ERM: Un Marco de Riesgos que Informa Decisiones Estratégicas

La gestión integral de riesgos empresariales (Enterprise Risk Management o ERM) es el proceso mediante el cual una organización identifica, evalúa, monitoriza y responde a los riesgos que pueden afectar a sus objetivos estratégicos, operacionales, financieros y de cumplimiento. El marco de referencia global es el estándar COSO ERM (actualizado en 2017), que integra la gestión de riesgos con la estrategia corporativa. En España, la implantación de un marco ERM formal es una exigencia implícita del Código de Buen Gobierno de la CNMV para las sociedades cotizadas, y una práctica cada vez más extendida entre empresas no cotizadas como señal de madurez organizacional ante inversores y entidades financieras. Los estudios de Deloitte indican que las empresas con ERM formal anticipan tres veces mejor los riesgos estratégicos que las que no lo tienen.

Nuestro equipo de gestión integral de riesgos combina experiencia en marcos COSO con conocimiento sectorial profundo en industria, servicios financieros, retail y empresas de plataforma.

La gestión de riesgos empresarial ha evolucionado radicalmente en los últimos años. Ya no se trata de elaborar una lista de riesgos que se presenta una vez al año al consejo: el ERM moderno es un sistema de información estratégica que conecta el perfil de riesgo de la organización con sus decisiones de asignación de capital, sus objetivos de crecimiento y su capacidad de respuesta ante un entorno en cambio acelerado. Las organizaciones que gestionan bien sus riesgos no son más conservadoras — son más rápidamente decisivas porque saben exactamente que riesgos están tomando y cuales están dentro de su apetito.

El punto de partida es la definición del apetito al riesgo. Esta decisión — que corresponde al consejo de administración con el apoyo del equipo directivo — no es un ejercicio teorico: es la declaración de principios que define que tipo de empresa quiere ser la organización y que nivel de riesgo está dispuesta a asumir para alcanzar sus objetivos. Sin un apetito al riesgo formal, la gestión de riesgos se convierte en un ejercicio de reducción de riesgos sin referencia, que a menudo lleva a evitar riesgos estratégicamente necesarios mientras se toleran riesgos operacionales significativos.

El registro de riesgos corporativo es la herramienta de gestión central. Un registro bien diseñado no es solo una lista de posibles problemas: es un mapa vivo del perfil de riesgo de la organización, con propietarios claros para cada riesgo, controles documentados y planes de mitigacion concretos. Coordinamos el registro de riesgos con los planes de continuidad de negocio y la gestión de riesgos de terceros, evitando la fragmentación que convierte la gestión de riesgos en un ejercicio de cumplimiento formal sin valor real.

Los KRIs son el mecanismo de alerta temprana que distingue un marco ERM maduro de uno meramente documental. Un buen conjunto de KRIs permite al equipo directivo y al consejo ver la evolución del nivel de riesgo antes de que los problemas se materialicen — exactamente la misma lógica que los indicadores financieros adelantados en la gestión del rendimiento económico. Los KRIs que diseñamos son específicos para el contexto de cada empresa, no listas genericas de indicadores copiados de un manual. Para empresas con un CFO externo, la integración de los KRIs financieros en el marco ERM proporciona una visión de riesgo financiero adelantada que enriquece el reporting al consejo.

El problema que resuelve

Las empresas en crecimiento acelerado suelen carecer de un mapa consolidado de sus riesgos reales. El director financiero gestiona el riesgo de liquidez, el director de operaciones gestiona el riesgo de suministro, el abogado externo gestiona el riesgo legal, y el consejo recibe fragmentos de información desconectados en cada reunion. Nadie tiene la visión de conjunto del perfil de riesgo de la organización. El resultado es que los riesgos estratégicos más importantes — la dependencia excesiva de un cliente, la concentración tecnológica en un proveedor crítico, la exposición regulatoria de un nuevo mercado — emergen como sorpresas costosas en lugar de como decisiones informadas. Estudios de Deloitte indican que las empresas con marco ERM formal anticipan tres veces mejor los riesgos estratégicos que las que no lo tienen, y sufren menos de la mitad de las interrupciones operativas no previstas.

