Estudio de Gestión de Riesgos en Latinoamérica 2022

En Pirani nos propusimos conocer y entender la actualidad de la gestión de riesgos en las empresas de Latinoamérica. Conoce aquí los resultados de este estudio, en el que participaron más de 500 personas de diferentes países de la región.

Introducción

En un mundo en constante cambio, en el que para continuar es necesario adaptarse y ser resilientes, la gestión de riesgos ha dejado de ser vista como un área dedicada solo al cumplimiento normativo y cada vez más es considerada por las empresas como un área estratégica para la continuidad y sostenibilidad de los negocios.

Independientemente del sector industrial al que pertenecen, las empresas han experimentado diferentes cambios, muchos de estos a causa de la transformación digital y la aparición de nuevas y disruptivas tecnologías. 

Así mismo, el entorno político, económico, social, ambiental y todo lo que ha significado la pandemia generada por el Covid-19 ha hecho que las empresas se enfrenten no solo a constantes cambios, sino también a riesgos más complejos e interrelacionados, por ejemplo, los riesgos asociados a la ciberseguridad

Teniendo en cuenta este panorama mundial, en Pirani nos propusimos conocer y entender la actualidad de la gestión de riesgos en las empresas de Latinoamérica.

Para hacerlo, en este segundo estudio sobre gestión de riesgos en la región, consultamos a los participantes sobre la importancia que tiene esta gestión en sus empresas, los beneficios que han obtenido por gestionar riesgos, las dificultades que tienen al hacerlo, los principales riesgos a los que hoy están expuestas, la manera en que los gestionan, el nivel de madurez que tienen en este proceso y los retos en gestión de riesgos para este año 2022.

Adicional a esto, a algunos de los participantes les preguntamos sobre las buenas prácticas a tener en cuenta para realizar una adecuada gestión de riesgos que permita cumplir los objetivos estratégicos de la empresa, ser sostenibles y asegurar la continuidad del negocio.

Entre los resultados de este Estudio de Gestión de Riesgos en Latinoamérica 2022 se destaca que la falta de cultura en gestión de riesgos sigue siendo la principal dificultad que enfrentan las empresas de la región, así mismo, el cambio regulatorio y cumplimiento normativo está dentro de los primeros riesgos según los encuestados.  

Metodología

El Estudio de Gestión de Riesgos en Latinoamérica 2022 ha sido realizado a través de una encuesta que contestaron 539 personas con cargos como CEO, directores y gerentes de riesgos, analistas de riesgos, oficiales de cumplimiento, gestores de seguridad de la información, auditores internos, entre otros, de países como Colombia, México, Perú, Chile, Venezuela, Ecuador, Guatemala, Bolivia, República Dominicana y Costa Rica. 

Adicional a la encuesta, realizamos algunas entrevistas a profundidad a directores y expertos en riesgos de varias empresas de la región que, entre otras cosas, compartieron buenas prácticas para una adecuada gestión de riesgos y su visión sobre el uso de herramientas tecnológicas en este proceso.

1. Información de los participantes y las empresas

a. Sobre el país

Los 539 participantes de este estudio son de los siguientes países:

paises_participantes_estudio_gestion_riesgos_2022

Colombia con 126 participantes, México con 84 y Perú con 63 son los países con mayor participación en el estudio.

b. Sobre el sector industrial

Las empresas en las que trabajan los participantes de este estudio pertenecen principalmente al sector financiero (29,3%).

sector_industrial_estudio_gestion_riesgos_2022

c. Sobre el tamaño de la empresa

El 32,1% de los encuestados trabaja en una empresa que tiene entre 1 y 50 empleados, mientras que el 31,9% trabaja en una empresa con más de 500 empleados. 

tamano_empresa_estudio_gestion_riesgos_2022

Gestión de riesgos en las empresas de Latinoamérica

1. Importancia del área de gestión de riesgos

Para el 43,6% de los encuestados, el área de gestión de riesgos actualmente tiene mucha importancia en sus empresas, la consideran como un área fundamental que contribuye al cumplimiento de los objetivos y a la continuidad del negocio. 

Por otro lado, el 41,7% considera que si bien esta es un área importante, no todos los colaboradores de la empresa la ven así y el 13% dice que es un área de poca importancia y que la mayoría no entiende cuál es su función.

Y el 1,7% asegura que el área de riesgos no tiene importancia en sus empresas. 

importancia_estudio_gestion_riesgos_2022

Aunque la gestión de riesgos gana importancia en las empresas de la región, aún hace falta una mayor concientización en todo el personal sobre los beneficios que esta representa y cómo desde los diferentes roles se puede aportar a esta para prevenir la materialización de riesgos.

2. Razones por las que gestionan riesgos las empresas

Una de las principales razones para gestionar riesgos en las empresas de Latinoamérica, según el 56,4% de los encuestados, es tener mejores prácticas que les ayude a evitar pérdidas y afectación reputacional. 

Esto demuestra que la mayoría de las empresas son conscientes del valor implícito que tiene la gestión de riesgos, pues realizar este proceso adecuada y continuamente permite estar preparado de la mejor forma posible para hacer frente a los riesgos y disminuir los impactos negativos que estos pueden traer. 

Por otro lado, el 35,4% asegura que la principal razón por la que gestionan riesgos es el cumplimiento de una regulación o normativa. 

