Según COSO ERM, “empresa" gestión de riesgos” se refiere al cultura, capacidades y prácticas, integradas con la definición de estrategia y el rendimiento, en las que las organizaciones confían para gestionar el riesgo en la creación, conservación y realización de valor.
No suena tan mal.
En este artículo argumentaré que hacer esto, o más bien hacer lo que COSO y la mayoría de los consultores y la mayoría de las mejores prácticas sugieren, es en realidad malo. gestión de riesgos.
Por el bien de este artículo, no argumentaré que la ERM es en realidad un concepto vacío sin fundamento en la ciencia y que es promovido principalmente por las Big 4, IIA, proveedores de software y algunos académicos. Esto por sí solo es suficiente para evitar el concepto como una plaga, pero hagamos como si realmente quisiéramos implementar la ERM. Intentaré explicar por qué es una mala idea y malo gestión de riesgos.
Pregunta a RAW@AI sobre esta publicación o simplemente habla sobre la gestión de riesgos
Obteniendo apoyo para la GRC
ERM nos ofrece una visión holística y transparente de los riesgos que afectan los objetivos estratégicos, etcétera, etcétera. Suena noble. Aquí hay una trampa. Por un lado, necesitamos que todos los gerentes, miembros de la junta y personal estén comprometidos. Por otro lado, tenemos este mensaje de un bien mayor.
Ahora pregúntate quién aceptará el mensaje que ofrece la ERM.
Comité de auditoría – ¡absolutamente!
Miembros de la junta, ¡definitivamente!
CEO – probablemente...
El resto de la dirección y el personal no les importa un pimiento... les da igual, todo lo que piensan es qué hay para mí y dónde está el dinero. Con razón, déjame agregar.Buena suerte vendiéndoles el mensaje del ERM.
Cuando recientemente regresé a un puesto como CRO, opté por algo mucho más simple y atractivo — probabilístico decisión haciendoSin mencionar nunca ERM, estaba transmitiendo mensajes diferentes a distintos interesados: hablé de agregar análisis estocástico al presupuesto con el director financiero, con el jefe de estrategia hablamos de mejorar el análisis de escenarios a simulaciones de Monte Carlo, con el jefe de inversiones hablamos de realizar simulaciones en lugar del análisis de sensibilidad tradicional, con el jefe de PMO hablamos de SRA y CRA, con el jefe del departamento comercial hablamos de sus decisiones y cómo podemos hacer que sean probabilísticas. No te equivoques, la dirección todavía puede ignorar los resultados del análisis de riesgos, pero al menos ya no hay debate sobre la necesidad de realizar análisis de riesgos para decisiones importantes.
La barrera más común para implementar la gestión de riesgos empresariales aparentemente es lograr la aceptación de la dirección. Bueno, con suerte ahora sabes por qué. Es un problema totalmente inventado. No hay problema vendiendo probabilístico. decisión haciendo.
Implementando la GER
Esto es gestión básica de proyectos. ¿qué proyecto es menos arriesgado? Un proyecto en el que intentas implementar una iniciativa holística a nivel de toda la organización o en el que llevas a cabo múltiples pilotos realizando pequeños cambios uno a la vez. decisión ¿En ese momento? Me siento raro incluso al escribir sobre ello. Es gestión de riesgos 101. Comienza con algo pequeño, realiza pruebas piloto, obtén resultados rápidos, amplía.
Cuando los gestores de riesgos comienzan la implementación de la GRC, literalmente se están disparando en la pierna. Incluso con las mejores intenciones, la organización es demasiado compleja, demasiado volátil para implementar un proyecto a nivel empresarial. Cualquier proyecto a nivel de toda la empresa. ¿Los sistemas ERP no llevan una eternidad y cuestan millones? Ahora imagina hacer un proyecto de escala similar sin el presupuesto. Loco.
