ERM es una administración holística de todos los riesgos importantes. Simplificando, es la vista e identificación de riesgos a través de toda la organización y los pasos que son tomados para manejar dichos riesgos.

BCM por su parte es una iniciativa administrativa continua que incluye políticas y procesos ligados a los objetivos estratégicos de la organización, para prepararse profesionalmente para sobrevivir a interrupciones y continuar o reanudar operaciones de negocio diarias, especialmente en eventos considerados por la organización como desastres.

La mayoría de la gente asocia “Administración de Riesgos Tradicional” con la persona que compra los seguros. En el pasado, por muchos años, los profesionales de administración de riesgos fueron relegados a un trabajo de oficina y a cálculos detrás de puertas cerradas. En los últimos 20 años, la administración de riesgos se enfocó en el manejo de los riesgos asegurables, no tomando en cuenta los riesgos operacionales, cuyo resultado puede ser influenciado por como los riesgos son manejados proactivamente. Los administradores de riesgos en el pasado nunca consideraron que ellos tenían un rol de apoyo a la organización en el manejo de los riesgos de mercado, reputación, o tercerización (outsourcing). En lugar de eso, su pericia fue aplicada a riesgos de propiedad, responsabilidad civil, enfermedades y accidentes de los empleados. En este contexto, la continuidad del negocio y la administración de riesgos fueron coexistieron en “silos” separados de responsabilidad, perdiendo la ventaja de las eficiencias ofrecidas por la evaluación integrada de riesgos y su tratamiento.

En años recientes, el término “Administración de Riesgos Empresarial” (Enterprise Risk Management) se ha acuñado para distinguir la administración de riesgos tradicional de una visión más completa y proactiva de riesgos operacionales en la organización.  La pregunta es, ¿cómo puede el administrador de riesgos empresarial ayudar a las áreas operativas a tomar riesgos y utilizar esto como una ventaja competitiva para sus compañías? Para poder tomar riesgos inteligentemente, la organización necesita construir y evaluar riesgos  en toda la organización – desde una falla de energía hasta huracanes y administración de datos o amenazas al activo de su marca o marca.

Otro aspecto distintivo de ERM es que el departamento de administración de riesgos no es el dueño del proceso. Realizado correctamente, ERM será embebido en las áreas operativas y de sistemas. El administrador de riesgos será el gurú proveedor de las herramientas y el administrador de la estructura de gobierno, pero la aplicación del proceso será “propiedad” de las unidades de negocio. En una estructura madura, los líderes y administradores en áreas como imagen, finanzas, recursos humanos, administración de inmuebles y tecnología de información entenderán sus responsabilidades de administración de riesgos. Existirá una estructura común de gobierno que integrará estas responsabilidades para proveer una supervisión del proceso y de cómo se atenderán proactivamente los riesgos como reputación, calidad de datos, privacidad de la información y también, interrupción de operaciones.

BCM y ERM, Juntos finalmente.

BCM y la recuperación ante desastres son componentes naturales de ERM. Todos los recursos y planes que integran un plan de continuidad del negocio son desarrollados para atender los riesgos de interrupción del negocio en una organización y deberían ser parte de un plan de mitigación completo para todos los riesgos empresariales. 

Los programas más maduros ERM tienen la fuerza de una política corporativa que requiere internamente a los líderes y administradores de la compañía entender los riesgos antes de que puedan asumirlos. Los consejos esperan que la organización tenga un proceso completo y efectivo para identificar, medir y manejar los riesgos. Viendo BCM como parte de la función de administración de riesgos y embebida en el programa ERM a nivel empresarial, el cual ha sido alineado con los imperativos estratégicos de la compañía.

Mantengamos sencillo el concepto ERM

Finalmente, un buen enfoque para la implementación de ERM (Enterprise Risk Management) es mantener ERM con un enfoque sencillo.

• Primero, identifica un líder (alguien que lideré y maneje el proceso) en la organización. En muchos casos, el CFO (o mejor aún, el CRO) es quien debe liderar esta iniciativa. Si el CFO o CRO no está calificado para liderar este ejercicio, la contratación de los servicios de un asesor administrador de riesgos competente que esté bien preparado en ERM, ayudará a diseñar y manejar el proceso.
• El siguiente paso es tener a todos los líderes internos del negocio pertinente dentro de la organización y formar un grupo de trabajo para manejar el proceso y el sistema.
• Definir cuál es la cantidad monetaria (en Pesos o en Dólares) que es significativa (material o importante) para la organización como un todo. Una pérdida de esta cantidad en dólares podría provocar el cierre de la compañía o impactar en el precio de su acción.
• Una vez que la cantidad significativa en dólares es identificada, cada líder hará una lista de cuales riesgos dentro de su área respectiva, que podrían producir una pérdida material de ese calibre.
• El grupo debe asignar personal para identificar los pasos necesarios para eliminar, mitigar o transferir ese riesgo.
• Reunirse periódicamente para dar seguimiento al progreso vs. Los pasos de acción y continuamente definir y mejorar el proceso.
• Una vez que los riesgos materiales han sido identificados y los pasos han sido implementados, el grupo entonces puede ampliar su definición de riesgo y comenzar el proceso de administración de riesgos para aquellos riesgos no materiales pero riesgos grandes dentro de sus respectivas áreas.

Por Jorge Escalera

Las opiniones expresadas por el/los autores no reflejan la opinión de la firma.