Como lo abordamos

Nuestros profesionales implementan el marco COSO ERM adaptado a la escala de cada empresa. Para una pyme de 30 empleados el marco es ligero: un registro de 20 a 40 riesgos bien documentados, cinco KRIs críticos y un informe trimestral de una página al consejo. Para una empresa mediana de 200 empleados el marco es más estructurado: taxonomia de riesgos por cuatro categorías (estratégico, operacional, financiero, cumplimiento), registro completo con propietarios y controles, quince KRIs monitorizados mensualmente y cuadro de mando para el consejo. En ambos casos el proceso comienza con entrevistas al equipo directivo para identificar los riesgos reales percibidos, y termina con la aprobación formal del apetito al riesgo por el consejo.

Lo que incluye el servicio

El servicio cubre el diagnóstico de madurez actual en gestión de riesgos, el diseño de la taxonomia corporativa de riesgos, la definición del apetito y tolerancia al riesgo aprobada por el consejo, la construcción del registro de riesgos corporativo con evaluación de probabilidad e impacto, asignación de propietarios y planes de mitigacion, la definición de KRIs para las categorías más relevantes con umbrales de alerta, el diseño del cuadro de mando de riesgos para el consejo, y el acompañamiento en los primeros tres ciclos trimestrales de revisión. El mantenimiento semestral del registro está incluido.

Resultados que puedes esperar

Las empresas que implementan el marco ERM con nuestro equipo obtienen su primer informe de riesgos consolidado para el consejo en un plazo de 10 a 16 semanas. La calidad de las conversaciones estratégicas del consejo mejora de forma inmediata y medible: los administradores reportan tener más información relevante en menos tiempo. Los KRIs permiten detectar señales de aumento del nivel de riesgo con entre 4 y 8 semanas de antelacion respecto a cuando el problema se hubiera materializado sin el sistema de alerta. Y el marco ERM documentado es una señal de madurez organizacional que mejora las condiciones en procesos de financiación y due diligence por parte de inversores.

Caso práctico: marco ERM en empresa de distribución farmacéutica con 180 empleados

Una empresa de distribución farmacéutica especializada con 180 empleados, 45 M€ de facturación y tres almacenes regulados por la AEMPS (Agencia Española de Medicamentos y Productos Sanitarios) había experimentado dos incidentes graves en 12 meses: una rotura de cadena de frío que afectó a 23 líneas de producto (coste 340.000 €) y un ciberincidente que interrumpió las operaciones durante 3 días (coste estimado 180.000 €). El consejo de administración encargó a BMC la implementación de un marco ERM.

Diagnóstico de madurez inicial. Usando el modelo de madurez COSO, la empresa se situaba en nivel 1 (Inicial) de 5: los riesgos se gestionaban de forma reactiva, sin registro formal, sin propietarios asignados, y sin reporting al consejo. Los dos incidentes no habían generado ningún plan de acción estructurado.

Marco ERM implementado en 6 meses:

1. Taxonomía de riesgos y apetito al riesgo (meses 1-2): definición de 6 categorías de riesgo (estratégico, operacional, regulatorio, financiero, tecnológico, reputacional), establecimiento del apetito al riesgo por categoría con la participación del consejo y la dirección, y escalas de evaluación calibradas para el tamaño y el sector de la empresa.
2. Registro de riesgos corporativo (mes 3): identificación de 68 riesgos mediante talleres con los responsables de cada área, evaluación de probabilidad e impacto (inherente y residual), asignación de propietarios, y definición de controles mitigantes existentes y adicionales requeridos.
3. KRIs y sistema de alerta temprana (mes 4): definición de 22 indicadores clave de riesgo (KRIs) monitorizados mensualmente: temperatura promedio de almacenamiento, tasa de incidencias de cadena de frío, tiempo de restauración de sistemas IT, porcentaje de empleados con formación regulatoria al día, y otros específicos del sector farmacéutico.
4. Reporting al consejo (mes 5-6): diseño de un cuadro de mando de riesgos trimestral para el consejo, con semáforo de evolución de los riesgos principales, estado de los planes de acción y comparativa con el apetito al riesgo definido.

Resultado a 12 meses. Los KRIs de cadena de frío detectaron dos alertas tempranas que se resolvieron antes de convertirse en incidentes. El consejo pasó de recibir información de riesgo ad hoc a tener un cuadro de mando trimestral estructurado. La AEMPS, en su inspección anual, valoró positivamente la existencia del marco ERM y el registro de riesgos operacionales.

Cinco preguntas que hacen nuestros clientes antes de contratar

¿El ERM es solo para grandes empresas? ¿Tiene sentido en una empresa de menos de 100 empleados?

