Últimamente, todos, desde las agencias gubernamentales hasta los reguladores y los miembros de la junta corporativa, parecen estar hablando de la necesidad de una gestión de riesgos mejor y más efectiva. La parte desafiante es que, a pesar de la orientación proporcionada en la ISO 31000:2009, el concepto de efectividad de la gestión de riesgos sigue siendo vago. Este artículo intenta resumir los componentes básicos de una gestión de riesgos efectiva que debería ayudar a los gestores de riesgos a responder a los desafíos planteados por los reguladores y los accionistas.
El equipo en Instituto para el Análisis Estratégico de Riesgos en la Toma de Decisiones (ISAR) y www.risk-academy.ru ha estado estudiando la gestión de riesgos durante más de 15 años, y creemos firmemente que una gestión de riesgos efectiva solo es posible cuando todos CUATRO CRITERIOS abajo están cumplidos. Cada uno de estos criterios se basa en la ISO31000:2009, la norma de gestión de riesgos más utilizada en el mundo (traducida y adoptada oficialmente en 44 de los 50 países más grandes según el PIB).
I. INTEGRANDO EL RIESGO EN LA TOMA DE DECISIONES
Una de las pruebas más importantes de la efectividad real de la gestión de riesgos es el nivel de integración de la gestión de riesgos en la toma de decisiones. La investigación de ISAR muestra que las empresas, capaces de integrar de manera sistemática la gestión de riesgos en las decisiones de planificación y presupuestación, decisiones de inversión, procesos operativos comerciales principales y funciones de apoyo clave, logran una ventaja sostenible a largo plazo. Solo considere un ejemplo de un gran fondo de inversión, que toma decisiones de inversión solo después de un análisis independiente de riesgos y realiza simulaciones para probar el efecto de la incertidumbre en las suposiciones y pronósticos clave del proyecto. Otro ejemplo es una aerolínea grande, que toma decisiones estratégicas basadas en varias alternativas de calidad con una evaluación de riesgos realizada para cada alternativa.
Para nosotros, es muy importante que se tengan en cuenta los riesgos al tomar decisiones de inversión. Por eso, las evaluaciones de riesgos son obligatorias para todas las decisiones de inversión. Los riesgos son identificados y evaluados tanto por el equipo del proyecto como por los departamentos de back-office, incluyendo legal, finanzas, científicos, estrategia y otros. Esto garantiza un análisis de riesgos más objetivo e independiente al tomar decisiones de inversión.Konstantin Dozhdikov, Jefe de Riesgos, RUSNANO
Pregunta a RAW@AI sobre esta publicación o simplemente habla sobre la gestión de riesgos
II. CULTURA DE GESTIÓN DE RIESGOS FUERTE
La psicología humana y la capacidad de los gerentes empresariales para tomar decisiones en situaciones de gran incertidumbre tienen un gran impacto en la efectividad de la gestión de riesgos. Los laureados con el Nobel, D. Kahneman y A. Tversky, han realizado investigaciones excepcionales en el campo de la percepción del riesgo, demostrando que la mayoría de las personas, consciente o inconscientemente, eligen ser ignorantes respecto a los riesgos. Por lo tanto, una cultura sólida de gestión de riesgos es fundamental para una gestión de riesgos efectiva. Tome como ejemplo una gran empresa petroquímica, que utilizó capacitación en línea y presencial para aumentar la conciencia y las competencias en gestión de riesgos en todos los niveles del personal. La empresa también asignó recursos para integrar los principios de gestión de riesgos en la cultura general de la empresa. Otro ejemplo es una agencia gubernamental, que documentó la discusión transparente y el intercambio de información sobre riesgos como uno de sus valores corporativos, los cuales fueron comunicados posteriormente a todos los empleados.
