La evaluación de riesgos determina posibles contratiempos, su probabilidad y consecuencias, y las tolerancias para tales eventos. [1] Los resultados de este proceso pueden expresarse de forma cuantitativa o cualitativa . La evaluación de riesgos es una parte inherente de una estrategia más amplia de gestión de riesgos para ayudar a reducir cualquier posible consecuencia relacionada con los riesgos. [1] [2]
Más precisamente, la evaluación de riesgos identifica y analiza eventos potenciales (futuros) que pueden afectar negativamente a las personas, los activos y/o el medio ambiente (es decir, análisis de peligros ). También emite juicios "sobre la tolerabilidad del riesgo basándose en un análisis de riesgo" teniendo en cuenta los factores que influyen (es decir, la evaluación del riesgo). [1] [2]
Las evaluaciones de riesgos se pueden realizar en casos individuales, incluidas las interacciones entre pacientes y médicos. [3] En sentido estricto, la evaluación de riesgos químicos es la evaluación de un riesgo para la salud en respuesta a exposiciones ambientales. [4] Las formas en que las estadísticas se expresan y comunican a un individuo, tanto a través de palabras como de números, afectan su interpretación del beneficio y el daño. Por ejemplo, una tasa de mortalidad puede interpretarse como menos benigna que la tasa de supervivencia correspondiente . [3] Una revisión sistemática de pacientes y médicos de 2017 encontró que la exageración de los beneficios y la subestimación de los riesgos ocurrían con más frecuencia que la alternativa. [3] [5] Una revisión sistemática de 2017 de la colaboración Cochrane sugirió que las "ayudas para la toma de decisiones bien documentadas" son útiles para reducir los efectos de tales tendencias o sesgos. [3] [6] La propia percepción del riesgo de un individuo puede verse afectada por factores psicológicos, ideológicos, religiosos o subjetivos, que impactan la racionalidad del proceso. [3] Los individuos tienden a ser menos racionales cuando los riesgos y las exposiciones les conciernen a ellos mismos y no a otros. [3] También existe una tendencia a subestimar los riesgos que son voluntarios o que el individuo considera que tiene el control, como fumar. [3]
La evaluación de riesgos también se puede realizar en una escala de teoría de sistemas mucho más amplia , por ejemplo, evaluando los riesgos de un ecosistema o de un sistema mecánico, electrónico, nuclear y biológico interactivamente complejo o de un huracán (un sistema meteorológico y geográfico complejo). Los sistemas pueden definirse como lineales y no lineales (o complejos), donde los sistemas lineales son predecibles y relativamente fáciles de entender dado un cambio en las entradas, y los sistemas no lineales son impredecibles cuando se cambian las entradas. [7] Como tal, las evaluaciones de riesgos de sistemas no lineales/complejos tienden a ser más desafiantes.
En la ingeniería de sistemas complejos , a menudo se realizan evaluaciones de riesgos sofisticadas dentro de la ingeniería de seguridad y la ingeniería de confiabilidad cuando se trata de amenazas a la vida, el medio ambiente natural o el funcionamiento de las máquinas. Las industrias agrícola, nuclear, aeroespacial, petrolera, química, ferroviaria y militar tienen una larga historia de abordar la evaluación de riesgos. [8] Además, las industrias médica, hospitalaria, de servicios sociales , [9] y alimentaria controlan los riesgos y realizan evaluaciones de riesgos de forma continua. Los métodos para la evaluación del riesgo pueden diferir entre industrias y si se trata de decisiones financieras generales o de evaluación de riesgos ambientales, ecológicos o de salud pública. [8]
Se ha demostrado que en las últimas décadas el rápido cambio tecnológico, la creciente escala de los complejos industriales, la mayor integración de los sistemas, la competencia en el mercado y otros factores aumentan el riesgo social. [1] Como tal, las evaluaciones de riesgos se vuelven cada vez más críticas para mitigar los accidentes, mejorar la seguridad y mejorar los resultados. La evaluación de riesgos consiste en una evaluación objetiva del riesgo en la que los supuestos e incertidumbres se consideran y presentan claramente. Esto implica la identificación del riesgo (qué puede suceder y por qué), las posibles consecuencias, la probabilidad de que ocurra , la tolerabilidad o aceptabilidad del riesgo y las formas de mitigar o reducir la probabilidad del riesgo. [2] De manera óptima, también implica la documentación de la evaluación de riesgos y sus hallazgos, la implementación de métodos de mitigación y la revisión de la evaluación (o plan de gestión de riesgos), junto con actualizaciones cuando sea necesario. [1] A veces los riesgos pueden considerarse aceptables, lo que significa que el riesgo "se comprende y tolera... generalmente porque el costo o la dificultad de implementar una contramedida eficaz para la vulnerabilidad asociada excede la expectativa de pérdida". [10]
Benoit Mandelbrot distinguió entre riesgo "leve" y "salvaje" y argumentó que la evaluación y la gestión del riesgo deben ser fundamentalmente diferentes para los dos tipos de riesgo. [11] El riesgo leve sigue distribuciones de probabilidad normales o casi normales , está sujeto a regresión a la media y a la ley de los grandes números y, por lo tanto, es relativamente predecible. El riesgo salvaje sigue distribuciones de cola gruesa , por ejemplo, distribuciones de Pareto o de ley de potencias , está sujeto a regresión a la cola (media o varianza infinita, lo que hace que la ley de grandes números sea inválida o ineficaz) y, por lo tanto, es difícil o imposible de predecir. Un error común en la evaluación y gestión de riesgos es subestimar la magnitud del riesgo, asumiendo que el riesgo es leve cuando en realidad es salvaje, lo que debe evitarse si la evaluación y gestión de riesgos quieren ser válidas y confiables, según Mandelbrot.
