Las organizaciones a menudo enfrentan escenarios complicados y amenazas que no pudieron ser previstas. Es por eso que, en un entorno tan cambiante, es importante que las organizaciones cuenten con un proceso global estructurado que les permita analizar los riesgos y comprender cómo es que esto puede afectar a los objetivos de la organización. La apreciación del riesgo, de acuerdo a IEC 31010 es la forma adecuada de afrontar estos escenarios.

La apreciación del riesgo es el proceso global de identificación, de análisis y de evaluación del riesgo. Este proceso brindará la información necesaria a la organización sobre el tratamiento de los riesgos, permitiendo que la toma de decisiones sea más acertada.

La norma IEC 31010:2019 es una excelente guía para llevar a cabo la apreciación del riesgo. Dentro de la norma se pueden encontrar a profundidad, múltiples técnicas que la organización puede utilizar para identificar el riesgo. IEC 31010:2019 es un complemento para la gestión del riesgo de ISO 31000.

Loading...

El proceso para hacer una correcta apreciación del riesgo consta de los siguientes pasos:

Primer paso. Identificación del riesgo

El primer paso es determinar los posibles sucesos o situaciones que pudieran presentarse y que afecten a los objetivos que se habían planteado. Para hacer una correcta identificación de riesgos debemos considerar cuáles son las causas y el origen del riesgo que estamos detectando. Este paso permite que la organización en un futuro pueda tomar las medidas necesarias para mitigar o evitar que esto ocurra.

La norma IEC 31010, propone algunos métodos que la organización puede emplear para llevar a cabo este paso, por ejemplo:

  • Lista de verificación y las revisiones de datos históricos.
  • Enfoques sistemáticos del equipo.
  • Un Análisis Funcional de Operatividad (HAZOP)

Segundo paso. Análisis del riesgo

Un riesgo tiene distintas causas, consecuencias y probabilidades de que éste ocurra, para esta etapa la organización deberá comprender el riesgo que haya identificado, esto quiere decir que analizará todas las vertientes necesarias para determinar el nivel de riesgo que representa.

Este análisis considera las causas, las fuentes de riesgo, la probabilidad de que esto ocurra y sus posibles consecuencias. El análisis deberá adaptarse a las necesidades y el contexto de la organización, debido a que cada sistema posee controles y procesos distintos que deberán ser atendidos de una forma en particular.

Para esta fase los métodos de análisis pueden ser variados, puede apoyarse de métodos cuantitativos, semicuantitativos o cualitativos. Esto depende del grado de fiabilidad que requiera para la toma de decisiones.

El método cualitativo

Se basa en las consecuencias, nivel de riesgo y su probabilidad, con esto, determina tres niveles de riesgo que son: alto, medio y bajo, en función de criterios cualitativos.

El método semicuantitativo

Emplea escalas de valoración numéricas para las consecuencias y la probabilidad, y las combina para determinar un nivel de riesgo aplicando una fórmula.

El método cuantitativo

Este método estima valores realistas para las consecuencias y sus probabilidades y obtiene valores de riesgo en unidades específicas cuando se desarrolla el contexto.

Para que un análisis de riesgo resulte útil se tienen que hacer de forma exhaustiva y con exactitud, considerando cada aspecto que lo pueda originar; de esta forma se asegura que los parámetros que se establezcan cumplan su función.

Tercer paso. Evaluación del riesgo

De acuerdo a IEC 31010, la evaluación de riesgo “implica la comparación de niveles estimados de riesgo con los criterios de riesgo definidos cuando se estableció el contexto, con el objetivo de determinar el tipo de riesgo y la importancia del nivel.”

Esta fase podría considerarse como la parte práctica, durante esta parte del proceso la organización toma decisiones con base en la información obtenida en el análisis que previamente se realizó.

Si bien, durante el establecimiento del contexto se habían considerado los criterios y la naturaleza de las decisiones, en la evaluación del riesgo se hace un análisis más detallado de los riesgos identificados.

Para determinar el marco de trabajo de la definición de los riesgos, se puede apoyar en la división de los riesgos en tres bandas:

  1. Una banda superior (nivel de riesgo considerado intolerable). Este nivel implica que la organización tiene que darle un tratamiento al riesgo, sin importar su costo.
  2. Una banda media (zona gris). Los costos y beneficios se tienen en cuenta y las oportunidades se compensan con respecto a las consecuencias potenciales.
  3. Una banda inferior (riesgo insignificante). Este tipo de riesgo se considera pequeño, por lo que nos es necesario tomar medidas.

La apreciación del riesgo trae consigo múltiples ventajas, permite que la organización esté mejor preparada para afrontar las posibles amenazas que se le presenten. Si bien, existen escenarios que no se pueden prever, la organización con un enfoque en la gestión del riesgo, puede salir más fácil de estas situaciones.

Capacitación en Pensamiento Basado en Riesgos

DQS de México le ofrece su curso en Pensamiento Basado en Riesgos. Este curso está diseñado para que todos los participantes comprendan, a través de distintos talleres, cómo funciona el modelo de Gestión del Riesgo de acuerdo con la norma ISO 31000, así como el nuevo enfoque que esta norma adopto en su más reciente versión. Además, conocerá cómo se aplica el concepto de “Pensamiento Basado en Riesgos”, que contienen las normas ISO.

Autor
Arango Yutzil

Yutzil Arango es especialista en comunicación y marketing en DQS de México, colaborando desde hace 5 años en la generación de contenidos sobre sistemas de gestión como: ISO 9001, ISO 14001, IATF 16949, ISO 45001, entre otros.

Loading...