Instruments of Data Gathering

La forma más simple de aplicar matemáticamente los controles, es dejando de lado todo tipo de matices. Para ello se puede comenzar por definir controles sólo de tipo Preventivo o Reactivo y se define que todos los controles de tipo Detectivo actúan únicamente sobre la Probabilidad o únicamente sobre el Impacto. Otra

alternativa es que algunos controles de tipo Detectivo se clasifiquen como Preventivos y otros se clasifiquen como Reactivos.

Adicionalmente, se debe definir una escala, que para un nivel básico usualmente es de 3 ó 4 niveles, puesto que es más relevante mantener simple el Modelo de Gestión de Riesgos y que los usuarios comprendan rápida y fácilmente los conceptos, por sobre la exactitud o efectividad del modelo.

Una vez clarificados estos aspectos, se puede determinar el valor de mitigación de un control únicamente en base a la calidad del mismo, o en forma intuitiva. Se puede considerar dos o tres parámetros de un control, como su formalidad, frecuencia de aplicación y/o calidad “subjetiva”, los que se ponderan y suman, determinando un valor de mitigación de ese control. Incluso, se puede utilizar un valor porcentual en base a un criterio tan simple como la moda entre un grupo de usuarios y directamente designar un valor de mitigación de ese control. Posteriormente se puede ir ajustando el valor de mitigación hasta que el resultado “haga sentido”.

En este caso es importante tener una visión holística de la organización e idealmente el proceso debiera se emprendido por terceros, lo que permite controlar de alguna forma la subjetividad de quienes participan en los procesos evaluados y se aplica el “sentido común” que puede no haber sido desarrollado al interior de la organización.

De esta forma se puede determinar el valor de la Probabilidad e Impacto inicial asociados a cada FR en particular.

Luego, es necesario determinar qué control aplica a qué FR. Por ejemplo, el extintor de incendios no sirve de mucho ante una intoxicación alimentaria o una epidemia. En este nivel se puede definir que cada FR que cuente con un control, será mitigado únicamente por el mejor control que aplique. Luego, si hay dos o tres controles que aplican, se determinará el nivel de control o mitigación del mejor y ese es el que se aplicará matemáticamente.

Teniendo claro qué y a qué, es momento de tratar el cómo. Siendo que es una forma básica y simple, sería conveniente ordenar los controles que apliquen a un FR determinado y determinar cuál es el mejor respecto de sus características o su valor de mitigación. Sabiendo que es un control de tipo Preventivo, afectará únicamente a la Probabilidad y si es de tipo Reactivo afectará únicamente al Impacto. ¿Cuánto? Lo más simple es restando el valor entero, dividiendo o definiendo una proporción (menor que 1) que multiplique el valor inicial. Si el nivel de mitigación se expresa porcentualmente, se puede multiplicar directamente y se tendrá un resultado en la escala definida. La división, pese a que es muy utilizada, no es recomendada, puesto que no tiene una explicación racional y lógica consistente con la forma como el control se aplica o afecta. En el caso de la resta, es evidente que el control está “quitando” algo a la probabilidad o al impacto asociado a un Riesgo, mientras que en la multiplicación por un factor menor de 1 claramente sucede lo mismo, reduciendo proporcionalmente uno de los parámetros que determinará la Magnitud del Riesgo resultante o residual, para ese Riesgo en particular.

Por ejemplo, un FR cuyos parámetros de Probabilidad Inherente e Impacto Inherente son (3,4) respectivamente, con un Nivel de Riesgo de tipo “Alto” y aplicando un control de tipo Preventivo cuyo valor es 2, generaría el Nivel de Riesgo Residual en la coordenada (1,4). Dependiendo de la escala de Riesgo que se utilice, podrá cambiar de nivel o no. Repitiendo el ejercicio anterior, pero con un control de tipo preventivo cuya mitigación se ha definido como un 50%, se tendría que el Nivel de Riesgo Residual en la coordenada (1,5,4).

En este punto se considera como mitigadores solamente el mejor control Preventivo y/o el mejor control Reactivo. De esta manera, se podría mitigar Probabilidad, Impacto o ambos.

Es decir, donde: Cr = Control Reactivo Cp = Control Preventivo Pi = Probabilidad Inicial Ii = Impacto Inicial Luego,

f(Pi, Ii, Cr, Cp) = (Pi - Cp, Ii - Cr) = coordenadas del Riesgo restante

f(Pi, Ii, Cr, Cp) = (Pi *(1- Cp), Ii *(1- Cr)) = coordenadas del Riesgo restante

si los controles tienen valores porcentuales

En función de estas nuevas coordenadas, se puede determinar, a partir del mapa de calor, la Magnitud Residual de ese Riesgo en particular.

Esta combinación de controles que mitigan probabilidad e impacto de un riesgo, si bien es básica y simple, como todo lo básico, adolece de varias dificultades y problemas. El mayor de ellos que es, pese a ser una fórmula matemática que busca eliminar o reducir la subjetividad, en la práctica, esta se mitiga muy poco o nada. Los valores de los controles tienden a ser muy altos y los niveles de mitigación son lejos superiores a la realidad, llevando a un claro error en la mayoría de los casos. Esto provoca que muchos Riesgos sean “escondidos” bajo un falso nivel de control o sobre expuestos con una excesiva Magnitud del Riesgo Residual. Todo ello puede generar un falso sentido de seguridad en aspecto que no la tienen y un falso sentido de urgencia en aspectos que no la requieren.

Adicionalmente, el uso de escalas menores a 5 generan los problemas de escala mencionados en el capítulo de Definiciones y Criterios.