La capacitación es uno de los factores más importantes en el desarrollo de una cultura de gestión de riesgos. La gestión de riesgos puede convertirse en una herramienta efectiva en cuanto cada empleado entienda qué es y cómo se aplica a su área personal de responsabilidad. Existen muchos tipos diferentes de capacitación en gestión de riesgos. Podría ser una capacitación en inducción de riesgos ofrecida a todos los empleados nuevos. La capacitación de inducción debe incluir una breve explicación de los riesgos que podrían surgir, información sobre una herramienta útil para la gestión de riesgos y cómo usarla al tomar decisiones comerciales diarias. También es útil realizar una capacitación especializada en gestión de riesgos por separado para los jefes de departamento y los gerentes clave, con el fin de ayudarlos a integrar el análisis de riesgos en los procesos comerciales clave. Lo principal es recordar que la capacitación no debe ser una medida única y, por el contrario, debe ofrecerse de manera regular. Las sesiones de capacitación pueden ser dirigidas por el propio gestor de riesgos de su empresa o por una parte externa, pero en cualquier caso, los capacitadores deben poseer competencias y cualificaciones relevantes. Lubov Frolova, Jefa de Riesgos, Tekhnodinamika
III. DIVULGANDO INFORMACIÓN SOBRE RIESGOS
Otro criterio para una gestión efectiva del riesgo es la voluntad y la capacidad de una organización para documentar y divulgar información relacionada con riesgos tanto interna como externamente. Una empresa madura no solo documenta los resultados del análisis de riesgos en los procesos internos de toma de decisiones, sino que también divulga información sobre los riesgos y sus mitigaciones a las partes interesadas relevantes, cuando sea apropiado, en informes externos o en el sitio web de la empresa. También es importante señalar que, dado que la información real sobre riesgos puede ser sensible y contener secretos comerciales, el enfoque de la divulgación no debe ser los riesgos en sí mismos, sino el marco de gestión de riesgos, el compromiso de la alta dirección para gestionar los riesgos y la cultura de la organización. Muchas organizaciones tienden a tratar esto formalmente, a menudo copiando y pegando información de gestión de riesgos en informes externos de un año a otro sin ninguna actualización.
Recuerda que la divulgación de información sobre gestión de riesgos permite a las empresas tanto ganar como ahorrar dinero. Por ejemplo, el mercado de seguros reacciona positivamente a la capacidad de la empresa para divulgar información sobre la efectividad de su gestión de riesgos y entorno de control, ofreciendo una reducción en las primas de seguros. Los bancos e inversores también ven la divulgación de riesgos de manera positiva, lo que permite a las empresas reducir sus costos de financiamiento.
Uno de los grandes operadores de redes móviles toma la presentación de informes de riesgos muy en serio. Su enfoque cambió después de una oferta pública inicial. Hasta la fecha, la presentación de riesgos como parte de su informe anual no es solo un recuento de los riesgos típicos dentro de su sector industrial, sino un reflejo de los cambios y logros clave en la gestión de riesgos durante el último período. La elaboración de informes de riesgos se compone de dos partes: 1) Una descripción general de los eventos relacionados con la gestión de riesgos dentro de la empresa; y 2) Una descripción de los riesgos clave que enfrenta la empresa durante el año. En la primera parte, los gestores de riesgos ofrecen una descripción detallada de los eventos significativos de gestión de riesgos ocurridos en la empresa durante ese año. Por ejemplo, podría haber una descripción de qué tan alineada está la empresa con los principios de la ISO 31000:2009, o cómo la empresa ha fortalecido su cultura de riesgo. La segunda parte describe las categorías de riesgos comunes que enfrenta la empresa. Esto debería señalar los riesgos típicos en el sector industrial, así como los riesgos más significativos identificados en el último año. Además, la descripción de cada riesgo debe incluir el estado de las acciones de mitigación tomadas para gestionar el riesgo, su efectividad y las medidas anticipatorias que la empresa pretende tomar en el futuro.
