Las amenazas que vienen: siete grandes riesgos para 2017

En un contexto de cambio e incertidumbre, es complejo prever el futuro. No obstante, los expertos de área de Risk Consulting de KPMG identifican una serie de riesgos estratégicos, operacionales y externos que los máximos responsables de riesgos de las compañías (Chief Risk Officer o CRO por sus siglas en inglés) necesitan vigilar de cerca este año, puesto que la supervivencia de las empresas está en juego.   

"Los CRO se enfrentan hoy en día a un número sin precedentes de riesgos nuevos y emergentes que pueden poner en peligro la estrategia corporativa si no se detectan rápidamente y se gestionan debidamente", comenta Pau Bernad, socio responsable de  de Risk Consulting en KPMG en España. Por eso, según señala, "el responsable de Riesgos debe dirigir un programa de gestión de riesgos integrado en toda la organización que pueda convertir las amenazas potencialmente perjudiciales en oportunidades para lograr más innovación, menores costes, mejora del cumplimiento y ventajas competitivas". 

Estas son las siete áreas de riesgos que se deben prever en 2017: 

1. Riesgo tecnológico

El aumento del riesgo tecnológico ha provocado que muchas organizaciones hayan creado funciones de gestión del riesgo de tecnologías de la información (ITRM, por sus siglas en inglés).  Las funciones ITRM gestionan y vigilan los riesgos tecnológicos de modo que las empresas puedan anticipar y evitar problemas, en lugar de tener que resolverlos. Los que mantienen una función ITRM y establecen un vínculo fuerte con ella pueden gestionar de forma proactiva los riesgos tecnológicos, en lugar de tener que reaccionar como consecuencia de nuevas normativas, nuevas estrategias de negocio y otros cambios rápidos en el entono. Para ello, es fundamental también saber si se está bien preparado ante posibles ciberataques.

2. Riesgo de terceros

Las organizaciones actuales cuentan con miles, o incluso decenas de miles, de intermediarios externos. Dado que ha aumentado la participación de terceros en la interacción de las empresas con los gobiernos y se amplían las cadenas de suministro, es de vital importancia que las empresas vigilen a esos terceros e identifiquen cuáles pueden suponer un peligro. Es fundamental investigar e identificar a aquellos que requieren un examen más exhaustivo no solo durante el proceso de incorporación, sino de forma constante.  En este proceso, la tecnología y el uso eficaz de los análisis de datos (Data&Analytics) tienen que facilitar el proceso.

3. Fraude y conducta irregular

El fraude es una lacra global que daña la reputación de las organizaciones, perjudica la competitividad y el desarrollo de la sociedad, y supone pérdidas económicas que ascienden a miles de millones de euros cada año. Las empresas deberían seguir vigilando las actividades de empleados, proveedores y terceros para, siempre que sea posible, evitar el fraude financiero o la conducta irregular de los empleados que pueden causar pérdidas económicas y daños reputacionales. La debilidad de los controles internos es, según el informe Perfil global del defraudador, uno de los factores que posibilitaron el 61% de los casos de fraude analizados a nivel mundial. Fernando Cuñado, socio responsable de KPMG Forensic en España, "la globalización de las actividades y la mayor regulación son solo algunos de los factores por los que los controles anti-fraude son hoy más importantes que nunca en el mundo empresarial".

4. Preparados para gestionar crisis

Es importante que las empresas presten mucha atención a la planificación de posibles escenarios críticos: celebrar talleres y elaborar planes documentados para prepararse y responder ante potenciales intrusiones cibernéticas, investigaciones de reguladores, retos en cuanto a cumplimiento normativo, litigios o violencia en el lugar de trabajo. Puesto que una crisis estalla sin avisar y exige una respuesta rápida, se deben tomar medidas para garantizar que existen servicios de guardia o contingencia. Se debe contratar y preparar bien con antelación a abogados, profesionales de contabilidad forense o de sistemas y tecnologías para que puedan actuar en cualquier momento.

5. Seguridad de los datos

Durante algún tiempo se ha hablado de la reducción de los perímetros de seguridad de las empresas, pero ahora se reconoce plenamente que ya no existen. Los datos y los procesos críticos atraviesan muchas fronteras organizativas que incluyen el autoservicio de los clientes, la contratación estratégica, la integración de la cadena de suministro, las asociaciones empresariales y la mejora de la tecnología. Ser capaces de comprender el riesgo, no solo en la infraestructura tecnológica o en los datos, sino también en los procesos de negocio, resulta imprescindible. Como las empresas están más conectadas que nunca con otras organizaciones, los CRO deben vigilar esas conexiones para comprender mejor cómo las entidades externas de confianza utilizan y protegen la información de la empresa. También es importante que los CRO aporten a sus socios empresariales de confianza más información sobre sus propios entornos de control y seguridad.

6. Cumplimiento

Las normativas, que son cada vez más numerosas, afectan a todos los ámbitos de las operaciones de una empresa, y son aplicadas por organismos en todo el mundo. En este entorno, las empresas deben anticiparse a la nueva regulación y contar con mecanismos para hacer un inventario actualizado de normativas globales; emplear metodologías que ayuden a priorizar las obligaciones regulatorias y a gestionar el cambio regulatorio; evaluar la eficacia del programa de cumplimiento en la supervisión, comprobar e informar al respecto; y garantizar que tienen una visión del riesgo regulatorio en toda la empresa y son capaces de colaborar internamente para presentar un informe al consejo de administración.

7. Mejora de los informes y la agregación de datos sobre riesgos

En un momento en el que los requisitos de regulación son cada vez más estrictos y aumenta la demanda de agregación de datos sobre riesgos y de mejora de la calidad de los datos, resulta esencial que los CRO se concentren en mejorar los informes sobre riesgos. Esa mejora implica perfeccionar el contenido de los informes y automatizar la recopilación de información en tiempo real. La capacidad de identificar la exposición a riesgos a lo largo de toda la organización y en diversas zonas geográficas, así como la capacidad de comprender su riesgo de concentración y de contraparte desde una perspectiva empresarial, es indispensable.