Una matriz de riesgo es una matriz que se utiliza durante la evaluación de riesgos para definir el nivel de riesgo considerando la categoría de probabilidad o verosimilitud frente a la categoría de gravedad de la consecuencia. Este es un mecanismo simple para aumentar la visibilidad de los riesgos y ayudar a la toma de decisiones de gestión. [1]
Definiciones
El riesgo es la falta de certeza sobre el resultado de tomar una decisión en particular. Estadísticamente, el nivel de riesgo a la baja se puede calcular como el producto de la probabilidad de que ocurra un daño (p. Ej., Que ocurra un accidente) multiplicado por la gravedad de ese daño (es decir, la cantidad promedio de daño o, de manera más conservadora, la cantidad máxima creíble de dañar). En la práctica, la matriz de riesgos es un enfoque útil en el que la probabilidad o la gravedad del daño no pueden estimarse con exactitud y precisión.
Aunque existen matrices de riesgo estándar en ciertos contextos (por ejemplo , Departamento de Defensa de los EE. UU. , NASA , ISO ), [2] [3] [4] los proyectos y organizaciones individuales pueden necesitar crear su propia matriz de riesgos o adaptar una existente. Por ejemplo, la gravedad del daño se puede clasificar como:
- Catastrófico: muerte o invalidez total permanente, impacto ambiental irreversible significativo, pérdida total de equipo
- Crítico: lesión a nivel de accidente con resultado de hospitalización, discapacidad parcial permanente, impacto ambiental reversible significativo, daño al equipo
- Marginal: lesión que ocasiona días laborales perdidos, impacto ambiental moderado reversible, nivel de daños por accidentes menores
- Leve: lesión que no causa días de trabajo perdidos, impacto ambiental mínimo, daño menor a un nivel de accidente menor
La probabilidad de que ocurra un daño puede clasificarse como "cierto", "probable", "posible", "improbable" y "raro". Sin embargo, debe tenerse en cuenta que las probabilidades muy bajas pueden no ser muy fiables.
La matriz de riesgo resultante podría ser:
Probabilidad | Severidad del daño | |||
---|---|---|---|---|
Despreciable | Marginal | Crítico | Catastrófico | |
Cierto | Elevado | Elevado | Muy alto | Muy alto |
Probable | Medio | Elevado | Elevado | Muy alto |
Posible | Bajo | Medio | Elevado | Muy alto |
Improbable | Bajo | Medio | Medio | Elevado |
Raro | Bajo | Bajo | Medio | Medio |
Eliminado | Eliminado |
La empresa u organización luego calcularía qué niveles de riesgo pueden asumir con diferentes eventos. Esto se haría sopesando el riesgo de que ocurra un evento contra el costo de implementar la seguridad y el beneficio obtenido de ella.
Matriz de ejemplo
La siguiente es una matriz de ejemplo de posibles lesiones personales, con accidentes particulares asignados a las celdas apropiadas dentro de la matriz:
Despreciable | Marginal | Crítico | Catastrófico | |
---|---|---|---|---|
Cierto | Golpear el dedo del pie | |||
Probable | Otoño | |||
Posible | Mayor accidente de coche | |||
Improbable | Accidente de aeronave | |||
Raro | Gran tsunami |
Problemas
En su artículo "¿Qué hay de malo en las matrices de riesgo?", [5] Tony Cox sostiene que las matrices de riesgo experimentan varias características matemáticas problemáticas que dificultan la evaluación de riesgos. Estos son:
- Mala resolución. Las matrices de riesgo típicas pueden comparar correcta e inequívocamente solo una pequeña fracción (por ejemplo, menos del 10%) de pares de peligros seleccionados al azar. Pueden asignar calificaciones idénticas a riesgos cuantitativamente muy diferentes ("compresión de rango").
- Errores. Las matrices de riesgo pueden asignar erróneamente calificaciones cualitativas más altas a riesgos cuantitativamente más pequeños. Para los riesgos con frecuencias y severidades correlacionadas negativamente, pueden ser "peores que inútiles", lo que lleva a decisiones peores que las aleatorias.
