Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DE CONTENIDO
............................................................................................. Introducción3
El ....................................................................................... enfoque OnRisk4
Principales riesgos, ............................................................................. 20225
.................................................................................... Observaciones clave6
........................................................................ Explicación delas principales observaciones7
Variaciones notables en la capacidad y la relevancia de ciertos riesgos8
Diferencias significativas en las calificaciones de pertinencia y capacidad en
varios .......................................................................................... riesgos10
Riesgos a los que hay que prestar atención en ................... el futuro11
La percepción de la importancia del riesgo varía mucho según
.................................................................................. Componentes ESG14
La pandemia reveló oportunidades para mejorar la organización
.................................................................................... gestión de riesgos16
Los altos ejecutivos y los consejos de administración desean un mayor alcance de la
............................................................................... servicios de auditoría18
Ideas y acciones - ............................................................................ Junta20
Ideas y acciones - .......................................................................... C-suite22
Ideas y acciones - ............................................................................ CAEs23
........................................................................................... Metodología24
Cómo utilizar este ......................................................................... informe25
....................................................................................... Modelo deetapas de riesgo26
Los ................................................................................................. riesgos28
........................................................................................ Ciberseguridad30
................................................................................... Gestión del talento31
......................................................................... Gobernanza organizativa32
.......................................................................................... Privacidad delos datos33
..................................................................................................... Cultura35
................................................................................ Volatilidadeconómica y política36
Cambio en el .............................................................. entorno normativo37
............................................................................. Gestión deproveedores y vendedores38
............................................................................... Innovación disruptiva39
................................................................................ Sostenibilidad social40
..................................................... Alteración de la cadena de suministro41
................................................................ Sostenibilidad medioambiental42
I NTRODUCCIÓN
www.theiia.org 03
EL ENFOQUE ON RISK
El enfoque de OnRisk se basa en una metodología innovadora que reúne de forma única las perspectivas
de las principales partes interesadas en la gobernanza de la organización: el consejo, la dirección ejecutiva y los
directores de auditoría. La alineación de los puntos de vista de estas partes interesadas sobre el conocimiento
personal, la capacidad organizativa,
y la relevancia de los riesgos es un paso importante para lograr una sólida gestión de los riesgos en apoyo de una gobernanza eficaz.
La metodología emplea entrevistas cualitativas a 30 miembros del consejo de administración, 30 ejecutivos de la alta
dirección y 30 CAE de 90 organizaciones diferentes. La investigación proporciona una visión robusta de los riesgos a
los que se enfrentan las organizaciones y permite tanto el análisis de datos objetivos como las percepciones subjetivas
basadas en las respuestas de los líderes de la gestión de riesgos.
A las calificaciones colectivas de cada grupo se les asigna un valor basado en el porcentaje de encuestados que
califican aspectos concretos de cada riesgo con un 6 o un 7 en una escala de 7 puntos. Por ejemplo, si 7 de cada
10 miembros del consejo de administración califican con un 6 o un 7 la capacidad de gestión de riesgos de sus
organizaciones en materia de privacidad de datos, la puntuación sería del 70%.
Más adelante se ofrecen más detalles sobre la metodología de OnRisk, cómo utilizar y aprovechar este informe,
y explicaciones sobre las Etapas de Riesgo desarrolladas junto con el enfoque de OnRisk.
www.theiia.org 04
PRINCIPALES RIESGOS, 2022
Los 12 riesgos que figuran a continuación, cuidadosamente seleccionados de entre una amplia gama de riesgos que
probablemente afectarán a las organizaciones en 2022, se examinaron mediante entrevistas en profundidad con miembros
de los consejos de administración, la dirección ejecutiva y los CAE. Algunos de los riesgos incluidos no han cambiado
con respecto a OnRisk 2021, otros se han actualizado y otros se han añadido. Por ejemplo, el riesgo de 2021
para la sostenibilidad se desglosa en 2022 para incluir la sostenibilidad medioambiental, la sostenibilidad social y la
gobernanza organizativa. Todos los riesgos de OnRisk 2022 deberían ser de aplicación universal para las
organizaciones, independientemente de su tamaño, industria o tipo. Los riesgos no incluidos en este análisis pueden
tener una relevancia particular para algunas organizaciones, dependiendo de sus circunstancias específicas. Los riesgos
se presentan por orden de importancia, según la calificación de los encuestados de OnRisk 2022.
CIBERSEGURIDAD: La creciente sofisticación y variedad de los ciberataques siguen causando estragos en las marcas y la
reputación de las organizaciones, lo que a menudo tiene consecuencias financieras desastrosas. Este riesgo examina si las
organizaciones están suficientemente preparadas para gestionar las ciberamenazas que podrían causar trastornos y daños a
la reputación.
GESTIÓN DEL TALENTO: El aumento de la necesidad y la aceptación de las operaciones a distancia, incluido el trabajo
desde casa, así como el continuo dinamismo de las condiciones laborales, están redefiniendo la forma de hacer el trabajo.
Este riesgo examina los retos a los que se enfrentan las organizaciones a la hora de identificar, adquirir, actualizar y retener
el talento adecuado para alcanzar sus objetivos.
GOBERNANZA ORGANIZATIVA: La gobernanza abarca todos los aspectos de la forma en que se dirige y
gestiona una organización, es decir, el sistema de normas, prácticas, procesos y controles con los que funciona. Este
riesgo examina si la gobernanza de las organizaciones ayuda o dificulta la consecución de los objetivos.
PRIVACIDAD DE DATOS: La creciente lista de normativas de jurisdicciones de todo el mundo hace que la privacidad
de los datos sea cada vez más compleja y dinámica. Este riesgo examina cómo las organizaciones protegen los datos
sensibles a su cargo y garantizan el cumplimiento de todas las leyes y normativas aplicables.
CULTURA: Con un porcentaje cada vez mayor de empleados profesionales que trabajan a distancia a tiempo completo o
parcial, las organizaciones se enfrentan al reto de mantener, mejorar o controlar su cultura organizativa. Este riesgo examina
si las organizaciones comprenden, controlan y gestionan el tono, los incentivos y las acciones que impulsan el
comportamiento deseado.
GESTIÓN DE PROVEEDORES Y VENDEDORES: Para que una organización tenga éxito, tiene que mantener unas condiciones sanas
y fructíferas con sus socios comerciales y proveedores externos. Este riesgo examina la capacidad de las organizaciones
para seleccionar y supervisar las relaciones con terceros.
INNOVACIÓN DISRUPTIVA: Estamos en una era de modelos de negocio innovadores, impulsados por tecnologías
disruptivas. Este riesgo examina si las organizaciones están preparadas para adaptarse y/o capitalizar la disrupción.
SOSTENIBILIDAD SOCIAL: Cada vez se reconoce más que las organizaciones tienen una influencia significativa en las
personas que emplean, que trabajan en su cadena de valor, que consumen sus productos y servicios y que viven en sus
comunidades. Este riesgo examina la capacidad de las organizaciones para comprender y gestionar los impactos directos e
indirectos que sus acciones tienen sobre los individuos y las comunidades.
SOSTENIBILIDAD MEDIOAMBIENTAL: Las organizaciones se enfrentan a una presión cada vez mayor por parte de
las partes interesadas, incluidos los accionistas, los reguladores, los clientes y los empleados, para que evalúen y den a
conocer el impacto que tienen sobre el medio ambiente en el que operan. Este riesgo examina la capacidad de las
organizaciones para medir, evaluar e informar con precisión sobre sus impactos ambientales.
www.theiia.org 05
OBSERVACION
ES CLAVE
Las entrevistas cualitativas para OnRisk 2022 ofrecen una visión de cómo interactúan los principales impulsores
de la gestión de riesgos, qué riesgos plantean los mayores retos para sus organizaciones y cómo la alineación en
los esfuerzos de gestión de riesgos influye en el éxito. El análisis de los resultados identificó seis observaciones
clave que arrojan luz no sólo sobre cómo se entienden los riesgos, sino también sobre cómo se percibe la
capacidad de gestionarlos. Más adelante en este informe se examinan en profundidad estas observaciones.
