En la gestión de riesgos corporativos, el papel del Chief Risk Officer (CRO) va mucho más allá de la simple identificación y categorización de riesgos. El CRO es un arquitecto estratégico de la resiliencia organizacional, responsable de crear procesos que permitan gestionar los riesgos de manera sistemática. Este rol es particularmente desafiante en un escenario global marcado por cambios rápidos, volatilidad económica, transformaciones tecnológicas y riesgos emergentes que desafían los modelos tradicionales de gestión.
Para afrontar estas demandas, es esencial adoptar un enfoque estructurado que permita priorizar eficazmente los recursos, a menudo limitados, asegurando que las acciones estén alineadas con los objetivos organizacionales a corto y largo plazos. En este contexto, las normas ISO 31000 e ISO 31050 surgen como guías indispensables. La ISO 31000 proporciona un marco robusto para la gestión de riesgos, mientras que la ISO 31050 complementa al abordar los riesgos emergentes y sus particularidades. Juntas, estas normas ofrecen principios y orientaciones prácticas que respaldan la toma de decisiones imparcial y basada en evidencia, permitiendo que las organizaciones naveguen con confianza en entornos de creciente complejidad e incertidumbre.
El CRO, al incorporar estas directrices, no solo contribuye a la estabilidad y seguridad de la organización, sino que también promueve una cultura de gobernanza responsable y proactiva, esencial para el éxito sostenible en el mercado competitivo actual.
La imparcialidad en la evaluación de riesgos
Las decisiones basadas en datos y evidencias son fundamentales para una gestión de riesgos eficaz, ya que eliminan el subjetivismo y reducen la influencia de sesgos cognitivos, garantizando un enfoque más preciso y confiable. La norma ISO 31000 enfatiza que el proceso de gestión de riesgos debe basarse en información de calidad, analizada rigurosamente e interpretada a la luz de los objetivos estratégicos de la organización.
Por ejemplo, las herramientas de análisis predictivo permiten anticipar tendencias e impactos, como en el caso de las empresas del sector financiero que utilizan modelos estadísticos para evaluar la probabilidad de morosidad en sus carteras de crédito. Además, integrar fuentes de datos internas y externas, como informes de auditoría, indicadores de desempeño y estudios de mercado, ofrece una visión más integral del entorno de riesgos. Este enfoque estructurado mejora la asignación de recursos y aumenta la confianza de las partes interesadas en los procesos de toma de decisiones.
La norma ISO 31000 refuerza que el análisis de riesgos debe basarse en criterios claros. El apartado 6.4.4 de la norma presenta alternativas prácticas, como mantener los controles existentes, implementar tratamientos de riesgos o realizar análisis detallados, dependiendo de la evaluación del impacto, la probabilidad y otros criterios de riesgos. Por ejemplo, una industria farmacéutica puede adoptar el seguimiento en tiempo real para envíos de alto valor como una solución viable para reducir costos y mitigar riesgos operativos.
Figura 1 – El CRO promueve una cultura de gobernanza responsable y proactiva en la organización.
Apetito y tolerancia al riesgo: estructurando decisiones eficientes
La definición del apetito al riesgo es un componente central de la gobernanza corporativa y de la gestión estratégica, ya que establece los límites aceptables de exposición al riesgo, alineándolos con los objetivos organizacionales. Según la norma ISO 31000, el apetito al riesgo representa la disposición de la organización para asumir riesgos en la búsqueda de sus objetivos. Esta definición no es estática; debe revisarse continuamente para reflejar cambios en el entorno interno y externo, como condiciones económicas, avances tecnológicos y transformaciones en el mercado regulatorio.
Definir claramente el apetito al riesgo implica considerar factores como la tolerancia de la alta dirección a la incertidumbre, los requisitos de cumplimiento normativo y las expectativas de las partes interesadas. Un ejemplo práctico es el de una empresa del sector bancario que define un apetito al riesgo conservador para fraudes financieros, estableciendo controles estrictos e inversiones significativas en ciberseguridad, mientras acepta niveles más altos de riesgo en áreas de innovación tecnológica para mantenerse competitiva.
Sin embargo, definir el apetito al riesgo es solo el primer paso. La comunicación efectiva de este apetito en todos los niveles de la organización es igualmente importante para garantizar que las decisiones operativas y estratégicas sean coherentes con las directrices establecidas. Esta comunicación debe ser clara, continua y adaptada al público objetivo, utilizando formatos como mapas de calor, manuales de políticas y capacitaciones específicas para líderes y equipos operativos.
Por ejemplo, en el sector de la salud, el apetito al riesgo puede comunicarse a los gestores clínicos mediante un manual que especifique los niveles de tolerancia para eventos adversos en procedimientos médicos, mientras que las capacitaciones prácticas orientan al equipo operativo sobre cómo identificar y responder a riesgos dentro de esos parámetros. Además, el uso de tableros digitales en tiempo real puede ayudar a monitorear indicadores clave de riesgos (KRIs) y alertar sobre exposiciones que excedan los límites definidos.
