Es desconcertante, ¿verdad? La gestión de riesgos, un campo que ha sido formalizado y estandarizado en empresas no financieras desde la década de 1990 y aceptado ampliamente en 2009 con la publicación de la ISO31000, de alguna manera no parece haber provocado los cambios sísmicos que anticipábamos. Al hojear artículos en Forbes, encuentro más historias de "la gestión de riesgos ha fallado nuevamente" que de "éxito".
Los gestores de riesgos de todo el mundo han estado rascándose la cabeza por el problema. Cada conferencia de gestión de riesgos, cada encuesta de riesgos, muchos estudios académicos y grupos de trabajo intentaron identificar las barreras para la efectividad de la gestión de riesgos. Pero la ironía es evidente; las conclusiones que se sacan a menudo parecen rascar la superficie, dejando las causas raíz intactas. Entonces, ¿qué está fallando?
En mis ojos, la respuesta es clara, aunque un poco dura: los gestores de riesgos deben ser realmente malos en la habilidad básica de análisis de causa raíz. Ahora, antes de que discutas, profundicemos un poco más.
Año tras año, se identifican los culpables comunes por el pobre rendimiento de la gestión de riesgos: falta de integración, mala aplicación, necesidad de capacitación del personal; la lista continúa. Sin embargo, estas razones parecen más como señuelos, distracciones de los verdaderos problemas en cuestión.
Pregunta a RAW@AI sobre esta publicación o simplemente habla sobre la gestión de riesgos
En cambio, argumento que la causa raíz son las fallas fundamentales en el diseño de la gestión de riesgos en sí misma. Tomemos el ejemplo más popular: el concepto de ERM. No es que nuestro personal necesite una mejor educación o que de alguna manera la estemos implementando mal. ERM está defectuoso por diseño. Es una tontería incluso intentar implementar la gestión de riesgos empresariales en toda la organización. Aquí tienes un desafío, escribe cualquier principio de ERM en los comentarios a continuación y explicaré cómo está equivocado y cuál es una mejor alternativa. Hay muchas ideas prácticas y útiles de gestión de riesgos bajo el paraguas de la GRC, pero la forma en que estas ideas se reúnen y se presentan como GRC es simplemente un mal negocio.
¿Qué hay del siguiente favorito, las evaluaciones cualitativas de riesgos, una piedra angular de las prácticas actuales de gestión de riesgos? A menudo se les ignora, no porque los empleados carezcan del conocimiento para comprenderlos, sino porque son inherentemente engañosos. Los tomadores de decisiones ignoran a los gestores de riesgos con sus talleres de riesgos no porque sean malvados, sino porque ven a través de las fallas de la metodología para darse cuenta de cuánto tiempo perdido es eso. Talleres de riesgo destinados a descubrir amenazas ocultas, pero que a menudo son solo cámaras de eco, donde las voces fuertes dominan y los riesgos reales se pasan por alto.
¿Otra señal de advertencia? Declaraciones de apetito por el riesgo. Son bastante en papel, pero en la práctica son vagas, sujetas a interpretación y rara vez vinculadas a decisiones comerciales reales. Porque los apetitos de riesgo para las decisiones comerciales existentes ya están documentados en lugares completamente diferentes.
Incluso el sistema de reporte de riesgos forma parte del problema. Largos, centrados en el riesgo, desconectados de las decisiones o el rendimiento, es más probable que confundan que que informen. Terminan enterrados en las bandejas de entrada de los ejecutivos, que tienen poco tiempo para descifrarlos.
Defectuoso por diseño, un ERM efectivo es un oxímoron.
Entonces, ¿dónde nos deja esto? Parece claro que hay un problema fundamental en la forma en que abordamos la gestión de riesgos. No se trata de parchear agujeros o hacer ajustes menores; se trata de volver a la mesa de dibujo. Hacer una mejor declaración de apetito por el riesgo o un mejor mapa de calor es como reorganizar las sillas del Titanic.
