¿Qué es la gestión de riesgos empresariales?

La gestión de riesgos empresariales ayuda a las empresas a funcionar sin problemas controlando cualquier riesgo que pueda interferir en las operaciones. La gestión de riesgos empresariales también ayuda a las empresas a identificar qué riesgos deben gestionar activamente y a crear un plan de acción para mitigarlos y controlarlos. La creación de un plan de gestión de riesgos requiere tiempo y esfuerzo, especialmente por parte de la alta dirección, los ejecutivos y el consejo de administración. En este artículo, analizamos qué es la gestión de riesgos empresariales, en qué se diferencia de la gestión de riesgos tradicional y los ocho componentes que caracterizan esta estrategia empresarial.

Relacionado: Cómo realizar un análisis de riesgos

¿Qué es la gestión de riesgos empresariales?

La gestión de riesgos empresariales es una estrategia de negocio que incluye los métodos y procesos que las organizaciones utilizan para identificar, evaluar y gestionar los riesgos que podrían interferir con las operaciones y objetivos de una empresa. La gestión del riesgo empresarial implica no sólo identificar los riesgos y decidir cuáles gestionar activamente, sino también poner el plan de gestión del riesgo a disposición de las partes interesadas, los inversores personales y los accionistas, como parte del informe anual de la empresa.

Relacionado: Cómo utilizar una matriz de evaluación de riesgos

ERM frente a la gestión de riesgos tradicional

Tradicionalmente, las empresas atribuyen la responsabilidad de la gestión del riesgo a los directivos, encargándoles la gestión de los riesgos dentro de su área de responsabilidad. Por ejemplo, el director de tecnología sería responsable de gestionar los riesgos relacionados con las operaciones informáticas de la empresa, o el director de marketing sería responsable de gestionar los riesgos relacionados con las ventas y las relaciones con los clientes. Este enfoque tradicional de la gestión de riesgos suele denominarse gestión de riesgos por separado o gestión de riesgos en solitario.

Aunque este enfoque puede ser eficaz para la gestión de riesgos, tiene limitaciones:

  • Los riesgos pueden no seguir el organigrama: Puede haber riesgos a los que se enfrente su empresa que no sigan un organigrama tradicional, lo que hace que pasen desapercibidos hasta que causen un evento de riesgo catastrófico.
  • Algunos riesgos afectan a varios silos: Los riesgos que parecen relativamente pequeños para una unidad de negocio podrían tener un efecto significativo en otra parte de la organización si se produjera.
  • Los propietarios de silos individuales podrían afectar a otras áreas del negocio: Es posible que los propietarios de silos individuales no entiendan cómo un riesgo puede afectar a otras partes de la empresa. También pueden tomar una decisión en respuesta a un riesgo que afecta a su silo que en realidad desencadena un riesgo en otra parte de la empresa.
  • El enfoque es interno: La dirección, con un enfoque tradicional, suele centrarse en los riesgos relacionados con las operaciones internas en lugar de los riesgos que pueden venir de fuera de la empresa.

Con la ERM, se superan las limitaciones de la gestión de riesgos tradicional para desarrollar una visión holística y descendente de la empresa de los riesgos importantes que podrían tener un impacto en un negocio. Para lograrlo, la responsabilidad de la ERM recae en el consejo de administración y los ejecutivos de la empresa. Ellos tienen la visión empresarial de la organización y son, en última instancia, los responsables de comprender, supervisar y gestionar los riesgos más importantes para una empresa.

La dirección ejecutiva de una empresa es la responsable de diseñar e implantar un proceso de ERM, determinando qué debe ponerse en marcha y cómo debe funcionar. También son responsables de mantener el proceso activo. El consejo de administración, por su parte, es responsable de supervisar los riesgos, aprobando el proceso de gestión de riesgos que propone la dirección y supervisando los riesgos identificados por el proceso de ERM para garantizar que las partes interesadas se sientan cómodas con las acciones de asunción de riesgos.

Relacionado: El camino hacia los empleos de nivel C: El camino hacia la dirección ejecutiva

Componentes de un plan de ERM

Estas son las ocho áreas principales que debe abordar un marco de ERM:

  1. Entorno interno
  2. Fijación de objetivos
  3. Identificación de eventos
  4. Evaluación de riesgos
  5. Respuesta al riesgo
  6. Actividades de control
  7. Información y comunicación
  8. Monitorización

1. Entorno interno

El entorno interno de una empresa, su cultura, sienta las bases de cómo se ven y abordan el riesgo y el control. Es importante que la alta dirección y los ejecutivos destaquen la importancia de la ERM en todos los niveles de la empresa.

2. Establecimiento de objetivos

Las empresas deben contar con objetivos antes de que la dirección pueda identificar los posibles acontecimientos, los riesgos, que podrían afectar a su consecución. La dirección debe contar con un proceso para establecer objetivos que estén en consonancia con la misión de la empresa y sean coherentes con su apetito de riesgo. El apetito de riesgo se refiere a los riesgos que la empresa está dispuesta a asumir.

3. Identificación de eventos

Para gestionar los riesgos, primero hay que identificarlos. Esto implica identificar los riesgos potenciales, tanto de fuentes internas como externas, que podrían afectar a la capacidad de la empresa para alcanzar sus objetivos. En este paso debe desarrollarse la conciencia organizativa para identificar con mayor eficacia los acontecimientos que podrían ser riesgos u oportunidades potenciales.

4. Evaluación de riesgos

Para determinar cómo deben gestionarse los riesgos, primero hay que analizarlos. Deben evaluarse tanto de forma inherente como residual, y deben tenerse en cuenta tanto la probabilidad del riesgo como el nivel de impacto que tendría en la empresa.

5. Respuesta al riesgo

Una vez que se han alineado los riesgos con la tolerancia de la empresa y se han identificado sus niveles de apetito, es necesario determinar la respuesta de la empresa. El marco de ERM aboga por las siguientes respuestas:

  • Reducir
  • Aceptando
  • Evitar
  • Transferir

El plan de respuesta de la empresa no sólo debe tener en cuenta la responsabilidad financiera, sino también el impacto sobre los productos y los recursos. Los líderes, en su conjunto, deben dotar a sus equipos de la flexibilidad necesaria para supervisar y aplicar las respuestas al riesgo.

6. Actividades de control

Con este componente, se ponen en marcha políticas y procedimientos para garantizar que las respuestas al riesgo se llevan a cabo de forma eficaz y adecuada. Estos controles no sólo abarcan los sistemas y directrices, sino todos los aspectos de la forma en que las organizaciones controlan las situaciones. Como parte de sus directrices, las empresas suelen especificar una lista de deberes y responsabilidades junto con la transparencia en el comportamiento.

7. Información y comunicación

Aquí se identifica, reúne y comunica la información pertinente de una manera y en un plazo que permita a los miembros del equipo cumplir con sus responsabilidades. El personal también debe recibir una formación de calidad para reconocer los posibles riesgos y comunicarlos a la dirección.

8. Monitorización

El ERM de una empresa debe ser supervisado y se deben realizar los cambios necesarios. Este componente también se centra en la importancia de la retroalimentación y la acción, evaluando cualquier debilidad potencial y arreglándola durante las revisiones.

Te recomendamos

Guía para crear una proyección financiera para una startup

Guía de la orden de liquidez (con definiciones, ejemplos y preguntas frecuentes)

Margen Bruto vs. Beneficio Neto: Definiciones y Diferencias

¿Qué es la eficacia organizativa? (con pasos y consejos)

Tipos de arteterapia: Definiciones y preguntas frecuentes

Guía para la declaración de la visión