LA GESTIÓN DE RIESGOS
EN LATINOAMÉRICA
EVOLUCIÓN, TENDENCIAS Y OPORTUNIDADES
PREPARACIÓN ANTE CRISIS, CONTINUIDAD DEL NEGOCIO Y RIESGO CIBERNÉTICO
2o BENCHMARK EN GESTIÓN DE RIESGOS EN LATINOAMÉRICA Octubre 2016
ConteNIDO
01 Prefacio
02 Resumen ejecutivo
03 Información demográfica
05 Gestión de Crisis
07 Riesgo Cibernético
08 Recomendaciones
2o BENCHMARK EN GESTIÓN DE RIESGOS EN LATINOAMÉRICA Octubre 2016
PREFACIO
El concepto tradicional de la gestión de riesgos empresarial ha trascendido para convertirse
en mucho más que un elemento importante de los esquemas de buen gobierno corporativo y
control interno. La gestión de riesgos ha evolucionado para convertirse en un elemento esencial
de competitividad, sostenibilidad y resiliencia empresarial, lo que a su vez resulta en mayores
expectativas por parte de las organizaciones modernas, sus directores y alta gerencia. En este
sentido, las juntas directivas o directorios han empezado a elevarla a un nivel de categoría
estratégica, con lo cual esperan recibir una inyección de dinamismo, flexibilidad y capacidad de
adaptación al cambio a través de la interacción de la gestión de riesgos con la planeación estratégica.
Por otro lado, los gestores de riesgo de la actualidad se enfrentan a un mundo más complejo, más
interconectado y con flujos de información cuantiosos que representan retos importantes para
hacer que la gestión de riesgos se mantenga al día y genere valor al interior de las organizaciones.
Lo anterior lleva a los interlocutores de la gestión de riesgos a cuestionarse frente a la manera en Julie C. Pemberton
cómo la gestión de riesgos aporta a la capacidad de su organización de absorber choques e impactos President of RIMS
profundos, sin perder la capacidad de cumplir su misión y de reinventar dinámicamente los 2016
modelos de negocio y estrategias a medida que las circunstancias cambian.
Las juntas directivas o directorios y la alta gerencia de las organizaciones son cada vez más
exigentes frente al valor que debe generar la gestión de riesgos para las organizaciones, y no se
centran solamente en mantener los estándares de cumplimiento de normatividad y conservación
o reducción de los niveles de exposición frente a riesgos estratégicos, financieros, operacionales
y puros. Por el contrario, hoy en día amplía el alcance de la gestión de riesgos para utilizarla en
el proceso de toma de decisiones de acuerdo con un apetito de riesgo definido. Elementos como
la Gestión de Continuidad de Negocio, la Gestión de Crisis y la Gestión del Riesgo Cibernético
son fundamentales en la gestión de riesgos, sin los cuales sería difícil proteger la reputación, la
rentabilidad, las personas, los activos, y su misma la presencia en el mercado.
Por segundo año consecutivo, Marsh Risk Consulting, empresa del grupo Marsh & McLennan
Companies, en asociación con RIMS, The Risk and Insurance Management Society, realiza este Rodrigo Fajardo
estudio en gestión de riesgos con el objetivo de medir la evolución de la gestión de riesgos en el MRC Leader Latin
entorno empresarial latinoamericano, que permita a las diferentes organizaciones de la región America
comparar su nivel de desarrollo con el de empresas de diferentes países y sectores, y con el de
otras empresas de su mismo rubro. Este estudio busca compartir información valiosa para los
interlocutores de la gestión de riesgos dentro de las empresas en la región, tales como: integrantes
de Juntas Directivas, Presidentes, Vicepresidentes, Directores Financieros (CFOs), Chief Risk
Officers (CRO), Gerentes de Riesgos, Contralorías, y demás colaboradores que tienen dentro de sus
responsabilidades liderar la gestión de riesgos y que están comprometidos con la mejora continua.
Adicionalmente, este estudio aporta luces sobre los retos que enfrenta la gestión de riesgos en
las organizaciones latinoamericanas y las posibles brechas sobre las que debería enfocarse para
acercarse a las mejores prácticas.
RESUMEN EJECUTIVO
A continuación se presenta un revisión de riesgos, favoreciendo Riesgos (49% en 2016 vs. 31% en
resumen ejecutivo de los resultados un monitoreo más trazable y 2015.
del segundo benchmarking en medible. Así como ha habido un desarrollo
gestión de riesgos en Latinoamérica, positivo en ciertos temas, también
los cuales están basados en las • Una mayor interacción entre la se encuentran importantes retos
respuestas a 330 encuestas gestión de riesgos y la planeación para mejorar. Algunos de estos
realizadas a través de un cuestionario y gestión estratégica, dado que retos son:
en línea entre mayo y julio de 2016, la sumatoria de las dos primeras
que contó con la participación de calificaciones es mayor este año • Fortalecer el desarrollo y
más de 10 países de la región y 10 que el año anterior (64% para efectividad del paso inicial del
sectores económicos. 2016 vs. 59% en el 2015). Además, proceso de gestión de riesgos,
el 55% de las organizaciones “Definición de Contexto”,
cuenta con un mapa de riesgos donde se requiere robustecer la
EVOLUCIÓN estratégicos, cifra que aumenta preparación y el entendimiento
Dentro del estudio se ha podido versus su medición del año del contexto externo e interno
evidenciar una tendencia positiva de pasado (51%), lo cual puede estar con todos sus elementos, además
factores que apoyan la sostenibilidad vinculado a la relevancia que de hacer especial énfasis en cómo
y evolución de la gestión de riesgos se le ha otorgado a la relación luego éste debe ser comunicado
en la región. Algunos de estos de la gestión de riesgos como a las partes interesadas para
elementos se evidencian a través de: elemento de competitividad y ser utilizado en la valoración de
sostenibilidad, dos conceptos riesgos. Es de particular interés
• Un mayor número de primordialmente estratégicos. el estudio de tendencias y de
organizaciones han iniciado riesgos emergentes como parte del
el desarrollo de la gestión de • Un robustecimiento de las establecimiento de contexto.
riesgos empresarial, lo que se estructuras organizacionales en
muestra en la disminución de las • Un fortalecimiento de la
gestión de riesgos a través de una
proporciones en la categoría de comunicación e interiorización
mayor adopción de la figura de
“No desarrollado” y un aumento de los roles y responsabilidades
Líderes Funcionales en Gestión de
en las categorías de mayor en gestión de riesgos, ya que
desarrollo e implementación.
2 Marsh
2o BENCHMARK EN GESTIÓN DE RIESGOS EN LATINOAMÉRICA Octubre 2016
la categoría “En Desacuerdo” decisiones en los diferentes niveles y definida por la organización, así
aumentó de 11% a 20%. Lo áreas de la organización. como la toma de decisiones a este
anterior tiene consecuencias en nivel.