Para ver el proceso de gestión de riesgos expresado matemáticamente, se puede definir el riesgo esperado como la suma de los riesgos individuales, que puede calcularse como el producto de las pérdidas potenciales, y sus probabilidades :
Aunque para algunos riesgos podríamos tener , si la probabilidad es pequeña en comparación con , su estimación podría basarse sólo en un número menor de eventos anteriores y, por lo tanto, más incierta. Por otro lado, dado que , debe ser mayor que , las decisiones basadas en esta incertidumbre tendrían más consecuencias y, por lo tanto, justificarían un enfoque diferente.
Esto se vuelve importante cuando consideramos la varianza del riesgo.
como grande cambia el valor.
Las decisiones financieras, como los seguros, expresan las pérdidas en términos de cantidades en dólares. Cuando la evaluación de riesgos se utiliza para decisiones ambientales o de salud pública, la pérdida se puede cuantificar en una métrica común, como la moneda de un país o alguna medida numérica de la calidad de vida de un lugar. Para las decisiones ambientales y de salud pública, la pérdida es simplemente una descripción verbal del resultado, como una mayor incidencia de cáncer o de defectos de nacimiento. En ese caso, el "riesgo" se expresa como
Si la estimación del riesgo tiene en cuenta información sobre el número de personas expuestas, se denomina "riesgo poblacional" y se expresa en unidades de aumento esperado de casos por período de tiempo. Si la estimación del riesgo no tiene en cuenta el número de personas expuestas, se denomina "riesgo individual" y se expresa en unidades de tasa de incidencia por período de tiempo. Los riesgos poblacionales son más útiles para el análisis de costo/beneficio; Los riesgos individuales son más útiles para evaluar si los riesgos para los individuos son "aceptables".
En la evaluación cuantitativa de riesgos, se puede utilizar una expectativa de pérdida anualizada (ALE) para justificar el costo de implementar contramedidas para proteger un activo. Esto se puede calcular multiplicando la expectativa de pérdida única (SLE), que es la pérdida de valor basada en un único incidente de seguridad, por la tasa anualizada de ocurrencia (ARO), que es una estimación de la frecuencia con la que una amenaza tendría éxito en explotar una vulnerabilidad.
Sin embargo, se ha cuestionado la utilidad de la evaluación cuantitativa de riesgos. Barry Commoner , Brian Wynne y otros críticos han expresado su preocupación de que la evaluación de riesgos tienda a ser demasiado cuantitativa y reduccionista. Por ejemplo, argumentan que las evaluaciones de riesgos ignoran las diferencias cualitativas entre los riesgos. Algunos afirman que las evaluaciones pueden omitir información importante no cuantificable o inaccesible, como las variaciones entre las clases de personas expuestas a peligros o la amplificación social. [12] Además, Commoner [13] y O'Brien [14] afirman que los enfoques cuantitativos desvían la atención de las medidas cautelares o preventivas. [15] Otros, como Nassim Nicholas Taleb , consideran a los gestores de riesgos poco más que "usuarios ciegos" de herramientas y métodos estadísticos. [dieciséis]
Los libros de texto más antiguos distinguen entre el término análisis de riesgos y evaluación de riesgos ; un análisis de riesgos incluye los siguientes 4 pasos: [1]
Una evaluación de riesgos significa que se emiten juicios sobre la tolerabilidad de los riesgos identificados, lo que lleva a la aceptación del riesgo. Cuando el análisis de riesgos y la evaluación de riesgos se realizan al mismo tiempo, se denomina evaluación de riesgos. [1]
A partir de 2023, la evaluación de riesgos químicos sigue estos 4 pasos: [4]
Existe una tremenda variabilidad en la relación dosis-respuesta entre una sustancia química y un resultado para la salud humana en subgrupos particularmente susceptibles, como mujeres embarazadas, fetos en desarrollo, niños hasta la adolescencia, personas con estatus socioeconómico bajo, personas con enfermedades preexistentes, discapacidades, susceptibilidad genética. y aquellos con otras exposiciones ambientales. [4]
El proceso de evaluación de riesgos puede ser algo informal a nivel social individual, evaluando riesgos económicos y domésticos, [17] [18] o un proceso sofisticado a nivel corporativo estratégico. Sin embargo, en ambos casos, la capacidad de anticipar eventos futuros y crear estrategias efectivas para mitigarlos cuando se consideren inaceptables es vital.
