Análisis de riesgos, ISO31000, y el concepto de probabilidad

La UNE-ISO-31000, habla del efecto de la incertidumbre sobre la consecución de los objetivos, y esta definición, a mi parecer, no desentona para nada con mi afirmación de que el riesgo al final es una cuestión de valorar creencias y preferencias.

Hoy vamos a hablar de algo un poco técnico pero que debería hacer pensar sobre el grado de creencia que tenemos sobre determinados acontecimientos y en cómo ese grado de conocimiento puede ser modificado en base a nuevas evidencias.

Es decir, la probabilidad, no siempre matemática, es una cuantificación de nuestras creencias sobre el grado de certeza que tenemos acerca de la ocurrencia de un evento futuro o de un determinado resultado. Por otro lado, nuestras preferencias, determinan el grado de daño o beneficio que el resultado esperado o no esperado puede ocasionarnos. (ver entrada sobre creencias y preferencias)

Recientemente leí un fabuloso post de Tom Moertel (ver post original), titulado: ¿Cuánta evidencia contiene un único lanzamiento de una moneda?

El post aborda esta cuestión planteando el siguiente ejercicio:

Supongamos que hago la siguiente afirmación: “poseo una moneda especial que al lanzarla siempre sale cara”.

Pues bien, esta afirmación, producirá en usted un estado de incertidumbre determinado. Lo interesante es que para cada persona el grado de incertidumbre que se le plantea puede ser diferente. Des de el que piense que es imposible que yo tenga una moneda de ese tipo hasta el que piense que seguro que poseo una moneda trucada, pasando por cualquier estado de creencia.

Ahora, el autor se plantea: en caso de lanzar la moneda y observar que ha salido cara, ¿Cómo creen que debería variar su estado de incertidumbre?

Y así conduce a que de este planteamiento se desprenden las siguientes premisas:

• S       La moneda es especial
• H       Al lanzar la moneda observamos que sale cara
• T       Al lanzar la moneda observamos que sale cruz
• K       Nuestro estado de conocimiento sobre la moneda, el universo y todo en general

Entonces, partiendo de que la probabilidad de que la moneda sea especial dado nuestro conocimiento o grado de creencia, y la probabilidad una vez lanzada la moneda y visto que ha salido cara  se formularán como:

y partiendo de que la nueva probabilidad o el nuevo estado de creencia (NP), una vez visto que ha salido cara, será igual al viejo estado de creencia (VP) por un ajuste basado en la evidencia (AE) que escribiremos como:

NP = VP * AE [1]

se desprende que el cambio relativo tras la observación será algo del tipo:

A partir de este punto y utilizando las reglas de la suma y el producto de la probabilidad clásica y bayesiana T. Moertel, acaba determinando que el AE se puede calcular como:

Pongamos un ejemplo:

Si antes de lanzar la moneda nosotros pensábamos que no teníamos ninguna razón para pensar más a favor de que la moneda fuera especial de que no lo fuera, la probabilidad asignada a priori sería de 0,5.

Es decir, P(S/K) = 0,5.

Dicho esto, y en base a la propuesta de Mortel, de [2] se desprende que la nueva el factor de corrección o el AE sería de:

Y así, de [1], obtenemos que la nueva probabilidad sería:

NP = 0,5 * 1,33 = 0,66

En definitiva, una única observación ha hecho que nuestras creencias se cuantificaran con una probabilidad del 66% frente al 50% que las caracterizaban antes del lanzamiento.

Es decir, se ha producido un aumento del 33% de la probabilidad inicial, calculado como:

La gráfica siguiente muestra todo lo expuesto hasta ahora. Se representan los valores de ajuste tras la evidencias junto con los calculados para la nueva probabilidad.

Y en la siguiente gráfica se observan la magnitud de los cambios en base a la probabilidad a priori y la evidencia de ver salir una cara. Destacar como las probabilidades extremas 0 y 1 no sufren cambios ante la evidencia.

Riesgo, objetivos y la ISO 31000 en los presupuestos anuales de las empresas

Dado que el riesgo tal como lo define la ISO31000 se centra en los objetivos, no imagino un aspecto más recurrente en las empresas orientado a los objetivos que la elaboración de los presupuestos anuales. Es decir, hablaremos de la gestión del riesgo en la elaboración de presupuestos como base de la gestión empresarial.

