Hace un tiempo, creé una metodología de madurez de riesgos para la Oficina del Auditor General en uno de los países europeos. Este modelo, con algunas modificaciones, posteriormente se convirtió en la base para la evaluación anual de madurez en riesgos que nuestra empresa y Deloitte realizaron en los países de la CEI durante más de 4 años. También utilicé este modelo de madurez para auditar. gestión de riesgos Eficacia en Europa y Oriente Medio. Entonces, como probablemente puedas adivinar, tengo muchos puntos de datos y pensé que sería interesante que vieras cómo se compara tu empresa y en qué posición se encuentra en términos de integración. RM2 dentro de decisión haciendo.
Para simplificar esto, seleccioné las 10 métricas más interesantes que cubren la integración de gestión de riesgos dentro de decisión creación, planificación y gestión del rendimiento. Cada una de las preguntas tiene tres opciones; la opción A implica poca o ninguna formalidad. gestión de riesgos, la opción B implica RM1 (enfoque de embellecimiento y COSO ineficaz) y la opción C implica RM2 (basado en decisión la ciencia y la teoría de la probabilidad). Cada opción se califica para calcular la madurez general en un 100%.
Consideré este artículo honesto. gestión de riesgos punto de referencia porque las empresas no obtienen ninguna puntuación por RM1. RM1 no es gestión de riesgos.
Madurez general del riesgo
En los últimos años, más de 500 empresas han participado. Según la evaluación general de madurez, menos del 10% de las empresas encuestadas comenzaron su RM2 viaje. La mayoría de los participantes indicaron poco o nada formal. gestión de riesgos o varios tipos de RM1, lo cual es una buena manera de decir que no es eficaz gestión de riesgosLos resultados son alarmantes, por no decirlo. Vamos a investigar dónde se encuentra el problema en cada una de las 10 preguntas a continuación.
1. Integración en la planificación y presupuestación
Solo el 23% de los encuestados afirma tener RM2 prácticas al integrar el análisis de riesgos en la planificación y presupuestación. El 77% tiene una integración limitada o nula, lo que implica gestión de riesgos es puramente un ejercicio de gobernanza corporativa, maquillaje contable y promesas vacías.
- Los riesgos relacionados con el logro de los objetivos estratégicos o el presupuesto no se analizan o se analizan después de que la estrategia o el presupuesto han sido aprobados – 40%
- Los resultados del análisis de riesgos son considerados por la dirección al establecer metas / formar el presupuesto, sin embargo esto se hace de manera improvisada y no formalizada – 38%
- Gestión de riesgos Está integrado directamente en los procesos de planificación y presupuestación. Las metas, objetivos y presupuesto anual se establecen en función del análisis de riesgos, solo el 23%.
2. El efecto del análisis de riesgos en los objetivos y presupuestos
Solo el 23% de los encuestados afirma tener RM2 prácticas al vincular los resultados del análisis de riesgos con la definición de objetivos o la planificación presupuestaria Esto significa que el 77% de los participantes realizan evaluaciones de riesgos y estas evaluaciones de riesgos existen en un universo paralelo, desconectadas de algo significativo para la empresa. Si el análisis de riesgos está desconectado de la planificación y del presupuesto y los resultados del análisis de riesgos son ignorados por decisión fabricantes y tableros.
- Los objetivos estratégicos y los presupuestos generalmente se actualizan después de que ocurren eventos de riesgo y se incurren en pérdidas, en lugar de hacerlo preventivamente – 23%
- Existe un proceso regular de evaluación de riesgos (anual, semestral, trimestral o mensual). Las evaluaciones de riesgos se inician y llevan a cabo a tiempo, sin embargo, los resultados de las evaluaciones de riesgos no están directamente vinculados a la realización de los objetivos estratégicos y presupuestos – 55%
- Los resultados del análisis de riesgos afectan directamente la revisión de los objetivos estratégicos y los presupuestos -23%
3. Integración en el decisión-procesos de fabricación
Solo el 25 % afirmó que las decisiones estratégicas, presupuestarias o de inversión importantes son tomadas por la dirección solo después de realizar un análisis exhaustivo de riesgos, analizar alternativas y discutir las acciones de mitigación. El 75 % no realiza de manera regular y sistemática análisis de riesgos para decisiones importantes.
