3 pasos para mejorar la metodología FAIR y evitar errores comunes

Publicado en Gestión de riesgos

Primero, felicitaciones al equipo de FAIR por incentivar a la comunidad de TI hacia un mejor análisis de riesgos. Por primera vez me introdujeron a la metodología FAIR hace aproximadamente dos años en Copenhague. gestión de riesgos conferencia. El momento fue bastante afortunado ya que acabábamos de terminar un proyecto que cuantificaba los riesgos de propiedad intelectual para un importante cliente de telecomunicaciones en Rusia. Usamos un decisión Árbol con simulación de Monte Carlo, que por coincidencia era muy similar a lo que FAIR está proponiendo.

La metodología FAIR tiene la idea correcta y aquí hay 3 pasos para mejorarla aún más

Concéntrate en el efecto del riesgo de información en las decisiones empresariales, no en el riesgo de información en sí.

El primer punto es bastante fundamental. El Instituto FAIR difícilmente puede ser culpado porque esto es exactamente la lógica defectuosa que los reguladores han estado promoviendo durante años. Aunque tiene sentido cuantificar el riesgo de mercado, crédito y operativo en los bancos para permitirles calcular los requisitos de capital 1, tiene muy poco sentido hacer lo mismo fuera de los requisitos regulatorios. Taleb lo llama f(x), en lugar de x.

Esto es absolutamente fundamental y, para mi sorpresa, muy difícil de comprender para la mayoría de los profesionales de riesgos. Norman Marks incluso escribió un libro completo sobre ello. Déjame hacer el intento número 101 de explicarlo aquí

Pregunta a RAW@AI sobre esta publicación o simplemente habla sobre la gestión de riesgos

  • las únicas dos personas en la organización que se preocupan por los niveles de riesgo son el gerente de riesgos y el auditor interno
  • La mitigación de riesgos no es algo en lo que los ejecutivos piensen, a menos que sea un delito que pueda llevar a la cárcel, como fraude, seguridad o similar.
  • los riesgos y sus mitigaciones solo son interesantes para los gerentes de riesgos y las personas que quieren justificar presupuestos para la mitigación de riesgos
  • el resto de la organización está ocupada alcanzando objetivos tomando decisiones
  • Si queremos la atención de la alta dirección, necesitamos convertir la información de riesgo en decisión información u información objetiva
  • el riesgo es el efecto de la incertidumbre en los objetivos, así que deja de hablar de riesgos y muestra cómo esta incertidumbre afecta los objetivos o decisiones
  • Sam Savage lo llama “la posibilidad de lo que sea”, usa información de riesgos para comunicar cuán inciertos o arriesgados son los presupuestos, las estrategias y decisión son, en lugar de comunicar niveles de riesgo
  • Nada de esto es nuevo, abre cualquier libro de texto sobre decisión la ciencia de los últimos cincuenta años

Entonces, aunque la idea de medir el riesgo de la información es buena, no llega a ser útil para nadie más que el departamento de TI que intenta conseguir más presupuesto. La metodología FAIR sería mucho mejor si en lugar de medir el riesgo de la información midiera el efecto que el riesgo de la información tiene en las decisiones de inversión, decisiones estratégicas, presupuestos, pronósticos de producción, campañas de marketing, etc. Y no se trata de calcular un rango de exposiciones potenciales a partir de riesgos de información y restarlo del presupuesto. Se trata de agregar volatilidad o riesgos de eventos dentro del propio presupuesto para recalcular el presupuesto 2.0.

Y aquí es donde se pone interesante. En lo que respecta al presupuesto o a la estrategia o decisión está preocupado, el riesgo de información es solo otro riesgo empresarial. Al igual que FX, tasas de interés, fallos de equipo y docenas de otros. Y su efecto debería modelarse de la misma manera que lo haríamos con divisas, tasas de interés, fallos de equipos, etc. Aquí hay un ejemploOlvídate de la gestión de riesgos. Mide la probabilidad de éxito en su lugar. #CambioDeRiesgo

PERT es peligroso

Otra observación preocupante es la preferencia general por usar distribuciones PERT.

Según David Vose, la distribución PERT debe usarse exclusivamente paraestimaciones de expertos en modelado, donde se proporcionan las estimaciones mínima, más probable y máxima del experto. La distribución PERT surgió de la necesidad de describir la incertidumbre en las tareas durante el desarrollo del misil PolarisClark, 1962). El proyecto tenía miles de tareas y era necesario hacer estimaciones que fueran intuitivas, rápidas y consistentes en su enfoque. Para más información, lee la wiki sobre https://www.vosesoftware.com/riskwiki/PERTdistribution.php

La limitación obvia de usar PERT es la gran dependencia de las opiniones de expertos. Esto presenta todos los errores comunes: mala calibración, sesgo de interés propio, falta de información, etc. Según Douglass Hubbard, una investigación de dos psicólogos, Donald MacGregor y J. Scott Armstrong, investigó cuánto mejoran las estimaciones cuando se descomponen las incertidumbres.La descomposición tuvo la mayor mejora en las estimaciones cuando la estimación original era extremadamente incierta, mientras que los elementos descompuestos eran más fáciles de estimar.

