jueves, 31 de mayo de 2018
lunes, 7 de mayo de 2018
MANEJO DE LOS CONCEPTOS DE GESTIÓN DE RIESGO EN LAS EMPRESAS LATINOAMERICANAS
Continuando el análisis de los
resultados del tercer benchmark llevado a cabo por la empresa Marsh Risk
Consulting y RIMS (The Risk and Insurance Management Society) publicado a
inicio de este año, indagaron si están familiarizados y son considerados útiles
algunos conceptos como apetito de riesgos, risk velocity, análisis de
interdependencia y correlación de riesgos, cuantificación y modelación de
riesgos, implementación de indicadores de desempeño de riesgos (KRI’s), valor
en riesgo (VAR) y riesgos emergentes.
De los resultados se destaca que
en promedio un poco más del 20% de los encuestados no ha oído hablar de estos
conceptos, y en especial los de mayor desconocimiento son el risk velocity y el
Valor en riesgo. Apetito de riesgo y cuantificación y modelación de riesgo
resultan los más conocidos y oídos.
En cuanto a la utilidad de estos
conceptos risk velocity y valor en riesgo tienen una percepción baja, guardando
correlación con el desconocimiento de estos términos. Entre los más útiles están
la cuantificación y modelación de riesgos junto con apetito de riesgo y análisis
de interdependencia y correlación de riesgos.
El apetito de riesgo y la
cuantificación y modelación de riesgo son los conceptos más implementados por
las organizaciones latinoamericanas, aunque los resultados también indican que
similarmente se aplican los conceptos de valor en riesgo, KRI´s y análisis de
interdependencia y correlación de riesgos. Llama la atención que el concepto de
valor en riesgo es implementado a pesar de la percepción de su poca utilidad,
lo que sugiere que la respuesta estuviera más relacionada con el sector
bancario donde se aplica este concepto por razones regulatorias en casi todos
los países.
Los resultados arrojan que
indudablemente el conocimiento y aplicación de los conceptos asociados a la
gestión de riesgo van de la mano con el nivel de preparación del profesional de
riesgo y el grado de madurez de la organización en estos procesos.
El informe lo pueden encontrar en
file:///C:/PROYECTO%20ERM-2018/III%20BENCHMARK%20DE%20RIESGOS%202018.pdf
lunes, 16 de abril de 2018
La gestión de riesgo en latinoamérica (parte 1)
Nivel de madurez y
retos para su implantación
Marsh Risk Consulting y RIMS (The
Risk and Insurance Management Society) publicaron a inicio de este año los
resultados del tercer benchmark de gestión de riesgos en Latinoamérica. En su
reporte denominado “Reimagine risk: Capturando
oportunidades en un mundo de riesgo” presentaron el estudio referente a la
región y a la luz de los resultados obtenidos se destacan y reiteran todavía
aspectos arraigados y avances en lo que a la gestión de riesgo se refiere.
Se destacan algunos aspectos que
hacen concluir que existe todavía un amplio margen de oportunidades para los
profesionales del área, tanto los que trabajan en la empresa, hasta actividades
de consultoría y educación de manera que se refuercen conocimientos, técnicas y
experiencias en el abordaje de la gestión de riesgo.
Esta conclusión se apoya en los
siguientes resultados arrojados por “294
encuestas realizadas a través de un cuestionario en línea entre abril y agosto
de 2017, con la participación de más de 10 países y 20 sectores económicos de
la región” (pag. 74).
A continuación, algunos
resultados asociados al nivel de desarrollo de la gestión de riesgo y barreras
para su implantación:
a) Según los resultados, un 25% de las organizaciones se
ubica en niveles de madurez en la gestión integral de riesgo, lo que deja al 75%
restante en grados de “no desarrollado” a “establecida” una gestión de riesgo.
Destaca que la mayoría de las empresas en los niveles de desarrollo más
avanzados son el sector financiero y minero que tradicionalmente han tenido una
conciencia y sensibilización de los riesgos, impulsado por los elementos
regulatorios a la que en especial el sector financiero está sometido desde hace
muchos años, lo que deja la interrogante ¿sólo las empresas desarrollan modelos
de gestión de riesgos cuando se ven sometidos a regulaciones y forzar el
cumplimiento de las mismas y no como parte inherente al logro de los objetivos
estratégicos y operativos?
b) La
interrogante anterior se ve en parte respondida por el siguiente resultado relacionado con las
barreras para implantación de un modelo de gestión de riesgo: “…encontramos que en su mayoría están
relacionados con problemas de cultura organizacional, con la percepción de que
la gestión de riesgos se debe hacer por cumplimiento en contraposición a
implementarla como herramienta estratégica y, finalmente, con la falta de
información y conocimiento clave sobre la gestión de riesgos y su importancia”(página
15).
