Riesgo (Risk) Gestión

144 Academia 9: Auditoría y Seguridad I/TIC Riesgo (Risk): Gestión EVALUACIÓN: RIESGO INHERENTE /y2 TERMINAREMOS DE EVALUAR EL MAPA DE RIESGO INHERENTE DEL CASO PRÁCTICO, DESRIBIENDO EL MÉTODO DELPHI PARA CONSENSUADO DE PROBABILIDAD E IMPACTO Carlos Bachmaier Johanning GESTIÓN DE RIESGO CORPORATIVO Sistemas Técnicos de Loterías caso práctico (BDPI) y el mapa de riesgo, aplicado al caso práctico. Y ahora, a más. ¡Vamos con el riesgo! consenso, en general lo que se persigue y produce es una “conjugación” de opiniones de expertos, “decantándose” el conocimiento del grupo. La operatividad del método se basa Método Delphi Este método surge de un estudio de investigación realizado por la Rand en el esquema tesis-antítesis-síntesis; síntesis que se convierte en la nueva tesis. Las iteraciones continúan hasta la estabilización de los resultados. Las valoraciones obtenidas son, obviamente, cualitativas. La metodología es especialmente indicada cuando no existen datos suficientes, con alto grado de incertidumbre y complejidad. Asimismo, cuando no se dispone de información objetiva ni mediciones, o cuando la situación no es semejante a otras de las que proyectar similitudes. Permite, en suma, cerrar la brecha entre un elevado desconocimiento y una apreciación cualificada, tratando de obtener lo máximo de una información disponible imperfecta y pobre. El desarrollo y uso principal del método pronto derivó a la generación de predicciones (visiones de futuro). Se ha empleado para otras estimaciones no relacionadas con la predicción, pero que comparten la misma problemática. Ejemplos de ello son la creación de rankings de reputación y, naturalmente, el análisis de riesgo. Situación Corporation a comienzo de los años cincuenta, patrocinado por la fuerza aérea de EEUU. El objetivo del estudio: encontrar el acuerdo de opinión más fiable de un grupo de expertos. El método se basa en la forma de actuación del Oráculo de Delfos: establecimiento de una tesis, realimentación controlada de opinión y formación de promedio de visión. Se sustenta en la idea de que cuando no hay información objetiva es legítimo acudir al testimonio de expertos, que si bien serán subjetivos no serán arbitrarios, teniendo en cuenta la utilidad del buen juicio y criterio del ser humano; y mejor de un grupo que de un individuo. Algunos autores hablan de generación de consenso entre los expertos, pero esta denominación personalmente me parece inadecuada. Si bien en algunos casos se puede emplear el método para generar evaluación del proceso de gestión de riesgo. Como ya hemos revisado los conceptos básicos requeridos -te remito a los números impares anteriores para información o revisión de los mismos- centro la exposición en la pura gestión de riesgo: evaluación, mapas de riesgo, mitigación y planes de acción, indicadores, revisión y reporte, etc. En un número (impar) anterior vimos la preparación de la estrategia de gestión de riesgo, la lista de elementos de riesgo, y una visión general de las técnicas y metodologías de valoración del riesgo inherente. Hoy veremos el método Delphi para la valoración de riesgo inherente, los resultados para el Y a sabes. Número impar, toca Auditoría y Seguridad I/TIC. Estamos en plena etapa de nº 9 abril 2007 145 Academia El método, contado en pocas palabras, se plasma en que cada experto emite una opinión y luego la contrasta sucesivas veces con el conjunto de respuestas, modificándola o confirmándola. Se mecaniza mediante el empleo de cuestionarios. Más en detalle: el proceso, asíncrono, se basa en la cumplimentación de rondas de cuestionarios por el conjunto de expertos en el área (que deben estar dispuestos a dedicar el tiempo necesario), sin interrelación entre ellos. Los participantes desconocen las opiniones individuales emitidas. Es importante que en cada ronda no haya interacción entre los expertos -a fin de que sus opiniones no se contaminen entre sí- y que opinen con libertad de expresión; por tanto, se debe garantizar el anonimato de las respuestas. Los participantes pueden