Siento que la gestión de riesgos está a punto de algo interesante, algo muy emocionante en este momento.
Durante mucho tiempo, ingenuamente pensé que al hacer una buena gestión de riesgos, todas las partes interesadas clave estarían satisfechas, pero la realidad es que diferentes partes interesadas quieren cosas completamente diferentes. Hay gestión de riesgos 1 - gestión de riesgos para las partes interesadas externas (Junta, auditores, reguladores, gobierno, agencias de calificación crediticia, compañías de seguros y bancos) y gestión de riesgos 2 - gestión de riesgos para los tomadores de decisiones dentro de la empresa.
En este artículo, argumentaría que RM1 y RM2 son completamente diferentes.
Sin embargo, tenga en cuenta que la referencia a la matriz se usa de manera bastante flexible porque en realidad no es una elección entre RM1 y RM2. Ambos deben hacerse, por desgracia, porque los reguladores, bancos y la mayoría de las partes externas todavía esperan todas las cosas equivocadas. Es más bien una cuestión de cuánto tiempo se debe dedicar a cada uno. Mi regla general es el 10% para RM1 y el 90% para RM2, pero esto es prácticamente lo opuesto a cómo operan muchas empresas hoy en día. Irónicamente, argumentan, que la RM1 ocupa tanto tiempo, que no queda tiempo para la RM2, aunque supuestamente quieran hacerlo. Esto simplemente no es cierto.
La mejor manera de ilustrar mi punto es agrupar las actividades comunes de gestión de riesgos en 2 tipos y mostrar cuánto tiempo se puede ahorrar en RM1 para ser reasignado a RM2.
Apetito de riesgo
He escrito mucho sobre la apetito de riesgo aquí, aquí y aquíLa conclusión es que no son necesarias declaraciones de apetito por el riesgo separadas, ya que todos los límites ya están contenidos en las políticas a nivel de la Junta. Y si el regulador, un auditor o un miembro de la Junta insiste en tener uno, ya sea mostrar lo absurdo de la solicitud o simplemente hacerlo tú mismo copiando y pegando de políticas existentes y vinculándolas a los objetivos estratégicos. No pierdas el tiempo del negocio en entrevistas, discusiones y consultas, es copiar y pegar.
¿Qué pasa si las políticas existentes no tienen todos o algunos límites? Luego actualice las políticas existentes; tener declaraciones de apetito de riesgo separadas sigue siendo RM1. Las declaraciones de apetito de riesgo que duplican las políticas existentes difícilmente ayudan a los tomadores de decisiones.
Marco de gestión de riesgos
Tengo un video sobre el tema aquí (por favor suscríbete para ver los otros 250+ videos) así como un artículo describiendo una mejor manera. RM1 consiste en tener un documento marco, RM2 consiste en integrar elementos de gestión de riesgos en las políticas, procedimientos y manuales existentes clave. Los roles y responsabilidades en la gestión de riesgos también pueden pasar del documento marco a las descripciones de puestos y a los estatutos de los comités.
Estoy hablando de un documento llamado marco, manual, procedimiento, etc., no del marco de gestión de riesgos en el sentido de la ISO31000.
Registro de riesgos a nivel empresarial
Los registros de riesgos a nivel de toda la empresa son bastante comunes, pero son tan RM1. También en tantos niveles. ¿Puedes imaginarte siquiera a un auditor que no solicitaría automáticamente un registro de riesgos?Algunos auditores particularmente malos incluso pueden solicitar un registro de riesgos y oportunidades. Realmente parece no haber límite para la estupidez en estos días.
Los registros de riesgos centralizados y a nivel de toda la empresa no ayudan a los tomadores de decisiones tomar decisionesTambién es completamente ingenuo pensar que una única metodología consolidada y criterios de riesgo sean capaces de abordar todo el universo de riesgos que enfrenta una organización. De hecho, las organizaciones que cambiaron a RM2 han descubierto que diferentes decisiones requieren diferentes metodologías de análisis de riesgos y diferentes criterios.
El uso de técnicas de análisis de riesgos cualitativos también es RM1, ya que no proporcionan suficientes conocimientos para los tomadores de decisiones.
Se dispone de más información aquí.
Informes de riesgo
Sorprendentemente, actualizar un informe de riesgos trimestral también es RM1. No ayuda a los tomadores de decisiones. Los tomadores de decisiones necesitan que la información sobre riesgos se presente en contexto, junto a la información de rendimiento, dentro del informe normal de rendimiento de la gestión vinculado a cómo los riesgos afectan el logro de los objetivos.
Se dispone de más información aquí yaquí.
Indicadores clave de riesgo
Incluso tener indicadores clave de riesgo es potencialmente RM1, porque ¿por qué crear indicadores separados para riesgos fuera del ciclo típico de gestión del rendimiento, cuando simplemente puedes ampliar los KPIs existentes para cubrir los riesgos que consideres importantes? Incluso hay un nombre para ello, indicadores adelantados, y existían mucho antes de que los gestores de riesgos inventaran los KRI.
Además, ¿por qué perder tiempo rastreándolos y monitoreándolos? simplemente deja que la unidad de negocio responsable de la gestión del rendimiento se encargue de ello como lo hacen con todos los demás KPIs.
Se puede encontrar más información aquí.
comité de gestión de riesgos
Ok, técnicamente hablando, tener un Comité de Riesgos de gestión separado (no confundir con un comité de riesgos de la Junta) es RM1. Pero por alguna razón, tiene un impacto positivo enorme en la cultura en general, así que lo conservé. El comité de gestión de riesgos es tanto RM1 como RM2.
¿Qué más es RM1? 3 líneas de defensa, responsables de riesgos, planes de mitigación de riesgos, divulgación en los informes anuales, comparación de gestión de riesgos y muchas otras cosas.
– – – – – – – – – – – – – – – – – – – – –
RISK-ACADEMY ofrece capacitación y servicios de consultoría en toma de decisiones y gestión de riesgos. Nuestros programas de capacitación en gestión de riesgos corporativos están diseñados específicamente para promover la toma de decisiones basada en riesgos y la integración de la gestión de riesgos en los procesos empresariales. Los gestores de riesgos de todo el mundo nos llaman para ayudar a vender la idea de integrar el análisis de riesgos en la toma de decisiones y utilizar técnicas de análisis de riesgos cuantitativos. Consulta el curso más popular para tomadores de decisiones https://riskacademy.blog/product/risk-based-decision-making-executives/o nuestros programas dedicados para ayudar a los gerentes de riesgos a aprender los fundamentos del análisis de riesgo cuantitativo https://riskacademy.blog/product/risk-managers-training/También podemos ayudar a auditar la efectividad de la gestión de riesgos o desarrollar una hoja de ruta para la integración de la gestión de riesgos en la toma de decisiones. https://riskacademy.blog/product/g31000-risk-management-maturity-assessment/