Transcripción:

Nick James:

Ahora vivimos en un mundo en el que casi todas las organizaciones se enfrentan a una incertidumbre extrema a diario. Más que nunca, los equipos deben integrarse y los silos deben eliminarse. Soy el fundador y director de eventos de #RISK, una importante y muy oportuna serie de eventos que comienzan en Londres en noviembre de este año. Estoy encantado de que hoy me acompañe Michael Rasmussen, uno de nuestros embajadores de #RISK. Hola Michael.

Michael Rasmussen:

Es un placer estar aquí hoy. Estoy deseando que llegue esto.

Nick James:

Excelente. Tengo una serie de preguntas para usted, pero la primera es la que dije en mi introducción sobre la incertidumbre. ¿Crees que las palabras riesgo e incertidumbre son intercambiables?

Michael Rasmussen:

Guau. Quiero decir, eso va a entrar en la semántica. Si nos atenemos a la definición oficial de riesgo, que se encuentra en ISO 31.000, la norma internacional sobre gestión de riesgos, el riesgo es el efecto de la incertidumbre sobre los objetivos. ¿Son absolutamente iguales, si sigues la definición? No, porque el riesgo es el efecto de la incertidumbre y es el efecto. Pero eso es desempacarlo probablemente un poco demasiado profundo. En general, sí, el riesgo tiene que ver con la gestión de la incertidumbre. Para hacer el riesgo, tienes que entender realmente de qué se trata ese riesgo. Volviendo a esa definición, ¿el riesgo es el efecto de la incertidumbre sobre qué? Sobre objetivos. Necesitamos contexto para entender de qué se trata la incertidumbre, de qué se trata el riesgo. Ahí es donde los objetivos ponen eso en contexto.

Michael Rasmussen:

Ahora, desde un punto de vista corporativo, porque miramos el riesgo desde un punto de vista geopolítico, amplio, global, un punto de vista de país, un punto de vista individual. Pero, desde un punto de vista corporativo, sus objetivos pueden ser objetivos a nivel de entidad. Pueden ser objetivos a nivel de división, departamento, proceso, objetivos de proyecto o incluso objetivos a nivel de activos. Pero, tenemos objetivos en diferentes niveles de la organización. El riesgo es el efecto de la incertidumbre sobre esos objetivos. Tenemos que entender claramente los objetivos de la organización para poder gestionar el riesgo o, y esto es de lo que estamos hablando aquí, la incertidumbre de esos objetivos.

Nick James:

Como dijiste, semántica, pero un enfoque muy pragmático. Lo que hemos visto en los últimos dos años con la pandemia de COVID-19 ha centrado a muchas organizaciones en la necesidad de desarrollar resiliencia y garantizar su capacidad para responder y recuperarse de las interrupciones operativas. ¿Significa eso que el riesgo y la resiliencia son dos caras de la misma moneda?

Michael Rasmussen:

Ahí diría que no. Están relacionados. La resiliencia es un resultado de la gestión de riesgos. Pero para mí, la gestión de riesgos debe gobernar la resiliencia. Si observa las regulaciones de resiliencia operativa en todo el mundo, tiene la regulación de resiliencia operativa del Reino Unido del banco de Inglaterra. La FCA, la PRA. Tienes la DORA de la UE, Ley de resiliencia de operaciones digitales. Obtuvo [00:03:36] y la guía del banco de pagos nacionales sobre resiliencia operativa. Luego está la Oficina de los Estados Unidos para el Control de la Orientación Monetaria sobre resiliencia operativa. Si observa la definición de EE. UU. en la guía de la OCC, dice que la resiliencia operativa es un resultado efectivo de la gestión del riesgo operativo. La resiliencia es parte de la gestión de riesgos, pero la gestión de riesgos es mucho más amplia que solo la resiliencia. De hecho, si quisiera ver las dos caras de una moneda, diría que hay agilidad y resiliencia, porque no se trata solo de gestionar el riesgo para la organización desde un punto de vista resiliente, sino que también es madurar efectivamente su gestión de riesgos para que pueda ser una organización ágil.

