¿Qué es la gestión de riesgos empresariales (ERM)?
Las empresas siempre han tenido que abordar una serie de riesgos, pero muchas veces lo han hecho de forma algo desordenada en departamentos individuales. Este tipo de gestión de riesgos poco frecuente o fragmentada puede distraer de las actividades principales de la organización y podría provocar que algunos riesgos se pasen por alto por completo.
La gestión de riesgos empresariales, por el contrario, es un enfoque estratégico y holístico que permite a una empresa identificar, equilibrar y controlar de manera sistemática sus riesgos empresariales. Un programa de gestión de riesgos empresariales bien implantado garantiza que todos los tipos de riesgos (estratégicos, operativos, financieros, de cumplimiento, etc.) se aborden de forma coherente.
Gestión de Riesgos Empresariales: definición y significado
La ERM es un proceso utilizado por las organizaciones para gestionar los riesgos y aprovechar las oportunidades relacionadas con el logro de sus objetivos. Proporciona un marco para la gestión de riesgos, que normalmente implica identificar, en la medida de lo posible, acontecimientos o circunstancias concretas relevantes para los objetivos de la organización (riesgos y oportunidades), evaluarlos en términos de probabilidad y magnitud del impacto, determinar una estrategia de respuesta y supervisar el progreso.
En los últimos años, la aparición de los ciberataques y el impacto de la pandemia de la COVID han puesto de manifiesto las deficiencias de los métodos tradicionales y fragmentados de evaluación de riesgos. La ERM se ha convertido en un aspecto crucial del gobierno corporativo y es un proceso continuo que requiere una mejora constante y la adaptación a nuevos riesgos y oportunidades.
Etapas y componentes de la Gestión de Riesgos Empresariales
La ERM no es algo que deba llevarse a cabo de manera independiente, sino que debe estar alineada e integrada en todas las actividades organizativas y en los procesos de toma de decisiones. La gran mayoría de las normas de sistemas de gestión, como ISO 9001 (calidad), ISO/IEC 27001 (seguridad de la información), ISO 14001 (medio ambiente) u otras muchas que las empresas utilizan para mejorar productos, servicios y reputación y para cumplir sus compromisos, incluyen requisitos para la gestión de los riesgos relacionados y explican cómo puede hacerse a través del sistema de gestión. Para quienes necesiten una orientación más detallada, esta puede encontrarse en la norma ISO 31000 de gestión de riesgos.
El entorno empresarial moderno obliga con frecuencia a las empresas y organizaciones a demostrar que cumplen una norma específica a satisfacción de los clientes y de las partes interesadas internas y externas. Por lo tanto, gestionar eficazmente los riesgos empresariales y demostrarlo mediante la certificación de terceros se ha vuelto esencial.
El proceso de gestión de riesgos puede desglosarse en varios pasos clave:
- Identificación de riesgos: Es el proceso de detectar y describir los riesgos que podrían afectar potencialmente al negocio. Consiste en reconocer los riesgos potenciales que podrían influir en los objetivos de la organización.
- Evaluación de riesgos: Una vez identificados los riesgos, el siguiente paso es determinar la probabilidad y el impacto de dichos riesgos. Esto implica evaluar la probabilidad y las consecuencias de cada riesgo identificado.
- Respuesta al riesgo (tratamiento): Desarrollar acciones para potenciar las oportunidades y reducir las amenazas es fundamental. Este paso implica formular estrategias para gestionar o mitigar los riesgos identificados.
- Actividades de control: Implantar mecanismos para garantizar que las respuestas a los riesgos se lleven a cabo de manera eficaz. Esto incluye las políticas y procedimientos que ayudan a asegurar que las respuestas a los riesgos se implementan correctamente.
- Información y comunicación: Garantizar que la información relevante sobre los riesgos se identifique, recopile y comunique de manera oportuna en toda la organización. Este paso es vital para una toma de decisiones informada.
- Seguimiento y revisión: El paso final consiste en observar de forma continua los procesos de gestión de riesgos para garantizar su eficacia y realizar los ajustes necesarios. Esto incluye la revisión continua del entorno de riesgos y de la eficacia de las estrategias de respuesta.
