La gestión de riesgos es la identificación, evaluación y priorización de los riesgos , seguida de la minimización, el seguimiento y el control del impacto o la probabilidad de que dichos riesgos ocurran. [1]
Los riesgos pueden provenir de varias fuentes (es decir, amenazas ), incluida la incertidumbre en los mercados internacionales , la inestabilidad política , los peligros de fallas del proyecto (en cualquier fase del diseño, desarrollo, producción o mantenimiento de los ciclos de vida), las responsabilidades legales , el riesgo crediticio , los accidentes , las causas naturales y los desastres , el ataque deliberado de un adversario o los eventos de causa raíz incierta o impredecible .
Existen dos tipos de eventos: riesgos y oportunidades. Los eventos negativos pueden clasificarse como riesgos, mientras que los eventos positivos se clasifican como oportunidades. Varias instituciones han desarrollado estándares de gestión de riesgos, incluido el Project Management Institute , el National Institute of Standards and Technology , sociedades actuariales y la Organización Internacional de Normalización . [2] [3] [4] Los métodos, definiciones y objetivos varían ampliamente según si el método de gestión de riesgos se aplica en el contexto de la gestión de proyectos , la seguridad , la ingeniería , los procesos industriales , las carteras financieras , las evaluaciones actuariales o la salud y seguridad públicas . Ciertos estándares de gestión de riesgos han sido criticados por no tener una mejora mensurable en el riesgo, mientras que la confianza en las estimaciones y las decisiones parece aumentar. [1]
Las estrategias para gestionar amenazas (incertidumbres con consecuencias negativas) suelen incluir evitar la amenaza, reducir el efecto negativo o la probabilidad de la amenaza, transferir toda o parte de la amenaza a otra parte e incluso retener algunas o todas las consecuencias potenciales o reales de una amenaza en particular. La estrategia opuesta a estas estrategias se puede utilizar para responder a las oportunidades (estados futuros inciertos con beneficios).
Como función profesional , un gerente de riesgos [5] "supervisará el programa integral de seguros y gestión de riesgos de la organización, evaluando e identificando los riesgos que podrían impedir la reputación, la seguridad, la protección o el éxito financiero de la organización", y luego desarrollará planes para minimizar y/o mitigar cualquier resultado (financiero) negativo. Los analistas de riesgos [6] respaldan el lado técnico del enfoque de gestión de riesgos de la organización: una vez que se han recopilado y evaluado los datos de riesgo, los analistas comparten sus hallazgos con sus gerentes, quienes usan esos conocimientos para decidir entre las posibles soluciones. Véase también Director de riesgos , auditoría interna y Gestión de riesgos financieros § Finanzas corporativas .
El riesgo se define como la posibilidad de que ocurra un evento que afecte negativamente el logro de un objetivo. La incertidumbre, por lo tanto, es un aspecto clave del riesgo.
La gestión de riesgos aparece en la literatura científica y de gestión desde la década de 1920. Se convirtió en una ciencia formal en la década de 1950, cuando los artículos y libros con "gestión de riesgos" en el título también aparecen en las búsquedas en bibliotecas. [7] La mayor parte de la investigación estaba inicialmente relacionada con las finanzas y los seguros.
Una norma popular que aclara el vocabulario utilizado en la gestión de riesgos es la Guía ISO 31073:2022 , “Gestión de riesgos — Vocabulario”. [2]
Lo ideal en la gestión de riesgos es seguir un proceso de priorización, en el que se aborden primero los riesgos con mayor pérdida (o impacto) y mayor probabilidad de ocurrencia. Los riesgos con menor probabilidad de ocurrencia y menor pérdida se abordan en orden descendente. En la práctica, el proceso de evaluación del riesgo general puede ser complicado, y la organización tiene que equilibrar los recursos utilizados para mitigarlos entre los riesgos con mayor probabilidad pero menor pérdida y los riesgos con mayor pérdida pero menor probabilidad.
El costo de oportunidad representa un desafío único para los administradores de riesgos. Puede resultar difícil determinar cuándo destinar recursos a la gestión de riesgos y cuándo utilizarlos en otras áreas. Una vez más, la gestión ideal de riesgos optimiza el uso de los recursos (gastos, mano de obra, etc.) y también minimiza los efectos negativos de los riesgos.
Las oportunidades aparecen por primera vez en investigaciones académicas o libros de gestión en la década de 1990. El primer borrador del Project Management Body of Knowledge del PMBoK de 1987 no menciona las oportunidades en absoluto.
Las escuelas modernas de gestión de proyectos reconocen la importancia de las oportunidades. Las oportunidades se han incluido en la literatura sobre gestión de proyectos desde los años 1990, por ejemplo, en el PMBoK, y se convirtieron en una parte importante de la gestión de riesgos de proyectos en los años 2000, [8] cuando los artículos titulados "gestión de oportunidades" también comenzaron a aparecer en las búsquedas en bibliotecas. La gestión de oportunidades se convirtió así en una parte importante de la gestión de riesgos.
