Siento que la gestión de riesgos está a punto de algo interesante, algo muy emocionante en este momento.
Durante mucho tiempo, ingenuamente pensé que al hacer una buena gestión de riesgos, todas las partes interesadas clave estarían satisfechas, pero la realidad es que diferentes partes interesadas quieren cosas completamente diferentes. Hay gestión de riesgos 1 - gestión de riesgos para las partes interesadas externas (Junta, auditores, reguladores, gobierno, agencias de calificación crediticia, compañías de seguros y bancos) y gestión de riesgos 2 - gestión de riesgos para los tomadores de decisiones dentro de la empresa.
En este artículo, argumentaría que RM1 y RM2 son completamente diferentes.
Sin embargo, tenga en cuenta que la referencia a la matriz se usa de manera bastante flexible porque en realidad no es una elección entre RM1 y RM2. Ambos deben hacerse, por desgracia, porque los reguladores, bancos y la mayoría de las partes externas todavía esperan todas las cosas equivocadas. Es más bien una cuestión de cuánto tiempo se debe dedicar a cada uno. Mi regla general es el 10% para RM1 y el 90% para RM2, pero esto es prácticamente lo opuesto a cómo operan muchas empresas hoy en día. Irónicamente, argumentan, que la RM1 ocupa tanto tiempo, que no queda tiempo para la RM2, aunque supuestamente quieran hacerlo. Esto simplemente no es cierto.
La mejor manera de ilustrar mi punto es agrupar las actividades comunes de gestión de riesgos en 2 tipos y mostrar cuánto tiempo se puede ahorrar en RM1 para ser reasignado a RM2.
Pregunta a RAW@AI sobre esta publicación o simplemente habla sobre la gestión de riesgos
Apetito de riesgo
He escrito mucho sobre la apetito de riesgo aquí, aquí y aquíLa conclusión es que no son necesarias declaraciones de apetito por el riesgo separadas, ya que todos los límites ya están contenidos en las políticas a nivel de la Junta. Y si el regulador, un auditor o un miembro de la Junta insiste en tener uno, ya sea mostrar lo absurdo de la solicitud o simplemente hacerlo tú mismo copiando y pegando de políticas existentes y vinculándolas a los objetivos estratégicos. No pierdas el tiempo del negocio en entrevistas, discusiones y consultas, es copiar y pegar.
¿Qué pasa si las políticas existentes no tienen todos o algunos límites? Luego actualice las políticas existentes; tener declaraciones de apetito de riesgo separadas sigue siendo RM1. Las declaraciones de apetito de riesgo que duplican las políticas existentes difícilmente ayudan a los tomadores de decisiones.
Marco de gestión de riesgos
Tengo un video sobre el tema aquí (por favor suscríbete para ver los otros 250+ videos) así como un artículo describiendo una mejor manera. RM1 consiste en tener un documento marco, RM2 consiste en integrar elementos de gestión de riesgos en las políticas, procedimientos y manuales existentes clave. Los roles y responsabilidades en la gestión de riesgos también pueden pasar del documento marco a las descripciones de puestos y a los estatutos de los comités.
Estoy hablando de un documento llamado marco, manual, procedimiento, etc., no del marco de gestión de riesgos en el sentido de la ISO31000.
Registro de riesgos a nivel empresarial
Los registros de riesgos a nivel de toda la empresa son bastante comunes, pero son tan RM1. También en tantos niveles. ¿Puedes imaginarte siquiera a un auditor que no solicitaría automáticamente un registro de riesgos?Algunos auditores particularmente malos incluso pueden solicitar un registro de riesgos y oportunidades. Realmente parece no haber límite para la estupidez en estos días.
Los registros de riesgos centralizados y a nivel de toda la empresa no ayudan a los tomadores de decisiones tomar decisionesTambién es completamente ingenuo pensar que una única metodología consolidada y criterios de riesgo sean capaces de abordar todo el universo de riesgos que enfrenta una organización. De hecho, las organizaciones que cambiaron a RM2 han descubierto que diferentes decisiones requieren diferentes metodologías de análisis de riesgos y diferentes criterios.
El uso de técnicas de análisis de riesgos cualitativos también es RM1, ya que no proporcionan suficientes conocimientos para los tomadores de decisiones.
Se dispone de más información aquí.
Informes de riesgo
Sorprendentemente, actualizar un informe de riesgos trimestral también es RM1. No ayuda a los tomadores de decisiones. Los tomadores de decisiones necesitan que la información sobre riesgos se presente en contexto, junto a la información de rendimiento, dentro del informe normal de rendimiento de la gestión vinculado a cómo los riesgos afectan el logro de los objetivos.
Se dispone de más información aquí yaquí.
Indicadores clave de riesgo
Incluso tener indicadores clave de riesgo es potencialmente RM1, porque ¿por qué crear indicadores separados para riesgos fuera del ciclo típico de gestión del rendimiento, cuando simplemente puedes ampliar los KPIs existentes para cubrir los riesgos que consideres importantes? Incluso hay un nombre para ello, indicadores adelantados, y existían mucho antes de que los gestores de riesgos inventaran los KRI.
Además, ¿por qué perder tiempo rastreándolos y monitoreándolos? simplemente deja que la unidad de negocio responsable de la gestión del rendimiento se encargue de ello como lo hacen con todos los demás KPIs.
