Càlculo del Valor en Riesgo por Simulaciòn de Montecarlo

MANEJO DE LOS CONCEPTOS DE GESTIÓN DE RIESGO EN LAS EMPRESAS LATINOAMERICANAS

Continuando el análisis de los resultados del tercer benchmark llevado a cabo por la empresa Marsh Risk Consulting y RIMS (The Risk and Insurance Management Society) publicado a inicio de este año, indagaron si están familiarizados y son considerados útiles algunos conceptos como apetito de riesgos, risk velocity, análisis de interdependencia y correlación de riesgos, cuantificación y modelación de riesgos, implementación de indicadores de desempeño de riesgos (KRI’s), valor en riesgo (VAR) y riesgos emergentes.

De los resultados se destaca que en promedio un poco más del 20% de los encuestados no ha oído hablar de estos conceptos, y en especial los de mayor desconocimiento son el risk velocity y el Valor en riesgo. Apetito de riesgo y cuantificación y modelación de riesgo resultan los más conocidos y oídos.

En cuanto a la utilidad de estos conceptos risk velocity y valor en riesgo tienen una percepción baja, guardando correlación con el desconocimiento de estos términos. Entre los más útiles están la cuantificación y modelación de riesgos junto con apetito de riesgo y análisis de interdependencia y correlación de riesgos.

El apetito de riesgo y la cuantificación y modelación de riesgo son los conceptos más implementados por las organizaciones latinoamericanas, aunque los resultados también indican que similarmente se aplican los conceptos de valor en riesgo, KRI´s y análisis de interdependencia y correlación de riesgos. Llama la atención que el concepto de valor en riesgo es implementado a pesar de la percepción de su poca utilidad, lo que sugiere que la respuesta estuviera más relacionada con el sector bancario donde se aplica este concepto por razones regulatorias en casi todos los países.

Los resultados arrojan que indudablemente el conocimiento y aplicación de los conceptos asociados a la gestión de riesgo van de la mano con el nivel de preparación del profesional de riesgo y el grado de madurez de la organización en estos procesos.

El informe lo pueden encontrar en file:///C:/PROYECTO%20ERM-2018/III%20BENCHMARK%20DE%20RIESGOS%202018.pdf

La gestión de riesgo en latinoamérica (parte 1)

Nivel de madurez y retos para su implantación 

Marsh Risk Consulting y RIMS (The Risk and Insurance Management Society) publicaron a inicio de este año los resultados del tercer benchmark de gestión de riesgos en Latinoamérica. En su reporte denominado “Reimagine risk: Capturando oportunidades en un mundo de riesgo” presentaron el estudio referente a la región y a la luz de los resultados obtenidos se destacan y reiteran todavía aspectos arraigados y avances en lo que a la gestión de riesgo se refiere.

Se destacan algunos aspectos que hacen concluir que existe todavía un amplio margen de oportunidades para los profesionales del área, tanto los que trabajan en la empresa, hasta actividades de consultoría y educación de manera que se refuercen conocimientos, técnicas y experiencias en el abordaje de la gestión de riesgo.

Esta conclusión se apoya en los siguientes resultados arrojados por “294 encuestas realizadas a través de un cuestionario en línea entre abril y agosto de 2017, con la participación de más de 10 países y 20 sectores económicos de la región” (pag. 74).

A continuación, algunos resultados asociados al nivel de desarrollo de la gestión de riesgo y barreras para su implantación:

a)   Según los resultados, un 25% de las organizaciones se ubica en niveles de madurez en la gestión integral de riesgo, lo que deja al 75% restante en grados de “no desarrollado” a “establecida” una gestión de riesgo. Destaca que la mayoría de las empresas en los niveles de desarrollo más avanzados son el sector financiero y minero que tradicionalmente han tenido una conciencia y sensibilización de los riesgos, impulsado por los elementos regulatorios a la que en especial el sector financiero está sometido desde hace muchos años, lo que deja la interrogante ¿sólo las empresas desarrollan modelos de gestión de riesgos cuando se ven sometidos a regulaciones y forzar el cumplimiento de las mismas y no como parte inherente al logro de los objetivos estratégicos y operativos?

b)    La interrogante anterior se ve en parte respondida por el  siguiente resultado relacionado con las barreras para implantación de un modelo de gestión de riesgo: “…encontramos que en su mayoría están relacionados con problemas de cultura organizacional, con la percepción de que la gestión de riesgos se debe hacer por cumplimiento en contraposición a implementarla como herramienta estratégica y, finalmente, con la falta de información y conocimiento clave sobre la gestión de riesgos y su importancia”(página 15).