mantener o modificar su opinión ronda a ronda. El número de rondas mínimo se define al inicio, siendo normalmente dos o tres. Todas las rondas tienen una estructura semejante: elaboración del cuestionario, remisión del mismo, respuesta, procesado y medidas. En la primera ronda debe proveerse la información de contexto adecuada y cada experto responde al formulario. En las siguientes, cada experto recibe los resultados estadísticos de lo que respondieron todos los miembros del panel en la ronda anterior así como un recordatorio de su opinión. A la vista de ello, puede mantener su opinión o modificarla. En caso de que un experto mantenga una opinión que se aparte de la media (o las modas si la distribución es fuertemente multimodal) debe expresar el porqué. También cuando modifica su opinión para acercarla a la media. Las conclusiones pueden no ser únicas ni uniformes (distribuciones multimodales). Fortalezas del método: revela información razonada sobre las grupal (efecto de seguir al líder o la mayoría) y la espiral de silencio (presión del grupo frente a la libre opinión y trabas al cambio de posiciones). La eliminación de los efectos de pensamiento grupal y de espiral de silencio es esencial para una buena evaluación de riesgo. En cuanto a requisitos: los participantes deben ser expertos en la materia -idealmente, en los cuestionarios debería incluirse para discrepancias; se logra con cierta rapidez la conjugación de visiones (consenso); los participantes trabajan por separado (donde y cuando quieren, en cualquier parte del mundo); se evita el pensamiento cada pregunta una autovaloración de competencia en el área; debe reducirse al máximo la ambigüedad e imprecisiones en las preguntas; el número inicial de participantes debe ser alto si estos pueden “descolgarse” del estudio, ya que el conjunto final debe ser representativo, y, Cuando no hay información objetiva es legítimo acudir al testimonio de expertos, que si bien serán subjetivos no serán arbitrarios típicamente, sólo un tercio de los que empiezan llegan al final. Desventajas del método: adolece de la problemática tradicional de los cuestionarios -que debe remediarse mediante las correspondientes medidas: interés marginal de los participantes, que conduce a tasas de participación bajas con calidad deficiente de respuestas. Los elementos de motivación clásicos pivotan alrededor de incentivos a los participantes, que pueden ser económicos, reputacionales, de compromiso, etc. Ayudan a mejorar los resultados buenas cartas de presentación que expliquen el objetivo y la importancia, tiempos suficientes pero no excesivos, recordatorios –a ser posible mediante peticiones verbales personales, reconocimiento, etc. Otras desventajas: tiende a ser o muy conservador (poco atento a los nº 9 abril 2007 146 Academia Opiniones de expertos, sí, pero Algunas referencias ara más información te recomiendo partir de la wikipedia http://en.wikipedia.org/wiki/Delphi_ method http://en.wikipedia.org/wiki/Delphi_ method). Interesante, aunque espeso, es el sugestivo libro de Linstone&Turoff (descarga gratuita en http://is.njit.edu/pubs/delphibook/ http://is.njit.edu/pubs/delphibook/) , que presenta las bases de los “Inquiry Systems” (Teoría General de los Sistemas). En cuanto a herramientas, puedes emplear gratuitamente la aplicación Delphi en http://armstrong.wharton.upenn.edu /delphi2/ http://armstrong.wharton.upenn.edu /delphi2/ También puedes desplegar, en Internet o Intranet, un proyecto opiniones. P Delphi con código libre para desarrollo de encuestas. El mío favorito es PHPSurveyor http://www.phpsurveyor.org/index.php http://www.phpsurveyor.org/index.php. Otra alternativa es PHP Easy Survey http://www.butterfat.net/wiki/Projects/ phpESP/ http://www.butterfat.net/wiki/Projects/ phpESP/, así como sitios de pago y gratuitos en Internet que permiten realizar las encuestas. Un ejemplo real práctico, por Landeta, Matey y otros, Instituto de Economía Aplicada a la Empresa, puedes leerlo en http://www.idescat.net/cat/idescat/for macioRecerca/formacio/Art.Landetae