Cinthia Prado, directora de Riesgos Globales de Indra: "La ciberseguridad es una de nuestras prioridades"
La responsable del departamento explica a ENCLAVE ODS qué es la gestión de los riesgos que existen en el mundo empresarial.
5 julio, 2022 11:38Los riesgos a los que se puede enfrentar una empresa son diversos y variados, sobre todo para aquellas empresas que trabajan a gran escala como es el caso de Indra, una de las principales compañías de tecnología y consultoría del mundo. Después de haber pasado por uno de los momentos más difíciles de la historia con la pandemia de la Covid, los riesgos están muy presentes en las estrategias empresariales. Prepararse para cualquier imprevisto se convierte en algo esencial.
Precisamente, Indra ha sido una de las compañías españolas que mejor han integrado la gestión de los riesgos financieros y no financieros (ESG) en la estrategia de la empresa. O así se lo han reconocido a través de la obtención del certificado de la norma internacional ISO 31000 de AENOR, además de múltiples reconocimientos internacionales como el Dow Jones Sustainability Index (DJSI), el Bloomberg Equality Index o el Sustainability Yearbook de S&P.
[Indra, primera del Ibex que logra certificar su sistema de gestión de riesgos con Aenor]
Cinthia Prado, es directora de riesgos globales de Indra, unidad, cuyo objetivo es “contribuir al gobierno óptimo de cualquier factor externo o interno de riesgo, incluyendo la gestión de riesgos financieros y no financieros o relacionados con la sostenibilidad”.
La directora atiende a ENCLAVE ODS para explicarnos cómo funciona el departamento de gestión de riesgos de una empresa y qué tipos de riesgos contempla una compañía como Indra.
Empecemos por lo más básico, ¿qué es un riesgo?
Un riesgo para una empresa es que ocurra un evento que afecte a la consecución de los objetivos de la compañía. Por ejemplo, te comento un riesgo muy típico del sector tecnológico, la alta rotación y la escasez de talento en una línea de negocio importante para la compañía, podría suponer pérdida de ingresos por no poder atender a peticiones de clientes y por tanto un incumplimiento de objetivos para la compañía, además de otros impactos no financieros.
¿Con qué fin se gestionan los riesgos?
Para tener una seguridad razonable. No se puede gestionar todo y el riesgo cero no existe, pero si gestionamos los riesgos, podremos reducir la incertidumbre, lo que ayudará a la compañía a conseguir sus objetivos y ser más resiliente.
¿Es una labor que se desempeña en todos los departamentos?
Sí, todos los profesionales gestionan riesgos a distinto nivel en su día a día.
Los responsables de proyecto gestionan sus riesgos, los comerciales gestionan los riesgos de oferta, recursos humanos gestiona riesgos de seguridad y salud…por ejemplo, si ofertamos a un proyecto concreto, las distintas áreas de la compañía identifican, valoran y gestionan múltiples riesgos financieros y no financieros relacionados con dicho proyecto de manera anticipativa.
Se miran cosas como el riesgo país, la seguridad y salud de los profesionales si hay que desplazar a gente al proyecto, riesgos de cumplimiento, cobro, fiscales, legales etc. Es un proceso coordinado y continuo donde intervienen muchas áreas: comercial, compras, fiscal, recursos humanos, tesorería etc.
[Un videojuego para formar a los empleados en la gestión objetiva de riesgos]
Entonces, ¿qué hacen en su departamento?
Nosotros apoyamos al consejo a cumplir con sus responsabilidades de supervisión sobre los sistemas de gestión de riesgos, dándoles una visión coordinada, transversal y holística. El apoyo del Consejo y la alta dirección es clave para poder ejercer este rol.
En nuestro rol, también apoyamos a la alta dirección a tener esta visión y a crear cultura de riesgos en la compañía. Este último punto es clave, es muy importante que haya una cultura de riesgos. Eso demuestra los valores, el conocimiento y la actitud frente a los riesgos que tienen los profesionales de una compañía en su conjunto.
La cultura de riesgos es, por tanto, fundamental.
Sí. Y no hay duda de que la gestión de riesgos empresariales apoya el fortalecimiento de esa cultura la cual es clave para la mitigación de los riesgos y la resiliencia de la compañía. Cuando se identifican y reportan riesgos, subyace el conocimiento y los valores en torno a riesgos que los profesionales tienen. De esta forma en sus decisiones tienen estos riesgos en cuenta.
¿Qué tipos de riesgo existen?
Hay diversos tipos de riesgo y afectarán en mayor o menor medida a cada empresa dependiendo de su sector y estrategia. Por ejemplo, por su naturaleza, los riesgos pueden ser de índole operativa, legales, financieros, económicos o también pueden ser de origen no financiero, como los relacionados con la sostenibilidad, con lo social, medioambiental o con el gobierno de la compañía.
Por su origen pueden ser externos: el cambio climático, las pandemias, la variación de los tipos de interés, o la situación geopolítica, por ejemplo.
¿Se clasifican los riesgos por orden de importancia?
