Si hay una cosa que aprendí como CRO, es fundamental entender la naturaleza de cada uno de los riesgos con los que tenemos que trabajar. Sin duda escribiré un artículo aparte sobre el error de agregar diversos riesgos en un registro de riesgos o intentar usar la misma metodología para cuantificar diferentes riesgos, pero eso será más adelante. Este artículo trata sobre entender la naturaleza del riesgo. No la definición de riesgo en ISO31000 porque tiene muy poca utilidad práctica, sino comprender la verdadera naturaleza de cada riesgo, desde los principios fundamentales.
Para facilitar la comprensión de este artículo, al menos hay tres formas en que puede manifestarse un riesgo. Posiblemente más, escribe en los comentarios si puedes pensar en otros.
Evento incierto con efecto incierto
Esta es probablemente la forma más conocida de describir el riesgo. El riesgo se representa como un evento incierto dentro de un período de tiempo determinado que, si ocurre, tendrá un efecto en los objetivos, decisiones u otro aspecto importante del negocio.
No te equivoques, no estoy hablando de tonterías cualitativas que verías en un mapa de calor. Los riesgos no tienen una única consecuencia, siempre son un rango. Las consecuencias menores suelen tener una probabilidad mayor y las consecuencias catastróficas suelen tener una probabilidad menor. Las consecuencias de cualquier riesgo dado son una distribución de probabilidad. Comprender la naturaleza de esa distribución es crucial para la mitigación de riesgos, ya sea que sea logarítmico normal, metalog o algo más exótico. En el próximo artículo entraré en más detalle sobre por qué las consecuencias del riesgo no son en realidad solo una distribución, sino en realidad un producto de distribuciones derivadas a través de un proceso estocástico. decisión árbol.
Pregunta a RAW@AI sobre esta publicación o simplemente habla sobre la gestión de riesgos
¿Qué pasa con la frecuencia o la probabilidad? Primera matemática básica, el riesgo no ocurre en promedio (a menos que estemos tratando con algún análisis de riesgo de cartera), o sucede o no sucede. Por eso, la probabilidad también es una distribución, como por ejemplo la de Bernoulli. Pero espera, muchos riesgos pueden ocurrir más de una vez por período. Por eso, en realidad, a menudo es útil reemplazar la probabilidad por frecuencia, que también es una distribución, como la de Poisson.
Entonces, ¿cómo multiplicamos 2 distribuciones de probabilidad para obtener el valor de riesgo? Lo simulamos, Monte-Carlo en un complemento gratuito de Excel SIPmath o ModelRisk.
Haz esta prueba básica, toma un registro de riesgos y compara qué sucederá si simplemente multiplicas la probabilidad por el impacto y si simulas las probabilidades como Bernoulli. La media de la simulación sería muy similar a la suma de riesgos derivada por simple multiplicación, pero la volatilidad alrededor de la media sería enorme. El 95% casi duplica la suma de riesgos derivada de una simple multiplicación. Da miedo cuántos riesgos los gerentes subestiman el riesgo al usar las matemáticas incorrectas.
Y eso no es todo, los ejemplos anteriores asumen que los riesgos son totalmente independientes, lo cual rara vez, si es que alguna vez, es cierto. Así que al menos necesitamos agregar correlaciones a nuestros cálculos. Por cierto, eso probablemente reducirá el rango combinado de las consecuencias del riesgo.
Pero la mayor ironía es que esta forma de riesgo es la más común en RM1 y probablemente el menos utilizado en RM2.
Incertidumbre entre opciones limitadas
La segunda forma de riesgo es cuando tenemos un conjunto discreto de resultados posibles, pero el resultado real es incierto. Por ejemplo, una empresa solicita varios esquemas de descuentos fiscales, pero no está segura de cuál obtendrá. Por eso, algunos riesgos se representan mejor mediante una distribución discreta, donde hay una serie de escenarios, cada uno con su propia probabilidad de ocurrir.
Volatilidad de las suposiciones
Finalmente el la forma más común de riesgo es la volatilidad en torno a un caso base para una suposición. Todas las suposiciones hechas en planes de negocio, cronogramas de proyectos, presupuestos, valoraciones de inversiones y decisión Los modelos son inciertos. Todos son distribuciones. Algunos rangos son más amplios (donde hay mucha incertidumbre), otros rangos son más pequeños, pero son distribuciones de todos modos. Comprender la naturaleza de estas distribuciones es absolutamente fundamental para decisión Elaboración y análisis de riesgos.
F(X)
Agregué esta sección final un año después de escribir la publicación original porque hay tantas preguntas, tantos gestores de riesgos que pierden completamente la perspectiva sobre el riesgo. La erosión de la buena voluntad, la reputación, el flujo de efectivo, el VAN NO SON RIESGOS. Ellos son lo que Taleb llama función de riesgo o F(X). La buena voluntad, la reputación, el flujo de efectivo, el VAN son métricas comerciales muy importantes y, por supuesto, podemos medir el impacto de los riesgos en estas métricas mediante la simulación de diversos escenarios de riesgo y cómo afectarán colectivamente a la métrica deseada. NPV@riesgo o CF@riesgo son comunes gestión de riesgos prácticas. Tengo un artículo aquí sobre el tema y pasos detalladosLo mismo se puede hacer con la buena voluntad, la reputación, la financiación gubernamental o literalmente cualquier otra métrica, financiera o de otro tipo.
Esto fue solo una breve introducción a qué es el riesgo y qué no lo es. El riesgo no es probabilidad por consecuencias en una matriz de riesgos, eso seguro. En la próxima parte hablaré de por qué simplificar en exceso distintos riesgos para un registro de riesgos es una idea horrible y de cuán diferentes y únicos son cada riesgo y cuán estocásticos son decisión Los árboles pueden ayudar.
guías y plantillas de RISK-ACADEMY
La guía de RISK-ACADEMY sobre la gestión de riesgos en proyectos gubernamentales
Ver otros gestión de riesgos libros
RISK-ACADEMY ofrece cursos en línea
Toma de Riesgos Informada
Aprende 15 pasos prácticos para la integración. gestión de riesgos dentro de decisión creación, procesos de negocio, cultura organizacional y otras actividades!
ISO 31000 Integración Gestión de Riesgos
Alex Sidorenko, conocido por su gestión de riesgos blog http://www.riskacademy.blog, ha creado un programa de 25 pasos para integrar gestión de riesgos dentro de decisión la creación de los procesos centrales del negocio y de la cultura general de la organización.
Gobernanza de Riesgos Avanzada
Este curso ofrece orientación, motivación, información crítica y estudios de casos prácticos para ir más allá de la gobernanza tradicional del riesgo, ayudando a garantizar gestión de riesgos No es un proceso independiente, sino un motor del cambio para el negocio.
Posiblemente otros dos tipos de riesgos: “Empresa Comprometida” y “Fracasos Continuos”
No tengo idea de lo que quieres decir