Michael Rasmussen:

Tomemos la analogía de que estoy corriendo por la calle. Si estoy corriendo por la calle y salgo a correr por la mañana, lo que sea. Me tropiezo con el bordillo, la resiliencia es ¿qué tan rápido puedo levantarme y volver a correr? La resiliencia se trata de la recuperación de un evento, un evento de riesgo. Mientras que la agilidad, que es tan importante para la gestión de riesgos hoy en día, es poder ver ese obstáculo como ese bordillo con el que podría tropezar y poder navegar y no tropezar con él. O si estoy haciendo algo como parkour que podemos ver en YouTube, aprovechar algunos obstáculos para lograr una gran hazaña de agilidad y actuar para obtener una mayor ganancia. Una buena gestión de riesgos permite la resiliencia, la capacidad de ver eventos y minimizar el impacto, recuperarse de los eventos. Pero, una gestión de riesgos realmente buena es la capacidad de aportar agilidad, poder ver lo que se avecina y poder preparar a la organización y navegar y evitar un evento de riesgo, o incluso aprovechar eso, lo que se nos avecina para una mayor oportunidad. y ganancia para la organización.

Michael Rasmussen:

Para mí, si estamos viendo las dos caras de la moneda, son la agilidad y la resiliencia. La gestión de riesgos, una buena gestión de riesgos madura, madurará y traerá ambos a la mesa.

Nick James:

Excelente. Me encanta la analogía también. Nuestro eslogan para #RISK es que el riesgo es asunto de todos. Con eso en mente, ¿quién en una organización debería asumir el riesgo y se sienta con el C-suite? Si es así, ¿tiene el C-suite, la junta directiva las habilidades necesarias para proporcionar una supervisión de riesgos efectiva?

Michael Rasmussen:

Hay mucho que desempacar allí. En primer lugar, hablemos del modelo de tres líneas. Solía llamarse tres líneas de defensa. Tiene la tercera línea que es auditoría y aseguramiento, proporcionando aseguramiento en la gestión de riesgos. Tienes la función de segunda línea donde paso la mayor parte de mi carrera y esa es la oficina administrativa de gestión de riesgos, el director de riesgos, el administrador de riesgos operativos, tal vez enfoques específicos de riesgo, como seguridad de TI, riesgo ambiental o salud y seguridad. riesgo. Pero, luego, la primera línea es la gestión operativa hasta los empleados de primera línea. Lo que estamos viendo es una gran transición para impulsar la responsabilidad del riesgo, no de esa segunda línea a la primera línea, hasta la junta directiva.

Michael Rasmussen:

Eso es lo que es increíblemente crítico en este momento: poder involucrar a las personas que realmente toman riesgos y hacerlos responsables del riesgo. Para mí, el riesgo es propiedad del más alto nivel en la junta directiva y los altos ejecutivos de la organización. Pero, obviamente, se filtra hacia abajo y tienes diferentes gerentes operativos y personas que también asumen y administran el riesgo en diferentes niveles de la organización. Lo que claramente se necesita es la rendición de cuentas y el compromiso del riesgo, donde la función de segunda línea se convierte más en un facilitador de la gestión de riesgos, pero en realidad es la primera línea hasta la junta directiva la que realmente posee el riesgo y es responsable del riesgo. Estamos viendo un mayor enfoque en la rendición de cuentas debido a esto y eso es absolutamente importante. Pero, también significa, como mencionó, que debe haber un mayor conjunto de habilidades y educación por parte de la junta, pero también hacia abajo en diferentes niveles de ejecutivo a gestión operativa que también son dueños del riesgo.

Nick James:

Había mucho que desempacar allí y creo que hiciste un trabajo fabuloso al hacerlo. Con todo esto en mente, ¿cómo pueden los líderes marcar la pauta? No solo desde un punto de vista comercial o de cumplimiento, sino desde una posición ética. Teniendo en cuenta que como decías, a veces no correr riesgos significa perder oportunidades.

