Según COSO ERM, "gestión de riesgos empresariales" se refiere a la cultura, capacidades y prácticas, integradas con la definición de estrategia y el rendimiento, en las que las organizaciones confían para gestionar el riesgo en la creación, conservación y realización de valor.
No suena tan mal.
En este artículo argumentaré que hacer esto, o más bien hacer lo que sugieren COSO, la mayoría de los consultores y las mejores prácticas, en realidad es una mala gestión de riesgos.
Por el bien de este artículo, no argumentaré que la ERM es en realidad un concepto vacío sin fundamento en la ciencia y que es promovido principalmente por las Big 4, IIA, proveedores de software y algunos académicos. Esto por sí solo es suficiente para evitar el concepto como una plaga, pero hagamos como si realmente quisiéramos implementar la ERM. Intentaré explicar por qué es una mala idea y una mala gestión de riesgos.
Obteniendo apoyo para la GRC
ERM nos ofrece una visión holística y transparente de los riesgos que afectan los objetivos estratégicos, etcétera, etcétera. Suena noble. Aquí hay una trampa. Por un lado, necesitamos que todos los gerentes, miembros de la junta y personal estén comprometidos. Por otro lado, tenemos este mensaje de un bien mayor.
Ahora pregúntate quién aceptará el mensaje que ofrece la ERM.
Comité de auditoría – ¡absolutamente!
Miembros de la junta, ¡definitivamente!
CEO – probablemente...
El resto de la dirección y el personal no les importa un pimiento... les da igual, todo lo que piensan es qué hay para mí y dónde está el dinero. Con razón, déjame agregar.Buena suerte vendiéndoles el mensaje del ERM.
Cuando recientemente regresé a un puesto como CRO, opté por algo mucho más simple y atractivo — toma de decisiones probabilísticaSin mencionar nunca ERM, estaba transmitiendo mensajes diferentes a distintos interesados: hablé de agregar análisis estocástico al presupuesto con el director financiero, con el jefe de estrategia hablamos de mejorar el análisis de escenarios a simulaciones de Monte Carlo, con el jefe de inversiones hablamos de realizar simulaciones en lugar del análisis de sensibilidad tradicional, con el jefe de PMO hablamos de SRA y CRA, con el jefe del departamento comercial hablamos de sus decisiones y cómo podemos hacer que sean probabilísticas. No te equivoques, la dirección todavía puede ignorar los resultados del análisis de riesgos, pero al menos ya no hay debate sobre la necesidad de realizar análisis de riesgos para decisiones importantes.
La barrera más común para implementar la gestión de riesgos empresariales aparentemente es lograr la aceptación de la dirección. Bueno, con suerte ahora sabes por qué. Es un problema totalmente inventado. No hay problema en vender toma de decisiones probabilística.
Implementando la GER
Esto es gestión básica de proyectos. ¿qué proyecto es menos arriesgado? ¿Un proyecto en el que intentas implementar una iniciativa holística a nivel de toda la organización o en el que realizas múltiples pilotos haciendo pequeños cambios, una decisión a la vez? Me siento raro incluso al escribir sobre ello. Es gestión de riesgos 101. Comienza con algo pequeño, realiza pruebas piloto, obtén resultados rápidos, amplía.
Cuando los gestores de riesgos comienzan la implementación de la GRC, literalmente se están disparando en la pierna. Incluso con las mejores intenciones, la organización es demasiado compleja, demasiado volátil para implementar un proyecto a nivel empresarial. Cualquier proyecto a nivel de toda la empresa. ¿Los sistemas ERP no llevan una eternidad y cuestan millones? Ahora imagina hacer un proyecto de escala similar sin el presupuesto. Loco.
Como CRO que regresa, tomé el otro camino. Elegí 5 decisiones que me permitirían ahorrar en seguros o reducir el costo de financiamiento externo a través de una mejor toma de decisiones probabilística y comencé a implementarlas
- Prueba de estrés del modelo de flujo de caja de la empresa
- La probabilidad de flujo de efectivo positivo / déficit de efectivo
- Probabilidad de cumplir / romper convenios
- Evaluación cuantitativa de los riesgos estratégicos más importantes
- Pruebas de estrés en cambios en la demanda o la oferta
- Construya un modelo cuantitativo para una de las pólizas de seguros
- deducible justo
- límite ajustado por riesgo
- prima renegociada
- Implementar análisis de riesgo de cronograma y costos en la gestión de proyectos
- Presupuesto del proyecto ajustado al riesgo
- Cronograma de proyecto ajustado al riesgo
- Plan de gestión de riesgos para un proyecto piloto
- Integrar el análisis de riesgos en la previsión del mercado
- Probabilidad de movimientos de precios positivos / negativos
- Cambios pronosticados en la demanda y la oferta
- Integrar el análisis de riesgos en la gestión del rendimiento y los KPI
- KPIs basados en riesgos
- Probabilidad de alcanzar los KPI
- Riesgos clave asociados con los KPI
Una corriente de trabajo separada es la cultura y la conciencia de riesgo. Los seres humanos no están inherentemente preparados para la toma de decisiones basada en riesgos, por lo que será necesario mucho trabajo para cambiar actitudes, percepciones y ayudar a la dirección a aprender que discutir abiertamente la incertidumbre del efecto compensa en la toma de decisiones.
De cualquier manera, por donde se le mire, implementar ERM no tiene sentido. Demuéstrame que estás equivocado en los comentarios a continuación.