¿Qué es Enterprise Risk Management y cuál es su importancia?

En pocas palabras la Gestión Integral de Riesgos o ERM se ha convertido en una de las herramientas gerenciales más relevantes para convertir los riesgos en oportunidades. Existe un sinnúmero de organizaciones, que a través de ERM, han logrado crear y proteger valor sistemáticamente, ser más resilientes, más competitivas y más sostenibles.

Fundamentalmente, la Gestión de Riesgos hace que las organizaciones se preparen mejor ante los riesgos, al seguir los pasos del proceso de Gestión de Riesgos, lo cual las hace “mirar a través del catalejo”, y prepararse mejor ante las vicisitudes que puedan estar a la vuelta de la esquina.

ERM consistentemente va elevando su significancia para actuar concomitantemente con el buen gobierno corporativo, el control interno y la planeación estratégica en un coordinado engranaje. Lo anterior proporciona herramientas de toma de decisión a la alta gerencia, a nivel de Junta Directiva, y de manera transversal en la organización en pro de maximizar el valor organizacional, proteger su futuro y garantizar su prosperidad y continuidad en un entorno de mercado rápidamente cambiante. Este concepto es incluso reforzado por los recientes cambios en la norma COSO ERM, ISO31000 y el pensamiento basado en riesgos del estándar de Gestión de Calidad (ISO9001:2015), donde la gestión estratégica de riesgos retroalimenta a la definición de objetivos y a la planeación estratégica.

Si abordamos una posible descripción más formal de la Gestión Integral de Riesgos o ERM, podemos decir que ésta establece el marco de referencia, la estructura organizacional, y las disposiciones que una organización define para identificar, valorar, tratar, monitorear, revisar y comunicar de forma sistemática aquellos eventos que podrían afectar de manera negativa o positiva el logro de sus objetivos.

El contar con un ERM pasó de ser un “nice to have” y se ha convertido en un “must have”, y en general parte desde un compromiso y mandato desde la alta gerencia, que es luego difundido y permeado en toda la organización en la apropiada Cultura de Riesgos. ERM también es el cimiento y base para la construcción de otros elementos de gestión de riesgo y resiliencia organizacional, como la continuidad de negocio, la gestión de crisis, la gestión de riesgo reputacional, gestión de riesgo cibernético, entre otros.

En resumen, hoy en día es vital que las organizaciones gestionen sus riesgos con miras a aportar a la resiliencia, a la competitividad y a la sostenibilidad organizacional para responder a un vertiginoso ritmo de cambio del mundo, las tendencias que marcarán el mañana y las disrupciones que enmarcarán el futuro.

¿Qué tipo de empresas necesitan los servicios de ERM (Enterprise Risk Management)?

Si comparamos una organización con un barco, donde el “capitán” del barco está representado por la alta gerencia, el “cartógrafo” o quien traza la trayectoria es la planeación estratégica y la tripulación es el resto de la organización, ERM sería el “vigía”. Es aquella funcionalidad que me permitirá ver más lejos y cambiar el rumbo si es necesario ante circunstancias cambiantes de la trayectoria. Es por esto que, así como todo barco requiere de un vigía, toda organización requiere de ERM.

Dentro de los ejemplos más relevantes del porqué las organizaciones están implementando esta herramienta, encontramos el cumplimiento de exigencias regulatorias, por ejemplo para aquellas empresas que transan su acción en bolsa, o para organizaciones de algunos sectores altamente regulados, las empresas que se quieren certificar en Gestión de Calidad en su versión más reciente (ISO9000 versión 2015) o porque sencillamente, sus actividades “core” de negocio hacen que intrínsecamente se deba hacer gestión de riesgos, como la minería, o sector hidrocarburos.

¿Cuál es el primer paso para iniciar una gestión más integral del riesgo en una empresa?

Si en la organización no se ha ejecutado ninguna actividad de Gestión de Riesgos, es recomendable empezar por “tomar una radiografía” de la actualidad organizacional, a través del levantamiento de los riesgos estratégicos. Luego de contar con esta matriz de riesgos, es lógico continuar con los siguientes pasos del proceso de gestión de riesgos: tratarlos, monitorearlos, comunicarlos y registrarlos.  Estos pasos, se deben ejecutar secuencialmente y de manera iterativa para lograr reducir la exposición al riesgo. Adicionalmente este proceso se debe cumplir sobre unas bases o cimientos de la gestión de riesgos, como la Política de Riesgos que contiene la declaración del apetito de riesgos desde la alta gerencia, y el Manual de Gestión de Riesgos, que contiene el procedimiento.

