TESIS Valuación de las herramientas de control de riesgos ...
Herramientas de Negocios - Riesgos
-
Upload
sergio-salimbeni-gandino-eng-mba-phd -
Category
Business
-
view
175 -
download
3
Transcript of Herramientas de Negocios - Riesgos
Análisis y Gestión de Riesgos
Marzo 2017 - año 10 Nro. 72
Herramientas para el
Análisis de Negocios
Análisis y Gestión de Riesgos
por Sergio Salimbeni
Marzo 2017
Basado en el “A GUI D E TO T H E BUS I N ES S A N A LYS I S BODY O F KNOWL EDGE ® v.3”
2 www.activus.com.ar [email protected]
Riesgos
Marzo 2017
Introducción
Un riesgo es cualquier evento o condición potencial
que pueda afectar a un objetivo de una solución,
cambio o proyecto. El riesgo presenta dos
dimensiones o factores clave: probabilidad de
ocurrencia e impacto. Se puede definir el grado de
severidad como el producto entre ambos factores.
Este grado de severidad es el que permitirá su
clasificación, priorización y tratamiento.
El IIBA™ (International Institute of Business
Analysis™), describe en su cuerpo de conocimiento
BABoK™ (Business Analysis Book of Knowledge) el
tratamiento que se le da a los riesgos y las
herramientas utilizadas.
Conceptos
Probabilidad de ocurrencia
Se podría explicar la probabilidad de ocurrencia
como la frecuencia con que un evento se podría
producir.
En la mayoría de los casos, ese dato de la
probabilidad proviene de experiencias anteriores,
de las lecciones aprendidas. Por ejemplo, si se
sabe por experiencias anteriores que de cada diez
entregas de materiales, el proveedor se atrasa en
dos oportunidades, entonces diremos que en 2 de
cada 10 entregas (ó 2/10 ) hay retrasos, o de otro
modo, que existe una probabilidad del 20% de que
ello ocurra.
Impacto
El impacto que
pueda ocasionar
la ocurrencia del
evento se debe
medir, en la
medida de lo
posible, en
unidades monetarias.
Continuando con el ejemplo anterior, si dicho
retraso en las entregas es en promedio de 2 días, y
el costo que dicho retraso nos ocasiona es de
$1.000- por día, el impacto que ese evento
ocasionaría sería de $2.000- en total.
Valor Monetario Esperado
Como se verá en adelante, se utilizará el
denominado VME (Valor Monetario Esperado, el
cual se define como el producto entre la
probabilidad de ocurrencia y el impacto que
ocasionaría; en el ejemplo anterior sería:
𝑉𝑀𝐸 = 0,2 . $2000 = $200
Este VME tiene muchas aplicaciones, desde la
previsión de fondos de reserva, hasta la priorización
de los riesgos para su tratamiento.
En resumen, la severidad del riesgo será
directamente proporcional al producto de ambas
variables; se dirá entonces que:
3 www.activus.com.ar [email protected]
Riesgos
Marzo 2017
𝑆𝑒𝑣𝑒𝑟𝑖𝑑𝑎𝑑 𝑑𝑒𝑙 𝑅𝑖𝑒𝑠𝑔𝑜 = 𝜌 𝑥 І
Matriz Probabilidad vs Impacto
Los Riesgos y el Análisis de Negocios según el IIBA
1. Finalidad
El análisis y la gestión del riesgo identifican áreas de
incertidumbre que podrían afectar negativamente el
valor, analizar y evaluar esas incertidumbres y
desarrollar y gestionar formas de hacer frente a los
riesgos.
2. Descripción
La falta de identificación de los riesgos y su gestión,
puede afectar negativamente el valor de la solución.
El análisis y la gestión del riesgo implican identificar,
analizar y evaluar los riesgos.
Cuando ya no hay controles suficientes, los analistas
de negocios desarrollan planes para evitar, reducir o
modificar los riesgos, y cuando sea necesario,
implementar estos planes.
La gestión de riesgos es una actividad continua. La
consulta continua y la comunicación con las partes
interesadas ayudan a identificar nuevos riesgos y a
supervisar los ya identificados.
3. Elementos
3.1 Identificación de Riesgos
Los riesgos son descubiertos e identificados a través
de una combinación de juicio de expertos,
participación de los actores, experimentación,
experiencias pasadas y análisis histórico de iniciativas
y situaciones similares. El objetivo es identificar un
conjunto completo de riesgos relevantes y minimizar
las incógnitas.
La identificación de riesgos es una actividad continua.
Un evento de riesgo podría ser una ocurrencia, varias
ocurrencias, o incluso una no ocurrencia de un
evento determinado.
Una condición de riesgo podría ser una condición o
una combinación de condiciones. Un evento o
condición puede tener varias consecuencias, y una
consecuencia puede ser causada por varios eventos o
condiciones diferentes.
Cada riesgo puede describirse en un registro de
riesgos que apoya el análisis de los mismos y planes
para abordarlos.
4 www.activus.com.ar [email protected]
Riesgos
Marzo 2017
Fuente: BABoK™ - IIBA™
3.2. Análisis de los Riesgos
El análisis de un riesgo implica comprenderlo,
entenderlo, y estimar el nivel de impacto del mismo.
