Este documento es el la mejor cosa que COSO ha publicado en añosQuiero decir... alguna vez... El marco basado en decisiones es genuino, no cosmético. La orientación práctica es aplicable. La crítica a la gestión de riesgos empresariales (ERM) basada en una documentación exhaustiva es honesta.
Sigue siendo un documento de COSO, lo que significa que lleva consigo cargas heredadas: el apetito de riesgo como un concepto significativo, el marco de cinco componentes como estructura organizativa, y una suposición implícita de que los programas de gestión de riesgos empresariales existen como funciones separadas en lugar de estar completamente integrados en la planificación empresarial, el rendimiento y los procesos de toma de decisiones. Lo tomaremos, sigue siendo la mejor orientación publicada hasta ahora este año y un gran avance respecto a la última publicación de FERMA sobre el mismo tema.
Este documento finalmente apunta en la dirección correcta.
Las 10 disciplinas operativas
Empecemos con lo que es verdaderamente bueno. Las diez disciplinas enumeradas son, en conjunto, un avance significativo respecto al lenguaje tradicional de la gestión de riesgos empresariales. Voy a mencionar a los que realmente importan:
Pregunta a RAW@AI sobre esta publicación o simplemente habla sobre la gestión de riesgos
Prioriza las decisiones sobre la documentación— esta es la oración más importante en todo el documento. Si las organizaciones realmente internalizaran esta línea, eliminarían aproximadamente el 60 % de la actividad inútil en los registros de riesgos que ocurre a nivel mundial. El hecho de que COSO esté diciendo esto explícitamente ahora es significativo.
Estrategia y riesgo — sí, por fin. El análisis de riesgos que no se conecta con una decisión estratégica es solo ruido. El documento al menos nombra esto como una disciplina, aunque no la operacionalice completamente. Además, no solo la estrategia necesita integrarse con el riesgo, cualquier elección o decisión, nuevo proveedor, nuevo equipo, nuevas rutas logísticas, cualquier cosa.
Trata la creación de valor como un resultado obligatorio— otra vez, correcto. La gestión de riesgos que solo habla de protección es medio trabajo. Cada función de riesgo debería poder señalar las decisiones que mejoró, no solo los riesgos que registró.
Construir la franqueza como una capacidad— subestimado. La mayoría de las culturas de riesgo fracasan no por la metodología, sino porque las personas no dicen lo que realmente piensan en la sala. Este es un problema de comportamiento y diseño organizacional, y me alegra que haya sido incluido en la lista.
No tan bien: Haz que la apetencia de riesgo sea significativa y útilyGestiona el riesgo como una cartera todavía están enmarcados de maneras que asumen que los constructos subyacentes son sólidos. El apetito de riesgo como concepto sigue siendo profundamente problemático: implica que las organizaciones pueden definir de antemano cuánto riesgo están dispuestas a asumir como un número o etiqueta abstracta, lo cual no es cómo funciona la toma de decisiones humanas ni cómo se comporta la incertidumbre. El documento no cuestiona esto; intenta rehabilitarlo. Eso es una oportunidad perdida.
La sección del Enfoque Basado en Decisiones
Esta es la mejor sección del documento, y quiero reconocer a quien corresponde.
El encuadre —¿Qué decisión es necesaria? ¿Cuáles son las opciones? ¿Qué podría cambiar el resultado? ¿Quién es responsable de lo que sucede a continuación?— es exactamente correcto. Así es como debería ser el análisis de riesgos en el momento de la decisión. Cuatro preguntas, listas para decidir, accionables. Si cada conversación sobre riesgos en cada organización comenzara aquí en lugar de con una matriz 5×5, estaríamos en un lugar mucho mejor.
