DEBILIDADES DE LAS MATRICES DE RIESGO (Parte 1)
Lic. Fernando Hernández, MBA,
Consultor de riesgos cuantitativos, IziRisk
En este primer artículo expongo cinco primeras razones por las cuales considero que las matrices o mapas de riesgo son una pobre representación de los riesgos de una empresa o un proyecto.
NUMEROS SIN SENTIDO
Por ahí andan algunos queriendo subsanar las deficiencias de las matrices de riesgo tornándolas en “semi-cuantitativas”. Es decir, les asignan una escala a las categorías de probabilidad, digamos de 1 a 5, desde raro hasta casi seguro. Y en impacto o severidad, también de 1 a 5 desde Insignificante a Severo. De esta manera, un riesgo de probabilidad casi segura (5) y de impacto severo (5) resulta convirtiéndose en uno de magnitud “25”. ¿25 qué? ¿Papas, manzanas, camotes, unidades de dolor? ¿Acaso un riesgo con un 25 entonces es 5 veces mayor que un riesgo de probabilidad rara e impacto severo que multiplica en un 5? Esto no es así. Estos números no significan absolutamente nada. Al ser “vestidos” con un número, muchos se confunden con estos riesgos pues los perciben conteniendo un alto nivel científico/matemático. En realidad, no tienen absolutamente ningún raciocinio o lógica en la explicación de su origen. Bien pudieron haber usado arepas, o tortillas o empanadas en su categorización, que significarían lo mismo: nada.
RIESGOS EN LA MISMA CATEGORIA
¿Qué pasa si termino con 2 riesgos en la misma celda de un mapa de calor? Con probabilidad “probable” (un 4) y de impacto “mayor” (un 4). Ambos riesgos terminan con un 16. Aparte del hecho de que ese 16 no significa NADA, ¿cómo hago para jerarquizarlos? ¿Si tuviese presupuesto para mitigar sólo uno de ellos, cuál mitigaría? Es imposible responder estas preguntas con una matriz de riesgos, por el sencillo hecho que esta “metodología” no asigna valores monetarios a cada riesgo.
DESDEN A LA INCERTIDUMBRE
¿Alguna vez has observado o participado en una interminable discusión considerando si determinado riesgo pertenece a la categoría de impacto “Significativo” o “Mayor”; o bien, la probabilidad de un segundo riesgo puede ser “Moderado” o “Poco probable”?
Aparte del hecho, de que semántica y subjetivamente estas palabras significan distintas cosas para cada individuo, francamente creo que la insistencia de categorizar riesgos dado un número de intervalos es, usualmente, una pérdida de tiempo.
RIESGOS MULTIFRECUENCIA
¿Qué pasa con los riesgos que son multi-frecuencia? Es decir, que podrían, por ejemplo, suceder 2 o más veces por unidad de tiempo, por año. ¿Caerían siempre en la categoría de Muy Probables?
La gran mayoría de los riesgos son multi-frecuencia. Piénsalo bien. Ejemplos como: accidentes laborales, derrames de químicos, errores contables, faltantes de caja, ciber ataques a servidores, y la lista continúa. Son riesgos que, ya porque sucedieron a inicios del año, no significa que no volverán a suceder. Por esto mismo es que la escala de probabilidad en las matrices, que usualmente se coloca en el eje vertical, está inherentemente mal diseñada. Está diseñada para riesgos binarios que suceden o no. No es una escala correcta para riesgos que pueden suceder varias veces al año.
IMPOSIBILIDAD DE DISEÑAR ESTRATEGIAS DE MITIGACION
¿Si quiero mitigar un riesgo "rojo", cuánto dinero debo invertir para que se convierta en "amarillo" o en "verde"? ¿Cuánto dinero puedo invertir en la mitigación, por ejemplo, en un seguro? ¿Vale la pena invertir en una estrategia cara de mitigación que elimina el 90% del impacto de un riesgo, o vale más la pena invertir en una estrategia económica de mitigación que sólo mitiga el 50% de tal impacto? Estas son preguntas imposibles de responder con una matriz de riesgos.
Hasta aquí mis cinco primeras razones que doy para demostrar lo débil de esta herramienta. En un segundo artículo discutiré cinco razones adicionales que justifican lo endeble y erróneo que puede ser su utilización.
En otro artículo discutiré una alternativa a las matrices de riesgo que es el análisis cuantitativo de riesgos con simulación Monte Carlo. Demostraré como esta técnica no tiene que ser ni difícil, ni cara, ni tampoco requiere poseer de previo, bases de datos de eventos para empezar a construirla.