• Existen notables variaciones entre los actores de la gestión de riesgos en determinados riesgos. En
general, existe una coincidencia en cuanto a la capacidad organizativa, la importancia de los riesgos y los
conocimientos personales. Sin embargo, hay variaciones notables en varias áreas de riesgo clave.
• Existen diferencias significativas entre la relevancia del riesgo y las calificaciones de la capacidad organizativa en varios riesgos.
La brecha entre cómo los actores de la gestión de riesgos califican la relevancia del riesgo frente a las
capacidades de la organización es alarmantemente amplia para la gestión del talento, la innovación disruptiva, la
privacidad de los datos, la ciberseguridad y la cultura.
• Riesgos a los que prestar atención en el futuro. Cinco áreas de riesgo resultaron ser las más importantes para
los encuestados: Ciberseguridad, gestión del talento, cultura, innovación disruptiva y volatilidad económica y
política. Cabe destacar que cuatro de las cinco también presentan las mayores diferencias entre la relevancia de
los riesgos y las capacidades organizativas, lo que sugiere que los responsables de los riesgos saben dónde hay
que trabajar.
• La percepción de la relevancia de los riesgos varía mucho entre los componentes ASG. Aunque la
alineación entre los tres grupos es relativamente fuerte en cuanto a estos riesgos, la gobernanza organizativa
tiene una relevancia mucho mayor para los encuestados que la sostenibilidad social y la sostenibilidad
medioambiental.
• La pandemia reveló oportunidades para mejorar la gestión de riesgos de las organizaciones. Puede que
COVID-19 no haya mejorado la capacidad de predecir los riesgos, pero aumentó la confianza de muchos a la
hora de reaccionar ante ellos. Para otros, supuso una llamada de atención sobre la forma en que gestionan el
riesgo y los retos añadidos asociados a la gestión del riesgo en condiciones de descentralización o silo.
• Los altos ejecutivos y los consejos de administración desean un mayor alcance de los servicios de
auditoría interna. Los encuestados consideran que sus actuales servicios de garantía son adecuados, pero
sugieren algunas mejoras en los informes de garantía. Esto ofrece una oportunidad para demostrar el valor de
la garantía independiente en un espectro más amplio de riesgos.
www.theiia.org 06
OBSERVACION
ES CLAVE
EXPLICADAS
Si bien las calificaciones generales de los tres grupos de encuestados parecen reflejar una alineación general, un
análisis más profundo de las calificaciones de capacidad organizativa y relevancia de los riesgos de cada grupo
encuentra variaciones notables en varias áreas de riesgo, en particular la innovación disruptiva.
Los altos ejecutivos tendían a tener más confianza en la capacidad de la organización en la mayoría de las áreas de
riesgo examinadas, excepto en el caso de la Innovación Disruptiva, donde sólo 2 de cada 10 encuestados calificaron la
capacidad como alta (Figura 1). Esto creó la mayor variación entre dos grupos de encuestados sobre la capacidad: 23
puntos porcentuales entre la C-suite y la junta directiva.
Los consejos de administración no tienen tanta confianza como los altos ejecutivos en la capacidad de su organización
para gestionar determinados riesgos. En cuanto a la gestión del talento y la sostenibilidad medioambiental, la calificación
de la capacidad fue 20 puntos inferior para los encuestados de los consejos de administración en comparación con sus
homólogos de la dirección. En el caso de la gobernanza de la organización, fue 13 puntos inferior.
Mientras tanto, los CAE tenían menos confianza en la capacidad de su organización para abordar el riesgo de la
gestión de proveedores y vendedores. Sus calificaciones fueron 20 puntos más bajas que las de los encuestados de
la junta directiva y 16 puntos menos que las de los directivos.
Figura 1:
CLASIFICACIÓN DE LAS CAPACIDADES ORGANIZATIVAS POR FUNCIÓN Y POR ÁREA DE RIESGO
Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7
Nota: Pregunta de la entrevista de OnRisk 2022: En general, ¿cuál es la capacidad de su empresa a la hora de gestionar el riesgo en toda la empresa?
Los encuestados podían elegir una puntuación en una escala de 1 a 7, siendo 1 la más baja ("nada") y 7 la más alta ("extremadamente"). Las áreas de
riesgo se ordenaron de mayor a menor puntuación media. n = 90.
www.theiia.org 08
Se observaron variaciones similares en las calificaciones de la relevancia del riesgo (Figura 2). Los consejos de
administración son mucho más propensos a calificar la innovación disruptiva como un riesgo muy relevante (77%) que
los altos ejecutivos (50%). Esta variación de 27 puntos fue la mayor entre los dos grupos de encuestados en las
calificaciones de relevancia del riesgo.
Casi todos los CAE (97%) calificaron la ciberseguridad como un riesgo altamente relevante para su organización, pero
los encuestados de la junta directiva se quedaron atrás en 10 puntos porcentuales (87%) y los de la junta directiva en 20
puntos porcentuales (77%). Los CAE también son más propensos a calificar la gestión de proveedores y vendedores
como altamente relevante, 17 puntos más que la junta directiva y 10 puntos más que la dirección. Se observa una
diferencia similar de 17 puntos entre las calificaciones de los CAE y de la junta directiva para la volatilidad económica y
política.
Figura 2:
CALIFICACIONES DE RELEVANCIA DEL RIESGO POR FUNCIÓN Y POR ÁREA DE RIESGO
Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7
Nota: Pregunta de la entrevista de OnRisk 2022: ¿Qué relevancia tiene cada uno de los siguientes riesgos para su organización actual? Los
encuestados podían elegir una puntuación en una escala de 1 a 7, siendo 1 la más baja ("nada") y 7 la más alta ("extremadamente"). Las áreas de
riesgo se ordenaron de mayor a menor puntuación media. n = 90.
www.theiia.org 09
UNA BRECHA SIGNIFICATIVA EN LAS
CALIFICACIONES DE PERTINENCIA Y
CAPACIDAD EN VARIOS RIESGOS
Aunque era de esperar que hubiera alguna variación en las calificaciones "Como hemos visto con el hackeo del
entre los grupos individuales de encuestados, un análisis de las calificaciones oleoducto este año, estos ataques de
combinadas de los tres grupos de encuestados descubrió ideas adicionales. El ciberseguridad pueden tener un enorme
análisis identificó grandes diferencias entre una mayor relevancia del riesgo y una efecto de goteo. Todos los sectores son
menor capacidad organizativa en varias áreas. Esta brecha entre relevancia y susceptibles de sufrir riesgos de
capacidad refleja vulnerabilidades potencialmente significativas en la gestión de ciberseguridad en cierta medida".
riesgos.
– Junta directiva, fabricación
Para estos riesgos, la relación entre relevancia y capacidad varía. Un riesgo muy relevante puede ser más difícil de gestionar
porque es imprevisible y no se puede controlar fácilmente, debido, por ejemplo, a factores externos que pueden aumentar la
velocidad del riesgo. Este parece ser el caso de tres de los seis riesgos con mayores disparidades: Ciberseguridad,
Innovación disruptiva y Volatilidad económica y política. Sin embargo, en el caso de la gestión del talento, la cultura y la privacidad
de los datos -riesgos que pueden gestionarse internamente a través de controles y procesos- las diferencias pueden reflejar más
la incertidumbre derivada de la pandemia que la falta de control.
