Me tomó muchos días terminarlo, pero al final lo logré. Leí el COSO ERM 2017 completo. No solo pasé por encima el texto, leí cada página, cada palabra. Aquí están mis pensamientos
Comentarios de alto nivel
COSO ERM 2017 es bastante paradójico. En cierto sentido, por un lado, es extremadamente extenso (257 páginas), por otro lado, nunca profundiza lo suficiente para explicar las ideas presentadas de manera comprensible.
Si tuviera que resumir COSO ERM en una sola imagen, probablemente sería la imagen que está arriba del artículo. COSO ERM 2017 es claramente obvio y no presenta innovación. De hecho, si has estado trabajando en gestión de riesgos durante un tiempo, has integrado con éxito el análisis de riesgos en algunas decisiones y procesos clave, utilizas herramientas adecuadas de análisis de riesgos cuantitativos, estás familiarizado con cómo los sesgos cognitivos afectan la toma de decisiones, entonces te sentirás COSO ERM es un paso atrás, no una mejora muchos afirman. Se dice que COSO ERM 2017 es una gran mejora respecto a COSO ERM 2004. Verdadero. Sin embargo, esto no es un mérito de COSO ERM 2017, sino simplemente una indicación de lo terrible que fue COSO ERM 2004.
Aquí hay un diagrama que explica dónde se sitúa COSO ERM 2017 en el espectro de madurez
Sí, la relación entre riesgo y rendimiento del nuevo marco es MEJOR que simplemente hacer una lista de riesgos. Y si fuera 2005, estaría muy emocionado. Pero no lo es. En 2017, la mayoría de los gestores de riesgos que conozco utilizan al menos alguna forma de modelado de riesgos, árboles de decisión, escenarios y simulaciones, han vinculado la gestión de riesgos no solo con la estrategia y la gestión del rendimiento (como sugiere PwC en COSO), sino con muchas otras actividades empresariales y la mayoría de las decisiones más importantes. Estas herramientas y enfoques han existido desde la década de 1970 y aún superan con creces a todas las nuevas "mejores prácticas".
PwC es bastante inteligente, el marco menciona tanto los sesgos cognitivos como las técnicas de simulación, reconociendo su existencia y su importancia. Sin embargo, no me lo creo, esto fue claramente hecho como una excusa más que otra cosa.
Además, COSO ERM 2017 todavía le gana a ISO31000:2018. Tiene mensajes iguales o similares, pero en un paquete que es difícil de leer. En los comentarios detallados encontrarás muchas citas del tipo "capitán obvio" del marco de trabajo.
En general, la comunidad profesional ni siquiera notaría si COSO ERM nunca hubiera existido. Ya basta. Ahora pongámonos nuestras gorras pragmáticas. Dado que sí existe, aprovechémonos de ello a nuestro favor. Aquí está para qué se puede utilizar COSO ERM 2017
- usándolo como un argumento para iniciar un proyecto de cambio pasar de evaluaciones de riesgo trimestrales, informes de riesgo y planes de mitigación de riesgos a integrar el análisis de riesgos en el proceso de toma de decisiones real (mira esto sobre cómo vender la gestión de riesgos)https://www.youtube.com/watch?v=3MbJLkSlbU4)
- utilizando secciones y buenos mensajes del COSO ERM 2017 para reforzar los cambios que has estado proponiendo durante un tiempo, que fueron ignorados por la dirección
- muestra cómo COSO ERM 2017 refuerza el trabajo que ya estabas haciendo
- justifica cualquier buena gestión de riesgos que estuvieras realizando
- obteniendo la atención de la Junta o del Comité de Auditoría
- abriendo la puerta al proceso de planificación estratégica Es mejor que tengas tu metodología de Monte Carlo lista y preparada antes de integrarla en la planificación estratégica. Lee este artículo sobre la integración en la estrategia. https://riskacademy.blog/2017/03/16/4-steps-to-integrate-risk-management-into-strategic-planning/)
- cierra a los auditores o consultores que estaban vendiendo registros de riesgos, documentos del marco de gestión de riesgos y declaraciones de apetito por el riesgo.
Eso probablemente sea todo. Si quieres aprender nuevas ideas, es mejor que participes en algunos de los seminarios web que organizamos cada semanahttps://riskacademy.blog/free-webinars/
Comentarios detallados
Lo primero que notas al leer COSO ERM 2017 es que se trata menos de gestión de riesgos y más de gobernanza corporativa y gestión en general. Como tal, debe compararse no solo con la ISO31000 sino también con el informe King IV sobre gobierno corporativo y cualquier otro código de gobernanza relevante para su país.
Una vez más, paradójicamente, aunque el riesgo no sea el punto central del documento en general, cada vez que lo es (principios 7, 11, 12, etc.), los autores parecen retroceder a 2005 al escribir sobre gestión de riesgos.
– – – – – – – – – – – – – – – – – – – – –
RISK-ACADEMY ofrece capacitación y servicios de consultoría en toma de decisiones y gestión de riesgos. Nuestros programas de capacitación en gestión de riesgos corporativos están diseñados específicamente para promover la toma de decisiones basada en riesgos y la integración de la gestión de riesgos en los procesos empresariales. Los gestores de riesgos de todo el mundo nos llaman para ayudar a vender la idea de integrar el análisis de riesgos en la toma de decisiones y utilizar técnicas de análisis de riesgos cuantitativos. Consulta el curso más popular para tomadores de decisiones https://riskacademy.blog/product/risk-based-decision-making-executives/o nuestros programas dedicados para ayudar a los gerentes de riesgos a aprender los fundamentos del análisis de riesgo cuantitativo https://riskacademy.blog/product/risk-managers-training/También podemos ayudar a auditar la efectividad de la gestión de riesgos o desarrollar una hoja de ruta para la integración de la gestión de riesgos en la toma de decisiones. https://riskacademy.blog/product/g31000-risk-management-maturity-assessment/