Enterprise Risk Management (ERM). ¿Qué es y cómo implementarlo en la organización?

Un ecosistema empresarial seguro

La gestión de riesgos y oportunidades son uno de los factores diferenciadores de las organizaciones, el hecho de que se gestionen no garantizan el éxito (porque esto depende de muchos factores), pero si no se gestionan, el fracaso de la propuesta es inminente. También hay que destacar que muchas organizaciones son nativos del cambio y, por lo tanto, han sabido gestionar el riesgo y las oportunidades de forma natural, no obstante el uso de marcos normativos son muy útiles, de manera que esas lecciones aprendidas sean de fácil aplicación en el resto del ecosistema, porque un ecosistema organizacional con riesgos debidamente tratados también es parte del recorrido del camino del éxito, pues, las organizaciones no surgen solas ni se sustentan de la nada.

5 marcos normativos para gestionar riesgos y oportunidades 

Los marcos normativos más comunes en los que se afianzan las organizaciones para abordar los riesgos son: 

1. COSO:   es un acrónimo que se refiere al Comité de Organización y Supervisión de los Sistemas de Control Interno (COSO), corresponde al marco de control interno de la Comisión de Valores de los Estados Unidos en 1992 y su última versión es de 2017.
2. ISO 31000: Este marco normativo internacional proporciona una guía para la gestión de riesgos y está diseñado para ser aplicable a cualquier organización, independientemente de su tamaño o sector. Es de la ISO y su última versión es del 2018.
3. NIST: El marco de seguridad de la información del Instituto Nacional de Estándares y Tecnología (NIST) es un marco de seguridad de la información ampliamente utilizado para la gestión de riesgos en el sector de la tecnología y cuenta con varias publicaciones especiales que ayudan a la mitigación de riesgos. Estas publicaciones están en constante revisiones. 
4. Basilea III: es un conjunto de regulaciones y recomendaciones sobre la regulación bancaria desarrolladas por el Comité de Basilea sobre Supervisión Bancaria (BCBS). Estas regulaciones fueron diseñadas para mejorar la estabilidad y la calidad de los bancos y las finanzas globales. Su implementación está vigente desde el 01 de enero de 2019.
5. COBIT: El marco de gobierno de la tecnología de la información COBIT es un marco normativo ampliamente empleado para la gestión de los riesgos relacionados con la tecnología de la información. ASu última versión es del 2019.

Este artículo se enfocará en ERM bajo la perspectiva de COSO 

Una definición de ERM

Enterprise Risk Management (ERM) es un enfoque sistemático para evaluar y gestionar los riesgos de una empresa. Está destinado a ayudar a las organizaciones a identificar, evaluar, controlar y administrar los riesgos que les afectan. ERM también se puede utilizar para aprovechar las oportunidades y fortalecer la resiliencia de la empresa.

ERM se centra en la gestión de los riesgos en un nivel empresarial, en lugar de enfocarse en riesgos individuales o departamentales. El objetivo de ERM es ayudar a la organización a alcanzar sus objetivos estratégicos y a proteger su valor a largo plazo, al mismo tiempo que maximiza la eficiencia y eficacia en la gestión de los riesgos. ERM involucra la participación de la alta gerencia y es un proceso continuo que se integra en la estrategia y las operaciones de la organización.

Implementa Enterprise Risk Management (ERM) en una organización

Para implementar eficazmente ERM, una empresa debe adoptar una cultura de gestión de riesgos. Esto significa que todos los niveles de la organización deben estar comprometidos con el proceso de gestión de riesgos. La empresa debe establecer una estructura de gestión de riesgos centrada en la cultura de la empresa, con un líder de alto nivel para asumir la responsabilidad de la gestión de riesgos. La empresa también debe identificar los riesgos específicos que enfrenta y desarrollar una estrategia para abordarlos. Esto puede incluir el seguimiento de los riesgos, la evaluación de los riesgos y el desarrollo de planes de acción para abordar los riesgos identificados. Finalmente, la empresa debe monitorear y evaluar regularmente la eficacia de su ERM.

La implementación de Enterprise Risk Management (ERM) en una organización puede incluir las siguientes fases:

1. Establecimiento de una estrategia y objetivos: Definir la estrategia y los objetivos de ERM y asegurarse de que estén alineados con la estrategia y los objetivos a largo plazo de la organización.
2. Defición de política de riesgos y alcance : Es un documento escrito que establece las directrices y procedimientos para identificar, evaluar, mitigar y monitorear los riesgos de una organización. Esta se implementa en un alcance definido con la intención de dar lugar a la mejora continua. 
3. Identificación de riesgos: Identificar los riesgos que enfrenta la organización, incluyendo riesgos internos y externos.
4. Análisis y valoración de riesgos: Evaluar la probabilidad y el impacto de cada riesgo identificado, y priorizarlos en función de su importancia.
5. Desarrollo de un plan de gestión de riesgos: Desarrollar un plan de gestión de riesgos que incluya estrategias para mitigar los riesgos identificados, así como medidas de seguimiento y evaluación de su eficacia.
6. Integración de ERM en la estrategia y las operaciones de la organización: Integrar ERM en la estrategia y las operaciones de la organización, incluyendo la revisión regular de los riesgos y la actualización del plan de gestión de riesgos.
7. Comunicación y educación: Comunicar y educar a todos los stakeholders sobre el enfoque de ERM de la organización y su importancia para la gestión de los riesgos.
8. Monitoreo y seguimiento: Monitorear y seguir de cerca la implementación de ERM y evaluar su eficacia.
9. Mejora continua: Continuar mejorando ERM en función de la evaluación de su eficacia y de los cambios en el entorno de la organización.