Michael Rasmussen:

Se trata de comunicar claramente qué es el riesgo y también en ese contexto, construir una cultura de riesgo. ¿Qué es un riesgo aceptable e inaceptable en su organización? ¿Quién asume y gestiona el riesgo? La cultura del riesgo es absolutamente crítica. ¿Eres una organización que es muy arrogante y toma muchos riesgos y no los administra muy bien, o eres una organización que es muy adversa a la toma de riesgos, pero incluso el riesgo que tomas, no lo administras bien? ¿Eres agresivo a la hora de asumir riesgos, pero tienes estructuras sólidas de responsabilidad y propiedad del riesgo donde hay un mayor rendimiento del riesgo? Es fundamental que las organizaciones fomenten la cultura adecuada de gestión de riesgos.

Michael Rasmussen:

Soy embajador global del Instituto de Gestión de Riesgos y miembro vitalicio honorario allí. Hicimos un trabajo hace una década sobre la cultura del riesgo. Pero es una de las piezas más fundamentales que he visto surgir del Instituto de Gestión de Riesgos, porque es muy clara y guía sobre cómo dirigimos las actitudes, el comportamiento y la cultura en la dirección adecuada de lo que es. riesgo aceptable e inaceptable y cómo se asume y gestiona ese riesgo. Hay un gran artículo en The Economist Magazine hace unos 15 años llamado Goldman Sachs Behind the Brass Plate. Habla sobre una variedad de temas, pero uno de ellos es la cultura de gestión de riesgos de Goldman Sachs y cómo, si está asumiendo un riesgo significativo, no puede ser el esfuerzo de una sola persona. Tiene que ser un esfuerzo de equipo. Tienes que involucrar a varias personas y aportes, y eso es parte de nuestra cultura. ¿Cómo nos involucramos y colaboramos en el riesgo?

Nick James:

Esto está jugando directamente con toda la lógica entre nosotros que queremos ejecutar esta serie de eventos #RISK, porque no puede existir en un silo. Tiene que ser responsabilidad de todos. Desde mi punto de vista, como editor y organizador de eventos, y un poco, supongo, de un Johnny llegado últimamente a todo el sector de cumplimiento y riesgo de gobierno, veo que casi todos los días, hay nuevos riesgos que la gente tiene. para mirar. Obviamente, lo único que estamos viendo es un aumento en la importancia de ESG, que nuevamente sé que no somos nosotros. Mucha gente me pregunta: “Bueno, ¿quién está tomando la iniciativa en ESG? ¿Es el CFO, el CMO, el CDO, el CRO, el CEO?” Esa es una pregunta, hay una pregunta doble, la segunda parte de esta pregunta, que es, ¿COVID-19 ha ayudado u obstaculizado la agenda empresarial responsable?

Michael Rasmussen:

Gran pregunta. Ahora, quiero decir, ESG se trata nuevamente de responsabilidad. Tuvimos iteraciones de ESG antes. Solíamos llamarlo responsabilidad social corporativa. Pero, el desafío con la responsabilidad social corporativa fue que se transmitió a la organización como una patata caliente y, a menudo, terminó en el regazo de marketing, se convirtió en un ejercicio de marca que decía: “Pongamos verde en nuestro logotipo”, y no se trataba realmente de cambiar las prácticas de la organización. ESG está llegando a la organización desde muchos ángulos, desde el punto de vista del inversionista, el inversionista corporativo, las juntas directivas, los clientes y clientes, los empleados, los grupos de partes interesadas y los reguladores. Tienes que tener tu responsabilidad por eso. Veo con mayor frecuencia que el departamento de ética y cumplimiento corporativo, el director de ética y cumplimiento, recibe la responsabilidad general de ESG y la rendición de cuentas. Para mí, el director de ética y cumplimiento, el CECO, en última instancia, se trata de la integridad de la organización.