Ya hace años, la lectura de un documento de trabajo del Banco de España (Doc. nº0933. Teresa Leal y Javier J. Pérez. 2009), titulado “Análisis de las desviaciones presupuestarias aplicado al caso del presupuesto del estado”, me hizo pensar en las habituales quejas de los equipos comerciales de grandes empresas para las que venía trabajado realizando consultoría.

Cada año, llegado el período en el que dirección pedía a todos los departamentos que realizaran la preceptiva labor de estimación para elaborar los presupuestos del año siguiente, los responsables de todos y cada uno de los departamentos (en la intimidad), repetían las mismas quejas: “que si como quieren que sepa yo lo que vamos a vender este año”, “que más vale que pida mucho porque luego siempre vienen las rebajas”, “qué más vale que sea conservador pero sin pasarme no vaya a ser que pierda su confianza”…

Por su parte, Dirección, en la mayoría de casos, ya tenía prefijados los objetivos y ya se habían hecho una idea del orden de magnitud de los recortes que serian necesarios para reducir el gasto, y entonces, en función de lo que recibían de cada departamento, podrían llegar a ajustar un poco los objetivos, pero sin pasarse.

Periódicamente, al ir comparando lo estimado con lo acaecido, los trabajos especialmente comerciales se ajustaban relajándose o estimulándose para alcanzar los valores predichos.

Al final de cada ejercicio, se comparaban las previsiones con lo realmente conseguido y se felicitaban o lamentaban de forma proporcional al valor absoluto de la diferencia, de forma que dichas desviaciones ya condicionaban los objetivos para el siguiente ejercicio y los recortes preceptivos. Y seguro que hay contadas excepciones, pero nada me hace pensar que en estos cuatro años las cosas hayan cambiado.

Es curioso, pero en todos los casos, la revisión de los objetivos alcanzados respecto a los previstos, se basaba más en encontrar explicaciones “lógicas” a tales desviaciones que en considerar y analizar qué errores de estimación y ajuste se podrían haber cometido y con que frecuencia sucedían a lo largo de los años.

En definitiva, la elaboración de presupuestos no es más que un trabajo de estimación basado en la información disponible y en las expectativas que uno tiene sobre su potencial para alcanzar un determinado nivel de objetivos. Pero tanto la información disponible, (normalmente focalizada en la más reciente), como las expectativas que se cree se tiene sobre uno, están sujetas a errores.

El documento citado al inicio de esta entrada, da una primera idea de cómo podría gestionarse la incertidumbre asociada a la estimación de ventas y previsión de gastos en una empresa.

Si bien no hablaremos en términos de previsiones o créditos iniciales y definitivos, o de modificaciones y ajustes, o de obligaciones y derechos reconocidos, si que podemos hablar de errores de planificación y errores de ejecución.Así, a nivel de los presupuestos de una empresa, nos enfrentaremos al hecho de que las desviaciones observadas se deben, a mi entender, a una combinación de los siguientes tipos de error:

• Errores de estimación

• Errores de planificación

• Errores de ejecución

• Errores de control y ajuste

Los errores de estimación se cometen al no considerar que la incertidumbre siempre está presente, y que como tal debe medirse.

Los errores de planifiación, directamente relacionados con los anteriores, se cometen al no considerar todas las acciones necesarias para asegurar los objetivos, incluido el efecto de la incertidumbre.

Los errores de ejecución se cometen por una incorrecta planificación o por una forma de proceder diferente a la planificada.

Y los errores de control y ajuste, se deben básicamente a una tardía y/o no coherente reacción a las desviaciones detectadas durante el ejercicio.

En este sentido, en el documento del banco de España, se indica una posible forma de abordar la cuantificación de los errores, que de entrada se plantea como muy útil.

Textualmente indica que, a parte de desviaciones estándar y asimetrías:

“Otras medidas que también nos proporcionan un primer acercamiento a la precisión de las previsiones y ajustes son: el error medio (EM), de forma que un valor positivo (negativo) de esta variable indicaría que se está subestimando (sobreestimando) el dato final. El error absoluto medio (EAM) que, a diferencia del EM, toma en cuenta las desviaciones absolutas, de forma que no se compensen las desviaciones positivas con las negativas. Y la raíz del error cuadrático medio (RECM), que penaliza los grandes errores de manera que, diferencias entre la RECM y el EAM indican la presencia de grandes errores en ciertos años.”

Y especial mención merece también la utilización del estadístico U de Theil (Utheil) que compara el error observado con el que se hubiera obtenido suponiendo una previsión igual al último dato observado (paseo aleatorio). Si el valor de este último es mayor que 1, esto indicaría que hubiera sido mejor, en términos de precisión, presentar los datos del presupuesto del ejercicio anterior como previsión del ejercicio actual.

