La metodología de calificación de riesgos considera el impacto potencial de los riesgos basándose en la probabilidad y el impacto de la ocurrencia del riesgo, donde la probabilidad es «la probabilidad de que un evento determinado ocurra» y el impacto es «el resultado, efecto o consecuencias de un evento». La combinación de estos elementos es una evaluación de la gravedad del riesgo o del grado en que el riesgo tendrá una consecuencia que podría afectar materialmente a la capacidad de la organización para alcanzar sus metas y objetivos.
Metodología de clasificación de riesgos
Las actividades de toda organización implican cierto nivel de riesgo. Los riesgos son acontecimientos que se producen como consecuencia de la incertidumbre y pueden tener un impacto positivo o negativo en los objetivos del proyecto. Como cada proyecto es único, el riesgo asociado varía de uno a otro. Por ello, la gestión de riesgos es una parte importante de cualquier organización, ya que una gestión adecuada aumenta las probabilidades de éxito de un proyecto.
Intrínsecamente, los auditores internos no pueden evaluar todos los posibles riesgos a los que se enfrenta una organización. Las múltiples fuentes de compromisos potenciales, junto con el alcance del trabajo relacionado, requieren el uso eficiente de los limitados recursos de auditoría interna.
Hasta cierto punto, los marcos para evaluar y desarrollar planes basados en el riesgo variarán de una empresa a otra. La magnitud de una organización, la formalidad, la dirección de la gestión, el sector, los requisitos estatutarios y otros aspectos demográficos son algunos de los posibles aspectos que influyen.
Se pueden utilizar varios marcos de evaluación de riesgos para medirlos. Los más aceptados son el marco de gestión de riesgos empresariales (ERM) del Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO), la norma ISO 31000 y la guía Turnbull.
Evaluación del impacto
Las consecuencias o los efectos de un evento de riesgo sobre los objetivos del proyecto suelen definirse como impactos. Estos efectos pueden ser tanto beneficiosos como perjudiciales para los objetivos. El impacto de los eventos de riesgo sobre los distintos objetivos del proyecto puede definirse tanto cualitativa como cuantitativamente. Estos objetivos del proyecto incluyen el coste, el calendario, la calidad, el alcance, la salud y la seguridad, etc.
Evaluación de la probabilidad
La posibilidad de que se produzca un evento de riesgo se denomina probabilidad de riesgo o probabilidad. La probabilidad puede expresarse tanto cualitativa como cuantitativamente. Cuando se habla de probabilidad en un contexto cualitativo, se utilizan palabras como frecuente, posible, raro, etc. También es posible expresar la probabilidad numéricamente. Esto puede lograrse mediante el uso de puntuaciones, porcentajes y frecuencias definidas por las organizaciones en función de la descripción relativa.
Métodos de evaluación de riesgos mediante impacto y probabilidad
La matriz de probabilidad e impacto es uno de los métodos de evaluación cualitativa más utilizados. Se basa en los dos componentes del riesgo, la probabilidad de que ocurra y el impacto en los objetivos si se produce. La matriz es una cuadrícula bidimensional que traza la posibilidad de que se produzca el riesgo y sus consiguientes repercusiones en los objetivos del proyecto. La puntuación de riesgo, a menudo denominada nivel de riesgo o grado de riesgo, se calcula multiplicando los dos ejes de la matriz.
Riesgo = Impacto x Probabilidad
Como el impacto y la probabilidad pueden describirse de forma correspondiente y aritmética, también lo puede hacer la puntuación de riesgo. Cuanto más altas sean las calificaciones combinadas, mayor será la puntuación y el nivel de riesgo. Estas calificaciones se definen a grandes rasgos de bajo a alto o de muy bajo a muy alto. Las calificaciones deben ser clasificadas por cada entidad y ser distintas para cada actividad. Las entidades deben determinar su tolerancia al riesgo. Generar estas determinaciones de los niveles de impacto y probabilidad puede ayudar a reducir la influencia del sesgo.
Impacto y probabilidad en el análisis de evaluación de riesgos
Los métodos cualitativos de evaluación de riesgos son relativamente rápidos de aplicar, rentables y sencillos de entender. Los resultados de la evaluación cualitativa no proporcionan una estimación precisa del riesgo. Sin embargo, proporcionan un resultado bastante descriptivo y, en muchos casos, información suficiente para planificar las respuestas. Los resultados de estas evaluaciones también sientan las bases para un análisis cuantitativo más detallado, si es posible y está justificado. Se lleva a cabo de forma periódica a lo largo del ciclo de vida de un proyecto, ya que pueden surgir nuevos riesgos en fases posteriores y las respuestas a los riesgos pueden dar lugar a otros eventos de riesgo.
Matriz de probabilidad e impacto
La matriz de probabilidad e impacto es un método de evaluación cualitativa muy popular. Se basa en dos aspectos del riesgo: la probabilidad de que se produzca y el impacto en el objetivo o los objetivos si se produce. La matriz es una retícula bidimensional que mapea la probabilidad de ocurrencia del riesgo y su impacto en los objetivos del proyecto [5]. La puntuación de riesgo, también conocida como nivel de riesgo o grado de riesgo, se calcula multiplicando los dos ejes de la matriz.
Reflexiones finales
Los dos componentes principales del análisis de riesgos son el impacto y la probabilidad. Considerar el impacto frente a la probabilidad es un método habitual para clasificar y priorizar los riesgos, ya que algunos pueden tener un impacto grave en los objetivos del proyecto pero ocurrir sólo en raras ocasiones, mientras que otros tienen un impacto moderado pero ocurren con más frecuencia.
El resultado de estas matrices de riesgo se utiliza para priorizar los riesgos, planificar la respuesta al riesgo, identificar los riesgos para la evaluación cuantitativa y orientar la asignación de recursos durante la auditoría.
