Comentarios completos sobre el borrador de COSO ERM

Resumen de comentarios

Estructurado y lógico – Creo que el contenido de cualquier documento, y mucho más de un documento de directrices internacionales, debe estar estructurado lógicamente, debe seguir elprincipio MECE, no debería tener ninguna repetición o duplicación innecesaria. Este ciertamente no fue el caso con el borrador actual de COSO:ERM. Nota para los autores.

Mientras que la estructura de alto nivel Aplicando el marco y El marco parecen estar bien. El texto dentro de cada Principio, sin embargo, es puro caos.Me resultó extremadamente difícil entender por qué ciertos bloques se agrupaban juntos mientras que otros se excluían. Además, algunos de los mensajes parecen repetirse una y otra vez, lo que añade innecesariamente al volumen del documento.

Práctico y pragmático – También esperaba que el borrador de COSO:ERM fuera enfocado en los negocios, accionable y pragmático. Esto, nuevamente, definitivamente no fue el caso. Parece que los autores optaron por la cantidad y no por el calidadComo consultor en el pasado y uno de los coautores de la metodología de riesgos global de PwC, creo que se me puede perdonar por llamarlo por lo que es. Solíamos llamar a este estilo particular de escritura "charla de tonterías de consultoría".

El 70% del borrador consiste en eslóganes motivadores y declaraciones de alto nivel, pero sin significado, que son imposibles de convertir en acciones en un entorno empresarial real. El documento tiene 138 páginas, lo cual es completamente artificial, ya que se puede reducir fácilmente en casi 2/3 sin perder nada importante.

Encontré que la mayoría de los ejemplos dados en el texto son ingenuos y bastante desconectados de la realidad. El borrador actual definitivamente no es adecuado ni para los gestores de riesgos experimentados ni para los nuevos. Debo admitir que leer el documento fue doloroso e incluso un poco insultante.

ALINEADO CON ISO31000:2009 – A pesar de que ISO31000:2009 ha sido adoptado oficialmente por Estados Unidos en la forma de ANSI/ASSE/ISO31000 y sigue siendo el más popular. gestión de riesgos A nivel mundial, me pareció muy extraño que ISO31000 no solo no esté mencionado por los autores, sino que algunas de las definiciones y elementos contradigan claramente la norma.

Me parece bastante extraño esto, porque como la mayoría de ustedes saben, las normas ISO se basan en un consenso global, lo que significa que más de 30 países, incluyendo Estados Unidos, participaron en su publicación inicial. Para agregar a eso, la ISO TC 262 está trabajando actualmente en la actualización de la ISO 31000:2009 con la representación de todas las principales economías globales. Y, sin embargo, mientras que los representantes de COSO y algunos de los autores tuvieron una amplia oportunidad de participar en la discusión global, parece que optaron por ignorarla y elaboraron un documento que no está alineado con la norma internacional principal sobre gestión de riesgos.

COHERENTE Y NO CONTRADICTORIO – En general, encontré que el documento era bastante contradictorio. Aunque dice todas las cosas correctas desde el principio, como la necesidad de integrar gestión de riesgos dentro de decisión Elaboración, actividades diarias, estrategia y gestión del rendimiento, el cuerpo del documento no da seguimiento a la promesa.

Solo algunos de los problemas que noté son

• concepto completamente artificial de apetito por el riesgo, que ignora cómo la gerencia normalmente establece el apetito por ciertos tipos de riesgo, límites y tolerancias
• el documento habla sobre la influencia de cognitivo sesgos en decisión haciendo y gestión de riesgos, al mismo tiempo propone el uso de herramientas altamente subjetivas que ignoran por completo el efecto de tal cognitivo sesgos
• El tratamiento del riesgo y la elaboración de informes sobre riesgos parecen ser procesos independientes y no formar parte de los informes y actividades de gestión cotidiana y habitual.
• el concepto de la propiedad del riesgo parece mencionarse solo brevemente en el documento

En general tuve la sensación de que a lo largo del documento gestión de riesgos estaba siendo separado artificialmente de las actividades diarias de la organización.

Diseñado para propietarios de negocios, no solo para gestores de riesgos – Mientras el borrador habla del hecho de que gestión de riesgos Es responsabilidad de todos; el documento no está diseñado para una audiencia amplia y, por lo tanto, no sería atractivo para los responsables del negocio y del riesgo. Esto en sí mismo es una gran desventaja, ya que los gestores de riesgos han estado luchando durante años por cambiar del lenguaje de riesgos al lenguaje empresarial.Los autores deberían considerar usar un lenguaje sencillo y evitar un exceso de jerga técnica, intentar darle la vuelta al documento si estuvieran escribiendo para el CEO y no para el gerente de riesgos.

