La gestión de riesgos en las empresas no financieras modernas es muy diferente en comparación con hace, por ejemplo, 5 años. El nivel de madurez en la gestión de riesgos, por falta de una mejor palabra, ha crecido significativamente.
A medida que más y más empresas en todo el mundo buscan implementar una gestión de riesgos sólida, también está creciendo la demanda de consultores en gestión de riesgos. Desafortunadamente, no todos los consultores de riesgos son capaces de generar valor a largo plazo para sus clientes, aquí hay tres razones por las que:
A. Vender el producto equivocado
Las empresas no financieras quieren comprar y muchos consultores de riesgos siguen vendiendo evaluaciones de riesgos, marcos de gestión de riesgos, declaraciones de apetito de riesgo y perfiles de riesgo. ¿En qué tienen en común todos estos productos? Estoy siendo intencionadamente provocador aquí, así que diré que todos estos productos están completamente fuera de lugar. Una cosa que tienen en común – Están diseñados para medir, captar o documentar riesgos, haciéndonos creer a todos que los riesgos y su mitigación son los objetivos finales del ejercicio.
A lo largo de los años, esta tendencia a tratar la gestión de riesgos como un proceso separado, independiente (algunos incluso dicen que autónomo) con sus propias entradas (datos, entrevistas, expertos) y salidas (informes de riesgos, matrices de riesgos, registros de riesgos) creó toda una comunidad de consultores de riesgos que parecen estar perdiendo completamente el rumbo.La gestión de riesgos no se trata realmente de lidiar con los riesgos, la gestión de riesgos se trata de ayudar a las empresas a alcanzar sus objetivos y tomar mejores decisiones.
Pregunta a RAW@AI sobre esta publicación o simplemente habla sobre la gestión de riesgos
Ok, a veces puede ser útil captar riesgos por el simple hecho de hacerlo y discutirlo con el equipo de gestión, pero esto debería ser más una excepción que una norma.
Entonces, si la gestión de riesgos no se trata de evaluaciones de riesgos o riesgos, ¿entonces de qué se trata?
Creo que la gestión de riesgos, en última instancia, trata de cambiar la forma en que las empresas toman decisiones y operan teniendo en cuenta los riesgos.
Las dos tendencias modernas en la gestión de riesgos son: integración en los procesos empresariales / toma de decisiones y factores humanos y culturalesSin embargo, parece que la mayoría de los consultores de riesgos modernos ignoran por completo ambos. Por ejemplo
- Es fundamentalmente incorrecto medir el nivel de riesgo cuando en su lugar se podría medir el impacto que los riesgos tienen en los objetivos clave o decisiones empresariales utilizandopresupuesto@riesgo programa@riesgo, profit@riesgoo KPI@riesgo.
- Creo que cualquier análisis cualitativo de riesgos basado en opiniones de expertos es maligno. Más sobre esto aquíhttps://www.linkedin.com/pulse/risk-management-used-science-became-art-now-its-just-sidorenko-crmp
- Es incorrect tener un documento de marco de gestión de riesgos, cuando en su lugar se pueden integrar los principios y procedimientos de gestión de riesgos en las políticas y procedimientos operativos, como presupuestos, planificación, adquisiciones, etc. Apuesto a que este ejemplo molestó a bastantes de ustedes.
- Es un error intentar usar un enfoque empresarial único (a veces referido como ERM) para medir diferentes riesgos. Diferentes riesgos, diferentes tipos de decisiones y diferentes procesos empresariales merecen metodologías de riesgo, criterios de riesgo y herramientas de análisis de riesgo únicas.
Únete a la discusión en el grupo G31000 dedicado a ISO31000:2009https://www.linkedin.com/groups/1834592para conocer más sobre las últimas tendencias en gestión de riesgos. Por extraño que parezca, muchos consultores de riesgos aún no han leído la ISO31000:2009 o no están al tanto de los cambios que están ocurriendo en la norma de gestión de riesgos más popular del mundo (traducida oficialmente y adoptada en más de 65 países y actualmente siendo actualizada por más de 200 expertos de todo el mundo).
La realidad es que la mayoría de los consultores de gestión de riesgos venden productos completamente equivocados. La gerencia no se preocupa por los riesgos, sino por tomar decisiones que sean válidas en la corte, generar dinero y cumplir con los KPIs. No es de extrañar por qué la gestión de riesgos moderna es principalmente un mero formalismo.
