GESTIÓN DE AMENAZAS Y RIESGOS

UNIDAD III
Técnicas de gestión de riesgos, aplicadas a la seguridad privada

1
www.iplacex.cl
SEMANA 6

Introducción
El nivel de madurez de una organización determina, en gran medida, las
técnicas de apreciación del riesgo que ésta utilizará. Es por eso que entre las
numerosas técnicas que propone ISO 31010, debemos utilizar la que se adecue con
nuestros propósitos y posibilidades, cada una con sus ventajas o inconvenientes.

Para una organización sin experiencia previa en la apreciación de sus riesgos,

puede ser conveniente utilizar una técnica que nos proporcione un primer nivel de
aproximación de nuestros riesgos, la cual nos permita gestionar los mismos.
Ejemplos de esta filosofía pueden ser las técnicas como “Tormenta de ideas
(Brainstorming)” o Entrevistas con los responsables de las distintas áreas, fáciles y
rápidas de implementar pero que necesitan que los participantes cuenten con una
dilatada experiencia en el área para una consecución satisfactoria, apoyándose
primordialmente en el factor humano.

Por el contrario, en una compañía que cuente con un notable nivel de madurez
puede ser conveniente realizar la apreciación de una forma mucho más minuciosa,
eliminando de manera sensible la incertidumbre y utilizando métodos estadísticos
como los analizados en la Unidad II.

No obstante, en una organización de tamaño considerable, podría ser

imprudente realizar una gestión de riesgos de manera manual, pues la complejidad de
las tareas seguramente lo impediría. Además en el caso en que una empresa utilice
distintas metodologías (por los diferentes propósitos de los distintos departamentos)
dificultaría en gran medida el análisis de riesgos, el plan o planes de tratamiento
pertinentes y la obtención de los distintos indicadores para la mejora continua que
propone la norma.

Es por ello que la norma ISO 31010, no entrega respuesta a muchas de estas
interrogantes, al entregarnos pautas o modelos bajo los cuales podemos analizar y
gestionar adecuadamente los riesgos. Durante esta semana analizaremos dos de las
técnicas más utilizadas y que sin duda nos entregan herramientas suficientes para la
gestión de las amenazas y riesgos.

“Acepta los riesgos, toda la vida no es sino una oportunidad.

El hombre que llega más lejos es, generalmente, el que quiere y se
atreve a serlo”
Dale Carnegie

2
www.iplacex.cl
 Desarrollo
1. Matriz de consecuencia/probabilidad

La matriz de consecuencia/probabilidad es un medio que permite combinar

clasificaciones cualitativas o semicuantitativas de consecuencia y probabilidad, para
producir un nivel de riesgo o una clasificación del riesgo.

El formato de la matriz y de las definiciones que se apliquen depende del

contexto en que se utilizan, y es importante que se manejen en un diseño apropiado
a las circunstancias.

1.1 Usos:

La matriz de consecuencia/probabilidad se usa para categorizar los

riesgos, sus orígenes y los tratamientos sobre la base del nivel de riesgo
asociado. Normalmente, se utiliza como una herramienta de filtrado cuando se
han identificado muchos riesgos, por ejemplo, para definir cuáles son los riesgos
que necesitan ser analizados en profundidad y categorizarlos para identificar los
que deben ser tratados primeros, o cuáles deben ser tratados a un nivel de
gestión más elevado.

La matriz de consecuencia/probabilidad también puede ser utilizada para

ayudar a la organización partícipe en la comprensión común de los niveles
cualitativos de riesgos, incluyendo la forma en que se establecen los niveles del
riesgo y cómo se asignan reglas de decisión a quienes se deberían alienar con el
deseo de riesgo de la organización.

Esta matriz se utiliza en el análisis de criticidad del AMFEC (análisis del

modo de fallo, del efecto y la criticidad) o FMEAC (por sus siglas en inglés) o para
poder ajustar las propiedades después del HAZOP. También se puede usar en
3
www.iplacex.cl
 situaciones en que los datos sean insuficientes para un análisis más completo, o
la situación no garantice el tiempo y el esfuerzo para un análisis cuantitativo más
profundo.

