La evaluación de riesgos comprende tres componentes básicos:
- identificación y, si es posible, estimación del peligro;
- evaluación de exposición y / o vulnerabilidad; y
- estimación del riesgo, combinando la probabilidad y la severidad.
La identificación se relaciona con el establecimiento de eventos y los resultados subsiguientes, mientras que la estimación se relaciona con la fuerza relativa del resultado. La exposición se relaciona con los aspectos de un sistema abiertos a los actores de amenazas (por ejemplo, personas, dispositivos, bases de datos), mientras que la vulnerabilidad se relaciona con los atributos de estos aspectos que podrían ser atacados (por ejemplo, susceptibilidad al engaño, fallas de hardware, exploits de software) . La estimación del riesgo puede ser cuantitativa (por ejemplo, probabilística) o cualitativa (por ejemplo, basada en escenarios) y captura el impacto esperado de los resultados. El concepto fundamental de la evaluación de riesgos es utilizar procesos analíticos y estructurados para capturar información, percepciones y evidencia que relacionan lo que está en juego, el potencial de eventos deseables e indeseables y una medida de los resultados e impactos probables. Sin esta información, no tenemos ninguna base para comprender nuestra exposición a las amenazas ni diseñar un plan para gestionarlas. Una parte del proceso de evaluación de riesgos que a menudo se pasa por alto es la evaluación de preocupaciones.
El proceso de gestión de riesgos implica la revisión de la información recopilada como parte de las evaluaciones de riesgos (y preocupaciones). Esta información forma la base de las decisiones que conducen a tres resultados para cada riesgo percibido:
- Intolerable: el aspecto del sistema en riesgo debe ser abandonado o reemplazado o, si no es posible, las vulnerabilidades deben reducirse y la exposición limitada.
- Tolerable: los riesgos se han reducido con métodos razonables y apropiados a un nivel tan bajo como razonablemente posible (ALARP) o tan bajo como razonablemente permitido (ALARA). Una gama de opciones puede incluir mitigar, compartir o transferir el riesgo, cuya selección dependerá del apetito de los gestores de riesgos (y en general de la empresa) por asumir riesgos.
- Aceptable: la reducción del riesgo no es necesaria y puede realizarse sin intervención. Además, el riesgo también se puede utilizar para buscar oportunidades (también conocido como «riesgo al alza»), por lo que el resultado puede ser aceptar y asumir el riesgo en lugar de reducirlo.
Decidir cuál seleccionar dependerá de una serie de factores, por ejemplo (como se sugiere en ISO31000: 2018), incertidumbre tangible e intangible, consecuencias de la realización del riesgo (bueno o malo), apetito por el riesgo, capacidad organizacional para manejar el riesgo. etc.
Más allá de este marco de decisión, Renn define cuatro tipos de riesgo que requieren diferentes planes de gestión de riesgos. Éstas incluyen:
- Riesgos de rutina: siguen un proceso de toma de decisiones bastante normal para la gestión. Se proporcionan estadísticas y datos relevantes, se definen los resultados deseables y los límites de aceptabilidad, y se implementan y hacen cumplir las medidas de reducción de riesgos. Renn da ejemplos de accidentes automovilísticos y dispositivos de seguridad.
- Riesgos complejos: cuando los riesgos son menos claros, puede ser necesario incluir un conjunto más amplio de evidencia y considerar un enfoque comparativo como el análisis de costo-beneficio o el costo-efectividad. El disenso científico, como los efectos del tratamiento con medicamentos o el cambio climático, son ejemplos de esto.
- Riesgos inciertos: cuando existe una falta de previsibilidad, factores como la reversibilidad, la persistencia y la ubicuidad se convierten en consideraciones útiles. Debe adoptarse un enfoque de precaución con un enfoque continuo y administrado para el desarrollo del sistema mediante el cual los efectos secundarios negativos se puedan contener y revertir. La resiliencia a resultados inciertos es clave aquí.
- Riesgos ambiguos: cuando las partes interesadas más amplias, como el personal operativo o la sociedad civil, interpretan el riesgo de manera diferente (por ejemplo, existen diferentes puntos de vista o falta de acuerdo sobre los controles de gestión), la gestión de riesgos debe abordar las causas de las diferentes opiniones. Renn utiliza el ejemplo de los alimentos modificados genéticamente en los que las preocupaciones por el bienestar entran en conflicto con las opciones de sostenibilidad. En este caso, la gestión de riesgos debe permitir la toma de decisiones participativa, con medidas discursivas destinadas a reducir la ambigüedad a una serie de opciones manejables que pueden evaluarse y evaluarse más a fondo.
