La evaluación de riesgos determina posibles accidentes, su probabilidad y consecuencias, y las tolerancias para tales eventos. [1] Los resultados de este proceso pueden expresarse de manera cuantitativa o cualitativa . La evaluación de riesgos es una parte inherente de una estrategia más amplia de gestión de riesgos para ayudar a reducir cualquier posible consecuencia relacionada con los riesgos. [1] [2]
Más precisamente, la evaluación de riesgos identifica y analiza eventos potenciales (futuros) que pueden afectar negativamente a las personas, los activos y/o el medio ambiente (es decir, análisis de peligros ). También realiza juicios "sobre la tolerabilidad del riesgo sobre la base de un análisis de riesgos" al tiempo que considera los factores influyentes (es decir, evaluación de riesgos). [1] [2]
Las evaluaciones de riesgo se pueden realizar en casos individuales, incluidas las interacciones entre pacientes y médicos. [3] En sentido estricto, la evaluación del riesgo químico es la evaluación de un riesgo para la salud en respuesta a exposiciones ambientales. [4] Las formas en que se expresan y comunican las estadísticas a un individuo, tanto a través de palabras como de números, afectan su interpretación de los beneficios y los daños. Por ejemplo, una tasa de mortalidad puede interpretarse como menos benigna que la tasa de supervivencia correspondiente . [3] Una revisión sistemática de pacientes y médicos de 2017 encontró que la exageración de los beneficios y la subestimación de los riesgos ocurrieron con mayor frecuencia que la alternativa. [3] [5] Una revisión sistemática de la colaboración Cochrane sugirió que las "ayudas para la toma de decisiones bien documentadas" son útiles para reducir los efectos de tales tendencias o sesgos. [3] [6] Las ayudas pueden ayudar a las personas a tomar una decisión sobre su atención basada en información basada en evidencia que se alinee con sus valores. [6] Las ayudas para la toma de decisiones también pueden ayudar a las personas a comprender los riesgos con mayor claridad y empoderan a las personas para que asuman un papel activo al tomar decisiones médicas. [6] La revisión sistemática no encontró diferencias en las personas que se arrepintieron de sus decisiones entre quienes utilizaron ayudas para la toma de decisiones y quienes recibieron el tratamiento estándar habitual. [6]
La percepción de riesgo de un individuo puede verse afectada por factores psicológicos, ideológicos, religiosos o subjetivos que inciden en la racionalidad del proceso. [3] Los individuos tienden a ser menos racionales cuando los riesgos y las exposiciones los afectan a ellos mismos en lugar de a otros. [3] También existe una tendencia a subestimar los riesgos que son voluntarios o cuando el individuo se considera que tiene el control, como el tabaquismo. [3]
La evaluación de riesgos también puede realizarse a una escala de teoría de sistemas mucho mayor , por ejemplo, evaluando los riesgos de un ecosistema o un sistema mecánico, electrónico, nuclear y biológico interactivamente complejo o un huracán (un sistema meteorológico y geográfico complejo). Los sistemas pueden definirse como lineales y no lineales (o complejos), donde los sistemas lineales son predecibles y relativamente fáciles de entender dado un cambio en la entrada, y los sistemas no lineales son impredecibles cuando se cambian las entradas. [7] Como tal, las evaluaciones de riesgos de sistemas no lineales/complejos tienden a ser más desafiantes.
En la ingeniería de sistemas complejos , a menudo se realizan evaluaciones de riesgos sofisticadas dentro de la ingeniería de seguridad y la ingeniería de confiabilidad cuando se trata de amenazas a la vida, el medio ambiente natural o el funcionamiento de las máquinas. Las industrias agrícola, nuclear, aeroespacial, petrolera, química, ferroviaria y militar tienen una larga historia de manejo de la evaluación de riesgos. [8] Además, las industrias médica, hospitalaria, de servicios sociales [9] y alimentaria controlan los riesgos y realizan evaluaciones de riesgos de forma continua. Los métodos para la evaluación de riesgos pueden diferir entre industrias y si se relacionan con decisiones financieras generales o evaluación de riesgos ambientales, ecológicos o de salud pública. [8]
Se ha demostrado que el rápido cambio tecnológico, la creciente escala de los complejos industriales, la mayor integración de sistemas, la competencia de mercado y otros factores han aumentado el riesgo social en las últimas décadas. [1] Por ello, las evaluaciones de riesgos se vuelven cada vez más críticas para mitigar accidentes, mejorar la seguridad y mejorar los resultados. La evaluación de riesgos consiste en una evaluación objetiva del riesgo en la que se consideran y presentan claramente los supuestos e incertidumbres. Esto implica la identificación del riesgo (qué puede suceder y por qué), las posibles consecuencias, la probabilidad de ocurrencia , la tolerabilidad o aceptabilidad del riesgo y las formas de mitigar o reducir la probabilidad del riesgo. [2] De manera óptima, también implica la documentación de la evaluación de riesgos y sus hallazgos, la implementación de métodos de mitigación y la revisión de la evaluación (o plan de gestión de riesgos), junto con actualizaciones cuando sea necesario. [1] A veces, los riesgos pueden considerarse aceptables, lo que significa que el riesgo "se entiende y se tolera ... generalmente porque el costo o la dificultad de implementar una contramedida efectiva para la vulnerabilidad asociada excede la expectativa de pérdida". [10]
Benoit Mandelbrot distinguió entre riesgo "leve" y "salvaje" y sostuvo que la evaluación y la gestión del riesgo deben ser fundamentalmente diferentes para los dos tipos de riesgo. [11] El riesgo leve sigue distribuciones de probabilidad normales o casi normales , está sujeto a regresión a la media y a la ley de los grandes números y, por lo tanto, es relativamente predecible. El riesgo salvaje sigue distribuciones de cola gruesa , por ejemplo, distribuciones de Pareto o de ley de potencia , está sujeto a regresión a la cola (media o varianza infinita, lo que hace que la ley de los grandes números sea inválida o ineficaz) y, por lo tanto, es difícil o imposible de predecir. Un error común en la evaluación y la gestión del riesgo es subestimar la naturaleza salvaje del riesgo, asumiendo que el riesgo es leve cuando, de hecho, es salvaje, lo que debe evitarse si se quiere que la evaluación y la gestión del riesgo sean válidas y fiables, según Mandelbrot.
