Crítica del borrador del Marco de Gobierno Corporativo de COSO: Principio 21

Gestión de riesgos Debería ayudarnos a tomar mejores decisiones, no crear más papeleo. Sin embargo, el principio 21 del borrador del marco de COSO, si bien contiene algunas ideas buenas, empuja a las empresas hacia los mismos viejos errores que han afligido a las empresas. gestión de riesgos durante años. Permítame ser claro: vincular el riesgo a la estrategia es inteligente. Tiene sentido analizar tanto las amenazas como las oportunidades. Recibir actualizaciones oportunas a la junta es importante. ¿Pero la forma en que COSO sugiere hacer estas cosas? Ahí es donde encontramos problemas.

El problema: gestión de riesgos como un proyecto paralelo

El marco de COSO trata el riesgo como si fuera algo separado de la gestión de su negocio. Quieren que crees procesos especiales, asignes propietarios especiales y escribas informes especiales. Pero esto es lo que realmente sucede cuando las empresas hacen esto

Ellos desperdician dinero y tiempo. Los estudios muestran que las empresas gastan entre el 60 y el 70 % de su presupuesto de riesgo en documentación que no ayuda a nadie a tomar mejores decisiones. Algunas gastan más de 1.3 millones de dólares al año en tareas innecesarias sin nada que demostrar por ello.

Crean una falsa comodidad. Cuando tienes un departamento de riesgos separado que produce informes, los ejecutivos piensan que los riesgos están "siendo manejados". Mientras tanto, las personas que toman decisiones comerciales reales no están pensando en el riesgo en absoluto. Esta falsa seguridad contribuyó a los desastres en empresas como Carillion y Wirecard.

Ellos pierden el sentido completo. El riesgo no es algo que exista por separado de tu negocio—está entrelazado en cada decisión tú haces. Tratarlo como un complemento es como intentar atornillar alas a un coche y llamarlo un avión.

Dónde se equivoca COSO (y qué hacer en su lugar)

La trampa del "proceso separado"

COSO te dice que “establecer y mantener una estructurada" gestión de riesgos proceso.Esto crea una barrera artificial entre el pensamiento de riesgo y el trabajo real. ¿Recuerdas la explosión en la refinería de BP en Texas City? Tenían montañas de documentación de riesgos. Pero ninguno de ellos se relacionaba con decisiones diarias sobre el mantenimiento del equipo o los apagones de seguridad. La documentación decía una cosa; los operadores hacían otra. Las personas murieron.

Lo que realmente funciona No crees un proceso separado. En cambio

• Al planificar la estrategia, siempre pregunte "¿qué podría suceder?" y explore diferentes escenarios
• Al establecer presupuestos, muestre rangos como "más o menos 1,5 millones de dólares" en lugar de pretender que conoce números exactos
• Al aprobar proyectos, ejecuta simulaciones para ver cómo podrían desarrollarse
• Al revisar los resultados, averigua por qué tus predicciones fueron incorrectas para poder hacerlo mejor la próxima vez

La fantasía del "propietario del riesgo"

COSO quiere "roles y responsabilidades claras para la propiedad del riesgo". Pero piensa en esto: ¿Cómo puede alguien “poseer” un riesgo si no puede controlar la actividad comercial que lo causa? El desastre de Deepwater Horizon mostró esto perfectamente. Los expertos en seguridad detectaron problemas pero no pudieron forzar cambios porque no dirigían las operaciones. Las personas que realizaban operaciones no se sentían responsables de la seguridad; esa era tarea del "propietario del riesgo". Once personas murieron.

Lo que realmente funciona La persona que realiza una actividad también debe gestionar sus riesgos

• Los gerentes de ventas gestionan los riesgos de ventas
• Los líderes de proyecto manejan las incertidumbres del proyecto
• Incluir gestión de riesgos en las evaluaciones de desempeño de todos
• Brinda a las personas herramientas y capacitación para gestionar sus propios riesgos

El aislamiento de la información de riesgo

COSO dice que "la información sobre riesgos se actualiza regularmente y se comunica." Pero cuando los riesgos aparecen en informes separados de tus actualizaciones comerciales habituales, nadie conecta los puntos.

