Las empresas operan actualmente en un entorno macroeconómico retador que se caracteriza, entre otros factores, por la inestabilidad geopolítica, el aumento de los riesgos climáticos y la presión constante de los nuevos requisitos regulatorios. Esto enfatiza aún más la necesidad de que las organizaciones implementen y mantengan una función de gestión de riesgos sólida y eficaz.
Además de esto, la función de gestión de riesgos también se enfrenta a una presión en el control de costes significativa marcada por la tendencia que algunos han denominado “nubes de recesión”, lo que conlleva que deban organizarse de la manera más eficiente posible.
Ante este panorama y coincidiendo con el comienzo del año, destacamos a continuación algunas áreas claves donde consideramos que las funciones de gestión de riesgos deberían focalizarse o revisitar de cara al 2023.
Esto se consigue con distintas herramientas. Por una parte, destacaríamos una taxonomía común de riesgos, algo que parecía superado hasta ahora, pero que con la proliferación de nuevos riesgos emergentes está llevando a muchas funciones de riesgos a plantearse la revisión y modificación de estas taxonomías, incluyendo subcategorías adicionales como es el caso del riesgo de cambio climático o eficiencia energética, que hasta la fecha podían estar contemplados en una taxonomía única de riesgos de sostenibilidad. Abrir esa super taxonomía en varias es un ejercicio a considerar por los responsables de riesgos de manera que otorguen una granularidad “razonable” que permita mayor precisión en su identificación.
Otra herramienta sería disponer de un “orden armonizado de competencias” que claramente defina quién es el responsable de tomar la decisión de aceptar, mitigar, transferir o evitar riesgos de una cierta magnitud.
Igualmente, el uso de una metodología común para la valoración de riesgos es importante, si bien su aplicación no es sencilla en la práctica cuando se van desarrollando distintos subsistemas de riesgos por tipología y con distintas escalas determinadas por responsables diferentes. Una metodología común facilita la comparabilidad entre los distintos tipos de riesgos en el proceso de evaluación de los mismos.
Por otro lado, disponer de un inventario de indicadores de riesgos consolidado evita solapamientos y permite una monitorización de los riesgos más eficiente y efectiva, dado que ayuda a identificar interconexiones entre riesgos desde la monitorización.
Finalmente, el uso de dashboard estandarizados también resulta muy eficiente de cara a poder agregar la información y comunicar en los distintos niveles de supervisión.
Esta eficiencia se consigue con una función de riesgos corporativa con visión global e integrada de los riesgos. Esto va más allá de disponer de un comité donde se revisen los riesgos; se trata de contar con un equipo específico central liderado por el responsable de riesgos que lleve a cabo la labor de análisis para identificar impactos cruzados, interconexión entre riesgos, etc. No se trata solo de consolidar información, sino de realizar un análisis profundo de los riesgos y sus relaciones y asignar responsabilidades y acciones en función del mismo.
Este es un tema recurrente que ha cobrado relevancia sobre todo en relación con los riesgos emergentes no financieros, donde la coordinación entre las líneas dispone de un menor nivel de madurez que para los riesgos financieros.
Un aspecto relevante desde nuestro punto de vista es que los roles de la segunda línea de defensa deben estar claros:
Por una parte, para evitar posibles ineficiencias por la superposición de responsables sobre determinados riesgos. Por ejemplo, los riesgos de privacidad de datos debido a deficiencias en la seguridad de la información de un servicio llevado a cabo por un proveedor pueden ser gestionado por las funciones de externalización de servicios, seguridad de la información, protección de datos y riesgo operacional. Roles ambiguos y responsabilidades mal delimitadas en gestión de riesgos en esas unidades pueden causar actividades redundantes.
Y, por otra, para abordar los retos de gobernanza de riesgos. Por ejemplo, los cambios en el entorno han conllevado que áreas como la gestión de la subcontratación, continuidad de negocio, fiscal o legal estén experimentando un cambio hacia tareas propias de la segunda línea y se perciben cada vez más como funciones especializadas para riesgos no financieros.
