CUADRO

DE CONTENIDO
............................................................................................. Introducción3
El ....................................................................................... enfoque OnRisk4
Principales riesgos, ............................................................................. 20225
.................................................................................... Observaciones clave6
........................................................................ Explicación delas principales observaciones7
Variaciones notables en la capacidad y la relevancia de ciertos riesgos8
Diferencias significativas en las calificaciones de pertinencia y capacidad en
varios .......................................................................................... riesgos10
Riesgos a los que hay que prestar atención en ................... el futuro11
La percepción de la importancia del riesgo varía mucho según
.................................................................................. Componentes ESG14
La pandemia reveló oportunidades para mejorar la organización
.................................................................................... gestión de riesgos16
Los altos ejecutivos y los consejos de administración desean un mayor alcance de la
............................................................................... servicios de auditoría18
Ideas y acciones - ............................................................................ Junta20
Ideas y acciones - .......................................................................... C-suite22
Ideas y acciones - ............................................................................ CAEs23
........................................................................................... Metodología24
Cómo utilizar este ......................................................................... informe25
....................................................................................... Modelo deetapas de riesgo26
Los ................................................................................................. riesgos28
........................................................................................ Ciberseguridad30
................................................................................... Gestión del talento31
......................................................................... Gobernanza organizativa32
.......................................................................................... Privacidad delos datos33
..................................................................................................... Cultura35
................................................................................ Volatilidadeconómica y política36
Cambio en el .............................................................. entorno normativo37
............................................................................. Gestión deproveedores y vendedores38
............................................................................... Innovación disruptiva39
................................................................................ Sostenibilidad social40
..................................................... Alteración de la cadena de suministro41
................................................................ Sostenibilidad medioambiental42
I NTRODUCCIÓN

"Qué complicada e imprevisible es la

maquinaria de la vida".
- Kurt Vonnegut

combinarán para hacer que el próximo año

En los 18 meses transcurridos desde que la pandemia de COVID-
uno lleno de imprevisibilidad y oportunidades.
19 cerró el mundo, las organizaciones han aprendido a aceptar lo
inesperado.
Los miembros de los consejos de administración, los ejecutivos de la C-
suite y los directores de auditoría -los actores clave en la gestión de
riesgos- saben ahora que hay que prestar más atención a los riesgos de
baja probabilidad y alto impacto. Esta toma de conciencia ha hecho que
los consejos de administración sean más conscientes de los puntos
débiles de la gestión de riesgos, ha animado a la alta dirección a construir
organizaciones más ágiles y resistentes, y ha posicionado a la auditoría
interna para ofrecer un valor más amplio.

De hecho, la pandemia ha provocado cambios en la forma en que

vemos nuestras instituciones de confianza, el valor y las prioridades
que damos a nuestro tiempo, y nuestros compromisos con los contratos
sociales de larga duración sobre el trabajo, la diversidad y la salud del
mundo que nos rodea. Es demasiado pronto para dar respuestas
definitivas a
cuáles de estos cambios serán fugaces o permanentes. Sin embargo,
una cosa es segura. Esta prueba, que se produce una vez en un siglo, de
las creencias sociales, empresariales, políticas y económicas
fundamentales, forjará cambios tanto sutiles como profundos.

Aunque histórico, la pandemia persistente y sus secuelas no es el

único factor que puede influir en el riesgo en 2022. Crecimiento de la
agitación social,
un cambio significativo en las actitudes reguladoras a nivel federal, la
continua volatilidad económica y política, los efectos continuos del
cambio climático y la marcada aceleración de los problemas
relacionados con el medio ambiente, la sociedad y la gobernanza se
"COVID-19 ha sido una llamada de atención para que las
organizaciones creen un plan para lo inesperado. Estos
escenarios de riesgo "tipo Hollywood" son ahora algo que
debería discutirse en cierta medida dentro de las
organizaciones."
– C-suite, Tecnología
"El riesgo se ha vuelto hoy muy volátil y
aleatorio. Ves estas cosas que ocurren a
nivel mundial en las noticias y parece
que hay menos correlación entre la
causa y el efecto."
– Junta Directiva, Comercio minorista
www.theiia.org 03
EL ENFOQUE ON RISK

El enfoque de OnRisk se basa en una metodología innovadora que reúne de forma única las perspectivas
de las principales partes interesadas en la gobernanza de la organización: el consejo, la dirección ejecutiva y los
directores de auditoría. La alineación de los puntos de vista de estas partes interesadas sobre el conocimiento
personal, la capacidad organizativa,
y la relevancia de los riesgos es un paso importante para lograr una sólida gestión de los riesgos en apoyo de una gobernanza eficaz.

La metodología emplea entrevistas cualitativas a 30 miembros del consejo de administración, 30 ejecutivos de la alta
dirección y 30 CAE de 90 organizaciones diferentes. La investigación proporciona una visión robusta de los riesgos a
los que se enfrentan las organizaciones y permite tanto el análisis de datos objetivos como las percepciones subjetivas
basadas en las respuestas de los líderes de la gestión de riesgos.

A las calificaciones colectivas de cada grupo se les asigna un valor basado en el porcentaje de encuestados que
califican aspectos concretos de cada riesgo con un 6 o un 7 en una escala de 7 puntos. Por ejemplo, si 7 de cada
10 miembros del consejo de administración califican con un 6 o un 7 la capacidad de gestión de riesgos de sus
organizaciones en materia de privacidad de datos, la puntuación sería del 70%.

Más adelante se ofrecen más detalles sobre la metodología de OnRisk, cómo utilizar y aprovechar este informe,
y explicaciones sobre las Etapas de Riesgo desarrolladas junto con el enfoque de OnRisk.
www.theiia.org 04
PRINCIPALES RIESGOS, 2022

Los 12 riesgos que figuran a continuación, cuidadosamente seleccionados de entre una amplia gama de riesgos que
probablemente afectarán a las organizaciones en 2022, se examinaron mediante entrevistas en profundidad con miembros
de los consejos de administración, la dirección ejecutiva y los CAE. Algunos de los riesgos incluidos no han cambiado
con respecto a OnRisk 2021, otros se han actualizado y otros se han añadido. Por ejemplo, el riesgo de 2021
para la sostenibilidad se desglosa en 2022 para incluir la sostenibilidad medioambiental, la sostenibilidad social y la
gobernanza organizativa. Todos los riesgos de OnRisk 2022 deberían ser de aplicación universal para las
organizaciones, independientemente de su tamaño, industria o tipo. Los riesgos no incluidos en este análisis pueden
tener una relevancia particular para algunas organizaciones, dependiendo de sus circunstancias específicas. Los riesgos
se presentan por orden de importancia, según la calificación de los encuestados de OnRisk 2022.

CIBERSEGURIDAD: La creciente sofisticación y variedad de los ciberataques siguen causando estragos en las marcas y la
reputación de las organizaciones, lo que a menudo tiene consecuencias financieras desastrosas. Este riesgo examina si las
organizaciones están suficientemente preparadas para gestionar las ciberamenazas que podrían causar trastornos y daños a
la reputación.

GESTIÓN DEL TALENTO: El aumento de la necesidad y la aceptación de las operaciones a distancia, incluido el trabajo
desde casa, así como el continuo dinamismo de las condiciones laborales, están redefiniendo la forma de hacer el trabajo.
Este riesgo examina los retos a los que se enfrentan las organizaciones a la hora de identificar, adquirir, actualizar y retener
el talento adecuado para alcanzar sus objetivos.

GOBERNANZA ORGANIZATIVA: La gobernanza abarca todos los aspectos de la forma en que se dirige y
gestiona una organización, es decir, el sistema de normas, prácticas, procesos y controles con los que funciona. Este
riesgo examina si la gobernanza de las organizaciones ayuda o dificulta la consecución de los objetivos.

PRIVACIDAD DE DATOS: La creciente lista de normativas de jurisdicciones de todo el mundo hace que la privacidad
de los datos sea cada vez más compleja y dinámica. Este riesgo examina cómo las organizaciones protegen los datos
sensibles a su cargo y garantizan el cumplimiento de todas las leyes y normativas aplicables.

CULTURA: Con un porcentaje cada vez mayor de empleados profesionales que trabajan a distancia a tiempo completo o
parcial, las organizaciones se enfrentan al reto de mantener, mejorar o controlar su cultura organizativa. Este riesgo examina
si las organizaciones comprenden, controlan y gestionan el tono, los incentivos y las acciones que impulsan el
comportamiento deseado.

VOLATILIDAD ECONÓMICA Y POLÍTICA: Las posibles repercusiones permanentes de la pandemia y la

dinámica normal de los ciclos macroeconómicos tienen el potencial de crear volatilidad en los mercados en los que
operan las organizaciones. Este riesgo examina los retos e incertidumbres a los que se enfrentan las organizaciones en
un entorno económico y político dinámico y potencialmente volátil.

CAMBIO EN EL ENTORNO NORMATIVO: Los cambios fundamentales en el apetito gubernamental por la

regulación pueden tener un impacto significativo en las organizaciones, incluidas las que no se consideran muy reguladas.
Este riesgo examina los retos a los que se enfrentan las organizaciones en un entorno normativo dinámico y ambiguo.

GESTIÓN DE PROVEEDORES Y VENDEDORES: Para que una organización tenga éxito, tiene que mantener unas condiciones sanas
y fructíferas con sus socios comerciales y proveedores externos. Este riesgo examina la capacidad de las organizaciones
para seleccionar y supervisar las relaciones con terceros.

INNOVACIÓN DISRUPTIVA: Estamos en una era de modelos de negocio innovadores, impulsados por tecnologías
disruptivas. Este riesgo examina si las organizaciones están preparadas para adaptarse y/o capitalizar la disrupción.

SOSTENIBILIDAD SOCIAL: Cada vez se reconoce más que las organizaciones tienen una influencia significativa en las
personas que emplean, que trabajan en su cadena de valor, que consumen sus productos y servicios y que viven en sus
comunidades. Este riesgo examina la capacidad de las organizaciones para comprender y gestionar los impactos directos e
indirectos que sus acciones tienen sobre los individuos y las comunidades.

INTERRUPCIÓN DE LA CADENA DE SUMINISTRO: La interrupción de las operaciones habituales en todo el mundo,

originada por la pandemia mundial, ha puesto de manifiesto la necesidad de resiliencia en las cadenas de suministro para
apoyar la consecución de los objetivos estratégicos de las organizaciones. Este riesgo examina si las organizaciones han
incorporado la flexibilidad necesaria para adaptarse a las interrupciones actuales y futuras de la cadena de suministro.

SOSTENIBILIDAD MEDIOAMBIENTAL: Las organizaciones se enfrentan a una presión cada vez mayor por parte de
las partes interesadas, incluidos los accionistas, los reguladores, los clientes y los empleados, para que evalúen y den a
conocer el impacto que tienen sobre el medio ambiente en el que operan. Este riesgo examina la capacidad de las
organizaciones para medir, evaluar e informar con precisión sobre sus impactos ambientales.
www.theiia.org 05
OBSERVACION
ES CLAVE
Las entrevistas cualitativas para OnRisk 2022 ofrecen una visión de cómo interactúan los principales impulsores
de la gestión de riesgos, qué riesgos plantean los mayores retos para sus organizaciones y cómo la alineación en
los esfuerzos de gestión de riesgos influye en el éxito. El análisis de los resultados identificó seis observaciones
clave que arrojan luz no sólo sobre cómo se entienden los riesgos, sino también sobre cómo se percibe la
capacidad de gestionarlos. Más adelante en este informe se examinan en profundidad estas observaciones.

