Últimas opiniones de Alex Sidorenko sobre cómo la "innovación", la falta de competencias y los consultores están matando la gestión de riesgos en organizaciones no financieras y qué se espera en 2019 específicamente para Strategicriskhttps://www.strategic-risk-europe.com/risk-management-used-to-be-a-science-then-it-became-an-art-whats-next/1429754.article.

Primero había ciencia…

Algunas fuentes sugieren que la teoría de la probabilidad surgió en las apuestas y en los seguros marítimos. En ambos los casos, la ciencia se utilizaba principalmente para ayudar a las personas y empresas a tomar mejores decisiones y, en consecuencia, ganar dinero. La gestión de riesgos utilizaba herramientas matemáticas disponibles en la época para cuantificar el efecto de la incertidumbre en las decisiones y sus aplicaciones eran bastante pragmáticas.

Los bancos y fondos de inversión comenzaron a aplicar la gestión de riesgos y también estaban usando esto para hacer mejores evaluaciones, decisiones de inversión y ganar dinero. La gestión de riesgos en esa época era bastante científica. H. Markowitz, M. Miller, W. Sharpe ganaron el premio Nobel en 1990 por el CAPM (Modelo de Valoración de Activos de Capital), una herramienta que también se utilizó para la gestión de riesgos. Eso no significa que la gestión de riesgos siempre haya sido precisa o que fuera una herramienta creada para erradicar las tendencias humanas, mira el caso del LTCM (Long-Term Capital Management), pero una cosa segura fue que los gerentes de riesgos aplicaron las últimas tendencias en teoría de la probabilidad y usaron herramientas sofisticadas para ayudar a los empresarios a ganar dinero (ya sea mediante la generación de nuevos flujos de caja o protegiendo los ya existentes).

Entonces, la gestión de riesgos se convirtió en un arte…

Luego vino el cambio de empresas no financieras y entidades gubernamentales. Y fue entonces cuando la gestión de riesgos comenzó a convertirse más en un arte que en una ciencia.

Pregunta a RAW@AI sobre esta publicación o simplemente habla sobre la gestión de riesgos

Algunas de esas razones detrás de este cambio fueron indiscutiblemente

• Lack of reliable data to quantify risks (Douglas W. Hubbard en sus libros realmente demostraron que no es verdad). Hoy, literalmente no hay ninguna excusa para no cuantificar riesgos en cualquier tipo de organización.
• Falta de demanda en el mercado. Muchas empresas no financieras en esa época eran menos sofisticadas en términos de planificación, presupuestación y toma de decisiones. Entonces, muchos ejecutivos ni siquiera solicitaban a los gerentes de riesgos que proporcionaran análisis de riesgos cuantitativos para ayudarlos a tomar decisiones. ¿Y quién puede culparlos, cuando auditores externos, auditores principales, agencias de riesgo y agencias regulatorias estaban pidiendo informes de apetito de riesgos (inútiles cuando nos referimos a aplicaciones prácticas), informes de riesgos (frecuentemente desconectados de la toma de decisiones y gestión del rendimiento) y marcos de gestión de riesgos en lugar de verificar cómo se tomaban las decisiones de negocio.
• Falta de gerentes de riesgos competentes. Como consecuencia, muchos gerentes de riesgos se volvieron "suaves" y "tiernos", sin tener las habilidades o la experiencia necesaria para cuantificar riesgos y medir sus impactos en los objetivos y decisiones comerciales. Por ejemplo, todavía es sorprendente para muchos que aparentemente multiplican impacto por probabilidad, que esto no tiene ningún sentido y conduce a malas decisiones. Además, muchos gerentes de riesgos fueron impulsados a la carrera por las áreas de auditoría, contabilidad u otras áreas.

Eso era aceptable para la época y era parte de la curva de aprendizaje, creo yo, y muchas de las empresas no financieras aprendieron rápidamente qué riesgos cuantificar y cómo. Otras empresas que fracasaron en madurar, generalmente perdieron interés en la gestión de riesgos, o debería decir que nunca vieron su verdadero valor.

