En los últimos 15 años he implementado gestión de riesgos en cientos de organizaciones por toda Europa, Australia y Oriente Medio. Aquí tienes una guía paso a paso de cómo lo hice realmente. Puede que no funcione cada vez y algunos decisión Los creadores ignorarán los riesgos sin importar lo que hagamos, pero sí ganó los premios a la mejor implementación de ERM en Europa y Estados Unidos en 2021 y 2014 :)))

A. A pesar de que gestión de riesgos es un decisión herramienta para hacer, probablemente deberías conseguir Gestión de Riesgos 1 ordenado primero, para mantener a raya a los auditores, agencias de calificación y reguladores. Es RM1, así que manténlo lo más simple y rápido posible, esto representa menos del 10% del esfuerzo total.

A los auditores les encanta pedir políticas y procedimientos, así que dales lo que quieren y haz que luzcan bien

A1. Desarrolla un cortometraje. gestión de riesgos política estructurada en torno a los principios de ISO 31000 - Este es muy fácil, solo sigue los pasos a continuación:

• tomar plantilla de política corporativa existente
• toma los principios de ISO31000:2018
• Crea una política basada en los principios, manteniéndola breve. Creo que tengo un ejemplo en mi página de descargas.

A2. Desarrolla una muy básica gestión de riesgos documento marco, alineado con ISO 31000 - lo mismo que arriba, utilice la ISO31000:2019 para desarrollar un documento marco. Mantén el texto del estándar lo más cercano posible, no reinventes la rueda. Tome algunas buenas frases de COSO: ERM 2017 también, solo por diversión. Afirmar que el documento está alineado con ambos. A los auditores les encanta eso.

A3. Identificar y cumplir cualquier otro requisito regulatorio o de los accionistas con respecto a gestión de riesgos – este también es un paso importante, ya que muchas industrias tienen adicional gestión de riesgos Requisitos, asegúrate de haberlos cubierto todos al redactar documentos de políticas y marcos.

Pregunta a RAW@AI sobre esta publicación o simplemente habla sobre la gestión de riesgos

Aparentemente, las organizaciones deberían tener un apetito de riesgo y un perfil de riesgo, así que hazlo también. No es real, pero ganará algunos puntos con los interesados.

A4. Desarrollar un perfil de riesgo de alto nivel, vinculando los riesgos clave a los objetivos estratégicos - esto es básicamente un registro de riesgos colorido. Puedes hablar con algunas de las personas clave. decisión creadores, pero realmente no tienes que. informes 10K de competidores y muestras de registros de riesgos como el que tengo hará el trabajo.

A5. Documentar la apetencia de riesgo ¿Notaste cómo puse apetito por el riesgo después del perfil de riesgo? Esto es solo para mostrar que RM1 Es solo una fachada, no importa cómo lo hagas, no es real. No me crees, no es real, bueno Permitir que Grant Purdy, uno de los creadores de la AS/NZS 4360 e ISO31000, comparta sus perspectivas sobrias. Esto es una obligación para todos los gestores de riesgos. Jack Jones, Presidente, The FAIR Institute, también presenta un argumento convincente de por qué RM1 es una pérdida de tiempo, pero aún así necesario desafortunadamente.

Documentar la apetencia de riesgo es muy simple

• revisar las políticas existentes a nivel de Junta
• Identifique cualquier límite corporativo o regulatorio, por ejemplo, que los acuerdos de inversión superiores a 1.000 millones solo puedan ser aprobados por la Junta, ese es un límite. O cero tolerancia en incidentes de seguridad, lavado de dinero o soborno, esas también son límites. Las delegaciones financieras también son límites.
• recopila todos los límites existentes y colócalos en un solo documento. Llámalo declaración de apetito por el riesgo. Láminalo y usa colores para mostrar a los auditores que te lo tomas en serio.

Felicidades, ahora tienes un paquete interesante para llevar a las agencias de calificación, compañías de seguros y bancos. Esto RM1 La documentación permitirá que su empresa mejore su calificación crediticia, obtenga financiamiento más barato de los bancos y obtenga primas más bajas de las compañías de seguros. La cantidad de dinero ahorrado solo por hacer RM1 cubrirá los salarios del equipo de riesgo durante al menos los próximos 5 años.

B. De acuerdo, ahora es hora de hacer algo real Gestión de Riesgos 2 (RM2)

Al implementar RM2 comienza con las decisiones clave

B6. Desarrolla una metodología de análisis de riesgos específica para cada clave. decisión tipo La organización debería implementar gestión de riesgos por:

• identificando dónde, cuándo y cómo se toman diferentes tipos de decisiones en toda la organización, y por quién;
• modificando lo aplicable decisión-procesos de toma de decisiones cuando sea necesario, aplicando algunas de las técnicas de análisis de riesgos a la realidad decisión proceso de fabricación. Esto ayudará. decisión Los tomadores de decisiones toman decisiones informadas e inteligentes basadas en un análisis de riesgos adecuado. ¿Qué técnicas funcionan y cuáles no? Tengo un artículo sobre eso.
• garantizar que las disposiciones de la organización para gestionar el riesgo sean claramente entendidas y practicadas.

B7. Proporciona herramientas a la decisión los creadores o realice usted mismo un análisis de riesgos sobre las decisiones clave. – Este es un paso importante para decidir si el equipo de riesgos se convertirá en un centro de metodología y monitoreo y el análisis de riesgos real será realizado por decisión los creadores o el equipo de riesgos se convertirán en el centro de apoyo al análisis y realizarán por sí mismos todo el análisis de riesgos dado el decisión Fabricantes, solo las salidas. Es un complejo. decisión. Si el decisión Los creadores no son maduros, no tienen sólidas habilidades cuantitativas y son muy sesgados; entonces el equipo de riesgos debe convertirse en el centro de apoyo analítico y realizar todos los análisis de riesgos. Aquí es importante trabajar con auditores internos para asegurarse de que el análisis de riesgos calidad es suficiente para apoyar decisión haciendo.

