Haz una gestión de riesgos cuantitativa según la ISO 31010

En esta sesión Jorge Gómez, experto en riesgos AML, nos enseña las técnicas de evaluación de riesgos en la ISO 31010, el método cuantitativo de gestión de riesgos, las ventajas y desventajas del método cuantitativo.

ISO 31010: Técnicas de Evaluación de Riesgos

Es una norma que recopila técnicas de evaluación de riesgos, nace en el año 2009 y en 2019 se publica una nueva versión. Esta norma presenta 42 técnicas tanto cuantitativas como cualitativas, relacionadas con la gestión de riesgo en sus diferentes etapas,. 

Resulta fundamental para aplicar técnicas de identificación, evaluación y tratamiento de riesgos en las organizaciones. Se trata, por tanto, de una norma práctica, cuyo contenido resulta imprescindible para cualquier gestor de riesgos. (Riveros, 2023)

Análisis de riesgo es el proceso de predecir el resultado de una decisión ante una incertidumbre.

• La introducción de un producto.
• Canales de distribución nuevos.
• Incursión en nuevas zonas geográficas.

Criterios para la elección de técnicas de evaluación

Tal y como indica la norma, a la hora de seleccionar la técnica o técnicas de evaluación de riesgos debe considerarse lo siguiente: (Riveros, 2023)

• El objetivo de la evaluación.
• Las necesidades de las partes interesadas.
• Los requisitos de índole legal, regulatoria o contractual.
• El contexto y escenario de operación.
• La importancia de la decisión.
• Cualquier criterio de decisión definido y su forma.
• El tiempo disponible para tomar la decisión.
• La información disponible o que puede ser obtenida.
• La complejidad de la situación.

Redacción de Riesgos

Consecuencia, Riesgo y Causa

• Pérdida económica y reputacional por robo en sucursal norte derivado de deficiencias en los sistemas de alarmas de las cajas fuertes, así como desactualización de los protocolos de seguridad.
• Pérdida económica y reputacional por robo en sucursal sur derivado de fallos en los protocolos del personal.
• Para incentivar el uso de estas técnicas es importante contar con un idioma organizacional que permita a los colaboradores y partes interesadas entender el riesgo.

(ICONTEC, 2013)

Método cuantitativo de gestión de riesgos

Permite obtener una valoración numérica de la materialización de un evento, ya sea negativo o positivo, en términos de los criterios definidos, que pueden ser monetarios, operativos, técnicos, humanos, entre otros, lo que hace más tangible y objetivo el análisis.

Permite asociar la probabilidad de ocurrencia de un evento y sus consecuencias de cara a los objetivos de la compañía.

Se considera más preciso que el cualitativo, pero si no es posible implementarlo por costos y capacitación de los gestores de riesgo, se debería tener por lo menos una mezcla de los dos métodos. (Calle,2022)

Para llevar a cabo un análisis cuantitativo, es necesario utilizar técnicas matemáticas y estadísticas, las cuales exigen la recolección de datos. 

Al ser tradicionalmente métodos sistematizados y muchos casos automáticos permiten la toma de decisiones rápida y la reducción de la operatividad. 

Nos ponen al alcance alternativas y variables que a lo mejor con un método cualitativo pasaríamos por alto, como por ejemplo el tener mejor establecidos los niveles de tolerancia al riesgo sin la subjetividad propia del juicio de expertos. 

Otro aspecto interesante de estos modelos es que también desde lo numérico se pueden identificar oportunidades que habían pasado desapercibidas. (ICONTEC, 2013)

Ejemplos de métodos cuantitativos

Análisis de Monte Carlo (Analizar probabilidad)

En este modelo hay de por medio unos datos de entrada, una formulación matemática que tiene en cuenta las interacciones que se dan entre ellos, para finalmente entregarnos un resultado (el punto de partida es una simulación con base en los datos suministrados). (ICONTEC, 2013)

En lugar de simplemente usar una estimación puntual para la probabilidad de materialización de un riesgo, puedes asignar distribuciones de probabilidad que representen la incertidumbre asociada a él. 

Utilizando software especializado, puedes ejecutar miles de simulaciones donde se selecciona aleatoriamente la probabilidad en función de sus distribuciones. Después de cada simulación, la herramienta te podria indicar cual es la probabilidad de ocurrencia o materialización del riesgo. 