Hoy es solo un desorden…

Lo que estoy viendo hoy, sin embargo, no es ni un poco notable.

En lugar de ser pragmático, simple y enfocado en ganar dinero, la gestión de riesgos se convirtió en una "tierra de jerga". Si estás leyendo esto y pensando: “Espera un momento Alex, la velocidad en riesgos es importante, las organizaciones deben ser resilientes ante los riesgos, la gestión de riesgos trata sobre oportunidades y riesgos, el apetito por el riesgo, la capacidad y las tolerancias deben ser cuantificadas y discutidas a nivel de la junta y el riesgo inherente es útil”.¡Felicidades! Es posible que hayas perdido contacto con la realidad del negocio y puedas estar contribuyendo al problema.

Agrupé mi pensamiento en cuatro áreas problemáticas

А. No hay literalmente ningún vínculo entre la ciencia moderna y la gestión de riesgos empresariales

Hoy, incluso las organizaciones no financieras más avanzadas utilizan las mismas herramientas de gestión de riesgos (árboles de decisión, Monte Carlo, pruebas de estrés, análisis de escenarios) creadas en las décadas de los 40 y 60. Incluso esas investigaciones de décadas atrás, junto con herramientas que fueron experimentadas y probadas durante años, son mayoritariamente ignoradas por la mayoría de los gerentes de riesgos del sector no financiero.

Irónicamente, muchas organizaciones utilizan herramientas como escenarios, árboles de decisión y simulaciones de Monte Carlo (desarrolladas en 1946, por cierto) para la previsión y la investigación, pero no es el gerente de riesgos quien lo hace. Lo mismo se puede decir sobre la investigación en toma de decisiones y calidad de la decisión. Casi 50 años de edad, y todavía bastante ignorada por los gerentes de riesgos.

También han pasado muchos años desde la última vez que vi a un científico presentar en algún evento de gestión de riesgos y compartir nuevas formas o herramientas para cuantificar los riesgos asociados a los objetivos comerciales. Este evento es una excepción que alivia la regla https://www.probabilitymanagement.org/annual-conferenceLo mismo puede decirse sobre la mala calidad en general de las investigaciones de posgrado publicadas en el campo de la gestión de riesgos.

La gestión moderna de riesgos está desconectada de las operaciones comerciales diarias y de la toma de decisiones

A menos que estemos hablando de empresas sin fines de lucro o entidades gubernamentales, el objetivo es simple: hacer dinero. Y mientras gana dinero, toda organización se enfrenta a mucha incertidumbre. Afortunadamente, los negocios cuentan con una gama de herramientas que ayudan a lidiar con la incertidumbre, herramientas como planificación de negocios, pronóstico de ventas, análisis de precios, presupuestación, análisis de inversiones, gestión del rendimiento y así sucesivamente.

Sin embargo, en lugar de integrar todo lo anterior, los gerentes de riesgo a menudo optan por seguir su propio camino, crean un universo paralelo, específicamente dedicado a los riesgos (lo cual creo que es muy ingenuo):

• Creando un marco de gestión de riesgos en lugar de actualizar políticas y procedimientos existentes para alinearse con los principios de gestión de riesgos de la ISO 31000:2018
• Conducir talleres de riesgo en lugar de discutir los riesgos durante la formulación de la estrategia o reuniones de planificación empresarial
• Realizando análisis de riesgos aislados en lugar de calcular riesgos con los presupuestos o modelos de proyecto y financieros existentes
• Creando planes de mitigación de riesgos en lugar de integrar la mitigación de riesgos en planes de negocio y KPI existentes
• Reportando niveles de riesgo en lugar de reportar KPI en riesgo, flujo de caja en riesgo, presupuesto en riesgo, cronograma en riesgo
• Creando informes de riesgos separados en lugar de integrar la información de riesgos en informes gerenciales normales, y así sucesivamente…

La gestión de riesgos se ha convertido en un objetivo en sí mismo. Ejecutivos de sectores no financieros se detuvieron, o quizás nunca hayan visto la gestión de riesgos como una herramienta para ganar dinero. Los gerentes de riesgo no hablan, muchos ni siquiera entienden el lenguaje del negocio o cómo se toman las decisiones en una organización. El análisis de riesgos se suele quedar obsoleto y, cuando los gerentes de riesgos lo asumen, ya se han tomado decisiones comerciales importantes. Si las decisiones se toman todos los días, ¿qué beneficio aporta un análisis trimestral de riesgo?

