A raíz de la puesta en funcionamiento de nuestro Blog, muchas personas nos han mostrado su interés en conocer de dónde sale el término de "Gestión de Riesgos 2.0". En Control Solutions consideramos que la Gestión de Riesgos (ERM) debe evolucionar y comenzar una nueva etapa; alcanzar una versión 2.0. Por eso nos sumamos a esta corriente y de ahí el título de nuestro Blog, en el que os contaremos todo sobre esta nueva etapa de nuestra disciplina favorita.
En el actual ambiente de crisis en el que vivimos, se han puesto de relevancia importantes problemas en diferentes ámbitos: problemas económicos, políticos, sociales... Incluso nos atreveríamos a decir que, en algunos casos, la crisis hace necesario superar los paradigmas más tradicionales y adoptar una nueva perspectiva para salir reforzados de cara al futuro.
Nuestra disciplina no se salva de esta situación. La vocación de liderazgo que tenemos nos hace ser valientes, tomar la iniciativa, levantar la voz sobre el murmullo y hacer autocrítica: en términos generales, la Gestión de Riesgos, tal y como la hemos conocido hasta el momento en su versión 1.0, no ha cumplido las funciones que le habían sido encomendadas.
¿Por qué decimos esto? Os proponemos tres razones para explicar nuestra postura:
1. La Gestión de Riesgos no se ve como Proceso.
Hasta el momento, la Gestión de Riesgos 1.0 se encuentra estrechamente ligada al proceso de control interno de las organizaciones y, en muchos casos, dependen en mayor o menor medida del área de Auditoría Interna.
Es lógico pensar que la implantación de un Sistema ERM necesita de un liderazgo consolidado dentro de la organización, dado su carácter transversal. Es necesario conocer el negocio, saber cómo funciona la organización, su cultura, conocer al personal clave con el que tratar... E incluso nos atrevemos a decir que únicamente existe un área dentro de cualquier organización que disponga del conocimiento, de las aptitudes, de las actitudes y, en definitiva, del equipo multidisciplinar y todoterreno que sea capaz de llevar a cabo un proyecto de tal magnitud y poder afrontarlo con éxito: Auditoría Interna.
Por eso entendemos que, en ausencia de un departamento específico de Gestión de Riesgos, sea en un primer momento Auditoría Interna quien implante el Sistema en la organización.
Pero no obstante, hoy en día suele ser usual que, en la mayoría de las organizaciones, se tenga la percepción de que la Gestión de Riesgos es una labor periódica y adicional de control interno. Los gestores de los riesgos suelen pensar que proporcionar información sobre sus riesgos supone una mayor carga de trabajo. Asimismo, no hacer que el proceso forme parte del día a día de las personas impide que éstas aprecien su utilidad y sus potenciales beneficios. En definitiva, se percibe como un proceso cíclico en el que el coste es mayor que el beneficio.
2. Metodología.
El ser humano, en su afán de conocer el entorno que le rodea e intentar predecir los sucesos que le afectan, ha venido utilizando sus conocimientos y las diferentes ciencias de las que dispone con el objeto de estructurar modelos que expliquen la realidad, en todas sus vertientes. Una realidad que, en ocasiones, es excesivamente compleja como para ser explicada mediante una "serie de ecuaciones con unas cuantas variables".
Desde el punto de vista de la Gestión de Riesgos, la versión 1.0 se ha centrado, fundamentalmente, en construir modelos de la realidad empresarial, orientados a explicar las dos dimensiones principales del riesgo; el impacto y la probabilidad de ocurrencia.
Estos modelos han utilizado técnicas que tomaban como referencia, en la mayoría de los casos, el análisis y la elaboración de predicciones basadas en datos y tendencias pasadas con el objeto de pronosticar el futuro.
Aunque parezca aventurado decirlo, creemos que estas metodologías han sido limitadas en la construcción de modelos (bien porque se han manejado pocas variables, bien debido a un mal diseño de las relaciones entre ellas) y, en ocasiones, incluso podríamos decir que estos modelos han fallado.
Además, dada la inestabilidad y la rapidez con la que cambian las circunstancias empresariales hoy en día, parece lógico pensar que:
Nos remitimos a los hechos: tomemos, por ejemplo, el caso del sector financiero, sector que utiliza técnicas especializadas para el estudio de los riesgos, su valoración y sus consecuencias: análisis de sensibilidad y construcción de escenarios, VaR (Value at Risk), pérdida esperada, estadística bayesiana, etc. Pocas entidades financieras supieron anticipar el impacto de la crisis financiera sobre el resto de la economía muncial. Incluso hubo casos, como fue el de Lehman Brothers, que no gestionaron bien su cartera de riesgos y finalmente desaparecieron.
