Gestión integral de riesgos en contextos volátiles
Por Esteban Enderle, socio de Strategy, Risk & Transactions de Deloitte Argentina
La gestión integral de riesgos es un proceso embebido en las diferentes áreas y procesos de la compañía que brinda un valor agregado para la toma de decisiones; analiza los riesgos de forma holística, desde sus riesgos estratégicos, de reputación y operativos, hasta aquellos riesgos de cumplimiento regulatorio y los riesgos externos, entre otros. Este análisis parte de una definición del apetito al riesgo (es decir, el nivel de aversión al riesgo que tiene la compañía) y para cada riesgo inherente identificado, adecua estrategias o controles de cobertura en función a su probabilidad e impacto. Estas estrategias pueden ser ser de mitigación, tercerización del riesgo, evaluación del impacto agregado, o monitoreo de su evolución, lo cual permite arribar a riesgos residuales, dentro del umbral aceptado por la compañía.
Todo esto debe darse dentro de un proceso que debe ser sustentable en el tiempo, que permita analizar la evolución de los riesgos que pudieran impactar los objetivos de la compañía, evaluando siempre la posibilidad de nuevos riesgos, o la modificación de los existentes, así como la desaparición de riesgos del pasado. Es decir, debe evitarse una gestión de riesgo como proceso estático, de única vez, que genere una foto de un momento específico, la cual, con la volatilidad de los tiempos actuales y la globalización de los mercados, quede obsoleta y carente de valor en el corto plazo.
Llevado esto a la actualidad, y a raíz del contexto en el cual se desenvuelven las empresas hoy en día, se observa una dinámica y sobrecarga de riesgos en diferentes aspectos, que requiere ajustar y refinar el análisis de los riesgos y adecuarlos a la realidad, con una frecuencia y velocidad cada vez mayor.
Dentro de estas cuestiones, muchas de ellas fueron generadas post pandemia, que en sí misma fue un riesgo de alto impacto, omitido en la gran mayoría de los mapas de riesgos de las compañías y cuyos efectos disruptivos en varios ámbitos, modificaron el accionar y operaciones de muchas empresas. Como consecuencia, algunas de ellas han dejado de existir. Entre estas cuestiones, podemos mencionar su efecto en las economías locales, regionales y globales (con índices de inflación en niveles fuera de los habituales en países desarrollados y que aún hoy, si bien a la baja, persisten), cambios en la sociedad, en su forma de trabajo (con una aceleración en el trabajo virtual, o híbrido, pero también con la caída de las barreras de distancias, generando mayor flujo regional y global en las oportunidades y movilidad laboral, sin necesidad de movilidad física), en la necesidad de un balance laboral y personal y en la búsqueda de un bienestar y a salud mental. Pero también, el desarrollo de nuevas tecnologías y efectos propios asociados a cuestiones de cambio climático que han traído a la mesa nuevos riesgos y cambios en riesgos previos que hoy en día deben ser foco de atención de las empresas en sus análisis de gestión integral de riesgos.
Sobre la base de las cuestiones comentadas, reviste suma importancia actualmente fortalecer el diseño de una gobernanza sólida del riesgo empresarial para impulsar debates estratégicos sobre riesgos más frecuentes y fomentar la gestión proactiva del riesgo y el intercambio de información, relacionada a los riesgos, dentro de la compañía, desde el Comité de Dirección, los Comités ejecutivos, el Chief Risk Officer (CRO) y llegando a los dueños de los riesgos y responsables de negocios y procesos. Allí, es central que cada uno de estos actores tenga roles y responsabilidades bien definidos dentro de un proceso formal y sustentable de gestión integral de riesgos y existan canales de comunicación “desde arriba hacia abajo” y “desde abajo hacia arriba” para lograr una mejora continua de este proceso y mantenerlo vigente, actualizado y en la agenda del día del Directorio.