Las conclusiones del documento indicado caracterizan la precisión en la elaboración y ejecución de los presupuestos, de forma que permite gestionar de una manera más clara en ejercicios futuros cómo afrontar los presupuestos conociendo los sesgos a los que históricamente han estado sujetos sus previsiones y ejecuciones.

Así, las empresas podrían crear y retener un mayor valor si consideran que la elaboración y ejecución de presupuestos anuales es un ejercicio de gestión de riesgos en sí, y que como tal, el uso de los principios de la ISO31000 y la elección de las mejores técnicas de análisis disponibles, deberían formar parte de este proceso tan relevante y crítico.

Y es precisamente éste uno de los servicios de consultoría que vengo desarrollando y al que más potencial en términos de utilidad le encuentro para la gestión empresarial.

Riesgo e incertidumbre en la UNE-ISO 31000

Como ya hemos mencionado en repetidas ocasiones (y las que quedan), la UNE-ISO-31000, define riesgo como el efecto de la incertidumbre sobre la consecución de los objetivos. Varias notas aclaran en la propia norma esta definición, centrándonos en esta entrada en la que hace referencia a la incertidumbre.

La NOTA 5, indica textualmente: “La incertidumbre es el estado, incluso parcial, de deficiencia en la información relativa a la comprensión o al conocimiento de un suceso, de sus consecuencias o de su probabilidad”.

Pues bien, tocará preguntarse entonces: ¿A qué puede deberse la deficiencia en la información relativa a la comprensión o al conocimiento de un suceso, de sus consecuencias o de su probabilidad?

Y la respuesta es que básicamente se debe a dos cuestiones:

• A lo que conocemos sobre el comportamiento del sistema en que se dará el suceso. Es decir, si sabemos que es determinista o indeterminista, y

• Al papel que el azar juega en el tipo de comportamiento ya conocido del sistema

Pero expliquemos esto un poquito para no perder el hilo al introducir nuevos conceptos.

Se dice que un sistema es determinístico cuando su comportamiento puede ser completamente determinado conociendo sus condiciones iniciales. Es decir, cada estado del sistema está determinado por el estado anterior y el conocimiento exacto de cómo las variables del entorno harán que pasemos del estado anterior al actual o futuro.

Los sistemas deterministas por antonomasia son los definidos por la mecánica clásica. Así, el conocimiento del comportamiento de estos sistemas nos permiten responder a cuestiones del tipo:

Si dejamos caer un objeto des de lo alto de un edifico, y éste llega al suelo a los 3 segundos de haberlo dejado caer, ¿Qué altura tiene el edificio?¿A qué velocidad llegará el objeto al suelo?

Pero que un sistema sea determinista no hace que tengamos certeza sobre lo que va a pasar a menos que conozcamos las reglas de ese comportamiento. Así, podríamos decir que “un sistema determinista aporta certeza en la medida que conocemos su fórmula”.

De este modo, conociendo las fórmulas, el problema del edificio, tendrá un coste de solución no superior al que tardamos en resolver las operaciones matemáticas: 9,81*3 y (9,81*(3)2):2, de forma que obtengamos que la velocidad a la que llega al suelo es de 29,43 m/s y la altura del edificio es de 44,15 metros. 

Pero cuidado, este coste de resolución será siempre y cuando conozcamos las leyes de la mecánica clásica que rigen este tipo de sistemas. De este modo, sino “sabemos las fórmulas”, deberemos añadir al coste de realizar las operaciones anteriores, el coste de conocer las fórmulas y la forma de resolverlas, que en este caso sería :

En los sistemas determistas en los que no interviene el azar se asume la certeza en la medida que se considera que las variaciones que se pudieran dar no serian perceptibles o relevantes para la información que requerimos sobre el estado futuro de un sistema. Vamos, que dejamos al margen la teoría de la relatividad y la imprecisión milimétrica a nivel de observaciones.

Pasemos ahora a los sistemas indetermistas o probabilísticos. En este caso, hablamos de sistemas en los que no podemos saber de antemano, cual será el siguiente estado de un sistema. Lo único que podemos hacer con estos sistemas es asiganr probabilidades a cada uno de los posibles estados futuros que pudiera tener un sistema. Este tipo de sistemas o procesos en los que interviene el azar de forma intrínseca son los estudiados por ejemplo en mecánica cuántica.

