Ir al contenido

Glosario empresarial

Enterprise Risk Management (Gestión Integral de Riesgos)

El Enterprise Risk Management (ERM) o Gestión Integral de Riesgos es el proceso mediante el cual una organización identifica, evalúa, gestiona y monitoriza los riesgos que podrían afectar al logro de sus objetivos estratégicos, operativos, de reporte y de cumplimiento. El marco de referencia más utilizado es el COSO ERM 2017.

Digital

Qué es el ERM

El Enterprise Risk Management (ERM) o Gestión Integral de Riesgos es una disciplina de gobierno corporativo que va más allá de la gestión de riesgos tradicional, centrada en amenazas individuales y en silos. El ERM adopta una perspectiva holística y estratégica: considera todos los riesgos de la organización de forma integrada, analiza sus interacciones y los vincula directamente con los objetivos del negocio.

El marco más influyente es el COSO ERM 2017 (Enterprise Risk Management — Integrating with Strategy and Performance), publicado por el Committee of Sponsoring Organizations of the Treadway Commission. En España, el marco COSO coexiste con otras referencias como la norma ISO 31000 (gestión del riesgo) y los marcos sectoriales específicos (Solvencia II para aseguradoras, Pilar 2 de Basilea para banca).

Categorías de riesgo empresarial

Un programa ERM cubre la totalidad del universo de riesgos al que se expone la organización:

Riesgos estratégicos Derivados de cambios en el entorno competitivo, disrupción tecnológica, decisiones de M&A, cambios regulatorios de calado o riesgos reputacionales que pueden afectar a la posición estratégica de la empresa.

Riesgos operativos Fallos en procesos internos, errores humanos, fallos tecnológicos, interrupciones en la cadena de suministro, fraude interno y externo. Incluyen los riesgos de ciberseguridad y los riesgos de continuidad de negocio.

Riesgos financieros Riesgo de crédito, riesgo de liquidez, riesgo de tipo de cambio, riesgo de tipo de interés y riesgos de mercado.

Riesgos de cumplimiento Incumplimiento de obligaciones legales, regulatorias o contractuales. Incluyen riesgos fiscales, laborales, ambientales, de protección de datos y de competencia.

El proceso ERM: del universo de riesgos a la acción

  1. Identificación del universo de riesgos: talleres con los responsables de negocio, análisis de contexto externo e interno, revisión de incidentes históricos
  2. Evaluación: análisis de probabilidad e impacto (cuantitativo o cualitativo), determinación del riesgo inherente y del riesgo residual tras los controles existentes
  3. Respuesta al riesgo: para cada riesgo significativo, decisión de aceptar, mitigar, transferir (seguros, contratos) o evitar
  4. Control y monitorización: implantación de controles, asignación de propietarios de riesgo, seguimiento periódico
  5. Reporte: comunicación al Consejo y a la alta dirección mediante un mapa de riesgos (risk heat map) y un cuadro de mandos de riesgos

Indicadores clave de riesgo (KRI)

Los Key Risk Indicators (KRI) son métricas que permiten monitorizar el nivel de riesgo de forma continua y anticipar posibles deterioros antes de que se materialicen en pérdidas. A diferencia de los KPI (indicadores de desempeño, que miden lo conseguido), los KRI miden la exposición al riesgo en tiempo real.

Ejemplos: tasa de rotación de personal en funciones críticas, número de vulnerabilidades críticas sin parchear, porcentaje de proveedores sin contrato actualizado, concentración de ingresos en un solo cliente.

ERM y gobierno corporativo

En empresas cotizadas y en aquellas sometidas a regulación sectorial (entidades financieras, aseguradoras, empresas de infraestructuras críticas), el ERM es una exigencia explícita de los supervisores y de los inversores institucionales. Los estándares de buen gobierno corporativo (Código de Buen Gobierno de la CNMV) recomiendan que el Consejo de Administración supervise directamente el sistema de gestión de riesgos.

