Do risk managers manage risk?
I saw a version of this question the other day and it occurred to me that, in any kind of direct way, they generally don’t.
The direct managing a risk implies action and impact. This requires sufficient authority and the levers of power. Risk managers rarely have such clear and direct mandates.
What on earth have they been doing with their time?
Before you decide to cut some overhead by sacking your risk team I propose, if only in the interests of self preservation, to ask what risk managers actually do, and to consider whether this is valuable.
OK, they certainly identify and describe risks; they try with various levels of precision and confidence to quantify risks, and they report on risks run and potential risks.
Nonetheless, identifying, describing and reporting risks are pretty useless unless these activities result in some kind of action. I confess that I have seen some cases where the only action I could see was that presumably that some risk people got paid.
Good outcome in a general Keynesian creation of employment sense. Not so useful otherwise.
Fortunately, risk people also do other things.
One of the most important is the calling out of big, fast-moving or emerging risks so that action can be taken quickly to pre-empt problems.
More prosaically, the expanded version of ‘identifying, describing, reporting’ is where most of the risk team’s time goes. This is the day-to-day work of keeping people informed about what the ongoing risks are and how they might be avoided, mitigated or generally steered toward what the organisation considers acceptable.
This role includes education, helping to draw out risk appetite, setting up sensible structures for governance and review, establishing some qualitative and quantitative frame around risks, and all the other tasks around ensuring that there is a good ongoing picture of what risks are being run and providing management with an understanding around whether risks are under control.
So, to go back to the original question; not really managing risks then but providing an understanding of risks, giving some guidance and options about how they can be addressed and providing assurance that they are being addressed, and the broader task of acting as a critical friend to advise and, at a pinch, to compel action through calling out issues and, where necessary, escalating them.
So – is Risk Manager the right description?* What should risk managers be called? Risk explainers? Risk advisors?
I quite like Risk Consigliere, but I haven’t been able to get much traction with it.
I think we’re stuck with Risk Manager.
[*When asked to suggest my own job title once, I did propose ‘Grand Vizier of Risk’ – I got ‘Group Head of Risk Reporting’ instead, meh.]
#riskmanagement #riskmanager #risk
Valora esta traducción
¿Los gestores de riesgos gestionan el riesgo?
Vi una versión de esta pregunta el otro día y se me ocurrió que, de cualquier manera directa, generalmente no lo hacen.
La gestión directa de un riesgo implica acción e impacto. Esto requiere suficiente autoridad y las palancas del poder. Los gestores de riesgos rara vez tienen mandatos tan claros y directos.
¿Qué demonios han estado haciendo con su tiempo?
Antes de que decida reducir algunos gastos generales despidiendo a su equipo de riesgos, le propongo, aunque solo sea en interés de la autoconservación, preguntar qué hacen realmente los gestores de riesgos y considerar si esto es valioso.
De acuerdo, ciertamente identifican y describen los riesgos; Intentan con varios niveles de precisión y confianza cuantificar los riesgos, e informan sobre los riesgos corridos y los riesgos potenciales.
Sin embargo, identificar, describir y reportar riesgos es bastante inútil a menos que estas actividades resulten en algún tipo de acción. Confieso que he visto algunos casos en los que la única acción que pude ver fue que presumiblemente se pagó a algunas personas de riesgo.
Buen resultado en un sentido keynesiano general de creación de empleo. No es tan útil de otra manera.
Afortunadamente, las personas de riesgo también hacen otras cosas.
Uno de los más importantes es la denuncia de riesgos grandes, rápidos o emergentes para que se puedan tomar medidas rápidamente para prevenir los problemas.
Más prosaicamente, la versión ampliada de «identificar, describir, informar» es donde va la mayor parte del tiempo del equipo de riesgo. Este es el trabajo diario de mantener a las personas informadas sobre cuáles son los riesgos continuos y cómo podrían evitarse, mitigarse o, en general, dirigirse hacia lo que la organización considera aceptable.
Este rol incluye la educación, ayudar a extraer el apetito de riesgo, establecer estructuras sensatas para la gobernanza y la revisión, establecer algún marco cualitativo y cuantitativo en torno a los riesgos, y todas las demás tareas para garantizar que haya una buena imagen continua de los riesgos que se están ejecutando y proporcionar a la gerencia una comprensión sobre si los riesgos están bajo control.
Entonces, volviendo a la pregunta original; no gestionando realmente los riesgos, sino proporcionando una comprensión de los riesgos, dando alguna orientación y opciones sobre cómo pueden abordarse y proporcionando la seguridad de que se están abordando, y la tarea más amplia de actuar como un amigo crítico para asesorar y, en caso de apuro, obligar a la acción llamando a los problemas y, cuando sea necesario, escalándolos.
Entonces, ¿es Risk Manager la descripción correcta?* ¿Cómo deberían llamarse los gerentes de riesgos? ¿Explicadores de riesgos? ¿Asesores de riesgo?
Me gusta bastante Risk Consigliere, pero no he podido obtener mucha tracción con él.
Creo que estamos atascados con Risk Manager.
[*Cuando me pidieron que sugiriera mi propio título de trabajo una vez, propuse ‘Gran Visir de Riesgo’ – obtuve ‘Jefe de Grupo de Informes de Riesgos’ en su lugar, meh.]
#riskmanagement #riskmanager #risk
Internal Audit and Risk Management Consultants
Patrick Healy •
No hay comentarios.:
Publicar un comentario