Figura 3:
CALIFICACIONES MEDIAS POR ÁREA DE RIESGO
Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7
CONOCIMIENTOPERSONALCAPACIDAD
ORGANIZATIVAPERTINENCIA DEL RIESGO
Nota: Preguntas de la entrevista de OnRisk 2022: ¿Qué conocimientos tiene sobre cada uno de los siguientes riesgos? ¿Qué relevancia tiene cada uno de
los siguientes riesgos para su organización actual? En general, ¿cuál es la capacidad de su empresa para gestionar los riesgos de toda la empresa? Los
encuestados podían elegir una calificación en una escala de 1 a 7, siendo 1 la más baja ("nada") y 7 la más alta ("extremadamente"). Todos los encuestados.
n = 90.
www.theiia.org 10
Por ejemplo, la brecha de relevancia-capacidad para la gestión de talentos puede reflejar la incertidumbre a
medida que las organizaciones emergen de casi 18 meses de aislamiento inducido por la pandemia. Esta
inquietud sobre la gestión de la mano de obra va desde el reto de idear estrategias eficaces de vuelta al
trabajo hasta cambios más profundos en el contrato social entre empleador y empleado.
Un directivo del sector sanitario atribuyó a la pandemia una epifanía en este ámbito. "Lo que más nos
preocupa ahora mismo es el trabajo a distancia y el regreso de algunos de nuestros empleados a la oficina, la
vacunación, etc. La pandemia me ha mostrado definitivamente que era demasiado rígido en mi proceso de
pensamiento en términos de riesgo de trabajo remoto."
Los encuestados expresaron diferentes enfoques para gestionar los riesgos sobre los que no pueden influir directamente.
Por ejemplo, un miembro del consejo de administración de una empresa financiera señaló que los cambios normativos
son relevantes y se supervisan cuidadosamente, pero están en gran medida fuera del control de la organización. "Los
cambios en el entorno normativo, por ejemplo, son muy importantes para nosotros. Tenemos mucho cuidado con la
forma en que nos afectan las regulaciones. Es difícil, y no es algo que nadie pueda controlar realmente".
Mientras tanto, un miembro del consejo de administración de otra empresa de servicios financieros dijo que la
empresa opta por centrarse en lo que se puede gobernar. "Prestamos atención a los riesgos que podemos controlar.
Es importante entender el mercado y los competidores cuando se consideran los riesgos relevantes sobre los que
podemos tener menos control."
Como se ha señalado anteriormente, existe una coincidencia general en las calificaciones de conocimiento personal,
capacidad organizativa y relevancia del riesgo entre los grupos de encuestados. Sin embargo, la variación entre la
relevancia y la capacidad es claramente evidente en las calificaciones medias asignadas por cada grupo de
encuestados (Figura 3).
GESTIÓN DEL TALENTO: Se espera que la gestión del talento siga siendo un riesgo importante en el futuro
inmediato. Con 46 puntos, este riesgo tuvo la mayor brecha de relevancia-capacidad de todos los riesgos examinados
este año, superando a la ciberseguridad. La preocupación por el impacto de la pandemia en el mercado laboral y el
contrato social tradicional entre empleador y empleado sigue manteniendo este riesgo en el centro de la mente
de los gestores de riesgos.
Como se señala en OnRisk 2021, "esta importante disrupción en la gestión del talento, así como su impacto en la
moral, la productividad y la cultura del lugar de trabajo, tendrá implicaciones a corto y largo plazo para las
organizaciones." Dos áreas ofrecidas como evidencia de la potencial disrupción se han hecho realidad
rápidamente.
El fenómeno del trabajo desde casa cambió fundamentalmente la forma en que las organizaciones contratan y
gestionan el talento. Aunque el hecho de que la mayoría de la plantilla trabaje en entornos remotos planteó
importantes retos inmediatos en materia de tecnología, ciberseguridad y logística, prácticamente eliminó la
limitación de las consideraciones geográficas a la hora de identificar y contratar a los talentos adecuados. Como
señaló un ejecutivo de la dirección de la industria manufacturera, "la gestión del talento podría ser más difícil
con las diferentes brechas generacionales que se están acentuando en la fuerza de trabajo. ¿Dónde vamos a
encontrar el mejor talento?".
www.theiia.org 11
RIESGOS A LOS QUE HAY QUE PRESTAR ATENCIÓN EN EL
FUTURO
(Continuación)
Sin embargo, el experimento del trabajo desde casa también parece haber tenido un profundo impacto en las actitudes
sobre el equilibrio entre el trabajo y la vida privada entre varios sectores de la población activa. Según un artículo publicado
en junio de 2021 en la revista Forbes1, las expectativas de muchos han cambiado
en el año de trabajo desde casa. Por ejemplo, el artículo señala la evidencia de que muchos están reconsiderando sus
carreras, citando el aumento de las solicitudes de ingreso en las facultades de Derecho y Medicina, que se dispararon un
20% y un 18%, respectivamente.
Un número cada vez mayor de empleados abandona su trabajo voluntariamente. Apodada "La gran renuncia", esta
secuela de la pandemia promete tener efectos a largo plazo en la fuerza laboral. Según los datos de la Oficina de
Estadísticas Laborales de EE.UU., sólo en abril de 2021 casi 4 millones de personas abandonaron sus puestos de trabajo,
el mayor aumento registrado en un solo mes. Otros 3,6 millones dejaron su trabajo voluntariamente en mayo. El
fenómeno no se limita a Estados Unidos. 2
Según la BBC3, una encuesta de Microsoft realizada a más de 30.000 trabajadores de todo el mundo mostró que el 41%
de los trabajadores estaba considerando dejar o cambiar de profesión este año. El mismo informe descubrió que se han
quintuplicado las ofertas de trabajo a distancia en LinkedIn desde el comienzo de la pandemia y que más del 46% de los
trabajadores dicen que planean mudarse porque sienten que ahora pueden trabajar a distancia. 4
A medida que las organizaciones se centran en la reincorporación de los trabajadores a las oficinas, deben sopesar
cuidadosamente el endurecimiento del mercado laboral y su relación con las expectativas de los trabajadores en cuanto
a salarios, beneficios y equilibrio entre vida y trabajo.
– C-suite, Finanzas
1: Kreznar, Christian, "Employers, Don't Fear The 'Great Resignation'-It's Already Here", Forbes, 3 de junio de 2021.
2: Comunicado de prensa económico, "Tabla 4. Quits levels and rates by industry and region, seasonally adjusted", U.S. Bureau of Labor Statistics,
Washington, D.C., https://www.bls.gov/news.release/jolts.t04.htm
3: Morgan, Kate, "The Great Resignation: How employers driven workers to quit", BBC, 1 de julio de 2021.
4: Índice de tendencias laborales de Microsoft 2021, https://www.microsoft.com/en-us/worklab/work-trend-index/hybrid-work
5: "Global Economic Effects of COVID-19", U.S. Congressional Research Service, 9 de julio de 2021, Washington, D.C.
www.theiia.org 12
Históricamente, la volatilidad política ha seguido a los choques económicos, más recientemente tras la crisis
financiera internacional de 2007-2008. En abril, la Directora Gerente del Fondo Monetario Internacional, Kristalina
Georgieva, advirtió que las desigualdades preexistentes, exacerbadas por la pandemia, podrían provocar no sólo
inestabilidad macroeconómica,
sino también una mayor polarización, la erosión de la confianza en los gobiernos y un creciente malestar social. 6
INNOVACIÓN DISRUPTIVA: La innovación disruptiva presenta uno de los mayores retos de gestión de
riesgos para las organizaciones, lo que se refleja en la considerable falta de alineación entre los consejos de
administración y la alta dirección en lo que respecta a la relevancia del riesgo y la capacidad organizativa. Esto
también contribuye en gran medida a la brecha general de 32 puntos entre el riesgo
relevancia y capacidad organizativa para las valoraciones combinadas de los encuestados. La frustración en los
consejos de administración es evidente. Algunos encuestados reconocen que no están preparados para gestionar
estos retos, como un miembro de la junta directiva del sector sanitario que dijo: "No somos innovadores, el cambio
es muy lento. Todo consiste en vendar...
la preparación y la capacidad de adaptación no existe".
