POR: INDRA MENDOZA, AUDITOR GLOBALSTD.
.
Día con día todas las organizaciones no importan si son pequeñas o grandes, se enfrentan a factores externos e internos que le quitan certeza a la posibilidad de alcanzar sus objetivos. Este efecto de falta de certeza es el riesgo, y es inherente a todas las actividades (Kevin W. Knight, 2009).
.
Es por ello, que se ha vuelto una necesidad constante de establecer estrategias para protegerse, gestionando riesgos y tomando decisiones. Estos factores pueden ser de cualquier tipo y representar riesgos tanto de procesos, fraudes internos y/o externos; financieros y/o económicos; tecnológicos y/o informáticos; humanos; prácticas comerciales; desastres naturales; en materias primas; calidad del producto y/o servicio, de trabajo o laborales; ambientales; sociales, logísticos; documentales; físicos y psicológicos; alimenticios; inseguridad y sabotaje; entre muchos otros.
.
Un marco de referencia para la gestión de estos riesgos es la norma ISO 31000:2018. Gestión del riesgo — Directrices, así como también la norma ISO/IEC 31010:2019 Gestión de riesgo – Técnicas de evaluación de riesgos. Estas normas recomiendan que las organizaciones desarrollen, implementen y mejoren continuamente un marco de trabajo o estructura de soporte, cuyo objetivo es integrar el proceso de gestión de riesgos la organización, la planificación y estrategia, los procesos, las políticas, los valores y cultura.
.
El proceso de la gestión del riesgo consiste en:
.
.
Identificación: Es el proceso con el que se descubren, reconocen y registran los riesgos. Se deberían identificar los riesgos, tanto si sus fuentes están o no bajo su control.
.
Análisis: Es comprender la naturaleza del riesgo y sus características. Implica una consideración detallada de incertidumbres, fuentes de riesgo, consecuencias, probabilidades, eventos, escenarios, controles y su eficacia. Consiste en determinar las consecuencias y sus probabilidades, estas se combinan después para determinar un nivel de riesgo. Los métodos que se utilizan en el análisis de riesgos pueden ser cualitativos, semicuantitativos, o cuantitativos.
.
.
.
Evaluación: El propósito de la valoración del riesgo es apoyar a la toma de decisiones.
.
Tratamiento del riesgo: El propósito del tratamiento del riesgo es seleccionar e implementar opciones para abordar el riesgo.
.
Seleccionar opciones del tratamiento del riesgo: proceso destinado a modificar el riesgo. Que puede implicar: evitar el riesgo, decidiendo no iniciar o continuar con la actividad que motiva el riesgo; aceptar o aumentar el riesgo con objeto de buscar una oportunidad; eliminar la fuente de riesgo; cambiar la probabilidad o frecuencia de ocurrencia (diminuir); compartir en riesgo con otras u otras partes interesadas (incluyendo contratos o financiación del riesgo); y mantener el riesgo con base a una decisión informada.
.
Preparación e implementación de los planes. La información proporcionada en el plan del tratamiento debería incluir: el tratamiento del riesgo, incluyendo los beneficios esperados; las personas responsables; las acciones propuestas; los recursos necesarios, incluyendo las contingencias; las medidas del desempeño; las restricciones; los informes y seguimiento requeridos; los plazos previstos para la realización y la finalización de las acciones.
.
Seguimiento y revisión. Se deberían identificar específicamente los factores para que sean objeto de seguimiento y revisión, de manera que la apreciación del riesgo se pueda actualizar cuando sea necesario.
.
El análisis del riesgo se puede realizar con diferentes grados de profundidad y de detalle, y utilizando uno o varios métodos que varían desde simples a complejos. Esto dependerá de los objetivos del estudio, el tipo y la gama de riesgos que se analizan; la posible magnitud de las consecuencias; el grado de conocimientos técnicos, y de recursos humanos y de otros tipos que se necesitan; la disponibilidad de información y de datos; la necesidad de modificación/actualización de la apreciación del riesgo; todos los requisitos contractuales y reglamentarios; y si el método puede proporcionar un resultado cuantitativo.
.
A continuación, se enlistan las técnicas de análisis de riesgos:
.