• Existen notables variaciones entre los actores de la gestión de riesgos en determinados riesgos. En
general, existe una coincidencia en cuanto a la capacidad organizativa, la importancia de los riesgos y los
conocimientos personales. Sin embargo, hay variaciones notables en varias áreas de riesgo clave.

• Existen diferencias significativas entre la relevancia del riesgo y las calificaciones de la capacidad organizativa en varios riesgos.
La brecha entre cómo los actores de la gestión de riesgos califican la relevancia del riesgo frente a las
capacidades de la organización es alarmantemente amplia para la gestión del talento, la innovación disruptiva, la
privacidad de los datos, la ciberseguridad y la cultura.

• Riesgos a los que prestar atención en el futuro. Cinco áreas de riesgo resultaron ser las más importantes para
los encuestados: Ciberseguridad, gestión del talento, cultura, innovación disruptiva y volatilidad económica y
política. Cabe destacar que cuatro de las cinco también presentan las mayores diferencias entre la relevancia de
los riesgos y las capacidades organizativas, lo que sugiere que los responsables de los riesgos saben dónde hay
que trabajar.

• La percepción de la relevancia de los riesgos varía mucho entre los componentes ASG. Aunque la
alineación entre los tres grupos es relativamente fuerte en cuanto a estos riesgos, la gobernanza organizativa
tiene una relevancia mucho mayor para los encuestados que la sostenibilidad social y la sostenibilidad
medioambiental.

• La pandemia reveló oportunidades para mejorar la gestión de riesgos de las organizaciones. Puede que
COVID-19 no haya mejorado la capacidad de predecir los riesgos, pero aumentó la confianza de muchos a la
hora de reaccionar ante ellos. Para otros, supuso una llamada de atención sobre la forma en que gestionan el
riesgo y los retos añadidos asociados a la gestión del riesgo en condiciones de descentralización o silo.

• Los altos ejecutivos y los consejos de administración desean un mayor alcance de los servicios de
auditoría interna. Los encuestados consideran que sus actuales servicios de garantía son adecuados, pero
sugieren algunas mejoras en los informes de garantía. Esto ofrece una oportunidad para demostrar el valor de
la garantía independiente en un espectro más amplio de riesgos.
www.theiia.org 06
OBSERVACION
ES CLAVE
EXPLICADAS

Las seis observaciones clave se examinan

en profundidad en las páginas siguientes. Como

se ha señalado anteriormente, las entrevistas

cualitativas para OnRisk 2022 se diseñaron para

obtener perspectivas sinceras sobre la naturaleza y

la comprensión de la gestión de riesgos a través de

los ojos de sus tres principales impulsores. El

análisis y el examen de esos puntos de vista

revelan importantes conocimientos sobre las

interacciones y la alineación entre los encuestados

y conclusiones informativas sobre cómo esas

interacciones y alineaciones afectan

gestión de riesgos.
www.theiia.org 07
VARIACIONES NOTABLES EN LA CAPACIDAD Y
RELEVANCIA DE CIERTOS RIESGOS

Si bien las calificaciones generales de los tres grupos de encuestados parecen reflejar una alineación general, un
análisis más profundo de las calificaciones de capacidad organizativa y relevancia de los riesgos de cada grupo
encuentra variaciones notables en varias áreas de riesgo, en particular la innovación disruptiva.

Los altos ejecutivos tendían a tener más confianza en la capacidad de la organización en la mayoría de las áreas de
riesgo examinadas, excepto en el caso de la Innovación Disruptiva, donde sólo 2 de cada 10 encuestados calificaron la
capacidad como alta (Figura 1). Esto creó la mayor variación entre dos grupos de encuestados sobre la capacidad: 23
puntos porcentuales entre la C-suite y la junta directiva.

Los consejos de administración no tienen tanta confianza como los altos ejecutivos en la capacidad de su organización
para gestionar determinados riesgos. En cuanto a la gestión del talento y la sostenibilidad medioambiental, la calificación
de la capacidad fue 20 puntos inferior para los encuestados de los consejos de administración en comparación con sus
homólogos de la dirección. En el caso de la gobernanza de la organización, fue 13 puntos inferior.

Mientras tanto, los CAE tenían menos confianza en la capacidad de su organización para abordar el riesgo de la
gestión de proveedores y vendedores. Sus calificaciones fueron 20 puntos más bajas que las de los encuestados de
la junta directiva y 16 puntos menos que las de los directivos.

Figura 1:
CLASIFICACIÓN DE LAS CAPACIDADES ORGANIZATIVAS POR FUNCIÓN Y POR ÁREA DE RIESGO
Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7

Nota: Pregunta de la entrevista de OnRisk 2022: En general, ¿cuál es la capacidad de su empresa a la hora de gestionar el riesgo en toda la empresa?
Los encuestados podían elegir una puntuación en una escala de 1 a 7, siendo 1 la más baja ("nada") y 7 la más alta ("extremadamente"). Las áreas de
riesgo se ordenaron de mayor a menor puntuación media. n = 90.
www.theiia.org 08
Se observaron variaciones similares en las calificaciones de la relevancia del riesgo (Figura 2). Los consejos de
administración son mucho más propensos a calificar la innovación disruptiva como un riesgo muy relevante (77%) que
los altos ejecutivos (50%). Esta variación de 27 puntos fue la mayor entre los dos grupos de encuestados en las
calificaciones de relevancia del riesgo.

Casi todos los CAE (97%) calificaron la ciberseguridad como un riesgo altamente relevante para su organización, pero
los encuestados de la junta directiva se quedaron atrás en 10 puntos porcentuales (87%) y los de la junta directiva en 20
puntos porcentuales (77%). Los CAE también son más propensos a calificar la gestión de proveedores y vendedores
como altamente relevante, 17 puntos más que la junta directiva y 10 puntos más que la dirección. Se observa una
diferencia similar de 17 puntos entre las calificaciones de los CAE y de la junta directiva para la volatilidad económica y
política.

Figura 2:
CALIFICACIONES DE RELEVANCIA DEL RIESGO POR FUNCIÓN Y POR ÁREA DE RIESGO
Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7

Nota: Pregunta de la entrevista de OnRisk 2022: ¿Qué relevancia tiene cada uno de los siguientes riesgos para su organización actual? Los
encuestados podían elegir una puntuación en una escala de 1 a 7, siendo 1 la más baja ("nada") y 7 la más alta ("extremadamente"). Las áreas de
riesgo se ordenaron de mayor a menor puntuación media. n = 90.
www.theiia.org 09
UNA BRECHA SIGNIFICATIVA EN LAS
CALIFICACIONES DE PERTINENCIA Y
CAPACIDAD EN VARIOS RIESGOS

Aunque era de esperar que hubiera alguna variación en las calificaciones "Como hemos visto con el hackeo del
entre los grupos individuales de encuestados, un análisis de las calificaciones oleoducto este año, estos ataques de
combinadas de los tres grupos de encuestados descubrió ideas adicionales. El ciberseguridad pueden tener un enorme
análisis identificó grandes diferencias entre una mayor relevancia del riesgo y una efecto de goteo. Todos los sectores son
menor capacidad organizativa en varias áreas. Esta brecha entre relevancia y susceptibles de sufrir riesgos de
capacidad refleja vulnerabilidades potencialmente significativas en la gestión de ciberseguridad en cierta medida".
riesgos.
– Junta directiva, fabricación

El principal es la ciberseguridad, que sigue exasperando a organizaciones

grandes y pequeñas, públicas y privadas, con o sin ánimo de lucro. Este riesgo
omnipresente y dinámico fue calificado como el más relevante por los
encuestados, junto con la Gestión del Talento (Figura 3). Sin embargo, por
término medio, la capacidad organizativa quedó muy rezagada. También se
observan grandes disparidades en la gestión del talento, la innovación
disruptiva, la cultura, la privacidad de los datos y la volatilidad económica y
política.

Para estos riesgos, la relación entre relevancia y capacidad varía. Un riesgo muy relevante puede ser más difícil de gestionar
porque es imprevisible y no se puede controlar fácilmente, debido, por ejemplo, a factores externos que pueden aumentar la
velocidad del riesgo. Este parece ser el caso de tres de los seis riesgos con mayores disparidades: Ciberseguridad,
Innovación disruptiva y Volatilidad económica y política. Sin embargo, en el caso de la gestión del talento, la cultura y la privacidad
de los datos -riesgos que pueden gestionarse internamente a través de controles y procesos- las diferencias pueden reflejar más
la incertidumbre derivada de la pandemia que la falta de control.

Figura 3:
CALIFICACIONES MEDIAS POR ÁREA DE RIESGO
Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7

CONOCIMIENTOPERSONALCAPACIDAD
ORGANIZATIVAPERTINENCIA DEL RIESGO
Nota: Preguntas de la entrevista de OnRisk 2022: ¿Qué conocimientos tiene sobre cada uno de los siguientes riesgos? ¿Qué relevancia tiene cada uno de
los siguientes riesgos para su organización actual? En general, ¿cuál es la capacidad de su empresa para gestionar los riesgos de toda la empresa? Los
encuestados podían elegir una calificación en una escala de 1 a 7, siendo 1 la más baja ("nada") y 7 la más alta ("extremadamente"). Todos los encuestados.
n = 90.

www.theiia.org 10
Por ejemplo, la brecha de relevancia-capacidad para la gestión de talentos puede reflejar la incertidumbre a
medida que las organizaciones emergen de casi 18 meses de aislamiento inducido por la pandemia. Esta
inquietud sobre la gestión de la mano de obra va desde el reto de idear estrategias eficaces de vuelta al
trabajo hasta cambios más profundos en el contrato social entre empleador y empleado.

Un directivo del sector sanitario atribuyó a la pandemia una epifanía en este ámbito. "Lo que más nos
preocupa ahora mismo es el trabajo a distancia y el regreso de algunos de nuestros empleados a la oficina, la
vacunación, etc. La pandemia me ha mostrado definitivamente que era demasiado rígido en mi proceso de
pensamiento en términos de riesgo de trabajo remoto."

Los encuestados expresaron diferentes enfoques para gestionar los riesgos sobre los que no pueden influir directamente.
Por ejemplo, un miembro del consejo de administración de una empresa financiera señaló que los cambios normativos
son relevantes y se supervisan cuidadosamente, pero están en gran medida fuera del control de la organización. "Los
cambios en el entorno normativo, por ejemplo, son muy importantes para nosotros. Tenemos mucho cuidado con la
forma en que nos afectan las regulaciones. Es difícil, y no es algo que nadie pueda controlar realmente".

Mientras tanto, un miembro del consejo de administración de otra empresa de servicios financieros dijo que la
empresa opta por centrarse en lo que se puede gobernar. "Prestamos atención a los riesgos que podemos controlar.
Es importante entender el mercado y los competidores cuando se consideran los riesgos relevantes sobre los que
podemos tener menos control."

