Durante los últimos 15 años he implementado la gestión de riesgos en cientos de organizaciones en Europa, Australia y Oriente Medio. Aquí tienes una guía paso a paso de cómo lo hice realmente. Puede que no funcione siempre y algunos tomadores de decisiones ignorarán los riesgos sin importar lo que hagamos, pero ganó los premios a la Mejor Implementación de ERM en Europa y EE.UU. en 2021 y 2014 :)))

A. A pesar de que la gestión de riesgos es una herramienta de toma de decisiones, probablemente deberías resolver primero Gestión de Riesgos 1, para mantener a raya a los auditores, agencias de calificación y reguladores. Es RM1, así que manténgalo lo más simple y rápido posible, esto es menos del 10% del esfuerzo total.

A los auditores les encanta pedir políticas y procedimientos, así que dales lo que quieren y haz que luzcan bien

A1. Desarrollar una política de gestión de riesgos breve estructurada en torno a los principios de ISO31000 - Este es muy fácil, solo sigue los pasos a continuación:

• tomar plantilla de política corporativa existente
• toma los principios de ISO31000:2018
• Construye una política basada en los principios, manténla breve. Creo que tengo una. ejemplo en mi página de descargas.

A2. Desarrollar un documento de marco de gestión de riesgos muy básico, alineado con ISO 31000 - lo mismo que arriba, utilice la ISO31000:2019 para desarrollar un documento marco. Mantén el texto del estándar lo más cercano posible, no reinventes la rueda. Tome algunas buenas frases de COSO: ERM 2017 también, solo por diversión. Afirmar que el documento está alineado con ambos. A los auditores les encanta eso.

A3. Identificar y cumplir con cualquier otro requisito regulatorio o de los accionistas relacionado con la gestión de riesgos - esto también es un paso importante, ya que muchas industrias tienen requisitos adicionales de gestión de riesgos, asegúrate de haberlos cubierto todos al redactar los documentos de políticas y marcos.

Pregunta a RAW@AI sobre esta publicación o simplemente habla sobre la gestión de riesgos

Aparentemente, las organizaciones deberían tener un apetito de riesgo y un perfil de riesgo, así que hazlo también. No es real, pero ganará algunos puntos con los interesados.

A4. Desarrollar un perfil de riesgo de alto nivel, vinculando los riesgos clave a los objetivos estratégicos - esto es básicamente un registro de riesgos colorido. Puedes hablar con algunos de los tomadores de decisiones clave, pero en realidad no tienes que hacerlo. informes 10K de competidores y muestras de registros de riesgos como el que tengo hará el trabajo.

A5. Documento de apetito por el riesgo ¿Notaste cómo puse apetito por el riesgo después del perfil de riesgo? Esto es solo para mostrar que RM1 es solo una fachada, no importa cómo lo hagas, no es real. No me crees, no es real, bueno Permitir que Grant Purdy, uno de los creadores de la AS/NZS 4360 e ISO31000, comparta sus perspectivas sobrias. Esto es una obligación para todos los gestores de riesgos. Jack Jones, Presidente, The FAIR Institute, también presenta un argumento convincente de por qué RM1 es una pérdida de tiempo, pero aún así necesario desafortunadamente.

Documentar la apetencia de riesgo es muy simple

• revisar las políticas existentes a nivel de Junta
• Identifique cualquier límite corporativo o regulatorio, por ejemplo, que los acuerdos de inversión superiores a 1.000 millones solo puedan ser aprobados por la Junta, ese es un límite. O cero tolerancia en incidentes de seguridad, lavado de dinero o soborno, esas también son límites. Las delegaciones financieras también son límites.
• recopila todos los límites existentes y colócalos en un solo documento. Llámalo declaración de apetito por el riesgo. Láminalo y usa colores para mostrar a los auditores que te lo tomas en serio.

