25 octubre, 2013 by IAT in Conocimiento, Destacado with Comentarios desactivados

En este post continuamos hablando sobre el proceso de gestión del riesgo, avanzando

desde la fase de identificación del riesgo, ya tratada en un post anterior, y nos

introducimos en la fase de análisis del riesgo.

De la identificación del riesgo al análisis del riesgo

El análisis, como se indica en la norma ISO 31000:2009, es la parte del proceso de gestión del

riesgo que permite comprender el riesgo y, sobre todo, asociarle una magnitud.

Con ello, además de una caracterización del riesgo identificado (como la familia a la que

pertenece, las fuentes principales del riesgo, los controles existentes asociados, las

consecuencias y el dueño del riesgo), tendremos información acerca de su criticidad.

De alguna manera, ésta es la base para la valoración posterior de suaceptabilidad. Mientras

más crítico sea el riesgo, menos aceptable será.

Diagrama de Farmer

Fuente: “Primeros pasos en la gestión de riesgos”. AENOR, 2008. Yves Métayer y Laurence Hirsch

 

Parámetros para el análisis del riesgo

El objetivo del análisis del riesgo es determinar un nivel de riesgo para cada riesgo identificado. Para ello, se suelen considerar aquellos parámetros que permitan estimar la probabilidad de ocurrencia del suceso que genera la desviación, y lasconsecuencias de dicha desviación, teniendo en cuenta los controles existentes. Hay que recordar que un riesgo es la posibilidad de que se produzca una desviación respecto a los objetivos.

Aunque no todos los riesgos o todas las familias de riesgo tienen por que tener los mismos

parámetros, conviene contar con una cierta normalización, para que los resultados sean

comparables. Lo más habitual, y sencillo, es justamente considerar esos dos parámetros

(consecuencias y probabilidad) y establecer una métrica homogénea para su escalado.

 

Métodos para la estimación de los parámetros

Según la norma ISO 31010, en función de la métrica empleada para la estimación, se pueden

distinguir entre los siguientes métodos:

Cualitativos: Los niveles de los parámetros se indican de manera cualitativa, literaria,

como por ejemplo: “alto”, “medio”, “bajo”.

Semicuantitativos: Los niveles de los parámetros se indican usando escalas numéricas

(p.e.: lineales, logarítmicas, …). Se combinan los valores numéricos mediante una

fórmula matemática. Este método es muy habitual, aunque se suele vincular a cada

posible valor numérico de la escala una interpretación cualitativa.

Cuantitativos: Estima valores realistas para las consecuencias y la probabilidad. El nivel

de riesgo se obtiene en unidades específicas definidas. Por ejemplo, mediante análisis

estadísticos de sucesos a nivel histórico, etc. Los inconvenientes de estos métodos son

su compejidad y la gran cantidad necesaria de información.

 

Parámetro “CONSECUENCIAS”

Estimar el parámetro “consecuencias” supone conocer los efectos o impactos que se pueden producir, y decidir una magnitud para dichos efectos o impactos, dentro de una escala (cualitativa o semicuantitativa, … según el método empleado). Debe tenerse en cuenta que un suceso puede dar lugar a muchos tipos de impactos.

Por ejemplo, en la siguiente tabla se utiliza una escala cualitativa (con cuatro niveles: bajo,

medio, alto y crítico) para estimar las consecuencias. Puede observarse que se tipifican los

impactos en cuatro tipos: plazo, coste, calidad y otras especificaciones. Un riesgo puede tener

un impacto medio en el “plazo” pero crítico en “coste”. ¿Qué hacemos? Podemos hacer

alguna poderación, o, para “estar del lado de la seguridad”, lo conveniente puede ser  tomar el

nivel más desfavorable.

Tabla para estimación

de consecuencias con escala cualitativa

 

Parámetro “PROBABILIDAD”

Estimar el parámetro “probabilidad” supone determinar el nivel

de ocurrencia de un suceso a través de sus causas o fuentes de riesgo, dentro de una escala (cualitativa o semicuantitativa, … según el método empleado).Para poder conocer ese nivel de ocurrencia, solemos recurrir a datos históricos, a pronósticos mediante técnicas de predicción (p.e.: árbol de fallos y análisis de árbol de sucesos), a la apreciación de expertos, y/o a la observación, entre otros.

Debemos considerar que la probabilidad de un suceso es la combinación de las

probabilidades de sus causas o fuentes, de ahí la importancia de conocer dichas fuentes de

riesgo.

Por ejemplo, en la siguiente tabla se utiliza una escala cualitativa (con cuatro niveles: baja,

media, alta y muy alta) para estimar las consecuencias.

Ejemplo de tabla para estimación de probabilidad con una escala cualitativa

Nivel de riesgo

El nivel de riesgo es la combinación de los parámetros de consecuencias y probabilidad una

vez estimados, y suele representarse mediante una matriz, de manera que cada celda de la

matriz representa un nivel de riesgo, que se puede definir, igualmente, de forma cualitativa o

cuantitativa.

Ejemplo de matriz de valoración

del riesgos con niveles cuantitativos.

  Ejemplo de matriz de

valoración del riesgo cualitativa.

Una vez que un riesgo se encuentra valorado con un nivel, la decisión sobre su aceptabilidad

implica la comparación con los niveles aceptables, lo cual corresponde a la fase

de evaluación del riesgo, de lo que hablaremos en otro post.