0% encontró este documento útil (0 votos)

108 vistas268 páginas

Estándar Internacional

Cargado por

Gerardo Granda

Derechos de autor

Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.

Formatos disponibles

Descarga como PDF, TXT o lee en línea desde Scribd

0% encontró este documento útil (0 votos)

108 vistas268 páginas

Estándar Internacional

Cargado por

Gerardo Granda

Derechos de autor

Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.

Formatos disponibles

Descarga como PDF, TXT o lee en línea desde Scribd

Machine Translated by Google

CEI 31010
Edición 2.0 201906

INTERNACIONAL
ESTÁNDAR

ESTÁNDARES

INTERNACIONAL
color
por dentro

Gestión de riesgos – Técnicas de evaluación de riesgos

31010:201906(en
IEC
fr)

Para obtener más información, siga

@jefriimron
@jeapconsultant

Biblioteca de consultores de Jeep
Machine Translated by Google

ESTA PUBLICACIÓN ESTÁ PROTEGIDA POR DERECHOS DE AUTOR

Reservados  todos  los  derechos.  A  menos  que  se  especifique  lo  contrario,  ninguna  parte  de  esta  publicación  puede  ser  reproducida  o
utilizada  de  ninguna  forma  o  por  ningún  medio,  electrónico  o  mecánico,  incluidas  fotocopias  y  microfilmes,  sin  el  permiso  por  escrito
de  IEC  o  del  Comité  Nacional  miembro  de  IEC  en  el  país  del  solicitante.  Si  tiene  alguna  pregunta  sobre  los  derechos  de  autor  de  IEC  o
sobre  la  obtención  de  derechos  adicionales  para  esta  publicación,  comuníquese  con  la  dirección  a  continuación  o  con  el  Comité  Nacional
miembro  local  de  IEC  para  obtener  más  información.

Derechos  de  reproducción  reservados.  A  menos  que  se  especifique  lo  contrario,  ninguna  parte  de  esta  publicación  puede  ser  reproducida
o  utilizada  de  ninguna  forma  o  por  ningún  medio,  electrónico  o  mecánico,  incluyendo  fotocopias  y  microfilmes,  sin  el  permiso  por  escrito
del  IEC  o  del  Comité  Nacional  IEC  del  país  del  solicitante.  Si  tiene  alguna  pregunta  sobre  los  derechos  de  autor  de  IEC  o  si  desea
obtener  derechos  adicionales  para  esta  publicación,  utilice  los  datos  de  contacto  a  continuación  o  comuníquese  con  el  Comité  Nacional
de  IEC  en  su  país  de  residencia.

Oficina  Central  IEC   Tel.:  +41  22  919  02  11
3,  rue  de  Varembé info@[Link]
CH1211  Ginebra  20 [Link]
Suiza

Acerca  de  IEC
La  Comisión  Electrotécnica  Internacional  (IEC)  es  la  principal  organización  mundial  que  prepara  y  publica  Normas  Internacionales  para  todas
las  tecnologías  eléctricas,  electrónicas  y  relacionadas.

Acerca  de  las  publicaciones
de  IEC  El  contenido  técnico  de  las  publicaciones  de  IEC  se  mantiene  bajo  constante  revisión  por  parte  de  IEC.  Asegúrese  de  tener  la  última
edición,  ya  que  podría  haberse  publicado  un  corrigendum  o  una  enmienda.

Búsqueda  de  publicaciones  IEC    [Link]/advsearchform   Electropedia    [Link]  El
La  búsqueda  avanzada  permite  encontrar  publicaciones  IEC  por  una   diccionario  en  línea  líder  en  el  mundo  sobre  electrotecnología,  que
variedad  de  criterios  (número  de  referencia,  texto,  comité  técnico,...).   contiene  más  de  22  000  entradas  terminológicas  en  inglés  y  francés,
También  da  información  sobre  proyectos,  publicaciones  sustituidas   con  términos  equivalentes  en  16  idiomas  adicionales.
y  retiradas. También  conocido  como  el  Vocabulario  electrotécnico  internacional
(IEV)  en  línea.
IEC  recién  publicado    [Link]/justpublished  Manténgase
actualizado  sobre  todas  las  nuevas  publicaciones  de  IEC.  Just  Published   Glosario  de  IEC    [Link]/glossary  67
detalla  todas  las  nuevas  publicaciones  lanzadas.  Disponible  en  línea  y  una   000  entradas  de  terminología  electrotécnica  en  inglés  y  francés
vez  al  mes  por  correo  electrónico. extraídas  de  la  cláusula  de  términos  y  definiciones  de  las
publicaciones  de  IEC  emitidas  desde  2002.  Algunas  entradas  se
Centro  de  atención  al  cliente  de  IEC    [Link]/csc  Si   han  recopilado  de  publicaciones  anteriores  de  IEC  TC  37,  77,  86  y
desea  darnos  su  opinión  sobre  esta  publicación  o  necesita  más   CISPR.
ayuda,  comuníquese  con  el  Centro  de  atención  al  cliente:
sales@[Link].

Acerca  de  IEC  La
Comisión  Electrotécnica  Internacional  (IEC)  es  la  organización  líder  mundial  que  desarrolla  y  publica  Normas  Internacionales  para  todo  lo
relacionado  con  la  electricidad,  la  electrónica  y  las  tecnologías  relacionadas.

Acerca  de  las  publicaciones  de  IEC
El  contenido  técnico  de  las  publicaciones  de  IEC  se  revisa  constantemente.  Asegúrese  de  tener  la  edición  más  reciente,  es  posible  que  se
haya  publicado  un  corrigendum  o  enmienda.

Búsqueda  de  publicaciones  de  IEC     El  primer  diccionario  de  electrotecnología  en  línea  del  mundo,  con
[Link]/advsearchform  La   más  de  22  000  entradas  terminológicas  en  inglés  y  francés,  así
búsqueda  avanzada  le  permite  encontrar  publicaciones  de  IEC   como  términos  equivalentes  en  16  idiomas  adicionales.
utilizando  diferentes  criterios  (número  de  referencia,  texto,  comité   También  llamado  Vocabulario  electrotécnico
de  estudio,  etc.).  También  da  información  sobre  proyectos  y   internacional  (IEV)  en  línea.
publicaciones  reemplazadas  o  retiradas.
Glosario  de  IEC:  [Link]/glossary
IEC  recién  publicado:  [Link]/justpublished   67 000  entradas  de  terminología  electrotécnica,  en  inglés  y  francés,
Manténgase  informado  sobre  las  nuevas  publicaciones  de  IEC.  Just   extraídas  de  artículos  de  términos  y  definiciones  en  publicaciones
Published  detalla  las  nuevas  publicaciones  publicadas. de  IEC  publicadas  desde  2002.  Más  algunas  entradas  anteriores
Disponible  en  línea  y  una  vez  al  mes  por  correo  electrónico. extraídas  de  las  publicaciones  de  CE  37,  77,  86  e  IEC  CISPR.

Atención  al  cliente    [Link]/csc  Si
desea  enviarnos  comentarios  sobre  esta  publicación  o  si  tiene
alguna  pregunta,  comuníquese  con  nosotros:  sales@[Link].

Electropedia [Link]
Machine Translated by Google

CEI 31010
Edición 2.0 201906

INTERNACIONAL
ESTÁNDAR

ESTÁNDARES

INTERNACIONAL color
por dentro

Gestión de riesgos – Técnicas de evaluación de riesgos

INTERNACIONAL
ELECTROTÉCNICA
COMISIÓN

COMISIÓN
ELECTROTÉCNICA
INTERNACIONAL

SCI 03.100.01 ISBN 9782832269893

¡Advertencia! Asegúrese de haber obtenido esta publicación de un distribuidor autorizado.
¡Atención! Asegúrese de haber obtenido esta publicación a través de un distribuidor autorizado.
Machine Translated by Google

– 2 – CEI 31010:2019 CEI 2019

CONTENIDO
PREFACIO................................................. .................................................... ........................ 6

INTRODUCCIÓN................................................. .................................................... .................... 8

1 Alcance ................................................ .................................................... ............................. 9
2 Referencias normativas ............................................... .................................................... ..... 9

3 Términos y definiciones .............................................. .................................................... ...... 9

4 Conceptos básicos .................................................. .................................................... ..............10
4.1 Incertidumbre .................................................. .................................................... ........10
4.2 Riesgo .................................. .................................................... .............................11

5 Usos de las técnicas de evaluación de riesgos .................................. ..................................11 6 Implementación de la evaluación

de  riesgos ........... .................................................... ..........................12
6.1 Planificar  la  evaluación.................................................... .............................................12
6.1.1 Definir  el  propósito  y  el  alcance  de  la  evaluación ........................................... .....12
6.1.2 Comprender  el  contexto .................................................. ....................................13
6.1.3 Involucrarse  con  las  partes  interesadas ............................................... ..............................13  Definir
6.1.4 objetivos ................ .................................................... .........................13  Considere  los  factores  humanos,
6.1.5 organizacionales  y  sociales .................. .......................13
6.1.6 Criterios  de  revisión  para  las  decisiones .............................................. ............................14

6.2  Manejar  información  y  desarrollar  modelos ............................................... ....................16
6.2.1 Generalidades ............................. .................................................... .........................dieciséis
6.2.2 Recabando  información ................................................ ..................................16  Análisis  de
6.2.3 datos ........... .................................................... ..................................16  Desarrollo  y  aplicación  de
6.2.4 modelos ........... .................................................... ......17  6.3  Aplicar  técnicas  de  evaluación  de
riesgos ............................... ....................................18  Descripción
6.3.1 general ............. .................................................... ..........................................18
6.3.2 Identificar  el  riesgo ................................................. ...................................................19  Determinación  de
6.3.3 fuentes ,  causas  y  factores  de  riesgo ...............................................  19  Investigar  la  eficacia  de  los  controles
6.3.4 existentes..........................................20  Comprender  Consecuencias  y  probabilidad ............................................... ..20
6.3.5 Análisis  de  interacciones  y  dependencias ........................................... ...........22  Comprensión  de  las  medidas
6.3.6 de  riesgo.................................. ...................................22  6.4  Revisar  el
6.3.7 análisis .......... .................................................... ..................................25  Verificación  y  validación  de
resultados ........... .................................................... .........25  Análisis  de  incertidumbre  y
6.4.1 sensibilidad .................................. ..........................25  Supervisión  y
6.4.2 revisión.................... .................................................... ...............26  6.5  Aplicar  los  resultados  para  apoyar  las
6.4.3 decisiones ........................... .............................................26  Descripción
general ... .................................................... ....................................................  26
6.5.1
6.5.2 Decisiones  sobre  la  importancia  del  riesgo ............................................... .............27  Decisiones  que  implican
6.5.3 seleccionar  entre  opciones.................................. .............27  Registrar  e  informar  sobre  el  proceso  y  los
6.6 resultados  de  la  evaluación  de  riesgos .................. .......28  7  Selección  de  técnicas  de  evaluación  de
riesgos .................................. ..........................................28
7.1 General................................................. .................................................... ..............28
7.2 Técnicas  de  selección ................................................. .............................................29  Anexo  A  (informativo )
Categorización  de  técnicas ............................................... ...............31  Introducción  a  la  categorización  de
A.1 técnicas ............................... .............................31  A.2  Aplicación  de  la  categorización  de
técnicas ............ ...............................................31A.  3  Uso  de  técnicas  durante  el  proceso  ISO
31000 ............................................... ........  37
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 3 –

Anexo  B  (informativo)  Descripción  de  técnicas ........................................... ........................40  B.1  Técnicas  para  obtener
puntos  de  vista  de  partes  interesadas  y  expertos .................. ....................40
B.1.1 Generalidades ............................. .................................................... .........................40
B.1.2 Lluvia  de  ideas ................................................. ...................................................40  Técnica
B.1.3 Delphi .................................................... ..........................................42  Técnica  del  grupo
B.1.4 nominal .... .................................................... .........................43  Entrevistas  estructuradas  o
B.1.5 semiestructuradas .................. ..........................................44
B.1.6 Encuestas ................................................. .................................................... ......45  B.2  Técnicas  de
identificación  del  riesgo.................................... ..........................................46
B.2.1 Generalidades ..... .................................................... ....................................................  46
B.2.2 Listas  de  verificación,  clasificaciones  y  taxonomías ........................................... ........47  Análisis  de
B.2.3 modos  y  efectos  de  falla  (FMEA)  y  análisis  de  modos,  efectos  y  criticidad  de  falla
(FMECA) .................. ..........................................49  Peligro  y  operatividad  (HAZOP)
B.2.4 estudios ............................................... ..........50  Análisis  de
B.2.5 escenarios ....................................... .................................................... ...52  Técnica  estructurada  de
B.2.6 qué  pasaría  si  (SWIFT) ....................................... .....................54  B.3  Técnicas  para  determinar  las
fuentes,  causas  y  factores  impulsores  del  riesgo ............... .............55
B.3.1 Generalidades ................................... .................................................... ....................55
B.3.2 Enfoque  cindínico .................................................. .............................................56  Método  de  análisis
B.3.3 de  Ishikawa  (espina  de  pescado) .. .................................................... .........58  B.4  Técnicas  de  análisis
de  controles .................................. ........................................60
B.4.1 Generalidades ........ .................................................... ...................................................60
B.4.2  Análisis  de  corbata  de  lazo ........................................... .............................................60  B.4.3  Análisis  de
peligros  y  puntos  críticos  de  control  (APPCC) ..................................  62  Análisis  de  capas  de  protección
B.4.4 (LOPA) ........................................... ...........64  B.5  Técnicas  para  comprender  las  consecuencias  y  la
probabilidad .................. ............  66  Generalidades ................................... .................................................... ...................66
B.5.1
B.5.2 Análisis  bayesiano .................................................. ..........................................66  Redes  bayesianas  y
B.5.3 diagramas  de  influencia.. ....................................................  68  Análisis  de  impacto  en  el  negocio
B.5.4 (BIA).................................. ..........................70  Análisis  de  causaconsecuencia
B.5.5 (CCA) ............... .............................................72  Árbol  de  eventos  análisis
B.5.6 (ETA) .............................................. ..........................74  Análisis  de  árbol  de  fallas
B.5.7 (FTA) ........... .................................................... ...........76  B.5.8  Análisis  de  confiabilidad  humana
(HRA) .................. .............................................78  B.5.9  Análisis  de
Markov .................................................. .............................................79  B.5.10  Monte  Simulación  de
Carlos ................................................. ....................................81
B.5.11 Análisis  de  impacto  en  la  privacidad  (PIA) /  análisis  de  impacto  en  la  protección  de  datos
(DPIA) ...........83  B.6  Técnicas  para  analizar  dependencias  e  interacciones ........... ..........................85  Mapeo
B.6.1 causal ............................... .................................................... ....................85  Análisis  de  impacto
B.6.2 cruzado .......................... .................................................... ......87  B.7  Técnicas  que  proporcionan  una
medida  del  riesgo .................................. ..........................89  Evaluación  del  riesgo
B.7.1 toxicológico .................. .................................................... ...89  Valor  en  Riesgo
B.7.2 (VaR) ........................................... ..........................................91  Condicional  valor  en  riesgo  (CVaR)  o
B.7.3 déficit  esperado  (ES) ...........................93  B.8  Técnicas  para  evaluar  la  importancia  del
riesgo ..................................................94  General ................................................. .................................................... ......94
B.8.1
B.8.2 Tan  bajo  como  sea  razonablemente  practicable  (ALARP)  y  hasta  donde  sea  razonablemente
practicable  (SFAIRP) .................................. .................................................... ...  94
Machine Translated by Google

– 4 – CEI 31010:2019 CEI 2019

B.8.3 Diagramas  de  número  de  frecuencia  (FN) ........................................... .....................96  Gráficos  de
B.8.4 Pareto .......................... .................................................... .....................  98
B.8.5 Mantenimiento  centrado  en  la  confiabilidad  (RCM) ............................................... ............  100  Índices
B.8.6 de  riesgo .................................. .................................................... ............  102
B.9  Técnicas  para  seleccionar  entre  opciones ........................................... ..........  103
B.9.1 Generalidades ............................... .................................................... ......................  103
B.9.2 Análisis  de  costo/beneficio  (CBA) ............................................... ..............................  104  Análisis  del
B.9.3 árbol  de  decisión .................. .................................................... ..........  106  B.9.4  Teoría  de
juegos ............................... .................................................... ...........  107  B.9.5  Análisis  multicriterio
(MCA) ........................... ....................................................  109  B.10  Técnicas  para  registrar  y
reportar.................................................. .......................  111  B.10.1
Generalidades ...................... .................................................... ...............................  111
B.10.2  Registros  de  riesgos ............................................. ..................................................  112  B.10.3  Matriz  de
consecuencias/verosimilitudes  (matriz  de  riesgos  o  mapa  de  calor) ................  113  B.10.4  Curvas
S .................................................... .................................................... ..  117
Bibliografía................................................. .................................................... .....................  119

Figura  A.1  –  Aplicación  de  técnicas  en  el  proceso  de  gestión  de  riesgos  de  ISO  31000  [3] .........37  Figura  B.1  –  Ejemplo
de  diagrama  de  Ishikawa  (espina  de  pescado) ........... .................................................... ..59  Figura  B.2  –  Ejemplo  de
corbatín ....................................... .................................................... ...61  Figura  B.3  –  Una  red  bayesiana  que  muestra  una
versión  simplificada  de  un  problema  ecológico  real:  modelado  de  poblaciones  de  peces  nativos  en
Victoria,  Australia.................. ..........................69  Figura  B.4  –  Ejemplo  de  diagrama  de  causa
consecuencia .................. ..........................................73  Figura  B.5  –  Ejemplo  de  análisis  de  árbol  de
eventos ............................................. ............................75  Figura  B.6  –  Ejemplo  de  árbol  de
fallas ............ .................................................... ..........................77  Figura  B.7  –  Ejemplo  de  diagrama  de
Markov .................. .................................................... ...............80  Figura  B.8  –  Ejemplo  de  curva  de  respuesta  a  la
dosis ........................ .............................................89  Figura  B.  9  –  Distribución  del
valor .............................................. .............................................91  Figura  B.10  –  Detalle  de  los  valores  de  VaR  de  la  región
de  pérdidas .................................. ..........................91  Gráfico  B.11  –  VaR  y  CVaR  para  cartera  de  pérdida
posible ............ ............................................93  Figura  B.12  –  Diagrama
ALARMA ................................................. .............................................95  Figura  B.  13  –  Ejemplo  de  diagrama
FN ............................................. ..........................................97  Figura  B.14  –  Ejemplo  de  un  diagrama  de
Pareto ................................................. ..........................98  Figura  B.15  –  Ejemplo  parcial  de  tabla  que  define  escalas  de
consecuencias ..... ..........................  114  Figura  B.16  –  Ejemplo  parcial  de  una  escala  de
verosimilitud ..... .................................................... ..........  114  Figura  B.17  –  Ejemplo  de  matriz  de  consecuencia/
probabilidad ........................... ..........................  115  Figura  B.18  –  Función  de  distribución  de  probabilidad  y  función  de
distribución  acumulada ..................  .117

Tabla  A.1  –  Características  de  las  técnicas ........................................... ...................................31  Tabla  A.2  –  Técnicas  y
características  indicativas ..... .................................................... ...32
Tabla  A.3  –  Aplicabilidad  de  las  técnicas  al  proceso  ISO  31000 ........................................... ....38  Tabla  B.1  –  Ejemplos  de
palabras  guía  básicas  y  sus  significados  genéricos ..................................  51
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 5 –

Tabla B.2 – Tabla de déficits para cada actor.................................................. .......................... 57

Tabla B.3 – Tabla de disonancias entre actores .................................................. ..............57

Tabla B.4 – Ejemplo de matriz de Markov ............................................... .......................................80 Tabla B.5 – Ejemplos de

sistemas a los que se puede aplicar el análisis de Markov ..........................81 Tabla B.6 – Un ejemplo de selección de tareas

RCM ..... .................................................... ............ 101 Tabla B.7 – Ejemplo de matriz de

juego........................... .................................................... ... 108
Machine Translated by Google

– 6 – CEI 31010:2019 CEI 2019

COMISIÓN ELECTROTÉCNICA INTERNACIONAL

____________

GESTIÓN DE RIESGOS
TÉCNICAS DE EVALUACIÓN DE RIESGOS

PREFACIO

1)  La  Comisión  Electrotécnica  Internacional  (IEC)  es  una  organización  mundial  de  normalización  que  comprende  todos  los  comités  electrotécnicos
nacionales  (Comités  Nacionales  de  IEC).  El  objeto  de  IEC  es  promover  la  cooperación  internacional  en  todas  las  cuestiones  relativas  a  la
normalización  en  los  campos  eléctrico  y  electrónico.  Con  este  fin  y  además  de  otras  actividades,  IEC  publica  Normas  Internacionales,
Especificaciones  Técnicas,  Informes  Técnicos,  Especificaciones  Disponibles  al  Público  (PAS)  y  Guías  (en  lo  sucesivo,  "Publicación(es)  de
IEC").  Su  preparación  está  encomendada  a  comités  técnicos;  cualquier  Comité  Nacional  IEC  interesado  en  el  tema  tratado  puede  participar
en  este  trabajo  preparatorio.  Las  organizaciones  internacionales,  gubernamentales  y  no  gubernamentales  que  se  vinculan  con  el  IEC  también
participan  en  esta  preparación.  IEC  colabora  estrechamente  con  la  Organización  Internacional  de  Normalización  (ISO)  de  acuerdo  con  las
condiciones  determinadas  por  acuerdo  entre  las  dos  organizaciones.