la efectividad de los mecanismos En línea con lo anterior, los
de comunicación, su frecuencia conceptos de capacidad de retención
y forma de llegar a las audiencias y de tolerancia al riesgo parecen CULTURA DE GESTIÓN DE
meta, y el rol del liderazgo frente estar incipientes en Latinoamérica: RIESGOS
a la asimilación de la gestión de únicamente una de cada cinco Las organizaciones latinoamericanas
riesgos como parte del día a día. empresas ha realizado ejercicios aún se encuentran de manera
para su estimación, mientras que mayoritaria en una etapa de
dos de cada cinco han incursionado desarrollo, planeación o formulación
DEFINICIÓN DE APETITO (parcialmente) estos con estos de la cultura de riesgos (con
DE RIESGOS conceptos. un 42% de la muestra en esa
Esta investigación encontró que Adicionalmente, para las empresas categoría). En el nivel más alto de
son pocas las organizaciones que donde sí se ha definido y/o estimado evolución de la cultura, donde ésta
han evolucionado en términos el apetito de riesgo, las áreas que ha sido desarrollada, divulgada,
del entendimiento completo del participan en su definición están interiorizada y arraigada en todos
concepto de apetito de riesgos mayoritariamente compuestas por los niveles de la organización,
y que adicionalmente cuentan la alta dirección, en casi un tercio convirtiéndose en parte del día a
con claridad sobre los métodos de la muestra, al cual le sigue la día, sólo se encuentra un 16% de la
para su estimación y utilidad. Lo participación del área de riesgos en muestra; le sigue casi un tercio de
anterior se debe a que la mayoría de un 27% y finanzas con un 24%. La la muestra, donde la cultura ya ha
organizaciones, representadas por participación del área de estrategia sido desarrollada y comunicada,
un 46% de la muestra, se encuentran aún no es importante en la definición pero no se ha logrado una real
en este estado de madurez frente del apetito de riesgos, lo cual indica interiorización de la misma. Es así
al concepto, el cual aún no ha sido una desconexión frente al concepto como se identifican importantes
ampliado para su utilización en el y/o frente a las implicaciones de brechas por cubrir frente al
proceso de toma de decisiones. Sólo contar con un apetito de riesgos desarrollo de cultura en gestión de
para un 12% de las organizaciones determinado para la toma de riesgos, la cual se encuentra en un
se han definido políticas para decisiones estratégicas. Lo anterior estado incipiente.
comunicar y utilizar el apetito de se debe a que el apetito de riesgos
riesgos estimado para la toma de debe estar alineado con la estrategia
4 Marsh
2o BENCHMARK EN GESTIÓN DE RIESGOS EN LATINOAMÉRICA Octubre 2016
desarrollado este análisis, un ésta ya ha sido diseñado, pero no de un 13% en donde estos no son
12% lo ha desarrollado sin una puesto en marcha, finalmente gestionados.
posterior revisión, un 22% lo también existe un número
revisa cada año y 12% lo revisa significativo de organizaciones • Con respecto a los controles de
con una periodicidad mayor a que ya cuenta con su programa Ciberseguridad, la mayoría de las
un año. Se puede llegar a inferir de ciberseguridad en operación empresas latinoamericanas los
que las actualizaciones del BIA (27%). Sin embargo, en cerca de han calificado y clasificado (39%).
deben realizarse con mayor una de cada cinco organizaciones, Sin embargo, existe un 27% de
frecuencia para mantener al día este programa no existe y el real casos en los que los controles no
las capacidades de respuesta ante reto es ponerse al día frente a se califican, seguidos de un 13%
interrupciones de negocio. las amenazas de un mundo en en donde no se cuenta con el paso
constante actividad cibernética. inicial de identificarlos. Solamente
• La gestión de Continuidad de un 18% cuenta con un programa
la Cadena de Suministro es aún • Frente a políticas de de fortalecimiento de los controles
incipiente en la región: 53% de ciberseguridad y en términos basado en su calificación y
las empresas no cuentan con un organizacionales, las empresas priorización.
Plan de Continuidad de la Cadena latinoamericanas han establecido
de Suministro. En un cuarto de la políticas que se encuentran en • Dos de cada cinco organizaciones
muestra, este plan se encuentra en operación en un 35% de los casos, se encuentran “Sensibilizadas”
desarrollo, en un 11% se encuentra al que le sigue un 31% de casos frente a la gestión de ataques
planteado y no puesto en marcha en los que se encuentran en cibernéticos, el cual es un
y sólo en un 9% se encuentra en desarrollo y un 16% donde ya han paso inicial frente al estado de
operación completa. sido diseñadas, pero no han sido preparación ideal. A este le sigue
puestas en marcha aún. un 21% en donde se encuentran
RIESGO CIBERNÉTICO entrenadas con respecto a este
• La mayoría de las organizaciones tema. Solamente un 23% se
• Existe un grado de desarrollo latinoamericanas gestionan encuentra realmente preparada,
interesante de la ciberseguridad sus incidentes de seguridad lo que involucra haber entrenado
en Latinoamérica, muy en línea cibernética de acuerdo con y realizado pruebas para
con la creciente relevancia de procedimientos formalizados medir efectivamente el grado
amenazas cibernéticas a nivel (47%). Sin embargo, existe una de preparación ante ataques
mundial: La mayoría de empresas proporción significativa del cibernéticos.
de la región se encuentran 39% de los casos, en donde estos
desarrollando su programa de incidentes se gestionan sin seguir
ciberseguridad (32%); en un 12% procedimientos formales, seguido
Uruguay 2%
República Dominicana 8%
8% Argentina
Puerto Rico 3%
10% Brasil
Perú 16%
5% Chile
Panamá 2%
36% Colombia
Otro 2%
México 9%
6 Marsh
2o BENCHMARK EN GESTIÓN DE RIESGOS EN LATINOAMÉRICA Octubre 2016
Multinacional / Local
Multinacional de origen
extranjero o sucursal de 20%
empresa del exterior. Empresa
de origen extranjero con
Local / Nacional: Empresa
presencia en el país. 50% de origen nacional, sólo con
presencia local
Multinacional de origen
nacional (Outbound). 48%
Empresa de origen nacional,
con presencia en otros países
Totalmente 31%
31%
implementado
Poco implementado 24%
27%
Desarrollado y 6% 2015
7%
no implementado 2016
Poco desarrollado 24%
27%
No desarrollado 16%
8%
0% 5% 10% 15% 20% 25% 30% 35%
La mayoría de las organizaciones y un aumento en las categorías de en un nivel de alto desarrollo frente a
participantes cuentan con un mayor desarrollo e implementación, la gestión de riesgos.
Sistema de Gestión de Riesgos lo que podría significar que cada vez
La mayoría de las organizaciones más empresas han dado inicio al
participantes cuentan con un desarrollo de la gestión de riesgos
Sistema de Gestión de Riesgos empresarial. Al analizar este aspecto
totalmente implementado, por sector económico se observa una
manteniendo las proporciones de clara tendencia de las instituciones
la medición anterior (2015). Sin financieras, entidades públicas y sin
embargo, se observa una tendencia a ánimo de lucro, energía y servicios
la disminución de las proporciones público, comunicaciones, medios y
en la categoría de “No desarrollado” tecnología y ciencias de la vida a estar
8 Marsh
2o BENCHMARK EN GESTIÓN DE RIESGOS EN LATINOAMÉRICA Octubre 2016
Totalmente
implementado
Total general
Ventas al por Mayor / Menor
Transportes
Servicios Profesionales
Poco implementado Otros Servicios
Otros
Minería, Metales y Minerales
Instituciones Financieras
Instituciones de Salud
Industria Química
Industria Manufacturera
Desarrollado y no
Forestal y Productos de Madera
implementado
Entidades Públicas y sin ánimo de lucro
Energía y Servicios Públicos (Generación,
transmisión y comercialización)
Energía (Oil & Gas / Hidrocarburos)
Educación
Construcción e Infraestructura
Comunicaciones, Medios y Tecnología
Poco desarrollado
Ciencias de la vida (Laboratorios Farmacéuticos)
Alimentos y Bebidas
Agricultura y Pesca
No desarrollado
0% 50% 100%
0% 50% 100%
10 Marsh
1 de 4 empresas ha adoptado
indicadores de riesgos clave 2o BENCHMARK EN GESTIÓN DE RIESGOS EN LATINOAMÉRICA Octubre 2016
Uruguay
Sí República Dominicana
Puerto Rico
Perú
Panamá
Otro
México
Colombia
Chile
No
Brasil
Argentina
¿Se cuenta con indicadores de Gestión de Riesgos Key Risk Indicators - (KRI)? - Por Sector
12 Marsh
2o BENCHMARK EN GESTIÓN DE RIESGOS EN LATINOAMÉRICA Octubre 2016
¿Se cuenta con indicadores de Gestión de Riesgos Key Risk Indicators - (KRI)? - por País
Sí Uruguay
República Dominicana
Puerto Rico
Perú
Panamá
Parcialmente Otro
México
Colombia
Chile
Brasil
Argentina
No
0% 50% 100%
(31%) que ha llegado a una financieras, forestal y productos de países (principalmente Venezuela
implementación parcial. Frente madera, y para ciencias de la vida y Bolivia dentro de “otros”), se
a la medición del año anterior, se (laboratorios farmacéuticos), los encuentran comparativamente en
muestra una tendencia positiva, cuales sí cuentan con indicadores un nivel incipiente de desarrollo
al encontrar proporciones que se como instrumento de apoyo al de indicadores clave de riesgos
han orientado hacia un monitoreo monitoreo de gestión de riesgos. Los (KRI). Los demás países muestran
de riesgos más tangible y robusto, sectores menos desarrollados en este una distribución homogénea en
o al menos sustentable a través de aspecto son servicios profesionales, las 3 categorías, donde se puede
indicadores. la industria manufacturera, el deducir que si bien aún tienen
sector educativo, la industria proporciones en las que no se han
Al analizar la existencia de química, la agricultura o pesca y desarrollado indicadores, ya se ha
indicadores clave de riesgos (KRI) las entidades públicas o sin ánimo iniciado con su implementación, o en
por sector, se marca una clara de lucro. Frente al mismo análisis, algunos casos ya se cuenta con una
diferencia para las instituciones Uruguay, Panamá, Chile y otros implementación total.