A nivel individual, identificar objetivos y riesgos, sopesar su importancia y crear planes puede ser todo lo que se necesita. En el nivel organizacional estratégico, se necesitan políticas más elaboradas, que especifiquen niveles aceptables de riesgo, procedimientos a seguir dentro de la organización, prioridades y asignación de recursos. [19] : 10
A nivel corporativo estratégico, la gerencia involucrada en el proyecto produce evaluaciones de riesgos a nivel de proyecto con la ayuda de la experiencia disponible como parte del proceso de planificación y establece sistemas para garantizar que se implementen las acciones necesarias para gestionar el riesgo evaluado. En el nivel dinámico, es posible que el personal directamente involucrado deba abordar problemas imprevistos en tiempo real. Las decisiones tácticas tomadas a este nivel deben revisarse después de la operación para retroalimentar la efectividad tanto de los procedimientos planificados como de las decisiones tomadas en respuesta a la contingencia.
Los resultados de estos pasos se combinan para producir una estimación del riesgo. Debido a las diferentes susceptibilidades y exposiciones, este riesgo variará dentro de una población. Generalmente se incluye un análisis de incertidumbre en una evaluación de riesgos para la salud.
Durante una respuesta de emergencia, la situación y los peligros suelen ser inherentemente menos predecibles que en el caso de las actividades planificadas (no lineales). En general, si la situación y los peligros son predecibles (lineales), los procedimientos operativos estándar deberían abordarlos adecuadamente. En algunas emergencias, esto también puede ser cierto, ya que la preparación y las respuestas capacitadas son adecuadas para gestionar la situación. En estas situaciones, el operador puede gestionar el riesgo sin asistencia externa o con la asistencia de un equipo de respaldo que esté preparado y disponible para intervenir en poco tiempo.
Otras emergencias ocurren cuando no hay un protocolo planificado previamente, o cuando se contrata a un grupo externo para manejar la situación, y no están preparados específicamente para el escenario existente, pero deben abordarlo sin demoras indebidas. Los ejemplos incluyen la policía, el departamento de bomberos, la respuesta a desastres y otros equipos de rescate de servicios públicos. En estos casos, la evaluación de riesgos continua por parte del personal involucrado puede recomendar acciones apropiadas para reducir el riesgo. [19] La Inspección de Servicios de Bomberos de HM ha definido la evaluación dinámica de riesgos (DRA) como:
La evaluación continua del riesgo en las circunstancias rápidamente cambiantes de un incidente operacional, con el fin de implementar las medidas de control necesarias para garantizar un nivel aceptable de seguridad. [19]
La evaluación dinámica de riesgos es la etapa final de un sistema integrado de gestión de la seguridad que puede proporcionar una respuesta adecuada durante circunstancias cambiantes. Se basa en la experiencia, la formación y la educación continua, incluida una sesión informativa eficaz para analizar no sólo lo que salió mal, sino también lo que salió bien y por qué, y compartirlo con otros miembros del equipo y el personal responsable de la evaluación de riesgos a nivel de planificación. . [19]
La aplicación de procedimientos de evaluación de riesgos es común en una amplia gama de campos, y estos pueden tener obligaciones legales específicas, códigos de práctica y procedimientos estandarizados. Algunos de estos se enumeran aquí.