2) Las decisiones o acuerdos formales de IEC sobre asuntos técnicos expresan, en la medida de lo posible, un consenso internacional de opinión
sobre los temas relevantes, ya que cada comité técnico tiene representación de todos los Comités Nacionales de IEC interesados.

3)  Las  Publicaciones  IEC  tienen  la  forma  de  recomendaciones  para  uso  internacional  y  son  aceptadas  por  los  Comités  Nacionales  IEC  en  ese
sentido.  Si  bien  se  realizan  todos  los  esfuerzos  razonables  para  garantizar  que  el  contenido  técnico  de  las  publicaciones  de  IEC  sea  preciso,
IEC  no  se  hace  responsable  de  la  forma  en  que  se  utilizan  o  de  cualquier  mala  interpretación  por  parte  de  cualquier  usuario  final.

4)  Con  el  fin  de  promover  la  uniformidad  internacional,  los  Comités  Nacionales  de  IEC  se  comprometen  a  aplicar  las  Publicaciones  de  IEC  de
manera  transparente  en  la  mayor  medida  posible  en  sus  publicaciones  nacionales  y  regionales.  Cualquier  divergencia  entre  cualquier
Publicación  IEC  y  la  publicación  nacional  o  regional  correspondiente  deberá  indicarse  claramente  en  esta  última.

5)  El  propio  IEC  no  proporciona  ningún  certificado  de  conformidad.  Los  organismos  de  certificación  independientes  brindan  servicios  de  evaluación
de  la  conformidad  y,  en  algunas  áreas,  acceso  a  las  marcas  de  conformidad  IEC.  IEC  no  es  responsable  de  ningún  servicio  realizado  por
organismos  de  certificación  independientes.

6) Todos los usuarios deben asegurarse de tener la última edición de esta publicación.

7)  No  se  impondrá  ninguna  responsabilidad  a  IEC  ni  a  sus  directores,  empleados,  empleados  o  agentes,  incluidos  expertos  individuales  y
miembros  de  sus  comités  técnicos  y  Comités  Nacionales  de  IEC,  por  lesiones  personales,  daños  a  la  propiedad  u  otros  daños  de  cualquier
naturaleza,  ya  sean  directos  o  indirectos.  o  por  los  costos  (incluidos  los  honorarios  legales)  y  los  gastos  que  surjan  de  la  publicación,  el  uso  o
la  confianza  en  esta  Publicación  de  IEC  o  cualquier  otra  Publicación  de  IEC.

8) Se llama la atención sobre las referencias normativas citadas en esta publicación. El uso de las publicaciones a las que se hace referencia está
indispensables para la correcta aplicación de esta publicación.

9) Se llama la atención sobre la posibilidad de que algunos de los elementos de esta Publicación IEC puedan ser objeto de derechos de patente.
IEC no será responsable de identificar cualquiera o todos los derechos de patente.

La Norma Internacional IEC 31010 ha sido preparada por el comité técnico 56 de IEC: Confiabilidad, en
cooperación con el comité técnico 262 de ISO: Gestión de riesgos.

Se publica como un estándar de doble logotipo.

Esta segunda edición anula y reemplaza la primera edición publicada en 2009. Esta edición constituye una
revisión técnica.

Esta edición incluye los siguientes cambios técnicos significativos con respecto a la edición anterior:

•  se  dan  más  detalles  sobre  el  proceso  de  planificación,  implementación,  verificación  y  validación  del
uso  de  las  técnicas;
•  se  ha  incrementado  el  número  y  rango  de  aplicación  de  las  técnicas;  •  los  conceptos
cubiertos  en  ISO  31000  ya  no  se  repiten  en  esta  norma.
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 7 –

El texto de esta Norma Internacional se basa en los siguientes documentos de IEC:

IED Informe sobre la votación

56/1837/FDIS 56/1845/RVD

La  información  completa  sobre  la  votación  para  la  aprobación  de  esta  Norma  Internacional  se  puede  encontrar
en  el  informe  sobre  la  votación  indicado  en  la  tabla  anterior.  En  ISO,  la  norma  ha  sido  aprobada  por  44
miembros  P  de  los  46  que  votaron.

Este documento ha sido redactado de acuerdo con las Directivas ISO/IEC, Parte 2.

El  comité  ha  decidido  que  el  contenido  de  este  documento  permanecerá  sin  cambios  hasta  la  fecha  de
estabilidad  indicada  en  el  sitio  web  de  IEC  en  "[Link]
documento  específico.  En  esta  fecha,  el  documento  será

•  reconfirmado,
•  retraído,
•  reemplazado  por  una  edición  revisada,  o
•  modificado.

IMPORTANTE  –  El  logo  'color  interior'  en  la  portada  de  esta  publicación  indica  que  contiene  colores  que  se
consideran  útiles  para  la  correcta  comprensión  de  su  contenido.  Por  lo  tanto,  los  usuarios  deben  imprimir  este
documento  con  una  impresora  a  color.
Machine Translated by Google

– 8 – CEI 31010:2019 CEI 2019

INTRODUCCIÓN

Este documento proporciona orientación sobre la selección y aplicación de diversas técnicas que pueden utilizarse para
ayudar a mejorar la forma en que se tiene en cuenta la incertidumbre y ayudar a comprender el riesgo.

Se utilizan las técnicas:

• cuando se requiera una mayor comprensión sobre qué riesgo existe o sobre un riesgo en particular; • dentro de una

decisión en la que es necesario comparar o
optimizado;

• dentro de un proceso de gestión de riesgos que conduce a acciones para tratar el riesgo.

Las técnicas se utilizan dentro de los pasos de evaluación de riesgos de identificar, analizar y evaluar el riesgo como se
describe en la norma ISO 31000 y, de manera más general, siempre que sea necesario comprender la incertidumbre y sus
efectos.

Las  técnicas  descritas  en  este  documento  se  pueden  utilizar  en  una  amplia  gama  de  entornos,  sin  embargo,  la  mayoría  se
originó  en  el  dominio  técnico.  Algunas  técnicas  son  similares  en  concepto  pero  tienen  diferentes  nombres  y  metodologías
que  reflejan  la  historia  de  su  desarrollo  en  diferentes  sectores.  Las  técnicas  han  evolucionado  con  el  tiempo  y  continúan
evolucionando,  y  muchas  pueden  usarse  en  una  amplia  gama  de  situaciones  fuera  de  su  aplicación  original.  Las  técnicas
pueden  adaptarse,  combinarse  y  aplicarse  de  nuevas  formas  o  ampliarse  para  satisfacer  las  necesidades  actuales  y  futuras.

Este documento es una introducción a las técnicas seleccionadas y compara sus posibles aplicaciones, beneficios y
limitaciones. También proporciona referencias a fuentes de información más detallada.

La audiencia potencial de este documento es:

• cualquier persona involucrada en la evaluación o gestión de riesgos;

• personas que están involucradas en el desarrollo de una guía que establece cómo se debe evaluar el riesgo en
contextos específicos;

• personas que necesitan tomar decisiones donde hay incertidumbre, incluyendo:
– aquellos que encargan o evalúan evaluaciones de riesgo,

– aquellos que necesitan comprender los resultados de las evaluaciones, y

– aquellos que tienen que elegir técnicas de evaluación para satisfacer necesidades particulares.

Las organizaciones que deben realizar evaluaciones de riesgos con fines de cumplimiento o conformidad se beneficiarían
del uso de técnicas de evaluación de riesgos formales y estandarizadas apropiadas.
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 9 –

GESTIÓN DE RIESGOS
TÉCNICAS DE EVALUACIÓN DE RIESGOS

1 Alcance

Esta  Norma  Internacional  proporciona  orientación  sobre  la  selección  y  aplicación  de  técnicas  para  evaluar  el
riesgo  en  una  amplia  gama  de  situaciones.  Las  técnicas  se  utilizan  para  ayudar  en  la  toma  de  decisiones
cuando  existe  incertidumbre,  para  brindar  información  sobre  riesgos  particulares  y  como  parte  de  un  proceso
para  administrar  el  riesgo.  El  documento  proporciona  resúmenes  de  una  variedad  de  técnicas,  con  referencias
a  otros  documentos  donde  las  técnicas  se  describen  con  más  detalle.

2 Referencias normativas

Los  siguientes  documentos  se  mencionan  en  el  texto  de  tal  manera  que  parte  o  la  totalidad  de  su  contenido
constituye  requisitos  de  este  documento.  Para  las  referencias  con  fecha,  sólo  se  aplica  la  edición  citada.
Para  las  referencias  sin  fecha,  se  aplica  la  última  edición  del  documento  de  referencia  (incluidas  las
modificaciones).

Guía ISO 73:2009, Gestión de riesgos – Vocabulario

ISO 31000:2018, Gestión de riesgos – Directrices

3 Términos y definiciones

A los efectos de este documento, se aplican los términos y definiciones proporcionados en ISO 31000:2018,
ISO Guide 73:2009 y los siguientes.

ISO e IEC mantienen bases de datos terminológicas para su uso en la normalización en las siguientes
direcciones:

• Electropedia IEC: disponible en [Link]
• Plataforma de navegación en línea ISO: disponible en [Link]

3.1
probabilidad
posibilidad  de  que  algo  suceda

Nota  1  a  la  entrada:  En  la  terminología  de  gestión  de  riesgos,  la  palabra  "probabilidad"  se  usa  para  referirse  a  la  probabilidad  de  que  suceda
algo,  ya  sea  definida,  medida  o  determinada  objetiva  o  subjetivamente,  cualitativa  o  cuantitativamente,  y  descrita  usando  términos  generales  o
matemáticamente  (como  una  probabilidad  o  una  frecuencia  en  un  período  de  tiempo  determinado).

Nota  2  a  la  entrada:  El  término  inglés  "probabilidad"  no  tiene  un  equivalente  directo  en  algunos  idiomas;  en  cambio,  a  menudo  se  usa  el
equivalente  del  término  "probabilidad".  Sin  embargo,  en  inglés,  "probabilidad"  a  menudo  se  interpreta  de  forma  restringida  como  un  término
matemático.  Por  lo  tanto,  en  la  terminología  de  gestión  de  riesgos,  "probabilidad"  se  utiliza  con  la  intención  de  que  tenga  la  misma  interpretación
amplia  que  tiene  el  término  "probabilidad"  en  muchos  idiomas  además  del  inglés.

[FUENTE: ISO 31000:2018, 3.7]

3.2
combinación
de  oportunidades  de  circunstancias  que  se  espera  sean  favorables  a  los  objetivos

Nota 1 a la entrada: Una oportunidad es una situación positiva en la que es probable obtener ganancias y sobre la cual se tiene un buen nivel
de control.
Machine Translated by Google

– 10 – CEI 31010:2019 CEI 2019

Nota 2 a la entrada: Una oportunidad para una parte puede representar una amenaza para otra.

Nota 3 a la entrada: Aprovechar o no aprovechar una oportunidad son fuentes de riesgo.

3.3
probabilidad
medida  de  la  posibilidad  de  ocurrencia  expresada  como  un  número  entre  0  y  1,  donde  0  es  imposibilidad  y  1  es  certeza
absoluta

Nota 1 a la entrada: Véase la definición 3.1, Nota 2 a la entrada.

3.4
factor  de  riesgo
factor  de  factor  de
riesgo  que  tiene  una  influencia  importante  en  el  riesgo

3.5

amenaza fuente potencial de peligro, daño u otro resultado indeseable

Nota 1 a la entrada: Una amenaza es una situación negativa en la que es probable la pérdida y sobre la cual se tiene relativamente poco control.

Nota 2 a la entrada: Una amenaza para una parte puede representar una oportunidad para otra.

4 conceptos básicos

4.1 Incertidumbre

La incertidumbre es un término que abarca muchos conceptos subyacentes. Se han hecho muchos intentos, y continúan
desarrollándose, para categorizar los tipos de incertidumbre, incluyendo:

• incertidumbre que reconoce la variabilidad intrínseca de algunos fenómenos y que no puede reducirse mediante
investigaciones adicionales; por ejemplo, lanzar dados (a veces denominado incertidumbre aleatoria);

• incertidumbre que generalmente resulta de la falta de conocimiento y que, por lo tanto, puede reducirse reuniendo
más datos, refinando modelos, mejorando las técnicas de muestreo, etc. (a veces denominada incertidumbre
epistémica).

Otras formas de incertidumbre comúnmente reconocidas incluyen:

• incertidumbre lingüística, que reconoce la vaguedad y la ambigüedad inherentes al habla
idiomas;

• incertidumbre de decisión, que tiene particular relevancia para las estrategias de gestión de riesgos, y que identifica
la incertidumbre asociada con los sistemas de valores, el juicio profesional, los valores de la empresa y las normas
sociales.

Ejemplos de incertidumbre incluyen:

• incertidumbre en cuanto a la veracidad de las suposiciones, incluidas las suposiciones acerca de cómo las personas o
los sistemas pueden comportarse;

• variabilidad en los parámetros en los que se basará una decisión;

• incertidumbre en la validez o precisión de los modelos que se han establecido para hacer predicciones sobre el futuro;

• eventos (incluyendo cambios en circunstancias o condiciones) cuya ocurrencia, carácter o consecuencias son inciertos;

• incertidumbre asociada con eventos perturbadores;

• los resultados inciertos de los problemas sistémicos, como la escasez de personal competente, que pueden tener
impactos de gran alcance que no pueden definirse claramente;
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 11 –

• falta de conocimiento que surge cuando se reconoce la incertidumbre pero no se comprende completamente;

• imprevisibilidad;

• la incertidumbre que surge de las limitaciones de la mente humana, por ejemplo, en la comprensión de datos complejos, la
predicción de situaciones con consecuencias a largo plazo o la emisión de juicios libres de prejuicios.

No  toda  la  incertidumbre  se  puede  entender  y  el  significado  de  la  incertidumbre  puede  ser  difícil  o  imposible  de  definir  o
influenciar.  Sin  embargo,  el  reconocimiento  de  que  existe  incertidumbre  en  un  contexto  específico  permite  implementar
sistemas  de  alerta  temprana  para  detectar  cambios  de  manera  proactiva  y  oportuna  y  hacer  arreglos  para  desarrollar  la
resiliencia  para  hacer  frente  a  circunstancias  inesperadas.

4.2 Riesgo

El riesgo incluye los efectos de cualquiera de las formas de incertidumbre descritas en 4.1 sobre los objetivos. La
incertidumbre puede tener consecuencias positivas, negativas o ambas.

El  riesgo  a  menudo  se  describe  en  términos  de  fuentes  de  riesgo,  eventos  potenciales,  sus  consecuencias  y  sus
probabilidades.  Un  evento  puede  tener  múltiples  causas  y  llevar  a  múltiples  consecuencias.
Las  consecuencias  pueden  tener  un  número  de  valores  discretos,  ser  variables  continuas  o  ser  desconocidas.
Las  consecuencias  pueden  no  ser  perceptibles  o  medibles  al  principio,  pero  pueden  acumularse  con  el  tiempo.
Las  fuentes  de  riesgo  pueden  incluir  la  variabilidad  inherente  o  las  incertidumbres  relacionadas  con  una  variedad  de  factores
que  incluyen  el  comportamiento  humano  y  las  estructuras  organizativas  o  las  influencias  sociales  para  las  cuales  puede  ser
difícil  predecir  cualquier  evento  en  particular  que  pueda  ocurrir.  De  ello  se  deduce  que  el  riesgo  no  siempre  se  puede  tabular
fácilmente  como  un  conjunto  de  eventos,  sus  consecuencias  y  sus  probabilidades.

Las técnicas de evaluación de riesgos tienen como objetivo ayudar a las personas a comprender la incertidumbre y el riesgo
asociado en este contexto amplio, complejo y diverso, con el fin de respaldar decisiones y acciones mejor informadas.

5 Usos de las técnicas de evaluación de riesgos

Las técnicas descritas en este documento proporcionan un medio para mejorar la comprensión de la incertidumbre y sus
implicaciones para las decisiones y acciones.

ISO  31000  describe  los  principios  para  la  gestión  del  riesgo  y  los  fundamentos  y  arreglos  organizativos  que  permiten
gestionar  el  riesgo.  Especifica  un  proceso  que  permite  reconocer,  comprender  y  modificar  el  riesgo  según  sea  necesario,  de
acuerdo  con  los  criterios  que  se  establecen  como  parte  del  proceso.  Las  técnicas  de  evaluación  de  riesgos  se  pueden
aplicar  dentro  de  este  enfoque  estructurado  que  implica  establecer  el  contexto,  evaluar  y  tratar  el  riesgo,  junto  con  el
monitoreo,  revisión,  comunicación  y  consulta,  registro  e  informes  continuos.  Este  proceso  se  ilustra  en  la  Figura  A.1,  que
también  muestra  ejemplos  de  dónde  se  pueden  aplicar  técnicas  dentro  del  proceso.

