¿Qué es la gestión de riesgos?

Los riesgos empresariales proceden de muchas fuentes, como la incertidumbre financiera, las responsabilidades legales, el uso de la tecnología, los errores de gestión estratégica, los accidentes y los desastres naturales. Las prácticas de gestión de riesgos tienen como objetivo anticiparse a estas amenazas y su impacto potencial y establecer planes para abordarlas cuando surjan.

La gestión de riesgos es un componente integral de cualquier estrategia empresarial. Ayuda a las empresas y a las personas a protegerse contra los gastos financieros, las ineficiencias, el daño a la reputación y otras posibles pérdidas.

Las causas fundamentales de los riesgos son tanto internas (como errores humanos o fallas del sistema) como externas (como crisis globales, cambio climático o avances tecnológicos). Cuando ocurren eventos imprevistos, las organizaciones deben asumir las consecuencias.

Los posibles riesgos pueden ser menores, como un aumento temporal de los costes. Sin embargo, también podrían ser catastróficos y dar lugar a graves ramificaciones, como importantes cargas financieras, pérdida de reputación o incluso el cierre de empresas.

Al adoptar un enfoque integral y proactivo para la gestión de riesgos, las empresas pueden protegerse y responder cuando surgen amenazas.

En esencia, la gestión de riesgos no consiste solo en prevenir los resultados negativos, sino también en permitir que los positivos respalden el éxito general y la sostenibilidad de una empresa.

La gestión de riesgos tiene varios beneficios, entre ellos:

Identificar y gestionar los riesgos puede ayudar a las organizaciones a evitar pérdidas financieras a causa de costosos litigios o daños a la reputación. Al mitigar los riesgos, pueden apoyar el cumplimiento de la normativa del sector y fomentar la confianza entre las partes interesadas, incluidos los inversores, los empleados y los consumidores.

Al anticiparse a los problemas y abordarlos rápidamente, las organizaciones pueden evitar incidentes que dañen su reputación, como fallos de productos o vulneraciones de datos.

Los procesos eficaces de gestión de riesgos también ofrecen conocimiento valioso sobre las posibles implicaciones de las diferentes decisiones empresariales. Como resultado, ayudan a los líderes a mejorar su toma de decisiones estratégicas y pueden conducir a mejoras en las operaciones, como un mejor control de calidad o flujos de trabajo optimizados.

Las empresas se enfrentan a diversos riesgos, entre ellos:

• Riesgo financiero
• Riesgo operativo
• Riesgo de ciberseguridad
• Riesgo estratégico
• Riesgo de cumplimiento
• Riesgo reputacional

El riesgo financiero incluye cuestiones relacionadas con cambios en las condiciones del mercado, tipos de interés, tipos de cambio y otros factores. El riesgo crediticio (la posibilidad de que un prestatario incumpla sus obligaciones) y el riesgo de liquidez (la incapacidad de satisfacer demandas financieras a corto plazo) también son ejemplos de riesgo financiero.

El riesgo operativo como categoría incluye tanto las amenazas internas como las amenazas externas. Los problemas internos, como los errores humanos, los fallos de tecnología y del sistema y las ineficiencias operativas, pueden perjudicar la capacidad de una organización para cumplir sus obligaciones y objetivos.

Los eventos externos, como los desastres naturales o la inestabilidad geopolítica, pueden interrumpir las operaciones de la cadena de suministro y causar daños físicos.

Los riesgos de ciberseguridad incluyen vulneraciones de datos, ataques cibernéticos, intentos de phishing y problemas de acceso no autorizado a los sistemas o información de la empresa. Las amenazas relacionadas con la tecnología se están expandiendo para incluir problemas de seguridad con inteligencia artificial (IA) y herramientas y procesos con IA.

El riesgo estratégico se asocia a malas decisiones empresariales, estrategias ineficaces o respuestas inadecuadas a los cambios tecnológicos o a los cambios en el comportamiento de los clientes.

Los riesgos del proyecto relacionados con la competencia en el mercado, incluidas las fusiones y adquisiciones, la entrada en nuevos mercados o el lanzamiento de nuevos productos, se consideran riesgos estratégicos.

El riesgo de cumplimiento implica problemas con el cumplimiento de las leyes, regulaciones y estándares. No mantenerse al día con la evolución de las normas reglamentarias o supervisar los procesos internos puede dar lugar a problemas legales y financieros.

El riesgo reputacional incluye cualquier cosa que dañe la imagen pública de una organización, como publicidad negativa, insatisfacción del cliente o problemas éticos. Los cambios en el sentimiento público pueden tener consecuencias operativas y financieras para las empresas.

Las organizaciones pueden responder a los riesgos de varias maneras. Algunas de las opciones de tratamiento de riesgos más comunes incluyen:

• Prevención de riesgos
• Reducción de riesgos
• Riesgos compartidos
• Transferencia de riesgos
• Aceptación y retención de riesgos

Evitar riesgos significa no participar en actividades que puedan afectar negativamente a la organización. Por ejemplo, una organización podría negarse a realizar una inversión o decidir no iniciar una nueva línea de productos para evitar el riesgo de pérdidas.