Para ver el proceso de gestión de riesgos expresado matemáticamente, se puede definir el riesgo esperado como la suma de los riesgos individuales, , que puede calcularse como el producto de las pérdidas potenciales, , y sus probabilidades, :
Aunque para algunos riesgos , podríamos tener , si la probabilidad es pequeña en comparación con , su estimación podría basarse solo en un número menor de eventos anteriores y, por lo tanto, más incierta. Por otro lado, dado que , debe ser mayor que , las decisiones basadas en esta incertidumbre serían más importantes y, por lo tanto, justificarían un enfoque diferente.
Esto se vuelve importante cuando consideramos la varianza del riesgo.
como un gran cambio el valor.
Las decisiones financieras, como las relacionadas con los seguros, expresan las pérdidas en términos de montos en dólares. Cuando se utiliza la evaluación de riesgos para decisiones ambientales o de salud pública, la pérdida se puede cuantificar en una métrica común, como la moneda de un país o alguna medida numérica de la calidad de vida de un lugar. En el caso de las decisiones ambientales y de salud pública, la pérdida es simplemente una descripción verbal del resultado, como un aumento en la incidencia del cáncer o de los defectos congénitos. En ese caso, el "riesgo" se expresa como
Si la estimación del riesgo tiene en cuenta la información sobre el número de personas expuestas, se denomina "riesgo poblacional" y se expresa en unidades de aumento esperado de casos por período de tiempo. Si la estimación del riesgo no tiene en cuenta el número de personas expuestas, se denomina "riesgo individual" y se expresa en unidades de tasa de incidencia por período de tiempo. Los riesgos poblacionales son más útiles para el análisis de costo-beneficio; los riesgos individuales son más útiles para evaluar si los riesgos para los individuos son "aceptables".
En la evaluación cuantitativa de riesgos, se puede utilizar una expectativa de pérdida anualizada (ALE) para justificar el costo de implementar contramedidas para proteger un activo. Esta puede calcularse multiplicando la expectativa de pérdida única (SLE), que es la pérdida de valor basada en un solo incidente de seguridad, por la tasa de ocurrencia anualizada (ARO), que es una estimación de la frecuencia con la que una amenaza podría explotar con éxito una vulnerabilidad.
Sin embargo, se ha cuestionado la utilidad de la evaluación cuantitativa de riesgos. Barry Commoner , Brian Wynne y otros críticos han expresado su preocupación por el hecho de que la evaluación de riesgos tiende a ser excesivamente cuantitativa y reduccionista. Por ejemplo, sostienen que las evaluaciones de riesgos ignoran las diferencias cualitativas entre los riesgos. Algunos sostienen que las evaluaciones pueden dejar de lado información importante no cuantificable o inaccesible, como las variaciones entre las clases de personas expuestas a los peligros o la amplificación social. [12] Además, Commoner [13] y O'Brien [14] afirman que los enfoques cuantitativos desvían la atención de las medidas de precaución o prevención. [ 15] Otros, como Nassim Nicholas Taleb, consideran que los gestores de riesgos son poco más que "usuarios ciegos" de herramientas y métodos estadísticos. [16]
Los libros de texto más antiguos distinguen entre el término análisis de riesgo y evaluación de riesgo ; un análisis de riesgo incluye los siguientes 4 pasos: [1]
Una evaluación de riesgos implica la realización de juicios sobre la tolerabilidad de los riesgos identificados, lo que lleva a la aceptación del riesgo. Cuando el análisis y la evaluación de riesgos se realizan al mismo tiempo, se denomina evaluación de riesgos. [1]
A partir de 2023, la evaluación del riesgo químico sigue estos 4 pasos: [4]
Existe una enorme variabilidad en la relación dosis-respuesta entre una sustancia química y los resultados para la salud humana en subgrupos particularmente susceptibles, como las mujeres embarazadas, los fetos en desarrollo, los niños hasta la adolescencia, las personas con bajo nivel socioeconómico, aquellos con enfermedades preexistentes, discapacidades, susceptibilidad genética y aquellos con otras exposiciones ambientales. [4]
El proceso de evaluación de riesgos puede ser algo informal a nivel social individual, evaluando los riesgos económicos y domésticos [17] [18], o un proceso sofisticado a nivel corporativo estratégico. Sin embargo, en ambos casos, la capacidad de anticipar eventos futuros y crear estrategias efectivas para mitigarlos cuando se los considere inaceptables es vital.