El reconocimiento de labrecha de ejecucióntambién es honesto e importante. El documento identifica correctamente que muchas organizaciones están de acuerdo en teoría con la gestión de riesgos basada en decisiones, pero en la práctica vuelven a las ejercicios de puntuación y al lenguaje abstracto sobre el apetito. Eso es un diagnóstico real. Las causas son más profundas de lo que el documento admite; incluyen estructuras de incentivos, expectativas de auditoría y el hecho de que la gestión de riesgos de estilo cumplimiento es más fácil de defender ante una junta que el análisis probabilístico; pero al menos el problema está identificado.
ElLos artefactos son concisos, coherentes y diseñados para facilitar la acción, no el cumplimiento.La línea es excelente. Enmárcala en tu pared.
Lo que falta aquí: el documento aún no abordacómo cuantificar la incertidumbre detrás de esas cuatro preguntas. Decir "qué podría cambiar el resultado" es el primer paso. Saber si ese resultado cambia en un 5% o en un 500% requiere un modelado de riesgos real: análisis de escenarios, simulaciones, análisis de sensibilidad. El documento insinúa esto sin comprometerse con ello. Todavía está bien, lo tomaremos.
La Guía de Traducción para Practicantes
Esta sección tiene el mayor valor operativo y también los errores frustrantes más cercanos.
Qué funciona:La llamada explícita a reemplazardebates de puntuación, lenguaje abstracto sobre el apetito, revisiones posteriores a los hechos y paquetes de la junta que compilan en lugar de aclararcon comportamientos repetibles en el momento de la decisión. Esa es una crítica honesta y clara de cómo operan en realidad la mayoría de los programas de gestión de riesgos empresariales. El encuadre de sustitución —Estas son sustituciones, no complementos.— es el modelo mental correcto. No puedes agregar la utilidad de la decisión a un proceso de cumplimiento. Tienes que reemplazar el comportamiento de cumplimiento por algo mejor.
El documento también señala correctamente que la evaluación de riesgos debe ir más allá de las estimaciones de punto único:El Marco COSO ERM es claro en que la severidad no es una estimación puntual. Puede haber una gama de impactos posibles asociados con un riesgo.Eso es una repudiación directa de la religión del mapa de calor. Decirlo en una publicación de COSO importa.
Lo que todavía es débil:La guía todavía opera dentro del marco de COSO como un hecho. Intenta hacer que COSO sea útil para la toma de decisiones a través de la traducción en lugar de preguntar si la arquitectura del marco en sí misma es parte del problema. La estructura de cinco componentes de COSO fue diseñada para informes de cumplimiento, no para soporte de decisiones. Traducirlo al lenguaje de decisiones es posible — el documento muestra cómo — pero es una actualización. Las organizaciones que construyen desde cero diseñarían algo más simple y más directamente relacionado con los puntos de decisión.
Tampoco hay discusión sobre qué sucede cuando las salidas de la función de riesgo contradicen lo que la dirección quiere escuchar. La franqueza como una capacidad se enumera como una disciplina, pero la guía de traducción no aborda la realidad política de que el análisis de riesgos útil para la toma de decisiones a menudo es un análisis de riesgos no bienvenido. Esa es la parte más difícil del trabajo, y se pasa por alto.
La mayor brecha estructural: La guía todavía habla sobre X: gestión de riesgos, informes de riesgos, registros de riesgos. En un mundo RM2, esas cosas no existen como artefactos independientes. No hay un "informe de riesgo". Hay un informe de rendimiento empresarial que incorpora rangos de incertidumbre. Existe un documento de aprobación del proyecto que incorpora las implicaciones y respuestas a los riesgos. Hay un presupuesto que muestra distribuciones y contingencias, no estimaciones puntuales. La guía describe F(X) con palabras pero sigue volviendo a X en sus salidas.
El documento lo reconoce:ERM no existe para crear artefactos. Su propósito es ayudar a los líderes a tomar decisiones informadas frente a la incertidumbre. La documentación importa — por formalidad, auditabilidad, requisitos regulatorios y coordinación — pero nunca es el resultado.
Correcto y bien hecho a los autores.
