Gestión de riesgos: qué es y cómo aplicarla a la empresa

La gestión de riesgos (o risk management) es un proceso empresarial y estructurado que permite detectar, valorar y gestionar los riesgos asociados a una empresa con el fin de garantizar la buena salud y la continuidad operativa de esta. Por tanto, una buena gestión de riesgos ayudará a la empresa a conseguir sus objetivos.

En los últimos años, se ha abandonado progresivamente la idea tradicional y limitada de gestión de riesgos, según la cual el riesgo se veía como una entidad ajena a la empresa, a menudo sin responsables y con una connotación exclusivamente negativa. El sentido moderno del término «gestión de riesgos» es más amplio: se refiere a las consecuencias de los riesgos tanto con una connotación negativa de amenaza como con la connotación positiva de oportunidad asociada a un acontecimiento inesperado (por ejemplo, en el caso de que se asuma un riesgo financiero).

Por tanto, la gestión de riesgos está cada vez más estrechamente asociada a la estrategia y la cultura empresariales.

Gestión de riesgos: ejemplos de riesgos empresariales

Pero ¿cuáles son las fuentes de las que puede derivarse un riesgo empresarial que habría que gestionar mediante la gestión de riesgos? He aquí algunos tipos de riesgo, con ejemplos concretos:

• Accidentes, desastres naturales, errores humanos o técnicos. Este tipo de riesgos se conocen como riesgos operativos y se refieren a factores internos o externos que interrumpen la continuidad operativa de una empresa.
• Incertidumbre financiera, acontecimientos micro y macroeconómicos como fluctuaciones del mercado, crisis o ciclos económicos. En este caso, se habla de riesgos económicos y financieros que conducen a una pérdida de capital.
• Responsabilidades legales, incumplimiento de la normativa aplicable: estos riesgos asociados al denominado «compliance» llevan a la empresa a pagar sanciones y multas.
• Riesgos informáticos. La seguridad informática es cada vez más importante y los fallos en este ámbito, como un robo de datos, pueden tener consecuencias económicas, interrumpir las operaciones y perjudicar la reputación de la empresa.
• Riesgos asociados a la reputación de la marca —una cobertura negativa en los medios de comunicación o valoraciones pésimas—. Se trata de riesgos que siempre han existido, pero que en los últimos años se ven cada vez más amplificados debido a las redes sociales .
• Errores en la estrategia empresarial que ponen en peligro a la empresa y su capacidad de ser competitiva en el mercado: se trata de los llamados riesgos estratégicos.
• [….]

Los tipos de riesgo son estos y otros tantos: de hecho, dependen en gran medida de los objetivos de la empresa y del sector en el que opere.

Cómo funciona la gestión de riesgos

Entonces, ¿qué es la gestión de riesgos? Es un proceso —llevado a cabo por los gerentes de la empresa, por un experto o por un equipo encargado de ello— que considera el impacto de los riesgos en la salud de la empresa: en los servicios, la operatividad, el patrimonio y el rendimiento.

Para ello, el proceso de gestión de riesgos se implementa en distintas fases. Para simplificar, podemos agruparlas así:

• Identificación y análisis de los riesgos: se procede a identificar los riesgos potenciales que pueden influir negativamente (pero también positivamente) en la salud de nuestra empresa y la consecución de los objetivos. Estos riesgos deben ser analizados, es decir, se debe medir la posibilidad de que se produzcan y su impacto en la empresa.
• Valoración de los riesgos. Una vez identificados os riesgos, se pasa a la valoración. El valor del riesgo se determina en función de la probabilidad de que se produzca multiplicada por su impacto: un riesgo de impacto catastrófico pero con bajísima probabilidad de producirse tendrá un valor más bajo que otros riesgos más probables pero con un impacto menos destructivo. La valoración es la herramienta que permite a la empresa reconocer los riesgos y ser consciente de ellos.
• Gestión de los riesgos. Una vez aclarados los riesgos potenciales y su impacto, habrá que implementar estrategias para gestionarlos. Algunos riesgos pueden mitigarse, prevenirse y reducirse, es decir, se puede reducir la probabilidad de que se produzcan o la magnitud de su impacto. Por ejemplo, las actualizaciones de software frecuentes pueden dificultar los ataques informáticos, mientras que la realización con frecuencia de copias de seguridad reducirá el impacto de dichos ataques. Otros riesgos pueden transmitirse a otros sujetos —por ejemplo, a un seguro o a un socio—; y, por último, otros riesgos pueden asumirse de manera consciente, en su totalidad o en parte.
• Supervisión de los riesgos: lógicamente, los riesgos y objetivos empresariales van evolucionando con el tiempo. Por tanto, es necesario llevar a cabo una supervisión continua de la evolución de los riesgos y del proceso en sí de gestión de riesgos.