Fuente: ISO/ IEC 31010:2019 Gestión de riesgo – Técnicas de evaluación de riesgos.
.
Se describen los más utilizados:
1. TORMENTA DE IDEAS.
La tormenta de ideas se puede utilizar conjuntamente con otros métodos de análisis del riesgo o como una técnica independiente para estimular pensamientos imaginativos en cualquier etapa del proceso de gestión del riesgo y en cualquier etapa del ciclo de vida de un sistema. Puede ser formal o informal. En la formal los participantes deben estar preparados con antelación, y la sesión tiene una finalidad y unos resultados definidos con un medio de evaluar ideas avanzadas. La tormenta de ideas informal es menos estructurada y con frecuencia está más destinada a un caso específico.
2. ENTREVISTAS ESTRUCTURADAS O SEMIESTRUCTURADAS.
Las entrevistas estructuradas y semiestructuradas son útiles cuando es difícil reunir a las personas para una sesión de tormenta de ideas o cuando un debate fluido en grupo no es apropiado para la situación o para las personas implicadas.
Estas entrevistas se utilizan frecuentemente para identificar riesgos o para apreciar la eficacia de los controles existentes como parte del análisis del riesgo. Se pueden realizar en cualquier etapa de un proyecto o proceso. Constituyen un medio de proporcionar una entrada para la apreciación del riesgo a las partes interesadas.
3. TÉCNICA DELPHI.
La técnica Delphi es un procedimiento para obtener un consenso fiable de la opinión de un grupo de expertos. Aunque el término se utiliza ahora ampliamente para significar alguna forma de tormenta de ideas, una característica esencial de la técnica Delphi, es que los expertos expresen sus opiniones de forma individual y anónima, mientras que el acceso a las opiniones de los otros expertos lo tengan a medida que el proceso avanzaba.
Se puede aplicar en cualquier etapa del proceso de gestión del riesgo o en cualquier fase del ciclo de vida de un sistema, dondequiera se necesite el consenso de las opiniones de los expertos. Mediante un cuestionario semiestructurado se realizan preguntas. Los expertos no se reúnen con objeto de que sus opiniones sean independientes.
4. LISTAS DE VERIFICACIÓN.
Las listas de verificación se pueden utilizar para identificar peligros y riesgos o para valorar la eficacia de los controles. También se pueden utilizar como parte de otras técnicas de apreciación del riesgo, pero son más útiles cuando se aplican para comprobar que se ha cubierto todo el sistema después de que se haya aplicado una técnica más imaginativa que identifique problemas nuevos.
5. ANÁLISIS PRELIMINAR DE PELIGROS (PHA)
Es el análisis que más se utiliza normalmente al comienzo del desarrollo de un proyecto, cuando se dispone de poca información. También puede ser útil cuando se analizan sistemas existentes, a fin de priorizar peligros y riesgos para análisis posteriores o cuando las circunstancias impiden aplicar una técnica más extensiva que la que se está utilizando.
Se formula una lista de peligros y situaciones peligrosas genéricas y de riesgos, teniendo en consideración características tales como: los materiales utilizados o producidos y la reactividad de estos; los equipos utilizados; el entorno ambiental de funcionamiento; la disposición de conjunto; las interfaces entre componentes del sistema, etc. Con objeto de identificar riesgos para la posterior apreciación de estos, se puede realizar un análisis cualitativo de las consecuencias de un suceso no deseado y de sus probabilidades de que ocurra.
El PHA se debería actualizar con objeto de detectar cualquier nuevo peligro. Los resultados obtenidos se pueden presentar en diferentes formas, tales como tablas y diagramas en árbol.
6. HAZOP (ANÁLISIS DE RIESGOS Y DE OPERATIVIDAD).
HAZOP es el acrónimo del análisis de riesgos (HAZard) y de operatividad (OPerability), que consiste en un examen estructurado y sistemático de un producto, proceso, procedimiento o sistema existente o planificado. Para identificar riesgos para las personas, los equipos, el entorno y/o los objetivos de la organización. Normalmente lo realiza un grupo de trabajo multidisciplinar durante una serie de reuniones. El HAZOP es similar al AMEF (análisis del modo de fallo y del efecto) en cuanto a que identifica los modos de fallo. Difiere en cuanto a que el grupo de trabajo tiene en consideración los resultados no deseados y las desviaciones con respecto a los resultados previstos, y las condiciones y los trabajos se repiten para localizar las causas posibles y los modos de fallo, mientras que el FMEA comienza identificando los modos de fallo.