En  el  proceso  de  ISO  31000,  la  evaluación  de  riesgos  implica  identificar  los  riesgos,  analizarlos  y  utilizar  la  comprensión
obtenida  del  análisis  para  evaluar  el  riesgo  extrayendo  conclusiones  sobre  su  importancia  comparativa  en  relación  con  los
objetivos  y  los  umbrales  de  desempeño  de  la  organización.  Este  proceso  proporciona  información  sobre  las  decisiones
sobre  si  se  requiere  tratamiento,  las  prioridades  para  el  tratamiento  y  las  acciones  destinadas  a  tratar  el  riesgo.  En  la  práctica
se  aplica  un  enfoque  iterativo.

Las técnicas de evaluación de riesgos descritas en este documento se utilizan

• cuando se requiera una mayor comprensión sobre qué riesgos existen o sobre un riesgo en particular;

• dentro de un proceso de gestión de riesgos que conduce a acciones para tratar el riesgo;

• dentro de una decisión en la que es necesario comparar o
optimizado
Machine Translated by Google

– 12 – CEI 31010:2019 CEI 2019

En particular, las técnicas se pueden utilizar para:

•  proporcionar  información  estructurada  para  respaldar  decisiones  y  acciones  cuando  existe  incertidumbre;
•  aclarar  las  implicaciones  de  los  supuestos  en  el  logro  de  los  objetivos;
•  comparar  múltiples  opciones,  sistemas,  tecnologías  o  enfoques,  etc.  cuando  exista  una  incertidumbre  multifacética
en  torno  a  cada  opción;
•  asistir  en  la  definición  de  objetivos  estratégicos  y  operativos  realistas;
•  ayudar  a  determinar  los  criterios  de  riesgo  de  una  organización,  como  los  límites  de  riesgo,  el  apetito  por  el  riesgo  o  la  asunción  de  riesgos
capacidad;
•  tener  en  cuenta  el  riesgo  al  establecer  o  revisar  las  prioridades;
•  reconocer  y  comprender  el  riesgo,  incluido  el  riesgo  que  podría  tener  resultados  extremos;
•  comprender  qué  incertidumbres  son  más  importantes  para  los  objetivos  de  una  organización  y  proporcionar  una
justificación  de  lo  que  se  debe  hacer  al  respecto;

•  reconocer  y  explotar  las  oportunidades  con  más  éxito;
•  articular  los  factores  que  contribuyen  al  riesgo  y  por  qué  son  importantes;
•  identificar  acciones  de  tratamiento  de  riesgos  eficaces  y  eficientes;
•  determinar  el  efecto  modificador  de  los  tratamientos  de  riesgo  propuestos,  incluido  cualquier  cambio  en  la  naturaleza
o  magnitud  del  riesgo;
•  comunicar  sobre  el  riesgo  y  sus  implicaciones;
•  aprender  de  los  fracasos  y  los  éxitos  para  mejorar  la  forma  en  que  se  gestiona  el  riesgo;  •
demostrar  que  se  han  cumplido  los  requisitos  reglamentarios  y  de  otro  tipo.

La forma en que se evalúa el riesgo depende de la complejidad y novedad de la situación, y del nivel de conocimiento
y comprensión pertinentes.

• En  el  caso  más  simple,  cuando  no  hay  nada  nuevo  o  inusual  en  una  situación,  el  riesgo  se  comprende  bien,  sin
implicaciones  importantes  para  las  partes  interesadas  o  las  consecuencias  no  son  significativas,  entonces  es
probable  que  las  acciones  se  decidan  de  acuerdo  con  las  reglas  y  procedimientos  establecidos  y  las  evaluaciones
previas  del  riesgo. .
•  Para  temas  muy  nuevos,  complejos  o  desafiantes,  donde  hay  mucha  incertidumbre  y  poca  experiencia,  hay  poca
información  sobre  la  cual  basar  la  evaluación  y  las  técnicas  convencionales  de  análisis  pueden  no  ser  útiles  o
significativas.  Esto  también  se  aplica  a  las  circunstancias  en  las  que  las  partes  interesadas  tienen  puntos  de
vista  muy  divergentes.  En  estos  casos,  se  pueden  usar  múltiples  técnicas  para  obtener  una  comprensión  parcial
del  riesgo,  con  juicios  que  luego  se  hacen  en  el  contexto  de  los  valores  organizacionales  y  sociales,  y  las
opiniones  de  las  partes  interesadas.

Las técnicas descritas en este documento tienen mayor aplicación en situaciones entre estos dos extremos donde
la complejidad es moderada y hay alguna información disponible sobre la cual basar la evaluación.

6 Implementación de la evaluación de riesgos

6.1 Planificar la evaluación

6.1.1 Definir el propósito y el alcance de la evaluación.

Se  debe  establecer  el  propósito  de  la  evaluación,  incluida  la  identificación  de  las  decisiones  o  acciones  con  las  que
se  relaciona,  los  tomadores  de  decisiones,  las  partes  interesadas  y  el  momento  y  la  naturaleza  del  resultado
requerido  (por  ejemplo,  si  se  requiere  información  cualitativa,  semicuantitativa  o  cuantitativa) .
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 13 –

Se  debe  definir  el  alcance,  la  profundidad  y  el  nivel  de  detalle  de  la  evaluación,  con  una  descripción  de  lo  que  se  incluye  y
excluye.  Deben  definirse  los  tipos  de  consecuencias  que  se  incluirán  en  la  evaluación.  También  se  debe  especificar
cualquier  condición,  suposición,  restricción  o  recurso  necesario  relevante  para  la  actividad  de  evaluación.

6.1.2 Comprender el contexto

Al  realizar  una  evaluación  de  riesgos,  los  involucrados  deben  ser  conscientes  de  las  circunstancias  más  amplias  en  las  que
se  tomarán  las  decisiones  y  acciones  basadas  en  su  evaluación.  Esto  incluye  comprender  los  problemas  internos  y
externos  que  contribuyen  al  contexto  de  la  organización,  así  como  aspectos  sociales  y  ambientales  más  amplios.  Cualquier
declaración  de  contexto  relevante  debe  revisarse  y  verificarse  para  asegurarse  de  que  esté  actualizada  y  sea  adecuada.

Comprender el panorama general es particularmente importante cuando existe una complejidad significativa.

6.1.3 Involucrar a las partes interesadas

Se  deben  identificar  las  partes  interesadas  y  aquellos  que  probablemente  puedan  contribuir  con  conocimientos  útiles  o
puntos  de  vista  relevantes  y  se  deben  considerar  sus  perspectivas,  ya  sea  que  estén  o  no  incluidos  como  participantes  en
la  evaluación.  La  participación  adecuada  de  las  partes  interesadas  ayuda  a  garantizar  que  la  información  en  la  que  se  basa
la  evaluación  de  riesgos  sea  válida  y  aplicable  y  que  las  partes  interesadas  entiendan  las  razones  detrás  de  las  decisiones.
La  participación  de  las  partes  interesadas  puede:

• proporcionar información que permita comprender el contexto de la evaluación;

• reunir diferentes áreas de conocimiento y experiencia para identificar de manera más efectiva
y comprensión del riesgo;

• proporcionar experiencia relevante para el uso de las técnicas;

• permitir que los intereses de las partes interesadas sean entendidos y considerados;

•  proporcionar  información  para  el  proceso  de  determinar  si  el  riesgo  es  aceptable,  particularmente  cuando  las  partes
interesadas  se  ven  afectadas;
• cumplir  con  los  requisitos  para  que  las  personas  sean  informadas  o  consultadas;

• obtener apoyo para los productos y decisiones que surjan de la evaluación de riesgos;

• identificar lagunas en el conocimiento que deben abordarse antes y/o durante la evaluación de riesgos.

Debe decidirse cómo los productos y resultados de la evaluación de riesgos se comunicarán de manera confiable, precisa
y transparente a las partes interesadas relevantes.

Las técnicas para obtener puntos de vista de las partes interesadas y los expertos se describen en la Cláusula B.1.

6.1.4 Definir objetivos

Los objetivos del sistema o proceso específico para el cual se evaluará el riesgo deben definirse y, cuando sea posible,
documentarse. Esto facilitará la identificación del riesgo y la comprensión de sus implicaciones.

En la medida de lo posible, los objetivos deben ser:

• específicos del tema de la evaluación;

• medible ya sea cualitativa o cuantitativamente;

• alcanzable dentro de las limitaciones impuestas por el contexto;

• relevante para las metas más amplias o el contexto de la organización;
• alcanzable dentro de un marco de tiempo establecido.

6.1.5 Considerar factores humanos, organizacionales y sociales

Los factores humanos, organizacionales y sociales deben considerarse explícitamente y tenerse en cuenta según
corresponda. Los aspectos humanos son relevantes para la evaluación de riesgos de las siguientes maneras:
Machine Translated by Google

– 14 – CEI 31010:2019 CEI 2019

• como fuente de incertidumbre;

• a través de influencias en la forma en que se seleccionan y aplican las técnicas;
• en las formas en que se interpreta y utiliza la información (por ejemplo, debido a las diferentes percepciones del
riesgo).

El  desempeño  humano  (ya  sea  por  encima  o  por  debajo  de  las  expectativas)  es  una  fuente  de  riesgo  y  también  puede
afectar  la  efectividad  de  los  controles.  El  potencial  de  desviación  de  los  comportamientos  esperados  o  asumidos  debe
considerarse  específicamente  al  evaluar  el  riesgo.  Las  consideraciones  sobre  el  desempeño  humano  suelen  ser  complejas
y  se  puede  requerir  el  asesoramiento  de  expertos  para  identificar  y  analizar  los  aspectos  humanos  del  riesgo.

Los  factores  humanos  también  influyen  en  la  selección  y  el  uso  de  técnicas,  particularmente  cuando  se  deben  hacer
juicios  o  se  utilizan  enfoques  de  equipo.  Se  necesita  una  facilitación  calificada  para  minimizar  estas  influencias.  Deben
abordarse  sesgos  como  el  pensamiento  de  grupo  y  el  exceso  de  confianza  (por  ejemplo,  en  estimaciones  o  percepciones).
La  opinión  de  los  expertos  debe  basarse  en  pruebas  y  datos  siempre  que  sea  posible  y  se  deben  realizar  esfuerzos  para
evitar  o  minimizar  los  sesgos  cognitivos.

Los  objetivos  y  valores  personales  de  las  personas  pueden  variar  y  diferir  de  los  de  la  organización.  Esto  puede  resultar
en  diferentes  percepciones  sobre  el  nivel  de  riesgo  y  diferentes  criterios  por  los  cuales  los  individuos  toman  decisiones.
Una  organización  debe  esforzarse  por  lograr  una  comprensión  común  del  riesgo  internamente  y  tener  en  cuenta  las
diferentes  percepciones  de  las  partes  interesadas.

Los  aspectos  sociales,  incluida  la  posición  socioeconómica,  la  raza,  el  origen  étnico  y  la  cultura,  el  género,  las  relaciones
sociales  y  el  contexto  residencial  y  comunitario,  pueden  afectar  el  riesgo  tanto  directa  como  indirectamente.
Los  impactos  pueden  ser  a  largo  plazo  y  no  ser  inmediatamente  visibles  y  pueden  requerir  una  perspectiva  de  planificación
a  largo  plazo.

6.1.6 Criterios de revisión para las decisiones

[Link] General

Los  criterios,  incluidos  los  criterios  de  riesgo,  que  deben  tenerse  en  cuenta  al  tomar  decisiones,  deben  revisarse  antes  de
realizar  la  evaluación.  Los  criterios  pueden  ser  cualitativos,  semicuantitativos  o  cuantitativos.  En  algunos  casos,  es
posible  que  no  se  especifiquen  criterios  explícitos  y  las  partes  interesadas  usen  su  juicio  para  responder  a  los  resultados
del  análisis.

Los criterios relevantes para revisar son:

• cómo se decidirá si el riesgo es aceptable;

• cómo se determinará la importancia relativa de los riesgos; • cómo se

tendrá en cuenta el riesgo en las decisiones sobre opciones, donde cada opción está asociada con múltiples riesgos que
pueden tener consecuencias positivas o negativas, o ambas;

• cómo se tendrán en cuenta las relaciones entre los riesgos.

[Link] Criterios para decidir si se puede aceptar el riesgo

Los  criterios  para  definir  la  naturaleza  y  el  alcance  del  riesgo  que  se  puede  aceptar  en  la  consecución  de  los  objetivos,  a
veces  denominado  apetito  de  riesgo,  se  pueden  definir  especificando  una  técnica  para  determinar  la  magnitud  del  riesgo,
o  un  parámetro  relacionado  con  el  riesgo,  junto  con  un  límite.  más  allá  del  cual  el  riesgo  se  vuelve  inaceptable.  El  límite
establecido  para  el  riesgo  adverso  inaceptable  puede  depender  de  las  recompensas  potenciales.

La aceptabilidad del riesgo también se puede definir especificando la variación aceptable en medidas de rendimiento
específicas vinculadas a los objetivos.

Se pueden especificar diferentes criterios según el tipo de consecuencia. Por ejemplo, los criterios de una organización
para aceptar el riesgo financiero pueden diferir de los definidos para el riesgo para la vida humana.
Machine Translated by Google

CEI 31010:2019 CEI 2019 15

Los siguientes son ejemplos de consideraciones utilizadas al definir si se puede aceptar el riesgo.

•  Capacidad  de  asumir  riesgos  (RBC)  (también  denominada  capacidad  de  riesgo):  la  RBC  de  una  organización
generalmente  se  define  en  términos  de  capital  de  riesgo,  que  está  disponible  para  absorber  los  efectos  adversos  de  los  riesgos.
Para  una  empresa  comercial,  la  capacidad  podría  especificarse  en  términos  de  la  capacidad  máxima  de  retención
cubierta  por  los  activos,  o  la  mayor  pérdida  financiera  que  la  empresa  podría  soportar  sin  tener  que  declararse  en
quiebra.  El  RBC  estimado  debe  probarse  razonablemente  mediante  escenarios  de  pruebas  de  estrés  para
proporcionar  un  nivel  de  confianza  confiable.  El  apetito  por  el  riesgo  de  una  organización  refleja  la  voluntad  de  la
administración  de  utilizar  su  RBC.

•  ALARP/ALARA  y  SFAIRP:  En  algunas  jurisdicciones,  los  criterios  legislados  para  las  decisiones  sobre  el  tratamiento  de
los  riesgos  relacionados  con  la  seguridad  implican  garantizar  que  el  riesgo  de  lesión  o  enfermedad  sea  "tan  bajo
como  sea  razonablemente  posible" (ALARP),  "tan  bajo  como  sea  razonablemente  posible" (ALARA )  o  demostrar
que  los  controles  minimizan  el  riesgo  "en  la  medida  de  lo  razonablemente  posible" (SFAIRP)  (ver  B.8.2).

•  "Globalmente  al  menos  equivalente" (GALE)  [globalement  au  moins  équivalent  (GAME)  [1]]:  se  considera  aceptable  que
los  riesgos  con  consecuencias  adversas  de  una  fuente  en  particular  aumenten  si  se  puede  demostrar  que  los  riesgos
de  otras  fuentes  han  disminuido  por  un  monto  equivalente  o  mayor.

• Criterios de costo/beneficio como el precio por vida salvada o el retorno de la inversión (ROI).

[Link] Criterios para evaluar la importancia del riesgo

Los  criterios  de  riesgo  (los  términos  de  referencia  contra  los  cuales  se  determina  la  importancia  del  riesgo)  se  pueden
expresar  en  términos  que  involucran  cualquiera  de  las  características  y  medidas  de  riesgo  elaboradas  en  6.3.5  y  6.3.7.
Las  consideraciones  éticas,  culturales,  legales,  sociales,  de  reputación,  ambientales,  contractuales,  financieras  y  de  otro
tipo  también  pueden  ser  relevantes.

Una  evaluación  de  la  importancia  de  un  riesgo  en  comparación  con  otros  riesgos  a  menudo  se  basa  en  una  estimación
de  la  magnitud  del  riesgo  en  comparación  con  criterios  que  están  directamente  relacionados  con  los  umbrales  establecidos
en  torno  a  los  objetivos  de  la  organización.  La  comparación  con  estos  criterios  puede  informar  a  una  organización  en  qué
riesgos  se  debe  centrar  el  tratamiento,  en  función  de  su  potencial  para  impulsar  los  resultados  fuera  de  los  umbrales
establecidos  en  torno  a  los  objetivos.

La  magnitud  del  riesgo  rara  vez  es  el  único  criterio  relevante  para  las  decisiones  sobre  la  importancia  del  riesgo.  Otros
factores  relevantes  pueden  incluir  la  sostenibilidad  (por  ejemplo,  el  resultado  final  triple)  y  la  resiliencia,  los  criterios  éticos
y  legales,  la  eficacia  de  los  controles,  el  impacto  máximo  si  los  controles  no  están  presentes  o  fallan,  el  momento  de  las
consecuencias,  los  costos  de  los  controles  y  las  opiniones  de  las  partes  interesadas.

Las técnicas para evaluar la importancia del riesgo se describen en la Cláusula B.8

[Link] Criterios para decidir entre opciones

Una  organización  se  enfrentará  a  muchas  decisiones  en  las  que  varios  objetivos,  a  menudo  en  competencia,  se  verán
potencialmente  afectados,  y  hay  posibles  resultados  adversos  y  posibles  beneficios  a  considerar.  Para  tales  decisiones,
es  posible  que  se  deban  cumplir  varios  criterios  y  que  se  requieran  compensaciones  entre  objetivos  contrapuestos.  Se
deben  identificar  los  criterios  relevantes  para  la  decisión  y  se  debe  decidir  y  contabilizar  la  forma  en  que  se  ponderarán
los  criterios  o  se  realizarán  compensaciones,  y  se  registrará  y  compartirá  la  información.  Al  establecer  los  criterios,  se
debe  considerar  la  posibilidad  de  que  los  costos  y  los  beneficios  difieran  para  las  diferentes  partes  interesadas.  Debe
decidirse  la  forma  en  que  se  van  a  tener  en  cuenta  las  diferentes  formas  de  incertidumbre.

Las técnicas de la Cláusula B.9 abordan la selección entre opciones.
Machine Translated by Google

dieciséis CEI 31010:2019 CEI 2019

6.2 Manejar información y desarrollar modelos

6.2.1 Generalidades

Antes  y  durante  una  evaluación  de  riesgos,  se  debe  obtener  la  información  pertinente.  Esta  información
proporciona  un  insumo  para  el  análisis  estadístico,  los  modelos  o  las  técnicas  descritas  en  los  Anexos  A  y  B.  En
algunos  casos,  los  tomadores  de  decisiones  pueden  utilizar  la  información  sin  más  análisis.

La  información  necesaria  en  cada  punto  depende  de  los  resultados  de  la  recopilación  de  información  anterior,  el
propósito  y  el  alcance  de  la  evaluación  y  el  método  o  métodos  que  se  utilizarán  para  el  análisis.
Debe  decidirse  la  forma  en  que  se  recopilará,  almacenará  y  pondrá  a  disposición  la  información.

