- La crisis del COVID-19, debido a su alto impacto disruptivo, con repercusiones aún desconocidas a largo plazo, ha sido denominada por los economistas como “cisne negro”, según la teoría del mismo nombre.
- Un estudio de PWC señala que los mecanismos de gestión de riesgos tradicionales no han sido suficientes para enfrentar la crisis, y las funciones de aseguramiento deberán tener un rol protagonista.
- Será necesario construir resiliencia en las organizaciones para una gestión de riesgos inteligente que permita contar con una mejor preparación ante futuras posibles disrupciones.
¿Qué es la teoría del cisne negro en Economía?
La Primera Guerra Mundial, los atentados del 11 de septiembre de 2001 y la pandemia del COVID-19 tienen algo en común: han sido eventos o situaciones categorizadas en Economía como “cisne negro”. El autor de esta teoría, Nassim Taleb, lo define como un hecho fortuito caracterizado por tener un efecto sorpresa, así como la imposibilidad de calcular las probabilidades de su ocurrencia y su repercusión a largo plazo. La crisis derivada de la pandemia ha impactado en todos los ámbitos de las organizaciones, y esto incluye las funciones de aseguramiento (FA).
De acuerdo con el Instituto de Auditores Internos de España, las FA incluye: control interno, control interno sobre la información financiera, seguridad de la información, seguridad física de activos y personas, cumplimiento normativo, gestión de riesgos, sistemas de gestión integral, responsabilidad y reputación corporativas.
PWC señala que han sido pocas las funciones de riesgos y aseguramiento que han podido enfrentar la crisis. Es decir, los mecanismos de gestión de riesgos tradicionales han demostrado ser poco fiables ante este “cisne negro económico. En consecuencia, las funciones de aseguramiento deberán posicionarse como protagonistas en la alta dirección y consejería, y así evitar el riesgo de volverse invisibles.
La crisis económicas del coronavirus ha tenido como resultado que muchas empresas se enfoquen en amenazas externas para mantener su viabilidad, según KPMG. Por ello, se ha observado una disminución en la atención en el control interno, lo cual incrementa el riesgo en áreas críticas como fraude, cumplimiento normativo y sistemas de reporte internos. Sin embargo, aunque algunos reguladores han relajado sus requisitos y plazos de presentación de informes debido a la crisis económica, las obligaciones impuestas a las organizaciones siguen vigentes, por lo que las responsabilidades fundamentales de las empresas se mantienen igual.
Además, desde el decreto de estado de alarma en España, muchas empresas decidieron implementar de manera rápida e improvisada el trabajo a distancia. Esto ha resultado en una mayor conciencia sobre focos de riesgo específicos como el área cibernética. Según cifras del Estudio Anual de Aon de Gestión del Riesgo Ciber y Ciberseguridad en España, un 46% de las organizaciones ya han enfrentado una amenaza de ciberseguridad, y durante mayo y junio ha habido un incremento del 41% en la contratación de pólizas ciber.
¿Cómo pueden reaccionar las empresas?
El informe de PWC se centra en el rol de las funciones de aseguramiento a través de los diferentes procesos generados por la crisis: durante y después (a corto y mediano plazo). Durante la crisis, el foco es en lo crítico y los factores clave para las FA deben ser involucrarse en la gestión de la crisis, reporte proactivo al Consejo y la alta dirección, y coordinación con el resto de las áreas.
Tras la crisis y a corto plazo, las FA deben facilitar las lecciones aprendidas y apoyar la estabilización. Ante esto, lo principal es liderar el análisis de la crisis sin ser fiscalizador, continuar con el reporte proactivo y abordar los nuevos riesgos, introducir cambios y comunicarlos. Finalmente, a medio plazo deben promover la mejora de la resiliencia empresarial y evolucionar el modelo de gestión de riesgos. Para ello debe existir un cambio, mayor agilidad y rapidez en el reporte, facilitar análisis más detallados basados en datos y combinar trabajos tácticos con reflexión estratégica.
Por su parte, según KPMG, la alta dirección debe dar prioridad a las actividades clave de control. Aunque el entorno de control óptimo difiere en cada sector y empresa, existen algunos elementos comunes para poder disminuir los riesgos de manera preventiva: adecuada segregación de funciones, delegación de responsabilidades y líneas de reporte definidas, adecuados niveles de autorización, acceso a sistemas que garanticen la confidencialidad, integridad y disponibilidad de los datos ante amenazas internas y externas, y optimizar el uso de datos y técnicas analíticas.
Por su parte, Deloitte señala que durante este periodo de administración reducida, las funciones de auditoría interna deben involucrarse con otros proveedores de aseguramiento como auditores externos, el cumplimiento y gestión de riesgos empresariales. De esta manera sería posible identificar y encontrar oportunidades para colaborar y ayudar, asesorando a la dirección sobre cambios en el panorama de riesgos y controles, así como anticipando los riesgos emergentes.
Construir resiliencia post COVID-19
Desde otro ángulo, EY considera que el COVID-19 fue más un “rinoceronte gris” que un cisne negro según la teoría de Nassim Taleb. Es decir, que era un evento ocurriendo a la vista de todos y moviéndose con lentitud en su impacto, pero demasiado incómodo o inconveniente para enfrentarlo. Para algunas empresas, la planificación de la continuidad antes de la pandemia era dependiente de la tecnología de la información y no contaba con agilidad, complejidad y detalle.
Construir la capacidad de resiliencia de las organizaciones requiere aumentar la confianza en la inteligencia basada en datos de gestión de riesgos y modelar escenarios que permitan tomar decisiones inteligentes sin sesgos emocionales. Al contar con una mejor preparación y prevención ante posibles disrupciones, las empresas se adaptarían más rápido, beneficiando a todas sus áreas.
El desarrollo de soluciones y plataformas de Inteligencia Artificial (AI) será clave en el posicionamiento competitivo post COVID-19 de las empresas, y se espera que los servicios basados en esta tecnología sean más integrados en procesos críticos de negocio a partir de la crisis, tales como la gestión de riesgos.
El diseño e implantación de un modelo integral de gestión de riesgos con AI requiere alinear diferentes roles y responsabilidades ya existentes en las empresas. Este tipo de soluciones permitiría a la organización equiparse de un elemento esencial para la mejora de procesos y servicios, lo cual sería relevante para mejorar la sostenibilidad de una empresa en un momento crítico como el que se atraviesa por la pandemia del COVID-19.