Como se ha señalado anteriormente, existe una coincidencia general en las calificaciones de conocimiento personal,
capacidad organizativa y relevancia del riesgo entre los grupos de encuestados. Sin embargo, la variación entre la
relevancia y la capacidad es claramente evidente en las calificaciones medias asignadas por cada grupo de
encuestados (Figura 3).

RIESGOS A LOS QUE HAY QUE PRESTAR ATENCIÓN EN

Los encuestados identificaron cinco riesgos que esperan que aumenten su relevancia en los próximos tres a
cinco años: Ciberseguridad, gestión del talento, innovación disruptiva, cultura y volatilidad económica y política.
Cada uno de ellos cae en áreas de riesgo identificadas como con grandes brechas de relevancia-capacidad. Esta
coincidencia podría considerarse preocupante -las organizaciones se han quedado muy atrás en sus capacidades
para gestionar los riesgos futuros- o alentadora -los actores del riesgo reconocen intuitivamente las debilidades
de las capacidades y entienden que deben actuar para corregirlas-.

CIBERSEGURIDAD: La brecha de 45 puntos entre la relevancia y la capacidad en materia de ciberseguridad (véase la

figura 3) refleja la lucha casi constante por mantenerse al día con la naturaleza cambiante y enervante de los
riesgos cibernéticos. Los piratas informáticos buscan constantemente nuevos puntos débiles que explotar y nuevas
formas de sacar provecho de su comportamiento delictivo. El ransomware y otros ataques de denegación de
servicio son cada vez más numerosos y sofisticados, y sus consecuencias tienen repercusiones más amplias, como
se refleja en el ciberataque que detuvo temporalmente las operaciones de un importante sistema de distribución de
petróleo de Estados Unidos en mayo de 2021.

GESTIÓN DEL TALENTO: Se espera que la gestión del talento siga siendo un riesgo importante en el futuro
inmediato. Con 46 puntos, este riesgo tuvo la mayor brecha de relevancia-capacidad de todos los riesgos examinados
este año, superando a la ciberseguridad. La preocupación por el impacto de la pandemia en el mercado laboral y el
contrato social tradicional entre empleador y empleado sigue manteniendo este riesgo en el centro de la mente
de los gestores de riesgos.

Como se señala en OnRisk 2021, "esta importante disrupción en la gestión del talento, así como su impacto en la
moral, la productividad y la cultura del lugar de trabajo, tendrá implicaciones a corto y largo plazo para las
organizaciones." Dos áreas ofrecidas como evidencia de la potencial disrupción se han hecho realidad
rápidamente.

El fenómeno del trabajo desde casa cambió fundamentalmente la forma en que las organizaciones contratan y
gestionan el talento. Aunque el hecho de que la mayoría de la plantilla trabaje en entornos remotos planteó
importantes retos inmediatos en materia de tecnología, ciberseguridad y logística, prácticamente eliminó la
limitación de las consideraciones geográficas a la hora de identificar y contratar a los talentos adecuados. Como
señaló un ejecutivo de la dirección de la industria manufacturera, "la gestión del talento podría ser más difícil
con las diferentes brechas generacionales que se están acentuando en la fuerza de trabajo. ¿Dónde vamos a
encontrar el mejor talento?".

www.theiia.org 11
RIESGOS A LOS QUE HAY QUE PRESTAR ATENCIÓN EN EL
FUTURO
(Continuación)

Sin embargo, el experimento del trabajo desde casa también parece haber tenido un profundo impacto en las actitudes
sobre el equilibrio entre el trabajo y la vida privada entre varios sectores de la población activa. Según un artículo publicado
en junio de 2021 en la revista Forbes1, las expectativas de muchos han cambiado
en el año de trabajo desde casa. Por ejemplo, el artículo señala la evidencia de que muchos están reconsiderando sus
carreras, citando el aumento de las solicitudes de ingreso en las facultades de Derecho y Medicina, que se dispararon un
20% y un 18%, respectivamente.

Un número cada vez mayor de empleados abandona su trabajo voluntariamente. Apodada "La gran renuncia", esta
secuela de la pandemia promete tener efectos a largo plazo en la fuerza laboral. Según los datos de la Oficina de
Estadísticas Laborales de EE.UU., sólo en abril de 2021 casi 4 millones de personas abandonaron sus puestos de trabajo,
el mayor aumento registrado en un solo mes. Otros 3,6 millones dejaron su trabajo voluntariamente en mayo. El
fenómeno no se limita a Estados Unidos. 2

Según la BBC3, una encuesta de Microsoft realizada a más de 30.000 trabajadores de todo el mundo mostró que el 41%
de los trabajadores estaba considerando dejar o cambiar de profesión este año. El mismo informe descubrió que se han
quintuplicado las ofertas de trabajo a distancia en LinkedIn desde el comienzo de la pandemia y que más del 46% de los
trabajadores dicen que planean mudarse porque sienten que ahora pueden trabajar a distancia. 4

A medida que las organizaciones se centran en la reincorporación de los trabajadores a las oficinas, deben sopesar
cuidadosamente el endurecimiento del mercado laboral y su relación con las expectativas de los trabajadores en cuanto
a salarios, beneficios y equilibrio entre vida y trabajo.

los brotes de nuevas variantes

CULTURA: La distribución de la mano de obra creada por la pandemia está
virales podrían prolongar la
alimentando una importante preocupación por la cultura del lugar de trabajo. La brecha
pandemia y reducir las perspectivas
de relevancia-capacidad para este riesgo es de 36 puntos.
de recuperación", según el informe.
Construir o mantener una cultura de empresa virtualmente plantea importantes retos,
Además, un resurgimiento de los casos
y las organizaciones se enfrentan ahora a la cuestión de si deben volver a los
de COVID-19 provocado por nuevas
acuerdos de trabajo anteriores a la pandemia o encontrar formas de adaptarse a
variantes del virus podría prolongar o
mayores porcentajes de trabajadores fuera de casa. La experiencia del trabajo desde
crear retrocesos temporales en la
casa ha dado lugar a cambios positivos, entre los que se encuentran el aumento de la
recuperación. 5
confianza en las organizaciones, el aplanamiento de las jerarquías y una toma de
decisiones más rápida y ágil.
Sin embargo, siguen existiendo retos logísticos en cuanto a la comunicación, la
interacción entre los trabajadores, la colaboración, el fomento de las relaciones
y la creación de consenso. Los cambios fundamentales en el contrato social
entre el empleado y el empleador (véase la sección sobre la gestión del
talento) complican aún más este riesgo.

VOLATILIDAD ECONÓMICA Y POLÍTICA: Las continuas repercusiones políticas

y económicas de la pandemia impulsan este riesgo, empujando su Brecha de
Relevancia-Capacidad
a 32 puntos.

Según un informe del Servicio de Investigación del Congreso de Estados Unidos

de julio de 2021, la salida de la pandemia será desigual a nivel mundial, lo que
significa una volatilidad económica continua, especialmente en los países en
desarrollo.

"Se espera que el impacto económico de la pandemia disminuya en las economías

desarrolladas, donde las vacunaciones están facilitando el retorno a los niveles de
actividad anteriores a la pandemia. Sin embargo, en los países en vías de desarrollo,
 "Las cosas fueron una brisa hasta
"Todos 'vivimos' la cultura, pero entender cómo gestionarla y cambiarla es algo
2008-2009. Ahora, en 2020-2021 y
totalmente distinto".
2022, esperamos mucha volatilidad...
– CAE, Finanzas No tengo sentimientos fuertes sobre
hacia dónde va la economía, pero
estamos planeando
más ahora para impactos mayores
como escasez de productos, retrasos,
interrupciones de ese tipo".

– C-suite, Finanzas

1: Kreznar, Christian, "Employers, Don't Fear The 'Great Resignation'-It's Already Here", Forbes, 3 de junio de 2021.
2: Comunicado de prensa económico, "Tabla 4. Quits levels and rates by industry and region, seasonally adjusted", U.S. Bureau of Labor Statistics,
Washington, D.C., https://www.bls.gov/news.release/jolts.t04.htm
3: Morgan, Kate, "The Great Resignation: How employers driven workers to quit", BBC, 1 de julio de 2021.
4: Índice de tendencias laborales de Microsoft 2021, https://www.microsoft.com/en-us/worklab/work-trend-index/hybrid-work
5: "Global Economic Effects of COVID-19", U.S. Congressional Research Service, 9 de julio de 2021, Washington, D.C.

www.theiia.org 12
Históricamente, la volatilidad política ha seguido a los choques económicos, más recientemente tras la crisis
financiera internacional de 2007-2008. En abril, la Directora Gerente del Fondo Monetario Internacional, Kristalina
Georgieva, advirtió que las desigualdades preexistentes, exacerbadas por la pandemia, podrían provocar no sólo
inestabilidad macroeconómica,
sino también una mayor polarización, la erosión de la confianza en los gobiernos y un creciente malestar social. 6

INNOVACIÓN DISRUPTIVA: La innovación disruptiva presenta uno de los mayores retos de gestión de
riesgos para las organizaciones, lo que se refleja en la considerable falta de alineación entre los consejos de
administración y la alta dirección en lo que respecta a la relevancia del riesgo y la capacidad organizativa. Esto
también contribuye en gran medida a la brecha general de 32 puntos entre el riesgo
relevancia y capacidad organizativa para las valoraciones combinadas de los encuestados. La frustración en los
consejos de administración es evidente. Algunos encuestados reconocen que no están preparados para gestionar
estos retos, como un miembro de la junta directiva del sector sanitario que dijo: "No somos innovadores, el cambio
es muy lento. Todo consiste en vendar...
la preparación y la capacidad de adaptación no existe".

Un miembro del consejo de administración del sector minorista expresó su frustración por no poder ver más
allá del horizonte de riesgo. "Si supiéramos cuál sería [la innovación disruptiva], estaríamos trabajando en ella.
Pero no sabemos lo que viene".
Sin embargo, el movimiento entre los altos ejecutivos hacia la construcción de organizaciones más ágiles y
receptivas a los riesgos emergentes y de rápida evolución podría contribuir a mejorar esta área de riesgo. La
historia de Netflix frente a Blockbuster es un claro ejemplo de cómo reconocer y aprovechar la disrupción puede
suponer la diferencia entre un éxito espectacular y un fracaso estrepitoso.

Blockbuster fue pionera y dominó los servicios de alquiler de vídeos a través de una amplia red de tiendas físicas.
De hecho, rechazó una oferta para fusionarse con el servicio de vídeo por correo Netflix en 2000. Sin embargo, sólo
seis años después, Netflix dominaba el alquiler de vídeos en línea, con 6,3 millones de suscriptores frente a los 2
millones de Blockbuster. En 2008, la dirección de Netflix volvió a demostrar que reconocía cómo la tecnología podía
alterar su modelo de negocio de forma significativa y respondió. Firmó un acuerdo para transmitir películas de Starz
y, en 2010, contaba con una cuota del 20% del tráfico de espectadores en Norteamérica tras firmar acuerdos
adicionales con Sony, Paramount, Lionsgate y Disney. Ese mismo año, Blockbuster
se declaró en quiebra.

