ERM frente a IRM: replanteando la división

La conversación en torno a ERM frente a IRM a menudo se plantea como una elección: ¿Cuál es mejor? ¿Cuál deberían adoptar las organizaciones? Este planteamiento asume que existe una distinción clara para empezar, pero no es tan sencillo.

El concepto de IRM (gestión integrada de riesgos) ha suscitado un debate que refleja un cambio en la forma en que las organizaciones piensan sobre el riesgo. Ya no basta con clasificar el riesgo por tipo o departamento. Los líderes empresariales y los reguladores ahora exigen una visión más integrada y en tiempo real del riesgo que informe sobre cómo funciona una empresa. En este contexto, la comparación de ERM frente a IRM se centra menos en marcos de competencia y más en la evolución de las perspectivas.

La madurez de ERM

Antes de IRM, el surgimiento de ERM (gestión de riesgos empresariales) representó un cambio anterior en el pensamiento sobre el riesgo. En lugar de gestionar las amenazas de forma aislada, ERM introdujo la idea de un enfoque estratégico y centralizado.

Con marcos como COSO e ISO 31000, ERM proporcionó a las organizaciones la estructura para gestionar un amplio espectro de riesgos bajo una metodología sólida. Hoy en día, ERM está integrado en todas las industrias. AFERM Federal ERM Survey informó en 2022 que el 85% de las agencias federales de EE. UU. tenían un programa formal de ERM, y COSO fue citado por el 37% de las organizaciones como su marco predominante. En las industrias reguladas, ERM es a menudo una necesidad de cumplimiento.

¿Qué es IRM? Por qué es difícil de definir

IRM, por el contrario, sigue siendo un objetivo en movimiento. No existe un marco único ni un alcance acordado. Las definiciones varían ampliamente; algunos ven IRM como una nueva metodología, otros todavía como una progresión natural del ERM tradicional.

Esta falta de precisión puede ser confusa, pero también refleja un patrón: los líderes de riesgo están luchando por definir el riesgo a medida que se vuelve más interconectado y menos limitado por las definiciones y límites tradicionales. En ese sentido, IRM es un intento de seguir el ritmo de las ideas cambiantes.

Visiones contrapuestas de IRM

IRM fundacional

Algunos, como John Wheeler con Wheelhouse Advisors, ven IRM como una respuesta a la fragmentación del riesgo. Las herramientas, los procesos y las fuentes de datos de gestión de riesgos han proliferado con el tiempo, pero a menudo operan de forma independiente. IRM, en esta visión, se trata de consolidarlos. Se trata de centralizar los datos y construir una visión única y multifuncional del riesgo. A diferencia de ERM, que a menudo sigue centrado en la presentación de informes, esta visión integra el riesgo en cada proceso.

En lugar de un cambio de marca de ERM, puede verse como una integración más profunda de las capacidades. Es un cambio hacia el riesgo como algo integrado en los sistemas empresariales, no superpuesto.

IRM como GRC maduro

Los críticos, como Michael Rasmussen, argumentan que el concepto de IRM es una distinción sin diferencia. Desde este ángulo, es simplemente una versión moderna de GRC (gobernanza, riesgo y cumplimiento); el tipo que utiliza la tecnología de forma más eficaz y se alinea más estrechamente con la estrategia. En esta visión, el término IRM puede sonar nuevo, pero las ideas centrales son las mismas.

Los críticos de IRM ven la etiqueta como innecesaria. Argumentan que los programas maduros de ERM y GRC ya hacen lo que IRM promete. Lo que falta, dicen, no es un nuevo concepto, sino una mejor ejecución de los existentes.

IRM en la evolución más amplia de la gestión de riesgos

Visto en contexto histórico, IRM es parte de un arco más largo. La gestión de riesgos se ha expandido constantemente con el tiempo, desde los seguros hasta el cumplimiento y la estrategia de toda la empresa. El cambio hacia el pensamiento de IRM es una continuación de esa trayectoria, impulsada por la creciente complejidad de la gestión de riesgos.

Lo que es diferente ahora es el énfasis en la interconectividad. Las organizaciones están reconociendo que los riesgos no surgen de forma aislada y no se quedan en sus carriles. Una violación de datos no es solo un problema de ciberseguridad, sino que también debe verse como un problema reputacional, regulatorio y operativo. IRM refleja la necesidad de tener en cuenta esa complejidad. Ampliar el alcance de ERM significa permitir a los líderes empresariales acceder a información sobre riesgos en tiempo real en lugar de tener que depender de informes a nivel de la junta directiva.

Por qué “ERM frente a IRM” no da en el clavo

La tensión entre ERM e IRM a menudo se exagera. IRM no invalida ERM; en todo caso, depende de él. Además, dependiendo de cómo se defina, IRM mejora el marco de ERM o le da una base más operativa.

Elegir el modelo “correcto” no es el verdadero problema, el verdadero problema es la fragmentación. Las organizaciones que gestionan el riesgo en sistemas desconectados pueden tener dificultades para responder rápidamente a los problemas. Las etiquetas no importan si la organización no puede actuar sobre los datos que tiene.

Los programas más eficaces unifican la estrategia y la ejecución. Tratan el riesgo no como una lista de verificación, sino como una función empresarial; no trazan líneas artificiales entre los marcos, sino que se basan en ellos.

La tecnología unifica ERM e IRM

La tecnología hace posible esta convergencia entre ERM e IRM. El software de gestión de riesgos proporciona la infraestructura para conectar datos dispares e integrar flujos de trabajo.

La plataforma adecuada apoya tanto los principios de ERM como los de IRM:

• Centralizar las bibliotecas de riesgos y controles
• Permitir el análisis y la presentación de informes en tiempo real
• Mapear las causas raíz
• Definir el apetito de riesgo
• Planificar escenarios
• Alinear la estrategia y la postura de riesgo

La tecnología rompe los silos, operacionaliza la estrategia y proporciona a los líderes la visibilidad que necesitan para actuar.

El auge de IRM refleja un campo en evolución. A medida que las organizaciones se enfrentan a riesgos más complejos, sistémicos y de rápido movimiento, sus marcos deben mantenerse al día. Eso no significa abandonar ERM; significa construir sobre él. La verdadera pregunta no es qué acrónimo utiliza, sino si está haciendo del riesgo un impulsor de la estrategia.

Para obtener más información sobre la gestión de riesgos empresariales y la gestión integrada de riesgos, descargue nuestros libros electrónicos, Trazando un rumbo para la gestión de riesgos empresariales y Conquistando el nuevo mundo del riesgo con la gestión integrada de riesgos, y consulte el software ERM de Riskonnect.