Riesgos emergentes
En relación a los riesgos emergentes, en los contextos inciertos y volátiles actuales, no se deben dejar de lado el análisis de riesgos relacionados con la incertidumbre económica y mercados inflacionarios, riesgos asociados a tecnologías emergentes o nuevos riesgos de tecnologías ya existentes (por ejemplo, riesgos cibernéticos, riesgos asociados a privacidad de datos, utilización de herramientas de inteligencia artificial, transformación digital, entre otros). También, la complejidad regulatoria en los mercados que se opera o a operar, cuestiones asociadas a cambios climáticos y sostenibilidad, el riesgo geopolítico y la volatilidad global. Hoy, por ejemplo con acciones bélicas entre países y sus efectos el aprovisionamiento de bienes y servicios y en las demandas de los mismos. Además, los cambios en la gestión de talento, ya mencionados, y relacionados al trabajo virtual, necesidad de implementar beneficios a los empleados, la búsqueda del bienestar y la salud, los planes de sucesión, hasta evaluar cambios en la fuerza de trabajo por cambios propios en los negocios, como por ejemplo la incursión de automóviles eléctricos al mercado automotor.
En cuanto a los riesgos de ciberseguridad, es responsabilidad compartida entre el Management y la Dirección confirmar si los riesgos están adecuadamente identificados y cubiertos, tratándose de riesgos dinámicos por lo que su evolución debe ser analizada oportunamente. En esta evaluación se debe considerar, por ejemplo, si los accesos a los recursos tecnológicos fueron bien otorgados y quién evalúa las excepciones; si existe un enfoque de respuesta ante incidentes por ataques de ciber seguridad y cuál es el tiempo de respuesta y de recuperación de los mismos; si dentro de este análisis se abarcan riesgos cibernéticos asociados a terceros o contratos con terceras partes u organizaciones de servicios (Service Organizations), por otra parte, si existe un análisis de riesgos de ciberseguridad para procesos de fusiones y adquisiciones, son algunas cuestiones a considerar.
Por otra lado, la utilización de tecnologías emergentes requiere evaluar nuevos riesgos, como ser los relacionados a la utilización de la inteligencia artificial e IA generativa, y en este sentido se debe evaluar cuestiones asociadas a en qué se están utilizando dichas herramientas, cuáles son las herramientas que se están utilizando, quién las está utilizando y para qué; se han establecido políticas, procedimientos y estrategias asociadas a la utilización de IA; este análisis debe abarcar también el impacto de estas nuevas tecnologías en cuestiones como ser la privacidad de datos, confidencialidad de la información, vulnerabilidad de las tecnologías utilizadas, todas estas son cuestiones claves a evaluar.
Por último, para mencionar aspectos relacionados con la integración de la vertical de Sostenibilidad y consciencia empresarial en temas relacionados a cuestiones sociales y de cambio climático, donde debe analizarse por ejemplo cómo impacta la agenda climática en las operaciones, sus nuevas regulaciones, los requerimientos de stakeholders, como ser las comunidades con las que interactúa la empresa, la utilización de recursos naturales, o si se están considerando los riesgos ESG dentro del análisis de riesgos integral, representas aspectos que actualmente deben integrarse en la gestión integral de riesgos empresarial.
Como conclusión, considerando la dinámica del contexto en el que operan, e interactúan, las empresas, hoy reviste vital importancia revisitar los modelos de gestión integral de riesgos a la luz de esta nueva realidad, actualizar los mapas de riesgos, ajustar los procesos de gestión de riesgos que se están llevando a cabo y así obtener una visión actualizada y adecuada de los riesgos, junto a redefinir o ajustar las estrategias de cobertura a la situación de volatilidad y con nuevos riesgos inherentes a la vista. Junto con todas estas cuestiones, establecer una estructura de riesgos ajustada a los riesgos de la compañía y canales de comunicación que sigan la dinámica de la situación y que permitan mantener estos procesos de manera sustentable tendrán una valor agregado en la generación de información para la toma de decisiones que, redundará en una mayor éxito en el logro de los objetivos corporativos.