6: Hammond, Andrew, "The world is facing even greater political upheaval in post-pandemic world", Arab News, 8 de abril de 2021.
www.theiia.org 13
LA PERCEPCIÓN DE LA IMPORTANCIA DEL RIESGO
VARÍA MUCHO SEGÚN LOS COMPONENTES DE LA
GSE

OnRisk 2022 desglosa las tres áreas de riesgo asociadas a la ASG: sostenibilidad medioambiental, sostenibilidad
social y gobernanza organizativa. Las valoraciones y respuestas de los encuestados indican claramente que la
gobernanza organizativa domina sobre la sostenibilidad social y la sostenibilidad medioambiental en la mente de los
participantes en la encuesta (Figura 4). En las tres áreas de OnRisk
medidas -conocimiento personal, capacidad organizativa y relevancia del riesgo- los encuestados sitúan el Gobierno
Organizativo entre los más altos de todos los riesgos examinados y muy por delante de los riesgos de Sostenibilidad Social y
Sostenibilidad Medioambiental.

Figura 4:
MEDIDAS DE GSP: COMPARACIÓN DE LA RELEVANCIA, EL CONOCIMIENTO Y LA CAPACIDAD CON LA FUNCIÓN
Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7

GOBIERNO DE LA ORGANIZACIÓN

RELEVANCIA DEL RIESGO

CAPACIDAD DE
ORGANIZACIÓN CONOCIMIENTO

PERSONAL

SOSTENIBILIDAD SOCIAL

SOSTENIBILIDAD
MEDIOAMBIENTAL

Nota: Preguntas de la entrevista de OnRisk 2022: ¿Qué

conocimientos tiene sobre cada uno de los siguientes
riesgos? ¿Qué relevancia tiene cada uno de los siguientes
riesgos para su organización actual? En general, ¿cuál es la
capacidad de su empresa para gestionar los riesgos de toda
la empresa? Los encuestados podían elegir una calificación
en una escala de 1 a 7, siendo 1 la más baja ("nada") y 7 la
más alta ("extremadamente"). n = 90.

www.theiia.org 14
Esta alta clasificación puede estar influenciada por la amplia relevancia de la Gobernanza Organizacional. De hecho, la
mayoría de las organizaciones reconocen la necesidad y el valor de tener fuertes controles de riesgo en todo el espectro
de riesgos que afectan a la consecución de los objetivos. También puede reflejar los esfuerzos a menudo heroicos y
alineados para responder a los desafíos de gobernanza creados por la pandemia y la necesidad de un liderazgo fuerte
para superar esos desafíos. Además, indica una creciente conciencia de los beneficios de la alineación de los riesgos
entre los principales actores de la gestión de riesgos, lo que apoya una gobernanza organizativa más sólida.

Un directivo de la alta dirección del sector manufacturero relacionó la alineación con el éxito. "Llegamos a la conclusión
de que estábamos alineados... Se demostró cómo estamos alineados con la mayoría de las cosas, lo que creo que nos
ayuda a tener éxito". Otros comentarios reflejan una creciente conciencia del valor de una sólida gobernanza
organizativa y de los peligros de una gobernanza débil:

"Para muchas empresas públicas,
capacidad podría ser mayor. Sólo hay
que ver algunos de los problemas que
surgen... si todo el mundo fuera
realmente bueno, no estaríamos viendo
tanta ruptura de las estructuras en las
empresas públicas".
- Consejo, Finanzas
"Ahora hemos creado un comité de "La forma de planificar todos
riesgos independiente en nuestro los demás riesgos puede
consejo de administración. Esto nos [atribuirse] a la gobernanza
ha ayudado a terminar con algunos organizativa... es
documentos excelentes sobre el extremadamente importante y
manejo de nuestra organización en lo cubre todo".
diferentes riesgos".
- Consejo, Finanzas
– Consejo, Finanzas

(Véase el análisis adicional sobre cómo la pandemia reveló oportunidades para mejorar la gestión de riesgos de la organización en la página 19)

Los defensores de la sostenibilidad de las empresas se apresuran a "La gente en nuestro trabajo come, bebe, usa
señalar que la sostenibilidad social y medioambiental es un el baño, pero no estamos produciendo
componente fundamental para la buena gobernanza general de las toxinas que tengan que verter en algún sitio,
organizaciones. Sin embargo, las clasificaciones de la relevancia del así que no es algo que entre en la
riesgo realizadas por los encuestados de OnRisk no reflejaron tales conversación.
asociaciones claras. De hecho, la sostenibilidad social y la
- C-suite, Tecnología
sostenibilidad medioambiental se situaron en el cuartil inferior en
cuanto a relevancia del riesgo. A pesar de la preocupación
generalizada por el cambio climático, menos de la mitad de los
encuestados identificaron la sostenibilidad medioambiental como un
riesgo altamente relevante dentro de sus organizaciones.
No cabe duda de que los comentarios de algunos encuestados
reflejan un alcance limitado del contexto relacionado con la
sostenibilidad medioambiental.

Ha habido una creciente concienciación sobre los riesgos ASG -como se refleja en el número cada vez mayor
de organizaciones que elaboran informes ASG y en la creciente presión de los inversores para que se
presenten dichos informes-, pero los cambios parecen estar impulsados por
consideraciones a corto plazo frente al reconocimiento fundamental del valor de la sostenibilidad. Por ejemplo, la
sostenibilidad social se ha convertido en un punto de atención en los últimos 18 meses debido a los
acontecimientos mundiales y al creciente activismo social, pero la sostenibilidad medioambiental sigue estando
rezagada.

Los encuestados creen que se está produciendo una mezcla de cambios reales y artificiales y la mayoría piensa que su
organización está impulsando un cambio real. Sin embargo, los comentarios de algunos encuestados reflejan una
mezcla de consideraciones a corto plazo y mentalidades pueblerinas.

Un directivo de la dirección de una empresa manufacturera asoció el movimiento ESG más con el marketing que con
la sostenibilidad en general. "Tenemos que tener la suficiente concienciación para pasar por la puerta, conseguir esta
oferta y obtener el trabajo, pero hasta ahora parece más un truco para los clientes que un deseo real impulsado por el
mercado".

Sin embargo, otros entienden el valor de la gestión de los impactos medioambientales, incluido un miembro de la junta
directiva del sector sanitario que lamentó que estas consideraciones deban competir con otros riesgos. "La mayoría de
las organizaciones quieren tener buenas políticas, procedimientos y programas de sostenibilidad ambiental, pero no
siempre está al frente y al centro cuando se trata de todos estos otros riesgos".

www.theiia.org 15
LA PERCEPCIÓN DE LA IMPORTANCIA DEL RIESGO
VARÍA MUCHO SEGÚN LOS COMPONENTES DE LA
GSE
(Continuación)

Otros encuestados expresaron una visión más amplia y una comprensión de cómo los componentes ASG
pueden trabajar en conjunto dentro de una organización.

"La sostenibilidad va a ser un imperativo absoluto para
preservar, mantener y hacer crecer la riqueza. Esto es como
cualquier otra inversión en los negocios. Hay que hacer estas
inversiones para proteger y mantener el valor que se está
creando."
- Consejo, Finanzas
"Necesitamos contar con líderes que tengan una mentalidad abierta
al cambio de la sostenibilidad social, que estén dispuestos a
cambiar y
poner el trabajo, o si no el cambio no se va a producir".
– CAE, Educación

El tamaño y la madurez de la organización también se citaron como posibles límites para la gestión de los
riesgos ASG. Los recursos limitados hacen que los riesgos ASG -en particular los relacionados con E y S- sean
menos prioritarios.

Un directivo de una organización sin ánimo de lucro se lamentaba: "Ojalá pudiéramos ser mejores en materia de
ASG, pero no es una prioridad. Somos una pequeña empresa, por lo que cosas como la ciberseguridad y la
gobernanza de la organización tienen prioridad y la sostenibilidad medioambiental y social queda en segundo
plano". Algunas organizaciones tienen la suerte de contar con un equipo dedicado a ESG o incluso con un
empleado que trabaja en ello, pero nosotros estamos demasiado ocupados".

La falta de una dirección clara o de normas para medir e informar sobre los ASG también se citó como un factor
disuasorio. Según un asesor financiero, "disponer de algún tipo de medición para los ASG ayudaría a impulsar un
cambio real. Es necesario rendir cuentas y demostrar que están ocurriendo cosas reales, y también documentar e
informar sobre lo que está ocurriendo".

Sin embargo, un CAE de la industria manufacturera cree que las empresas que se centran demasiado en la
presentación de informes están perdiendo el beneficio real de la gestión de riesgos ASG. "El problema es que las
empresas que se centran en la presentación de informes podrían ser más artificiales... podrían limitarse a marcar la
casilla, publicando informes para decir que lo han hecho para que sus partes interesadas estén contentas.
Tiene que haber más iniciativas y actividad real".

LA PANDEMIA REVELÓ OPORTUNIDADES PARA

MEJORAR LA GESTIÓN DE RIESGOS DE LA
ORGANIZACIÓN
COVID-19 obligó a la mayoría de las organizaciones a centrarse en cierta medida en cómo se alinean los esfuerzos de gestión de
riesgos
en sus organizaciones. Puede que la pandemia no haya mejorado su capacidad para predecir los riesgos, pero ha
aumentado la confianza de muchos en la reacción ante los mismos. Para algunos, supuso una oportunidad para
evaluar o reevaluar la capacidad de recuperación. Para otros, supuso
ha dado un toque de atención sobre la forma de gestionar el riesgo y los peligros de la descentralización o el aislamiento.

Un miembro de la junta directiva de una organización sin ánimo de lucro describió cómo la pandemia resultó
ser reveladora. "Nos ha hecho tomar conciencia de que hay escenarios que pueden ocurrir en el futuro y que
tenemos que gestionar, y ahora somos hiperconscientes de las carencias de nuestro enfoque de riesgos".
Un miembro de la junta directiva del sector minorista, por su parte, vio lo bueno y lo malo de la introspección inducida
por la pandemia. "Nos mostró que no éramos realmente buenos en la predicción del riesgo, pero creo que
reaccionamos muy bien. Nos hizo conscientes de los escenarios que podrían darse en el futuro y de cómo los
manejaremos".

www.theiia.org 16
www.theiia.org 17
LA PANDEMIA REVELÓ OPORTUNIDADES PARA
MEJORAR LA GESTIÓN DE RIESGOS DE LA
ORGANIZACIÓN
(Continuación)

Los encuestados de OnRisk también expresaron su preocupación por la alineación con los proveedores y socios
externos. Según un CAE de educación, "existe la preocupación de que los terceros no estén alineados con los objetivos,
la presentación de informes, especialmente con riesgos como la ciberseguridad. Las organizaciones deberían mejorar la
forma de supervisar los acuerdos con terceros, la gestión de los contratos, la creación de relaciones... Muchas veces se
limitan a "hacerlo" y no reflexionan".

Mientras el mundo emerge lentamente de más de un año de economías cerradas, fuerzas de trabajo confinadas en casa,
líneas de suministro tensas o interrumpidas, y un aleccionador número de muertes que superan los 4 millones en todo el
mundo, la atención inicial sobre la gestión de riesgos tras el COVID-19 parece ser principalmente preocupaciones a corto
plazo.

"Definitivamente, ha influido en nuestra perspectiva en lo que respecta al riesgo. Pero no creo que tengamos ningún plan
concreto para cambiar nuestra estrategia de riesgos ni nada a largo plazo. Nos centramos en poner en marcha nuestro
sistema híbrido y en mantener la salud y la seguridad de nuestros empleados", afirma un CAE del sector público.

