COSO ERM 2017 – revisión completa por Alex Sidorenko (parte 1)

Me tomó muchos días terminarlo, pero al final lo logré. Leí el COSO ERM 2017 completo. No solo pasé por encima el texto, leí cada página, cada palabra. Aquí están mis pensamientos

Comentarios de alto nivel

COSO ERM 2017 es bastante paradójico. En cierto sentido, por un lado, es extremadamente extenso (257 páginas), por otro lado, nunca profundiza lo suficiente para explicar las ideas presentadas de manera comprensible.  

Si tuviera que resumir COSO ERM en una sola imagen, probablemente sería la imagen que está arriba del artículo. COSO ERM 2017 es claramente obvio y no presenta innovación. De hecho, si estás trabajando en gestión de riesgos Durante un tiempo, he integrado con éxito el análisis de riesgos en algunas decisiones y procesos clave, uso herramientas adecuadas de análisis de riesgos cuantitativos y estoy familiarizado con la forma de hacerlo. cognitivo Los sesgos afectan decisión haciendo, entonces sentirás COSO ERM es un paso atrás, no una mejora muchos afirman. Se dice que COSO ERM 2017 es una gran mejora respecto a COSO ERM 2004. Verdadero. Sin embargo, esto no es un mérito de COSO ERM 2017, sino simplemente una indicación de lo terrible que fue COSO ERM 2004.

Aquí hay un diagrama que explica dónde se sitúa COSO ERM 2017 en el espectro de madurez

Sí, la relación entre riesgo y rendimiento del nuevo marco es MEJOR que simplemente hacer una lista de riesgos. Y si fuera 2005, estaría muy emocionado. Pero no lo es. En 2017, la mayoría de los gestores de riesgos que conozco utilizan al menos alguna forma de modelización de riesgos, decisión árboles, escenarios y simulaciones, se han vinculado. gestión de riesgos no solo a la estrategia y a la gestión del rendimiento (como sugiere PwC en COSO), sino a muchas otras actividades empresariales y a las decisiones más significativas también. Estas herramientas y enfoques han existido desde la década de 1970 y aún superan con creces a todas las nuevas "mejores prácticas".

PwC es bastante inteligente, el marco sí menciona ambos cognitivo sesgos y las técnicas de simulación, reconociendo su existencia y su importancia. Sin embargo, no me lo creo, esto fue claramente hecho como una excusa más que otra cosa.

Además, COSO ERM 2017 todavía le gana a ISO31000:2018. Tiene mensajes iguales o similares, pero en un paquete que es difícil de leer. En los comentarios detallados encontrarás muchas citas del tipo "capitán obvio" del marco de trabajo.

En general, la comunidad profesional ni siquiera notaría si COSO ERM nunca hubiera existido. Ya basta. Ahora pongámonos nuestras gorras pragmáticas. Dado que sí existe, aprovechémonos de ello a nuestro favor. Aquí está para qué se puede utilizar COSO ERM 2017

• usándolo como un argumento para iniciar un proyecto de cambio Alejarse de las evaluaciones de riesgo trimestrales, informes de riesgo y planes de mitigación de riesgos para incorporar el análisis de riesgos en lo real. decisión proceso de fabricación (mira esto sobre cómo vender gestión de riesgos https://www.youtube.com/watch?v=3MbJLkSlbU4)
• utilizando secciones y buenos mensajes del COSO ERM 2017 para reforzar los cambios que has estado proponiendo durante un tiempo, que fueron ignorados por la dirección
• muestra cómo COSO ERM 2017 refuerza el trabajo que ya estabas haciendo
• justificar cualquier bien gestión de riesgos estabas haciendo
• obteniendo la atención de la Junta o del Comité de Auditoría
• abriendo la puerta al proceso de planificación estratégica Es mejor que tengas tu metodología de Monte Carlo lista y preparada antes de integrarla en la planificación estratégica. Lee este artículo sobre la integración en la estrategia. https://riskacademy.blog/2017/03/16/4-steps-to-integrate-risk-management-into-strategic-planning/)
• cierra a los auditores o consultores que estaban vendiendo registros de riesgos, gestión de riesgos documentos marco y declaraciones de apetito de riesgo.

Eso probablemente sea todo. Si quieres aprender nuevas ideas, es mejor que participes en algunos de los seminarios web que organizamos cada semanahttps://riskacademy.blog/free-webinars/

Comentarios detallados

Lo primero que notas al leer COSO ERM 2017 es que se centra menos en gestión de riesgos, más sobre la gobernanza corporativa y la gestión en general. Como tal, debe compararse no solo con la ISO31000 sino también con el informe King IV sobre gobierno corporativo y cualquier otro código de gobernanza relevante para su país.

Una vez más, paradójicamente, aunque el riesgo no sea el punto focal del documento en su conjunto, cada vez que es el punto focal (principios 7, 11, 12, etc.), los autores parecen teletransportarse de vuelta a 2005 cuando escriben sobre gestión de riesgos.

Lee la parte 2 ahora

 

– – – – – – – – – – – – – – – – – – – – –

RISK-ACADEMY ofrece decisión haciendo y gestión de riesgos servicios de capacitación y consultoría. Nuestro corporativo gestión de riesgos Los programas de formación están diseñados específicamente para promover el enfoque basado en el riesgo. decisión fabricación e integración gestión de riesgos en procesos de negocio. Los gestores de riesgos de todo el mundo nos llaman para ayudar a vender la idea de integrar el análisis de riesgos en decisión La elaboración y el uso de técnicas de análisis de riesgos cuantitativos. Descubre el curso más popular para decisión creadores https://riskacademy.blog/product/risk-based-decision-making-executives/o nuestros programas dedicados para ayudar a los gerentes de riesgos a aprender los fundamentos del análisis de riesgo cuantitativo https://riskacademy.blog/product/risk-managers-training/. También podemos ayudar a auditar gestión de riesgos eficacia o desarrollar una hoja de ruta para gestión de riesgos integración en decisión haciendo https://riskacademy.blog/product/g31000-risk-management-maturity-assessment/