El IIA publicó recientemente una Guía de Práctica sobre la Evaluación del Proceso de Gestión de Riesgos. Pareció interesante, así que aparté un tiempo para revisar el documento.
Veredicto general
El modelo de madurez propuesto por IIA tiene exactamente los mismos defectos fundamentales que todos los otros más de 100 modelos de madurez de riesgo de consultoría que existen. Además, aunque a veces se utilizan mensajes correctos a lo largo del texto, parece más una coincidencia, los autores todavía no comprenden las diferencias entre la gestión de riesgos 1 y la gestión de riesgos 2 y no logran ofrecer consejos útiles sobre cómo evaluar realmente la efectividad de la gestión de riesgos. La guía de práctica solo es útil para evaluar la gestión de riesgos 1, que tiene un valor muy limitado para la organización. Aquí hay un enfoque alternativo para evaluar la madurez de la gestión de riesgos https://www.youtube.com/watch?v=4HqVIpFw230(7 minutos)
Contexto
Para entender el defecto más fundamental en la perspectiva del IIA sobre la evaluación de la efectividad de la gestión de riesgos, debes tener en cuenta lo siguiente
- AS4360, COSO ERM e ISO31000 no son el origen de la teoría de la gestión de riesgos, la idea de medir la incertidumbre y su efecto en las decisiones y objetivos comenzó en el siglo XV (teoría de la probabilidad), y luego se hizo prominente en la década de 1970 en el campo de la ciencia de decisiones y la neuroeconomía. Las normas internacionales son básicamente resúmenes mediocres de la teoría de la probabilidad, la ciencia de la decisión y la economía conductual en términos sencillos. Para entender el concepto de efectividad en la gestión de riesgos, necesitamos mirar más allá de las normas hacia los orígenes.
- Hay una gran diferencia entre la gestión de riesgos 1 (realizada como un elemento de gobierno corporativo para la Junta / Comité de Auditoría, popularizada en los años 2000) y la gestión de riesgos 2 (donde la gestión de riesgos se utiliza como una herramienta de toma de decisiones de gestión, con o sin la ayuda de gestores de riesgos, que existió desde la década de 1930). Más RM1 y RM2 en este artículo.
- independientemente de lo que hagan los gestores de riesgos, la dirección continúa utilizando y siempre ha utilizado una gestión adecuada del riesgo al tomar decisiones (los equipos financieros siempre usan escenarios, los equipos de inversión siempre usan análisis de sensibilidad, los ingenieros siempre usan simulaciones, compras y legales usan puntuaciones simples, estrategia usa listas de verificación, etc., etc.) – este es el punto más crítico para entender la efectividad de la gestión del riesgo.
- de hecho, la mayoría de la gestión de riesgos en la organización nunca se llama gestión de riesgos. Por eso, la efectividad de la gestión de riesgos tiene casi nada que ver con lo que esté en la política de gestión de riesgos o en la declaración de apetito de riesgo (ambos documentos son RM1).
Comentarios detallados
El documento realmente comienza mal
Los auditores internos deben evaluar la efectividad y contribuir a la mejora del proceso de gestión de riesgos (Estándar 2120 – Gestión de Riesgos).
Curiosamente, la Norma 2120 en realidad menciona gestión de riesgos procesos, lo cual es correcto, pero los autores, probablemente sin darse cuenta de la importancia, lo llamaron gestión de riesgos proceso, singular. Esto continúa a lo largo de todo el documento y muestra que los autores probablemente ni siquiera se dan cuenta de que, en el contexto de RM2 (gestión de riesgos como herramienta de toma de decisiones), existen múltiples procesos de gestión de riesgos, a menudo totalmente diferentes. Tampoco debería existir nunca un proceso de gestión de riesgos consolidado único.
Luego hay un momento de brillantez, pero veamos si IIA puede ir más allá de los eslóganes.
Cultura de riesgo: Integración del riesgo en toda la toma de decisiones, estructuras de compensación, recompensas y establecimiento de metas.
La siguiente oración no es más que extraña, la participación de todos en el proceso de gestión de riesgos. Esto no tiene nada que ver con la toma de decisiones, ni tampoco es así como funciona la toma de decisiones en la vida real.
Gobernanza del riesgo: Participación en el proceso de gestión del riesgo en toda la organización por parte del personal que sea conocedor, competente y calificado en gestión de riesgos.
Proceso de gestión de riesgos: identificación, evaluación, priorización, tratamiento, monitoreo y reporte de riesgos agregados en toda la organización.
Entonces se vuelve aún más extraño, ¿datos confiables difíciles de obtener? ¿Desafiante? Nada podría estar más lejos de la verdad.
Medir los beneficios de un proceso de gestión de riesgos maduro puede ser difícil porque los datos confiables pueden ser difíciles de obtener, si es que están disponibles.
La culminación de la guía de práctica es el modelo de madurez de alto nivel a continuación
¿Qué tan madura debería ser una organización? Considere una escala del 1 al 5, siendo 5 la más madura. No es necesariamente óptimo o práctico que todas las organizaciones operen en el nivel más alto de madurez. Lograr un 2 o 3 sólido puede ser aceptable. Cada organización debe determinar qué nivel de madurez es óptimo para sus circunstancias.
El modelo de madurez general tiene los defectos habituales de los modelos de madurez comunes
- Los niveles 1-3 tienen muy poco que ver con una gestión efectiva de riesgos. Los niveles 4 y 5 intentan resumir cómo puede ser una gestión de riesgos efectiva cuando se integra en los procesos empresariales y la toma de decisiones.
