La Gestión de Riesgos Empresariales (ERM) ha pasado de ser un registro de riesgos tradicional a una herramienta de gestión estratégica. Hoy en día, los riesgos ya no se registran de forma aislada, sino que se evalúan en el contexto del modelo de negocio, la reputación, los mercados de capitales y la responsabilidad de consejeros y directivos. La ERM es, por tanto, un componente central del gobierno corporativo moderno, y es precisamente aquí donde comienza la resiliencia corporativa.
Según una encuesta mundial a gestores de riesgos, los ciberataques, los fallos informáticos y la pérdida de datos son, con diferencia, los mayores riesgos para las empresas. El aumento de los requisitos normativos, los requisitos ESG, la regulación de la IA y las incertidumbres geopolíticas están incrementando la presión legal para actuar. La ERM se está convirtiendo en la interfaz entre la estrategia y el Derecho. Mientras que los departamentos jurídicos están evolucionando de asesores reactivos a arquitectos estratégicos de riesgos.
¿Qué es la gestión de riesgos empresariales (ERM)?
La Gestión de Riesgos Empresariales (ERM) se refiere a un enfoque holístico para identificar, evaluar, gestionar y supervisar todos los riesgos relevantes para la empresa de naturaleza estratégica, operativa, financiera y normativa.
A diferencia de la gestión de riesgos aislada de funciones individuales, la ERM persigue un enfoque para toda la empresa. El marco del Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO), que define la ERM como parte integrante de la gestión empresarial, goza de reconocimiento internacional.
Dimensión jurídica:
En el ámbito jurídico, ERM significa el registro y control sistemáticos de:
La ERM es, por tanto, un componente central de las funciones de los órganos ejecutivos.
Cómo funciona el proceso de ERM
La gestión de riesgos empresariales ha pasado de ser un registro de riesgos tradicional a una herramienta de gestión estratégica. Los departamentos jurídicos y directores jurídicos están ocupando un lugar central porque muchos riesgos corporativos clave son de naturaleza normativa y de responsabilidad civil. Los consejos de administración esperan análisis de riesgos transparentes y sólidos para cumplir sus obligaciones fiduciarias y de supervisión.
Entre los principales motores figuran:
Marcos y componentes
Numerosos marcos reconocidos internacionalmente estructuran la Gestión del Riesgo Empresarial y definen normas reconocidas de gobernanza, control e información. Una visión general de los marcos de ERM más importantes y sus componentes centrales:
| MARCO | EDITOR | ENFOQUE | RELEVANCIA JURÍDICA |
| Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO ERM) | Comisión de expertos de EE.UU. | Integración del riesgo en la estrategia, los resultados y el control interno | Fuerte orientación hacia la gobernanza y el control; importante para la responsabilidad del consejo y la presentación de informes al consejo |
| Organización Internacional de Normalización (ISO 31000) | Organización Internacional de Normalización | Norma mundial de gestión de riesgos basada en principios | Conectividad internacional; relevante para las estructuras de cumplimiento globales |
| Instituto de Auditores Internos (IIA) | Asociación Profesional de Auditores Internos | Garantía, sistemas de control y evaluación de riesgos | Centrarse en los sistemas de control interno (SCI) y los procesos de supervisión |
Principales marcos de ERM y sus componentes
Los componentes de gobernanza y control son especialmente cruciales para los departamentos jurídicos, ya que están directamente relacionados con cuestiones de responsabilidad, obligaciones de documentación y protección de las decisiones del consejo de administración.
El papel estratégico del departamento jurídico en la gestión del riesgo empresarial
El papel del departamento jurídico está pasando de la consultoría reactiva a la gestión estratégica de riesgos.
Aumento de los requisitos normativos
La normativa de la UE, las leyes sobre la cadena de suministro, la protección de datos y la supervisión de los mercados financieros aumentan significativamente las multas y los riesgos de responsabilidad. Según la Encuesta Mundial sobre Cumplimiento Normativo 2025 de PwC, el 85% de las empresas considera que los requisitos de cumplimiento son cada vez más complejos. Además, cada año se publican en la UE alrededor de 1.500 nuevos actos jurídicos. Las empresas deben hacer un seguimiento proactivo de estas novedades e integrarlas en sus procesos internos.
Los requisitos ESG ya no son sólo una cuestión de marketing. Una información inexacta o incompleta puede tener importantes consecuencias jurídicas, financieras y para la reputación:
El departamento jurídico debe garantizar la transparencia de los riesgos y aplicar procesos sólidos.
Riesgos de responsabilidad (Dirección y Consejo )
La responsabilidad del consejo de administración y de los órganos de supervisión aumenta. La falta de supervisión de los riesgos puede considerarse un incumplimiento del deber. El ERM ofrece protección al registrar, evaluar y documentar de forma sistemática y comprensible los riesgos.
Cumplimiento internacional
Las empresas internacionales se enfrentan a diferentes sistemas jurídicos, desde la protección de datos a las sanciones. El departamento jurídico garantiza que se respeten las normas de cumplimiento en todo el mundo. Y también que se gestionen los riesgos en una fase temprana.
Obligaciones de documentación y verificación
Los reguladores exigen análisis de riesgos comprensibles. Si falta la documentación, se considera efectivamente que la medida no se ha llevado a cabo. El departamento jurídico garantiza que todos los riesgos se registren a prueba de auditorías y se gestionen de forma verificable.
