Me siento gestión de riesgos está al borde de algo interesante, algo muy emocionante en este momento.
Durante mucho tiempo, ingenuamente pensé que al hacer el bien gestión de riesgos Todos los actores clave estarían satisfechos, pero la realidad es que los diferentes interesados quieren cosas completamente diferentes. Hay gestión de riesgos 1 – gestión de riesgos para las partes interesadas externas (Consejo de Administración, auditores, reguladores, gobierno, agencias de calificación crediticia, compañías de seguros y bancos) y gestión de riesgos 2 – gestión de riesgos para el decisión creadores dentro de la empresa.
En este artículo, argumentaría RM1 y RM2 son completamente diferentes.
Sin embargo, tenga en cuenta que la referencia a la matriz se usa de manera bastante laxa porque en realidad no es una elección entre RM1 y RM2Ambos deben hacerse, por desgracia, porque los reguladores, los bancos y la mayoría de las partes externas todavía esperan todas las cosas equivocadas. Es más bien una cuestión de cuánto tiempo se debe dedicar a cada uno. Mi regla general es el 10% a RM1 y 90% a RM2, pero esto es prácticamente lo opuesto a cómo operan muchas empresas hoy en día. Irónicamente, argumentan, que RM1 toma tanto tiempo, que no queda tiempo para RM2, aunque supuestamente quieran hacerlo. Esto simplemente no es cierto.
La mejor manera de ilustrar mi punto es agrupar lo común. gestión de riesgos clasificar las actividades en dos tipos y muestre cuánto tiempo significativo se puede ahorrar en RM1 ser reasignado a RM2.
Pregunta a RAW@AI sobre esta publicación o simplemente habla sobre la gestión de riesgos
Apetito de riesgo
He escrito mucho sobre la apetito de riesgo aquí, aquí y aquíLa conclusión es que no son necesarias declaraciones de apetito por el riesgo separadas, ya que todos los límites ya están contenidos en las políticas a nivel de la Junta. Y si el regulador, un auditor o un miembro de la Junta insiste en tener uno, ya sea mostrar lo absurdo de la solicitud o simplemente hacerlo tú mismo copiando y pegando de políticas existentes y vinculándolas a los objetivos estratégicos. No pierdas el tiempo del negocio en entrevistas, discusiones y consultas, es copiar y pegar.
¿Qué pasa si las políticas existentes no tienen todos o algunos límites? Luego actualice las políticas existentes, tener declaraciones separadas de apetito por el riesgo todavía es RM1Las declaraciones de apetito de riesgo que duplican las políticas existentes apenas ayudan a la organización. decisión creadores.
Gestión de riesgos marco*
Tengo un video sobre el tema aquí (por favor suscríbete para ver los otros 250+ videos) así como un artículo describiendo una mejor manera. RM1 tener un documento marco, RM2 es para integrar elementos de gestión de riesgos políticas, procedimientos y manuales clave existentes. Gestión de riesgos Roles y responsabilidades también pueden pasar del documento marco a las descripciones de puestos y a los estatutos de los comités.
* Estoy hablando de un documento llamado marco de trabajo o manual o procedimiento, etc., no el gestión de riesgos marco en el sentido de ISO 31000.
Registro de riesgos a nivel empresarial
Los registros de riesgos a nivel empresarial son bastante comunes pero son tan RM1También en tantos niveles. ¿Puedes imaginarte siquiera a un auditor que no solicitaría automáticamente un registro de riesgos?Algunos auditores particularmente malos incluso pueden solicitar un registro de riesgos y oportunidades. Realmente parece no haber límite para la estupidez en estos días.
Los registros de riesgos centralizados a nivel de toda la empresa no ayudan. decisión creadores tomar decisionesTambién es completamente ingenuo pensar que una única metodología consolidada y criterios de riesgo sean capaces de abordar todo el universo de riesgos que enfrenta una organización. De hecho, las organizaciones que cambiaron a RM2 He descubierto que diferentes decisiones requieren diferentes metodologías de análisis de riesgos y diferentes criterios.
