Ilustremos el tipo de problemas que crean los registros de riesgos típicos y por qué el uso de registros de riesgos cualitativos o de puntuación debe ser evitado por la gerencia y no ser aceptado por los Consejos.
 |
Imagina que la empresa tiene 10 riesgos en su registro de riesgos corporativos o de proyectos. La junta quiere saber cómo afectan estos 10 riesgos a los objetivos y conocer la exposición total al riesgo. |
 |
Cada exposición al riesgo generalmente se calcula multiplicando la probabilidad por el efecto y luego se suman los riesgos para determinar la exposición total al riesgo.
Este proceso, aparentemente simple, conduce a conclusiones muy engañosas e incorrectas. |
Vamos a investigar una mejor manera de medir los riesgos. El riesgo 1 puede ocurrir con una probabilidad del 20%. Entonces, hay 2 escenarios posibles: que ocurra el Riesgo 1 (con una probabilidad del 20%) y que no ocurra el Riesgo 1 (con una probabilidad del 80%).
Si ocurre el Riesgo 1, el efecto es de 15$. Si el Riesgo 1 no ocurre, el efecto es de 0$. Con la excepción de algunos riesgos (como el mercado, por ejemplo), no hay casos intermedios, el riesgo ocurre o no ocurre. La exposición previa al riesgo Probabilidad X Efecto = 3$ es totalmente engañosa.
Pregunta a RAW@AI sobre esta publicación o simplemente habla sobre la gestión de riesgos
Aquí están las razones
- Necesitamos considerar ambos escenarios (el riesgo ocurre y no ocurre) y los efectos de cada escenario por separado
- Necesitamos considerar la dependencia entre riesgos, es muy poco probable que los 10 riesgos ocurran simultáneamente o de manera completamente independiente. La suma simple solo funciona para calcular pérdidas esperadas en algunas ocasiones. Se requiere una simulación para agregar riesgos, se abordará con más detalle en los Módulos 3 y 4.
- Algunos riesgos pueden ocurrir más de una vez al año, por lo que la probabilidad ya no funciona y debe ser reemplazada por la frecuencia.
- El efecto de cualquier riesgo es en realidad un rango de valores potenciales. Rara vez, cuando ocurre un riesgo, hay un efecto fijo determinado en el negocio. Los efectos deben representarse como distribuciones de probabilidad, no como valores únicos.
Comparemos el registro de riesgos anterior con una alternativa mejor, aún muy simplificada solo con fines ilustrativos:
 |
Porque los riesgos no ocurren en promedio, las probabilidades se representan mejor como distribuciones de Bernoulli y o bien ocurren o no ocurren.
Los efectos también son inciertos y se representan mejor mediante otra distribución, esta vez continua, PERT solo con fines ilustrativos. PERT tiene valores mínimos, más probables y máximos. Usamos nuestros valores de efecto originales como modo. Para calcular el total, ejecutamos una simulación. |
 |
La suma original de los riesgos era 160. Ahora podemos ver que la suma de los riesgos es en realidad un rango de 0 a 610.
De hecho, hay 54% de probabilidad que el riesgo total para el año será superior a los 160 originales. El 95% del tiempo (también a veces llamado VaR) total la exposición al riesgo estará por debajo de 490. Pretender que el riesgo total sea 160 es realmente malo. decisión haciendo y significará que los riesgos probablemente no serán mitigados adecuadamente y estarán subfinanciados. |
 |
El ejemplo anterior tampoco es muy realista porque asume que cada riesgo solo puede ocurrir una vez al año.
Para fines ilustrativos, reemplazamos la distribución para los primeros 3 riesgos para que ocurran más de una vez al año, ahora es 1, 5 y 10 veces al año respectivamente. Este cambio aparentemente simple en las suposiciones tiene un impacto significativo en la exposición general al riesgo. |
 |
Cuando comparamos un escenario en el que los riesgos 1, 2 y 3 pueden ocurrir varias veces al año, la exposición al riesgo pasó de 0 a 610, luego a 17 y a 3350, y el perfil de riesgo parece muy diferente.
