Ok, el título es obviamente una broma, porque las alternativas (múltiples) han estado disponibles para cualquiera que esté dispuesto a aprender durante más de 50 años. Pero como hiciste clic, este artículo probablemente cambiará tu vida para mejor.
Gracias Damir Ramazanov, Gerente de Riesgos de Proyectos del Grupo ERG, por ayudar con el artículo y proporcionar calidad revisión.
Espera, ¿realmente necesitamos una alternativa?
Para mí, el uso de matrices de riesgo es una cuestión de ética y habilidades profesionales, y depende totalmente del gestor de riesgos individual.En ese sentido, las matrices de riesgo (o la mayoría de las otras técnicas cualitativas) son como horóscopos Douglas Hubbardel libro). Son divertidos, fáciles de entender, están en todas partes, pero probablemente no los usarías para ninguna vida cotidiana que tenga sentido. decisión o si lo hicieras tendrías la decencia de darte cuenta de que no es mejor que tirar una moneda y, definitivamente, no hablar de ello en las conferencias que lo llaman la mejor práctica.
Las fallas son fundamentales en el diseño de matrices de riesgo y no hay nada que un gerente de riesgos o analista de negocios pueda hacer para hacerlas confiables. Todos estos defectos se han discutido aquí https://www.researchgate.net/publication/266666768_The_Risk_of_Using_Risk_Matricesy en este video de Osama Salahhttps://www.youtube.com/watch?v=7IcRtz7qo2wy en esta publicación de David Vose https://www.linkedin.com/pulse/defence-risk-heat-maps-david-vose/y en docenas de publicaciones que he estado haciendo a lo largo de los años. Además, la investigación por Tony Cox y Douglas Hubbard han demostrado que las matrices de riesgo consistentemente funcionan peor al medir y comunicar riesgos que las herramientas cuantitativas adecuadas. Agrega a ello el defecto de los promedios (cubierto en libro de Sam Savage) y los más de 50 años de investigación sobre la percepción del riesgo, haciendo decisión Bajo la incertidumbre y la psicología del riesgo, así como las pruebas empíricas realizadas por la NASA, la CIA y otros, y el alejamiento de las técnicas tradicionales de análisis cualitativo del riesgo, se vuelven evidentes por sí mismos.
Pregunta a RAW@AI sobre esta publicación o simplemente habla sobre la gestión de riesgos
¿Entonces, cuáles son las alternativas? Hay muchos, pero para que la herramienta sea mejor, se deben cumplir los siguientes criterios:
- El análisis de riesgos tiene que realizarse en el momento de decisión haciendo, no una vez al trimestre
- Los resultados del análisis de riesgos no deben expresarse como niveles de riesgo arbitrarios; deben expresarse como volatilidad o rango o escenarios de la decisión / el propio objetivo (con algunas excepciones en HSE, por ejemplo)
- La salida del análisis de riesgos debe tener un impacto directo e inmediato en el decisión a la mano.
También es muy importante distinguir entre 2 tipos de técnicas de análisis de riesgos
- técnicas para comprender mejor la naturaleza del riesgo hacer una decisión cómo manejarloGeneralmente se usa cuando se conoce un riesgo específico y es significativo, y la gestión necesita abordarlo de manera rentable.
- diagramas de corbata de moño
- FMEA / FMECA
- HAZID, HAZMAT, HAZAN
- 5 porqués
- diagramas de influencia
- ICAM, etc.
- técnicas para entender mejor cómo la incertidumbre afecta a la decisión o objetivo. Usado al hacer una decisión, preparando o aprobando una estrategia, presupuesto, pronóstico, fijación de precios a largo plazo, etc. y los riesgos no son evidentes:
- puntuación
- decisión árboles
- análisis de sensibilidad
- análisis de escenarios
- pruebas de estrés
- varias técnicas de simulaciónbasado en agentes, dinámicas de sistemaso evento discreto).
La aplicación de las técnicas anteriores también dependerá de la decisión complejidad, materialidad, nivel de incertidumbre y el tiempo y los recursos disponibles para el gestor de riesgos:
Para decisiones simples
De lejos, la forma más fácil y común de asignar riesgo a una entidad, proyecto, proveedor, unidad de negocio o una pieza de equipo es mediante el uso de una metodología de puntuación. De hecho, es tan común que cientos de empresas lo han estado usando sin llamar. gestión de riesgos para siempre:
- Las agencias de calificación S&P, Moodys y Fitch asignarán calificaciones a las empresas
- departamentos de compras para clasificar a los proveedores existentes (oro, plata, bronce o en lista negra)
- clasificación de piezas de repuesto o equipos según su criticidad, etc.