- Las decisiones estratégicas y de inversión son tomadas por la alta dirección a lo largo del año sin ningún análisis de riesgo sistemático, estructurado o transparente – 33%
- El análisis de riesgos se realiza solo para algunas decisiones importantes, sin embargo esto se hace de forma improvisada – 43%
- Las decisiones estratégicas, presupuestarias o de inversión significativas son tomadas por la dirección solo después de realizar un análisis exhaustivo de riesgos, se analizan las alternativas y se discuten las acciones de mitigación – 25%
4. Discutiendo riesgos con la Junta
El 30% de los participantes afirma tener una comunicación de riesgos clara y transparente con la Junta. Para ellos, cuestiones relacionadas con gestión de riesgos se discuten como parte de cada significativo decisión en lugar de ser un punto separado de la agenda. El 70% ya sea no discute los riesgos con la Junta o lo hace en intervalos predefinidos desconectados de las decisiones tomadas por la Junta.
- Cuestiones relacionadas con gestión de riesgos No se incluyen regularmente en la agenda de la Junta – 23%
- Cuestiones relacionadas con gestión de riesgos se discuten en el Consejo de Administración con periodicidad trimestral, una vez cada seis meses o, como mínimo, anualmente – 48%
- Cuestiones relacionadas con gestión de riesgos se discuten como parte de cada significativo decisión en lugar de ser un punto separado de la agenda. Los riesgos se presentan de manera sistemática, coherente y completa. En situaciones de alta incertidumbre gestión de riesgos Los profesionales están invitados a la reunión de la Junta Directiva para participar en la sesión actual. decisión-proceso de fabricación – 30%
5. Documentación de los resultados del análisis de riesgos
El 44% de los participantes afirma que los resultados del análisis de riesgos están documentados e incluidos en los materiales que acompañan a cada elemento significativo. decisiónEsta es probablemente la respuesta más positiva que hemos visto hasta ahora. Todavía el 56 % no documenta bien los resultados del análisis de riesgos, creando ninguna pista de auditoría, ninguna posibilidad de retroalimentación y validación.
- El análisis de riesgos es informal y no está documentado en absoluto – 26%
- Se realiza algún análisis de riesgos, pero los resultados no siempre se documentan – 31%
- Los resultados del análisis de riesgos están documentados e incluidos en los materiales que acompañan a cada significativo. decisión – 44%
6. Integración en los procesos operativos principales
Sólo el 30% de los participantes afirmó que gestión de riesgos está integrado en los procesos operativos centrales dentro de sus organizaciones (ventas, producción, logística, etc.). El 70% continúa tratando. gestión de riesgos como un ejercicio independiente limitando el valor que obtienen de lo eficaz gestión de riesgos.
- La organización identifica, analiza y gestiona únicamente aquellos tipos de riesgos que están regulados por la ley – 35%
- Los riesgos asociados con los procesos operativos principales se identifican, evalúan y gestionan con una frecuencia determinada (trimestral, semestral o anual) – 35%
- Gestión de riesgos está integrado en los procesos operativos centrales, los riesgos no se analizan a una frecuencia determinada, sino como una parte integral de las actividades operativas – 30%
7. Gestión de riesgos técnicas utilizadas
Solo el 28% de los participantes afirma estar usando RM2 técnicas que vinculan la información de riesgos con los objetivos y decisiones. El 72% no realiza análisis de riesgos ni utiliza técnicas que han sido científicamente comprobadas como ineficaces. El 72% de las empresas encuestadas lo hacen. gestión de riesgos, pero probablemente sea mejor si no lo hicieron. El 55% utiliza mapas de calor y registros de riesgos para almacenar y comunicar información sobre riesgos, realmente es un día triste para la profesión de riesgos.
