SciELO - Scientific Electronic Library Online
 
 issue49Design management and knowledge management as relevant issues in the strategy of fashion sectorSocial Commerce: a Conceptual Approach from the Production of Scientific Knowledge author indexsubject indexarticles search 		Home Pagealphabetic serial listing  

Services on Demand

Journal

Article

Indicators

Related links

  • On index processCited by Google
  • Have no similar articlesSimilars in SciELO
  • On index processSimilars in Google

Share

Pensamiento & Gestión

Print version ISSN 1657-6276On-line version ISSN 2145-941X

Pensam. gest.  no.49 Barranquilla July/Dec. 2020  Epub Nov 01, 2021

 

Artículos originales

Perfil del CRO en Colombia

Profile of the CRO in Colombia

Maria Antonia Nuñez1 

Eduart Villanueva2 

1 Contadora pública por la Universidad Eafit, especialista en Control Organizacional por la misma universidad, magíster en Seguros y Gerencia de Riesgos por la Universidad Pontificia de Salamanca y magíster en Administración por la Universidad Eafit. Profesora de la Universidad Eafit. mnunezpa@eafit.edu.co

2 Administrador de empresas por la Universidad La Gran Colombia, magíster en Administración por la Universidad Eafit y Ph.D (c) en Administración Estratégica de Empresas por la Pontificia Universidad Católica del Perú. Profesor de la Universidad Eafit. evillanu@eafit.edu.co

Resumen

Este artículo analizó el perfil que requiere un gerente de riesgos (CRO, por sus siglas en inglés) en grandes empresas de Colombia a partir del conocimiento de los rasgos, habilidades, aptitudes y conocimientos que son necesarios para lograr un adecuado desempeño, de modo que contribuya a la consecución de objetivos. El estudio se desarrolla bajo una metodología cualitativa de alcance descriptivo. Se llevaron a cabo entrevistas semiestructuradas a siete CRO de grandes empresas colombianas de diversos sectores y se entrevistó a dos expertos. En los resultados encontrados, se puede evidenciar la importancia del CRO y el desarrollo de su perfil tanto en aspectos técnicos como en las habilidades blandas que requieren, para que puedan aportarle valor a la empresa con su experticia y una visión prospectiva sobre las situaciones de riesgos a las cuales pueden verse expuestos. El artículo aporta al conocimiento existente sobre el CRO que requiere de mayor investigación académica.

Palabras clave: gerente de riesgos; CRO; administración de riesgos; tendencias de la administración de riesgos

Abstract

This paper analyzes the profile required by a chief risk officer (CRO) in large companies in Colombia, based on knowledge of the traits, skills, aptitudes and knowledge that are necessary to achieve adequate performance, so that it contributes the achievement of objectives. The study is carried out under a qualitative methodology of descriptive scope. Semi-structured interviews were conducted with risk managers of large Colombian companies in different sectors, and experts. In the results found it can be evidenced the importance to the chief risk officer and as well as to develop their profile both in technical aspects and in the soft skills they require. This is due to the fact that from their performance they add value to the company with their expertise and provide a prospective vision on the risk situations to which they may be exposed. This paper contributes to the knowledge about CRO that requires further academic research.

Keywords: chief risk officer; CRO; risk management; risk management trends

1. INTRODUCCIÓN

El entorno cambiante y complejo en el que en la actualidad se desempeñan las empresas en el mundo, y en el cual intervienen variables de tipo político, tecnológico, económico, social, cultural, ambiental y regulatorio, genera un contexto de amplia incertidumbre al cual se enfrentan las organizaciones. Esto representa grandes oportunidades y amenazas en la gestión de riesgos, puesto que una mejor comprensión de estos escenarios puede disminuir sus efectos negativos y aumentar la posibilidad de aprovechar nuevas oportunidades que desempeñen un importante papel en la estrategia empresarial, lo que genera la necesidad de contar con el apoyo de un sistema de gestión que les permita a sus gerentes tomar decisiones según información pertinente que aporten como resultado del cumplimiento de los objetivos establecidos (Oliveira et al., 2019).

Por lo anterior, este entorno impulsa el surgimiento de la administración de riesgos como un sistema de gestión que integra las diferentes disciplinas que acompañan el desempeño organizacional. Este sistema se encuentra inmerso en todos los niveles de la empresa y genera una visión transversal de los tipos de oportunidades y amenazas a los cuales se enfrenta una empresa en el desarrollo de su gestión diaria, tales como cambios en la demanda de productos, el comercio electrónico, la disponibilidad de insumos, la competencia en el mercado y la presencia de políticas gubernamentales estrictas (Thomas & Smith, 2020). La administración de los riesgos le permite a la empresa anticiparse y estar preparada frente a las situaciones que puedan presentarse, a partir de prácticas enfocadas en la modificación, el tratamiento y el monitoreo del riesgo (Committee of Sponsoring Organizations of the Treadway Commission [COSO], 2017; ISO 31000:2018(en) Risk management - Guidelines).

La gestión del riesgo se considera un proceso esencial en las organizaciones, porque les permite proteger y generar valor, mejorar el desempeño de estas y alcanzar sus objetivos, por lo que ha dado lugar al desarrollo de teorías, metodologías, técnicas y elementos, tales como el marco de referencia establecido en la ISO 31000:2018 - Fundamentos de gestión de riesgos, el cual permite estructurar el gobierno del riesgo compuesto por los principios, el marco de referencia y el proceso de la gestión de riesgos. Este marco incluye unos componentes que deben regir en las organizaciones, para integrar la gestión de los riesgos en todos los procesos significativos de la organización. Esta norma también señala que deben establecerse políticas y procedimientos para las actividades que conforman el proceso de gestión del riesgo, lo que permite estudiar cada tipo de riesgo de forma específica, a partir de las etapas de identificación, análisis, valoración, tratamiento, evaluación, revisión e informe del riesgo (ISO 31000:2018(en) Risk management - Guidelines).