¿Para qué tamaño o tipo de empresas aplica la Gestión de Riesgo Integral?

La aplicación de ERM no es exclusiva para ningún sector o industria, ni tampoco para determinado tamaño de organización. Todas las organizaciones, de cualquier sector o tamaño pueden aplicar la gestión integral de riesgos. A pesar de lo anterior, definitivamente encontramos que existen diferentes grados de madurez en las empresas de ciertos sectores. En nuestro estudio anual REIMAGINE RISK, el cual hacemos en conjunto entre Marsh Risk Consulting y RIMS (The Risk and Insurance Management Society) típicamente encontramos que los sectores financiero, minero y energético son los que mayor avance tienen.

Por supuesto, es necesario que el alcance que se le otorgue al ERM en la organización, responda a su tamaño, estructura, complejidad y ritmo de desarrollo. En las organizaciones que mejor funciona la aplicación de ERM, son aquellas en las que la gestión de riesgos se ha adoptado de manera práctica y por convicción de la organización, y en especial, la de la alta gerencia. En el lado opuesto de la balanza, se encuentran aquellas organizaciones en las que se ha aplicado llanamente por cumplir con un requerimiento regulatorio o por obligación. Para que la aplicación de ERM surta efecto y realmente se aprecie el valor y el esfuerzo de haberlo aplicado, debe haber una articulación efectiva entre ERM y la cultura organizacional. La adecuada cultura de riesgo, es el vehículo que realmente logrará volver realidad la estrategia de riesgos de una organización y en consecuencia, será la responsable de que verdaderamente se logren convertir riesgos en oportunidades.

¿Qué situaciones son las más comunes en temas de riesgos, y que no se contemplan regularmente en una póliza de seguros?

Del amplio espectro de riesgos a los que se encuentra expuesta una organización, las reales caídas en valor de la acción o reales disrupciones patrimoniales, se han manifestado principalmente por riesgos de índole estratégica, operacional o financiera y no necesariamente por riesgos de índole pura, o en otras palabras, aquellos riesgos que son típicamente asegurables (terremoto, incendio, inundación). Los riesgos puros, que son mayoritariamente asegurables, muy pocas veces son el motivo por el cual una organización quiebra, o pierde valor de manera significativa. En este tenor, cabe resaltar que menos del 25% de los riesgos estratégicos son realmente asegurables. Eso quiere decir que, en promedio para 3 de cada 4 riesgos empresariales, no son transferibles al mercado asegurador y por lo tanto su gestión estará completamente en manos de una buena gestión preventiva o mitigatoria de parte de la organización. Por ejemplo, uno de los activos intangibles más importantes para las organizaciones en la actualidad, es la reputación. Hoy en día, no existe una póliza de seguro para este rubro. Por lo anterior, los mitigantes o elementos de prevención ante el riesgo reputacional, recaen 100% en las acciones de la organización misma.

Otros ejemplos de riesgos no asegurables y que representan reales amenazas para las organizaciones, son las fallas en la investigación y desarrollo, fallas en la diversificación de portafolio, estrategias de crecimiento inorgánico (fusiones o adquisiciones), gestión estratégica del talento (retención, reclutamiento, sucesión, etc.), gestión del cambio o modelo de negocio, riesgo de interrupción de negocio (más allá del lucro cesante), riesgos de gobierno corporativo y planeación estratégica.

¿Cómo puede conocer más sobre la Gestión Integral de Riesgos?

En Guatemala existen pocas empresas que ofrecen este servicio de manera integral, en Tecniseguros, corresponsal de Marsh & McLennan Companies, somos sus asesores para la implementación de esta práctica en su empresa.  Contáctenos a informacion@tecniseguros.com

Entrevista realizada a Antonia Durán, Líder Regional de la práctica de ERM en Latinoamérica y Líder de Marsh Risk Consulting Centroamérica y Caribe.