Hay muchos recursos que brindan información sobre riesgos para la salud humana:
La Biblioteca Nacional de Medicina proporciona herramientas de información sobre regulación y evaluación de riesgos para una audiencia variada. [20] Estos incluyen:
La Agencia de Protección Ambiental de los Estados Unidos proporciona información básica sobre evaluaciones de riesgos para la salud ambiental para el público para una amplia variedad de posibles exposiciones ambientales. [23]
La Agencia de Protección Ambiental comenzó a utilizar activamente métodos de evaluación de riesgos para proteger el agua potable en los Estados Unidos después de la aprobación de la Ley de Agua Potable Segura de 1974. La ley exigía que la Academia Nacional de Ciencias realizara un estudio sobre cuestiones de agua potable, y en su En el informe, la NAS describió algunas metodologías para realizar evaluaciones de riesgo de sustancias químicas sospechosas de ser cancerígenas, recomendaciones que los altos funcionarios de la EPA han descrito como quizás la parte más importante del estudio. [24]
Teniendo en cuenta el aumento de la comida chatarra y su toxicidad, la FDA exigió en 1973 que los compuestos cancerígenos no debían estar presentes en la carne en concentraciones que causarían un riesgo de cáncer superior a 1 en un millón a lo largo de la vida. La Agencia de Protección Ambiental de EE. UU. proporciona al público amplia información sobre evaluaciones de riesgos ecológicos y ambientales a través de su portal de evaluación de riesgos. [25] El Convenio de Estocolmo sobre contaminantes orgánicos persistentes (COP) apoya un marco de riesgo cualitativo para la protección de la salud pública frente a sustancias químicas que muestran persistencia ambiental y biológica, bioacumulación , toxicidad (PBT) y transporte a larga distancia; La mayoría de las sustancias químicas globales que cumplen con este criterio han sido previamente evaluadas cuantitativamente por agencias de salud nacionales e internacionales. [26]
Para los efectos sobre la salud no relacionados con el cáncer, los términos dosis de referencia (RfD) o concentración de referencia (RfC) se utilizan para describir el nivel seguro de exposición de forma dicotómica. Una forma más nueva de comunicar el riesgo es la evaluación probabilística del riesgo . [27]
Cuando los riesgos se aplican principalmente a subpoblaciones pequeñas, puede resultar difícil determinar cuándo es necesaria una intervención. Por ejemplo, puede haber un riesgo muy bajo para todos, excepto el 0,1% de la población. Es necesario determinar si este 0,1% está representado por:
Si el riesgo es mayor para una subpoblación particular debido a una exposición anormal más que a una susceptibilidad, se consideran estrategias para reducir aún más la exposición de ese subgrupo. Si una subpoblación identificable es más susceptible debido a factores genéticos inherentes o de otro tipo, se deben tomar decisiones de política pública. Las opciones son:
El riesgo aceptable es un riesgo que se comprende y tolera generalmente porque el costo o la dificultad de implementar una contramedida eficaz para la vulnerabilidad asociada excede la expectativa de pérdida. [28]
La idea de no aumentar el riesgo a lo largo de la vida en más de uno entre un millón se ha convertido en un lugar común en el discurso y las políticas de salud pública. [29] Es una medida heurística. Proporciona una base numérica para establecer un aumento insignificante del riesgo.
La toma de decisiones ambientales permite cierta discreción para considerar los riesgos individuales potencialmente "aceptables" si hay menos de una probabilidad entre diez mil de aumentar el riesgo a lo largo de la vida. Los criterios de bajo riesgo como estos brindan cierta protección en caso de que las personas puedan estar expuestas a múltiples sustancias químicas, por ejemplo, contaminantes, aditivos alimentarios u otras sustancias químicas. [ cita necesaria ]
En la práctica, un verdadero riesgo cero sólo es posible con la supresión de la actividad que causa el riesgo. [ cita necesaria ]
Los requisitos estrictos de 1 en un millón pueden no ser tecnológicamente viables o pueden ser tan prohibitivamente costosos como para hacer insostenible la actividad que causa el riesgo, lo que da como resultado que el grado óptimo de intervención sea un equilibrio entre riesgos y beneficios. [ cita necesaria ] Por ejemplo, las emisiones de los incineradores de hospitales provocan un cierto número de muertes por año. Sin embargo, este riesgo debe sopesarse con las alternativas. Existen riesgos para la salud pública, así como costos económicos, asociados con todas las opciones. El riesgo asociado a la no incineración es la posible propagación de enfermedades infecciosas o incluso la falta de hospitales. Una investigación más profunda identifica opciones como separar los desechos no infecciosos de los infecciosos o controlar la contaminación del aire en un incinerador médico.