En los últimos tiempos, la administración de riesgos como disciplina ha logrado evolucionar y contar con un nivel de madurez importante, dado que pasó de una perspectiva de riesgos independientes que no tenían interrelación entre sí, cuyo alcance era limitado a nivel estratégico a una visión integral de riesgos empresariales en todos los procesos de la organización, la cual desempeña un papel importante en las decisiones estratégicas y de gobierno corporativo (McShane, 2018). Por lo anterior, se vuelve fundamental disponer de un equipo humano con las capacidades y competencias necesarias que logren permear a toda la organización con una visión prospectiva de riesgos (Francis & Paladino, 2008). El equipo de riesgos en una organización debe estar liderado por un director o gerente que cuente con los conocimientos y las habilidades que le permitan desempeñar de manera efectiva las responsabilidades que requiere llevar a cabo un sistema de administración de riesgos (Karanja & Rosso, 2017).

En este sentido, para liderar el sistema de gestión de riesgos en las empresas, es necesario contar con una persona que tenga una visión de futuro y que sea capaz de encaminar a toda la organización hacia una cultura que genere transformaciones positivas (Pagach & Warr, 2011). Asimismo, que contribuya a la búsqueda de desarrollar una conciencia y una sensibilidad acerca de las vulnerabilidades a las cuales se encuentra proclive la organización, con miras al control de sus riesgos y al aprovechamiento de las oportunidades. Por esto, contar con un gerente de riesgos (CRO, por sus siglas en inglés) con un perfil gerencial que le aporte valor a la toma de decisiones se convierte en un componente de estudio importante para el mejoramiento de la gestión y el desempeño de las empresas colombianas.

Este gerente o director de riesgos debe contar con conocimientos, competencias, habilidades, aptitudes, comportamientos y varios aspectos de la personalidad, que le permitan desempeñar su papel de manera efectiva en la administración de riesgos de la organización, lo cual se relaciona con la estrategia, los lineamientos y los propósitos particulares de cada compañía (Benischke et al., 2019). Además, debe tener capacidad investigativa que le permita descubrir las tendencias de la administración de riesgos y aplicarlas de manera positiva, y contar con un liderazgo entusiasta y unas habilidades comunicativas que le faciliten trabajar en ambientes multi-disciplinarios (Donnelly, 2011).

A pesar de existir una definición teórica de las responsabilidades, habilidades y competencias con las que debe contar un CRO, descrito en los párrafos anteriores, en las empresas colombianas se ha identificado en los últimos años que su desempeño está encaminado en su mayoría a tareas operativas y de cumplimiento (Marsh, 2018a). Lo anterior lleva a interrogar si el perfil con el que se forman los CRO es pertinente en atención a varios aspectos, como las necesidades empresariales, las oportunidades de mejora que tienen los profesionales de este campo a causa de los nuevos desarrollos del conocimiento en esta disciplina, las tendencias mundiales sobre el rol del CRO, entre otras. Esto lleva a preguntarse ¿cuál es el perfil de los CRO que requieren las empresas colombianas?

Por lo anterior, es fundamental conocer desde diferentes perspectivas la necesidad que tienen las empresas de contar con un CRO que tenga un desempeño de mayor pertinencia. De este modo, se logra una gestión de riesgos efectiva, con una visión holística y preventiva para la empresa que facilite el cumplimiento de sus objetivos, y con una mirada estratégica que agregue valor en la búsqueda de la continuidad y sostenibilidad de la compañía (Marsh & Davidge, 2018b)

Para el desarrollo de este estudio, se utiliza una metodología cualitativa de carácter descriptivo, dado que se recogen datos en profundidad desde diferentes perspectivas, tanto a nivel teórico como práctico, sobre el perfil del CRO (Hernández-Sampieri y Mendoza, 2018). Con el mismo propósito, se realiza una revisión de literatura sobre la administración de riesgos y sobre el director o CRO en bases de datos académicas, científicas y técnicas, y en documentos corporativos. Posteriormente, se llevan a cabo entrevistas semiestructuradas a CRO de grandes empresas colombianas de diversos sectores y a expertos consultores que han hecho aportes al desempeño de la administración de riesgos en las empresas a las que acompañan. Las entrevistas a los expertos sirven como fuente de triangulación entre lo encontrado en la teoría y lo manifestado por los CRO entrevistados.

Este estudio permitió analizar el perfil que requiere un CRO en las grandes empresas de Colombia, a partir de la comprensión de los rasgos, las habilidades, las aptitudes y los conocimientos que son necesarios para lograr un adecuado desempeño que contribuya a la gerencia en la búsqueda de valor económico, el cual puede medirse mediante indicadores financieros como el retorno en los activos (ROA, por sus siglas en inglés), la Q de Tobin, el retorno sobre la inversión (ROE, por sus siglas en inglés), así como otros indicadores establecidos por la dirección para medir el desempeño de la organización (Ai et al., 2018).

Dentro de los resultados encontrados en este estudio, se evidenció que también debe darse prioridad al desarrollo de competencias blandas que requieren los CRO, como capacidad de liderazgo, competencias de relacionamiento y negociación, pensamiento crítico y sistémico, y no solo a los conocimientos técnicos que son necesarios para el ejercicio de su labor. Asimismo, se identifican las tendencias y los retos de los administradores de riesgos, y se contrastan con las funciones que desempeñan en la actualidad en el contexto colombiano. De este modo, se identifican las brechas existentes entre lo que plantea la teoría acerca del perfil que debe tener un CRO versus lo que en la práctica la alta dirección de las empresas espera que les aporte este rol, para efectuar una adecuada toma de decisiones organizacionales con miras a obtener la sostenibilidad económica, social y ambiental que exhortan las partes interesadas (COSO, 2013).

2. MARCO TEORICO

Las organizaciones se ven enfrentadas a una creciente complejidad de riesgos, dadas la velocidad del cambio, las tecnologías emergentes, la divulgación de la información, las tendencias sociales, los factores geopolíticos y el aumento de las leyes y regulaciones mundiales. Por estas razones, en virtud de la relación que existe entre los riesgos y los métodos más avanzados de identificación y cuantificación de riesgos que han surgido (Lechner & Gatzert, 2018), la gestión de riesgos empresariales (ERM, por sus siglas en inglés) se ha vuelto cada vez más importante para las empresas. Esto seguido del análisis de interdependencias y correlación de riesgos que se requieren para brindar con cifras y datos objetivos (Marsh, 2018a) soporte a la toma de decisiones y lograr un adecuado manejo de las variables de la organización.

