¿Estás preparado para la nueva ISO 31000?

Original disponible en el sitio web de AGERShttps://agers.es/sexto-numero-la-revista-observatorio-gerencia-riesgos/

After more than 5 years of preparation and thousands of comments received from representatives of 54 countries, as well as from multiple organizations related to this topic, the updated ISO 31000 standard is in the final comment stage, with publication expected in early 2018.

En este breve artículo, intentaré resumir los cambios realizados en la ISO 31000, la norma más conocida internacionalmente de Gestión de Riesgos, y cómo afectarán los cambios a las empresas de toda Europa.

Key proposed changes in the 2018 version. They are not significant.

After five years working on it and receiving thousands of comments, it can be concluded that there will be no significant changes regarding the 2009 version. Esto significa que esta versión ya era excelente y solo necesitaba resaltar algunos aspectos, o podría entenderse que los miembros de la ISO TC262 no tenían intención de cambiar o innovar. Actually, the original document already listed all the correct principles and concepts. Entonces, ¿qué ha cambiado?

We detail some of the most important changes

• El documento es más Ahora solo tiene 15 páginas (sin incluir cubiertas y bibliografía)
• El número de principios se ha reducido de 11 a 8 without losing any of the important messages
• La norma refuerza el propósito de la gestión de riesgos According to the authors, the goal of the risk management framework is to help the organization integrate risk management into all its activities and functions.La efectividad de la gestión del riesgo dependerá de su integración en la gobernanza y de todas las actividades de la organización, incluida la toma de
• Se añade la responsabilidad de los altos niveles de gestión y supervisión. Deben garantizar que la gestión del riesgo se integre en todas las actividades de la organización y que el liderazgo y el compromiso lo respalden.

• El concepto de integración se refuerza en todo el documento. Here are some examples:
  • La gestión de riesgos debe ser parte de, y no estar separada del propósito organizacional, la gobernanza, el liderazgo y el compromiso, la estrategia, los objetivos y las
  • Designed and properly implemented El marco de gestión de riesgos garantizará que el proceso de gestión de riesgos sea una parte de todas las actividades dentro de la organización, incluida la toma de decisiones, y que los cambios en los contextos internos y externos se reflejen
  • La organización debe mejorar continuamente la idoneidad, adecuación y eficacia del marco de la gestión de riesgos y la forma en que se integra.
  • El proceso de gestión de riesgos debe ser una parte integral de la gestión y la toma de decisiones y debe integrarse en la estructura, las operaciones y los procesos de la organización.

• La nueva norma establece explícitamente que puede haber many applications of the risk management process dentro de una organización, personalizadas para lograr los objetivos y para adaptarse al contexto externo e interno en el que se
• El estándar también aborda la naturaleza dinámica y variable del comportamiento y la cultura humana, que debe considerarse a lo largo del proceso de gestión de

Estos mensajes no son nuevos, refuerzan el tipo de gestión de riesgos que se integra en las actividades comerciales y los procesos clave de toma de decisiones.

El tipo de gestión de riesgos que no se realice de manera periódica (trimestral, mensual, etc.), tendrá que hacerse en el momento de la toma de decisiones o como parte del proceso o actividad empresarial.

¿Qué significa para las empresas europeas?

Since all the changes reinforce existing ideas, does this mean that European risk managers have nothing to do? Espero poder decir que esto fuera cierto para todos.

In reality, it is correct for Risk Managers who have applied the principles of ISO 31000 since its publication in 2009. En 14 años trabajando en la gerencia de riesgos, he conocido a menos de 10 personas a nivel mundial que apliquen la norma. However, here you will find some success references