Este enfoque te ayuda a identificar los riesgos potenciales y a tomar decisiones informadas para mitigarlos"

Ejemplo de simulación de Monte Carlo para pronosticar ventas de un nuevo producto

Imaginemos que una empresa está a punto de lanzar sus producto a un nuevo mercado y desea estimar el funcionamiento de su cadena de suministro durante el primer año. Para hacer esto, utilizarán la simulación de Monte Carlo considerando varias variables que podrían influir en el proceso.

Variables relevantes: (Ortega, 2024)

• Problemas con proveedores clave.
• Desastres naturales.
• Cambios en las condiciones del mercado global.
• Problemas logísticos.

Curvas S (Representar riesgo y evaluarlo)

Es una representación gráfica de crecimiento o rendimiento a lo largo del tiempo. Por lo general, ilustra la relación entre el tiempo y el impacto o resultado acumulativo de un proceso, proyecto, producto específico o riesgo. La curva toma la forma de una “S” debido a las fases distintivas que representa:

• Crecimiento lento inicial
• Rápido crecimiento
• Meseta o Saturación                                                                                                   

Aplicación en el mundo de riesgos (Cuofano, 2024)

Mitigación de riesgos: al anticipar posibles desafíos y desaceleraciones, S-Curves ayuda en la gestión proactiva de riesgos.

Estrategias para un análisis eficaz de la curva S

1. Recopilación de datos: estos deben ser completos y precisos e incluir métricas de desempeño históricas y variables relevantes.
2. Actualizaciones regulares:  para garantizar su relevancia y precisión.
3. Múltiples curvas: para obtener una visión holística del comportamiento del riesgo.
4. Benchmarking: compare su S-Curve con los puntos de referencia y las mejores prácticas de la industria para identificar áreas de mejora.
5. Análisis de escenario: evaluar el impacto de diferentes variables en el riesgo, para identificar las perturbaciones en la curva S.
6. Colaboración: involucrar las partes interesadas y expertos relevantes en el análisis, para obtener diversos puntos de vista y perspectivas.

                                                                                                    (Cuofano, 2024)

Ejemplo Curvas S

Supongamos que tienes un proyecto para desarrollar una nueva aplicación móvil y uno de los riesgos identificados es la posible demora en la adquisición de los recursos clave, como programadores con experiencia en la plataforma específica que utilizarás.

Cómo podrías aplicar las curvas S para este riesgo:

Representa la relación entre la inversión (en este caso, en tiempo y recursos) y la mitigación del riesgo. Al principio del proyecto, la inversión en la mitigación del riesgo es baja, ya que estás confiando en que podrás adquirir los recursos necesarios en el tiempo previsto.

A medida que avanzas en el proyecto y te acercas al punto crítico en el que la adquisición de recursos se vuelve más difícil, aumentas la inversión en estrategias de mitigación, como la búsqueda activa de talento, el desarrollo de planes de contingencia, entre otros. Esto te permite reducir la probabilidad de que el riesgo se materialice y minimizar su impacto si ocurre.

Análisis de impacto del negocio (BIA) (Analizar controles y consecuencias)

Está determinado por la construcción de un plan de continuidad del negocio para cada organización, que le permita a cada entidad continuar funcionando a pesar de un riesgo materializado; el documento generado en este análisis deberá cumplir con lo expuesto en los requerimientos de la ISO/IEC 27001, de este modo el documento BIA debe ser validado e implementado bajo las directrices de cada organización. (Mintic, s. f.)

• Identificación de funciones y procesos
• Evaluación de impactos Operacionales
• Identificación de Procesos críticos
• Establecimiento de tiempos de recuperación
• Identificación de Recursos
• Disposición del RTO/RPO
• Identificación de procesos alternos
• Generación de Informe de Impacto del negocio

Ventajas del método cuantitativo

• Objetividad.
• Generalización de los resultados (consecuentes).
• Hace más tangible el resultado del riesgo.
• Conceptos y teorías robustas, lo que le da mayor validez a los resultados.

(Calle,2022)

Desventajas del método cuantitativo

• Complejidad en algunos cálculos.
• Puede llegar a ser demasiado rígido por las técnicas estadísticas y matemáticas empleadas.
• Demanda mayores recursos en tiempo, dinero, sin dejar de lado la capacitación que deben tener los gestores de riesgo para operar dichos modelos.