Felicidades, ahora tienes un paquete interesante para llevar a las agencias de calificación, compañías de seguros y bancos. Esta documentación RM1 permitirá a su empresa mejorar la calificación crediticia, obtener financiamiento más barato de los bancos y obtener primas más bajas de las compañías de seguros. La cantidad de dinero ahorrada simplemente haciendo RM1 cubrirá los salarios del equipo de riesgos durante al menos los próximos 5 años.

B. Está bien, ahora es momento de hacer una verdadera Gestión de Riesgos 2 (GR2)

Al implementar RM2, comience con las decisiones clave

B6. Desarrollar una metodología específica de análisis de riesgos para cada tipo de decisión clave - la organización debería implementar la gestión de riesgos mediante:

• identificando dónde, cuándo y cómo se toman diferentes tipos de decisiones en toda la organización, y por quién;
• modificando los procesos de toma de decisiones aplicables cuando sea necesario mediante la aplicación de algunas técnicas de análisis de riesgos al proceso de toma de decisiones real. Esto ayudará a los tomadores de decisiones a tomar decisiones informadas e inteligentes basadas en un análisis adecuado de riesgos. ¿Qué técnicas funcionan y cuáles no? Tengo un artículo sobre eso.
• garantizar que las disposiciones de la organización para gestionar el riesgo sean claramente entendidas y practicadas.

B7. Proporcionar herramientas a los tomadores de decisiones o realizar análisis de riesgos sobre decisiones clave tú mismo - este es un paso importante para decidir si el equipo de riesgo se convertirá en un centro de metodología y monitoreo y el análisis de riesgos real será realizado por los tomadores de decisiones o si el equipo de riesgo se convertirá en un centro de soporte de análisis y realizará todos los análisis de riesgos ellos mismos, entregando solo los resultados a los tomadores de decisiones. Es una decisión compleja. Si los tomadores de decisiones no son maduros, no tienen habilidades cuantitativas fuertes y son muy sesgados, entonces el equipo de riesgo debe convertirse en el centro de apoyo para el análisis y realizar todos los análisis de riesgo. Aquí es importante trabajar con los auditores internos para asegurarse de que la calidad del análisis de riesgos sea suficiente para respaldar la toma de decisiones.

Esto es bastante básico, pero si la ciencia de decisiones es nueva para ti, Recomiendo leer buenos libros que han tenido todas las respuestas durante los últimos 10 años o más.

El siguiente paso es integrar el análisis de riesgos en la planificación y el presupuesto

B8. Cambia la forma en que se tiene en cuenta la incertidumbre durante la planificación al alejarse de las estimaciones de un solo punto hacia rangosSam Savage, Director Ejecutivo de GestiónDeProbabilidades.org, autor de La falla de los promedios – Por qué subestimamos el riesgo ante la incertidumbre, profesor adjunto en la Escuela de Ingeniería de la Universidad de Stanford y miembro de la Facultad de la Escuela de Negocios Judge en la Universidad de Cambridge, lo describirá mejor de lo que yo podría. Asegúrate de ver su taller. Es gratis, pero los cupos son limitados.

B9. Reemplace los escenarios tradicionales gestionados por finanzas con modelos de riesgo más sofisticados. ¿Cómo? Permitir a Hans Læssøe, ex-LEGO Gestión Estratégica de Riesgos del Grupo, para compartir su historia.

El siguiente paso es para integrar el análisis de riesgos en los KPI y pgestión del rendimiento

B10. Utilice simulaciones para cambiar la forma en que se calculan los KPIs y los objetivos de rendimiento, y cómo se mide el rendimiento en relación con ellos. Sam Savage tiene algunos ejemplos muy interesantes para ti. Así que sí Brian Putt, soporte de decisiones de Chevron durante más de 25 años.

C. La implementación de la gestión de riesgos 2 tiene tanto que ver con la cultura como con el proceso

Es importante asegurarse de que los roles y responsabilidades reflejen la toma de decisiones basada en riesgos

C11. Actualice las descripciones de puestos existentes para incluir la responsabilidad en la toma de decisiones basada en riesgos, planificación y gestión del rendimiento.

