Getty Images/iStockphoto

Reportaje

Nueve errores comunes en la gestión de riesgos y cómo evitarlos

A medida que las corporaciones reelaboran sus modelos de negocio y estrategias para hacer frente a diversos retos nuevos, los riesgos abundan. A continuación, se presentan nueve errores en la gestión de riesgos a los que hay que prestar atención.

por
Publicado: 15 dic 2025

Muchas organizaciones están cambiando sus modelos de negocio y estrategias con más frecuencia que en el pasado, en parte para aprovechar la inteligencia artificial y otras nuevas tecnologías, y en parte debido a las interrupciones de la cadena de suministro y las obligaciones normativas. El aumento del ritmo del cambio ha introducido nuevos riesgos comerciales para las corporaciones, lo que hace aún más imperativo que estas se aseguren de que sus programas de gestión de riesgos sean eficaces.

Los fallos en la gestión de riesgos se describen a menudo como el resultado de acontecimientos desafortunados, comportamientos imprudentes o malos juicios, y algunos lo son claramente. Sin embargo, un análisis más profundo muestra que muchos riesgos se deben a problemas sistémicos que podrían haberse abordado con un programa de gestión de riesgos corporativos (ERM, por sus siglas en inglés) más proactivo y completo.

Le presentamos nueve errores comunes en la gestión de riesgos que deben evitarse como parte de una iniciativa de ERM, junto con orientación sobre cómo hacerlo.

1. Mala gestión y controles de riesgo deficientes

Citibank fue noticia por motivos negativos cuando, en agosto de 2020, transfirió por error el pago de un préstamo de 900 millones de dólares a los acreedores de la empresa de cosméticos Revlon. Posteriormente, un juez federal dictaminó que Citibank no tenía derecho a que los 10 prestamistas que se habían negado a devolver unos 500 millones de dólares le reembolsaran el dinero, aunque un tribunal de apelación anuló la sentencia y el banco finalmente recuperó todo el dinero.

Citibank contaba con políticas y tecnologías relacionadas con el riesgo, como terminales dedicados para transferir grandes cantidades de dinero y un conjunto de controles internos que revisaron tras pasar al teletrabajo durante la pandemia de COVID-19. Sin embargo, el error se atribuyó a un paquete de software instalado recientemente que tenía problemas de interfaz de usuario y no incorporaba los controles adecuados, lo que provocó un error humano. “Este fue un caso en el que el factor humano puede superar cualquier cantidad de buena tecnología que se haya instalado”, afirmó Chris Matlock, vicepresidente y director del equipo de analistas de Gartner.

Sin embargo, los problemas eran más profundos, ya que afectaban al núcleo de las iniciativas de gestión de riesgos de la empresa. Dos meses después de que se realizara el pago erróneo, Citibank fue multado con 400 millones de dólares por los reguladores estadounidenses por lo que el Gobierno denominó “su incapacidad prolongada para establecer programas eficaces de gestión de riesgos y gobernanza de datos, así como controles internos”. La orden también exigía al banco que revisara sus prácticas y controles.

En 2021, un incendio forestal en medio de temperaturas récord que superaron los 120 grados destruyó la localidad de Lytton, en Columbia Británica, lo que dio lugar a múltiples demandas colectivas en las que se alegaba que el incendio había sido provocado por el calor o las chispas de un tren de mercancías que circulaba por las cercanías. Las demandas, que se unieron en enero de 2025, alegaban que las compañías ferroviarias Canadian Pacific Kansas City y Canadian National deberían haber sabido que no era seguro hacer circular el tren en esas condiciones.

Aunque estos incidentes pueden parecer el resultado de un comportamiento imprudente, “a menudo no es tan sencillo”, afirma Josh Tessaro, consultor principal de la consultora Workpact de ServiceNow. “Cuando se lee una de estas noticias que parecen casos de imprudencia temeraria, casi siempre se debe a la falta de datos sobre riesgos, definición de procesos y gobernanza”.

2. Procesos de gestión de riesgos inmaduros

No basta con poner en marcha un programa de ERM. Las corporaciones que no invierten en el desarrollo de un plan detallado de gestión de riesgos dejan el éxito de sus iniciativas al azar, afirma Donald Farmer, director de la empresa de servicios de asesoramiento TreeHive Strategy. Un plan formal crea un marco para identificar, evaluar, priorizar y responder a los riesgos empresariales. Sin uno que cuente con el respaldo de la alta dirección, es poco probable que el proceso de gestión de riesgos de una organización sea completo o totalmente eficaz.

Un plan también debe documentar los siguientes aspectos:

  • Las diferentes funciones y responsabilidades de la gestión de riesgos.
  • Los planes de formación y comunicación internos.
  • Las medidas de supervisión continua de los riesgos.
  • Las políticas de documentación y mantenimiento de registros.
  • Un proceso de revisión y actualización del plan para mantenerlo alineado con las necesidades empresariales.

Poner en marcha todos estos elementos y garantizar que se implementan según lo previsto ayuda a aumentar los niveles de madurez de la ERM, lo que debería reducir los problemas relacionados con los riesgos en las operaciones corporativas.

