¿Qué es «riesgos y oportunidades» en las normas de Sistemas de Gestión?
¿Qué es «riesgos y oportunidades» en las normas de Sistemas de Gestión?
Alberto Guevara Valencia, Julio de 2022
Esta pregunta se la han formulado millones de personas alrededor del planeta en los últimos años encontrando respuestas diversas. Cada norma internacional tiene su propia definición y allí radica la dificultad: Las definiciones son diferentes y no es tan sencillo unificar el criterio para un propósito de integración.
La palabra «riesgo» no tiene una etimología unificada, algunos autores hablan que la etimología del término proviene de la expresión de origen árabe «Risco» que se asocia a un montículo de roca en el mar, haciendo suponer entonces que cada risco representa un peligro para un barco en su tránsito normal.
Esto llevó a que diversos autores le dieran una definición al término «Riesgo» asociándolo a un «evento indeseable con potencial de daño», definición que a la fecha sigue siendo ampliamente usada, pero no de manera unificada. Más adelante, otro grupo de autores consideraron que no era necesario atender cada riesgo identificado, pues su probabilidad de ocurrencia le daba la viabilidad de emprender acciones. Siendo razonables, no se hace necesario seguramente emprender acciones costosas sobre un evento potencial e incierto con muy baja probabilidad de ocurrencia, de donde surgió una segunda definición para el término «riesgo» como la «Posibilidad de ocurrencia de un evento indeseable».
Esta definición asociada a la posibilidad (un concepto más amplio que el de «probabilidad») no duró mucho en ser debatida, pues la probabilidad o la posibilidad no es el único criterio de decisión para abordar un evento potencial indeseable, observando que su nivel de daño probable también tiene una fuerte incidencia y en consecuencia se decidió por otro grupo de autores que el término «riesgo» debería ser el resultado de la combinación entre la probabilidad y la magnitud de un evento potencial e incierto.
Esta definición causó gran rechazo entre los autores tradicionales, pues no solo cambio sustancialmente el término, sino que lo convirtió en un número o un nivel, dejando de ser la descripción cualitativa de un evento a una descripción cuantitativa o numérica de su probabilidad e impacto combinados.
Más adelante se logró consolidar un primer acuerdo tácito, en el cual la combinación entre la probabilidad y el impacto de un evento incierto probable se denominaría «nivel de riesgo», pero se generó gran confusión cuando otros autores decidieron seguirlo llamando simplemente «riesgo», pues se incorporaron conceptos como «Riesgo residual», «Riesgo inherente», «Apetito al riesgo» o «nivel de aceptación del riesgo», los cuales solamente tienen una definición lógica si el término «riesgo» es la combinación entre la probabilidad y el impacto.
Este debate llegó a la Organización Internacional para la Normalización ISO, en el año 2002 en el documento ISO/GUIDE 73:2002 se publicó que «riesgo» es la combinación de la probabilidad de un evento potencial con sus consecuencias. Esta publicación llevó a un gran debate conceptual, pues los defensores del concepto tradicional (Evento potencial indeseable e incierto) manifestaron que la definición de ISO en 2002 causaría un gran caos en la interpretación de requisitos de riesgos en los Sistemas de Gestión.
ISO abrió el debate y se remitió a conceptos de uso de metodologías de riesgos empleados por la NASA y otras organizaciones entre los años 1960 y 1980, encontrando que las metodologías de mejores resultados, tales como AMEF, HACCP y HAZOP (Ver IEC 31010) tenían como factor común que lo importante era el efecto de los eventos potenciales inciertos, llegando a la conclusión que el enfoque de riesgos debería estar orientado al efecto de la incertidumbre y no sobre la incertidumbre misma. De allí que en 2009, ISO actualizó su documento ISO/GUIDE 73:2009 incorporando la definición de «Riesgo» como «efecto de la incertidumbre sobre los objetivos» con el fin de orientar estratégicamente el concepto, yendo hacia los objetivos y analizando el efecto de los hechos inciertos más allá de los mismos hechos inciertos.
Pero esta definición de «efecto de la incertidumbre» lleva a un análisis adicional: Pueden haber efectos positivos, neutros y negativos, lo cual hace pensar que hay riesgos positivos, neutros y negativos.
La norma de Sistemas de Gestión de la Seguridad Vial ISO 39001 fue una de las primeras normas publicadas bajo los elementos del Anexo SL de esa época (Denominado también Estructura de Alto Nivel por ISO e IEC en 2012), incorporando los requisitos de «riesgos y oportunidades» asociados no solo a los objetivos sino riesgos y oportunidades asociados al desempeño en Seguridad Vial, motivo por el cual la definición de «riesgo» es «Efecto de la incertidumbre» y no «Efecto de la incertidumbre sobre los objetivos» para no limitar el análisis de riesgos solo frente a los objetivos sino frente a otros asuntos del modelo.
La normas ISO 9001 versión 2015 e ISO 14001 versión 2015 se publicaron simultáneamente en octubre de 2015, pero solamente ISO 14001 incorporó una definición de «oportunidades» como «efectos potenciales beneficiosos», dando a entender que se trata del «riesgo positivo» y de lo cual se supone que el efecto neutro de la incertidumbre no tiene una denominación como riesgo, limitando la identificación a aquellos efectos positivos o negativos.
Ahora, el problema de interpretación surge con la norma ISO 45001 de 2018, donde la definición de «oportunidad para la SST» es «circunstancia o conjunto de circunstancias que pueden conducir a la mejora del desempeño de la SST» y se incorporan dos definiciones diferentes para «Riesgo» como efecto de la incertidumbre y «Riesgo para SST» como «combinación de la probabilidad de que ocurran eventos o exposiciones peligrosos relacionados con el trabajo y la severidad de la lesión y deterioro de la salud que pueden causar los eventos o exposiciones».
Esto nos permite llegar a varias conclusiones:
- Existe uniformidad y acuerdo en el concepto de «Riesgo» en las normas ISO de Sistemas de Gestión publicadas después del año 2012, se trata de un Efecto, un efecto de los hechos inciertos, por lo tanto los análisis de riesgos deben iniciar con los análisis de las incertidumbres o los hechos potenciales inciertos y posteriormente determinar los efectos de cada una de las incertidumbres para poder tipificar el riesgo, el cual sigue siendo un resultado incierto, pues se deriva de un hecho incierto.
- Es necesario confirmar en cada norma de Sistema de Gestión la definición de «riesgo». Cuando en la norma la definición de «riesgo» está orientada al «efecto de la incertidumbre sobre los objetivos», bastará con hacer un análisis frente a los objetivos, pero cuando la definición de «riesgo» es más general como «efecto de la incertidumbre» es necesario ubicar en la norma respectiva hacia cuáles otros asuntos es necesario orientar el análisis, por ejemplo en la norma ISO 9001 se debe también orientar además de los objetivos, a la conformidad del producto y servicio y hacia la percepción del cliente (ver 5.1.2.b de ISO 9001:2015).
- El enfoque de las «oportunidades» se debe realizar en cada norma de acuerdo con su definición propia cuando la contenga, en los casos donde no hay una definición, se podría usar la definición de la norma ISO 14001 como el efecto positivo de la incertidumbre, pues esta definición, visto de una manera sistemática, responde de una manera más razonable al planteamiento del documento anexo SL (o Anexo SL) de ISO e IEC o Estructura de Alto Nivel.