Empresas que han implementado Enterprise Risk Management (ERM)

No existen estadísticas oficiales que muestren el porcentaje de empresas que han implementado Enterprise Risk Management (ERM), pero la implementación de ERM ha sido ampliamente adoptada por una amplia gama de industrias y organizaciones en todo el mundo. La gestión de riesgos empresariales se ha vuelto cada vez más importante debido a la incertidumbre y la complejidad del entorno empresarial actual, y es considerada un componente clave de una gestión efectiva de la organización.

Sin embargo, es fundamental señalar que la implementación exitosa de ERM depende de muchos factores, incluyendo la cultura de la organización, la capacidad de la organización para identificar y evaluar los riesgos, y la disposición a dedicar los recursos necesarios para implementar y mantener un enfoque sistemático de ERM. Además, la implementación de ERM requiere una colaboración y una participación activa de todos los niveles de la organización.

A continuación se presentan empresas de diferentes industrias que han reconocido haber implementado Enterprise Risk Management (ERM) con éxito. 

• Amazon: La empresa ha implementado un enfoque sistemático de ERM para identificar y gestionar los riesgos asociados con su creciente presencia en línea y sus operaciones globales.
• Walmart: La compañía ha implementado una estrategia de ERM integral para abordar los riesgos asociados con su expansión global y su presencia en línea. Esta estrategia la han extendido a los componentes clave de su cadena de suministros.
• JPMorgan Chase: Utilizan un enfoque de administración de riesgos de tres niveles para abordar los riesgos estratégicos que implica gobierno, operativo y monitoreo. Esto les permitie reaccionar oportunamente a los cambios 
• Apple: La compañía ha implementado un enfoque de ERM para la evaluación exhaustiva de los riesgos a través de la compañía, incluyendo los relacionados con la seguridad de los datos, la protección de la propiedad intelectual, el cumplimiento con la legislación local y las reglas y regulaciones internacionales.

Otras empresas reconocidas que han implementado Microsoft, Johnson & Johnson, PepsiCo y Coca-Cola. Estas empresas han desarrollado y establecido políticas para la gestión de riesgos, y han implementado sistemas de seguimiento y control para garantizar que los riesgos se identifiquen y se gestionen adecuadamente.

Además, estas empresas también han establecido programas de educación y formación para asegurar que todos en la empresa comprendan los principios de la gestión de riesgos y los procesos involucrados.

Principales desafíos al implementar ERM en una organización

La implementación de ERM en una organización puede presentar varios desafíos, incluyendo:

1. Falta de compromiso de la alta gerencia: La implementación de ERM requiere el compromiso y la participación activa de la alta gerencia para ser efectiva. Si la alta gerencia no está comprometida, puede ser difícil obtener los recursos y la autoridad necesarios para implementar un enfoque efectivo de ERM.
2. Identificación y evaluación de riesgos discontinua: Identificar todos los riesgos relevantes y evaluarlos de manera objetiva y precisa puede ser un desafío. La identificación y la evaluación de los riesgos debería ser un proceso continuo para asegurarse de que se aborden todos los riesgos relevantes.
3. Falta de integración en la cultura organizacional: La implementación de ERM requiere una cultura organizacional que valore la gestión de los riesgos y promueva su participación activa. Si la cultura organizacional no es adecuada, puede ser difícil integrar ERM en la gestión diaria de la organización.
4. Poca capacidad técnica y recursos: La implementación de ERM requiere una capacidad técnica y recursos adecuados para identificar, evaluar y mitigar los riesgos. Puede ser difícil obtener los recursos y la capacidad técnica necesarios para implementar un enfoque efectivo de ERM.
5. No adaptación de cambios regulares: La implementación de ERM debe ser un proceso continuo para asegurarse de que se aborden todos los riesgos importantes. Los cambios regulares en el entorno empresarial y los riesgos pueden hacer que sea difícil mantener un enfoque actualizado y efectivo de ERM.

Estos son solo algunos de los desafíos que puede presentar la implementación de ERM en una organización. Sin embargo, con un compromiso adecuado de la alta gerencia, recursos y capacidad técnica adecuados, y una cultura organizacional favorable, la implementación de ERM puede ser un éxito y mejorar significativamente la gestión de los riesgos en una organización.

Software GRCTools para ERM

GRCTools ERM es el software clave para la gestión integral de los riesgos corporativos de la organización que mayor retorno de la inversión genera. Gracias la automatización de procesos en la gestión de riesgos incrementará la eficiencia del área de riesgos, llevar una gestión integrada de todos los riesgos que pueden amenazar a la organización, identificarlos de forma más clara y aprovechar las oportunidades que se pueden derivar de los mismos.