Por su parte, un ejecutivo de la alta dirección del sector tecnológico describió la lucha por mantener simplemente las
puertas abiertas. "Todavía estamos en modo de supervivencia... no hemos pensado en los impactos permanentes de la
pandemia. Nunca pensamos que esto pasaría, así que sólo intentamos salir adelante". Para algunos, la pandemia ofreció
una valiosa lección sobre cómo se manifiestan los riesgos en toda la organización. "El COVID nos ha enseñado que
tenemos que estar más centralizados y tener una estrategia global y una orientación en lo que respecta a la gestión de
riesgos", dijo un CAE del sector educativo.

La complejidad y la dinámica de las relaciones entre empleadores y empleados después de la epidemia de gripe aviar de 19
años ocuparon un lugar destacado para muchos de los encuestados de OnRisk. La pandemia puso de manifiesto la
importancia de gestionar el talento y la cultura. Según un alto ejecutivo del sector inmobiliario, "lo que nos preocupa es
perder la cultura con los nuevos empleados. Nunca llegan a experimentar [la cultura] porque pasan directamente de ser
contratados a trabajar desde casa".

Las sesiones de planificación a largo plazo no son lo más importante para muchos, pero los encuestados afirman
que se centrarán más en los planes de contingencia a largo plazo.

"La realidad es que la mayoría de las empresas no tienen ningún plan de contingencia. Ahora las empresas van a tener
que trabajar para entender los planes de contingencia y la importancia de asignar equipos y cargos para manejar riesgos
inesperados", dijo un miembro de la junta municipal.

LOS ALTOS EJECUTIVOS Y LOS CONSEJOS DE

ADMINISTRACIÓN DESEAN UN MAYOR ALCANCE
DE LOS SERVICIOS DE AUDITORÍA INTERNA
informes de garantía.
Para muchas organizaciones, la experiencia de COVID-19 aumentó la conciencia no sólo
del valor de la alineación de la gestión de riesgos entre los actores clave, sino también del
potencial para aprovechar la garantía de riesgos más allá de los riesgos financieros y de
cumplimiento. Los encuestados de OnRisk expresaron un creciente interés en ampliar la
garantía sobre los riesgos operativos y empresariales, así como la necesidad de abordar
los riesgos de forma proactiva. Estos desarrollos apuntan a oportunidades para
aprovechar aún más los servicios de auditoría interna, particularmente en áreas de riesgo
altamente relevantes como la ciberseguridad, la gestión del talento y el gobierno
organizativo. En general, los encuestados consideran que sus actuales servicios de
aseguramiento son adecuados, pero sugieren algunas mejoras en
 – C-suite, Sanidad
"Hubo un tiempo en el que estábamos mal alineados porque el auditor se centraba en los
riesgos financieros y no en el riesgo empresarial.
Una organización necesita cubrir ambas cosas".

www.theiia.org 18
A medida que aumenta la comprensión y la apreciación de la gestión de los riesgos de la empresa, también
aumentan las exigencias a la auditoría interna para que amplíe su alcance, identifique las deficiencias en la
cobertura de los riesgos, supervise los riesgos emergentes e informe de forma clara y concisa a las partes
interesadas,
y emplear un mayor uso de la tecnología para proporcionar una sólida garantía de gestión de riesgos.

Un miembro de la junta directiva del sector minorista dijo que es hora de ampliar la visión de la auditoría interna
dentro de las organizaciones. "Algunas personas piensan que la auditoría interna es demasiado reactiva y que sólo
depende de las necesidades del momento. Creo que es bueno que la auditoría interna piense en el proceso, que
se adelante y que identifique las carencias".

Un directivo de la alta dirección del sector tecnológico pidió a la auditoría interna que ampliara sus servicios para cubrir las áreas de riesgo
emergentes. "Actualmente,
nuestra auditoría interna no da con algunos de estos riesgos, como la sostenibilidad medioambiental y el cambio en el entorno normativo".

No todos los encuestados consideran que la auditoría interna es fundamental para garantizar una gestión de riesgos
adecuada. Según un ejecutivo de la junta directiva de tecnología de la información, "no tenemos auditoría interna,
pero tenemos auditoría externa, y creo que es adecuada para lo que necesitamos". Mientras que algunas
organizaciones confían exclusivamente en la auditoría externa para la garantía de la gestión de riesgos, existen
riesgos inherentes a este enfoque miope.

Confiar en la garantía de gestión de riesgos de la auditoría externa, que históricamente se centra principalmente
en la información financiera y el cumplimiento, es en sí mismo arriesgado. Un ejecutivo de la alta dirección del
sector tecnológico explicó un enfoque más sofisticado de la gestión de riesgos, que añade la perspectiva
necesaria:

"Tenemos un proceso formal de ERM, con una persona que dirige las Los encuestados de CAE en
revisiones anuales de toda la organización. Se califican los riesgos, se OnRisk reconocen la
identifican las lagunas y luego se determina la probabilidad y la importancia, oportunidad y la necesidad de la
así como la tolerancia. Se evalúan doscientos riesgos y se agrupan en auditoría interna
diferentes categorías. Creo que gracias a este proceso y a que nuestra para mejorar:
función de auditoría está tan sensibilizada con el riesgo, tenemos suficientes
garantías". "No puedes hacer las cosas solo...
tienes que tener asociaciones, así es
Los encuestados de OnRisk dijeron que querían ver más consistencia en como todo el mundo tiene éxito. En
los informes de aseguramiento, así como mejores formas de comunicar los lugar de informar y gestionar en silos,
resultados, incluyendo más datos y análisis y detalles adaptados según la hay que ser coherente en toda la
audiencia. Un miembro de la junta directiva del sector financiero subrayó la organización".
necesidad de presentar eficazmente información de riesgo relevante y
procesable: "Algunos informes de riesgo son quizá demasiado detallados, -CAE, Gobierno
lo que dificulta la extracción de información. El detalle es bueno, pero hay
deben ser resúmenes de información relevante para las partes interesadas, "Tenemos que determinar los
los miembros del consejo de administración, etc." indicadores clave de riesgo,
medirlos, reflexionar, volver a
Además, la auditoría interna debe demostrar su capacidad de ejecución y abordar, volver a informar... es un
añadir valor durante las crisis. Según un ejecutivo de la dirección de una ciclo".
empresa manufacturera,
– CAE, Tecnología
"Pienso en la analogía del simulacro de incendio. Es fácil salir
tranquilamente, en fila india, cuando sabes que no hay fuego. ¿Nos
"Siempre hay margen de mejora para
comportaríamos exactamente igual que en la vida real?"
crear más análisis de datos y evaluar el
riesgo con más
datos fácticos".
– CAE, Finanzas

www.theiia.org 19
IDEAS Y
ACCIONES -
BOARD

La conveniencia de que los miembros de los consejos de administración amplíen su conocimiento

personal de los riesgos más allá de las cuestiones financieras y de cumplimiento nunca ha sido más evidente. Los
rápidos cambios tecnológicos, la innovación disruptiva, la dinámica de la gobernanza de las organizaciones, la
pandemia y sus consiguientes conmociones económicas y políticas proporcionan un amplio impulso para que los
miembros de los consejos de administración amplíen su visión de la función de gestión de riesgos.

En el próximo año, las juntas deberían:

MEJORAR SU CONOCIMIENTO DE LA VOLATILIDAD ECONÓMICA Y POLÍTICA. Como se ha señalado

anteriormente, este ámbito de riesgo podría tener profundas repercusiones a largo plazo que podrían reconfigurar la
forma de hacer negocios. (Véase "Riesgos a los que hay que prestar atención en el futuro - Volatilidad económica y
política" en la página 12).

• Los miembros de los consejos de administración deben comprender cómo la volatilidad de

la economía y la política puede afectar al funcionamiento de sus organizaciones.

• Los consejos de administración deben considerar la posibilidad de ordenar a la dirección

ejecutiva que incluya escenarios de volatilidad en los planes de gestión de crisis y que ponga
a prueba dichos escenarios y respuestas.

EMPUJAR A LA DIRECCIÓN EJECUTIVA Y A LA AUDITORÍA INTERNA EN LA GESTIÓN DE RIESGOS DE LA GSE. Organizaciones

deben prepararse para un aumento de los requisitos reglamentarios y/o de las expectativas de los inversores
sobre la información ASG. La Comisión del Mercado de Valores de EE.UU. y otros reguladores han señalado
claramente su interés por una mayor regulación en este ámbito. Más allá de los informes ASG, los consejos
de administración deberían impulsar un enfoque empresarial para la gestión de los riesgos ASG.

• Solicite una evaluación de riesgos ASG para la organización.

• Pregunte a la dirección ejecutiva qué marcos se utilizan para determinar la idoneidad de la información ASG de la organización.

• Pedir a la auditoría interna que preste servicios de garantía o asesoramiento, como los relativos a la
evaluación del diseño y la eficacia operativa de los controles de apoyo a los ASG.

PARA OBTENER MÁS INFORMACIÓN SOBRE LA CULTURA Y LA GESTIÓN DEL TALENTO.

• Considere la posibilidad de solicitar una evaluación independiente de la cultura organizativa.

• Exigir que la dirección ejecutiva mantenga al consejo de administración al corriente de las decisiones y
los cambios pertinentes en materia de gestión del talento derivados de la pandemia.

DESTACAR LA IMPORTANCIA DE LA GOBERNANZA DE LA ORGANIZACIÓN.

• Destacar de forma continua y consistente la importancia de la alineación de los riesgos entre los principales actores de la gestión de
riesgos.

• Rechazar los enfoques aislados o descentralizados de la gestión de riesgos.

• Promover el papel de la auditoría interna para proporcionar una garantía independiente sobre esta área de riesgo.
www.theiia.org 20
www.theiia.org 21
IDEAS Y
ACCIONES - C-
SUITE

La dirección ejecutiva se enfrenta a un sinfín de retos de gestión de riesgos complicados por la batalla de 18
meses contra el COVID-19. Desde la continuidad del negocio y la gestión de crisis hasta las implicaciones a largo
plazo en la gestión del talento y la cultura, los impactos de la pandemia tendrán efectos prolongados y persistentes
en los riesgos y la gestión de riesgos.

En el próximo año, la dirección ejecutiva debería:

REFORZAR SU CONOCIMIENTO DE LA VOLATILIDAD ECONÓMICA Y POLÍTICA. Como se ha señalado

anteriormente, este ámbito de riesgo podría tener profundas repercusiones a largo plazo que podrían reconfigurar
la forma de hacer negocios. (Véase "Riesgos a los que hay que prestar atención en el futuro - Volatilidad
económica y política" en la página 12).

CREAR Y PLANIFICAR LA MADURACIÓN DE LOS

PROCESOS Y CONTROLES EN TORNO A LOS INFORMES DE
GS.

• Aprovechar la comprensión de la auditoría interna de la gestión de riesgos de la empresa y los

marcos de riesgo probados para ayudar a crear controles internos ESG eficaces.

• No hay que esperar a que los auditores externos den orientaciones o a que los reguladores establezcan normas.

• Dirigir la auditoría interna para que garantice la eficacia de los controles ESG existentes, en particular
en lo que respecta a la información ESG.

