Valor del sistema de gestión de riesgos para empresas contemporáneas

• Volátil: un ambiente de cambio constante.
• Incierto: no se puede predecir fácilmente.
• Complejo: debe analizarse desde una visión holística.
• Ambiguo: difícil de entender, donde la lógica y la intuición no son elementos suficientes para su análisis.

Por lo anterior, una empresa debe comenzar a sumarse a la conversación mundial y local para allegar tempranamente información sobre eventos relevantes, así como invertir tiempo en descifrar los impactos directos e indirectos que pueden representar un riesgo para el cumplimiento de los objetivos para los que fue creada.

Todas las empresas nacen con un fin específico sobre el que construyen las bases y encaminan su dirección al cumplimiento de dicho propósito. Al conocer este objetivo o misión, el siguiente paso para comenzar la gestión de riesgos es preguntarse: ¿qué situaciones podrían poner en riesgo el cumplimiento de esa misión?

Al analizar profundamente estas situaciones, se pueden identificar riesgos, desde su origen e impacto, para posteriormente establecer estrategias que disminuyan la probabilidad de que esa situación se convierta en una realidad desde la predicción y anticipación.

Los riesgos más relevantes son los derivados de sucesos impredecibles o los que no se han conocido; Nassim Nicholas Taleb se refiere a estos como un “cisne negro” porque son sucesos que podrían cambiar drásticamente el rumbo de una cosa; una situación que se sale de los estándares tiene un impacto muy relevante y, una vez que ocurre, es base para predecirlo en el futuro. Es un paralelismo con la época en que las personas estaban convencidas de que todos los cisnes eran blancos hasta que vieron uno de color negro.

Ese nivel de análisis supone complejidad, por ello las empresas basan sus pronósticos, estimaciones y predicciones en datos estadísticos de sucesos ya conocidos en su historia propia y del entorno en el que opera; esto da una visión importante, pero no suficiente para entender y atender los riesgos que suponen un problema para la organización.

El comité de riesgos se debe integrar por directores o gerentes de áreas como finanzas, operaciones, cumplimiento, auditoría interna, TI, legal, entre otros.

¿Cómo se establece un sistema de gestión de riesgos adecuado?

Para constituir un sistema de gestión de riesgos, se puede encontrar dirección en el Marco de Gestión de Riesgos Empresariales desarrollado por el Committee of Sponsoring Organizations (COSO), donde se desarrollan algunos puntos de utilidad a través de sus cinco componentes: gobierno y cultura; estrategia y objetivos; desempeño; evaluación y revisión; e información, comunicación e informes.

Gobierno y cultura

Resalta la base fundamental de persuadir a la empresa sobre la importancia del análisis y gestión de riesgos como herramienta para asegurar el cumplimiento de sus objetivos. Representa cimientos sólidos si se integra a su cultura organizacional desde la alta dirección, quien debe convencerse de los beneficios de este sistema para inculcarlo en toda la entidad; si los miembros de la alta dirección no están involucrados, la implementación de un sistema de gestión de riesgos irá contracorriente.

Como parte de las acciones que pueden encaminar los miembros de la alta dirección, está la creación de un comité de riesgos, cuya función será la de gestionar la identificación y análisis de estos. Dicha medida es considerada como una de las mejores prácticas de gobierno corporativo por el Consejo Coordinador Empresarial (CCE).

Este comité debe reportar al consejo de administración, factor que beneficia la comunicación de los principales riesgos de negocio de manera oportuna, generando interés y provocando el involucramiento de los miembros de los órganos de gobierno en el establecimiento de acciones encaminadas a mitigarlos. Las principales funciones de este comité son:

• Valorar mecanismos idóneos para la identificación, análisis, mitigación y revelación de riesgos.
• Evaluar y revelar impactos sociales y ambientales.
• Establecer (con la dirección) los niveles de apetito de riesgo.
• Definir los riesgos estratégicos y financieros a los que se enfocarán.
• Clasificar adecuadamente los tipos de riesgos para facilitar su entendimiento a la dirección.
• Establecer la forma de administrar y revelar los riesgos.
• Vigilar el cumplimiento.
• Participar en el desarrollo y difusión del código de ética.
• Considerar y analizar estatus de procesos legales.
• Brindar claridad sobre las políticas de la administración de riesgos.

Estrategia y objetivos

Resalta la relevancia de analizar el contexto empresarial de forma integral, asunto relevante en un mundo globalizado, donde existirán impactos directos o indirectos que afectarán a cualquier tipo de organización, independientemente de su tamaño o giro.