Entre estas destacan por ejemplo: Circulares de la Superintendencia Financiera y la Superintendencia de Sociedades en Colombia, Resolución SEPRELAD 156/20 en Paraguay, Circulares de la Comisión de Bancos y Seguros en Honduras, Ley 155-17 sobre LAFT en República Dominicana, entre otras. Además, resaltan el cumplimiento de las normas ISO 9001 y 27001 y de las recomendaciones de GAFI para la prevención de lavado de activos y financiación del terrorismo.

razon_gestion_estudio_gestion_riesgos_2022

Reducir la incertidumbre, evitar el riesgo crediticio y proteger el capital humano y la infraestructura son otras de las razones mencionadas por los encuestados.

3. Beneficios de gestionar riesgos

Además de contribuir a la continuidad y sostenibilidad de los negocios, la gestión de riesgos representa otros beneficios y ventajas para las empresas. 

Los participantes del estudio, que podían seleccionar máximo tres beneficios, consideran como los tres principales: tomar mejores decisiones y hacerlo oportunamente (336), evitar y minimizar posibles pérdidas (310) y cumplir los objetivos estratégicos de la empresa (257).

beneficios_estudio_gestion_riesgos_2022

Otros beneficios tenidos en cuenta por los encuestados son: mejorar la eficiencia y eficacia operacional, lograr mayor satisfacción de clientes, empleados y stakeholders en general, y aprovechar nuevas oportunidades.

4. Dificultades al gestionar riesgos

Al realizar gestión de riesgos en sus empresas, los encuestados manifiestan que también deben enfrentar y superar diferentes dificultades.

Para el 53,8% la principal dificultad que tienen es la falta de cultura en riesgos, esto demuestra que la mayoría de colaboradores de las empresas no tienen claridad sobre cómo pueden aportar a la prevención, identificación, control y monitoreo de los riesgos que pueden presentarse en cada uno de los procesos.

Además, falta mayor compromiso y entendimiento de que la gestión de riesgos debe ser responsabilidad de todos, independiente del área a la que se pertenezca, pues todos deben contribuir a disminuir la probabilidad de ocurrencia de los riesgos así como el impacto que estos puedan tener.

Aparte de la falta de cultura en riesgos, los encuestados destacan otras dificultades como falta de recursos y herramientas tecnológicas (18,7%), falta de compromiso por parte de la alta gerencia (14,3%) y falta de conocimiento (9,1%). Y un 1,3% asegura no tener ninguna dificultad al gestionar riesgos en sus empresas. 

dificultades_estudio_gestion_riesgos_2022

5. Medios utilizados para gestionar riesgos

De acuerdo a los participantes de este Estudio de Gestión de Riesgos en Latinoamérica 2022, el 57,1% de las empresas aún gestiona los riesgos a los que están expuestas por medio de matrices de riesgos en Excel; el 16,9% lo hace a través de un software de gestión de riesgos y el 13,2% utiliza una herramienta desarrollada in house.

medio_estudio_gestion_riesgos_2022

Solo el 16,9% de los encuestados utiliza un software de gestión de riesgos para la identificación, evaluación, control y monitoreo de los riesgos a los que está expuesta la empresa. 

6. Nivel de madurez en gestión de riesgos

La madurez en gestión de riesgos se refiere, en términos generales, al nivel de preparación y conocimiento que tiene una empresa con respecto a este proceso. Este nivel permite conocer la forma en la que las empresas administran los riesgos a los que están expuestas. 

nivel_madurez_estudio_gestion_riesgos_2022

Según los resultados del estudio, el 51% de los participantes considera que el nivel de madurez en gestión de riesgos de la empresa en la que trabajan es medio. 

El nivel medio es entendido como aquel en el que existe un sistema de administración de los riesgos, pero hay aspectos por mejorar en las diferentes etapas del proceso (identificación, evaluación, control y monitoreo). Además, de acuerdo con los encuestados, aún falta mayor compromiso, conocimiento y cultura en riesgos por parte de todos los colaboradores. 

Por otro lado, el 39% indica que el nivel de madurez en gestión de riesgos es bajo. Este nivel también se considera como incipiente, entre otras razones porque no existe un sistema formal para realizar adecuadamente cada una de las etapas del proceso o, como manifiestan algunos encuestados, es una área nueva, que está en construcción o, en varios casos, desde la alta dirección no se la da la importancia que debe tener y no hay una cultura. 

Y por último, solo el 10% de los participantes considera que en su empresa el nivel de madurez en gestión de riesgos es alto, un nivel que demuestra que cada etapa del proceso se realiza de manera adecuada y estructurada y que hay compromiso por parte de todos los colaboradores de la empresa, incluida la alta gerencia. Así mismo, según los encuestados, el personal está calificado y realiza una gestión permanente y oportuna de todos los riesgos. 

La capacitación y concientización de los empleados, así como un verdadero compromiso por parte de la alta dirección son claves para tener un nivel alto de madurez en gestión de riesgos.

Principales riesgos que enfrentan las empresas en Latinoamérica

La cultura en gestión de riesgos lidera los riesgos a los que se ven enfrentadas las empresas latinoamericanas, seguido por el cambio regulatorio y cumplimiento normativo. En tercer lugar está la continuidad de negocio; en el cuarto, la ciberseguridad y en el quinto aparece el fraude y los delitos financieros. Así lo demuestra este Estudio sobre Gestión de Riesgos en Latinoamérica 2022.