Requisitos de transparencia del Consejo
Los organismos de supervisión exigen informes de riesgos basados en datos. El departamento jurídico debe hacer cuantificables los riesgos jurídicos.
Los mayores riesgos empresariales en 2025 y lo que significan para el ámbito jurídico
En 2025, las empresas se enfrentarán a un complejo panorama de riesgos que conlleva retos no solo operativos, sino también jurídicos. Para el departamento jurídico, significa que los riesgos no solo deben identificarse, sino también evaluarse jurídicamente, documentarse y hacerse gestionables.
Incidentes cibernéticos
Los ciberataques afectan a la protección de datos, las obligaciones de información y la responsabilidad frente a los clientes. Los departamentos jurídicos deben asegurarse de que los planes de respuesta a incidentes cumplen la legislación y de que se minimizan los posibles riesgos de responsabilidad.
Riesgos de la IA
El uso de la inteligencia artificial plantea nuevas cuestiones jurídicas: Responsabilidad por las decisiones, riesgos de discriminación y obligaciones de transparencia. El área jurídica debe implantar estructuras de gobernanza y directrices para protegerse de los riesgos en una fase temprana.
Perturbaciones empresariales y riesgos geopolíticos
Las interrupciones de la cadena de suministro, las sanciones o las crisis políticas pueden afectar a los contratos, los controles de exportación y los seguros. El departamento jurídico gestiona estos riesgos mediante el diseño preventivo de contratos y el cumplimiento de los requisitos normativos.
¿Qué es la Gestión Integrada de Riesgos (IRM)?
La Gestión Integrada de Riesgos (IRM) es la evolución de la Gestión de Riesgos Empresarial clásica. Combina sistemas de riesgo, cumplimiento y auditoría en una plataforma central para que los riesgos puedan registrarse, evaluarse, gestionarse y supervisarse de manera uniforme en toda la empresa. La IRM no sólo permite una presentación de informes más eficaz, sino también una mejor trazabilidad y una base coherente para la toma de decisiones por parte del Consejo de Administración, el Consejo de Supervisión y la dirección.
Por qué los silos de riesgo ya no funcionan
Los sistemas separados y los procesos aislados de gestión de riesgos a menudo conducen a una pérdida de información, documentación incoherente y retraso en la escalada de riesgos críticos. Esto es especialmente problemático para el Departamento Jurídico, ya que las cuestiones de responsabilidad, las obligaciones reglamentarias y la transparencia del consejo sólo pueden abordarse de forma fiable si se tienen en cuenta todas las fuentes de riesgo de manera integrada. La IRM crea esta visión integrada, permite una acción coordinada entre los distintos departamentos y garantiza que los riesgos se gestionen y documenten de forma conforme a la ley.
Cómo la nube y la IA están transformando la gestión de riesgos
La tecnología en la nube y la inteligencia artificial (IA) están revolucionando la gestión de riesgos al hacer los procesos más eficientes, basados en datos y transparentes. Las plataformas basadas en la nube permiten el registro, análisis y visualización centralizados de los riesgos en todas las divisiones de la empresa, acabando con los silos y posibilitando la elaboración de informes en tiempo real.
La IA permite la detección automatizada de riesgos, por ejemplo mediante el análisis de patrones en grandes cantidades de datos, sistemas de alerta temprana de cambios normativos o predicciones de riesgos cibernéticos y de interrupción de la actividad empresarial.
Las herramientas modernas de IA, como el Detector de Riesgos de DiliTrust, automatizan el análisis de los documentos jurídicos: identifican automáticamente las cláusulas de riesgo, aplican normas internas de cumplimiento y sugieren alternativas conformes en cuestión de minutos en lugar de horas. Estas tecnologías no solo mejoran la eficiencia y la velocidad de reacción en la gestión de contratos y riesgos, sino que también refuerzan la seguridad jurídica y la verificabilidad de las decisiones.
El futuro de la ERM: del cumplimiento normativo a la gestión estratégica
La gestión de riesgos empresariales está dejando de ser una mera función de cumplimiento para convertirse en una herramienta de gestión estratégica. La ERM ya no sólo se utiliza para el control de riesgos. También proporciona una valiosa base de toma de decisiones para el Consejo de Administración y la dirección. Por ejemplo para inversiones, estrategias de crecimiento o expansiones internacionales. Para el Departamento Jurídico, esto significa que está pasando de ser un asesor reactivo a un arquitecto de riesgos proactivo. No sólo evalúa los riesgos jurídicos, sino que también los integra en las decisiones estratégicas, garantiza el cumplimiento de los requisitos de gobernanza y conformidad y documenta todas las medidas a prueba de auditorías.
Conclusión
En el futuro, el ERM se convertirá, por tanto, en la interfaz entre la estrategia, la legislación y el negocio operativo: las empresas que gestionan los riesgos de forma holística aumentan su resistencia, protegen a sus órganos ejecutivos de la responsabilidad y crean la base para un crecimiento sostenible y conforme a la ley.
Conozca la IA jurídica – Lini
Lini es el software de inteligencia artificial que impulsa todas las áreas del trabajo jurídico. Entrenado para pensar como un experto legal, Lini comprende los matices de la gobernanza, el cumplimiento normativo, el riesgo y razona con contexto, no con suposiciones.
