La nueva ISO 31000 ¿Estás preparado?

Original available on AGERS website https://agers.es/sexto-numero-la-revista-observatorio-gerencia-riesgos/

Después de  más  de  5  años  de  preparación y miles de comentarios recibidos de representantes de 54 países, así como de múltiples organizaciones relacionadas con este tema, la norma ISO 31000 actualizada está atravesando la etapa final de comentarios, cuya publicación se espera a principios de 2018.

En este breve artículo, intentaré resumir los cambios realizado en la ISO 31000, la norma más conocida internacionalmente de Gerencia de Riesgos, y cómo afectarán los cambios a las empresas de toda Europa.

Cambios clave propuestos en la versión 2018. No son significativos.

Cinco años trabajando en ello y miles de comentarios después recibidos se puede concluir que no habrá cambios significativos en relación a la versión de 2009. Esto significa que esta versión ya era excelente y sólo necesitaba remarcar algunos aspectos, o podría darse a entender que los miembros de la ISO TC262 no tenían intención de cambio o de innovación. En realidad, el documento original ya enumeró todos los principios y conceptos correctos. Entonces, ¿qué ha variado?

Detallamos algunos de los cambios más importantes:

• El documento es más Ahora solo tiene 15 páginas (sin incluir cubiertas y bibliografía)
• El número de principios se ha reducido de 11 a 8 sin perder ninguno de los mensajes importantes
• La norma refuerza el propósito de la gerencia de riesgos. Según los autores, el objetivo del marco de la gerencia de riesgos es ayudar a la organización a integrar la gestión de riesgos en todas sus actividades y funciones. La efectividad de la gestión del riesgo dependerá de su integración en la gobernanza y de todas las actividades de la organización, incluida la toma de
• Se agrega la responsabilidad de los altos niveles de gestión y supervisión. Deben garantizar que la gestión del riesgo se integre en todas las actividades de la organización ycumpla liderazgo y compromiso.

• El concepto de integración se refuerza en todo el documento. A continuación, algunos ejemplos:
  • La gerencia de riesgos debe ser parte de, y no estar separada del propósito organizacional, la gobernanza, el liderazgo y el compromiso, la estrategia, los objetivos y las
  • Diseñado e implementado adecuadamente, el marco de gerencia de riesgos garantizará que el proceso de gestión de riesgos sea una parte de todas las actividades dentro de la organización, incluida la toma de decisiones, y que los cambios en los contextos internos y externos se reflejen
  • La organización debe mejorar continuamente la idoneidad, adecuación y eficacia del marco de la gerencia de riesgos y la forma en que se integra.
  • El proceso de gestión  de  riesgos  debe  ser una parte integral de la gestión  y  la  toma de decisiones y debe integrarse en la estructura, las operaciones y los procesos de la organización.

• La nueva norma establece explícitamente que puede haber muchas aplicaciones del proceso de gestión de riesgos dentro de una organización, personalizadas para lograr los objetivos y para adaptarse al contexto externo e interno en el que se
• El estándar también aborda la naturaleza dinámica y variable del comportamiento y la cultura humana, que debe considerarse a lo largo del proceso de gestión de

Estos mensajes no son nuevos, refuerzan el tipo de gestión de  riesgos  que  se  integra en las actividades comerciales  y  los procesos clave de toma de decisiones.

El  tipo  de  gestión  de  riesgos  que  no se realice de manera periódica (trimestral, mensual,  etc.),  tendrá que hacerse en el momento de la toma de decisiones o como parte del proceso o actividad empresarial.

¿Qué significa para las   empresas europeas?

Dado que todos los cambios refuerzan las ideas ya existentes ¿significa esto que los gerentes de riesgo europeos no tengan nada que hacer? Ojalá pudiera decir que esto fuera cierto para todos.

En realidad, es correcto para los Gerentes de Riesgos que han aplicado los principios de la ISO 31000 desde su publicación en 2009. En 14 años trabajando en la gerencia de riesgos he conocido a menos de 10 personas a nivel mundial que apliquen la norma. Sin embargo, aquí encontrarás algunas referencias de éxito

