El papel del director de riesgos (CRO) en una entidad financiera es absolutamente fundamental. Y, sin embargo, si comparamos con tan sólo unos años atrás, las funciones que desempeña este profesional ahora mismo serían irreconocibles.
Los directores de riesgos que llevan tiempo en su cargo probablemente esperaban unas funciones muy diferentes a las que están realizando hoy en día: su objetivo era gestionar riesgos de crédito, de mercado, de liquidez y de tipos de interés. Hoy, sin embargo, la gestión del riesgo incluye el clima, las tecnologías emergentes, el fraude, los proveedores externos, la ciberseguridad y la gobernanza del uso de la inteligencia artificial en toda la empresa.
Más allá de esto, la regulación exige que los CRO garanticen la adecuación de la información y el análisis de riesgos y que cuestionen de forma eficaz las estrategias y planes en 15 o más categorías de riesgo. Esta situación pone en jaque a los CRO y puede convertirse en una fuente de confrontación dentro de la organización.
La dificultad radica en que alguien debe asumir la responsabilidad del riesgo global para evitar silos, y esa función recae de forma natural sobre los hombros del CRO, tenga o no la experiencia necesaria. Aquí es donde aparece la figura inesperada del Súper CRO: alguien capaz de colaborar estratégicamente con toda la organización para impulsar un cambio empresarial rápido con el objetivo final de que las áreas de operaciones desarrollen sus propias funciones de riesgo y control.
Nuevos riesgos requieren nuevos datos, información y acciones
El riesgo climático fue uno de los primeros «nuevos» riesgos que se añadieron a las responsabilidades del CRO. En un estudio de 2021, fue el riesgo emergente más importante para los CRO en entidades bancarias. Los bancos ahora modelan y simulan activamente el impacto del riesgo climático para contribuir a alcanzar los objetivos de la Agenda 2030 y determinar el impacto en pérdidas de crédito y activos varados.
Las organizaciones más avanzadas utilizan conjuntos de datos innovadores y optimización impulsada por IA para generar información y convertirla en estrategias aplicables. En EEUU, por ejemplo, los responsables de riesgo de muchas entidades financieras emplearon imágenes de satélite para modelar el impacto del mantenimiento de las propiedades tras los incendios de California en enero de 2025. Las simulaciones mostraron cómo los residuos en canalones y jardines sin mantener acrecentaban los peligros en un incendio.
Los equipos de riesgo pudieron ejecutar rápidamente optimizaciones que generaran estrategias de decisión para mitigar estos riesgos, incluyendo comunicaciones dirigidas a los departamentos de bomberos y propietarios para que tomaran medidas preventivas que evitaron pérdidas por incendios de decenas de millones de dólares.
Otro ámbito de riesgo que hace 20 años no estaba en la agenda es la ciberseguridad. En 2023 llegó a ocupar el primer lugar en el orden de prioridades de los CRO. Al estar directamente relacionado con el fraude y ser un área muy técnica, el riesgo relacionado con la ciberseguridad suele quedar bajo la responsabilidad del CISO, pero está creciendo la presión para que el CRO asuma la titularidad global del riesgo. Esto puede derivar en un aumento de conflictos internos. Por un lado, los CRO tienen la máxima responsabilidad sobre todos los riesgos (por ejemplo, en el caso de los bancos de la UE, el Reglamento DORA exige que supervisen los marcos de gestión de riesgos, los planes de respuesta a incidentes y los planes de recuperación). Pero, por otro, el CISO suele contar con las herramientas y conocimientos técnicos para gestionar los ciberriesgos mucho más eficazmente que el CRO.
Los recientes ciberataques a todo tipo de organizaciones demuestran el enorme impacto que las brechas de ciberseguridad pueden tener y mantienen este riesgo en lo más alto de la agenda del CRO. Este es otro ámbito donde conjuntos de datos emergentes, como la lista de materiales de software de proveedores, pueden ayudar a CRO y CISO a modelar la susceptibilidad al riesgo y desarrollar planes de acción.
A esto se suma el crecimiento exponencial de la IA. Si bien ofrece muchos beneficios de eficiencia y eficacia, también trae riesgos operativos significativos si no se gestiona de manera responsable. Existe una carrera por aprovechar esta tecnología, pero los bancos no pueden beneficiarse plenamente de la IA si se malinterpreta, se usa mal o se orienta incorrectamente.
Existe la responsabilidad de garantizar que los modelos de IA sean sólidos, explicables, éticos y auditables para mitigar estos riesgos. Los CRO pueden impulsar los marcos globales, pero la competencia técnica avanzada para poner en marcha estos controles debe provenir de las funciones analíticas y operativas de primera línea. Las herramientas colaborativas facilitan enormemente demostrar cada uno de estos controles de IA responsable y satisfacer las necesidades del CRO y, por supuesto, de los reguladores.
Adoptar una visión holística del riesgo e impulsar el rendimiento empresarial
Con tantos riesgos nuevos, complejos y cambiantes que vigilar y gestionar, es imposible que un solo individuo sea experto en todos ellos, lo que hace que los CRO sufran importantes brechas de habilidades. ¿Es hora de iniciar una reestructuración fundamental de la gobernanza del riesgo para que las operaciones de primera línea desarrollen sus propias funciones de riesgo y control? ¿Tiene más sentido repartir la responsabilidad de las áreas clave de riesgo entre expertos altamente formados, en lugar de mantener el mito del «Súper CRO» capaz de gestionar todos los riesgos por sí solo?
Lo que estamos viendo es un cambio del CRO como experto en un pequeño conjunto de riesgos hacia el Súper CRO como colaborador: alguien que puede proporcionar marcos sólidos de gestión de riesgos para desafiar eficazmente al negocio. Y, siendo impulsor del cambio, puede influir directamente en la experiencia del cliente y en los resultados financieros.
Los Súper CRO necesitan un conjunto de herramientas diferente. Aprovechar múltiples fuentes de datos es fundamental, pero a menudo es difícil poner estos datos a disposición del negocio sin el soporte adecuado. El crecimiento de las categorías de riesgo y de las fuentes de datos significa que los mercados que facilitan la ingesta de datos están ganando tracción.
Más allá de la generación de información, los Súper CRO también están invirtiendo en plataformas que facilitan la colaboración en el diseño y la ejecución de estrategias, permitiendo que múltiples equipos garanticen que las estrategias cumplan sus objetivos de riesgo, sus metas de crecimiento y las regulaciones cambiantes. Esta tecnología respalda el cambio del rol del CRO, de ser un guardián y un monitor a convertirse en un habilitador del negocio. Porque, más que nunca, el Súper CRO debe considerarse como un habilitador, no como un obstáculo.
—
Mark Whale, director de cuentas globales en FICO
