El concepto de apetito por el riesgo ha existido durante años, pero aún muchos profesionales de riesgos se sienten confundidos e inseguros sobre cómo cuantificar, formalizar y documentarlo. Bueno, la respuesta corta es QUE NO NECESITAS HACERLO. Hay una mejor manera.
Primero, avisos legales. El siguiente artículo solo se aplica a empresas no financieras, al igual que todo lo que publico. En los bancos, el apetito por el riesgo todavía puede funcionar bien. No sabría 🙂 Siempre que digo que algo está roto, ofrezco una alternativa que funciona mucho mejor. Solo tienes que ser paciente y terminar de leer el artículo.
La mayoría de las organizaciones ya han documentado sus apetitos para diferentes decisiones comunes o actividades empresariales. Segregación de funciones, financiamiento y límites de acuerdos, criterios de selección de proveedores, criterios de inversión, tolerancia cero a fraudes o riesgos de seguridad, son todos ejemplos de cómo las organizaciones establecen su apetito de riesgo. Los apetitos por diferentes tipos de riesgos han existido durante décadas. No todos los riesgos, pero la mayoría de ellos.
Entonces, ¿de qué trata este reciente bombo sobre el apetito por el riesgo? Realmente no mucho, es solo otra distracción de consultoría. Contrariamente a lo que la mayoría de los consultores actuales nos dicen, creo que cualquier intento de agregar riesgos en una sola declaración de apetito de riesgo en empresas no financieras es tanto innecesario como poco realista. Incluso tener pocas declaraciones separadas de apetito por el riesgo es totalmente perder el sentido.
Pregunta a RAW@AI sobre esta publicación o simplemente habla sobre la gestión de riesgos
Después de todo, la apetencia de riesgo es solo una herramienta para ayudar a la dirección a tomar decisiones y ser transparente con las partes interesadas al tomar estas decisiones. ¿O es algo más? Comparte tu opinión en los comentarios.
En lugar de crear declaraciones de apetito de riesgo nuevas y separadas, los gestores de riesgos deberían comenzar revisando las políticas y procedimientos existentes a nivel de la Junta para identificar:
- decisiones comerciales significativas que ya tienen un apetito de riesgo establecido. Por ejemplo, una empresa puede tener una política a nivel de Junta que prohíbe cualquier emprendimiento comercial con organizaciones que utilicen trabajo infantil o que estén bajo sanciones económicas. O puede tener un requisito documentado de no invertir en proyectos de alto riesgo por encima de un cierto límite (mi antigua empresa, por ejemplo, no financiaría empresas de alto riesgo mediante deuda, solo mediante capital con cierto control de supervisión). O la empresa puede tener una política financiera que prohíbe mantener más del 20% de efectivo en un solo banco. O bien, la empresa puede tener una política de no otorgar crédito comercial adicional a los deudores morosos. Y muchos, muchos más ejemplos. En los casos en los que ya se ha establecido el apetito de riesgo, los gestores de riesgos deben trabajar con los auditores internos para probar si los límites son realistas y si de hecho se cumplen. Déjame aclararlo muy bien, el 80% del tiempo las apetencias por diferentes decisiones empresariales ya han sido establecidas y todo lo que el gestor de riesgos tiene que hacer es validar, monitorear, reportar cualquier actividad inusual.
- Para los riesgos en los que no se haya establecido previamente un apetito por parte de ninguna de las políticas o procedimientos existentes, el gestor de riesgos debe trabajar con los propietarios del negocio para desarrollar límites de riesgo e incorporarlos en las políticas y procedimientos existentes. Los límites de riesgo se pueden dividir en tres grupos "tolerancia cero", aceptable dentro de límites cuantitativos o aceptable dentro de límites cualitativosEste es el otro 20%. Los gestores de riesgos deberían usar la simulación de Monte Carlo, el análisis de escenarios o decisión árboles para documentar apetitos de riesgo. Una vez establecidos y documentados, los apetitos o límites de riesgo para diferentes tipos de decisiones deben revisarse periódicamente para mantenerse actualizados y aplicables.
Creo firmemente que los apetitos de riesgo deben y pueden integrarse en los documentos existentes a nivel de Junta y, muy rara vez, si es que alguna vez, publicarse como declaraciones separadas de apetito de riesgo.
– – – – – – – – – – – – – – – – – – – – –
RISK-ACADEMY ofrece decisión haciendo y gestión de riesgos servicios de capacitación y consultoría. Nuestro corporativo gestión de riesgos Los programas de formación están diseñados específicamente para promover el enfoque basado en el riesgo. decisión fabricación e integración gestión de riesgos en procesos de negocio. Los gestores de riesgos de todo el mundo nos llaman para ayudar a vender la idea de integrar el análisis de riesgos en decisión La elaboración y el uso de técnicas de análisis de riesgos cuantitativos. Descubre el curso más popular para decisión creadores https://riskacademy.blog/product/risk-based-decision-making-executives/o nuestros programas dedicados para ayudar a los gerentes de riesgos a aprender los fundamentos del análisis de riesgo cuantitativo https://riskacademy.blog/product/risk-managers-training/. También podemos ayudar a auditar gestión de riesgos eficacia o desarrollar una hoja de ruta para gestión de riesgos integración en decisión haciendo https://riskacademy.blog/product/g31000-risk-management-maturity-assessment/
Ver otros gestión de riesgos libros
RISK-ACADEMY ofrece cursos en línea
Toma de Riesgos Informada
Aprende 15 pasos prácticos para la integración. gestión de riesgos dentro de decisión creación, procesos de negocio, cultura organizacional y otras actividades!