A nivel individual, puede que todo lo que se necesite sea identificar objetivos y riesgos, sopesar su importancia y crear planes. A nivel estratégico organizacional, se necesitan políticas más elaboradas, que especifiquen niveles aceptables de riesgo, procedimientos a seguir dentro de la organización, prioridades y asignación de recursos. [19] : 10
En el nivel estratégico corporativo, la dirección involucrada en el proyecto elabora evaluaciones de riesgos a nivel de proyecto con la ayuda de los expertos disponibles como parte del proceso de planificación y establece sistemas para garantizar que se implementen las acciones necesarias para gestionar el riesgo evaluado. En el nivel dinámico, el personal directamente involucrado puede tener que lidiar con problemas imprevistos en tiempo real. Las decisiones tácticas tomadas en este nivel deben revisarse después de la operación para proporcionar retroalimentación sobre la eficacia tanto de los procedimientos planificados como de las decisiones tomadas en respuesta a la contingencia.
Los resultados de estos pasos se combinan para generar una estimación del riesgo. Debido a las diferentes susceptibilidades y exposiciones, este riesgo variará dentro de una población. Por lo general, en una evaluación de riesgos para la salud se incluye un análisis de incertidumbre.
Durante una respuesta a una emergencia, la situación y los peligros suelen ser inherentemente menos predecibles que en el caso de las actividades planificadas (no lineales). En general, si la situación y los peligros son predecibles (lineales), los procedimientos operativos estándar deberían abordarlos adecuadamente. En algunas emergencias, esto también puede ser cierto, y la preparación y las respuestas capacitadas son adecuadas para gestionar la situación. En estas situaciones, el operador puede gestionar el riesgo sin asistencia externa o con la ayuda de un equipo de respaldo que esté preparado y disponible para intervenir en poco tiempo.
Otras emergencias ocurren cuando no existe un protocolo planificado previamente, o cuando se trae a un grupo externo para manejar la situación, y no están específicamente preparados para el escenario que existe pero deben lidiar con él sin demora indebida. Algunos ejemplos incluyen la policía, el departamento de bomberos, la respuesta a desastres y otros equipos de rescate de servicios públicos. En estos casos, la evaluación continua de riesgos por parte del personal involucrado puede recomendar acciones apropiadas para reducir el riesgo. [19] La Inspección de Servicios de Bomberos de Su Majestad ha definido la evaluación dinámica de riesgos (DRA) como:
La evaluación continua del riesgo en las circunstancias rápidamente cambiantes de un incidente operacional, con el fin de implementar las medidas de control necesarias para garantizar un nivel aceptable de seguridad. [19]
La evaluación dinámica de riesgos es la etapa final de un sistema integrado de gestión de la seguridad que puede proporcionar una respuesta adecuada en circunstancias cambiantes. Se basa en la experiencia, la formación y la educación continua, incluida una sesión informativa eficaz para analizar no sólo lo que salió mal, sino también lo que salió bien y por qué, y compartir esto con otros miembros del equipo y el personal responsable de la evaluación de riesgos a nivel de planificación. [19]
La aplicación de procedimientos de evaluación de riesgos es habitual en una amplia variedad de ámbitos y estos pueden tener obligaciones jurídicas específicas, códigos de práctica y procedimientos estandarizados. Algunos de ellos se enumeran a continuación.