0%
1 2 3 4 5
Análisis
Evaluación
2015 2016
35% 29% 29% 31%
30% 27%
25% 20%
20% 16% 14%
15%
14%
10% 10%
10%
5%
0%
1 2 3 4 5
Tratamiento
2015 2016
35% 32% 30%
30% 26% 28%
25% 20%
20% 16% 15%
12% 11% 11%
15%
10%
0%
1 2 3 4 5
Revisión y Monitoreo
2015 2016
30% 28% 28%
25% 23% 25%
20% 20%
20%
15% 16%
15% 13% 12%
10%
5%
0%
1 2 3 4 5
Comunicación y Consulta
2015 2016
30% 27% 28% 26%
25% 22% 20% 20% 21%
20% 16%
15%
10% 9%
10%
5%
0%
1 2 3 4 5
14 Marsh
2o BENCHMARK EN GESTIÓN DE RIESGOS EN LATINOAMÉRICA Octubre 2016
35% 33%
30%
25%
25%
20% 19%
15%
11% 12%
10%
5%
0%
1 2 3 4 5
Totalmente en
4%
Desacuerdo
7%
10%
En Desacuerdo
11%
Ni de acuerdo ni 22%
en desacuerdo 23%
47%
De Acuerdo
38%
Totalmente de 17%
Acuerdo 21%
16 Marsh
2o BENCHMARK EN GESTIÓN DE RIESGOS EN LATINOAMÉRICA Octubre 2016
Las responsabilidades en Gestión de Riesgos han sido comunicadas, interiorizadas y hacen parte
del día a día de los gerentes / directivos y colegas en toda la organización, en donde se tiene
claridad sobre qué es un riesgo aceptable e inaceptable.
2%
Totalmente en
9%
Desacuerdo
En Desacuerdo 20%
11%
24%
Ni de acuerdo ni
23%
en desacuerdo
42%
De Acuerdo
34%
Totalmente de 11%
Acuerdo 23%
Un concepto que es cada vez Como especial reflexión, muchas Otro factor que incide sobre la
más reiterativo y que representa veces una exitosa interacción entre adopción de la gestión de riesgos,
un cambio significativo en el estas dos áreas incide positivamente de su nivel de efectividad y de la
posicionamiento de la gestión sobre la percepción de generación de percepción que se tiene sobre
de riesgos en la organización, valor de la gestión de riesgos. En este ésta como elemento que genera
es la interacción entre ésta área sentido, el estudio ha encontrado que valor, es el grado en el que las
y la planeación estratégica. las organizaciones latinoamericanas responsabilidades en gestión de
Al ser aplicados de manera han aumentado la interacción entre riesgos hayan sido comunicadas,
complementaria, estos dos procesos el área de riesgos y su planeación interiorizadas por todos los
que se retroalimentan mutuamente estratégica, dado que la sumatoria colaboradores, quienes asimilen
aportan una visión más integral de las dos primeras calificaciones la gestión de riesgos como parte
sobre la planeación estratégica, lo es mayor este año que para el año del día a día. Frente a la medición
que permite hallar sinergias, realizar anterior (64% para 2016 vs. 59% en del año anterior, aunque la
trabajo colaborativo y en general el 2015). muestra participante refleja una
elevar el nivel de la gestión de riesgos. disminución en la categoría más alta
(“Totalmente de acuerdo”) frente a
Se cuenta con líderes de Gestión de la asimilación de responsabilidades,
Riesgos por Áreas o Procesos. se observa una proporción similar
de la muestra en las dos categorías
superiores en la evaluación de los
49% 51%
dos años (2015: 57% y 2016: 53%).
2016 Sin embargo, la categoría “En
25% 43%
Desacuerdo” aumentó de 11% a
No 20%, lo que refleja una necesidad
de mecanismos más efectivos para
2015 Sí transmitir las responsabilidades,
NS /NR cambiar la actitud de la organización
y sus colaboradores frente al
31% riesgo y volverlo parte de la rutina
organizacional.
Casi la mitad de las empresas cuenta • Facilitar el cumplimiento de la • Actuar como un ente
con líderes funcionales en gestión política y manual de la gestión de transformador de la cultura de
de riesgos, mostrando una tendencia riesgos en su área o proceso. gestión de riesgos en su área y
positiva frente al año anterior. Este reportar sobre los avances al área
mecanismo de robustecimiento de • Retroalimentar al área de gestión de gestión de riesgos
las estructuras organizacionales de Riesgos acerca del desarrollo de
de gestión de riesgos permite una la gestión de riesgos en su área. • Identificar oportunidades de
mayor delegación de tareas y un aplicación de la gestión de riesgos.
segundo nivel de personas que • Apoyar en los talleres de Es decir, apoyar en la aplicación de
facilitan y coordinan la gestión, y identificación, valoración, la metodología a proyectos nuevos,
comunican y reportan al área de tratamiento de riesgos, procesos que han cambiado,
gestión de riesgos los avances, que capacitaciones, difusiones, etc. nuevas líneas de productos o
luego son procesados, consolidados servicios, oportunidades de
y reportados a alta gerencia. • Monitorear y gestionar los fusiones o adquisiciones.
Usualmente, y como prácticas mapas de riesgos y controles del
usuales de mercado, se observa que área, incluyendo sus procesos y • Cuestionar los planes de
estos líderes están a cargo de: proyectos. tratamiento y abogar por la mejora
continua, encontrar sinergias y
actuar sobre lecciones aprendidas.