La teoría moderna de gestión de riesgos aborda cualquier tipo de evento externo, tanto positivo como negativo. Los riesgos positivos se denominan oportunidades . De manera similar a los riesgos, las oportunidades tienen estrategias de mitigación específicas: explotar, compartir, potenciar, ignorar.
En la práctica, los riesgos se consideran "normalmente negativos". La investigación y la práctica relacionadas con los riesgos se centran mucho más en las amenazas que en las oportunidades. Esto puede dar lugar a fenómenos negativos como la fijación en el objetivo . [9]
En su mayor parte, estos métodos constan de los siguientes elementos, realizados, más o menos, en el siguiente orden:
El área de conocimiento de gestión de riesgos, según lo define el Project Management Body of Knowledge (PMBoK), consta de los siguientes procesos:
La Organización Internacional de Normalización (ISO) identifica los siguientes principios para la gestión de riesgos: [3]
Benoit Mandelbrot distinguió entre riesgo "leve" y "salvaje" y sostuvo que la evaluación y gestión del riesgo deben ser fundamentalmente diferentes para los dos tipos de riesgo. [11] El riesgo leve sigue distribuciones de probabilidad normales o casi normales , está sujeto a regresión a la media y a la ley de los grandes números y, por lo tanto, es relativamente predecible. El riesgo salvaje sigue distribuciones de cola gruesa , por ejemplo, distribuciones de Pareto o de ley de potencia , está sujeto a regresión a la cola (media o varianza infinita, lo que hace que la ley de los grandes números sea inválida o ineficaz) y, por lo tanto, es difícil o imposible de predecir. Un error común en la evaluación y gestión del riesgo es subestimar el carácter salvaje del riesgo, asumiendo que el riesgo es leve cuando, de hecho, es salvaje, lo que debe evitarse si se quiere que la evaluación y gestión del riesgo sean válidas y fiables, según Mandelbrot.
Según la norma ISO 31000 , “Gestión de riesgos – Directrices”, el proceso de gestión de riesgos consta de varios pasos como se detalla a continuación: [3]
Esto implica:
Una vez establecido el contexto, el siguiente paso en el proceso de gestión de riesgos es identificar los riesgos potenciales. Los riesgos se refieren a eventos que, cuando se desencadenan, causan problemas o beneficios. Por lo tanto, la identificación de riesgos puede comenzar con la fuente de los problemas y los de los competidores (beneficio), o con las consecuencias del problema.
Algunos ejemplos de fuentes de riesgo son: las partes interesadas de un proyecto, los empleados de una empresa o el clima en un aeropuerto.
Cuando se conoce la fuente o el problema, se pueden investigar los eventos que una fuente puede desencadenar o los eventos que pueden conducir a un problema. Por ejemplo: las partes interesadas que se retiran durante un proyecto pueden poner en peligro la financiación del mismo; los empleados pueden robar información confidencial incluso dentro de una red cerrada; un rayo que cae sobre un avión durante el despegue puede provocar víctimas inmediatas a todas las personas a bordo.
El método elegido para identificar los riesgos puede depender de la cultura, las prácticas de la industria y el cumplimiento normativo. Los métodos de identificación se forman mediante plantillas o el desarrollo de plantillas para identificar la fuente, el problema o el evento. Los métodos de identificación de riesgos más comunes son:
Una vez identificados los riesgos, es necesario evaluarlos en cuanto a la gravedad potencial de su impacto (generalmente un impacto negativo, como daños o pérdidas) y la probabilidad de que ocurran. Estas cantidades pueden ser fáciles de medir, en el caso del valor de un edificio perdido, o imposibles de saber con certeza en el caso de un evento improbable, cuya probabilidad de ocurrencia es desconocida. Por lo tanto, en el proceso de evaluación es fundamental tomar las decisiones más informadas para priorizar adecuadamente la implementación del plan de gestión de riesgos .
Incluso una mejora positiva a corto plazo puede tener efectos negativos a largo plazo. Tomemos el ejemplo de las autopistas de peaje. Se ensancha una autopista para permitir más tráfico. Una mayor capacidad de tráfico conduce a un mayor desarrollo en las zonas que rodean la capacidad de tráfico mejorada. Con el tiempo, el tráfico aumenta para llenar la capacidad disponible. Por lo tanto, las autopistas de peaje deben ampliarse en ciclos aparentemente interminables. Hay muchos otros ejemplos de ingeniería en los que la capacidad ampliada (para realizar cualquier función) se llena rápidamente con una mayor demanda. Dado que la expansión tiene un costo, el crecimiento resultante podría volverse insostenible sin previsión y gestión.
