En este artículo os voy a explicar en qué consiste, mediante un ejemplo práctico, la matriz de consecuencia y probabilidad aplicado en la Gestión de Riesgos en los Sistemas de Gestión. Esta técnica está incluida en las 31 técnicas y herramientas que propone la norma ISO/IEC 31010 "Gestión del riesgo. Técnicas de evaluación del riesgo".
¿En qué consiste?
Matriz de consecuencia y probabilidad es una técnica para evaluar y priorizar riesgos en función de la probabilidad de ocurrencia y las consecuencias asociadas. Esta herramienta es efectiva para la toma de decisiones sobre la gestión de riesgos, debido a que se puede obtener información de la significancia o criticidad del riesgo que se está evaluando.
Al aplicar la matriz se está:
- Identificando los riesgos.
- Definiendo categorías para probabilidad y consecuencias.
- Calificando los riesgos en la matriz y priorizarlos según su ubicación en la matriz.
Los riesgos con alta probabilidad y consecuencias significativas se consideran críticos y requieren atención prioritaria.
La matriz combina calificaciones cualitativas y semicuantitativas de consecuencias y probabilidades para producir un nivel de riesgo o una cualificación del riesgo.
El formato de la matriz y las definiciones que se aplican dependen del contexto en el cual se utiliza y es importante que se utilice un diseño adecuado para las circunstancias. La organización debe establecer los niveles de riesgo y la decisión de aplicar unos determinados criterios de evaluación según sus necesidades.
¿Cuándo es recomendable aplicarla?
En función de las necesidades, información disponible y grado de detalle en que se necesite identificar, evaluar y tratar los riesgos de la organización, esta herramienta puede ser de gran utilidad o no. Por ese motivo, se listan a continuación, los usos más habituales en los que se usa esta herramienta:
- Sirve para evaluar y calificar riesgos, sus fuentes y posibles tratamientos según su nivel de riesgo.
- Funciona como una herramienta de clasificación cuando se identifican múltiples riesgos. Por ejemplo, para categorizarlos según el grado de análisis necesario o la urgencia de su tratamiento debido a su importancia.
- Se emplea para identificar aquellos riesgos que no requieren tratamiento ni consideración, así como para destacar los más significativos.
- Se utiliza para determinar si un riesgo es aceptable o no, basándose en su posición en la matriz.
- Facilita la comunicación de los niveles cualitativos de riesgo de manera comprensible para toda la organización.
- Es útil en situaciones de análisis en las que no se cuentan con datos suficientes o no se dispone del tiempo y los recursos necesarios para realizar un análisis cuantitativo exhaustivo.
Además de los usos anteriores, la matriz de consecuencia y probabilidad puede formar parte y aplicarse en una etapa determinada en otras técnicas como, por ejemplo:
- En análisis de modos y efectos de falla y criticidad (AMEFC) se aplica para determinar el análisis de criticidad.
- En los estudios de Peligro y Operatividad (EPO) se aplica para establecer las prioridades.
¿Qué metodología se debe seguir para aplicar esta herramienta?
Etapa 1: Definir las escalas de consecuencia y probabilidad
Se debe elaborar una matriz en la que se combinen la consecuencia y la probabilidad. Cada uno de los factores se asociará a un eje de la matriz.
Cada uno de los factores que componen la matriz deberán tener definida su propia escala; por lo tanto, se deberá definir cada una de las escalas.
La escala de consecuencia debe cubrir el rango máximo y mínimo de las diferentes consecuencias a considerar. Algunos ejemplos que se podrían considerar posibles consecuencias sería la pérdida económica, seguridad, derrames de productos peligrosos, retrasos en las entregas, fallas en la producción, defectos de los productos...
La escala de probabilidad debe ser clara. Puede ser cualitativa o cuantitativa dependiendo de la información disponible. En el caso de diseñar una escala cuantitativa, se deberán indicar las unidades y marcar los diferentes rangos establecidos. Esta escala debe cubrir todo el rango máximo y mínimo. La probabilidad mínima debe ser considerada aceptable para la máxima consecuencia definida.
Etapa 2: Definir los niveles de riesgo
Una vez definidas las escalas de consecuencia y probabilidad, se deberán definir y evaluar los niveles de riesgo, que se indicarán a las celdas donde se cruzan las dos escalas. Los niveles de riesgo se vinculan a la toma de decisiones.
En esta etapa, se deben establecer los diferentes niveles de riesgo que se utilizarán para categorizar la significancia de los riesgos. Esto implica la creación de un marco de referencia que describa claramente los umbrales entre los diferentes niveles de riesgo, como "bajo", "moderado", "alto" y "crítico". Cada nivel de riesgo debería estar definido de manera precisa, de modo que su interpretación sea uniforme en toda la organización.
El nivel de riesgo definido en la matriz debe estar asociado con la toma de decisiones sobre tartar o no el riesgo y el tipo de tratamiento que se le va a realizar.