El uso de técnicas de análisis de riesgo cualitativo también es RM1, ya que no proporcionan suficientes perspectivas para el decisión creadores.
Se dispone de más información aquí.
Informes de riesgo
Sorprendentemente, actualizar un informe de riesgos trimestral también es RM1. No ayuda decisión creadores. El decisión Los responsables de la toma de decisiones necesitan que la información sobre riesgos se ponga en contexto, junto a la información de rendimiento, dentro de los informes habituales de rendimiento de la gestión, vinculados a cómo los riesgos afectan el logro de los objetivos.
Se dispone de más información aquí yaquí.
Indicadores clave de riesgo
Incluso tener indicadores clave de riesgo es potencialmente RM1, porque ¿por qué crearías indicadores separados para riesgos fuera del ciclo típico de gestión del rendimiento, cuando simplemente puedes ampliar los KPIs existentes para cubrir los riesgos que consideres importantes? Incluso hay un nombre para ello, indicadores adelantados, y existían mucho antes de que los gestores de riesgos inventaran los KRI.
Además, ¿por qué perder tiempo rastreándolos y monitoreándolos? simplemente deja que la unidad de negocio responsable de la gestión del rendimiento se encargue de ello como lo hacen con todos los demás KPIs.
Se puede encontrar más información aquí.
Gestión de riesgos comité
Ok, desde un punto de vista técnico, tener un Comité de Riesgos de gestión separado (no confundir con un comité de riesgos de la Junta) es RM1Pero por alguna razón, tiene un gran impacto positivo en la cultura en general, así que lo conservé. Gestión de riesgos El comité es ambos RM1 y RM2.
¿Qué más es? RM1? 3 líneas de defensa, propietarios del riesgo, planes de mitigación de riesgos, divulgación en los informes anuales, gestión de riesgos evaluación comparativa y muchas otras cosas.
– – – – – – – – – – – – – – – – – – – – –
RISK-ACADEMY ofrece decisión haciendo y gestión de riesgos servicios de capacitación y consultoría. Nuestro corporativo gestión de riesgos Los programas de formación están diseñados específicamente para promover el enfoque basado en el riesgo. decisión fabricación e integración gestión de riesgos en procesos de negocio. Los gestores de riesgos de todo el mundo nos llaman para ayudar a vender la idea de integrar el análisis de riesgos en decisión La elaboración y el uso de técnicas de análisis de riesgos cuantitativos. Descubre el curso más popular para decisión creadores https://riskacademy.blog/product/risk-based-decision-making-executives/o nuestros programas dedicados para ayudar a los gerentes de riesgos a aprender los fundamentos del análisis de riesgo cuantitativo https://riskacademy.blog/product/risk-managers-training/. También podemos ayudar a auditar gestión de riesgos eficacia o desarrollar una hoja de ruta para gestión de riesgos integración en decisión haciendo https://riskacademy.blog/product/g31000-risk-management-maturity-assessment/
Ver otros gestión de riesgos libros
RISK-ACADEMY ofrece cursos en línea
Toma de Riesgos Informada
Aprende 15 pasos prácticos para la integración. gestión de riesgos dentro de decisión creación, procesos de negocio, cultura organizacional y otras actividades!
ISO 31000 Integración Gestión de Riesgos
Alex Sidorenko, conocido por su gestión de riesgos blog http://www.riskacademy.blog, ha creado un programa de 25 pasos para integrar gestión de riesgos dentro de decisión la creación de los procesos centrales del negocio y de la cultura general de la organización.
Gobernanza de Riesgos Avanzada
Este curso ofrece orientación, motivación, información crítica y estudios de casos prácticos para ir más allá de la gobernanza tradicional del riesgo, ayudando a garantizar gestión de riesgos No es un proceso independiente, sino un motor del cambio para el negocio.
