Matriz de riesgo

Evaluación de riesgos que compara la probabilidad de un riesgo con su gravedad

Una matriz de riesgo es una matriz que se utiliza durante la evaluación de riesgos para definir el nivel de riesgo considerando la categoría de probabilidad (que a menudo se confunde con una de sus posibles métricas cuantitativas, es decir, la probabilidad ) frente a la categoría de gravedad de las consecuencias. Se trata de un mecanismo sencillo para aumentar la visibilidad de los riesgos y ayudar a la toma de decisiones de gestión. ^[1]

Definiciones

El riesgo es la falta de certeza sobre el resultado de una determinada elección. Desde el punto de vista estadístico, el nivel de riesgo negativo se puede calcular como el producto de la probabilidad de que se produzca un daño (por ejemplo, que ocurra un accidente) multiplicado por la gravedad de ese daño (es decir, la cantidad media de daño o, de manera más conservadora, la cantidad máxima creíble de daño). En la práctica, la matriz de riesgo es un enfoque útil cuando no es posible estimar con exactitud y precisión ni la probabilidad ni la gravedad del daño.

Aunque existen matrices de riesgo estándar en ciertos contextos (por ejemplo, el Departamento de Defensa de los EE. UU. , la NASA , la ISO ), ^[2]^[3]^{[4] es posible que los proyectos y}las organizaciones individuales deban crear sus propias matrices de riesgo o adaptar una existente. Por ejemplo, la gravedad del daño se puede clasificar como:

Catastrófico: muerte o incapacidad total permanente, impacto ambiental irreversible significativo, pérdida total del equipo
Crítico: lesión de nivel de accidente que resulta en hospitalización, discapacidad parcial permanente, impacto ambiental significativo reversible, daño al equipo
Marginal: lesión que causa pérdida de días de trabajo, impacto ambiental moderado reversible, nivel de daño por accidente menor
Leve: lesión que no causa pérdida de días de trabajo, impacto ambiental mínimo, daño menor al nivel de un accidente menor

La probabilidad de que ocurra un daño puede clasificarse como "segura", "probable", "posible", "improbable" y "rara". Sin embargo, debe tenerse en cuenta que una probabilidad muy baja puede no ser muy confiable.

La matriz de riesgo resultante podría ser:

Probabilidad	Gravedad del daño
Probabilidad	Menor	Marginal	Crítico	Catastrófico
Cierto	Alto	Alto	Muy alto	Muy alto
Probable	Medio	Alto	Alto	Muy alto
Posible	Bajo	Medio	Alto	Muy alto
Improbable	Bajo	Medio	Medio	Alto
Extraño	Bajo	Bajo	Medio	Medio
Eliminado	Eliminado

La empresa u organización calcularía entonces qué niveles de riesgo puede asumir ante distintos eventos. Esto se haría sopesando el riesgo de que ocurra un evento frente al costo de implementar la seguridad y el beneficio que se obtendría de ello.

A continuación se presenta un ejemplo de matriz de posibles lesiones personales, con accidentes específicos asignados a celdas apropiadas dentro de la matriz:

Impacto Probabilidad	Despreciable	Marginal	Crítico	Catastrófico
Cierto	Golpear el dedo del pie
Probable		Caer
Posible			Accidente de coche importante
Improbable				Accidente de avión
Extraño				Gran tsunami

La matriz de riesgo es aproximada y a menudo puede ser cuestionada. Por ejemplo, la probabilidad de muerte en un accidente aéreo es de aproximadamente 1:11 millones ^[5], pero la de muerte por accidente de tráfico es de 1:5000 ^[5], pero nadie suele sobrevivir a un accidente aéreo, por lo que es mucho más catastrófico ^{[ cita requerida ]} .

