Análisis y Gestión de Riesgos

Marzo 2017 - año 10 Nro. 72

Herramientas para el

Análisis de Negocios

Análisis y Gestión de Riesgos

por Sergio Salimbeni

Marzo 2017

Basado en el “A GUI D E TO T H E BUS I N ES S A N A LYS I S BODY O F KNOWL EDGE ® v.3”

2 www.activus.com.ar info@activus.com.ar

Riesgos

Marzo 2017

Introducción

Un riesgo es cualquier evento o condición potencial

que pueda afectar a un objetivo de una solución,

cambio o proyecto. El riesgo presenta dos

dimensiones o factores clave: probabilidad de

ocurrencia e impacto. Se puede definir el grado de

severidad como el producto entre ambos factores.

Este grado de severidad es el que permitirá su

clasificación, priorización y tratamiento.

El IIBA™ (International Institute of Business

Analysis™), describe en su cuerpo de conocimiento

BABoK™ (Business Analysis Book of Knowledge) el

tratamiento que se le da a los riesgos y las

herramientas utilizadas.

Conceptos

Probabilidad de ocurrencia

Se podría explicar la probabilidad de ocurrencia

como la frecuencia con que un evento se podría

producir.

En la mayoría de los casos, ese dato de la

probabilidad proviene de experiencias anteriores,

de las lecciones aprendidas. Por ejemplo, si se

sabe por experiencias anteriores que de cada diez

entregas de materiales, el proveedor se atrasa en

dos oportunidades, entonces diremos que en 2 de

cada 10 entregas (ó 2/10 ) hay retrasos, o de otro

modo, que existe una probabilidad del 20% de que

ello ocurra.

Impacto

El impacto que

pueda ocasionar

la ocurrencia del

evento se debe

medir, en la

medida de lo

posible, en

unidades monetarias.

Continuando con el ejemplo anterior, si dicho

retraso en las entregas es en promedio de 2 días, y

el costo que dicho retraso nos ocasiona es de

$1.000- por día, el impacto que ese evento

ocasionaría sería de $2.000- en total.

Valor Monetario Esperado

Como se verá en adelante, se utilizará el

denominado VME (Valor Monetario Esperado, el

cual se define como el producto entre la

probabilidad de ocurrencia y el impacto que

ocasionaría; en el ejemplo anterior sería:

𝑉𝑀𝐸 = 0,2 . $2000 = $200

Este VME tiene muchas aplicaciones, desde la

previsión de fondos de reserva, hasta la priorización

de los riesgos para su tratamiento.

En resumen, la severidad del riesgo será

directamente proporcional al producto de ambas

variables; se dirá entonces que:

3 www.activus.com.ar info@activus.com.ar

Riesgos

Marzo 2017

𝑆𝑒𝑣𝑒𝑟𝑖𝑑𝑎𝑑 𝑑𝑒𝑙 𝑅𝑖𝑒𝑠𝑔𝑜 = 𝜌 𝑥 І

Matriz Probabilidad vs Impacto

Los Riesgos y el Análisis de Negocios según el IIBA

1. Finalidad

El análisis y la gestión del riesgo identifican áreas de

incertidumbre que podrían afectar negativamente el

valor, analizar y evaluar esas incertidumbres y

desarrollar y gestionar formas de hacer frente a los

riesgos.

2. Descripción

La falta de identificación de los riesgos y su gestión,

puede afectar negativamente el valor de la solución.

El análisis y la gestión del riesgo implican identificar,

analizar y evaluar los riesgos.

Cuando ya no hay controles suficientes, los analistas

de negocios desarrollan planes para evitar, reducir o

modificar los riesgos, y cuando sea necesario,

implementar estos planes.

La gestión de riesgos es una actividad continua. La

consulta continua y la comunicación con las partes

interesadas ayudan a identificar nuevos riesgos y a

supervisar los ya identificados.

3. Elementos

3.1 Identificación de Riesgos

Los riesgos son descubiertos e identificados a través

de una combinación de juicio de expertos,

participación de los actores, experimentación,

experiencias pasadas y análisis histórico de iniciativas

y situaciones similares. El objetivo es identificar un

conjunto completo de riesgos relevantes y minimizar

las incógnitas.

La identificación de riesgos es una actividad continua.

Un evento de riesgo podría ser una ocurrencia, varias

ocurrencias, o incluso una no ocurrencia de un

evento determinado.

Una condición de riesgo podría ser una condición o

una combinación de condiciones. Un evento o

condición puede tener varias consecuencias, y una

consecuencia puede ser causada por varios eventos o

condiciones diferentes.

Cada riesgo puede describirse en un registro de

riesgos que apoya el análisis de los mismos y planes

para abordarlos.

4 www.activus.com.ar info@activus.com.ar

Riesgos

Marzo 2017

Fuente: BABoK™ - IIBA™

3.2. Análisis de los Riesgos

El análisis de un riesgo implica comprenderlo,

entenderlo, y estimar el nivel de impacto del mismo.

A veces, los controles pueden estar ya en marcha

para hacer frente a algunos riesgos, y éstos deben

tenerse en cuenta al analizarlo.

