¿Qué es un registro de riesgos y por qué NO lo necesitas?

Ilustremos el tipo de problemas que crean los registros de riesgos típicos y por qué el uso de registros de riesgos cualitativos o de puntuación debe ser evitado por la gerencia y no ser aceptado por los Consejos.

	Imagina que la empresa tiene 10 riesgos en su registro de riesgos corporativos o de proyectos. La junta quiere saber cómo afectan estos 10 riesgos a los objetivos y conocer la exposición total al riesgo.
	Cada exposición al riesgo generalmente se calcula multiplicando la probabilidad por el efecto y luego se suman los riesgos para determinar la exposición total al riesgo. Este proceso, aparentemente simple, conduce a conclusiones muy engañosas e incorrectas.

Vamos a investigar una mejor manera de medir los riesgos. El riesgo 1 puede ocurrir con una probabilidad del 20%. Entonces, hay 2 escenarios posibles: que ocurra el Riesgo 1 (con una probabilidad del 20%) y que no ocurra el Riesgo 1 (con una probabilidad del 80%).

Si ocurre el Riesgo 1, el efecto es de 15$. Si el Riesgo 1 no ocurre, el efecto es de 0$. Con la excepción de algunos riesgos (como el mercado, por ejemplo), no hay casos intermedios, el riesgo ocurre o no ocurre. La exposición previa al riesgo Probabilidad X Efecto = 3$ es totalmente engañosa.

Aquí están las razones

• Necesitamos considerar ambos escenarios (el riesgo ocurre y no ocurre) y los efectos de cada escenario por separado
• Necesitamos considerar la dependencia entre riesgos, es muy poco probable que los 10 riesgos ocurran simultáneamente o de manera completamente independiente. La suma simple solo funciona para calcular pérdidas esperadas en algunas ocasiones. Se requiere una simulación para agregar riesgos, se abordará con más detalle en los Módulos 3 y 4.
• Algunos riesgos pueden ocurrir más de una vez al año, por lo que la probabilidad ya no funciona y debe ser reemplazada por la frecuencia.
• El efecto de cualquier riesgo es en realidad un rango de valores potenciales. Rara vez, cuando ocurre un riesgo, hay un efecto fijo determinado en el negocio. Los efectos deben representarse como distribuciones de probabilidad, no como valores únicos.

Comparemos el registro de riesgos anterior con una alternativa mejor, aún muy simplificada solo con fines ilustrativos:

	Porque los riesgos no ocurren en promedio, las probabilidades se representan mejor como distribuciones de Bernoulli y o bien ocurren o no ocurren. Los efectos también son inciertos y se representan mejor mediante otra distribución, esta vez continua, PERT solo con fines ilustrativos. PERT tiene valores mínimos, más probables y máximos. Usamos nuestros valores de efecto originales como modo. Para calcular el total, ejecutamos una simulación.
	La suma original de los riesgos era 160. Ahora podemos ver que la suma de los riesgos es en realidad un rango de 0 a 610. De hecho, hay 54% de probabilidad que el riesgo total para el año será superior a los 160 originales. El 95% del tiempo (también a veces llamado VaR) total la exposición al riesgo estará por debajo de 490. Pretender que el riesgo total sea 160 es realmente malo. decisión haciendo y significará que los riesgos probablemente no serán mitigados adecuadamente y estarán subfinanciados.
	El ejemplo anterior tampoco es muy realista porque asume que cada riesgo solo puede ocurrir una vez al año. Para fines ilustrativos, reemplazamos la distribución para los primeros 3 riesgos para que ocurran más de una vez al año, ahora es 1, 5 y 10 veces al año respectivamente. Este cambio aparentemente simple en las suposiciones tiene un impacto significativo en la exposición general al riesgo.
	Cuando comparamos un escenario en el que los riesgos 1, 2 y 3 pueden ocurrir varias veces al año, la exposición al riesgo pasó de 0 a 610, luego a 17 y a 3350, y el perfil de riesgo parece muy diferente. El rosa en el diagrama representa un solo riesgo por año, el verde múltiples riesgos 1, 2 y 3. La probabilidad por encima de la exposición al riesgo original de 160 ahora es del 100%. De hecho, el 95% del tiempo la exposición al riesgo estará por debajo de 1919. Deja que eso se asiente, la exposición al riesgo es 10 veces más de lo que se pensaba originalmente.
	Sin embargo, eso no es el final. Anteriormente asumimos que todos los riesgos son independientes y no están correlacionados entre sí. En realidad, algunos riesgos pueden ser codependientes, y si uno ocurre, es más probable que también ocurra el otro. El verde en el diagrama es el riesgo no correlacionado anterior, el rosa es el perfil de riesgo dado la correlación. Dada la correlación, el 95% del tiempo la exposición al riesgo estará por debajo de 2440, eso es casi 500 más que sin correlación.

Ahora rememora el riesgo total original de 160, eso es una diferencia de 15 veces en comparación con una estimación de riesgo más precisa. Todo lo que hicimos fue usar la mejor metodología.

Eso es solo la parte de análisis de riesgos del registro de riesgos, la mitigación, el responsable del riesgo y otras columnas tienen tantos problemas, si no más. El tema general del artículo es NO usar registros de riesgos, pero si alguna vez necesitas uno, ten en cuenta:

• El riesgo total por sí mismo no es tan importante, es el efecto que la suma de riesgos correlacionados tiene sobre un decisión o objetivo son importantes
• El riesgo total puede ser bajo o alto, no sabemos si esto es bueno o malo a menos que se determine alguna medida de tolerancia, tal vez muchos riesgos sean buenos para la empresa.

Mira más sobre por qué no necesitamos registros de riesgos a continuación

O descargue este estudio de caso como guía https://riskacademy.blog/download/risk-academy-guide-to-risk-registers/

Comparte tus preocupaciones sobre los registros de riesgos en los comentarios.

RISK-ACADEMY ofrece cursos en línea

+ Agregar al carrito

+ Agregar al carrito

+ Agregar al carrito