Desarrollo

El 30 de enero de 1978 ^[6] se publicó una nueva versión de la Instrucción 6055.1 del Departamento de Defensa de los Estados Unidos ("Programa de Seguridad y Salud Ocupacional del Departamento de Defensa"). Se dice que fue un paso importante hacia el desarrollo de la matriz de riesgos. ^[7]

En agosto de 1978, el autor de libros de texto de negocios David E Hussey definió una "matriz de riesgo" de inversión con el riesgo en un eje y la rentabilidad en el otro. Los valores en el eje de riesgo se determinaron determinando primero los valores de impacto y probabilidad del riesgo de una manera idéntica a completar una versión 7 x 7 de la matriz de riesgo moderna. ^[8]

El Departamento de Defensa de los Estados Unidos definió una versión 5 x 4 de la matriz de riesgos el 30 de marzo de 1984 en "MIL-STD-882B System Safety Program Requirements". ^[9]^[10]

La matriz de riesgos fue utilizada por el equipo de reingeniería de adquisiciones del Centro de Sistemas Electrónicos de la Fuerza Aérea de los EE. UU. en 1995. ^[11]

Huihui Ni, An Chen y Ning Chen propusieron algunas mejoras al enfoque en 2010. ^[12]

En 2019, las tres formas más populares de la matriz fueron:

Una matriz de riesgo 3x3 ( OHSAS 18001 )
una matriz de riesgo 5x5 (MIL-STD-882B)
una matriz de riesgo 4x4 (AS/NZS 4360 2004) ^[13]

También se utilizan otras normas. ^[14]

Problemas

En su artículo "¿Qué hay de malo en las matrices de riesgo?", ^[15] Tony Cox sostiene que las matrices de riesgo presentan varias características matemáticas problemáticas que dificultan la evaluación de los riesgos. Estas son:

Resolución deficiente. Las matrices de riesgo típicas pueden comparar de forma correcta e inequívoca sólo una pequeña fracción (por ejemplo, menos del 10 %) de pares de peligros seleccionados al azar. Pueden asignar calificaciones idénticas a riesgos cuantitativamente muy diferentes ("compresión de rango").
Errores. Las matrices de riesgo pueden asignar por error calificaciones cualitativas más altas a riesgos cuantitativamente más pequeños. En el caso de los riesgos con frecuencias y severidades correlacionadas negativamente, pueden ser "peores que inútiles", lo que lleva a decisiones peores que aleatorias.
Asignación de recursos subóptima. La asignación eficaz de recursos a medidas de reducción de riesgos no puede basarse en las categorías proporcionadas por las matrices de riesgo.
Entradas y salidas ambiguas. No es posible realizar categorizaciones de gravedad objetivas en el caso de consecuencias inciertas. Las entradas de las matrices de riesgo (por ejemplo, las categorizaciones de frecuencia y gravedad) y los resultados resultantes (es decir, las calificaciones de riesgo) requieren una interpretación subjetiva, y diferentes usuarios pueden obtener calificaciones opuestas de los mismos riesgos cuantitativos. Estas limitaciones sugieren que las matrices de riesgo deben utilizarse con precaución y solo con explicaciones cuidadosas de los juicios incorporados.

Thomas, Bratvold y Bickel ^[16] demuestran que las matrices de riesgo producen clasificaciones de riesgo arbitrarias. Las clasificaciones dependen del diseño de la propia matriz de riesgo, como el tamaño de los intervalos y si se utiliza o no una escala creciente o decreciente. En otras palabras, cambiar la escala puede cambiar la respuesta.

Un problema adicional es la imprecisión que se utiliza en las categorías de probabilidad. Por ejemplo, "cierto", "probable", "posible", "improbable" y "raro" no están relacionados jerárquicamente. Se podría obtener una mejor elección mediante el uso del mismo término base, como "extremadamente común", "muy común", "bastante común", "menos común", "muy poco común", "extremadamente poco común" o una jerarquía similar en un término base de "frecuencia". ^{[ cita requerida ]}

Otro problema común es asignar índices de rango a los ejes de la matriz y multiplicarlos para obtener una "puntuación de riesgo". Si bien esto parece intuitivo, da como resultado una distribución desigual. ^{[ cita requerida ]}