• YoIntegración de la gerencia del riesgo en la planificación estratégica El efecto de la incertidumbre en los objetivos estratégicos se evalúa en el momento en que se formula la estrategia y no después de que la Junta la El análisis de riesgos se convierte en un paso importante de la configuración de estrategia real y los procesos de actualización. Los gerentes de riesgos utilizan el análisis o el modelo de simulación para presentar una opinión independiente sobre los objetivos estratégicos, la probabilidad de alcanzarlos y el impacto que los riesgos pueden llegar a tener en su cumplimiento.
• Integración en el presupuestoAunque es bastante común presupuestar usando tres escenarios (optimista, realista y pesimista), puede no ser suficiente desde el punto de vista de la gestión del riesgo. Estos escenarios a menudo se forman sin la participación del equipo de gestión de riesgos o incluso sin la debida consideración de los riesgos reales, asociados con el presupuesto. Por lo tanto, incluso los escenarios pesimistas a menudo no representan riesgos significativos, creando una imagen excesivamente optimista y engañosa para los ejecutivos y los responsables de la toma de decisiones. El análisis de riesgos adecuado puede aportar un valor significativo al proceso de elaboración de presupuestos. Los gerentes de riesgos deberían revisar y mejorar los supuestos de gestión utilizados en el análisis de situación, o introducir el uso de modelos de simulación para asegurarse de que se consideren todos los riesgos importantes y se evalúe su impacto sobre la liquidez. The risk analysis helps replace static, point estimates with a distribution of possible values. También ayuda a establecer KPI de gestión basados en la información del riesgo, lo que mejora la probabilidad de que se logre y reduce el conflicto de intereses que puedan tener el departamento de finanzas y el equipo de administración al presentar un presupuesto excesivamente positivo. Un buen análisis ayuda a identificar los riesgos más críticos que afectan al presupuesto, permitiendo que la administración asigne la propiedad y determine el presupuesto para la mitigación de los mismos.
• Integración en la gestión del rendimiento La gestión del riesgo podría integrarse en el ciclo de gestión del rendimiento de la organización, tanto a nivel individual como a nivel corporativo. Uno de los gerentes de riesgos que ha colaborado compartió un ejemplo en el que los indicadores de rendimiento clave corporativos (KPI) estáticos tradicionales fueron reemplazados por KPIs dinámicos, basados en riesgos y rango. This allowed the administration to have ranges of values instead of just one. Algunos KPI's se mantuvieron como estimaciones de valor único. However, they were calculated as 95% of the distribution of possible values based on Monte Carlo simulation. También se pueden establecer indicadores clave del riesgo para los KPI corporativos con el fin de mejorar el monitoreo y el seguimiento del rendimiento. At an individual level, risk management KPIs can be established in risk-based decision making, mitigation, training ratings, or internal audit assessments of the effectiveness of risk management in different business units.
• Integration in investment decision-making The use of simulation not only allows estimating the range of project costs and expected returns but also the most significant assumptions made by management that affect the project's key performance indicators. Para ellos, ISO31000: 2018 será un buen refuerzo de lo que han estado haciendo durante años. However, most risk managers in non-financial companies choose to settle for regular updates of records, reports, and independent risk management framework documents.

 

All these practices are relatively ineffective and never aligned well with the original principles of ISO 31000. Entonces, para ellos, el nuevo estándar es una oportunidad maravillosa para reevaluar las metodologías actuales de gestión de riesgos y comenzar a construir un caso de negocios sobre por qué la gestión de riesgos debe integrarse mejor en la toma de decisiones y el proceso comercial clave.

 

 

Las asociaciones nacionales e internacionales de gestión de riesgos tienen un papel importante que desempeñar en la toma de conciencia sobre la nueva ISO 31000 para ayudar a integrar los principios de la gestión de riesgos en la legislación nacional y las directrices emitidas por el gobierno.

 

– – – – – – – – – – – – – – – – – – – – –

RISK-ACADEMY ofrece decisión haciendo y gestión de riesgos servicios de capacitación y consultoría. Nuestro corporativo gestión de riesgos Los programas de formación están diseñados específicamente para promover el enfoque basado en el riesgo. decisión fabricación e integración gestión de riesgos en procesos de negocio. Los gestores de riesgos de todo el mundo nos llaman para ayudar a vender la idea de integrar el análisis de riesgos en decisión La elaboración y el uso de técnicas de análisis de riesgos cuantitativos. Descubre el curso más popular para decisión creadores https://riskacademy.blog/product/risk-based-decision-making-executives/o nuestros programas dedicados para ayudar a los gerentes de riesgos a aprender los fundamentos del análisis de riesgo cuantitativo https://riskacademy.blog/product/risk-managers-training/. También podemos ayudar a auditar gestión de riesgos eficacia o desarrollar una hoja de ruta para gestión de riesgos integración en decisión haciendo https://riskacademy.blog/product/g31000-risk-management-maturity-assessment/