***Normas de consulta: IEC 61882, Estudios de peligros y de operatividad (estudios HAZOP). Guía de aplicación.
7. ANÁLISIS DE PELIGROS Y PUNTOS CRÍTICOS DE CONTROL (HACCP).
El HACCP proporciona una estructura para la identificación de los riesgos y para establecer controles en todas las partes importantes de un proceso, a fin de protegerlo contra los riesgos y de mantener la fiabilidad y la seguridad de la calidad de un producto.
Tiene por objeto asegurar que los riesgos se minimizan mediante controles a lo largo de todo el proceso, mejor que con una inspección del producto final. Se inicia a partir de un diagrama de proceso y de la información sobre los peligros que podrían afectar a la calidad, seguridad o fiabilidad de los resultados del producto o proceso.
El análisis HACCP está constituido siete principios: identificar los peligros y las medidas preventivas; determinar los puntos del proceso donde los peligros se pueden controlar o eliminar; Determinar los puntos críticos de control (PCC); establecer un límite o límites críticos; sistema de vigilancia del control de los PCC; medidas correctivas que han de adoptarse cuando la vigilancia indica que un determinado PCC no está controlado; procedimientos de comprobación para confirmar que el Sistema funciona eficazmente; y sistema de documentación.
***Normas de consulta: ISO 22000, Sistemas de gestión de la inocuidad de los alimentos. Requisitos para cualquier organización en la cadena alimentaria/ NOM-251-SSA1-2009, Prácticas de higiene para el proceso de alimentos, bebidas o suplementos alimenticios.
8. APRECIACIÓN DE LA TOXICIDAD.
Este proceso se utiliza para apreciar los riesgos en plantas, animales y personas, como consecuencia de la exposición a peligros tales como los originados por productos químicos, microorganismos u otras especies. Este método requiere datos fiables sobre la naturaleza y las características de los peligros, la susceptibilidad del modelo de población (o de poblaciones), y la forma en que las dos reaccionan entre sí. Estos datos se basan normalmente en investigaciones que se realizan en laboratorio o se obtienen de estadísticas epidemiológicas.
El procedimiento es el siguiente: formulación del problema; identificación del peligro; análisis del peligro, esto implica la comprensión de la naturaleza del peligro y de cómo reacciona con el modelo de población; análisis de la exposición, se determina la manera y la cantidad en que una sustancia peligrosa o sus residuos podrían alcanzar a un modelo de población sensible; caracterización del riesgo, las informaciones obtenidas del análisis de los peligros y del análisis de la exposición se agrupan para estimar las probabilidades de que se produzcan consecuencias particulares.
9. TÉCNICA ESTRUCTURADA «y si…» (SWIFT).
La técnica SWIFT se desarrolló inicialmente como una alternativa más sencilla al estudio de riesgos y de operatividad (HAZOP). Esta técnica consiste en un estudio sistemático basado en el grupo de trabajo, donde se utiliza un conjunto de palabras o frases de «efecto inmediato» que utiliza el coordinador dentro de una reunión de trabajo para estimular a los participantes a que identifiquen riesgos.
El coordinador y el grupo de trabajo utilizan frases normalizadas del tipo «¿y si….?» combinadas con las indicaciones, para investigar cómo un sistema, un elemento de planta, una organización o un procedimiento resultará afectado por las desviaciones con respecto a las operaciones y al comportamiento normales.
La técnica SWIFT se aplica normalmente a más de un nivel de sistemas con un nivel de detalle más bajo que en el estudio HAZOP. Se utiliza para examinar las consecuencias de los cambios y de los riesgos alterados o creados.