IV. MEJORA CONTINUA DE LA GESTIÓN DE RIESGOS
El criterio final para una gestión efectiva del riesgo tiene que ver con la mejora continua del marco de gestión del riesgo y del propio equipo de riesgo. Un fondo de inversión pudo hacer esto con la ayuda de una evaluación regular de la calidad y puntualidad de su análisis de riesgos, evaluaciones anuales de la cultura de gestión de riesgos, así como revisiones periódicas de las competencias del equipo de gestión de riesgos. Por ejemplo, la certificación en gestión de riesgos profesionales ayuda a potenciar las competencias del equipo de riesgos. Una de las razones detrás de la necesidad de mejorar constantemente la gestión de riesgos es el desarrollo rápido de la disciplina de gestión de riesgos. La norma ISO 31000:2009 está siendo revisada actualmente por más de 200 especialistas de 30 países diferentes, incluidos expertos de Rusia y miembros de ISAR. Algunas de las sugerencias para la nueva versión de la norma incluyen una mayor necesidad de integrar la gestión de riesgos en las actividades empresariales, incluyendo la toma de decisiones, y la necesidad de tener en cuenta explícitamente los factores humanos y culturales. Estos cambios podrían tener un impacto significativo en muchas organizaciones modernas no financieras, planteando preguntas sobre la efectividad de su gestión de riesgos.
La gestión de riesgos, al igual que cualquier otro elemento de la gobernanza corporativa, debe integrarse en el sistema de gestión general de la organización. La norma internacional ISO 31000:2009 habla explícitamente de la necesidad de que la gestión de riesgos sea adaptable, dinámica, iterativa y capaz de reaccionar ante los cambios. A medida que aumenta la madurez del riesgo organizacional, también lo harán las herramientas utilizadas por la organización para gestionar los riesgos en la toma de decisiones. Los gerentes de riesgos profesionales no solo deben desarrollar procesos de gestión de riesgos para las organizaciones, sino también mejorar sus propias competencias en gestión de riesgos. Mientras escribo esto, se están llevando a cabo trabajos en la actualización de los dos estándares de gestión de riesgos más ampliamente adoptados (ISO 31000:2009, COSO:ERM 2004). Se espera que las nuevas versiones estén disponibles en 2017 y prometen revolucionar nuestra comprensión actual de la gestión de riesgos, y no necesariamente de manera positiva. Mi experiencia demuestra que participar en conferencias internacionales, sesiones de capacitación y programas de certificación constituye una buena manera para que los gestores de riesgos se mantengan en la mejor forma profesional.Alex Sidorenko, fundador de la www.risk-academy.ru
Recomendamos a los ejecutivos y gerentes de riesgos evaluar el nivel actual de madurez en la gestión de riesgos utilizando los criterios para una gestión de riesgos efectiva presentados en este artículo. Si al menos una de las piezas del rompecabezas falta, probablemente sea un poco prematuro hablar de una gestión de riesgos efectiva.
– – – – – – – – – – – – – – – – – – – – –
RISK-ACADEMY ofrece capacitación y servicios de consultoría en toma de decisiones y gestión de riesgos. Nuestros programas de capacitación en gestión de riesgos corporativos están diseñados específicamente para promover la toma de decisiones basada en riesgos y la integración de la gestión de riesgos en los procesos empresariales. Los gestores de riesgos de todo el mundo nos llaman para ayudar a vender la idea de integrar el análisis de riesgos en la toma de decisiones y utilizar técnicas de análisis de riesgos cuantitativos. Consulta el curso más popular para tomadores de decisiones https://riskacademy.blog/product/risk-based-decision-making-executives/o nuestros programas dedicados para ayudar a los gerentes de riesgos a aprender los fundamentos del análisis de riesgo cuantitativo https://riskacademy.blog/product/risk-managers-training/También podemos ayudar a auditar la efectividad de la gestión de riesgos o desarrollar una hoja de ruta para la integración de la gestión de riesgos en la toma de decisiones. https://riskacademy.blog/product/g31000-risk-management-maturity-assessment/
Es bueno ver a alguien tener el valor de señalar que la gestión de riesgos tradicional bajo ISO 31000 ya no es efectiva, y destacar los aspectos necesarios.
Esto apunta a la necesidad, por ejemplo, de contar con un modelo de madurez y agregación de riesgos.
Además, para encontrar el tipo de sistema de riesgo que pueda respaldar los aspectos para llevar la gestión de riesgos a donde debe estar.