Icono del sitio Blog de RISK-ACADEMY

Comentarios completos sobre el borrador de COSO ERM

Alex Sidorenko

Resumen de comentarios

Estructurado y lógico – Creo que el contenido de cualquier documento, y mucho más de un documento de directrices internacionales, debe estar estructurado lógicamente, debe seguir elprincipio MECE, no debería tener ninguna repetición o duplicación innecesaria. Este ciertamente no fue el caso con el borrador actual de COSO:ERM. Nota para los autores.

Mientras que la estructura de alto nivel Aplicando el marco y El marco parecen estar bien. El texto dentro de cada Principio, sin embargo, es puro caos.Me resultó extremadamente difícil entender por qué ciertos bloques se agrupaban juntos mientras que otros se excluían. Además, algunos de los mensajes parecen repetirse una y otra vez, lo que añade innecesariamente al volumen del documento.

Práctico y pragmático – También esperaba que el borrador de COSO:ERM fuera enfocado en los negocios, accionable y pragmático. Esto, nuevamente, definitivamente no fue el caso. Parece que los autores optaron por la cantidad y no por la calidad. Como consultor en el pasado y uno de los coautores de la metodología de riesgos global de PwC, creo que se me puede perdonar por llamarlo por lo que es. Solíamos llamar a este estilo particular de escritura "charla de tonterías de consultoría".

El 70% del borrador consiste en eslóganes motivadores y declaraciones de alto nivel, pero sin significado, que son imposibles de convertir en acciones en un entorno empresarial real. El documento tiene 138 páginas, lo cual es completamente artificial, ya que se puede reducir fácilmente en casi 2/3 sin perder nada importante.

Encontré que la mayoría de los ejemplos dados en el texto son ingenuos y bastante desconectados de la realidad. El borrador actual definitivamente no es adecuado ni para los gestores de riesgos experimentados ni para los nuevos. Debo admitir que leer el documento fue doloroso e incluso un poco insultante.

ALINEADO CON ISO31000:2009 – A pesar de que la ISO31000:2009 está oficialmente adoptada por EE.UU. en forma de ANSI/ASSE/ISO31000 y sigue siendo la norma de gestión de riesgos más popular en el mundo, me pareció muy extraño que no solo los autores no mencionen ni siquiera la ISO31000, sino que algunas definiciones y elementos contradicen claramente la norma.

Me parece bastante extraño esto, porque como la mayoría de ustedes saben, las normas ISO se basan en un consenso global, lo que significa que más de 30 países, incluyendo Estados Unidos, participaron en su publicación inicial. Para agregar a eso, la ISO TC 262 está trabajando actualmente en la actualización de la ISO 31000:2009 con la representación de todas las principales economías globales. Y sin embargo, aunque los representantes de COSO y algunos de los autores tuvieron amplias oportunidades para participar en la discusión global, parece que eligieron ignorarla y elaboraron un documento que no está alineado con la principal norma internacional sobre gestión de riesgos.

COHERENTE Y NO CONTRADICTORIO – En general, encontré que el documento era bastante contradictorio. Aunque dice todas las cosas correctas al principio, como la necesidad de integrar la gestión de riesgos en la toma de decisiones, las actividades diarias, la estrategia y la gestión del rendimiento, el cuerpo del documento no cumple con la promesa.

Solo algunos de los problemas que noté son

En general, tuve la sensación de que a lo largo del documento la gestión de riesgos se estaba separando artificialmente de las operaciones diarias de la organización.

Diseñado para propietarios de negocios, no solo para gestores de riesgos – Aunque el borrador habla de que la gestión de riesgos es responsabilidad de todos, el documento no está diseñado para un público amplio y, por lo tanto, no sería atractivo para los propietarios de negocios y riesgos. Esto en sí mismo es una gran desventaja, ya que los gestores de riesgos han estado luchando durante años por cambiar del lenguaje de riesgos al lenguaje empresarial.Los autores deberían considerar usar un lenguaje sencillo y evitar un exceso de jerga técnica, intentar darle la vuelta al documento si estuvieran escribiendo para el CEO y no para el gerente de riesgos.

