COSO ERM 2017 – revisión completa por Alex Sidorenko (parte 2)

Publicado en Gestión de riesgos

Me tomó muchos días terminarlo, pero al final lo logré. Leí el COSO ERM 2017 completo. No solo pasé por encima el texto, leí cada página, cada palabra. Aquí están mis pensamientos

Comentarios de alto nivel

Lee la parte 1 aquí

Comentarios detallados

Lo primero que notas al leer COSO ERM 2017 es que se centra menos en gestión de riesgos, más sobre la gobernanza corporativa y la gestión en general. Como tal, debe compararse no solo con la ISO31000 sino también con el informe King IV sobre gobierno corporativo y cualquier otro código de gobernanza relevante para su país.

Una vez más, paradójicamente, aunque el riesgo no sea el punto focal del documento en su conjunto, cada vez que es el punto focal (principios 7, 11, 12, etc.), los autores parecen teletransportarse de vuelta a 2005 cuando escriben sobre gestión de riesgos.

Pregunta a RAW@AI sobre esta publicación o simplemente habla sobre la gestión de riesgos

 

Section: Applying the Framework

Empieza muy bien con Integrando la empresa gestión de riesgos Las prácticas en toda la organización mejoran. decisiónla toma de decisiones en gobernanza, estrategia, establecimiento de objetivos y operaciones diarias. Ayuda a mejorar el rendimiento al vincular de forma más estrecha la estrategia y los objetivos empresariales con el riesgo.” 

Luego, por alguna razón desconocida, entra en modo libro de texto, indicando una serie de puntos obvios sobre cómo se crea, preserva, erosiona y realiza el valor. Pérdida de espacio.

Luego, otra sección del libro de texto sobre qué misión, visión y valores fundamentales. ¿Cuáles son las probabilidades de que una persona que busca la definición y el significado de misión, visión y valores fundamentales las busque en la página 38 de COSO ERM? Exactamente.

Entonces otro buen punto "Una organización que integra la empresa"
gestión de riesgos Las prácticas para establecer la estrategia proporcionan gestión.
con la información de riesgo, necesita considerar estrategias alternativas y,
en última instancia, adoptar una estrategia elegida.” Lástima que este mensaje no sea coherente en todo el marco.

Luego, otra sección del libro de texto sobre qué son la gobernanza, la gestión del rendimiento y los controles internos. No en el contexto de gestión de riesgos ya sea, solo definiciones genéricas. En esta etapa, COSO ERM me recuerda a una mala copia de Wikipedia.

Los beneficios de la sección de ERM son casi ingenuos. Hazte un favor, no repitas eso a tus ejecutivos si quieres que te tomen en serio.Reducir la variabilidad del rendimiento y mejorar la implementación de recursos son probablemente los únicos verdaderos.

Luego, algo más de bla bla.

Section: Understanding the Terms: Risk and Enterprise Gestión de Riesgos

El riesgo se define como la posibilidad de que ocurran eventos y afecten el logro de
estrategia y objetivos comerciales Bien, similar a ISO31000:2009. No tengo idea de por qué hacer un punto de reinventar la rueda en lugar de simplemente usar la definición que existía desde 2009.

Por otro lado, Enterprise gestión de riesgos se define como la cultura, capacidades y prácticas, integradas con la definición de la estrategia y el desempeño, de las que las organizaciones dependen para gestionar el riesgo en la creación, la preservación y la realización de valor.

No tengo idea de por qué solo estrategia y rendimiento. ¿Por qué no la adquisición o TI u otros millones de procesos y decisiones que igualmente se ven afectados por la incertidumbre? De todos modos, todavía creo que la ERM es un concepto completamente artificial sin ninguna aplicación útil aparte del marketing. Más en este video

Si quieres saber una mejor definición de gestión de riesgos sin la parte empresarial, mira este video:

Luego, otra sección más del libro de texto sobre cultura y luego simplemente texto completamente aleatorio. Te prometí algunas citas del capitán obvio, aquí tienes Una organización establece una estrategia que se alinea y apoya su misión y visión. También establece objetivos comerciales que derivan de la estrategia, que se transmiten a las unidades de negocio, divisiones y funciones de la entidad. Gracias PwC, realmente sabes cómo desperdiciar páginas de texto y el tiempo de los lectores :)))