• Integración de la gerencia  del  riesgo  en la planificación estratégica: el efecto de la incertidumbre en  los objetivos  estratégicos se evalúa en el momento en que se formula la estrategia y no después de que la Junta la El análisis de riesgos  se  convierte en un paso importante de la configuración de estrategia real y los procesos de actualización. Los gerentes de riesgos utilizan el análisis o el modelo de simulación para presentar una opinión independiente sobre los objetivos estratégicos, la probabilidad de alcanzarlos y el impacto que los riesgos pueden llegar a tener en su cumplimiento.
• Integración en    el presupuesto: si bien es bastante común presupuestar usando tres escenarios (optimista,  realista y pesimista), puede no ser suficiente desde el punto de vista de la gestión del riesgo. Estos escenarios a menudo se forman sin la participación del equipo de gestión de riesgos o incluso sin la debida consideración de los riesgos reales, asociados con el presupuesto. Por lo tanto, incluso los escenarios pesimistas a menudo no representan riesgos significativos, creando una imagen excesivamente optimista y engañosa para los ejecutivos y los responsables de la toma de decisiones. El análisis de riesgos adecuado puede aportar un valor significativo al proceso de elaboración de presupuestos. Los gerentes de riesgos deberían revisar y mejorar los supuestos de gestión utilizados en el análisis de situación, o introducir el uso de modelos de simulación para asegurarse de que se consideren todos los riesgos importantes y se evalúe su impacto sobre la liquidez. El análisis de riesgos ayuda a reemplazar los presupuestos estáticos, puntuales, con una distribución de valores posibles. También ayuda a establecer KPI´s de gestión basados en la información del riesgo,  lo  que  mejora la probabilidad de que se logre y reduce el conflicto de intereses que puedan tener el departamento de finanzas y el equipo de administración al presentar un presupuesto excesivamente positivo. Un buen análisis ayuda a identificar los riesgos más críticos que afectan al presupuesto, permitiendo que la administración asigne la propiedad y determine el presupuesto para la mitigación de los mismos.
• Integración en la gestión del rendimiento: la gerencia del riesgo podría integrarse en el ciclo de gestión del rendimiento de la organización, tanto a nivel individual como a nivel corporativo. Uno de los gerentes de riesgos que ha colaborado compartió un ejemplo en el que los indicadores de rendimiento clave corporativos (KPI) estáticos tradicionales fueron reemplazados por KPIs dinámicos, basados en riesgos y rango. Esto permitió a la administración tener rangos de valores en lugar de un solo. Algunos KPI´s se mantuvieron como estimaciones de valor único. Sin embargo, fueron calculados como el 95% de la distribución de valores posibles en función de la simulación de Montecarlo. También se pueden establecer indicadores clave del riesgo para los KPI corporativos con el fin de mejorar el monitoreo y el seguimiento del rendimiento. A nivel individual, los KPIs de gestión de riesgos pueden establecerse en las tomas de decisiones basadas en riesgos, mitigación, calificaciones de capacitación  o  evaluación  de auditorías internas de la efectividad de la gerencia de riesgos en diferentes unidades de negocios.
• Integración en la toma de decisiones de inversión: el uso de la simulación permite no solo estimar el rango de los costos del proyecto y los retornos esperados, sino también las suposiciones más significativas hechas por la gerencia que afectan a los indicadores clave de desempeño del proyecto. Para ellos, ISO31000: 2018 será un buen refuerzo de lo que han estado haciendo durante años. Sin embargo, la mayoría de los gerentes de riesgo en compañías no financieras eligen conformarse con actualizaciones regulares     de     registros,     informes     y documentos de marcos de gestión de riesgos independientes.

 

Todas estas prácticas son relativamente ineficaces y nunca se alinearon bien con los principios originales de ISO 31000. Entonces, para ellos, el nuevo estándar es una oportunidad maravillosa para reevaluar las metodologías actuales de gestión de riesgos y comenzar a construir un caso de negocios sobre por qué la gestión de riesgos debe integrarse mejor en la toma de decisiones y el proceso comercial clave.

 

 

Las asociaciones nacionales e internacionales de gestión de riesgos tienen un papel importante que desempeñar en la toma de conciencia sobre la nueva ISO 31000 para ayudar a integrar los principios de la gerencia de riesgos en la legislación nacional y las directrices emitidas por el gobierno.

 

– – – – – – – – – – – – – – – – – – – – –

RISK-ACADEMY offers decision making and risk management training and consulting services. Our corporate risk management training programs are specifically designed to promote risk-based decision making and integrating risk management into business processes. Risk managers all over the world call us in to help sell idea of integrating risk analysis into decision making and using quantitative risk analysis techniques. Check out most popular course for decision makers https://riskacademy.blog/product/risk-based-decision-making-executives/ or our dedicated programs to help risk managers learn the foundations of quant risk analysis https://riskacademy.blog/product/risk-managers-training/. We can also help audit risk management effectiveness or develop a roadmap for risk management integration into decision making https://riskacademy.blog/product/g31000-risk-management-maturity-assessment/