tal.,Qvol26,1-2.pdf http://www.idescat.net/cat/idescat/for macioRecerca/formacio/Art.Landetae tal.,Qvol26,1-2.pdf El Método Delphi y la valoración de riesgo El método permite obtener una valoración de riesgo, y además aporta dos enormes ventajas: la valoración responde a las expectativas de los miembros del panel –decantado de conocimiento- y el importante efecto de alineamiento que la realización del ejercicio produce normalmente: partiendo de posiciones diferentes se alcanza un cierto nivel de convergencia. Ambos efectos son importantes ya que permiten abordar de forma coherente la fase de control de riesgos. La mecánica específica es: Se define el equipo conductor (suele ser el equipo de Seguridad) y se designan los expertos, usualmente los propietarios de los activos y de los riesgos, y personas involucradas cambios y divergencias, efecto de la media) o muy radical, los resultados deben ser matizados; el resultado depende notablemente de la “pericia” e interés de los participantes; es sensible a que el equipo “conductor” del método imponga preconcepciones o su propia opinión (atención a los cuestionarios); es también sensible a que no se investiguen suficientemente las divergencias. Por último: no es infrecuente que se subestime el esfuerzo que requiere, que es, normalmente, elevado. El método involucra los siguientes pasos: Definición del problema. Formación del equipo conductor Delphi, que desarrolla el proyecto. Selección del panel o paneles de expertos (lo ideal son tres paneles: el grupo de contraste inicial de los cuestionarios, el grupo nominal o principal y el grupo evaluador). Preparación del cuestionario de la primera ronda. Ronda de prueba sobre el panel de contraste para comprobar el cuestionario. Ajustes al cuestionario. Remisión del cuestionario al panel principal y respuestas. Análisis y evaluación de las respuestas. Preparación del cuestionario de la siguiente ronda. Iteraciones hasta la estabilización de resultados, con convergencia o situación multimodal. Preparación de informe de conclusiones. Presentación de resultados. Conviene recordar que los resultados son sólo opiniones. en la dirección y gestión de la Conviene recordar que los resultados son sólo opiniones. Opiniones de expertos, sí, pero opiniones organización. El primer cuestionario contendrá la lista de elementos de riesgo. Normalmente la identificación de activos y las amenazas sobre los mismos se lleva a cabo por el equipo de Seguridad, incluyendo consultas, reuniones y “focus groups”, con los miembros de la organización. Junto a cada elemento, las casillas donde cada miembro del panel marcará su valoración para probabilidad e impacto, así como la auto-declaración de competencia en el elemento y espacio para indicar posibles oportunidades ligadas al elemento. El cuestionario debería también incluir preguntas abiertas tales como: ¿Qué activos/amenazas echa en falta? ¿Qué posibles oportunidades apuntaría? También debe incluir un resumen de los elementos aplicables de la “Estrategia de Gestión de Riesgo”, en nº 9 abril 2007 147 Academia concreto la definición de las escalas de valoración de probabilidad e impacto. A titulo de ejemplo, las escalas de valoración pueden ser bajo-moderado-alto (llevando a un mapa de riesgo de 3x3) aunque normalmente se sucumbe al muy bajo-bajo-moderado-alto-muy alto (llevando a un mapa de riesgo de 5x5). En este punto y en muchas organizaciones, el método cualitativo derivará en pseudo-cuantitativo al asignar valores 1-2-3 al rango bajomoderado-alto… a fin de asignar un nivel (score) al riesgo. Insisto de nuevo, los significados de bajomoderado-alto, fijados en la estrategia, deben incluirse en el cuestionario. Si la valoración de riesgo deseamos hacerla en términos de ALE (Annualized Loss Expectancy), los intervalos de probabilidad deben responder a probabilidad de ocurrencia anual y los de impacto a rangos de valor económico. Así, probabilidad en rango bajo podría ser una vez cada 50 o más años, moderado podría ser una vez cada 10 a 50 años, y alto una vez cada 10 o menos años. O una vez cada 5 