Como CRO que regresa, tomé el otro camino. Elegí cinco decisiones que me permitirían ahorrar en el seguro o reducir el costo del financiamiento externo mediante mejores métodos probabilísticos. decisión haciendo y empezando a implementar:
- Prueba de estrés del modelo de flujo de caja de la empresa
- La probabilidad de flujo de efectivo positivo / déficit de efectivo
- Probabilidad de cumplir / romper convenios
- Evaluación cuantitativa de los riesgos estratégicos más importantes
- Pruebas de estrés en cambios en la demanda o la oferta
- Construya un modelo cuantitativo para una de las pólizas de seguros
- deducible justo
- límite ajustado por riesgo
- prima renegociada
- Implementar análisis de riesgo de cronograma y costos en la gestión de proyectos
- Presupuesto del proyecto ajustado al riesgo
- Cronograma de proyecto ajustado al riesgo
- Gestión de riesgos plan para un proyecto piloto
- Integrar el análisis de riesgos en la previsión del mercado
- Probabilidad de movimientos de precios positivos / negativos
- Cambios pronosticados en la demanda y la oferta
- Integrar el análisis de riesgos en la gestión del rendimiento y los KPI
- KPIs basados en riesgos
- Probabilidad de alcanzar los KPI
- Riesgos clave asociados con los KPI
Una corriente de trabajo separada es la cultura y la conciencia de riesgo. Los humanos no están intrínsecamente hechos para lo basado en riesgos. decisión haciendo, por lo que tomará mucho trabajo cambiar actitudes, percepciones y ayudar a la dirección a aprender que discutir abiertamente la incertidumbre del efecto tiene sobre decisión Compensa.
De cualquier manera, por donde se le mire, implementar ERM no tiene sentido. Demuéstrame que estás equivocado en los comentarios a continuación.
Ver otros gestión de riesgos libros
RISK-ACADEMY ofrece cursos en línea
Toma de Riesgos Informada
Aprende 15 pasos prácticos para la integración. gestión de riesgos dentro de decisión creación, procesos de negocio, cultura organizacional y otras actividades!
ISO 31000 Integración Gestión de Riesgos
Alex Sidorenko, conocido por su gestión de riesgos blog http://www.riskacademy.blog, ha creado un programa de 25 pasos para integrar gestión de riesgos dentro de decisión la creación de los procesos centrales del negocio y de la cultura general de la organización.
Gobernanza de Riesgos Avanzada
Este curso ofrece orientación, motivación, información crítica y estudios de casos prácticos para ir más allá de la gobernanza tradicional del riesgo, ayudando a garantizar gestión de riesgos No es un proceso independiente, sino un motor del cambio para el negocio.
No estoy completamente de acuerdo. Para mí, el programa ERM es valioso como una herramienta para el CFO/CRO (y no para muchos otros). El propósito y el valor provienen de la visión general que proporciona, especialmente en los riesgos y oportunidades impulsados externamente.
Cuando te concentras tan intensamente en vincular la gestión de riesgos con decisiones explícitas, corres el riesgo (juego de palabras intencionado) de emplear silos horizontales (centrados en decisiones) en lugar de verticales (centrados en riesgos), lo cual para mí no es una mejora, excepto por el hecho de que demasiadas decisiones se toman sin considerar el riesgo en absoluto, lo cual es malo.
Para mí, un programa de ERM debería ser eficiente ya que es solo de fondo, y basarse en quizás una semana de esfuerzo al año, como máximo. El informe estándar debe generarse automáticamente (cualquier herramienta de Monte Carlo lo permite), y centrarse en lo que ha cambiado... y cómo aprovechamos eso. Como tal, veo los datos de ERM como el MOTOR de las decisiones, que de otro modo no habrían sido consideradas a tiempo. Ese es el valor.
Esto no es prueba, ni científica... todavía creo en ello.
Parece que tienes una visión muy limitada de la GERM, lo que describes se hace de todos modos cuando el análisis de riesgos se integra en la estrategia corporativa, el modelo de flujo de efectivo o el presupuesto anual (los tres son ejemplos de decisiones en mi opinión). Así que básicamente hago lo que tú describes de todos modos, pero nunca lo llamo ERM, porque no necesito un nombre nuevo para ello, ni es lo que los consultores y auditores consideran ERM.
