¿Qué es la gestión de riesgos?

Las prácticas de gestión de riesgos tienen como objetivo anticipar estas amenazas y su impacto potencial, y establecer planes para dirigirse a ellas cuando surjan.

La gestión de riesgos es un componente integral de cualquier estrategia de negocio. Ayuda a las empresas y a las personas a protegerse contra gastos financieros, ineficiencias, daños a la reputación y otras pérdidas potenciales.

Las causas principales de los riesgos son tanto internas (errores humanos o fallas del sistema) como externas (crisis globales, cambio climático o avances tecnológicos). Cuando ocurren eventos imprevistos, las organizaciones deben asumir las consecuencias.

Los posibles riesgos pueden ser menores, como un aumento temporal de los costos. No obstante, también podrían ser catastróficos y dar lugar a graves ramificaciones, incluyendo grandes cargas financieras, pérdida de reputación o incluso cierre de negocios.

Al adoptar un enfoque integral y proactivo para la gestión de riesgos, las empresas pueden protegerse y responder cuando hay amenazas.

En esencia, la gestión de riesgos no se trata solo de prevenir resultados negativos, sino también de permitir que los positivos respalden el éxito general y la sustentabilidad de un negocio.

La gestión de riesgos tiene varios beneficios, que incluyen:

• Reducción de las pérdidas financieras
• Evitar daños a la reputación
• Mejorar la toma de decisiones estratégicas

Identificar y gestionar los riesgos puede ayudar a las organizaciones a evitar pérdidas financieras por litigios costosos o daños a la reputación. Al mitigar los riesgos, pueden respaldar el cumplimiento de las regulaciones de las industrias y generar confianza entre los stakeholders, incluidos inversionistas, empleados y consumidores.

Al anticipar los problemas y abordarlos rápidamente, las organizaciones pueden evitar incidentes que dañen la reputación, como fallas de productos o filtraciones de datos.

Los procesos eficaces de gestión de riesgos también ofrecen insights valiosos sobre las posibles implicaciones de las diferentes decisiones empresariales. Como resultado, ayudan a los líderes a mejorar su toma de decisiones estratégicas y pueden conducir a mejoras en las operaciones, como un mejor control de calidad o flujos de trabajo optimizados.

Las empresas enfrentan varios riesgos, que incluyen:

• Riesgo financiero
• Riesgo operacional
• Riesgo de ciberseguridad
• Riesgo estratégico
• Riesgo de cumplimiento
• Riesgo reputacional

El riesgo financiero incluye cuestiones relacionadas con cambios en las condiciones del mercado, tasas de interés, tipos de cambio y otros factores. El riesgo crediticio (la posibilidad de que un prestatario incumpla sus obligaciones) y el riesgo de liquidez (la incapacidad de satisfacer demandas financieras a corto plazo) también son ejemplos de riesgo financiero.

El riesgo operacional como categoría incluye amenazas internas y externas. Los problemas internos como el error humano, las fallas de la tecnología y del sistema, y las ineficiencias operacionales pueden perjudicar la capacidad de una organización para cumplir con sus obligaciones y metas.

Los eventos externos, como los desastres naturales o la inestabilidad geopolítica, pueden interrumpir las operaciones de la cadena de suministro y causar daños físicos.

Los riesgos de ciberseguridad incluyen filtraciones de datos, ciberataques, intentos de phishing y problemas de acceso no autorizado a los sistemas o la información de la compañía. Las amenazas relacionadas con la tecnología se están ampliando para incluir cuestiones de seguridad relacionadas con la inteligencia artificial (IA) y las herramientas y procesos impulsados por IA.

El riesgo estratégico está asociado con malas decisiones comerciales, estrategias ineficaces o respuestas inadecuadas a los cambios tecnológicos o cambios en el comportamiento del cliente.

Los riesgos del proyecto relacionados con la competencia en el mercado, incluidas las fusiones y adquisiciones, la entrada en nuevos mercados o el lanzamiento de nuevos productos, se consideran riesgos estratégicos.

El riesgo de cumplimiento implica problemas con el cumplimiento de las leyes, regulaciones y estándares. No mantenerse al día con las normas regulatorias en evolución o no monitorear los procesos internos puede generar problemas legales y financieros.

El riesgo reputacional incluye cualquier cosa que dañe la imagen pública de una organización, como publicidad negativa, insatisfacción del cliente o problemas éticos. Los cambios en el sentimiento público pueden tener consecuencias operativas y financieras para las compañías.

Las organizaciones pueden responder a los riesgos de varias maneras. Algunas de las opciones de tratamiento de riesgos más comunes incluyen:

• Prevención de riesgos
• Reducción de riesgos
• Enfoque compartido de riesgos
• Transferencia de riesgos
• Aceptación y retención de riesgos

Evitar riesgos significa no participar en actividades que puedan afectar negativamente a la organización. Por ejemplo, una organización podría negarse a realizar una inversión o decidir no iniciar una nueva línea de productos para evitar el riesgo de pérdidas.

