ORM vs ERM | ¿cuáles son las diferencias fundamentales?

¿Cuál es la diferencia entre la gestión de riesgos operativos y la gestión de riesgos empresariales?

En realidad, la gestión de riesgos operativos (ORM) es solo una pequeña parte de un marco de gestión de riesgos empresariales (ERM) verdaderamente holístico. En este blog, exploramos las diferencias fundamentales entre la gestión de riesgos operativos y la gestión de riesgos empresariales. Examinamos el marcado contraste entre las áreas de enfoque de cada programa, explicamos cómo difieren los objetivos principales y las partes interesadas, y exploramos los beneficios adicionales que un programa ERM puede aportar al alinear las actividades de gestión de riesgos con los objetivos estratégicos y el rendimiento empresarial.

Una diferencia en las áreas clave de enfoque

ORM se centra específicamente en la gestión de los riesgos relacionados con las operaciones diarias dentro de la organización. Esto incluye los riesgos operativos asociados con los procesos, los sistemas, las personas y los factores externos que pueden afectar al modelo operativo de la organización.

ERM, por otro lado, tiene un alcance mucho más amplio, con un enfoque en la identificación y gestión de riesgos en toda la organización, incluyendo los riesgos estratégicos, financieros, operativos, de TI y cibernéticos, de terceros y relacionados con el cumplimiento. ERM tiene un fuerte enfoque en la gestión del riesgo en línea con los objetivos estratégicos y el rendimiento empresarial, lo que permite a las empresas asumir ciertos riesgos para alcanzar sus objetivos a largo plazo y evitar los riesgos que podrían tener un impacto perjudicial en el rendimiento operativo.

Objetivos diferentes

El objetivo de ORM es identificar, evaluar y mitigar los riesgos que podrían interrumpir o impactar negativamente las operaciones diarias de la organización. Se centra en minimizar la probabilidad y el impacto de los fallos operativos, como las averías de los procesos, los fallos tecnológicos, los errores humanos o los eventos externos.

El objetivo principal de ERM es garantizar que la organización alcance sus objetivos estratégicos mientras gestiona eficazmente los riesgos. ERM tiene como objetivo proporcionar un marco integral para identificar, evaluar, priorizar y gestionar los diferentes tipos de riesgo en toda la empresa. Con este alcance más amplio de objetivos, ERM necesita un enfoque más integrado con una importante asignación de datos para permitir a una organización comprender el impacto del riesgo en los objetivos estratégicos y el rendimiento empresarial. Los equipos de riesgo y los miembros del consejo de administración utilizarían entonces los datos consolidados de ERM para apoyar la toma de decisiones estratégicas, lo que les permitiría asumir riesgos en áreas donde la recompensa supera el riesgo.

Diferente participación de las partes interesadas

Como ORM se ocupa de los riesgos puramente operativos relacionados con las personas, los sistemas y los procedimientos, las partes interesadas tienden a incluir a los directores de operaciones, los propietarios de los procesos y los empleados de primera línea que participan directamente en la identificación y gestión de los riesgos operativos dentro de sus áreas específicas de responsabilidad. Es probable que los equipos de riesgo sean los propietarios del proceso, realicen los informes y compartan los resultados con los equipos de alta dirección.

Aunque ERM sigue siendo impulsado normalmente por el equipo de riesgo, requiere una mayor participación de la alta dirección y del consejo de administración en el establecimiento del apetito de riesgo, la toma de decisiones estratégicas sobre el riesgo y la supervisión de la exposición general al riesgo de una organización. ERM tiene en cuenta los intereses de todas las partes interesadas, incluidos los accionistas, los clientes, los empleados, los reguladores y otras partes externas.

Por supuesto, ORM sigue siendo un aspecto de ERM, y esos mismos directores de operaciones, propietarios de procesos y empleados de primera línea seguirán alimentando los datos en los aspectos operativos del programa ERM, pero ERM holístico incluye muchos más equipos, departamentos e individuos de toda la organización. Los equipos de TI participarán en el aspecto del riesgo cibernético y de TI, aquellos que se ocupan de los proveedores, vendedores y proveedores de servicios deberán alimentar el marco de gestión de riesgos de terceros. El equipo de cumplimiento y los empleados operativos participarán para garantizar el cumplimiento de las políticas, los procedimientos y las regulaciones, y los empleados de todos los niveles participarán en el registro de incidentes, peligros y cuasi accidentes, para comprender la exposición al riesgo.

