The Board Imperative: ¿Cómo pueden los datos y la tecnología convertir el riesgo en confianza?

El uso eficaz de los datos y la tecnología para gestionar e informar sobre los riesgos de la empresa es una de las principales prioridades que diferencian a las empresas líderes.

A pesar de su elevada importancia, los esfuerzos de las organizaciones en materia de monitoreo y mitigación de riesgos no están a la altura de las expectativas de las juntas directivas. Esta es la cruda conclusión que se desprende de la nueva encuesta realizada por EY a más de 500 directores de las juntas directivas de todo el mundo.

¿A qué se debe esta brecha?

• Ocho de cada 10 juntas directivas creen que la mejora de la gestión de riesgos será fundamental para que su empresa pueda proteger y crear valor en los próximos cinco años.
• Al mismo tiempo, el 55% afirma que la gestión de riesgos tiene dificultades para seguir el ritmo de los cambios en la estrategia empresarial.
• Menos del 20% de las juntas directivas creen que sus organizaciones son muy eficaces en la respuesta a las catástrofes y en la planificación de contingencias o en su comprensión de cómo están interconectados los riesgos.

¿Cómo puede mejorar la gestión de riesgos de su organización? Aunque hay muchos ingredientes, la EY Global Board Risk Survey 2021 identifica dos impulsores clave de una gestión de riesgos eficaz: el grado de utilización de la tecnología para identificar y gestionar los riesgos y la amplitud y profundidad de los informes de riesgos a la junta directiva. De hecho, el 71% de los líderes en gestión de riesgos – aquellas organizaciones consideradas altamente eficaces en la gestión de riesgos según nuestro análisis de los datos de la encuesta – utilizan los datos y la tecnología de forma eficaz, en comparación con solo el 5% de los rezagados en gestión de riesgos, que podrían estar aún desarrollando su enfoque.

Sin embargo, a pesar de su importancia, menos de uno de cada cinco juntas directivas afirma que la gestión de riesgos de su organización es muy eficaz a la hora de aprovechar los datos y la tecnología o de presentar informes oportunos y basados en la información a la junta. Paralelamente, sólo el 49% de los CEO afirma que sus procesos de evaluación de riesgos son adecuadamente basados en datos.

Aunque no es competencia de la junta decidir qué tecnologías se utilizan para la gestión de riesgos y supervisar su uso, los directores pueden catalizar el cambio. Las juntas pueden y deben exigir que la dirección disponga de controles y procesos adecuados para supervisar y gestionar los riesgos. Dado que la tecnología desempeña un papel fundamental en este sentido, debería ser prioritario animar a las funciones de gestión de riesgos a aprovechar los nuevos datos y tecnologías disponibles.

Estos son los pasos que debe dar:

1. Concienciar a las juntas directivas sobre el papel que pueden desempeñar la tecnología y los datos para mejorar la gestión de riesgos
2. Asignar un presupuesto suficiente para invertir en tecnología y desarrollar o adquirir una fuerza laboral con los conocimientos necesarios para gestionarla
3. Responsabilizar a los directivos del uso de los datos y la tecnología en las actividades de gestión de riesgos
4. Exigir que la dirección tenga una estrategia para aprovechar los datos y la tecnología, con especial atención a las competencias
5. Trabajar con la dirección para garantizar que los informes sobre riesgos sean prospectivos y predictivos, cubran los riesgos emergentes y atípicos e incluyan datos internos y externos

Además, nuestra serie Board Imperative ofrece un conjunto más amplio de recomendaciones para ayudarle a replantear el futuro de su organización. Insta a las juntas directivas a pensar más allá de los desafíos actuales y a desarrollar una visión de futuro para entender cómo deben cambiar ellas y sus organizaciones.