Estos retos asoman por qué el
nivel de la gestión de riesgo en el amplio sector del 75%, todavía se orienta a reaccionar una vez el riesgo se ha materializado y es allí donde se comienza a
pensar en desarrollar y/o reforzar de una manera integral la gestión de riesgo.
Es un factor cultural muy arraigado todavía en algunos países y sectores de
pequeñas y medianas empresas.
En otra entrega analizaremos otros
resultados de este interesante estudio.
El informe lo pueden encontrar en
file:///C:/PROYECTO%20ERM-2018/III%20BENCHMARK%20DE%20RIESGOS%202018.pdf
martes, 6 de marzo de 2018
PROCESO PARA LA GESTIÓN DE RIESGO EMPRESARIAL-ISO 3100:2018
Finalizando esta serie del lanzamiento de la nueva ISO31000:2018, abordamos lo concerniente al proceso para llevar a cabo la gestión de riesgo. Esta no ha cambiado drásticamente
en relación a la versión 2009, manteniéndose igual todos las etapas del proceso.
Lo que si se ha reducido mucho es el lenguaje complicado y el texto es más
corto y conciso, facilitando la comprensión para el usuario.
La representación gráfica en esta nueva versión, es un círculo que describe las siguientes etapas
Establecimiento del contexto: Definición de los
parámetros externos e internos a tener en cuenta cuando se gestiona el riesgo,
y se establecen el alcance y los criterios de riesgo para la política de
gestión del riesgo. Comprende establecer los contextos estratégicos,
organizacional y de gestión en los cuales tendrá lugar el Proceso de Gestión de
Riesgos. Deben establecerse los objetivos de la evaluación del riesgo, los
criterios contra los cuales se evaluarán los riesgos, el programa de evaluación
del riesgo y definirse la estructura de análisis, los roles y responsabilidades.
Análisis del riesgo: es el proceso global de
identificación del riesgo, análisis y valoración del riesgo.
Tratamiento del riesgo: consiste
en seleccionar y aplicar las medidas más adecuadas, con el fin de poder
modificar el riesgo, para evitar de este modo los daños intrínsecos al factor
de riesgo, o bien aprovechar las ventajas que pueda reportarnos.
Comunicación y consulta: Comprende
definir y utilizar mecanismos para comunicar y consultar con los interesados
internos y externos, según resulte apropiado en cada etapa del proceso de gestión
de riesgos.
Seguimiento y revisión:
revisión del sistema de gestión de riesgo con el objeto de asegurar su
conformidad y efectividad.
lunes, 26 de febrero de 2018
EL MARCO DE REFERENCIA DE ISO3100:2018 ¿QUÉ CAMBIÓ?
¿Qué es el marco de
referencia?
Establecidos los principios en
que se enfoca la norma, se define un marco de referencia para llevar a cabo el
proceso de gestión integral de riesgos, abarcando a toda la organización para
hacer efectiva tal integración.
Este marco permite a) entender a
la organización y el contexto donde se desenvuelve, b) a través del liderazgo
se modela el compromiso de todos los involucrados en la gestión de riesgo, conformando
la cultura de riesgo en la organización c) definir la estructura organizativa para
la gestión del riesgo, asignando las responsabilidades y rendición de cuentas
d) reforzar la organización basada en procesos para garantizar la integración
entre los mismos, e) asignar los recursos necesarios para llevar a cabo las
responsabilidades y cumplimiento de los objetivos en lo que a la gestión de
riesgos se refiere, f) establecer los mecanismos de comunicación y reportes.
En ISO3100:2018 se presenta así:
viernes, 16 de febrero de 2018
ISO 31000:2018 YA ESTÁ AQUÍ
Como se esperaba ya la organización
ISO lanzó oficialmente este mes la nueva versión ISO 31000:2018, cuyo objetivo fue actualizar
la norma antes los nuevos retos y tipos de riesgos en que las organizaciones se
desempeñan.