Por lo anterior, se requieren gerentes o directores de riesgos competentes que contribuyan a gestionar de manera efectiva las diferentes situaciones de carácter interno y externo a las cuales se exponen las empresas (Marsh & Davidge, 2018), al igual que a los diferentes retos y tendencias a los cuales se enfrentan, con independencia del sector económico al cual pertenezcan y del tipo y tamaño de la organización.

2.1 Tendencias en la administración de riesgos y el papel del CRO

La gestión integral del riesgo ahora se encarga de evaluar, controlar y monitorear los riesgos de todas los departamentos o las unidades de negocio y sus interrelaciones (Seik et al., 2011), a diferencia de la administración tradicional que manejaba los riesgos de cada unidad de negocio de manera independiente y solo se centraba en los riesgos puros. Esto contribuye a mejorar el rendimiento de la empresa y a generar valor desde una perspectiva estratégica (Berry-Stölzle & Xu, 2018).

Para lograr lo anterior, las organizaciones deben añadirle la gestión de riesgos empresariales a su proceso de planeación estratégica, para permitir la evaluación de las oportunidades y las amenazas, de modo que puedan lograr con éxito sus objetivos estratégicos (Francis & Paladino, 2008; Oliveira et al., 2019).

En relación con lo planteado, uno de los principales retos de la gestión de riesgos es lograr que los mapas de riesgos sean una herramienta que contribuya a la toma de decisiones, junto con los indicadores clave de riesgos (KRI, por sus siglas en inglés) y la incorporación de tecnologías que permitan automatizar, capturar y analizar datos para informar sobre las medidas de los riesgos del entorno (Francis & Paladino, 2008). Acerca de los KRI, estos se constituyen en un sistema robusto de alertas tempranas a nivel corporativo, y les sirven a las diversas áreas de la organización para monitorear los riesgos y hacerles seguimiento (Gupta et al., 2012; Marsh, 2018a).

En este contexto, los referentes de la gestión de riesgos empresarial (ERM) suelen incluir el nombramiento de un alto ejecutivo, el CRO, que supervise todo el marco integral de riesgos en las organizaciones (Lechner & Gatzert, 2018), y que, además, tenga presentes los efectos de las nuevas tendencias en la administración de riesgos, las cuales según COSO (2017) abarcan:

  1. Nuevas formas de estructurar los datos externos e internos de la entidad, los cuales son un insumo para las herramientas avanzadas de análisis y visualización de datos que permiten entender el riesgo y su impacto.

  2. Inteligencia artificial y automatización para monitorear riesgos.

  3. Gestión de los costos de la administración de riesgos y de los procesos de control y cumplimiento, para que estos no superen los beneficios que trae su implementación.

  4. Fortalecimiento de las organizaciones mediante la integración de ERM con los lineamientos estratégicos, para conocer los riesgos que pueden generar un mayor impacto y gestionarlos de forma anticipada (p. 7).

El CRO también debe considerar los riesgos emergentes a los que está expuesta la empresa, es decir, aquellas amenazas o eventos externos que pueden tener un impacto inesperado y significativo en los resultados de la organización y en la posición de esta en el mercado, por lo que debe gestionar su eficacia y aprovechar las oportunidades y ventajas derivadas de estos eventos (Marsh, 2018a). La velocidad del riesgo (risk velocity), criterio que se define como la rapidez con la que se exhibe un riesgo y la velocidad con la que trae su impacto, también ha adquirido relevancia en los últimos años en la literatura de riesgos (Justin, 2016; Marsh, 2018a).

2.2 Perfil, roles y responsabilidades del CRO

A principios de la década de los noventa, ninguna organización tenía en su nómina un CRO, ya que los directores ejecutivos (CEO, por sus siglas en inglés) solo se preocupaban por las amenazas que pudieran afectar el estado de la situación financiera de la entidad; pero, conforme la economía digital, la tecnología y la globalización fueron ganando fuerza, las empresas comenzaron a tener un mayor relacionamiento con su entorno y con sus diferentes variables, por ende, el nivel de rapidez y complejidad de los riesgos del negocio aumentó y surgió la necesidad de gestionarlos para controlar su impacto y aprovecharlos como ventaja competitiva (Karanja & Rosso, 2017; Lamser & Helland, 2000). Durante esa misma década, tuvieron lugar algunos escándalos corporativos que motivaron la gestión de los riesgos y el control interno como significado de buen gobierno y responsabilidad corporativa (COSO, 2004; Power, 2007; Tarantino, 2006). De hecho, el primer puesto de CRO se creó en 1993 cuando General Electric Capital contrató a James Lam para que gestionara sus riesgos financieros (Brown, 2010; Karanja & Rosso, 2017).

En sus inicios, el CRO proporcionaba la información del riesgo requerida por el CEO para maximizar las ganancias de los accionistas y del estado de la situación inanciera (Lamser & Helland, 2000); sin embargo, este rol ha venido evolucionado, y ahora el papel del CRO tiene una función estratégica esencial, porque, por medio del ejercicio de sus funciones de gestión de los riesgos que están presentes en todos los niveles de la organización, contribuye a que la entidad logre sus propósitos fundamentales, y además le brinda a la alta gerencia asesoría en la toma de decisiones (Pagach & Warr, 2011; Wright, 2018).

El CRO es responsable de establecer un marco de gestión de riesgos integrado en toda la organización (Donnelly, 2011). También se encarga de supervisar la evaluación del riesgo empresarial y del desarrollo de mecanismos para su mitigación, al igual que de articular el apetito de riesgo de la entidad, de fomentar una cultura de riesgos en toda la organización y de relacionar a todos los grupos de interés con ERM (Wright, 2018). Entre las responsabilidades del CRO, se encuentra participar en algunos comités directivos, comunicar los riesgos a toda la organización, promover discusiones continuas sobre los riesgos que pueden presentarse en todos los procesos y niveles de la empresa, y proporcionarle al comité de riesgos una visión prospectiva sobre los riesgos que pueden afectar a la organización (Francis & Paladino, 2008). Sin embargo, los CRO no son quienes identifican los riesgos y no son sus dueños (Roberts, 2006). Esta responsabilidad recae sobre el CEO, los directores operativos y los ejecutivos delegados por la organización (Donnelly, 2011; Institute of Internal Auditors [IIA], 2013).