Un gran artículo práctico como siempre, gracias Alex por compartir conocimientos reales tan interesantes.
Agudo de mente y siempre provocador de pensamientos.
Mi pregunta es: en RM2, ¿cuál es el papel de una unidad de control de riesgos a nivel empresarial? ¿Para garantizar que todos los procesos de toma de decisiones relevantes incorporen consideraciones de riesgo, incluso cuando sean gestionados y asistidos por unidades independientes de gestión de riesgos de funciones o líneas de negocio?
¡Gracias por compartir!
El propósito de la unidad de gestión de riesgos es ayudar a integrar la gestión de riesgos en varios procesos de toma de decisiones y realizar el análisis de riesgos, si se solicita, además de la cultura y todo RM1. No estoy seguro de qué son las unidades de riesgo de la línea de negocio.
Gracias por la respuesta y la claridad, podría haber malinterpretado fácilmente tu comentario anterior. ¡Esto ayuda!
Así que tu teoría RM1 y RM2 es interesante y provocativa como siempre. Lo que te falta es que un líder de riesgos cumple un papel que inicialmente fue definido por su empleador. Puede estar completamente equivocado, pero generalmente se define por las prioridades percibidas de riesgo de los líderes, para bien o para mal. Así que mi consejo inicial siempre ha sido, haz lo que te contrataron para hacer y luego, intenta cambiar la opinión de las partes interesadas sobre en qué podrían cambiar las prioridades. En el mundo altamente regulado en el que inevitablemente vivimos, nosotros en forzado a asegurar que las bases de RM1 estén cubiertas, nos guste o no. Solo aquellos que no se sientan en la silla del líder de riesgos pueden afirmar que RM1 merece tan poco tiempo como sea posible.
Estoy totalmente de acuerdo, toma de 1 a 2 meses encargarse de TODAS las actividades de RM1 (me tomó 3 porque soy lento), así que es un poco difícil explicar por qué muchos gestores de riesgos todavía están atrapados en RM1 años después
¡Hola Alex! ¡Lo siento mucho por mencionar una publicación tan antigua! Me alegra haberlo encontrado y sentir curiosidad por esta declaración: “De hecho, las organizaciones que cambiaron a RM2 han descubierto que diferentes decisiones requieren diferentes metodologías de análisis de riesgos y diferentes criterios.”. Entonces, ¿estás diciendo que la agregación de riesgos no vale la pena? El problema que enfrenta la empresa para la que trabajo en este momento es que tenemos varios departamentos (gestión de riesgos, TI, seguridad de la información, seguridad, continuidad del negocio, seguridad de TI, legal, etc.) que realizan algún tipo de análisis de riesgos, los cuales identifican riesgos como resultado, y en muchas ocasiones nos damos cuenta de que son el MISMO riesgo o muy, muy similares. La agregación de riesgos se ha vendido como la solución definitiva y ahora estoy un poco confundido dado este artículo. Definitivamente es muy provocador y por eso agradecería mucho si pudieras aclarárselo a esta chica confundida. ¡Gracias!
Estoy diciendo que ERM es una completa tontería. Sin embargo, la agregación de riesgos es normal, por ejemplo, para el riesgo de liquidez, se agregarían muchos riesgos en el modelo de flujo de efectivo. Los riesgos de mercado o operativos pueden y se agrupan. Aunque es muy poco probable que se necesite agregar demasiados riesgos diferentes juntos. Para agregar riesgos, deben presentarse como distribuciones de probabilidad y la agregación debe tener en cuenta la correlación. Eso es RM2
Lo que estás haciendo suena muy parecido a RM1, así que ya sea que agregues riesgos o no, no importa, es poco probable que conduzca a una mejor toma de decisiones. Si tu evaluación de riesgos era probabilidad por consecuencia, entonces no es matemáticamente correcto agregarla desde el principio.