Existen muchos recursos que proporcionan información sobre los riesgos para la salud humana:
La Biblioteca Nacional de Medicina ofrece herramientas de evaluación de riesgos e información sobre regulación para una audiencia variada. [20] Estas incluyen:
La Agencia de Protección Ambiental de los Estados Unidos proporciona información básica sobre evaluaciones de riesgos ambientales para la salud del público para una amplia variedad de posibles exposiciones ambientales. [23]
La Agencia de Protección Ambiental comenzó a utilizar activamente métodos de evaluación de riesgos para proteger el agua potable en los Estados Unidos después de la aprobación de la Ley de Agua Potable Segura de 1974. La ley requería que la Academia Nacional de Ciencias realizara un estudio sobre cuestiones relacionadas con el agua potable y, en su informe, la NAS describió algunas metodologías para realizar evaluaciones de riesgos de sustancias químicas sospechosas de ser cancerígenas, recomendaciones que los altos funcionarios de la EPA han descrito como quizás la parte más importante del estudio. [24]
Teniendo en cuenta el aumento de la comida basura y su toxicidad, la FDA exigió en 1973 que los compuestos cancerígenos no debían estar presentes en la carne en concentraciones que causaran un riesgo de cáncer mayor a 1 en un millón a lo largo de la vida. La Agencia de Protección Ambiental de los Estados Unidos proporciona amplia información sobre evaluaciones de riesgos ecológicos y ambientales para el público a través de su portal de evaluación de riesgos. [25] El Convenio de Estocolmo sobre contaminantes orgánicos persistentes (COP) respalda un marco de riesgo cualitativo para la protección de la salud pública contra sustancias químicas que muestran persistencia ambiental y biológica, bioacumulación , toxicidad (PBT) y transporte a larga distancia; la mayoría de las sustancias químicas globales que cumplen este criterio han sido evaluadas cuantitativamente previamente por agencias de salud nacionales e internacionales. [26]
En el caso de los efectos sobre la salud no cancerígenos, se utilizan los términos dosis de referencia (RfD) o concentración de referencia (RfC) para describir el nivel seguro de exposición de manera dicotómica. Una forma más nueva de comunicar el riesgo es la evaluación probabilística del riesgo . [27]
Cuando los riesgos afectan principalmente a pequeñas subpoblaciones, puede resultar difícil determinar cuándo es necesaria una intervención. Por ejemplo, puede existir un riesgo que sea muy bajo para todos, excepto para el 0,1% de la población. Es necesario determinar si este 0,1% está representado por:
Si el riesgo es mayor para una subpoblación en particular debido a una exposición anormal en lugar de a la susceptibilidad, se consideran estrategias para reducir aún más la exposición de ese subgrupo. Si una subpoblación identificable es más susceptible debido a factores genéticos inherentes o de otro tipo, se deben tomar decisiones de política pública. Las opciones son:
El riesgo aceptable es un riesgo que se entiende y se tolera generalmente porque el costo o la dificultad de implementar una contramedida efectiva para la vulnerabilidad asociada excede la expectativa de pérdida. [28]
La idea de no aumentar el riesgo a lo largo de la vida en más de uno por millón se ha vuelto algo común en el discurso y las políticas de salud pública. [29] Es una medida heurística que proporciona una base numérica para establecer un aumento insignificante del riesgo.
La toma de decisiones ambientales permite cierta discreción para considerar los riesgos individuales potencialmente "aceptables" si la probabilidad de un aumento del riesgo a lo largo de la vida es inferior a una entre diez mil. Los criterios de bajo riesgo como estos brindan cierta protección en el caso de que las personas puedan estar expuestas a múltiples sustancias químicas, por ejemplo, contaminantes, aditivos alimentarios u otras sustancias químicas. [ cita requerida ]
En la práctica, un verdadero riesgo cero sólo es posible si se suprime la actividad que lo genera. [ cita requerida ]
Los requisitos estrictos de 1 en un millón pueden no ser tecnológicamente factibles o pueden ser tan prohibitivamente costosos que hagan que la actividad que causa el riesgo sea insostenible, lo que hace que el grado óptimo de intervención sea un equilibrio entre los riesgos y los beneficios. [ cita requerida ] Por ejemplo, las emisiones de los incineradores de los hospitales dan lugar a un cierto número de muertes por año. Sin embargo, este riesgo debe sopesarse con las alternativas. Existen riesgos para la salud pública, así como costos económicos, asociados con todas las opciones. El riesgo asociado con la falta de incineración es la posible propagación de enfermedades infecciosas o incluso la falta de hospitales. Una investigación más profunda identifica opciones como la separación de los desechos no infecciosos de los infecciosos o los controles de la contaminación del aire en un incinerador médico.
