lunes, 16 de abril de 2018

La gestión de riesgo en latinoamérica (parte 1)


Nivel de madurez y retos para su implantación 

Marsh Risk Consulting y RIMS (The Risk and Insurance Management Society) publicaron a inicio de este año los resultados del tercer benchmark de gestión de riesgos en Latinoamérica. En su reporte denominado “Reimagine risk: Capturando oportunidades en un mundo de riesgo” presentaron el estudio referente a la región y a la luz de los resultados obtenidos se destacan y reiteran todavía aspectos arraigados y avances en lo que a la gestión de riesgo se refiere.

Se destacan algunos aspectos que hacen concluir que existe todavía un amplio margen de oportunidades para los profesionales del área, tanto los que trabajan en la empresa, hasta actividades de consultoría y educación de manera que se refuercen conocimientos, técnicas y experiencias en el abordaje de la gestión de riesgo.

Esta conclusión se apoya en los siguientes resultados arrojados por “294 encuestas realizadas a través de un cuestionario en línea entre abril y agosto de 2017, con la participación de más de 10 países y 20 sectores económicos de la región” (pag. 74).

A continuación, algunos resultados asociados al nivel de desarrollo de la gestión de riesgo y barreras para su implantación:

a)   Según los resultados, un 25% de las organizaciones se ubica en niveles de madurez en la gestión integral de riesgo, lo que deja al 75% restante en grados de “no desarrollado” a “establecida” una gestión de riesgo. Destaca que la mayoría de las empresas en los niveles de desarrollo más avanzados son el sector financiero y minero que tradicionalmente han tenido una conciencia y sensibilización de los riesgos, impulsado por los elementos regulatorios a la que en especial el sector financiero está sometido desde hace muchos años, lo que deja la interrogante ¿sólo las empresas desarrollan modelos de gestión de riesgos cuando se ven sometidos a regulaciones y forzar el cumplimiento de las mismas y no como parte inherente al logro de los objetivos estratégicos y operativos?



b)    La interrogante anterior se ve en parte respondida por el  siguiente resultado relacionado con las barreras para implantación de un modelo de gestión de riesgo: “…encontramos que en su mayoría están relacionados con problemas de cultura organizacional, con la percepción de que la gestión de riesgos se debe hacer por cumplimiento en contraposición a implementarla como herramienta estratégica y, finalmente, con la falta de información y conocimiento clave sobre la gestión de riesgos y su importancia”(página 15).

Estos retos asoman por qué el nivel de la gestión de riesgo en el amplio sector del 75%, todavía se orienta a reaccionar una vez el riesgo se ha materializado y es allí donde se comienza a pensar en desarrollar y/o reforzar de una manera integral la gestión de riesgo. Es un factor cultural muy arraigado todavía en algunos países y sectores de pequeñas y medianas empresas.

En otra entrega analizaremos otros resultados de este interesante estudio.








martes, 6 de marzo de 2018

PROCESO PARA LA GESTIÓN DE RIESGO EMPRESARIAL-ISO 3100:2018


Finalizando esta serie del lanzamiento de la nueva ISO31000:2018, abordamos lo concerniente al  proceso para llevar a cabo la gestión de riesgo. Esta no ha cambiado drásticamente en relación a la versión 2009, manteniéndose igual todos las etapas del proceso. Lo que si se ha reducido mucho es el lenguaje complicado y el texto es más corto y conciso, facilitando la comprensión para el usuario.

La representación gráfica en esta nueva versión, es un círculo que describe las siguientes etapas



Establecimiento del contexto: Definición de los parámetros externos e internos a tener en cuenta cuando se gestiona el riesgo, y se establecen el alcance y los criterios de riesgo para la política de gestión del riesgo. Comprende establecer los contextos estratégicos, organizacional y de gestión en los cuales tendrá lugar el Proceso de Gestión de Riesgos. Deben establecerse los objetivos de la evaluación del riesgo, los criterios contra los cuales se evaluarán los riesgos, el programa de evaluación del riesgo y definirse la estructura de análisis, los roles y responsabilidades.

Análisis del riesgo: es el proceso global de identificación del riesgo, análisis y valoración del riesgo.

Tratamiento del riesgo: consiste en seleccionar y aplicar las medidas más adecuadas, con el fin de poder modificar el riesgo, para evitar de este modo los daños intrínsecos al factor de riesgo, o bien aprovechar las ventajas que pueda reportarnos.

Comunicación y consulta: Comprende definir y utilizar mecanismos para comunicar y consultar con los interesados internos y externos, según resulte apropiado en cada etapa del proceso de gestión de riesgos.

Seguimiento y revisión: revisión del sistema de gestión de riesgo con el objeto de asegurar su conformidad y efectividad.

lunes, 26 de febrero de 2018

EL MARCO DE REFERENCIA DE ISO3100:2018 ¿QUÉ CAMBIÓ?