Los roles del CRO han sido resumidos en tres responsabilidades principales: ser líder, ser estratega y ser un facilitador (Karanja & Rosso, 2017). Estos roles implican desarrollar algunas habilidades como capacidad de trabajar en ambientes multidisciplinarios, tener trayectoria en diferentes niveles del área de riesgos, ser capaz de integrar información de diversas fuentes, conectar las implicaciones de los riesgos con las estrategias de la organización y tener la capacidad de comunicar de manera adecuada la información del área de riesgos con los diferentes miembros de la organización (Donnelly, 2011).

Estos roles son definidos conforme a los tres principales papeles gerenciales clásicos de Mintzberg (1990): interpersonal (líder y enlace), informativo (monitor y portavoz) y decisional (empresario y asignador de recursos). Los roles interpersonales de líder y enlace implican el relaciona-miento con las personas; los roles decisionales de empresario y asignador de recursos hacen referencia a las iniciativas empresariales estratégicas que tienen efecto sobre la empresa; y los roles informativos de monitor y portavoz se enfocan en la recopilación, el procesamiento e el intercambio de la información tanto interna como externa.

Con los roles y las responsabilidades vistos, ahora el CRO tiene el compromiso de proporcionarle al CEO, a la junta y a los accionistas información que ayudará a tomar la decisión estratégica más pertinente para la organización, de acuerdo con dos factores: el efecto de las estrategias sobre los flujos futuros de efectivo de la entidad y la eficiencia del capital económico para asegurar la disponibilidad de este para financiar o crear nuevos negocios (Karanja & Rosso, 2017).

2.3 Habilidades y desempeño del CRO

Los CRO requieren tener fuertes habilidades interpersonales y experiencia técnica para comunicarse de una forma clara con los altos ejecutivos y áreas de la organización, tener la capacidad de simplificar algunos temas de ERM en las reuniones con la junta que puedan ser difíciles y articular de forma precisa temas que tienen un alto grado de complejidad (Wright, 2018). Un CRO debe ser un buen negociador, ser un profesional analítico con un conocimiento profundo de la organización y del entorno empresarial, contar con las personas adecuadas y tener habilidades tanto de comunicación como de liderazgo (Karanja & Rosso, 2017).

Además, requieren habilidades para integrar las nuevas tecnologías para el desarrollo de sus actividades habituales, por ejemplo, actualmente necesitan una capacidad que les permitan integrar los nuevos desarrollos de big data e inteligencia artificial (IA), con los análisis de riesgos, lo que les posibilitaría mejorar la efectividad de sus actividades (De Serres, 2019).

Respecto del desempeño del CRO, cuando se elaboran informes sobre el monitoreo y la evaluación de los riesgos, los altos directivos esperan que entreguen cifras sobre los beneficios o ganancias en riesgos en el balance general y sobre perfiles de riesgos y de análisis cuantitativos del impacto o de las pérdidas que pueden generar estos riesgos (Lamser & Helland, 2000), para contar con la información pertinente que les permitan tomar decisiones más acertadas, con menor incertidumbre.

Para ello, deben trabajar con las áreas administrativa, operativa, financiera, de seguros y legal (Karanja, 2017). Por ende, el CRO debe desempeñar funciones de cumplimiento en un entorno de continuos cambios regula-torios, trabajar con el área de control interno, auditoría interna, fraude y cumplimiento, y también debe garantizar las políticas de riesgo de la empresa y las metodologías de reporte (Karanja, 2017).

3. METODOLOGÍA

El objetivo de este estudio es analizar el perfil que requiere un CRO que se vaya a desempeñar en alguna de las grandes empresas de Colombia, a partir del conocimiento de los rasgos, las habilidades, las aptitudes y los conocimientos que se necesitan para que puedan tener un adecuado desempeño, contribuir a la toma de decisiones organizacionales y lograr los objetivos establecidos.

Dada la necesidad de recolectar datos en profundidad de manera no estandarizada sobre las percepciones, experiencias, opiniones y cualidades personales de los CRO, se empleó una metodología cualitativa con un alcance descriptivo, lo cual permite detallar las características y los peri-les de las personas (Hernández-Sampieri y Mendoza, 2018). Este estudio utilizó un diseño de análisis fenomenológico interpretativo (AFI), el cual permite interpretar la experiencia vivida de los diferentes participantes del estudio y de ahí identificar conceptos y categorías clave para el cumplimiento del objetivo de la investigación (Smith & Shinebourne, 2012). Los datos se recolectaron en un único momento del tiempo y no hubo manipulación de la realidad, por lo cual la investigación fue transversal y no experimental (Corbetta, 2003; Hernández-Sampieri y Mendoza, 2018).

Para indagar el rol de los CRO, inicialmente se llevó a cabo una revisión de literatura en bases de datos académicas, científicas y técnicas y en documentos corporativos, para conocer lo que teóricamente se ha desarrollado sobre el tema.

A continuación, se emplearon entrevistas semiestructuradas como instrumento de recolección de información, las cuales se caracterizan por ser más flexibles, abiertas y personales (King & Horrocks, 2010; Savin-Baden & Major, 2013). La entrevista es el instrumento más adecuado para este estudio, porque por medio de preguntas y respuestas se puede hacer una construcción de significados respecto de un tema (Janesick, 2015). En el momento de realizar el muestreo, se eligieron individuos que suministraran información valiosa para guiar el estudio (Palinkas et al., 2015) y que cumplieran con criterios como el cargo ocupado era parte del equipo de administración de riesgos de la empresa, que tuvieran amplia experiencia en la gestión de riesgos y que dentro de su profesión contaran con título de maestría. Respecto del tamaño de la muestra, en las investigaciones cualitativas, se considera que con un rango mínimo de cuatro casos se pueden hacer comparaciones y obtener resultados útiles para llegar a conclusiones más generales (Eisenhardt, 1989).

Las entrevistas se realizaron durante 2019 en Medellín, y se obtuvo información de siete directores, gerentes o líderes del área de riesgos, seguros, estrategia y continuidad del negocio, y de dos personas expertas que hacen parte de entidades consultoras que le dan acompañamiento en el tema a diferentes empresas. Las nueve personas entrevistadas hacen parte de siete grandes empresas de Colombia, de alcance nacional e internacional. Se entrevistaron diferentes roles de la organización que intervienen en el sistema de administración de riesgos, para obtener una mayor información, de modo que permitiera hacer una triangulación entre la percepción que tienen los expertos consultores y los miembros del equipo que acompañan a los CRO, la visión propia de los CRO sobre su rol y su perfil, para contrastarlos con lo que teóricamente se tiene establecido.