Ciberseguridad

Douglas W. Hubbard y Richard Seiersen toman la investigación general de Cox, Thomas, Bratvold y Bickel y brindan una discusión específica en el ámbito del riesgo de ciberseguridad . Señalan que, dado que el 61% de los profesionales de la ciberseguridad utilizan algún tipo de matriz de riesgo, esto puede ser un problema grave. Hubbard y Seiersen consideran estos problemas en el contexto de otros errores humanos medidos y concluyen que "los errores de los expertos simplemente se ven exacerbados por los errores adicionales introducidos por las propias escalas y matrices. Estamos de acuerdo con la solución propuesta por Thomas et al. No hay necesidad de que la ciberseguridad (u otras áreas de análisis de riesgos que también utilizan matrices de riesgo) reinventen métodos cuantitativos bien establecidos que se utilizan en muchos problemas igualmente complejos". ^[17]

Referencias

^ "¿Qué tienen de bueno las matrices de riesgo?". Julian Talbot sobre riesgo, éxito y liderazgo . Archivado desde el original el 14 de julio de 2018. Consultado el 18 de junio de 2018 .
^ "Guía de gestión de riesgos, problemas y oportunidades para programas de adquisiciones de defensa" (PDF) . Departamento de Defensa de los Estados Unidos . Enero de 2017. Archivado desde el original (PDF) el 2017-07-04 . Consultado el 2018-06-18 .
^ "NASA, Centro de vuelo espacial Goddard, Estándar técnico Goddard GSFC-STD-0002, Informes de gestión de riesgos" (PDF) . 2009-05-08 . Consultado el 2018-06-17 .
^ Organización Internacional de Normalización, Gestión de riesgos de sistemas espaciales, ISO 17666,
^ ab "NOVA | El accidente aéreo más mortal | ¿Qué tan riesgoso es volar? | PBS". www.pbs.org . Consultado el 27 de junio de 2022 .
^ "HRD-80-20 Riesgos para la salud y seguridad en el trabajo en las instalaciones del Departamento de Defensa" (PDF) .
^ Clemens, Pat (2005). "La matriz RAC: ¿una herramienta universal o un conjunto de herramientas?". Journal of System Safety . 41 (2): 14–19.
^ Hussey, David (1 de agosto de 1978). "Análisis de cartera: experiencia práctica con la matriz de política direccional". Planificación a largo plazo . 11 (4): 2–8. doi :10.1016/0024-6301(78)90001-8. ISSN 0024-6301.
^ "REQUISITOS DEL PROGRAMA DE SEGURIDAD DEL SISTEMA MIL-STD-882B". sunnyday.mit.edu .
^ Philley, Jack O. (1992). "Riesgo aceptable: una visión general". Plant/Operations Progress . 11 (4): 218–223. doi :10.1002/prsb.720110409. ISSN 1549-4632.
^ Garvey, Paul; Landsdown, Zachary (1998). "Matriz de riesgo: un enfoque para identificar, evaluar y clasificar los riesgos del programa". Revista de logística de la Fuerza Aérea . 22 (1). DIANE Publishing: 18–21. ISBN 9781428990890.
^ Ni, Huihui; Chen, An; Chen, Ning (1 de diciembre de 2010). "Algunas extensiones del enfoque de matriz de riesgos". Ciencia de la seguridad . 48 (10): 1269-1278. doi : 10.1016/j.ssci.2010.04.005 . ISSN 0925-7535.
^ Kovačević, Nenad; Stojiljković, Aleksandra; Kovač, Mitar (11 de diciembre de 2019). "Aplicación del enfoque matricial en la evaluación de riesgos". Investigación Operativa en Ciencias de la Ingeniería: Teoría y Aplicaciones . 2 (3): 55–64. doi : 10.31181/oresta1903055k . ISSN 2620-1747.
^ Ristić, Dejan (2013). "Una herramienta para la evaluación de riesgos" (PDF) . Ingeniería de seguridad . 3 (3). doi : 10.7562/SE2013.3.03.03 .
^ Cox, LA Jr., '¿Qué hay de malo en las matrices de riesgo?', Análisis de riesgo, vol. 28, núm. 2, 2008, doi :10.1111/j.1539-6924.2008.01030.x
^ Thomas, Philip, Reidar Bratvold y J. Eric Bickel, 'El riesgo de utilizar matrices de riesgo', SPE Economics & Management, vol. 6, n.º 2, págs. 56-66, 2014, doi :10.2118/166269-PA
^ Hubbard, Douglas W.; Seiersen, Richard (2016). Cómo medir cualquier cosa en materia de riesgo de ciberseguridad . Wiley. pp. Ubicaciones Kindle 2636–2639.