La dificultad fundamental en la evaluación de riesgos es determinar la tasa de ocurrencia, ya que no se dispone de información estadística sobre todos los tipos de incidentes pasados y es particularmente escasa en el caso de eventos catastróficos, simplemente por su poca frecuencia. Además, evaluar la gravedad de las consecuencias (impacto) suele ser bastante difícil para los activos intangibles. La valoración de activos es otra cuestión que debe abordarse. Por lo tanto, las opiniones mejor informadas y las estadísticas disponibles son las principales fuentes de información. Sin embargo, la evaluación de riesgos debe producir tal información para los altos ejecutivos de la organización que los riesgos primarios sean fáciles de entender y que las decisiones de gestión de riesgos puedan priorizarse dentro de los objetivos generales de la empresa. Por lo tanto, han existido varias teorías e intentos de cuantificar los riesgos. Existen numerosas fórmulas de riesgo diferentes, pero quizás la fórmula más aceptada para la cuantificación del riesgo es: "La tasa (o probabilidad) de ocurrencia multiplicada por el impacto del evento es igual a la magnitud del riesgo". [ vago ]
Las medidas de mitigación de riesgos suelen formularse de acuerdo con una o más de las siguientes opciones de riesgo principales, que son:
Investigaciones posteriores [17] han demostrado que los beneficios financieros de la gestión de riesgos dependen menos de la fórmula utilizada y más de la frecuencia y de cómo se realiza la evaluación de riesgos.
En el mundo de los negocios, es imprescindible poder presentar los resultados de las evaluaciones de riesgos en términos financieros, de mercado o de cronograma. Robert Courtney Jr. (IBM, 1970) propuso una fórmula para presentar los riesgos en términos financieros. La fórmula de Courtney fue aceptada como el método oficial de análisis de riesgos para las agencias gubernamentales de los Estados Unidos. La fórmula propone el cálculo de la ALE (expectativa de pérdida anualizada) y compara el valor de la pérdida esperada con los costos de implementación del control de seguridad ( análisis de costo-beneficio ).
La planificación de la gestión de riesgos utiliza cuatro técnicas esenciales. En la técnica de aceptación, la empresa asume intencionalmente los riesgos sin protección financiera con la esperanza de que las posibles ganancias superen las pérdidas previstas. La estrategia de transferencia protege a la empresa de las pérdidas al trasladar los riesgos a un tercero, con frecuencia a cambio de una comisión, mientras que el tercero se beneficia del proyecto. Al optar por no participar en emprendimientos de alto riesgo, la estrategia de evitación evita pérdidas, pero también pierde posibilidades. Por último, pero no por ello menos importante, la estrategia de reducción disminuye los riesgos mediante la aplicación de estrategias como el seguro, que proporciona protección para una variedad de clases de activos y garantiza el reembolso en caso de pérdidas. [18]
Una vez identificados y evaluados los riesgos, todas las técnicas para gestionarlos se incluyen en una o más de estas cuatro categorías principales: [19]
Puede que no sea posible hacer un uso ideal de estas estrategias de control de riesgos . Algunas de ellas pueden implicar compensaciones que no sean aceptables para la organización o la persona que toma las decisiones de gestión de riesgos. Otra fuente, del Departamento de Defensa de los EE. UU. (ver enlace), Defense Acquisition University , denomina a estas categorías ACAT (por sus siglas en inglés, Avoid, Control, Accept o Transfer). Este uso del acrónimo ACAT recuerda a otro ACAT (por Acquisition Category) utilizado en las adquisiciones de la industria de defensa de los EE. UU., en el que la gestión de riesgos ocupa un lugar destacado en la toma de decisiones y la planificación.
De manera similar a los riesgos, las oportunidades tienen estrategias de mitigación específicas: explotar, compartir, mejorar, ignorar.
Esto incluye no realizar una actividad que podría presentar riesgo. Negarse a comprar una propiedad o negocio para evitar responsabilidad legal es un ejemplo de ello. Evitar vuelos en avión por miedo a un secuestro . Evitar riesgos puede parecer la respuesta a todos los riesgos, pero evitarlos también significa perder la ganancia potencial que podría haber permitido aceptar (retener) el riesgo. No entrar en un negocio para evitar el riesgo de pérdida también evita la posibilidad de obtener ganancias. El aumento de la regulación de riesgos en los hospitales ha llevado a evitar el tratamiento de enfermedades de mayor riesgo, en favor de pacientes que presentan un riesgo menor. [20]
La reducción de riesgos u "optimización" implica reducir la gravedad de la pérdida o la probabilidad de que ocurra. Por ejemplo, los rociadores están diseñados para apagar un incendio y reducir el riesgo de pérdida por incendio. Este método puede causar una mayor pérdida por daño por agua y, por lo tanto, puede no ser adecuado. Los sistemas de extinción de incendios con halón pueden mitigar ese riesgo, pero el costo puede ser prohibitivo como estrategia .