Un análisis integral del contexto empresarial se refiere a examinar factores internos y externos, mundiales y nacionales, generales e individuales, etc.; asimismo, se debe considerar la relevancia de sucesos que influyan de alguna forma en la situación de la empresa, tales como la variabilidad económica nacional e internacional, conflictos políticos, jurídicos y culturales, insuficiencia de recursos naturales, fenómenos climáticos y de salud, cambios en legislaciones aplicables al tipo de empresa, fenómenos sociales, innovación, nuevas tecnologías, crisis humanitarias, religión y creencias, por mencionar algunos.

Lo importante es procurar no perder de vista ningún factor, ya que este análisis debe ser útil para definir o redefinir la estrategia de la empresa. Sobre eso se deben construir los objetivos del negocio para alinearlos con la estrategia a fin de contribuir con la identificación, evaluación y respuesta al riesgo.

Los riesgos más relevantes son los derivados de sucesos impredecibles o los que no se han conocido.

Desempeño

Una vez clara la estrategia y los objetivos de aplicar el pensamiento de riesgos, derivado de preguntarse: ¿qué puede desviar o impedir el cumplimiento de los objetivos estratégicos de la empresa?, entonces se comienzan a descubrir los posibles riesgos para evaluarlos conforme a su probabilidad de ocurrencia e impacto; asimismo, hay que priorizarlos de acuerdo con los criterios que defina el comité de riesgos, en conjunto con la alta dirección y el consejo de administración. En resumen, se deben identificar, evaluar y priorizar riesgos, así como definir respuestas a estos.

Responder a la contingencia puede ser incluso la aceptación de la misma y sus consecuencias, sobre todo si se considera que el costo de implementar acciones para mitigarla puede superar el costo de corregirla, por ejemplo.

Resulta relevante diseñar la mejor forma de comunicar los resultados del análisis de riesgos a todas las partes interesadas dentro de la organización, haciéndolos partícipes de su gestión.

Evaluación y revisión

Se refiere a la evaluación del sistema de gestión de riesgos y aquellos cambios sustanciales en el entorno empresarial para realizar ajustes que brinden más precisión y claridad en la estrategia, con lo que se brinda un alto grado de confianza en que las respuestas a las contingencias son razonablemente suficientes. Para esto se pueden apoyar de indicadores de rendimiento y evaluación de nivel de efectividad de los componentes del sistema.

Información, comunicación e informes

Para que el sistema de gestión de riesgos cumpla su fin, es necesario que tenga garantía sobre los canales de comunicación más adecuados para que la información fluya de forma interna y externa, lo que permita que se allegue de datos confiables y precisión en sus resultados. Lo anterior implica también que la empresa se mantenga a la vanguardia en información y canales de comunicación para aprovecharlos en beneficio de su sistema.

Conclusiones

No es posible evitar que una empresa se enfrente a riesgos que dificulten o imposibiliten el cumplimiento de sus objetivos y estrategia. Existen dos máximas en la gestión de riesgos:

• Toda organización existe para generar valor y, en ese camino, se enfrenta al riesgo.
• El riesgo no se elimina, sólo se mitiga.

Con estos enunciados cobra sentido que las empresas se preocupen por establecer un sistema de gestión de riesgos adecuado y funcional, para lo cual deben prepararse o vincularse con miembros experimentados en la implementación y seguimiento de su sistema. Es muy relevante mantener informados e involucrados a miembros de la alta dirección y el consejo de administración sobre la evolución del sistema, por lo que el establecimiento de un comité enfocado en la gestión de riesgos con línea de reporte directa beneficiará a ello.

Asimismo, de conformidad con las mejores prácticas, se recomienda que el comité de riesgos esté integrado por directores o gerentes de áreas clave como finanzas, operaciones, cumplimiento, auditoría interna, Tecnologías de la Información (TI), legal, entre otros; por un miembro del consejo de administración (idealmente independiente); y por expertos externos en riesgos. La estrategia debe alinearse al resultado de la gestión, pero también debe penetrar en la organización a través de su cultura y valores; esto garantizará su éxito.

---

Referencias

• CCE, 2025, Código de principios y mejores prácticas de gobierno corporativo, 2025, de CCE: https://cce.org.mx/wp-content/uploads/2025/02/CODIGO_DE_PRINCIPIOS_Y_MEJORES_PRACTICAS_DE_GOBIERNO_CORPORATIVO_PARA_MEXICO.pdf
• Committee of Sponsoring Organizations, 2017, Enterprise Risk Management - Integrating with Strategy and Performance, 2025, de Coso: https://www.coso.org/guidance-erm
• Montalvo, R., 2022, Cuando el destino nos alcanza en un mundo VICA (volátil, incierto, complejo y ambiguo), 2025, de EGADE Business School: https://egade.tec.mx/es/egade-ideas/opinion/cuando-el-destino-nos-alcanza-en-un-mundo-vica-volatil-incierto-complejo-y
• Nassim Nicholas Taleb (2013), El Cisne Negro, Ediciones culturales Paidós.