La definición y comunicación efectivas del apetito al riesgo fortalecen la toma de decisiones en toda la organización, evitando la asignación inadecuada de recursos y garantizando que las acciones estén dirigidas al cumplimiento de los objetivos estratégicos. Cuando se implementan correctamente, estas prácticas crean una cultura de riesgo integrada, donde todos los niveles de la organización entienden sus responsabilidades y actúan de manera alineada para gestionar riesgos de forma proactiva y eficiente.
El alineamiento entre el apetito al riesgo, las prioridades estratégicas y el presupuesto es esencial para que la gestión de riesgos se convierta en un habilitador de la estrategia organizacional, en lugar de percibirse como un costo o una barrera para el crecimiento. Este alineamiento comienza con la traducción del apetito al riesgo en criterios prácticos que orienten la priorización de inversiones y la asignación de recursos.
Además, es fundamental que el apetito al riesgo esté integrado en el proceso de planificación estratégica y financiera, garantizando que las decisiones relacionadas con el presupuesto reflejen las prioridades organizacionales. Esto puede lograrse mediante herramientas como el análisis costo-beneficio basado en riesgos, que permite comparar los retornos potenciales de diferentes iniciativas desde la perspectiva de la exposición al riesgo.
Este alineamiento promueve la eficiencia, ya que evita la dispersión de recursos en áreas que no contribuyen significativamente a los objetivos organizacionales. Más importante aún, fortalece la confianza de las partes interesadas, demostrando que la gestión de riesgos está integrada en la creación de valor, garantizando no solo la supervivencia de la organización, sino también su competitividad y sostenibilidad a largo plazo.
Riesgos emergentes y la contribución de la ISO 31050
Los riesgos emergentes, caracterizados por su imprevisibilidad y su potencial impacto disruptivo, representan desafíos únicos para las organizaciones. A menudo, estos riesgos surgen como señales débiles o tendencias incipientes, como avances tecnológicos disruptivos o cambios climáticos, que pueden intensificarse rápidamente y amplificar otros riesgos.
La norma ISO 31050 destaca que la ausencia de datos históricos sobre riesgos emergentes requiere el uso de herramientas predictivas, como la modelación de escenarios y simulaciones, para comprender y cuantificar estos riesgos. Por ejemplo, una empresa de software puede modelar escenarios para anticipar los impactos de regulaciones emergentes sobre inteligencia artificial, mientras que una multinacional del sector alimenticio asigna un 5% de su presupuesto para gestionar eventos inesperados, como desastres climáticos.
Además, la interconexión de los riesgos emergentes exige un enfoque integrado. La pandemia de COVID-19, por ejemplo, no solo fue una crisis de salud pública, sino que también tuvo repercusiones significativas en las cadenas de suministro y en los mercados financieros, subrayando la necesidad de una resiliencia sistémica. En este contexto, enfoques colaborativos que combinan análisis especializado, big data e inteligencia artificial son fundamentales para ayudar a las organizaciones a identificar patrones emergentes y responder de manera ágil y efectiva.
Figura 2 – Pensar en la resiliencia sistémica será vital en los próximos años.
Conclusión
La gestión eficaz de riesgos corporativos está intrínsecamente vinculada a la imparcialidad en la toma de decisiones, un principio que solo puede garantizarse mediante procesos estructurados y criterios claros. La imparcialidad elimina las subjetividades, asegurando que las decisiones estén basadas en datos y evidencias concretas, alineadas con los objetivos estratégicos de la organización. Marcos de referencia como las normas ISO 31000 e ISO 31050 son fundamentales en este contexto, ya que proporcionan directrices que transforman la gestión de riesgos en un proceso objetivo y transparente, minimizando la influencia de sesgos personales o presiones externas.
Cuando la imparcialidad se convierte en una prioridad, el alineamiento de las decisiones de gestión de riesgos con el apetito al riesgo de la organización fluye de manera natural, permitiendo una asignación eficiente de recursos y un enfoque en las prioridades más relevantes. Este enfoque no solo fortalece la gobernanza corporativa, sino que también aumenta la confianza de las partes interesadas, que perciben el compromiso de la organización con la adopción de las mejores prácticas globales para gestionar incertidumbres y aprovechar oportunidades.
De esta manera, la imparcialidad en la gestión de riesgos no es solo un valor esencial, sino también un diferencial estratégico. Transforma la gestión de riesgos en una herramienta robusta de protección y, al mismo tiempo, en un catalizador de innovación y crecimiento sostenible, permitiendo que las organizaciones enfrenten desafíos complejos con resiliencia y eficiencia, incluso en entornos de cambio constante.