- bancos y corporaciones para asignar deudores a grupos / categorías de riesgo o para clasificar a los deudores morosos
- bomberos clasificando edificios en categorías de riesgo de incendio, etc.
Básicamente, cualquier tipo de metodología que permita clasificar ítems basados en sus características predeterminadas es una mejor forma de comunicar riesgos y de usar esa información para decisión haciendo. A veces podría parecer una lista de verificación muy sencilla. Es algo bastante obvio, pero si aún quieres que escriba un artículo aparte sobre el comentario de la metodología de puntuación, comenta en este artículo usando la palabra "puntuación".
Para decisiones sobre cómo mitigar un riesgo particular
Si estás en la situación en la que necesitas determinar las mejores formas de mitigar un tipo específico de riesgo, entonces un diagrama de lazo o un diagrama de influencia serán muy útiles. Existen varias técnicas que ayudan a visualizar el riesgo descomponiéndolo en componentes, por ejemplo, causas y consecuencias, como en el caso de los lazos de corbata.
Esto es muy útil para activar el pensamiento del sistema 2 y superar al menos algunos de los cognitivo sesgos. Las pajaritas son bastante básicas y deberían estar en el arsenal de cada gestor de riesgos. FMEA, FMECA, árboles de fallos, 5 porqués y ICAM Las técnicas de investigación son muy similares en principio. Su objetivo principal es anotar los posibles componentes de un riesgo, recordándonos no olvidar fuentes o consecuencias importantes, aunque puedan no ser evidentes al principio.
Usé mucho los pajaritas, incluso una vez fui lo suficientemente infantil como para presentársela al CEO (exviceprimer ministro del país). Eso obviamente no cayó bien. Así que probablemente sea mejor usarlos como herramientas de análisis internas en lugar de una herramienta de comunicación. Mi secreto personal con los pajaritas es tener siempre al menos 7 causas y 7 consecuencias, y al menos 3 causas y consecuencias de segundo nivel en cada rama. Y luego usar distribuciones para convertir un lazo en un modelo de riesgo cuantitativo y una curva de excedencia de pérdidas. Archer Insight probablemente hizo la mejor automatización del análisis de riesgo cuantitativo con diagramas de lazo. De esa manera definitivamente cambiamos de S1 a S2 y mejoramos nuestras posibilidades de encontrar una solución.
Para cualquier decisión que implican números (espera, eso es la mayoría de ellos)
Para el resto de los casos, en realidad es más importante para nosotros no entender cuán significativo es cada riesgo individual, sino más bien cómo la incertidumbre en general afecta nuestro decisión, KPI u objetivo. Nassim Taleb lo llama f(x). También lo llaman f(x) en investigación de operaciones. Eso significa que deberíamos estar más interesados en el efecto del riesgo en algo que en el nivel de riesgo en sí mismo.
Para mi sorpresa, el mensaje anterior es en realidad muy difícil, casi imposible, de digerir para los gestores de riesgos. Ve si puedes ayudarme a explicarlo mejor en los comentarios.
Esto es lo que yo llamo gestión de riesgos 2– usando el análisis de riesgos como un decisión herramienta para hacer. Ya que la idea de usar gestión de riesgos como decisión La fabricación de herramientas es mucho más antigua que la idea de usar. gestión de riesgos Como elemento de la gobernanza corporativa, todo lo que necesitamos hacer es abrir cualquier buen libro sobre ciencia de la decisión o teoría de la probabilidad para encontrar las herramientas.
Repitamos. Aquí hay algunas de las técnicas más comunes, algunas con más de 50 años, clasificadas de simples a difíciles:
- decisión árboles o diagramas de influencia
- análisis de escenarios
- pruebas de estrés
- técnicas de modelado por simulación
La ironía es que, mientras que muchos gestión de riesgos Los departamentos han estado utilizando mapas de calor para clasificar los riesgos; otras unidades de negocio han estado utilizando técnicas adecuadas de análisis de riesgos desde siempre, sin llamarlo así. gestión de riesgosLos médicos han estado usando decisión árboles, cualquier profesional de inversiones que use análisis de sensibilidad, finanzas que usan escenarios, empresas farmacéuticas, geólogos, meteorólogos que pronostican el tiempo usando modelización por simulación para siempre.
Si quieres que amplíe alguna de las herramientas, por favor escribe en los comentarios.
Para decisiones grandes e importantes
Este es simple, si el decisión Es complejo y las apuestas son altas, utiliza el modelado por simulación o mejor. ¿Qué es aún mejor? Escribe en los comentarios.