INNOVADOR – Ya es 2016, así que creo que es bastante razonable esperar que el borrador proponga formas nuevas e innovadoras de integrar. gestión de riesgos en los procesos empresariales existentes y decisión haciendo. Por desgracia, los autores, parece, tomaron el camino opuesto. El borrador del marco sí propone formas innovadoras de captar el perfil de riesgo, el apetito de riesgo y otros aspectos. Sin embargo, esto ignora por completo cómo aplicar la innovación en la integración gestión de riesgos pensamiento y análisis en decisiones diarias y actividades comerciales. De hecho, si bien probablemente no era la intención de los autores, podría ser interpretado por algunos como un mayor desapego. gestión de riesgos del negocio.

Basado en consenso – El marco fue elaborado por PwC, una empresa, al igual que las otras Big 4, principalmente enfocada en consultoría y auditoría. Y aunque no voy a discutir si es bueno o malo, el hecho es que gran parte del texto en el marco es muy teórico y a veces está desconectado de la realidad empresarial. Como jefe de riesgos, odiaría incluso intentar implementar algunas de las sugerencias del documento. Aunque todas las sugerencias parecen razonables, simplemente no es así como se hacen las cosas.

FÁCIL DE USAR – El marco preliminar es demasiado complicado, a veces incluso confuso, para reforzar el uso de consultores externos. Encontré esto tanto artificial como innecesario.

MODERNO Y ACTUALIZADO – Algunos de mis comentarios pueden parecer amargos. Eso es porque me sentí realmente decepcionado después de leer el borrador del marco. Cuando era un joven gerente de riesgos, solía admirar a las Cuatro Grandes como líderes de pensamiento en riesgos. Esperaba que el borrador del documento tomara en cuenta las ideas más recientes en gestión de riesgos, análisis de datos, cognitivo ciencia, psicología del riesgo, modelado financiero, análisis cuantitativo y otras disciplinas. El marco no cumplió. De hecho, parece que los autores retrocedieron: la definición de riesgo me recuerda al año 2002 y todo el concepto de riesgo inherente / objetivo / residual es simplemente una broma.

Comentarios detallados

Introducción

1.      El documento empieza realmente bien con “Integrando la empresa" gestión de riesgos mejora en toda la organización decisióntoma de decisiones en gobernanza, estrategia, establecimiento de objetivos y operaciones diarias.Desafortunadamente, este lema que genera una sensación de bienestar es contradicho por el resto del documento.

2. La introducción es innecesariamente larga con mucho relleno, sin embargo, la mayoría de los eslóganes resuenan bien.Los puntos 4 a 12 podrían decirse en 2 oraciones o menos.

3. Los puntos 14 de "beneficios" son bastante ingenuos. Mucho más pragmático gestión de riesgos los beneficios son:

a.Transparente decisión haciendo

b.Ahorros en costos de financiamiento

c.Ahorros en costos de seguros

d.Asignación de propiedad para la asunción de riesgos

4. Punto 15 «No existe un enfoque único que funcione para todas las entidades.» Sin embargo, la implementación empresarial gestión de riesgos generalmente ayudará a una organización a alcanzar sus objetivos de rendimiento y rentabilidad y a prevenir o reducir la pérdida de recursos.Este es un ejemplo de lenguaje que debe evitarse a lo largo de todo el documento – diciendo lo obvio. Declaraciones como estas devalúan el documento.

Entendiendo los Términos

5. El punto 22, la nueva definición de riesgo, es muy extraña e innecesaria. A pesar de que ISO31000:2009 ha sido adoptado oficialmente por Estados Unidos en la forma de ANSI/ASSE/ISO31000 y sigue siendo el más popular. gestión de riesgos El estándar mundial (traducido oficialmente y adoptado por más de 60 de los países más grandes del mundo), me pareció muy extraño que ISO 31000 ni siquiera fuera mencionado por los autores; algunas de las definiciones y elementos contradicen claramente la norma. Me parece bastante extraño esto, porque como la mayoría de ustedes sabe, las normas ISO se basan en un consenso global, lo que significa que más de 30 países, incluyendo Estados Unidos, participaron en su publicación inicial. Para agregar a eso, ISO TC 262 está trabajando actualmente en la actualización de la ISO 31000:2009 con la representación de todas las principales economías globales. Y, sin embargo, mientras que los representantes de COSO y algunos de los autores tuvieron una amplia oportunidad de participar en la discusión global, parece que optaron por ignorarla y elaboraron un documento que no está alineado con la norma internacional principal sobre gestión de riesgos.