El cambio se focaliza en el liderazgo
de la alta dirección como principal responsable de garantizar que la gestión de
riesgos se integre en todas las actividades de la organización, comenzando con
la gobernanza de ésta.
Da un mayor énfasis en la
naturaleza iterativa de la gestión de riesgos, aprovechando las nuevas
experiencias, el conocimiento y el análisis para la revisión de los elementos, acciones
y controles en cada etapa del proceso.
La composición gráfica de los
principios, marco de trabajo y procesos cambia a formas circulares con respecto
a norma anterior.
Comentaremos en esta primera
entrega algunos de los cambios significativos:
Los principios cambian de 11 a 9:
A continuación se presentan los principios,
con comentarios en algunos de ellos:
1. CREACIÓN DE VALOR Y PROTECCIÓN: La versión 2018 se
enfoca más en crear y proteger el valor como el impulsor clave de la
gestión del riesgo.
2. INTEGRADO: la gestión de riesgo integrada, para
garantizar la coherencia y la efectividad del control de gestión en todas las
áreas de la organización. Esto incluiría estrategia y planificación,
resiliencia organizacional, TI, gobierno corporativo, RR.H.H, cumplimiento, calidad,
salud y seguridad, continuidad del negocio, gestión de crisis y seguridad.
3. ESTRUCTURADO
4. ADAPTADO: a las necesidades y objetivos de la
organización
5. INCLUSIVO: en todos los aspectos de los riesgos en todas
las áreas y procesos de la organización.
6. DINÁMICO Y QUE PROPORCIONA RESPUESTAS: la gestión de
riesgo implica diseñar un modelo de sistema abierto que regularmente
intercambia retroalimentación con su entorno externo para adaptarse a múltiples
necesidades y contextos.
7.MEJOR INFORMACIÓN DISPONIBLE: recopilando la
información interna y externa que habilite a la organización a tomar decisiones
mejor informadas y oportunas.
8.FACTORES HUMANOS Y CULTURALES: bajo un marco en que todos
los integrantes de la organización e interesados actúen conociendo los riesgos,
comprometidos con la gestión y rendición de cuentas, en un ambiente que propicie
la autogestión.
9. MEJORA CONTINUA.
lunes, 22 de enero de 2018
COSO vs ISO 31000. ¿Cuál es más aplicado en la gestión de riesgo empresarial?
En noviembre del año 2015 Marsh Risk
Consulting, empresa del grupo Marsh & McLennan Companies en conjunto con RIMS,
The Risk and Insurance Management Society, realizó un estudio de benchmarking
con el objetivo de conocer las diferentes prácticas de gestión de riesgos en el
entorno empresarial latinoamericano, que permitió comparar con respeto a otros
países el nivel de desarrollo en esta área (1).
Dentro del grupo de preguntas se indagó cuál de
los estándares internacionales aplican las organizaciones para diseñar su sistema
de gestión de riesgo, arrojando como resultados que casi la tercera parte de
las empresas encuestadas aplica la norma ISO 31000 y muy cercano a ese número
(29%) se adhieren a COSO (Commitee of Sponsoring Organizations).
En primer lugar hay que advertir que ambos estándares no son manuales de aplicación o recetas para implementar un sistema de gestión de riesgo empresarial. Son un marco de trabajo y de proceso general para la gestión de los diversos tipos de riesgos. Estos estándares no obligan a utilizar una visión única y rígida, sino que dentro de unos principios e instrucciones cada organización las adapta a sus necesidades.
El enfoque inicial de COSO hacia el control
interno, y la percepción de que su alcance era poco aplicable a todo tipo de
empresas, ha desarrollado un enfoque más integral con su última versión COSO
ERM 2016. Entre tanto la ISO 31000:2009, actualmente en proceso de cambios hacia ISO31000:2018, se
presenta como una norma relativamente de pocas páginas, fácil de comprender,
clara y práctica que se expandió rápidamente en su aplicación en muchas
empresas. La norma ISO 31000:2009 no requiere certificación.
(1)https://www.marsh.com/mx/insights/research/i-benchmark-de-gestion-de-riesgos-en-latinoamerica.html
Suscribirse a:
Entradas (Atom)