La probabilidad de ocurrencia podría expresarse

como una probabilidad en una escala numérica o con

valores tales como Bajo, Medio y Alto.

Las consecuencias de un riesgo se describen en

términos de su impacto en valor potencial.

El impacto de cualquier riesgo puede describirse en

términos de costo, duración, alcance de la solución,

calidad de la solución o cualquier otro factor

acordado por las partes interesadas, como la

reputación, el cumplimiento o la responsabilidad

social.

Fuente: BABoK™ - IIBA™

Si bien una empresa puede tener una escala de

impacto de riesgo estándar o basal, las categorías

como costo, esfuerzo y reputación, los umbrales

pueden ajustarse para considerar el valor potencial y

el nivel de riesgo que sea aceptable.

Normalmente, se utilizan de tres a cinco categorías

amplias de nivel para describir cómo interpretar el

impacto potencial.

El nivel de un riesgo dado puede expresarse como

una función de la probabilidad de ocurrencia y el

impacto. En muchos casos, es una simple

multiplicación entre ambos factores.

Los riesgos se priorizan entre sí de acuerdo con su

nivel.

Los riesgos que pudieran ocurrir en el corto plazo

pueden tener una prioridad más alta que los riesgos

que se espera que ocurran más tarde.

Los riesgos en algunas categorías, tales como la

reputación o el cumplimiento, pueden tener mayor

prioridad que otros.

5 www.activus.com.ar info@activus.com.ar

Riesgos

Marzo 2017

3.3. Evaluación de los Riesgos

Los resultados del análisis de riesgo se comparan con

el valor potencial del cambio o de la solución para

determinar si el nivel de riesgo es aceptable o no.

Puede determinarse un nivel de riesgo global

sumando todos los niveles de riesgo individuales.

3.4. Tratamiento

Algunos riesgos pueden ser aceptables, pero para

otros riesgos puede ser necesario tomar medidas

para mitigarlos.

Se pueden considerar uno o varios enfoques para

enfrentar un riesgo:

• Evitar: se elimina la fuente del riesgo o se ajustan

los planes para asegurar que el riesgo no se produzca.

• Transferir: la responsabilidad por el trato con el

riesgo se traslada a, o se comparte con un tercero.

• Mitigar: reducir la probabilidad de que ocurra el

riesgo o la posible

Consecuencias negativas si ocurre el riesgo.

• Aceptar: decidir no hacer nada sobre el riesgo. Si el

riesgo ocurre, una solución temporal se desarrollará

en ese momento.

• Aumentar: decidir tomar más riesgo para perseguir

una oportunidad.

Una vez seleccionado el enfoque para tratar un riesgo

específico, se desarrolla un plan de respuesta al

riesgo y se asigna a un propietario de riesgo con

responsabilidad y autoridad para el mismo.

En el caso de evitar riesgos, el propietario toma

medidas para asegurar que la probabilidad o el

impacto del riesgo se reduzca a cero.

Para los riesgos que no puedan reducirse a cero, el

propietario del riesgo es responsable de supervisarlo

y de implementar un plan de mitigación del mismo.

El riesgo se analiza nuevamente para determinar el

“riesgo residual”, o sea, la nueva probabilidad y el

nuevo impacto como resultado de las medidas

tomadas para modificarlo.

Podría realizarse un análisis de costo-beneficio para

determinar si el costo y el esfuerzo de las medidas

reducen el nivel de riesgo suficiente para que valga la

pena. Los riesgos pueden ser reevaluados en

términos del riesgo residual.

Los interesados deben ser informados de los planes

para modificar los riesgos.

4. Consideraciones de uso

4.1. Fortalezas

• Puede aplicarse a los riesgos estratégicos que

afectan al valor a largo plazo de la empresa, a los

riesgos tácticos que afectan al valor de un cambio, y a

6 www.activus.com.ar info@activus.com.ar

Riesgos

Marzo 2017

los riesgos operacionales que afectan el valor de una

solución una vez que se realice el cambio.

• Una organización, normalmente, típicamente

enfrenta desafíos similares en muchas de sus

iniciativas. Las respuestas de riesgo exitosas en una

iniciativa pueden ser lecciones aprendidas útiles para

otras iniciativas.

• El nivel de riesgo de un cambio o de una solución

podría variar con el tiempo. La gestión continua del

riesgo ayuda a reconocer esa variación y a reevaluar

los riesgos y la idoneidad de las respuestas

planificadas.

4.2. Limitaciones

• El número de posibles riesgos para la mayoría de las

iniciativas puede ser inmanejablemente grande. Sólo

puede ser posible administrar un subconjunto de

riesgos potenciales.

• Existe la posibilidad de que no se identifiquen

riesgos significativos.

Recomendaciones

Realizar una lista corta de riesgos de alta severidad

priorizándolos. El resto quedará en una lista en

observación, evaluándolos periódicamente con el fin

de decidir si deben pasar a los riesgos con alta

severidad o no.

.

Sergio Salimbeni

sds@activus.com.ar