Deben  decidirse  los  registros  de  los  resultados  de  la  evaluación  que  se  conservarán,  junto  con  la  forma  en  que
se  realizarán,  almacenarán,  actualizarán  y  entregarán  esos  registros  a  quienes  puedan  necesitarlos.
Siempre  se  deben  indicar  las  fuentes  de  información.

6.2.2 Recopilación de información

La información se puede recopilar de fuentes tales como revisiones de literatura, observaciones y opiniones de
expertos. Los datos pueden recopilarse o derivarse, por ejemplo, de mediciones, experimentos, entrevistas y
encuestas.

Por  lo  general,  los  datos  representan  directa  o  indirectamente  pérdidas  o  beneficios  pasados.  Los  ejemplos
incluyen  fracasos  o  éxitos  de  proyectos,  la  cantidad  de  quejas,  ganancias  o  pérdidas  financieras,  impactos  en  la
salud,  lesiones  y  muertes,  etc.  También  puede  haber  información  adicional  disponible,  como  las  causas  de  las
fallas  o  los  éxitos,  las  fuentes  de  las  quejas,  la  naturaleza  de  las  lesiones,  etc.  Los  datos  también  pueden  incluir
el  resultado  de  modelos  u  otras  técnicas  de  análisis.

Se debe decidir lo siguiente:

•  la  fuente  de  información  y  su  confiabilidad;
•  tipo  (por  ejemplo,  si  es  cualitativo,  cuantitativo  o  ambos  (ver  [Link]));  •  nivel  (por
ejemplo,  estratégico,  táctico,  operativo);
•  cantidad  y  calidad  de  los  datos  necesarios;
•  metodología  de  recolección;
•  nivel  de  confidencialidad.

Cuando los datos a analizar se obtengan por muestreo, se debe indicar la confianza estadística que se requiere
para que se recopilen suficientes datos. Cuando no se necesite un análisis estadístico, esto debe indicarse.

Si los datos o resultados de evaluaciones anteriores están disponibles, primero se debe establecer si ha habido
algún cambio en el contexto y, de ser así, si los datos o resultados anteriores siguen siendo relevantes.

Se debe evaluar la validez, confiabilidad y limitaciones de cualquier información que se utilice en la evaluación,
teniendo en cuenta:

•  la  antigüedad  y  relevancia  de  la  información;
•  la  fuente  de  información  y  los  métodos  utilizados  para  recopilarla;
•  incertidumbres  y  vacíos  en  la  información;
•  la  autoridad  o  procedencia  de  la  información,  conjuntos  de  datos,  algoritmos  y  modelos.

6.2.3 Análisis de datos

El análisis de datos puede proporcionar:
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 17 –

• una comprensión de las consecuencias pasadas y su probabilidad con el fin de aprender de
experiencia;

• tendencias y patrones, incluidas las periodicidades, que proporcionan una indicación de lo que podría influir en el
futuro;

• correlaciones que pueden dar indicaciones de posibles relaciones causales para una mayor validación.

Las limitaciones e incertidumbres en los datos deben identificarse y comprenderse.

No se puede suponer que los datos pasados continúen aplicándose en el futuro, pero pueden dar una indicación a los
tomadores de decisiones sobre lo que es más o menos probable que ocurra en el futuro.

6.2.4 Desarrollo y aplicación de modelos

[Link] General

Un  modelo  es  una  representación  aproximada  de  la  realidad.  Su  propósito  es  transformar  lo  que  podría  ser  una
situación  intrínsecamente  compleja  en  términos  más  simples  que  puedan  analizarse  más  fácilmente.  Se  puede  utilizar
para  ayudar  a  comprender  el  significado  de  los  datos  y  para  simular  lo  que  podría  suceder  en  la  práctica  en  diferentes
condiciones.  Un  modelo  puede  ser  físico,  representado  en  software  o  ser  un  conjunto  de  relaciones  matemáticas.

El modelado generalmente incluye los siguientes pasos:

• describir el problema;

•  describir  el  propósito  de  construir  un  modelo  y  los  resultados  deseados;
•  desarrollar  un  modelo  conceptual  del  problema;
•  construir  una  representación  física,  de  software  o  matemática  del  modelo  conceptual;
•  desarrollar  software  u  otras  herramientas  para  analizar  cómo  se  comporta  el  modelo;
•  Procesando  datos;
•  validar  o  calibrar  el  modelo  revisando  los  resultados  de  situaciones  conocidas;
•  sacar  conclusiones  del  modelo  sobre  el  problema  del  mundo  real.

Cada  uno  de  estos  pasos  puede  involucrar  aproximaciones,  suposiciones  y  juicio  de  expertos  y  (si  es  posible)  deben
ser  validados  por  personas  independientes  de  los  desarrolladores.  Los  supuestos  críticos  deben  revisarse  con  la
información  disponible  para  evaluar  su  credibilidad.

Para lograr resultados confiables al usar modelos, se debe validar lo siguiente:

•  el  modelo  conceptual  representa  adecuadamente  la  situación  que  se  está  evaluando;
•  el  modelo  se  está  utilizando  dentro  de  los  límites  contextuales  para  los  que  fue  diseñado;
•  los  conceptos  teóricos  subyacentes  al  modelo  y  los  cálculos  asociados  están  bien
comprendido;

• la selección de parámetros y representaciones matemáticas de los conceptos es sólida;

•  las  matemáticas  subyacentes  a  los  cálculos  se  entienden  bien;
•  los  datos  de  entrada  son  precisos  y  fiables,  o  la  naturaleza  del  modelo  tiene  en  cuenta  la
fiabilidad  de  los  datos  de  entrada  utilizados;

• el modelo funciona según lo planeado sin errores internos ni fallas;
• el modelo es estable y no demasiado sensible a pequeños cambios en las entradas clave.

Esto se puede lograr mediante:

• realizar un análisis de sensibilidad para verificar qué tan sensible es el modelo a los cambios en la entrada
parámetros;
Machine Translated by Google

– 18 – CEI 31010:2019 CEI 2019

• prueba de estrés del modelo con escenarios particulares, a menudo escenarios extremos;

• comparar los resultados con datos anteriores (distintos de aquellos a partir de los cuales se desarrolló);

• verificar que se obtienen resultados similares cuando el modelo es ejecutado por diferentes personas;

• comprobar los resultados con el rendimiento real.

Debe mantenerse una documentación exhaustiva del modelo y de las teorías y supuestos en los que se basa, suficiente
para permitir la validación del modelo.

[Link] Uso de software para análisis

Los  programas  de  software  se  pueden  utilizar  para  representar  y  organizar  datos  o  para  analizarlos.  Los  programas  de
software  utilizados  para  el  modelado  y  el  análisis  a  menudo  proporcionan  una  interfaz  de  usuario  simple  y  una  salida
rápida,  pero  estas  características  pueden  conducir  a  resultados  no  válidos  que  el  usuario  no  nota.
Los  resultados  no  válidos  pueden  surgir  debido  a:

• insuficiencias en los algoritmos utilizados para representar la situación;

• suposiciones hechas en el diseño y uso del modelo subyacente al software;

• errores en la entrada de datos, incluidos malentendidos de su significado;
• problemas de conversión de datos cuando se utiliza software nuevo;

• mala interpretación de los resultados.

El software comercial suele ser una caja negra (comercial confidencial) y puede contener cualquiera de estos errores.

El  nuevo  software  debe  probarse  utilizando  un  modelo  simple  con  entradas  que  tengan  una  salida  conocida,  antes  de
pasar  a  probar  modelos  más  complejos.  Los  detalles  de  las  pruebas  deben  conservarse  para  su  uso  en  futuras
actualizaciones  de  versiones  o  para  nuevos  programas  de  análisis  de  software.

Los  errores  en  el  modelo  construido  se  pueden  verificar  aumentando  o  disminuyendo  un  valor  de  entrada  para
determinar  si  la  salida  responde  como  se  esperaba.  Esto  se  puede  aplicar  a  cada  una  de  las  diversas  entradas.  Los
errores  de  entrada  de  datos  a  menudo  se  identifican  al  variar  las  entradas  de  datos.  Este  enfoque  también  proporciona
información  sobre  la  sensibilidad  del  modelo  a  las  variaciones  de  datos.

Se  recomienda  una  buena  comprensión  de  las  matemáticas  relevantes  para  el  análisis  particular  para  evitar  conclusiones
erróneas.  No  solo  son  probables  los  errores  anteriores,  sino  que  también  la  selección  de  un  programa  en  particular
podría  no  ser  adecuada.  Es  fácil  seguir  un  programa  y  suponer  que,  por  lo  tanto,  la  respuesta  será  correcta.  Deben
recopilarse  pruebas  para  comprobar  que  los  resultados  son  razonables.

6.3 Aplicar técnicas de evaluación de riesgos

6.3.1 Resumen

Las técnicas descritas en los Anexos A y B se utilizan para desarrollar una comprensión del riesgo como un insumo
para las decisiones en las que existe incertidumbre, incluidas las decisiones sobre si tratar el riesgo y cómo hacerlo.

Las técnicas de evaluación se pueden utilizar para:

• identificar el riesgo (ver 6.3.2);

• determinar las causas, las fuentes y los impulsores del riesgo, y el nivel de exposición a ellos (ver
6.3.3);

• investigar la eficacia general de los controles y el efecto modificador del riesgo propuesto
tratamientos (ver 6.3.4);

• comprender las consecuencias y la probabilidad (ver 6.3.5);
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 19 –

• analizar interacciones y dependencias (ver 6.3.6);

• proporcionar una medida de riesgo (ver 6.3.7).

Los factores a considerar al seleccionar una técnica particular para estas actividades se describen en la Cláusula 7.

En  general,  el  análisis  puede  ser  descriptivo  (como  un  informe  de  una  revisión  de  la  literatura,  un  análisis  de  escenario  o
una  descripción  de  las  consecuencias)  o  cuantitativo,  donde  los  datos  se  analizan  para  producir  valores  numéricos.  En
algunos  casos,  se  pueden  aplicar  escalas  de  calificación  para  comparar  riesgos  particulares.

La  forma  en  que  se  evalúa  el  riesgo  y  la  forma  del  resultado  deben  ser  compatibles  con  cualquier  criterio  definido.  Por
ejemplo,  los  criterios  cuantitativos  requieren  una  técnica  de  análisis  cuantitativo  que  produzca  un  resultado  con  las
unidades  apropiadas.

Las  operaciones  matemáticas  deben  usarse  solo  si  las  métricas  elegidas  lo  permiten.  En  general,  las  operaciones
matemáticas  no  deben  usarse  con  escalas  ordinales.  Incluso  con  un  análisis  totalmente  cuantitativo,  los  valores  de  entrada
suelen  ser  estimaciones.  No  se  debe  atribuir  un  nivel  de  exactitud  y  precisión  a  los  resultados  más  allá  del  que  sea
consistente  con  los  datos  y  métodos  empleados.

6.3.2 Identificando el riesgo

La identificación del riesgo permite tener en cuenta explícitamente la incertidumbre. Todas las fuentes de incertidumbre y
los efectos beneficiosos y perjudiciales pueden ser relevantes, según el contexto y el alcance de la evaluación.

Las técnicas para identificar el riesgo generalmente hacen uso del conocimiento y la experiencia de una variedad de partes
interesadas (ver B.1.1). Incluyen considerar:

• qué incertidumbre existe y cuáles podrían ser sus efectos;

• qué circunstancias o problemas (ya sean tangibles o intangibles) tienen el potencial para futuros
consecuencias;

• qué fuentes de riesgo están presentes o podrían desarrollarse;

• qué controles existen y si son efectivos;

• qué, cómo, cuándo, dónde y por qué pueden ocurrir eventos y consecuencias;

• lo que sucedió en el pasado y cómo esto podría relacionarse razonablemente con el futuro; • qué aspectos

humanos y factores organizacionales podrían aplicarse.

Los estudios físicos también pueden ser útiles para identificar fuentes de riesgo o señales de alerta temprana de posibles
consecuencias.

El resultado de la identificación de riesgos se puede registrar como una lista de riesgos con eventos, causas y
consecuencias especificados, o utilizando otros formatos adecuados.

Independientemente  de  las  técnicas  que  se  utilicen,  la  identificación  de  riesgos  debe  abordarse  de  manera  metódica  e
iterativa  para  que  sea  exhaustiva  y  eficiente.  El  riesgo  debe  identificarse  lo  suficientemente  temprano  para  permitir  que  se
tomen  medidas  siempre  que  sea  posible.  Sin  embargo,  hay  ocasiones  en  las  que  algunos  riesgos  no  pueden  identificarse
durante  una  evaluación  de  riesgos.  Por  lo  tanto,  se  debe  establecer  un  mecanismo  para  capturar  los  riesgos  emergentes
y  reconocer  las  señales  de  alerta  temprana  de  éxito  o  fracaso  potencial.

Las técnicas para identificar el riesgo se describen en la Cláusula B.2.

6.3.3 Determinación de fuentes, causas y factores de riesgo

Identificar las causas, las fuentes y los impulsores del riesgo puede:

• contribuir a estimar la probabilidad de un evento o consecuencia;
Machine Translated by Google

– 20 – CEI 31010:2019 CEI 2019

• ayudar a identificar tratamientos que modificarán el riesgo;

• asistir en la determinación de indicadores de alerta temprana y sus umbrales de detección;

• determinar las causas comunes que pueden ayudar a desarrollar prioridades para tratar el riesgo.

Las  fuentes  de  riesgo  pueden  incluir  eventos,  decisiones,  acciones  y  procesos,  tanto  favorables  como  desfavorables,
así  como  situaciones  que  se  sabe  que  existen  pero  cuyos  resultados  son  inciertos.
Cualquier  forma  de  incertidumbre  descrita  en  4.1  puede  ser  una  fuente  de  riesgo.

Los eventos y las consecuencias pueden tener múltiples causas o cadenas causales.

A  menudo,  el  riesgo  solo  se  puede  controlar  modificando  los  factores  de  riesgo.  Influyen  en  el  estado  y  desarrollo  de
las  exposiciones  al  riesgo  y,  a  menudo,  afectan  a  más  de  un  riesgo.  Como  resultado,  los  factores  de  riesgo  a  menudo
necesitan  más  y  más  atención  que  las  fuentes  de  riesgos  individuales.

Las técnicas para determinar las fuentes, las causas y los impulsores del riesgo se describen en la Cláusula B.3.

6.3.4 Investigación de la eficacia de los controles existentes

El riesgo se ve afectado por la efectividad general de cualquier control que esté implementado. Se deben considerar
los siguientes aspectos de los controles:

• el mecanismo por el cual los controles están destinados a modificar el riesgo;

• si los controles están implementados, son capaces de operar según lo previsto y están logrando los resultados
esperados;

• si existen deficiencias en el diseño de los controles o en la forma en que se aplican;

• si existen lagunas en los controles;

• si los controles funcionan de forma independiente, o si necesitan funcionar colectivamente para ser
eficaz;

•  si  existen  factores,  condiciones,  vulnerabilidades  o  circunstancias  que  puedan  reducir  o
eliminar  la  efectividad  del  control,  incluidas  las  fallas  de  causa  común;
•  si  los  propios  controles  introducen  riesgos  adicionales.

NOTA Un riesgo puede tener más de un control y los controles pueden afectar a más de un riesgo.

Se  debe  hacer  una  distinción  entre  los  controles  que  cambian  la  probabilidad,  las  consecuencias  o  ambas,  y  los
controles  que  cambian  la  forma  en  que  se  comparte  la  carga  del  riesgo  entre  las  partes  interesadas.  Por  ejemplo,  los
seguros  y  otras  formas  de  financiación  del  riesgo  no  afectan  directamente  la  probabilidad  de  un  evento  o  sus  resultados,
pero  pueden  hacer  que  algunas  de  las  consecuencias  sean  más  tolerables  para  una  parte  interesada  en  particular  al
reducir  su  alcance  o  suavizar  el  flujo  de  caja.

Cualquier  suposición  hecha  durante  el  análisis  de  riesgos  sobre  el  efecto  real  y  la  confiabilidad  de  los  controles  debe
validarse  cuando  sea  posible,  con  un  énfasis  particular  en  controles  individuales  o  combinaciones  que  se  supone  que
tienen  un  efecto  modificador  sustancial.  Esto  debe  tener  en  cuenta  la  información  obtenida  a  través  del  monitoreo  y  la
revisión  de  los  controles  de  rutina.

Las técnicas para analizar los controles se describen en la Cláusula B.4.

6.3.5 Comprender las consecuencias y la probabilidad

[Link] Análisis del tipo, magnitud y momento de las consecuencias

El  análisis  de  consecuencias  puede  variar  desde  una  descripción  de  los  resultados  hasta  un  modelo  cuantitativo
detallado  o  un  análisis  de  vulnerabilidad.  Los  efectos  consecuentes  (efectos  dominó  o  en  cadena)  donde  una
consecuencia  lleva  a  otra  deben  ser  considerados  cuando  sea  relevante.
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 21 –

El  riesgo  se  puede  asociar  con  una  serie  de  diferentes  tipos  de  consecuencias,  que  afectan  a  diferentes  objetivos.  Los  tipos
de  consecuencias  a  analizar  deberían  haberse  decidido  al  planificar  la  evaluación.  La  declaración  de  contexto  debe  verificarse
para  garantizar  que  las  consecuencias  que  se  analizarán  se  alineen  con  el  propósito  de  la  evaluación  y  las  decisiones  que
se  tomarán.  Esto  se  puede  revisar  durante  la  evaluación  a  medida  que  se  aprende  más.

La magnitud de las consecuencias se puede expresar cuantitativamente como un valor puntual o como una distribución. Una
distribución puede ser adecuada cuando:

• el valor de la consecuencia es incierto;

• las consecuencias varían según las circunstancias;

• los parámetros que afectan las consecuencias varían.

La  consideración  de  la  distribución  completa  asociada  con  una  consecuencia  proporciona  información  completa.  Es  posible
resumir  la  distribución  en  forma  de  un  valor  puntual  como  el  valor  esperado  (media),  la  variación  (varianza)  o  el  porcentaje
en  la  cola  o  alguna  otra  parte  relevante  de  la  distribución  (percentil).

Para cualquier método de obtener un valor o valores de puntos para representar una distribución de consecuencias, existen
suposiciones e incertidumbres subyacentes sobre:

• la forma de la distribución elegida para ajustarse a los datos (por ejemplo, continua o discreta, normal o
altamente sesgada);

• la forma más apropiada de representar esa distribución como un valor en puntos; • el valor de la

estimación puntual debido a las incertidumbres inherentes a los datos a partir de los cuales se produjo la distribución.

No debe suponerse que los datos relevantes para el riesgo siguen necesariamente una distribución normal.

En algunos casos, la información se puede resumir como una calificación cualitativa o semicuantitativa que se puede usar al
comparar riesgos.