El rosa en el diagrama representa un solo riesgo por año, el verde múltiples riesgos 1, 2 y 3. La probabilidad por encima de la exposición al riesgo original de 160 ahora es del 100%. De hecho, el 95% del tiempo la exposición al riesgo estará por debajo de 1919. Deja que eso se asiente, la exposición al riesgo es 10 veces más de lo que se pensaba originalmente. |
 |
Sin embargo, eso no es el final. Anteriormente asumimos que todos los riesgos son independientes y no están correlacionados entre sí. En realidad, algunos riesgos pueden ser codependientes, y si uno ocurre, es más probable que también ocurra el otro.
El verde en el diagrama es el riesgo no correlacionado anterior, el rosa es el perfil de riesgo dado la correlación. Dada la correlación, el 95% del tiempo la exposición al riesgo estará por debajo de 2440, eso es casi 500 más que sin correlación. |
Ahora rememora el riesgo total original de 160, eso es una diferencia de 15 veces en comparación con una estimación de riesgo más precisa. Todo lo que hicimos fue usar la mejor metodología.
Eso es solo la parte de análisis de riesgos del registro de riesgos, la mitigación, el responsable del riesgo y otras columnas tienen tantos problemas, si no más. El tema general del artículo es NO usar registros de riesgos, pero si alguna vez necesitas uno, ten en cuenta:
- El riesgo total por sí mismo no es tan importante, es el efecto que la suma de riesgos correlacionados tiene sobre un decisión o objetivo son importantes
- El riesgo total puede ser bajo o alto, no sabemos si esto es bueno o malo a menos que se determine alguna medida de tolerancia, tal vez muchos riesgos sean buenos para la empresa.
Mira más sobre por qué no necesitamos registros de riesgos a continuación
O descargue este estudio de caso como guía https://riskacademy.blog/download/risk-academy-guide-to-risk-registers/
Comparte tus preocupaciones sobre los registros de riesgos en los comentarios.
Ver otros gestión de riesgos libros
RISK-ACADEMY ofrece cursos en línea
Toma de Riesgos Informada
Aprende 15 pasos prácticos para la integración. gestión de riesgos dentro de decisión creación, procesos de negocio, cultura organizacional y otras actividades!
ISO 31000 Integración Gestión de Riesgos
Alex Sidorenko, conocido por su gestión de riesgos blog http://www.riskacademy.blog, ha creado un programa de 25 pasos para integrar gestión de riesgos dentro de decisión la creación de los procesos centrales del negocio y de la cultura general de la organización.
Gobernanza de Riesgos Avanzada
Este curso ofrece orientación, motivación, información crítica y estudios de casos prácticos para ir más allá de la gobernanza tradicional del riesgo, ayudando a garantizar gestión de riesgos No es un proceso independiente, sino un motor del cambio para el negocio.
Alex, la solución que sugieres es mejor pero:
1. No muestra el efecto en los objetivos, y más de un objetivo podría verse afectado
Aborda una fuente de riesgo a la vez
Ignora la razón para asumir el riesgo, la recompensa
1. El registro de riesgos está utilizando efecto en lugar de consecuencias típicas específicamente para abordar ese punto.
2. No realmente, el alcance del artículo trata sobre otra cosa.
3. No realmente, el alcance del artículo trata sobre otra cosa.
Estoy de acuerdo con la importancia de tus puntos, sin embargo, este artículo trata sobre otra cosa. Si te has dado cuenta, en realidad estoy diciendo QUE NO USES registros de riesgos en absoluto, vinculados o no a los objetivos.
Estoy completamente en desacuerdo con "no usar el registro de riesgos", el problema principal es la visibilidad más allá de aquellos que conoces, pero por favor no te obsesiones con los algoritmos.
Me alegro de que lo hagas :))
Mi principal objeción a los registros de riesgos es su total falta de relevancia para la toma de decisiones de la dirección. Se han convertido en parte del mobiliario de la oficina, algo que la gente siente que deberían tener porque los cursos, libros y auditores dicen que deberían. Rara vez los gerentes piensan en qué valor aportan. En consecuencia, solo obtenemos descripciones de riesgos de tres palabras (a pesar de cualquier orientación en contrario) que simplemente se sacan periódicamente y se comparan con la tabla de colores que se esté utilizando para indicar la gravedad.
Para el punto de Norman, preferiría algún tipo de visibilidad de los riesgos reportados junto con el informe de progreso sobre los objetivos, ¡pero la insistencia continua de los auditores y los comités de auditoría en un formato obsoleto que solo existe porque todos los demás siguen usándolo me vuelve LOCO!
Estoy de acuerdo