Otros riesgos incluidos en el mapa de riesgos de las empresas de la región son: riesgos de terceros, incertidumbre macroeconómica y geopolítica, digitalización y tecnologías emergentes, gestión del talento, reputación y relación con stakeholders, cambio climático y sostenibilidad.

principales_riesgos_estudio_gestion_riesgos_2022

1. Cultura en gestión de riesgos

Para el 62,7% de los encuestados es uno de los principales riesgos. La falta de cultura en riesgos es mucho más que una dificultad al realizar su labor. 

Por encima de riesgos como ciberseguridad, digitalización y tecnologías emergentes o fraude y delitos financieros, 338 de los participantes de este estudio consideran la cultura en gestión de riesgos entre los cinco principales a los que se enfrentan sus empresas. 

Esto demuestra, una vez más, que gran parte de los responsables de la gestión de riesgos en las empresas de la región no siente que haya un verdadero entendimiento y compromiso por parte de las demás áreas, no hay apoyo y, en muchos casos, no se le da el valor necesario a esta área, que debe ser estratégica. 

Esto representa un riesgo porque ante la falta de apoyo y compromiso de todos los colaboradores de la empresa, no solo se dificulta la gestión de los riesgos, sino también que pueden materializarse con mayor probabilidad y generar mayores impactos, por ejemplo, por desconocimiento u omisión un empleado puede facilitar que se presente un ataque o robo de información confidencial por parte de ciberdelincuentes o, por falta de controles adecuados y concientización pueden presentarse casos de fraude interno. 

¿Qué se puede hacer?

La cultura en gestión de riesgos debe ser parte de la cultura e identidad de las empresas, es fundamental que todo el personal conozca y esté involucrado conscientemente en este proceso. Desde sus roles todos pueden contribuir a que sea un proceso más simple, eficiente y estratégico para la empresa. 

Algunas de las acciones que actualmente implementan los responsables de riesgos en las empresas latinoamericanas para generar esta cultura son: capacitaciones frecuentes en temas de riesgos para todos los empleados (77%), actividades y lúdicas relacionadas con riesgos (11%) e incentivos y bonificaciones (3%). 

Además, el 4% manifiesta no tener ninguna estrategia para crear o fortalecer la cultura en gestión de riesgos en su empresa. Y otro 4% realiza otras acciones, por ejemplo: programas de gestores de riesgo al interior de las áreas, envío de información documentada a los líderes de procesos y a todo el personal, charlas enfocadas en minimizar pérdidas y comunicaciones de interés a través de medios corporativos como Workplace.

estrategias_cultura_estudio_gestion_riesgos_2022

Adicional a estrategias como las anteriores, es importante insistir en el compromiso e involucramiento de la alta dirección, pues el no contar con su apoyo es para varios de los encuestados una de las razones que impide tener una cultura en gestión de riesgos y, por ende, realizar una adecuada administración de estos. 

“Muchos de los líderes y parte de la alta dirección no consideran necesaria la gestión de riesgos y, por el contrario, dificultan el proceso”. Colombia. Analista de continuidad en una empresa financiera. 

2. Cambio regulatorio y cumplimiento normativo

Con 320 respuestas (59,3%) este riesgo está incluido entre los cinco principales que deben enfrentar las empresas de la región. 

En Latinoamérica, al igual que sucede en Europa, como deja ver el informe Risk in Focus 2022: Hot topics for internal auditors, el riesgo relacionado al cambio regulatorio y al cumplimiento normativo (compliance) es una de las prioridades para los directores y profesionales de las áreas de riesgos.

Esto es así porque independientemente del sector, todas las empresas deben estar alertas ante los constantes cambios regulatorios que se puedan presentar en sus países. 

Estos cambios pueden ser en leyes, normativas o circulares que regulan las operaciones y actividades comerciales de las empresas, también en cuanto a la protección y manejo adecuado de las bases de datos de los usuarios y todo lo relacionado con la prevención de delitos como lavado de dinero, financiación del terrorismo y proliferación de armas de destrucción masiva, entre otras regulaciones que deben conocer y cumplir las empresas para evitar sanciones y multas que pueden poner en riesgo tanto la operación como la continuidad del negocio. 

Adicional a los cambios que pueden darse en este tipo de regulaciones, las áreas de riesgos deben prestar atención y considerar dentro de su gestión las nuevas normativas y requisitos relacionados con la sostenibilidad, regulaciones que cada vez serán más comunes tanto a nivel regional como a nivel de cada país, pues el cambio climático es una realidad y es necesario que los gobiernos y las empresas privadas trabajen de la mano.

En este sentido, no es de extrañar que en el corto y mediano plazo se aprueben más normativas para regular y exigir a las empresas medidas efectivas que contribuyan a la mitigación del cambio climático. De hecho, en la mayoría de países de la región existen diferentes leyes, decretos y resoluciones para el desarrollo sostenible y la gestión ambiental. 

“Los cambios en las normativas de diferentes países son una prioridad en la gestión de riesgos de las empresas. Estos pueden generar varios impactos”. Costa Rica. Auditor de riesgos.

¿Qué se puede hacer?