Etapa 3: Elaborar la matriz
La elaboración de la matriz implica la creación de un gráfico o una tabla que combine las escalas de consecuencia y probabilidad. En esta etapa, se deben asignar los valores correspondientes de consecuencia y probabilidad a las celdas de la matriz, de acuerdo con las escalas definidas previamente. La matriz resultante servirá como una herramienta visual para la evaluación de riesgos, donde cada celda representa un nivel específico de riesgo.
En esta fase, los riesgos identificados se colocarán en la matriz según sus niveles de consecuencia y probabilidad. Esto permitirá determinar la posición de cada riesgo en la matriz y, por lo tanto, su nivel de significancia o criticidad. La evaluación de los riesgos se realizará en función de su ubicación en la matriz, lo que ayudará a priorizar las acciones de mitigación o tratamiento de los riesgos en el sistema de gestión.
Los resultados dependen del nivel de detalle presente en la matriz. Si el análisis es cuantitativo, en relación a la probabilidad y niveles de riesgo, entonces será más exhaustivo; si por el contrario, es cualitativo en relación a los tres factores, el resultado obtenido de la evaluación de riesgos será meramente una posible clasificación de riesgos. Dependiendo de la complejidad de los riesgos y de los recursos, la organización deberá definir el grado de detalle del análisis. Como se ha mencionado anteriormente, esta matriz, debido a su gran utilidad y sencillez, es utilizada por otras técnicas de análisis y herramientas en su procedimiento.
Ejemplo: Matriz de consecuencia y probabilidad aplicada a la gestión de riesgos de un sistema de gestión de calidad en base a la norma ISO 9001:2015.
La elaboración de una matriz de consecuencia y probabilidad aplicada a la gestión de riesgos en un sistema de gestión ISO 9001es un proceso esencial para evaluar la significancia de los riesgos asociados al sistema, como por ejemplo los asociados a los objetivos, al contexto de la organización, a los procesos, a las partes interesadas, a las no conformidades...
A continuación, se muestra un ejemplo simple de cómo crear una matriz de riesgos para un sistema de gestión ISO 9001:
Paso 1: Definir las escalas de consecuencia y probabilidad
Primero, se deben definir las escalas que se utilizarán para medir la consecuencia y la probabilidad de los riesgos. Aquí hay ejemplos de escalas para un sistema de gestión ISO 9001:
Escala de consecuencias:
1: Impacto mínimo en la calidad del producto/servicio.
2: Impacto moderado en la calidad del producto/servicio.
3: Impacto significativo en la calidad del producto/servicio.
4: Impacto crítico en la calidad del producto/servicio.
2: Impacto moderado en la calidad del producto/servicio.
3: Impacto significativo en la calidad del producto/servicio.
4: Impacto crítico en la calidad del producto/servicio.
En este caso, la definición de cada una de las consecuencias es muy general, en casos donde los riesgos sean muy complejos, así como las consecuencias, se puede elaborar una matriz específica para ciertos tipos de riesgos, sobre todo en las áreas de medioambiente y en seguridad y salud de los trabajadores.
Escala de probabilidades:
A: Muy baja probabilidad.
B: Baja probabilidad.
C: Probabilidad moderada.
D: Alta probabilidad.
Paso 2: Definir los niveles de riesgo
B: Baja probabilidad.
C: Probabilidad moderada.
D: Alta probabilidad.
Paso 2: Definir los niveles de riesgo
Estos niveles ayudarán a categorizar la significancia de los riesgos. Como se ha explicado anteriormente, si se dispone de información y recursos, se puede cuantificar los niveles de riesgo, de tal manera que más objetivos los resultados de aplicar la matriz.
En este ejemplo, se definirán cualitativamente, considerando los niveles de riesgo, como "bajo", "moderado", "alto" y "crítico".
Paso 3: Elaborar la matriz
Una vez definidos los tres factores se procede a crear la matriz:
Una vez definidos los tres factores se procede a crear la matriz:
Paso 4: Utilizar la matriz para evaluar riesgos:
Finalmente, se puede utilizar esta matriz para evaluar los riesgos en tu sistema de gestión ISO 9001. Como se ha elaborado esta matriz tan genérica, puede ser aplicable a cualquier tipo de riesgo identificado. En matrices más específicas, primero se deberá seleccionar el tipo de riesgos por el que sea adecuado aplicar la matriz.
Volviendo al ejemplo, si se identifica un riesgo con una probabilidad "Baja" y una consecuencia "Moderada", se ubica en la celda correspondiente y se determina que el nivel de riesgo es "Alto".
Para completar el análisis, se debería disponer de una tabla donde se especificara para cada nivel de riesgo que tratamiento es necesario. Además para aquellos riesgos con una evaluación de "alto" y "crítico" se deberían realizar acciones para mitigar lo antes posible el riesgo identificado.
La aplicación de esta matriz ayuda a priorizar la acción y las estrategias de mitigación para abordar los riesgos identificados en el contexto de la calidad del sistema ISO 9001.
0 comments:
Publicar un comentario