EDUCAR PROACTIVAMENTE A LOS CONSEJOS DE

ADMINISTRACIÓN SOBRE LA GESTIÓN DEL TALENTO Y LA
CULTURA.

• Aplicar y medir cuidadosamente las decisiones pertinentes de gestión del talento, como las
preferencias de organización del trabajo, y su efecto en la moral de los empleados, la productividad
y los esfuerzos de retención.

• Recabar la opinión de la auditoría interna sobre los planes de reincorporación al

puesto de trabajo y la gama de riesgos relacionados, incluido el impacto en la
cultura.
www.theiia.org 22
INSERCIONES Y
ACCIONES - CAE

En medio de uno de los periodos más volátiles y dinámicos en un siglo, las partes interesadas están
señalando la necesidad de una mayor garantía en la gestión de riesgos. La auditoría interna debe responder.

En el próximo año, los CAE deberían:

ANTICIPARSE A LOS NUEVOS REQUISITOS DE INFORMACIÓN DE LOS GSS.

• Adelantarse a cualquier nuevo requisito conociendo los procesos y controles de su propia organización.

• Abogar por la adopción de los marcos de sostenibilidad establecidos.

• Aprovechar el Control Interno - Marco Integrado de COSO para iniciar la evaluación de

los controles en torno a la información no financiera.

MEJORAR SU CONOCIMIENTO DE LAS ÁREAS DE RIESGO DE LA

ORGANIZACIÓN CON ALTAS BRECHAS DE RELEVANCIA-
CAPACIDAD.

• Identifique cualquier riesgo de la lista OnRisk o de la lista de la empresa cuyo conocimiento personal sea inferior a una calificación ALTA.

ACTUAR COMO CONDUCTO ENTRE EL CONSEJO DE ADMINISTRACIÓN

Y LA DIRECCIÓN EJECUTIVA SIEMPRE QUE EXISTA UN DESAJUSTE.

• Realizar análisis de riesgos organizativos, aprovechando la metodología OnRisk.

• Determinar la alineación en las áreas de riesgo más relevantes para la organización.

• Comparta de forma concisa los aspectos más destacados de OnRisk 2022 con el consejo de
administración y la dirección ejecutiva para fomentar el diálogo sobre la relación de los riesgos
examinados con su organización.

APOYAR UNA MAYOR ATENCIÓN A LOS RIESGOS DE LA CULTURA Y LA GESTIÓN DEL TALENTO.

• Sea consciente de los posibles desajustes en la transición de la organización a un mundo post-pandémico.

• Proporcionar servicios de garantía o asesoramiento relacionados con la gestión de la cultura o el talento. Por
ejemplo, apoyar al consejo de administración o a la dirección ejecutiva en el análisis de los datos resultantes
de las encuestas a los empleados, las entrevistas de salida o las iniciativas de diversidad e inclusión.
www.theiia.org 23
M ETODOLOGÍA
Las encuestas cualitativas miden la alineación de la organización

El informe OnRisk 2022 continúa con el enfoque

innovador del IIA en la recopilación de las perspectivas Figura 5:
de las partes interesadas sobre el riesgo y la gestión del ALINEACIÓN DE CONOCIMIENTOS Y CAPACIDADES
riesgo en apoyo de la buena gobernanza y el éxito de la
organización. La investigación cualitativa ofrece una visión Porcentaje que ha dado una calificación de 6 o 7 en
una escala de 1 a 7
sólida de los principales riesgos a los que se enfrentarán las
organizaciones en 2022. El informe presenta tanto un análisis
de datos objetivos como perspectivas subjetivas basadas en
las respuestas de los líderes de la gestión de riesgos.

El estudio cualitativo se basa en un total de 90 entrevistas en

profundidad con profesionales de salas de juntas, direcciones
generales y funciones de auditoría interna de Norteamérica
(Estados Unidos y Canadá). Los encuestados procedían de
90 organizaciones diferentes. Como parte de las entrevistas,
se pidió a los encuestados que evaluaran 12 riesgos clave en
tres escalas: Su conocimiento personal
y conocimiento de cada riesgo, su percepción de la
capacidad de su organización para abordar cada riesgo,
y su opinión sobre la relevancia de cada riesgo para su
organización. Las calificaciones se basaron en una
escala de siete puntos, siendo "Sin ningún
conocimiento", "Extremadamente incapaz" y "Nada
relevante" las calificaciones más bajas (1) y
"Extremadamente conocedor", "Extremadamente capaz"
y "Extremadamente relevante" las más altas (7).

Las respuestas combinadas para las calificaciones de

conocimiento y capacidad se utilizaron para trazar la
posición de cada grupo de encuestados para cada riesgo,
donde el eje X delinea la capacidad organizativa percibida, y
el eje Y delinea el conocimiento personal del riesgo (Figura
5). El triángulo creado al conectar cada punto de la gráfica
ofrece una representación gráfica de la alineación para
cada riesgo.
www.theiia.org 24
 Triángulos de alineación:
CÓMO UTILIZAR ¿Qué significan?
ESTE INFORME Los triángulos de alineación creados al trazar las
perspectivas de cada grupo de encuestados
Explicación de los gráficos sobre cada riesgo ofrecen información sobre
cómo se gestiona actualmente el riesgo. La forma
A partir de entrevistas en profundidad con 90 profesionales, se de cada triángulo también puede proporcionar
midieron los conocimientos personales y las capacidades información valiosa.
organizativas de cada uno de los tres grupos de encuestados y se
trazaron para cada riesgo. El sencillo mapa de cuadrantes
proporciona una herramienta eficaz y coherente para reflejar esas
opiniones (figura 6).

Los cuatro cuadrantes del gráfico corresponden a la magnitud CORTO Y ESTRECHO

de cada una de las dos medidas. Por ejemplo, las respuestas Los triángulos con esta forma básica sugieren una fuerte
con una media alta en conocimientos y capacidad se situarían alineación en lo que cada grupo sabe sobre un riesgo,
en el cuadrante superior derecho. Por el contrario, las pero un desacuerdo significativo por parte de un grupo
de encuestados sobre la capacidad de la organización
respuestas con una media baja
para abordar el riesgo.
para el conocimiento y la capacidad se trazaría en el cuadrante
inferior izquierdo. Como se ha descrito anteriormente, los
promedios se determinan en función del porcentaje de
ALTO Y ESTRECHO
encuestados que han dado una respuesta de las 2 mejores para
Por el contrario, los triángulos con esta forma
cada calificación. (Véase "El enfoque OnRisk" en la página 4). básica sugieren una gama significativa de
conocimientos entre los grupos de
Figura 6: encuestados, pero una fuerte alineación en sus
CUADRANTES opiniones sobre la capacidad organizativa.
CO DE
NO
CI CONOCIMIENTO
MI SY
EN
CAPACIDADES
TO
PE CORTO Y ANCHO
RS
ON Esta forma básica sugiere un desacuerdo por parte
AL de más de un grupo de encuestados, siendo el
desacuerdo más significativo el relativo a la
capacidad de la organización para abordar el riesgo.

CAPACIDAD ORGANIZATIVA

Trazado de la posición
ALTO Y ANCHO
Las posiciones de cada uno de los tres grupos de encuestados
Esta forma básica sugiere un
se trazan en el mapa de cuadrantes no sólo para identificar el desajuste por parte de más de un
conocimiento y la capacidad relativos de cada riesgo, sino también grupo de encuestados, con un
para ilustrar gráficamente cualquier desajuste que pueda existir entre desacuerdo significativo tanto en el
los grupos. Los triángulos resultantes -denominados simplemente conocimiento como en la capacidad.
triángulos de alineación en este informe- proporcionan un sólido
indicador del grado de comprensión y gestión de un riesgo. El
tamaño, la forma y la ubicación de cada triángulo también proporciona
información sobre lo que está impulsando cualquier desalineación PEQUEÑO Y SIMÉTRICO
(véase la barra lateral relacionada). Esta forma sugiere una fuerte alineación de los tres
grupos de encuestados en cuanto a
conocimientos y capacidad. Dependiendo de la
Gráfico de relevancia del riesgo ubicación del triángulo, esto podría reflejar un
riesgo que se entiende y gestiona bien (cuadrante
La calificación de cada grupo de encuestados sobre la relevancia superior derecho) o uno que no está bien
del riesgo se representa en un solo eje, lo que ofrece una clara
representación de las variaciones en las clasificaciones de la
relevancia del riesgo por parte de los miembros del consejo de
administración, la junta directiva y los CAE (Figura 7).
Figura 7: CALIFICACIÓN DE LA Porcentaje que ha dado una calificación de 6 o 7 en una entendida o gestionada (cuadrante inferior izquierdo).
RELEVANCIA DEL RIESGO escala de 1 a 7
70% 77%

Consejo de Administración CAE

www.theiia.org 25
RIESGO
MODELO DE ETAPAS Figura 8:
MODELO DE ETAPAS DE RIESGO

En el dinámico mundo actual, impulsado por la tecnología, los riesgos

pueden surgir y madurar, a veces a una velocidad vertiginosa. Los
riesgos que se analizan en este informe se agrupan en una de las cuatro
etapas -Reconocer, Explorar, Desarrollar o Mantener-, ya que se
relacionan con el impacto potencial en las organizaciones y con las
medidas que éstas deberían tomar para afrontarlos. El Modelo de Etapas de
Riesgo (Figura 8) refleja cómo evoluciona la gestión de riesgos dentro de la
organización en la misma escala que las clasificaciones de riesgos:
Conocimiento Personal y Capacidad Organizativa.

Además, la relevancia de cada riesgo debe entenderse como única para

cada organización. La importancia de cada riesgo depende de varios factores,
como el tamaño, el sector y el tipo de organización, así como la
competencia, la madurez, la posición en el mercado, la cadena de
suministro y la liquidez, entre otros. Como se ha señalado anteriormente, es
probable que haya riesgos no incluidos en este análisis que tengan especial
relevancia para algunas organizaciones en función de sus circunstancias
específicas. Debido a este aspecto único, la relevancia del riesgo no se
representa en las Etapas del Riesgo.

Etapas de la explicación del riesgo

RECONOCE
Se percibe un riesgo
como emergente y el
conocimiento del riesgo
entre las partes
interesadas es escaso.
Las estrategias de
respuesta al riesgo no se
aplican o se supone que
no se diseñan de forma
eficaz dado el escaso
conocimiento del riesgo
subyacente. No se han
contemplado los procesos
de seguimiento. No se
conocen bien los niveles
de riesgo inherentes.
Conocimiento personal - Bajo
Capacidad organizativa - Bajo
EXPLORA
El conocimiento del
riesgo está creciendo
entre algunos
partes interesadas, pero no
por todas. El riesgo puede
percibirse como emergente o
dinámico. Las estrategias de
respuesta al riesgo se han
contemplado, pero no se
han aplicado plenamente.
Los procesos de
seguimiento no se han
contemplado o no se han
implementado. Inherente
Los niveles de riesgo
se entienden en
general.
Conocimiento personal - Medio a alto
Capacidad organizativa - Baja
DESARROLLO
El conocimiento de los
riesgos es elevado, al
menos en los equipos de
dirección. Riesgo
las estrategias de
respuesta pueden estar
desarrolladas o en proceso
de ser implementado. Los
procesos de control pueden
estar contemplados, pero
es probable que no se
hayan implementado
completamente. El riesgo
residual se entiende en
general.
Conocimiento personal - medio a alto
Capacidad organizativa - baja a alta
MANTENGA
Todas las partes
interesadas comprenden
bien el riesgo y no lo
perciben como
cambiar
significativamente. Las
estrategias de respuesta
al riesgo se han
desarrollado y aplicado en
función de la relevancia
percibida del riesgo.
Se utilizan procesos de
supervisión para
garantizar que las
estrategias de respuesta
a los riesgos funcionan
eficazmente según lo
previsto. Los niveles de
riesgo residual se
comprenden y se
consideran en un nivel
aceptable para la
organización.

