En un entorno cada vez más incierto, en el que las organizaciones enfrentan riesgos que trascienden lo financiero, pasando a dimensiones tecnológicas, reputacionales, regulatorias y sociales, la gestión de riesgos dejó de ser una función técnica delegada en áreas específicas. Hoy, representa una responsabilidad indelegable del directorio. En otras palabras, no se trata solo de «administrar riesgos», sino de gobernar con riesgos en mente.

En muchas organizaciones de América Latina, la función de riesgo aún se percibe como un ejercicio operativo, vinculado a seguros, auditorías o cumplimiento normativo. Sin embargo, los estándares internacionales de gobernanza, como los promovidos por la OCDE y la CAF, coinciden en que el órgano de gobierno debe liderar activamente la gestión de riesgos, asegurando que estos sean identificados, evaluados y monitoreados en el marco de los objetivos estratégicos.

El directorio no puede limitarse a aprobar reportes ni a recibir presentaciones periódicas del área de control interno o de la unidad a la que se le asignó la gestíon de riesgo. Su rol implica formular preguntas críticas, desafiar supuestos y supervisar si la organización tiene realmente un sistema robusto, actualizado y adaptado a su contexto de riesgos. La gestión de riesgos no es solo una política, es una práctica cultural que requiere liderazgo visible.

Los riesgos tradicionales, como los financieros u operacionales, siguen siendo relevantes. Pero hoy los directorios también deben ocuparse por otros, como ciberseguridad, disrupciones tecnológicas, cambios regulatorios abruptos, crisis reputacionales, riesgos climáticos, y hasta riesgos éticos derivados de una cultura organizacional débil.

Muchas veces, estos riesgos no se manifiestan con señales evidentes hasta que es demasiado tarde. Por eso, los directorios deben adoptar una actitud proactiva, integrando en su deliberación herramientas como mapas de riesgo, escenarios de crisis, simulacros y análisis de impacto. Un directorio que no está informado o que no desafía a la gestión sobre estos temas, simplemente no está cumpliendo con su función.

Una de las responsabilidades clave del directorio es definir el apetito por el riesgo de la organización, cuánto riesgo se está dispuesto a asumir en función del modelo de negocio y los valores institucionales. Esta definición debe ser explícita, documentada y alineada con los intereses de largo plazo de los stakeholders. El gerente general debe tener claro ese marco para poder gestionar dentro de esos límites.

Asimismo, los directorios deben asegurarse de que existe un código de ética. Riesgos éticos y de compliance, muchas veces considerados “intangibles”, pueden desencadenar crisis reputacionales de gran magnitud.

Gobernanza en tiempos de crisis

Las crisis son pruebas de estrés para los sistemas de gobernanza. La pandemia de COVID‑19 lo demostró. Muchas organizaciones carecían de planes de continuidad, líneas claras de mando o capacidad de adaptación. En esos momentos, el rol del directorio se vuelve aún más relevante, evaluar escenarios, proteger los activos críticos, sostener la comunicación con stakeholders y mantener la misión organizacional bajo presión.

Pero esa responsabilidad no comienza en la crisis, sino mucho antes, cuando el directorio decide, o no, invertir tiempo en preparar a la organización para lo inesperado. El contar con un plan, la evaluación de vulnerabilidades tecnológicas y la existencia de un comité de crisis son buenas prácticas de gobernanza.

Buenas prácticas que marcan la diferencia

Se pueden considerar que una organización tiene buenas prácticas de gestión de riesgo cuando se dan los siguientes elementos:

• El directorio aprueba y revisa regularmente el marco de riesgos.
• Existen comités de riesgos o comités integrados (auditoría y riesgos) con mandato claro.
• Se utilizan indicadores clave de riesgo (KRI) para anticipar problemas.
• Se desarrollan escenarios y simulacros para riesgos críticos.
• La cultura de riesgo es transversal y promovida por la alta dirección.
• Hay retroalimentación y aprendizaje poscrisis.

Estas prácticas no solo pueden ayudar a mitigar eventos adversos, sino que aumentan la resiliencia organizacional. En un contexto en el que los mercados, los reguladores y la sociedad civil exigen más responsabilidad y transparencia, esto se traduce en confianza, reputación y sostenibilidad.

En Uruguay todavía persisten desafíos en esta materia. Muchas empresas no cuentan con una matriz de riesgos actualizada ni definen con claridad sus niveles de tolerancia. Además, el rol del directorio en ciberseguridad, un tema en plena expansión, aún no se encuentra suficientemente desarrollado.

Este rezago no se debe a una falta de capacidad, sino muchas veces a una subestimación del riesgo, una confianza excesiva en la estabilidad del entorno o una cultura que ve estos temas como asuntos “técnicos” y no estratégicos. Es hora de cambiar esa visión.

Gobernar con conciencia de riesgo

Los directorios tienen la responsabilidad fiduciaria y ética de proteger la sostenibilidad de la organización, lo que implica prepararse para lo incierto, anticiparse a lo complejo y actuar con criterio.

En un mundo en el que los riesgos son cada vez más interdependientes y donde las expectativas sociales sobre el comportamiento de las organizaciones son más altas, la capacidad del directorio para liderar la gestión de riesgos será uno de los factores más críticos a la hora de medir su eficacia.

Hoy más que nunca, gobernar bien es también gobernar con riesgo.