Para la gestión del riesgo que representa el cambio regulatorio, las empresas deben estar constantemente actualizadas en las diferentes leyes, normativas y disposiciones de autoridades como las superintendencias u otras entidades, y revisar que todas aquellas que les aplica se cumplen correctamente. 

Además, en caso de que se presente un cambio o actualización en una regulación, se deben hacer los ajustes necesarios para garantizar el debido cumplimiento de esta y prevenir la materialización de un riesgo legal que puede significar consecuencias negativas para la empresa.  

3. Continuidad de negocio

Asegurar la continuidad de negocio es uno de los riesgos prioritarios para el 55,1% de los participantes de este Estudio de Gestión de Riesgos en Latinoamérica 2022. 

Entre las consecuencias que ha traído la pandemia del Covid-19, se destaca el cierre de empresas formales, la mayoría de estas micro y pequeñas empresas, de hecho, según estimaciones realizadas en 2020 por la Comisión Económica para América Latina y el Caribe (Cepal), esta situación provocará en la región el cierre de 2,7 millones.

Teniendo en cuenta este panorama, las empresas que han logrado superar la crisis, que también significó despido de empleados y grandes pérdidas económicas, y adaptarse a la llamada “nueva normalidad”, han entendido que es necesario desarrollar y contar con planes de continuidad de negocio que les permita responder de manera oportuna y precisa ante eventos inesperados.

Entre estos se pueden considerar, por ejemplo, otra pandemia, un terremoto, una inundación o un incendio, una protesta social que genere bloqueos o restricciones para operar normal y, por supuesto, eventos de ciberataques y robo de información. 

Además de tener un plan de continuidad, que entre otras debe incluir acciones para la seguridad del personal y para la cadena de suministro, es necesario trabajar de manera consciente en la resiliencia organizacional, que es mucho más que la capacidad de adaptación ante situaciones adversas.

La resiliencia también implica anticiparse y estar bien preparados para lo que pueda ocurrir y para ello, se requiere contar con sistemas, procesos y funciones definidas, así como responsabilidad y madurez para enfrentar los cambios que lleguen y ver también en estos una oportunidad para destacarse en el mercado. Una buena gestión de riesgos tiene mucho que ver con esto.

¿Qué se puede hacer?

Para garantizar la continuidad del negocio no solo ante la materialización de eventos anómalos y poco comunes, sino también a largo plazo, es importante revisar y actualizar con mayor frecuencia los planes de continuidad, de hecho, estos deberían tener en cuenta las lecciones aprendidas a causa de la pandemia y de los demás eventos que se hayan enfrentado.

Igualmente, para continuar en un mercado tan competitivo y cambiante es clave estar alerta ante los posibles cambios y oportunidades que puedan darse, siempre ver qué se puede sacar de estos para destacarse y poder asegurar tanto la sostenibilidad como la continuidad. 

estudio-gestion-riesgos-2022

4. Ciberseguridad

Ante el crecimiento de amenazas y ataques cibernéticos como ransomware, phishing, filtraciones de datos o suplantación de identidad, el 53,8% de los encuestados incluye la ciberseguridad entre los principales riesgos.

En todo el mundo, la ciberseguridad cada vez tiene mayor relevancia para las empresas, que ante el crecimiento del número de personas conectadas y que usan las plataformas y servicios digitales, también han visto un incremento en el número de casos de ataques como secuestro y robo de información, entre otros, y cómo los ciberdelincuentes se transforman y perfeccionan sus técnicas para lograr atacar a los servidores y sistemas electrónicos. 

Todas las empresas, sin importar su tamaño o sector industrial, son susceptibles de sufrir una amenaza cibernética. En 2021, por ejemplo, uno de los casos más recordados fue el ciberataque que sufrió el software de correo electrónico de Microsoft, que puso en riesgo, según la agencia Bloomberg, a cerca de 60.000 empresas en todo el mundo

En 2022, de acuerdo con Check Point, proveedor global de soluciones de seguridad cibernética, algunas de las amenazas a los sistemas de seguridad de las empresas que serán tendencia son: ataques a la cadena de suministro, aumento en las filtraciones de datos, mayores ataques a dispositivos móviles, mayor crecimiento de ransomware, noticias falsas e incremento en el uso de tecnología deepfake.

Ser víctima de un ataque cibernético representa grandes impactos para la empresa, tanto a en lo reputacional como en lo financiero, por eso, es importante saber gestionar de manera oportuna y eficiente las diferentes amenazas que puedan poner en riesgo la reputación y operación.

Para hacerlo es necesario identificar y evaluar cada una de las vulnerabilidades a las que se está expuesto, además, reforzar los protocolos y sistemas de seguridad y, por supuesto, capacitar y concientizar a todos los empleados sobre el riesgo de ciberseguridad. 

Tal como señala el informe Risk in Focus 2022: Hot topics for internal auditors, la prevención y la preparación son claves. Hay que estar preparados “con protocolos de respuesta y recuperación que ayuden a minimizar el impacto y los tiempos de inactividad, aspectos que deberían ser adaptables a nuevos entornos de TI y compartirse con toda la organización”. 

Así mismo, de acuerdo con este informe, es fundamental que la ciberseguridad esté integrada y alineada con la estrategia y los objetivos del negocio. 