A veces, los controles pueden estar ya en marcha
para hacer frente a algunos riesgos, y éstos deben
tenerse en cuenta al analizarlo.
La probabilidad de ocurrencia podría expresarse
como una probabilidad en una escala numérica o con
valores tales como Bajo, Medio y Alto.
Las consecuencias de un riesgo se describen en
términos de su impacto en valor potencial.
El impacto de cualquier riesgo puede describirse en
términos de costo, duración, alcance de la solución,
calidad de la solución o cualquier otro factor
acordado por las partes interesadas, como la
reputación, el cumplimiento o la responsabilidad
social.
Fuente: BABoK™ - IIBA™
Si bien una empresa puede tener una escala de
impacto de riesgo estándar o basal, las categorías
como costo, esfuerzo y reputación, los umbrales
pueden ajustarse para considerar el valor potencial y
el nivel de riesgo que sea aceptable.
Normalmente, se utilizan de tres a cinco categorías
amplias de nivel para describir cómo interpretar el
impacto potencial.
El nivel de un riesgo dado puede expresarse como
una función de la probabilidad de ocurrencia y el
impacto. En muchos casos, es una simple
multiplicación entre ambos factores.
Los riesgos se priorizan entre sí de acuerdo con su
nivel.
Los riesgos que pudieran ocurrir en el corto plazo
pueden tener una prioridad más alta que los riesgos
que se espera que ocurran más tarde.
Los riesgos en algunas categorías, tales como la
reputación o el cumplimiento, pueden tener mayor
prioridad que otros.
5 www.activus.com.ar [email protected]
Riesgos
Marzo 2017
3.3. Evaluación de los Riesgos
Los resultados del análisis de riesgo se comparan con
el valor potencial del cambio o de la solución para
determinar si el nivel de riesgo es aceptable o no.
Puede determinarse un nivel de riesgo global
sumando todos los niveles de riesgo individuales.
3.4. Tratamiento
Algunos riesgos pueden ser aceptables, pero para
otros riesgos puede ser necesario tomar medidas
para mitigarlos.
Se pueden considerar uno o varios enfoques para
enfrentar un riesgo:
• Evitar: se elimina la fuente del riesgo o se ajustan
los planes para asegurar que el riesgo no se produzca.
• Transferir: la responsabilidad por el trato con el
riesgo se traslada a, o se comparte con un tercero.
• Mitigar: reducir la probabilidad de que ocurra el
riesgo o la posible
Consecuencias negativas si ocurre el riesgo.
• Aceptar: decidir no hacer nada sobre el riesgo. Si el
riesgo ocurre, una solución temporal se desarrollará
en ese momento.
• Aumentar: decidir tomar más riesgo para perseguir
una oportunidad.
Una vez seleccionado el enfoque para tratar un riesgo
específico, se desarrolla un plan de respuesta al
riesgo y se asigna a un propietario de riesgo con
responsabilidad y autoridad para el mismo.
En el caso de evitar riesgos, el propietario toma
medidas para asegurar que la probabilidad o el
impacto del riesgo se reduzca a cero.
Para los riesgos que no puedan reducirse a cero, el
propietario del riesgo es responsable de supervisarlo
y de implementar un plan de mitigación del mismo.
El riesgo se analiza nuevamente para determinar el
“riesgo residual”, o sea, la nueva probabilidad y el
nuevo impacto como resultado de las medidas
tomadas para modificarlo.
Podría realizarse un análisis de costo-beneficio para
determinar si el costo y el esfuerzo de las medidas
reducen el nivel de riesgo suficiente para que valga la
pena. Los riesgos pueden ser reevaluados en
términos del riesgo residual.
Los interesados deben ser informados de los planes
para modificar los riesgos.
4. Consideraciones de uso
4.1. Fortalezas
• Puede aplicarse a los riesgos estratégicos que
afectan al valor a largo plazo de la empresa, a los
riesgos tácticos que afectan al valor de un cambio, y a
6 www.activus.com.ar [email protected]
Riesgos
Marzo 2017
los riesgos operacionales que afectan el valor de una
solución una vez que se realice el cambio.
• Una organización, normalmente, típicamente
enfrenta desafíos similares en muchas de sus
iniciativas. Las respuestas de riesgo exitosas en una
iniciativa pueden ser lecciones aprendidas útiles para
otras iniciativas.
• El nivel de riesgo de un cambio o de una solución
podría variar con el tiempo. La gestión continua del
riesgo ayuda a reconocer esa variación y a reevaluar
los riesgos y la idoneidad de las respuestas
planificadas.
4.2. Limitaciones
• El número de posibles riesgos para la mayoría de las
iniciativas puede ser inmanejablemente grande. Sólo
puede ser posible administrar un subconjunto de
riesgos potenciales.
• Existe la posibilidad de que no se identifiquen
riesgos significativos.
Recomendaciones
Realizar una lista corta de riesgos de alta severidad
priorizándolos. El resto quedará en una lista en
observación, evaluándolos periódicamente con el fin
de decidir si deben pasar a los riesgos con alta
severidad o no.
.
Sergio Salimbeni