Blog de RISK-ACADEMY

El concepto de riesgo inherente se originó en el seguro, donde los suscriptores utilizaban la Pérdida Máxima Posible (MPL) para determinar el valor total que podría perderse en un evento catastrófico. MPL considera el escenario de peor caso absoluto, sin controles en marcha, incluso si es muy poco probable que ocurra. El concepto de considerar la pérdida en el peor escenario ha estado presente en los seguros desde sus primeros días. Sin embargo, el término específico MPL probablemente ganó prominencia en las décadas de 1950 o 1960 a medida que las metodologías de evaluación de riesgos se formalizaron más.

Este concepto de riesgos inherentes fue posteriormente tomado por los auditores internos y gerentes de riesgos, a menudo utilizado de manera engañosa y en una forma puramente teórica.

Desde entonces, los suscriptores de seguros han pasado a utilizar la Pérdida Máxima Estimada (EML) en lugar de la PML. EML adopta un enfoque más realista al considerar la probabilidad de diferentes escenarios de pérdida. Tiene como objetivo estimar la pérdida máxima que se espera razonablemente que ocurra basada en datos históricos, evaluaciones de riesgo y las características específicas del riesgo asegurado. El cambio hacia el uso de EML en lugar de MPL comenzó a ganar terreno a finales del siglo XX, particularmente en las décadas de 1980 y 1990. Esto fue impulsado por varios factores

• Avances en la modelización de riesgosEl desarrollo de modelos de riesgo sofisticados permitió a las aseguradoras cuantificar mejor la probabilidad de diferentes escenarios de pérdida, lo que llevó a estimaciones más precisas de las pérdidas máximas.
• Mayor enfoque en gestión de riesgosLa industria de seguros enfatizaba cada vez más gestión de riesgos prácticas, y EML proporcionó una métrica más práctica y accionable para evaluar y mitigar riesgos.
• Cambios regulatoriosAlgunos marcos regulatorios comenzaron a requerir o fomentar el uso de EML como una medida más realista de las pérdidas potenciales.

Este es un hecho importante porque muestra que incluso los usuarios originales del concepto de riesgo inherente lo encontraron simplista y exagerado. Un estudio de la Asociación Nacional de Comisionados de Seguros (NAIC) encontró que EML, al incorporar datos históricos y modelos probabilísticos, reduce el colchón de capital que los aseguradores deben mantener, optimizando así su estabilidad financiera y competitividad. También debe señalarse que, más allá de algunos de los usos tradicionales en seguros y algunos otros casos excepcionales, el concepto de riesgo inherente no tiene aplicación práctica ni valor.

Pregunta a RAW@AI sobre esta publicación o simplemente habla sobre la gestión de riesgos

Para poder analizar más a fondo el concepto, necesitamos distinguir entre 3 tipos de riesgos

• riesgo inherente – El riesgo que hipotéticamente existiría sin ninguna medida de mitigación de riesgos. Es el riesgo bruto y natural asociado con una actividad o situación en particular.
• Riesgo actual – El nivel actual de riesgo dado las medidas de control existentes asumiendo su nivel de efectividad actual. Esencialmente representa el nivel de riesgo que la organización enfrenta actualmente.
• riesgo residual – El nivel de riesgo pronosticado para el futuro después de que se implementen nuevas medidas de mitigación y asumiendo que serán efectivas.

Los auditores internos tradicionalmente comparan el riesgo inherente con el riesgo actual para determinar qué controles actuales son más críticos y, por lo tanto, deben incluirse en las revisiones de auditoría interna. Los gestores de riesgos, por otro lado, suelen comparar el riesgo actual con el riesgo residual para determinar el efecto que podrían tener las nuevas mitigaciones en la exposición al riesgo, seleccionar la combinación más efectiva de mitigaciones dado el presupuesto y determinar si el costo de implementarlas está justificado en comparación con la reducción del riesgo.

La revisión de las metodologías de auditoría interna mostró que la mayoría de las veces los riesgos inherentes y actuales se comparan no en un sentido matemático, sino como una diferencia en dos juicios de expertos, denotados por niveles de riesgo alto, medio o bajo, derivados de combinar la puntuación o calificación de probabilidad y la puntuación o calificación de consecuencia. La encuesta del Cuerpo Común de Conocimientos (CBOK) de Auditoría Interna Global del IIA encontró que el 60 % de los auditores utilizan escalas subjetivas (alto, medio, bajo) para evaluar riesgos, lo que conduce a evaluaciones inconsistentes y poco confiables. Un estudio de COSO también destaca que estas evaluaciones cualitativas a menudo no logran reflejar con precisión la efectividad del control, lo que resulta en una representación errónea del panorama real de riesgos.