66 No
33 Sí
1 NS /NR
41 No
57 Sí
1 NS /NR
18 Marsh
2o BENCHMARK EN GESTIÓN DE RIESGOS EN LATINOAMÉRICA Octubre 2016
Una cautiva es un vehículo de empresas buscan eficiencias en estos cautiva, el 57% estarían dispuestos
seguros o reaseguros creado por métodos de transferencia alternativa a analizar el mecanismo, en
una organización para manejar, de riesgos, cuando ya se cuenta con contraposición un poco más de dos
financiar, retener y asegurar sus un cierto nivel de madurez frente a quintas partes de la muestra no están
riesgos. Usualmente, el contar los conceptos de inversión en gestión interesados. Lo anterior muestra que
con una cautiva o contemplar su de riesgos, apetito, tolerancia y si bien no hay un comportamiento
estructuración, implica un cierto exposición a riesgos. completamente abierto a analizar
nivel de madurez frente a la gestión este mecanismo de transferencia
del tratamiento del riesgo, ya que En esta medición se observa alternativa de riesgos, las cifras
requiere que la organización tenga que la mayoría de empresas muestran una actitud positiva a
claros sus costos de transferir, latinoamericanas que participaron incursionar en el campo de cautivas,
retener, administrar y controlar en el estudio no cuentan con una o al menos a analizar otras formas de
los riesgos, así como también su cautiva como instrumento de transferir, financiar o tratar el riesgo,
historia siniestral para ajustar y retención de riesgos, mientras que diferentes a las tradicionalmente
modelar de manera cuantitativa un tercio de la muestra sí cuenta con utilizadas.
el comportamiento del impacto este mecanismo. Adicionalmente, de
y probabilidad de sus riesgos. Las las empresas que no cuentan con una
En línea con lo anterior, al medir en 18% de las compañías participantes riesgos en un 27%, y finanzas con
qué nivel de madurez se encuentran no conocen el concepto, y por tanto un 24%. Llama la atención que el
las organizaciones latinoamericanas se encuentran en un nivel en donde área de estrategia no toma un rol
con respecto al concepto de apetito la gestión de riesgos no está siendo predominante en la definición del
de riesgo, el estudio encontró que aprovechada al máximo como apetito de riesgos, lo cual indica
casi la mitad de las organizaciones insumo para la toma de decisiones. una desconexión frente al concepto
participantes conoce el concepto, y/o frente a las implicaciones de
pero no tiene claros los métodos de Para las empresas donde sí se ha contar con un apetito de riesgos
estimación y su respectiva utilidad. definido y/o estimado el apetito de determinado. Lo anterior se debe a
Son pocas las organizaciones que han riesgo, las áreas que participan en su que el apetito de riesgos debe estar
evolucionado en este sentido para definición están mayoritariamente alineado con la estrategia definida
ampliar la utilización del concepto compuestas por la alta dirección en por la organización, así como la toma
de apetito de riesgos en la toma de casi un tercio de la muestra, al cual de decisiones estratégicas.
decisiones. Llama la atención que un le sigue la participación del área de
35%
32%
30% 27%
25% 24%
20%
15% 14%
10%
5% 4%
0%
Riesgos Finanzas Estrategia Alta Dirección Otro
20% 37%
No
Parcialmente
Sí
43%
20 Marsh
2o BENCHMARK EN GESTIÓN DE RIESGOS EN LATINOAMÉRICA Octubre 2016
Una de las prácticas de mercado que a riesgos asegurables. Lo anterior, reputacionales, legales, estratégicos
las empresas latinoamericanas están ya que con la aseguradora se ha o similares, es significativamente
poniendo en marcha cada vez con mantenido un historial de la más complejo que para los riesgos
más frecuencia, es el estudio de la siniestralidad que permite contar que ya han sido indemnizados por
materialización de los riesgos tanto con una trazabilidad fiable de la una aseguradora en un monto fijo.
asegurables como no asegurables, los data. Obtener la historicidad de la Realizando el análisis por sector, las
cuales usualmente son estudiados en materialización de los riesgos no instituciones financieras se destacan
comité de riesgos, de auditoría o en asegurables implica una mayor por contar con un registro de eventos
la junta directiva o directorio. Estos dificultad, ya que no es usual materializados, mientras que otros
estudios de riesgos se realizan por encontrar el registro de riesgos, sectores como el de transportes,
medio de modelación cuantitativa por ejemplo, reputacionales o instituciones de salud, sector
y estudios de tendencias, que les relacionados con competitividad, forestal y de productos de madera
permita obtener conclusiones mercado, demanda, investigación y y el sector de comunicaciones,
sobre su comportamiento. Lo desarrollo, o cualquier otro riesgo medios y tecnología muestran un
anterior permite anticiparse o de índole estratégica, los cuales son desarrollo parcial del registro de
tomar decisiones frente a planes de asegurables en casos muy puntuales. eventos materializados. Los sectores
tratamiento que deban aplicarse con Igualmente, dado que el registro de servicios profesionales, otros
premura. Es importante mencionar del riesgo se debe hacer junto con el servicios y agricultura y pesca, aún
que los datos sobre materialización impacto que tuvo, así como una fecha no cuentan con desarrollos frente a
de riesgos que más fácilmente se de materialización, la cuantificación este tema.
obtienen, son aquellos relacionados o estimación del impacto de riesgos
0%
NS / NR 25% 2016 2015
Totalmente en 4%
Desacuerdo 7%
10%
En Desacuerdo 8%
Ni de acuerdo ni 21%
en desacuerdo 18%
De Acuerdo 46%
25%
Totalmente de 19%
Acuerdo 17%
0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50%
22 Marsh
2o BENCHMARK EN GESTIÓN DE RIESGOS EN LATINOAMÉRICA Octubre 2016
Totalmente en
Desacuerdo
En desacuerdo
Uruguay
República Dominicana
Puerto Rico
Perú
Ni de acuerdo ni en Panamá
desacuerdo
Otro
México
Colombia
Chile
Brasil
De acuerdo
Argentina
Totalmente de
acuerdo
Totalmente en
Desacuerdo
Alimentos y Bebidas
Totalmente de
Acuerdo Agricultura y Pesca
24 Marsh
55%
de las organizaciones
cuenta con un mapa de
2o BENCHMARK EN GESTIÓN DE RIESGOS EN LATINOAMÉRICA Octubre 2016
riesgos estratégicos
Frente a la existencia de un comité (51%). De lo anterior se puede manera holística, donde la gestión
de auditoría de junta directiva / concluir que la gestión estratégica estratégica se complementa con
directorio, el estudio ha encontrado de riesgos ha evolucionado de un la gestión de riesgos, lo que a su
que las proporciones de la medición año a otro, tendencia que puede ser vez permite encontrar sinergias
del año pasado están muy en línea sostenible a lo largo de varios años y un mayor apalancamiento en
con las de la presente medición, de medición. Lo anterior gracias a trabajo colaborativo. De lo anterior
en la que la mitad de las empresas la relevancia que se le ha otorgado podría deducirse que el personal
latinoamericanas cuentan con este a la relación de la gestión de riesgos especializado en gestión de riesgos
comité. como elemento de competitividad podría contar en un futuro con
y sostenibilidad, dos conceptos un mayor conocimiento y una
El 55% de las organizaciones primordialmente estratégicos. mayor especialización en el campo
cuenta con un mapa de riesgos Igualmente este crecimiento en el estratégico.
estratégicos, cifra que aumenta indicador se le puede atribuir a un
versus su medición del año pasado mayor valor percibido de trabajar de
55% 45%
2016
51% 49%
No
2015 Sí
NS / NR 2%
9%
No Existe
26 Marsh
2o BENCHMARK EN GESTIÓN DE RIESGOS EN LATINOAMÉRICA Octubre 2016
No Existe
Uruguay
República
Dominicana
Puerto Rico
En Desarrollo / En etapa de Perú
planeación/Formulada
Panamá
Otro
México
Desarrollada, planteada y comunicada
pero aún no permeada o interiorizada Colombia
en la organización
Chile
Brasil
28 Marsh
2o BENCHMARK EN GESTIÓN DE RIESGOS EN LATINOAMÉRICA Octubre 2016
GESTIÓN DE CRISIS
El siglo 21 ha traído numerosos de información a través las redes amenaza real para la existencia, la
retos tanto a la gestión de riesgos sociales y los nuevos retos que surgen supervivencia o la sostenibilidad de
como a la gestión de crisis, lo que a a causa de los riesgos emergentes las organizaciones.