Michael Rasmussen:

Si pudiera cambiar el nombre del director de ética y cumplimiento, ser el director de integridad, pero ya tenemos un CIO, así que tal vez ese acrónimo no funcione. Pero, se trata de la integridad de la organización, que lo que comunicamos son nuestros valores en torno al medio ambiente, lo social, el gobierno y otros aspectos de cumplimiento, que sea una realidad en la organización. Para mí, todo se reduce a la integridad de la organización, que lo que comunicamos al mundo e internamente a nuestros empleados, eso es lo que se está haciendo en la organización. Esa es la responsabilidad del director de ética y cumplimiento. En la mayoría de mis interacciones, la mayoría diría que veo al CECO asumiendo responsabilidades allí. Pero, como usted señaló, todos estos otros roles, desde el riesgo operativo hasta la garantía extraña, el medioambiente, la salud y la seguridad, y la seguridad de TI y la protección de datos, todos están involucrados.

Michael Rasmussen:

Esta no es una función de un departamento. Es una función federada que involucra a todos estos diferentes departamentos. Alguien tiene que liderarlo. La mayoría de las veces, veo que es el director de ética y cumplimiento, pero no siempre. Otras veces, es riesgo operacional. Otras veces he visto una extraña seguridad en otros roles. Pero, si tuviera que elegir el rol en el que he visto más acción, es el de director de ética y cumplimiento. Pero ese es un rol de facilitación porque para cumplir con ESG se requieren todos estos diferentes departamentos y funciones que se relacionan con algún aspecto del riesgo de ESG desde adquisiciones, recursos humanos, seguridad de TI y controles internos. Todos estos tienen que ser parte de ella.

Michael Rasmussen:

Ahora, su otra pregunta sobre COVID-19, diría que COVID-19 ha ayudado. Si regresa a diciembre de 2019, publiqué un artículo de blog en mi sitio web llamado A Tale of Two Futures. Era nuestro futuro, un futuro de Blade Runner o un futuro de Star Trek. Nos dirigimos hacia uno u otro, y las decisiones que toman los gobiernos, pero también las toman los individuos. Pero, también las corporaciones van a impactar si nos dirigimos hacia ese desastre ambiental y social, un corredor de cuchillas, o esa cooperación intergaláctica más ecológica y respetuosa con el medio ambiente de razas alienígenas de Star Trek. Solo ves la serie más reciente de Picard y ves que San Francisco es un entorno de tipo muy verde. Nos dirigimos hacia uno o hacia el otro. Señalo en este artículo de blog que lo que las corporaciones hagan ahora tendrá un impacto en ese futuro. Pero, luego digo, si observa muchos programas de administración de riesgos empresariales y operativos, pensaría que el único riesgo que les preocupa es el riesgo de seguridad de TI, y ese es un gran riesgo.

Michael Rasmussen:

Comencé mi carrera en seguridad de TI, pero afirmo en ese informe, si observa el foro económico mundial, el informe de riesgo global que se publica todos los años, los riesgos más importantes que enfrentamos son los riesgos ambientales, como el cambio climático y la salud y riesgos de seguridad, como pandemias. Digo esto en diciembre de 2019 y digo que muchos programas de gestión de operaciones empresariales tienen que cambiar para abordar una gama más amplia de riesgos. COVID-19 viene para probar mi punto. Pero, el desafío es que es un entorno de riesgo interconectado. El físico [inaudible 00:15:04] afirma: “Cuanto más estudiamos los principales problemas de nuestro tiempo, más nos damos cuenta de que están interconectados y son interdependientes. No se pueden gestionar de forma aislada”. El entorno de riesgo actual es un entorno de riesgo interconectado. Lo que comienza con un riesgo para la salud y la seguridad, como la pandemia, cae en cascada y genera riesgos de seguridad de TI del entorno de trabajo desde el hogar.