INNOVADOR – Es 2016, así que creo que es bastante razonable esperar que el borrador proponga formas nuevas e innovadoras de integrar la gestión de riesgos en los procesos comerciales y la toma de decisiones existentes. Por desgracia, los autores, parece, tomaron el camino opuesto. El borrador del marco sí propone formas innovadoras de captar el perfil de riesgo, el apetito de riesgo y otros aspectos. Sin embargo, esto ignora por completo cómo aplicar la innovación en la integración del pensamiento y análisis de gestión de riesgos en las decisiones diarias y las actividades empresariales. De hecho, aunque probablemente no fuera la intención de los autores, algunos podrían interpretarlo como un mayor alejamiento de la gestión de riesgos del negocio.

Basado en consenso – El marco fue elaborado por PwC, una empresa, al igual que las otras Big 4, principalmente enfocada en consultoría y auditoría. Y aunque no voy a discutir si es bueno o malo, el hecho es que gran parte del texto en el marco es muy teórico y a veces está desconectado de la realidad empresarial. Como jefe de riesgos, odiaría incluso intentar implementar algunas de las sugerencias del documento. Aunque todas las sugerencias parecen razonables, simplemente no es así como se hacen las cosas.

FÁCIL DE USAR – El marco preliminar es demasiado complicado, a veces incluso confuso, para reforzar el uso de consultores externos. Encontré esto tanto artificial como innecesario.

MODERNO Y ACTUALIZADO – Algunos de mis comentarios pueden parecer amargos. Eso es porque me sentí realmente decepcionado después de leer el borrador del marco. Cuando era un joven gerente de riesgos, solía admirar a las Cuatro Grandes como líderes de pensamiento en riesgos. Esperaba que el borrador del documento tuviera en cuenta las últimas ideas en gestión de riesgos, análisis de datos, ciencia cognitiva, psicología del riesgo, modelado financiero, análisis cuantitativo y otras disciplinas. El marco no cumplió. De hecho, parece que los autores retrocedieron: la definición de riesgo me recuerda al año 2002 y todo el concepto de riesgo inherente / objetivo / residual es simplemente una broma.

Comentarios detallados

Introducción

El documento comienza muy bien con la afirmación de que "Integrar la gestión de riesgos empresariales en toda la organización mejora la toma de decisiones en gobernanza, estrategia, establecimiento de objetivos y operaciones diarias." Lamentablemente, este eslogan que genera buena sensación está en contradicción con el resto del documento.

2. La introducción es innecesariamente larga con mucho relleno, sin embargo, la mayoría de los eslóganes resuenan bien.Los puntos 4 a 12 podrían decirse en 2 oraciones o menos.

3. Los puntos 14 de "beneficios" son bastante ingenuos. Los beneficios de la gestión de riesgos mucho más pragmáticos son:

Toma de decisiones transparente

Ahorros en costos de financiamiento

Ahorros en costos de seguros

d. Asignación de la propiedad por asumir riesgos

15. No existe un enfoque único que sirva para todas las entidades. Sin embargo, la implementación de la gestión de riesgos empresariales generalmente ayudará a una organización a alcanzar sus objetivos de rendimiento y rentabilidad, y a prevenir o reducir la pérdida de recursos. Este es un ejemplo de lenguaje a evitar en todo el documento: decir lo obvio. Declaraciones como estas devalúan el documento.

Entendiendo los Términos

5. El punto 22, la nueva definición de riesgo, es muy extraña e innecesaria. A pesar de que la ISO31000:2009 está oficialmente adoptada por EE.UU. en forma de ANSI/ASSE/ISO31000 y sigue siendo la norma de gestión de riesgos más popular en el mundo (traducida y adoptada oficialmente por más de 60 de los países más grandes del mundo), me pareció muy extraño que no solo los autores no mencionen ni siquiera la ISO31000, sino que algunas de las definiciones y elementos contradicen claramente la norma. Me parece bastante extraño esto, porque como la mayoría de ustedes sabe, las normas ISO se basan en un consenso global, lo que significa que más de 30 países, incluyendo Estados Unidos, participaron en su publicación inicial. Para agregar a eso, ISO TC 262 está trabajando actualmente en la actualización de la ISO 31000:2009 con la representación de todas las principales economías globales. Y sin embargo, aunque los representantes de COSO y algunos de los autores tuvieron amplias oportunidades para participar en la discusión global, parece que eligieron ignorarla y elaboraron un documento que no está alineado con la principal norma internacional sobre gestión de riesgos.