su vez ha generado la necesidad de de la modernidad, tales como los
que estos dos campos evolucionen ataques cibernéticos o la falta Esta típicamente se hace cargo de:
y abarquen el alcance completo de capacidad para adaptarnos al
de una complejidad que crece de cambio climático, además de los • La identificación de amenazas
manera constante en el mundo conflictos geopolíticos y religiosos. potenciales.
interconectado de la actualidad. Estos cambios han hecho que sea
La siempre cambiante y creciente significativamente importante que el • La creación de protocolos eficaces
complejidad que se ha añadido nivel de profesionalización del gestor para controlar esos riesgos.
a la mezcla de elementos que un de riesgos / crisis se mantenga al día
gestor de crisis tiene que manejar, con el ritmo de cambio de nuestras • La creación de capacidades de
es el resultado de las crecientes sociedades modernas. respuesta.
interdependencias críticas, la
globalización, las cadenas de La gestión de crisis es el estudio de La gestión de crisis para las empresas
suministro globales y complejas, cómo hacer frente a las situaciones, latinoamericanas es medida aquí a
una mayor dependencia de la para las cuales es casi imposible través de su definición, su estado de
tecnología, la velocidad del flujo planificar y que representan una preparación, la existencia de equipos
¿Se han definido señales tempranas de situaciones que podrían desencadenar una Crisis?
Totalmente en 4%
Desacuerdo
En Desacuerdo 14%
Ni de acuerdo ni 29%
en desacuerdo
De Acuerdo 43%
Totalmente de
10%
Acuerdo
0% 5% 10% 15% 20% 25% 30% 35% 40% 45%
¿Se cuenta con equipos de trabajo articulados para responder ante una Crisis?
Totalmente en Desacuerdo 4%
En Desacuerdo 13%
De Acuerdo 47%
de respuesta a crisis, la definición latinoamericanas cuenten con toda (Nivel Oro - “Gold”), a nivel táctico
de roles y responsabilidades, certeza con un equipo articulado (Nivel Plata - “Silver”) y operacional
la existencia de voceros y su para responder ante crisis. De lo (Nivel Bronce - “Bronze”), quienes
preparación. anterior se puede deducir que si ante una crisis están a cargo
bien existe una buena calificación de definir, diseñar y entregar
En primer lugar, las empresas frente a este tema, existe una brecha respectivamente.
latinoamericanas muestran una importante por recorrer para las
preparación frente a la definición de empresas latinoamericanas frente Este estudio encontró que
señales tempranas de situaciones a la consolidación de capacidades una de cada cuatro empresas
que podrían desencadenar una crisis. de respuesta materializadas en latinoamericanas no cuenta con
Más de la mitad de la muestra (53%) la estructuración de un equipo un comité de manejo de crisis, con
revela un estado de preparación articulado para responder a crisis. roles y responsabilidades definidos,
para hacer frente a las crisis, por y, en igual proporción este comité
lo menos a través de la definición ya se ha diseñado y desarrollado
de señales tempranas, detonantes “Más del 60% de y se encuentra en operación.
o criterios de escalonamiento, que Adicionalmente, un 27% de la
podrían discernir las situaciones las empresas muestra indica que este comité está
que pueden desencadenar una crisis. en desarrollo y un poco más de la
Sin embargo, existe un 18% que latinoameri- quinta parte manifiesta que ésta
muestra un estado de no preparación ha sido diseñado, pero aún no se
frente al tema, al evaluarse en las canas cuentan encuentra en operación. Lo anterior
dos categorías más bajas de esta nos lleva a concluir que, si bien existe
pregunta, que, sumado a un 29% con equipos ar- un nivel de desarrollo de los comités
de empresas que se encuentran en de gestión de crisis y su respectiva
el punto neutral (“Ni de acuerdo ni ticulados para asignación de responsabilidades,
en desacuerdo”), muestra una real las empresas latinoamericanas se
holgura u oportunidad de mejora responder ante encuentran en un estado incipiente
frente a la preparación frente a las frente a este tema, lo cual representa
crisis. una Crisis” una oportunidad de mejora con el fin
de contar con estructuras robustas
En segunda instancia, más Al igual que contar con un equipo y definidas para responder ante una
del 60% de las organizaciones articulado para hacer frente a una crisis.
latinoamericanas cuentan con crisis, es importante estudiar si las
equipos de trabajo articulados empresas de la región cuentan con Uno de los elementos primordiales
para responder ante una crisis. Sin un comité de manejo de crisis, que de la gestión de crisis es el plan de
embargo, llama la atención que el tenga sus roles y responsabilidades comunicaciones en crisis, el cual
mayor peso de la muestra en esta claramente definidos. Esto es vital debe idealmente contener una
pregunta se centra en la segunda para responder ante una crisis, ya definición de las partes interesadas
categoría de calificación, lo que hace que se debe haber predefinido las o stakeholders ante los cuales
que sólo un 15% de las empresas responsabilidades a nivel estratégico una organización en crisis debe
No Existe 25%
En Desarrollo 27%
Diseñado 22%
En Operación 25%
0% 5% 10% 15% 20% 25% 30%
30 Marsh
2o BENCHMARK EN GESTIÓN DE RIESGOS EN LATINOAMÉRICA Octubre 2016
manifestarse o comunicarse. Para entrena periódicamente a sus lecciones aprendidas con la mitad de
ello, es indispensable contar con los voceros, lo cual puede significar la muestra en las dos calificaciones
voceros oficiales definidos por la que las competencias necesarias superiores, frente a si se realiza o
organización, sus responsabilidades para dirigirse a las diferentes no, un análisis formal posterior a
y su entrenamiento para desarrollar audiencias en un estado de crisis, no una crisis para aportar a la mejora
las competencias necesarias con se encuentren alineadas con lo que la continua. Sin embargo, este estudio
el fin de comunicar asertivamente organización espera de sus voceros encuentra que una de cada cuatro
y efectivamente enviar el mensaje o generen mayor confusión ante empresas no realiza este análisis,
planeado a las partes o audiencias la urgencia de información y la sumado a un 26% que ha calificado
interesadas. En este caso, se premura de acción ante una. el tema de manera neutral (“Ni de
encuentra que la mayoría (62%) de acuerdo un en desacuerdo”). Lo
organizaciones latinoamericanas Uno de los elementos que aporta a anterior representa una oportunidad
han definido voceros oficiales en la resiliencia organizacional es el de mejora frente al aprendizaje y al
caso de crisis. Sin embargo, cerca de aprendizaje de situaciones adversas progreso continuo.
dos de cada cinco organizaciones pasadas que aporten oportunidades
en la región no ha definido esta de mejora a la gestión de crisis. En Para la calificación general del
figura. Adicionalmente, se encuentra este aspecto, las organizaciones Plan de Manejo de Crisis de las
que solamente el 38% de las latinoamericanas han adoptado en organizaciones latinoamericanas se
organizaciones latinoamericanas gran medida la buena práctica de las puede observar que existe un nivel
No
No
Sí
Sí
¿Se realiza formalmente un análisis posterior a la Crisis para determinar acciones de mejora?