Un miembro del consejo de administración del sector minorista expresó su frustración por no poder ver más
allá del horizonte de riesgo. "Si supiéramos cuál sería [la innovación disruptiva], estaríamos trabajando en ella.
Pero no sabemos lo que viene".
Sin embargo, el movimiento entre los altos ejecutivos hacia la construcción de organizaciones más ágiles y
receptivas a los riesgos emergentes y de rápida evolución podría contribuir a mejorar esta área de riesgo. La
historia de Netflix frente a Blockbuster es un claro ejemplo de cómo reconocer y aprovechar la disrupción puede
suponer la diferencia entre un éxito espectacular y un fracaso estrepitoso.
Blockbuster fue pionera y dominó los servicios de alquiler de vídeos a través de una amplia red de tiendas físicas.
De hecho, rechazó una oferta para fusionarse con el servicio de vídeo por correo Netflix en 2000. Sin embargo, sólo
seis años después, Netflix dominaba el alquiler de vídeos en línea, con 6,3 millones de suscriptores frente a los 2
millones de Blockbuster. En 2008, la dirección de Netflix volvió a demostrar que reconocía cómo la tecnología podía
alterar su modelo de negocio de forma significativa y respondió. Firmó un acuerdo para transmitir películas de Starz
y, en 2010, contaba con una cuota del 20% del tráfico de espectadores en Norteamérica tras firmar acuerdos
adicionales con Sony, Paramount, Lionsgate y Disney. Ese mismo año, Blockbuster
se declaró en quiebra.
6: Hammond, Andrew, "The world is facing even greater political upheaval in post-pandemic world", Arab News, 8 de abril de 2021.
www.theiia.org 13
LA PERCEPCIÓN DE LA IMPORTANCIA DEL RIESGO
VARÍA MUCHO SEGÚN LOS COMPONENTES DE LA
GSE
OnRisk 2022 desglosa las tres áreas de riesgo asociadas a la ASG: sostenibilidad medioambiental, sostenibilidad
social y gobernanza organizativa. Las valoraciones y respuestas de los encuestados indican claramente que la
gobernanza organizativa domina sobre la sostenibilidad social y la sostenibilidad medioambiental en la mente de los
participantes en la encuesta (Figura 4). En las tres áreas de OnRisk
medidas -conocimiento personal, capacidad organizativa y relevancia del riesgo- los encuestados sitúan el Gobierno
Organizativo entre los más altos de todos los riesgos examinados y muy por delante de los riesgos de Sostenibilidad Social y
Sostenibilidad Medioambiental.
Figura 4:
MEDIDAS DE GSP: COMPARACIÓN DE LA RELEVANCIA, EL CONOCIMIENTO Y LA CAPACIDAD CON LA FUNCIÓN
Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7
GOBIERNO DE LA ORGANIZACIÓN
PERSONAL
SOSTENIBILIDAD SOCIAL
SOSTENIBILIDAD
MEDIOAMBIENTAL
www.theiia.org 14
Esta alta clasificación puede estar influenciada por la amplia relevancia de la Gobernanza Organizacional. De hecho, la
mayoría de las organizaciones reconocen la necesidad y el valor de tener fuertes controles de riesgo en todo el espectro
de riesgos que afectan a la consecución de los objetivos. También puede reflejar los esfuerzos a menudo heroicos y
alineados para responder a los desafíos de gobernanza creados por la pandemia y la necesidad de un liderazgo fuerte
para superar esos desafíos. Además, indica una creciente conciencia de los beneficios de la alineación de los riesgos
entre los principales actores de la gestión de riesgos, lo que apoya una gobernanza organizativa más sólida.
Un directivo de la alta dirección del sector manufacturero relacionó la alineación con el éxito. "Llegamos a la conclusión
de que estábamos alineados... Se demostró cómo estamos alineados con la mayoría de las cosas, lo que creo que nos
ayuda a tener éxito". Otros comentarios reflejan una creciente conciencia del valor de una sólida gobernanza
organizativa y de los peligros de una gobernanza débil:
"Para muchas empresas públicas, "Ahora hemos creado un comité de "La forma de planificar todos
capacidad podría ser mayor. Sólo hay riesgos independiente en nuestro los demás riesgos puede
que ver algunos de los problemas que consejo de administración. Esto nos [atribuirse] a la gobernanza
surgen... si todo el mundo fuera ha ayudado a terminar con algunos organizativa... es
realmente bueno, no estaríamos viendo documentos excelentes sobre el extremadamente importante y
tanta ruptura de las estructuras en las manejo de nuestra organización en lo cubre todo".
empresas públicas". diferentes riesgos".
- Consejo, Finanzas
- Consejo, Finanzas – Consejo, Finanzas
(Véase el análisis adicional sobre cómo la pandemia reveló oportunidades para mejorar la gestión de riesgos de la organización en la página 19)
Los defensores de la sostenibilidad de las empresas se apresuran a "La gente en nuestro trabajo come, bebe, usa
señalar que la sostenibilidad social y medioambiental es un el baño, pero no estamos produciendo
componente fundamental para la buena gobernanza general de las toxinas que tengan que verter en algún sitio,
organizaciones. Sin embargo, las clasificaciones de la relevancia del así que no es algo que entre en la
riesgo realizadas por los encuestados de OnRisk no reflejaron tales conversación.
asociaciones claras. De hecho, la sostenibilidad social y la
- C-suite, Tecnología
sostenibilidad medioambiental se situaron en el cuartil inferior en
cuanto a relevancia del riesgo. A pesar de la preocupación
generalizada por el cambio climático, menos de la mitad de los
encuestados identificaron la sostenibilidad medioambiental como un
riesgo altamente relevante dentro de sus organizaciones.
No cabe duda de que los comentarios de algunos encuestados
reflejan un alcance limitado del contexto relacionado con la
sostenibilidad medioambiental.
Ha habido una creciente concienciación sobre los riesgos ASG -como se refleja en el número cada vez mayor
de organizaciones que elaboran informes ASG y en la creciente presión de los inversores para que se
presenten dichos informes-, pero los cambios parecen estar impulsados por
consideraciones a corto plazo frente al reconocimiento fundamental del valor de la sostenibilidad. Por ejemplo, la
sostenibilidad social se ha convertido en un punto de atención en los últimos 18 meses debido a los
acontecimientos mundiales y al creciente activismo social, pero la sostenibilidad medioambiental sigue estando
rezagada.
Los encuestados creen que se está produciendo una mezcla de cambios reales y artificiales y la mayoría piensa que su
organización está impulsando un cambio real. Sin embargo, los comentarios de algunos encuestados reflejan una
mezcla de consideraciones a corto plazo y mentalidades pueblerinas.
Un directivo de la dirección de una empresa manufacturera asoció el movimiento ESG más con el marketing que con
la sostenibilidad en general. "Tenemos que tener la suficiente concienciación para pasar por la puerta, conseguir esta
oferta y obtener el trabajo, pero hasta ahora parece más un truco para los clientes que un deseo real impulsado por el
mercado".
Sin embargo, otros entienden el valor de la gestión de los impactos medioambientales, incluido un miembro de la junta
directiva del sector sanitario que lamentó que estas consideraciones deban competir con otros riesgos. "La mayoría de
las organizaciones quieren tener buenas políticas, procedimientos y programas de sostenibilidad ambiental, pero no
siempre está al frente y al centro cuando se trata de todos estos otros riesgos".
www.theiia.org 15
LA PERCEPCIÓN DE LA IMPORTANCIA DEL RIESGO
VARÍA MUCHO SEGÚN LOS COMPONENTES DE LA
GSE
(Continuación)
Otros encuestados expresaron una visión más amplia y una comprensión de cómo los componentes ASG
pueden trabajar en conjunto dentro de una organización.