La  magnitud  de  las  consecuencias  también  puede  variar  según  otros  parámetros.  Por  ejemplo,  las  consecuencias  para  la
salud  de  la  exposición  a  una  sustancia  química  generalmente  dependen  de  la  dosis  a  la  que  está  expuesta  la  persona  u  otra
especie.  Para  este  ejemplo,  el  riesgo  suele  estar  representado  por  una  curva  de  respuesta  a  la  dosis  que  representa  la
probabilidad  de  un  punto  final  específico  (por  ejemplo,  la  muerte)  en  función  de  una  dosis  a  corto  plazo  o  acumulada.

Las consecuencias también pueden cambiar con el tiempo. Por ejemplo, los impactos adversos de una falla pueden volverse
más severos cuanto más tiempo exista la falla. Deben seleccionarse las técnicas apropiadas para tener esto en cuenta.

A  veces,  las  consecuencias  resultan  de  la  exposición  a  múltiples  fuentes  de  riesgo:  por  ejemplo,  efectos  ambientales  o  para
la  salud  humana  derivados  de  la  exposición  a  fuentes  de  riesgo  biológicas,  químicas,  físicas  y  psicosociales.  Al  considerar
exposiciones  múltiples,  debe  tenerse  en  cuenta  la  posibilidad  de  efectos  sinérgicos,  así  como  la  influencia  de  la  duración  y  el
alcance  de  la
exposición.

[Link] Análisis de probabilidad

La  probabilidad  puede  referirse  a  la  probabilidad  de  un  evento  oa  la  probabilidad  de  una  consecuencia  específica.
El  parámetro  al  que  se  aplica  un  valor  de  probabilidad  debe  establecerse  explícitamente  y  el  evento  o  consecuencia  cuya
probabilidad  se  establece  debe  definirse  con  claridad  y  precisión.  Puede  ser  necesario  incluir  una  declaración  sobre  la
exposición  y  la  duración  para  definir  completamente  la  probabilidad.

La probabilidad se puede describir de varias maneras, incluso como una probabilidad o frecuencia esperada o en términos
descriptivos (p. ej., "altamente probable"). Cuando se utiliza un término descriptivo, su
Machine Translated by Google

– 22 – CEI 31010:2019 CEI 2019

debe definirse el significado. Puede haber incertidumbre en la probabilidad que se puede mostrar como una
distribución de valores que representan el grado de creencia de que ocurrirá un valor particular.

Cuando se utilice un porcentaje como medida de probabilidad, deberá indicarse la naturaleza de la razón a la
que se aplica el porcentaje.

EJEMPLO  1  La  afirmación  de  que  la  posibilidad  de  que  un  proveedor  no  cumpla  con  la  entrega  es  del  5  %  es  vaga  en  términos  de  período  de
tiempo  y  población.  Tampoco  está  claro  si  el  porcentaje  se  refiere  al  5  %  de  los  proyectos  o  al  5  %  de  los  proveedores.  Una  declaración  más
explícita  sería  "la  probabilidad  de  que  uno  o  más  proveedores  no  entreguen  los  bienes  o  servicios  requeridos  para  un  proyecto  dentro  de  la  vida
de  un  proyecto  es  del  5  %  de  los  proyectos".

Para  minimizar  las  malas  interpretaciones  al  expresar  la  probabilidad,  ya  sea  cualitativa  o  cuantitativamente,
el  período  de  tiempo  y  la  población  en  cuestión  deben  ser  explícitos  y  consistentes  con  el  alcance  de  la
evaluación  particular.

EJEMPLO  2  La  probabilidad  de  que  uno  o  más  proveedores  no  entreguen  los  bienes  o  servicios  requeridos  para  un  proyecto  dentro  de  los
próximos  dos  meses  es  del  1  %  de  los  proyectos,  mientras  que  dentro  de  una  escala  de  tiempo  de  seis  meses  la  falla  puede  ocurrir  en  el  3  %
de  los  proyectos.

Hay  muchos  posibles  sesgos  que  pueden  influir  en  las  estimaciones  de  probabilidad.  Además,  la  interpretación
de  la  estimación  de  probabilidad  puede  variar  según  el  contexto  en  el  que  se  enmarque.  Se  debe  tener
cuidado  para  comprender  los  posibles  efectos  de  los  sesgos  individuales  (cognitivos)  y  culturales.

Las técnicas para comprender las consecuencias y la probabilidad se describen en la Cláusula B.5.

6.3.6 Análisis de interacciones y dependencias

Suele  haber  muchas  interacciones  y  dependencias  entre  los  riesgos.  Por  ejemplo,  múltiples  consecuencias
pueden  surgir  de  una  sola  causa  o  una  consecuencia  particular  puede  tener  múltiples  causas.  La  ocurrencia
de  algunos  riesgos  puede  hacer  que  la  ocurrencia  de  otros  sea  más  o  menos  probable,  y  estos  vínculos
causales  pueden  formar  cascadas  o  bucles.

Para  lograr  una  evaluación  más  confiable  del  riesgo  donde  los  vínculos  causales  entre  los  riesgos  son
significativos,  puede  ser  útil  crear  un  modelo  causal  que  incorpore  los  riesgos  de  alguna  forma.  Se  pueden
buscar  temas  comunes  dentro  de  la  información  de  riesgo,  como  causas  comunes  o  impulsores  de  riesgo,  o
resultados  comunes.

Las  interacciones  entre  los  riesgos  pueden  tener  una  variedad  de  impactos  en  la  toma  de  decisiones,  por
ejemplo,  aumentando  la  importancia  de  las  actividades  que  abarcan  múltiples  riesgos  conectados  o
aumentando  el  atractivo  de  una  opción  sobre  otras.  Los  riesgos  pueden  ser  susceptibles  de  tratamientos
comunes,  o  puede  haber  situaciones  en  las  que  el  tratamiento  de  un  riesgo  tenga  implicaciones  positivas  o
negativas  en  otros  lugares.  Las  acciones  de  tratamiento  se  pueden  consolidar  a  veces  para  reducir
significativamente  la  cantidad  de  trabajo  y  equilibrar  de  manera  más  efectiva  los  recursos  disponibles.  Un
plan  de  tratamiento  coordinado  debe  tener  en  cuenta  estos  factores  en  lugar  de  suponer  que  cada  riesgo
debe  tratarse  de  forma  independiente.

Las técnicas para analizar interacciones y dependencias se describen en la Cláusula B.6.

6.3.7 Comprender las medidas de riesgo

[Link] Determinación de medidas de riesgo

En  algunas  situaciones,  es  útil  proporcionar  una  medida  de  riesgo  como  una  combinación  de  la  magnitud  de
las  posibles  consecuencias  y  la  probabilidad  de  esas  consecuencias.  Esto  puede  implicar  medidas  cualitativas,
semicuantitativas  o  cuantitativas.

•  Los  enfoques  cualitativos  generalmente  se  basan  en  escalas  descriptivas  (nominales)  o  de  clasificación
(ordinales)  para  consecuencias  y  probabilidades.
•  Los  enfoques  semicuantitativos  incluyen  donde:
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 23 –

– un parámetro (generalmente la probabilidad) se expresa cuantitativamente y el otro se describe
o expresado en una escala de calificación;

– las escalas se dividen en bandas discretas, cuyos límites se expresan cuantitativamente.
Los puntos de la escala a menudo se configuran para tener una relación logarítmica para ajustarse a los datos;

– se añaden descriptores numéricos a los puntos de la escala, cuyos significados se describen
cualitativamente.

El uso de escalas semicuantitativas puede dar lugar a interpretaciones erróneas si no se explica cuidadosamente la base de
los cálculos. Por lo tanto, los enfoques semicuantitativos deben validarse y utilizarse con precaución.

•  Los  enfoques  cuantitativos  usan  medidas  de  consecuencias  y  probabilidades  que  se  expresan  en  escalas  numéricas  (razón).
Cuando  un  riesgo  se  analiza  en  términos  cuantitativos,  se  debe  garantizar  que  se  utilicen  las  unidades  y  dimensiones
apropiadas  y  que  se  lleven  a  cabo  a  lo  largo  de  la  evaluación.

Las  técnicas  cualitativas  y  semicuantitativas  sólo  pueden  utilizarse  para  comparar  riesgos  con  otros  riesgos  medidos  de  la  misma
forma  o  con  criterios  expresados  en  los  mismos  términos.  No  se  pueden  utilizar  para  combinar  o  agregar  riesgos  directamente  y
son  muy  difíciles  de  utilizar  en  situaciones  en  las  que  existen  consecuencias  tanto  positivas  como  negativas  o  cuando  se  deben
realizar  compensaciones  entre  riesgos.

Cuando  las  estimaciones  cuantitativas  de  una  consecuencia  y  su  probabilidad  se  combinan  como  un  producto  simple  para
proporcionar  una  magnitud  para  un  riesgo,  se  puede  perder  información.  En  particular,  no  hay  distinción  entre  los  riesgos  de  alta
consecuencia  y  baja  probabilidad  y  aquellos  de  baja  consecuencia  que  ocurren  con  frecuencia.  Para  compensar  esto,  se  puede
aplicar  un  factor  de  ponderación  a  la  consecuencia  oa  la  probabilidad;  pero  esto  debe  usarse  con  cuidado.

El riesgo no siempre puede describirse o estimarse adecuadamente como un valor único que representa la probabilidad de una
consecuencia específica. Los ejemplos en los que esto se aplica incluyen situaciones en las que:

• las consecuencias se expresan mejor como una distribución de probabilidad de consecuencias;

• un evento tiene varias causas diferentes y conduce a una gama de resultados y posibles
efectos consecuentes;

• las consecuencias surgen acumulativamente de la exposición continua a una fuente de riesgo;

•  las  fuentes  de  riesgo  (como  los  problemas  sistémicos)  son  identificables,  pero  es  muy  difícil  especificar  la  naturaleza  o  la
probabilidad  de  las  consecuencias  que  podrían  surgir.  (En  este  caso,  se  vuelve  imposible  estimar  una  magnitud  válida  para
el  riesgo  en  términos  de  probabilidad  y  consecuencia).

Cuando  un  riesgo  tiene  una  distribución  de  posibles  consecuencias,  se  puede  obtener  una  medida  de  riesgo  como  el  promedio
ponderado  de  probabilidad  de  las  consecuencias  (es  decir,  el  valor  esperado).  Sin  embargo,  esto  podría  no  ser  siempre  una
buena  medida  del  riesgo  porque  refleja  la  consecuencia  media  de  la  distribución.  Esto  da  como  resultado  la  pérdida  de  información
sobre  consecuencias  menos  probables  que  pueden  ser  graves  y,  por  lo  tanto,  importantes  para  comprender  el  riesgo.  Las
técnicas  para  tratar  con  valores  extremos  no  se  incluyen  en  este  documento.

NOTA Un valor esperado o valor esperado es equivalente a sumar todos los pares consecuencia/probabilidad en una
distribución, lo que equivale a utilizar la consecuencia media de la distribución.

Ejemplos de métricas cuantitativas de la magnitud de un riesgo incluyen:

• una frecuencia esperada de ocurrencia de una consecuencia específica tal como el número de
accidentes de vehículos por mil kilómetros recorridos en una región;

• el tiempo esperado entre eventos de interés, como el tiempo medio de actividad de un artículo;

•  una  probabilidad  de  un  punto  final  específico  durante  un  período  definido  de  exposición  (relevante  cuando  las  consecuencias
se  acumulan  durante  un  período  de  exposición),  como  la  probabilidad  de  contraer  cáncer  en  algún  momento  de  su  vida
como  resultado  de  la  exposición  a  una  dosis  específica  de  una  sustancia  química;
Machine Translated by Google

– 24 – CEI 31010:2019 CEI 2019

• un valor esperado, como los rendimientos esperados o las ganancias financieras durante un período de inversión, o la
carga de salud pública esperada en términos de años de vida ajustados por discapacidad por millón de personas por
año;

• una estadística que representa la forma de una distribución de consecuencias como la varianza o
volatilidad de los rendimientos de una inversión;

• un valor igual o superior o inferior a un percentil especificado en una distribución de consecuencias;

EJEMPLO La ganancia de un proyecto que hay un 90 % de posibilidades de lograr; o el Valor en Riesgo (VaR) de una
cartera que mide la pérdida que podría surgir en una cartera durante un período de tiempo específico con una probabilidad
específica.

• una medida extrema asociada con la distribución de consecuencias como las consecuencias máximas esperadas.

Las  métricas  basadas  en  consecuencias,  como  la  pérdida  máxima  creíble  o  la  pérdida  máxima  probable,  se  utilizan
principalmente  cuando  es  difícil  definir  qué  controles  tienen  la  capacidad  de  fallar  o  cuando  no  hay  datos  suficientes  para
basar  las  estimaciones  de  probabilidad.

La  magnitud  del  riesgo  depende  de  las  suposiciones  hechas  sobre  la  presencia  y  efectividad  de  los  controles  relevantes.
Los  profesionales  suelen  utilizar  términos  como  riesgo  inherente  o  bruto  (para  la  situación  en  la  que  se  supone  que  los
controles  que  pueden  fallar  lo  hacen)  y  riesgo  residual  o  neto  para  el  nivel  de  riesgo  cuando  se  supone  que  los  controles
funcionan  según  lo  previsto.  Sin  embargo,  es  difícil  definir  estos  términos  sin  ambigüedades  y,  por  lo  tanto,  es  recomendable
establecer  siempre  explícitamente  las  suposiciones  hechas  sobre  los  controles.

Al reportar una magnitud de riesgo, ya sea cualitativa o cuantitativamente, se deben describir las incertidumbres asociadas
con los supuestos y con los parámetros de entrada y salida.

[Link] Agregación de medidas de riesgo

En  algunos  casos  (como  para  la  asignación  de  capital)  puede  ser  útil  combinar  valores  para  un  conjunto  de  riesgos  para
producir  un  solo  valor.  Siempre  que  los  riesgos  se  caractericen  por  una  sola  consecuencia,  medida  en  las  mismas
unidades,  como  el  valor  monetario,  en  principio  pueden  combinarse.  Es  decir,  pueden  combinarse  solo  cuando  las
consecuencias  y  la  probabilidad  se  expresan  cuantitativamente  y  las  unidades  son  consistentes  y  correctas.  En  algunas
situaciones,  una  medida  de  utilidad  puede  usarse  como  una  escala  común  para  cuantificar  y  combinar  consecuencias  que
se  miden  en  diferentes  unidades.

Desarrollar  un  único  valor  consolidado  para  un  conjunto  de  riesgos  más  complejos  pierde  información  sobre  los  riesgos
componentes.  Además,  a  menos  que  se  tenga  mucho  cuidado,  el  valor  consolidado  puede  ser  inexacto  y  tiene  el  potencial
de  ser  engañoso.  Todos  los  métodos  de  agregación  de  riesgos  a  un  solo  valor  tienen  suposiciones  subyacentes  que
deben  comprenderse  antes  de  aplicarse.  Los  datos  deben  analizarse  para  buscar  correlaciones  y  dependencias  que
afectarán  la  forma  en  que  se  combinan  los  riesgos.
Las  técnicas  de  modelado  utilizadas  para  producir  un  nivel  agregado  de  riesgo  deben  estar  respaldadas  por  análisis  de
escenarios  y  pruebas  de  estrés.

Cuando  los  modelos  incorporen  cálculos  que  involucren  distribuciones,  deben  incluir  correlaciones  entre  esas  distribuciones
de  manera  apropiada.  Si  la  correlación  no  se  tiene  en  cuenta  adecuadamente,  los  resultados  serán  inexactos  y  pueden
ser  muy  engañosos.  Consolidar  los  riesgos  simplemente  sumándolos  no  es  una  base  confiable  para  la  toma  de  decisiones
y  podría  conducir  a  resultados  no  deseados.  La  simulación  de  Monte  Carlo  se  puede  utilizar  para  combinar  distribuciones
(ver  B.5.10).

Las  medidas  de  riesgo  cualitativas  o  semicuantitativas  no  pueden  agregarse  directamente.  Del  mismo  modo,  solo  se
pueden  hacer  afirmaciones  cualitativas  generales  sobre  la  eficacia  relativa  de  los  controles  basados  en  medidas  cualitativas
o  semicuantitativas  de  cambios  en  el  nivel  de  riesgo.

Los  datos  relevantes  sobre  diferentes  riesgos  se  pueden  reunir  de  diversas  maneras  para  ayudar  a  los  responsables  de  la
toma  de  decisiones.  Es  posible  realizar  una  agregación  cualitativa  basada  en  la  opinión  de  expertos,  teniendo  en  cuenta
información  de  riesgo  más  detallada.  Las  suposiciones  hechas  y  la  información  utilizada  para  realizar  agregaciones
cualitativas  de  riesgo  deben  estar  claramente  articuladas.
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 25 –

[Link] Riesgo social

Cuando  una  población  está  expuesta  al  riesgo,  una  simple  suma  del  nivel  de  riesgo  individual  multiplicando  por  la  población
expuesta,  en  la  mayoría  de  los  casos,  no  representa  adecuadamente  el  verdadero  impacto  de  las  consecuencias.  Por  ejemplo,  el
riesgo  de  muerte  de  un  individuo  por  un  evento  como  la  falla  de  una  represa  podría  necesitar  ser  considerado  de  manera  diferente
al  mismo  evento  que  afecta  a  un  grupo  de  individuos  juntos.

El riesgo social generalmente se expresa y evalúa en términos de la relación entre la frecuencia de ocurrencia de una consecuencia
(F) y el número de personas que soportan las consecuencias (N). (Ver diagramas FN en B.8.3).

Las técnicas que proporcionan una medida del riesgo se describen en la Cláusula B.7.

6.4 Revisar el análisis

6.4.1 Verificación y validación de resultados.

Siempre  que  sea  posible,  los  resultados  del  análisis  deben  verificarse  y  validarse.  La  verificación  consiste  en  comprobar  que  el
análisis  se  ha  realizado  correctamente.  La  validación  implica  verificar  que  se  realizó  el  análisis  correcto  para  lograr  los  objetivos
requeridos.  En  algunas  situaciones,  la  verificación  y  la  validación  pueden  implicar  procesos  de  revisión  independientes.

La validación puede incluir:

• verificar que el alcance del análisis sea apropiado para los objetivos establecidos;

• revisar todos los supuestos críticos para garantizar que sean creíbles a la luz de la información disponible
información;

• verificar que se usaron métodos, modelos y datos apropiados;

• usar múltiples métodos, aproximaciones y análisis de sensibilidad para probar y validar
conclusiones.

La verificación puede incluir:

• comprobar la validez de las manipulaciones y cálculos matemáticos; • verificar que los resultados

sean insensibles a la forma en que se muestran los datos o los resultados o
presentado;

• comparar los resultados con la experiencia pasada donde existen datos o por comparación con los resultados
después de que ocurran;

• establecer si los resultados son sensibles a la forma en que se muestran o presentan los datos o los resultados e identificar los
parámetros de entrada que tienen un efecto significativo en los resultados de la evaluación;

• comparar resultados con experiencias pasadas o posteriores, incluida la obtención explícita
retroalimentación a medida que pasa el tiempo.

6.4.2 Análisis de incertidumbre y sensibilidad

Quienes analizan el riesgo deben comprender las incertidumbres del análisis y apreciar las implicaciones para la confiabilidad de
los resultados. Las incertidumbres y sus implicaciones siempre deben comunicarse a los responsables de la toma de decisiones.