Michael Rasmussen:

Riesgos de conducta, ya que las personas están en reuniones de Zoom y están en la oficina de su hogar y dicen cosas que cruzan la línea de discriminación por acoso, porque no creen que se les apliquen las mismas reglas porque están en casa y no en la oficina corporativa. Mayor riesgo de fraude o soborno y corrupción debido a restricciones en aduanas y contratos y permisos regulados limitados. Mayor riesgo de problemas de responsabilidad social, como las normas internacionales del trabajo, el trabajo infantil y el trabajo forzado, porque nuestras fábricas de la cadena de suministro se apagan debido a la enfermedad y reabren con trabajo infantil y trabajo forzado. Es un entorno de riesgo interconectado y tenemos que hacer algo al respecto. Es por eso que ESG se está volviendo tan importante y lo que realmente hizo que mucha gente abriera los ojos fue la pandemia.

Nick James:

Guau. Estoy totalmente de acuerdo contigo en eso, y solo crucé los dedos para esperar que estemos apuntando y terminemos en el escenario de Star Trek. Ese ESG podría ser una luz que nos guíe en esa dirección. Tengo una pregunta final, Michael, y esto es obviamente desde un punto de vista comercial, en lugar de un punto de vista personal. Pero, ¿qué te mantiene despierto por la noche?

Michael Rasmussen:

Riesgo geopolítico, de eso no hay duda. Pero eso puede convertirse en riesgos ambientales y tensiones geopolíticas. Una de las cosas que he estado monitoreando durante 15 años es el riesgo geopolítico. Muchas organizaciones no incorporan eso en sus programas de riesgo empresarial y operativo, porque están muy centrados en la seguridad de TI y otras cosas, lo que sigue siendo un riesgo importante. No estoy minimizando eso. Pero quiero decir, el riesgo geopolítico es definitivamente lo que me mantiene despierto por la noche, debido a todas las tensiones que vemos y el potencial de tensiones e interrupciones globales. Desde el bloqueo del Canal de Suez y el respaldo en las cadenas de suministro globales, hasta desastres ambientales y cosas que podrían afectar nuestros negocios globales, hasta las tensiones geopolíticas que estamos viendo en Ucrania y Rusia en este momento. El riesgo geopolítico es lo más importante.

Michael Rasmussen:

El otro que me viene a la mente es el riesgo de cambio regulatorio. Los servicios financieros, los servicios financieros globales se ocupan, Dios mío, ¿qué es? 1,217 eventos de cambio regulatorio cada… No, lo siento. Están lidiando con 257 eventos de cambio regulatorio todos los días hábiles, provenientes de 1217 reguladores de todo el mundo. Hay tantos cambios regulatorios todos los días hábiles. Nuevas regulaciones, cambios en las regulaciones, acciones de cumplimiento y simplemente mantenerse al día con el volumen de cambio en el medio ambiente. El cambio regulatorio, el cambio de riesgo, el cambio comercial, todo eso es extremadamente desafiante.

Nick James:

Michael, esto ha sido absolutamente fascinante y podríamos continuar durante mucho tiempo. Pero espero verte muy pronto en persona donde tal vez podamos debatir todo esto con una copa de vino tinto. Absolutamente maravilloso verte de nuevo y esperamos ponernos al día pronto.

Michael Rasmussen:

Igualmente.

Nick James:

Gracias.

Preinscríbete en #RISK

Con más de 200 expositores, presentaciones magistrales de expertos y líderes de opinión, paneles de discusión y sesiones de trabajo, #RISK será la reunión más grande de su tipo en 2022.

#RISK se centrará en cómo un programa integral de GRC permite a los líderes de riesgo, las líneas de negocio y el C-suite mitigar los riesgos, reducir las infracciones de cumplimiento y mejorar el rendimiento empresarial.

VER LOS TEMAS Y LA AGENDA

 

Topics

#RISK Founder Nick James in conversation with Michael Rasmussen