Blog de RISK-ACADEMY

La IIA publicó recientemente una Guía de Práctica sobre la Evaluación de Gestión de Riesgos Proceso. Pareció interesante, así que aparté un tiempo para revisar el documento.

Veredicto general

El modelo de madurez propuesto por IIA tiene exactamente los mismos defectos fundamentales que todos los otros más de 100 modelos de madurez de riesgo de consultoría que existen. Además, aunque a veces se utilizan mensajes correctos a lo largo del texto, parece más bien una coincidencia, los autores siguen sin entender las diferencias en gestión de riesgos 1 y gestión de riesgos 2 y no proporciona consejos útiles sobre realmente evaluar el gestión de riesgos eficacia. La guía de prácticas solo es útil para evaluar. gestión de riesgos 1, que tiene un valor muy limitado para la organización. Aquí hay un enfoque alternativo para evaluar. gestión de riesgos madurez https://www.youtube.com/watch?v=4HqVIpFw230(7 minutos)

Contexto

Con el fin de entender la falla más fundamental en la postura de la IIA sobre la evaluación gestión de riesgos La eficacia que debes tener en cuenta lo siguiente:

• AS4360, COSO ERM y ISO31000 no son el lugar de nacimiento de gestión de riesgos Teoría, la idea de medir la incertidumbre y su efecto en las decisiones y objetivos comenzó en el siglo XV (teoría de la probabilidad), luego se volvió prominente en la década de 1970 en el campo de decisión ciencia y neuroeconomía. Los estándares internacionales son básicamente resúmenes mediocres de la teoría de la probabilidad. decisión La ciencia y la economía conductual en términos simples. Para entender el concepto de gestión de riesgos La efectividad: debemos mirar más allá de los estándares hacia los orígenes.
• hay una gran diferencia entre gestión de riesgos 1 (realizado como un elemento de gobernanza corporativa para la Junta Directiva / Comité de Auditoría, popularizado en la década de 2000) y gestión de riesgos 2 (donde gestión de riesgos se utiliza una gestión decisión herramienta de fabricación, con o sin la ayuda de los gestores de riesgos, existía desde la década de 1930). Más RM1 y RM2 en este artículo.
• Independientemente de lo que hagan los gestores de riesgos, la dirección continúa usando y siempre ha utilizado lo adecuado. gestión de riesgos Al tomar decisiones (los equipos de finanzas siempre utilizan escenarios, los equipos de inversión siempre utilizan análisis de sensibilidad, los ingenieros siempre utilizan simulaciones, las áreas de adquisiciones y jurídicas utilizan puntuación simple, la estrategia utiliza listas de verificación, etcétera, etcétera) – este es el punto más crítico para entender gestión de riesgos eficacia.
• de hecho, la mayoría gestión de riesgos En la organización nunca se llama gestión de riesgos. Por eso gestión de riesgos La eficacia tiene casi nada que ver con lo que esté en el gestión de riesgos política o en la declaración de apetito de riesgo (ambos documentos son RM1).

Comentarios detallados

El documento realmente comienza mal

Pregunta a RAW@AI sobre esta publicación o simplemente habla sobre la gestión de riesgos

Los auditores internos deben evaluar la efectividad y contribuir a la mejora de gestión de riesgos proceso (Estándar 2120 – Gestión de Riesgos).

Curiosamente, el Estándar 2120 en realidad dice gestión de riesgos procesos, lo cual es correcto, pero los autores, probablemente sin darse cuenta de la importancia, lo llamaron gestión de riesgos proceso, singular. Esto continúa a lo largo del documento y muestra que los autores probablemente ni siquiera se dan cuenta de que en el contexto de RM2 (gestión de riesgos como un decisión herramienta para hacer), hay múltiples gestión de riesgos procesos, a menudo totalmente diferentes. Ni debería haber nunca una única consolidada gestión de riesgos proceso.

Luego hay un momento de brillantez, pero veamos si IIA puede ir más allá de los eslóganes.

Cultura de riesgo: integración del riesgo en todo decisióntoma de decisiones, compensación, estructuras de recompensa y establecimiento de objetivos.

La siguiente oración no es más que extraña, la participación de todos en el gestión de riesgos proceso. Esto no tiene nada que ver con decisión haciendo, ni ello es cómo decisión haciendo que funcionen en la vida real.

Gobernanza de riesgos: Participación en el gestión de riesgos proceso en toda la organización por personal que sea conocedor, capacitado y competente en gestión de riesgos.

Gestión de riesgos process: Aggregated risk identification, prioritization assessment, treatment, monitoring, and reporting throughout the organization.

Entonces se vuelve aún más extraño, ¿datos confiables difíciles de obtener? ¿Desafiante? Nada podría estar más lejos de la verdad.

Midiendo los beneficios de una madurez gestión de riesgos El proceso puede ser desafiante porque los datos fiables pueden ser difíciles de obtener, si es que están disponibles.

La culminación de la guía de práctica es el modelo de madurez de alto nivel a continuación

¿Qué tan madura debería ser una organización? Considere una escala del 1 al 5, siendo 5 la más madura. No es necesariamente óptimo o práctico que todas las organizaciones operen en el nivel más alto de madurez. Lograr un 2 o 3 sólido puede ser aceptable. Cada organización debe determinar qué nivel de madurez es óptimo para sus circunstancias.