En este caso, no solo debemos conocer las fórmulas, sino que además la certeza sobre el estado futuro siempre estará “dividida” entre diferentes opciones.

Los juegos de azar, son otro tipo de procesos indetermimnistas. Al lanzar una moneda podemos determinar que la probabilidad de que salga cara o cruz, gracias a las leyes de la probabilidad clásica, es del 50%, pero nunca podríamos afirmar, por ejemplo, que en una tirada concreta con certeza saldrá cara.

Explicada la diferencia entre sistemas deterministas y probabilísticos (también llamados estocásticos) veamos el papel que el azar puede jugar en cada uno de ellos.

A efectos de sistemas indeterministas, está claro, no hay forma de saber con certeza lo que va a pasar, precisamente por el componente azaroso que rige el sistema.

Y a efectos de sistemas deterministas también se habla de azar en un caso de sistemas muy concreto. Nos referimos a los sistemas caóticos o complejos. En estos sistemas, más que estar regidos por el azar en los mismos términos que los anteriores, lo que sucede es que, son tan extraordinariamente sensibles a cambios en las variables que los componen, que no hay forma de calcular con precisión lo que sucederá en cada instante, independientemente de que matemáticamente si pudiera abordarse ya que unas entradas concretas siempre darán las mismas salidasd concretas.

En los sistemas probabilísticos, unas entradas concretas pueden dar diferentes salidas con probabilidades distintas. La meteorología podría ser un ejemplo de sistema que se aborda des de una perspectiva probabilística siendo intrinsecamente determinista, debido a la enorme cantidad de variables que intervienen y a lo extraordinariamente sensible que es el sistema ante cambios prácticamente imperceptibles de cada una de estas variables.

Pues bien, cuando ya conocemos la naturaleza de la incertidumbre asociada a un sistema, podemos hablar de cómo diseñar un modelo predictivo que nos ayude a tomar decisiones informadas.

Llegados a este punto cabe matizar algo de suma importancia por lo poco que se entiende cuando hablamos de modelos predictivos: “NO!!!, no podemos predecir lo impredecible”. Es decir, un modelo predictivo no nos dice lo que con toda seguridad pasará en cada instante del futuro. Un modelo predictivo debe ayudarnos en la toma de decisiones informadas.

Dicho esto, cuando afrontamos la redacción de unos presupuestos anuales, la elaboración de un plan de negocio, de un plan de marketing, o la gestión de un proyecto o de un equipo de ventas, nos enfrentamos a sistemas en los que hay incertidumbre.

Y gestionar esta incertidumbre en tanto que pueda tener efectos sobre los objetivos, es lo que la consideración de riesgos de la ISO31000 contempla.

De esta forma podemos concretar que gestionar los riesgos implica necesariamente maximizar la función:

siendo,

Ahora, el problema se reduce a cómo se miden ambos términos de la ecuación, y eso ya es parte de la gestión del riesgo, influyendo inevitablemente la respuesta a esta pregunta en la propia función.

Así, a mi entender, la gestión del riesgo como herramienta que genera y retiene valor, requiere de “un primer acto de fe” en tanto que, al igual que sucede con la gestión de la marca, la reputación o la formación, no siempre podemos de entrada cuantificar la relación coste/beneficio. (Ver en este blog “lo intangible del riesgo y el riesgo de lo intangible”).

Asesorarse por expertos para conocer y definir la naturaleza del sistema que deseamos tratar y la forma en la que abordar su análisis y valoración es sin duda el primer paso para una gestión de riesgos basada en maximizar la función referenciada anteriormente.

Riesgo y objetivos

No podemos gestionar el riesgo sin saber definir objetivos.

El riesgo se define en la UNE-ISO-31000, como el efecto de la incertidumbre sobre la consecución de los objetivos. [ISO Guía 73:2009, definición 1.1]

Y aunque se podría suponer que el término “objetivo” es claro, creo necesario hacer una reflexión al respecto.

La UNE-ISO-31000, contempla su aplicación para cualquier tipo de organización, entendiendo que incluye empresas, ONG’s, administraciones y hasta individuos, pero en este post nos vamos a centrar en los objetivos empresariales como ejemplo.

Una muy buena definición de objetivos empresariales la encontramos en la realizada por A.Kume, blogger en gestión de negocios que indica:

“Los objetivos de una empresa son resultados, situaciones o estados que una empresa pretende alcanzar o a los que pretende llegar, en un periodo de tiempo y a través del uso de los recursos con los que dispone o planea disponer.”

