En el contexto de la norma ISO 31000, el análisis de
riesgo aparece como un componente del proceso “Valoración del riesgo”. “Su propósito
es comprender la naturaleza del riesgo y sus características, incluyendo cuando
sea apropiado, el nivel de riesgo” (UNE-NORMALIZACIÓN ESPAÑOLA,
2018)
En términos prácticos consiste en definir los términos
para que de manera cuantitativa y/o cualitativa podamos dimensionar el riesgo, estableciendo
su probabilidad de ocurrencia y el impacto de sus consecuencias, con ello se determina la situación actual de exposición al riesgo y la capacidad
de la organización para tomar las decisiones sobre su tratamiento.
Para este análisis se debe establecer los criterios para calificar la magnitud del
impacto y asignar probabilidades a cada evento y que deben ser previamente
definidos por la dirección o unidad de análisis, en la etapa de alcance, contexto y criterios establecidos en la Norma ISO 31.000. Generalmente para el impacto
se utilizan criterios cualitativos de valoración por ejemplo como:
·
Leve:
Consecuencias menores al producirse el evento
·
Moderado:
consecuencias significativas al producirse el evento
·
Grave:
Consecuencias mayores al producirse el evento
Estos criterios se les puede asignar un valor numérico, para transformarlo de cualitativo a cuantitativo.
Para dimensionar la posibilidad de que un suceso ocurra,
se pueden utilizar diversos criterios, cualitativos o cuantitativos (siempre
que exista data y sea estadísticamente significativa). Por ejemplo, como en el
cuadro que se describe a continuación:
Valor
|
Probabilidad
|
Criterio
|
1
|
Baja
|
Ocurre algunas veces o excepcionalmente
|
2
|
Media
|
Puede ocurrir
|
3
|
Alta
|
Puede ocurrir frecuentemente
|
Seguidamente asignada un nivel de impacto y probabilidad
a cada riesgo identificado, se procede a su valoración, lo que definirá el nivel de exposición al
riesgo de la organización a cada evento. El mismo solo será el resultado del
producto:
EVALUACIÓN =
Impacto x Probabilidad
Con esta evaluación se podrá realizar la
priorización de los riesgos, lo que
constituye la fuente para la construcción de la matriz de riesgo base (portafolio de riesgos). En este análisis preliminar se obtiene información
sobre los riesgos puros o intrínsecos al que se esta expuesto. La evaluación de
cada riesgo se abordará en la fase de evaluación del riesgo, que analizará según el nivel de control o no que
exista, cambiar la priorización y toma de decisiones sobre el tratamiento del
riesgo.