Es esencial pensar de forma inteligente sobre un conjunto razonablemente completo de opciones. Por lo tanto, no es raro que haya un proceso iterativo entre el análisis, la consideración de las opciones y el análisis posterior. [ cita requerida ]
En el contexto de la salud pública , la evaluación de riesgos es el proceso de caracterizar la naturaleza y la probabilidad de un efecto nocivo para individuos o poblaciones a partir de ciertas actividades humanas. La evaluación de riesgos para la salud puede ser principalmente cualitativa o puede incluir estimaciones estadísticas de probabilidades para poblaciones específicas. En la mayoría de los países, el uso de sustancias químicas específicas o las operaciones de instalaciones específicas (por ejemplo, centrales eléctricas, plantas de fabricación) no está permitido a menos que se pueda demostrar que no aumentan el riesgo de muerte o enfermedad por encima de un umbral específico. Por ejemplo, la Administración de Alimentos y Medicamentos de Estados Unidos (FDA) regula la seguridad alimentaria a través de la evaluación de riesgos, mientras que la EFSA hace lo mismo en la UE. [30]
Una evaluación de riesgos laborales es una evaluación de cuánto peligro potencial puede tener un peligro para una persona en un entorno laboral. La evaluación tiene en cuenta los posibles escenarios además de la probabilidad de que ocurran y los resultados. [31] Los cinco tipos de peligros que se deben tener en cuenta son los de seguridad (aquellos que pueden causar lesiones), los químicos , los biológicos , los físicos y los ergonómicos (aquellos que pueden causar trastornos musculoesqueléticos ). [32] Para acceder adecuadamente a los peligros hay dos partes que deben ocurrir. En primer lugar, debe haber una " evaluación de la exposición " que mide la probabilidad de contacto del trabajador y el nivel de contacto. En segundo lugar, debe realizarse una "caracterización del riesgo" que mide la probabilidad y la gravedad de los posibles riesgos para la salud. [33]
La importancia de las evaluaciones de riesgo para gestionar las consecuencias del cambio y la variabilidad climática se recuerda en los marcos globales para la reducción del riesgo de desastres , adoptados por los países miembros de las Naciones Unidas al final de las Conferencias Mundiales celebradas en Kobe (2005) y Sendai (2015). El Marco de Sendai para la Reducción del Riesgo de Desastres llama la atención sobre la escala local y alienta un enfoque holístico del riesgo, que debe considerar todos los peligros a los que está expuesta una comunidad, la integración del conocimiento técnico-científico con el conocimiento local y la inclusión del concepto de riesgo en los planes locales para lograr una reducción significativa de desastres para 2030. Llevar estos principios a la práctica diaria plantea un desafío para muchos países. El sistema de seguimiento del marco de Sendai pone de relieve lo poco que se sabe sobre el progreso logrado de 2015 a 2019 en la reducción del riesgo de desastres a nivel local. [34]
A partir de 2019, en el Sur del Sahara, la evaluación de riesgos aún no es una práctica institucionalizada. La exposición de los asentamientos humanos a múltiples amenazas (sequía hidrológica y agrícola, inundaciones pluviales, fluviales y costeras) es frecuente y requiere evaluaciones de riesgos a escala regional, municipal y, a veces, de asentamientos humanos individuales. El enfoque multidisciplinario y la integración de conocimientos locales y técnico-científicos son necesarios desde los primeros pasos de la evaluación. El conocimiento local sigue siendo ineludible para comprender las amenazas que amenazan a las comunidades individuales, los umbrales críticos en los que se convierten en desastres, para la validación de modelos hidráulicos y en el proceso de toma de decisiones sobre reducción de riesgos . Por otro lado, el conocimiento local por sí solo no es suficiente para comprender los impactos de los cambios futuros y la variabilidad climática y conocer las áreas expuestas a amenazas poco frecuentes. La disponibilidad de nuevas tecnologías y la información de acceso abierto (imágenes satelitales de alta resolución, datos de precipitaciones diarias) permiten hoy una evaluación con una precisión que hace solo 10 años era inimaginable. Las imágenes tomadas por tecnologías de vehículos no tripulados permiten producir modelos digitales de elevación de muy alta resolución e identificar con precisión los receptores. [35] Basándose en esta información, los modelos hidráulicos permiten la identificación de zonas de inundación con precisión incluso a escala de pequeños asentamientos. [36] La información sobre pérdidas y daños y sobre los cultivos de cereales a escala de asentamiento individual permite determinar el nivel de riesgo multirriesgo a escala regional. Las imágenes satelitales multitemporales de alta resolución permiten evaluar la sequía hidrológica y la dinámica de los asentamientos humanos en la zona de inundación. [37] La evaluación de riesgos es más que una ayuda para la toma de decisiones informada sobre la reducción o aceptación del riesgo. [38] Integra sistemas de alerta temprana destacando los puntos críticos donde la prevención y preparación ante desastres son más urgentes. [39] Cuando la evaluación de riesgos considera la dinámica de la exposición a lo largo del tiempo, ayuda a identificar políticas de reducción de riesgos que son más apropiadas para el contexto local. A pesar de estos potenciales, la evaluación de riesgos aún no está integrada en la planificación local en el Sur del Sahara que, en el mejor de los casos, utiliza solo el análisis de la vulnerabilidad al cambio climático y la variabilidad. [39]
En las auditorías realizadas por una firma de auditoría externa, la evaluación de riesgos es una etapa crucial antes de aceptar un trabajo de auditoría. Según la NIA 315 Entendimiento de la entidad y su entorno y evaluación de los riesgos de incorrección material , "el auditor debe realizar procedimientos de evaluación de riesgos para obtener un entendimiento de la entidad y su entorno, incluyendo su control interno". Evidencia relacionada con la evaluación de riesgos del auditor de una incorrección material en los estados financieros del cliente. Luego, el auditor obtiene evidencia inicial sobre las clases de transacciones en el cliente y la efectividad operativa de los controles internos del cliente. El riesgo de auditoría se define como el riesgo de que el auditor emita una opinión limpia sin salvedades sobre los estados financieros, cuando en realidad los estados financieros están materialmente inexactos y, por lo tanto, no califican para una opinión limpia sin salvedades. Como fórmula, el riesgo de auditoría es el producto de otros dos riesgos: Riesgo de incorrección material y Riesgo de detección. Esta fórmula se puede desglosar de la siguiente manera: riesgo inherente × riesgo de control × riesgo de detección .