Es esencial pensar inteligentemente sobre un conjunto razonablemente completo de opciones. Por lo tanto, no es inusual que haya un proceso iterativo entre el análisis, la consideración de opciones y el análisis de seguimiento. [ cita necesaria ]
En el contexto de la salud pública , la evaluación de riesgos es el proceso de caracterizar la naturaleza y probabilidad de un efecto nocivo para individuos o poblaciones debido a determinadas actividades humanas. La evaluación de riesgos para la salud puede ser principalmente cualitativa o incluir estimaciones estadísticas de probabilidades para poblaciones específicas. En la mayoría de los países, no se permite el uso de sustancias químicas específicas ni el funcionamiento de instalaciones específicas (por ejemplo, centrales eléctricas, plantas de fabricación) a menos que se pueda demostrar que no aumentan el riesgo de muerte o enfermedad por encima de un umbral específico. Por ejemplo, la Administración Estadounidense de Alimentos y Medicamentos (FDA) regula la seguridad alimentaria mediante la evaluación de riesgos, mientras que la EFSA hace lo mismo en la UE. [30]
Una evaluación de riesgos laborales es una evaluación de cuánto peligro potencial puede tener un peligro para una persona en un entorno laboral. La evaluación tiene en cuenta posibles escenarios además de la probabilidad de que ocurran y los resultados. [31] Los cinco tipos de peligros que hay que tener en cuenta son los de seguridad (los que pueden provocar lesiones), los químicos , los biológicos , los físicos y los ergonómicos (los que pueden provocar trastornos musculoesqueléticos ). [32] Para acceder adecuadamente a los peligros hay dos partes que deben ocurrir. En primer lugar, debe haber una " evaluación de exposición " que mida la probabilidad de contacto de los trabajadores y el nivel de contacto. En segundo lugar, se debe realizar una "caracterización del riesgo" que mida la probabilidad y gravedad de los posibles riesgos para la salud. [33]
La importancia de las evaluaciones de riesgos para gestionar las consecuencias del cambio y la variabilidad climática se recuerda en los marcos globales para la reducción del riesgo de desastres , adoptados por los países miembros de las Naciones Unidas al final de las Conferencias Mundiales celebradas en Kobe (2005) y Sendai ( 2015). El Marco de Sendai para la Reducción del Riesgo de Desastres llama la atención sobre la escala local y fomenta un enfoque holístico del riesgo, que debe considerar todos los peligros a los que está expuesta una comunidad, la integración del conocimiento técnico-científico con el conocimiento local y la inclusión del concepto del riesgo en los planes locales para lograr una reducción significativa de los desastres para 2030. Llevar estos principios a la práctica diaria plantea un desafío para muchos países. El sistema de seguimiento del marco de Sendai destaca lo poco que se sabe sobre los avances realizados entre 2015 y 2019 en la reducción del riesgo de desastres locales. [34]
En 2019, en el sur del Sahara, la evaluación de riesgos aún no es una práctica institucionalizada. La exposición de los asentamientos humanos a múltiples amenazas (sequía hidrológica y agrícola, inundaciones pluviales, fluviales y costeras) es frecuente y requiere evaluaciones de riesgos a escala regional, municipal y, en ocasiones, individual de los asentamientos humanos. El enfoque multidisciplinario y la integración del conocimiento local y técnico-científico son necesarios desde los primeros pasos de la evaluación. El conocimiento local sigue siendo ineludible para comprender los peligros que amenazan a las comunidades individuales, los umbrales críticos en los que se convierten en desastres, para la validación de modelos hidráulicos y en el proceso de toma de decisiones sobre la reducción de riesgos . Por otro lado, el conocimiento local por sí solo no es suficiente para comprender los impactos de los cambios futuros y la variabilidad climática y para conocer las áreas expuestas a amenazas poco frecuentes. La disponibilidad de nuevas tecnologías y la información de libre acceso (imágenes satelitales de alta resolución, datos de precipitaciones diarias) permiten hoy realizar evaluaciones con una precisión que hace sólo 10 años era inimaginable. Las imágenes tomadas por tecnologías de vehículos no tripulados permiten producir modelos de elevación digitales de muy alta resolución e identificar con precisión los receptores. [35] A partir de esta información, los modelos hidráulicos permiten la identificación de áreas inundables con precisión incluso a escala de pequeños asentamientos. [36] La información sobre pérdidas y daños y sobre cultivos de cereales a escala de asentamiento individual permite determinar el nivel de riesgo de amenazas múltiples a escala regional. Las imágenes satelitales multitemporales de alta resolución permiten evaluar la sequía hidrológica y la dinámica de asentamientos humanos en la zona de inundación. [37] La evaluación de riesgos es más que una ayuda para la toma de decisiones informadas sobre la reducción o aceptación del riesgo. [38] Integra sistemas de alerta temprana destacando los puntos críticos donde la prevención y preparación para desastres son más urgentes. [39] Cuando la evaluación de riesgos considera la dinámica de la exposición a lo largo del tiempo, ayuda a identificar políticas de reducción de riesgos que sean más apropiadas para el contexto local. A pesar de estos potenciales, la evaluación de riesgos aún no está integrada en la planificación local en el sur del Sahara que, en el mejor de los casos, utiliza únicamente el análisis de la vulnerabilidad al cambio y la variabilidad climática. [39]
Para las auditorías realizadas por una firma de auditoría externa, la evaluación de riesgos es una etapa crucial antes de aceptar un encargo de auditoría. Según la ISA 315 Comprensión de la entidad y su entorno y evaluación de los riesgos de incorrección material , "el auditor debe realizar procedimientos de evaluación de riesgos para obtener una comprensión de la entidad y su entorno, incluido su control interno". Evidencia relacionada con la evaluación del riesgo realizada por el auditor de una incorrección material en los estados financieros del cliente. Luego, el auditor obtiene evidencia inicial sobre las clases de transacciones en el cliente y la efectividad operativa de los controles internos del cliente. El riesgo de auditoría se define como el riesgo de que el auditor emita una opinión limpia y no modificada sobre los estados financieros, cuando en realidad los estados financieros contienen errores materiales y, por lo tanto, no califican para una opinión limpia y no modificada. Como fórmula, el riesgo de auditoría es producto de otros dos riesgos: Riesgo de Incorrección Material y Riesgo de Detección. Esta fórmula se puede desglosar de la siguiente manera: riesgo inherente × riesgo de control × riesgo de detección .