“El ransomware se mantendrá como primer riesgo a enfrentar en ciberseguridad y tendrá técnicas evolucionadas, además el phishing se mantendrá por todos los canales”. Colombia. Especialista en riesgos de ciberseguridad.

¿Qué se puede hacer?

Para estar preparado ante un posible ataque cibernético, de acuerdo con uno de los expertos entrevistados para este estudio, es importante:

  • Contar con el apoyo de la alta gerencia y la junta directiva, esto es clave para la concientización de los riesgos existentes en ciberseguridad. 
  • Realizar un análisis e inventario completo de los activos de información para entender con claridad cuál es la superficie que puede estar expuesta a un ataque.
  • Identificar las vulnerabilidades y riesgos asociados. 
  • Definir el apetito y tolerancia al riesgo cibernético que la empresa puede aceptar o aprobar.
  • Priorizar las acciones de remediación.
  • Tener un programa de desarrollo seguro para que la seguridad esté embebida desde el proceso de diseño.
  • Reforzar los procesos de gestión de incidentes, crisis y continuidad de negocio.

5. Fraude y delitos financieros

Para el 46% de los encuestados este es uno de los cinco principales riesgos que deben enfrentar y gestionar en sus empresas. 

No solo las entidades financieras están expuestas al riesgo de fraude financiero y otros delitos relacionados, como lo es, por ejemplo, el robo de identidad. Siendo conscientes de esto, en el mapa de riesgos de las empresas latinoamericanas -grandes, medianas y pequeñas- también es considerado como un riesgo prioritario. 

Un fraude financiero puede materializarse de diferentes maneras, algunas de estas son:

  • Alteración de registros.
  • Apropiación ilegal de efectivo o activos de la empresa.
  • Defraudación tributaria.
  • Desvío de fondos con fines particulares. 
  • Inclusión de transacciones inexistentes.
  • Lavado de dinero.
  • Ocultamiento de activos, pasivos, ingresos y gastos. 
  • Omisión de transacciones existentes.
  • Pago de sobornos a terceros.
  • Pérdidas y ganancias falsas.
  • Sobrevaloración de acciones en el mercado. 

Todas estas acciones atentan contra el patrimonio de la empresa y generan importantes pérdidas económicas tanto a esta como a los empleados e inversionistas. Teniendo en cuenta esto, así como las consecuencias reputacionales que puede significar un fraude financiero, los encargados de la gestión de riesgos y del control interno deben estar alertas y reforzar las acciones de control para prevenir la materialización de este riesgo. 

Contar con un sistema de control interno que ayude a prevenir y detectar rápidamente posibles casos de fraude financiero debe ser prioritario para las empresas, y esto implica tener acciones específicas que permitan disminuir la probabilidad de fraude por parte de una persona o un grupo, así como las posibles consecuencias en caso de presentarse. 

¿Qué se puede hacer?

El refuerzo de los sistemas de control interno, al igual que la capacitación consciente de los empleados, son acciones necesarias para prevenir que al interior de la empresa se materialice el riesgo de fraude financiero y otros delitos relacionados. Hacerlo permite detectar de manera oportuna posibles fraudes y proteger los activos y patrimonio de la organización. 

Adicionalmente, buenas prácticas como la realización de auditorías internas y externas, el adecuado control de acceso a la información, revisiones periódicas y sorpresivas, tener un código de ética empresarial y conocer muy bien a las personas que cumplen funciones financieras sirve para disminuir la probabilidad de ocurrencia de este riesgo. 

Para prevenir el fraude y otros delitos financieros, también es recomendable el uso de herramientas tecnológicas que ayuden a detectar conductas inusuales de los empleados que podrían terminar en uno de estos delitos.

6. Riesgos de terceros

Este riesgo, que tiene que ver con la cadena de suministro y la gestión de proveedores, es considerado por el 38,5% de los encuestados como uno de los principales riesgos. 

En mayor o menor medida, todas las empresas dependen de terceros, es decir, proveedores externos, que les suministran alguna materia prima, producto o servicio para poder operar con normalidad, generar beneficios para los grupos de interés y obtener ganancias. 

Pero así como estos son necesarios para el funcionamiento de la empresa, también representan diferentes riesgos que hay que tener en cuenta y saber gestionarlos de la mejor manera para prevenir consecuencias financieras, legales y reputacionales.

Algunos de los riesgos que pueden presentarse con terceros son el riesgo operacional, riesgo financiero, riesgo tecnológico, riesgo de seguridad y protección de datos, riesgo de cumplimiento de normas y requisitos externos e internos y riesgo reputacional.

Igualmente, otro riesgo asociado a terceros que hay que gestionar son las interrupciones en la cadena de suministro. Se debe tener claridad sobre qué acciones tomar cuando se presenten fallas en alguno de los eslabones y cómo se pueden superar para poder garantizar la continuidad del negocio. 

¿Qué se puede hacer?

Antes de contratar un proveedor de productos o servicios, lo primero que deben hacer las empresas es una debida diligencia de este, es decir, una investigación para conocer quién es y cuáles son sus antecedentes y que estos no representen un posible riesgo. 

Una debida diligencia a terceros debe incluir aspectos como: cumplimiento regulatorio y legal, situación financiera, reputación y experiencia comercial, sistema de seguridad de la información, capacidad de recuperación (plan de continuidad), manejo de incidentes, entre otros.