En 1964, en el ensayo “Palabras de probabilidad estimativa”, Sherman Kent exploró la inconsistencia en cómo los analistas usaban palabras como “probable”, “probablemente” y “poco probable” para expresar sus niveles de confianza en las evaluaciones de inteligencia. El estudio de Kent encontró que diferentes analistas asignaban diferentes probabilidades numéricas a estas palabras, lo que conducía a confusiones e interpretaciones erróneas de los informes de inteligencia. Por ejemplo, un analista podría usar "probable" para significar una probabilidad del 80% de que ocurra un evento, mientras que otro podría usarlo para significar una probabilidad del 30%. Esta falta de estandarización en el uso del lenguaje estimativo era una preocupación importante en la comunidad de inteligencia. Como resultado, el trabajo de Kent llevó al desarrollo de directrices y escalas más estructuradas para expresar juicios probabilísticos en el análisis de inteligencia. También destacó una de las fallas fundamentales en los intentos de los auditores internos de comparar los niveles de riesgo inherente cualitativos con los niveles de riesgo actual cualitativos y hizo que sus estimaciones de la efectividad del control fueran engañosas e irreales. Una encuesta del Instituto de Auditores Internos (IIA) reveló que muchas organizaciones tienen dificultades para aplicar el riesgo inherente de manera significativa fuera del contexto de seguros. El informe de la IIA muestra que las evaluaciones de riesgo inherente a menudo conducen a una sobreestimación de los niveles de riesgo, lo que resulta en una asignación ineficiente de recursos para mitigar eventos poco probables.

Una mejor estrategia para los auditores internos es utilizar la descomposición para evaluar la efectividad de los controles calificando en función de factores objetivos, como volumen de transacciones, errores históricos, materialidad, nivel de automatización, entre otros. Esto todavía es simplista, pero produce menos errores, según MacGregor (2001), quien aboga directamente por la descomposición en la previsión basada en juicios, mientras que Armstrong (2001) apoya la combinación de pronósticos, a menudo involucrando descomposición, para una mayor precisión. Fildes y Goodwin (2007) enfatizan el valor de descomponer problemas complejos y utilizar el juicio para cada componente, apoyando aún más los beneficios de la descomposición para mejorar la precisión de las previsiones basadas en el juicio.

No hemos observado ninguna evidencia que sugiera que los gestores de riesgos necesiten comparar el riesgo inherente con los riesgos actuales o el riesgo inherente con el riesgo residual, ya que esto no genera ningún valor práctico ni conduce a decisiones específicas, dado el esfuerzo requerido.

Muchos gestores de riesgos que hemos entrevistado, por otro lado, comparan el riesgo actual con el riesgo residual cuando optimizan las futuras mitigaciones en función del presupuesto o intentan reducir el riesgo a un nivel aceptable. Este análisis normalmente requería un análisis más profundo de cualquier riesgo dado utilizando un diagrama de lazo, un decisión árbol u otra técnica de descomposición. Cuantificar el riesgo actual y el riesgo residual futuro permite a las organizaciones maduras optimizar las acciones de mitigación y seleccionar el mejor retorno de la inversión. Por lo general, se selecciona la colección de acciones de mitigación que producen la mayor reducción en el valor en riesgo y el valor condicional en riesgo por cada dólar invertido.

Contrariamente al enfoque común, los riesgos no deben compararse por el nivel de riesgo derivado de multiplicar la probabilidad y las consecuencias, esto da una pérdida esperada (PE). Aunque es útil para la presupuestación, pasa por alto el riesgo de cola, lo que lo hace inadecuado para comparar riesgos actuales y residuales. Artzner et al. (1999) destacan la superioridad del valor en riesgo (VaR) y del valor en riesgo condicional (cVaR) como medidas de riesgo coherentes, capturando de manera efectiva el riesgo de cola y adhiriéndose a propiedades deseables como la subaditividad. Por ejemplo, un estudio de caso sobre BP. gestión de riesgos Las prácticas posteriores al desastre de Deepwater Horizon mostraron cómo pasar de un registro de riesgos estático a un modelo de evaluación de riesgos dinámico y probabilístico, lo que ayudó a la empresa a predecir y mitigar mejor los riesgos futuros. De manera similar, la investigación de McKinsey destaca cómo una compañía farmacéutica global utilizó VaR y cVaR para optimizar sus estrategias de mitigación de riesgos, lo que llevó a una mejora del 30 % en el rendimiento ajustado al riesgo de la inversión.

Es recomendable informar sobre el riesgo residual una vez que la organización sea lo suficientemente madura para representar los riesgos clave como distribuciones de pérdidas y medir el cambio en VaR o cVaR.

Moderno gestión de riesgos está más integrado con decisiónProcesos de toma de decisiones, lo que significa que cualquier enfoque de evaluación de riesgos, incluidas las discusiones sobre el riesgo inherente, debe informar directamente y alinearse con las decisiones estratégicas y operativas. Esto requiere un enfoque más dinámico y probabilístico para la evaluación de riesgos en lugar de evaluaciones estáticas y categóricas.

RISK-ACADEMY ofrece cursos en línea

+ Agregar al carrito

+ Agregar al carrito

+ Agregar al carrito