Lo divertido es que los gerentes de riesgos corporativos cometen exactamente los mismos errores. Ellos también necesitan mostrar valor en la gestión de riesgos y no lo logran al centrarse en los riesgos (su dominio) en lugar de en los procesos comerciales o decisiones (dominio empresarial).
B. Confundir la gestión de riesgos con el cumplimiento
¿Sabías que, a diferencia de muchas otras normas ISO, la ISO31000:2009 no está diseñada con el propósito de obtener certificación? Esta fue una decisión consciente tomada por las personas que trabajaban en la norma en ese momento. Es un documento de orientación.
La gestión de riesgos no es solo blanco y negro. Por ejemplo, la gestión de riesgos consiste en integrarla en la toma de decisiones y en los procesos empresariales, pero cada organización encontrará su propia manera de hacerlo.
Muchos consultores cometen un gran error al insistir en una sola versión de la verdad. Los reguladores no financieros o agencias gubernamentales cometen aún errores más graves al convertir las directrices en obligatorias. Como COSO:ERM en los Estados Unidos, un mal documento hecho obligatorio para las empresas que cotizan en bolsa. Lee más sobre el nuevo COSO:ERMhttps://www.linkedin.com/pulse/cosoerm-2017-review-alex-sidorenko-alexei-sidorenko-crmp
La mejor manera de evaluar la efectividad de la gestión de riesgos es aplicando un modelo de madurez en gestión de riesgos. Solo ten en cuenta que la mayoría de los modelos de madurez existentes fueron creados por consultores que no ven el panorama completo, vea el punto A.
C. No ver los detalles íntimos
Una de mis buenas amigas, Anna Korbut, hace unos años dijo una cosa interesante: "La gestión de riesgos es un asunto muy íntimo". Me gustó esta frase, así que la he usado desde entonces. La gestión de riesgos es verdaderamente íntima y única. He estado trabajando en gestión de riesgos durante más de 13 años en 4 países diferentes, he visto cerca de 300 implementaciones de gestión de riesgos y, sin embargo, cada una de ellas fue única en algún aspecto.
Desafortunadamente, muchos consultores no profundizan lo suficiente para ver cómo la gestión de riesgos se implementa realmente en los procesos organizacionales y en la cultura general de la organización.
La gestión de riesgos va en contra de la naturaleza humana (ver investigaciones de D. Kahneman y A. Tversky), por lo que la mayoría de las veces los gestores de riesgos utilizan técnicas que bordean la programación neurolingüística o la construcción de una red de inteligencia interna. Aquí hay solo dos ejemplos
- Personalmente, creé un torneo de tenis de mesa en la empresa donde solía trabajar para tener la oportunidad de conocer todas las unidades de negocio en entornos informales y crear afinidad. Esto tuvo un impacto positivo mayor que las reuniones mensuales del comité ejecutivo de riesgos donde estaban presentes todos los mismos jefes de departamento.
- Un colega mío creó todo el procedimiento de planificación operativa dentro de la empresa para reforzar la necesidad de discutir los riesgos a diario.
La conclusión clave es: a menos que se les solicite específicamente, la mayoría de los gestores de riesgos nunca revelarán cómo realmente construyen la cultura de gestión de riesgos dentro de la organización o cómo integran el análisis de riesgos en el negocio. Según la ISO31000:2009, la gestión de riesgos son actividades coordinadas para dirigir y controlar una organización con respecto al riesgo. Consiste en aproximadamente 1000 pequeñas cosas que los gestores de riesgos hacen a diario, la mayoría de las cuales pueden no estar directamente relacionadas con el riesgo. Pero son esas pequeñas cosas las que construyen la cultura de gestión de riesgos dentro de la organización. Desafortunadamente, la mayoría de los consultores de riesgos son rápidos en llegar a conclusiones y no se molestan en profundizar lo suficiente para ver todos los matices.
La gestión de riesgos en cada empresa es única, es trabajo del consultor de riesgos descubrir cómo se integra todo para construir una organización basada en riesgos mejor.
PD: Recuerda que, si tu consultor muestra signos de cualquiera de los anteriores, es momento de tener una charla honesta con él/ella.
P.D.P.D. Por favor, comparte tus pensamientos en la sección de comentarios a continuación.
guías y plantillas de RISK-ACADEMY
Muy buen artículo. De hecho, el riesgo es muy volátil y significa cosas diferentes para distintas personas o empresas. Muchos Consultores de Riesgos lo ven con una sola solución para todos.