C12. Actualizar los estatutos existentes del comité para incluir la responsabilidad en la toma de decisiones basada en riesgos, planificación y gestión del rendimiento

La mayoría del personal no tiene formación en gestión de riesgos y no puede considerar adecuadamente la incertidumbre al tomar decisiones

C13. Brindar capacitación en pensamiento basado en riesgos a los tomadores de decisiones. Tengo numerosos cursos para eso en línea y fuera de línea en el https://riskacademy.blog.

C14. Incluir competencias de gestión de riesgos en los programas de capacitación empresarial existentes. A lo largo de los años he descubierto que en realidad es mucho mejor hacer que cada curso de capacitación que organiza el departamento de recursos humanos sea un poco más basado en riesgos que hacer una capacitación grande y aislada sobre riesgos.

Una serie de talleres habla mucho más sobre qué y cómo capacitar a los tomadores de decisiones.

Necesitamos establecer canales de comunicación claros

Aquí hay algunas ideas

• C15. Configurar y convertirse en secretario del Comité de Riesgos
• C16. Presentar temas relacionados con riesgos en cada oportunidad de hablar en público corporativa
• C17. Incluir temas de gestión de riesgos en las agendas de las reuniones
• C18. Escribir discursos sobre gestión de riesgos para ejecutivos en cada oportunidad
• C19. Participar en eventos corporativos y organizar competencias bajo su propio riesgo

Es importante proporcionar transparencia a través de la divulgación también

• C20. Divulgar información sobre la toma de decisiones basada en riesgos en el informe anual
• C21. Divulgar información sobre la toma de decisiones basada en riesgos en la intranet corporativa
• C22. Divulgar información sobre la toma de decisiones basada en riesgos en el sitio web corporativo

D. Lo último es desarrollar el propio equipo de gestión de riesgos

La gestión de riesgos requiere competencias especiales

• D23. Desarrollar habilidades cuantitativas
• D24. Desarrollar habilidades blandas
• D25. Desarrolla una comprensión sólida de la naturaleza del negocio y de los aspectos específicos de la toma de decisiones dentro de la organización.

Aquí está mi artículo sobre las competencias que los gestores de riesgos en empresas no financieras deben tener.

La gestión de riesgos 2 requiere herramientas más allá de los sistemas GRC comunes

• D26. Invertir en herramientas de modelado adecuadas. Hay muchos sistemas RM2 en el mercado y algunos son realmente increíbles.
• D27. Automatizar RM1 si es posible. Aunque la mayoría de los productos de GRC/ERM son una pérdida de tiempo, ayudan a automatizar RM1 y a reducir la cantidad de tiempo dedicado a informes de riesgo sin sentido. Los informes no dejan de ser inútiles, pero se puede dedicar más tiempo a las actividades de RM2.

El networking debería ser una parte importante del desarrollo del equipo

• D28. En cada oportunidad, conoce e intercambia ideas con otros gerentes de riesgos globales
• D29. Separe rápidamente a los expertos en riesgo RM1 de los expertos en riesgo RM2. Pasa tu tiempo interactuando con los gerentes de riesgo y expertos de RM2, no pierdas tiempo con los gurús de RM1. Tengo una lista completa de expertos en RM2.

Y finalmente…

Diviértete y yosi no te estás divirtiendo haciendo lo anterior, si la dirección está bloqueando cualquier intento de mejorar la toma de decisiones, empieza a buscar un nuevo trabajo. En serio, tu empresa actual probablemente sea un pantano y no quieres ser parte de ella a largo plazo. Los buenos gestores de riesgos no renuncian, sino que son despedidos de mutuo acuerdo, de esa manera obtienes una indemnización de 3 a 6 meses, lo cual siempre es agradable :))