Estos retos asoman por qué el nivel de la gestión de riesgo en el amplio sector del 75%, todavía se orienta a reaccionar una vez el riesgo se ha materializado y es allí donde se comienza a pensar en desarrollar y/o reforzar de una manera integral la gestión de riesgo. Es un factor cultural muy arraigado todavía en algunos países y sectores de pequeñas y medianas empresas.

En otra entrega analizaremos otros resultados de este interesante estudio.

El informe lo pueden encontrar en file:///C:/PROYECTO%20ERM-2018/III%20BENCHMARK%20DE%20RIESGOS%202018.pdf

PROCESO PARA LA GESTIÓN DE RIESGO EMPRESARIAL-ISO 3100:2018

Finalizando esta serie del lanzamiento de la nueva ISO31000:2018, abordamos lo concerniente al  proceso para llevar a cabo la gestión de riesgo. Esta no ha cambiado drásticamente en relación a la versión 2009, manteniéndose igual todos las etapas del proceso. Lo que si se ha reducido mucho es el lenguaje complicado y el texto es más corto y conciso, facilitando la comprensión para el usuario.

La representación gráfica en esta nueva versión, es un círculo que describe las siguientes etapas

Establecimiento del contexto: Definición de los parámetros externos e internos a tener en cuenta cuando se gestiona el riesgo, y se establecen el alcance y los criterios de riesgo para la política de gestión del riesgo. Comprende establecer los contextos estratégicos, organizacional y de gestión en los cuales tendrá lugar el Proceso de Gestión de Riesgos. Deben establecerse los objetivos de la evaluación del riesgo, los criterios contra los cuales se evaluarán los riesgos, el programa de evaluación del riesgo y definirse la estructura de análisis, los roles y responsabilidades.

Análisis del riesgo: es el proceso global de identificación del riesgo, análisis y valoración del riesgo.

Tratamiento del riesgo: consiste en seleccionar y aplicar las medidas más adecuadas, con el fin de poder modificar el riesgo, para evitar de este modo los daños intrínsecos al factor de riesgo, o bien aprovechar las ventajas que pueda reportarnos.

Comunicación y consulta: Comprende definir y utilizar mecanismos para comunicar y consultar con los interesados internos y externos, según resulte apropiado en cada etapa del proceso de gestión de riesgos.

Seguimiento y revisión: revisión del sistema de gestión de riesgo con el objeto de asegurar su conformidad y efectividad.

EL MARCO DE REFERENCIA DE ISO3100:2018 ¿QUÉ CAMBIÓ?

¿Qué es el marco de referencia?

Establecidos los principios en que se enfoca la norma, se define un marco de referencia para llevar a cabo el proceso de gestión integral de riesgos, abarcando a toda la organización para hacer efectiva tal integración.

Este marco permite a) entender a la organización y el contexto donde se desenvuelve, b) a través del liderazgo se modela el compromiso de todos los involucrados en la gestión de riesgo, conformando la cultura de riesgo en la organización c) definir la estructura organizativa para la gestión del riesgo, asignando las responsabilidades y rendición de cuentas d) reforzar la organización basada en procesos para garantizar la integración entre los mismos, e) asignar los recursos necesarios para llevar a cabo las responsabilidades y cumplimiento de los objetivos en lo que a la gestión de riesgos se refiere, f) establecer los mecanismos de comunicación y reportes.

En ISO3100:2018 se presenta así:

ISO 31000:2018 YA ESTÁ AQUÍ

Como se esperaba ya la organización ISO lanzó oficialmente este mes la nueva versión ISO 31000:2018, cuyo objetivo fue actualizar la norma antes los nuevos retos y tipos de riesgos en que las organizaciones se desempeñan.

El cambio se focaliza en el liderazgo de la alta dirección como principal responsable de garantizar que la gestión de riesgos se integre en todas las actividades de la organización, comenzando con la gobernanza de ésta.

Da un mayor énfasis en la naturaleza iterativa de la gestión de riesgos, aprovechando las nuevas experiencias, el conocimiento y el análisis para la revisión de los elementos, acciones y controles en cada etapa del proceso.