Reconociendo que los riesgos pueden ser positivos o negativos, optimizar los riesgos significa encontrar un equilibrio entre el riesgo negativo y el beneficio de la operación o actividad; y entre la reducción del riesgo y el esfuerzo aplicado. Al aplicar de manera eficaz las normas de gestión de la salud, la seguridad y el medio ambiente (HSE), las organizaciones pueden alcanzar niveles tolerables de riesgo residual . [21]
Las metodologías de desarrollo de software modernas reducen el riesgo al desarrollar y entregar software de manera incremental. Las primeras metodologías tenían el problema de que solo entregaban software en la fase final de desarrollo; cualquier problema que surgiera en las fases anteriores implicaba una costosa repetición del trabajo y, a menudo, ponía en peligro todo el proyecto. Al desarrollar en iteraciones, los proyectos de software pueden limitar el esfuerzo desperdiciado a una única iteración.
La subcontratación puede ser un ejemplo de estrategia de reparto de riesgos si el subcontratista puede demostrar una mayor capacidad para gestionar o reducir los riesgos. [22] Por ejemplo, una empresa puede subcontratar únicamente el desarrollo de software, la fabricación de bienes duraderos o las necesidades de atención al cliente a otra empresa, mientras que ella misma se encarga de la gestión empresarial. De esta forma, la empresa puede concentrarse más en el desarrollo empresarial sin tener que preocuparse tanto por el proceso de fabricación, la gestión del equipo de desarrollo o la búsqueda de una ubicación física para un centro. Además, la implantación de controles también puede ser una opción para reducir el riesgo. Controles que detecten las causas de los eventos no deseados antes de que se produzcan las consecuencias durante el uso del producto, o que detecten las causas fundamentales de los fallos no deseados que el equipo pueda evitar. Los controles pueden centrarse en los procesos de gestión o de toma de decisiones. Todo ello puede ayudar a tomar mejores decisiones en relación con el riesgo. [23]
Definido brevemente como "compartir con otra parte la carga de la pérdida o el beneficio de la ganancia, proveniente de un riesgo, y las medidas para reducir un riesgo".
El término "transferencia de riesgo" se utiliza a menudo en lugar de "compartir el riesgo" en la creencia errónea de que se puede transferir un riesgo a un tercero a través de un seguro o de la subcontratación. En la práctica, si la compañía de seguros o el contratista quiebran o terminan en los tribunales, es probable que el riesgo original vuelva a recaer en la primera parte. Por ello, en la terminología de los profesionales y los académicos, la compra de un contrato de seguro se describe a menudo como una "transferencia de riesgo". Sin embargo, técnicamente hablando, el comprador del contrato generalmente conserva la responsabilidad legal por las pérdidas "transferidas", lo que significa que el seguro puede describirse con mayor precisión como un mecanismo de compensación posterior al evento. Por ejemplo, una póliza de seguro de lesiones personales no transfiere el riesgo de un accidente de tráfico a la compañía de seguros. El riesgo sigue estando en manos del asegurado, es decir, la persona que ha estado en el accidente. La póliza de seguro simplemente establece que si ocurre un accidente (el evento) que involucra al asegurado, se le puede pagar una compensación al asegurado que sea proporcional al sufrimiento/daño.
Los métodos de gestión del riesgo se dividen en varias categorías. Los fondos de retención de riesgos técnicamente retienen el riesgo para el grupo, pero distribuirlo entre todo el grupo implica una transferencia entre los miembros individuales del grupo. Esto es diferente del seguro tradicional, en el sentido de que no se intercambia ninguna prima entre los miembros del grupo por adelantado, sino que las pérdidas se evalúan para todos los miembros del grupo.
La retención de riesgos implica aceptar la pérdida, o el beneficio de la ganancia, de un riesgo cuando ocurre el incidente. El verdadero autoseguro cae en esta categoría. La retención de riesgos es una estrategia viable para riesgos pequeños en los que el costo de asegurar contra el riesgo sería mayor con el tiempo que las pérdidas totales sufridas. Todos los riesgos que no se evitan o transfieren se retienen por defecto. Esto incluye los riesgos que son tan grandes o catastróficos que no se pueden asegurar o las primas serían inviables. La guerra es un ejemplo, ya que la mayoría de las propiedades y los riesgos no están asegurados contra la guerra, por lo que la pérdida atribuida a la guerra es retenida por el asegurado. También cualquier monto de pérdida potencial (riesgo) que exceda el monto asegurado es riesgo retenido. Esto también puede ser aceptable si la probabilidad de una pérdida muy grande es pequeña o si el costo de asegurar montos de cobertura mayores es tan grande que obstaculizaría demasiado los objetivos de la organización.
Seleccione los controles o contramedidas adecuados para mitigar cada riesgo. La mitigación de riesgos debe ser aprobada por el nivel de gestión adecuado. Por ejemplo, un riesgo relacionado con la imagen de la organización debe contar con la aprobación de la alta dirección, mientras que la dirección de TI tendría la autoridad para decidir sobre los riesgos de virus informáticos.
