Gestión de riesgos En las empresas no financieras modernas, es muy diferente en comparación con, por ejemplo, hace unos cinco años. El nivel de gestión de riesgos La madurez, por falta de una palabra mejor, ha crecido significativamente.
A medida que cada vez más empresas en todo el mundo buscan implementar robusto gestión de riesgos, la demanda de gestión de riesgos Los consultores también están creciendo. Desafortunadamente, no todos los consultores de riesgos son capaces de generar valor a largo plazo para sus clientes, aquí hay tres razones por las que:
A. Vender el producto equivocado
Las empresas no financieras quieren comprar y muchos consultores de riesgos continúan vendiendo evaluaciones de riesgo. gestión de riesgos marcos, declaraciones de apetito de riesgo y perfiles de riesgo. ¿En qué tienen en común todos estos productos? Estoy siendo intencionadamente provocador aquí, así que diré que todos estos productos están completamente fuera de lugar. Una cosa que tienen en común – Están diseñados para medir, captar o documentar riesgos, haciéndonos creer a todos que los riesgos y su mitigación son los objetivos finales del ejercicio.
A lo largo de los años, esta tendencia a tratargestión de riesgos como un proceso separado, independiente (algunos llegan incluso a decir que es independiente) con sus propias entradas (datos, entrevistas, expertos) y salidas (informes de riesgo, matrices de riesgo, registros de riesgos) creó toda una comunidad de consultores de riesgos que parecen no entender el meollo del asunto por completo.Gestión de riesgos no se trata realmente de lidiar con los riesgos, gestión de riesgos Se trata de ayudar a las empresas a lograr sus objetivos y tomar mejores decisiones.
Pregunta a RAW@AI sobre esta publicación o simplemente habla sobre la gestión de riesgos
Ok, a veces puede ser útil captar riesgos por el simple hecho de hacerlo y discutirlo con el equipo de gestión, pero esto debería ser más una excepción que una norma.
Así que si gestión de riesgos No se trata de evaluaciones de riesgos o riesgos, ¿entonces qué?
Creo que gestión de riesgos Se trata, en última instancia, de cambiar la forma en que las empresas toman decisiones y operan con los riesgos en mente.
Las dos tendencias modernas en gestión de riesgos Con diferencia son: integración en los procesos de negocio / decisión haciendo y factores humanos y culturalesSin embargo, parece que la mayoría de los consultores de riesgos modernos ignoran por completo ambos. Por ejemplo
- Es fundamentalmente incorrecto medir el nivel de riesgo cuando en su lugar se podría medir el impacto que los riesgos tienen en los objetivos clave o decisiones empresariales utilizandopresupuesto@riesgo programa@riesgo, profit@riesgoo KPI@riesgo.
- Creo que cualquier análisis cualitativo de riesgos basado en opiniones de expertos es maligno. Más sobre esto aquíhttps://www.linkedin.com/pulse/risk-management-used-science-became-art-now-its-just-sidorenko-crmp
- Está mal tener un gestión de riesgos documento marco de referencia, cuando en su lugar puedes integrar gestión de riesgos convertir principios y procedimientos en políticas y procedimientos operativos, como la elaboración del presupuesto, la planificación, las adquisiciones, etc. Apuesto a que este ejemplo molestó a bastantes de ustedes.
- Es un error intentar usar un enfoque empresarial único (a veces referido como ERM) para medir diferentes riesgos. Diferentes riesgos, diferentes tipos de decisiones y diferentes procesos empresariales merecen metodologías de riesgo, criterios de riesgo y herramientas de análisis de riesgo únicas.
Únete a la discusión en el grupo G31000 dedicado a ISO31000:2009https://www.linkedin.com/groups/1834592para saber más sobre las últimas tendencias en gestión de riesgosPor extraña que pueda parecer, muchos consultores de riesgos todavía no han leído la ISO 31000:2009 o no están al tanto de los cambios que están ocurriendo en la más popular gestión de riesgos estándar en el mundo (traducido y adoptado oficialmente en más de 65 países en el mundo y actualmente está siendo actualizado por más de 200 expertos de todo el mundo).
La realidad es, la mayoría gestión de riesgos Los consultores venden productos completamente incorrectos. La gerencia no se preocupa por los riesgos, sino por tomar decisiones que sean válidas en la corte, generar dinero y cumplir con los KPIs. No hay de qué sorprenderse por qué moderno. gestión de riesgoses principalmente palabras de cortesía.
Lo divertido es que los gerentes de riesgos corporativos cometen exactamente los mismos errores. Ellos también necesitan mostrar valor degestión de riesgos y no hacerlo al centrarse en los riesgos (su dominio) en lugar de los procesos empresariales o las decisiones (dominio empresarial).
