La gestión de riesgos está en el borde de algo muy interesante y emocionante en este momento.
Durante mucho tiempo, se creyó que al gestionar bien los riesgos, todos los actores clave de una empresa estarían satisfechos, pero la realidad es que los diferentes tipos de actores quieren cosas completamente diferentes:
- La RM1 (Gestión de Riesgos 1, en inglés) es la gestión de riesgos para actores externos, como accionistas, auditores/as, entes reguladores, gobiernos, agencias calificadoras, compañías de seguros, y bancos.
- La RM2 (Gestión de Riesgos 2) es la gestión de riesgos para los/las tomadores de decisiones dentro de la empresa.
En este artículo, se argumenta que RM1 y RM2 They are completely different.
¿Cuál deberíamos aplicar en nuestra organización?
Pregunta a RAW@AI sobre esta publicación o simplemente habla sobre la gestión de riesgos
Although RM2 se presenta como la opción superadora, no quiere decir que haya que elegir entre RM1 Y RM2Ambas necesitan llevarse a cabo, ya que los entes reguladores, los bancos y la mayoría de los actores externos siguen esperando que las empresas sigan aplicando RM1Entonces, la elección es cuánto tiempo se le dedica a cada una.
La regla de oro sería dedicar un 10% del tiempo a RM1 y un 90% a RM2, pero esto es básicamente lo opuesto a cómo la mayoría de los negocios operan hoy en día. Irónicamente, argumentan que la RM1 les consume tanto tiempo que, por más que quieran, no les queda tiempo para la RM2Esto simplemente no es cierto.
La mejor manera de explicar esto es agrupar las actividades comunes de gestión de riesgos en dos grupos, y demostrar cómo se puede ahorrar una cantidad significativa de tiempo de RM1 to be redistributed to RM2.
Apetito por el Riesgo
En RM2, no es necesario declarar el apetito del riesgo en un documento separado, porque todos los límites ya están contenidos en las políticas corporativas.
Si un ente regulador, auditor/a o accionista insiste en contar con un documento separado, debemos explicarle que es un pedido innecesario, o confeccionar uno a partir de las políticas existentes, enlazándolo con los objetivos estratégicos. Let's not waste company time on interviews, discussions, and consultations; it's simply a matter of copying and pasting.
¿Qué sucede si las políticas existentes no tienen delimitados todos o algunos de sus límites? Entonces debemos actualizar esas políticas. Generating risk appetite statements that double what the company's policies should already state is unlikely to assist those making decisions.
Marco de Referencia para la Gestión de Riesgos
En RM1 Se cuenta con un documento que explica exclusivamente el marco de referencia, mientras que en RM2 Se integran elementos de gestión de riesgos en los documentos clave ya existentes: políticas, procedimientos y manuales de la organización.
Los roles y responsabilidades respecto a la gestión de riesgos también pueden trasladarse del documento del marco de referencia a las descripciones de puestos y estatutos del comité.
*Cabe aclarar que estamos hablando de los documentos llamados marcos de referencia, no del marco de referencia en el sentido de la norma ISO 31000.
Registro Empresarial de Riesgos
Los registros empresariales de riesgos son bastante comunes, y corresponden a RM1 en varios niveles. ¿Pueden siquiera imaginarse un/a auditor/a que no solicite automáticamente un registro de riesgos? Sometimes they may even request a risk and opportunity register.
Los registros empresariales de riesgos no ayudan a tomar decisiones. It is unlikely that the consolidation of a single methodology and a single risk criterion can address the entire universe of risks to which an organization is exposed. De hecho, las organizaciones que han evolucionado hacia la RM2 Han descubierto que los diferentes tipos de decisiones requieren diferentes metodologías y criterios para el análisis de riesgos.
Usar únicamente técnicas cualitativas para el análisis de riesgos también corresponde a RM1, y no proporciona las perspectivas necesarias para la toma de decisiones. Here There is more information available on this subject.
Informes de Riesgos
Actualizar un informe trimestral de riesgos también va en línea con la RM1, y realmente no ayuda a los/las tomadores/ras de decisiones. Quienes toman las decisiones necesitan que la información sobre los riesgos sea contextualizada junto con la información sobre el desempeño.
Es decir, se deben aprovechar los informes normales de desempeño de la gestión, mostrando cómo los riesgos afectan al logro de los objetivos.
Indicadores Clave de Riesgo
Incluso contar con Indicadores Clave de Riesgo (KRIs) potencialmente significa que se está practicando la RM1¿Por qué crear indicadores separados para los riesgos fuera del típico ciclo de gestión del desempeño, cuando podemos ampliar los Indicadores Clave de Desempeño (KPIs) para que abarquen los riesgos considerados importantes? Esto ya tiene un nombre, que existe mucho antes de que a los gerentes de riesgo se les ocurrieran los KRIs: Índice Líder.
Comité de Gestión de Riesgos
Técnicamente hablando, tener por separado un Comité de Riesgos se alinea con la RM1Pero como tiene un enorme impacto positivo en la cultura de la organización, se conserva. Los Comités de Gestión de Riesgos son tanto parte de RM1 como de RM2.
¿Qué más pertenece a la RM1?
El Modelo de las Tres Líneas de Defensa, la designación de responsables del riesgo, las divulgaciones de riesgo en los informes anuales, el evaluación comparativa de gestión de riesgos, y muchas otras cosas más.
Conclusión
En muchos países de Latinoamérica no se ha logrado aún incorporar la RM1 en las organizaciones. Esto no significa que sea más difícil poder incorporar su evolución, la RM2, sino todo lo contrario: en lugar de tener que abordar todos los desafíos de integrar la gestión de riesgos reuniendo nuevos equipos y creando nuevas herramientas, podremos incorporar elementos de gestión de riesgos en los procesos de toma de decisiones, uno a la vez si es necesario. Esto resulta mucho más manejable y alcanzable.
¿Y usted, qué opina? ¿Which of these changes do you consider most feasible to implement in your organization?
Esta es una traducción y adaptación por parte de Ari Yacianci para Academia de Riesgos del artículo original RM1 vs RM2 ¿De qué lado elegirás? de Alexei Sidorenko, CRMP.
Ver otros gestión de riesgos libros
RISK-ACADEMY ofrece cursos en línea
Toma de Riesgos Informada
Aprende 15 pasos prácticos para la integración. gestión de riesgos dentro de decisión creación, procesos de negocio, cultura organizacional y otras actividades!
ISO 31000 Integración Gestión de Riesgos
Alex Sidorenko, conocido por su gestión de riesgos blog http://www.riskacademy.blog, ha creado un programa de 25 pasos para integrar gestión de riesgos dentro de decisión la creación de los procesos centrales del negocio y de la cultura general de la organización.
Gobernanza de Riesgos Avanzada
Este curso ofrece orientación, motivación, información crítica y estudios de casos prácticos para ir más allá de la gobernanza tradicional del riesgo, ayudando a garantizar gestión de riesgos No es un proceso independiente, sino un motor del cambio para el negocio.