¿Qué es el marco de referencia?

Establecidos los principios en que se enfoca la norma, se define un marco de referencia para llevar a cabo el proceso de gestión integral de riesgos, abarcando a toda la organización para hacer efectiva tal integración.

Este marco permite a) entender a la organización y el contexto donde se desenvuelve, b) a través del liderazgo se modela el compromiso de todos los involucrados en la gestión de riesgo, conformando la cultura de riesgo en la organización c) definir la estructura organizativa para la gestión del riesgo, asignando las responsabilidades y rendición de cuentas d) reforzar la organización basada en procesos para garantizar la integración entre los mismos, e) asignar los recursos necesarios para llevar a cabo las responsabilidades y cumplimiento de los objetivos en lo que a la gestión de riesgos se refiere, f) establecer los mecanismos de comunicación y reportes.


En ISO3100:2018 se presenta así:

viernes, 16 de febrero de 2018

ISO 31000:2018 YA ESTÁ AQUÍ

Como se esperaba ya la organización ISO lanzó oficialmente este mes la nueva versión ISO 31000:2018, cuyo objetivo fue actualizar la norma antes los nuevos retos y tipos de riesgos en que las organizaciones se desempeñan.

El cambio se focaliza en el liderazgo de la alta dirección como principal responsable de garantizar que la gestión de riesgos se integre en todas las actividades de la organización, comenzando con la gobernanza de ésta.

Da un mayor énfasis en la naturaleza iterativa de la gestión de riesgos, aprovechando las nuevas experiencias, el conocimiento y el análisis para la revisión de los elementos, acciones y controles en cada etapa del proceso.

La composición gráfica de los principios, marco de trabajo y procesos cambia a formas circulares con respecto a norma anterior.

Comentaremos en esta primera entrega algunos de los cambios significativos:

Los principios cambian de 11 a 9:

A continuación se presentan los principios, con comentarios en algunos de ellos:

1.   CREACIÓN DE VALOR Y PROTECCIÓN: La versión 2018 se enfoca más en crear y proteger el valor como el impulsor clave de la gestión del riesgo.

2.  INTEGRADO: la gestión de riesgo integrada, para garantizar la coherencia y la efectividad del control de gestión en todas las áreas de la organización. Esto incluiría estrategia y planificación, resiliencia organizacional, TI, gobierno corporativo, RR.H.H, cumplimiento, calidad, salud y seguridad, continuidad del negocio, gestión de crisis y seguridad.

3.   ESTRUCTURADO

4.   ADAPTADO: a las necesidades y objetivos de la organización

5.  INCLUSIVO: en todos los aspectos de los riesgos en todas las áreas y procesos de la organización.

6. DINÁMICO Y QUE PROPORCIONA RESPUESTAS: la gestión de riesgo implica diseñar un modelo de sistema abierto que regularmente intercambia retroalimentación con su entorno externo para adaptarse a múltiples necesidades y contextos.

7.MEJOR INFORMACIÓN DISPONIBLE: recopilando la información interna y externa que habilite a la organización a tomar decisiones mejor informadas y oportunas.

8.FACTORES HUMANOS Y CULTURALES: bajo un marco en que todos los integrantes de la organización e interesados actúen conociendo los riesgos, comprometidos con la gestión y rendición de cuentas, en un ambiente que propicie la autogestión.

9.   MEJORA CONTINUA.


lunes, 22 de enero de 2018

COSO vs ISO 31000. ¿Cuál es más aplicado en la gestión de riesgo empresarial?

En noviembre del año 2015 Marsh Risk Consulting, empresa del grupo Marsh & McLennan Companies en conjunto con RIMS, The Risk and Insurance Management Society, realizó un estudio de benchmarking con el objetivo de conocer las diferentes prácticas de gestión de riesgos en el entorno empresarial latinoamericano, que permitió comparar con respeto a otros países el nivel de desarrollo en esta área (1).

Dentro del grupo de preguntas se indagó cuál de los estándares internacionales aplican las organizaciones para diseñar su sistema de gestión de riesgo, arrojando como resultados que casi la tercera parte de las empresas encuestadas aplica la norma ISO 31000 y muy cercano a ese número (29%) se adhieren a COSO (Commitee of Sponsoring Organizations).





En primer lugar hay que advertir que ambos estándares no son manuales de aplicación o recetas para implementar un sistema de gestión de riesgo empresarial.  Son un marco de trabajo y de proceso general para la gestión de los diversos tipos de riesgos. Estos estándares no obligan a utilizar una visión única y rígida, sino que dentro de unos principios e instrucciones cada organización las adapta a sus necesidades.