3. No crear una cultura de riesgo sólida

Alla Valente, analista principal de Forrester Research, afirmó que la cultura corporativa puede ser un problema cuando las corporaciones no logran mitigar los riesgos de manera eficaz, lo que a menudo tiene consecuencias negativas para el negocio.

Por ejemplo, los ejecutivos de Wells Fargo hicieron caso omiso de las señales de alerta sobre las prácticas de préstamos abusivos del banco, los problemas sistemáticos en la gestión de los préstamos y las prácticas bancarias inadecuadas durante más de una década. Según Valente, hacerlo “fue una decisión estratégica”. “Se podría haber solucionado, pero cambiar la cultura nunca es fácil”. Fue un error muy costoso en la gestión del riesgo: en 2022, Wells Fargo acordó pagar 2.000 millones de dólares a los clientes afectados y una multa federal de 1.700 millones de dólares.

Para evitar este tipo de problemas, los responsables de riesgos y los líderes empresariales deben trabajar para crear una cultura de riesgo sólida que impregne todos los niveles de la organización. Además de desarrollar un plan de gestión de riesgos que incorpore un programa de formación para todos los empleados, otras medidas para fomentar la cultura incluyen la integración de prácticas de gestión de riesgos en las operaciones comerciales y la recompensa del comportamiento de los empleados que se ajuste a las políticas de riesgo.

4. Supervisión inadecuada de las iniciativas de riesgo

Las fallas en la gestión de riesgos también pueden ocurrir cuando los altos ejecutivos y la junta directiva no priorizan los programas de ERM y no les prestan la atención necesaria para garantizar su éxito.

El colapso del Silicon Valley Bank en 2023 ilustra este punto. Según un informe del inspector general de la Junta de Gobernadores del Sistema de la Reserva Federal, el consejo de administración y la alta dirección del banco “no supieron apreciar la importancia de los múltiples niveles de riesgo” a los que se enfrentaba. Entre esos riesgos se encontraban una base de clientes reducida y grandes cantidades de depósitos sin asegurar e inversiones en valores a largo plazo.

En lugar de garantizar la implementación de controles internos para mitigar los riesgos, según el informe, la dirección del banco hizo hincapié en el crecimiento del negocio, una estrategia que resultó desastrosa cuando el aumento de los tipos de interés provocó una retirada masiva de depósitos por parte de los clientes. Un posible factor que contribuyó a la falta de atención de la dirección a los riesgos crecientes fue que el puesto de director de riesgos del banco estuvo vacante durante la mayor parte de 2022.

5. Falta de transparencia sobre los riesgos empresariales

La retención de datos, el aislamiento de los datos o la falta de datos relacionados con los riesgos dentro de las organizaciones pueden crear problemas de transparencia y dar lugar a consecuencias imprevistas. “Muchos procesos y sistemas no se diseñaron teniendo en cuenta los riesgos y, a menudo, están desconectados en toda la empresa y son propiedad de diferentes líderes”, afirma Tessaro. “Los gestores de riesgos suelen conformarse con los datos a los que tienen fácil acceso, ignorando los procesos críticos porque los datos son difíciles de obtener”.

Un enfoque transparente de la gestión de riesgos requiere una estrategia coherente en toda la corporación que cuente con el apoyo de la alta dirección y otros líderes empresariales. La estrategia debe abarcar los diversos intereses, objetivos y preocupaciones críticas en materia de riesgos de todos los departamentos. También debe hacer lo siguiente:

  • Definir claramente el propósito y los objetivos del programa de gestión de riesgos.
  • Fomentar la concienciación sobre los riesgos en toda la empresa.
  • Instituir un lenguaje común sobre riesgos.

También debe establecerse un sistema centralizado de registro de perfiles de riesgo y eventos relacionados con el riesgo para recopilar, gestionar y comunicar los datos clave sobre riesgos. Muchas organizaciones crean un registro de riesgos en el que se enumeran los diferentes riesgos y su probabilidad, el impacto potencial en el negocio y el nivel de prioridad, basándose en evaluaciones internas de riesgos, junto con los responsables de los riesgos, los planes de respuesta y otra información.

6. Énfasis excesivo en la eficiencia empresarial frente a la resiliencia

La eficiencia y la resiliencia se sitúan en extremos opuestos del espectro empresarial, afirmó Matlock. Si no se equilibran adecuadamente, añadió, los esfuerzos de gestión de riesgos pueden fracasar.

El aumento de la eficiencia operativa puede generar mayores beneficios cuando las cosas van bien. Por ejemplo, la industria automovilística logró un ahorro significativo al crear una cadena de suministro con miles de proveedores externos repartidos en múltiples niveles.

Pero, al principio de la pandemia de COVID-19, se produjeron interrupciones masivas en las cadenas de suministro, incluida una escasez de semiconductores. Los resultados de los fabricantes de automóviles se vieron afectados cuando los proveedores de chips aprovecharon los mayores márgenes que podían obtener de los clientes de la industria de la electrónica de consumo, dejando a las empresas automovilísticas con escasez de suministros de los componentes necesarios.