Una vez se formalice la contratación del tercero, es importante revisar, monitorear y evaluar periódicamente el desempeño de este con respecto a los objetivos para los que fue contratado, además, no sobra estar alerta y prestar atención a cualquier acción que podría desencadenar un riesgo. 

estudio-gestion-riesgos-2022

7. Otros riesgos

Sumado a los anteriores riesgos, los participantes de este estudio también consideran en el mapa de riesgos de sus empresas otros como:

Incertidumbre macroeconómica y geopolítica

El 35,4% de encuestados incluye este riesgo dentro de los riesgos prioritarios y no es de extrañar porque a causa de la pandemia del Covid-19, los mercados se han visto afectados tanto por la volatilidad de los ciclos económicos como por la inflación.

De acuerdo con el Foro Monetario Internacional, para 2022 se estima una inflación de 7,2% en Latinoamérica. En 2021 los países con mayor inflación de la región fueron: Brasil (10,7%), México (7,3%), Chile (7,2%), Perú (6,4%) y Colombia (5,6%).

inflacion_estudio_gestion_riesgos_2022Así mismo, la política monetaria y el escenario político de cada país puede generar impactos en la operación de las empresas.

Digitalización y tecnologías emergentes

Es un riesgo prioritario para el 30,2% de encuestados, que además de ver grandes ventajas y oportunidades en la transformación digital, así como en el uso de nuevas y disruptivas tecnologías, ven aquí riesgos que también deben ser gestionados. 

Algunos de los riesgos asociados a la digitalización y al uso de tecnologías emergentes son la falta de conocimiento y personal capacitado para desempeñarse en áreas de TI y la falta de controles adecuados para la seguridad y protección de la información. 

Ante esto, una vez más, es necesaria la capacitación y concientización de los empleados, que deben adaptarse e incorporar nuevas habilidades, por ejemplo, pensamiento crítico, creatividad e innovación, para destacarse y aportar a la sostenibilidad de las empresas en esta era de la cuarta revolución industrial. 

Reputación y relación con stakeholders

El 29,1% considera este riesgo como prioritario en la gestión de riesgos de sus empresas, un aspecto que es clave para la construcción de marca de una empresa. 

Y es que la reputación depende, en gran medida, del reconocimiento y la relación que tiene una organización con sus stakeholders, es decir, sus grupos de interés, que tienen diferentes expectativas de esta y esperan que les sean satisfechas. 

Para gestionar este riesgo, además de realizar encuestas a clientes, empleados y a otros grupos de la sociedad para conocer la percepción que tienen de la empresa, es necesario establecer una relación consciente y constante con todos los stakeholders, esto es, accionistas, colaboradores, comunidad, medios de comunicación, entidades gubernamentales y demás grupos estratégicos para la empresa. 

Mantener una buena relación y comunicación con estos, beneficia la reputación de la empresa, la generación de valor y el éxito de esta en el mercado.

Gestión del talento

El 28,7% de encuestados incluye este riesgo dentro de los riesgos prioritarios a los que está expuesta su empresa.

Esto se debe, en muchos casos, al trabajo en remoto o teletrabajo, una modalidad que ha permitido a empresas de diferentes sectores económicos continuar con sus actividades durante la pandemia, pero que también ha significado grandes retos en cuanto a la gestión del personal y la cultura corporativa. 

Por ejemplo, la falta de interacción social entre compañeros han impactado la cultura, la creatividad y la innovación, además, de acuerdo con el informe Risk in focus 2022: Hot topics for internal auditors, no gestionar el talento humano puede aumentar la rotación y fuga de personal, así como el inconformismo o insatisfacción, la falta de colaboración y el sentido de pertenencia.

Y ante la falta de identidad y de sentido de pertenencia a la empresa, según este mismo informe, puede aumentar el riesgo de fraude y otras conductas inadecuadas que afectan tanto la reputación como el buen nombre de la organización. Por eso, tanto el área de talento humano como de gestión de riesgos deben tener en el radar este riesgo. 

“El individuo como persona se configura como principal gestor en todo aspecto, y como resultado de la coyuntura actual (pandemia, confinamiento, trabajo remoto, aspectos personales) incide de alguna forma en la toma de decisiones en la entidad, es decir, es importante el riesgo de la salud mental y prevenir eventos negativos”. Perú. Auditora interna de una entidad financiera. 

Cambio climático y sostenibilidad

Solo el 15,5% de los participantes considera este riesgo como prioritario, sin embargo, el cambio climático y la sostenibilidad cada vez tendrán mayor relevancia tanto en la gestión de riesgos como en las estrategias de negocio de las empresas. 

Ser sostenibles no solo impacta de manera positiva al medio ambiente y a las comunidades, también genera beneficios para los negocios, por eso, es importante que las empresas incluyan entre sus estrategias el uso de tecnologías limpias y de energías renovables, la reducción de emisiones, de residuos y de vertimientos, entre otras más para contribuir a la conservación y protección de los recursos naturales y la sociedad. 

A partir de esto, las empresas deben considerar dentro de su gestión de riesgos los llamados riesgos ESG (Environmental, Social and Governance). Algunos de los riesgos asociados al clima, según The Global Risks Report 2021 de World Economic Forum, son: eventos meteorológicos extremos (sequías e inundaciones), desastres ambientales (deforestación, deshielo de glaciares), pérdida de biodiversidad, escasez de recursos naturales y enfermedades infecciosas. 