6. Punto 27, igual que arriba. Esto en realidad es un gran problema. La gestión de riesgos consiste en hacer que los procesos empresariales y la toma de decisiones sean basados en riesgos (cambiando la forma en que las organizaciones planifican y operan), no en crear una cultura, capacidades y prácticas de gestión de riesgos. Un gran error de los autores nuevamente al reforzar el mensaje equivocado de que la gestión de riesgos consiste en gestionar riesgos y no en tomar decisiones teniendo en cuenta los riesgos. En general, tuve la sensación de que a lo largo del documento la gestión de riesgos se estaba separando artificialmente de las operaciones diarias de la organización.

7. Puntos 32 eslóganes ingenuos.

8. Punto 33 "A nivel más alto, la gestión de riesgos empresariales está integrada con la definición de la estrategia, considerando la dirección las implicaciones de cada estrategia en el perfil de riesgo de la entidad." Esto es simplemente una tontería, prácticamente lo opuesto a cómo funciona la gestión de riesgos en la vida real. Ayuda a la dirección a comprender los riesgos asociados con cada alternativa estratégica, no al revés.

9. Punto 34 buen punto en general, pero con tantos lemas ingenuos, como "En un mercado altamente competitivo, tales ahorros de costos pueden ser cruciales para el éxito de un negocio."

10. Punto 38 “Una organización debe gestionar el riesgo para la estrategia y los objetivos comerciales en relación con su apetito de riesgo” nuevamente muestra una falta de comprensión de cómo funciona la gestión de riesgos en la práctica. No existe un apetito de riesgo único, sino diferentes apetitos para distintos tipos de riesgo, situaciones, proyectos, etc. El concepto tal como está documentado es completamente artificial.

Gestión de Riesgos Empresariales y Estrategia

El punto 49 contradice otras secciones del documento. En general, encontré que el documento era bastante contradictorio. Aunque dice todas las cosas correctas al principio, como la necesidad de integrar la gestión de riesgos en la toma de decisiones, las actividades diarias, la estrategia y la gestión del rendimiento, el cuerpo del documento no cumple con la promesa. Además, la frase “La organización necesita evaluar cómo la estrategia elegida podría afectar el perfil de riesgo de la entidad” nuevamente pone completamente de manera incorrecta el énfasis en el perfil de riesgo.

12. Punto 53 eslóganes ingenuos.

El punto 54 no tiene sentido.

Considerando el riesgo y el rendimiento de la entidad

El punto 67 dirige el documento en una dirección completamente equivocada, haciéndonos creer que los perfiles de riesgo son importantes y son el objetivo del proceso. Es 2016, así que creo que es bastante razonable esperar que el borrador proponga formas nuevas e innovadoras de integrar la gestión de riesgos en los procesos comerciales y la toma de decisiones existentes. Por desgracia, los autores, parece, tomaron el camino opuesto. El borrador del marco sí propone formas innovadoras de captar el perfil de riesgo, el apetito de riesgo y otros aspectos. Sin embargo, esto ignora por completo cómo aplicar la innovación en la integración del pensamiento y análisis de gestión de riesgos en las decisiones diarias y las actividades empresariales. De hecho, aunque probablemente no fuera la intención de los autores, algunos podrían interpretarlo como un mayor alejamiento de la gestión de riesgos del negocio.

15. Punto 73, toda la sección sobre apetito por el riesgo es totalmente artificial.

Componentes y Principios

16. También esperaba que el borrador de COSO:ERM fuera enfocado en los negocios, accionable y pragmático. Esto, nuevamente, definitivamente no fue el caso. Parece que los autores optaron por la cantidad y no por la calidad. Como consultor en el pasado y uno de los coautores de la metodología de riesgos global de PwC, creo que se me puede perdonar por llamarlo por lo que es. Solíamos llamar a este estilo particular de escritura "charla de tonterías de consultoría". El 70% del borrador consiste en eslóganes motivadores y declaraciones de alto nivel, pero sin significado, que son imposibles de convertir en acciones en un entorno empresarial real. El documento tiene 138 páginas, lo cual es completamente artificial, ya que se puede reducir fácilmente en casi 2/3 sin perder nada importante. Encontré que la mayoría de los ejemplos dados en el texto son bastante ingenuos y están bastante desconectados de la realidad. El borrador actual definitivamente no es adecuado ni para los gestores de riesgos experimentados ni para los nuevos. Debo admitir que leer el documento fue doloroso e incluso un poco insultante.