Ejemplos de Gestión de Riesgos Empresariales
Los riesgos relevantes variarán en función de las actividades empresariales de una empresa, su sector e incluso su ubicación geográfica, por ejemplo. Los riesgos tradicionales comunes a muchas organizaciones pueden ser las amenazas a la competitividad de los productos o servicios o la capacidad de cumplir con la normativa de seguridad y salud. La mayoría de las empresas deben gestionar las expectativas de las partes interesadas y la ciberseguridad de la información es ahora una amenaza para la mayoría, mientras que la inteligencia artificial figura en todas las agendas de una forma u otra. Temas más periféricos, como la diversidad, la equidad y la inclusión (DEI), están ganando peso en los programas de muchas empresas. Desde una perspectiva más amplia, cumplir con las exigencias ambientales, sociales y de gobernanza (ESG) y demostrar el desempeño es un aspecto muy valorado por los inversores y otras partes interesadas. Al implantar una estrategia sólida de gestión de riesgos empresariales, las organizaciones no solo se protegen frente a posibles amenazas, sino que también se posicionan para aprovechar nuevas oportunidades.
Ejemplos de la ERM en la práctica podrían incluir a una empresa tecnológica que implanta medidas avanzadas de ciberseguridad para protegerse frente a filtraciones de datos, y a un productor de alimentos que adopta medidas para utilizar únicamente materias primas producidas de forma sostenible e introduce medidas reforzadas de seguridad alimentaria en su producción y a lo largo de toda su cadena de suministro para proteger la salud de los consumidores.
Herramientas y soluciones de ERM
Existen diversas herramientas y soluciones disponibles para apoyar la ERM, algunas de las cuales son más complejas que otras.
Un sistema de gestión conforme a normas certificables de ISO y de otros propietarios de esquemas puede proporcionar un enfoque estructurado. En el caso de ISO, la norma ISO 31000 de gestión de riesgos es muy útil, al igual que otras guías y manuales que ofrecen enfoques para implantar la ERM de acuerdo con normas específicas del sector.
El impacto de los riesgos puede representarse en una matriz de riesgos, con la probabilidad de que ocurra un incidente en un eje y la gravedad de su impacto en el otro. Normalmente, el nivel de riesgo va de bajo en la esquina inferior izquierda, pasando por moderado, alto y muy alto, hacia la esquina superior derecha.
Tomado del enfoque de resolución de problemas de la gestión de la calidad, el diagrama de espina de pescado o diagrama de Ishikawa es una herramienta utilizada en el análisis de causa raíz (RCA) para identificar las causas subyacentes de un problema. El diagrama tiene la forma del esqueleto de un pez, con el problema en la cabeza y las causas extendiéndose hacia la izquierda como las espinas del pez, clasificadas en grupos principales que pueden incluir métodos, máquinas, materiales, personas, mediciones y entorno. Cuando se utiliza en la gestión de riesgos, el diagrama de espina de pescado puede ayudar a identificar las posibles causas de los riesgos que pueden afectar a un proyecto o negocio. Por ejemplo, si se está gestionando un proyecto de desarrollo de software y existe riesgo de retrasos, se puede utilizar el diagrama para identificar las posibles causas de dichos retrasos.
Cada uno de los posibles retrasos se asignaría a una espina del esqueleto y cada una de ellas podría, a su vez, tener sus propias ramificaciones. Por ejemplo, una espina puede asignarse a las personas, otra a los equipos, una tercera a los procesos dentro de la organización o de la cadena de suministro y otra quizá al cumplimiento normativo. La rama de personas podría identificar aspectos como la necesidad de formación o la falta de candidatos adecuados. La rama de equipos puede abarcar la necesidad de nueva tecnología o fallos de los equipos. La espina de procesos podría incluir aspectos como la elaboración de manuales, la aprobación de la financiación y evitar impactos en otros proyectos que puedan necesitar prioridad. Los retrasos debidos a la normativa pueden producirse porque las directrices oficiales que afectan al proyecto no se han publicado o están en revisión.
Otra forma de herramienta son las plataformas de software de ERM, que proporcionan un marco de modelización flexible capaz de evaluar múltiples tipos de activos y gestionar los riesgos empresariales.
Al implantar eficazmente la ERM, las organizaciones no solo se protegen frente a posibles amenazas, sino que también se posicionan para aprovechar nuevas oportunidades que puedan surgir. Las organizaciones que deseen reforzar sus competencias y conocimientos pueden explorar cursos de gestión de riesgos para implementar mejor las prácticas y los marcos de ERM dentro de sus organizaciones.