Las opciones de gestión, por lo tanto, incluyen un enfoque de gestión basado en el riesgo (análisis de riesgo-beneficio u opciones comparativas), un enfoque basado en la resiliencia (donde se acepta que el riesgo probablemente permanecerá pero debe ser contenido, por ejemplo, utilizando los principios ALARA / ALARP), o un enfoque basado en el discurso (incluida la comunicación de riesgos y la resolución de conflictos para hacer frente a las ambigüedades). Sin una consideración efectiva de la aceptabilidad del riesgo y un plan de reducción de riesgo apropiado, es probable que la respuesta a los resultados adversos sea desorganizada, ineficaz y probablemente conduzca a una mayor propagación de los resultados indeseables.
La gestión eficaz del riesgo a través de métodos de evaluación estructurados es particularmente importante porque, aunque nuestra definición de trabajo del riesgo se basa en las consecuencias de interés para las personas, nosotros (como sociedad) no somos muy buenos para evaluar este riesgo. El artículo de Slovic sobre la percepción del riesgo destaca que las percepciones relacionadas con el riesgo temible (por ejemplo, accidentes nucleares) son clasificadas como de mayor riesgo por los profanos, pero mucho más bajas por los expertos en el dominio que comprenden la evidencia relacionada con las limitaciones de seguridad y los controles para tales sistemas. La clasificación de riesgo de los expertos tiende a seguir los resultados indeseables esperados o registrados, como las muertes, mientras que los laicos están más influenciados por su juicio intuitivo (un accidente nuclear podría afectar a toda mi familia). Por tanto, existe un desajuste entre el riesgo percibido y el real. Como personas, tendemos a exagerar los riesgos raros relacionados con el miedo (por ejemplo, incidentes nucleares y ataques terroristas), pero minimizamos los comunes (por ejemplo, delitos callejeros y accidentes en el hogar), aunque estos últimos matan a muchas más personas.
Esta es también la razón por la que la evaluación de preocupaciones es importante en el proceso de gestión de riesgos junto con la evaluación de riesgos. El libro de Schneier Beyond Fear señala que tenemos una sensación natural de seguridad en nuestro propio entorno y una mayor sensación de riesgo fuera de este. Por ejemplo, nos sentimos seguros caminando por una calle al lado de nuestra casa pero nerviosos al llegar a una nueva ciudad. Como sociedad, rara vez estudiamos estadísticas al tomar decisiones; se basan en las percepciones de exposición a amenazas, nuestro control percibido sobre las amenazas y su posible impacto. La evaluación de riesgos nos ayuda a captar aspectos cuantitativos y cualitativos del mundo que nos permiten hacer una estimación realista de la certeza que podemos tener de que los eventos adversos se producirán y cómo afectarán a lo que más valoramos. Esto se aplica a nosotros personalmente como individuos y como grupos de personas con un objetivo común: salvar el planeta, administrar un negocio o educar a los niños. Necesitamos capturar nuestros objetivos, comprender qué podría conducir al fracaso en alcanzarlos y poner en marcha procesos para alinear medidas realistas para reducir los daños infligidos a nuestros objetivos.
Cuando se hace bien, la evaluación y gestión de riesgos permite a los tomadores de decisiones, que son responsables, garantizar que el sistema funcione para lograr las metas deseadas definidas por sus partes interesadas. También puede garantizar que el sistema no sea manipulado (intencionalmente o de otro modo) para producir resultados no deseados, así como tener procesos implementados que minimicen el impacto en caso de que se produzcan resultados no deseados. La evaluación y gestión de riesgos también consiste en presentar información de una manera transparente, comprensible y de fácil interpretación a diferentes audiencias, de modo que las partes interesadas responsables sean conscientes de los riesgos, cómo se están gestionando, quién es responsable de gestionarlos y están de acuerdo sobre cuál es el límite aceptable de exposición al riesgo. Esto es absolutamente crucial para gestionar con éxito el riesgo porque, si los riesgos no se presentan claramente a los tomadores de decisiones (ya sean técnicos, sociales, económicos o de otro tipo), se pasará por alto el impacto de no gestionarlos y el sistema seguirá expuesto. Del mismo modo, si el propósito de la gestión de riesgos no se aclara a las personas a nivel operativo, junto con sus propias responsabilidades y rendición de cuentas por los impactos del riesgo, no aceptarán el plan de gestión de riesgos y el sistema permanecerá expuesto. En términos más generales, si no se escuchan las preocupaciones más amplias de las partes interesadas (por ejemplo, la sociedad civil) o si hay falta de confianza en el plan de gestión de riesgos, podría haber un rechazo generalizado del sistema planificado que se propone.