Así, los objetivos quedan caracterizados por dos grandes variables: la magnitud de los sucesos que se pretende se materialicen y el tiempo en el que se fija el grado de consecución.

Dicho esto, el efecto de la incertidumbre puede afectar a la magnitud del “objetivo”, al tiempo que tarda en alcanzarse, o simplemente a lo consecución o no de éste en un tiempo determinado.

Ahora, demos un paso más. Si el riesgo es el efecto de la incertidumbre sobre la consecución de los objetivos, y esto, debe ayudarnos en la toma de decisiones, los objetivos deberían ser medibles y claros, pero el efecto de la incertidumbre también. Es decir, en definitiva, nos vamos a dedicar a medir las desviaciones que se pueden dar respecto de las predicciones que hemos hecho sobre resultados, situaciones o estados futuros.

En este sentido, deberemos tener muy claro el tipo y jerarquía de nuestros objetivos. Así, podemos clasificar los objetivos en base a su jerarquía en:

• Estratégicos u organizacionales
• Tácticos “formales” o departamentales
• Operacionales o “individuales”

A su vez, cada uno de estos tres grupos de objetivos se relacionan generalmente con un periodo de tiempo, siendo los estratégicos considerados a largo plazo, los tácticos a medio plazo y los operacionales a corto plazo.

Por otro lado, los operacionales pueden considerarse metas para alcanzar los tácticos al igual que estos son las metas para alcanzar los estratégicos.

Dicho todo esto, podemos entender la gestión de riesgos como un elemento esencial de la gestión de los objetivos, en el que todo se reduciría a maximizar el éxito en la toma decisiones orientadas a conseguir o mejorar los objetivos preestablecidos para un periodo de tiempo.

En posteriores entradas hablaremos detenidamente sobre la cuantificación de los objetivos y de la incertidumbre asociada. ¿Es lo mismo cuantificar que medir? ¿Se puede medir sin cuantificar? La idea de análisis cuantitativos, cualitativos y semicuantitativos creo que, aunque de mucha utilidad, generará gran confusión a la hora de fijar criterios de riesgo, determinar  niveles de riesgo y realizar evaluaciones de riesgo. Trataremos sobre el tema!!!

Sobre el riesgo de lo intangible y lo intangible del riesgo

A excepción del mundo asegurador y parte del financiero, lo intangible suele ser por definición invisible y difícil de cuantificar. Además, no aparece en los estados contables, no tiene un mercado propio, es lento de acumular y suele tener un valor de liquidación nulo.

Pero, los recursos intangibles están basados, principalmente, en la información y el conocimiento. Así, mientras los recursos tangibles tienden a depreciarse con su utilización, los intangibles ganan valor a medida que son más usados.

Factores como la imagen de la empresa, el conocimiento y habilidades de sus trabajadores, la estructura organizativa, los sistemas de gestión, la marca, el logotipo, son variables con un peso cada vez mayor en la explicación del éxito empresarial. De hecho, se dice que actualmente, los activos intangibles suponen más de un 70% del valor medio de las compañías.

Y el riesgo tiene una doble relación con este concepto que me parece interesante mencionar.

Por un lado, como ya he repetido en varias ocasiones, el riesgo es una cuestión de creencias y preferencias, y las dos, suelen ser difíciles de cuantificar. Pero eso no quiere decir que la dificultad suponga una falta de utilidad. Por otro lado, la propia incertidumbre se revela como algo “invisible”, como lo que puede y no puede ser. Así, en parte, el riesgo es valorar intangibles.

Así, parte de la reticencia o falta de interés en realizar mapas y análisis de riesgos atiende precisamente a esa doble intangibilidad. Y cuesta entender, des de mi perspectiva profesional, que sea más fácil visualizar por parte de algunos gerentes de empresa, realizar inversiones en concepto de consultoría de marca que en gestión de riesgos. Pero esto tiene una explicación.

Cuando se decide invertir en consultoría de marca es porque se tiene la creencia de que su gestión reportará beneficio, aunque sea casi imposible cuantificar cuanto aporta al beneficio de la empresa cada acción realizada sobre la marca.

Es decir, la venta de un intangible parte de la creencia por parte del comprador de que la gestión de ese intangible reportará beneficios aunque no puedan cuantificarse de antemano. Lo mismo sucede con el riesgo, pero, a mi entender, las creencias sobre la utilidad de gestionar este intangible aún no están suficientemente arraigadas en el empresariado español, al menos, entre la pequeña y mediana empresa.