Abordamos hoy la fase de análisis del riesgo, una vez visto en el post anterior la fase de evaluación, y su utilidad para discernir entre los riesgos aceptables y los que no lo son, así como para priorizar las acciones de tratamiento sobre ellos, de nuevo de la mano de Miguel Angel Carmona, Experto gestor del Conocimiento en Sistemas de Gestión Avanzada.

La norma ISO 31000:2009 considera la evaluación del riesgo como aquella parte de la apreciación del riesgos que permite comparar la magnitud del riesgo con un criterio determinado, conocido como criterio de riesgo.

De alguna manera, con el análisis del riesgo podemos ya saber qué riesgos son más importantes y cuáles son menos, en función de su magnitud. Pero, ante nuestro listado de riesgos con sus magnitudes, … ¿es necesario definir acciones de tratamiento para todos los riesgos? ¿A partir de qué nivel debo abordarlos?

En cierta forma, la organización, en función de su “apetito al riesgo”, podrá y deberá decidir para qué riesgos no será necesario tomar acciones, bien por su baja magnitud, bien por la baja gravedad de sus efectos potenciales, etc.

Estos criterios son los que se conocen como criterios de riesgo o criterios de aceptabilidad.

Definición de los criterios de riesgo

Una parte fundamental de la gestión del riesgo es, por tanto, definir dichos criterios de riesgo. La opción más sencilla es definir un valor común, dentro de la escala cuantitativa utilizada para el análisis del riesgo, por encima del cuál la empresa determina que el riesgo debe tratarse, y por debajo del cuál es aceptable. Esta situación es la más habitual, especialmente en los primeros compases de implementación de un proceso de la gestión del riesgo.

Con la experiencia adquirida, se podrá posteriormente plantear la aplicación de criterios más precisos, como, por ejemplo, definir varios niveles que condicionarían la manera de hacer el tratamiento en función de la franja en la que se encuentre el riesgo respecto a estos niveles. E incluso pueden llegar a definirse diferentes criterios en función de tipologías o familias de riesgos. En definitiva, se deben revisar y ajustar los criterios de riesgos tras la puesta en marcha del proceso de gestión de riesgos.

En conclusión, con la evaluación del riesgo y el uso de los criterios de riesgos, se facilita la toma de decisiones acerca de si un riesgo necesita tratarse, de las prioridades de tratamiento, de la tipología de tratamiento, de si se debería paralizar una actividad, etc.

Mapa de riesgos

A la hora de hablar de evaluación de riesgos, es ineludible hablar también del “mapa de riesgos”, un término ampliamente extendido, pero no considerado dentro del proceso descrito en la norma ISO 31000. Se trata de una herramienta o instrumento de representación de la información que permite organizar los datos sobre los riesgos en una organización, y visualizar su magnitud, facilitando su interpretación y comparación, así como la adopción de estrategias adecuadas para la gestión y control de los riesgos.

Realmente, la utilización o no de mapas de riesgos es algo opcional, pues ya estará la información recogida en registros mediante otros formatos (tablas, hojas de cálculo, bases de datos, etc.), y por tanto su posible uso depende de cómo la organización quiera representar la información.

Para terminar, indicamos que tras la evaluación del riesgo, el proceso continúa con la fase de tratamiento de riesgos, y que abordaremos mas adelante.