De acuerdo con el artículo 2 del Decreto 957/2019, de 5 de diciembre de 2019, las empresas en Colombia se clasifican a partir de varios criterios: número de empleados, activos totales e ingresos brutos anuales. Para este estudio, se tomaron como referencia los valores de la Ley 905/2004, de 2 de agosto de 2004, según los cuales las grandes empresas son aquellas que tienen una planta superior a 200 empleados y unos activos totales superiores a 30 000 salarios mínimos legales mensuales vigentes (s. m. l. m. v.). Sin embargo, de acuerdo con el Decreto 957/2019, de 5 de diciembre de 2019, también se pueden clasificar según los ingresos por actividades ordinarias anuales divididas en tres sectores: manufactura, servicios y comercio. Los sectores diferentes de los anteriores se adhieren al sector de manufactura (Banco de Comercio Exterior de Colombia [Bancóldex], 2019). A continuación, en la tabla 1, se detalla el perfil de los entrevistados según sus roles y el sector al que pertenece la empresa.

Tabla 1 Perfil de los entrevistados y sector al que pertenece la empresa 

CRO: gerente de riesgos; MBA: Maestría en Administración de Empresas.

Fuente: Elaboración propia.

En el protocolo de entrevista, se formularon nueve preguntas relacionadas con el objetivo general y con los objetivos específicos de esta investigación, los cuales son explorar las responsabilidades y actividades que desarrolla el CRO actualmente, así como las habilidades y competencias con las que cuenta; identificar las tendencias de la administración de riesgos en el mundo que permitan complementar el rol del CRO actual aplicable al contexto colombiano; examinar la incidencia del desempeño del CRO en la toma de decisiones; y reconocer las necesidades de la alta dirección con respecto al desempeño del CRO en empresas colombianas.

Asimismo, para el planteamiento de las preguntas, se consideraron las categorías definidas en el marco teórico: tendencias en la administración de riesgos y papel del CRO, perfil, roles y responsabilidades del CRO, y habilidades y desempeño del CRO. Los protocolos de entrevistas fueron adaptados de manera diferente para los CRO, para las personas que forman parte de los equipos de riesgos y para los expertos consultores, dado que requerían ciertas especificaciones que dependían del entrevistado. Además, los protocolos fueron probados antes de su aplicación, para encontrar mejoras en el lenguaje y en los aspectos indagados.

En el momento de realizar las entrevistas, se indagó la experiencia personal y profesional de los entrevistados en administración de riesgos, de forma tal que fuera posible identificar tendencias, temas y retos que tienen las organizaciones; habilidades blandas y competencias técnicas que requiere un CRO; nivel de participación de la alta dirección en la administración de riesgos; estrategias de credibilidad y motivación que se utilizan para fortalecer el tema; y beneficios que le genera a la empresa la gestión de los riesgos empresariales.

Una vez se hicieron todas las entrevistas, se procedió a transcribir y codificar los datos a partir de las categorías de análisis establecidas, lo que permitió organizar la información, de modo que facilitara el análisis de los resultados obtenidos. Además, se encontraron categorías emergentes que surgieron de la experiencia de los entrevistados y que no fueron encontradas en la teoría estudiada, las cuales permitieron enriquecer la investigación.

Lo anterior permite darles respuesta a los objetivos específicos acerca de identificar las tendencias de la administración de riesgos en el mundo, que permitan complementar el rol del CRO actual aplicable al contexto colombiano y reconocer las necesidades de la alta dirección con respecto al desempeño del CRO en empresas colombianas. También se formularon preguntas sobre competencias técnicas, habilidades blandas y estrategias que deben desarrollar los CRO para gestionar los riesgos en la organización, con lo cual se le da respuesta al objetivo general de este estudio, que busca analizar el perfil que requiere un CRO para desempeñarse en grandes empresas de Colombia.

4. RESULTADOS

Los resultados del estudio se obtuvieron a partir de la información recopilada en las entrevistas formuladas tanto a CRO como a diferentes personas que hacen parte del equipo de riesgos de grandes empresas colombianas. Asimismo, se obtuvieron datos proporcionados por consultores que tienen amplia experiencia en el acompañamiento de CRO, principalmente en el desempeño de su rol dentro de las organizaciones.

A continuación, se detalla la información obtenida en el trabajo de campo realizado, de acuerdo con las categorías de análisis identificadas en la teoría; las tendencias en la administración de riesgos; el papel del CRO; el perfil, los roles y las responsabilidades del CRO; y las habilidades y el desempeño del CRO. Lo anterior para darles cumplimiento al objetivo general y los objetivos específicos de la investigación y presentar las conclusiones y los aportes relacionados con el perfil del CRO colombiano, observado desde la teoría y la práctica, y así identificar las brechas existentes.

4.1 Tendencias en la administración de riesgos y el papel del CRO

De acuerdo con lo planteado por los CRO A1 y A6, las áreas de riesgos, y particularmente sus líderes, se encuentran en un momento coyuntural en la actualidad, debido a que las juntas directivas exigen mayores retos en cuanto a la forma de presentarse la información, a los modelos de cuantificación de los riesgos, al aprovechamiento de la tecnología, a la analítica y al uso de herramientas de automatización que conduzcan a resultados más contundentes desde el punto de vista de los análisis de riesgos y oportunidades.

El CRO A7 establece como reto fundamental para los líderes de riesgos en las organizaciones trabajar los elementos de correlación y velocidad de riesgos. Asimismo, trabajar en profundidad los riesgos emergentes a los cuales se encuentra expuesta la empresa, debido a que consideran que actualmente son pocas las compañías que dimensionan el tema y a que corresponde a una tendencia a explorar, lo cual es corroborado por el experto consultor B2.

Asimismo, los CRO A5, A6 y A7 resaltan que en la organización se requiere cada vez más una mayor fortaleza en la transformación de la cultura de riesgos que permita crear mayor sensibilización y conciencia sobre la masificación de riesgos, para que estas actividades no se vuelvan una carga para las áreas, sino que sean parte inherente de la labor diaria, y así se logre identificar los beneficios que le aportan a la gestión de la organización. En este sentido, los expertos consultores B1 y B2 confirman que facilitar la alineación de los incentivos con los indicadores de desempeño y los indicadores de riesgos contribuirá a obtener unos resultados de mayor impacto.