La reducción del riesgo acepta el riesgo pero tiene como objetivo minimizarlo y sus impactos. La reducción del riesgo acepta el riesgo, pero se enfoca en evitar que cualquier pérdida se propague. Es similar a los beneficios de atención preventiva en pólizas de seguros de salud.

El riesgo compartido implica transferir parte o la totalidad del riesgo a otra parte. Una corporación es un buen ejemplo de participación en el riesgo, varios inversionistas ponen en común su capital y cada uno soporta solo una parte del riesgo de que la empresa fracase.

La transferencia de riesgos implica contratar a un tercero para que absorba el riesgo. Por ejemplo, este método podría incluir la compra de un seguro para cubrir posibles daños o lesiones a la propiedad.

No es posible eliminar todos los riesgos. Luego de tomar medidas para evitar, reducir, compartir o transferir el riesgo, las organizaciones enfrentan cualquier preocupación restante (también conocida como riesgo residual). La aceptación y la retención de riesgos implican aceptar las posibles consecuencias del riesgo y preparar para gestionarlas si ocurren.

Los procesos de gestión de riesgos involucran a las personas, la tecnología y los comportamientos que ayudan a una organización a abordar los riesgos y alcanzar sus objetivos. Los 4 pasos clave en cualquier plan de gestión de riesgos incluyen:

• Identificación de riesgos
• Evaluación de riesgos
• Mitigación de riesgos
• Monitoreo de riesgos

La identificación de riesgos es el proceso de reconocer las amenazas potenciales para una organización, sus operaciones y su fuerza laboral. Puede incluir prácticas como la evaluación de amenazas a la seguridad de TI (como malware o ransomware) o el monitoreo del clima en busca de desastres naturales y otros eventos que puedan interrumpir las operaciones comerciales. Las organizaciones pueden optar por registrar sus hallazgos en un registro de riesgos.

La evaluación de riesgos se centra en analizar y evaluar los posibles factores de riesgo. El análisis de riesgos implica establecer la probabilidad de que pueda ocurrir un evento de riesgo y el resultado posible de cada evento.

En la evaluación de riesgos, se compara la magnitud de cada riesgo y se los clasifica según la prominencia y las consecuencias. Para evaluar los riesgos, el equipo de gestión de riesgos podría emplear la priorización en función de la amenaza que representan los riesgos para la organización y sus objetivos.

La mitigación de riesgos implica desarrollar e implementar estrategias para dirección y controlar los riesgos de una organización. Implica medidas de control de riesgos que se implementan para hacer frente a los factores de riesgo y los efectos de dichas medidas en el avance de los proyectos u objetivos.

Las estrategias de mitigación pueden incluir respuestas comunes al riesgo, como la evitación, la reducción, el reparto, la transferencia y la aceptación del riesgo.

La gestión de riesgos es un proceso continuo que se adapta y cambia con el tiempo. Repetir y monitorear el proceso puede ayudar a las organizaciones a mantenerse al día sobre los nuevos riesgos.

Al monitorear continuamente los riesgos y adaptar las estrategias de gestión de riesgos, las organizaciones pueden proteger mejor sus activos, reputación y rentabilidad a largo plazo.

Existen varias especialidades dentro de la gestión de riesgos:

• Gestión de riesgos cibernéticos
• Gestión de riesgos de IA
• Gestión de riesgos de los modelos
• Gestión de riesgos de la cadena de suministro
• Gestión de riesgos de terceros

La gestión de riesgos cibernéticos, también llamada gestión de riesgos de ciberseguridad, implica proteger los recursos digitales y la tecnología de la información de una organización.

Los delincuentes cibernéticos, los errores de los empleados y otras amenazas digitales y físicas pueden desconectar los sistemas críticos o provocar pérdidas de datos o ingresos.

La gestión de riesgos de ciberseguridad ayuda a las empresas a identificar sus amenazas críticas y seleccionar las medidas de seguridad de TI adecuadas para proteger los sistemas de información.

La gestión de riesgos de IA aborda los riesgos potenciales asociados con las tecnologías de inteligencia artificial. A medida que las herramientas de IA se emplean cada vez más, las organizaciones que las desarrollan y emplean deben cerciorarse de que sean confiables, transparentes y éticas.

La gestión de riesgos de IA puede mejorar la ciberseguridad de una organización y el uso de la seguridad de IA. También puede ayudar a garantizar el cumplimiento normativo y la confianza de los stakeholders a medida que la tecnología evoluciona.

Las organizaciones utilizan modelos matemáticos complejos para la toma de decisiones, como el pronóstico financiero o la segmentación de clientes. Si los modelos funcionan de manera inadecuada, las organizaciones pueden sufrir pérdidas de ingresos o responsabilidades legales.

La gestión del riesgo de modelos (MRM) implica validar modelos y herramientas antes y después de su implementación y hacer ajustes a lo largo de su ciclo de vida para proteger su integridad.

