Gestión de riesgos En las empresas no financieras modernas, es muy diferente en comparación con, por ejemplo, hace unos cinco años. El nivel de gestión de riesgos La madurez, por falta de una palabra mejor, ha crecido significativamente.
A medida que cada vez más empresas en todo el mundo buscan implementar robusto gestión de riesgos, la demanda de gestión de riesgos Los consultores también están creciendo. Desafortunadamente, no todos los consultores de riesgos son capaces de generar valor a largo plazo para sus clientes, aquí hay tres razones por las que:
A. Vender el producto equivocado
Las empresas no financieras quieren comprar y muchos consultores de riesgos continúan vendiendo evaluaciones de riesgo. gestión de riesgos marcos, declaraciones de apetito de riesgo y perfiles de riesgo. ¿En qué tienen en común todos estos productos? Estoy siendo intencionadamente provocador aquí, así que diré que todos estos productos están completamente fuera de lugar. Una cosa que tienen en común – Están diseñados para medir, captar o documentar riesgos, haciéndonos creer a todos que los riesgos y su mitigación son los objetivos finales del ejercicio.
A lo largo de los años, esta tendencia a tratargestión de riesgos como un proceso separado, independiente (algunos llegan incluso a decir que es independiente) con sus propias entradas (datos, entrevistas, expertos) y salidas (informes de riesgo, matrices de riesgo, registros de riesgos) creó toda una comunidad de consultores de riesgos que parecen no entender el meollo del asunto por completo.Gestión de riesgos no se trata realmente de lidiar con los riesgos, gestión de riesgos Se trata de ayudar a las empresas a lograr sus objetivos y tomar mejores decisiones.
Ok, a veces puede ser útil captar riesgos por el simple hecho de hacerlo y discutirlo con el equipo de gestión, pero esto debería ser más una excepción que una norma.
Así que si gestión de riesgos No se trata de evaluaciones de riesgos o riesgos, ¿entonces qué?
Creo que gestión de riesgos Se trata, en última instancia, de cambiar la forma en que las empresas toman decisiones y operan con los riesgos en mente.
Las dos tendencias modernas en gestión de riesgos Con diferencia son: integración en los procesos de negocio / decisión haciendo y factores humanos y culturalesSin embargo, parece que la mayoría de los consultores de riesgos modernos ignoran por completo ambos. Por ejemplo
- Es fundamentalmente incorrecto medir el nivel de riesgo cuando en su lugar se podría medir el impacto que los riesgos tienen en los objetivos clave o decisiones empresariales utilizandopresupuesto@riesgo programa@riesgo, profit@riesgoo KPI@riesgo.
- Creo que cualquier análisis cualitativo de riesgos basado en opiniones de expertos es maligno. Más sobre esto aquíhttps://www.linkedin.com/pulse/risk-management-used-science-became-art-now-its-just-sidorenko-crmp
- Está mal tener un gestión de riesgos documento marco de referencia, cuando en su lugar puedes integrar gestión de riesgos convertir principios y procedimientos en políticas y procedimientos operativos, como la elaboración del presupuesto, la planificación, las adquisiciones, etc. Apuesto a que este ejemplo molestó a bastantes de ustedes.
- Es un error intentar usar un enfoque empresarial único (a veces referido como ERM) para medir diferentes riesgos. Diferentes riesgos, diferentes tipos de decisiones y diferentes procesos empresariales merecen metodologías de riesgo, criterios de riesgo y herramientas de análisis de riesgo únicas.
Únete a la discusión en el grupo G31000 dedicado a ISO31000:2009https://www.linkedin.com/groups/1834592para saber más sobre las últimas tendencias en gestión de riesgosPor extraña que pueda parecer, muchos consultores de riesgos todavía no han leído la ISO 31000:2009 o no están al tanto de los cambios que están ocurriendo en la más popular gestión de riesgos estándar en el mundo (traducido y adoptado oficialmente en más de 65 países en el mundo y actualmente está siendo actualizado por más de 200 expertos de todo el mundo).
La realidad es, la mayoría gestión de riesgos Los consultores venden productos completamente incorrectos. La gerencia no se preocupa por los riesgos, sino por tomar decisiones que sean válidas en la corte, generar dinero y cumplir con los KPIs. No hay de qué sorprenderse por qué moderno. gestión de riesgoses principalmente palabras de cortesía.
Lo divertido es que los gerentes de riesgos corporativos cometen exactamente los mismos errores. Ellos también necesitan mostrar valor degestión de riesgos y no hacerlo al centrarse en los riesgos (su dominio) en lugar de los procesos empresariales o las decisiones (dominio empresarial).
B. Confuso gestión de riesgos con cumplimiento
¿Sabías que, a diferencia de muchas otras normas ISO, la ISO31000:2009 no está diseñada con el propósito de obtener certificación? Esto fue un consciente. decisión hecho por las personas que trabajaban en el estándar en ese momento. Es un documento de orientación.
