Me siento gestión de riesgos está al borde de algo interesante, algo muy emocionante en este momento.
Durante mucho tiempo, ingenuamente pensé que al hacer el bien gestión de riesgos Todos los actores clave estarían satisfechos, pero la realidad es que los diferentes interesados quieren cosas completamente diferentes. Hay gestión de riesgos 1 – gestión de riesgos para las partes interesadas externas (Consejo de Administración, auditores, reguladores, gobierno, agencias de calificación crediticia, compañías de seguros y bancos) y gestión de riesgos 2 – gestión de riesgos para el decisión creadores dentro de la empresa.
En este artículo, argumentaría RM1 y RM2 son completamente diferentes.
Sin embargo, tenga en cuenta que la referencia a la matriz se usa de manera bastante laxa porque en realidad no es una elección entre RM1 y RM2Ambos deben hacerse, por desgracia, porque los reguladores, los bancos y la mayoría de las partes externas todavía esperan todas las cosas equivocadas. Es más bien una cuestión de cuánto tiempo se debe dedicar a cada uno. Mi regla general es el 10% a RM1 y 90% a RM2, pero esto es prácticamente lo opuesto a cómo operan muchas empresas hoy en día. Irónicamente, argumentan, que RM1 toma tanto tiempo, que no queda tiempo para RM2, aunque supuestamente quieran hacerlo. Esto simplemente no es cierto.
La mejor manera de ilustrar mi punto es agrupar lo común. gestión de riesgos clasificar las actividades en dos tipos y muestre cuánto tiempo significativo se puede ahorrar en RM1 ser reasignado a RM2.
Apetito de riesgo
He escrito mucho sobre la apetito de riesgo aquí, aquí y aquíLa conclusión es que no son necesarias declaraciones de apetito por el riesgo separadas, ya que todos los límites ya están contenidos en las políticas a nivel de la Junta. Y si el regulador, un auditor o un miembro de la Junta insiste en tener uno, ya sea mostrar lo absurdo de la solicitud o simplemente hacerlo tú mismo copiando y pegando de políticas existentes y vinculándolas a los objetivos estratégicos. No pierdas el tiempo del negocio en entrevistas, discusiones y consultas, es copiar y pegar.
¿Qué pasa si las políticas existentes no tienen todos o algunos límites? Luego actualice las políticas existentes, tener declaraciones separadas de apetito por el riesgo todavía es RM1Las declaraciones de apetito de riesgo que duplican las políticas existentes apenas ayudan a la organización. decisión creadores.
Gestión de riesgos marco*
Tengo un video sobre el tema aquí (por favor suscríbete para ver los otros 250+ videos) así como un artículo describiendo una mejor manera. RM1 tener un documento marco, RM2 es para integrar elementos de gestión de riesgos políticas, procedimientos y manuales clave existentes. Gestión de riesgos Roles y responsabilidades también pueden pasar del documento marco a las descripciones de puestos y a los estatutos de los comités.
* Estoy hablando de un documento llamado marco de trabajo o manual o procedimiento, etc., no el gestión de riesgos marco en el sentido de ISO 31000.
Registro de riesgos a nivel empresarial
Los registros de riesgos a nivel empresarial son bastante comunes pero son tan RM1También en tantos niveles. ¿Puedes imaginarte siquiera a un auditor que no solicitaría automáticamente un registro de riesgos?Algunos auditores particularmente malos incluso pueden solicitar un registro de riesgos y oportunidades. Realmente parece no haber límite para la estupidez en estos días.
Los registros de riesgos centralizados a nivel de toda la empresa no ayudan. decisión creadores tomar decisionesTambién es completamente ingenuo pensar que una única metodología consolidada y criterios de riesgo sean capaces de abordar todo el universo de riesgos que enfrenta una organización. De hecho, las organizaciones que cambiaron a RM2 He descubierto que diferentes decisiones requieren diferentes metodologías de análisis de riesgos y diferentes criterios.
El uso de técnicas de análisis de riesgo cualitativo también es RM1, ya que no proporcionan suficientes perspectivas para el decisión creadores.
Se dispone de más información aquí.
Informes de riesgo
Sorprendentemente, actualizar un informe de riesgos trimestral también es RM1. No ayuda decisión creadores. El decisión Los responsables de la toma de decisiones necesitan que la información sobre riesgos se ponga en contexto, junto a la información de rendimiento, dentro de los informes habituales de rendimiento de la gestión, vinculados a cómo los riesgos afectan el logro de los objetivos.
Se dispone de más información aquí yaquí.
Indicadores clave de riesgo
Incluso tener indicadores clave de riesgo es potencialmente RM1, porque ¿por qué crearías indicadores separados para riesgos fuera del ciclo típico de gestión del rendimiento, cuando simplemente puedes ampliar los KPIs existentes para cubrir los riesgos que consideres importantes? Incluso hay un nombre para ello, indicadores adelantados, y existían mucho antes de que los gestores de riesgos inventaran los KRI.
Además, ¿por qué perder tiempo rastreándolos y monitoreándolos? simplemente deja que la unidad de negocio responsable de la gestión del rendimiento se encargue de ello como lo hacen con todos los demás KPIs.
Se puede encontrar más información aquí.
Gestión de riesgos comité
Ok, desde un punto de vista técnico, tener un Comité de Riesgos de gestión separado (no confundir con un comité de riesgos de la Junta) es RM1Pero por alguna razón, tiene un gran impacto positivo en la cultura en general, así que lo conservé. Gestión de riesgos El comité es ambos RM1 y RM2.
¿Qué más es? RM1? 3 líneas de defensa, propietarios del riesgo, planes de mitigación de riesgos, divulgación en los informes anuales, gestión de riesgos evaluación comparativa y muchas otras cosas.
– – – – – – – – – – – – – – – – – – – – –
RISK-ACADEMY ofrece decisión haciendo y gestión de riesgos servicios de capacitación y consultoría. Nuestro corporativo gestión de riesgos Los programas de formación están diseñados específicamente para promover el enfoque basado en el riesgo. decisión fabricación e integración gestión de riesgos en procesos de negocio. Los gestores de riesgos de todo el mundo nos llaman para ayudar a vender la idea de integrar el análisis de riesgos en decisión La elaboración y el uso de técnicas de análisis de riesgos cuantitativos. Descubre el curso más popular para decisión creadores https://riskacademy.blog/product/risk-based-decision-making-executives/o nuestros programas dedicados para ayudar a los gerentes de riesgos a aprender los fundamentos del análisis de riesgo cuantitativo https://riskacademy.blog/product/risk-managers-training/. También podemos ayudar a auditar gestión de riesgos eficacia o desarrollar una hoja de ruta para gestión de riesgos integración en decisión haciendo https://riskacademy.blog/product/g31000-risk-management-maturity-assessment/
Ver otros gestión de riesgos libros
RISK-ACADEMY ofrece cursos en línea
Toma de Riesgos Informada
Aprende 15 pasos prácticos para la integración. gestión de riesgos dentro de decisión creación, procesos de negocio, cultura organizacional y otras actividades!
ISO 31000 Integración Gestión de Riesgos
Alex Sidorenko, conocido por su gestión de riesgos blog http://www.riskacademy.blog, ha creado un programa de 25 pasos para integrar gestión de riesgos dentro de decisión la creación de los procesos centrales del negocio y de la cultura general de la organización.
Gobernanza de Riesgos Avanzada
Este curso ofrece orientación, motivación, información crítica y estudios de casos prácticos para ir más allá de la gobernanza tradicional del riesgo, ayudando a garantizar gestión de riesgos No es un proceso independiente, sino un motor del cambio para el negocio.