"La sostenibilidad va a ser un imperativo absoluto para "Necesitamos contar con líderes que tengan una mentalidad abierta
preservar, mantener y hacer crecer la riqueza. Esto es como al cambio de la sostenibilidad social, que estén dispuestos a
cualquier otra inversión en los negocios. Hay que hacer estas cambiar y
inversiones para proteger y mantener el valor que se está poner el trabajo, o si no el cambio no se va a producir".
creando."
– CAE, Educación
- Consejo, Finanzas
El tamaño y la madurez de la organización también se citaron como posibles límites para la gestión de los
riesgos ASG. Los recursos limitados hacen que los riesgos ASG -en particular los relacionados con E y S- sean
menos prioritarios.
Un directivo de una organización sin ánimo de lucro se lamentaba: "Ojalá pudiéramos ser mejores en materia de
ASG, pero no es una prioridad. Somos una pequeña empresa, por lo que cosas como la ciberseguridad y la
gobernanza de la organización tienen prioridad y la sostenibilidad medioambiental y social queda en segundo
plano". Algunas organizaciones tienen la suerte de contar con un equipo dedicado a ESG o incluso con un
empleado que trabaja en ello, pero nosotros estamos demasiado ocupados".
La falta de una dirección clara o de normas para medir e informar sobre los ASG también se citó como un factor
disuasorio. Según un asesor financiero, "disponer de algún tipo de medición para los ASG ayudaría a impulsar un
cambio real. Es necesario rendir cuentas y demostrar que están ocurriendo cosas reales, y también documentar e
informar sobre lo que está ocurriendo".
Sin embargo, un CAE de la industria manufacturera cree que las empresas que se centran demasiado en la
presentación de informes están perdiendo el beneficio real de la gestión de riesgos ASG. "El problema es que las
empresas que se centran en la presentación de informes podrían ser más artificiales... podrían limitarse a marcar la
casilla, publicando informes para decir que lo han hecho para que sus partes interesadas estén contentas.
Tiene que haber más iniciativas y actividad real".
Un miembro de la junta directiva de una organización sin ánimo de lucro describió cómo la pandemia resultó
ser reveladora. "Nos ha hecho tomar conciencia de que hay escenarios que pueden ocurrir en el futuro y que
tenemos que gestionar, y ahora somos hiperconscientes de las carencias de nuestro enfoque de riesgos".
Un miembro de la junta directiva del sector minorista, por su parte, vio lo bueno y lo malo de la introspección inducida
por la pandemia. "Nos mostró que no éramos realmente buenos en la predicción del riesgo, pero creo que
reaccionamos muy bien. Nos hizo conscientes de los escenarios que podrían darse en el futuro y de cómo los
manejaremos".
www.theiia.org 16
www.theiia.org 17
LA PANDEMIA REVELÓ OPORTUNIDADES PARA
MEJORAR LA GESTIÓN DE RIESGOS DE LA
ORGANIZACIÓN
(Continuación)
Los encuestados de OnRisk también expresaron su preocupación por la alineación con los proveedores y socios
externos. Según un CAE de educación, "existe la preocupación de que los terceros no estén alineados con los objetivos,
la presentación de informes, especialmente con riesgos como la ciberseguridad. Las organizaciones deberían mejorar la
forma de supervisar los acuerdos con terceros, la gestión de los contratos, la creación de relaciones... Muchas veces se
limitan a "hacerlo" y no reflexionan".
Mientras el mundo emerge lentamente de más de un año de economías cerradas, fuerzas de trabajo confinadas en casa,
líneas de suministro tensas o interrumpidas, y un aleccionador número de muertes que superan los 4 millones en todo el
mundo, la atención inicial sobre la gestión de riesgos tras el COVID-19 parece ser principalmente preocupaciones a corto
plazo.
"Definitivamente, ha influido en nuestra perspectiva en lo que respecta al riesgo. Pero no creo que tengamos ningún plan
concreto para cambiar nuestra estrategia de riesgos ni nada a largo plazo. Nos centramos en poner en marcha nuestro
sistema híbrido y en mantener la salud y la seguridad de nuestros empleados", afirma un CAE del sector público.
Por su parte, un ejecutivo de la alta dirección del sector tecnológico describió la lucha por mantener simplemente las
puertas abiertas. "Todavía estamos en modo de supervivencia... no hemos pensado en los impactos permanentes de la
pandemia. Nunca pensamos que esto pasaría, así que sólo intentamos salir adelante". Para algunos, la pandemia ofreció
una valiosa lección sobre cómo se manifiestan los riesgos en toda la organización. "El COVID nos ha enseñado que
tenemos que estar más centralizados y tener una estrategia global y una orientación en lo que respecta a la gestión de
riesgos", dijo un CAE del sector educativo.
La complejidad y la dinámica de las relaciones entre empleadores y empleados después de la epidemia de gripe aviar de 19
años ocuparon un lugar destacado para muchos de los encuestados de OnRisk. La pandemia puso de manifiesto la
importancia de gestionar el talento y la cultura. Según un alto ejecutivo del sector inmobiliario, "lo que nos preocupa es
perder la cultura con los nuevos empleados. Nunca llegan a experimentar [la cultura] porque pasan directamente de ser
contratados a trabajar desde casa".
Las sesiones de planificación a largo plazo no son lo más importante para muchos, pero los encuestados afirman
que se centrarán más en los planes de contingencia a largo plazo.
"La realidad es que la mayoría de las empresas no tienen ningún plan de contingencia. Ahora las empresas van a tener
que trabajar para entender los planes de contingencia y la importancia de asignar equipos y cargos para manejar riesgos
inesperados", dijo un miembro de la junta municipal.
www.theiia.org 18
A medida que aumenta la comprensión y la apreciación de la gestión de los riesgos de la empresa, también
aumentan las exigencias a la auditoría interna para que amplíe su alcance, identifique las deficiencias en la
cobertura de los riesgos, supervise los riesgos emergentes e informe de forma clara y concisa a las partes
interesadas,
y emplear un mayor uso de la tecnología para proporcionar una sólida garantía de gestión de riesgos.
Un miembro de la junta directiva del sector minorista dijo que es hora de ampliar la visión de la auditoría interna
dentro de las organizaciones. "Algunas personas piensan que la auditoría interna es demasiado reactiva y que sólo
depende de las necesidades del momento. Creo que es bueno que la auditoría interna piense en el proceso, que
se adelante y que identifique las carencias".
Un directivo de la alta dirección del sector tecnológico pidió a la auditoría interna que ampliara sus servicios para cubrir las áreas de riesgo
emergentes. "Actualmente,
nuestra auditoría interna no da con algunos de estos riesgos, como la sostenibilidad medioambiental y el cambio en el entorno normativo".
No todos los encuestados consideran que la auditoría interna es fundamental para garantizar una gestión de riesgos
adecuada. Según un ejecutivo de la junta directiva de tecnología de la información, "no tenemos auditoría interna,
pero tenemos auditoría externa, y creo que es adecuada para lo que necesitamos". Mientras que algunas
organizaciones confían exclusivamente en la auditoría externa para la garantía de la gestión de riesgos, existen
riesgos inherentes a este enfoque miope.