o más años, una cada uno a 5 años y alta más de una vez por año. Depende de la organización y el tipo de riesgo. Impacto bajo podría ser inferior a 100.000 euros, moderado de 100.000 a un millón, y alto, mayor de 1 millón. Tras varias rondas, se tendrá la visión conjunta decantada (la percepción del panel de expertos) junto con sus divergencias y la descripción de sus motivaciones, así Como ejemplo, se adjuntan los resultados producidos del Delphi realizado por el panel de expertos (el autor del articulo ;-) en referencia al caso práctico: tabla de riesgo inherente (por ahorro de espacio, una tabla resumida que solo incluye la identificación del elemento de riesgo y las valoraciones) y mapa de riesgo. como un conjunto de oportunidades. Ahora corresponde a la Dirección validar y valorar la percepción del panel o matizarla. Finalmente, se produce la tabla de riesgo inherente: la lista de elementos de riesgo valorada, y el mapa de riesgo. En este Academia hemos terminado el tercer y último paso de la etapa de análisis de riesgo: valoración del riesgo inherente y construcción del mapa de riesgo. Una vez valorado cada elemento de riesgo inherente, Próxima etapa: actividades de control o tratamiento de riesgo (Risk Control) Tabla de riesgo inherente y mapa de riesgo de BDPI podremos identificar riesgos no asumibles y valorar las posibles contramedidas y riesgos residuales. Pero eso será en el próximo numero impar de a+ … Mientras tanto, te propongo dos ejercicios prácticos personales, trasladando lo presentado a la realidad de tu trabajo, basados en la lista simplificada de elementos de riesgo de tu organización que espero hayas ya construido: el primero, que organices un mini-delphi para evaluar el riesgo inherente. El segundo, que generes el mapa simplificado de ID 1ª 1b 1c 1d 2 3 4 5 6 7 8 riesgos de tu organización. Si quieres comentar sobre ello conmigo, ¡mándame un correo electrónico! 6 M M II Probabilidad M A B 6 9 II I+ B A Impacto A 2 6 I+ I+ M A Score III B M A A 3 9 Prioridad I M A 6 II M M 3 I A M 4 I A A 4 II Nota: B=Bajo=1, M=Medio=2, A=Alto=3; Score=PxI; Prioridad: III = score <3, II = 3 6 Hasta pronto. Espero vuestros comentarios por correo electrónico en: akademia.peripatetika@gmail.com nº 9 abril 2007

Related docs
Riesgo ( Risk ) Gestión
Views: 9  |  Downloads: 2
CBJ Riesgo ( Risk ) Gestión
Views: 45  |  Downloads: 2
gestión de riesgo de mercado
Views: 11  |  Downloads: 1
Gestión del Riesgo por Tipo de Cambio en las Entidades
Views: 48  |  Downloads: 2
La gestión del riesgo de interés en carteras de renta
Views: 14  |  Downloads: 1
LA GESTIÓN DEL RIESGO DE MERCADO EN LAS ENTIDADES DE
Views: 42  |  Downloads: 11
Gestión de Riesgo de Mercado y Liquidez en el Contexto
Views: 699  |  Downloads: 16
SEMINARIO TALLER INTERNACIONAL Gestión del y Riesgo de Liquidez UNA
Views: 185  |  Downloads: 4
Riesgo Risk Management
Views: 487  |  Downloads: 63
Gestión Estratégica del Riesgo Cómo gestionar la incertidumbre
Views: 10  |  Downloads: 3
GESTIÓN DEL RIESGO DE CAMBIO Volumen neto total de transacciones
Views: 37  |  Downloads: 0
MEDICIÓN DEL RIESGO DE MERCADO PARA LA INVERSIÓN EN ACCIONES
Views: 530  |  Downloads: 22
ADMINISTRACION DEL RIESGO DE LIQUIDEZ EN GRUPOS FINANCIEROS Nota resumen
Views: 24  |  Downloads: 1
Other docs by leavinglasvega...
McAvoy v Medina
Views: 1260  |  Downloads: 23
Think About His Love
Views: 333  |  Downloads: 0
New Medicine Resource Directory
Views: 1153  |  Downloads: 8
Aronson Evidence Outline
Views: 507  |  Downloads: 17
Talmage v Smith_brief
Views: 227  |  Downloads: 2
Indemnification of owner or contractor for injuries or death
Views: 220  |  Downloads: 5
ch130
Views: 126  |  Downloads: 0
Finance for Hi-tech Start Ups - Pepperdine
Views: 459  |  Downloads: 7
dv110v
Views: 119  |  Downloads: 0
Duty
Views: 682  |  Downloads: 10
Sample lock box agreement
Views: 232  |  Downloads: 2
Fuller McCoy Kelley
Views: 223  |  Downloads: 1
Value of lease and sublease
Views: 276  |  Downloads: 3
Description of property
Views: 179  |  Downloads: 1
dv100s
Views: 214  |  Downloads: 0