1.2 Elementos de entrada:

Los elementos de entrada al proceso son escalas personalizadas de la

consecuencia y de la probabilidad, y una matriz que combina las dos.

Las escalas de consecuencia deberían cubrir los diferentes tipos de

consecuencia, considerando, por ejemplo, las pérdidas financieras, parámetros de
seguridad, aspectos ambientales asociados a los procesos, entre otros, dependiendo
del contexto. Se debe extender desde la consecuencia máxima verosímil hasta la que
representa la de menor riesgo o interés. La escala puede tener cualquier número de
puntos, pero las escalas más comunes son de 3, 4 o 5 puntos.

Respecto de las definiciones de las probabilidades, estas se deben seleccionar

de manera que sean lo menos ambiguas posible. Si se utilizan guías numéricas para
definir probabilidades diferentes, se deben indicar las unidades. La escala de
probabilidad debe estar adaptada a las distintas posibilidades de aplicabilidad del
estudio que se tiene entre manos, recordando que la probabilidad más baja debe ser
aceptable para la consecuencia más alta definida. En caso contrario, todas las
actividades con la consecuencia más alta se definen como intolerables. Una matriz se
dibuja con la consecuencia representada sobre un eje de coordenadas y la
probabilidad sobre el otro eje.

Los niveles de riesgos asignados a las celdas dependerán de las definiciones

de las escalas de probabilidad/consecuencia. La matriz se puede establecer de
manera que realce el peso de las consecuencias o el de la probabilidad, o puede ser
simétrica dependiendo de la aplicación. Los niveles de riesgo pueden estar enlazados
a reglas de toma de decisiones, tales como el nivel de atención de la gestión o de la
escala de tiempo para la que se necesita la respuesta.

4
www.iplacex.cl
 Ejemplo parcial de una matriz de criterios de probabilidad
Fuente: ISO 31010:2009 Anexo B (p.54)

Las escalas de clasificación y la matriz se pueden establecer con las escalas

cuantitativas. Por ejemplo, en un contexto de fiabilidad, la escala de probabilidad
podría representar los regímenes de fallos indicativos, y la escala de consecuencia los
costes del fallo en dólares.

Para la utilización de las herramientas se necesitan personas que tengan los

conocimientos técnicos correspondientes, y que dispongan de datos para poder
enjuiciar la consecuencia y la probabilidad.

1.3 Proceso:

Para lograr la clasificación jerárquica del riesgo, en primer lugar, se debe

localizar el descriptor de la consecuencia que mejor se adapta a la situación, y
después definir la probabilidad con la que ocurrirá esta consecuencia. A continuación
de la matriz se deduce el nivel de riesgo.

Muchos sucesos de riesgo pueden tener una gama de consecuencias con

diferentes probabilidades asociadas. Usualmente, los problemas menores son más
comunes, o las más serias, incluida alguna otra combinación de sucesos, pero en
muchos casos, es adecuado enfocar las consecuencias verosímiles más serias ya que
estas plantean las mayores amenazas y con frecuencia son las de mayor importancia.
En otros, puede ser apropiado jerarquizar como riesgos independientes los problemas
comunes y las catástrofes improbables. Es importante que se utilice la probabilidad
aplicable a la consecuencia seleccionada y no la probabilidad del suceso como un
todo.

El nivel de riesgo definido por la matriz puede estar asociado a una regla de
toma de decisiones, tal como la de tratar o de no tratar el riesgo.

5
www.iplacex.cl
 1.4 Resultados:

La Matriz de riesgo entrega como resultado a la organización, los

siguientes aspectos:

•Identificación de áreas que requieren mayor atención y áreas críticas de riesgo.

1

•Uso eficiente de recursos aplicados a la supervisión, basado en los perfiles de riesgo

2 emitidos.

•Permite la intervención inmediata y acción oportuna..

3

•Permite una evaluación metódica de los riesgos.

4

•Promueve una sólida gestión de los riesgos basado en maleabilidad de la herramienta para
5 trabajar en forma simbiótica con otras herramientas de gestión de riesgo.

•Promueve el monitoreo continuo de los riesgos.