El plan de gestión de riesgos debe proponer controles de seguridad aplicables y eficaces para gestionar los riesgos. Por ejemplo, un alto riesgo observado de virus informáticos podría mitigarse mediante la adquisición e implementación de un software antivirus. Un buen plan de gestión de riesgos debe contener un cronograma para la implementación de controles y personas responsables de esas acciones. Hay cuatro pasos básicos del plan de gestión de riesgos, que son la evaluación de amenazas, la evaluación de vulnerabilidades, la evaluación de impacto y el desarrollo de una estrategia de mitigación de riesgos. [24]
Según la norma ISO/IEC 27001 , la etapa inmediatamente posterior a la finalización de la fase de evaluación de riesgos consiste en preparar un Plan de Tratamiento de Riesgos, que debe documentar las decisiones sobre cómo se debe gestionar cada uno de los riesgos identificados. La mitigación de riesgos a menudo implica la selección de controles de seguridad , que deben documentarse en una Declaración de Aplicabilidad, que identifica qué objetivos de control y controles particulares de la norma se han seleccionado y por qué.
La implementación sigue todos los métodos planificados para mitigar el efecto de los riesgos. Contratar pólizas de seguros para los riesgos que se ha decidido transferir a una aseguradora, evitar todos los riesgos que se puedan evitar sin sacrificar los objetivos de la entidad, reducir otros y retener el resto.
Los planes iniciales de gestión de riesgos nunca serán perfectos. La práctica, la experiencia y los resultados reales de las pérdidas requerirán cambios en el plan y aportarán información que permita tomar posibles decisiones diferentes para hacer frente a los riesgos a los que se enfrenta.
Los resultados del análisis de riesgos y los planes de gestión deben actualizarse periódicamente. Existen dos razones principales para ello:
La gestión de riesgos empresariales (ERM) define el riesgo como aquellos posibles eventos o circunstancias que pueden tener influencias negativas sobre la empresa en cuestión, donde el impacto puede ser sobre la propia existencia, los recursos (humanos y de capital), los productos y servicios, o los clientes de la empresa, así como impactos externos sobre la sociedad, los mercados o el medio ambiente. Aquí hay varios marcos definidos , donde cada riesgo probable puede tener un plan pre-formulado para lidiar con sus posibles consecuencias (para asegurar la contingencia si el riesgo se convierte en un pasivo ). De esta manera, los gerentes analizan y monitorean tanto el entorno interno como el externo que enfrenta la empresa, abordando el riesgo comercial en general y cualquier impacto en la consecución de los objetivos estratégicos de la empresa . De esta manera, la ERM se superpone a varias otras disciplinas ( gestión del riesgo operativo , gestión del riesgo financiero , etc.), pero se diferencia por su enfoque estratégico y de largo plazo. [25] Los sistemas ERM generalmente se enfocan en salvaguardar la reputación, reconociendo su papel significativo en las estrategias integrales de gestión de riesgos. [26]
Tal como se aplica al ámbito financiero , la gestión de riesgos se refiere a las técnicas y prácticas para medir, monitorear y controlar el riesgo de mercado y de crédito (y el riesgo operacional ) en el balance de una empresa , en la exposición crediticia de un banco o en el valor de la cartera de un administrador de fondos ; para obtener una descripción general, consulte Finanzas § Gestión de riesgos .
El concepto de “gestión de riesgos contractuales” hace hincapié en el uso de técnicas de gestión de riesgos en la ejecución de contratos, es decir, en la gestión de los riesgos que se aceptan al celebrar un contrato. El académico noruego Petri Keskitalo define la “gestión de riesgos contractuales” como “un método de contratación práctico, proactivo y sistemático que utiliza la planificación y la gobernanza de los contratos para gestionar los riesgos relacionados con las actividades comerciales”. [27] En un artículo de Samuel Greengard publicado en 2010, se mencionan dos casos judiciales estadounidenses que enfatizan la importancia de tener una estrategia para abordar el riesgo: [28]
Greengard recomienda utilizar un lenguaje contractual estándar de la industria tanto como sea posible para reducir el riesgo tanto como sea posible y confiar en cláusulas que han estado en uso y sujetas a la interpretación judicial establecida durante varios años. [28]
La gestión de riesgos aduaneros se ocupa de los riesgos que surgen en el contexto del comercio internacional y que tienen relación con la seguridad y la protección, incluido el riesgo de que las drogas ilícitas y las mercancías falsificadas puedan pasar a través de las fronteras y el riesgo de que los envíos y sus contenidos se declaren incorrectamente. [31] La Unión Europea ha adoptado un Marco de Gestión de Riesgos Aduaneros (CRMF) aplicable en toda la Unión y en todos sus Estados miembros , cuyos objetivos incluyen establecer un nivel común de protección del control aduanero y un equilibrio entre los objetivos de un control aduanero seguro y la facilitación del comercio legítimo. [32] Dos eventos que llevaron a la Comisión Europea a revisar la política de gestión de riesgos aduaneros en 2012-13 fueron los ataques del 11 de septiembre de 2001 y el complot transatlántico de bombas en un avión en 2010 que involucraba paquetes que se enviaban desde Yemen a los Estados Unidos , al que la Comisión se refirió como "el incidente de octubre de 2010 (Yemen)". [33]
ESRM es un enfoque de gestión de programas de seguridad que vincula las actividades de seguridad con la misión y los objetivos comerciales de una empresa a través de métodos de gestión de riesgos. El rol del líder de seguridad en ESRM es gestionar los riesgos de daño a los activos de la empresa en asociación con los líderes empresariales cuyos activos están expuestos a esos riesgos. ESRM implica educar a los líderes empresariales sobre los impactos realistas de los riesgos identificados, presentar estrategias potenciales para mitigar esos impactos y luego implementar la opción elegida por la empresa de acuerdo con los niveles aceptados de tolerancia al riesgo empresarial [34].