[1] "¿Qué tienen de bueno las matrices de riesgo?". Julian Talbot sobre riesgo, éxito y liderazgo . Archivado desde el original el 14 de julio de 2018. Consultado el 18 de junio de 2018 .

[2] "Guía de gestión de riesgos, problemas y oportunidades para programas de adquisiciones de defensa" (PDF) . Departamento de Defensa de los Estados Unidos . Enero de 2017. Archivado desde el original (PDF) el 2017-07-04 . Consultado el 2018-06-18 .

[3] "NASA, Centro de vuelo espacial Goddard, Estándar técnico Goddard GSFC-STD-0002, Informes de gestión de riesgos" (PDF) . 2009-05-08 . Consultado el 2018-06-17 .

[ISO-4] Organización Internacional de Normalización, Gestión de riesgos de sistemas espaciales, ISO 17666,

[:0-5] "NOVA | El accidente aéreo más mortal | ¿Qué tan riesgoso es volar? | PBS". www.pbs.org . Consultado el 27 de junio de 2022 .

[6] "HRD-80-20 Riesgos para la salud y seguridad en el trabajo en las instalaciones del Departamento de Defensa" (PDF) .

[7] Clemens, Pat (2005). "La matriz RAC: ¿una herramienta universal o un conjunto de herramientas?". Journal of System Safety . 41 (2): 14–19.

[8] Hussey, David (1 de agosto de 1978). "Análisis de cartera: experiencia práctica con la matriz de política direccional". Planificación a largo plazo . 11 (4): 2–8. doi :10.1016/0024-6301(78)90001-8. ISSN 0024-6301.

[9] "REQUISITOS DEL PROGRAMA DE SEGURIDAD DEL SISTEMA MIL-STD-882B". sunnyday.mit.edu .

[10] Philley, Jack O. (1992). "Riesgo aceptable: una visión general". Plant/Operations Progress . 11 (4): 218–223. doi :10.1002/prsb.720110409. ISSN 1549-4632.

[11] Garvey, Paul; Landsdown, Zachary (1998). "Matriz de riesgo: un enfoque para identificar, evaluar y clasificar los riesgos del programa". Revista de logística de la Fuerza Aérea . 22 (1). DIANE Publishing: 18–21. ISBN 9781428990890.

[12] Ni, Huihui; Chen, An; Chen, Ning (1 de diciembre de 2010). "Algunas extensiones del enfoque de matriz de riesgos". Ciencia de la seguridad . 48 (10): 1269-1278. doi : 10.1016/j.ssci.2010.04.005 . ISSN 0925-7535.

[13] Kovačević, Nenad; Stojiljković, Aleksandra; Kovač, Mitar (11 de diciembre de 2019). "Aplicación del enfoque matricial en la evaluación de riesgos". Investigación Operativa en Ciencias de la Ingeniería: Teoría y Aplicaciones . 2 (3): 55–64. doi : 10.31181/oresta1903055k . ISSN 2620-1747.

[14] Ristić, Dejan (2013). "Una herramienta para la evaluación de riesgos" (PDF) . Ingeniería de seguridad . 3 (3). doi : 10.7562/SE2013.3.03.03 .

[cox-15] Cox, LA Jr., '¿Qué hay de malo en las matrices de riesgo?', Análisis de riesgo, vol. 28, núm. 2, 2008, doi :10.1111/j.1539-6924.2008.01030.x

[thomas-16] Thomas, Philip, Reidar Bratvold y J. Eric Bickel, 'El riesgo de utilizar matrices de riesgo', SPE Economics & Management, vol. 6, n.º 2, págs. 56-66, 2014, doi :10.2118/166269-PA

[17] Hubbard, Douglas W.; Seiersen, Richard (2016). Cómo medir cualquier cosa en materia de riesgo de ciberseguridad . Wiley. pp. Ubicaciones Kindle 2636–2639.