Enfoque activo, integrado y ágil del riesgo ante la disrupción

El actual panorama empresarial está llevando a las empresas a cuestionar la fortaleza de sus programas de gestión de riesgos frente a los rápidos cambios, la competencia disruptiva, un imparable ciclo de noticias y una crisis global de confianza. A pesar de la necesidad crítica de agilidad en el riesgo, la evolución de los sistemas de gestión de riesgos es lenta.

KPMG US ha realizado un estudio benchmarking para evaluar el estado actual de las prácticas de gestión de riesgos en distintas industrias. Los resultados del estudio han servido para identificar algunas áreas de prioridad, retos y buenas prácticas.

En relación a las áreas de prioridad…

El estudio mostró la importancia de una mayor participación de las partes interesadas y la conectividad de las organizaciones, manteniendo la fortaleza de los elementos básicos de los programas de gestión de riesgos (taxonomía común, evaluación anual de riesgos, reporting periódico, etc).

Reforzar el liderazgo y la participación de los órganos de gobierno y la Dirección en la gestión de riesgos se considera muy relevante y con margen de mejora por el 50% de los encuestados. Algunas medidas citadas para conseguir involucrarles son apoyarse en líderes que actúen como “influencers” en la organización, crear un comité de riesgos, evaluar la frecuencia y la duración de los debates sobre los riesgos, mejorar los cuadros de mando y conectar el riesgo y la estrategia para identificar oportunidades, examinar correlaciones de riesgos e impactos en prioridades estratégicas.

Otro aspecto relevante es fomentar una sólida cultura de riesgo a través de aprendizaje y conocimiento, intercambiando historias de éxito y lecciones aprendidas para comprender los efectos del riesgo y la conexión con la toma de decisiones rutinarias.

Finalmente, la integración de la función de riesgos con otras funciones de aseguramiento (calidad, seguridad y salud, compliance, legal, etc) y con la organización en su conjunto es considerada como un factor necesario para el éxito y madurez de los programas de gestión de riesgos dado que es una forma efectiva de consolidar diversidad de perspectivas y conseguir un alcance multidisciplinar del riesgo.

Algunos retos identificados…

  • Enfoque dinámico del riesgo. Una minoría de encuestados afirmó disponer de un reporting de riesgos dinámico y orientado a futuro. Es importante comprender la velocidad del riesgo, la interconectividad y el impacto de los riesgos individuales en el conjunto de riesgos de la empresa para poder tener una mejor comprensión del efecto total del riesgo y asegurar que se abordan adecuadamente.
  • El riesgo emergente como vulnerabilidad. Si bien los encuestados reconocieron la criticidad de los riesgos emergentes (nuevas tecnologías, nuevos participantes en el mercado, cambio en la dinámica de los clientes, etc), especialmente en el entorno empresarial actual, también señalaron que se trataba de un área de vulnerabilidad conocida. En general, estos riesgos tienen un fuerte componente de estrategia. Por ello, los gestores de riesgos que consideran la planificación estratégica en sus programas, expresan una mayor confianza en su cobertura de los riesgos emergentes.
  • Aplicación del apetito de riesgo y la tolerancia. Los participantes en el estudio reconocieron que, si bien los conceptos de apetito de riesgo y tolerancia se comprenden en el plano teórico, tienen dificultades para su aplicación práctica. Algunas empresas más avanzadas integran el apetito de riesgo y la tolerancia en los debates sobre la evaluación cualitativa del riesgo, enriqueciendo el diálogo sobre qué riesgos son aceptables e inaceptables para los responsables de la toma de decisiones.
  • Uso de datos y tecnología. El mejor uso de los datos y la tecnología para apoyar la gestión de riesgos sigue siendo un área por explotar para muchas organizaciones. Las organizaciones que disponen de herramientas GRC reconocen un beneficio significativo en la captura de información, la presentación de informes y el análisis holístico de los riesgos y en la mejora de la visibilidad y la toma de decisiones. El reto está en la integración de la analítica de datos.

Algunas buenas prácticas …

En el estudio se han identificado algunas  buenas prácticas para conseguir una gestión eficaz de riesgos. Por una parte, las más comúnmente identificadas son:

  • (i) la supervisión de la gestión de riesgos para  garantizar el seguimiento de la mitigación / medición de riesgos asignada a los propietarios y coordinadores de los riesgos,
  • (ii) el establecimiento de una función de riesgos corporativa que se encargue de la coordinación del proceso de actualización y agregación de riesgos así como de retar de manera constructiva a los gestores de riesgos,
  • (iii) la evaluación independiente de auditoría interna sobre la prioridad de los planes de mitigación y
  • (iv) la mejora de la presentación de informes de riesgos como una palanca para incrementar involucración de los órganos de gobierno/alta dirección.

Por otra parte, las prácticas más avanzadas en materia de riesgos son:

  • (i) la realización de test de stress / análisis de escenarios,
  • (ii) la revisión y seguimiento de los KRIs y planes de mitigación/acción por una función de riesgos centralizada y
  • (iii)  la coordinación de esta función con otras funciones de aseguramiento para obtener un enfoque holístico de riesgos.

En definitiva, se observa que los programas de gestión de riesgos actuales están resultando en muchos casos inefectivos debido a un entorno cada vez más difícil e incierto. Una gestión de riesgos efectiva puede contribuir a generar valor, ayudando a las organizaciones a identificar riesgos y oportunidades. En nuestro estudio, las compañías están haciendo los movimientos correctos para gestionar el riesgo, pero la pregunta es, ¿se están moviendo lo suficientemente rápido? Consideramos que esta pregunta exige una reflexión en contexto actual marcado precisamente por la revisión de los planes estratégicos, planes de auditoría, mapas de riesgos, etc. tras el COVID-19.