Cuando creamos nuestro modelo para los riesgos de propiedad intelectual hace unos años, descubrimos que era bastante difícil para la empresa estimar con precisión las pérdidas secundarias.

Otro peligro radica en el hecho de que las distribuciones PERT están limitadas. Esto significa que solo se modelarán los escenarios propuestos por el experto y nada más. Sin colas pesadas, sin escenarios peores, solo lo que el experto decidió incluir.

Combina uno y dos: opiniones de expertos y distribuciones acotadas, esa es una mezcla peligrosa. Dado que las personas generalmente son muy malas para estimar los peores escenarios.

¿Cómo mejorar la metodología FAIR? Lea la última sección para sugerencias.

Reducir la subjetividad

Aquí es donde creo que hay la mayor oportunidad para FAIR:

  • Utiliza la base de miembros para realizar pruebas empíricas sobre diversos tipos de frecuencias de eventos y pérdidas, comienza a recopilar y mantener estadísticas sobre las pérdidas.
  • Así como FAIR desarrolló una taxonomía, desarrolle una biblioteca de distribuciones (limitadas e ilimitadas, discretas y continuas) que describan mejor el comportamiento de diversos eventos y pérdidas.
  • establece la conexión entre el modelo de riesgo de información y el plan de negocios general, el presupuesto o el proyecto de inversión.

Continuará…

 

 

 

Ver otros gestión de riesgos libros

RISK-ACADEMY ofrece cursos en línea

sample85
+ Agregar al carrito

Toma de Riesgos Informada

Aprende 15 pasos prácticos para la integración. gestión de riesgos dentro de decisión creación, procesos de negocio, cultura organizacional y otras actividades!

$149,99$29,99
sample85
+ Agregar al carrito

ISO 31000 Integración Gestión de Riesgos

Alex Sidorenko, conocido por su gestión de riesgos blog http://www.riskacademy.blog, ha creado un programa de 25 pasos para integrar gestión de riesgos dentro de decisión la creación de los procesos centrales del negocio y de la cultura general de la organización.

$199,99$29,99
sample85
+ Agregar al carrito

Gobernanza de Riesgos Avanzada

Este curso ofrece orientación, motivación, información crítica y estudios de casos prácticos para ir más allá de la gobernanza tradicional del riesgo, ayudando a garantizar gestión de riesgos No es un proceso independiente, sino un motor del cambio para el negocio.

$795

5 pensamientos sobre3 pasos para mejorar la metodología FAIR y evitar errores comunes

  1. Pingback 3 pasos para mejorar mucho la metodología FAIR y evitar errores comunes - RISK-ACADEMIA - ANO DPO ISAR

  2. Alexei — Primero que todo, gracias por desempeñar el papel de inquisidor en nuestra profesión. Necesitamos más de ellos para superar el dogma que es tan omnipresente. Escribiré una respuesta más larga en el blog de la FAIR Institute que enlazará a tu publicación. Sin embargo, brevemente:

    1) Sobre el enfoque del negocio. Aunque tienes razón en cierto grado, aquí es donde parece que tu "conocimiento" de FAIR te coloca en desventaja. En la práctica, FAIR puede ser y a menudo se usa de manera similar a lo que tú sugieres.

    2) Sobre PERT. PERT (como cualquier otro método de medición) solo es peligroso cuando se usa incorrectamente. Además, estás equivocado al creer que PERT es el único tipo de distribución que se puede aplicar al usar FAIR. Por lo tanto, referirse a esto como una falla de FAIR no es preciso.

    3) Reducir la subjetividad. Estamos trabajando para una mejor utilización de la comunidad del Instituto FAIR para datos. Desafortunadamente, ser una organización sin fines de lucro que no cobra cuotas de membresía nos deja con muy pocos recursos para ese tipo de esfuerzo. Estamos comenzando a solucionar esto a través de una serie de esfuerzos que describiré en mi publicación de blog de respuesta.

    En el futuro, estaré encantado de ser un espacio de escucha para cualquier sugerencia que tengas respecto a FAIR. Estoy seguro de que sería genial hacer una lluvia de ideas con un compañero inquisidor 😉

    Salud
    Jack Jones

    Responder

    2. Solo para ser explícito en una cosa: nunca he sugerido que PERT sea la única distribución que sea o pueda ser aplicada al usar FAIR. Lo que estaba sugiriendo es que FAIR necesita hacer más trabajo en pruebas empíricas para determinar los mejores tipos de distribución para los diferentes componentes del modelo. PERT es una excusa cuando somos perezosos o necesitamos respuestas rápidas. Podemos hacerlo mejor que eso

      Responder

      1. Gracias. Tienes razón. Eso debería enseñarme a no responder correos electrónicos ni comentar en publicaciones de blogs hasta después de haber tomado mi primera (o segunda) taza de café.

Deja una respuesta

Este sitio utiliza Akismet para reducir el spam. Aprende cómo se procesa la información de tus comentarios.