3. Enfoque.
Tradicionalmente, el proceso de Gestión de Riesgos 1.0 se ha centrado en aplicar la visión de "qué es lo que puede salir mal" que impedirá a la organización conseguir sus metas.
Poner el foco en los aspectos que pueden salir mal en una organización puede suponer una inversión ingente de tiempo y recursos, puesto que la posibilidad de enumerar eventos potenciales es casi infinita.
Nuestra disciplina no se salva de esta situación. La vocación de liderazgo que tenemos nos hace ser valientes, tomar la iniciativa, levantar la voz sobre el murmullo y hacer autocrítica: en términos generales, la Gestión de Riesgos, tal y como la hemos conocido hasta el momento en su versión 1.0, no ha cumplido las funciones que le habían sido encomendadas.
¿Por qué decimos esto? Os proponemos tres razones para explicar nuestra postura:
1. La Gestión de Riesgos no se ve como Proceso.
Hasta el momento, la Gestión de Riesgos 1.0 se encuentra estrechamente ligada al proceso de control interno de las organizaciones y, en muchos casos, dependen en mayor o menor medida del área de Auditoría Interna.
Es lógico pensar que la implantación de un Sistema ERM necesita de un liderazgo consolidado dentro de la organización, dado su carácter transversal. Es necesario conocer el negocio, saber cómo funciona la organización, su cultura, conocer al personal clave con el que tratar... E incluso nos atrevemos a decir que únicamente existe un área dentro de cualquier organización que disponga del conocimiento, de las aptitudes, de las actitudes y, en definitiva, del equipo multidisciplinar y todoterreno que sea capaz de llevar a cabo un proyecto de tal magnitud y poder afrontarlo con éxito: Auditoría Interna.
Por eso entendemos que, en ausencia de un departamento específico de Gestión de Riesgos, sea en un primer momento Auditoría Interna quien implante el Sistema en la organización.
Pero no obstante, hoy en día suele ser usual que, en la mayoría de las organizaciones, se tenga la percepción de que la Gestión de Riesgos es una labor periódica y adicional de control interno. Los gestores de los riesgos suelen pensar que proporcionar información sobre sus riesgos supone una mayor carga de trabajo. Asimismo, no hacer que el proceso forme parte del día a día de las personas impide que éstas aprecien su utilidad y sus potenciales beneficios. En definitiva, se percibe como un proceso cíclico en el que el coste es mayor que el beneficio.
2. Metodología.
El ser humano, en su afán de conocer el entorno que le rodea e intentar predecir los sucesos que le afectan, ha venido utilizando sus conocimientos y las diferentes ciencias de las que dispone con el objeto de estructurar modelos que expliquen la realidad, en todas sus vertientes. Una realidad que, en ocasiones, es excesivamente compleja como para ser explicada mediante una "serie de ecuaciones con unas cuantas variables".
Desde el punto de vista de la Gestión de Riesgos, la versión 1.0 se ha centrado, fundamentalmente, en construir modelos de la realidad empresarial, orientados a explicar las dos dimensiones principales del riesgo; el impacto y la probabilidad de ocurrencia.
Estos modelos han utilizado técnicas que tomaban como referencia, en la mayoría de los casos, el análisis y la elaboración de predicciones basadas en datos y tendencias pasadas con el objeto de pronosticar el futuro.
Aunque parezca aventurado decirlo, creemos que estas metodologías han sido limitadas en la construcción de modelos (bien porque se han manejado pocas variables, bien debido a un mal diseño de las relaciones entre ellas) y, en ocasiones, incluso podríamos decir que estos modelos han fallado.
Además, dada la inestabilidad y la rapidez con la que cambian las circunstancias empresariales hoy en día, parece lógico pensar que:
- Predecir eventos futuros en base a datos y tendencias pasadas, carece de cierto sentido.
- Los ejercicios de actualización de la información sobre riesgos (registros y mapas de riesgos, principalmente) no se realizan de acuerdo a la evolución del entorno y del negocio; es decir, lo que es válido hoy, puede no serlo mañana.
Nos remitimos a los hechos: tomemos, por ejemplo, el caso del sector financiero, sector que utiliza técnicas especializadas para el estudio de los riesgos, su valoración y sus consecuencias: análisis de sensibilidad y construcción de escenarios, VaR (Value at Risk), pérdida esperada, estadística bayesiana, etc. Pocas entidades financieras supieron anticipar el impacto de la crisis financiera sobre el resto de la economía muncial. Incluso hubo casos, como fue el de Lehman Brothers, que no gestionaron bien su cartera de riesgos y finalmente desaparecieron.
3. Enfoque.
Tradicionalmente, el proceso de Gestión de Riesgos 1.0 se ha centrado en aplicar la visión de "qué es lo que puede salir mal" que impedirá a la organización conseguir sus metas.