6

Fuente: Resultados esperados para el análisis de árbol de sucesos, basado en ISO 31010:2009

6
www.iplacex.cl
 1.5 Fortalezas y Debilidades:

Como la gran mayoría de las herramientas, la Matriz de riesgos no está exenta

de poseer fortalezas y limitaciones. Dentro de la siguiente gráfica se identifican las más
importantes asociadas a esta herramienta:

Fortalezas

* Es relativamente fácil de usar.

* Proporciona una clasificación jerarquizada y rápida del riesgo, con diferentes
niveles de importancia.

Limitaciones
* La matriz se debería diseñar de manera que sea apropiada a las circunstancias,
por lo que en una organización puede ser difícil disponer de un sistema común
que se aplique a una gama de circunstancias importantes.

* Es difícil definir escalas que no sean ambiguas. Su utilización es muy subjetiva, y

por tanto pueden existir variaciones significativas entre los clasificadores.

* Los riesgos no se pueden sumar (es decir, no se puede definir que un número
particular de riesgos bajos repetido n veces sea equivalente a un riesgo medio).

* Es difícil combinar o comparar el nivel de riesgo para categorías de diferentes

consecuencias.

Fuente: Elementos esperados en los resultados de la matriz de riesgos, basado en ISO 31010:2009

Los resultados dependerán del nivel de detalle del análisis. Esto subestimará el
nivel de riesgo real. La forma de agrupar los escenarios para la descripción del riesgo
debería estar definida al comienzo del estudio.

1.6 Ejemplo:

La matriz de consecuencia/probabilidad como herramienta de gestión se

aplica asignando magnitud asociada al nivel de ocurrencia del evento, comparándolo
con la magnitud de ocurrencia del evento dentro de los distintos departamentos de la
empresa.

El siguiente ejemplo de matriz está aplicado a eventos asociados a salud y

7
www.iplacex.cl
seguridad ocupacional, calidad y medioambiente.

Fuente: Matriz de riesgo para gestión de seguridad, calidad y ambiente, basado en ISO 31010:2009

En la figura se aprecian categorizaciones de uno a cuatro, donde uno es leve y

cuatro es crítico, dependiendo del departamento donde se presente el evento y su
frecuencia. En este caso, en seguridad (guardias) existe un nivel uno debido a que no
tienen exposición a riesgos mayores en ninguno de los eventos. Distinto es el nivel de
producción que está en nivel cuatro, es decir, casi nivel crítico en prácticamente todos
los eventos.

“Los invito a ver el siguiente video, donde se profundiza el análisis y

la confección de la matriz de riesgo”
https://www.youtube.com/watch?v=rEJzW57nSGI

2. Análisis HACCP

El análisis de riesgo y puntos de control críticos (HACCP) proporciona una

estructura para la identificación de los riesgos y para establecer controles en todas las
partes importantes de un proceso, a fin de protegerlo contra los riesgos y de mantener
la fiabilidad y la seguridad de la calidad de un producto. El HACCP tiene por objeto

8
www.iplacex.cl
asegurar que los riesgos se minimicen mediante controles a lo largo de todo el
proceso, mejor que con una inspección del producto final.

“El HACCP se define como un sistema de prevención para evitar la

contaminación alimentaria que garantiza una seguridad en los alimentos. En
el cual se identifica, evalúa, se previene y se lleva un registro de todos los
riesgos de contaminación a lo largo de toda la cadena de producción”

31010:2009

2.1 Uso:

El desarrollo del HACCP se orientó inicialmente a asegurar la calidad de los

alimentos en los programas espaciales de la NASA. Actualmente lo utilizan las
organizaciones que funcionan dentro de una cadena alimenticia, para controlar los
riesgos que se pueden generar debido a los contaminantes físicos, químicos o
biológicos de los alimentos.

También se ha extendido su utilización a la fabricación de productos

farmacéuticos y productos sanitarios. Los principios para identificar artículos que
pueden influir en la calidad del producto y para definir puntos en un proceso donde
puede realizarse el seguimiento de los parámetros críticos y los peligros se pueden
controlar y generalizar para otros sistemas técnicos.