Confiar en la garantía de gestión de riesgos de la auditoría externa, que históricamente se centra principalmente
en la información financiera y el cumplimiento, es en sí mismo arriesgado. Un ejecutivo de la alta dirección del
sector tecnológico explicó un enfoque más sofisticado de la gestión de riesgos, que añade la perspectiva
necesaria:
"Tenemos un proceso formal de ERM, con una persona que dirige las Los encuestados de CAE en
revisiones anuales de toda la organización. Se califican los riesgos, se OnRisk reconocen la
identifican las lagunas y luego se determina la probabilidad y la importancia, oportunidad y la necesidad de la
así como la tolerancia. Se evalúan doscientos riesgos y se agrupan en auditoría interna
diferentes categorías. Creo que gracias a este proceso y a que nuestra para mejorar:
función de auditoría está tan sensibilizada con el riesgo, tenemos suficientes
garantías". "No puedes hacer las cosas solo...
tienes que tener asociaciones, así es
Los encuestados de OnRisk dijeron que querían ver más consistencia en como todo el mundo tiene éxito. En
los informes de aseguramiento, así como mejores formas de comunicar los lugar de informar y gestionar en silos,
resultados, incluyendo más datos y análisis y detalles adaptados según la hay que ser coherente en toda la
audiencia. Un miembro de la junta directiva del sector financiero subrayó la organización".
necesidad de presentar eficazmente información de riesgo relevante y
procesable: "Algunos informes de riesgo son quizá demasiado detallados, -CAE, Gobierno
lo que dificulta la extracción de información. El detalle es bueno, pero hay
deben ser resúmenes de información relevante para las partes interesadas, "Tenemos que determinar los
los miembros del consejo de administración, etc." indicadores clave de riesgo,
medirlos, reflexionar, volver a
Además, la auditoría interna debe demostrar su capacidad de ejecución y abordar, volver a informar... es un
añadir valor durante las crisis. Según un ejecutivo de la dirección de una ciclo".
empresa manufacturera,
– CAE, Tecnología
"Pienso en la analogía del simulacro de incendio. Es fácil salir
tranquilamente, en fila india, cuando sabes que no hay fuego. ¿Nos
"Siempre hay margen de mejora para
comportaríamos exactamente igual que en la vida real?"
crear más análisis de datos y evaluar el
riesgo con más
datos fácticos".
– CAE, Finanzas
www.theiia.org 19
IDEAS Y
ACCIONES -
BOARD
• Pregunte a la dirección ejecutiva qué marcos se utilizan para determinar la idoneidad de la información ASG de la organización.
• Pedir a la auditoría interna que preste servicios de garantía o asesoramiento, como los relativos a la
evaluación del diseño y la eficacia operativa de los controles de apoyo a los ASG.
• Exigir que la dirección ejecutiva mantenga al consejo de administración al corriente de las decisiones y
los cambios pertinentes en materia de gestión del talento derivados de la pandemia.
• Destacar de forma continua y consistente la importancia de la alineación de los riesgos entre los principales actores de la gestión de
riesgos.
• Promover el papel de la auditoría interna para proporcionar una garantía independiente sobre esta área de riesgo.
www.theiia.org 20
www.theiia.org 21
IDEAS Y
ACCIONES - C-
SUITE
La dirección ejecutiva se enfrenta a un sinfín de retos de gestión de riesgos complicados por la batalla de 18
meses contra el COVID-19. Desde la continuidad del negocio y la gestión de crisis hasta las implicaciones a largo
plazo en la gestión del talento y la cultura, los impactos de la pandemia tendrán efectos prolongados y persistentes
en los riesgos y la gestión de riesgos.
• No hay que esperar a que los auditores externos den orientaciones o a que los reguladores establezcan normas.
• Dirigir la auditoría interna para que garantice la eficacia de los controles ESG existentes, en particular
en lo que respecta a la información ESG.
• Aplicar y medir cuidadosamente las decisiones pertinentes de gestión del talento, como las
preferencias de organización del trabajo, y su efecto en la moral de los empleados, la productividad
y los esfuerzos de retención.
En medio de uno de los periodos más volátiles y dinámicos en un siglo, las partes interesadas están
señalando la necesidad de una mayor garantía en la gestión de riesgos. La auditoría interna debe responder.
• Adelantarse a cualquier nuevo requisito conociendo los procesos y controles de su propia organización.
• Identifique cualquier riesgo de la lista OnRisk o de la lista de la empresa cuyo conocimiento personal sea inferior a una calificación ALTA.
• Comparta de forma concisa los aspectos más destacados de OnRisk 2022 con el consejo de
administración y la dirección ejecutiva para fomentar el diálogo sobre la relación de los riesgos
examinados con su organización.
APOYAR UNA MAYOR ATENCIÓN A LOS RIESGOS DE LA CULTURA Y LA GESTIÓN DEL TALENTO.
• Proporcionar servicios de garantía o asesoramiento relacionados con la gestión de la cultura o el talento. Por
ejemplo, apoyar al consejo de administración o a la dirección ejecutiva en el análisis de los datos resultantes
de las encuestas a los empleados, las entrevistas de salida o las iniciativas de diversidad e inclusión.
www.theiia.org 23
M ETODOLOGÍA
Las encuestas cualitativas miden la alineación de la organización
CAPACIDAD ORGANIZATIVA
Trazado de la posición
ALTO Y ANCHO
Las posiciones de cada uno de los tres grupos de encuestados
Esta forma básica sugiere un
se trazan en el mapa de cuadrantes no sólo para identificar el desajuste por parte de más de un
conocimiento y la capacidad relativos de cada riesgo, sino también grupo de encuestados, con un
para ilustrar gráficamente cualquier desajuste que pueda existir entre desacuerdo significativo tanto en el
los grupos. Los triángulos resultantes -denominados simplemente conocimiento como en la capacidad.
triángulos de alineación en este informe- proporcionan un sólido
indicador del grado de comprensión y gestión de un riesgo. El
tamaño, la forma y la ubicación de cada triángulo también proporciona
información sobre lo que está impulsando cualquier desalineación PEQUEÑO Y SIMÉTRICO
(véase la barra lateral relacionada). Esta forma sugiere una fuerte alineación de los tres
grupos de encuestados en cuanto a
conocimientos y capacidad. Dependiendo de la
Gráfico de relevancia del riesgo ubicación del triángulo, esto podría reflejar un
riesgo que se entiende y gestiona bien (cuadrante
La calificación de cada grupo de encuestados sobre la relevancia superior derecho) o uno que no está bien
del riesgo se representa en un solo eje, lo que ofrece una clara
representación de las variaciones en las clasificaciones de la
relevancia del riesgo por parte de los miembros del consejo de
administración, la junta directiva y los CAE (Figura 7).
Figura 7: CALIFICACIÓN DE LA Porcentaje que ha dado una calificación de 6 o 7 en una entendida o gestionada (cuadrante inferior izquierdo).
RELEVANCIA DEL RIESGO escala de 1 a 7
70% 77%
www.theiia.org 25
RIESGO
MODELO DE ETAPAS Figura 8:
MODELO DE ETAPAS DE RIESGO
RIESG
Cada página de riesgo ofrece una definición de riesgo y una breve visión general basada en
las entrevistas cualitativas; traza la alineación entre los actores clave de la gestión de
riesgos en cuanto a conocimientos personales, capacidad organizativa y relevancia;
comparte citas perspicaces de los entrevistados sobre el riesgo; e identifica los cambios en
las etapas de desarrollo de cada riesgo desde el año anterior, en su caso.
OS
www.theiia.org 28
www.theiia.org 29
LOS RIESGOS DE
CIBERSEGURIDA
D
Definición: CONOCIMIENTO Y CAPACIDAD
Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7
Análisis:
Casi todos los miembros de la dirección
ejecutiva consideran que la ciberseguridad es muy
importante para su
organización. Sin embargo, el conocimiento personal de
este riesgo de gran impacto sigue siendo particularmente
bajo entre todos los actores, en particular las CAE. Este
bajo nivel de conocimiento se debe probablemente a la
naturaleza siempre cambiante de las ciberamenazas. En
general, un bajo porcentaje de encuestados de todos los
grupos calificó de alta la capacidad de sus organizaciones
para gestionar la ciberseguridad. En particular, pocos
miembros de los consejos de administración perciben que
su organización es muy capaz de gestionar la
ciberseguridad.