- entonces IIA comete el mismo error que todos al decir que "lograr un 2 o 3 sólido puede ser aceptable". Obviamente, alcanzar el nivel 2 o 3 es lo mismo que no tener ninguna gestión de riesgos en marcha. A menos que la gestión de riesgos sea una herramienta valiosa para la toma de decisiones que contribuya a las decisiones clave de la empresa, no tiene sentido.
Apetito de Riesgo
Para muchas organizaciones, el apetito por el riesgo es difícil de articular para su uso práctico en las discusiones. Una forma común de apetito por el riesgo es una declaración de "tolerancia a la pérdida" que puede ser aprobada por la alta dirección y/o la junta, con la advertencia de que el límite de pérdida puede ser superado con la aprobación de quienes tengan los niveles de autoridad adecuados.
Una vez más, IIA desconoce por completo la idea de apetito por el riesgo. Ya he escrito tanto sobre eso aquí: https://riskacademy.blog/?s=risk+appetite
En general, esta pequeña sección es bastante ilustrativa de la idea errónea en todo el documento. El IIA argumenta que si no existe una declaración de apetito por el riesgo o algo que se le asemeje, el nivel de madurez es bajo. Lo cual, por supuesto, es una tontería, porque los negocios habían documentado sus apetitos en diversas decisiones en políticas existentes décadas antes de que se creara el concepto mismo de apetito de riesgo (segregación de funciones, límites de financiamiento y aprobación de acuerdos, criterios de adquisición, criterios de inversión, tolerancia cero a fraudes o riesgos de seguridad, etc).
Roles y Responsabilidades
Parece bien, no encontré nada demasiado cuestionable en esta sección.
Cultura
Parece bien, no encontré nada demasiado cuestionable en esta sección.
Gobernanza
En general, el proceso de gestión de riesgos se desarrolla de arriba hacia abajo, con la alta dirección y la junta solicitando primero evaluaciones y reportes de riesgos, lo que generalmente lleva a la gestión empresarial a adoptar las mismas prácticas posteriormente, ya que debe proporcionar la información de riesgos para que la utilice la alta dirección.
La gestión de riesgos es una herramienta de toma de decisiones, puede ser utilizada para decisiones estratégicas o decisiones operativas, no importa, ni tampoco la alta dirección lo considera un requisito previo.
Proceso
Este es un muy buen ejemplo y desearía que aquí es donde el IIA pasara la mayor parte de su tiempo
El grado en que las actividades de gestión de riesgos están integradas con otros procesos comerciales es una medida útil del nivel de madurez de la organización.
Pero, por desgracia, es seguido inmediatamente por este pobre ejemplo:
Solo miré el nivel 5 de madurez porque supuestamente es el estado deseado y es perfecto para verificar si los autores tienen las ideas correctas en mente. Desafortunadamente, esta visión para la gestión madura del riesgo no tiene nada que ver con la ciencia de decisiones o la teoría de la probabilidad. El uso de la sección de información de riesgos es el único tipo de cierre, pero aún falta toda la idea de la gestión de riesgos como una herramienta de toma de decisiones.
Rol del Auditor Interno en la Gestión de Riesgos
Este es un buen ejemplo
...la actividad de auditoría interna puede recopilar la información durante múltiples compromisos y puede considerar los resultados de estos compromisos de manera acumulativa para obtener una comprensión completa de los procesos de gestión de riesgos de la organización y emitir un juicio sobre su efectividad.
Evaluación de la Gestión de Riesgos Organizacionales
Reunir información para comprender el proceso de gestión de riesgos la sección es bastante buena. Luego Realizar una Evaluación Preliminar de Riesgos es desafortunadamente malo.
Una forma efectiva de realizar y documentar una evaluación de riesgos a nivel de compromiso es crear una matriz de riesgos que enumere los riesgos relevantes y luego ampliar la matriz para incluir medidas de importancia.
Existen formas mejores y mucho más efectivas de identificar y priorizar riesgos que un mapa de calor. Tengo un artículo completo sobre mejores alternativas.
El objetivo general de una evaluación del proceso de gestión de riesgos de la organización es generalmente proporcionar información a la alta dirección y a la junta sobre la madurez de la gestión de riesgos de la organización y si esta corresponde a sus expectativas.
Eso arriba es la gran misconception. El objetivo general de una evaluación de los procesos de gestión de riesgos de la organización es determinar si se toman decisiones de calidad y si los objetivos son alcanzables. Norman Marks lo llama la probabilidad de éxito.
Establecer el Alcance del Compromiso
La sección sobre el alcance es probablemente la más importante, ya que muestra una indicación de qué buscar. Al comienzo del documento se menciona la integración en la toma de decisiones varias veces y me preguntaba si esta sección y el Apéndice E respaldarían la afirmación. Ellos no lo hicieron. Gestión de riesgos muy básica 1.
- La suficiencia y eficacia operativa de las políticas, procedimientos y actividades que respaldan el proceso de gestión de riesgos, incluida la alineación con el apetito de riesgo de la organización, las expectativas de las partes interesadas y los estándares de la industria.
- La efectividad de las estructuras de gobernanza que respaldan las políticas, procedimientos y actividades relacionadas con el proceso de gestión de riesgos.
- La adecuación de los recursos dedicados a apoyar el proceso de gestión de riesgos.
- La inclusión de lo siguiente en el proceso de gestión de riesgos
En resumen, siguiendo el consejo de la IIA en esta guía práctica, todavía no tendrás idea de si la gestión de riesgos es efectiva o no, además de que gastarás mucho tiempo haciendo las preguntas equivocadas y leyendo los documentos irrelevantes.