Durante la crisis de 2008, Lehman Brothers tenía informes detallados de riesgos que advertían sobre problemas en el sector inmobiliario. Pero estos informes utilizaban un lenguaje diferente, se presentaban en diferentes momentos y asistían a reuniones distintas a sus informes de inversión. Las advertencias nunca influyeron en decisiones reales. La empresa colapsó.

Lo que realmente funciona Pon la información de riesgo donde la necesiten las personas

• Agrega rangos de incertidumbre a tus paneles de control habituales
• Mostrar los mejores, esperados y peores casos en el mismo informe
• Rastrea qué tan precisas son tus predicciones para que puedas mejorar
• Discuta los riesgos en sus reuniones comerciales regulares, no en las separadas.

La tontería de los "10 principales riesgos"

COSO sugiere rastrear "de 10 a 15 riesgos clave". ¿Por qué de 10 a 15? ¿Por qué no 8 o 23? Este límite arbitrario crea puntos ciegos. La crisis financiera de 2008 lo demostró: los bancos tenían sus listas ordenadas de 10 a 15 riesgos, pero pasaron por alto cómo todos estaban conectados para crear un desastre.

Aquí está lo sorprendente: el 78% de los ejecutivos admiten que nunca revisan el registro de riesgos de su empresa al tomar decisiones. Si no ayuda a las personas a elegir mejores caminos, ¿para qué molestarse?

Lo que realmente funciona Concéntrate en las decisiones, no en las listas:

• Antes de decisiones importantes, identifica qué podría afectar el resultado
• Analiza las incertidumbres específicas de cada uno. decisión
• Actualiza tu análisis cuando necesites decidir, no en un horario arbitrario
• No te limites a un número mágico

El problema del director de riesgos

COSO quiere que designe a una persona para supervisar las operaciones diarias. gestión de riesgos.” Pero cuando pones a una persona a cargo de todo el riesgo, los demás dejan de pensar en ello.

Las empresas con funciones de riesgo centralizadas tardan un 70 % más en solucionar problemas. ¿Por qué? Porque las personas que detectan riesgos no pueden solucionarlos, y las personas que pueden solucionarlos no están pensando en los riesgos.

Lo que realmente funciona Difunde el pensamiento de gestión de riesgos en toda tu empresa

• Entrena a todos los gerentes para analizar la incertidumbre
• Coloca a los expertos en riesgos en los equipos de negocio, no en una torre separada
• Mantén un equipo central pequeño para la coordinación, pero permite que los equipos gestionen sus propios riesgos
• Haz que pensar en riesgos sea parte del trabajo de todos, no la carga de una sola persona

Declaraciones de apetito por el riesgo que no dicen nada

COSO quiere que las juntas " revisen y aprueben el apetito de riesgo de la entidad". Estas declaraciones generalmente contienen frases sin sentido como "bajo apetito por riesgos de cumplimiento" o "apetito moderado por riesgos estratégicos".

JP Morgan tenía una hermosa declaración de apetito por el riesgo. No detuvo al "Ballena de Londres" de perder 6 mil millones de dólares porque la declaración nunca se tradujo en límites de negociación reales que los operadores pudieran usar.

Lo que realmente funciona Crear pautas específicas y medibles:

• Los nuevos productos necesitan >60% de probabilidad de alcanzar el punto de equilibrio en 2 años
• Los proyectos no pueden tener más del 20% de probabilidad de exceder el presupuesto en un 15%
• Diferentes actividades requieren diferentes niveles de riesgo (las investigaciones tempranas pueden fallar el 70% de las veces; la fabricación necesita una fiabilidad del 99%).
• Actualízalos en función de las condiciones reales del negocio, no de rituales anuales.