FASE DE
RIESGO
Citas:
"El riesgo de ciberseguridad es un riesgo en constante evolución. La arquitectura y los
procesos de planificación que se han utilizado para hacer frente a [la ciberseguridad]
se han vuelto más complejos a medida que la tecnología se ha ido imponiendo." -
Junta Directiva, Finanzas
"Como hemos visto con el hackeo del oleoducto este año, estos ataques de
ciberseguridad pueden tener un enorme efecto de goteo. Todas las industrias son
susceptibles al riesgo de ciberseguridad en cierta medida". -Junta Directiva, Industria
Permaneció en Desarrollo
RELEVANCIA DEL
RIESGO 77% 87%97%
Porcentaje que ha dado una C-suite JuntaCAE
calificación de 6 o 7 en una
escala de 1 a 7
- Ciberseguridad
www.theiia.org 30
LOS RIESGOS
TALENTO
GESTIÓN
CONOCIMIENTO Y CAPACIDAD
Definición: Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7
Análisis:
A pesar de que todos los actores clave de la gestión
ven la Gestión del Talento como uno de los riesgos más
relevantes para sus organizaciones, las percepciones
tanto del conocimiento personal como de la capacidad
de la organización siguen siendo relativamente bajas
para los miembros del consejo de administración y los
CAE. Las percepciones de los altos ejecutivos sobre
sus conocimientos personales y las capacidades de sus
organizaciones en este ámbito son mucho más
elevadas.
FASE DE RIESGO
Citas:
"Las empresas se esfuerzan tanto por sobrevivir... que todas las estrategias
se esfuman. Cuando no puedes ver a los empleados cara a cara, es un
reto".
-Junta, Gobierno
"La contratación en este entorno remoto nos ha permitido considerar la contratación sin
una limitación geográfica. La pregunta que nos hacemos ahora es; ¿contratamos a un
candidato de mayor calidad para trabajar de forma totalmente remota, o contratamos a
Pasado de Explorar a
un candidato de menor calidad que pueda venir a la oficina?" -CAE, Automoción
Desarrollar
www.theiia.org 31
LOS RIESGOS
ORGANIZACIÓN
GOBERNANZA
CONOCIMIENTO Y CAPACIDAD
Definición: Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7
Análisis:
Los tres actores de la gestión de riesgos tienen un
elevado conocimiento de este riesgo relativamente
maduro, que se considera muy relevante. Sin embargo,
existe un desajuste significativo en cuanto a la capacidad
organizativa para gestionar este importante componente
de ESG. Son menos los miembros de los consejos de
administración que los altos ejecutivos los que consideran
que sus organizaciones tienen una gran capacidad
organizativa en este ámbito de riesgo.
FASE DE
RIESGO
Citas:
"La forma de planificar todos los demás riesgos se puede [atribuir] a la gobernanza
organizativa... es extremadamente importante y lo cubre todo". -C-suite, Manufactura
"Para muchas empresas públicas, la capacidad podría ser mayor. Sólo hay que ver
algunos de los problemas que surgen... si todo el mundo fuera realmente bueno, no
estaríamos viendo tantas rupturas en las estructuras de las empresas públicas." -
Consejo de Administración, Finanzas
Permaneció en Mantener
RELEVANCIA DEL
RIESGO 70% 80% 83%
Porcentaje que ha dado una CAE Junta C-suite
calificación de 6 o 7 en una
escala de 1 a 7
- Gobernanza de la
organización
www.theiia.org 32
LOS RIESGOS
PRIVACIDAD
DE LOS DATOS
Definición:
CONOCIMIENTO Y CAPACIDAD
Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7
Análisis:
A pesar de tener un menor conocimiento personal y
una menor percepción de la relevancia organizativa de
este riesgo cada vez más regulado, los miembros de la
C-suite tienen una mayor percepción de la capacidad
organizativa que los miembros del consejo de
administración o los CAE.
FASE DE
RIESGO
Citas:
"Es fundamental contar con procedimientos para analizar, recopilar y almacenar
datos que sean prácticas comunes en toda la organización". -CAE, Gobierno
RELEVANCIA DEL
RIESGO 70% 77%
Porcentaje que ha dado una C-suite Junta CAE
calificación de 6 o 7 en una
escala de 1 a 7
- Privacidad de los datos
www.theiia.org 33
www.theiia.org 34
LOS RIESGOS
CULTURA
CONOCIMIENTO Y CAPACIDAD
Definición: Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7
Análisis:
Todos los actores clave de la gestión de riesgos están
muy de acuerdo en la importancia de la cultura para el
éxito de la organización. Sin embargo, existe una
brecha entre el número de miembros de los consejos
de administración que tienen un alto conocimiento
personal de este riesgo y los altos ejecutivos que lo
tienen. Del mismo modo, son menos los miembros de
los consejos de administración que perciben que sus
organizaciones tienen una alta capacidad para
gestionar este riesgo, que es cada vez más importante
para las organizaciones a medida que salen de la
pandemia mundial.
FASE DE
RIESGO
Citas:
"Todos 'vivimos' la cultura, pero entender cómo gestionarla y cambiarla es algo
totalmente distinto". -CAE, Finanzas
"Nos preocupa perder la cultura con la gente nueva. Nunca llegaron a experimentar
[la cultura] porque pasan directamente de ser contratados a trabajar desde casa."
-C-suite, Inmobiliaria
Permaneció en Desarrollo
RELEVANCIA DEL
RIESGO 70%
Porcentaje que ha dado una Junta Directiva del CAE C-suite
calificación de 6 o 7 en una
escala de 1 a 7
- Cultura
www.theiia.org 35
LOS RIESGOS
ECONÓMICA Y
POLÍTICA
VOLATILIDAD
CONOCIMIENTO Y CAPACIDAD
Definición: Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7
Análisis:
En general, la dirección ejecutiva, los miembros del
consejo de administración y los directores de auditoría
coinciden bastante en la relevancia del riesgo, el
conocimiento personal y la capacidad organizativa. Sin
embargo, mientras que más de dos tercios de los
encuestados consideran que los efectos potenciales de
la volatilidad económica y política tienen un alto impacto
en sus organizaciones, el conocimiento personal de este
riesgo y la percepción de la capacidad organizativa
siguen siendo relativamente bajos.
FASE DE
RIESGO
Cita:
"Las cosas iban viento en popa hasta 2008-2009. Ahora, en 2020-2021 y 2022,
esperamos una gran volatilidad... No tengo una sensación muy fuerte sobre hacia
dónde va la economía, pero ahora estamos planificando más para impactos
importantes como escasez de productos, retrasos, interrupciones de ese tipo." -
C-suite, Finanzas
Permaneció en Desarrollo
escala de 1 a 7
RELEVANCIA DEL - Volatilidad económica y política
RIESGO
Porcentaje que ha dado una
calificación de 6 o 7 en una
63%67%80%
JuntaC-suiteCAE
www.theiia.org 36
LOS RIESGOS
CAMBIO EN EL
ENTORNO NORMATIVO
CONOCIMIENTO Y CAPACIDAD
Definición: Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7
Análisis:
A pesar de la coincidencia general en cuanto a la
creciente relevancia del riesgo de un entorno normativo
cambiante, el conocimiento personal relacionado con
este riesgo es bajo, especialmente para los directores de
auditoría y los directivos. Aunque el conocimiento
personal de este riesgo es mayor entre los miembros de
los consejos de administración, sigue siendo inferior al de
otros riesgos. Los miembros de los consejos de
administración confían algo más en la capacidad de sus
organizaciones para gestionar este importante riesgo.