En la gestión de proyectos , la evaluación de riesgos es una parte integral del plan de gestión de riesgos, estudiando la probabilidad, el impacto y el efecto de cada riesgo conocido en el proyecto, así como las acciones correctivas a tomar en caso de que un incidente implique un riesgo. ocurrir. [40] De especial consideración en esta área son los códigos de práctica relevantes que se aplican en la jurisdicción específica. Comprender el régimen de regulaciones que debe cumplir la gestión de riesgos es fundamental para formular prácticas de evaluación de riesgos seguras y conformes.
La evaluación de riesgos de tecnologías de la información puede realizarse mediante un enfoque cualitativo o cuantitativo, siguiendo diferentes metodologías. Una diferencia importante [ se necesita aclaración ] en las evaluaciones de riesgos en seguridad de la información es modificar el modelo de amenaza para tener en cuenta el hecho de que cualquier sistema adversario conectado a Internet tiene acceso para amenazar a cualquier otro sistema conectado. [41] Por lo tanto, es posible que sea necesario modificar las evaluaciones de riesgos para tener en cuenta las amenazas de todos los adversarios, en lugar de sólo aquellos con acceso razonable, como se hace en otros campos.
Definición del NIST: El proceso de identificación de riesgos para las operaciones organizacionales (incluida la misión, funciones, imagen, reputación), los activos de la organización, los individuos, otras organizaciones y la Nación, como resultado de la operación de un sistema de información. Parte de la gestión de riesgos incorpora análisis de amenazas y vulnerabilidades y considera las mitigaciones proporcionadas por los controles de seguridad planificados o implementados. [42]
Hay varias metodologías y marcos de evaluación de riesgos disponibles que incluyen el Marco de gestión de riesgos (RMF) del NIST, [43] Objetivos de control para la información y tecnologías relacionadas (COBIT), [44] Análisis factorial de riesgos de la información (FAIR), [45] Operativamente críticos Evaluación de amenazas, activos y vulnerabilidades (OCTAVE), [46] El método de evaluación de riesgos del Centro para la seguridad de Internet (CIS RAM), [47] y el estándar The Duty of Care Risk Analysis (DoCRA), [48] que ayuda a definir ' seguridad.
El proceso de Evaluación de Amenazas y Riesgos (TRA) es parte de la gestión de riesgos que se refiere a los riesgos relacionados con las amenazas cibernéticas . El proceso TRA identificará los riesgos cibernéticos, evaluará la gravedad de los riesgos y podrá recomendar actividades para reducir los riesgos a un nivel aceptable.
Existen diferentes metodologías para realizar TRA (por ejemplo, Metodología Armonizada de TRA [49] ), todas utilizan los siguientes elementos: [50] [51] [52] identificación de activos (lo que debe protegerse), identificación y evaluación de las amenazas y vulnerabilidades para los activos identificados, determinar la explotabilidad de las vulnerabilidades, determinar los niveles de riesgo asociados con las vulnerabilidades (cuáles son las implicaciones si los activos se dañaran o se perdieran) y recomendar un programa de mitigación de riesgos.
Los megaproyectos (a veces también llamados "programas importantes") son proyectos de inversión de escala extremadamente grande, que normalmente cuestan más de mil millones de dólares por proyecto. Incluyen puentes, túneles, carreteras, ferrocarriles, aeropuertos, puertos marítimos, centrales eléctricas, represas, proyectos de aguas residuales, protección contra inundaciones costeras, proyectos de extracción de petróleo y gas natural , edificios públicos, sistemas de tecnología de la información, proyectos aeroespaciales y sistemas de defensa. Se ha demostrado que los megaproyectos son particularmente riesgosos en términos de finanzas, seguridad e impactos sociales y ambientales .