Entonces, esta extraña declaración: "Una organización debe gestionar el riesgo en relación con su estrategia y objetivos comerciales en función de su apetito de riesgo, es decir, los tipos y la cantidad de riesgo, en un"
a nivel general, está dispuesto a aceptar en su búsqueda de valor.PwC continúa impulsando su noción completamente artificial de apetito por el riesgo. En realidad, es lo más básico. decisión herramienta para hacer, he escrito sobre ello aquíTodo el concepto de apetito por el riesgo es un total sinsentidoLee el artículo para ver cómo esta declaración en COSO en realidad está perdiendo el sentido.

Section: Strategy, Business Objectives, and Performance

Comienza con una declaración interesante Una organización que comprende su misión y visión puede establecer estrategias que generarán el perfil de riesgo deseado. Dejaré eso en tus manos, pero quizás sea al revés.Las estrategias no generan el perfil de riesgo deseado, ¿los riesgos impulsan la estrategia deseada?

Y otro más La organización necesita evaluar cómo la estrategia elegida podría afectar el perfil de riesgo de la entidad, específicamente los tipos y la cantidad de riesgo a los que potencialmente está expuesta la organización. Quizá solo esté siendo quisquilloso, pero en fin.

Esta declaración parece lo opuesto de lo que se debería hacer Siempre que sea posible, la organización debe utilizar unidades similares para medir el riesgo de cada objetivo. Esto ayudará a alinear la gravedad del riesgo con las medidas de rendimiento establecidas.

La organización debe comprender inicialmente el perfil de riesgo potencial al evaluar estrategias alternativas. Una vez que se elige una estrategia, el enfoque se desplaza a entender el perfil de riesgo actual para esa estrategia elegida y los objetivos comerciales relacionados.esto es tan raro. ¿No debería la estrategia elegirse en función de los riesgos? ¿Por qué es necesario entender el perfil de riesgo después de elegir la estrategia? No puedo entenderlo, excepto el hecho de que los autores no tienen mucha idea de cómo hacerlo realmente integrar la gestión de riesgos en la planificación estratégica.

¿Tiempo para otra cita del capitán obvio? La relación entre riesgo y rendimiento rara vez es lineal. Los cambios incrementales en los objetivos de rendimiento no siempre resultan en cambios correspondientes en el riesgo (o viceversa). El COSO ERM podría haber sido de menos de 10 páginas si solo se hubieran dejado los mensajes importantes sin toda la información adicional que lo rodea.

Luego se introduce el concepto de perfil de riesgo. Supuestamente, el gráfico de perfil de riesgo es la innovación clave creada por PwC. Hice un video corto sobre ello, asegúrate de verlo:

 

Section: Integrating Enterprise Gestión de Riesgos

Tenía grandes esperanzas para esta sección, ya que esto, en mi opinión, es la única razón para hacerlo. gestión de riesgos En primer lugar. Empieza bien Integrando la empresa gestión de riesgos con las actividades y procesos empresariales resultan en mejor información que respalda lo mejorado decisión haciendo y conduce a un rendimiento mejorado.

Luego vuelve a las declaraciones obvias y naive del libro de texto y no hay detalles sobre cómo integrar realmente, por dónde empezar y qué obstáculos evitar. Las secciones sobre integración en la cultura, capacidad y prácticas son solo agua. Aquí está la sección completa sobre la integración. gestión de riesgos en prácticas:

Empresa gestión de riesgos Las prácticas están integradas cuando:

  • Establecer la estrategia considera explícitamente el riesgo al evaluar las opciones.
  • La gestión aborda activamente el riesgo en la búsqueda de sus objetivos de rendimiento.
  • Las actividades se desarrollan para monitorear de manera regular y constante los resultados del rendimiento y los cambios en el perfil de riesgo a lo largo de la entidad.
  • La gestión es capaz de tomar decisiones que están en línea con la velocidad y el alcance de los cambios en la entidad.