Conocimiento personal - Alto

Capacidad organizativa - Alto
www.theiia.org 26
www.theiia.org 27
 EL
Esta sección examina las observaciones clave relacionadas con los riesgos individuales.

RIESG
Cada página de riesgo ofrece una definición de riesgo y una breve visión general basada en
las entrevistas cualitativas; traza la alineación entre los actores clave de la gestión de
riesgos en cuanto a conocimientos personales, capacidad organizativa y relevancia;
comparte citas perspicaces de los entrevistados sobre el riesgo; e identifica los cambios en
las etapas de desarrollo de cada riesgo desde el año anterior, en su caso.

OS
www.theiia.org 28
www.theiia.org 29
LOS RIESGOS DE

CIBERSEGURIDA
D
Definición: CONOCIMIENTO Y CAPACIDAD
Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7

La creciente sofisticación y variedad de los

ciberataques siguen causando estragos en las marcas y
la reputación de las organizaciones, lo que a menudo
tiene consecuencias financieras desastrosas. Este riesgo
examina si las organizaciones están suficientemente
preparadas para gestionar las ciberamenazas que
podrían causar trastornos y daños a la reputación.

Análisis:
Casi todos los miembros de la dirección
ejecutiva consideran que la ciberseguridad es muy
importante para su
organización. Sin embargo, el conocimiento personal de
este riesgo de gran impacto sigue siendo particularmente
bajo entre todos los actores, en particular las CAE. Este
bajo nivel de conocimiento se debe probablemente a la
naturaleza siempre cambiante de las ciberamenazas. En
general, un bajo porcentaje de encuestados de todos los
grupos calificó de alta la capacidad de sus organizaciones
para gestionar la ciberseguridad. En particular, pocos
miembros de los consejos de administración perciben que
su organización es muy capaz de gestionar la
ciberseguridad.

FASE DE
RIESGO
Citas:
"El riesgo de ciberseguridad es un riesgo en constante evolución. La arquitectura y los
procesos de planificación que se han utilizado para hacer frente a [la ciberseguridad]
se han vuelto más complejos a medida que la tecnología se ha ido imponiendo." -
Junta Directiva, Finanzas

"Como hemos visto con el hackeo del oleoducto este año, estos ataques de
ciberseguridad pueden tener un enorme efecto de goteo. Todas las industrias son
susceptibles al riesgo de ciberseguridad en cierta medida". -Junta Directiva, Industria

Permaneció en Desarrollo

RELEVANCIA DEL
RIESGO 77% 87%97%
Porcentaje que ha dado una C-suite JuntaCAE
calificación de 6 o 7 en una
escala de 1 a 7
- Ciberseguridad
www.theiia.org 30
LOS RIESGOS

TALENTO
GESTIÓN
CONOCIMIENTO Y CAPACIDAD
Definición: Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7

El aumento de la necesidad y la aceptación de las

operaciones a distancia, incluido el trabajo desde casa,
así como el continuo dinamismo de las condiciones
laborales, están redefiniendo la forma de hacer el trabajo.
Este riesgo examina los retos a los que se enfrentan las
organizaciones a la hora de identificar, adquirir, actualizar
y retener el talento adecuado para alcanzar sus objetivos.

Análisis:
A pesar de que todos los actores clave de la gestión
ven la Gestión del Talento como uno de los riesgos más
relevantes para sus organizaciones, las percepciones
tanto del conocimiento personal como de la capacidad
de la organización siguen siendo relativamente bajas
para los miembros del consejo de administración y los
CAE. Las percepciones de los altos ejecutivos sobre
sus conocimientos personales y las capacidades de sus
organizaciones en este ámbito son mucho más
elevadas.

FASE DE RIESGO

Citas:
"Las empresas se esfuerzan tanto por sobrevivir... que todas las estrategias
se esfuman. Cuando no puedes ver a los empleados cara a cara, es un
reto".
-Junta, Gobierno

"La contratación en este entorno remoto nos ha permitido considerar la contratación sin
una limitación geográfica. La pregunta que nos hacemos ahora es; ¿contratamos a un
candidato de mayor calidad para trabajar de forma totalmente remota, o contratamos a
Pasado de Explorar a
un candidato de menor calidad que pueda venir a la oficina?" -CAE, Automoción
Desarrollar

- Gestión del talento

RELEVANCIA DEL
RIESGO
Porcentaje que ha dado una
calificación de 6 o 7 en una
escala de 1 a 7
 Consejo de Administración CAE

83% 87% 90%

www.theiia.org 31
LOS RIESGOS

ORGANIZACIÓN
GOBERNANZA
CONOCIMIENTO Y CAPACIDAD
Definición: Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7

La gobernanza abarca todos los aspectos de cómo

se dirige y gestiona una organización y el sistema de
normas, prácticas, procesos y controles con los que
funciona. Este riesgo examina si las organizaciones
La gobernanza ayuda o dificulta la consecución de los objetivos.

Análisis:
Los tres actores de la gestión de riesgos tienen un
elevado conocimiento de este riesgo relativamente
maduro, que se considera muy relevante. Sin embargo,
existe un desajuste significativo en cuanto a la capacidad
organizativa para gestionar este importante componente
de ESG. Son menos los miembros de los consejos de
administración que los altos ejecutivos los que consideran
que sus organizaciones tienen una gran capacidad
organizativa en este ámbito de riesgo.

FASE DE
RIESGO
Citas:
"La forma de planificar todos los demás riesgos se puede [atribuir] a la gobernanza
organizativa... es extremadamente importante y lo cubre todo". -C-suite, Manufactura

"Para muchas empresas públicas, la capacidad podría ser mayor. Sólo hay que ver
algunos de los problemas que surgen... si todo el mundo fuera realmente bueno, no
estaríamos viendo tantas rupturas en las estructuras de las empresas públicas." -
Consejo de Administración, Finanzas

Permaneció en Mantener

RELEVANCIA DEL
RIESGO 70% 80% 83%
Porcentaje que ha dado una CAE Junta C-suite
calificación de 6 o 7 en una
escala de 1 a 7
- Gobernanza de la
organización
www.theiia.org 32
LOS RIESGOS

PRIVACIDAD
DE LOS DATOS
Definición:
CONOCIMIENTO Y CAPACIDAD
Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7

La creciente lista de normativas de jurisdicciones de

todo el mundo hace que la privacidad de los datos sea
cada vez más compleja y dinámica. Este riesgo examina
cómo las organizaciones protegen los datos sensibles a
su cargo y garantizan el cumplimiento de todas las leyes
y reglamentos aplicables.

Análisis:
A pesar de tener un menor conocimiento personal y
una menor percepción de la relevancia organizativa de
este riesgo cada vez más regulado, los miembros de la
C-suite tienen una mayor percepción de la capacidad
organizativa que los miembros del consejo de
administración o los CAE.

FASE DE
RIESGO
Citas:
"Es fundamental contar con procedimientos para analizar, recopilar y almacenar
datos que sean prácticas comunes en toda la organización". -CAE, Gobierno

"Oigo hablar mucho de la privacidad de los datos en comparación con hace

10 años, y creo que su importancia aumentará". -C-suite, Sanidad

Desarrollar - Nuevo en OnRisk

RELEVANCIA DEL
RIESGO 70% 77%
Porcentaje que ha dado una C-suite Junta CAE
calificación de 6 o 7 en una
escala de 1 a 7
- Privacidad de los datos

www.theiia.org 33
www.theiia.org 34
LOS RIESGOS

CULTURA
CONOCIMIENTO Y CAPACIDAD
Definición: Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7

Con un porcentaje cada vez mayor de empleados

profesionales que trabajan a distancia a tiempo
completo o parcial, las organizaciones se enfrentan al
reto de mantener, mejorar o controlar su cultura
organizativa. Este riesgo examina si las organizaciones
comprenden, supervisan y gestionan el tono, los
incentivos y las acciones que impulsan el
comportamiento deseado.

Análisis:
Todos los actores clave de la gestión de riesgos están
muy de acuerdo en la importancia de la cultura para el
éxito de la organización. Sin embargo, existe una
brecha entre el número de miembros de los consejos
de administración que tienen un alto conocimiento
personal de este riesgo y los altos ejecutivos que lo
tienen. Del mismo modo, son menos los miembros de
los consejos de administración que perciben que sus
organizaciones tienen una alta capacidad para
gestionar este riesgo, que es cada vez más importante
para las organizaciones a medida que salen de la
pandemia mundial.

FASE DE
RIESGO
Citas:
"Todos 'vivimos' la cultura, pero entender cómo gestionarla y cambiarla es algo
totalmente distinto". -CAE, Finanzas

"Nos preocupa perder la cultura con la gente nueva. Nunca llegaron a experimentar
[la cultura] porque pasan directamente de ser contratados a trabajar desde casa."
-C-suite, Inmobiliaria

Permaneció en Desarrollo

RELEVANCIA DEL
RIESGO 70%
Porcentaje que ha dado una Junta Directiva del CAE C-suite
calificación de 6 o 7 en una
escala de 1 a 7
- Cultura
www.theiia.org 35
LOS RIESGOS

ECONÓMICA Y
POLÍTICA
VOLATILIDAD
CONOCIMIENTO Y CAPACIDAD
Definición: Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7

Los efectos actuales de la pandemia, combinados

con la dinámica normal de los ciclos macroeconómicos,
pueden crear volatilidad en los mercados en los que
operan las organizaciones. Este riesgo examina los
retos e incertidumbres a los que se enfrentan las
organizaciones en un entorno económico y político
dinámico y potencialmente volátil.

Análisis:
En general, la dirección ejecutiva, los miembros del
consejo de administración y los directores de auditoría
coinciden bastante en la relevancia del riesgo, el
conocimiento personal y la capacidad organizativa. Sin
embargo, mientras que más de dos tercios de los
encuestados consideran que los efectos potenciales de
la volatilidad económica y política tienen un alto impacto
en sus organizaciones, el conocimiento personal de este
riesgo y la percepción de la capacidad organizativa
siguen siendo relativamente bajos.

