La mejor alternativa a los conceptos de riesgo "inherente" y "residual"

Publicado en Caliente, Gestión de riesgos

Pocas cosas son ciertas en la vida: la muerte, los impuestos y alguien en la comunidad de riesgos preguntando sobre riesgos inherentes y residuales. De hecho, la pregunta es tan frecuente que incluso hice una breve respuesta en video

Para la mayoría de las organizaciones, la comparación entre inherente y residual es una forma de medir la efectividad potencial de la mitigación del riesgo y la reducción del riesgo. Eso suena bastante noble y sensato, medir la compensación entre el costo de la mitigación y la reducción en la exposición al riesgo.

Pero, como suele ser el caso en RM1, la ejecución de la idea es el problema. Evaluar cualitativamente el riesgo inherente en términos de escalas de probabilidad e impacto antes de los controles (o con los controles actuales, no importa) y luego volver a evaluar cualitativamente el nivel de riesgo residual es una tontería. Por cierto, si el último párrafo te sorprendió, probablemente no deberías estar trabajando en riesgos 🙂 En este artículo ¡Finalmente! Una alternativa a las matrices de riesgo Proporciono más información sobre las razones por las cuales realizar evaluaciones cualitativas de riesgos no es gestión de riesgos.

Dicho esto, en RM2, siempre hemos comparado la exposición al riesgo con y sin mitigaciones, pero lo hacemos de manera completamente diferente. Por favor, un redoble de tambores. Observamos la probabilidad de lograr los objetivos y cómo las mitigaciones afectan esa probabilidad. Norman Marks lo llama la probabilidad de éxito.

Pregunta a RAW@AI sobre esta publicación o simplemente habla sobre la gestión de riesgos

En RM2 no necesitamos hablar de niveles de riesgo, siempre representamos la incertidumbre como un producto de objetivos.

Aquí está cómo se ve cuando se trata de objetivos financieros

VPN 3 v13a.png

Exposición actual al riesgo, sin mitigaciones. Probabilidad de éxito 77,5%. No está mal, pero la dirección quería una mayor certeza.

NPV 4 v16_sin riesgos de eventos

Exposición al riesgo actualizada con mitigaciones. La probabilidad de éxito aumentó al 86%. (todos los números son solo para ilustración, la diferencia real suele ser mucho mayor).

Aquí hay un ejemplo de cómo podría verse un cronograma de proyecto

Picture1

La probabilidad de terminar en o antes de la fecha límite es del 16%. No aceptable, es necesario implementar medidas de mitigación.

Picture2

La probabilidad actualizada de éxito es del 68%. Esto estaba dentro del apetito de gestión.

Conclusión

Las discusiones sobre riesgos inherentes y residuales cualitativos son una pérdida de tiempo. Probablemente incluso peor que inútil debido a sesgos cognitivos y errores metodológicos inherentes en las evaluaciones cualitativas. Por otro lado, podemos y debemos calcular la probabilidad de éxito antes y después de las mitigaciones propuestas. Incluso los riesgos de seguridad y cumplimiento se representarán mejor como impacto en un objetivo o decisión en lugar de un nivel de riesgo independiente.

Aprende más en el próximo RAW2024 en línea https://2024.riskawarenessweek.com/

Un pensamiento sobreLa mejor alternativa a los conceptos de riesgo "inherente" y "residual"

  1. Pingback ¿Crear un plan de auditoría basado en riesgos, es un mito? Blog RISK-ACADEMY

Deja una respuesta

Este sitio utiliza Akismet para reducir el spam. Aprende cómo se procesa la información de tus comentarios.