Esto es bastante básico, pero si decisión La ciencia es nueva para ti. Recomiendo leer buenos libros que han tenido todas las respuestas durante los últimos 10 años o más.

El siguiente paso es integrar el análisis de riesgos en la planificación y el presupuesto

B8. Cambia la forma en que se tiene en cuenta la incertidumbre durante la planificación al alejarse de las estimaciones de un solo punto hacia rangos. Sam SavageDirector Ejecutivo de GestiónDeProbabilidades.org, autor de La falla de los promedios – Por qué subestimamos el riesgo ante la incertidumbre, profesor adjunto en la Escuela de Ingeniería de la Universidad de Stanford y miembro de la Facultad de la Escuela de Negocios Judge en la Universidad de Cambridge, lo describirá mejor de lo que yo podría. Asegúrate de ver su taller. Es gratis, pero los lugares son limitados.

B9. Reemplace los escenarios tradicionales gestionados por finanzas con modelos de riesgo más sofisticados. ¿Cómo? Permitir a Hans Læssøe, ex-LEGO Gestión Estratégica de Riesgos del Grupo, para compartir su historia.

El siguiente paso es para integrar el análisis de riesgos en los KPI y pgestión del rendimiento

B10. Utilice simulaciones para cambiar la forma en que se calculan los KPIs y los objetivos de rendimiento, y cómo se mide el rendimiento en relación con ellos. Sam Savage tiene algunos ejemplos muy interesantes para ti. Así que sí Brian Putt, soporte de decisiones de Chevron durante más de 25 años.

C. Implementación gestión de riesgos 2 es tanto sobre la cultura como sobre el proceso

Es importante asegurarse de que los roles y las responsabilidades reflejen un enfoque basado en el riesgo. decisión haciendo

C11. Actualizar las descripciones de puestos existentes para incluir la responsabilidad basada en riesgos decisión creación, planificación y gestión del rendimiento

C12. Actualizar los mandatos de los comités existentes para incluir la responsabilidad basada en el riesgo. decisión creación, planificación y gestión del rendimiento

La mayor parte del personal no tiene gestión de riesgos Entrenamiento y no es capaz de considerar adecuadamente la incertidumbre al tomar decisiones.

C13. Proporcionar capacitación en pensamiento basado en riesgos a decisión creadores. Tengo numerosos cursos para eso en línea y fuera de línea en el https://riskacademy.blog.

C14. Incluir gestión de riesgos competencias en los programas de capacitación empresarial existentes. A lo largo de los años he descubierto que en realidad es mucho mejor hacer que cada curso de capacitación que organiza el departamento de recursos humanos sea un poco más basado en riesgos que hacer una capacitación grande y aislada sobre riesgos.

Una serie de talleres habla mucho más sobre qué y cómo capacitar a los tomadores de decisiones.

Necesitamos establecer canales de comunicación claros

Aquí hay algunas ideas

• C15. Establecerse y convertirse en secretario del Comité de Riesgos
• C16. Presentar temas relacionados con el riesgo en cada oportunidad de hablar corporativa
• C17. Incluir gestión de riesgos temas en las agendas de la reunión
• C18. Escribir gestión de riesgos discursos para ejecutivos en cada oportunidad
• C19. Participar en eventos corporativos y organizar competencias de riesgo propias

Es importante proporcionar transparencia a través de la divulgación también

• C20. Divulgue información basada en riesgos. decisión Elaboración en el informe anual
• C21. Divulgue información basada en riesgos. decisión creación en la intranet corporativa
• C22. Divulgue información basada en riesgos. decisión haciendo en el sitio web corporativo

D. La última cosa es desarrollar el gestión de riesgos el propio equipo

Gestión de riesgos Requiere competencias especiales

• D23. Desarrollar habilidades cuantitativas
• D24. Desarrollar habilidades blandas
• D25. Desarrolla una comprensión sólida de la naturaleza del negocio y de los detalles de decisión realización dentro de la organización.

Aquí está mi artículo sobre las competencias que los gestores de riesgos en empresas no financieras deben tener.

Gestión de riesgos 2 requiere herramientas más allá de los sistemas GRC comunes

• D26. Invierte en herramientas de modelado adecuadas. Hay mucho de RM2 sistemas en el mercado y algunos son realmente increíbles.
• D27. Automatizar RM1 si es posible. Mientras que la mayoría de los productos de GRC/ERM son una pérdida de tiempo, ayudan a automatizar RM1 y reducir la cantidad de tiempo dedicado a informes de riesgo sin sentido. Los informes no dejan de ser inútiles, pero se puede dedicar más tiempo a RM2 actividades.

El networking debería ser una parte importante del desarrollo del equipo

• D28. En cada oportunidad, conoce e intercambia ideas con otros gerentes de riesgos globales
• D29. Separar rápidamente RM1 de RM2 expertos en riesgos Dedica tu tiempo a interactuar con RM2 gestores de riesgos y expertos, no pierdan tiempo en RM1 gurús Tengo una lista completa de expertos en RM2.

Y finalmente…

Diviértete y yosi no te estás divirtiendo haciendo lo anterior, si la dirección está bloqueando cualquier intento de mejorar decisión haciendo, empieza a buscar un nuevo trabajo. En serio, tu empresa actual probablemente sea un pantano y no quieres ser parte de ella a largo plazo. Los buenos gestores de riesgos no renuncian, sino que son despedidos de mutuo acuerdo, de esa manera obtienes una indemnización de 3 a 6 meses, lo cual siempre es agradable :))