Gestión de riesgos no es solo blanco y negro. Por ejemplo, gestión de riesgos se trata de integrarse en decisión fabricación y procesos empresariales, pero cada organización encontrará su forma única de hacerlo.
Muchos consultores cometen un gran error al insistir en una sola versión de la verdad. Los reguladores no financieros o agencias gubernamentales cometen aún errores más graves al convertir las directrices en obligatorias. Como COSO:ERM en los Estados Unidos, un mal documento hecho obligatorio para las empresas que cotizan en bolsa. Lee más sobre el nuevo COSO:ERMhttps://www.linkedin.com/pulse/cosoerm-2017-review-alex-sidorenko-alexei-sidorenko-crmp
Con diferencia, la mejor manera de evaluar. gestión de riesgos La eficacia se logra al aplicar una gestión de riesgos modelo de madurez. Solo ten en cuenta que la mayoría de los modelos de madurez existentes fueron creados por consultores que no ven el panorama completo, vea el punto A.
C. No ver los detalles íntimos
Una de mis buenas amigas, Anna Korbut, hace unos años dijo una cosa interesante – “Gestión de riesgos es un asunto muy íntimo. Me gustó esta frase, así que la he usado desde entonces. Gestión de riesgos Realmente es íntimo y único. He estado trabajando en gestión de riesgos Durante más de 13 años en cuatro países diferentes, he visto cerca de 300gestión de riesgos implementaciones y, sin embargo, cada una de ellas era única de alguna manera.
Desafortunadamente, muchos consultores no logran profundizar lo suficiente para ver cómo gestión de riesgos está realmente implementado en los procesos organizativos y en la cultura general de la organización.
Gestión de riesgos Va en contra de la naturaleza humana (ver la investigación de D.Kahnemann y A.Tversky), por lo que la mayor parte del tiempo los gestores de riesgos utilizan técnicas que rozan la programación neurolingüística o la construcción de una red de inteligencia interna. Aquí hay solo dos ejemplos
- Personalmente, creé un torneo de tenis de mesa en la empresa donde solía trabajar para tener la oportunidad de conocer todas las unidades de negocio en entornos informales y crear afinidad. Esto tuvo un impacto positivo mayor que las reuniones mensuales del comité ejecutivo de riesgos donde estaban presentes todos los mismos jefes de departamento.
- Un colega mío creó todo el procedimiento de planificación operativa dentro de la empresa para reforzar la necesidad de discutir los riesgos a diario.
La conclusión clave es – a menos que se pregunte específicamente, la mayoría de los gestores de riesgos nunca revelarán cómo realmente construyen. gestión de riesgos cultura dentro de la organización o cómo integran el análisis de riesgos en la empresa. Según ISO 31000:2009 gestión de riesgos Son actividades coordinadas para dirigir y controlar una organización con respecto al riesgo. Consiste en aproximadamente 1000 pequeñas cosas que los gestores de riesgos hacen a diario, la mayoría de las cuales pueden no estar directamente relacionadas con el riesgo. Sin embargo, son esas pequeñas cosas las que construyen. gestión de riesgos cultura dentro de la organización. Desafortunadamente, la mayoría de los consultores de riesgos son rápidos en llegar a conclusiones y no se molestan en profundizar lo suficiente para ver todos los matices.
Gestión de riesgos En cada empresa hay algo único; es trabajo del consultor de riesgos averiguar cómo encaja todo para construir una organización basada en el riesgo más sólida.
PD: Recuerda que, si tu consultor muestra signos de cualquiera de los anteriores, es momento de tener una charla honesta con él/ella.
P.D.P.D. Por favor, comparte tus pensamientos en la sección de comentarios a continuación.
guías y plantillas de RISK-ACADEMY
La guía de RISK-ACADEMY sobre la gestión de riesgos en proyectos gubernamentales
Ver otros gestión de riesgos libros
RISK-ACADEMY ofrece cursos en línea
Toma de Riesgos Informada
Aprende 15 pasos prácticos para la integración. gestión de riesgos dentro de decisión creación, procesos de negocio, cultura organizacional y otras actividades!
ISO 31000 Integración Gestión de Riesgos
Alex Sidorenko, conocido por su gestión de riesgos blog http://www.riskacademy.blog, ha creado un programa de 25 pasos para integrar gestión de riesgos dentro de decisión la creación de los procesos centrales del negocio y de la cultura general de la organización.
Gobernanza de Riesgos Avanzada
Este curso ofrece orientación, motivación, información crítica y estudios de casos prácticos para ir más allá de la gobernanza tradicional del riesgo, ayudando a garantizar gestión de riesgos No es un proceso independiente, sino un motor del cambio para el negocio.