Si encontraste útil este artículo, por favor dale me gusta y comparte.
guías y plantillas de RISK-ACADEMY
La guía de RISK-ACADEMY sobre la gestión de riesgos en proyectos gubernamentales
Ver otros gestión de riesgos libros
RISK-ACADEMY ofrece cursos en línea
Toma de Riesgos Informada
Aprende 15 pasos prácticos para la integración. gestión de riesgos dentro de decisión creación, procesos de negocio, cultura organizacional y otras actividades!
ISO 31000 Integración Gestión de Riesgos
Alex Sidorenko, conocido por su gestión de riesgos blog http://www.riskacademy.blog, ha creado un programa de 25 pasos para integrar gestión de riesgos dentro de decisión la creación de los procesos centrales del negocio y de la cultura general de la organización.
Gobernanza de Riesgos Avanzada
Este curso ofrece orientación, motivación, información crítica y estudios de casos prácticos para ir más allá de la gobernanza tradicional del riesgo, ayudando a garantizar gestión de riesgos No es un proceso independiente, sino un motor del cambio para el negocio.
Hola Alex, y al grano como siempre. Sí, por favor, desarrolle más los diversos aspectos técnicos/herramientas.
¡Puntuación!
Saludos, Julien
Gran publicación. Soy un discípulo de lo nuevo.
Amplíe todas las técnicas y herramientas, por favor.
Excelente artículo
No puedo entender la diferencia entre mapa de calor y puntuación. Para asignar un riesgo determinado a una casilla en particular del mapa, es necesario evaluarla. Por favor, escribe sobre la puntuación adecuada. Gracias de antemano.
La mayoría de las metodologías de puntuación que dependen de que las personas califiquen cosas son tan defectuosas como los mapas de calor. Algunas metodologías de puntuación que se basan en observaciones factuales y relaciones estadísticas podrían ser útiles. Ver modelos paramétricos
Me hace preguntarme, ¿por qué las organizaciones necesitan entonces gerentes de riesgos? Excepto cuando lo requiera un regulador.
Sería cierto si la mayoría de las personas en la organización fueran competentes en aplicar las herramientas y técnicas del artículo. No lo son.
Soy un gerente de riesgos principiante en un centro de procesamiento de tarjetas. Estoy en proceso de desarrollar el registro de riesgos. Utilizo técnicas de lluvia de ideas basadas en flujo de efectivo, análisis de causa raíz junto con bow-tie para analizar riesgos. ¿Qué otros métodos pueden mejorar el trabajo? ¿Cuál es tu opinión sobre la Teoría de las Restricciones como una metodología de evaluación de riesgos operativos y procesos? Gracias.
¿Cuál es el propósito del registro de riesgos? Porque recopilar y analizar riesgos solo por el registro de riesgos no es útil. Debe haber un objetivo más grande y ese objetivo determinará la técnica mejor a utilizar
El propósito del registro es cubrir la mayor cantidad posible de riesgos de alto nivel (los responsables de riesgos son los altos directivos). Con respecto a su respuesta, no la especificidad de la industria, sino el propósito del registro define los métodos a utilizar. ¿Entiendo correctamente lo que dices?
Un propósito incorrecto para realizar análisis de riesgos, por lo que, independientemente de la herramienta, aportará un valor muy limitado al negocio.
Entonces pregúntate cuál es el verdadero propósito de hacer un análisis de riesgos. Entonces liberarás que nunca debiste intentar un registro de riesgos en primer lugar
Alex, muchas gracias por tu respuesta directa y honesta. Aunque no fue tan agradable, la próxima vez seré más cuidadoso al buscar una capacitación adecuada sobre el tema. Buena suerte.
Google libro de gestión de riesgos gratuito
Alex, tengo tres de tus libros sobre la construcción y evaluación de sistemas RM. Por cierto, los métodos que aplico se toman ya sea de estos libros o los aprendí en su curso de educación a distancia. Pero gracias de todos modos.
Creo que eso entra en la categoría de hacer análisis de riesgos con el propósito de análisis de riesgos. Pero, ¿y si su objetivo fuera aumentar los márgenes tanto como sea posible? Con eso en mente, sería razonable mantener un registro de riesgos, en el sentido de que captura eventos de pérdida y, si quieres aumentar las ganancias, deberías reducir las pérdidas. Dado que él está en el negocio de procesamiento de tarjetas, asumo que sus eventos de pérdida están relacionados con transacciones con tarjetas. Por ejemplo, si sus clientes siguen reportando problemas con el uso de tarjetas en ciertos tipos de negocios, o hay informes de uso fraudulento de tarjetas, encuentro útil rastrear esos problemas, analizarlos y descubrir qué los causó. Además, si están preparando el presupuesto para el próximo año, esa información podría ser útil para calcular cuánto esperan perder.