En el caso de los dispositivos médicos , la gestión de riesgos es un proceso para identificar, evaluar y mitigar los riesgos asociados con daños a las personas y daños a la propiedad o al medio ambiente. La gestión de riesgos es una parte integral del diseño y desarrollo de dispositivos médicos, los procesos de producción y la evaluación de la experiencia de campo, y es aplicable a todo tipo de dispositivos médicos. La evidencia de su aplicación es requerida por la mayoría de los organismos reguladores, como la FDA de EE. UU . La gestión de riesgos para dispositivos médicos está descrita por la Organización Internacional de Normalización (ISO) en ISO 14971:2019 , Dispositivos médicos: la aplicación de la gestión de riesgos a los dispositivos médicos, una norma de seguridad de productos. La norma proporciona un marco de procesos y requisitos asociados para las responsabilidades de gestión, el análisis y la evaluación de riesgos, los controles de riesgos y la gestión de riesgos del ciclo de vida. La orientación sobre la aplicación de la norma está disponible a través de ISO/TR 24971:2020.
La versión europea de la norma de gestión de riesgos se actualizó en 2009 y nuevamente en 2012 para hacer referencia a la Directiva de dispositivos médicos (MDD) y la Directiva de dispositivos médicos implantables activos (AIMDD) revisada en 2007, así como a la Directiva de dispositivos médicos in vitro (IVDD). Los requisitos de la norma EN 14971:2012 son casi idénticos a los de la norma ISO 14971:2007. Las diferencias incluyen tres Anexos Z "(informativos)" que hacen referencia a la nueva MDD, AIMDD e IVDD. Estos anexos indican desviaciones de contenido que incluyen el requisito de que los riesgos se reduzcan lo más posible y el requisito de que los riesgos se mitiguen mediante el diseño y no mediante el etiquetado en el dispositivo médico (es decir, el etiquetado ya no se puede utilizar para mitigar el riesgo).
Las técnicas típicas de análisis y evaluación de riesgos adoptadas por la industria de dispositivos médicos incluyen análisis de peligros , análisis de árbol de fallas (FTA), análisis de modo de falla y efectos (FMEA), estudio de peligros y operabilidad ( HAZOP ) y análisis de trazabilidad de riesgos para garantizar que se implementen controles de riesgo y sean efectivos (es decir, seguimiento de los riesgos identificados para los requisitos del producto, especificaciones de diseño, resultados de verificación y validación, etc.). El análisis de FTA requiere software de diagramación. El análisis FMEA se puede realizar utilizando un programa de hoja de cálculo . También existen soluciones integradas de gestión de riesgos de dispositivos médicos.
A través de un borrador de guía, la FDA ha introducido otro método llamado "Caso de Garantía de Seguridad" para el análisis de garantía de seguridad de dispositivos médicos. El caso de garantía de seguridad es un razonamiento argumentativo estructurado sobre sistemas apropiados para científicos e ingenieros, respaldado por un conjunto de evidencias, que proporciona un caso convincente, comprensible y válido de que un sistema es seguro para una aplicación determinada en un entorno determinado. Con la guía, se espera un caso de garantía de seguridad para dispositivos críticos para la seguridad (por ejemplo, dispositivos de infusión) como parte de la presentación de la autorización previa a la comercialización, por ejemplo, 510(k). En 2013, la FDA presentó otro borrador de guía que esperaba que los fabricantes de dispositivos médicos presentaran información de análisis de riesgos de ciberseguridad.