El ERM es escalable. Para empresas de menos de 100 empleados, no tiene sentido implementar un marco COSO completo con comité de riesgos, función de riesgos dedicada y reporting mensual al consejo. Pero sí tiene sentido identificar los 10-15 riesgos más relevantes, asignar propietarios, definir controles básicos y revisarlos trimestralmente. BMC diseña marcos ERM proporcionales: para una empresa de 50 empleados, el marco puede implementarse en 6-8 semanas con un coste y una complejidad muy por debajo de un ERM corporativo. El valor no está en el tamaño del marco, sino en tener visibilidad sobre los riesgos que pueden comprometer el negocio.

¿Cómo defino el apetito al riesgo si nunca lo he hecho antes?

El apetito al riesgo no es un número abstracto: es la respuesta a la pregunta “¿cuánto riesgo estamos dispuestos a asumir en esta categoría para perseguir nuestros objetivos estratégicos?”. BMC facilita talleres con el consejo y la dirección para construir el apetito al riesgo de forma práctica: usando escenarios concretos, discutiendo ejemplos reales del sector, y traduciendo las respuestas a rangos de probabilidad e impacto cuantificados. El resultado es un apetito al riesgo que el consejo realmente entiende y puede usar para evaluar decisiones estratégicas.

¿Qué son los KRIs y en qué se diferencian de los KPIs?

Los KPIs (Key Performance Indicators) miden el rendimiento actual: ventas, margen, satisfacción de clientes. Los KRIs (Key Risk Indicators) miden señales de alerta temprana de riesgos que podrían materializarse en el futuro: tasa de rotación de empleados en puestos críticos (indicador de riesgo de pérdida de conocimiento), antigüedad promedio de los contratos de clientes (indicador de riesgo de concentración), tiempo de respuesta de proveedores clave (indicador de riesgo de cadena de suministro). Un buen KRI tiene valor predictivo: se deteriora antes de que el riesgo se materialice, dando tiempo para actuar. BMC selecciona KRIs basándose en el historial de incidentes del sector y en los riesgos específicos identificados en el registro de riesgos de cada empresa.

¿El marco ERM ayuda a reducir las primas de seguros?

En algunos segmentos, sí. Las aseguradoras de ramos especializados (responsabilidad civil profesional, ciberseguro, D&O) están cada vez más orientadas a premiar a las empresas que demuestran una gestión activa del riesgo con mejores condiciones de precio y cobertura. Aportar el registro de riesgos, los KRIs y el historial de incidentes con planes de acción documentados en la negociación con el corredor de seguros puede generar descuentos del 5-15 % en las primas. BMC coordina con el corredor de seguros del cliente para asegurarse de que el marco ERM se presenta de la forma más efectiva en el proceso de renovación de pólizas.

¿Qué pasa con los riesgos que no están en el registro porque no los hemos identificado?

El riesgo de “unknown unknowns” (riesgos que no sabemos que existen) es real y ningún marco ERM lo elimina completamente. Lo que un buen ERM hace es: (a) estructurar la identificación de riesgos para minimizar los puntos ciegos, usando múltiples fuentes (análisis de incidentes históricos, benchmarking sectorial, talleres multidisciplinares, análisis de escenarios), (b) establecer un proceso de revisión periódica del registro para incorporar riesgos emergentes, y (c) mantener reservas de contingencia y capacidad de respuesta para eventos no anticipados. BMC incluye en el proceso de implementación un análisis de “horizontes de riesgo” que explora amenazas emergentes en el sector con 2-5 años de anticipación.

Integración con otros servicios BMC

El ERM es un marco integrador que conecta con múltiples funciones de la organización:

Compliance y cumplimiento normativo. Los riesgos regulatorios son una categoría central del ERM. BMC integra el mapa de cumplimiento normativo (RGPD, NIS2, PBC, ESG, normativa sectorial) en el registro de riesgos, evitando que compliance y riesgos operen como silos separados.

Ciberseguridad. El riesgo tecnológico y cibernético es sistemáticamente uno de los riesgos de mayor impacto potencial en el registro ERM de cualquier empresa. BMC coordina la función de riesgos con el equipo de ciberseguridad para garantizar que los controles técnicos (auditorías, pentests, planes de continuidad) están reflejados en el registro de riesgos con sus métricas de efectividad.

Métricas de éxito de nuestros encargos