¿Cómo se ve esto en la práctica? El modo en que los equipos de EY colaboraron con la empresa alimentaria estadounidense Kraft Heinz ofrece un buen ejemplo. Gracias a la automatización de la analítica de riesgos, la empresa pudo identificar que, en una unidad de negocio concreta, aproximadamente el 5% de las órdenes de compra se emitían con retraso. La comunicación de esta información a la junta directiva permitió a Kraft Heinz tomar medidas correctivas de forma proactiva antes de que el riesgo se materializara en un impacto negativo para el negocio. La analítica de riesgo automatizada garantiza la coherencia de los indicadores de riesgo que se supervisan, sin los cuales los valores atípicos como el del ejemplo anterior podrían pasar desapercibidos o se actuaría sobre ellos demasiado tarde.

La inteligencia artificial también puede ayudar a las empresas a modelar y comprender las conexiones entre los riesgos, por ejemplo, utilizándola para automatizar la investigación básica de riesgos; identificar las declaraciones de riesgo importantes en la documentación no estructurada; y realizar análisis casuales para identificar las interdependencias de los riesgos. Estos conocimientos se presentan en formatos fáciles de comprender a través de paneles de control a la alta dirección y a las juntas directivas. Y lo que es más importante, una mejor comprensión de las complejidades del riesgo ayuda a desarrollar medidas de mitigación más eficaces.

Por último, las plataformas de software también pueden utilizarse para tareas de gestión de riesgos, como la recopilación de datos y la supervisión continua. Al albergar los datos clave sobre riesgos y cumplimiento de la normativa procedentes de múltiples partes de la empresa en una única fuente, los datos pueden ser fácilmente accesibles para todos, incluidas las juntas directivas.

La tecnología es una prioridad, pero sigue habiendo obstáculos

Resulta alentador que el 69% de las empresas tenga previsto aumentar su nivel de inversión en datos y tecnología para la gestión de riesgos en los próximos 12 meses. Y, cuando se les presenta una serie de iniciativas que mejoran la resiliencia de la empresa, las juntas directivas identifican el uso de datos y tecnología como su principal prioridad.

A medida que aumentan la inversión en tecnología, las empresas tendrán que hacer frente a una serie de desafíos, que dependen de su nivel de madurez. Para las que se encuentran al principio del camino, nuestra investigación muestra que el principal obstáculo es la falta de las habilidades necesarias para utilizar los datos, la tecnología y la analítica de forma eficaz. Los equipos de gestión de riesgos deben incluir científicos de datos y especialistas para determinar qué tecnología se necesita, implementarla de forma eficaz y garantizar que se utilice al máximo. En función de la capacidad de contratación interna, las organizaciones pueden querer subcontratar este proceso a empresas con experiencia en el área.

Pero la contratación de las competencias adecuadas es sólo la mitad de la batalla. Las empresas también tendrán que mejorar la capacitación de los puestos no técnicos para ayudar a estos trabajadores a aprovechar las herramientas y los datos emergentes. También tendrán que pensar detenidamente en cómo los seres humanos y las tecnologías, como la inteligencia artificial, pueden trabajar juntos de forma eficaz.

Para las empresas más maduras, que hoy en día ya aprovechan eficazmente los datos y la tecnología, uno de los principales desafíos de nuestra investigación es la integración de múltiples conjuntos de datos procedentes de fuentes dispares, de modo que la analítica de riesgos y los informes formen una imagen coherente y completa.

Previsión y atención a las nuevas amenazas: cómo debe mejorar la información sobre riesgos

De hecho, la información sobre riesgos a las juntas directivas – identificada por nuestro análisis de más de 20 factores como el segundo determinante más importante de la gestión eficaz de los riesgos – también tiene mucho margen de mejora. Menos del 20% de las juntas directivas están muy seguras de la información sobre riesgos en una serie de áreas específicas.

Según nuestra encuesta, las principales prioridades de las juntas directivas son que los informes:

• Sean prospectivos y predictivos
• Cubran los riesgos emergentes y atípicos
• Incluyan datos externos e internos
• Cubran las iniciativas y procesos de mitigación de riesgos
• Incluyan información sobre la competencia y referencias de otros países

Alejandra Martínez S., member of Mexico’s Board of Directors Leadership Network y consejera de varias entidades del sector financiero, ofrece un ejemplo concreto. "Los informes sobre riesgos son muy estáticos e históricos y no están orientados al futuro, por lo que he pedido a la dirección que se comprometa con la empresa en general para tratar de averiguar los nuevos riesgos potenciales que puedan surgir y luego informar sobre ellos", afirma. "Una de las primeras conclusiones es que los informes ESG se centran únicamente en la gobernanza. Así que están evaluando cómo pueden mejorar la identificación, la información y la mitigación de los riesgos medioambientales y sociales".