- Los resultados de la evaluación de riesgos no están documentados – 18%
- Los resultados de la evaluación de riesgos se documentan como mapas de calor y/o registros de riesgos – 55%
- Los resultados de la evaluación de riesgos se documentan en forma de indicadores comerciales o indicadores clave de rendimiento basados en el riesgo (CF@Risk, Earnings@Risk, RAROC, KPI@Risk, Schedule@Risk), que muestran el efecto de los riesgos en los objetivos de la empresa – 28%.
8. Integración en los procesos de back-office (adquisiciones, finanzas, TI, legal, etc)
Solo el 23% de los participantes afirmó que gestión de riesgos está integrado en los procesos de back-office dentro de sus organizaciones (adquisiciones, finanzas, TI, legales, etc). El 77% continúa tratando gestión de riesgos como un ejercicio independiente separado y hasta ahora no han logrado optimizar los procesos de back office a través de gestión de riesgos.
- Las evaluaciones de riesgos en los procesos de oficina y funciones de apoyo se realizan de manera informal o ex post facto: 28%
- Los riesgos asociados con los procesos de back-office se identifican, evalúan y gestionan con una frecuencia determinada (trimestral, semestral o anual) – 50%
- Gestión de riesgos está totalmente integrado en los procesos de back-office, los riesgos se analizan no a una frecuencia determinada, sino como una parte integral de las actividades operativas – 23%
9. Gestión de riesgos divulgación en los informes de gestión
El 35% de los participantes afirman proporcionar divulgación transparente sobre gestión de riesgos en informes financieros y de gestión. Dado el valor que la divulgación puede generar con las aseguradoras, agencias de calificación crediticia, partes interesadas y auditores, esto es muy sorprendente.
- Gestión de riesgos La información no está cubierta en los informes financieros o de gestión – 33%
- La organización divulga gestión de riesgos información conforme a los requisitos mínimos para la elaboración de informes anuales y estados financieros – 33%
- Información sobre la existencia de un sistema sistemático e integrado gestión de riesgos enfoque, gestión de riesgos Los procedimientos y los resultados del análisis de riesgos se presentan en los informes financieros y de gestión de acuerdo con los principios ISO 31000:2018. Acciones destinadas a desarrollar gestión de riesgos La cultura también está cubierta – 35%
10. Interacción con la Auditoría Interna
Solo el 30 % de los participantes afirma tener un intercambio efectivo de información de riesgos bidireccional con los equipos de auditoría interna. reclamación del 28% gestión de riesgos los procesos no están vinculados a la auditoría interna ni a las actividades de control interno, lo que probablemente violará algunas normas de la IIA.
- Gestión de riesgos Los procesos no están vinculados a la auditoría interna ni a las actividades de control interno.
- Gestión de riesgos Los profesionales proporcionan información sobre los riesgos al departamento de auditoría interna para crear planes de auditoría basados en riesgos y al departamento de control interno para optimizar el sistema de control interno dentro de la organización.
- Todas las actividades de auditoría interna y control interno (plan de auditoría, estructura de informes, alcance del trabajo) se basan en información de riesgos. La información sobre debilidades de control y los hallazgos de la auditoría interna son utilizados por los gestores de riesgos para realizar evaluaciones de riesgo cuantitativas para respaldar a la alta dirección y al Consejo de Administración. decisión haciendo
¿En qué nivel de madurez en riesgos se encuentra su empresa?
EVALÚA LA MADUREZ DEL RIESGO DE TU EMPRESA
Ver otros gestión de riesgos libros
RISK-ACADEMY ofrece cursos en línea
Toma de Riesgos Informada
Aprende 15 pasos prácticos para la integración. gestión de riesgos dentro de decisión creación, procesos de negocio, cultura organizacional y otras actividades!
ISO 31000 Integración Gestión de Riesgos
Alex Sidorenko, conocido por su gestión de riesgos blog http://www.riskacademy.blog, ha creado un programa de 25 pasos para integrar gestión de riesgos dentro de decisión la creación de los procesos centrales del negocio y de la cultura general de la organización.
Gobernanza de Riesgos Avanzada
Este curso ofrece orientación, motivación, información crítica y estudios de casos prácticos para ir más allá de la gobernanza tradicional del riesgo, ayudando a garantizar gestión de riesgos No es un proceso independiente, sino un motor del cambio para el negocio.