El riesgo es un concepto presente de manera permanente en nuestro día a día: riesgo de inversión, riesgo país, riesgo de caída, riesgo eléctrico, riesgo de infección, etc., que suele estar asociado a efectos negativos o indeseados, por lo que buscamos gestionarlo cuando lo detectamos en nuestras vidas, valorándolo y tomando decisiones sobre este. Debido a su relevancia, organizaciones, gremios, asociaciones y organismos, han orientado esfuerzos en establecer políticas, metodologías, marcos de trabajo, modelos e, inclusive, una cultura que nos permita manejar el riesgo de una manera eficaz y eficiente.
La ISO, como organismo internacional de normalización, nos ayuda en este sentido con su norma ISO 31000. Esta proporciona directrices para gestionar el riesgo al que se enfrentan las organizaciones, de cualquier tipo y a cualquier nivel. De ella sabemos que la gestión de riesgo implica un proceso de identificación, análisis, evaluación, tratamiento, seguimiento, revisión, comunicación y consulta del riesgo, el cual es iterativo y fundamentado en principios y un marco de referencia. De esta manera, para poder gestionar el riesgo se requiere llevar a cabo una serie de pasos debidamente organizados, que facilitan el logro de resultados consistentes, válidos y comparables
Dicho proceso nos invita, entonces, a analizar y evaluar el riesgo antes de definir su tratamiento, es decir, se debe “comprender la naturaleza del riesgo y sus características incluyendo, cuando sea apropiado, el nivel del riesgo”*, para poder tomar decisiones apropiadas a cada amenaza u oportunidad. De allí que el concepto de nivel de riesgo cobra relevancia, pues se puede relacionar directamente tanto con los criterios de aceptación como de tratamiento de riesgos.
Por definición, el nivel de riesgo es la “magnitud del riesgo expresada en términos de la combinación de las consecuencias y de su probabilidad”, siendo la consecuencia el “resultado de un evento que afecta a los objetivos” y la probabilidad “la posibilidad de que algún hecho se produzca”, pudiendo ser este hecho tanto el evento en sí como las consecuencias del mismo. Este nivel puede calcularse a través de fórmulas, tablas, gráficos y demás expresiones que permitan relacionar las consecuencias y su probabilidad, lo cual no exime la posibilidad de usar otros factores dentro de esta relación, que permitan tener resultados más cercanos a la realidad. Finalmente, estos resultados pueden expresarse cualitativa, cuantitativamente o una combinación de ambas, por ejemplo:
Vale destacar que los valores de consecuencia y probabilidad deben responder a criterios de riesgos que sean coherentes con el objeto de la organización, los servicios que presta, sus obligaciones, la influencia de las partes interesadas pertinentes, entre otros, y que estos “son dinámicos, y deberían revisarse continuamente y si fuese necesario, modificarse”. Su asignación, al depender de las personas, puede estar influenciada por opiniones, sesgos, percepciones del riesgo y juicios; lo que se hace frente con técnicas de análisis, como las recomendadas en la IEC 31010. Sin embargo, esas y otras influencias “se deberían considerar, documentar y comunicar a las personas que toman decisiones”.
De todo lo anterior podemos concluir que:
- un nivel de riesgo, aunque requiere ser expresado en términos de consecuencias y su probabilidad, no necesariamente debe ser calculado como PxI.
- la relación consecuencia-probabilidad hace que cobre sentido que seamos más cuidadosos al tomar una decisión cuando las consecuencias del riesgo son de alto impacto, o cuando el riesgo tiene una alta probabilidad de ocurrencia.
- los valores de consecuencia y probabilidad tienen una carga de subjetividad y error que puede mitigarse con el uso de técnicas de análisis conocidas, que deben ser conscientemente aplicadas.
0 comentarios