Retos y buenas prácticas en gestión de riesgos

1. Principales retos en la gestión de riesgos

Los participantes de este Estudio de Gestión de Riesgos en Latinoamérica 2022 señalan como principales retos en sus áreas:

retos_estudio_gestion_riesgos_2022

1.1. Implementar o mejorar la gestión de riesgos

Para el 35,1% este es el principal reto en la gestión de riesgos de sus empresas. 

189 de los participantes indican que este año trabajarán para tener una mejor gestión de los riesgos a los que está expuesta su empresa, es decir, realizarán una adecuada identificación, evaluación, control y monitoreo de estos para disminuir la probabilidad de ocurrencia y el impacto que puedan tener. 

También trabajarán en la actualización de las matrices de riesgos, en los planes de tratamiento y en una mitigación efectiva de los riesgos en todos los procesos y áreas. Así mismo, para algunos encuestados, la definición del apetito de riesgo de la empresa es un reto para este año. 

“Tenemos el reto de centralizar la gestión de riesgos y realizar el seguimiento a los controles implementados”. Colombia. Gerente de riesgos de una empresa de seguridad.

1.2. Crear o fortalecer la cultura en gestión de riesgos

El 23,2% considera que este es el principal reto para este año 2022. 

En línea con el principal riesgo que enfrentan actualmente las empresas latinoamericanas, 125 encuestados indican que este año tienen el reto de crear o fortalecer la cultura de gestión de riesgos en sus empresas, esto es, concientizar y lograr que todo el personal se involucre y tenga el conocimiento necesario para aportar a este proceso, que debe ser considerado como estratégico y parte clave de todas las áreas. 

“El reto es culturizar. Si no entendemos bien qué es la gestión de riesgos no podemos implementar buenas prácticas y solo lo estaremos haciendo por cumplir”. Costa Rica. Auditora interna en una empresa de seguros.

1.3. Digitalización y automatización de la gestión de riesgos

El 8% indica que este es el principal reto en su área. 

De los participantes del estudio, 43 apuntan que para este año tienen el reto de digitalizar y automatizar la gestión de riesgos, esperan, por ejemplo, contar con herramientas tecnológicas que les permitan ser más eficientes y competitivos, interpretar mejor los riesgos e involucrar más fácilmente a todos los empleados en el proceso.

Además, quienes ya cuentan con una herramienta tecnológica, esperan fortalecer el uso que le dan a esta para aprovechar mejor las ventajas que tiene. 

“El reto es implementar un software de gestión de riesgos para administrar de una mejor forma la matriz de riesgos, así como el plan anual de auditoría y el seguimiento a las oportunidades de mejora”. Colombia. Coordinador de Auditoría. 

1.4. Otros retos

Adicional a los anteriores, otros retos considerados por los encuestados son:

  • Riesgos financieros e incertidumbre económica y geopolítica (5,9%).
  • Ciberseguridad (4,3%).
  • Cumplimiento normativo (3,3%).
  • Asegurar la continuidad del negocio (3,2%).
  • Gestionar o mejorar los riesgos LAFT (2,4%).
  • Incluir la gestión de riesgos ESG (1,9%).
  • Gestión del talento (1,5%).
  • Otro (11,3%)

2. Buenas prácticas para la gestión de riesgos

Para una eficiente gestión de riesgos, además de compromiso por parte de la alta gerencia, conocimiento y concientización de todos los empleados, es necesario desarrollar acciones estratégicas que contribuyan al logro de los objetivos tanto del área como de la empresa. 

Los expertos en riesgos entrevistados a profundidad para este Estudio de Gestión de Riesgos en Latinoamérica 2022 comparten algunas buenas prácticas para que las empresas de la región realicen una adecuada gestión de los riesgos a los que están expuestas y de esta forma, cumplan sus objetivos, generen rentabilidad y beneficios para sus stakeholders y aseguren la continuidad de sus negocios.

Buenas prácticas a tener en cuenta

  1. Definir cuál es el apetito y tolerancia al riesgo aceptable para la empresa. 
  2. Adoptar un enfoque sistémico y metodológico para la gestión de riesgos. Todas las áreas o procesos deben ser considerados.
  3. Implementar y usar herramientas ágiles que permitan tener una visión integral de los riesgos y que faciliten la gestión en todas sus etapas.
  4. Tener un presupuesto asignado y contar con la figura del risk manager, al igual que líderes para el control y monitoreo. 
  5. Entender el nuevo contexto de los negocios y determinar las nuevas amenazas y vulnerabilidades generadas a partir de este, además, poner foco en las que sean más críticas para la empresa.
  6. Establecer y medir de manera eficiente los indicadores claves de riesgo.
  7. Considerar y evaluar la gestión de riesgos en la cadena de valor.
  8. Aprovechar la información para predecir comportamientos y nuevas oportunidades de negocio. 

Incorporar prácticas como estas, ayudará a las empresas a realizar una mejor gestión de riesgos y así mismo, les permitirá ser resilientes y competitivas en un mercado en constante cambio. 