Por otro lado, el CRO A6 plantea la necesidad de contar con estructuras de riesgos más livianas, que faciliten la gestión del área, y con claridad en cuanto a la diferencia que debe existir entre las áreas de cumplimiento y de riesgos, para que no se generen ambigüedades en relación con las funciones de cada una.

Una conclusión a la que llegan tanto los gerentes y miembros de equipos de riesgos consultados como los consultores entrevistados tiene que ver con el cambio en la orientación de las áreas de gestión de riesgos, y establecen que se debe pasar de una gestión de riesgos reactiva a una gestión de riesgos proactiva, con un enfoque en los datos y en los análisis matemáticos, que permitan obtener información que le agregue valor a la toma de decisiones y al cumplimiento de los objetivos organizacionales.

4.2 Perfil, roles y responsabilidades del CRO

Los entrevistados A1 y A2 plantean la importancia de su participación en los procesos de formulación y revisión estratégica, y consideran que todos los CRO deben hacer parte de estos momentos organizacionales, porque les permite fortalecer la capacidad de leer el entorno, filtrar e identificar lo que pasa, y traducir esos elementos en las señales de alerta que deben tratarse y monitorearse, en lo cual coincide el experto consultor B2.

Asimismo, el CRO A6 establece que entre sus responsabilidades están fomentar la integración de ERM con la estrategia de la compañía y generar espacios para el debate y la confrontación, de forma tal que la junta directiva y los miembros de la organización se sientan cómodos con la incertidumbre, dado que esta es inherente a los negocios.

Otra de las responsabilidades del CRO tiene que ver con la capacidad para reinventar y mejorar constantemente la metodología de riesgos de la compañía y con ser capaz de relacionar a todos los grupos de interés con el desarrollo del tema, según lo exponen los entrevistados A1, A3 y A4.

Dentro del perfil del CRO se reconoce la capacidad que debe tener para trabajar en ambientes multidisciplinarios; participar activamente en comités directivos, de auditoría y riesgos; y contar con los conocimientos y experiencia necesarios para guiar la estructuración del apetito al riesgo de la organización, de acuerdo con lo planteado por los entrevistados A2 y A7, y corroborado por los expertos entrevistados.

Los CRO A1, A2, A5 y A6 establecen que un CRO debe ser un experto en la industria, en las metodologías de riesgos, en el manejo de sistemas de información y de bases de datos, y en el conocimiento de modelos matemáticos y probabilísticos; además, debe conocer sobre continuidad del negocio y administración de seguros, lo cual es confirmado por los expertos consultores B1 y B2.

4.3 Habilidades y desempeño del CRO

Dentro de las habilidades con las que debe contar un CRO para tener un adecuado desempeño de su labor, se encuentran elementos tanto del desarrollo de competencias blandas, desde el ser, como de competencias técnicas, que tienen que ver con los conocimientos y las experiencias que se requieren. Los CRO y los consultores entrevistados coinciden en que en la actualidad son más importantes las habilidades blandas que debe desplegar este perfil que las habilidades técnicas que se requieren.

En lo relacionado con las competencias y habilidades blandas, un CRO debe tener liderazgo, pensamiento crítico, capacidad de síntesis, pensamiento sistémico, una comunicación asertiva con todos los niveles de la organización, inteligencia emocional, capacidad de adaptación y, sobre todo, algo en lo que coinciden todos los CRO y consultores, que debe tener una alta tolerancia a la frustración, para que sea capaz de sobreponerse rápidamente a situaciones difíciles. Esto en atención a que la administración de riesgos requiere tiempo para que sea interiorizada y se genere una verdadera conciencia sobre su importancia y los beneficios para las empresas.

La creatividad y la innovación son habilidades que resaltan el CRO A5 y el consultor B1 como elementos fundamentales para perfeccionar la madurez del tema en las organizaciones. Lo anterior debido a que consideran que, en la medida en que se logre mejorar las metodologías y los componentes del sistema de administración de riesgos, a partir de un adecuado uso de la tecnología y herramientas establecidas por la cuarta revolución industrial, se lograrán resultados que trasciendan a todas las personas de la compañía.

Dentro de las habilidades y competencias técnicas con las que debe contar un CRO, en todos los entrevistados predomina que tenga conocimiento en herramientas cuantitativas, en modelos y estándares sobre la gestión de riesgos, así como en sistemas integrados de gestión, procesos y calidad, y, sobre todo, que conozca los marcos normativos que rigen a la organización. Tener la capacidad de discernir sobre lo que pasa en el entorno y cómo afecta el modelo de negocio de la compañía es una habilidad que el CRO A1 resalta dentro de sus planteamientos.

Lo que destacan los gerentes A5 y A6, y que corrobora el experto consultor B1, para lograr el óptimo desempeño de un CRO es fundamental generar credibilidad y confianza, ante la junta directiva ser capaz de sintetizar la información valiosa que sirva para la toma de decisiones y tener muy claro el propósito que se quiere lograr con la información que se entrega, de modo que se pueda hablar de los riesgos desde la estrategia, los escenarios, las posibles materialidades y las convergencias con los mecanismos que se tienen disponibles para su financiación y tratamiento.

5. CONCLUSIONES

Con el desarrollo de esta investigación, se evidenció que el perfil del CRO en Colombia viene presentando transformaciones, desde el punto de vista de las responsabilidades con las que cuenta y de las competencias y habilidades que deben caracterizarlo. Esto se debe, en gran medida, a los cambios del entorno y a las tendencias de la administración de riesgos tanto a nivel nacional como internacional, y que tienen una amplia repercusión en los requerimientos de este rol en las organizaciones, para lograr resultados significativos y de alto impacto.

Dentro de las tendencias de la administración de riesgos, se observó, tanto a nivel teórico como práctico, que esta se sustenta en la necesidad de que las organizaciones deben trascender, y pasar de tener una gestión de riesgos por silos, a tener enfoques holísticos en los cuales se incorporen todos los niveles de la empresa, desde el momento de definir la estrategia hasta su ejecución (Francis & Paladino, 2008; Seik et al., 2011). Asimismo, de pasar de gestionar solo los riesgos puros, a tener un enfoque integral que incorpore todos los eventos a los cuales se enfrentan.