Sin embargo, las juntas deben resistirse a la tentación de pedir más y más información. Después de todo, si no se ordena y prioriza adecuadamente, la abundancia de información puede a veces enturbiar, en lugar de aclarar, el panorama. Como dice Charlie Bancroft, miembro de la junta directiva de GSK: "Cuando se tiene tanta información, ¿se pueden ver realmente los árboles al ver la totalidad del bosque?". Por lo tanto, la junta directiva deben colaborar estrechamente con quienes informan de los riesgos para determinar qué deben incluir y qué no.

Preguntas para que la junta directiva considere

La junta directiva tiene un papel fundamental a la hora de garantizar que los datos y la tecnología se empleen para facilitar la gestión de riesgos. He aquí algunas preguntas que deben plantearse:

1. ¿Comprende su junta directiva el papel que la tecnología y los datos pueden desempeñar en la mejora de la gestión de riesgos? Como cubrió en nuestro primer artículo de esta serie, esto puede lograrse mediante la formación de expertos, el entrenamiento interno y la consideración de la necesidad de esta experiencia cuando se cubran futuras vacantes en la junta. "Hay que asegurarse de que la junta directiva cuente con una o dos personas que sepan de tecnología", confirma Brendan McDonagh, vicepresidente de AIB. "No tienen que ser necesariamente ex ejecutivos de una gran empresa tecnológica. Sólo tienen que tener una sólida experiencia en tecnología y en operaciones. Porque en la junta directiva lo que se busca es que tengan una visión de conjunto".

2. ¿Ha asignado recursos suficientes para la tecnología de gestión de riesgos? Es probable que los gastos importantes requieran la aprobación de la junta directiva. Por lo tanto, las juntas directivas deben asignar un presupuesto suficiente para las inversiones en tecnología y los conjuntos de habilidades necesarios.

3. ¿La junta directiva rinde cuentas sobre cómo utilizan los datos y la tecnología para la gestión de riesgos? "Las juntas definitivamente necesitan comprar nueva tecnología y cuestionar si se está utilizando, pero es más importante saber cómo las empresas están utilizando estas tecnologías para obtener información sobre el riesgo", explica Craig Jackson, director de la junta y Audit Committee Chair, Paloma Rheem Global. “Ya sea que se trate de aprendizaje automatizado o inteligencia artificial, están surgiendo algunas herramientas poderosas que se pueden utilizar para la gestión de riesgos. Pero, ¿se están utilizando realmente para la gestión de riesgos en este momento? Depende de la junta averiguarlo y asegurarse de que lo sean ".

4. ¿Existe una estrategia para superar los obstáculos previstos? La aplicación de un enfoque de la gestión de riesgos basado en los datos y la tecnología plantea algunos desafíos importantes. Las juntas directivas deben asegurarse de que la dirección dispone de una estrategia para superar los obstáculos, con especial atención a las competencias. Y al igual que con cualquier estrategia de transformación impulsada por los datos y la tecnología, las consideraciones de ciberseguridad y privacidad de los datos deben ser integrales desde el principio, para que no se introduzcan nuevos riesgos como resultado.

5. ¿Ha definido claramente la junta lo que se requiere de la dirección en términos de información sobre riesgos? Las juntas directivas deben trabajar con la dirección para garantizar que los informes sobre riesgos sean prospectivos y predictivos, que cubran los riesgos emergentes y atípicos y que incluyan datos internos y externos.

Las juntas directivas pueden pensar que pueden dejar que la dirección desarrolle una estrategia para emplear la tecnología con el fin de supervisar y mitigar el riesgo; sin embargo, tienen que supervisar que se utiliza todo su potencial. Esto puede requerir que los propios consejos avancen en la curva de aprendizaje en términos de comprensión de todos los beneficios que la tecnología puede ofrecer.