La gestión de riesgos está en el borde de algo muy interesante y emocionante en este momento.
Durante mucho tiempo, se creyó que al gestionar bien los riesgos, todos los actores clave de una empresa estarían satisfechos, pero la realidad es que los diferentes tipos de actores quieren cosas completamente diferentes:
- La RM1 (Gestión de Riesgos 1, en inglés) es la gestión de riesgos para actores externos, como accionistas, auditores/as, entes reguladores, gobiernos, agencias calificadoras, compañías de seguros, y bancos.
- La RM2 (Gestión de Riesgos 2) es la gestión de riesgos para los/las tomadores de decisiones dentro de la empresa.
En este artículo, se argumenta que RM1 y RM2 son completamente diferentes.
¿Cuál deberíamos aplicar en nuestra organización?
Pregunta a RAW@AI sobre esta publicación o simplemente habla sobre la gestión de riesgos
Aunque RM2 se presenta como la opción superior, no significa que haya que elegir entre RM1 y RM2. Ambas necesitan llevarse a cabo, ya que los organismos reguladores, los bancos y la mayoría de los actores externos siguen esperando que las empresas sigan aplicando RM1. Entonces la elección es cuánto tiempo se le dedica a cada una.
La regla de oro sería dedicar un 10% del tiempo a RM1 y un 90% a RM2, pero esto es básicamente lo opuesto a cómo la mayoría de los negocios operan hoy en día. Ironicamente, argumentan que la RM1 les consume tanto tiempo que, por más que quieran, no les queda tiempo para la RM2. Esto simplemente no es cierto.
The best way to explain this is to group the common risk management activities into two groups, and demonstrate how a significant amount of RM1 time can be saved so that it can be redistributed to RM2.
Apetito por el Riesgo
En RM2, no es necesario declarar el apetito del riesgo en un documento separado, porque todos los límites ya están contenidos en las políticas corporativas.
Si un ente regulador, auditor/a o accionista insiste en contar con un documento separado, debemos explicarle que es un pedido innecesario, o confeccionar uno a partir de las políticas existentes, enlazándolo con los objetivos estratégicos. Let's not waste company time on interviews, discussions, and consultations; it's simply a matter of copying and pasting.
¿Qué sucede si las políticas existentes no tienen delimitados todos o algunos de sus límites? Entonces debemos actualizar esas políticas. Generating risk appetite statements that double what the company's policies should already state is unlikely to assist those making decisions.
Marco de Referencia para la Gestión de Riesgos
En RM1 se cuenta con un documento que explique exclusivamente el marco de referencia, mientras que en RM2 se integran elementos de gestión de riesgos en los documentos clave ya existentes: políticas, procedimientos y manuales de la organización.
Los roles y responsabilidades respecto a la gestión de riesgos también pueden trasladarse del documento del marco de referencia a las descripciones de puestos y estatutos del comité.
*Cabe aclarar que estamos hablando de los documentos llamados marcos de referencia, no del marco de referencia en el sentido de la norma ISO 31000.
Registro Empresarial de Riesgos
Los registros empresariales de riesgos son bastante comunes, y corresponden a RM1 en varios niveles. ¿Pueden siquiera imaginarse un/a auditor/a que no solicite automáticamente un registro de riesgos? Sometimes they may even request a risk and opportunity register.
Los registros empresariales de riesgos no ayudan a tomar decisiones. It is unlikely that the consolidation of a single methodology and a single risk criterion can address the entire universe of risks to which an organization is exposed. De hecho, las organizaciones que han evolucionado hacia la RM2 han descubierto que los diferentes tipos de decisiones requieren diferentes metodologías y criterios para el análisis de riesgos.
Using only qualitative techniques for risk analysis also corresponds to RM1, and does not provide the necessary perspectives for decision-making. Here There is more information available on this subject.
Informes de Riesgos
Updating a quarterly risk report also aligns with RM1, and does not really help decision-makers. Quienes toman las decisiones necesitan que la información sobre los riesgos sea contextualizada junto con la información sobre el desempeño.
Es decir, se deben aprovechar los informes normales de desempeño de la gestión, mostrando cómo los riesgos afectan al logro de los objetivos.
Indicadores Clave de Riesgo
Even having Key Risk Indicators (KRIs) potentially means that RM1 is being practiced. ¿Por qué crear indicadores separados para los riesgos fuera del ciclo típico de gestión del desempeño, cuando podemos ampliar los Indicadores Clave de Desempeño (KPIs) para que abarquen los riesgos considerados importantes? Esto ya tiene un nombre, que existe mucho antes de que a los gerentes de riesgo se les ocurrieran los KRIs: Índice Líder.
Comité de Gestión de Riesgos
Técnicamente hablando, tener por separado un Comité de Riesgos se alinea con la RM1. Pero como tiene un impacto positivo enorme en la cultura de la organización, se conserva. Los Comités de Gestión de Riesgos son tanto parte de RM1 como de RM2.
¿Qué más pertenece a la RM1?
El Modelo de las Tres Líneas de Defensa, la designación de responsables del riesgo, las divulgaciones de riesgo en los informes anuales, el evaluación comparativa de gestión de riesgos, y muchas otras cosas más.
Conclusión
En muchos países de Latinoamérica aún no se ha logrado incorporar la RM1 en las organizaciones. Esto no significa que sea más difícil poder incorporar su evolución, la RM2, sino todo lo contrario: en lugar de tener que abordar todos los desafíos de integrar la gestión de riesgos reuniendo nuevos equipos y creando nuevas herramientas, podremos incorporar elementos de gestión de riesgos en procesos de toma de decisiones, uno a la vez si es necesario. Esto resulta mucho más manejable y alcanzable.
¿Y usted, qué opina? ¿Which of these changes do you consider most feasible to implement in your organization?
Esta es una traducción y adaptación por parte de Ari Yacianci para Academia de Riesgos del artículo original RM1 vs RM2 – ¿Qué lado elegirás? de Alexei Sidorenko, CRMP.
