez más como primera línea de defensa para anticipar y reducir los riesgos que aparezcan. Paralelamente, los gestores de riesgos tendrán que demostrar una mayor responsabilidad y habilidad en la evaluación de riesgos y alinearse con la primera línea en la identificación, evaluación y predicción de riesgos. Es decir, los gestores de riesgos se implementarán como segunda línea de defensa y deberán centrarse en emplear una mayor automatización para impulsar la supervisión de riesgos en tiempo real y garantizar que los datos de previsión de riesgos sean fiables, en lugar de presentar datos retrospectivos para la gestión de riesgos.
Mejorar la supervisión y la visibilidad de los riesgos
Es necesario tener visibilidad del riesgo en toda la empresa y establecer mecanismos para una gestión eficaz del riesgo, tanto a nivel intermedio (departamento) como empresarial. Por lo tanto, los gestores de riesgos tendrán que trabajar eficazmente para acceder rápidamente a información, métricas o informes instantáneos.
Racionalizar y automatizar las actividades de información
Esto implica garantizar que los informes de riesgos (que también proporcionan resultados y métricas de riesgos) estén más alineados con la resistencia y los objetivos estratégicos de la organización, de modo que esté mejor preparada para responder rápidamente a cualquier escenario de crisis. Es decir, existe una necesidad urgente de un proceso más ágil que pueda proporcionar a la alta dirección una visión en tiempo real de la exposición al riesgo.
Hacer los cambios necesarios en el marco del risk management
Garantizar un enfoque holístico de la organización y la gobernanza. Esto implica dar cada vez más prioridad a las áreas estratégicas de la organización al tiempo que se garantiza su resistencia, además de considerar los riesgos tecnológicos, de terceros y de procesos. Por lo tanto, los gestores de riesgos tendrán que trabajar más para: mejorar la comunicación de crisis (la comunicación de riesgos desempeña un papel crucial hoy en día); compartir información entre las funciones y la alta dirección; y garantizar procesos más ágiles para que las revisiones de riesgos y los informes de evaluación se entreguen más rápidamente invirtiendo en software que pueda optimizar el tiempo de análisis y evaluación de riesgos.
Hoy en día, no se trata de predecir el futuro simplemente revisando el pasado, sino que es más necesario que nunca adoptar modelos/software basados en escenarios predictivos que tengan en cuenta tanto los efectos dominó como los secundarios y los integren en los procesos de gestión de riesgos y en la planificación empresarial.
Mercado del software de Risk Management (software GRC)
La automatización de la modelización de riesgos y la digitalización de la gestión de riesgos pueden generar beneficios tangibles precisamente en la integración y la visión combinada entre la gestión de riesgos y la planificación. Por lo tanto, la tecnología se convierte casi en un “magister” – en el sentido latino del término, el que muestra el camino – facilitando a las organizaciones el conocimiento de su “estado” y contexto, teniendo una mayor conciencia de los riesgos tradicionales/emergentes y de los puntos de error que podrían impactarlos y, al mismo tiempo, proponiendo tanto las acciones de gestión de riesgos más eficaces como la identificación de la solución o socio más adecuado.
Existen en el mercado varios programas informáticos de gestión de riesgos (también llamados GRC, Governance, Risk and Compliance) que ayudan a las organizaciones a identificar, evaluar y priorizar los riesgos para su negocio.
Además, algunas herramientas de software de risk management también pueden incluir funciones para automatizar las evaluaciones de riesgos, generar informes y supervisar la información relacionada con los riesgos. De hecho, el objetivo principal del software de gestión de riesgos es ayudar a las organizaciones a reducir su exposición al riesgo y mejorar sus procesos generales de gestión de riesgos.
Cómo elegir el mejor software de Risk Management
Elegir el software de gestión de riesgos adecuado es una decisión importante para cualquier organización. Por lo tanto, la elección debe tener en cuenta varios factores, como:
- Determinar las necesidades y objetivos específicos de gestión de riesgos de la organización para identificar las características y capacidades clave que debe tener el software.
- Comparar diferentes opciones de software en el mercado en términos de características, precios y opiniones de los clientes para encontrar una solución que se ajuste a las necesidades y el presupuesto de la organización.
- Optar por un software que ofrezca recursos de asistencia y formación para garantizar que el personal pueda familiarizarse rápidamente con el uso del software y aprovechar al máximo sus capacidades. Por lo tanto, el proveedor del software debe ofrecer recursos de formación, como tutoriales online, guías de usuario y foros de soporte.
- Evalúe las capacidades de integración del software, es decir, compruebe si el software se integra fácilmente con los sistemas y procesos existentes, de modo que encaje perfectamente en el flujo de trabajo actual de la organización y ofrezca una visión completa de los riesgos.
- Opte por un proveedor de software que tenga un historial probado y una sólida reputación en el mercado, de modo que tenga una garantía de fiabilidad, seguridad del software, así como un servicio de asistencia de calidad.
- Solicite siempre una demostración o prueba del software antes de hacer la compra para comprobar su funcionalidad en la práctica y asegurarse de que satisface las necesidades de la organización.
Implementación en Argentina
La adopción de los softwares de gestión de riesgos en Argentina es un tema que involucra a diversos sectores y actores, tanto públicos como privados. Existen normas y requisitos mínimos establecidos por el Banco Central de la República Argentina (BCRA) para la gestión y control de los riesgos de tecnología y seguridad de la información en las entidades financieras.
Además, el gobierno nacional lanzó un proceso participativo online para elaborar el Plan Nacional de Gestión Integral del Riesgo y la Protección Civil 2024-2030, que busca prevenir, preparar y planificar las políticas públicas orientadas a la gestión integral de riesgo.
Sin embargo, mas allá de los esfuerzos públicos, las compañías también han avanzado en esta dirección. Hay empresas de servicios y consultoría que ofrecen soluciones de gestión de riesgos operativos, de seguridad de la información y de continuidad del negocio, tanto para organizaciones como para proyectos. Instituciones como el HSBC Argentina y la Armada Argentina implementaron sistemas y herramientas de gestión del riesgo operativo, basados en estándares internacionales y buenas prácticas.
Conclusiones
La evolución del riesgo incrementará sin duda la demanda de software de gestión de riesgos debido al aumento del valor y la complejidad de los riesgos tradicionales y al crecimiento de los riesgos emergentes. Por lo tanto, implicará la adquisición automática y en tiempo real de una gama más amplia de datos referidos a los riesgos que serán procesados por un software de gestión de riesgos que también puede gestionar la continuidad del negocio, la ciberseguridad, la gobernanza y el cumplimiento.
Esto generará nuevas oportunidades y servicios de ingeniería de riesgos para prevenir pérdidas, por un lado, y lograr una resistencia operativa tan estratégica como siempre, especialmente en un mundo cada vez más digitalizado y errático.
Prohibida su reproducción total o parcial.