La incertidumbre en los resultados del análisis puede surgir porque:

• hay variabilidad en el sistema que se está considerando;

• los datos provienen de una fuente no confiable, inconsistente o insuficiente; por ejemplo, el tipo de datos recopilados o los
métodos de recopilación pueden haber cambiado;
Machine Translated by Google

– 26 – CEI 31010:2019 CEI 2019

• puede haber ambigüedad, por ejemplo, en la forma en que se expresan los descriptores cualitativos o
comprendido;

• el método de análisis no representa adecuadamente la complejidad del sistema; • existe una gran

confianza en la opinión o el juicio de los expertos;

• es posible que no existan datos relevantes o que la organización no haya recopilado los datos necesarios;

• los datos del pasado pueden no proporcionar una base confiable para pronosticar el futuro
porque algo dentro del contexto o las circunstancias ha cambiado;

• hay incertidumbres o aproximaciones en los supuestos que se hacen.

Cuando  se  reconoce  la  falta  de  datos  confiables  durante  el  análisis,  se  deben  recopilar  más  datos,  si  es  posible.  Esto
puede  implicar  la  implementación  de  nuevos  arreglos  de  monitoreo.  Alternativamente,  el  proceso  de  análisis  debe
ajustarse  para  tener  en  cuenta  las  limitaciones  de  datos.

Se  puede  realizar  un  análisis  de  sensibilidad  para  evaluar  la  importancia  de  las  incertidumbres  en  los  datos  o  en  los
supuestos  que  subyacen  al  análisis.  El  análisis  de  sensibilidad  implica  determinar  el  cambio  relativo  a  los  resultados
provocado  por  los  cambios  en  los  parámetros  de  entrada  individuales.  Se  utiliza  para  identificar  datos  que  deben  ser
precisos  y  aquellos  que  son  menos  sensibles  y,  por  lo  tanto,  tienen  menos  efecto  sobre  la  precisión  general.  Los
parámetros  a  los  que  el  análisis  es  sensible  y  el  grado  de  sensibilidad  deben  indicarse  cuando  corresponda.

Los parámetros que son críticos para la evaluación y que están sujetos a cambios deben identificarse para un monitoreo
continuo, de modo que la evaluación de riesgos pueda actualizarse y, si es necesario, reconsiderar las decisiones.

6.4.3 Seguimiento y revisión

El monitoreo se puede utilizar:

• comparar los resultados reales con los resultados previstos por la evaluación de riesgos y, por lo tanto, mejorar las
evaluaciones futuras;

• buscar precursores e indicadores tempranos de posibles consecuencias que fueron identificados por
la evaluacion;

• recopilar los datos necesarios para una buena comprensión del riesgo;

• para buscar nuevos riesgos y cambios inesperados que puedan indicar la necesidad de actualizar
evaluación.

Cuando un análisis de sensibilidad indique parámetros de particular importancia para el resultado de un análisis, estos
también deben ser considerados para el monitoreo.

Las evaluaciones deben revisarse periódicamente para identificar si se han producido cambios, incluidos cambios en el
contexto o en los supuestos, y si hay nueva información o nuevos métodos disponibles.

6.5 Aplicar los resultados para respaldar las decisiones

6.5.1 Resumen

Los resultados del análisis de riesgos proporcionan información para las decisiones que deben tomarse y las acciones
que se toman.

NOTA Una comprensión del riesgo puede informar las acciones incluso cuando no se sigue un proceso explícito de toma de decisiones.

Los factores a considerar al tomar decisiones y cualquier criterio específico deberían haberse definido como parte del
establecimiento del contexto para la evaluación (ver 6.1.6).

Se pueden distinguir dos tipos de decisiones:
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 27 –

•  decisiones  sobre  la  importancia  del  riesgo  y  si  y  cómo  tratar  el  riesgo;
•  decisiones  que  impliquen  comparar  opciones  donde  cada  una  tiene  incertidumbres  (como  cuál  de
varias  oportunidades  a  seguir).

6.5.2 Decisiones sobre la importancia del riesgo

La  información  de  la  identificación  y  el  análisis  de  riesgos  se  puede  utilizar  para  sacar  conclusiones  sobre  si  el  riesgo
debe  aceptarse  y  la  importancia  comparativa  del  riesgo  en  relación  con  los  objetivos  y  los  umbrales  de  desempeño
de  la  organización.  Esto  proporciona  un  aporte  a  las  decisiones  sobre  si  el  riesgo  es  aceptable  o  requiere  tratamiento,
y  cualquier  prioridad  para  el  tratamiento.

Algunos  riesgos  pueden  aceptarse  por  un  tiempo  finito  (por  ejemplo,  para  dar  tiempo  a  implementar  tratamientos).
El  evaluador  debe  tener  claros  los  mecanismos  para  la  aceptación  temporal  de  riesgos  y  el  proceso  a  utilizar  para
su  posterior  reconsideración.

Las  prioridades  para  el  tratamiento,  el  seguimiento  o  un  análisis  más  detallado  a  menudo  se  basan  en  una  magnitud
de  riesgo  obtenida  al  combinar  una  consecuencia  representativa  y  su  probabilidad,  y  se  muestran  mediante  una
matriz  de  consecuencia/probabilidad  (B.10.3).  Este  método  tiene  algunas  limitaciones  (ver  B.10.3.5  y  [Link]).  Los
factores  distintos  a  la  magnitud  del  riesgo  que  se  pueden  tener  en  cuenta  al  decidir  las  prioridades  incluyen:

• otras medidas asociadas al riesgo como las consecuencias máximas o esperadas
o la eficacia de los controles;

•  las  características  cualitativas  de  los  eventos  o  sus  posibles  consecuencias;
•  las  opiniones  y  percepciones  de  las  partes  interesadas;
•  el  costo  y  la  viabilidad  del  tratamiento  adicional  en  comparación  con  la  mejora  obtenida;
•  interacciones  entre  riesgos,  incluidos  los  efectos  de  los  tratamientos  sobre  otros  riesgos.

Una  vez  que  se  han  evaluado  los  riesgos  y  se  han  decidido  los  tratamientos,  se  puede  repetir  el  proceso  de
evaluación  de  riesgos  para  verificar  que  los  tratamientos  propuestos  no  hayan  creado  riesgos  adversos  adicionales
y  que  el  riesgo  restante  después  del  tratamiento  esté  dentro  del  riesgo  aceptado  por  la  organización.

Las técnicas para evaluar la importancia del riesgo se describen en la Cláusula B.8.

6.5.3 Decisiones que implican seleccionar entre opciones

La selección entre opciones normalmente implica sopesar las posibles ventajas y desventajas de cada opción
teniendo en cuenta las incertidumbres que incluyen:

• incertidumbres asociadas con los resultados potenciales de las opciones y estimaciones de costos
y beneficios;

•  eventos  y  desarrollos  potenciales  que  pueden  afectar  los  resultados;
•  los  variados  valores  que  las  diferentes  partes  interesadas  otorgan  a  los  costos  y  beneficios;
•  incertidumbre  en  torno  a  los  juicios  hechos  a  partir  de  los  resultados  del  análisis  de  riesgos,  incluidas
consideraciones  tales  como  si  los  objetivos  y  criterios  permanecerán  sin  cambios  en  el  futuro.

Este tipo de decisión a menudo se toma utilizando el juicio de expertos basado en la comprensión de un análisis de
las opciones en cuestión y el riesgo asociado con cada una, teniendo en cuenta:

•  compensaciones  que  pueden  ser  necesarias  entre  objetivos  contrapuestos;
•  el  apetito  de  riesgo  de  la  organización;
•  las  diferentes  actitudes  y  creencias  de  las  partes  interesadas.

Las técnicas que se pueden usar al comparar opciones que implican incertidumbre se describen en la Cláusula B.9.
Machine Translated by Google

– 28 – CEI 31010:2019 CEI 2019

6.6 Registrar e informar el proceso y los resultados de la evaluación de riesgos

Los  resultados  de  la  evaluación  de  riesgos,  las  metodologías  utilizadas  y  la  justificación  de  las  suposiciones  y  cualquier
recomendación  deben  documentarse  y  tomarse  una  decisión  sobre  qué  información  debe  comunicarse  ya  quién.  Debe
definirse  la  forma  en  que  se  revisarán  y  actualizarán  los  registros.

El propósito de los registros es:

•  comunicar  información  sobre  el  riesgo  a  los  tomadores  de  decisiones  y  otras  partes  interesadas,  incluyendo
reguladores;
•  proporcionar  un  registro  y  justificación  de  la  justificación  de  las  decisiones  tomadas;
•  preservar  los  resultados  de  la  evaluación  para  uso  y  referencia  futuros;

• realizar un seguimiento del rendimiento y las tendencias;

• proporcionar confianza de que los riesgos se entienden y se gestionan adecuadamente;
• habilitar la verificación de la evaluación;

• proporcionar un registro de auditoría.

De  ello  se  deduce  que  cualquier  documentación  o  registro  debe  proporcionarse  de  manera  oportuna  y  estar  en  una
forma  que  pueda  ser  entendida  por  quienes  lo  leerán.  Los  documentos  también  deben  proporcionar  la  profundidad
técnica  necesaria  para  la  validación  y  el  detalle  suficiente  para  preservar  la  evaluación  para  uso  futuro.  La  información
proporcionada  debe  ser  suficiente  para  permitir  que  tanto  los  procesos  seguidos  como  los  resultados  sean  revisados
y  validados.  Las  suposiciones  hechas,  las  limitaciones  en  los  datos  o  métodos  y  las  razones  de  cualquier  recomendación
deben  ser  claras.

El riesgo debe expresarse en términos comprensibles, y las unidades en las que se expresan las medidas cuantitativas
deben ser claras y correctas.

Quienes  presenten  los  resultados  deben  caracterizar  su  confianza  o  la  de  su  equipo  en  la  precisión  y  exhaustividad  de
los  resultados.  Las  incertidumbres  deben  ser  comunicadas  adecuadamente  para  que  el  informe  no  implique  un  nivel
de  certeza  más  allá  de  la  realidad.

Las técnicas para registrar y reportar se describen en la Cláusula B.10.

7 Selección de técnicas de evaluación de riesgos

7.1 Generalidades

La  cláusula  7  describe  los  factores  a  considerar  cuando  se  selecciona  una  técnica  o  técnicas  para  un  propósito
particular.  Los  anexos  A  y  B  enumeran  y  explican  más  detalladamente  algunas  técnicas  de  uso  común.  Describen  las
características  de  cada  técnica  y  su  posible  rango  de  aplicación,  junto  con  sus  fortalezas  y  debilidades  inherentes.

Muchas  de  las  técnicas  descritas  en  este  documento  se  desarrollaron  originalmente  para  industrias  particulares  que
buscaban  gestionar  tipos  particulares  de  resultados  no  deseados.  Varias  de  las  técnicas  son  similares,  pero  utilizan
diferentes  terminologías,  lo  que  refleja  su  desarrollo  independiente  para  un  propósito  similar  en  diferentes  sectores.
Con  el  tiempo,  la  aplicación  de  muchas  de  las  técnicas  se  ha  ampliado,  por  ejemplo,  desde  aplicaciones  de  ingeniería
técnica  hasta  situaciones  financieras  o  de  gestión,  o  para  considerar  resultados  tanto  positivos  como  negativos.  Han
surgido  nuevas  técnicas  y  las  antiguas  se  han  adaptado  a  las  nuevas  circunstancias.  Las  técnicas  y  sus  aplicaciones
continúan  evolucionando.  Existe  la  posibilidad  de  mejorar  la  comprensión  del  riesgo  mediante  el  uso  de  técnicas  fuera
de  su  aplicación  original.  Los  anexos  A  y  B,  por  lo  tanto,  indican  las  características  de  las  técnicas  que  se  pueden
utilizar  para  determinar  la  gama  de  circunstancias  a  las  que  se  pueden  aplicar.
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 29 –

7.2 Selección de técnicas

La  elección  de  la  técnica  y  la  forma  en  que  se  aplica  deben  adaptarse  al  contexto  y  al  uso,  y  proporcionar  información
del  tipo  y  la  forma  que  necesitan  las  partes  interesadas.  En  términos  generales,  la  cantidad  y  el  tipo  de  técnica
seleccionada  debe  adaptarse  a  la  importancia  de  la  decisión  y  tener  en  cuenta  las  limitaciones  de  tiempo  y  otros
recursos,  y  los  costos  de  oportunidad.

Al  decidir  si  una  técnica  cualitativa  o  cuantitativa  es  más  apropiada,  los  principales  criterios  a  considerar  son  la  forma
de  salida  de  mayor  utilidad  para  las  partes  interesadas  y  la  disponibilidad  y  confiabilidad  de  los  datos.  Las  técnicas
cuantitativas  generalmente  requieren  datos  de  alta  calidad  para  que  proporcionen  resultados  significativos.  Sin  embargo,
en  algunos  casos  en  los  que  los  datos  no  son  suficientes,  el  rigor  necesario  para  aplicar  una  técnica  cuantitativa  puede
proporcionar  una  mejor  comprensión  del  riesgo,  aunque  el  resultado  del  cálculo  pueda  ser  incierto.

A  menudo  hay  una  selección  de  técnicas  relevantes  para  una  circunstancia  dada.  Es  posible  que  sea  necesario
considerar  varias  técnicas,  y  la  aplicación  de  más  de  una  técnica  a  veces  puede  proporcionar  una  comprensión
adicional  útil.  [2]  También  pueden  ser  apropiadas  diferentes  técnicas  a  medida  que  se  disponga  de  más  información.

Al seleccionar una técnica o técnicas, por lo tanto, se debe considerar lo siguiente:

• el propósito de la evaluación;
• las necesidades de las partes interesadas;

• cualquier requisito legal, reglamentario y contractual;

• el entorno operativo y el escenario;

• la importancia de la decisión (p. ej., las consecuencias si se toma una decisión equivocada); • cualquier

criterio de decisión definido y su forma;
• el tiempo disponible antes de que se deba tomar una decisión;

• información que está disponible o puede obtenerse;

• la complejidad de la situación;

• la experiencia disponible o que se puede obtener.

Las características de las técnicas relevantes para estos requisitos se enumeran en la Tabla A.1.
La Tabla A.2 proporciona una lista de técnicas, clasificadas según estas características.

A medida que aumenta el grado de incertidumbre, complejidad y ambigüedad del contexto, aumentará la necesidad de
consultar a un grupo más amplio de partes interesadas, con implicaciones para la combinación de técnicas seleccionadas.

NOTA Por ejemplo, IEC TR 63039:2016 [50] guía cómo usar las técnicas ETA, FTA y Markov de manera complementaria para
que el uso combinado sea una forma eficiente de analizar el riesgo de sistemas complejos.

Algunas  de  las  técnicas  descritas  en  este  documento  se  pueden  aplicar  durante  los  pasos  del  proceso  de  gestión  de
riesgos  de  ISO  31000  además  de  su  uso  en  la  evaluación  de  riesgos.  La  aplicación  de  las  técnicas  al  proceso  de
gestión  de  riesgos  se  ilustra  en  la  Figura  A.1.  La  Tabla  A.3  ilustra  su  aplicación  específicamente  a  la  evaluación.

El  Anexo  B  contiene  una  descripción  general  de  cada  técnica,  su  uso,  sus  entradas  y  salidas,  sus  fortalezas  y
limitaciones  y,  cuando  corresponda,  una  referencia  para  encontrar  más  detalles.  Clasifica  las  técnicas  según  su
aplicación  principal  en  la  evaluación  del  riesgo,  a  saber:

• obtener puntos de vista de las partes interesadas y expertos (Cláusula B.1);

• identificación del riesgo (Cláusula B.2);

• determinar las fuentes, las causas y los impulsores del riesgo (Cláusula B.3);

• analizar los controles existentes (Cláusula B.4);
Machine Translated by Google

– 30 – CEI 31010:2019 CEI 2019

• comprender las consecuencias y la probabilidad (Cláusula B.5);

• analizar dependencias e interacciones (Cláusula B.6);

• proporcionar medidas de riesgo (Cláusula B.7);

• evaluar la importancia del riesgo (Cláusula B.8);

• seleccionar entre opciones (Cláusula B.9);

• registro y presentación de informes (Cláusula B.10).

Dentro de cada grupo, las técnicas están ordenadas alfabéticamente y no se implica ningún orden de importancia.

La  mayoría  de  las  técnicas  del  Anexo  B  asumen  que  se  pueden  identificar  los  riesgos  o  las  fuentes  de  riesgo.
También  existen  técnicas  que  se  pueden  utilizar  para  evaluar  indirectamente  el  riesgo  residual  considerando  los
controles  y  requisitos  existentes  (ver,  por  ejemplo,  IEC  61508  [36]).

Si  bien  este  documento  analiza  y  proporciona  técnicas  de  ejemplo,  las  técnicas  descritas  no  son  exhaustivas  y  no  se
hace  ninguna  recomendación  sobre  la  eficacia  de  ninguna  técnica  dada  en  ninguna  circunstancia  dada.  Se  debe  tener
cuidado  al  seleccionar  cualquier  técnica  para  garantizar  que  sea  apropiada,  confiable  y  efectiva  en  la  circunstancia  dada.
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 31 –

Anexo A
(informativo)

Categorización de técnicas

A.1 Introducción a la categorización de técnicas

La Tabla A.1 explica las características de las técnicas que se pueden utilizar para seleccionar qué
técnica o técnicas utilizar.

Tabla A.1 – Características de las técnicas

Característica Descripción Detalles (por ejemplo, indicadores de características)

Solicitud Cómo se utiliza la técnica en la evaluación Obtenga puntos de vista, identifique, analice la

de riesgos (véanse los títulos de las Cláusulas B.1 a causa, analice los controles, etc.
B.10)

Alcance Se aplica al riesgo a nivel organizacional, organización (org)

departamental o de proyecto o procesos individuales o
nivel de equipo proyecto/departamento (dep)

equipo/proceso (equip/proc)

Horizonte de tiempo Considera el riesgo a corto, mediano o largo plazo Corto, mediano, largo, cualquiera

o es aplicable a cualquier horizonte de tiempo

Nivel de decisión Se aplica al riesgo a nivel estratégico, táctico u Estratégico (1), táctico (2), operativo (3)

operativo

Necesidades iniciales de información/datos El nivel de información inicial o datos necesarios Alto medio bajo

Experiencia especializada Nivel de experiencia requerido para la correcta bajo: entrenamiento intuitivo o de uno a dos días

usar
moderado: curso de formación de más de dos días

alto: requiere una formación significativa o
experiencia especializada

Cualitativo – cuantitativo Si el método es cualitativo, semicuantitativo o cuantitativo cuantitativo (cuant)

cualitativo (que)

semicuantitativo (semicuantitativo)

se puede usar cualitativa o cuantitativamente (cualquiera)

Esfuerzo para aplicar Tiempo y costo requeridos para aplicar la alto medio bajo

técnica

A.2 Aplicación de la categorización de técnicas

La  Tabla  A.2  enumera  una  gama  de  técnicas  clasificadas  de  acuerdo  con  estas  características.  Las
técnicas  descritas  representan  formas  estructuradas  de  ver  el  problema  en  cuestión  que  se  han
encontrado  útiles  en  contextos  particulares.  La  lista  no  pretende  ser  exhaustiva,  pero  cubre  una  gama  de
técnicas  comúnmente  utilizadas  de  una  variedad  de  sectores.  Para  simplificar,  las  técnicas  se  enumeran
en  orden  alfabético  sin  ninguna  prioridad.