En la gestión de proyectos , la evaluación de riesgos es una parte integral del plan de gestión de riesgos, que estudia la probabilidad, el impacto y el efecto de cada riesgo conocido en el proyecto, así como las medidas correctivas a tomar en caso de que se produzca un incidente relacionado con un riesgo. [40] En esta área, se deben tener en cuenta especialmente los códigos de práctica pertinentes que se aplican en la jurisdicción específica. Comprender el régimen de regulaciones que debe cumplir la gestión de riesgos es fundamental para formular prácticas de evaluación de riesgos seguras y que cumplan con las normas.
La evaluación de riesgos de las tecnologías de la información se puede realizar con un enfoque cualitativo o cuantitativo, siguiendo diferentes metodologías. Una diferencia importante [ aclaración necesaria ] en las evaluaciones de riesgos en seguridad de la información es la modificación del modelo de amenazas para tener en cuenta el hecho de que cualquier sistema adversario conectado a Internet tiene acceso para amenazar a cualquier otro sistema conectado. [41] Por lo tanto, puede ser necesario modificar las evaluaciones de riesgos para tener en cuenta las amenazas de todos los adversarios, en lugar de solo de aquellos con acceso razonable, como se hace en otros campos.
Definición del NIST: Proceso de identificación de riesgos para las operaciones de la organización (incluida la misión, las funciones, la imagen y la reputación), los activos de la organización, las personas, otras organizaciones y la nación, que resultan del funcionamiento de un sistema de información. Parte de la gestión de riesgos incorpora análisis de amenazas y vulnerabilidades y considera las mitigaciones proporcionadas por los controles de seguridad planificados o implementados. [42]
Existen varias metodologías y marcos de evaluación de riesgos disponibles, entre los que se incluyen el Marco de Gestión de Riesgos del NIST (RMF), [43] los Objetivos de Control para la Información y Tecnologías Relacionadas (COBIT), [44] el Análisis Factorial del Riesgo de la Información (FAIR), [45] la Evaluación de Amenazas, Activos y Vulnerabilidades Operacionalmente Críticas (OCTAVE), [46] el Método de Evaluación de Riesgos de Seguridad del Centro para Internet (CIS RAM), [47] y el Estándar de Análisis de Riesgos del Deber de Cuidado (DoCRA), [48] que ayuda a definir la seguridad "razonable".
El proceso de evaluación de amenazas y riesgos (TRA) es parte de la gestión de riesgos y se refiere a los riesgos relacionados con las amenazas cibernéticas . El proceso TRA identificará los riesgos cibernéticos, evaluará su gravedad y podrá recomendar actividades para reducir los riesgos a un nivel aceptable.
Existen diferentes metodologías para realizar TRA (por ejemplo, la Metodología TRA Armonizada [49] ), todas utilizan los siguientes elementos: [50] [51] [52] identificación de activos (qué se debe proteger), identificación y evaluación de las amenazas y vulnerabilidades de los activos identificados, determinación de la explotabilidad de las vulnerabilidades, determinación de los niveles de riesgo asociados con las vulnerabilidades (cuáles son las implicaciones si los activos se dañaran o perdieran) y recomendación de un programa de mitigación de riesgos.
Los megaproyectos (a veces también llamados "grandes programas") son proyectos de inversión de escala extremadamente grande, cuyo costo suele superar los mil millones de dólares cada uno. Entre ellos se incluyen puentes, túneles, carreteras, ferrocarriles, aeropuertos, puertos marítimos, centrales eléctricas, represas, proyectos de tratamiento de aguas residuales, protección costera contra inundaciones, proyectos de extracción de petróleo y gas natural , edificios públicos, sistemas de tecnología de la información, proyectos aeroespaciales y sistemas de defensa. Se ha demostrado que los megaproyectos son particularmente riesgosos en términos de finanzas, seguridad e impactos sociales y ambientales .