Poner el foco en los aspectos que pueden salir mal en una organización puede suponer una inversión ingente de tiempo y recursos, puesto que la posibilidad de enumerar eventos potenciales es casi infinita.
Versión 2.0 de la Gestión de Riesgos
Creemos que es necesario un cambio de paradigma. No proponemos romper los esquemas o construir otros nuevos. Proponemos evolucionar y desarrollar una Gestión de Riesgos más completa, basada en tres pilares:
A. Gestión de Riesgos como proceso dentro de la organización.
Debe tratarse de un proceso más dentro de la estructura de la organización, aunque con un carácter marcadamente transversal. Al igual que existen procesos productivos, de marketing o de generación de información financiera, entre otros, el proceso de Gestión de Riesgos debe imbuirse formalmente y realmente en la cultura, en el día a día de la organización y debe llegar a todos (personas, departamentos, unidades de negocio, etc). Incorporar descripciones de trabajo y criterios de evaluación del desempeño relacionados con la gestión de riesgos puede ser una buena manera complementaria de acelerar el proceso, a parte de las necesarias labores de "evangelización" que deben realizarse.
En nuestra opinión, Gestión de Riesgos debería desvincularse del área de Auditoría Interna y acercarse e ir de la mano del área estratégica.
B. Metodología ampliada.
Existen riesgos de diferente naturaleza y por tanto la metodología de evaluación no puede ser estandarizada. Consideramos que es necesario contar con una imagen completa de los riesgos, sus causas y sus consecuencias. Mediante la aplicación de una visión integrada podemos incorporar diferentes puntos de vista a diferentes situaciones.
No proponemos prescindir del análisis y de las valoraciones técnicas de los eventos de riesgo, pero nos parece mucho más completo aplicar dos herramientas adicionales que no suelen fallar para entender las situaciones, sus implicaciones y sus consecuencias: la lógica y el sentido común.
Cuantificar el impacto de los riesgos que se pueden cuantificar está bien y es necesario. No obstante, existen otros criterios que no son únicamente económicos o financieros en los que se pueden traducir también los impactos de un evento (por ejemplo, repercusiones sociales, seguridad de personas o reputación de la marca). Lo que proponemos es, además, utilizar otro tipo de criterios adicionales de carácter cualitativo, que permitan obtener visiones más completas y globales sobre las implicaciones que puedan tener en la organización.
En todo caso, lo que se pretende es poder tomar decisiones bajo un nivel de incertidumbre, contando con la información más completa posible.
C. Vincular Objetivos y Riesgos.
Existen riesgos de diferente naturaleza y por tanto la metodología de evaluación no puede ser estandarizada. Consideramos que es necesario contar con una imagen completa de los riesgos, sus causas y sus consecuencias. Mediante la aplicación de una visión integrada podemos incorporar diferentes puntos de vista a diferentes situaciones.
No proponemos prescindir del análisis y de las valoraciones técnicas de los eventos de riesgo, pero nos parece mucho más completo aplicar dos herramientas adicionales que no suelen fallar para entender las situaciones, sus implicaciones y sus consecuencias: la lógica y el sentido común.
Cuantificar el impacto de los riesgos que se pueden cuantificar está bien y es necesario. No obstante, existen otros criterios que no son únicamente económicos o financieros en los que se pueden traducir también los impactos de un evento (por ejemplo, repercusiones sociales, seguridad de personas o reputación de la marca). Lo que proponemos es, además, utilizar otro tipo de criterios adicionales de carácter cualitativo, que permitan obtener visiones más completas y globales sobre las implicaciones que puedan tener en la organización.
En todo caso, lo que se pretende es poder tomar decisiones bajo un nivel de incertidumbre, contando con la información más completa posible.
C. Vincular Objetivos y Riesgos.
Uno de los requisitos fundamentales para que la Gestión de Riesgos sea útil y de resultados es que los riesgos se encuentran vinculados a los objetivos de la organización. En demasiadas ocasiones hemos comprobado como las organizaciones disponen de inventarios de riesgos que no se encuentran vinculados a objetivos concretos y medibles.
La regulación, el entorno, los recursos, los procesos y los sistemas generan incertidumbre sobre la consecución de los objetivos de la organización. Identificar los riesgos y vincularlos a estos objetivos ayuda a priorizar las situaciones de amenaza y a anticipar sus posibles consecuencias para ofrecer una respuesta que proporcione una seguridad razonable de consecución de los objetivos.
A lo largo de las próximas semanas profundizaremos en estos y otros temas que forman parte de la versión 2.0 de la Gestión de Riesgos.
Os esperamos.
No hay comentarios:
Publicar un comentario