El riesgo claramente no es solo una recopilación cuantitativa de estadísticas y suposiciones, hay que profundizar más para obtener la imagen completa... Me gustó mucho el artículo.
Alex,
Un buen artículo. De alguna manera, no estoy de acuerdo con tu punto sobre un enfoque único a nivel de toda la empresa. No estoy completamente en desacuerdo. Mi punto es: los niveles de autoridad para aceptar riesgos deben ser a nivel de toda la empresa, las tablas de consecuencias también. No perdemos fondos de seguridad. – Perdemos las finanzas de la empresa, no tenemos muertes por seguridad, tenemos muertes en la empresa. Como señalaste, deberíamos estar analizando el impacto de usar presupuesto@riesgo, cronograma@riesgo, beneficio@riesgo o KPI@riesgo.
Lo que se vuelve difícil es cuando las sucursales de la organización no entienden el impacto de "sus" riesgos en toda la organización y insisten en que algo es catastrófico cuando no lo es, o minimizan riesgos que pueden tener un impacto asimétrico en la organización. El incendio en la fábrica que afectó a Nokia y Ericsson es un buen ejemplo Aquí es donde la organización (a nivel empresarial) debería informar a sus áreas de negocio sobre cómo los riesgos de las sucursales (nivel local) afectan al resto de la organización. Se trata de poner las consecuencias en perspectiva, no solo a nivel local, sino en toda la empresa y comprender el impacto a largo plazo.
Alex, estoy totalmente de acuerdo, ya que la gestión de riesgos debería correr por las venas de la organización. La conciencia, la educación y la cultura son elementos cruciales que deben movilizarse para lograr la integración de la gestión de riesgos. Puede parecer un proceso doloroso / costoso, pero es necesario para lograr la madurez en riesgos de la organización requerida.
Gracias
Buena y válida perspectiva sobre la gestión de riesgos. Tan útil para aspirantes a consultores de riesgos como yo.
En cierto sentido, la gestión de riesgos debe ser "incorporada" y no "añadida"
Gracias por tus comentarios perspicaces.
En mi experiencia, el desafío constante de gestionar eficazmente el riesgo es tener en cuenta activamente el elemento humano.
Además de ser la fuente de errores humanos, el elemento humano es en última instancia el mejor control/barrera para prevenir que ocurran incidentes. Casi todo el tiempo, decisiones humanas bien informadas, planificadas y comunicadas SON EXITOSAS.
Al mismo tiempo, las actividades de gestión de riesgos no pueden ser solo una cosa de una sola vez. Tampoco pueden ser solo anual, mensual, semanal o incluso diario. Para ser más efectivo, en mi experiencia, la gestión del riesgo debe aplicarse activamente antes, durante y después de cada decisión y acción que tome cada persona en la organización.
He descubierto que esto se puede lograr cuando la evaluación de riesgos está integrada en el proceso de toma de decisiones a nivel individual. Enseñar, apoyar y reforzar positivamente las siguientes cuatro preguntas para que se hagan continuamente durante toda la jornada laboral (¡y la vida!) puede lograr que esto suceda.
Las preguntas son
¿Sobre qué estoy a punto de hacer?
2. ¿Qué puede salir mal?
3. ¿Qué tan malo podría ser?
4. Entonces, ¿qué necesito hacer al respecto?
Esta mentalidad en curso entrena a cada empleado para ser un gestor de riesgos efectivo, aplicando el elemento humano para aumentar las probabilidades de hacer las cosas bien.
Una aplicación adicional del elemento humano en la gestión práctica y activa del riesgo es realizar una sesión de retroalimentación o "lavado en caliente" al final de cada día, turno o actividad importante.
Lo hacemos después de simulacros de emergencia, ¿por qué no todos los días?
Preguntar
¿Qué salió bien?
¿Qué salió mal?
¿Cómo lo manejaste?
¿Qué aprendiste?
¿Qué puede aprender la organización?
¿Qué podemos cambiar para ser aún mejores?
Para que esto sea efectivo, los supervisores y gerentes deben estar comprometidos a escuchar, aprender y actuar positivamente en estas oportunidades de "lecciones aprendidas".
Esto también requiere una cultura consistentemente no punitiva donde se anime a las personas a reportar discrepancias y errores, y no sean sancionadas ni castigadas por ser humanas.