Se puede encontrar más información aquí.
comité de gestión de riesgos
Ok, técnicamente hablando, tener un Comité de Riesgos de gestión separado (no confundir con un comité de riesgos de la Junta) es RM1. Pero por alguna razón, tiene un impacto positivo enorme en la cultura en general, así que lo conservé. El comité de gestión de riesgos es tanto RM1 como RM2.
¿Qué más es RM1? 3 líneas de defensa, responsables de riesgos, planes de mitigación de riesgos, divulgación en los informes anuales, comparación de gestión de riesgos y muchas otras cosas.
– – – – – – – – – – – – – – – – – – – – –
RISK-ACADEMY ofrece capacitación y servicios de consultoría en toma de decisiones y gestión de riesgos. Nuestros programas de capacitación en gestión de riesgos corporativos están diseñados específicamente para promover la toma de decisiones basada en riesgos y la integración de la gestión de riesgos en los procesos empresariales. Los gestores de riesgos de todo el mundo nos llaman para ayudar a vender la idea de integrar el análisis de riesgos en la toma de decisiones y utilizar técnicas de análisis de riesgos cuantitativos. Consulta el curso más popular para tomadores de decisiones https://riskacademy.blog/product/risk-based-decision-making-executives/o nuestros programas dedicados para ayudar a los gerentes de riesgos a aprender los fundamentos del análisis de riesgo cuantitativo https://riskacademy.blog/product/risk-managers-training/También podemos ayudar a auditar la efectividad de la gestión de riesgos o desarrollar una hoja de ruta para la integración de la gestión de riesgos en la toma de decisiones. https://riskacademy.blog/product/g31000-risk-management-maturity-assessment/
Un gran artículo práctico como siempre, gracias Alex por compartir conocimientos reales tan interesantes.
Agudo de mente y siempre provocador de pensamientos.
Mi pregunta es: en RM2, ¿cuál es el papel de una unidad de control de riesgos a nivel empresarial? ¿Para garantizar que todos los procesos de toma de decisiones relevantes incorporen consideraciones de riesgo, incluso cuando sean gestionados y asistidos por unidades independientes de gestión de riesgos de funciones o líneas de negocio?
¡Gracias por compartir!
El propósito de la unidad de gestión de riesgos es ayudar a integrar la gestión de riesgos en varios procesos de toma de decisiones y realizar el análisis de riesgos, si se solicita, además de la cultura y todo RM1. No estoy seguro de qué son las unidades de riesgo de la línea de negocio.
Gracias por la respuesta y la claridad, podría haber malinterpretado fácilmente tu comentario anterior. ¡Esto ayuda!
Así que tu teoría RM1 y RM2 es interesante y provocativa como siempre. Lo que te falta es que un líder de riesgos cumple un papel que inicialmente fue definido por su empleador. Puede estar completamente equivocado, pero generalmente se define por las prioridades percibidas de riesgo de los líderes, para bien o para mal. Así que mi consejo inicial siempre ha sido, haz lo que te contrataron para hacer y luego, intenta cambiar la opinión de las partes interesadas sobre en qué podrían cambiar las prioridades. En el mundo altamente regulado en el que inevitablemente vivimos, nosotros en forzado a asegurar que las bases de RM1 estén cubiertas, nos guste o no. Solo aquellos que no se sientan en la silla del líder de riesgos pueden afirmar que RM1 merece tan poco tiempo como sea posible.
Estoy totalmente de acuerdo, toma de 1 a 2 meses encargarse de TODAS las actividades de RM1 (me tomó 3 porque soy lento), así que es un poco difícil explicar por qué muchos gestores de riesgos todavía están atrapados en RM1 años después
¡Hola Alex! ¡Lo siento mucho por mencionar una publicación tan antigua! Me alegra haberlo encontrado y sentir curiosidad por esta declaración: “De hecho, las organizaciones que cambiaron a RM2 han descubierto que diferentes decisiones requieren diferentes metodologías de análisis de riesgos y diferentes criterios.”. Entonces, ¿estás diciendo que la agregación de riesgos no vale la pena? El problema que enfrenta la empresa para la que trabajo en este momento es que tenemos varios departamentos (gestión de riesgos, TI, seguridad de la información, seguridad, continuidad del negocio, seguridad de TI, legal, etc.) que realizan algún tipo de análisis de riesgos, los cuales identifican riesgos como resultado, y en muchas ocasiones nos damos cuenta de que son el MISMO riesgo o muy, muy similares. La agregación de riesgos se ha vendido como la solución definitiva y ahora estoy un poco confundido dado este artículo. Definitivamente es muy provocador y por eso agradecería mucho si pudieras aclarárselo a esta chica confundida. ¡Gracias!
Estoy diciendo que ERM es una completa tontería. Sin embargo, la agregación de riesgos es normal, por ejemplo, para el riesgo de liquidez, se agregarían muchos riesgos en el modelo de flujo de efectivo. Los riesgos de mercado o operativos pueden y se agrupan. Aunque es muy poco probable que se necesite agregar demasiados riesgos diferentes juntos. Para agregar riesgos, deben presentarse como distribuciones de probabilidad y la agregación debe tener en cuenta la correlación. Eso es RM2
Lo que estás haciendo suena muy parecido a RM1, así que ya sea que agregues riesgos o no, no importa, es poco probable que conduzca a una mejor toma de decisiones. Si tu evaluación de riesgos era probabilidad por consecuencia, entonces no es matemáticamente correcto agregarla desde el principio.