Me pregunto si alguien se da cuenta de que implementar ERM es en realidad una mala gestión de riesgos

Según COSO ERM, “empresa" gestión de riesgos” se refiere al cultura, capacidades y prácticas, integradas con la definición de estrategia y el rendimiento, en las que las organizaciones confían para gestionar el riesgo en la creación, conservación y realización de valor.

No suena tan mal.

En este artículo argumentaré que hacer esto, o más bien hacer lo que COSO y la mayoría de los consultores y la mayoría de las mejores prácticas sugieren, es en realidad malo. gestión de riesgos.

Por el bien de este artículo, no argumentaré que la ERM es en realidad un concepto vacío sin fundamento en la ciencia y que es promovido principalmente por las Big 4, IIA, proveedores de software y algunos académicos. Esto por sí solo es suficiente para evitar el concepto como una plaga, pero hagamos como si realmente quisiéramos implementar la ERM. Intentaré explicar por qué es una mala idea y malo gestión de riesgos.

Obteniendo apoyo para la GRC

ERM nos ofrece una visión holística y transparente de los riesgos que afectan los objetivos estratégicos, etcétera, etcétera. Suena noble. Aquí hay una trampa. Por un lado, necesitamos que todos los gerentes, miembros de la junta y personal estén comprometidos. Por otro lado, tenemos este mensaje de un bien mayor.

Ahora pregúntate quién aceptará el mensaje que ofrece la ERM.

Comité de auditoría – ¡absolutamente!

Miembros de la junta, ¡definitivamente!

CEO – probablemente...

El resto de la dirección y el personal no les importa un pimiento... les da igual, todo lo que piensan es qué hay para mí y dónde está el dinero. Con razón, déjame agregar.Buena suerte vendiéndoles el mensaje del ERM.

Cuando recientemente regresé a un puesto como CRO, opté por algo mucho más simple y atractivo — probabilístico decisión haciendoSin mencionar nunca ERM, estaba transmitiendo mensajes diferentes a distintos interesados: hablé de agregar análisis estocástico al presupuesto con el director financiero, con el jefe de estrategia hablamos de mejorar el análisis de escenarios a simulaciones de Monte Carlo, con el jefe de inversiones hablamos de realizar simulaciones en lugar del análisis de sensibilidad tradicional, con el jefe de PMO hablamos de SRA y CRA, con el jefe del departamento comercial hablamos de sus decisiones y cómo podemos hacer que sean probabilísticas. No te equivoques, la dirección todavía puede ignorar los resultados del análisis de riesgos, pero al menos ya no hay debate sobre la necesidad de realizar análisis de riesgos para decisiones importantes.

La barrera más común para implementar la gestión de riesgos empresariales aparentemente es lograr la aceptación de la dirección. Bueno, con suerte ahora sabes por qué. Es un problema totalmente inventado. No hay problema vendiendo probabilístico. decisión haciendo.

Implementando la GER

Esto es gestión básica de proyectos. ¿qué proyecto es menos arriesgado? Un proyecto en el que intentas implementar una iniciativa holística a nivel de toda la organización o en el que llevas a cabo múltiples pilotos realizando pequeños cambios uno a la vez. decisión ¿En ese momento? Me siento raro incluso al escribir sobre ello. Es gestión de riesgos 101. Comienza con algo pequeño, realiza pruebas piloto, obtén resultados rápidos, amplía.

Cuando los gestores de riesgos comienzan la implementación de la GRC, literalmente se están disparando en la pierna. Incluso con las mejores intenciones, la organización es demasiado compleja, demasiado volátil para implementar un proyecto a nivel empresarial. Cualquier proyecto a nivel de toda la empresa. ¿Los sistemas ERP no llevan una eternidad y cuestan millones? Ahora imagina hacer un proyecto de escala similar sin el presupuesto. Loco.

Como CRO que regresa, tomé el otro camino. Elegí cinco decisiones que me permitirían ahorrar en el seguro o reducir el costo del financiamiento externo mediante mejores métodos probabilísticos. decisión haciendo y empezando a implementar:

• Prueba de estrés del modelo de flujo de caja de la empresa
  • La probabilidad de flujo de efectivo positivo / déficit de efectivo
  • Probabilidad de cumplir / romper convenios
  • Evaluación cuantitativa de los riesgos estratégicos más importantes
  • Pruebas de estrés en cambios en la demanda o la oferta
• Construya un modelo cuantitativo para una de las pólizas de seguros
  • deducible justo
  • límite ajustado por riesgo
  • prima renegociada
• Implementar análisis de riesgo de cronograma y costos en la gestión de proyectos
  • Presupuesto del proyecto ajustado al riesgo
  • Cronograma de proyecto ajustado al riesgo
  • Gestión de riesgos plan para un proyecto piloto
• Integrar el análisis de riesgos en la previsión del mercado
  • Probabilidad de movimientos de precios positivos / negativos
  • Cambios pronosticados en la demanda y la oferta
• Integrar el análisis de riesgos en la gestión del rendimiento y los KPI
  • KPIs basados en riesgos
  • Probabilidad de alcanzar los KPI
  • Riesgos clave asociados con los KPI

Una corriente de trabajo separada es la cultura y la conciencia de riesgo. Los humanos no están intrínsecamente hechos para lo basado en riesgos. decisión haciendo, por lo que tomará mucho trabajo cambiar actitudes, percepciones y ayudar a la dirección a aprender que discutir abiertamente la incertidumbre del efecto tiene sobre decisión Compensa.

De cualquier manera, por donde se le mire, implementar ERM no tiene sentido. Demuéstrame que estás equivocado en los comentarios a continuación.