(lecciones aprendidas)
En Desacuerdo 21%
De Acuerdo 39%
NS / NR 1%
No Existe 25%
de avance en este sentido por encima empresas latinoamericanas dice no homogéneamente divididas, lo que
de niveles incipientes, no empero contar con un Plan de Manejo de quiere decir que en proporciones
existen grandes oportunidades de Crisis. similares el plan no existe o está en
mejora. Cerca de una en cada cuatro desarrollo o está diseñado o está
organizaciones latinoamericanas Al analizar el estado de la Gestión de en operación. De manera general
manifiesta que su Plan de Manejo Crisis por país, el estudio encuentra se identifica una gran oportunidad
de Crisis se encuentra en operación, que en la mayoría de países el Plan de mejora frente al desarrollo de
aunado a una de cada cinco donde el de Manejo de Crisis se encuentra planes de manejo de crisis en todos
plan está diseñado, pero aún no se mayoritariamente en desarrollo los países, ya que la calificación de
encuentra en operación, y cerca de (Brasil, Chile, México, Perú) y en “en operación” no supera 2 quintas
un tercio de la muestra donde el Plan algunos casos, como Colombia y partes (40%) de las empresas
se encuentra en desarrollo. A pesar Argentina, las proporciones de participantes.
de lo anterior, una en cada cuatro desarrollo frente al plan están
Perú Colombia
Panamá México
32 Marsh
2o BENCHMARK EN GESTIÓN DE RIESGOS EN LATINOAMÉRICA Octubre 2016
CONTINUIDAD DE NEGOCIO
No Existe 33%
Perú Colombia
Panamá México
En adición a lo anterior, muchas Perú, Panamá, México, Chile, Brasil. cuenta con un Plan de Continuidad
organizaciones se encuentran en Para Colombia, Argentina, Brasil y de Negocio, una de cada cuatro se
etapa de desarrollo o puesta en Chile existe una mayor oportunidad encuentra desarrollándolo, 13%
marcha de su Sistema de Gestión de de mejora frente al nivel de evolución cuenta con éste diseñado y en esta
Continuidad de Negocio, sumando del Sistema, ya que los niveles de misma proporción se cuenta con el
un 44% del total de la muestra en la categoría “No existe” están más Plan de Continuidad de Negocio en
estas categorías. No obstante lo altos o a igual nivel que las demás operación. Lo anterior quiere decir
anterior, existe un gran número de categorías. que sólo el 13% de las empresas
organizaciones, más particularmente cuenta con una implementación,
una de cada tres, en donde no existe. Como ya se ha mencionado documentación y pruebas de su Plan
anteriormente, el Plan de de Continuidad de Negocio, situación
Al analizar este aspecto por país, el Continuidad de Negocio hace que refleja una importante brecha
Sistema de Gestión de Continuidad parte del Sistema de Gestión de para la resiliencia de las empresas de
de Negocio está en etapas de Continuidad de Negocio y es parte la región.
desarrollo en la mayoría de países fundamental del mismo. El 48% de
de la región, con especial énfasis en las empresas en Latinoamérica no
NS / NR 1%
No Existe 48%
34 Marsh
2o BENCHMARK EN GESTIÓN DE RIESGOS EN LATINOAMÉRICA Octubre 2016
No Existe 39%
Está Diseñado 8%
Otro de los elementos del Sistema datos, software y configuraciones en servicios de Tecnologías de la
de Continuidad de Negocio es el de equipos, por lo que se generaron Información y Comunicaciones.
Plan de Recuperación de Desastres diferentes recomendaciones para su También es importante reconocer
o DRP por sus siglas en inglés. La gestión en cuanto a almacenamiento que hay negocios cuyo “core” es
procedencia del término DRP se externo, condiciones ambientales y TIC, por lo que, con mayor razón
reconoce en el hecho de que fue de verificación de la efectividad del estos últimos deben considerar
en las áreas de TIC en donde, por respaldo. Todo esto contribuyó a tener una respuesta aún más
la misma naturaleza del servicio, que se pensara que el único objeto de efectiva y adecuada para enfrentar
comienza a hablarse de recuperación protección, respaldo, recuperación la adversidad que conlleve a la
por lo proclives que han sido éstos a y continuidad fueran las áreas de interrupción inesperada de sus
las fallas y situaciones de pérdida por procesamiento de datos. Otro factor operaciones, ya que, en buena parte
la misma novedad que representaban que contribuyó en el reforzamiento de las situaciones, no hay alternativa
hace 40 o 50 años, ya que ante la de esta teoría fue el evento de cambio de operación. En este sentido,
pérdida de datos o suspensión de siglo que fundamentalmente se las empresas latinoamericanas
de servicios debía pensarse en centró en estar preparados para deben plantearse el interrogante
alternativas de trabajo manual y en enfrentar los posibles efectos de de ¿qué pasaría si no se cuenta
cómo recuperar los datos con base los cálculos realizados con base en con disponibilidad de los servicios
en copias de respaldo (back ups) fechas que consideraban únicamente TIC? Por supuesto, el tipo de
que se hacían de los archivos o bases dos dígitos para el registro del año. solución deberá corresponder a
de datos. En la medida en que se los requerimientos del negocio en
hacían más comunes los Centros de Este estudio ha encontrado que cuanto a tiempos de recuperación y a
Cómputo, fueron estableciéndose el DRP no existe en cerca del la disposición de las organizaciones
estándares internacionales de 40% de los casos y que 22% de para la inversión en la misma, que
protección contra fuego, ambiente las organizaciones se encuentra en este caso tendrá que ver con Data
refrigerado, pisos falsos, cableado desarrollándolo. Sólo en una Centers alternos y sus contenidos
estructurado, respaldo del de cada cinco empresas el DRP de servidores, almacenamiento y
suministro de energía, acomodación cuenta con un data center alterno, capacidades de conectividad, sin
de equipos y particularmente la se encuentra en operación y está dejar de lado la consideración del
gestión de respaldos en medios documentado y probado. En la recurso humano especializado para
magnéticos. Siendo esta última la actualidad es difícil concebir un la operación de estas soluciones.
base para la recuperación de los negocio que no soporte sus procesos
No se ha desarrollado 55%
Uno de los pasos iniciales para de la identificación de los efectos En este sentido más de la mitad de
la construcción de un Plan de de la materialización de una las empresas latinoamericanas no
Continuidad de Negocio es interrupción en la organización, ha desarrollado este análisis, un 12%
la definición del Análisis de e incluye impactos en diferentes lo ha desarrollado sin una posterior
Impacto al Negocio o BIA por ámbitos tales como la pérdida de revisión, un 22% lo revisa cada año
sus siglas en inglés. Este análisis ingresos, el servicio al cliente, legales, y 12% lo revisa con una periodicidad
permite establecer la prioridad a empleados, ambientales y su mayor a un año. Tal y como se
de los procesos de negocio en el nivel de contribución a los objetivos mencionó en el caso del Plan de
tiempo, definiendo el orden en estratégicos en la cadena de valor de Continuidad del Negocio, y teniendo
que serían recuperados en una la organización. en cuenta que el BIA es uno de los
interrupción. Este análisis parte pasos iniciales para construirlo,
NS / NR 15%
2016 18%
2015 15%
2014 10%
2013 18%
2012 15%
2010 3%
2008 3%
Antes de 1980 3%
36 Marsh
2o BENCHMARK EN GESTIÓN DE RIESGOS EN LATINOAMÉRICA Octubre 2016
NS / NR 18%
Cada 8 años 3%
estas calificaciones reflejan una refleja una necesidad y un reto para o responsabilidades, este estudio
importante brecha para la resiliencia las organizaciones latinoamericanas encuentra que las organizaciones
de las empresas de la región, donde para mantener su BIA actualizado. de la región tienen dificultades
existen importantes oportunidades para bajar la información a todos
de mejora frente a la formalización Uno de los elementos de suma los niveles de la organización y
de los planes de continuidad importancia de la preparación frente para informar a todas las partes
de negocio y su alineación con a eventos de interrupción del negocio interesadas frente a un evento de
estándares internacionales y buenas es el grado en que la organización interrupción de negocio.