B. Confuso gestión de riesgos con cumplimiento
¿Sabías que, a diferencia de muchas otras normas ISO, la ISO31000:2009 no está diseñada con el propósito de obtener certificación? Esto fue un consciente. decisión hecho por las personas que trabajaban en el estándar en ese momento. Es un documento de orientación.
Gestión de riesgos no es solo blanco y negro. Por ejemplo, gestión de riesgos se trata de integrarse en decisión fabricación y procesos empresariales, pero cada organización encontrará su forma única de hacerlo.
Muchos consultores cometen un gran error al insistir en una sola versión de la verdad. Los reguladores no financieros o agencias gubernamentales cometen aún errores más graves al convertir las directrices en obligatorias. Como COSO:ERM en los Estados Unidos, un mal documento hecho obligatorio para las empresas que cotizan en bolsa. Lee más sobre el nuevo COSO:ERMhttps://www.linkedin.com/pulse/cosoerm-2017-review-alex-sidorenko-alexei-sidorenko-crmp
Con diferencia, la mejor manera de evaluar. gestión de riesgos La eficacia se logra al aplicar una gestión de riesgos modelo de madurez. Solo ten en cuenta que la mayoría de los modelos de madurez existentes fueron creados por consultores que no ven el panorama completo, vea el punto A.
C. No ver los detalles íntimos
Una de mis buenas amigas, Anna Korbut, hace unos años dijo una cosa interesante – “Gestión de riesgos es un asunto muy íntimo. Me gustó esta frase, así que la he usado desde entonces. Gestión de riesgos Realmente es íntimo y único. He estado trabajando en gestión de riesgos Durante más de 13 años en cuatro países diferentes, he visto cerca de 300gestión de riesgos implementaciones y, sin embargo, cada una de ellas era única de alguna manera.
Desafortunadamente, muchos consultores no logran profundizar lo suficiente para ver cómo gestión de riesgos está realmente implementado en los procesos organizativos y en la cultura general de la organización.
Gestión de riesgos Va en contra de la naturaleza humana (ver la investigación de D.Kahnemann y A.Tversky), por lo que la mayor parte del tiempo los gestores de riesgos utilizan técnicas que rozan la programación neurolingüística o la construcción de una red de inteligencia interna. Aquí hay solo dos ejemplos
- Personalmente, creé un torneo de tenis de mesa en la empresa donde solía trabajar para tener la oportunidad de conocer todas las unidades de negocio en entornos informales y crear afinidad. Esto tuvo un impacto positivo mayor que las reuniones mensuales del comité ejecutivo de riesgos donde estaban presentes todos los mismos jefes de departamento.
- Un colega mío creó todo el procedimiento de planificación operativa dentro de la empresa para reforzar la necesidad de discutir los riesgos a diario.
La conclusión clave es – a menos que se pregunte específicamente, la mayoría de los gestores de riesgos nunca revelarán cómo realmente construyen. gestión de riesgos cultura dentro de la organización o cómo integran el análisis de riesgos en la empresa. Según ISO 31000:2009 gestión de riesgos Son actividades coordinadas para dirigir y controlar una organización con respecto al riesgo. Consiste en aproximadamente 1000 pequeñas cosas que los gestores de riesgos hacen a diario, la mayoría de las cuales pueden no estar directamente relacionadas con el riesgo. Sin embargo, son esas pequeñas cosas las que construyen. gestión de riesgos cultura dentro de la organización. Desafortunadamente, la mayoría de los consultores de riesgos son rápidos en llegar a conclusiones y no se molestan en profundizar lo suficiente para ver todos los matices.
Gestión de riesgos En cada empresa hay algo único; es trabajo del consultor de riesgos averiguar cómo encaja todo para construir una organización basada en el riesgo más sólida.
PD: Recuerda que, si tu consultor muestra signos de cualquiera de los anteriores, es momento de tener una charla honesta con él/ella.
P.D.P.D. Por favor, comparte tus pensamientos en la sección de comentarios a continuación.
guías y plantillas de RISK-ACADEMY
La guía de RISK-ACADEMY sobre la gestión de riesgos en proyectos gubernamentales
Ver otros gestión de riesgos libros
RISK-ACADEMY ofrece cursos en línea
Toma de Riesgos Informada
Aprende 15 pasos prácticos para la integración. gestión de riesgos dentro de decisión creación, procesos de negocio, cultura organizacional y otras actividades!
ISO 31000 Integración Gestión de Riesgos
Alex Sidorenko, conocido por su gestión de riesgos blog http://www.riskacademy.blog, ha creado un programa de 25 pasos para integrar gestión de riesgos dentro de decisión la creación de los procesos centrales del negocio y de la cultura general de la organización.