Los estudios han demostrado que las primeras partes del ciclo de desarrollo de sistemas, como los requisitos y las especificaciones de diseño, son especialmente propensas a errores. Este efecto es particularmente notorio en proyectos que involucran a múltiples partes interesadas con diferentes puntos de vista. Los procesos de software evolutivo ofrecen un enfoque iterativo a la ingeniería de requisitos para aliviar los problemas de incertidumbre, ambigüedad e inconsistencia inherentes a los desarrollos de software, incluida la incertidumbre, la ambigüedad y la inconsistencia inherentes a los desarrollos de software. [ aclaración necesaria ]
En julio de 2010, las compañías navieras acordaron utilizar procedimientos estandarizados para evaluar el riesgo en operaciones clave a bordo. Estos procedimientos se implementaron como parte del Código IGS enmendado . [53]
La evaluación formal de riesgos es un componente obligatorio de la mayoría de las planificaciones profesionales de buceo , pero el formato y la metodología pueden variar. Las consecuencias de un incidente debido a un peligro identificado generalmente se eligen de un pequeño número de categorías estandarizadas, y la probabilidad se estima en función de datos estadísticos en las raras ocasiones en que están disponibles, y en una estimación aproximada basada en la experiencia personal y la política de la empresa en la mayoría de los casos. A menudo se utiliza una matriz de riesgos simple para transformar estos datos en un nivel de riesgo, generalmente expresado como inaceptable, marginal o aceptable. Si es inaceptable, se deben tomar medidas para reducir el riesgo a un nivel aceptable, y las partes afectadas deben aceptar el resultado de la evaluación de riesgos antes de que comience una inmersión. Es posible que se acepten niveles de riesgo más altos en circunstancias especiales, como operaciones militares o de búsqueda y rescate cuando existe la posibilidad de recuperar a un superviviente. Los supervisores de buceo están capacitados en los procedimientos de identificación de peligros y evaluación de riesgos, y es parte de su planificación y responsabilidad operativa. Se deben considerar tanto los peligros para la salud como para la seguridad. Se pueden identificar varias etapas. Se realiza una evaluación de riesgos como parte de la planificación del proyecto de buceo, una evaluación de riesgos en el sitio que tiene en cuenta las condiciones específicas del día y una evaluación de riesgos dinámica que se lleva a cabo durante la operación por parte de los miembros del equipo de buceo, en particular el supervisor y el buzo que trabaja. [54] [55]
En el buceo recreativo , el grado de evaluación de riesgos que se espera del buceador es relativamente básico y se incluye en los controles previos a la inmersión . Las agencias de certificación de buceadores han desarrollado varias mnemotecnias para recordar al buceador que debe prestar cierta atención al riesgo, pero la capacitación es rudimentaria. Se espera que los proveedores de servicios de buceo brinden un mayor nivel de atención a sus clientes, y se espera que los instructores de buceo y divemasters evalúen el riesgo en nombre de sus clientes y les adviertan sobre los peligros específicos del sitio y la competencia considerada apropiada para la inmersión planificada. Se espera que los buceadores técnicos realicen una evaluación más exhaustiva del riesgo, pero como tomarán una decisión informada para una actividad recreativa, el nivel de riesgo aceptable puede ser considerablemente más alto que el permitido para los buceadores ocupacionales bajo la dirección de un empleador. [56] [57]
En las actividades al aire libre, incluida la educación comercial al aire libre, las expediciones en la naturaleza y la recreación al aire libre , la evaluación de riesgos se refiere al análisis de la probabilidad y la magnitud de resultados desfavorables, como lesiones, enfermedades o daños a la propiedad debido a causas ambientales y relacionadas, en comparación con el desarrollo humano u otros beneficios de la actividad al aire libre. Esto es de particular importancia ya que los programas escolares y otros sopesan los beneficios de la participación de jóvenes y adultos en varias actividades de aprendizaje al aire libre frente a los peligros inherentes y otros peligros presentes en esas actividades. Las escuelas, las entidades corporativas que buscan experiencias de formación de equipos, los padres/tutores y otros que consideran las experiencias al aire libre esperan o requieren [58] que las organizaciones evalúen los peligros y riesgos de diferentes actividades al aire libre, como la navegación, el tiro al blanco, la caza, el montañismo o la acampada, y seleccionen actividades con perfiles de riesgo aceptables.