Sí, los riegos se valoran y con ello se determina su importancia que puede representarse de diversas formas, una de ellas puede ser un ranking en términos de probabilidad de ocurrencia e impacto para la organización. Esto permite hacer un seguimiento de los principales riesgos, pero no es un proceso estático, la identificación de posibles eventos emergentes o la evolución de los actuales, es continuo.
Se monitoriza continuamente por parte de cada área de la compañía eventos que nos pueden afectar y cómo nos pueden afectar. Estos eventos pueden ser de diversa índole, desde aspectos geopolíticos hasta cambios regulatorios. Las distintas áreas trabajan en la identificación, análisis, tratamiento y gestión de sus riesgos, Nosotros
aportamos un lenguaje común, damos una visión global y proporcionamos un confort sobre todo el proceso.
[Por qué externalizar la ciberseguridad]
Al hablar de riesgos, los ataques cibernéticos parecen constituir uno de las principales amenazas para las empresas. ¿Es la ciberseguridad la principal prioridad?
Sí, es una de ellas. El riesgo de la seguridad de la información es un riesgo que no ha hecho más que incrementar en los últimos años. A nivel de análisis de riesgos empresariales, es el número uno ahora mismo y es un riesgo sistémico, muy relevante además con la digitalización. El ransomware viene incrementándose en los últimos años y fuentes especializadas prevén la continuidad de esa tendencia.
La seguridad de la información ha desplazado como el primer motivo de continuidad de negocio a otros motivos como eran los incendios o los desastres naturales. Es un riesgo, que suele ser gestionado en las empresas por la dirección de seguridad de la información. Al ser un riesgo tan relevante, se debe hacer un seguimiento exhaustivo a distintos niveles de la compañía.
Los planes de resiliencia en torno a este riesgo pivotan alrededor de planes de continuidad para los sistemas corporativos, y una gestión proactiva de la seguridad de la información. Es muy importante la concienciación y formación continua en seguridad de la información para todos los profesionales de la compañía.
Al estar en tantos países, ¿cómo se abordan eventos externos como puede ser un conflicto bélico?
No podemos impedir que sigan ocurriendo eventos externos, aunque sí podemos anticiparnos. No obstante, algunos son difíciles de predecir y en ciertos casos son extremadamente improbables, como sucede con los llamados "cisnes negros". Pero existen diversas acciones en el marco de la gestión de riesgos empresariales que pueden mitigar en parte los impactos de este tipo de eventos. Por ejemplo, la existencia de planes de continuidad de negocio que contemplen la seguridad de los profesionales, de las operaciones de los activos y reputación, análisis de estrategias alternativas teniendo en cuenta los riesgos, análisis específicos transversales que permitan la definición de acciones y controles necesarios.
Hay otro riesgo patente y no es otro que el cambio climático. ¿Cómo afecta a una empresa como Indra y qué acciones toma?
Indra, ha incorporado en su gestión de riesgos, el de cambio climático. El Consejo de Administración y la Comisión de Sostenibilidad son los mayores órganos de decisión y supervisión en materia de Cambio Climático.
La falta de gestión de este riesgo le podría conllevar la pérdida de acceso a mercados de capitales, posición competitiva, licencia social para operar o afectar la reputación.
Para evitarlo la estrategia de sostenibilidad implementada a través del Plan Director de Sostenibilidad 2020-2023, incluye el pilar de Planeta y Cambio Climático como uno de los pilares clave de actuación del grupo en materia ESG.
Y con el objetivo de mitigar los riesgos de transición del Cambio Climático Indra ha establecido una ruta de descarbonización con ambición 1,5ºC en línea con el Acuerdo de París y que cuenta con objetivos de reducción de emisiones basados en la ciencia y formalmente aprobados por la iniciativa SBTi para alcanzar la neutralidad en las operaciones propias en 2040 y ser totalmente neutros en carbono en 2050.
El departamento de sostenibilidad de Indra realiza el análisis de riesgos y oportunidades del cambio climático conforme al marco de referencia internacional establecido por el TCFD (Task Force on Climate Change Financial Disclosure), incorporando diferentes escenarios en el análisis.
La compañía también tiene en cuenta en su análisis de riesgos climáticos los riesgos físicos derivados del Cambio Climático como el calentamiento global, precipitaciones, inundaciones, o efectos meteorológicos extremos, entre otros. Para ello el departamento de sostenibilidad ha evaluado el grado de exposición de sus infraestructuras a este tipo de riesgos.
En el análisis global también se consideran las oportunidades que el Cambio Climático representar para la compañía, ya que la tecnología es una palanca clave para la lucha contra el Cambio Climático e Indra cuenta con soluciones que contribuyen a los principales retos que plantea la descarbonización de la economía, desde la movilidad sostenible a la transición energética.
Finalmente mencionar que los riesgos climáticos se han incorporado de una forma exitosa en la gestión del riesgo empresarial, y así lo reconocen diferentes índices bursátiles como el Dow Jones, Standard & Poor's, etc. Toda nuestra estrategia respecto al cambio climático, la sostenibilidad y la contribución a los ODS viene ampliamente descrita en nuestro Informe de Sostenibilidad.