La gestión de riesgos está en el borde de algo muy interesante y emocionante en este momento.
Por un largo tiempo, se creyó que haciendo una buena gestión de riesgos todos los actores clave de una compañía estarían satisfechos, pero la realidad es que los distintos tipos de actores quieren cosas completamente diferentes:
- La RM1 (Risk Management 1, en inglés) es la gestión de riesgos para actores externos, como accionistas, auditores/as, entes reguladores, gobiernos, agencias calificadoras, compañías de seguros, y bancos.
- La RM2 (Risk Management 2) es la gestión de riesgos para los/las tomadores de decisiones dentro de la empresa.
En este artículo, se argumenta que RM1 y RM2 son totalmente diferentes.
¿Cuál deberíamos aplicar en nuestra organización?
Si bien RM2 se presenta como la opción superadora, no quiere decir que haya que elegir entre RM1 Y RM2. Ambas necesitan llevarse a cabo, ya que los entes reguladores, los bancos y la mayoría de los actores externos siguen esperando que las empresas sigan aplicando RM1. Entonces la elección es qué tanto tiempo se le dedica a cada una.
La regla de oro sería dedicar un 10% del tiempo a RM1 y un 90% a RM2, pero ésto es básicamente lo opuesto a cómo la mayoría de los negocios operan hoy en día. Irónicamente, argumentan que la RM1 les consume tanto tiempo que, por más que quieran, no les queda tiempo para la RM2. Ésto simplemente no es cierto.
La mejor manera de explicar ésto es agrupar las actividades comunes de gestión de riesgos en dos grupos, y demostrar cómo se puede ahorrar una cantidad significativa de tiempo de RM1 para que sea redistribuido a RM2.
Apetito del Riesgo
En RM2, no es necesario declarar el apetito del riesgo en un documento separado, porque todos los límites ya están contenidos en las políticas corporativas.
Si un ente regulador, auditor/a, o accionista insiste en contar con un documento separado, debemos explicarle que es un pedido innecesario, o confeccionar uno a partir de las políticas existentes, enlazándolo con los objetivos estratégicos. No gastemos tiempo de la empresa en entrevistas, discusiones y consultas; se trata simplemente de copiar y pegar.
¿Qué pasa si las políticas existentes no tienen demarcados todos o algunos de sus límites? Entonces debemos actualizar esas políticas. Generar declaraciones de apetito del riesgo que dupliquen lo que ya deberían decir las políticas de la compañía difícilmente ayudará a quienes toman las decisiones.
Marco de Referencia para la Gestión de Riesgos*
En RM1 se cuenta con un documento que explique exclusivamente el marco de referencia, mientras que en RM2 se integran elementos de gestión de riesgos en los documentos clave ya existentes: políticas, procedimientos, y manuales de la organización.
Los roles y responsabilidades respecto a la gestión de riesgos también pueden llevarse desde el documento del marco de referencia hacia las descripciones de puestos y estatutos de comité.
*Cabe aclarar que estamos hablando de los documentos llamados marcos de referencia, no del marco de referencia en el sentido de la norma ISO 31000.
Registro Empresarial de Riesgos
Los registros empresariales de riesgos son bastante comunes, y corresponden a RM1 en varios niveles. ¿Pueden imaginar siquiera un/a auditor/a que no pida automáticamente un registro de riesgos? A veces incluso pueden llegar a pedir un registro de riesgos y oportunidades.
Los registros empresariales de riesgos no ayudan a tomar decisiones. Es improbable que la consolidación de una sola metodología y un solo criterio de riesgos sea capaz de afrontar el universo entero de riesgos a los que está expuesta una organización. De hecho, las organizaciones que han evolucionado hacia la RM2 han descubierto que los diferentes tipos de decisiones requieren diferentes metodologías y criterios para el análisis de riesgos.
Usar únicamente técnicas cualitativas para el análisis de riesgos también corresponde a RM1, y no provee las perspectivas necesarias para la toma de decisiones. Aquí hay disponible más información al respecto.
Informes de Riesgos
Actualizar un informe trimestral de riesgos también va en línea con la RM1, y no ayuda realmente a los/las tomadores/ras de decisiones. Quienes toman las decisiones necesitan que la información sobre los riesgos sea puesta en contexto junto a la información sobre el desempeño.
Es decir, se deben aprovechar los informes normales de desempeño de la gestión, mostrando cómo los riesgos afectan al logro de los objetivos.
Indicadores Clave de Riesgo
Incluso contar con Indicadores Clave de Riesgo (KRIs) potencialmente significa que se está practicando la RM1. ¿Por qué crear indicadores separados para los riesgos fuera del típico ciclo de gestión del desempeño, cuando podemos expandir los Indicadores Clave de Desempeño (KPIs) para que cubran los riesgos considerados importantes? Ésto hasta ya tiene un nombre, que existe desde mucho antes que a los gerenciadores de riesgo se les ocurrieran los KRIs: Índice Líder.
Comité de Gestión de Riesgos
Técnicamente hablando, tener por separado un Comité de Riesgos se alinea con la RM1. Pero como tiene un enorme impacto positivo en la cultura de la organización, se conserva. Los Comités de Gestión de Riesgos son tanto parte de RM1 como de RM2.
¿Qué más pertenece a la RM1?
El Modelo de las Tres Líneas de Defensa, la designación de dueños/as del riesgo, las divulgaciones de riesgo en los informes anuales, el benchmarking de gestión de riesgos, y muchas otras cosas más.
Conclusión
En muchos países de Latinoamérica no se ha logrado aún incorporar la RM1 en las organizaciones. Ésto no significa que sea más difícil poder incorporar su evolución, la RM2, sinó todo lo contrario: en vez de tener que abordar todos los desafíos de integrar la gestión de riesgos reuniendo nuevos equipos y creando nuevas herramientas, podremos incorporar elementos de gestión de riesgos en procesos de toma de decisiones, uno a la vez si es necesario. Ésto resulta mucho más manejable y alcanzable.
Y usted, ¿qué opina? ¿Cuál de estos cambios considera que es más factible implementar en su organización?
Ésta es una traducción y adaptación por parte de Ari Yacianci para Risk Academy del artículo original RM1 vs RM2 – Which side will you chose? de Alexei Sidorenko, CRMP.
Check out other risk management books
RISK-ACADEMY offers online courses
Informed Risk Taking
Learn 15 practical steps on integrating risk management into decision making, business processes, organizational culture and other activities!
ISO31000 Integrating Risk Management
Alex Sidorenko, known for his risk management blog http://www.riskacademy.blog, has created a 25-step program to integrate risk management into decision making, core business processes and the overall culture of the organization.
Advanced Risk Governance
This course gives guidance, motivation, critical information, and practical case studies to move beyond traditional risk governance, helping ensure risk management is not a stand-alone process but a change driver for business.