ERM requiere una participación mucho mayor del consejo de administración y del equipo de alta dirección que los programas tradicionales de gestión de riesgos operativos. El consejo de administración participará en la definición de los objetivos y los planes estratégicos de la organización y en su transmisión a toda la empresa para garantizar su cumplimiento. Como parte de su plan estratégico, querrán capturar y gestionar los riesgos estratégicos, y querrán tener la autoridad para permitir ciertos riesgos si el resultado probable apoya sus planes estratégicos y supera el riesgo. La asignación del riesgo a la planificación estratégica a través de un programa ERM eficaz es esencial para que los líderes tengan visibilidad de cómo el riesgo impactará en el rendimiento y la estrategia para tomar decisiones estratégicas importantes con respecto a la asunción de riesgos, la presupuestación y la planificación de recursos.

Diferentes niveles de integración requeridos

ORM es a menudo un subconjunto de ERM y está integrado en los procesos operativos de la organización y se centra específicamente en los riesgos operativos y sus estrategias de mitigación.

ERM, por otro lado, proporciona el marco general para la gestión de otros tipos de riesgos, además del riesgo operativo, incluyendo los riesgos de TI y cibernéticos, de terceros, estratégicos y relacionados con el cumplimiento.

ERM integra la gestión de riesgos en la planificación estratégica general y los procesos de toma de decisiones de la organización. Considera las interdependencias entre los diferentes tipos de riesgos y su impacto potencial en la capacidad de la organización para alcanzar sus objetivos. ERM también considera el impacto del riesgo en el rendimiento operativo, lo que permite a la organización asumir riesgos para mejorar el rendimiento y evitar aquellos riesgos que impactarán negativamente en el rendimiento.

Diferentes capacidades de software

Si bien los programas ERM y ORM se gestionan mejor utilizando software GRC, los programas ERM requieren que la plataforma ofrezca una funcionalidad más compleja.

Los programas ORM requieren que la plataforma GRC ofrezca capacidades tradicionales de riesgo operativo. Estas incluyen la capacidad de crear un registro de riesgos operativos, desplegar evaluaciones de riesgos en línea, construir registros de control y llevar a cabo comprobaciones de control, e implementar flujos de trabajo de mitigación de riesgos para reducir el riesgo. También ofrecerán una variedad de informes que permitirán a los equipos de riesgo resumir la exposición al riesgo y guiar al negocio sobre el mejor curso de acción. Las plataformas GRC configuradas para ORM también ofrecerán una variedad de paneles personalizados que permitirán a cada usuario obtener un resumen de las acciones y tareas y un resumen del riesgo en su área específica.

Las plataformas GRC que ofrecen capacidades ERM tienden a ofrecer una variedad más amplia de requisitos. Estas plataformas permitirán a las empresas configurar múltiples registros de riesgos con diferentes categorías y tipos. Las organizaciones podrán construir una variedad de diferentes formularios de evaluación de riesgos basados en los diferentes tipos de riesgo que se están evaluando. Las plataformas ERM seguirán permitiendo a las empresas construir una biblioteca de control, realizar comprobaciones de control e implementar estrategias de mitigación de riesgos, pero también ofrecerán funcionalidad adicional.

Los equipos podrán configurar un programa de gestión de riesgos de terceros de mejores prácticas para gestionar el riesgo de los proveedores. Pueden construir una biblioteca de proveedores capturando detalles críticos sobre cada proveedor y realizar evaluaciones comparativas y cuadros de mando y supervisar el rendimiento en relación con los KPI y los SLA. Las plataformas ERM a menudo proporcionan un portal de proveedores en línea que permite a los proveedores completar las evaluaciones de riesgos de terceros en línea.

Las plataformas ERM también permiten a las empresas gestionar el riesgo cibernético y de TI, mediante la construcción de un registro de riesgos cibernéticos, la realización de evaluaciones de riesgos cibernéticos, la supervisión del cumplimiento de las políticas de TI y las regulaciones de privacidad de datos, la gestión de incidentes relacionados con la TI y la supervisión del uso de los activos de TI.

