Amrae (Asociación para la Gestión de Riesgos y Seguros Corporativos) publica su decimoquinto resumen de RMIS (sistemas de información de gestión de riesgos) realizado con EY Consulting en 2023, junto con una encuesta a los directores de empresas. riesgos. Bertrand Rubio, socio asociado de riesgo empresarial de la consultora, observa un mercado todavía muy dinámico. El 64% de los gestores de riesgos encuestados ya ha implementado una solución y el 70% de ellos dice estar satisfecho con ella.

Los editores confirman la tendencia, ya que, según ellos, el número de licitaciones ha aumentado una media del 70%. La duración media de implementación de un RMIS sería de 4 meses, con un coste medio anual de SaaS (sin incluir la integración) de 95.000 euros, según los editores. Inversión que corresponde más o menos al presupuesto de adquisición e implementación estimado por los gestores de riesgos. El 42% de los encuestados estima este último en menos de 100.000€ y el 44% lo sitúa en un rango de 100 a 300.000€.

Cartografía, la primera expectativa funcional

EY también observa una propensión de las empresas a recurrir a herramientas adaptadas a varios departamentos o profesiones de la empresa, y a eliminar el RMIS únicamente de los departamentos de riesgo. “Están recurriendo a tipos de ERP de gestión de riesgos”, resume Bertrand Rubio. La expectativa funcional prioritaria sigue siendo el mapeo, pilar indiscutible de cualquier estrategia de gestión de riesgos, por delante de los planes de acción y la auditoría (ver imagen). La ventaja más común percibida es el intercambio de información, por delante del ahorro de tiempo dedicado a consolidar los datos, y la transversalidad entre servicios, es decir, la eliminación de silos. Los encuestados también citan una mayor eficiencia y mejores capacidades analíticas.

En cuanto a los primeros tres criterios para elegir una herramienta, son cobertura funcional, flexibilidad de configuración y facilidad de uso. Las empresas aún se muestran cautelosas a la hora de abrir sus datos y análisis a actores externos para facilitar la gestión de riesgos. Pero más de un tercio dice que está dispuesto a compartir datos con corredores (36%) y auditores (35%). Por otro lado, sólo el 16% confiaría en las aseguradoras en este ámbito. Sin embargo, la encuesta revela que el RMIS actúa como una herramienta importante para transformar la relación entre asegurador, corredor y asegurado, a través de la digitalización.

Múltiples casos de uso para la IA

Amrae y EY también se centraron en varios temas de actualidad. Empezando por el inevitable papel que juega la digitalización, y especialmente la IA, dentro de las profesiones de riesgo. “Todos los editores y los departamentos de riesgos están pensando en los casos de uso de la inteligencia artificial en su profesión”, confirma Bertrand Rubio. Por supuesto, la automatización de la recopilación de datos, el análisis de riesgos, el control e incluso la comunicación se benefician directamente. Pero el consultor también menciona una valiosa ayuda en la propia medición y, especialmente, en la detección de riesgos emergentes. “Los métodos tradicionales requieren grandes inversiones y costes elevados”, continúa Bertrand Rubio. La IA generativa puede automatizar rápidamente análisis estructurados. »

La encuesta Amrae/EY identifica la importancia del mapeo en SIGR y su papel en el intercambio de información. Los gestores de riesgos los eligen en función de su cobertura funcional y flexibilidad. (fuente: Panorama SIGR 2023 - Amrae/EY)

Algunas organizaciones ya han identificado casos de uso, aunque en su mayoría todavía se encuentran en la etapa de prototipo. “Las empresas cualifican las soluciones y prueban la pertinencia de los sistemas”, especifica Bertrand Rubio. Por lo tanto, la detección de patrones de fraude se presta especialmente al uso de la IA, al igual que los análisis de cumplimiento (establecimiento de un seguimiento continuo de un cierto número de reglas con posible activación de alertas cuando el valor se desvía demasiado del umbral requerido) o el seguimiento regulatorio. “En EY, por ejemplo”, afirma Bertrand Rubio, “analizamos los textos regulatorios y la diferencia con las regulaciones antiguas utilizando IA. Y en consecuencia, enviamos alertas a los gestores de riesgos. Manualmente, ¡fue un trabajo colosal! »

Detección de patrones sospechosos y procesamiento automatizado de comentarios.