17. El texto dentro de cada Principio es puro caos. Me resultó extremadamente difícil entender por qué ciertos bloques se agrupaban juntos mientras que otros se excluían. Además, algunos de los mensajes parecen repetirse una y otra vez, lo que añade innecesariamente volumen al documento. Creo que el contenido de cualquier documento, y mucho más de un documento de directrices internacionales, debe estar estructurado lógicamente, seguir el principio MECE, y no debe tener repeticiones o duplicaciones innecesarias. Este ciertamente no fue el caso con el borrador actual de COSO:ERM.

18. La sección 85 vuelve a tratar sobre la gestión de riesgos, no sobre hacer que las organizaciones funcionen mejor teniendo en cuenta los riesgos. El enfoque en el riesgo es totalmente incorrecto.

19. La desglosación de principios es totalmente artificial y no tiene sentido.

Gobernanza de Riesgos y Cultura

20. Aunque el borrador habla de que la gestión de riesgos es responsabilidad de todos, el documento no está diseñado para un público amplio y, por lo tanto, no sería atractivo para los propietarios de negocios y riesgos. Esto en sí mismo es una gran desventaja, ya que los gestores de riesgos han estado luchando durante años por cambiar del lenguaje de riesgos al lenguaje empresarial. Los autores deberían considerar usar un lenguaje sencillo y evitar un exceso de jerga técnica, intentar cambiar la perspectiva del documento como si estuvieran escribiendo para el CEO y no para el gerente de riesgos.

21. Cada principio podría resumirse en un par de oraciones. Demasiada agua.

22. La sección 103 "El sesgo en la toma de decisiones siempre ha existido y siempre existirá". – ejemplo de un lenguaje que usaría un adolescente de 15 años, no un director de PwC. El mismo comentario para la mayor parte del documento. También completamente ignorante del hecho de que los sesgos cognitivos han sido descubiertos y el término acuñado en la década de 1970. Más importante aún, el borrador habla sobre sesgos, pero todas las herramientas y enfoques propuestos por los autores los ignoran por completo durante la implementación.

La sección 122 no tiene sentido. La aversión al riesgo frente a la agresividad ante el riesgo será diferente según los proyectos, circunstancias, gerentes y tipos de riesgo. No existe tal cosa como el espectro cultural de la entidad.

Riesgo, Estrategia y Establecimiento de Objetivos

24. Nuevamente pone el perfil de riesgo en primer lugar y la estrategia en segundo. Al integrar la gestión de riesgos empresariales con la definición de la estrategia, una organización obtiene información sobre el perfil de riesgo asociado con la estrategia y su ejecución. – no, esta no es la razón por la cual la gestión de riesgos se integra en la estrategia, se hace para validar y ajustar la estrategia. Muestra una total falta de comprensión de los fundamentos de la gestión de riesgos.

25. Falta de comprensión en el gran apetito por el riesgo. El continuo de apetito por el riesgo es un concepto completamente artificial.

26. La sección 206 prácticamente ignora toda la investigación realizada en neuroeconomía y el trabajo de 2 premios Nobel en economía. Muestra una total falta de comprensión de cómo los sesgos cognitivos y la percepción del riesgo afectan la toma de decisiones y la gestión del riesgo.

Riesgo en la Ejecución

27. La identificación de riesgos parece omitir algunas herramientas importantes y sencillas como la prueba de suposiciones, el análisis de sensibilidad de la estrategia y la descomposición de objetivos.

28. El riesgo inherente, objetivo y residual parece que acabo de viajar en el tiempo de regreso a 2002. Hay una razón por la cual nadie espera que los consultores usen semejante tontería.

29. Cobertura muy deficiente de herramientas modernas como árboles de decisión, modelado de riesgos y simulaciones, mientras que la información sobre mapas de calor es excesiva e innecesaria y completamente defectuosa.

Información, Comunicación y Reporte de Riesgos

30. Gran declaración en 332: "La información debe estar disponible para los tomadores de decisiones a tiempo para ser útil", sin embargo, todo lo demás en el documento contradice esto, ya que los enfoques y herramientas sugeridos por PwC son excesivamente burocráticos, innecesarios y no proporcionan análisis oportunos y de calidad.

Monitoreo del rendimiento de la gestión de riesgos empresariales

31. Buen punto en 386, pero nuevamente no es coherente con el resto del documento.

Preparado por Alex Sidorenko, ISAR https://ru.linkedin.com/in/alexsidorenko

Salir de la versión móvil