FASE DE
RIESGO
Cita:
"Las cosas iban viento en popa hasta 2008-2009. Ahora, en 2020-2021 y 2022,
esperamos una gran volatilidad... No tengo una sensación muy fuerte sobre hacia
dónde va la economía, pero ahora estamos planificando más para impactos
importantes como escasez de productos, retrasos, interrupciones de ese tipo." -
C-suite, Finanzas

Permaneció en Desarrollo

escala de 1 a 7
RELEVANCIA DEL - Volatilidad económica y política
RIESGO
Porcentaje que ha dado una
calificación de 6 o 7 en una
 63%67%80%

JuntaC-suiteCAE

www.theiia.org 36
LOS RIESGOS

CAMBIO EN EL
ENTORNO NORMATIVO
CONOCIMIENTO Y CAPACIDAD
Definición: Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7

Los cambios fundamentales en el apetito

gubernamental por la regulación pueden tener un
impacto significativo en las organizaciones, incluidas las
que no se consideran muy reguladas. Este riesgo
examina los retos a los que se enfrentan las
organizaciones en un entorno normativo dinámico y
ambiguo.

Análisis:
A pesar de la coincidencia general en cuanto a la
creciente relevancia del riesgo de un entorno normativo
cambiante, el conocimiento personal relacionado con
este riesgo es bajo, especialmente para los directores de
auditoría y los directivos. Aunque el conocimiento
personal de este riesgo es mayor entre los miembros de
los consejos de administración, sigue siendo inferior al de
otros riesgos. Los miembros de los consejos de
administración confían algo más en la capacidad de sus
organizaciones para gestionar este importante riesgo.

FASE DE
RIESGO
Citas:
"Esto podría ser un gran problema para nosotros y existe un riesgo real. Es
importante que la gente esté atenta a los cambios en la normativa". -CAE, Finanzas

"Muchas empresas son reacias a dar un paso adelante si no se ven obligadas a ello".
-C-suite, Sanidad

Desarrollar - Nuevo en OnRisk

RELEVANCIA DEL
RIESGO 67% 73%
Porcentaje que ha dado una
calificación de 6 o 7 en una
escala de 1 a 7
- Cambio en el entorno normativo Junta directiva del CAE
www.theiia.org 37
LOS RIESGOS

PROVEEDOR Y
GESTIÓN DE PROVEEDORES
CONOCIMIENTO Y CAPACIDAD
Definición: Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7

Para que una organización tenga éxito, tiene que

mantener relaciones sanas y fructíferas con sus socios
comerciales y proveedores externos. Este riesgo
examina la capacidad de las organizaciones para
seleccionar y supervisar las relaciones con terceros.

Análisis:
Mientras que un mayor número de CAE tiene un alto
conocimiento personal de este riesgo crítico en un
entorno empresarial cada vez más interconectado, son
menos los que perciben que sus organizaciones tienen
una alta capacidad para gestionar este riesgo. Esta
brecha entre los CAE y sus grupos de interés puede
deberse a que un mayor porcentaje de CAE considera
que este riesgo es muy relevante para sus
organizaciones, probablemente debido a las amenazas
cibernéticas de las que se ha informado públicamente, a
los problemas relacionados con el cumplimiento de la
normativa y a otros acontecimientos perturbadores
derivados de las relaciones con terceros.

FASE DE RIESGO

Citas:
"El reto es cómo mantener esta relación con estos proveedores de toda la vida
y, al mismo tiempo, cómo salir a buscar lo que necesitamos si ese proveedor
no puede proporcionarlo." -C-suite, Fabricación

"Nuestra organización tiene unas relaciones realmente sólidas... pero le he dado una
puntuación de capacidad inferior porque la privacidad de los datos, la protección, la
ciberseguridad... esas cosas son más difíciles de gestionar con nuestros
proveedores " -CAE, Tecnología
Pasado de Explorar a
Desarrollar

RELEVANCIA DEL RIESGO

Porcentaje que ha dado una 60% 67%77%
calificación de 6 o 7 en una
escala de 1 a 7 Junta Directiva C-suiteCAE
- Gestión de proveedores y
vendedores
www.theiia.org 38
LOS RIESGOS

INNOVACIÓN
DESESTABILIZADORA
Definición:
CONOCIMIENTO Y CAPACIDAD
Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7

Estamos en una era de modelos de negocio

innovadores, impulsados por tecnologías disruptivas.
Este riesgo examina si las organizaciones están
preparadas para adaptarse y/o capitalizar la disrupción.

Análisis:
Existe una brecha bastante amplia entre el porcentaje
de miembros del consejo de administración que ven este
riesgo como altamente relevante en comparación con los
ejecutivos de la C-suite que sí lo ven. Además, son más
los consejeros que perciben que su conocimiento
personal de este riesgo tan importante es alto. Sin
embargo, es posible que los consejeros confíen
demasiado en la capacidad de las organizaciones para
gestionar la innovación disruptiva, ya que son más los
que consideran que sus organizaciones tienen una gran
capacidad para gestionar este riesgo que los miembros
de la dirección.

FASE DE RIESGO

Citas:
"Es una cuestión de concienciación e investigación... algunas [innovaciones] van y
vienen, pero otras se quedan, como la criptomoneda". -C-suite, sin ánimo de
lucro

"No somos innovadores, el cambio es muy lento. Todo es un vendaje... no hay

preparación ni capacidad de adaptación" - Junta Directiva, Sanidad

Permaneció en
Reconocer

RELEVANCIA DEL
RIESGO 50%63% 77%
Porcentaje que ha dado una C- Junta
calificación de 6 o 7 en una suiteCAE
escala de 1 a 7
- Innovación disruptiva
www.theiia.org 39
LOS RIESGOS

SOCIAL
SOSTENIBILIDA
D CONOCIMIENTO Y CAPACIDAD
Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7

Definición:
Cada vez se reconoce más que las organizaciones tienen
una influencia significativa en las personas que emplean,
que trabajan en su cadena de valor, que consumen sus
productos
y servicios, y que viven en sus comunidades. Este riesgo
examina la capacidad de las organizaciones para
comprender y gestionar los impactos directos e
indirectos que sus acciones tienen sobre las personas y
las comunidades.

Análisis:
Entre los principales actores de la gestión de riesgos,
hay
una gran coincidencia en cuanto a la importancia del
riesgo y la percepción de la capacidad organizativa para
este riesgo emergente
que afecta a todas las industrias. Sin embargo, el
grupo CAE está significativamente por detrás de sus
grupos de interés en relación con el conocimiento
personal de este riesgo.

FASE DE RIESGO

Cita:
"La sostenibilidad va a ser un imperativo absoluto para preservar, mantener y hacer
crecer la riqueza. Esto es como cualquier otra inversión en los negocios. Hay que hacer
estas inversiones para proteger y mantener el valor que se está creando."
-Junta Directiva, Finanzas

Desarrollar - Nuevo en
OnRisk

dado una calificación de 6 o 7 en una

RELEVANCIA DEL Porcentaj escala de 1 a 7
e que ha
RIESGO - Sostenibilidad social
60% 63%

CAE de la alta dirección Junta

www.theiia.org 40
LOS RIESGOS

INTERRUPCIÓ
N DE LA
CADENA DE
SUMINISTRO
CONOCIMIENTO Y CAPACIDAD
Definición: Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7

La interrupción de las operaciones habituales en todo el

mundo, originada por la pandemia mundial, ha puesto de
manifiesto la necesidad de resiliencia en las cadenas de
suministro para apoyar la consecución de los objetivos
estratégicos de las organizaciones. Este riesgo examina
si las organizaciones han incorporado la flexibilidad
necesaria para adaptarse a las interrupciones actuales y
futuras de la cadena de suministro.

Análisis:
Existe una fuerte alineación entre los miembros de
los consejos de administración y los altos ejecutivos
con respecto a la relevancia del riesgo de la
interrupción de la cadena de suministro, con algo más
de la mitad de estas partes interesadas que lo ven
como un riesgo muy relevante para sus
organizaciones. El grupo de CAE se queda atrás en
conocimiento personal de este riesgo, cada vez más
importante en la economía mundial, lo que puede ser
resultado de que un menor número de CAE consideren
este riesgo como muy relevante para sus
organizaciones.

FASE DE RIESGO

Citas:
"El cierre de fronteras y cosas como el taponamiento del Canal de Suez nos
han hecho estar más en sintonía con los problemas de la cadena de
suministro".
-CAE, Finanzas

"Antes sólo era algo en lo que pensábamos cuando nos acercábamos al

surtidor de gasolina... ahora tiene importancia en muchos sectores".
-Junta Directiva, Finanzas
Explorar - Nuevo en
OnRisk
RELEVANCIA DEL
RIESGO 43% 53% 57%
Porcentaje que ha dado una
calificación de 6 o 7 en una
escala de 1 a 7
- Alteración de la cadena CAE Consejo de Administración
de suministro

www.theiia.org 41
LOS RIESGOS

MEDIO
AMBIENTE
SOSTENIBILIDAD CONOCIMIENTO Y CAPACIDAD
Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7

Definición:
Las organizaciones se enfrentan a una mayor presión
de las partes interesadas, incluidos los accionistas,
los reguladores, los clientes y los empleados, para
evaluar y revelar cómo están impactando en el medio
ambiente en el que operan. Este riesgo examina la
capacidad de las organizaciones para medir, evaluar
e informar con precisión sobre sus impactos
ambientales.

Análisis:
Aunque hay una alineación bastante fuerte en esta
área, relativamente pocos encuestados, particularmente
los altos ejecutivos, ven este riesgo rápidamente
emergente como uno que podría ser muy relevante para
sus organizaciones. El conocimiento personal en todos
los grupos también fue bastante bajo. Son menos los
miembros de los consejos de administración que creen
que sus organizaciones tienen una gran capacidad para
gestionar los riesgos de la sostenibilidad medioambiental.

FASE DE RIESGO

Citas:
"Existe el problema de la medición para cada organización. Hay una falta de
mediciones e informes estandarizados en esta área que crea confusión".
-CAE, Sanidad

"La mayoría de las organizaciones quieren contar con buenas políticas,

procedimientos y programas de sostenibilidad medioambiental, pero no
siempre es lo más importante cuando se trata de otros riesgos ".

Desarrollar - Nuevo en
OnRisk

calificación de 6 o 7 en una escala de 1 a 7

RELEVANCIA DEL
RIESGO
Porcentaje que ha dado una
 40%50%
- Sostenibilidad Consejo de CAE
Administración
medioambiental

www.theiia.org 42
www.theiia.org 43
Sobre el IIA
El Instituto de Auditores Internos (IIA) es el defensor, educador y proveedor de normas, orientación y Sede mundial
certificaciones más reconocido de la profesión de la auditoría interna. Fundado en 1941, el IIA sirve hoy a más Instituto de Auditores Internos 1035
de 200.000 miembros de más de 170 países y territorios. La sede mundial de la asociación se encuentra en Lake Greenwood Blvd., Suite 401 Lake
Mary, Florida, Estados Unidos. Para más información, visite www.globaliia.org. Mary, FL 32746, USA
Teléfono: +1-407-937-1111
Descargo de responsabilidad Fax: +1-407-937-1101
El IIA publica este documento con fines informativos y educativos. Este material no pretende dar respuestas www.globaliia.org
definitivas a circunstancias individuales específicas y, como tal, sólo pretende ser utilizado como guía. El IIA
recomienda buscar el asesoramiento de un experto independiente en relación directa con cualquier situación
específica. El IIA no acepta ninguna responsabilidad por el hecho de que alguien confíe exclusivamente en este
material.
Copyright
Copyright © 2021 The Institute of Internal Auditors, Inc. Todos los derechos reservados. Para obtener permiso
de reproducción, póngase en contacto con copyright@theiia.org.