6. Punto 27, igual que arriba. Esto en realidad es un gran problema. Gestión de riesgos Se trata de hacer procesos empresariales y decisión basado en el riesgo (cambiando la forma en que las organizaciones planifican y operan), sin crear gestión de riesgos cultura, capacidades y prácticas. Un gran error por parte de los autores, una vez más reforzando el mensaje equivocado de que gestión de riesgos Se trata de la gestión de riesgos, no de tomar decisiones con riesgos en mente. En general tuve la sensación de que a lo largo del documento gestión de riesgos estaba siendo separado artificialmente de las actividades diarias de la organización.

7. Puntos 32 eslóganes ingenuos.

8. Punto 33 “A nivel más alto, empresa" gestión de riesgos está integrada con el establecimiento de la estrategia, con la dirección considerando las implicaciones de cada estrategia para el perfil de riesgo de la entidad.Esto es solo una tontería, casi lo opuesto de cómo gestión de riesgos funciona en la vida real. Ayuda a la dirección a comprender los riesgos asociados con cada alternativa estratégica, no al revés.

9. Punto 34 buen punto en general, pero con tantos lemas ingenuos, como "En un mercado altamente competitivo, tales ahorros de costos pueden ser cruciales para el éxito de un negocio."

10. Punto 38 «Una organización debe gestionar el riesgo respecto de la estrategia y de los objetivos comerciales en relación con su apetito de riesgo» vuelve a mostrar una falta de comprensión de cómo gestión de riesgos funciona en la práctica. No existe un apetito de riesgo único, sino diferentes apetitos para distintos tipos de riesgo, situaciones, proyectos, etc. El concepto tal como está documentado es completamente artificial.

Empresa Gestión de Riesgos y Estrategia

El punto 49 contradice otras secciones del documento. En general, encontré que el documento era bastante contradictorio. Aunque dice todas las cosas correctas desde el principio, como la necesidad de integrar gestión de riesgos dentro de decisión Elaboración, actividades diarias, estrategia y gestión del rendimiento, el cuerpo del documento no da seguimiento a la promesa. Además, la frase “La organización necesita evaluar cómo la estrategia elegida podría afectar el perfil de riesgo de la entidad” nuevamente pone completamente de manera incorrecta el énfasis en el perfil de riesgo.

12. Punto 53 eslóganes ingenuos.

El punto 54 no tiene sentido.

Considerando el riesgo y el rendimiento de la entidad

El punto 67 dirige el documento en una dirección completamente equivocada, haciéndonos creer que los perfiles de riesgo son importantes y son el objetivo del proceso. Estamos en 2016, así que creo que es bastante razonable esperar que el borrador proponga formas nuevas e innovadoras de integrar. gestión de riesgos en los procesos empresariales existentes y decisión haciendo. Por desgracia, los autores, parece, tomaron el camino opuesto. El borrador del marco sí propone formas innovadoras de captar el perfil de riesgo, el apetito de riesgo y otros aspectos. Sin embargo, esto ignora por completo cómo aplicar la innovación en la integración gestión de riesgos pensamiento y análisis en decisiones diarias y actividades comerciales. De hecho, si bien probablemente no era la intención de los autores, podría ser interpretado por algunos como un mayor desapego. gestión de riesgos del negocio.

15. Punto 73, toda la sección sobre apetito por el riesgo es totalmente artificial.

Componentes y Principios

16. También esperaba que el borrador de COSO:ERM fuera enfocado en los negocios, accionable y pragmático. Esto, nuevamente, definitivamente no fue el caso. Parece que los autores optaron por la cantidad y no por el calidadComo consultor en el pasado y uno de los coautores de la metodología de riesgos global de PwC, creo que se me puede perdonar por llamarlo por lo que es. Solíamos llamar a este estilo particular de escritura "charla de tonterías de consultoría". El 70% del borrador consiste en eslóganes motivadores y declaraciones de alto nivel, pero sin significado, que son imposibles de convertir en acciones en un entorno empresarial real. El documento tiene 138 páginas, lo cual es completamente artificial, ya que se puede reducir fácilmente en casi 2/3 sin perder nada importante. Encontré que la mayoría de los ejemplos dados en el texto son bastante ingenuos y están bastante desconectados de la realidad. El borrador actual definitivamente no es adecuado ni para los gestores de riesgos experimentados ni para los nuevos. Debo admitir que leer el documento fue doloroso e incluso un poco insultante.