La reducción de riesgos acepta el riesgo, pero tiene como objetivo minimizarlo y sus impactos. La reducción de riesgos acepta el riesgo, pero se centra en evitar que las pérdidas se propaguen. Es similar a los beneficios de atención preventiva en las pólizas de seguro de estado.

Compartir el riesgo implica transferir parte o la totalidad del riesgo a otra parte. Una corporación es un buen ejemplo de compartir riesgos: varios inversores aportan su capital y cada uno de ellos asume solo una parte del riesgo de que la empresa falle.

La transferencia de riesgos implica contratar a un tercero para que absorba el riesgo. Por ejemplo, este método podría incluir la compra de un seguro para cubrir posibles daños o lesiones a la propiedad.

No es posible eliminar todos los riesgos. Después de tomar medidas para evitar, reducir, compartir o transferir el riesgo, las organizaciones se enfrentan a las preocupaciones que quedan (también conocidas como riesgo residual). La aceptación y la retención de riesgos implican aceptar las posibles consecuencias del riesgo y prepararse para gestionarlas si ocurren.

Los procesos de gestión de riesgos involucran a las personas, la tecnología y los comportamientos que ayudan a una organización a abordar los riesgos y a alcanzar sus objetivos. Los 4 pasos clave en cualquier plan de gestión de riesgos incluyen:

• Identificación de riesgos
• Evaluación de riesgos
• Mitigación de riesgos
• Monitorización de riesgos

La identificación de riesgos es un proceso que consiste en reconocer amenazas potenciales para una organización, sus operaciones y su personal. Puede incluir prácticas como la evaluación de amenazas a la seguridad de las TI (como malware o ransomware) o la monitorización del tiempo en busca de desastres naturales y otros eventos que puedan interrumpir las operaciones empresariales. Las organizaciones pueden optar por registrar sus hallazgos en un registro de riesgos.

La evaluación de riesgos se centra en analizar y evaluar los posibles factores de riesgo. El análisis de riesgos consiste en establecer la probabilidad de que se produzca un evento de riesgo y el resultado potencial de cada evento.

La evaluación de riesgos compara la magnitud de cada riesgo y los clasifica según su prominencia y consecuencia. Para evaluar los riesgos, el equipo de gestión de riesgos puede emplear una priorización basada en el grado de amenaza que representan dichos riesgos para la organización y sus objetivos.

La mitigación de riesgos implica desarrollar e implementar estrategias para abordar y controlar el riesgo de una organización. Implica acciones de control de riesgos que se ponen en marcha para hacer frente a los factores de riesgo y los efectos de esas acciones en el avance de proyectos u objetivos.

Las estrategias de mitigación pueden incluir respuestas comunes al riesgo, como evitar, reducir, compartir, transferir y aceptar el riesgo.

La gestión de riesgos es un proceso ininterrumpido que se adapta y cambia con el tiempo. Repetir y monitorizar el proceso puede ayudar a las organizaciones a mantenerse actualizadas sobre los nuevos riesgos.

Al supervisar continuamente los riesgos y adaptar las estrategias de gestión de riesgos, las organizaciones pueden proteger mejor sus activos, su reputación y su rentabilidad a largo plazo.

Existen varias especialidades dentro de la gestión de riesgos.

Gestión de riesgos cibernéticos, también llamada gestión de riesgos de ciberseguridad, implica proteger los recursos digitales y la tecnología de una organización.

Los ciberdelincuentes, los errores de los empleados y otras amenazas digitales y físicas pueden dejar fuera de servicio sistemas críticos o provocar pérdidas de datos o ingresos.

La gestión de riesgos de ciberseguridad ayuda a las empresas a identificar sus amenazas críticas y a seleccionar las medidas de seguridad de TI adecuadas para proteger los sistemas de información.

La gestión de riesgos de la IA aborda los riesgos potenciales asociados a las tecnologías de inteligencia artificial. A medida que las herramientas de IA se generalizan, las organizaciones que las desarrollan y utilizan deben asegurarse de que sean fiables, transparentes y éticas.

La gestión de riesgos de la IA puede mejorar la ciberseguridad de una organización y el uso de la seguridad de la IA. También puede ayudar a garantizar el cumplimiento normativo y la confianza de las partes interesadas a medida que evoluciona la tecnología.

Las organizaciones utilizan modelos matemáticos complejos para la toma de decisiones, como la previsión o la segmentación de clientes. Si los modelos funcionan de manera inadecuada, las organizaciones pueden sufrir pérdidas de ingresos o incurrir en responsabilidades legales.

La gestión del riesgo de modelo (MRM) implica validar modelos y herramientas antes y después de su implementación y realizar ajustes a lo largo de su ciclo de vida para proteger su integridad.