La resiliencia empresarial y la planificación de la continuidad deben ser un aspecto clave de los programas de gestión de riesgos para ayudar a evitar o mitigar este tipo de situaciones.

Expertos discuten las fallas en el manejo de riesgos.

7. Supervisión insuficiente de las cadenas de suministro

Las interrupciones en la cadena de suministro, causadas primero por la pandemia y luego por las guerras en curso y la política arancelaria cambiante de la administración Trump, ponen de relieve la necesidad de una gestión eficaz de los riesgos de la cadena de suministro. Lo mismo ocurre con los incidentes de ciberseguridad de gran repercusión, como el ataque masivo contra los clientes del proveedor de software SolarWinds.

Los contratos con los proveedores deben abordar la protección de los datos sensibles, los requisitos de los seguros cibernéticos, las prácticas de destrucción de datos y otras cuestiones relacionadas con los riesgos cibernéticos, según Mark O'Hara, director general de la consultora AArete. Otros tipos de riesgos de la cadena de suministro que hay que tener en cuenta son los económicos, medioambientales y geopolíticos.

Sin embargo, O'Hara afirma que muchas organizaciones no revisan periódicamente los acuerdos existentes ni comunican de forma sistemática los nuevos requisitos, lo que da lugar a contratos que no cumplen la normativa y a posibles problemas de gestión de riesgos.

Las organizaciones también deben centrarse de manera más amplia en la gestión de riesgos de terceros, una categoría general que abarca tanto los riesgos de la cadena de suministro como los relacionados con las relaciones con los proveedores de TI y otras empresas que venden productos terminados a una empresa. En términos aún más generales, las iniciativas de ERM deben abordar la gestión de riesgos de cuartos para proteger contra los riesgos de los proveedores y vendedores que utilizan los terceros.

8. No reconocer y gestionar los riesgos de la IA

Las corporaciones están adoptando cada vez más la tecnología de IA para aplicaciones comerciales, incluido el uso de la IA en programas de gestión de riesgos. Sin embargo, las organizaciones pueden encontrarse con problemas si no gestionan eficazmente los riesgos comerciales relacionados con la IA. Hay una variedad de riesgos de este tipo que se deben tener en cuenta, empezando por los problemas que pueden surgir si las herramientas de IA no se entrenan y supervisan adecuadamente.

Entre los ejemplos más destacados de esto último se encuentran el chatbot Tay de Microsoft, que rápidamente comenzó a proferir comentarios racistas, misóginos y antisemitas tras su lanzamiento público en 2016, y el bot Grok de xAI que, de forma similar, elogió a Adolf Hitler y realizó otras declaraciones ofensivas tras una actualización en julio de 2025. Tras su lanzamiento en 2024, la función de búsqueda AI Overviews de Google indicaba a los usuarios que podían añadir pegamento no tóxico a la salsa de pizza y que “debían comer al menos una piedra pequeña al día”, entre otras recomendaciones sin sentido.

Otros ejemplos de posibles riesgos de la IA son:

  • Sesgos en los algoritmos de IA, ya sea por los datos de entrenamiento o por la codificación, que dan lugar a resultados erróneos.
  • Resultados erróneos, como las alucinaciones de la IA, más comúnmente asociadas con los grandes modelos de lenguaje.
  • Uso poco ético o ilegal de herramientas de IA que elude los controles de riesgo internos.
  • Posibles responsabilidades legales y problemas de cumplimiento normativo derivados del uso de la IA.
  • Riesgo para la reputación causado por el uso inadecuado de la tecnología.
  • Aumento de las amenazas a la ciberseguridad, ya que los atacantes utilizan cada vez más la IA.

9. Exceso de confianza en las capacidades de gestión de riesgos

Una valoración errónea de la eficacia de los procesos de gestión de riesgos puede acarrear graves problemas, especialmente cuando una corporación se enfrenta a una crisis inesperada.

Este problema va más allá del exceso de confianza por parte de los gestores de riesgos y los ejecutivos corporativos involucrados en la supervisión de las iniciativas de ERM: los gerentes comerciales y los trabajadores operativos pueden tener una percepción exagerada de su capacidad para gestionar los riesgos. Un ejemplo común son los operadores financieros que aplican estrategias de negociación arriesgadas que no cumplen con las políticas de gestión de riesgos.

La posibilidad de una confianza errónea en los controles internos es otra razón por la que los responsables de riesgos y los líderes corporativos deben revisar periódicamente los programas de gestión de riesgos.

George Lawton es un periodista afincado en Londres. Durante los últimos 30 años, ha escrito más de 3.000 artículos sobre informática, comunicaciones, gestión del conocimiento, negocios, salud y otras áreas que le interesan.

Craig Stedman es editor industrial en Informa TechTarget, donde crea paquetes de contenido en profundidad sobre análisis, gestión de datos y otras áreas tecnológicas.

Investigue más sobre Estrategias de TI