17. El texto dentro de cada Principio es puro caos. Me resultó extremadamente difícil entender por qué ciertos bloques se agrupaban juntos mientras que otros se excluían. Además, algunos de los mensajes parecen repetirse una y otra vez, lo que añade innecesariamente volumen al documento. Creo que el contenido de cualquier documento, y mucho más de un documento de directrices internacionales, debe estar estructurado lógicamente, seguir el principio MECE, y no debe tener repeticiones o duplicaciones innecesarias. Este ciertamente no fue el caso con el borrador actual de COSO:ERM.

18. La sección 85 vuelve a tratar sobre gestión de riesgos, no se trata de hacer que las organizaciones funcionen mejor teniendo en cuenta los riesgos. El enfoque en el riesgo es totalmente incorrecto.

19. La desglosación de principios es totalmente artificial y no tiene sentido.

Gobernanza de Riesgos y Cultura

20. Mientras el borrador habla del hecho de que gestión de riesgos Es responsabilidad de todos; el documento no está definitivamente diseñado para una audiencia amplia y, por lo tanto, no sería atractivo para los propietarios del negocio y del riesgo. Esto en sí mismo es una gran desventaja, ya que los gestores de riesgos han estado luchando durante años por cambiar del lenguaje de riesgos al lenguaje empresarial. Los autores deberían considerar usar un lenguaje sencillo y evitar un exceso de jerga técnica, intentar cambiar la perspectiva del documento como si estuvieran escribiendo para el CEO y no para el gerente de riesgos.

21. Cada principio podría resumirse en un par de oraciones. Demasiada agua.

22. Sección 103 “Sesgo en” decisión-creación siempre ha existido y siempre existirá.– ejemplo del lenguaje que usaría un adolescente de 15 años, no un director de PwC. El mismo comentario para la mayor parte del documento. también completamente ignorante del hecho de que cognitivo Los sesgos han sido descubiertos y el término acuñado en la década de 1970. Más importante aún, el borrador habla sobre sesgos, pero todas las herramientas y enfoques propuestos por los autores los ignoran por completo durante la implementación.

La sección 122 no tiene sentido. La aversión al riesgo frente a la agresividad ante el riesgo será diferente según los proyectos, circunstancias, gerentes y tipos de riesgo. No existe tal cosa como el espectro cultural de la entidad.

Riesgo, Estrategia y Establecimiento de Objetivos

24. Nuevamente pone el perfil de riesgo en primer lugar y la estrategia en segundo. Al integrar la empresa gestión de riesgos Con la definición de la estrategia, una organización obtiene una visión del perfil de riesgo asociado a la estrategia y a su ejecución.– no, esto no es la razón gestión de riesgos Está integrada en la estrategia, se hace para validar y ajustar la estrategia. Muestra una total falta de comprensión de los fundamentos de gestión de riesgos.

25. Falta de comprensión en el gran apetito por el riesgo. El continuo de apetito por el riesgo es un concepto completamente artificial.

26. La sección 206 prácticamente ignora toda la investigación realizada en neuroeconomía y el trabajo de 2 premios Nobel en economía. Muestra una total falta de comprensión de cómo cognitivo Los sesgos y la percepción del riesgo afectan. decisión haciendo y gestión de riesgos.

Riesgo en la Ejecución

27. La identificación de riesgos parece omitir algunas herramientas importantes y sencillas como la prueba de suposiciones, el análisis de sensibilidad de la estrategia y la descomposición de objetivos.

28. El riesgo inherente, objetivo y residual parece que acabo de viajar en el tiempo de regreso a 2002. Hay una razón por la cual nadie espera que los consultores usen semejante tontería.

29. Muy poca cobertura de herramientas modernas como decisión árboles, modelización de riesgos y simulaciones, mientras hay información excesiva e innecesaria de un mapa de calor absolutamente defectuoso.

Información, Comunicación y Reporte de Riesgos

30. Gran afirmación en 332 “La información debe estar disponible para decisión-creadores a tiempo para ser útiles.”, sin embargo, todo lo demás en el documento contradice esto, ya que los enfoques y las herramientas sugeridas por PwC son excesivamente burocráticas, innecesarias y no proporcionan de manera oportuna y calidad análisis

Monitoreo Empresarial Gestión de Riesgos Actuación

31. Buen punto en 386, pero nuevamente no es coherente con el resto del documento.

Preparado por Alex Sidorenko, ISAR https://ru.linkedin.com/in/alexsidorenko