Los gerentes de riesgo siguen ignorando la naturaleza humana

A pesar de una extensa investigación realizada por el ganador del premio Nobel D. Kanehmman, su colega A. Tversky y otros, los gerentes de riesgos continúan utilizando opiniones de expertos, matrices y mapas de riesgos, escalas de probabilidad x impacto, investigaciones y talleres para capturar y analizar riesgos. Estas herramientas no proporcionan resultados precisos (por decirlo suavemente), nunca lo han hecho y nunca lo harán. Solo deja de usarlos. Existen mejores herramientas para integrar el análisis de riesgo con la toma de decisiones. Los mapas de calor sobre todo tienen grandes errores de diseño que hacen que sus resultados sean, en el mejor de los casos, conjeturas de suerte, errores engañosos en el peor escenario. Simplemente busca en Google "el riesgo de usar matrices de riesgo" si no me crees.

Crear una cultura de conciencia de riesgos es fundamental para cualquier éxito en las organizaciones, aunque muy pocos gerentes de riesgos modernos invierten en ello. En lugar de realizar talleres de riesgo, los gerentes de riesgo deben enseñar a los empleados sobre la percepción del riesgo, sesgos cognitivos y cómo integrar el análisis de riesgos en sus actividades diarias y en la toma de decisiones. Douglas Hubbard y Gerd Gigerenzer ofrecen soluciones simples, pero efectivas, para explicar los sesgos y a veces usarlos en nuestra ventaja.

Los gerentes de riesgos están muy ocupados persiguiendo al unicornio

En lugar de mantenerse con lo básico y hacer que trabajen, muchos están muy ocupados cazando los últimos "jerga" y "innovaciones". Recuerda, como “resiliencia” era algo importante hace unos años, antes de eso estaban los “riesgos emergentes”, también “inteligencia de riesgos”, “agilidad”, “riesgos cibernéticos”, la lista es larga. Parece que estamos tan ocupados tratando de encontrar un nuevo enemigo cada año que nos olvidamos de hacer lo básico correctamente. Por el momento, el riesgo de "ciberataques" es aparentemente la cosa más aterradora del planeta. Y no tomar decisiones incorrectas, que conducen a un aumento de la exposición a ataques cibernéticos, así como a otras implicaciones. No, son los riesgos de ataques cibernéticos en sí los que, aparentemente, necesitamos medir y mitigar.

Consultores y algunos proveedores de software parecen estar dominando la agenda de gestión de riesgos. ¿No te preocuparías ni un poco si una empresa farmacéutica nos estuviera diagnosticando y recetando las píldoras?

#CambioDeRiesgo ¿Que sigue?

Creo que es momento de volver a lo básico y convertir la gestión de riesgos en una herramienta que ayude a tomar decisiones y a ganar dinero. Aquí van algunas sugerencias

• Identificar las prácticas de gestión de riesgos que pueden ser clasificadas en RM1 La explicación del RM1 está aquíhttps://riskacademy.blog/2018/05/02/rm1-vs-rm2-which-side-will-you-choose/
• Minimizar el esfuerzo gastado en RM1
• Comenzar a cambiar la forma en que se toman decisiones importantes de negocio para incluir un elemento de gestión de riesgos.
• En cada oportunidad, integrar la gestión de riesgos en procesos existentes, reuniones, comités, informes, etc., en lugar de crear un universo de riesgos separado.