FASE DE
RIESGO
Citas:
"Esto podría ser un gran problema para nosotros y existe un riesgo real. Es
importante que la gente esté atenta a los cambios en la normativa". -CAE, Finanzas
"Muchas empresas son reacias a dar un paso adelante si no se ven obligadas a ello".
-C-suite, Sanidad
RELEVANCIA DEL
RIESGO 67% 73%
Porcentaje que ha dado una
calificación de 6 o 7 en una
escala de 1 a 7
- Cambio en el entorno normativo Junta directiva del CAE
www.theiia.org 37
LOS RIESGOS
PROVEEDOR Y
GESTIÓN DE PROVEEDORES
CONOCIMIENTO Y CAPACIDAD
Definición: Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7
Análisis:
Mientras que un mayor número de CAE tiene un alto
conocimiento personal de este riesgo crítico en un
entorno empresarial cada vez más interconectado, son
menos los que perciben que sus organizaciones tienen
una alta capacidad para gestionar este riesgo. Esta
brecha entre los CAE y sus grupos de interés puede
deberse a que un mayor porcentaje de CAE considera
que este riesgo es muy relevante para sus
organizaciones, probablemente debido a las amenazas
cibernéticas de las que se ha informado públicamente, a
los problemas relacionados con el cumplimiento de la
normativa y a otros acontecimientos perturbadores
derivados de las relaciones con terceros.
FASE DE RIESGO
Citas:
"El reto es cómo mantener esta relación con estos proveedores de toda la vida
y, al mismo tiempo, cómo salir a buscar lo que necesitamos si ese proveedor
no puede proporcionarlo." -C-suite, Fabricación
"Nuestra organización tiene unas relaciones realmente sólidas... pero le he dado una
puntuación de capacidad inferior porque la privacidad de los datos, la protección, la
ciberseguridad... esas cosas son más difíciles de gestionar con nuestros
proveedores " -CAE, Tecnología
Pasado de Explorar a
Desarrollar
INNOVACIÓN
DESESTABILIZADORA
Definición:
CONOCIMIENTO Y CAPACIDAD
Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7
Análisis:
Existe una brecha bastante amplia entre el porcentaje
de miembros del consejo de administración que ven este
riesgo como altamente relevante en comparación con los
ejecutivos de la C-suite que sí lo ven. Además, son más
los consejeros que perciben que su conocimiento
personal de este riesgo tan importante es alto. Sin
embargo, es posible que los consejeros confíen
demasiado en la capacidad de las organizaciones para
gestionar la innovación disruptiva, ya que son más los
que consideran que sus organizaciones tienen una gran
capacidad para gestionar este riesgo que los miembros
de la dirección.
FASE DE RIESGO
Citas:
"Es una cuestión de concienciación e investigación... algunas [innovaciones] van y
vienen, pero otras se quedan, como la criptomoneda". -C-suite, sin ánimo de
lucro
Permaneció en
Reconocer
RELEVANCIA DEL
RIESGO 50%63% 77%
Porcentaje que ha dado una C- Junta
calificación de 6 o 7 en una suiteCAE
escala de 1 a 7
- Innovación disruptiva
www.theiia.org 39
LOS RIESGOS
SOCIAL
SOSTENIBILIDA
D CONOCIMIENTO Y CAPACIDAD
Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7
Definición:
Cada vez se reconoce más que las organizaciones tienen
una influencia significativa en las personas que emplean,
que trabajan en su cadena de valor, que consumen sus
productos
y servicios, y que viven en sus comunidades. Este riesgo
examina la capacidad de las organizaciones para
comprender y gestionar los impactos directos e
indirectos que sus acciones tienen sobre las personas y
las comunidades.
Análisis:
Entre los principales actores de la gestión de riesgos,
hay
una gran coincidencia en cuanto a la importancia del
riesgo y la percepción de la capacidad organizativa para
este riesgo emergente
que afecta a todas las industrias. Sin embargo, el
grupo CAE está significativamente por detrás de sus
grupos de interés en relación con el conocimiento
personal de este riesgo.
FASE DE RIESGO
Cita:
"La sostenibilidad va a ser un imperativo absoluto para preservar, mantener y hacer
crecer la riqueza. Esto es como cualquier otra inversión en los negocios. Hay que hacer
estas inversiones para proteger y mantener el valor que se está creando."
-Junta Directiva, Finanzas
Desarrollar - Nuevo en
OnRisk
www.theiia.org 40
LOS RIESGOS
INTERRUPCIÓ
N DE LA
CADENA DE
SUMINISTRO
CONOCIMIENTO Y CAPACIDAD
Definición: Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7
Análisis:
Existe una fuerte alineación entre los miembros de
los consejos de administración y los altos ejecutivos
con respecto a la relevancia del riesgo de la
interrupción de la cadena de suministro, con algo más
de la mitad de estas partes interesadas que lo ven
como un riesgo muy relevante para sus
organizaciones. El grupo de CAE se queda atrás en
conocimiento personal de este riesgo, cada vez más
importante en la economía mundial, lo que puede ser
resultado de que un menor número de CAE consideren
este riesgo como muy relevante para sus
organizaciones.
FASE DE RIESGO
Citas:
"El cierre de fronteras y cosas como el taponamiento del Canal de Suez nos
han hecho estar más en sintonía con los problemas de la cadena de
suministro".
-CAE, Finanzas
www.theiia.org 41
LOS RIESGOS
MEDIO
AMBIENTE
SOSTENIBILIDAD CONOCIMIENTO Y CAPACIDAD
Porcentaje que ha dado una calificación de 6 o 7 en una escala de 1 a 7
Definición:
Las organizaciones se enfrentan a una mayor presión
de las partes interesadas, incluidos los accionistas,
los reguladores, los clientes y los empleados, para
evaluar y revelar cómo están impactando en el medio
ambiente en el que operan. Este riesgo examina la
capacidad de las organizaciones para medir, evaluar
e informar con precisión sobre sus impactos
ambientales.
Análisis:
Aunque hay una alineación bastante fuerte en esta
área, relativamente pocos encuestados, particularmente
los altos ejecutivos, ven este riesgo rápidamente
emergente como uno que podría ser muy relevante para
sus organizaciones. El conocimiento personal en todos
los grupos también fue bastante bajo. Son menos los
miembros de los consejos de administración que creen
que sus organizaciones tienen una gran capacidad para
gestionar los riesgos de la sostenibilidad medioambiental.
FASE DE RIESGO
Citas:
"Existe el problema de la medición para cada organización. Hay una falta de
mediciones e informes estandarizados en esta área que crea confusión".
-CAE, Sanidad
Desarrollar - Nuevo en
OnRisk
www.theiia.org 42
www.theiia.org 43
Sobre el IIA
El Instituto de Auditores Internos (IIA) es el defensor, educador y proveedor de normas, orientación y Sede mundial
certificaciones más reconocido de la profesión de la auditoría interna. Fundado en 1941, el IIA sirve hoy a más Instituto de Auditores Internos 1035
de 200.000 miembros de más de 170 países y territorios. La sede mundial de la asociación se encuentra en Lake Greenwood Blvd., Suite 401 Lake
Mary, Florida, Estados Unidos. Para más información, visite www.globaliia.org. Mary, FL 32746, USA
Teléfono: +1-407-937-1111
Descargo de responsabilidad Fax: +1-407-937-1101
El IIA publica este documento con fines informativos y educativos. Este material no pretende dar respuestas www.globaliia.org
definitivas a circunstancias individuales específicas y, como tal, sólo pretende ser utilizado como guía. El IIA
recomienda buscar el asesoramiento de un experto independiente en relación directa con cualquier situación
específica. El IIA no acepta ninguna responsabilidad por el hecho de que alguien confíe exclusivamente en este
material.
Copyright
Copyright © 2021 The Institute of Internal Auditors, Inc. Todos los derechos reservados. Para obtener permiso
de reproducción, póngase en contacto con copyright@theiia.org.