Los enfoques de estos estándares han sido revisados de forma continua y se puede hablar de convergencia en muchos aspectos, aunque el debate está servido al comparar el abordaje de ambos estándares en temas específicos.  Hay coincidencia en principios, tales como, el riesgo agrega valor a la organización, la importancia del modelaje y compromiso de la alta dirección como dinamizadores para crear una cultura de riesgo, pieza fundamental para alcanzar un carácter integral en la gestión, y en los procesos de apreciación y tratamiento del riesgo las metodologías se aproximan bastante.

El enfoque inicial de COSO hacia el control interno, y la percepción de que su alcance era poco aplicable a todo tipo de empresas, ha desarrollado un enfoque más integral con su última versión COSO ERM 2016. Entre tanto la ISO 31000:2009, actualmente en proceso de cambios hacia ISO31000:2018, se presenta como una norma relativamente de pocas páginas, fácil de comprender, clara y práctica que se expandió rápidamente en su aplicación en muchas empresas. La norma ISO 31000:2009 no requiere certificación.

Cualquiera que sea la elección o si ya la empresa aplica alguna de ellas, los dos enfoques en conjunto proporcionan a los profesionales de la gestión de riesgo y auditores un marco adecuado y efectivo para diseñar, fortalecer o integrar la gerencia de riesgo.

(1)https://www.marsh.com/mx/insights/research/i-benchmark-de-gestion-de-riesgos-en-latinoamerica.html

viernes, 5 de enero de 2018

¿Por qué la gestión de riesgo adquiere cada vez más protagonismo en la toma de decisiones de las empresas?

No deja de llamar la atención como la gestión de riesgo va incorporándose o haciéndose cada vez más explícita y destacada en el quehacer diario de muchas de nuestras empresas en la región latinoamericana, aunque con sus desfases en el desarrollo de esta actividad en diferentes sectores económicos y países.

Destaca cómo normas internacionales, entre ellas la última actualización de la norma ISO9000:2015, adopta el pensamiento basado en riesgo dentro del marco del sistema de gestión de la calidad, confirmando la importancia que tiene identificar los riesgos asociados a los productos y servicios, desde su diseño hasta las actividades postventa, todo ello alineado a los objetivos estratégicos definidos por la empresa.

Todo lo anterior se deriva porque los objetivos, en sus niveles estratégicos, tácticos y operativos que fija una organización se enmarcan en ambientes de alta incertidumbre o entornos VUCA (volatilidad, incertidumbre, complejidad y ambigüedad) que la obligan a gestionar el riesgo para el logro de su sobrevivencia, protección, sostenibilidad, competitividad y resiliencia ante los constantes cambios.

La gestión de riesgo ha ido adquiriendo relevancia como herramienta para el desarrollo y supervivencia empresarial pautado por las experiencias que la industria financiera y específicamente el sector bancario y bursátil han sufrido, permitiendo conformar un marco que ha permeado cada vez más a ser aplicado en todo tipo de empresas.

Los estándares COSO y COSO-ERM sin duda fijan pautas y han evolucionado con la complejidad de cambios globales y presencia de nuevos eventos de riesgos y que con la norma ISO31000 (entre otras normas más específicas por áreas de especialización), son los estándares internacionales de referencia para implementar la gestión integral de riesgos en las organizaciones.


Finalmente, la gestión integral de riesgo evoluciona de una visión exclusiva, especializada, funcional y a veces marginal dentro de las organizaciones, a una actividad que forma parte de la cultura organizacional, agrega valor a la empresa y contribuye a crear ventaja competitiva. 

lunes, 17 de enero de 2011

Riesgo y Probabilidad

Los modelos probabilísticos están ampliamente basados en aplicaciones estadísticas para la evaluación de eventos incontrolables (o factores), así como también la evaluación del riesgo de sus decisiones. La Probabilidad se deriva del verbo probar lo que significa "averiguar" lo que no es tan fácil de obtener o entender. La palabra "prueba" tiene el mismo origen el cual proporciona los detalles necesarios para entender lo que se requiere que sea cierto.

Los modelos probabilísticos son vistos de manera similar que a un juego; las acciones están basadas en los resultados esperados. El centro de interés se mueve desde un modelo determinístico a uno probabilístico usando técnicas estadísticas subjetivas para estimación, prueba y predicción.

En los modelos probabilísticos, el riesgo significa incertidumbre para la cual la distribución de probabilidad es conocida. Por lo tanto, la evaluación de riesgo significa un estudio para determinar los resultados de las decisiones junto a sus probabilidades.

Los tomadores de decisiones generalmente se enfrentan a severa escasez de información. La evaluación de riesgo cuantifica la brecha de información entre lo que es conocido y lo que necesita saber para tomar una decisión óptima. Los modelos probabilístico son utilizados para protegerse de la incertidumbre adversa, y de la explotación de la propia incertidumbre.