La gestión de riesgos de proyectos debe tenerse en cuenta en las diferentes fases de adquisición. Al comienzo de un proyecto, el avance de los desarrollos técnicos o las amenazas que presentan los proyectos de un competidor pueden provocar una evaluación de riesgos o amenazas y una posterior evaluación de alternativas (véase Análisis de alternativas ). Una vez tomada una decisión y comenzado el proyecto, se pueden utilizar aplicaciones de gestión de proyectos más conocidas: [35] [36] [37]
Los megaproyectos (a veces también llamados "grandes programas") son proyectos de inversión a gran escala, cuyo costo suele superar los mil millones de dólares cada uno. Entre ellos se incluyen grandes puentes, túneles, autopistas, ferrocarriles, aeropuertos, puertos marítimos, centrales eléctricas, represas, proyectos de tratamiento de aguas residuales, sistemas de protección contra inundaciones costeras, proyectos de extracción de petróleo y gas natural, edificios públicos, sistemas de tecnología de la información, proyectos aeroespaciales y sistemas de defensa. Se ha demostrado que los megaproyectos son particularmente riesgosos en términos de finanzas, seguridad e impactos sociales y ambientales. Por lo tanto, la gestión de riesgos es particularmente pertinente para los megaproyectos y se han desarrollado métodos especiales y educación especial para dicha gestión de riesgos. [38]
Es importante evaluar el riesgo en relación con desastres naturales como inundaciones , terremotos , etc. Los resultados de la evaluación del riesgo de desastres naturales son valiosos al considerar los costos futuros de reparación, las pérdidas por interrupción de negocios y otros tiempos de inactividad, los efectos sobre el medio ambiente, los costos de seguros y los costos propuestos para reducir el riesgo. [39] [40] El Marco de Sendai para la Reducción del Riesgo de Desastres es un acuerdo internacional de 2015 que ha establecido objetivos y metas para la reducción del riesgo de desastres en respuesta a los desastres naturales. [41] En Davos se celebran periódicamente Conferencias Internacionales sobre Desastres y Riesgos para abordar la gestión integral del riesgo.
Se pueden utilizar varias herramientas para evaluar y gestionar el riesgo de desastres naturales y otros fenómenos climáticos, entre ellas, la modelización geoespacial, un componente clave de la ciencia del cambio climático . Esta modelización requiere una comprensión de las distribuciones geográficas de las personas, así como la capacidad de calcular la probabilidad de que ocurra un desastre natural.
La gestión de riesgos para las personas y la propiedad en áreas naturales remotas y silvestres ha evolucionado con el aumento de la participación en actividades recreativas al aire libre y la disminución de la tolerancia social a las pérdidas. Las organizaciones que ofrecen experiencias comerciales en áreas silvestres ahora pueden alinearse con los estándares de consenso nacionales e internacionales para capacitación y equipamiento, como ANSI /NASBLA 101-2017 (navegación), [42] UIAA 152 (herramientas para escalada en hielo), [43] y la Norma Europea 13089:2015 + A1:2015 (equipo de montañismo). [44] [45] La Asociación para la Educación Experiencial ofrece acreditación para programas de aventuras en áreas silvestres. [46] La Conferencia de Gestión de Riesgos en Áreas Silvestres brinda acceso a las mejores prácticas, y organizaciones especializadas brindan consultoría y capacitación en gestión de riesgos en áreas silvestres. [47]
El texto Outdoor Safety – Risk Management for Outdoor Leaders, [48] publicado por el Consejo de Seguridad de Montaña de Nueva Zelanda, ofrece una visión de la gestión de riesgos en áreas silvestres desde la perspectiva de Nueva Zelanda, reconociendo el valor de la legislación nacional sobre seguridad al aire libre y dedicando considerable atención a los roles de los procesos de juicio y toma de decisiones en la gestión de riesgos en áreas silvestres.
Uno de los modelos más populares para la evaluación de riesgos es el Modelo de Evaluación de Riesgos y Gestión de Seguridad (RASM, por sus siglas en inglés) desarrollado por Rick Curtis, autor de The Backpacker's Field Manual. [49] La fórmula para el Modelo RASM es: Riesgo = Probabilidad de Accidente × Gravedad de las Consecuencias. El Modelo RASM pondera el riesgo negativo (el potencial de pérdida) contra el riesgo positivo (el potencial de crecimiento).
El riesgo de TI es un riesgo relacionado con la tecnología de la información. Se trata de un término relativamente nuevo debido a la creciente conciencia de que la seguridad de la información es simplemente una faceta de una multitud de riesgos que son relevantes para la TI y los procesos del mundo real que respalda. "La ciberseguridad está estrechamente vinculada al avance de la tecnología. Se retrasa sólo el tiempo suficiente para que surjan incentivos como los mercados negros y se descubran nuevos exploits. No se vislumbra un final para el avance de la tecnología, por lo que podemos esperar lo mismo de la ciberseguridad". [50]
El marco de trabajo de riesgo de TI de ISACA vincula el riesgo de TI con la gestión de riesgos empresariales. El análisis de riesgo de deber de cuidado (DoCRA) evalúa los riesgos y sus salvaguardas y considera los intereses de todas las partes potencialmente afectadas por esos riesgos. [51] El informe de investigaciones de violación de datos de Verizon (DBIR) presenta cómo las organizaciones pueden aprovechar la base de datos de la comunidad de Veris (VCDB) para estimar el riesgo. Al utilizar la metodología HALOCK dentro de CIS RAM y los datos de VCDB, los profesionales pueden determinar la probabilidad de amenazas para sus industrias.