- Asignación de recursos subóptima. La asignación eficaz de recursos a las contramedidas para reducir el riesgo no puede basarse en las categorías proporcionadas por las matrices de riesgo.
- Entradas y salidas ambiguas. Las categorizaciones de gravedad no se pueden hacer objetivamente para consecuencias inciertas. Las entradas a las matrices de riesgo (por ejemplo, categorizaciones de frecuencia y gravedad) y los productos resultantes (es decir, calificaciones de riesgo) requieren una interpretación subjetiva, y diferentes usuarios pueden obtener calificaciones opuestas de los mismos riesgos cuantitativos. Estas limitaciones sugieren que las matrices de riesgo deben usarse con precaución y solo con explicaciones cuidadosas de los juicios implícitos.
Thomas, Bratvold y Bickel [6] demuestran que las matrices de riesgo producen clasificaciones de riesgo arbitrarias. Las clasificaciones dependen del diseño de la matriz de riesgo en sí, como el tamaño de los contenedores y si se usa o no una escala creciente o decreciente. En otras palabras, cambiar la escala puede cambiar la respuesta.
Un problema adicional es la imprecisión utilizada en las categorías de probabilidad. Por ejemplo; "cierto", "probable", "posible", "improbable" y "raro" no están relacionados jerárquicamente. Se podría obtener una mejor opción mediante el uso del mismo término base, como 'extremadamente común', 'muy común', 'bastante común', 'menos común', 'muy poco común', 'extremadamente poco común' o una jerarquía similar en un término básico de "frecuencia". [ cita requerida ]
Otro problema común es asignar índices de rango a los ejes de la matriz y multiplicar los índices para obtener una "puntuación de riesgo". Si bien esto parece intuitivo, da como resultado una distribución desigual. [ cita requerida ]
Ejemplo
Riesgo de ciberseguridad
Douglas W. Hubbard y Richard Seiersen toman la investigación general de Cox, Thomas, Bratvold y Bickel, y brindan una discusión específica en el ámbito del riesgo de ciberseguridad . Señalan que dado que el 61% de los profesionales de la seguridad cibernética utilizan algún tipo de matriz de riesgo, esto puede ser un problema grave. Hubbard y Seiersen consideran estos problemas en el contexto de otros errores humanos medidos y concluyen que "los errores de los expertos simplemente se ven agravados por los errores adicionales introducidos por las escalas y matrices mismas. Estamos de acuerdo con la solución propuesta por Thomas et al. No hay necesidad de que la ciberseguridad (u otras áreas de análisis de riesgos que también utilicen matrices de riesgos) reinventen métodos cuantitativos bien establecidos que se utilizan en muchos problemas igualmente complejos ". [7]
Referencias
- ^ "¿Qué pasa con las matrices de riesgo?" . Julian Talbot sobre riesgo, éxito y liderazgo . Consultado el 18 de junio de 2018 .
- ^ "Guía de gestión de riesgos, problemas y oportunidades para programas de adquisición de defensa" (PDF) . Departamento de Defensa de los Estados Unidos . Enero de 2017 . Consultado el 18 de junio de 2018 .
- ^ "NASA, Centro de vuelo espacial Goddard, Norma técnica Goddard GSFC-STD-0002, Informes de gestión de riesgos" (PDF) . 2009-05-08 . Consultado el 17 de junio de 2018 .
- ^ Organización internacional de estandarización, gestión de riesgos de sistemas espaciales, ISO 17666,
- ^ Cox, LA Jr., '¿Qué hay de malo con las matrices de riesgo?', Análisis de riesgo, vol. 28, No. 2, 2008, doi : 10.1111 / j.1539-6924.2008.01030.x
- ^ Thomas, Philip, Reidar Bratvold y J. Eric Bickel, 'El riesgo de utilizar matrices de riesgo', SPE Economía y gestión, vol. 6, núm. 2, págs. 56-66, 2014, doi : 10.2118 / 166269-PA.
- ^ Hubbard, Douglas W .; Seiersen, Richard (2016). Cómo medir cualquier cosa en riesgo de ciberseguridad . Wiley. págs. Ubicaciones de Kindle 2636–2639.