¿Qué es la gestión del riesgo empresarial? La gestión del riesgo empresarial o ERM se define como la cultura, las capacidades y las prácticas integradas con la fijación de la estrategia y los objetivos en los que se basan las organizaciones para gestionar el riesgo en la creación, preservación y realización del valor.

¿Qué es la gestión del riesgo empresarial?

En 2004, el Comité de Organizaciones Patrocinadoras de la Comisión Treadway o COSO publicó Enterprise Risk Management – Integrated Framework. El propósito de la publicación era ayudar a las organizaciones a proteger y mejorar mejor el valor de las partes interesadas. Su filosofía subyacente era que «el valor se maximiza cuando la administración establece la estrategia y los objetivos para lograr un equilibrio óptimo entre los objetivos de crecimiento y rendimiento y los riesgos relacionados, y despliega recursos de manera eficiente y efectiva en la búsqueda de los objetivos de la entidad». 

Desde su publicación, el Marco COSO se ha utilizado con éxito en todo el mundo, en todos los sectores y en organizaciones de todo tipo y tamaño para identificar los riesgos, gestionarlos dentro de un apetito de riesgo definido y apoyar la consecución de los objetivos. Sin embargo, aunque muchos han aplicado el marco en la práctica, tiene el potencial de ser utilizado más ampliamente. Se beneficiaría de un examen más profundo y claro de ciertos aspectos y de una mayor comprensión de los vínculos entre estrategia, riesgo y rendimiento.

En respuesta, el Marco actualizado en esta publicación: conecta más claramente la gestión del riesgo empresarial con una multitud de expectativas de las partes interesadas; posiciona el riesgo en el contexto del desempeño de una organización, en lugar de ser objeto de un ejercicio aislado; y permite a las organizaciones anticipar mejor el riesgo para poder abordarlo con mayor eficacia, entendiendo que el cambio crea oportunidades, no simplemente el potencial de crisis. Esta actualización también responde a la demanda de un mayor énfasis en cómo la gestión de riesgos empresariales informa la estrategia y su rendimiento. 

La gestión del riesgo empresarial no es algo estático ni adjunto a la empresa. En cambio, se aplica continuamente a todo el ámbito de actividades, así como a proyectos especiales y nuevas iniciativas. Forma parte de las decisiones de gestión en todos los niveles de la entidad. 

Las prácticas utilizadas en la gestión del riesgo empresarial se aplican desde los niveles más altos de una entidad y fluyen hacia abajo a través de las divisiones, unidades de negocio y funciones. Las prácticas pretenden ayudar a las personas de la entidad a entender mejor su estrategia, qué objetivos empresariales se han fijado, qué riesgos existen, cuál es la cantidad aceptable de riesgo, cómo afecta el riesgo al rendimiento y cómo se espera que gestionen el riesgo. A su vez, esta comprensión apoya la toma de decisiones en todos los niveles y ayuda a reducir el sesgo organizacional. 

Tal y como se ha practicado habitualmente, la gestión del riesgo empresarial ha ayudado a muchas organizaciones a identificar, evaluar y gestionar los riesgos para su estrategia. Sin embargo, las causas más significativas de la destrucción de valor se encuentran en la posibilidad de que la estrategia no apoye la misión y la visión de la entidad y las implicaciones de la estrategia.

La gestión del riesgo empresarial también mejora la selección de la estrategia. Elegir una estrategia requiere una toma de decisiones estructurada que analice el riesgo y alinee los recursos con la misión y la visión de la organización. 

Todas las organizaciones deben establecer una estrategia y ajustarla periódicamente, siendo conscientes de las oportunidades siempre cambiantes de crear valor y de los retos que se presentarán en la búsqueda de ese valor. Para ello, necesitan el mejor marco posible para optimizar la estrategia y el rendimiento. Ahí es donde entra en juego la gestión del riesgo empresarial.

La gestión de riesgos de la empresa afecta a la estrategia

«Estrategia» se refiere al plan de una organización para lograr su misión y visión y aplicar sus valores fundamentales. Una estrategia bien definida impulsa la asignación eficiente de recursos y la toma de decisiones eficaz. También proporciona un plan para establecer los objetivos empresariales. La gestión del riesgo empresarial no crea la estrategia de la entidad, pero influye en su desarrollo. Una organización que incorpora las prácticas de gestión del riesgo empresarial en una estrategia proporciona a la dirección información sobre los riesgos. Esto le permite considerar estrategias alternativas y, en última instancia, implementar una estrategia elegida. 

Varios conceptos de control interno se incorporan a la gestión del riesgo empresarial. «Control interno» se refiere al método implementado por una entidad para proporcionar una garantía razonable de que los objetivos se cumplirán. El control interno ayuda a la organización a identificar y analizar los riesgos para alcanzar esos objetivos y gestionar los riesgos. Permite a la administración mantenerse enfocada en las operaciones de la entidad y perseguir sus objetivos de desempeño mientras cumple con las leyes y regulaciones relevantes. 

Reflexiones finales

La ERM adopta un enfoque global y requiere decisiones a nivel de gestión que pueden no ser apropiadas para una sola unidad o segmento de negocio. Como resultado, en lugar de que cada unidad de negocio sea responsable de su propia gestión de riesgos, la vigilancia de toda la empresa tiene prioridad. Por ejemplo, si un gestor de riesgos de un banco de inversión se da cuenta de que dos mesas de negociación en diferentes áreas de la empresa tienen exposiciones similares al mismo riesgo, el gestor de riesgos puede obligar a la menos importante de las dos a eliminar esa posición. Esta elección se hace pensando en toda la empresa (no en la mesa de operaciones concreta).