Primero, felicitaciones al equipo de FAIR por incentivar a la comunidad de TI hacia un mejor análisis de riesgos. Me presenté por primera vez a la metodología FAIR aproximadamente hace 2 años en la conferencia de gestión de riesgos de Copenhague. El momento fue bastante afortunado ya que acabábamos de terminar un proyecto que cuantificaba los riesgos de propiedad intelectual para un importante cliente de telecomunicaciones en Rusia. Usamos un árbol de decisión con simulación de Monte Carlo, que por coincidencia era muy similar a lo que propone FAIR.

La metodología FAIR tiene la idea correcta y aquí hay 3 pasos para mejorarla aún más

Concéntrate en el efecto del riesgo de información en las decisiones empresariales, no en el riesgo de información en sí.

El primer punto es bastante fundamental. El Instituto FAIR difícilmente puede ser culpado porque esto es exactamente la lógica defectuosa que los reguladores han estado promoviendo durante años. Aunque tiene sentido cuantificar el riesgo de mercado, crédito y operativo en los bancos para permitirles calcular los requisitos de capital 1, tiene muy poco sentido hacer lo mismo fuera de los requisitos regulatorios. Taleb lo llama f(x), en lugar de x.

Esto es absolutamente fundamental y, para mi sorpresa, muy difícil de comprender para la mayoría de los profesionales de riesgos. Norman Marks incluso escribió un libro completo sobre ello. Déjame hacer el intento número 101 de explicarlo aquí

• las únicas dos personas en la organización que se preocupan por los niveles de riesgo son el gerente de riesgos y el auditor interno
• La mitigación de riesgos no es algo en lo que los ejecutivos piensen, a menos que sea un delito que pueda llevar a la cárcel, como fraude, seguridad o similar.
• los riesgos y sus mitigaciones solo son interesantes para los gerentes de riesgos y las personas que quieren justificar presupuestos para la mitigación de riesgos
• el resto de la organización está ocupada alcanzando objetivos tomando decisiones
• si queremos atención ejecutiva, necesitamos convertir la información de riesgo en información de decisión o información objetiva
• el riesgo es el efecto de la incertidumbre en los objetivos, así que deja de hablar de riesgos y muestra cómo esta incertidumbre afecta los objetivos o decisiones
• Sam Savage lo llama "probabilidad de lo que sea", utiliza la información de riesgo para comunicar cuán inciertos o riesgosos son los presupuestos, estrategias y decisiones, en lugar de comunicar los niveles de riesgo.
• Nada de esto es nuevo, abre cualquier libro de texto sobre ciencia de decisiones de los últimos 50 años o más.

Entonces, aunque la idea de medir el riesgo de la información es buena, no llega a ser útil para nadie más que el departamento de TI que intenta conseguir más presupuesto. La metodología FAIR sería mucho mejor si en lugar de medir el riesgo de la información midiera el efecto que el riesgo de la información tiene en las decisiones de inversión, decisiones estratégicas, presupuestos, pronósticos de producción, campañas de marketing, etc. Y no se trata de calcular un rango de exposiciones potenciales a partir de riesgos de información y restarlo del presupuesto. Se trata de agregar volatilidad o riesgos de eventos dentro del propio presupuesto para recalcular el presupuesto 2.0.

Y aquí es donde se pone interesante. En lo que respecta al presupuesto, la estrategia o la decisión, el riesgo de información es simplemente otro riesgo empresarial. Al igual que FX, tasas de interés, fallos de equipo y docenas de otros. Y su efecto debería modelarse de la misma manera que lo haríamos con divisas, tasas de interés, fallos de equipos, etc. Aquí hay un ejemploOlvídate de la gestión de riesgos. Mide la probabilidad de éxito en su lugar. #CambioDeRiesgo

PERT es peligroso

Otra observación preocupante es la preferencia general por usar distribuciones PERT.

Según David Vose, la distribución PERT debe usarse exclusivamente paraestimaciones de expertos en modelado, donde se proporcionan las estimaciones mínima, más probable y máxima del experto. La distribución PERT surgió de la necesidad de describir la incertidumbre en las tareas durante el desarrollo del misil PolarisClark, 1962). El proyecto tenía miles de tareas y era necesario hacer estimaciones que fueran intuitivas, rápidas y consistentes en su enfoque. Para más información, lee la wiki sobre https://www.vosesoftware.com/riskwiki/PERTdistribution.php

La limitación obvia de usar PERT es la gran dependencia de las opiniones de expertos. Esto presenta todos los errores comunes: mala calibración, sesgo de interés propio, falta de información, etc. Según Douglass Hubbard, una investigación de dos psicólogos, Donald MacGregor y J. Scott Armstrong, investigó cuánto mejoran las estimaciones cuando se descomponen las incertidumbres.La descomposición tuvo la mayor mejora en las estimaciones cuando la estimación original era extremadamente incierta, mientras que los elementos descompuestos eran más fáciles de estimar.

Cuando creamos nuestro modelo para los riesgos de propiedad intelectual hace unos años, descubrimos que era bastante difícil para la empresa estimar con precisión las pérdidas secundarias.

Otro peligro radica en el hecho de que las distribuciones PERT están limitadas. Esto significa que solo se modelarán los escenarios propuestos por el experto y nada más. Sin colas pesadas, sin escenarios peores, solo lo que el experto decidió incluir.

Combina uno y dos: opiniones de expertos y distribuciones acotadas, esa es una mezcla peligrosa. Dado que las personas generalmente son muy malas para estimar los peores escenarios.

¿Cómo mejorar la metodología FAIR? Lea la última sección para sugerencias.

Reducir la subjetividad

Aquí es donde creo que hay la mayor oportunidad para FAIR:

• Utiliza la base de miembros para realizar pruebas empíricas sobre diversos tipos de frecuencias de eventos y pérdidas, comienza a recopilar y mantener estadísticas sobre las pérdidas.
• Así como FAIR desarrolló una taxonomía, desarrolle una biblioteca de distribuciones (limitadas e ilimitadas, discretas y continuas) que describan mejor el comportamiento de diversos eventos y pérdidas.
• establece la conexión entre el modelo de riesgo de información y el plan de negocios general, el presupuesto o el proyecto de inversión.

Continuará…