3. Evaluación cualitativa
Utiliza una clasificación numérica predefinida
criterios de riesgo, puntajes o escalas de calificación
Basado en los juicios de los evaluadores
Produce un mapa de calor de 5 * 5 o 7 * 7
Práctica común en cumplimiento
.
4. ISO 37301
Evaluación
Sobre el registro de
obligaciones en
actividades, productos,
servicios, operaciones,
terceras, partes, y
servicios tercerizados
Dinámico
Riesgos de compliance
actualizados
periodicamente o
cuando hay cambios en
las circunstancias
8. Incompatible con los
métodos de
evaluación científica
y modelos
estadísticos
Contradice la ISO 31000
Se ignora la mejor
información
disponible
1 3
4
2
No producen
decisiones bien
informadas
Son hechas para
“paper compliance”
e informes externos
9. Contradice la ISO 31000
No pueden
comparar los
beneficios
potenciales contra
los costos de las
opciones de
tratamiento
5 a
b
Asignaciones de
recursos
subóptimas
Ignora el lenguaje de
los negocios: el
dinero
10. Contradice la ISO 31000
No establece un
monto a los criterios
de riesgo
6 a
b
Clasificación
arbitraria en rojo,
amarillo y verde
para tolerancia
Escalas ordinales
inconsistentes lo que
evita la agregación
de riesgos
11. Contradice la ISO 31000
Desprecia a los
factores culturales
7 b
c
La calificación
requiere
interpretación
subjetiva
Inconsistencias en la
evaluación por
cambio de
evaluadores y se
evitan los valores
extremos
Los sesgos no se
reducen en las
evaluaciones de
creación de
consenso
a
12. Contradice la ISO 31000
Incumplen con el
principio de
resultados
consistentes
8 b
c
Usa escalas
arbitrarias como las
etiquetas de alto a
bajo
La compresión de las
escalas de
calificación
desencadena
inconsistencias en
los niveles de riesgo
Consideran solo un
escenario, evento de
pérdida única
a
14. Contradice la ISO 31000
La priorización del
riesgo depende de la
clasificación de
criterios (criterios
ascendentes 1-5 o
descendentes 5-1)
9 10
11
El horizonte temporal
cambia de una vez
cada 10 años a
mensual
No considera los
riesgos de bajo valor
15. Contradice la ISO 31000
Crea una ilusión de
comunicación
12 a
b
Para una decisión
grupal, es fácil
ponerse de acuerdo
en términos vagos
No se puede mejorar
el rendimiento > no
calcula las pérdidas
en diferentes
escenarios
16. Evidencia que no funciona
What is wrong about risk matrices, Tony Cox, 2008 > worse than useless
Further thoughts on the utility of risk matrices, David Ball, 2013 >
untrustworthy picture
Risk matrix input data biases, Erik Smith, 2009 > not objective number grids
Some extensions on risk matrix approach, Huihui Ni, 2010 > defects still left
unresolved
On the origin of probability consequence diagrams, Ben Ale, 2015 > single
factor impacts
Problems with scoring methods and ordinal scales, Doug Hubbard, 2010 >
arbitrary features of the scoring
Recommendations on the use and design of risk matrices, Niels Duijm, 2015
> aggregation is problematical
Back to Basics: Risk Matrices and ALARP, Glen Wilkinson, 2010 > unable to
compare risks
21. Distribución normal
Curva en forma de campana
Los valores medios son los más
comunes
Violaciones de cumplimiento
provocadas por errores humanos
Los riesgos legales no suelen seguir
una distribución normal > baja
frecuencia
22. Distribución logarítmica normal
Producto multiplicativo de muchas
variables aleatorias independientes.
Eventos de cola pesada
Impacto de las infracciones de
cumplimiento en las redes sociales >
Desvanecimiento lento
Tiempo en detectar fraude
Días para cerrar una queja de cliente
23. Distribución triangular
Valores mínimos, más probables y
máximos
(Mín. + Base + Máx.) / 3
Se enfatizan los extremos
Regulaciones con penas o multas
mínimas y máximas
24. Distribución PERT
Valores mínimos, más probables y máximos
(Mín. + 4 * Base + Máx.) / 6
No se enfatizan los extremos
Común en la mayoría de las herramientas de
software de riesgo
Frecuentemente usado para modelar la
opinión de un experto
Riesgos de cumplimiento provocados por
demoras
25. Distribución binomial
Dos resultados mutuamente excluyentes
Posibilidad de éxito al 50%
Posibilidad de falla al 50%
Control de cumplimiento efectivo o ineficaz
Pérdida de concesiones, impuestos o
beneficios.
Aprobación de una licencia
26. Distribución discreta
Cada escenario tiene un impacto y
probabilidad
Árbol de decisión
Sanciones discrecionales
Sanciones en cláusulas contractuales
Disputas fiscales