El nivel de madurez en cuanto a la gestión de riesgos viene condicionado por factores internos y externos.
Para aquellos riesgos “tradicionales”, donde se dispone de un alto nivel de madurez (como, por ejemplo, los financieros), el foco debería estar en actividades para consolidar y aumentar la eficiencia, con apoyo de la tecnología que permita la automatización de los procesos de identificación, valoración, monitorización y supervisión de los riesgos. Para aquellos riesgos con un menor nivel de madurez, sin embargo, las prioridades son diferentes. El foco aquí es probable que todavía esté en el cumplimiento de la normativa y en la integración y consistencia en el desarrollo de procesos de gestión de riesgos en las tres líneas de defensa. En estos casos, suele utilizarse con frecuencia recursos externos especializados que ayuden a agilizar este proceso.
El sistema de gestión de riesgos abarca, como sabemos, muchas tipologías de riesgos y estructuras organizativas (por división, por unidad de negocio, etc). Esto conlleva muchas veces desarrollos no integrados de las funciones de riesgos, que trabajan en silos desarrollando, por ejemplo, sus propios dashboards y/o utilizando tecnologías propias, que pueden estar o no alineadas o integradas en las de la corporación.
Como consecuencia de ello, la gobernanza del sistema de gestión de riesgos puede resultar compleja y costosa con múltiples revisiones y validaciones para asegurar la consistencia del modelo. Centralizar los elementos del desarrollo del modelo, incluyendo la recopilación de datos y la metodología puede reducir esta pérdida de homogeneidad, agilizar la gobernanza del modelo y optimizar los recursos. Un ejemplo de esta optimización podría ser el uso de la misma aplicación tecnológica en todas las unidades de negocio incluida la recogida de datos. En muchos casos la misma fuente de datos es utilizada por diferentes unidades y se asegura la calidad por separado. Simplificando los procesos de recopilación y validación de la calidad de los datos puede contribuir significativamente a reducir la duplicidad de actividades. La utilización uniforme de la fuente de datos conjunta también otorga a la organización la posibilidad de crear un estándar general de calidad. Asimismo, se asegura también la transparencia de los resultados.
Los retos principales en relación con los riesgos ESG para las funciones de gestión de riesgos son la integración en el inventario de riesgos, así como la valoración de los mismos teniendo en cuenta los distintos escenarios y pruebas de estrés. Asimismo, también es importante considerar el impacto agregado de estos riesgos. Por ejemplo, en el caso de los riesgos de cambio climático, los impactos afectarían, entre otros, a riesgos reputacionales y financieros por las inversiones sostenibles. Un posible enfoque para implementar e incorporar estos riesgos en toda la organización es la creación de un marco de tipo de riesgo “cross”, que defina los principios y directrices fundamentales para la integración del riesgo ESG en las diversas metodologías y procesos de los tipos de riesgo individuales existentes. Esto puede ayudar a impulsar una aplicación coherente de los requisitos de riesgo ESG en los diferentes tipos de riesgo. Por lo tanto, una parte importante del marco es la creación de una gobernanza de riesgos ESG adecuadamente integrada. Esto puede a su vez ser escalable para la integración de otros nuevos riesgos emergentes que deban ser incorporados a futuro.
Para resumir, la evolución del entorno abrumado por la incertidumbre creciente y la amenaza de las nubes de recesión hace que el rol de la función de riesgos sea cada vez más importante. De cara a poder responder de manera eficiente y eficaz a este contexto, es importante que se revisiten cuestiones que parecían superadas, con un diagnóstico claro que permita identificar aspectos de eficiencia, tales como la homogeneización de los procesos de evaluación de riesgos o unificación tecnológica, y aspectos de efectividad como la integración de los riesgos ESG y otros emergentes en el sistema de gestión de riesgos global.
Deja un comentario