El modelo de madurez general tiene los defectos habituales de los modelos de madurez comunes

• Los niveles 1-3 tienen muy poco que ver con la efectividad. gestión de riesgos. Los niveles 4 y 5 intentan resumir qué es un eficaz gestión de riesgos puede parecer cuando se integra en los procesos empresariales y decisión haciendo.
• entonces IIA comete el mismo error que todos al decir que "lograr un 2 o 3 sólido puede ser aceptable". Obviamente alcanzar el nivel 2 o 3 es lo mismo que no tener ninguno. gestión de riesgos En su lugar. a menos que gestión de riesgos Es una valiosa herramienta de toma de decisiones que contribuye a las decisiones clave tomadas por la empresa; no tiene sentido.

Apetito de Riesgo

Para muchas organizaciones, el apetito por el riesgo es difícil de articular para su uso práctico en las discusiones. Una forma común de apetito por el riesgo es una declaración de "tolerancia a la pérdida" que puede ser aprobada por la alta dirección y/o la junta, con la advertencia de que el límite de pérdida puede ser superado con la aprobación de quienes tengan los niveles de autoridad adecuados.

Una vez más, IIA desconoce por completo la idea de apetito por el riesgo. Ya he escrito tanto sobre eso aquí: https://riskacademy.blog/?s=riesgo+apetito

En general, esta pequeña sección es bastante ilustrativa de la idea errónea en todo el documento. El IIA argumenta que si no existe una declaración de apetito por el riesgo o algo que se le asemeje, el nivel de madurez es bajo. Lo cual, por supuesto, es una tontería, porque los negocios habían documentado sus apetitos en diversas decisiones en políticas existentes décadas antes de que se creara el concepto mismo de apetito de riesgo (segregación de funciones, límites de financiamiento y aprobación de acuerdos, criterios de adquisición, criterios de inversión, tolerancia cero a fraudes o riesgos de seguridad, etc).

Roles y Responsabilidades

Parece bien, no encontré nada demasiado cuestionable en esta sección.

Cultura

Parece bien, no encontré nada demasiado cuestionable en esta sección.

Gobernanza

En general, el gestión de riesgos El proceso se desarrolla de arriba hacia abajo, con la alta dirección y la junta directiva exigiendo evaluaciones de riesgos e informes en primer lugar, lo que típicamente lleva a que la gestión empresarial adopte las mismas prácticas más tarde, ya que debe proporcionar la información de riesgos para que la alta dirección la utilice.

Gestión de riesgos es un decisión herramienta de toma de decisiones, podría usarse para decisiones estratégicas o decisiones operativas, no importa, ni la alta dirección lo exige como requisito previo.

Proceso

Este es un muy buen ejemplo y desearía que aquí es donde el IIA pasara la mayor parte de su tiempo

El grado en el que gestión de riesgos La integración de las actividades con otros procesos empresariales es una medida útil del nivel de madurez de la organización.

Pero, por desgracia, es seguido inmediatamente por este pobre ejemplo:

Solo miré el nivel 5 de madurez porque supuestamente es el estado deseado y es perfecto para verificar si los autores tienen las ideas correctas en mente. Desafortunadamente, esta visión para la gestión de riesgos madura no tiene nada que ver con decisión ciencia o teoría de la probabilidad. El uso de la sección de información de riesgos es el único tipo de cierre, pero aún falta toda la idea de gestión de riesgos como un decisión herramienta para hacer.

Papel de la Auditoría Interna en Gestión de Riesgos

Este es un buen ejemplo

…la actividad de auditoría interna puede recopilar la información durante múltiples encargos y puede considerar los resultados de estos encargos de forma acumulativa para obtener una comprensión completa de la organización gestión de riesgos Procesa y emite un juicio sobre su eficacia.

Evaluando lo organizacional Gestión de Riesgos

Recopilar información para entender el Gestión de Riesgos Proceso la sección es bastante buena.Entonces Realizar una Evaluación Preliminar de Riesgos es desafortunadamente malo.

Una forma efectiva de realizar y documentar una evaluación de riesgos a nivel de compromiso es crear una matriz de riesgos que enumere los riesgos relevantes y luego ampliar la matriz para incluir medidas de importancia.

Existen formas mejores y mucho más efectivas de identificar y priorizar riesgos que un mapa de calor. Tengo un artículo completo sobre mejores alternativas.

El objetivo general de una evaluación de la organización. gestión de riesgos El proceso suele consistir en proporcionar una visión a la alta dirección y a la junta sobre la madurez de la organización. gestión de riesgos Y si corresponde a sus expectativas.

Eso arriba es la gran misconception. El objetivo general de una evaluación de la organización. gestión de riesgos Los procesos sirven para determinar si calidad Se toman decisiones y los objetivos son alcanzables. Norman Marks lo llama la probabilidad de éxito.

Establecer el Alcance del Compromiso

La sección sobre el alcance es probablemente la más importante, ya que muestra una indicación de qué buscar. Al principio del documento integración en decisión La mención de 'making' aparece pocas veces, y me preguntaba si esta sección y el Apéndice E respaldarían la afirmación. Ellos no lo hicieron. Muy básico gestión de riesgos 1.

1. La suficiencia y la efectividad operativa de las políticas, procedimientos y actividades que respaldan el gestión de riesgos proceso, incluyendo la alineación con el apetito de riesgo de la organización, las expectativas de las partes interesadas y los estándares de la industria.
2. La efectividad de las estructuras de gobernanza que respaldan las políticas, procedimientos y actividades relacionadas con el gestión de riesgos proceso.
3. La adecuación de los recursos dedicados a apoyar el gestión de riesgos proceso.
4. La inclusión de lo siguiente en el gestión de riesgos proceso

Para resumir, siguiendo los consejos de la IIA en esta guía de prácticas, todavía no tendrás ni idea de si gestión de riesgos es efectivo o no, además de que pasarás mucho tiempo haciendo las preguntas equivocadas y leyendo los documentos irrelevantes.