Los estudios han demostrado que las primeras partes del ciclo de desarrollo del sistema, como los requisitos y las especificaciones de diseño, son especialmente propensas a errores. Este efecto es particularmente notorio en proyectos que involucran a múltiples partes interesadas con diferentes puntos de vista. Los procesos de software evolutivo ofrecen un enfoque iterativo a la ingeniería de requisitos para aliviar los problemas de incertidumbre, ambigüedad e inconsistencia inherentes a los desarrollos de software, incluida la incertidumbre, la ambigüedad y la inconsistencia inherentes a los desarrollos de software. [ se necesita aclaración ]
En julio de 2010, las compañías navieras acordaron utilizar procedimientos estandarizados para evaluar el riesgo en operaciones clave a bordo. Estos procedimientos se implementaron como parte del Código IGS modificado . [53]
La evaluación de riesgos formal es un componente obligatorio de la mayoría de la planificación de inmersiones profesionales , pero el formato y la metodología pueden variar. Las consecuencias de un incidente debido a un peligro identificado generalmente se eligen entre un pequeño número de categorías estandarizadas, y la probabilidad se estima basándose en datos estadísticos en las raras ocasiones en que están disponibles, y en una mejor estimación basada en la experiencia personal y la política de la empresa. en la mayoría de los casos. A menudo se utiliza una matriz simple para transformar estos datos en un nivel de riesgo, generalmente expresado como inaceptable, marginal o aceptable. Si es inaceptable, se deben tomar medidas para reducir el riesgo a un nivel aceptable, y las partes afectadas deben aceptar el resultado de la evaluación de riesgos antes de comenzar la inmersión. Pueden ser aceptables niveles de riesgo más altos en circunstancias especiales, como operaciones militares o de búsqueda y rescate, cuando existe la posibilidad de recuperar a un superviviente. Los supervisores de buceo están capacitados en los procedimientos de identificación de peligros y evaluación de riesgos, y es parte de su responsabilidad operativa y de planificación. Se deben considerar tanto los riesgos para la salud como para la seguridad. Se pueden identificar varias etapas. Se realiza una evaluación de riesgos como parte de la planificación del proyecto de buceo, una evaluación de riesgos en el sitio que tiene en cuenta las condiciones específicas del día y una evaluación de riesgos dinámica que se lleva a cabo durante la operación por parte de los miembros del equipo de buceo, particularmente el supervisor y el buzo que trabaja. [54] [55]
En el buceo recreativo , el alcance de la evaluación de riesgos que se espera del buceador es relativamente básico y se incluye en los controles previos a la inmersión . Las agencias de certificación de buzos han desarrollado varios mnemotécnicos para recordarle al buceador que preste cierta atención al riesgo, pero la capacitación es rudimentaria. Se espera que los proveedores de servicios de buceo brinden un mayor nivel de atención a sus clientes, y se espera que los instructores de buceo y divemasters evalúen los riesgos en nombre de sus clientes y les adviertan sobre los peligros específicos del sitio y la competencia considerada apropiada para la inmersión planificada. Se espera que los buzos técnicos realicen una evaluación más exhaustiva del riesgo, pero como tomarán una decisión informada sobre una actividad recreativa, el nivel de riesgo aceptable puede ser considerablemente más alto que el permitido para los buzos ocupacionales bajo la dirección de un empleador. [56] [57]
En actividades al aire libre, incluida la educación comercial al aire libre, las expediciones en la naturaleza y la recreación al aire libre , la evaluación de riesgos se refiere al análisis de la probabilidad y magnitud de resultados desfavorables como lesiones, enfermedades o daños a la propiedad debido a causas ambientales y relacionadas, en comparación con el desarrollo humano. u otros beneficios de la actividad al aire libre. Esto es de particular importancia ya que los programas escolares y otros sopesan los beneficios de la participación de jóvenes y adultos en diversas actividades de aprendizaje al aire libre frente a los peligros inherentes y de otro tipo presentes en esas actividades. Las escuelas, las entidades corporativas que buscan experiencias de formación de equipos, los padres/tutores y otras personas que estén considerando experiencias al aire libre esperan o exigen que [58] las organizaciones evalúen los peligros y riesgos de diferentes actividades al aire libre, como navegación, tiro al blanco, caza, montañismo o acampada. —y seleccionar actividades con perfiles de riesgo aceptables.