La gestión de riesgos de la cadena de suministro (SCRM) tiene como objetivo identificar vulnerabilidades en la cadena de suministro y minimizar su impacto en las operaciones, la reputación y el rendimiento financiero de una empresa.

Los riesgos internos y externos de la cadena de suministro pueden provenir de diversas fuentes, incluidos desastres naturales, eventos geopolíticos, quiebra de proveedores, problemas de calidad y ciberataques. Una SCRM eficaz puede desarrollar la resiliencia operativa, identificar áreas de desperdicio o ineficiencia y proteger la reputación de la empresa.

La gestión de riesgos de terceros (TPRM) aborda los riesgos asociados con la externalización de tareas a proveedores externos o proveedores de servicios. Estas asociaciones con terceros pueden estar involucradas en funciones tales como servicios de TI, gestión de la cadena de suministro o atención al cliente.

La TPRM ayuda a las organizaciones a comprender sus relaciones comerciales con terceros y las medidas de seguridad que emplean estos proveedores. Esto ayuda a prevenir problemas como interrupciones operativas, violaciones de seguridad y fallos de cumplimiento.

La TPRM es un subconjunto de la gestión de riesgos de la cadena de suministro y, a veces, también se denomina gestión de riesgos de proveedores (VRM).

Las tecnologías de inteligencia artificial (IA) y machine learning respaldan los programas de gestión de riesgos al ayudar a las organizaciones a identificar y mitigar de forma proactiva las potenciales amenazas.

Los especialistas en gestión de riesgos y otros profesionales del riesgo pueden utilizar herramientas y sistemas de IA para detectar mejor los problemas y automatizar las soluciones.

• Análisis predictivo: los algoritmos de machine learning pueden analizar grandes cantidades de datos para identificar patrones y anticipar riesgos potenciales. Por ejemplo, una institución financiera o una compañía de seguros podría utilizar herramientas de IA para detectar anomalías y patrones sospechosos en las transacciones o el comportamiento de los usuarios para mitigar los riesgos de fraude.
  
  
• Procesamiento del lenguaje natural (PLN): las herramientas de PLN se pueden usar para analizar fuentes de datos no estructuradas, como artículos de noticias, redes sociales o interacciones con los clientes, e identificar cualquier riesgo que pueda afectar a una organización. El análisis de sentimiento con IA, por ejemplo, podría ayudar a los agentes del servicio de atención al cliente a comprender mejor cómo abordar las necesidades de una persona que llama en tiempo real.
  
  
• Ciberseguridad: las organizaciones también pueden utilizar la IA para reforzar la seguridad de sus operaciones. Por ejemplo, los sistemas con IA pueden monitorizar el tráfico de red en busca de posibles amenazas o reconocer nuevos tipos de malware.
  
  
• Eficiencia y optimización: la IA también puede ser útil en la gestión de riesgos de la cadena de suministro. Sus capacidades de análisis de datos podrían identificar posibles interrupciones, como incoherencias de los proveedores o retrasos en el transporte, o mejorar la previsión de la demanda. Esta monitorización proactiva y la respuesta automática pueden reducir el riesgo general y mejorar la eficiencia.

Varias normas e iniciativas internacionales ofrecen orientación sobre la gestión de riesgos. Estas normas de gestión de riesgos incluyen un conjunto específico de procesos cuyo objetivo es desarrollar una estrategia de gestión de riesgos basada en los objetivos y necesidades de una organización.

Entre las normas internacionales más utilizadas se encuentran:

• ISO 31000: desarrollada por la Organización Internacional de Normalización (ISO), proporciona principios, marcos y procesos para gestionar los riesgos identificados. 
  
  
• Marco de gestión de riesgos empresariales (ERM) de COSO: desarrollado por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO), este marco de gestión de riesgos proporciona orientación sobre la integración de la gestión de riesgos en la estrategia y el rendimiento de una organización.
  
  
• Marco de ciberseguridad del NIST: desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST) del Departamento de Comercio de los Estados Unidos, ofrece orientación sobre la gestión de los riesgos de ciberseguridad.
  
  
• Modelo de capacidad de GRC : desarrollado por el Grupo de Ética y Cumplimiento Abierto (OCEG), proporciona directrices para la gobernanza y el cumplimiento integrados. A veces se lo conoce como el libro rojo de OCEG.

Estos estándares de gestión de riesgos ofrecen el beneficio de un enfoque estructurado. Su uso puede ayudar a establecer puntos de referencia y a compararlos con la competencia o pares del sector.

Sin embargo, la implementación de estos estándares puede resultar costosa o llevar mucho tiempo para determinadas organizaciones y es posible que no sean lo suficientemente flexibles como para cumplir con los requisitos únicos de algunas de ellas.

Por lo tanto, la decisión de adoptar una norma internacional de gestión de riesgos depende de las necesidades específicas de la organización, la tolerancia al riesgo y el apetito por el riesgo.