ISO 31000 Integración Gestión de Riesgos
Alex Sidorenko, conocido por su gestión de riesgos blog http://www.riskacademy.blog, ha creado un programa de 25 pasos para integrar gestión de riesgos dentro de decisión la creación de los procesos centrales del negocio y de la cultura general de la organización.
Gobernanza de Riesgos Avanzada
Este curso ofrece orientación, motivación, información crítica y estudios de casos prácticos para ir más allá de la gobernanza tradicional del riesgo, ayudando a garantizar gestión de riesgos No es un proceso independiente, sino un motor del cambio para el negocio.
Alex, ¿no debería una declaración de apetito por el riesgo ser una cuantificación del riesgo aceptable para una clase de riesgos en comparación con una Curva de Exceso de Pérdidas que se genera para el riesgo individual, ¿en sí misma?
Si asumimos que estamos hablando de una empresa no financiera, entonces no debería haber una declaración de apetito por el riesgo en absoluto. La apetencia de riesgo es el criterio/límites para la toma de decisiones y debe estar documentada en los documentos existentes a nivel de Junta que describen ese tipo de decisiones, como por ejemplo, las directrices de inversión que tendrían apetencias para diversas decisiones de inversión o la política financiera que tendría apetencia por contrapartes bancarias, concentración, gestión de efectivo y perfil de riesgo.
Estoy de acuerdo en que, en términos generales, las políticas deben articular el apetito por el riesgo. Sin embargo, las políticas a menudo implican una aceptación de riesgo menor de la que realmente puede aceptar la dirección y el consejo de administración, y se centran en medidas preventivas en lugar de en el riesgo residual específicamente determinado. Tomemos la seguridad informática como ejemplo; la política de seguridad informática generalmente no reconoce un umbral de incidentes de seguridad como medida de rendimiento, que, si se supera, debería justificar procedimientos adicionales y costos. Un umbral predefinido (apetito) también sirve como herramienta operativa para comunicar niveles de rendimiento. Veo más potencial en incorporar descripciones de apetito (cuantitativas y cualitativas) en las políticas corporativas, especialmente cuando los objetivos establecidos en la política no reflejan niveles mínimos aceptables.
No entiendo tu punto. Seguramente, si ese es realmente el caso, tiene más sentido corregir las políticas existentes a nivel de la Junta en lugar de crear documentos adicionales de apetito por el riesgo. La gestión de riesgos no consiste en agregar cosas nuevas, sino en cambiar lo existente para que sea más basado en riesgos. Eso vale para todo.
De acuerdo. Disclaimer: I work for a financial institute… but the following should be true for non financial companies as well. Y sí, puedo entender que los autores intenten ser controvertidos 🙂
En mi experiencia, tiene sentido definir el marco de apetito de riesgo en una política dedicada de apetito de riesgo, no disperso en otras políticas. ¡Pero esta política solo establece los principios y la gobernanza, no límites concretos! Esa política debe contener los objetivos de apetito de riesgo a nivel alto basados en los objetivos estratégicos, y un principio como: "para todos los tipos de riesgo importantes para nuestra empresa, deben establecerse límites de tolerancia al riesgo medibles y ser monitoreados". También debe contener una forma uniforme de responder a las violaciones del apetito de riesgo, porque la alta dirección necesita ser informada sobre cualquier incumplimiento de la tolerancia al riesgo, sin importar cuál sea el tema o la política relacionada. La razón de tener esto en una política de "umbrella" es para tener la misma gobernanza para todas las brechas, sin importar quién sea el propietario del riesgo.
Pero estoy completamente de acuerdo con Alex en que, cuando eso esté en marcha, los límites concretos deberían formar parte de las políticas de primera línea para garantizar una propiedad adecuada (por ejemplo, la política de viajes para el número permitido de personal senior en un vehículo, la política de seguridad informática para la disponibilidad del sistema o el número de intentos de hacking, la política de BCM para los objetivos de tiempos de recuperación, etc.).
Históricamente, el apetito y la tolerancia al riesgo no son lo mismo. No fue una confusión de términos o semántica. Al educar a los líderes sobre gestión de riesgos, especialmente planificación de capital, mercados emergentes y estrategia, las definiciones y significados son muy importantes. Pero parece que últimamente hay un poco de conceptos de riesgo de la nueva era, así que para cada uno lo suyo. También gracias por compartir tu enlace. Me alegra que hayas aclarado que no estás hablando de servicios financieros. Creo que donde las organizaciones que no ofrecen servicios financieros tienen dificultades es en hacer la transición y traducir el apetito y la tolerancia al riesgo. Pero, al igual que en los servicios financieros, existe riesgo de mercado, especialmente si estás haciendo algo con CMS. Desde una perspectiva de gestión de riesgos, puede tener una cola izquierda o derecha en lugar de una distribución estándar. Sin embargo, cada organización necesita una persona de riesgos que pueda traducir lo que eso significa para ti. Cada tipo de entidad debe tener una definición de tolerancia y apetito. Incluso en tu propia casa y familia debería estar definido. Deberías saber cuáles son tus límites y qué escenarios te permiten cambiar la tolerancia de un objetivo a otro. Muy interesante
Reblogueé esto en GAMONT S.A..
Estoy de acuerdo en que la configuración de políticas debe alinearse/reflejarse con el apetito de riesgo, pero difícilmente es eficiente o rentable que cada área de negocio revise constantemente cada política para determinar el apetito de originaciones. Tener un documento de una o dos páginas que pueda consultarse fácilmente y que demuestre la posición de la organización sobre temas comunes sí facilita la vida.
Suposición incorrecta.