El sentido de la gestión de riesgos: las ventajas para las empresas

Todas las empresas, a su manera, practican algún tipo de gestión de riesgos. Las empresas más grandes y estructuradas tienen un departamento y personal expresamente dedicados a esto. Las empresas más pequeñas, a menudo de forma inconsciente, gestionan los riesgos de manera informal y poco integrada con el resto de las dinámicas de la empresa.

¿Por qué deberían las empresas recurrir a la gestión de riesgos y de manera consciente y estructurada? Porque, en definitiva, la gestión del riesgo empresarial mejora el valor de la empresa. En particular:

• ayuda a la empresa a alcanzar sus objetivos;
• mejora el rendimiento reduciendo la variabilidad;
• aumenta la confianza de los inversores en la empresa;
• hace que la empresa sea más competitiva en el mercado al ser capaz de responder mejor y más rápidamente al cambio.

Por este motivo, la gestión de riesgos debería pasar a formar parte de la cultura de la empresa, ser integrada en la estrategia y, en la medida de lo necesario, modificar la estructura y los procesos empresariales.

El Chief Risk Officer: funciones y papel en la empresa

La gestión de riesgos es un proceso que decido el consejo de administración y la dirección y que es implementado por ellos y por otras figuras de la empresa. La figura principal es el Chief Risk Officer.

En pocas palabras, el Chief Risk Officer (CRO) es el directivo encargado de valorar y reducir los riesgos —operativos, económicos, normativos, tecnológicos y de reputación— considerados significativos para la salud de la empresa, el capital y el rendimiento.

Las responsabilidades del Chief Risk Officer pueden cambiar en función del tipo de empresa, del sector y de las dimensiones. En cualquier caso, el Chief Risk Officer deberá:

• elaborar un plan de gestión de riesgos e implementarlo;
• encargarse de que se lleven a cabo las distintas fases de la ges riesgo: identificación, valoración, gestión y supervisión del riesgo;
• asignar los recursos financieros adecuados a las distintas actividades de gestión de riesgos;
• comunicar las valoraciones del riesgo al consejo de administración y a todas las partes interesadas de la empresa.

Cómo crear el perfil para la gestión del riesgo empresarial

La gestión de riesgos es una valiosa herramienta para las empresas para empezar a gestionar los riesgos de manera estructurada, garantizando una mayor estabilidad y continuidad. La designación de un Chief Risk Officer por sí sola no es suficiente para garantizar la eficacia del proceso de gestión del riesgo empresarial, sino que también es necesario:

• un compromiso por parte de los directivos de la empresa con la gestión de riesgos;
• la asignación de recursos adecuados a la gestión de riesgos;
• la integración de la gestión de riesgos en la cultura empresarial mediante eventos formativos.

Por último, los directivos deben asignar las responsabilidades relativas a la gestión de riesgos dentro de la organización. ¿Cómo se escoge al recurso que deberá hacer las funciones de Chief Risk Officer?

Sin duda, el perfil del Chief Risk Officer debe tener competencias transversales: lógicamente, debe conocer los principios de la gestión de riesgos y las herramientas de análisis y valoración del riesgo. Pero no basta con eso: también necesita tener conocimientos avanzados del sector en el que opera l’a empresa, de la organización empresarial y de los procesos ya consolidados en el seno de la empresa. En último lugar, el Chief Risk Officer debe tener excelentes aptitudes interpersonales y saber dialogar con los distintos actores implicados, así como conocer el ámbito de los seguros y de la gestión empresarial.

Recursos útiles para la gestión de riesgos

FERMA (Federation of European Risk Management Associations) es la federación de asociaciones europeas de gestión de riesgos y ofrece herramientas útiles tanto para empresas como para profesionales de gestión de riesgos. En particular, ofrece eventos formativos —incluso online—, informes y novedades en relación con el marco normativo en Europa y programas de certificación para profesionales del sector.

Por otra parte, ANRA es la asociación nacional italiana de gerentes de riesgos y responsables de seguros empresariales. En su portal puede encontrarse material útil para la formación continua, cursos y talleres, metodologías y casos de estudio.

Las normas ISO 31000 y ISO 31010 ofrecen principios y directrices para la gestión y valoración del riesgo. No son específicas de ningún sector, por lo que pueden ser utilizadas por cualquier empresa u organización pública. Estas normas pueden aplicarse a cualquier tipo de riesgo (con consecuencias positivas o negativas) en distintos tipos de actividades empresariales y organizativas. La norma ISO 31000 puede consultarse gratis aquí y la norma ISO 31010, aquí.