Las organizaciones de educación al aire libre, de aventuras en la naturaleza y otras relacionadas con las actividades al aire libre deberían, y en algunas jurisdicciones se les exige, realizar evaluaciones de riesgos antes de ofrecer programas con fines comerciales. [59] [60] [61]
A estas organizaciones se les proporciona orientación sobre cómo proporcionar sus evaluaciones de riesgos. [62]
Las evaluaciones de riesgos para actividades al aire libre guiadas forman solo un componente de un plan integral de gestión de riesgos, ya que muchas evaluaciones de riesgos utilizan un pensamiento lineal básico que no emplea prácticas de gestión de riesgos más modernas que emplean una teoría de sistemas sociotécnicos complejos. [63] [64]
La evaluación de riesgos ambientales (ERA) tiene como objetivo evaluar los efectos de los factores de estrés, generalmente sustancias químicas, en el medio ambiente local. Un riesgo es una evaluación integrada de la probabilidad y la gravedad de un evento no deseado. En ERA, el evento no deseado a menudo depende de la sustancia química de interés y del escenario de evaluación de riesgos. [65] Este evento no deseado suele ser un efecto perjudicial sobre organismos, poblaciones o ecosistemas . Las ERA actuales suelen comparar una exposición con un nivel sin efecto, como la relación concentración ambiental prevista / concentración sin efecto prevista (PEC/PNEC) en Europa. Aunque este tipo de relación es útil y se utiliza a menudo con fines de regulación, es solo una indicación de un umbral aparente excedido. [66] Se están empezando a desarrollar nuevos enfoques en ERA para cuantificar este riesgo y comunicarlo de manera eficaz tanto a los administradores como al público en general. [65]
La evaluación de riesgos ecológicos se complica por el hecho de que existen muchos factores de estrés no químicos que influyen sustancialmente en los ecosistemas, las comunidades y las plantas y animales individuales, así como en los paisajes y regiones. [67] [68] Definir el evento no deseado (adverso) es una decisión política o de políticas, lo que complica aún más la aplicación de las herramientas tradicionales de análisis de riesgos a los sistemas ecológicos. Gran parte del debate de políticas en torno a la evaluación de riesgos ecológicos gira en torno a definir con precisión qué es un evento adverso. [69]
Las evaluaciones de riesgo de la biodiversidad evalúan los riesgos para la diversidad biológica , especialmente el riesgo de extinción de especies o el riesgo de colapso de los ecosistemas . Las unidades de evaluación son las entidades biológicas (especies, subespecies o poblaciones ) o ecológicas ( hábitats , ecosistemas , etc.), y los riesgos a menudo están relacionados con acciones e intervenciones humanas (amenazas y presiones). Múltiples instituciones académicas o gubernamentales y grupos de trabajo han propuesto protocolos regionales y nacionales, [70] pero estándares globales como la Lista Roja de Especies Amenazadas y la Lista Roja de Ecosistemas de la UICN han sido ampliamente adoptados y son reconocidos o propuestos como indicadores oficiales de progreso hacia objetivos y metas de políticas internacionales, como las metas de Aichi y los Objetivos de Desarrollo Sostenible . [71] [72]
Las evaluaciones de riesgo se utilizan en numerosas etapas durante el proceso legal y se desarrollan para medir una amplia variedad de elementos, como las tasas de reincidencia, los posibles problemas previos al juicio, la libertad condicional y para identificar posibles intervenciones para los acusados. [73] Los psicólogos clínicos, los psicólogos forenses y otros profesionales son responsables de realizar evaluaciones de riesgo. [73] [74] [75] Dependiendo de la herramienta de evaluación de riesgo, los profesionales deben recopilar una variedad de información de antecedentes sobre el acusado o el individuo que se está evaluando. Esta información incluye su historial criminal previo (si corresponde) y otros registros (es decir, demografía, educación, situación laboral, historial médico), a los que se puede acceder a través de una entrevista directa con el acusado o registros en archivo. [73]
En la etapa previa al juicio, una herramienta de evaluación de riesgos ampliamente utilizada es la Evaluación de Seguridad Pública [76], que predice la falta de comparecencia ante el tribunal, la probabilidad de un nuevo arresto criminal durante la libertad previa al juicio y la probabilidad de un nuevo arresto criminal violento durante la libertad previa al juicio. Se observan y tienen en cuenta múltiples elementos en función del aspecto en el que se centre la Evaluación de Seguridad Pública y, como todas las demás evaluaciones de riesgo actuariales, a cada elemento se le asigna una cantidad ponderada para producir una puntuación final. [73] La información detallada, como la transparencia sobre los elementos que tiene en cuenta la Evaluación de Seguridad Pública y cómo se distribuyen las puntuaciones, está disponible en línea. [77]
En el caso de los acusados que han sido encarcelados, las evaluaciones de riesgo se utilizan para determinar la probabilidad de reincidencia y fundamentar las decisiones sobre la duración de la pena. Las evaluaciones de riesgo también ayudan a los funcionarios de libertad condicional a determinar el nivel de supervisión al que debe estar sujeto un delincuente en libertad condicional y las intervenciones que se podrían implementar para mejorar la situación de riesgo del delincuente. [74] El Perfil de Gestión de Delincuentes Correccionales para Sanciones Alternativas (COMPAS) es una evaluación de riesgo también diseñada para medir el riesgo de liberación previa al juicio, el riesgo general de reincidencia y el riesgo de reincidencia violenta. La información detallada sobre la puntuación y los algoritmos de COMPAS no están accesibles al público en general.
{{cite journal}}
: CS1 maint: overridden setting (link){{cite journal}}
: CS1 maint: overridden setting (link){{cite journal}}
: CS1 maint: overridden setting (link){{cite journal}}
: CS1 maint: overridden setting (link){{cite journal}}
: CS1 maint: overridden setting (link){{cite journal}}
: CS1 maint: overridden setting (link){{cite book}}
: CS1 maint: overridden setting (link)