La composición gráfica de los principios, marco de trabajo y procesos cambia a formas circulares con respecto a norma anterior.

Comentaremos en esta primera entrega algunos de los cambios significativos:

Los principios cambian de 11 a 9:

A continuación se presentan los principios, con comentarios en algunos de ellos:

1.   CREACIÓN DE VALOR Y PROTECCIÓN: La versión 2018 se enfoca más en crear y proteger el valor como el impulsor clave de la gestión del riesgo.

2.  INTEGRADO: la gestión de riesgo integrada, para garantizar la coherencia y la efectividad del control de gestión en todas las áreas de la organización. Esto incluiría estrategia y planificación, resiliencia organizacional, TI, gobierno corporativo, RR.H.H, cumplimiento, calidad, salud y seguridad, continuidad del negocio, gestión de crisis y seguridad.

3.   ESTRUCTURADO

4.   ADAPTADO: a las necesidades y objetivos de la organización

5.  INCLUSIVO: en todos los aspectos de los riesgos en todas las áreas y procesos de la organización.

6. DINÁMICO Y QUE PROPORCIONA RESPUESTAS: la gestión de riesgo implica diseñar un modelo de sistema abierto que regularmente intercambia retroalimentación con su entorno externo para adaptarse a múltiples necesidades y contextos.

7.MEJOR INFORMACIÓN DISPONIBLE: recopilando la información interna y externa que habilite a la organización a tomar decisiones mejor informadas y oportunas.

8.FACTORES HUMANOS Y CULTURALES: bajo un marco en que todos los integrantes de la organización e interesados actúen conociendo los riesgos, comprometidos con la gestión y rendición de cuentas, en un ambiente que propicie la autogestión.

9.   MEJORA CONTINUA.

COSO vs ISO 31000. ¿Cuál es más aplicado en la gestión de riesgo empresarial?

En noviembre del año 2015 Marsh Risk Consulting, empresa del grupo Marsh & McLennan Companies en conjunto con RIMS, The Risk and Insurance Management Society, realizó un estudio de benchmarking con el objetivo de conocer las diferentes prácticas de gestión de riesgos en el entorno empresarial latinoamericano, que permitió comparar con respeto a otros países el nivel de desarrollo en esta área (1).

Dentro del grupo de preguntas se indagó cuál de los estándares internacionales aplican las organizaciones para diseñar su sistema de gestión de riesgo, arrojando como resultados que casi la tercera parte de las empresas encuestadas aplica la norma ISO 31000 y muy cercano a ese número (29%) se adhieren a COSO (Commitee of Sponsoring Organizations).

En primer lugar hay que advertir que ambos estándares no son manuales de aplicación o recetas para implementar un sistema de gestión de riesgo empresarial.  Son un marco de trabajo y de proceso general para la gestión de los diversos tipos de riesgos. Estos estándares no obligan a utilizar una visión única y rígida, sino que dentro de unos principios e instrucciones cada organización las adapta a sus necesidades.

Los enfoques de estos estándares han sido revisados de forma continua y se puede hablar de convergencia en muchos aspectos, aunque el debate está servido al comparar el abordaje de ambos estándares en temas específicos.  Hay coincidencia en principios, tales como, el riesgo agrega valor a la organización, la importancia del modelaje y compromiso de la alta dirección como dinamizadores para crear una cultura de riesgo, pieza fundamental para alcanzar un carácter integral en la gestión, y en los procesos de apreciación y tratamiento del riesgo las metodologías se aproximan bastante.

El enfoque inicial de COSO hacia el control interno, y la percepción de que su alcance era poco aplicable a todo tipo de empresas, ha desarrollado un enfoque más integral con su última versión COSO ERM 2016. Entre tanto la ISO 31000:2009, actualmente en proceso de cambios hacia ISO31000:2018, se presenta como una norma relativamente de pocas páginas, fácil de comprender, clara y práctica que se expandió rápidamente en su aplicación en muchas empresas. La norma ISO 31000:2009 no requiere certificación.

Cualquiera que sea la elección o si ya la empresa aplica alguna de ellas, los dos enfoques en conjunto proporcionan a los profesionales de la gestión de riesgo y auditores un marco adecuado y efectivo para diseñar, fortalecer o integrar la gerencia de riesgo.

(1)https://www.marsh.com/mx/insights/research/i-benchmark-de-gestion-de-riesgos-en-latinoamerica.html