prácticas. y los colaboradores a todo nivel
dentro de la misma se encuentran
La mayoría de Análisis de Impacto familiarizados con el contexto de
al Negocio (BIA) en la región que gestión de continuidad de negocios,
han sido desarrollados y no se han con el fin de poder responder o
revisado fueron creados a partir del reaccionar de acuerdo a lo planeado
año 2012 en adelante, lo cual quiere cuando sea necesario. En este sentido
decir que su desarrollo tiene más de las organizaciones latinoamericanas
4 años sin revisarse en algunos casos encuentran un gran reto para
y por tanto puede no estar vigente permear estos conceptos de manera
ante un evento de interrupción de transversal en la organización,
negocio. Adicionalmente, de aquellas dado que en un 23% de los casos
organizaciones latinoamericanas el contexto de la continuidad de
que han desarrollado su BIA y negocio no es conocido formalmente
lo revisan con una periodicidad por ningún colaborador y sólo en
mayor a un año, la mayoría deja un 8% por todos los colaboradores.
pasar 2 años antes de revisarlo. Esta Lo anterior, aunado a un 45% de las
proporción es seguida por un cuarto organizaciones donde el contexto es
de organizaciones que lo revisa conocido por la alta dirección, sólo
cada 3 años. A pesar de lo anterior, en un tercio de las empresas por los
existe un número no despreciable de responsables de la gestión y en 35%
organizaciones que desconocen cada por los responsables de los procesos
cuanto se revisa el BIA, lo que puede críticos. Bajo el supuesto de que la
significar grandes desactualizaciones gestión de continuidad de negocio
o delineamientos e incluso falta debe estar comunicada y permeada
de capacitación y pruebas sobre el en todas las partes interesadas o
mismo. Esto a su vez conlleva a un “stakeholders”, una de ellas a todos
nivel de preparación inferior ante un los colaboradores de la organización
evento de interrupción de negocio y de manera independiente a su cargo
50%
45%
45%
40%
35% 33% 35%
30%
25% 23%
20%
15%
10% 8%
5%
0%
Por ninguno Por la alta dirección Por los responsables Por los responsables de Por todos los
de la gestión los procesos críticos colaboradores
NS / NR 2%
No Existe 53%
38 Marsh
2o BENCHMARK EN GESTIÓN DE RIESGOS EN LATINOAMÉRICA Octubre 2016
RIESGO CIBERNÉTICO
Las organizaciones actuales del Business Continuity Instituite • Infracciones a la propiedad
reconocen una gran dependencia (BCI) del Reino Unido. En el Foro intelectual.
de los servicios de gestión de datos, Económico Mundial del 2016 se dice
comunicación de los mismos y del riesgo cibernético: “El Internet • Robo de identidad.
aplicaciones de computador, propios ha abierto una nueva frontera en la
o tercerizados (Tecnologías de la guerra: todo está conectado en red En este sentido, el estudio ha
Información y Comunicaciones - y cualquier cosa conectada a la red encontrado que la mayoría de
TIC), para realizar transacciones, puede ser “jaqueado” (hacked). La empresas de la región se encuentran
recopilar e intercambiar información “red oscura” se ha convertido en un desarrollando su programa de
crítica, compartir o almacenar lugar de comercio que alimenta la ciberseguridad (32%), en un 12% ésta
datos personales y confidenciales, inseguridad. Cada conflicto futuro ya ha sido diseñado pero no puesto
e interactuar con sus clientes y tendrá un elemento cibernético, y en marcha, y finalmente también
socios de negocios. Dichos servicios algunos pueden ser combatidos en existe un número significativo de
y la infraestructura en la que su totalidad en el ciberespacio. Dado organizaciones que ya cuenta con
se soportan deben ser capaces que el ataque es más fácil que la su programa de ciberseguridad
de responder efectivamente a defensa en el ciberespacio, esto va a en operación (27%). Lo anterior
los nuevos y crecientes riesgos cambiar radicalmente la forma en la demuestra un grado de desarrollo
cibernéticos, lo cual es fundamental que todo el aparato de seguridad se interesante de la ciberseguridad en
para la protección de su reputación y prepara para posibles infiltraciones / Latinoamérica, muy en línea con la
relaciones con sus grupos de interés infracciones.”2 creciente relevancia de amenazas
(stakeholders). cibernéticas. A pesar de lo anterior,
Algunas formas de materialización existe un 19% de organizaciones
El Foro Económico Mundial del 2012 de este riesgo son: en las que este programa no existe
y el de 2014, ha reconocido al riesgo y cuyo reto es ponerse al día frente
cibernético como uno de los 10 más • Delito Cibernético. a las amenazas de un mundo en
relevantes, y lo ha calificado como constante amenaza cibernética.
el primer factor de interrupción • Extorsión Cibernética.
de negocios por los profesionales
expertos en continuidad de negocio • Ataques DDoS (Distribuited Denial
of Service).
NS / NR 2%
En desarrollo 32%
Diseñado 12%
En operación 27%
2
Traducción Libre de “The Global Risks Report 2016, 11th Edition”, 2016: Un estudio de Marsh & McLennan Companies junto con el Foro Económico Mundial
(WEF – World Economic Forum)
NS / NR 2%
No Existe 16%
NS / NR 1%
No se gestionan 13%
Particularmente frente a políticas Otro de los elementos interesantes gestionan sin seguir procedimientos
de ciberseguridad y en términos a medir frente a la ciberseguridad es formales, seguido de un 13% en
organizacionales, las organizaciones la formalidad con la que se gestionan donde estos no son gestionados.
latinoamericanas han establecido los incidentes de seguridad. Es decir, Lo anterior si bien refleja un
políticas que se encuentran en si éstos se gestionan de acuerdo con avance frente a la estandarización
operación en un 35% de los casos, al lineamientos y pautas previamente de procesos para responder a
que le sigue un 31% de casos en los definidos o se reacciona simplemente incidentes de ciberseguridad,
que se encuentran en desarrollo y de acuerdo con la situación sin también muestra la necesidad de
un 16% donde ya han sido diseñadas, tener en cuenta un procedimiento instaurar procedimientos para tratar
pero no han sido puestas en marcha estándar. incidentes de ciberseguridad.
aún. En este sentido, y muy en línea
con las calificaciones de desarrollo En este sentido, la mayoría de
del programa de ciberseguridad las organizaciones de la región
revisadas con anterioridad, la región gestionan sus incidentes de
ha realizado la tarea de prepararse seguridad cibernética de acuerdo con
ante el riesgo cibernético, a pesar de procedimientos formalizados (47%).
la existencia de un 16% en donde esta Sin embargo, existe una proporción
definición de políticas y definición significativa del 39% de los casos,
organizacional no se ha dado aún. en donde estos incidentes se
40 Marsh
2o BENCHMARK EN GESTIÓN DE RIESGOS EN LATINOAMÉRICA Octubre 2016
NS / NR 3%
No se califican 27%
No se identifican 13%
Con respecto a los controles de Para las organizaciones Solamente un 23% se encuentra
Ciberseguridad, la mayoría de las latinoamericanas en general realmente preparada, lo que
empresas latinoamericanas los el panorama de preparación involucra haber entrenado y
han calificado y clasificado (39%). frente a la gestión de los ataques realizado pruebas para medir
Sin embargo, existe un 27% de cibernéticos se encuentra en efectivamente el grado de
casos en los que los controles un nivel entre iniciación e preparación ante ataques
no se califican, seguidos de un intermedio, si se considera una cibernéticos.