Hola, gracias por la publicación sobre ERM, siempre es gratificante hablar sobre diferentes perspectivas del tema.
Creo que lo que todos estamos haciendo es ERM, solo usando diferentes enfoques o palabras para llamarlo. En esencia, estamos hablando de ERM (gestión de riesgos), sin embargo, queremos verlo, abordarlo o implementarlo. No creo que importe demasiado usar la palabra Empresa, ya que cada uno tiene que adaptar sus propios modelos a sus necesidades y presupuestos específicos de riesgo.
Por otro lado, un riesgo puede ser importante para la gestión en los niveles inferiores, pero ¿qué pasa si ese riesgo no tiene un impacto importante en la estrategia general de la empresa? ¿Deberíamos asignar tiempo y recursos para ese riesgo? ¿O deberíamos ayudar a ese gerente a entender los riesgos realmente importantes para la organización?
Hola Alex,
Lo que dices es muy cierto y muchos en la comunidad de consultoría de riesgos lo han sabido durante años. La gestión de riesgos cualitativa al estilo COSO es, como describió un cliente, "simple charla de bar" sin efecto medible en las organizaciones más allá de marcar la casilla de gestión de riesgos.
Sin embargo, las organizaciones definitivamente prestan atención cuando las evaluaciones de riesgos están respaldadas por números reales, especialmente los grandes con signos de dólar delante de ellos. Desafortunadamente, muchos gestores de riesgos simplemente se sienten incómodos en el mundo de las estadísticas y el análisis cuantitativo, y muchos quants se sienten incómodos en el mundo vago de los planes de negocio y las estrategias de ejecución.
La formación de los gestores de riesgos es desesperadamente deficiente en esta área y quizás esa sea la razón por la cual tan pocos quieren adoptar su enfoque y respaldar sus palabras con cifras reales. Supongo que eso es para otro artículo.
Totalmente. Aunque no estoy convencido de que la capacitación sea la solución, ya que a menos que alguien en el equipo de riesgos tenga formación universitaria en estadística y finanzas corporativas, la capacitación no les ayudará, el análisis de riesgos es simplemente demasiado complejo
Gracias, Alex, haces un muy buen punto, aunque de una manera muy confrontativa de expresarlo, gracias por esta perspectiva. ¿Es justo suponer que has trabajado para construir un puente entre la gestión de riesgos y los negocios? una forma de que un director financiero se comprometa con la gestión de riesgos ¿Dónde podría obtener más información sobre el idioma que utilizas para ese puente, qué métodos científicos empleas para cerrar esa brecha?
Gracias, Geert, este blog es un buen lugar para comenzar, tengo respuestas a la mayoría de las preguntas relacionadas con riesgos.
Alexei, estoy de acuerdo contigo hasta cierto punto. Me encantó el programa ERM que construí, pero en algún momento se consideró demasiado... Lo sé, pero no puedo escribirlo. En resumen, "El resto de la gerencia y el personal no les importa un carajo... les da igual, todo lo que piensan es qué hay para mí y dónde está el dinero. Con razón, debo agregar. Buena suerte intentando venderles el mensaje del ERM." Estoy tomando la cita del artículo porque hubo tanta resistencia cuando intenté perfeccionar el proceso y encontrar formas de mejorar. Odio el uso del AUDIT, ya que implica un estándar universal, y con la excepción de las normas de contabilidad financiera (simplemente nos quedamos con los negocios), GAAP, SAP y la contabilidad gubernamental, no hay muchas oportunidades para auditorías universales. Si te cierras a las palabras y eres creativo, ERM puede ser muy útil.
No creo que exista ningún escenario en el que ERM pueda ser útil. La gente simplemente tiene un síndrome de Estocolmo y sigue llamando buena gestión de riesgos, que no tiene nada que ver con la GRC, GRC))