La gestión de riesgos de la cadena de suministro (SCRM) tiene como objetivo identificar vulnerabilidades en la cadena de suministro y minimizar su impacto en las operaciones, la reputación y el rendimiento financiero de una empresa.

Los riesgos internos y externos de la cadena de suministro pueden provenir de diversas fuentes, como los desastres naturales, acontecimientos geopolíticos, quiebras de proveedores, problemas de calidad y ciberataques. Una SCRM eficaz puede generar resiliencia operativa, identificar áreas de desperdicio o ineficiencia y proteger la reputación de la empresa.

La gestión de riesgos de terceros (TPRM) se dirige a los riesgos asociados a la subcontratación de tareas a proveedores o prestadores de servicios externos. Estas asociaciones con terceros pueden participar en funciones tales como servicios de TI, gestión de la cadena de suministro o atención al cliente.

La TPRM ayuda a las organizaciones a comprender sus relaciones comerciales con terceros y las medidas de seguridad que emplean estos proveedores. Esto ayuda a prevenir problemas, como interrupciones operativas, violaciones de seguridad y fallas de cumplimiento.

La TPRM es un subconjunto de la gestión de riesgos de la cadena de suministro y a veces también se denomina gestión de riesgos de proveedores (VRM).

Las tecnologías de inteligencia artificial (IA) y machine learning (ML) respaldan los programas de gestión de riesgos ayudando a las organizaciones a identificar y mitigar de forma proactiva las amenazas potenciales.

Los especialistas en gestión de riesgos y otros profesionales de riesgos pueden utilizar herramientas y sistemas de IA para detectar mejor los problemas y automatizar las soluciones.

• Análisis predictivos: los algoritmos de machine learning pueden analizar grandes cantidades de datos para identificar patrones y anticipar riesgos potenciales. Por ejemplo, una institución financiera o una compañía de seguros pueden usar herramientas de IA para detectar anomalías y patrones sospechosos en las transacciones o el comportamiento de los usuarios para mitigar los riesgos de fraude.
  
  
• Procesamiento de lenguaje natural (PLN): las herramientas de PLN se pueden utilizar para analizar fuentes de datos no estructuradas, como artículos de noticias, redes sociales o interacciones con los clientes, e identificar cualquier riesgo que pueda afectar a una organización. El análisis de sentimientos impulsado por IA, por ejemplo, podría ayudar a los agentes de atención al cliente a comprender mejor cómo atender las necesidades de una persona que llama en tiempo real.
  
  
• Ciberseguridad: las organizaciones también pueden utilizar la IA para reforzar la seguridad de sus operaciones. Por ejemplo, los sistemas impulsados por IA pueden monitorear el tráfico de red en busca de amenazas potenciales o reconocer nuevos tipos de malware.
  
  
• Eficiencia y optimización: la IA también puede ser útil en la gestión de riesgos de la cadena de suministro. Sus capacidades de análisis de datos podrían identificar posibles interrupciones, como inconsistencias de los proveedores o retrasos en el transporte, o mejorar el pronóstico de la demanda. Este monitoreo proactivo y la respuesta automática pueden reducir el riesgo general y mejorar la eficiencia.

Varias normas e iniciativas internacionales proporcionan orientación sobre la gestión de riesgos. Estos estándares de gestión de riesgos incluyen un conjunto específico de procesos que tienen como objetivo desarrollar una estrategia de gestión de riesgos basada en los objetivos y necesidades de una organización.

Entre las normas internacionales más utilizadas se encuentran:

• ISO 31000: desarrollada por la Organización Internacional de Normalización (ISO), proporciona principios, infraestructuras y procesos para gestionar los riesgos identificados. 
  
  
• Marco de gestión de riesgo empresarial (ERM) de COSO: desarrollado por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO), este marco de gestión de riesgos proporciona orientación sobre la integración de la gestión de riesgos en la estrategia y el rendimiento de una organización.
  
  
• Marco de ciberseguridad del NIST: desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. del Departamento de Comercio de EE. UU., proporciona orientación sobre la gestión de los riesgos de ciberseguridad.
  
  
• Modelo de capacidad GRC: desarrollado por el Open Compliance and Ethics Group (OCEG), proporciona directrices para la gobernanza y el cumplimiento integrados. A veces se conoce como el Libro Rojo de la OCEG.

Estas normas de gestión de riesgos ofrecen el beneficio de un enfoque estructurado. Su uso puede ayudar con la evaluación comparativa y la comparación con competidores o pares de la industria.

Sin embargo, estos estándares pueden ser costosos o llevar mucho tiempo para que algunas organizaciones los implementen y es posible que no sean lo suficientemente flexibles como para cumplir con los requisitos únicos de algunas organizaciones.

Por lo tanto, la decisión de adoptar una norma internacional de gestión de riesgos depende de las necesidades específicas de la organización, la tolerancia al riesgo y el apetito por el riesgo.