Si el objetivo es aumentar los márgenes, ¿no usaríamos en su lugar la verificación de suposiciones, escenarios, análisis de sensibilidad o simulaciones? El registro de riesgos no es una herramienta, es solo una tabla para almacenar información.
Hacer análisis de riesgos solo por el sake del análisis de riesgos es malo ))
Sr. Ramírez, gracias por su respuesta. En realidad, mis preguntas eran sobre la aplicación de métodos específicos en la industria de procesamiento de pagos con tarjeta (si los hay) y si la Teoría de las Restricciones puede aplicarse para identificar y analizar riesgos en esa industria. Lamentablemente, no recibí ninguna respuesta. Con respecto al propósito de mi solicitud de registro de riesgos, no entré en detalles porque el método de flujo de efectivo basado en PL, que el señor Sidorenko conoce muy bien, es un método cualitativo aplicado al presupuesto para identificar riesgos que podrían afectar la salud financiera de la empresa. No hace falta decir que debería cambiarse a una metodología cuantitativa, como la simulación de Monte Carlo, o al menos un análisis de sensibilidad. Lamentablemente, no tengo formación en esto y la madurez de mi empresa no está preparada para comprender algo más complicado que un registro de riesgos o un mapa de calor. Pero no estoy aquí para hablar de mis deficiencias o de las de la dirección o del consejo de administración de mi empresa. Acabo de hacer preguntas relacionadas con el primer grupo, mencionado en el artículo: métodos para entender la naturaleza de los riesgos. No sabía nada sobre el registro de riesgos, ni sobre los métodos para identificar cómo la incertidumbre afecta la salud financiera de la empresa. Gracias por su atención.
No hay problema. Solo un consejo no solicitado, no te enfoques demasiado en el método en sí, sino en entender el modelo, cómo funciona el negocio y cómo se comportan las variables. Los altos directivos no se preocuparán mucho si usaste el método X o Y, les importará más una solución precisa y breve.
Eso es cierto. De hecho, dejé de hablar tanto sobre la técnica, a nadie le importa y en realidad las personas pierden el enfoque de los temas importantes.
La mayoría de los análisis de riesgos parecen comenzar lanzando dardos a un tablero de dardos. O, como decimos hoy, un ‘taller’. Creo que debe comenzar con una cosa que ya tienes y una cosa que necesitas desarrollar. Lo que tienes, al menos en tu cabeza, es una 'estructura de desglose de trabajo/actividad'. Lo que necesitas es una 'estructura de desglose de riesgos' no para la actividad en sí, sino para lo que se pretende lograr. Luego puedes retroceder desde el resultado buscado hasta las acciones para producir ese resultado.
El nivel más bajo de la EDT y la Estructura de Desglose de Recursos (RBS) que has decidido preparar son entonces los encabezados para las columnas en la parte superior y las filas en el lado de un gráfico (evito la palabra matriz, ya que evoca la implicación equivocada). En cada cruce del elemento RBS y WBS, decida si hay una interacción. Si hay una interacción, ¿cuál es la amenaza, el peligro, el riesgo y su respuesta?
Por lo tanto, la evaluación de riesgos surge del trabajo que se debe realizar, los resultados que se deben lograr y las actividades que los lograrán.
A partir de aquí se presenta un buen análisis de riesgos: vías causales, diagramas de lazo en forma de pajarita (análisis de efecto-consecuencia, o ECA para la sala de juntas), análisis de modos de fallo, estudios de ramificación de decisiones, etc.
De esto deberían surgir rangos de costos de un evento de fallo, en comparación con el valor del proyecto/actividad y la apetencia por el riesgo (es decir, cuánto estás dispuesto a perder), y hacer un plan: cambiar el proyecto, cambiar la entrega, asegurar, contener la respiración, etc.
Aquí estamos desarrollando un plan basado en la relevancia del riesgo; utiliza un MonteCarlo o rangos de probabilidad para desarrollar el rango final de costos.
¡Hola! ¿Alguna vez escribiste un artículo sobre puntuación? ¿Y entonces, cuál fue el título? ¡Me encantaría leerlo!
Aún no, demasiado ocupado, eventualmente sí.
¡Entendido, muchas gracias! Estoy deseando que llegue.