10. ANÁLISIS DE ESCENARIOS.
El análisis de escenario es el nombre dado al desarrollo de modelos descriptivos de lo que podría ocurrir en el futuro. La estructura del análisis de escenario puede ser informal o formal. Una vez establecido el grupo de trabajo y los correspondientes canales de comunicación, así como definido el contexto del problema y los asuntos a considerar, el paso siguiente consiste en identificar la naturaleza de los cambios que podrían ocurrir: cambios externos; las decisiones que será necesario tomar en un futuro próximo, pero que pueden tener una variedad de resultados; las necesidades de las partes interesadas y la forma en que estas necesidades podrían cambiar; los cambios macro-ambientales (reglamentos, demográficos, etc.). Algunos serán inevitables y algunos serán inciertos.
Los factores o tendencias locales y macro se pueden ahora listar y jerarquizar por importancia (1) y por incertidumbre (2). Se presta especial atención a los factores que son más importantes e inciertos. Los factores o tendencias clave se delimitan unos con otros sobre un plano para mostrar las zonas donde se pueden desarrollar los escenarios. Se propone una serie de escenarios con cada uno enfocado a un cambio verosímil de parámetros.
11. ANÁLISIS DE LA CAUSA RAÍZ (RCA).
El análisis de una pérdida principal para impedir que vuelva a ocurrir se menciona como Análisis de la Causa Primordial (RCA), Análisis de fallo de la causa raíz (RCFA) o análisis de pérdida. Este análisis intenta identificar las causas raíz u originales en vez de tratar únicamente los síntomas inmediatamente obvios. Se reconoce que la acción correctora no siempre puede ser totalmente eficaz y que puede ser necesaria una mejora continua.
El análisis RCA se aplica en varios contextos con las siguientes amplias áreas de utilización: el RCA basado en la seguridad se utiliza en las investigaciones de accidentes y en las áreas de salud y seguridad ocupacional; el análisis de fallo se utiliza en sistemas tecnológicos relacionados con la fiabilidad y el mantenimiento; el RCA basado en la producción se aplica en el campo del control de la calidad dentro de la fabricación industrial; el RCA basado en el proceso está enfocado a procesos del negocio; el RCA basado en el sistema se ha desarrollado como una combinación de las áreas anteriores para tratar sistemas complejos con aplicación en la gestión de cambios, la gestión del riesgo y el análisis de sistemas.
12. ANÁLISIS DE LOS MODOS DE FALLO Y DE LOS EFECTOS (AMEF) Y ANÁLISIS DE LOS MODOS DE FALLOS Y DE LOS EFECTOS Y DE LA CRITICIDAD (AMFEC).
Existen varias aplicaciones del análisis AMEF: de diseño (o de producto) que se utiliza para componentes y productos, de sistema que se utiliza para sistemas, de proceso que se utiliza para la fabricación y de montaje, de servicios y de software. No obstante, para mejorar la confiabilidad, normalmente los cambios son más fáciles de implantar en la etapa de diseño.
El análisis AMEF y AMFEC se puede utilizar para: ayudar en la selección de alternativas de diseño con una alta confiabilidad; asegurar que se han considerado todos los modos de fallo de sistemas y procesos, y sus efectos sobre el éxito operacional; identificar los modos de errores humanos y sus efectos; disponer de una base para planificar los ensayos y el mantenimiento de sistemas físicos; mejorar el diseño de los procedimientos y procesos; proporcionar información cualitativa o cuantitativa de técnicas de análisis tales como el análisis de árbol de fallos. Pueden proporcionar entradas para otras técnicas de análisis tales como el análisis de árbol de fallos a nivel cualitativo o cuantitativo.
**Normas para consulta: IEC 60812, Técnicas de análisis de la fiabilidad de sistemas. Procedimiento de análisis de los modos de fallo y de sus efectos (AMFE).
13. ANÁLISIS DEL ÁRBOL DE FALLOS (FTA).
Un árbol de fallos se puede utilizar cualitativamente para identificar las causas potenciales y los caminos por los que se produce un fallo (el suceso superior), o cuantitativamente para calcular la probabilidad del suceso superior, proporcionando conocimiento de las probabilidades de los sucesos causales. Se puede utilizar en la etapa de diseño de un sistema para identificar las causas potenciales del fallo y, por tanto, para seleccionar entre opciones de diseño diferentes. Se puede utilizar en la fase de funcionamiento para identificar cómo se pueden producir los fallos principales, y la importancia relativa de los diferentes caminos que llevan al suceso superior.
