Por: CP Iván Rodríguez. Colaborador de Auditool.
En un mundo empresarial cada vez más volátil, marcado por disrupciones tecnológicas, presiones regulatorias y expectativas de los terceros interesados (stakeholders), la gestión de riesgos empresariales (Enterprise Risk Management – ERM), por sus siglas en inglés) se ha convertido en un pilar indispensable para la sostenibilidad organizacional. Sin embargo, convencer a la junta directiva o al consejo de administración de su relevancia estratégica no siempre es tarea sencilla. Sin embargo, la literatura técnica sobre el tema ofrece diversas maneras prácticas y persuasivas para que los gerentes de riesgo transformen sus informes en herramientas de toma de decisiones que no solo mitiguen amenazas, sino que impulsen el crecimiento y así elevar la percepción del ERM de ser considerado un "costo necesario" a convertirse en un motor de ventaja competitiva. El auditor debe estar atento a que los gerentes de riesgo logren demostrar el valor estratégico del ERM, su impacto directo en el desempeño organizacional y su rol en el cumplimiento regulatorio, de manera que se beneficie y complemente su trabajo. En esencia, no se trata solo de reportar riesgos, sino de mostrar cómo la gestión proactiva de riesgos fortalece la reputación de la empresa, anticipa escenarios futuros y eleva el rendimiento general, pero suele ocurrir que consejo o junta ven al ERM como un gasto administrativo o una distracción de las prioridades de crecimiento. Por ello, los informes de riesgo deben ser persuasivos, basados en evidencia, y alineados con las demandas regulatorias crecientes que exigen responsabilidad total en materia de riesgos. Es fundamental entonces que la comunicación entre los gerentes de riesgo y la alta dirección se base en un lenguaje claro y orientado a los objetivos estratégicos de la organización, resaltando ejemplos concretos en los que una gestión efectiva de riesgos ha permitido aprovechar oportunidades emergentes o responder ágilmente ante crisis inesperadas. Incluir métricas cuantificables y resultados tangibles en los reportes puede facilitar que la junta directiva visualice el impacto real del ERM en la creación de valor y en la protección de los intereses de los accionistas y demás partes interesadas.
Tanto los gerentes de riesgo como los auditores suelen ser visionarios que protegen el futuro de la organización, pero la alta administración frecuentemente los ve como burócratas que generan gastos y esfuerzo innecesario. Esta desconexión no es trivial; en un entorno donde un solo riesgo no gestionado puede erosionar en cantidades significativas el valor accionario, los informes ERM deben demostrar cómo es posible generar retornos tangibles, tales como una mejor asignación de recursos. Así, además de cumplir con las obligaciones legales pertinentes, posicionan al ERM como un catalizador de innovación estratégica. La existencia de un reporte robusto puede revelar una correlación directa: las organizaciones con madurez avanzada en gestión de riesgos superan consistentemente a sus pares en métricas financieras. Por ejemplo, empresas con ERM maduro reportan un 20-30% más de eficiencia en la capitalización de oportunidades y una reducción significativa en pérdidas por eventos inesperados[1]. Este valor cuantificable transforma el ERM de un "seguro" a una inversión estratégica.
Un tema que debe tenerse en cuenta es la drástica evolución del panorama regulatorio, lo que impacta el quehacer de las juntas directivas, que son responsables no solo de riesgos estratégicos, sino de todos los niveles, incluyendo operativos y de cumplimiento. La negligencia en la gestión de riesgos puede derivar en sanciones penales y demandas colectivas y no es posible usar la defensa de "ignorancia". (el desconocimiento de la ley no es excusa para incumplirla). Además las nuevas Normas Globales de Auditoría Interna - vigentes desde 2025 - redefinen el rol de la auditoría: ya no es un ejercicio de cumplimiento pasivo, sino un verificador activo de la integridad de la información de riesgo, que abarca desde los niveles operativos hasta la alta dirección. Estas normas promueven la transparencia en riesgos emergentes, tales como ciber amenazas o disrupciones climática y exigen eficiencia en los procesos de reporte. Ahora bien, tanto gerentes de riesgo como auditores (desde la órbita de su competencia) cuentan con la responsabilidad de conectar riesgos operativos con impactos estratégicos. El gerente debe establecer estándares claros, medir la efectividad del programa y asegurar trazabilidad hacia la auditoría interna.
En un reporte ERM se deben alinear riesgos con objetivos estratégicos. El ERM debe traducir metas de alto nivel, como pueden ser la expansión global o la transformación digital en actividades operativas medibles.
Esto implica mapear cómo un riesgo en procesos (ej. fallos en la cadena de suministro) puede sabotear objetivos corporativos (ej. metas de ingresos). Al visualizar estas intersecciones o correlaciones, la junta o consejo gana claridad sobre dónde invertir para maximizar el impacto. Es importante también demostrar la efectividad al generar ventaja competitiva mediante decisiones informadas, optimización de recursos y minimización de exposiciones. Una de las maneras de lograrlo es desarrollar mapas de calor y matrices de riesgo que permitan visualizar de manera intuitiva la relación entre cada riesgo identificado, los procesos críticos y los objetivos estratégicos de la organización. También puede ser conveniente implementar tableros de control interactivos que faciliten la actualización en tiempo real de los indicadores clave de riesgo (KRIs), promoviendo así una respuesta ágil y fundamentada ante cualquier desviación significativa.
Para fortalecer aún más la efectividad de los reportes ERM, es recomendable incorporar estudios de caso internos o ejemplos de la industria donde una gestión proactiva de riesgos haya evitado pérdidas significativas o permitido la identificación temprana de oportunidades estratégicas. Estas narrativas ayudan al entendimiento de los datos ya que ilustran, con situaciones concretas, el impacto positivo de una buena gestión de riesgos. Además, evidencian la importancia de la junta directiva como en los equipos de gestión de riesgos para mantener la organización preparada ante amenazas emergentes y regulaciones cambiantes. Los informes ERM pueden complementarse así:
- Conexión con divulgaciones financieras: Los reportes ERM deben relacionar riesgos abstractos con operaciones reales para mayor credibilidad ante inversores.
- Trazabilidad: Los reguladores podrían demandar responsabilidades específicas: ¿quién es responsable de este riesgo? ¿Cuál es su origen? ¿Qué mitigaciones se aplicaron? La auditoría interna será el guardián de esta cadena de custodia.
- Enfoque híbrido arriba-abajo/abajo-arriba (Top-Down/Bottom-Up): La información debe fluir bidireccionalmente: directivas estratégicas desde la cima, datos específicos desde las bases. Esto asegura precisión, relevancia y una visión holística.
Es así como el ERM puede evolucionar de reactivo a predictivo para ser integrado y estratégico. Por su parte, un reporte ERM efectivo no es un ejercicio de cumplimiento, sino una demostración de cómo la gestión de riesgos eleva el desempeño organizacional. Hay que enfatizar la visualización estratégica y la comunicación transparente, adaptada al lenguaje de la junta o consejo. La evolución del ERM apunta a una integración profunda: gobernanza, auditoría interna y operaciones unidas por trazabilidad total entre riesgos, causas y acciones. Los auditores y los gerentes de riesgo, más que gestionar amenazas deben liderar con ellas., en la búsqueda del éxito sostenido. Más que cumplir con las demandas del presente, hay que preparar a las organizaciones para un futuro incierto.
[1] Ver: eBook Download: Presenting ERM to the Board
CP Iván Rodríguez - CIE AF
Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Bogotá DC, Colombia.
Y luego Agregar a la pantalla de inicio.