Pocas cosas son ciertas en la vida: la muerte, los impuestos y alguien en la comunidad de riesgos preguntando sobre riesgos inherentes y residuales. De hecho, la pregunta es tan frecuente que incluso hice una breve respuesta en video
Para la mayoría de las organizaciones, la comparación entre inherente y residual es una forma de medir la efectividad potencial de la mitigación del riesgo y la reducción del riesgo. Eso suena bastante noble y sensato, medir la compensación entre el costo de la mitigación y la reducción en la exposición al riesgo.
Pero, como suele ser el caso en RM1la ejecución de la idea es el problema. Evaluar cualitativamente el riesgo inherente en términos de escalas de probabilidad e impacto antes de los controles (o con los controles actuales, no importa) y luego volver a evaluar cualitativamente el nivel de riesgo residual es una tontería. Por cierto, si el último párrafo te sorprendió, probablemente no deberías estar trabajando en riesgos 🙂 En este artículo ¡Por fin! Una alternativa a las matrices de riesgo Proporciono más información sobre las razones por las que realizar evaluaciones cualitativas de riesgos no es gestión de riesgos.
Dicho esto, en RM2siempre hemos comparado la exposición al riesgo con y sin mitigaciones, pero lo hacemos de manera completamente diferente. Por favor, un redoble de tambores. Observamos la probabilidad de lograr los objetivos y cómo las mitigaciones afectan esa probabilidad. Norman Marks lo llama la probabilidad de éxito.
Pregunta a RAW@AI sobre esta publicación o simplemente habla sobre la gestión de riesgos
En RM2 No necesitamos hablar sobre niveles de riesgo, siempre representamos la incertidumbre como un producto de objetivos.
Aquí está cómo se ve cuando se trata de objetivos financieros
Exposición actual al riesgo, sin mitigaciones. Probabilidad de éxito 77,5%. No está mal, pero la dirección quería una mayor certeza.
Exposición al riesgo actualizada con mitigaciones. La probabilidad de éxito aumentó al 86%. (todos los números son solo para ilustración, la diferencia real suele ser mucho mayor).
Aquí hay un ejemplo de cómo podría verse un cronograma de proyecto
La probabilidad de terminar en o antes de la fecha límite es del 16%. No aceptable, es necesario implementar medidas de mitigación.
La probabilidad actualizada de éxito es del 68%. Esto estaba dentro del apetito de gestión.
Conclusión
Las discusiones sobre riesgos inherentes y residuales cualitativos son una pérdida de tiempo. Probablemente incluso peor que inútil debido a cognitivo sesgos y errores metodológicos inherentes en las evaluaciones cualitativas Por otro lado, podemos y debemos calcular la probabilidad de éxito antes y después de las mitigaciones propuestas. Incluso los riesgos de seguridad y cumplimiento se representarán mejor como impacto en un objetivo o decisión en lugar de un nivel de riesgo independiente.
Aprende más en el próximo evento en línea RAW2024 https://2024.riskawarenessweek.com/
Ver otros gestión de riesgos libros
RISK-ACADEMY ofrece cursos en línea
Toma de Riesgos Informada
Aprende 15 pasos prácticos para la integración. gestión de riesgos dentro de decisión creación, procesos de negocio, cultura organizacional y otras actividades!
ISO 31000 Integración Gestión de Riesgos
Alex Sidorenko, conocido por su gestión de riesgos blog http://www.riskacademy.blog, ha creado un programa de 25 pasos para integrar gestión de riesgos dentro de decisión la creación de los procesos centrales del negocio y de la cultura general de la organización.
Gobernanza de Riesgos Avanzada
Este curso ofrece orientación, motivación, información crítica y estudios de casos prácticos para ir más allá de la gobernanza tradicional del riesgo, ayudando a garantizar gestión de riesgos No es un proceso independiente, sino un motor del cambio para el negocio.
Un pensamiento sobreLa mejor alternativa a los conceptos de riesgo "inherente" y "residual"”