Para empresas medianas y pymes, la implantación de un ERM —aunque sea simplificado— aporta valor inmediato: sistematiza la toma de decisiones, reduce sorpresas operativas, mejora la negociación de seguros y fortalece la posición ante auditores y entidades financiadoras.

Preguntas frecuentes

¿Qué es el marco COSO ERM y se utiliza en España?
El marco COSO ERM, actualizado en 2017, es la metodología de gestión de riesgos más utilizada globalmente y ampliamente referenciada en España. Organiza la gestión de riesgos en cinco componentes: Gobierno y Cultura, Estrategia y Establecimiento de Objetivos, Desempeño, Revisión y Mejora, e Información y Comunicación. Las empresas cotizadas españolas referencian los conceptos COSO en sus requeridas divulgaciones del Sistema de Gestión de Riesgos ante la CNMV.
¿Están las empresas españolas obligadas legalmente a implantar un ERM?
No existe una obligación general de implementar un ERM para todas las empresas españolas, pero los requisitos regulatorios lo hacen efectivamente obligatorio para sectores específicos: las cotizadas deben divulgar sus sistemas de gestión de riesgos ante la CNMV, las aseguradoras deben realizar el ORSA (Autoevaluación del Riesgo y la Solvencia) bajo Solvencia II, y las empresas que invocan la exoneración de responsabilidad penal bajo la LO 1/2015 deben demostrar identificación y mitigación sistemática de riesgos.
¿Cuál es la diferencia entre apetito al riesgo y tolerancia al riesgo en ERM?
El apetito al riesgo es la cantidad de riesgo que una organización está dispuesta a aceptar en la persecución de sus objetivos estratégicos, es una declaración a nivel de consejo sobre el riesgo aceptable para el conjunto de la empresa. La tolerancia al riesgo es la variación admisible en el desempeño respecto a un objetivo específico, son los límites operativos dentro de los que trabajan las unidades de negocio. El consejo fija el apetito de arriba abajo; las tolerancias se despliegan hacia las unidades de negocio y deben cuantificarse siempre que sea posible.
¿Cómo debe iniciar la implantación de un ERM una pyme española?
Para una empresa española mediana que implanta ERM por primera vez, el enfoque práctico comienza con un mandato del consejo que establezca el ERM como prioridad, seguido de talleres facilitados con el equipo directivo para construir un inventario de 25-50 riesgos significativos. Estos se documentan en un registro de riesgos con propietarios, puntuaciones de probabilidad e impacto, y controles existentes. Los 10-15 riesgos prioritarios reciben planes de respuesta. El reporting trimestral al consejo completa el ciclo básico.
¿Cómo se relaciona el ERM con las exigencias de compliance penal en España?
La reforma del Código Penal español (LO 1/2015) permite a las empresas exonerarse de responsabilidad penal corporativa demostrando un programa de compliance efectivo. La norma española de Compliance Penal (UNE 19601) exige explícitamente un enfoque basado en riesgos: la empresa debe identificar los riesgos penales, evaluar su probabilidad e impacto potencial, e implementar controles para mitigarlos. Esto hace que la metodología ERM sea directamente aplicable al compliance penal en España.

Servicio relacionado

Servicios Empresariales

Descubra nuestros servicios en esta área

Sectores relacionados

Tecnología y Startups Investigación y Desarrollo

Términos relacionados

plan prevención Auditoría de cuentas Plan de Continuidad de Negocio y Disaster Recovery (BCP / DRP) RPA (Robotic Process Automation)

Artículos relacionados

abr 2025

Alternativas a la Golden Visa: invertir en España tras su abolición

ene 2024

Salario mínimo 2024: nueva subida y efectos

ene 2025

Salario mínimo 2025: nueva subida y costes

ene 2026

Salario mínimo 2026: efectos en las empresas

Volver al glosario

Solicite una consulta personalizada

Nuestros expertos están listos para analizar su situación y ofrecerle soluciones a medida.

Consulta gratuita
Llamar Contacto