Cada técnica se describe con más detalle en el Anexo B, como se indica en la columna 1 de la Tabla A.2.
Machine Translated by Google

Tabla A.2 – Técnicas y características indicativas

Técnica Descripción Ámbito de aplicación Nivel de Necesidades Experiencia Cual/cuanto/ Esfuerzo

Subcláusula Horizonte de tiempo decisión iniciales de especializada semicuánto para aplicar
información/datos

B.8.2 Criterios ALARP/SFAIRP para decidir la importancia del riesgo y evaluar. 1 cualquier 1/2 alto alto cual/cuánto alto

medios para evaluar la tolerabilidad del riesgo. riesgo

B.5.2 Análisis  bayesiano  Un  medio  para  hacer  inferencias  sobre  los  parámetros  del   analizar   cualquier cualquier cualquier medio alto en  cuanto  a medio
modelo  usando  el  teorema  de  Bayes  que  tiene  la   probabilidad
capacidad  de  incorporar  datos  empíricos  en
juicios  previos  sobre  probabilidades.

B.5.3 redes   Un  modelo  gráfico  de  variables  y  sus  relaciones   identificar  el  riesgo cualquier cualquier cualquier medio alto en  cuanto  a altura  media
bayesianas/ causaefecto  expresadas  mediante  probabilidades.  Una
Diagramas   estimar  el
red  bayesiana  básica  tiene  variables  que  representan
riesgo
de  influencia incertidumbres.  Una  versión  extendida,  conocida
como  diagrama  de  influencia,  incluye  variables  que
representan  incertidumbres,  consecuencias  y  acciones.
decidir
entre
opciones

B.4.2  Análisis  de  corbata  de  moño  Una  forma  esquemática  de  describir  las  vías  de  análisis  de  riesgo  desde  las
fuentes  de  riesgo  hasta  los  resultados,  y  de  revisar  los
controles. analizar
controles
2/3 corto/
medio
cualquier bajo
32
–
–
bajo/
moderado
cual/semi
cuánto
bajo

describir el
riesgo

31010:20
2019
CEI

B.1.2

B.5.4

B.6.1
Lluvia de ideas

Análisis  de  Impacto
del  Negocio
Técnica  utilizada  en  los  talleres  para  fomentar  el
pensamiento  imaginativo.

El  proceso  BIA  analiza  las  consecuencias
de  un  incidente  disruptivo  en  la  organización  que
determina  las  prioridades  de  recuperación  de  los
productos  y  servicios  de  una  organización  y,  por
tanto,  las  prioridades  de  las  actividades  y  recursos

que los entrega.

Mapeo  causal  Un  diagrama  de  red  que  representa  eventos,  causas  y  efectos  y
sus  relaciones.
obtener  vistas

analizar
conseq.

analizar
controles

analizar
causas
cualquier

2/3
cualquier

corto/
medio

cualquier
cualquier

2/3
2
ninguno

medio

medio
bajo/
moderado

bajo

moderado
cual

quant/qual medium

cual medio
bajo

B.5.5  Causa Una  combinación  de  análisis  de  árbol  de  fallas  y   analizar   2/3 cualquier 2/3 altura  media moderado/ en  cuanto  a altura  media
análisis  de   eventos  que  permite  la  inclusión  de  retardos  de   las  causas  y alto
consecuencias tiempo.  Se  consideran  tanto  las  causas  como  las   consecuencia
consecuencias  de  un  evento  iniciador.
Machine Translated by Google

31010:20
2019
CEI

Subcláusula

B.2.2

B.3.2
Técnica

Listas de
verificación
Descripción

Listas  basadas  en  la  experiencia  o  en  conceptos  y  modelos
que  pueden  usarse  para  ayudar  a  identificar  riesgos
clasificaciones,  taxonomías o  controles.

Enfoque de Cindynic Considera objetivos, valores, reglas, datos y modelos de las partes
Ámbito de aplicación

identificar el riesgo
o controles

identificar los
2/3

1/2
cualquier

corto  o
Nivel  de
Horizonte  de  tiempo decisión

cualquier

1
Necesidades
iniciales de
información/datos

alto  para
desarrollar,
bajo  para  usar

bajo
Experiencia
especializada

bajo/
moderado

moderado
Cual/cuanto/ semi
cuánto

cual

cual
Esfuerzo
para aplicar

medio bajo

alto
interesadas  e  identifica  inconsistencias,  ambigüedades,   factores  de  riesgo medio
omisiones  e  ignorancia.  Estos  forman  fuentes  sistémicas
y  generadores  de  riesgo.

B.7.3 Valor  en  riesgo   También  llamado  déficit  esperado  (ES),  es  una  medida  de   medida  de   cualquier corto/ 3 alto alto en  cuanto  a medio
condicional  CVaR la  pérdida  esperada  de  una  cartera  financiera  en  el   riesgo medio
peor  %  de
casos.

B.10.3 Consecuencia/ Compara riesgos individuales seleccionando un par reportar riesgos cualquier cualquier cualquier medio bajo para usar, moderado cual/ bajo

matriz de probabilidad consecuencia/probabilidad y mostrándolos en una matriz con la para desarrollar semicuánto/

B.9.2

B.6.2
Análisis coste
beneficio
consecuencia en un eje y la probabilidad en el otro.

Utiliza  el  dinero  como  una  escala  para  estimar  las
consecuencias  positivas  y  negativas,  tangibles  e
intangibles,  de  diferentes  opciones.
evaluar

comparar
opciones
cualquier corto/
medio

corto/
cualquier altura  media
33
–
–
moderado/
alto
cuánto

en cuanto a altura media

altura media
Análisis de impacto Evalúa los cambios en la probabilidad de ocurrencia de un analizar la cualquier cualquier bajo a alto moderado/alto en cuanto a

cruzado conjunto dado de eventos como consecuencia de la probabilidad medio

ocurrencia real de uno de ellos. y la causa

B.9.3 Análisis de árboles Utiliza una representación en forma de árbol o modelo de comparar cualquier cualquier

2 bajo/  medio  moderado en  cuanto  a medio
de  decisión decisiones  y  sus  posibles  consecuencias.   opciones
Los  resultados  suelen  expresarse  en  términos
monetarios  o  en  términos  de  utilidad.

Una representación alternativa de un árbol de decisión es un
diagrama de influencia (ver B.5.3).

B.1.3 Técnica  Delphi  Recoge  juicios  a  través  de  un  conjunto  de  cuestionarios  secuenciales.   obtener  vistas cualquier cualquier cualquier ninguno moderado cual medio
Las  personas  participan  individualmente  pero
reciben  comentarios  sobre  las  respuestas  de  los
demás  después  de  cada  serie  de  preguntas.
Machine Translated by Google

Técnica Descripción Ámbito de aplicación Nivel de Necesidades Experiencia Cual/cuanto/ Esfuerzo

Subcláusula Horizonte de tiempo decisión iniciales de especializada semicuánto para aplicar
información/datos

B.5.6 Análisis de Modela los posibles resultados de un evento iniciador dado analizar 2/3 cualquier cualquier baja/media moderada calidad/cuantificación media

árbol de eventos (ETA) y el estado de los controles, analizando así la frecuencia conseq. y
o probabilidad de los diversos resultados posibles. controles

B.5.7 Análisis de árbol de fallas Analiza las causas de un evento de enfoque usando analizar 2/3 medio 2/3 alta para depende de la calidad/cuantificación medio/alto

(FTA) Lógica  booleana  para  describir  combinaciones  de  fallas.   probabilidad análisis   complejidad
Las  variaciones  incluyen  un  árbol  de  éxito  donde  se   cuantitativo
desea  el  evento  principal  y  un  árbol  de  causas  utilizado  para   analizar
causas
investigar  eventos  pasados.

B.2.3 Análisis  de  modos  y   Considera  las  formas  en  que  cada  componente   identificar  riesgos 2/3 cualquier 2/3 depende  de  la   moderate  qual/semi   quant/ bajo/alto
efectos  de  falla   de  un  sistema  puede  fallar  y  las  causas  y  efectos  de  la   aplicación quant
(y  criticidad) falla.  FMEA  puede  ser  seguido  por  un  análisis  de
criticidad  que  define  la  importancia  de  cada  modo  de
FME(C)A falla  (FMECA).

B.8.3 Diagramas de
frecuencia/número
(F/N)

B.9.4  Teoría  de  juegos
Caso  especial  de  gráfico  de
probabilidad/consecuencia  cuantitativa  aplicado  a  la
consideración  de  la  tolerabilidad  del  riesgo  para  la
vida  humana.

El  estudio  de  la  toma  de  decisiones  estratégicas  para
modelar  el  impacto  de  las  decisiones  de  los
evaluar  el
riesgo

decidir
entre
1

1
cualquier

medio
cualquier

1/2
alto

alto
34
–
–
alto

alto
en cuanto a

en cuanto a
alto

altura media

diferentes jugadores involucrados en el juego. opciones
El área de aplicación de ejemplo puede ser la fijación de

31010:20
2019
CEI

B.4.3

B.2.4
Análisis de peligros y

(APPCC)

Estudios de

(HAZOP)

B.5.8  Análisis  de  confiabilidad
humana  (HRA)
precios  basada  en  el  riesgo.

Analiza la reducción del riesgo que se puede lograr
puntos críticos de control mediante varias capas de protección.

Un  examen  estructurado  y  sistemático  de  un  proceso  u
peligrosidad  y  operabilidad operación  planificado  o  existente  para  identificar  y  evaluar
problemas  que  podrían  representar  un  riesgo  para  el
personal  o  el  equipo,  o  impedir  una  operación  eficiente.

Un  conjunto  de  técnicas  para  identificar  el  potencial
de  error  humano  y  estimar  la  probabilidad  de  falla.
analizar
controles
monitorear

identificar y
analizar
riesgos

analizar el riesgo
y las fuentes de
2/3

2/3
3
corto/
medio

medio largo

cualquier
2/3

2/3

2/3
medio moderado

facilitador medio: alto,

medio
participantes:
moderado

alto
cual

cual
medio

altura media

calidad/cuantificación media a
alta
riesgo

B.1.5 Entrevistas Uno a uno estructurado o semiestructurado obtener vistas cualquier cualquier cualquier ninguno moderado cual alto
conversaciones para obtener puntos de vista.
Machine Translated by Google

31010:20
2019
CEI

Subcláusula

B.3.3
Técnica Descripción

Análisis  de  Ishikawa  Identifica  los  factores  que  contribuyen  a  un  resultado  definido
(diagrama  de  espina  de  pescado)  (deseado  o  no  deseado).
Los  factores  contribuyentes  generalmente  se  dividen  en
categorías  predefinidas  y  se  muestran  en  una  estructura  de
árbol  o  un  diagrama  de  espina  de  pescado.
Ámbito  de  aplicación

analizar
las  fuentes  de
riesgo
cualquier cualquier
Nivel  de
Horizonte  de  tiempo decisión

cualquier
Necesidades
iniciales de
información/datos

bajo
Experiencia
especializada

bajo/
moderado
Cual/cuanto/ semi
cuánto

cual
Esfuerzo
para aplicar

bajo

B.4.4 Capas de Analiza la reducción de riesgos que puede ser el análisis de protección analizar 3 cualquier 2/3 medio moderado/alto calidad/cuantificación medio/alto

logrado por varias capas de protección. controles
(LOPA)

B.5.9 Análisis de Markov Calcula la probabilidad de que un sistema analizar 3 cualquier 2/3 altura media alto en cuanto a medio

que tiene la capacidad de estar en uno de varios estados probabilidad
estará en un estado particular en un tiempo t en el futuro.

B.5.10 Análisis de Montecarlo Calcula la probabilidad de los resultados ejecutando múltiples analizar cualquier cualquier cualquier medio alto en cuanto a altura media
simulaciones utilizando variables aleatorias. probabilidad

B.9.5 Análisis  multicriterio
(ACM)
Compara  opciones  de  una  manera  que  hace  explícitas
las  compensaciones.  Proporciona  una  alternativa  al  análisis
de  costo/beneficio  que  no  necesita  asignar  un  valor  monetario
a  todos  los  insumos.
decidir
entre
opciones
cualquier cualquier cualquier bajo
35
–
–
moderado cual medio  bajo

B.1.4 Técnica  de  grupo   Técnica  para  obtener  puntos  de  vista  de  un  grupo  de  personas   obtener  vistas cualquier cualquier cualquier ninguno bajo cual medio
nominal donde  la  participación  inicial  es  como  individuos  sin
interacción,  luego  sigue  la  discusión  grupal  de  ideas.

B.8.4 Diagramas  de  Pareto El  principio  de  Pareto  (la  regla  del  8020)  establece   establecer  prioridades cualquier cualquier cualquier medio moderado bajo
que,  para  muchos  eventos,  aproximadamente  el  80  %  de  los   semicuantitativo/cuantitativo
efectos  provienen  del  20  %  de  las  causas.

B.5.11 (PIA/DPIA) privacidad Analiza cómo los incidentes y eventos podrían impactar el análisis/afectar analizar cualquier cualquier 1/2 medio moderado/alto cual medio

la privacidad de una persona (PI) e identifica la protección de datos y cuantifica las las fuentes de
capacidades que impactarían el análisis necesarias para gestionarla. riesgo

consecuencia

análisis

B.8.5 Mantenimiento  centrado   Una  evaluación  basada  en  riesgos  utilizada  para  identificar   evaluar  el   2/3 medio 2/3 medio alto  para   cual/semi   altura  media
en  la  confiabilidad las  tareas  de  mantenimiento  apropiadas  para  un  sistema  y   riesgo facilitador,   cuánto/cuánto
(MCR) sus  componentes. moderado  a
decidir
usar
control  S
Machine Translated by Google

Técnica Descripción Ámbito de aplicación Nivel de Necesidades Experiencia Cual/cuanto/ semi Esfuerzo

Subcláusula Horizonte de tiempo decisión iniciales de especializada cuánto para aplicar
información/datos

B.8.6 Índices  de  riesgo Califica  la  importancia  de  los  riesgos  en  función  de  las   comparar   cualquier cualquier cualquier medio  bajo  para  usar,  moderado   semicuantitativo bajo
calificaciones  aplicadas  a  los  factores  que  se  cree   riesgos para  desarrollar
que  influyen  en  la  magnitud  del  riesgo.

B.10.2 Registros de riesgos Medio de registro de información sobre riesgos y seguimiento de riesgos de cualquier cualquier cualquier medio bajo bajo/ cual medio

acciones. moderado
registro y
notificación

monitorear y
revisar

B.10.4  Curvas  S Una  forma  de  mostrar  la  relación  entre  las  consecuencias   riesgo  de  visualización cualquier cualquier 2/3 altura  media moderado/alto cuántico/ medio
y  su  probabilidad  trazada  como  una  función  de  distribución   semicuantitativo
evaluar  el
acumulativa  (curva  S).
riesgo

B.2.5

B.1.6
Análisis de escenarios Identifica posibles escenarios futuros a través de la imaginación, la

Encuestas
extrapolación del presente o el modelado. Luego se considera
el riesgo para cada uno de estos escenarios.

Cuestionarios  en  papel  o  en  computadora  para  obtener
puntos  de  vista.
identificar  riesgo,
conseq.
análisis

obtener vistas
cualquier

cualquier
medio o largo

medio largo
cualquier

2/3
bajo/medio moderado

bajo
36
–
–
moderado
cual

cual
medio bajo

alto

B.2.6 Qué pasaría si estructurado Una forma más simple de HAZOP con sugerencias de identificar el riesgo 1/2 medio largo 1/2 medio bajo/ cual medio bajo
técnica (SWIFT) "qué pasaría si" para identificar desviaciones de lo esperado. moderado

31010:20
2019
CEI

B.7.1 Evaluación  de  riesgos
toxicológicos

B.7.2  Valor  en  riesgo  (VaR)
Una  serie  de  pasos  tomados  para  obtener  una  medida  del
riesgo  para  los  seres  humanos  o  los  sistemas
ecológicos  debido  a  la  exposición  a  productos  químicos.

Medida  financiera  de  riesgo  que  utiliza  una  distribución
de  probabilidad  asumida  de  pérdidas  en  una  condición  de
mercado  estable  para  calcular  el  valor  de  una  pérdida  que
podría  ocurrir  con  una  probabilidad  específica  dentro  de  un
lapso  de  tiempo  definido.
medida  de  riesgo

medida de riesgo
3

cualquier
medio largo

corto/
medio
2/3

3
alto

alto
alto

alto
en cuanto a

en cuanto a
alto

medio
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 37 –

A.3 Uso de técnicas durante el proceso ISO 31000

La  Tabla  A.3  enumera  la  medida  en  que  cada  técnica  es  aplicable  a  las  diferentes  etapas  de  la
evaluación  de  riesgos;  a  saber,  identificación  de  riesgos,  análisis  de  riesgos  y  evaluación  de  riesgos.
Algunas  de  las  técnicas  también  se  utilizan  en  otros  pasos  del  proceso.  Esto  se  ilustra  en  la  Figura  A.1.

Figura A.1 – Aplicación de técnicas en el proceso de gestión de riesgos ISO 31000 [3]

NOTA La Figura A.1 pretende proporcionar una descripción general y no es una lista exhaustiva de todas las técnicas que se pueden utilizar
en cada paso.
Machine Translated by Google

– 38 – CEI 31010:2019 CEI 2019

Tabla A.3 – Aplicabilidad de las técnicas al proceso ISO 31000

Proceso de evaluación de riesgos

Herramientas  y  técnicas Subcláusula
Análisis  de  riesgo
Identificación  de  riesgo Evaluación  de  riesgo
Consecuencia  Probabilidad  Nivel  de  riesgo

ALARP, ALARA y SFAIRP ESO ESO ESO ESO en B.8.2

análisis bayesiano ESO ESO en ESO ESO B.5.2

redes bayesianas ESO ESO en ESO en B.5.3

Análisis de pajarita A en A A A B.4.2

Lluvia de ideas en A ESO ESO ESO B.1.2

Análisis de Impacto del Negocio A en ESO ESO ESO B.5.4

Mapeo causal A A ESO ESO ESO B.6.1

Análisis de causaconsecuencia A en en A A B.5.5

Listas de control, clasificaciones y
en ESO ESO ESO ESO B.2.2
taxonomías

enfoque cindínico en ESO ESO ESO ESO B.3.2

Matriz de consecuencias/probabilidades ESO A A en A B.10.3

Análisis costebeneficio ESO en ESO ESO en B.9.2

Análisis de impacto cruzado ESO ESO en ESO ESO B.6.2

Análisis de árboles de decisión ESO en en A A B.9.3

técnica Delphi en ESO ESO ESO ESO B.1.3

Análisis de árbol de eventos ESO en A A A B.5.6

Análisis de modos y efectos de falla
en en ESO ESO ESO B.2.3

Modos de falla y efectos y análisis de
en en en en en B.2.3
criticidad.