Pero la principal diferencia entre las capacidades de la plataforma ORM y los requisitos para una plataforma ERM es la integración entre la gestión de riesgos, el rendimiento empresarial y los objetivos estratégicos. Las plataformas ERM permiten a las empresas planificar y entregar su estrategia, comprender el impacto del riesgo en sus objetivos estratégicos y gestionar el riesgo estratégico. Las plataformas ERM también permiten a las empresas comprender el impacto del riesgo en el rendimiento operativo y, a menudo, ofrecen integraciones API con otros sistemas y fuentes de datos que extraen datos de rendimiento empresarial dentro y fuera de la plataforma para construir una imagen clara de cómo el riesgo está afectando al rendimiento empresarial.

El apetito de riesgo también juega un papel importante en cualquier programa ERM. El Consejo trabajará con el equipo de riesgo para definir el apetito de riesgo y establecer la cantidad de riesgo que están dispuestos a asumir en la búsqueda de sus objetivos estratégicos. Es responsabilidad del equipo de riesgo, junto con el resto de la organización, garantizar que la empresa opere dentro de esos niveles acordados mediante la supervisión del riesgo y la garantía de que los controles son eficaces.

Por supuesto, la integración del riesgo con el rendimiento empresarial y los objetivos estratégicos también aporta una gran cantidad de resultados de informes para ayudar a las organizaciones a comprender el impacto del riesgo en el rendimiento empresarial y las iniciativas estratégicas. Estos datos ayudarán a los equipos de liderazgo a saber qué riesgos asumir y dónde asignar el presupuesto y los recursos vitales para reducir el riesgo.

¿Por dónde empiezo mi viaje de ORM a ERM?

Si su organización tiene un programa de gestión de riesgos operativos en marcha, pero le gustaría dar un paso más hacia un programa ERM totalmente integrado, aquí hay algunos factores importantes a considerar.

En primer lugar, asegúrese de que está utilizando una plataforma GRC de mejores prácticas que ofrezca suficientes capacidades ERM para sus necesidades actuales y futuras. Esto incluye:

Capacidades de planificación estratégica y establecimiento de objetivos empresariales.
Integraciones API para asignar el riesgo al rendimiento operativo.
Capacidades de riesgo y cumplimiento de TI y cibernético.
Gestión de riesgos de terceros.
Panel de control de ERM.
Funcionalidad de apetito de riesgo.
Gestión de incidentes que permite a la organización vincular los incidentes a los riesgos y controles de origen.
Registros de riesgos, categorías y tipos ilimitados.
Informes y paneles de control de nivel ejecutivo para los equipos de liderazgo, incluyendo informes de Power BI, mapas de calor y análisis de pajarita.
Una interfaz sencilla e intuitiva para permitir que el personal de todos los niveles se alimente del programa ERM.

Asegúrese de decidir el alcance y los requisitos clave de su programa ERM por adelantado e involucre a una variedad de partes interesadas, desde los miembros del consejo de administración y los ejecutivos que tendrán que guiar la estrategia y el apetito de riesgo hasta la dirección media y el personal operativo que completarán las evaluaciones de riesgos, las comprobaciones de control y las tareas y acciones estratégicas. Definir claramente cómo el personal utilizará la plataforma y qué datos necesitará extraer por adelantado garantizará una implementación exitosa.

Recuerde que una plataforma ERM puede escalar y crecer con su organización a medida que los requisitos se expanden, así que no se sienta presionado a configurar todos los aspectos de ERM durante la implementación inicial de una plataforma GRC. Elija la funcionalidad que aborde sus principales puntos débiles y añada más a medida que la solución se incruste más en sus operaciones.

Para obtener más información sobre cómo la plataforma Riskonnect puede ayudar a su organización a implementar un proceso de gestión de riesgos de mejores prácticas que satisfaga sus necesidades, solicite una demostración.

ORM vs ERM | ¿cuáles son las diferencias fundamentales?

¿Cuál es la diferencia entre la gestión de riesgos operativos y la gestión de riesgos empresariales?

Share This, Choose Your Platform!

Related Posts

¿Cómo integró la RAF el riesgo con la estrategia para impulsar el rendimiento?

ERM frente a IRM: replanteando la división

Dejar atrás la simple comprobación: un mejor camino para la gestión de riesgos bancarios