Si eres un gestor de riesgos, esto podría ser difícil de escuchar. Pero creo que es una comprobación de realidad necesaria. Necesitamos reconocer los problemas inherentes a nuestros modelos actuales de gestión de riesgos antes de poder avanzar de manera significativa.
¿Qué piensas? ¿Estamos fallando en identificar la causa raíz de la limitada efectividad de la gestión de riesgos? Me encantaría escuchar tus pensamientos.
Tengo un poco de conocimiento sobre este campo hasta ahora, pero según mi opinión, los actuarios son los más adecuados para el rol de gestión de riesgos. Son altamente competentes en habilidades matemáticas y estadísticas junto con conocimientos empresariales. Tienen un conocimiento muy especializado en la previsión de riesgos futuros, implementando diversas habilidades de modelado como ALM (especialmente en el lado de las responsabilidades), pruebas de estrés, análisis de escenarios y una correcta valoración de productos derivados financieros complejos.
https://riskacademy.blog/what-competencies-should-risk-managers-in-non-financial-companies-really-have/ estas son las competencias que necesitan los gestores de riesgos, los actuarios tienen algunas, pero no todas
Aparte del análisis de causa raíz mediante el diagrama de Ishikawa, el análisis de los 5 porqués y otros enfoques; no hay mucho que guíe a los gestores de riesgos en el proceso paso a paso para la identificación de la causa raíz. El análisis de causa raíz verdadero requiere revisiones exhaustivas del proceso/diseño investigativas que pueden ser que lleven mucho tiempo, costosas y a veces inconclusas.
La causa raíz no puede ser estandarizada porque es necesaria en procesos diversos y a veces complejos, y se espera que los gestores de riesgos tengan un conocimiento infinito sobre todos los temas, lo cual no es práctico (por ejemplo, la causa raíz de una interrupción en el suministro eléctrico frente a la causa raíz de un error en la secuenciación del sistema o una falla en equipos especializados, lo que requeriría conocimientos en ingeniería eléctrica, desarrollo de software y conocimientos específicos del equipo). Esto lleva a la pregunta; ¿quién debería gestionar el riesgo, el propietario del riesgo o el gestor del riesgo?
Si el propietario del riesgo puede identificar y remediar sus riesgos, el análisis de la causa raíz probablemente será realizado por alguien que tenga conocimiento y experiencia en el incidente y, por lo tanto, ahorrará tiempo y dinero, además de ofrecer soluciones efectivas. Esto rara vez sucede, ya que los responsables de riesgos son reacios a señalar sus propios problemas por temor a ser culpados, mientras que otros preguntan qué harán los gestores de riesgos si comienzan a hacer el trabajo de los gestores de riesgos.
Se requiere una gran mejora en el análisis de causa raíz y esto solo sucederá si el enfoque basado en riesgos es efectivo, la cultura de riesgos está madura y hay eficiencia en los procesos de gestión de riesgos.
Tu comentario es válido, pero parece omitir el punto principal del artículo. Pista, el artículo no trata sobre la causa raíz, solo es una analogía.
Repensar el pensamiento en las organizaciones es inherentemente difícil, ya que el acto mismo de organizar implica estabilizar estructuras, mantener rutinas y tratar de que los modelos mentales causales funcionen en un entorno complejo y en rápida cambio. La tendencia es ver los cambios descontrolados y las grandes transformaciones como el principal riesgo. Sin embargo, operar a escala y a velocidad requiere dinamismo, asumir riesgos, una cultura que apoye la experimentación y sus implicaciones. Esta tensión dada requiere toma de decisiones y creatividad que implican asumir riesgos. Definir 'Gestión de Riesgos' como una función separada puede servir como un recordatorio de los aspectos a revisar, o puede hacer que los gerentes eviten asumir riesgos, ignoren a los gestores y matrices de riesgos, y/o pasen por alto riesgos mayores de estancamiento y de pasar por alto desafíos estratégicos, modelos mentales subyacentes inválidos y cambios de paradigma...