Tan importante como es transmitir los riesgos claramente a las partes interesadas, es igualmente importante enfatizar que los riesgos no siempre se pueden eliminar. Es probable que exista algún riesgo residual para las cosas que valoramos, por lo que se deben mantener discusiones entre los tomadores de decisiones y aquellos que están involucrados en las operaciones de un sistema. En última instancia, los responsables de la toma de decisiones, que deberán rendir cuentas por no gestionar el riesgo, determinarán el nivel de tolerancia al riesgo, ya sea que se acepte, evite, mitigue, comparta o transfiera el riesgo. Sin embargo, es posible que las partes interesadas más amplias, como las que participan en las operaciones del sistema, tengan opiniones diferentes sobre cómo gestionar el riesgo, dado que es probable que tengan valores diferentes que están tratando de proteger. Para algunos, ahorrar dinero será clave. Para otros, la reputación es el foco principal. Para las personas que trabajan dentro del sistema, puede ser la velocidad del proceso o la facilidad para realizar las tareas diarias. El propósito de la evaluación y gestión de riesgos es comunicar estos valores y garantizar que se tomen decisiones para minimizar los riesgos a un conjunto de valores acordados, gestionándolos de forma adecuada, mientras maximizar la «aceptación» del proceso de gestión de riesgos. En el contexto más amplio de riesgos para la salud y la seguridad, este concepto se relaciona con la noción de ALARP (tan bajo como sea razonablemente posible), pudiendo demostrar que se han realizado esfuerzos y cálculos significativos para calcular el equilibrio entre la aceptación y la mitigación del riesgo. , a favor de la seguridad y la protección. Nuevamente, es importante destacar aquí que la evaluación de inquietudes es una parte importante de la evaluación de riesgos para garantizar que la política de evaluación de riesgos (el enfoque acordado para la evaluación de riesgos) sea informada por los responsables y afectados por el riesgo, y aquellos que deben actuar de una manera que respete el plan de gestión del día a día. Fundamentalmente, debe reconocerse que el impacto de eventos individuales a menudo puede extenderse más allá de los daños directos y extenderse mucho más a las cadenas de suministro. Como dice Slovic, los resultados de un evento actúan como ondas de una piedra que cae en un estanque, primero directamente dentro de la empresa o sistema en el que ocurrió, y luego en subsistemas y empresas y componentes interdependientes.
Uno de los principales impulsores de la evaluación y gestión de riesgos es demostrar el cumplimiento. Esto puede ser el resultado de la necesidad de contar con la aprobación de cumplimiento auditada de organismos de estándares internacionales es con el fin de obtener contratos comerciales; para cumplir con las exigencias legales o reglamentarias (por ejemplo, en Europa, la directiva sobre redes y sistemas de información (NIS) exige que los operadores de servicios esenciales (como la infraestructura nacional crítica) sigan un conjunto de 14 principios orientados a objetivos); o para mejorar la comerciabilidad de una empresa a través de mejoras percibidas en la confianza pública si se obtiene la certificación. A veces, esto puede llevar a una evaluación de riesgos de «casillas de verificación» en la que el resultado se centra menos en la gestión del riesgo y más en lograr el cumplimiento. Esto puede resultar en una falsa sensación de seguridad y dejar a la organización expuesta a riesgos. Esto nos devuelve a la definición práctica de riesgo de Renn. Estos ejemplos se centran en la gestión del riesgo de incumplimiento de varias posiciones políticas y, como resultado, pueden descuidar el enfoque más amplio sobre el impacto en los valores que tienen las partes interesadas organizativas, sociales o económicas más amplias. El contexto y el alcance de la gestión de riesgos deben tener esta visión más amplia de los resultados para que sea un ejercicio útil y valioso que mejore la preparación y la resistencia a los resultados adversos.
Con base en estos factores, la evaluación y gestión de riesgos es ciertamente un proceso, no un producto. Es algo que, cuando se hace bien, tiene el potencial de mejorar significativamente la resiliencia de un sistema. Cuando se hace mal (o no se hace en absoluto), puede generar confusión, daño a la reputación y un impacto grave en la funcionalidad del sistema. Es un proceso que a veces se percibe como poco importante antes de que uno lo necesite, pero crítico para la continuidad del negocio en tiempos de crisis. A lo largo del proceso de evaluación del riesgo, debemos ser conscientes de que la percepción del riesgo varía significativamente en función de una variedad de factores y que, a pesar de la evidencia objetiva, no cambiará. Para usar un ejemplo de proporcionar evidencia de que el riesgo anual de vivir cerca de una planta de energía nuclear es equivalente al riesgo de viajar 3 millas adicionales en un automóvil, no necesariamente reduce la percepción de riesgo dado las diferencias en torno a la percepción general de los diferentes escenarios. Intuitivamente, la comunicación y el respeto por las medidas cualitativas y cuantitativas de la evaluación de riesgos son fundamentales para su práctica. Ambas medidas muestran ambigüedad (por ejemplo) y, a menudo, carecemos de datos de calidad sobre el riesgo, por lo que la evidencia solo llega hasta cierto punto. Siempre será necesario un juicio humano subjetivo para determinar la relevancia y los planes de gestión, lo que en sí mismo tiene sus propias limitaciones, como la falta de conocimiento experto y el sesgo cognitivo.