En este post vamos a avanzar sobre el proceso de gestión del riesgo, basándonos en materiales publicados por Miguel Angel Carmona, Expertos gestor del Conocimiento en Sistemas de Gestión Avanzada. Sin duda, la Gestión del Riesgo va a centrar los esfuerzos de las miles de organizaciones que a día de hoy cuentan ya con la Certificación ISO 9001 y que deberán asumir este nuevo concepto en sus sistemas y traducirlo en procedimientos, metodologías y registros de evaluación, seguimiento y control. En QMA Consultores estamos trabajando para en Enero de 2015 ser pioneros en la publicación de herramientas de Gestión del Riesgo en base a las Normas ISO 31000 y ISO 31010

De la identificación del riesgo al análisis del riesgo

El análisis, como se indica en la norma ISO 31000:2009, es la parte del proceso de gestión del riesgo que permite comprender el riesgo y, sobre todo, asociarle una magnitud.

Con ello, además de una caracterización del riesgo identificado (como la familia a la que pertenece, las fuentes principales del riesgo, los controles existentes asociados, las consecuencias y el dueño del riesgo), tendremos información acerca de su criticidad. De alguna manera, ésta es la base para la valoración posterior de su «aceptabilidad». Mientras más crítico sea el riesgo, menos aceptable será y mayores medidas de control y minoración deberá tomar la organización para su gestión efectiva.

Parámetros para el análisis del riesgo

El objetivo del análisis del riesgo es determinar un nivel de riesgo para cada riesgo identificado. Para ello, se suelen considerar aquellos parámetros que permitan estimar la probabilidad de ocurrencia del suceso que genera la desviación, y las consecuencias de dicha desviación, teniendo en cuenta los controles existentes. Hay que recordar que un riesgo es la posibilidad de que se produzca una desviación respecto a los objetivos.

Aunque no todos los riesgos o todas las familias de riesgo tienen por que tener los mismos parámetros, conviene contar con una cierta normalización, para que los resultados sean comparables. Lo más habitual, y sencillo, es justamente considerar esos dos parámetros (consecuencias y probabilidad) y establecer una métrica homogénea para su escalado.

Métodos para la estimación de los parámetros

Según la norma ISO 31010, en función de la métrica empleada para la estimación, se pueden distinguir entre los siguientes métodos:

• Cualitativos: Los niveles de los parámetros se indican de manera cualitativa, literaria, como por ejemplo: “alto”, “medio”, “bajo”.
• Semicuantitativos: Los niveles de los parámetros se indican usando escalas numéricas (p.e.: lineales, logarítmicas, …). Se combinan los valores numéricos mediante una fórmula matemática. Este método es muy habitual, aunque se suele vincular a cada posible valor numérico de la escala una interpretación cualitativa.
• Cuantitativos: Estima valores realistas para las consecuencias y la probabilidad. El nivel de riesgo se obtiene en unidades específicas definidas. Por ejemplo, mediante análisis estadísticos de sucesos a nivel histórico, etc. Los inconvenientes de estos métodos son su compejidad y la gran cantidad necesaria de información.

Parámetro “CONSECUENCIAS”

Estimar el parámetro “consecuencias” supone conocer los efectos o impactos que se pueden producir, y decidir una magnitud para dichos efectos o impactos, dentro de una escala (cualitativa o semicuantitativa, … según el método empleado). Debe tenerse en cuenta que un suceso puede dar lugar a muchos tipos de impactos.

Por ejemplo, en la siguiente tabla se utiliza una escala cualitativa (con cuatro niveles: bajo, medio, alto y crítico) para estimar las consecuencias. Puede observarse que se tipifican los impactos en cuatro tipos: plazo, coste, calidad y otras especificaciones. Un riesgo puede tener un impacto medio en el “plazo” pero crítico en “coste”. ¿Qué hacemos? Podemos hacer alguna poderación, o, para “estar del lado de la seguridad”, lo conveniente puede ser  tomar el nivel más desfavorable.

Tabla para estimación de consecuencias con escala cualitativa

Parámetro “PROBABILIDAD”

Debemos considerar que la probabilidad de un suceso es la combinación de las probabilidades de sus causas o fuentes, de ahí la importancia de conocer dichas fuentes de riesgo.

Por ejemplo, en la siguiente tabla se utiliza una escala cualitativa (con cuatro niveles: baja, media, alta y muy alta) para estimar las consecuencias.

Ejemplo de tabla para estimación de probabilidad con una escala cualitativa

Nivel de riesgo

El nivel de riesgo es la combinación de los parámetros de consecuencias y probabilidad una vez estimados, y suele representarse mediante una matriz, de manera que cada celda de la matriz representa un nivel de riesgo, que se puede definir, igualmente, de forma cualitativa o cuantitativa.

Ejemplo de matriz de valoración del riesgos con niveles cuantitativos.

 Ejemplo de matriz de valoración del riesgo cualitativa.

Una vez que un riesgo se encuentra valorado con un nivel, la decisión sobre su aceptabilidad implica la comparación con los niveles aceptables, lo cual corresponde a la fase de evaluación del riesgo, de lo que hablaremos próximamente a la vez que vamos desarrollando la herramienta para la aplicación prácticas de estas metodologías y permitir así una base práctica para que cientos de miles de pymes ya certificadas puedan adaptarse a los nuevos criterios que ISO 9001:2015 incorporará a los Sistemas de Gestión de la Calidad a nivel mundial. Le recordamos que estamos a su entera disposición en direccion@qmaconsultores.com