Ok, el título es obviamente irónico, porque ninguna organización en el planeta nunca está “simplemente” comenzando a implementar la gestión de riesgos o “empezando desde cero”. Las organizaciones han tomado decisiones basadas en riesgos desde sus inicios. A menudo de manera deficiente, pero ese es otro asunto por completo. Y, sin embargo, demasiados anuncios de empleo que veo buscan especialistas en riesgos para construir la gestión de riesgos desde cero. Sin broma. Espero que esto sea solo una cosa rusa y que no lo veas en tu país.

🚩 Enfócate demasiado en RM1

Uno de los mayores errores que puede cometer un gestor de riesgos al implementar la gestión de riesgos es centrarse demasiado en RM1. ¿Qué es RM1? Intenté explicar en este artículoRM1 vs RM2 – ¿qué lado elegirás? Básicamente, RM1 es el aspecto formal y de cumplimiento de la gestión de riesgos que es promovido por estándares y directrices internacionales, asociaciones de gestión de riesgos y empresas de consultoría. Ninguna de las prácticas que promueven tiene una base real en la ciencia de la decisión o en la teoría de la probabilidad, e incluso a menudo las contradicen. Y hay evidencia convincente que sugiere que esas "mejores prácticas" no aportan valor a las organizaciones más allá de una apariencia atractiva.

Esto puede ser una sorpresa, pero no necesitamos un marco de gestión de riesgos, una declaración de apetito por el riesgo ni propietarios de riesgos para realizar análisis de riesgos cuantitativos y ayudar a las empresas a tomar decisiones basadas en riesgos de manera más efectiva.

RM1 a veces es el mal necesario y puede ser necesario en alguna etapa, pero definitivamente no es la primera prioridad.

🚩 Ignorar las prácticas de riesgo existentes

Otro grave error es pensar que la gestión de riesgos es de alguna manera nueva o única. Aunque una organización nunca haya tenido una declaración de apetito por el riesgo y no haya realizado una evaluación de riesgos a nivel empresarial antes, todas esas cosas son RM1.

Cualquier empresa en el planeta ha estado haciendo RM2 para siempre. ¿Puedes pensar en ejemplos donde tu empresa haya aplicado un buen análisis cuantitativo de riesgos mucho antes de que te unieras? Aquí hay solo algunos

• ejecutando escenarios sobre el presupuesto
• realizando análisis de sensibilidad en proyectos de inversión
• simulaciones al diseñar nuevos productos
• diversificación del portafolio de proyectos
• mantener dinero en bancos sólidos
• calificación crediticia y límites de crédito
• precios diferentes para diferentes mercados/riesgos

La gestión de riesgos no se trata de construir algo desde cero, sino de mejorar las prácticas existentes de toma de decisiones. Más sobre eso en la próxima sección.

🚩 Implementar RM2 como complemento

Esto también es un gran desafío para muchos nuevos gerentes de riesgos. Es mucho más fácil y atractivo construir un nuevo proceso, es mucho más difícil mejorar algo que ya existe. Y, sin embargo, creo firmemente que la gestión de riesgos debería centrarse más en mejorar los procesos y decisiones existentes. Por ejemplo, implementar el análisis de riesgo cuantitativo en las decisiones de inversión parece el lugar obvio para comenzar. Pero a veces es necesario corregir el proceso de toma de decisiones de inversión antes de que se pueda implementar cualquier tipo de análisis de riesgos sensato. A menudo, por ejemplo, los gestores de riesgos necesitan colaborar con el equipo de inversión para modificar la plantilla del modelo financiero en sí, para hacer posible un análisis de riesgos posterior. La mayoría de los modelos financieros no son adecuados para simulaciones de Monte Carlo, algo que me sorprendió, por ejemplo.

🚩 Mantén RM2 demasiado tiempo

Otro punto importante es que tarde o temprano, el análisis de riesgos deberá ser entregado a las unidades de negocio. Aunque el equipo de riesgo puede realizar análisis de riesgo cuantitativo en cualquier decisión, en algún momento el volumen de decisiones sería demasiado para que cualquier equipo de riesgo pueda manejarlo. Por ejemplo, nunca tuve un equipo de riesgos con más de 3 personas. Por lo tanto, nuestra capacidad es bastante limitada y estamos preparando activamente el momento en que tendremos que entregar el análisis de riesgos al equipo de estrategia, equipo de inversión, controladores financieros, división comercial, oficina de gestión de proyectos, y así sucesivamente.

🚩 Implementa lo que sabes, no lo que la empresa necesita o lo que funciona

Esta es una situación difícil porque hay mucho ruido en la profesión de riesgo y tan poca acuerdo sobre qué funciona y qué no. Por ejemplo, cada "mejor práctica" recomienda usar mapas de calor, pero nunca lo hicieron y nunca funcionarán. ¿Cómo se supone que los profesionales de riesgos deben saber esto? Multiplicar escalas ordinales de probabilidad y consecuencias para calcular los niveles de riesgo es una locura, pero ¿quiénes somos nosotros para promover la ciencia adecuada cuando incluso la legislación nos obliga a hacer precisamente eso? No creo que tenga una respuesta, pero tengo una historia. En mi nuevo rol como CRO, comencé con el tipo de análisis de riesgo cuantitativo que conozco y he hecho muchas veces antes, pero a través de muchas iteraciones con el CFO y la Junta, acordamos un nuevo mandato. Bajo el nuevo mandato, lo que pensé que serían mis tareas principales no representan solo el 30% de las responsabilidades totales. Así es, el 70 % de mi mandato actual es lo que la empresa necesita, no lo que me siento cómodo y fácil de hacer. No te preocupes, todavía RM2. Espero que esto sea un recordatorio poderoso para todos en la profesión de riesgo.

Aprende más en el próximo RAW2020 en línea https://2020.riskawarenessweek.com/