13% en donde no se cuenta con mayor representatividad de la
el paso inicial de identificarlos. muestra en la segunda calificación
Solamente un 18% cuenta con un “Sensibilizada” para dos de cada
programa de fortalecimiento de los cinco organizaciones, el cual es
controles basado en su calificación y un paso inicial frente al estado de
priorización. Lo anterior comprueba preparación ideal, seguido de un 21%
la necesidad de un fortalecimiento en donde se encuentran entrenadas
continuo de controles, con el fin con respecto a este tema.
de alinearlos en efectividad y
funcionalidad a las amenazas que
emergen y cambian constantemente
en el mundo cibernético.
Entrenada
21%
Sensibilizada 41%
Sin conocimiento
desorientada 15%
42 Marsh
2o BENCHMARK EN GESTIÓN DE RIESGOS EN LATINOAMÉRICA Octubre 2016
RECOMENDACIONES
Formalización apalancada arroja insumos que complementan Auditoría Interna puede asistir
en una comunicación los entregables de la planeación a la gestión de riesgos es en la
efectiva estratégica. Adicionalmente, al revisión del marco de referencia
alinear estos dos procesos se logra (manual, política procesos, roles
Si bien la gestión de riesgos ha
elevar el nivel de la gestión de riesgos y responsabilidades) frente a las
avanzado en su formalización a
al interior de una organización, así mejores prácticas de estándares
través de la mayor implementación
como también se logra aportar a la internacionales o buenas prácticas
del Manual de Gestión de Riesgos,
percepción de creación de valor de de mercado.
a veces esta formalización queda
las sinergias creadas en la interacción
relegada al papel. En la medida en
de estos dos campos. Robustecimiento de las
que los encargados de la gestión
estructuras de la gestión
de riesgos apalanquen la real
Trabajo colaborativo con de riesgos
implementación e interiorización
las diferentes áreas de la
de la gestión de riesgos en la Muchas veces, cuando la persona a
organización
comunicación efectiva a las personas cargo de la gestión de riesgos y las
de la organización, ésta adquirirá Existen varias áreas en la personas de su equipo son de entera
el impulso necesario y perdurará organización que deben estar dedicación al área de gestión de
ante la inercia organizacional, que alineadas con la gestión de riesgos riesgos, se encuentran dificultades
muchas veces obstaculiza su avance. para efectos de coordinación y para permear la ejecución de la
Dicha comunicación debe ser aseguramiento de varios de sus gestión de riesgos en las demás áreas
diseñada de manera particular para elementos. Estas áreas son: de la organización. Por este motivo,
cada audiencia de la organización una de las buenas prácticas de
y debe, a su vez, buscar inspirar y • Gestión Humana: Al encontrar mercado ha sido optar por la figura
motivar en vez de sólo centrarse en la necesidad de capacitar a los de Líder Funcional de Gestión de
impartir conocimientos operativos o colaboradores de la organización Riesgos: personas que ya pertenecen
técnicos sobre el funcionamiento de a todo nivel, es importante a la organización o a un determinado
los procesos de gestión de riesgos. contar con el apoyo del área de proceso o área, que pertenecerán a
talento o gestión humana. Esto un equipo especializado de personas
Al comprender que los procesos sólo con el propósito de estructurar con una dedicación porcentual de
funcionan si las personas actúan los módulos de inducción y de su tiempo total que será destinado
por convicción, los mecanismos capacitación continuos, para a impulsar la implementación de
de comunicación deben buscar garantizar que los colaboradores se gestión de riesgos en su nivel (área o
desvirtuar los paradigmas de mayor encuentran alineados frente a las proceso) y reportar al área de gestión
“carga operativa” o de falta de competencias necesarias para la de riesgos, quienes se convertirán en
practicidad de la gestión de riesgos. gestión de riesgos. centralizadores de información. En
este sentido, se puede lograr:
Integración con la • Auditoría Interna: Esta área
planeación estratégica es una de las que soporta el • Mayor delegación de tareas.
aseguramiento de varios de los
Como ya se ha mencionado en
pasos del proceso de gestión • Un mayor involucramiento de
este estudio, la gestión de riesgos
de riesgos. En primera medida la organización en la gestión de
alcanzará su real potencial en la
pueden ayudar a revisar si en riesgos.
medida en que se perciba como
efecto el ciclo o proceso de gestión
tema estratégico y que aporta valor
de riesgos se está cumpliendo • Un “brazo armado” de la gestión de
al proceso de toma de decisiones.
como se ha planteado, y que los riesgos en cada área o proceso.
Es por esto que la recomendación
controles diseñados para los
general es alinear el proceso de
riesgos se estén ejecutando, así • Un equipo multidisciplinario de
gestión de riesgos con la planeación
como también reportar sobre personas, quienes al compartir
estratégica, para que sus metas,
avances en implementación lecciones aprendidas y trabajar de
objetivos y megas puedan iniciar con
y sobre su efectividad. Otro manera colaborativa mejorarán
el proceso de identificación, análisis
de los elementos en los que la curva de aprendizaje de la
y evaluación de riesgos, que a su vez
44 Marsh
2o BENCHMARK EN GESTIÓN DE RIESGOS EN LATINOAMÉRICA Octubre 2016
• La asignación de presupuesto
para la ejecución de los planes de
tratamiento.
Acerca de Marsh
Marsh es un líder global en correduría de seguros y gestión de riesgos. Marsh
ayuda a sus clientes a tener éxito en sus negocios, definiendo, diseñando
y ofreciendo soluciones innovadoras y específicas para cada sector de
actividad, que les ayuden a manejar eficazmente sus riesgos. Nuestros 28.400
profesionales colaboran a nivel global para prestar servicio a clientes en más
de 130 países. Marsh pertenece al grupo Marsh & McLennan Companies
(NYSE: MMC), firma global de servicios profesionales que ofrece a sus clientes
asesoramiento y soluciones en materia de riesgos, estrategia y capital humano.
46 Marsh
2o BENCHMARK EN GESTIÓN DE RIESGOS EN LATINOAMÉRICA Octubre 2016
Acerca de RIMS
RIMS, la sociedad para la gestión del riesgo™, es una organización sin
ánimo de lucro que representa a más de 3.500 empresas, organizaciones
gubernamentales y ONGs en todo el mundo. Dedicada al desarrollo de la
gestión de riesgos para el éxito de las organizaciones, RIMS ofrece networking,
desarrollo profesional y oportunidades educativas para sus miembros: más de
11.000 gerentes de riesgos en más de 60 países. Para más información visite:
www.rims.org
Marsh is one of the Marsh & McLennan Companies, together with Guy Carpenter, Mercer, and Oliver Wyman.
This document and any recommendations, analysis, or advice provided by Marsh (collectively, the “Marsh Analysis”) are not intended to be taken as advice
regarding any individual situation and should not be relied upon as such. The information contained herein is based on sources we believe reliable, but we
make no representation or warranty as to its accuracy. Marsh shall have no obligation to update the Marsh Analysis and shall have no liability to you or any
other party arising out of this publication or any matter contained herein. Any statements concerning actuarial, tax, accounting, or legal matters are based
solely on our experience as insurance brokers and risk consultants and are not to be relied upon as actuarial, tax, accounting, or legal advice, for which you
should consult your own professional advisors. Any modeling, analytics, or projections are subject to inherent uncertainty, and the Marsh Analysis could
be materially affected if any underlying assumptions, conditions, information, or factors are inaccurate or incomplete or should change. Marsh makes no
representation or warranty concerning the application of policy wording or the financial condition or solvency of insurers or reinsurers. Marsh makes no
assurances regarding the availability, cost, or terms of insurance coverage. Although Marsh may provide advice and recommendations, all decisions regarding
the amount, type or terms of coverage are the ultimate responsibility of the insurance purchaser, who must decide on the specific coverage that is appropriate
to its particular circumstances and financial position.
Copyright © 2016 Marsh LLC. All rights reserved. Compliance MA16-14022 USDG19392