2.2 Elementos de entrada:

El análisis HACCP se inicia a partir de un organigrama básico o un diagrama

de proceso basado en la información sobre los peligros que podrían afectar la calidad,
seguridad o fiabilidad de los resultados del producto o proceso. La información sobre
los peligros y sus riesgos, así como de las maneras en que estos se pueden controlar,
constituye un elemento de entrada al análisis HACCP.

Los invito a revisar el siguiente video, donde encontrarán más

información del análisis HACCP
https://www.youtube.com/watch?v=C1A5BNjcqio

9
www.iplacex.cl
2.3 Proceso:

El árbol de decisiones comienza con una decisión inicial. Por ejemplo,

elegir el proyecto A en vez de con el proyecto B. Como los dos proyectos anteriores
son hipotéticos, se producirán sucesos diferentes y será necesario tomar diferentes
decisiones previsibles. Estas se presentan en formato de árbol, similar al de sucesos, y
la posibilidad de los sucesos se puede estimar junto con los costes de la decisión o la
utilidad del resultado final del camino seguido.

• Identificar los peligros y las medidas preventivas relativas a tales peligros.

1
• Determinar los puntos del proceso donde los peligros se pueden controlar o eliminar (los puntos de control crítico o
2 CCP)

• Establecer los límites críticos necesarios para controlar los peligros, es decir, cada CCP debería funcionar dentro de
3 parámetros específicos para asegurar que el peligro esté controlado.

• Hacer el seguimiento de los límites críticos de cada CCP a intervalos definidos.

4

• Establecer las acciones correctivas si el proceso se sale de los límites establecidos

5

• Establecer los procedimientos de verificación.

6

7 • Implantar la preparación de registros y los procedimientos de documentación para cada etapa

Fuente: Principios de HACCP, basado en ISO 31010:2009 (pp. 40-41)

2.4 Resultados:

Los resultados son registros documentados que incluyen una ficha de trabajo
del análisis del peligro y un plan HACCP. La ficha de análisis del peligro registra para
cada etapa del proceso lo siguiente:

Los peligros que se podrían introducir, controlar o empeorar en cada etapa.

Si los peligros presentan un riesgo importante (en base a la consideración de

10
www.iplacex.cl
las consecuencias y de la probabilidad a partir de una combinación de experiencia,
datos y documentación técnica).

 La justificación de la importancia.
 Las posibles medidas preventivas para cada peligro.
 Si las medidas de seguimiento y de control se pueden aplicar en esta
etapa (es decir, ¿qué es un CCP?)

El plan HACCP delinea los procedimientos a seguir para asegurar el control de

un diseño, producto, proceso o procedimiento específico. El plan incluye una relación
de todos los CCP, y para cada uno de ellos debe indicar:

 Los límites críticos de las medidas preventivas.

 Las actividades de seguimiento y de control (incluyendo por qué, cómo
y cuándo se realizará el seguimiento y quién lo llevará a cabo).

 Las acciones correctivas que se requieren, si se detectan desviaciones

con respecto a los límites críticos.

 Las actividades de verificación y de conservación de registro.

Fuente: Principios de HACCP, basado en ISO 31010:2009 (pp. 40-41

11
www.iplacex.cl
 2.5 Fortalezas y Limitaciones:

Las fortalezas y limitaciones del análisis HACCP:

Fortalezas
Es un proceso estructurado que proporciona evidencias documentadas
del control de sistema de gestión, así como la identificación y reducción
de riesgos.
Es un enfoque sobre las posibilidades de cómo y cuándo en un proceso.
Se pueden prevenir los peligros y controlar los riesgos.
El HACCP utiliza como premisa que de que es mejor, controlar el riesgo
a lo largo de todo el proceso que dejarlo para la inspección del
producto final.