Un reto planteado por los entrevistados, y que se encuentra descrito en la teoría estudiada, tiene que ver con la necesidad de incorporar en la gestión de riesgos los elementos tecnológicos expuestos por la cuarta revolución industrial, contar con herramientas como analítica de datos, inteligencia artificial, robótica, automatización y demás elementos que sirvan como base para obtener resultados contundentes que faciliten la gestión de los riesgos organizacionales.

El rol del CRO cobra especial importancia en las empresas colombianas en los últimos años, debido a la necesidad que hay de contar con un líder estratégico que impulse la cultura de riesgos (Pagach & Warr, 2011), que establezca el gobierno de riesgos para la empresa y que proporcione información pertinente para la toma de decisiones, con miras a alcanzar los objetivos empresariales (ISO 31000:2018(en) Risk management - Guidelines). El CRO debe contar con conocimiento y experiencia en la disciplina, tener altas competencias de relacionamiento (dada la necesidad de mantener comunicación con los diferentes niveles de la organización y con los agentes externos a ella), ser un buen negociador, con pensamiento crítico y sistémico, y tener un amplio conocimiento sobre la empresa y su entorno (Karanja & Rosso, 2017).

En los resultados, se resalta la importancia de que los CRO tengan una alta tolerancia a la frustración, para que desarrollen la capacidad de sobreponerse rápidamente ante situaciones difíciles, mientras la administración de los riesgos adquiere la suficiente credibilidad y confianza en la empresa. Esta competencia no fue identificada en la teoría, pero se destaca desde la práctica. Asimismo, se plantea la importancia de que los CRO sean creativos e innovadores para perfeccionar el sistema de riesgos de la organización y que logren el nivel de madurez que se requiera para lograr los propósitos establecidos.

Dentro del conocimiento que debe tener el CRO se incluye la capacidad para gestionar de manera efectiva los riesgos emergentes a los cuales se encuentra expuesta la empresa (Marsh, 2018a). Asimismo, contar con claridad sobre utilización de herramientas de cuantificación y monitoreo de riesgos, sistemas integrados de gestión, marcos y estándares de riesgos y regulación que rige a la empresa, para lograr resultados que apoyen la visión prospectiva con la que debe contar la alta dirección.

El CRO en Colombia tiene el reto de simplificar el proceso de gestión de riesgos, para que no se convierta en una carga operativa para las personas y, de esta manera, alcanzar los resultados requeridos con miras al cumplimiento de objetivos empresariales y lograr que se desarrolle de manera natural en el día a día de las organizaciones.

Desde la academia se tienen grandes retos para formar el perfil del CRO que necesitan las empresas colombianas en la actualidad, con un enfoque no solo en competencias técnicas, sino también en las habilidades blandas de las que debe gozar este líder en la empresa, de modo que le permita generar una cultura de control de riesgos y de aprovechamiento de oportunidades, con una visión holística y gerencial de la empresa, y brindar información que facilite la toma de decisiones a todo nivel de la organización.

REFERENCIAS

Ai, J., Bajtelsmit, V. & Wang, T. (2018). The combined effect of enterprise risk management and diversification on property and casualty insurer performance. Journal of Risk and Insurance, 85(2), 513-543. https://doi.org/10.1111/jori.12166Links ]

Banco de Comercio Exterior de Colombia. (2019, junio 29). Clasificación de empresas en Colombia. https://www.bancoldex.com/clasificacion-de-empresas-en-colombia-200Links ]

Benischke, M. H., Martin, G. P. & Glaser, L. (2019). CEO equity risk bearing and strategic risk taking: The moderating effect of CEO personality. Strategic Management Journal, 40(1), 153-177. https://doi.org/10.1002/smj.2974Links ]

Berry-Stolzle, T. R. & Xu, J. (2018). Enterprise risk management and the cost of capital. Journal of Risk and Insurance, 85(1), 159-201. https://doi.org/10.1111/jori.12152Links ]

Brown, L. (2010). The chief risk officer: Your business ally. shorturl.at/csxSYLinks ]

Committee of Sponsoring Organizations of the Treadway Commission. (2017). Enterprise risk management: Integrating with strategy and performance. Executive summary. https://www.coso.org/Documents/2017-COSO-ERM-Integrating-with-Strategy-and-Performance-Executive-Summary.pdfLinks ]

Committee of Sponsoring Organizations of the Treadway Commission. (2004). Enterprise risk management: Integrated framework. Executive summary. https://www.coso.org/Documents/COSO-ERM-Executive-Summary.pdfLinks ]

Corbetta, P. (2003). Social research: Theory methods and techniques. Sage. [ Links ]

Decreto 957/2019, de 5 de diciembre, por el cual se adiciona el capítulo 13 al título 1 de la parte 2 del libro 2 del Decreto número 1074 de 2015, decreto único del sector comercio, industria y turismo y se reglamenta el artículo 2° de la Ley 590 de 2000, modificado por el artículo 43 de la Ley 1450 de 2011. Diario Oficial, núm. 50.975 (2019). [ Links ]

De Serres, A. (2019). Coping with the era of digitization: Interview of Alain Dumaine, Senior Vice President and Chief Risk Oficer, Ivanhoé Cambridge (Montreal, Canada). Journal of General Management, 44(3), 180-184. https://doi.org/10.1177/0306307018825080Links ]

Donnelly, R. (2011). Performing the role of Chief Risk Officer: Reconceptualising Enterprise Risk Management in search of better decision making (Tesis doctoral, University of Auckland). https://researchspace.auckland.ac.nz/hand-le/2292/9663Links ]

Eisenhardt, K. M. (1989). Building theories from case study research. Academy of Management Review, 14(4), 532-550. https://doi.org/10.5465/amr.1989.4308385Links ]

Faris, C., Gilbert, B., LeBlanc, B., Ballou, B. & Heitger, D. L. (2013). Integrating the triple bottom line into an enterprise risk management program. Committee of Sponsoring Organizations of the Treadway Commission. https://nexts-tepac.com/wp-content/uploads/2018/10/COSO-ERM-Demystifying-Sustai-nability-Risk_Full-WEB.pdfLinks ]

Francis, S. & Paladino, B. (2008). Enterprise risk management: A best practice approach. Journal of Corporate Accounting & Finance, 19(3), 19-33. https://doi.org/10.1002/jcaf.20382Links ]