Entre otros casos de uso habituales, Amrae y EY han identificado la monitorización continua (seguimiento de los factores de riesgo en tiempo real en los ERP, por ejemplo), los análisis cualitativos (síntesis de comentarios, identificación de causas raíz recurrentes, etc.) y la prescripción de medidas de detección y corrección. medidas. “Los robots impulsados ​​por datos financieros buscarán la información específicamente necesaria y el sistema establece correlaciones complejas entre ellos, algo que las herramientas tradicionales no pueden hacer. De este modo, la solución detecta patrones sospechosos, como por ejemplo el blanqueo de dinero, y los comunica al supervisor, quien luego puede adaptarse. »

Otro ejemplo interesante es el procesamiento de decenas de miles de líneas de comentarios escritos constantemente por los gestores de riesgos sobre documentos de respaldo, análisis de ciertos riesgos específicos, etc. “Las IA generativas son particularmente hábiles en procesarlos, lo que ahorra mucho tiempo”, indica Bertrand Rubio. También es una forma de cuestionar las medidas descriptivas y correctivas. La IA puede, por ejemplo, sugerir revisar una recomendación de auditoría de acuerdo con las prácticas reales del mercado o la experiencia previa. Ella hace de copiloto, en cierto modo. »

El módulo ESG tan esperado

Pero hay un tema en el que los SIGR son particularmente esperados: los criterios ESG (ambientales, sociales y de gobernanza). En particular, con la aplicación progresiva a partir de este año de la directiva europea CSRD, transpuesta en Francia en diciembre de 2023. Como recuerda François Beaume, vicepresidente de Amrae y vicepresidente de riesgos y seguros de la distribuidora de material eléctrico Sonepar, se verán afectadas 50.000 empresas con más de 250 empleados y 40 millones de euros de facturación. Tendrán que producir informes públicos, que serán auditados por una organización independiente (OTI). Este último emitirá una opinión sobre la información compartida que cubre 12 estándares genéricos en materia de ESG, con un fuerte enfoque en el clima. “El impacto en el SIGR es significativo”, estima François Beaume, “porque elun CSRD requiere mucho más contenidocon sus 1100 indicadores potencialmente aplicables. Debemos estructurarlos, recuperar la información relevante y alimentar las auditorías. »

Es más, como especifica Amrae, los mapas se construyen la mayor parte de las veces a partir de las percepciones de expertos en negocios, riesgos, etc. Sin embargo, con las regulaciones ESG, comenzando por la CSRD, tendrán que integrar datos correspondientes al principio de doble materialidad. “A grandes rasgos, se trata de medir no sólo el impacto del entorno exterior en la empresa, sino también el de la organización en el entorno exterior”, resume François Beaume. Por tanto, los mapas deben interactuar con los sistemas de información de la empresa, ERP, CRM, etc., para recuperar los datos necesarios y facilitar las pruebas realizadas por terceros organismos de certificación.

Herramientas esenciales para CSRD

Los datos ya no serán estáticos, sino dinámicos, basados ​​en escenarios diseñados por la empresa, para estimar impactos futuros. El RMIS mapeará los riesgos e identificará y medirá en tiempo real los impactos del cambio climático en la organización, por ejemplo. "El RMIS garantiza la eficacia de la medición de riesgos y la integridad de los datos", añade François Beaume. Cada vez más módulos incluso monitorean en tiempo real las consecuencias de un desastre climático, como por ejemplo un tifón o un tornado. Para ello, podemos inyectar datos relativos a un sitio industrial, por ejemplo, cruzados con datos públicos o de aseguradoras. »

Si algunas empresas todavía dudan en adoptar un RMIS, Amrae cree que les resultará difícil prescindir de él para cumplir con la directiva europea. Sobre todo porque estas herramientas también demuestran la madurez de la empresa en términos de gestión de riesgos y facilitan la comunicación entre organizaciones, aseguradoras y corredores.