Limitaciones
El análisis HACCP requiere que se identifiquen los peligros, definiendo
los riesgos que ellos representan, y que las importancias de los mismos
se consideren como entradas al proceso. También es necesario definir
los controles apropiados. Estos controles se requieren con el objeto de
especificar los puntos de control críticos y parámetros de control
durante el análisis HACCP, donde puede ser necesario combinarlos con
otras herramientas para conseguirlo.
La toma de decisiones cuando los parámetros de control exceden los
límites definidos pueden suponer la pérdida de la introducción de
cambios graduales en los parámetros de control, que son estadísticame

Fuente: Fortalezas y Limitaciones del análisis HACCP, basado en ISO 31010:2009 (anexo A1, pp. 42-41)

1.7 Ejemplo:

El siguiente ejemplo es un diagrama de flujo de evaluación HACCP, que

aplicaremos posteriormente en los procesos de una empresa productiva:

12
www.iplacex.cl
 Lo aplicamos en una empresa de alimentos, para identificar los PCC, y
establecer en una tabla los riesgos biológicos, químicos y físicos asociados a los
elementos del proceso.

13
www.iplacex.cl
14
www.iplacex.cl
 Tabla:

Fuente: Tabla de clasificación de riesgos asociados a proceso de empresa de alimentos

basado en clasificación HACCP

En combinación, ambos elementos permiten clasificar las distintas etapas de

una empresa de alimentos, detectando los PCC. La tabla proporciona los riesgos
biológicos, químicos y físicos asociados a los elementos del proceso.

15
www.iplacex.cl
 Conclusiones
La apreciación del riesgo es el proceso global de identificación, análisis y de
evaluación del riesgo, sin embargo surgen muchas dudas cuando se llevan a cabo
esta labor. Esto derivado principalmente a que existen muchos factores que
intervienen en dicha tarea, entre ellos la división en distintos departamentos de la
organización con escasa comunicación, la diferente naturaleza de los riesgos que se
gestionan y el factor humano. Es por eso que cabe preguntarnos: ¿Dos departamentos
deben tener la misma metodología de análisis de riesgos?, ¿De qué manera gestiono
los riesgos ante distintos servicios o procesos de la organización?, ¿De qué manera
puedo informar a la dirección del resultado de los riesgos de la organización y de su
tratamiento, sin que esta labor sea un lastre para la operativa de la misma? Y ¿Se
establecen criterios formales para la identificación del riesgo en mi organización?

Para unificar criterios y proponer soluciones a algunos de estos problemas, la

norma ISO 31010, que hemos analizado en las tres unidades de esta asignatura,
propone una serie de cuestiones a tener en cuenta en el proceso de apreciación del
riesgo. Principalmente se tratan de una serie de directrices que van a determinar, en
gran medida, el criterio de identificación de cada riesgo.

Recuerden que estas directrices pasan por establecer el contexto y objetivos de

la organización, con el fin de adaptar dicho criterio a los aspectos propios de la
compañía; otra parte fundamental será establecer el alcance y el tipo de riesgos que
se consideran tolerables; además serán determinantes los recursos disponibles y la
comunicación entre las partes internas y externas. Por último, será un factor
determinante para el éxito del mismo los métodos y técnicas utilizadas para la
apreciación del riesgo, que comprenden la identificación de los mismos, el análisis de
estos y su posterior evaluación.

Resumen:
Las herramientas de gestión de riesgos sin duda son elementos
importantísimos que el experto debe distinguir para una gestión del riesgo
más eficiente. A continuación se entrega un cuadro resumen de las
herramientas mencionadas en la ISO 31010:2009

16
www.iplacex.cl
17
www.iplacex.cl
 Bibliografía

International Organization for Standardization (2009). ISO 31000:2009, Gestión de

riesgos “Principios y orientaciones”. Ginebra, Suiza: ISO

International Organization for Standardization (2009). ISO 31000:2009, Gestión de

riesgos “Herramientas para evaluar gestión de riesgos”. Ginebra, Suiza: ISO

International Organization for Standardization (2009). ISO 31000:2009, Gestión de

riesgos “Guía para la implementación de ISO 31000”. Ginebra, Suiza: ISO

MACHIAVELO SALINAS Victor, (2016). Introducción a los Análisis de Arboles de

falla (Faul Tree Analysis-FTA), TÜV Rheinland Diplomado, Santiago de Chile.
Consultado en https://www.tuv.com/chile/es/

Real Academia Española. (2001). Diccionario de la lengua española (22.aed.).

Consultado en http://www.rae.es/rae.html

18
www.iplacex.cl
19
www.iplacex.cl