Gracias, Capitán Obvio. ¿Cómo lo haces realmente? Tengo mi respuestaCapacitación y seminarios web gratuitos sobre gestión de riesgos en el primer trimestre de 2018

Section: Components and Principles

Luego, el marco proporciona un resumen de 5 componentes y 20 principios. En esta etapa del documento, solo pienso para mí mismo, ¿por qué 20 principios, por qué no 150?

Hay puntos buenos empresa gestión de riesgos No es estático. Está integrado en el desarrollo de la estrategia, la formulación de objetivos comerciales y la implementación de
esos objetivos a través de lo cotidiano decisión-haciendo. y no tan bueno Una organización debe contar con un medio para proporcionar de manera confiable a las partes interesadas de la entidad una expectativa razonable de que es capaz de gestionar el riesgo hasta una cantidad aceptable.

No puedo soportarlo más. Leer COSO ERM es más doloroso que escuchar sobre cognitivo sesgos de un profesor de neuroeconomía :)) La próxima semana cubriré el marco real y sus 20 principios.

Continuará…

 

Ver otros gestión de riesgos libros

RISK-ACADEMY ofrece cursos en línea

sample85
+ Agregar al carrito

Toma de Riesgos Informada

Aprende 15 pasos prácticos para la integración. gestión de riesgos dentro de decisión creación, procesos de negocio, cultura organizacional y otras actividades!

$149,99$29,99
sample85
+ Agregar al carrito

ISO 31000 Integración Gestión de Riesgos

Alex Sidorenko, conocido por su gestión de riesgos blog http://www.riskacademy.blog, ha creado un programa de 25 pasos para integrar gestión de riesgos dentro de decisión la creación de los procesos centrales del negocio y de la cultura general de la organización.

$199,99$29,99
sample85
+ Agregar al carrito

Gobernanza de Riesgos Avanzada

Este curso ofrece orientación, motivación, información crítica y estudios de casos prácticos para ir más allá de la gobernanza tradicional del riesgo, ayudando a garantizar gestión de riesgos No es un proceso independiente, sino un motor del cambio para el negocio.

$795

3 pensamientos sobreCOSO ERM 2017 – revisión completa por Alex Sidorenko (parte 2)

  1. Pingback COSO ERM 2017 – revisión completa por Alex Sidorenko (parte 1) – Blog RISK-ACADEMY
  2. Pingback Gestión de Riesgos 1 vs Gestión de Riesgos 2, ¿Qué es? - Burocrata Escribe

  3. Estoy totalmente de acuerdo contigo, Alex. Soy un profesional del petróleo y gas con 40 años de experiencia en operaciones upstream y gestión de riesgos. He sido Gerente de Instalaciones en Alta Mar (OIM) durante 13 años y, en los últimos 12 años, formo parte de la función ERM. Nunca en mi vida he leído unos estándares tan confusos.

    Después de leer esta versión de COSO 2017, siento ganas de huir del ERM y no engañar a los demás. Sorprendido de encontrar un grupo de profesionales que produce un documento tan falso. Cada vez que vamos al comité de liderazgo o a la Junta, realmente sienten que están perdiendo su tiempo en la gestión de riesgos empresariales y que no aporta valor. Si los estándares de ERM están tan confundidos, ¿cómo podemos obtener la aprobación de la alta dirección?

    Lo siento por este estallido. Tomé una semana y 15 lecturas para entender el resumen ejecutivo. Créeme, no entendí lo que quieren transmitir, excepto el hecho de que la gestión de riesgos empresariales (ERM) debería comenzar con la definición de la estrategia. ¿Pero cómo? ¿Debería CRO ser la autoridad final de aprobación / revisión? Sin respuesta. Incluso un libro de texto de primaria será más claro en lo que lees.

    Gracias por su reseña.

    Ravi

    Responder

Dejar una respuesta a Ravi kumarCancelar respuesta

Este sitio utiliza Akismet para reducir el spam. Aprende cómo se procesa la información de tus comentarios.