Gupta, M., Prakash, P. & Rangan, N. (2012). Governance and shareholder response to chief risk oficer appointments. The Geneva Papers on Risk and Insurance-Issues and Practice, 37(1), 108-124. https://doi.org/10.1057/gpp.2011.30Links ]

Hernández-Sampieri, R. y Mendoza Torres, C. P. (2018). Metodología de la investigación: las rutas cuantitativa, cualitativa y mixta. McGraw-Hill. [ Links ]

Institute of Internal Auditors. (2013). IIA Declaración de posición: las tres líneas de defensa para una efectiva gestión de riesgos y control. https://na.theiia.org/trans-lations/PublicDocuments/PP%20The%20Three%20Lines%20of%20 Defense%20in%20Effective%20Risk%20Management%20and%20Con-trol%20Spanish.pdfLinks ]

ISO 31000:2018(en) Risk management - Guidelines. https://www.iso.org/obp/ui/#iso:std:iso:31000:ed-2:v1:enLinks ]

Janesick, V. J. (2015). "Stretching' exercises for qualitative researchers. Sage. [ Links ]

Justin, M. (2016). Close encounters with the third dimension of risk. Asset Management Conference (AM 2016). Doi: 10.1049/cp.2016.1410 [ Links ]

Karanja, E. (2017). Does the hiring of chief risk oficers align with the COSO/ ISO enterprise risk management frameworks? International Journal of Accounting and Information Management, 25(3), 274-295. https://doi.org/10.1108/IJAIM-04-2016-0037Links ]

Karanja, E. & Rosso, M. A. (2017). The chief risk officer: A study of roles and responsibilities. Risk Management, 19(2), 103-130. https://doi.org/10.1057/s41283-017-0014-zLinks ]

King, N. & Horrocks, C. (2010). Interviews in qualitative research. Sage. [ Links ]

Lamser, I. & Helland, E., (2000) How the chief risk officer is taking centre stage. Balance Sheet, 8(6), 26-28. https://doi.org/10.1108/EUM0000000005391Links ]

Lechner, P. & Gatzert, N. (2018). Determinants and value of enterprise risk management: empirical evidence from Germany. The European Journal of Finance, 24(10), 867-887. https://doi.org/10.1080/1351847X.2017.1347100Links ]

Ley 905/2004, de 2 de agosto, por medio de la cual se modiica la Ley 590 de 2000 sobre promoción del desarrollo de la micro, pequeña y mediana empresa colombiana y se dictan otras disposiciones. Diario Oficial, núm. 45628 (2004). [ Links ]

Marsh. (2018a). Explained: Risk and managing risk. A short guide. https://www.marsh.com/uk/insights/research/explained-risk-and-managing-risk-guide.htmlLinks ]

Marsh. (2018b). Reimagine Risk: Capturando oportunidades en un mundo de riesgo. https://www.anuarioseguros.lat/admin/storage/iles/MARSH.pdfLinks ]

McShane, M. (2018). Enterprise risk management: History and a design science proposal. Journal of Risk Finance, 19(2), 137-153. https://doi.org/10.1108/JRF-03-2017-0048Links ]

Mintzberg, H. (1990). The manager's job: Folklore and fact. Harvard Business Review, 68(2), 163-176. https://hbr.org/1990/03/the-managers-job-folklo-re-and-factLinks ]

Oliveira, K., Méxas, M., Meiriño, M. & Drumond, G. (2019). Critical success factors associated with the implementation of enterprise risk management. Journal of Risk Research, 22(8), 1004-1019. https://doi.org/10.1080/13669877.2018.1437061Links ]

Pagach, D. & Warr, R. (2011). The characteristics of irms that hire chief risk officers. Journal of Risk and Insurance, 78(1), 185-211. https://doi.org/10.1111/j.1539-6975.2010.01378.xLinks ]

Palinkas, L. A., Horwitz, S. M., Green, C. A., Wisdom, J. P., Duan, N. & Hoagwood, K. (2015). Purposeful sampling for qualitative data collection and analysis in mixed method implementation research. Administration and Policy in Mental Health and Mental Health Services Research, 42(5), 533-544. https://doi.org/10.1007/s10488-013-0528-yLinks ]

Power, M. (2007). Organized uncertainty: Designing a world of risk management. Oxford University Press. [ Links ]

Roberts, D. (2006). The chief risk officer: Finding new ways forward. The RMA Journal, 88(11), 66-69. https://cms.rmau.org/uploadedFiles/Credit_Risk/Library/RMA_Journal/Credit_Risk_Management/The%20Chief%20 Risk%20Officer_%20Finding%20New%20Ways%20Forward.pdfLinks ]

Savin-Baden, M. & Major, C. (2013). Qualitative research: The essential guide to theory and practice. Routledge. [ Links ]

Seik, H. Y., Yu, J. & Li, J. (2011). Enterprise risk management in financial crisis. IUP Journal of Risk & Insurance, 8(3), 7-21. [ Links ]

Smith, J. A. & Shinebourne, P. (2012). Interpretative phenomenological analysis. En H. Cooper, P. M. Camic, D. L. Long, A. T. Panter, D. Rindskopf & K. J. Sher (Eds.), APA handbooks in psychology®. APA handbook of research methods in psychology, Vol. 2. Research designs: Quantitative, qualitative, neuropsychological, and biological. (pp. 73-82). American Psychological Association. https://doi.org/10.1037/13620-005Links ]

Tarantino, A. (2006). Manager's guide to compliance: Best practices and case studies. John Wiley & Sons. [ Links ]

Thomas, C. K. & Smith, S. (2020). An internal company analysis of avalanche creative: Toward enhancing business management in the creative design industry. Journal of Advanced Research in Dynamical and Control Systems, 12(1),1-4. Doi: 10.5373/JARDCS/V12I1/20201001 [ Links ]

Wright, C. (2018). The CAE-CRO relationship: Chief audit executives and chief risk officers can collaborate in many ways to ensure the organization manages risks effectively. Internal Auditor, 75(1), 31-36. [ Links ]

Recibido: 14 de Noviembre de 2019; Aprobado: 25 de Junio de 2020

Creative Commons License Este es un artículo publicado en acceso abierto bajo una licencia Creative Commons

 
Kilómetro 5 Vía Antigua a Puerto Colombia
Tel.: 57 5 3509509