3. Uso de herramientas tecnológicas

Los expertos en riesgos entrevistados a profundidad para este estudio, también ofrecen su opinión sobre cómo el uso de herramientas tecnológicas, por ejemplo un software, puede ayudar a las empresas a mejorar la gestión de sus riesgos. 

Según los entrevistados, el uso de herramientas tecnológicas en la gestión de riesgos sirve para:

  1. Administrar los riesgos de manera inteligente y tener una visual completa de estos, así como tener reportes ágiles con KPI y KRI bien definidos para generar valor.
  2. Tomar mejores decisiones y acciones basados en datos más que en el criterio de expertos, que en muchas ocasiones suelen ser subjetivos.
  3. Tener trazabilidad de todo el proceso de gestión (identificación, evaluación, control y monitoreo).
  4. Mejorar el control y seguimiento tanto de los riesgos como del personal involucrado.
  5. Identificar a tiempo señales de alerta que puedan representar un riesgo.
  6. Optimizar la gestión, ahorrar tiempo y hacer que el proceso sea más eficiente y efectivo.

Un software como Pirani Riskment Suite, por ejemplo, permite a las empresas tener beneficios como estos al gestionar los riesgos y hacer más simple todo el proceso. 

Pero además de las ventajas, los expertos entrevistados señalan la necesidad de tener en cuenta a los usuarios de estas herramientas tecnológicas, es decir, el factor humano, pues para que exista un real aprovechamiento y buen uso de estas, es fundamental la capacitación y adaptación de los empleados. La generación y el fortalecimiento de la cultura son claves. 

“El uso de herramientas tecnológicas es un apoyo que puede acelerar nuestro progreso. No se trata de implementar una herramienta pensando que con ella ya habremos resuelto el problema sino de definir procesos y apoyarnos en esta para controlarlos y acelerarlos”. México. Vicepresidente Global de Investigaciones en una empresa líder en investigación y comportamiento de los consumidores. 

Conclusiones

  1. En las empresas de Latinoamérica, la falta de cultura en gestión de riesgos representa el principal riesgo a enfrentar, entre otras razones, porque no hay un verdadero compromiso por parte de todos los empleados; hace falta mayor concientización y esto, obstaculiza la labor de los responsables de las áreas de riesgos.

  2. Otros riesgos considerados prioritarios para las empresas de la región son el cambio regulatorio y el cumplimiento normativo, la continuidad de negocio, la ciberseguridad, el fraude y otros delitos financieros, y los riesgos de terceros. 

  3. Entre los retos que tienen las empresas de la región para este año 2022, se destaca mejorar la gestión de los diferentes riesgos a los que están expuestas (operacionales, financieros, tecnológicos, legales, reputacionales) y ser más eficientes en cada una de las etapas del proceso (identificación, evaluación, control y monitoreo) para reducir la probabilidad de ocurrencia y el impacto en caso de materializarse los riesgos.

  4. Otro reto de los responsables de las áreas de riesgos es crear o fortalecer la cultura en gestión de riesgos en sus empresas, para hacerlo es necesario desarrollar diferentes estrategias que permitan generar conciencia en todos los empleados sobre la importancia que tiene este proceso y que cada uno, independiente de su rol, puede aportar en la identificación y control de estos. Así mismo, aquí es clave el apoyo y compromiso por parte de la alta gerencia.
  5. Si bien existe un avance en la gestión de riesgos de las empresas latinoamericanas, aún hay mucho por mejorar. Es importante que este proceso cada vez más sea entendido como estratégico y fundamental para garantizar la continuidad y sostenibilidad del negocio, en otras palabras, debe hacerse más allá del cumplimiento de una norma o regulación y debe ser constante.

  6. El uso de herramientas tecnológicas, como un software de gestión de riesgos, trae grandes beneficios para las empresas. Un software como Pirani Riskment Suite, por ejemplo, les permite disminuir la carga operativa en todo el proceso de gestión de riesgos, ser más eficientes, ahorrar tiempo y recursos, tomar mejores decisiones a partir de los reportes e involucrar fácilmente al personal de otras áreas. Actualmente, en Latinoamérica el 57,1% de las organizaciones sigue gestionando los riesgos a través de matrices en Excel. 
    15_estudio_gestion_riesgo_2022

Referencia bibliográfica

  1. Esfera Consejeros. Risk in focus 2022: Hot topics for internal auditors.
  2. BBC News. Coronavirus en América Latina: las cifras que muestran el brutal impacto de la pandemia en las economías de la región.
  3. CincoDías, El País. Un ciberataque a Microsoft Exchange pone en riesgo a decenas de miles de empresas.
  4. Check Point. Deepfakes, Cryptocurrency and Mobile Wallets: Cybercriminals find news opportunities in 2022.
  5. Consultorio contable, Universidad Eafit. Fraude financiero.
  6. Pirani Blog. 3 claves para evitar fraudes financieros.
  7. Pirani Blog. Riesgos que se pueden presentar en la tercerización de servicios.
  8. La República. Inflación cerró disparada en Latinoamérica en 2021, arriba de meta de los bancos centrales.
  9. World Economic Forum. The Global Risks Report 2021 - 16th Edition. 
 

 

Prueba gratis Pirani

Y conoce cómo podemos ayudarte a hacer de la gestión de riesgos en tu organización un proceso más simple y eficiente.

 

 

Crea tu cuenta gratis