La educación al aire libre, las aventuras en la naturaleza y otras organizaciones relacionadas con las actividades al aire libre deberían (y en algunas jurisdicciones se les exige) realizar evaluaciones de riesgos antes de ofrecer programas con fines comerciales. [59] [60] [61]
Estas organizaciones reciben orientación sobre cómo realizar sus evaluaciones de riesgos. [62]
Las evaluaciones de riesgos para actividades dirigidas al aire libre forman solo un componente de un plan integral de gestión de riesgos, ya que muchas evaluaciones de riesgos utilizan un pensamiento de estilo lineal básico que no emplea prácticas de gestión de riesgos más modernas que emplean teorías de sistemas sociotécnicos complejos. [63] [64]
La Evaluación de Riesgos Ambientales (ERA) tiene como objetivo evaluar los efectos de los factores estresantes, generalmente químicos, en el medio ambiente local. Un riesgo es una evaluación integrada de la probabilidad y gravedad de un evento no deseado. En ERA, el evento no deseado a menudo depende de la sustancia química de interés y del escenario de evaluación de riesgos. [65] Este evento no deseado suele ser un efecto perjudicial sobre organismos, poblaciones o ecosistemas . Las ERA actuales suelen comparar una exposición con un nivel sin efecto, como la relación concentración ambiental prevista / concentración prevista sin efecto (PEC/PNEC) en Europa. Aunque este tipo de relación es útil y se utiliza a menudo con fines regulatorios, es sólo una indicación de un umbral aparente excedido. [66] En ERA se empiezan a desarrollar nuevos enfoques para cuantificar este riesgo y comunicarlo eficazmente tanto con los gestores como con el público en general. [sesenta y cinco]
La evaluación del riesgo ecológico se complica por el hecho de que existen muchos factores estresantes no químicos que influyen sustancialmente en los ecosistemas, las comunidades y las plantas y animales individuales, así como en todos los paisajes y regiones. [67] [68] Definir el evento no deseado (adverso) es un juicio político, lo que complica aún más la aplicación de herramientas tradicionales de análisis de riesgos a los sistemas ecológicos. Gran parte del debate político en torno a la evaluación de riesgos ecológicos gira en torno a definir con precisión qué es un evento adverso. [69]
Las Evaluaciones de Riesgos a la Biodiversidad evalúan los riesgos a la diversidad biológica , especialmente el riesgo de extinción de especies o el riesgo de colapso de los ecosistemas . Las unidades de evaluación son las entidades biológicas (especies, subespecies o poblaciones ) o ecológicas ( hábitats , ecosistemas , etc.), y el riesgo suele estar relacionado con acciones e intervenciones humanas (amenazas y presiones). Múltiples instituciones y grupos de trabajo académicos o gubernamentales han propuesto protocolos regionales y nacionales, [70] pero estándares globales como la Lista Roja de Especies Amenazadas y la Lista Roja de Ecosistemas de la UICN han sido ampliamente adoptados y son reconocidos o propuestos como oficiales. indicadores de progreso hacia metas y objetivos de políticas internacionales, como las metas de Aichi y los Objetivos de Desarrollo Sostenible . [71] [72]
Las evaluaciones de riesgos se utilizan en numerosas etapas durante el proceso legal y se desarrollan para medir una amplia variedad de elementos, como tasas de reincidencia, posibles problemas previos al juicio, libertad condicional/libertad condicional, y para identificar posibles intervenciones para los acusados. [73] Los psicólogos clínicos, los psicólogos forenses y otros profesionales son responsables de realizar evaluaciones de riesgos. [73] [74] [75] Dependiendo de la herramienta de evaluación de riesgos, los profesionales deben recopilar una variedad de información de antecedentes sobre el acusado o el individuo que está siendo evaluado. Esta información incluye sus antecedentes penales anteriores (si corresponde) y otros registros (es decir, datos demográficos, educación, situación laboral, historial médico), a los que se puede acceder mediante una entrevista directa con el acusado o registros archivados. [73]
En la etapa previa al juicio, una herramienta de evaluación de riesgos ampliamente utilizada es la Evaluación de Seguridad Pública, [76] que predice la falta de comparecencia ante el tribunal, la probabilidad de un nuevo arresto criminal mientras se encuentra en libertad preventiva y la probabilidad de un nuevo arresto criminal violento mientras se está en libertad preventiva. en libertad provisional. Se observan y tienen en cuenta múltiples elementos según el aspecto del PSA en el que se enfoca y, como todas las demás evaluaciones de riesgos actuariales, a cada elemento se le asigna una cantidad ponderada para producir una puntuación final. [73] Se puede acceder en línea a información detallada, como la transparencia sobre los elementos que el PSA considera y cómo se distribuyen las puntuaciones. [77]
Para los acusados que han sido encarcelados, se utilizan evaluaciones de riesgo para determinar su probabilidad de reincidencia e informar las decisiones sobre la duración de la sentencia. Las evaluaciones de riesgos también ayudan a los funcionarios de libertad condicional a determinar el nivel de supervisión al que debe someterse una persona en libertad condicional y qué intervenciones podrían implementarse para mejorar el estado de riesgo del delincuente. [74] El Perfil de Gestión de Infractores Correccionales para Sanciones Alternativas (COMPAS) es una evaluación de riesgos también diseñada para medir el riesgo de liberación previa al juicio, el riesgo de reincidencia general y el riesgo de reincidencia violenta. La información detallada sobre la puntuación y los algoritmos de COMPAS no es accesible al público en general.