Un árbol de fallos también se puede utilizar para analizar un fallo que ha ocurrido, con objeto de representar mediante un diagrama la forma en que sucesos diferentes se unieron para causar el fallo.
**Normas para consulta: IEC 61025, Análisis por árbol de fallos (AAF).
14. ANÁLISIS DE CAPAS DE PROTECCIÓN (LOPA).
El LOPA es un método semicuantitativo para estimar los riesgos asociados con un suceso o escenario no deseado. Sirve para analizar si existen suficientes medidas para controlar o mitigar el riesgo. El LOPA lo realiza un grupo de expertos donde se identifican las causas iniciadoras de una consecuencia no deseada y se buscan datos sobre sus frecuencias y consecuencias; se selecciona un par de causa-consecuencia; se identifican y analizan en cuanto a su eficacia las capas de protección que impiden la causa que da lugar a la consecuencia no deseada; se identifican las capas de protección independientes (IPLs) (no todas las capas de protección son IPLs); se estima la probabilidad de fallo de cada IPL; se combina la frecuencia de la causa iniciadora con las probabilidades de fallo de cada IPL, y las probabilidades de todos los modificadores condicionales para determinar la frecuencia de ocurrencia de la consecuencia no deseada. Para las frecuencias y las probabilidades se utilizan órdenes de magnitud; se compara el nivel de riesgo calculado con los niveles de tolerancia del riesgo para determinar si se requiere protección adicional.
**Normas para consulta: IEC 61508 (todas las partes), Seguridad funcional de los sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad/ IEC 61511, Seguridad funcional. Sistemas instrumentados de seguridad para el sector de la industria de procesos.
15. ANÁLISIS DEL ÁRBOL DE DECISIONES.
Un árbol de decisiones se utiliza para gestionar los riesgos del proyecto y en otras circunstancias para ayudar a seleccionar la mejor línea de conducta cuando existe incertidumbre. La presentación gráfica también puede ayudar a comunicar razones para tomar las decisiones. Un árbol de decisiones comienza con una decisión inicial, por ejemplo, proceder con el proyecto A en vez de con el proyecto B. Como los dos proyectos anteriores son hipotéticos, se producirán sucesos diferentes y será necesario tomar diferentes decisiones previsibles. Estas se presentan en formato de árbol, similar al árbol de sucesos.
16. ANÁLISIS DE PAJARITA.
El análisis de pajarita se utiliza para presentar un riesgo mostrando una gama de causas y consecuencias posibles. Se utiliza cuando la situación no justifica la complejidad de un análisis de árbol de fallos completo o cuando se trata más de asegurar que existe una barrera o control para cada camino de fallo. Este análisis es útil cuando existen caminos independientes y claros que tratan el fallo.
17. ÍNDICES DE RIESGO.
Los índices se pueden utilizar para clasificar riesgos diferentes asociados a una actividad cuando el sistema se entiende bien. Los índices de riesgo permiten la integración de una gama de factores que tienen un impacto sobre el nivel de riesgo en una única puntuación numérica del nivel de riesgo. Se utilizan para muchos tipos diferentes de riesgo, normalmente como un medio de definir el alcance de la clasificación del riesgo de acuerdo con el nivel de riesgo. Esto se puede utilizar para determinar los riesgos que necesitan una apreciación adicional en profundidad y posiblemente de tipo cuantitativa.
18. MATRIZ DE CONSECUENCIA/PROBABILIDAD.
La matriz de consecuencia/probabilidad se utiliza para jerarquizar riesgos, orígenes de riesgo y tratamientos del riesgo sobre la base del nivel de riesgo. Normalmente, se utiliza como una herramienta de filtrado cuando se han identificado muchos riesgos, por ejemplo, para definir cuáles son los riesgos que necesitan análisis adicionales o más detallados. Una forma de la matriz de consecuencia/probabilidad se utiliza en AMEF o para ajustar las prioridades después del HAZOP (estudios de peligros y de operatividad). También se puede utilizar en aquellas situaciones en que los datos sean insuficientes para un análisis detallado o la situación no garantice el tiempo y el esfuerzo para un análisis mas cuantitativo.
BIBLIOGRAFIA: