Esta es una técnica que nos permite identificar riesgos y hacer una evaluación cualitativa de estos. La técnica está basada en un algoritmo compuesto por tres grupos de factores. El primer grupo define el riesgo. El segundo lo evalúa cualitativamente. Y el tercero propone una respuesta. En la figura 29 podemos reconocer estos grupos y factores.
El algoritmo de riesgo es un inecuación. De esta se infiere que el valor de salvaguarda debe ser mayor o igual que el costo de la salvaguarda. El valor de salvaguarda está representado por el producto del costo del daño por el índice de riesgo (primero y segundo grupo de la inecuación). El costo de la salvaguarda es igual al costo de la acción de mitigación (tercer grupo de la inecuación).
En este algoritmo el grupo que define el riesgo se expresa como una función de tres variables: (1) eventos, (2) amenazas y (3) daños. Los eventos son acciones programadas que queremos realizar. Para hacer un análisis altamente enfocado, tomaremos los factores clave para el éxito (FCDE) como los eventos. Las amenazas son el indicio o anuncio de algo que es negativo o contrario a nuestra acción y expectativa. Las amenazas son como la sombra: sobre todo evento siempre gravitan una o más amenazas aún cuando nunca se concreten. Los daños son las consecuencias que se pueden anticipar de la materialización de las amenazas.
El grupo que califica el riesgo lo hace combinando tres factores: (i) impacto, (ii) probabilidad y (iii) incertidumbre.
El impacto y el daño son dos expresiones de una misma consecuencia. El daño la describe, mientras que el impacto la califica. Si el daño nos impide completar el objetivo, el impacto será calificado como muy alto. Si el daño se traduce en demoras y costos considerables para completar el objetivo, el impacto será calificado como alto. Y de este modo se completa la escala de impacto hasta definir la calificación de muy bajo impacto, en donde el daño no afecta ninguno de los planes para el logro de los objetivos.
La probabilidad es la razón que mide el grado en que un daño puede concretarse. Si la materialización de una amenaza y de su consecuencia, el daño, es inminente, entonces calificamos la probabilidad como alta. Mientras que si la materialización es remota, calificamos la probabilidad como baja.
La incertidumbre califica la falta de conocimiento seguro y claro de las acciones propias de un evento. Si no manejamos las áreas clave de conocimiento para la realización de un evento calificaremos la incertidumbre como alta.
Usualmente asignamos valores numéricos a las escalas de calificación que usamos para impacto, probabilidad e incertidumbre. De este modo podemos calcular el producto de estos tres factores para obtener un índice de riesgo.
El grupo que propone la respuesta refleja las acciones de mitigación o contramedidas que corresponden proporcionalmente al impacto, a la probabilidad y a la incertidumbre, que han sido asociados a la amenaza y el daño, que a su vez fueron identificados para un evento. Toda respuesta debe estar compuesta de al menos los siguientes elementos: la contramedida, la persona responsable, la fecha de apresto y la fecha en la que haremos seguimiento (cada vez que hacemos seguimiento, definimos la próxima fecha de seguimiento o fps). Todas estas acciones, responsables y fechas, deben ser recogidas en el plan de seguimiento al riesgo. Debido a que nuestro conocimiento cambia continuamente, este plan deberá ser actualizado periódicamente. Un comité de riesgos deberá velar tanto por la actualización de la matriz de riesgos, como del plan y su seguimiento.
En la figura 30 vemos un ejemplo de formulario simplificado que usamos para aplicar y documentar la técnica de la matriz de riesgos.
No comments:
Post a Comment