Vigilando todo, arreglando nada

COSO dice que "monitorear los riesgos clave". Las empresas a menudo rastrean cientos de indicadores, creando informes masivos que nadie lee. Sin desencadenantes claros para la acción, esperan hasta que los riesgos se conviertan en crisis.

El desastre de BP en Texas City tuvo este problema: monitoreaban los indicadores de seguridad pero nunca los vinculaban con decisiones sobre cuándo cerrar para mantenimiento.

Lo que realmente funciona Monitor con propósito

• Identifique qué decisiones necesitan información de riesgo
• Establecer desencadenantes claros: "Si los retrasos del proveedor superan el 15%, activar el plan de respaldo"
• Monitoree la frecuencia adecuada para cada uno. decisión
• Hacer que alguien sea responsable de actuar cuando se activan los desencadenantes

Riesgo tecnológico en su propia burbuja

COSO quiere estructuras de gobernanza separadas para evaluar y gestionar los riesgos relacionados con la tecnología. Pero el riesgo tecnológico no es diferente del riesgo empresarial; es lo mismo.

La brecha de Equifax de 2017 ocurrió en parte porque la gobernanza de ciberseguridad estaba desconectada de las personas que realmente instalaban los parches de software. El equipo de riesgos identificó el problema; el equipo de operaciones no actuó al respecto. 143 millones de personas tuvieron sus datos robados.

Lo que realmente funciona Haz que el riesgo tecnológico forme parte de las decisiones tecnológicas

• Incluya análisis de riesgos al elegir sistemas
• Entrena a los equipos de TI para que piensen en la incertidumbre
• Hacer que los líderes empresariales y de TI sean responsables conjuntamente de los riesgos tecnológicos
• Deja de pretender que la tecnología es de alguna manera diferente al resto de tu negocio

El camino real a seguir

Esto es lo que COSO hace bien: Gestión de riesgos Debería apoyar la estrategia, considerar oportunidades y proporcionar información oportuna. Pero su enfoque de crear estructuras, procesos y roles separados socava estas buenas intenciones.

Real gestión de riesgos No es un ejercicio de cumplimiento ni una función especializada. Es pensar con claridad sobre la incertidumbre cada vez que tomas decisiones importantes. Significa

• Enseñando a todos para considerar lo que podría suceder, no solo las "personas en riesgo"
• Incertidumbre en la construcción en toda tu planificación y presupuesto
• Haciendo decisión-fabricantes responsables por sus propias incertidumbres
• Cambio en el apetito por el riesgo de palabras vacías a reglas claras
• Vigilando lo que importa para decisiones que realmente necesitas tomar

Comienza simple. Elige una recurrencia importante. decisión—tal vez aprobaciones de proyectos o lanzamientos de nuevos productos. Incorpora el pensamiento de incertidumbre directamente en ese proceso. Utilice rangos en lugar de números individuales. Establece umbrales claros. Haz el decisión Propietario responsable de las incertidumbres.

Cuando la gente vea cómo esto mejora las decisiones, querrá usarlo en todas partes. Pronto, pensar en la incertidumbre se vuelve tan natural como pensar en los costos o los cronogramas.

El Principio 21 de COSO perpetúa el mito de que gestión de riesgos es algo que haces junto a tu negocio en lugar de dentro de él. Esta separación crea burocracia sin beneficio, documentación sin decisiones y supervisión sin comprensión.

Las empresas que prosperan no pretenden poder predecir el futuro a la perfección. Construyen organizaciones que toman buenas decisiones a pesar de la incertidumbre. Eso no es un gestión de riesgos proceso—eso es simplemente buen negocio.

La verdadera pregunta no es si implementarás el marco de COSO. Se trata de si tendrás el valor de hacer algo mejor: convertir el pensamiento de riesgo en una parte inseparable de cómo gestionas tu negocio.

Porque al final, cada negocio decisión Implica incertidumbre. Pretender lo contrario es el mayor riesgo de todos.