El análisis, evaluación y tratamiento del riesgo en la empresa se realizan mediante metodologías que aportan garantías según la disciplina. Estas metodologías se han desarrollado y evolucionado como parte de disciplinas específicas para controlar los riesgos.
Las empresas tienden cada vez mas a integrar la gestión del riesgo. Para ello, es necesario que las métricas de las distintas metodologías converjan. Hacer converger las métricas de las distintas metodologías es un desafío importante y un camino lleno de dificultades. La primera de ellas es el reconocimiento de la métrica, es decir, demostrar ante terceros que la métrica nueva es adecuada para el control del riesgo específico.
En muchos casos, las distintas metodologías no están orientadas a ser integradas en un sistema único de gestión del riesgo, pero gozan de una contrastada aplicación en el área para la que fueron concebidas. Por lo tanto, nos encontramos ante una especie de paradoja, integrar los riesgos con métricas distintas para disponer del reconocimiento profesional de los distintos sectores, y utilizar métricas que permitan integrar todos los riesgos de la empresa.
Esto, que parece complejo, se puede resolver aplicando dos métricas para el control del riesgo: una específica que goce del reconocimiento de terceros y una métrica adecuada para la integración de los riesgos en la empresa.
En el siguiente esquema se desarrolla el control del riesgo indicado en la ISO 31000, en dos fases:
Para ilustrar esto, voy a citar algunos ejemplos:
Ejemplo 1: Supongamos el riesgo de incendio de una instalación industrial.
Ejemplo 2: Supongamos que tenemos una instalación que ha sido identificada como infraestructura crítica por el CNPIC.
Conclusiones:
Nuestro sistema de gestión del riesgo tendrá que permitir la aplicación de distintas metodologías de apreciación y tratamiento del riesgo conforme a: