Las últimas opiniones de Alex Sidorenko sobre cómo la «innovación», la falta de perspicacia empresarial y los consultores están matando lo moderno. gestión de riesgos en organizaciones no financieras.
Primero estuvo la ciencia…
Algunas fuentes sugieren que la teoría de la probabilidad comenzó en el juego y en el seguro marítimo. En ambos casos, la ciencia se utilizó principalmente para ayudar a las personas y a las empresas a tomar mejores decisiones. decisión y, por lo tanto, ganar dinero. Gestión de riesgos Se utilizaron herramientas matemáticas disponibles en ese momento para cuantificar el riesgo y su aplicación fue bastante pragmática.
Los bancos y los fondos de inversión comenzaron a aplicar. gestión de riesgos Y ellos también lo estaban usando para tomar mejores decisiones de precios y de inversión y para ganar dinero. Gestión de riesgos En ese momento era bastante científico. H. Markowitz, M. Miller, W. Sharpe ganaron un Premio Nobel en 1990 por CAPM, una herramienta también utilizada para gestión de riesgosEsto no significa gestión de riesgos siempre fue siempre exacto, solo hay que ver el caso de LTCM, pero una cosa es segura: los gestores de riesgos sí aplicaron lo último en teoría de probabilidad y utilizaron herramientas bastante sofisticadas para ayudar a las empresas a ganar dinero (ya sea generando nuevos flujos de efectivo o protegiendo los ya existentes).
Entonces gestión de riesgos se convirtió en arte…
Luego llegó el turno de las empresas no financieras y las entidades gubernamentales. Y ahí es cuando gestión de riesgos Empezó a ser más un arte que una ciencia.
Pregunta a RAW@AI sobre esta publicación o simplemente habla sobre la gestión de riesgos
Algunas de las razones detrás del cambio fueron, sin duda:
- Falta de datos confiables para cuantificar riesgos (Douglas W. Hubbard en sus libros en realidad demostró que esto no es cierto). Hoy, literalmente no hay excusa para no cuantificar los riesgos en cualquier tipo de organización.
- Falta de demanda por parte de la empresa. Muchas organizaciones no financieras en ese momento eran menos sofisticadas en términos de planificación, presupuestación y decisión haciendo. Tantos ejecutivos ni siquiera pidieron a los gerentes de riesgos que proporcionaran un análisis de riesgos cuantificable.
- Falta de gerentes de riesgos calificados. Como resultado, muchos gestores de riesgos se volvieron "suaves" y "adorables", sin tener las habilidades o experiencia necesarias para cuantificar riesgos y medir su impacto en los objetivos y decisiones empresariales.
- Esto estuvo bien por el momento, fue parte de la curva de aprendizaje, supongo, y muchas de las empresas no financieras aprendieron rápidamente qué riesgos cuantificar y cómo. Otras empresas que no lograron madurar normalmente perdieron interés en gestión de riesgos, o debería decir, nunca vi el valor real.
Hoy es un desastre...
Lo que estoy viendo hoy, sin embargo, no es más que notable
En lugar de ser pragmático, sencillo y centrado en ganar dinero, gestión de riesgos Se mudó a la tierra de las palabras de moda. Si estás leyendo esto y pensando: “Espera, Alex, la velocidad del riesgo es importante, las organizaciones deberían ser resilientes ante el riesgo," gestión de riesgos se trata tanto de oportunidades como de riesgos, el apetito de riesgo, la capacidad y las tolerancias deben cuantificarse y discutirse a nivel de la Junta y el riesgo inherente es útil.¡Felicidades! Es posible que hayas perdido contacto con la realidad empresarial y que estés contribuyendo al problema.
He agrupado mi pensamiento en cuatro áreas problemáticas
A. No existe literalmente ningún vínculo entre la ciencia moderna y los negocios. gestión de riesgos
Hoy, incluso las organizaciones no financieras más avanzadas usan lo mismo. gestión de riesgos herramientas (decisión (árboles de decisión, Monte Carlo, VaR, pruebas de estrés, análisis de escenarios) creados en los años 40 y 60. La investigación más reciente en pronósticos, modelado de incertidumbre, cuantificación de riesgos y redes neuronales es principalmente ignorada por la mayoría de los gestores de riesgos en el sector no financiero.
Irónicamente, muchas organizaciones sí utilizan herramientas como las simulaciones de Monte Carlo (desarrolladas en 1946, por cierto) para la previsión y la investigación, pero no es el gestor de riesgos quien lo hace. Lo mismo se puede decir del último desarrollo en la tecnología blockchain, probablemente la mejor herramienta para una contraparte transparente y precisa. gestión de riesgos. Sin embargo, prácticamente ignorado por los gestores de riesgo.
También han pasado años desde que vi por última vez a un científico presentar en cualquier gestión de riesgos Evento: compartir nuevas formas o herramientas para cuantificar los riesgos asociados con los objetivos empresariales. Lo mismo se puede decir sobre los pobres en general calidad de investigación de posgrado publicada en el campo de gestión de riesgos.
B. Moderno gestión de riesgos está desvinculado de las operaciones diarias del negocio y decisión haciendo
A menos que estemos hablando de una organización sin fines de lucro o una entidad gubernamental, el objetivo es simple: ganar dinero. Y mientras generan dinero, cada organización enfrenta mucha incertidumbre. Por suerte, los negocios cuentan con una variedad de herramientas para ayudar a lidiar con la incertidumbre, herramientas como la planificación empresarial, la previsión de ventas, la elaboración de presupuestos, el análisis de inversiones, la gestión del rendimiento y otras más.
Sin embargo, en lugar de integrarse en todos los gestores de riesgos mencionados anteriormente, a menudo optan por seguir su propio camino, crear un universo paralelo, específicamente dedicado a los riesgos (lo cual creo que es muy ingenuo). Algunos de los ejemplos comunes incluyen
- Creando un gestión de riesgos documento marco en lugar de actualizar las políticas y procedimientos existentes para estar alineados con los principios generales de gestión de riesgos en ISO 31000:2009
- Realizar talleres de riesgos en lugar de discutir riesgos durante la fijación de estrategias o reuniones de planificación empresarial
- Realizando evaluaciones de riesgo por separado en lugar de calcular riesgos dentro del presupuesto existente o modelos financieros o de proyecto
- Crear planes de mitigación de riesgos en lugar de integrar la mitigación de riesgos en los planes de negocio y KPIs existentes
- Informar los niveles de riesgo en lugar de informar KPI@Risk, CF@Risk, Budget@Risk, Schedule@Risk
- Crear informes de riesgo separados en lugar de integrar la información de riesgo en los informes de gestión habituales, y así sucesivamente…
- Gestión de riesgos Se ha convertido en un objetivo en sí mismo. Los ejecutivos del sector no financiero dejaron de ver, o quizá nunca lo han hecho. gestión de riesgos como una herramienta para ganar dinero. Los gestores de riesgos no hablan, muchos ni siquiera entienden el idioma de los negocios o cómo se toman las decisiones en la organización. El análisis de riesgos suele estar desactualizado y, cuando los gestores de riesgos lo capturan, las decisiones comerciales importantes ya se han tomado hace mucho tiempo.
C. Los gestores de riesgos siguen ignorando la naturaleza humana
A pesar de la extensa investigación realizada por los ganadores del Premio Nobel D. Kanehmman, A. Tversky y otros, los gestores de riesgos siguen utilizando juicio experto, mapas/matrices de riesgos, escalas de probabilidad x impacto, encuestas y talleres para captar y evaluar riesgos. Estas herramientas no proporcionan resultados precisos (por decirlo suavemente), nunca lo han hecho y nunca lo harán. Simplemente deja de usarlos. Hay mejores herramientas para integrar el análisis de riesgos en decisión haciendo.
Construir la cultura de conciencia de riesgo es fundamental para el éxito de cualquier organización, sin embargo, muy pocos gestores de riesgos modernos invierten en ello. En lugar de realizar talleres de riesgo, los gerentes de riesgos deberían enseñar a los empleados sobre la percepción del riesgo. cognitivo sesgos, fundamentos de ISO31000:2009 y cómo integrar el análisis de riesgos en sus actividades diarias y decisión haciendo.
D. Los gestores de riesgos están demasiado ocupados persiguiendo al unicornio
En lugar de ceñirse a lo básico y hacer que funcionen, muchos están demasiado ocupados persiguiendo las últimas “palabras de moda” y “innovaciones”. Recuerda, cómo la “resiliencia” fue algo importante hace unos años, antes estaban los “riesgos emergentes”, también la “inteligencia de riesgos”, la “agilidad”, el “riesgo cibernético”, la lista continúa y continúa. Parece que estamos tan ocupados buscando al nuevo enemigo cada año que olvidamos hacer bien lo básico.
Los consultores últimamente parecen tener demasiada influencia en cómo se ve lo moderno. gestión de riesgos evoluciona. La última entrega fue el nuevo borrador de COSO:ERM, creado por PwC y publicado por COSO en junio de este año. Y qué montón de tonterías fue esa. Los autores seguramente "innovaron": entre otras "ideas útiles", idearon una nueva forma de captar perfiles de riesgo. Qué bien… si el perfilado de riesgos era el objetivo de gestión de riesgosLamentablemente, no lo es. La evaluación de riesgos en cualquier forma hace poco para ayudar a los ejecutivos y gerentes a tomar decisiones arriesgadas todos los días. Para más comentarios sobre COSO:ERM haz clic aquí.
Para ser completamente justos, el equipo global que actualmente está trabajando en la actualización para la ISO31000:2009 también tiene a algunos consultores, que tienen una comprensión muy limitada sobre gestión de riesgos aplicación en la toma de decisiones cotidianas y en ayudar a las organizaciones a ganar dinero.
Creo que es hora de volver a lo básico y girar gestión de riesgos De vuelta a la herramienta para ayudar a tomar decisiones y ganar dinero.
Interesado en escuchar tus pensamientos, comparte, dale me gusta y comenta abajo.
guías y plantillas de RISK-ACADEMY
La guía de RISK-ACADEMY sobre la gestión de riesgos en proyectos gubernamentales
Ver otros gestión de riesgos libros
RISK-ACADEMY ofrece cursos en línea
Toma de Riesgos Informada
Aprende 15 pasos prácticos para la integración. gestión de riesgos dentro de decisión creación, procesos de negocio, cultura organizacional y otras actividades!
ISO 31000 Integración Gestión de Riesgos
Alex Sidorenko, conocido por su gestión de riesgos blog http://www.riskacademy.blog, ha creado un programa de 25 pasos para integrar gestión de riesgos dentro de decisión la creación de los procesos centrales del negocio y de la cultura general de la organización.
Gobernanza de Riesgos Avanzada
Este curso ofrece orientación, motivación, información crítica y estudios de casos prácticos para ir más allá de la gobernanza tradicional del riesgo, ayudando a garantizar gestión de riesgos No es un proceso independiente, sino un motor del cambio para el negocio.
Me doy cuenta de que el inglés es tu segundo o tercer idioma, pero si vas a publicar en un idioma que no es tu lengua materna, entonces probablemente deberías hacer que un hablante nativo revise tu trabajo. Dejé de contar en dos docenas de errores ortográficos y uso de palabras incorrectas; ni siquiera me molesté en los problemas de puntuación. Realmente daña tu credibilidad y tu capacidad para entregar lo que, de otro modo, sería un buen mensaje.
Alan, no hace absolutamente nada por mi credibilidad como buen gestor de riesgos, solo ayuda a identificar a las personas que son obsesivas con cosas que no importan. En serio, no tengo ninguna tolerancia para comentarios estúpidos como este. Encontré un error, envíame un mensaje directamente con la corrección, como el resto de las buenas personas.
Acabo de leer tu blog “La gestión de riesgos solía ser una ciencia, luego se convirtió en un arte...” etc. En general, estoy de acuerdo con tus comentarios y críticas sobre las prácticas de gestión de riesgos. Solo puedo agregar mi opinión, por lo que vale, basada en varias décadas de experiencia, que las mismas declaraciones podrían hacerse sobre la gestión de auditorías, la gestión de controles y la gestión de cumplimiento. Eso no quita nada de lo que has escrito. Pero en mi opinión es un problema sistémico y va más allá del riesgo. Sigue con el buen trabajo.
Gracias. De acuerdo
Estoy completamente de acuerdo. La gestión de riesgos, auditoría y cumplimiento son buenas teorías si no están impulsadas por el conocimiento del negocio y alineadas con la consecución de objetivos específicos del negocio. No importa qué negocio o industria. En última instancia, estás tratando de influir en las decisiones para mejorar el negocio.
Gran trabajo. Muy útil.
Querido Alex, tengo dos observaciones: primero, nunca he oído hablar de un incidente importante de ciberseguridad cuya causa raíz sea un error en una evaluación de riesgos. En segundo lugar, nunca he encontrado una evaluación de riesgos que sea autorregulable, en otras palabras, es posible detectar si una salida es incorrecta. Por ambas razones, creo que las evaluaciones de riesgos son irrelevantes, ya que no hay consecuencias por equivocarse en ellas. ¿O quizás siempre tienen razón? ¿Quién piensa eso? Existen alternativas para entender qué se debe hacer para mejorar la ciberseguridad sin evaluaciones de riesgos.
No entiendo cómo esto se relaciona con la publicación. Tienes una falla básica en tu argumento, solo porque no escuchaste algo no significa que el riesgo del modelo no exista. El riesgo de modelos de Google y sorpréndete de lo enorme que es el problema de las malas evaluaciones de riesgo a nivel mundial. Luego busca en Google la retroalimentación y sorpréndete de nuevo de cómo todas las buenas evaluaciones de riesgo se autocorrigen