Gobernanza de Riesgos Avanzada
Este curso ofrece orientación, motivación, información crítica y estudios de casos prácticos para ir más allá de la gobernanza tradicional del riesgo, ayudando a garantizar gestión de riesgos No es un proceso independiente, sino un motor del cambio para el negocio.
Muy buen artículo. De hecho, el riesgo es muy volátil y significa cosas diferentes para distintas personas o empresas. Muchos Consultores de Riesgos lo ven con una sola solución para todos.
El riesgo claramente no es solo una recopilación cuantitativa de estadísticas y suposiciones, hay que profundizar más para obtener la imagen completa... Me gustó mucho el artículo.
Alex,
Un buen artículo. De alguna manera, no estoy de acuerdo con tu punto sobre un enfoque único a nivel de toda la empresa. No estoy completamente en desacuerdo. Mi punto es: los niveles de autoridad para aceptar riesgos deben ser a nivel de toda la empresa, las tablas de consecuencias también. No perdemos fondos de seguridad. – Perdemos las finanzas de la empresa, no tenemos muertes por seguridad, tenemos muertes en la empresa. Como señalaste, deberíamos estar analizando el impacto de usar presupuesto@riesgo, cronograma@riesgo, beneficio@riesgo o KPI@riesgo.
Lo que se vuelve difícil es cuando las sucursales de la organización no entienden el impacto de "sus" riesgos en toda la organización y insisten en que algo es catastrófico cuando no lo es, o minimizan riesgos que pueden tener un impacto asimétrico en la organización. El incendio en la fábrica que afectó a Nokia y Ericsson es un buen ejemplo Aquí es donde la organización (a nivel empresarial) debería informar a sus áreas de negocio sobre cómo los riesgos de las sucursales (nivel local) afectan al resto de la organización. Se trata de poner las consecuencias en perspectiva, no solo a nivel local, sino en toda la empresa y comprender el impacto a largo plazo.
Alex, estoy totalmente de acuerdo, ya que la gestión de riesgos debería correr por las venas de la organización. La conciencia, la educación y la cultura son elementos cruciales que deben movilizarse para lograr la integración de la gestión de riesgos. Puede parecer un proceso doloroso / costoso, pero es necesario para lograr la madurez en riesgos de la organización requerida.
Gracias
Buena y válida perspectiva sobre la gestión de riesgos. Tan útil para aspirantes a consultores de riesgos como yo.
En cierto sentido, la gestión de riesgos debe ser "incorporada" y no "añadida"
Gracias por tus comentarios perspicaces.
En mi experiencia, el desafío constante de gestionar eficazmente el riesgo es tener en cuenta activamente el elemento humano.
Además de ser la fuente de errores humanos, el elemento humano es en última instancia el mejor control/barrera para prevenir que ocurran incidentes. Casi todo el tiempo, decisiones humanas bien informadas, planificadas y comunicadas SON EXITOSAS.
Al mismo tiempo, las actividades de gestión de riesgos no pueden ser solo una cosa de una sola vez. Tampoco pueden ser solo anual, mensual, semanal o incluso diario. Para ser más efectivo, en mi experiencia, la gestión del riesgo debe aplicarse activamente antes, durante y después de cada decisión y acción que tome cada persona en la organización.
He descubierto que esto se puede lograr cuando la evaluación de riesgos está integrada en el proceso de toma de decisiones a nivel individual. Enseñar, apoyar y reforzar positivamente las siguientes cuatro preguntas para que se hagan continuamente durante toda la jornada laboral (¡y la vida!) puede lograr que esto suceda.
Las preguntas son
1. ¿Qué estoy a punto de hacer?
2. ¿Qué puede salir mal?
3. ¿Qué tan malo podría ser?
4. ¿Entonces, qué necesito hacer al respecto?
Esta mentalidad en curso entrena a cada empleado para ser un gestor de riesgos efectivo, aplicando el elemento humano para aumentar las probabilidades de hacer las cosas bien.
Una aplicación adicional del elemento humano en la gestión práctica y activa del riesgo es realizar una sesión de retroalimentación o "lavado en caliente" al final de cada día, turno o actividad importante.
Lo hacemos después de simulacros de emergencia, ¿por qué no todos los días?
Preguntar
¿Qué salió bien?
¿Qué salió mal?
¿Cómo lo manejaste?
¿Qué aprendiste?
¿Qué puede aprender la organización?
¿Qué podemos cambiar para ser aún mejores?
Para que esto sea efectivo, los supervisores y gerentes deben estar comprometidos a escuchar, aprender y actuar positivamente en estas oportunidades de "lecciones aprendidas".
Esto también requiere una cultura consistentemente no punitiva donde se anime a las personas a reportar discrepancias y errores, y no sean sancionadas ni castigadas por ser humanas.