La gestión de riesgos de TI incluye la " gestión de incidentes ", un plan de acción para hacer frente a intrusiones, robos cibernéticos, denegación de servicio, incendios, inundaciones y otros eventos relacionados con la seguridad. Según el SANS Institute , es un proceso de seis pasos: preparación, identificación, contención, erradicación, recuperación y lecciones aprendidas. [52]
La gestión del riesgo operativo (GRO) es la supervisión del riesgo operativo , incluido el riesgo de pérdida resultante de: procesos y sistemas internos inadecuados o fallidos; factores humanos; o eventos externos. Dada la naturaleza de las operaciones , la GRO es típicamente un proceso "continuo" e incluirá la evaluación de riesgos en curso, la toma de decisiones sobre riesgos y la implementación de controles de riesgo.
En el caso de la industria del petróleo y el gas en alta mar, la gestión de riesgos operativos está regulada por el régimen de casos de seguridad en muchos países. Las herramientas y técnicas de identificación de peligros y evaluación de riesgos se describen en la norma internacional ISO 17776:2000, y organizaciones como la IADC (Asociación Internacional de Contratistas de Perforación) publican directrices para el desarrollo de casos de salud, seguridad y medio ambiente (HSE) que se basan en la norma ISO. Además, los reguladores gubernamentales suelen esperar representaciones diagramáticas de eventos peligrosos como parte de la gestión de riesgos en las presentaciones de casos de seguridad; estos se conocen como diagramas de pajarita (consulte Teoría de redes en la evaluación de riesgos ). La técnica también la utilizan organizaciones y reguladores en minería, aviación, salud, defensa, industria y finanzas.
Los principios y herramientas para la gestión de riesgos de calidad se aplican cada vez más a diferentes aspectos de los sistemas de calidad farmacéutica. Estos aspectos incluyen los procesos de desarrollo, fabricación, distribución, inspección y presentación/revisión a lo largo del ciclo de vida de las sustancias farmacéuticas, los productos farmacéuticos, los productos biológicos y biotecnológicos (incluido el uso de materias primas, disolventes, excipientes, materiales de envasado y etiquetado en productos farmacéuticos, productos biológicos y biotecnológicos). La gestión de riesgos también se aplica a la evaluación de la contaminación microbiológica en relación con los productos farmacéuticos y los entornos de fabricación en salas blancas. [53]
La gestión de riesgos de la cadena de suministro (SCRM) tiene como objetivo mantener la continuidad de la cadena de suministro en caso de escenarios o incidentes que puedan interrumpir el funcionamiento normal de la empresa y, por lo tanto, su rentabilidad. Los riesgos para la cadena de suministro varían desde los cotidianos hasta los excepcionales, incluidos los eventos naturales impredecibles (como tsunamis y pandemias ) y los productos falsificados, y abarcan la calidad, la seguridad, la resiliencia y la integridad del producto. La mitigación de estos riesgos puede involucrar varios elementos de la empresa, como la logística y la ciberseguridad, así como las áreas de finanzas y operaciones.
La comunicación de riesgos es un campo académico interdisciplinario complejo que forma parte de la gestión de riesgos y está relacionado con campos como la comunicación de crisis . El objetivo es asegurarse de que las audiencias objetivo comprendan cómo los riesgos los afectan a ellos o a sus comunidades apelando a sus valores. [54] [55]
La comunicación de riesgos es particularmente importante en la preparación para desastres , [56] salud pública , [57] y preparación para riesgos catastróficos globales mayores . [56] Por ejemplo, los impactos del cambio climático y el riesgo climático afectan a cada parte de la sociedad, por lo que comunicar ese riesgo es una práctica importante de comunicación climática , para que las sociedades planifiquen la adaptación climática . [58] De manera similar, en la prevención de pandemias , la comprensión del riesgo ayuda a las comunidades a detener la propagación de enfermedades y mejorar las respuestas. [59]
La comunicación de riesgos se ocupa de los posibles riesgos y tiene como objetivo crear conciencia sobre ellos para alentar o persuadir a que se produzcan cambios en el comportamiento que permitan aliviar las amenazas a largo plazo. Por otra parte, la comunicación de crisis tiene como objetivo crear conciencia sobre un tipo específico de amenaza, su magnitud, sus resultados y los comportamientos específicos que se deben adoptar para reducir la amenaza. [60]
La comunicación de riesgos en materia de inocuidad alimentaria forma parte del marco de análisis de riesgos . Junto con la evaluación y la gestión de riesgos, la comunicación de riesgos tiene por objeto reducir las enfermedades transmitidas por los alimentos . La comunicación de riesgos en materia de inocuidad alimentaria es una actividad obligatoria para las autoridades de inocuidad alimentaria [61] en los países que adoptaron el Acuerdo sobre la Aplicación de Medidas Sanitarias y Fitosanitarias .
La comunicación de riesgos también existe en menor escala. Por ejemplo, los riesgos asociados a decisiones médicas personales deben ser comunicados a esa persona y a su familia. [62]