Análisis del árbol de fallos A ESO en A A B.5.7

diagramas FN A en en A en B.8.3

Teoría de juego A en ESO ESO en B.9.4

Estudios de peligrosidad y operabilidad en A ESO ESO ESO B.2.4

(HAZOP)

Análisis de peligros y puntos críticos en en ESO ESO en B.4.3

de control (APPCC)

Análisis de confiabilidad humana en en en en A B.5.8

Ishikawa (espina de pescado) en A ESO ESO ESO B.3.3

Análisis de protección de capas (LOPA) A en A A ESO B.4.4

análisis de Markov A A en ESO ESO B.5.9

simulación del Monte Carlo ESO A A A en B.5.10

Análisis multicriterio (ACM) A ESO ESO ESO en B.9.5

Técnica de grupo nominal en A A ESO ESO B.1.4

Diagramas de Pareto ESO A A A en B.8.4

Análisis de impacto en la privacidad/
evaluación de impacto en la privacidad de datos A en A A en B.5.11
(PIA/DPIA)

Mantenimiento centrado en la confiabilidad A A A A en B.8.5

Índices de riesgo ESO en en A en B.8.6

Curvas en S ESO A A en en B.10.4

Análisis de escenario en en A A A B.2.5
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 39 –

Proceso de evaluación de riesgos

Herramientas  y  técnicas Subcláusula
Análisis  de  riesgo Riesgo
Identificación  de  riesgo evaluación
Consecuencia  Probabilidad  Nivel  de  riesgo

Entrevistas estructuradas o
en ESO ESO ESO ESO B.1.5
semiestructuradas

Estructurado "¿Qué pasaría si?" (RÁPIDO) en en A A A B.2.6

Encuestas en ESO ESO ESO ESO B.1.6

Evaluación de riesgos toxicológicos en en en en en B.7.1

Valor en riesgo (VaR) ESO A A en en B.7.2

R: aplicable; SA: fuertemente aplicable; NA: no aplicable.
Machine Translated by Google

– 40 – CEI 31010:2019 CEI 2019

Anexo B
(informativo)

Descripción de técnicas

B.1 Técnicas para obtener opiniones de partes interesadas y expertos

B.1.1 Generalidades

Algunas  de  las  técnicas  descritas  en  las  Cláusulas  B.2  a  B.7  involucran  aportes  de  partes  interesadas  y  expertos.  Esto  proporciona
una  amplia  experiencia  y  permite  la  participación  de  las  partes  interesadas.
Las  opiniones  de  las  partes  interesadas  y  de  los  expertos  se  pueden  obtener  de  forma  individual  (por  ejemplo,  a  través  de
entrevistas  o  encuestas)  o  utilizando  técnicas  grupales  como  lluvia  de  ideas,  grupos  nominales  o  técnica  Delphi.
Las  vistas  pueden  incluir  la  divulgación  de  información,  expresiones  de  opinión  o  ideas  creativas.
La  cláusula  B.1  describe  algunas  técnicas  que  se  pueden  utilizar  para  obtener  información  u  obtener  consenso.

En  algunas  situaciones,  las  partes  interesadas  tienen  una  experiencia  y  un  papel  específicos,  y  hay  poca  divergencia  de  opinión.
Sin  embargo,  a  veces  se  pueden  esperar  opiniones  significativamente  diferentes  de  las  partes  interesadas  y  puede  haber
estructuras  de  poder  y  otros  factores  que  afectan  la  forma  en  que  interactúan  las  personas.
Estos  factores  afectarán  la  elección  del  método  utilizado.  El  número  de  partes  interesadas  a  consultar,  las  limitaciones  de  tiempo
y  los  aspectos  prácticos  de  reunir  a  todas  las  personas  necesarias  al  mismo  tiempo  también  influirán  en  la  elección  del  método.

Cuando se utiliza un método de grupo cara a cara, es importante contar con un facilitador experimentado y capacitado para lograr
buenos resultados. El papel del facilitador o coordinador es:

• organizar el equipo;

• obtener y distribuir información y datos relevantes antes de la reunión/colaboración;

• preparar una estructura y un formato eficientes para la reunión/colaboración; • provocar el

pensamiento creativo para fortalecer la comprensión y generar ideas;

• asegurarse de que los resultados sean precisos y libres de sesgos en la medida de lo posible.

Las listas de verificación derivadas de clasificaciones y taxonomías se pueden utilizar como parte del proceso (ver B.2.2).

Cualquier  técnica  para  obtener  información  que  dependa  de  las  percepciones  y  opiniones  de  las  personas  tiene  el  potencial  de
ser  poco  confiable  y  adolece  de  una  variedad  de  sesgos,  como  el  sesgo  de  disponibilidad  (una  tendencia  a  sobreestimar  la
probabilidad  de  algo  que  acaba  de  suceder),  la  ilusión  de  agrupamiento  (la  tendencia  a  sobreestimar  la  importancia  de  pequeños
conglomerados  en  una  muestra  grande)  o  efecto  de  carro  (la  tendencia  a  hacer  o  creer  cosas  porque  otros  hacen  o  creen  lo
mismo).

En la norma EN 12973 [4] se proporciona orientación sobre el análisis de funciones que se puede utilizar para reducir el sesgo y
centrar el pensamiento creativo en los aspectos que tienen el mayor impacto.

Debe informarse la información en la que se basaron los juicios y cualquier suposición realizada.

B.1.2 Lluvia de ideas

B.1.2.1 Descripción general

La  lluvia  de  ideas  es  un  proceso  utilizado  para  estimular  y  alentar  a  un  grupo  de  personas  a  desarrollar  ideas  relacionadas  con
uno  o  más  temas  de  cualquier  naturaleza.  El  término  "lluvia  de  ideas"  a  menudo  se  usa  de  manera  muy  vaga  para  referirse  a
cualquier  tipo  de  discusión  grupal,  pero  una  lluvia  de  ideas  efectiva  requiere  un  esfuerzo  consciente  para  garantizar  que  los
pensamientos  de  los  demás  en  el  grupo  se  usen  como  herramientas  para  estimular  la  creatividad.
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 41 –

de cada participante. Cualquier análisis o crítica de las ideas se realiza por separado de la lluvia de ideas.

Esta  técnica  da  los  mejores  resultados  cuando  se  dispone  de  un  facilitador  experto  que  puede  proporcionar  la  estimulación
necesaria  pero  que  no  limita  el  pensamiento.  El  facilitador  estimula  al  grupo  a  cubrir  todas  las  áreas  relevantes  y  se
asegura  de  que  las  ideas  del  proceso  sean  capturadas  para  su  posterior  análisis.

La  lluvia  de  ideas  puede  ser  estructurada  o  no  estructurada.  Para  una  lluvia  de  ideas  estructurada,  el  facilitador  divide  el
tema  a  discutir  en  secciones  y  utiliza  indicaciones  preparadas  para  generar  ideas  sobre  un  tema  nuevo  cuando  uno  está
agotado.  La  lluvia  de  ideas  no  estructurada  suele  ser  menos  formal.
En  ambos  casos,  el  facilitador  inicia  un  tren  de  pensamiento  y  se  espera  que  todos  generen  ideas.  El  ritmo  se  mantiene
para  permitir  que  las  ideas  desencadenen  el  pensamiento  lateral.  El  facilitador  puede  sugerir  una  nueva  dirección  o  aplicar
una  herramienta  de  pensamiento  creativo  diferente  cuando  una  dirección  de  pensamiento  se  agota  o  la  discusión  se
desvía  demasiado.  El  objetivo  es  recopilar  tantas  ideas  diversas  como  sea  posible  para  su  posterior  análisis.

Se ha demostrado que, en la práctica, los grupos generan menos ideas que las mismas personas trabajando
individualmente. Por ejemplo:

• en un grupo, las ideas de las personas tienden a converger en lugar de diversificarse;

• la demora en esperar un turno para hablar tiende a bloquear las ideas;

• las personas tienden a trabajar menos mentalmente cuando están en grupo.

Estas tendencias se pueden reducir mediante:

• brindar oportunidades para que las personas trabajen solas parte del tiempo;

• diversificar los equipos y cambiar la composición del equipo;

•  combinar  con  técnicas  como  la  técnica  de  grupo  nominal  (B.1.4)  o  la  lluvia  de  ideas  electrónica.  Éstos  fomentan  una
mayor  participación  individual  y  pueden  configurarse  para  que  sean  anónimos,  evitando  así  también  cuestiones
políticas  y  culturales  personales.

B.1.2.2 Uso

La  lluvia  de  ideas  se  puede  aplicar  en  cualquier  nivel  de  una  organización  para  identificar  incertidumbres,  modos  de  éxito
o  fracaso,  causas,  consecuencias,  criterios  de  decisión  u  opciones  de  tratamiento.
El  uso  cuantitativo  es  posible,  pero  solo  en  su  forma  estructurada  para  garantizar  que  los  sesgos  se  tengan  en  cuenta  y
se  aborden,  especialmente  cuando  se  utilizan  para  involucrar  a  todas  las  partes  interesadas.

El brainstorming estimula la creatividad y por ello es muy útil a la hora de trabajar en diseños, productos y procesos
innovadores.

B.1.2.3 Entradas

La  lluvia  de  ideas  obtiene  puntos  de  vista  de  los  participantes,  por  lo  que  tiene  menos  necesidad  de  datos  o  información
externa  que  otros  métodos.  Los  participantes  deben  tener  entre  ellos  la  pericia,  la  experiencia  y  la  variedad  de  puntos  de
vista  necesarios  para  el  problema  en  cuestión.  Normalmente  se  necesita  un  facilitador  hábil  para  que  la  lluvia  de  ideas  sea
productiva.

B.1.2.4 Salidas

Los resultados son una lista de todas las ideas generadas durante la sesión y los pensamientos que surgieron cuando se
presentaron las ideas.

B.1.2.5 Fortalezas y limitaciones

Las fortalezas de la lluvia de ideas incluyen lo siguiente.

• Fomenta la imaginación y la creatividad, lo que ayuda a identificar nuevos riesgos y soluciones novedosas.
Machine Translated by Google

– 42 – CEI 31010:2019 CEI 2019

• Es útil donde hay pocos o ningún dato, y donde se requieren nuevas tecnologías o soluciones novedosas.

• Involucra a las partes interesadas clave y, por lo tanto, ayuda a la comunicación y el compromiso.
• Es relativamente rápido y fácil de configurar.

Las limitaciones incluyen lo siguiente.

• Es  difícil  demostrar  que  el  proceso  ha  sido  integral.
•  Los  grupos  tienden  a  generar  menos  ideas  que  los  individuos  que  trabajan  solos.  •  Las
dinámicas  de  grupo  particulares  pueden  significar  que  algunas  personas  con  ideas  valiosas  se  quedan  calladas
mientras  que  otras  dominan  la  discusión.  Esto  se  puede  superar  mediante  una  facilitación  eficaz.
•  Fomentar  el  pensamiento  creativo  y  las  nuevas  ideas  puede  significar  que  la  conversación  no  se  detenga.
centrado  en  el  asunto  que  se  está  considerando,  y  esto  consume  tiempo  de  la  reunión.

B.1.2.6 Documentos de referencia

[5]  PROCTOR,  A.  (2009).  Resolución  creativa  de  problemas  para  gerentes  [6]
GOLDENBERG,  Olga,  WILEY,  Jennifer.  Calidad,  conformidad  y  conflicto:  Cuestionando  la
suposiciones  de  la  técnica  de  lluvia  de  ideas  de  Osborn

B.1.3 técnica Delphi

B.1.3.1 Descripción general

La  técnica  Delphi  es  un  procedimiento  para  obtener  el  consenso  de  opinión  de  un  grupo  de  expertos.  Es  un
método  para  recopilar  y  cotejar  juicios  sobre  un  tema  en  particular  a  través  de  un  conjunto  de  cuestionarios
secuenciales.  Una  característica  esencial  de  la  técnica  Delphi  es  que  los  expertos  expresan  sus  opiniones  de
forma  individual,  independiente  y  anónima  mientras  tienen  acceso  a  las  opiniones  de  los  demás  expertos  a
medida  que  avanza  el  proceso.

Al  grupo  de  expertos  que  forman  el  panel  se  les  proporciona  de  manera  independiente  la  pregunta  o  preguntas  a
considerar.  La  información  de  la  primera  ronda  de  respuestas  se  analiza  y  combina  y  se  distribuye  a  los  panelistas
que  luego  pueden  reconsiderar  sus  respuestas  originales.
Los  panelistas  responden  y  el  proceso  se  repite  hasta  que  se  alcanza  un  consenso  o  casi  consenso.
Si  un  panelista  o  una  minoría  de  panelistas  mantienen  su  respuesta  constantemente,  podría  indicar  que  tienen
información  importante  o  un  punto  de  vista  importante.

B.1.3.2 Uso

La  técnica  Delphi  se  utiliza  para  problemas  complejos  sobre  los  que  existe  incertidumbre  y  para  los  que  se
necesita  el  juicio  de  expertos  para  hacer  frente  a  esta  incertidumbre.  Se  puede  utilizar  en  la  elaboración  de
pronósticos  y  políticas,  y  para  obtener  consenso  o  reconciliar  diferencias  entre  expertos.  Puede  usarse  para
identificar  riesgos  (con  resultados  positivos  y  negativos),  amenazas  y  oportunidades  y  para  obtener  consenso
sobre  la  probabilidad  y  las  consecuencias  de  eventos  futuros.  Suele  aplicarse  a  nivel  estratégico  o  táctico.  Su
aplicación  original  era  para  pronósticos  a  largo  plazo,  pero  se  puede  aplicar  a  cualquier  período  de  tiempo.

B.1.3.3 Entradas

El método se basa en el conocimiento y la cooperación continua de los participantes a través de una escala de
tiempo variable que puede ser de días, semanas, meses o incluso años.

El  número  de  participantes  puede  oscilar  entre  unos  pocos  y  cientos.  Los  cuestionarios  escritos  pueden  hacerse
en  lápiz  y  papel  o  distribuirse  y  devolverse  utilizando  herramientas  de  comunicación  electrónica,  como  el  correo
electrónico  e  Internet.  El  uso  de  sistemas  tecnológicos  ayuda  a  garantizar  agilidad  y  precisión  en  la  recopilación
de  información  en  cada  ciclo.
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 43 –

B.1.3.4 Salidas

Consenso sobre el asunto en consideración.

B.1.3.5 Fortalezas y limitaciones

Las fortalezas incluyen lo siguiente.

•  Como  las  opiniones  son  anónimas,  es  más  probable  que  se  expresen  opiniones  impopulares  y  hay  menos  sesgo
de  jerarquía.
•  Todas  las  opiniones  tienen  el  mismo  peso,  lo  que  evita  el  problema  de  las  personalidades  dominantes.
• Logra  la  propiedad  de  los  resultados.
•  No  es  necesario  reunir  a  las  personas  en  un  lugar  a  la  vez.
•  Las  personas  tienen  tiempo  para  dar  una  respuesta  considerada  a  las  preguntas.
•  El  proceso  tiende  a  significar  que  los  expertos  dedican  toda  su  atención  a  la  tarea.

Las limitaciones incluyen lo siguiente.

• Es laborioso y requiere mucho tiempo.
• Los participantes deben poder expresarse claramente por escrito.

B.1.3.6 Documento de referencia

[7] ROWE, G. WRIGHT, G. La técnica Delphi: perspectivas pasadas, presentes y futuras.
Pronóstico tecnológico y cambio social 2011, 78, Edición Especial Delphi

B.1.4 Técnica del grupo nominal

B.1.4.1 Descripción general

La técnica del grupo nominal, al igual que la lluvia de ideas, tiene como objetivo recopilar ideas. Las opiniones se
buscan primero individualmente sin interacción entre los miembros del grupo, luego se discuten en el grupo.

El proceso es el siguiente.

•  El  facilitador  proporciona  a  cada  miembro  del  grupo  las  preguntas  a  considerar.
•  Las  personas  escriben  sus  ideas  en  silencio  e  independientemente.
•  Cada  miembro  del  grupo  presenta  sus  ideas,  en  esta  etapa,  sin  discusión.  Si  la  dinámica  del  grupo  significa  que
algunas  voces  tienen  más  peso  que  otras,  las  ideas  se  pueden  transmitir  al  facilitador  de  forma  anónima.  Los
participantes  pueden  buscar  más  aclaraciones.
•  Las  ideas  luego  son  discutidas  por  el  grupo  para  proporcionar  una  lista  acordada.
•  Los  miembros  del  grupo  votan  en  privado  sobre  las  ideas  y  se  toma  una  decisión  grupal  basada  en
los  votos

B.1.4.2 Uso

La técnica del grupo nominal se puede utilizar como alternativa a la lluvia de ideas. También es útil para priorizar
ideas dentro de un grupo.

B.1.4.3 Entradas

Las ideas y experiencias de los participantes.

B.1.4.4 Salidas

Ideas, soluciones o decisiones según se requiera.
Machine Translated by Google

– 44 – CEI 31010:2019 CEI 2019

B.1.4.5 Fortalezas y limitaciones

Los puntos fuertes de la técnica del grupo nominal incluyen lo siguiente.

• Proporciona  una  visión  más  equilibrada  que  la  lluvia  de  ideas  cuando  algunos  miembros  de  un  grupo  son  más
vocales  que  otros.
• Tiende  a  producir  una  participación  más  uniforme  si  todos  o  algunos  miembros  del  grupo  son  nuevos  en  el
equipo,  el  tema  es  controvertido  o  existe  un  desequilibrio  de  poder  o  conflicto  entre  el  equipo.
• Se  ha  demostrado  que  genera  un  mayor  número  de  ideas  que  la  lluvia  de  ideas.
• Disminuye  la  presión  para  conformarse  al  grupo.
• Puede  lograr  el  consenso  en  un  período  de  tiempo  relativamente  corto.

Las limitaciones incluyen lo siguiente.

• La fertilización cruzada de ideas puede verse restringida.

• Las mismas ideas se pueden expresar de muchas maneras ligeramente diferentes, lo que las hace difíciles de
cotejar.

B.1.4.6 Documento de referencia

[8] MCDONALD, D. BAMMER, G. and DEANE, P. Research Integration Using Dialogue
Métodos

NOTA Esta referencia también proporciona detalles de una variedad de otros métodos, algunos de los cuales también se analizan en este
documento.

B.1.5 Entrevistas estructuradas o semiestructuradas

B.1.5.1 Descripción general

En  una  entrevista  estructurada,  a  los  entrevistados  individuales  se  les  hace  un  conjunto  de  preguntas  preparadas.
Una  entrevista  semiestructurada  es  similar,  pero  permite  más  libertad  para  que  una  conversación  explore  los
problemas  que  surjan.  En  una  entrevista  semiestructurada,  se  brinda  explícitamente  la  oportunidad  de  explorar  áreas
que  el  entrevistado  podría  desear  cubrir.

Las  preguntas  deben  ser  abiertas  siempre  que  sea  posible,  deben  ser  simples  y  en  un  lenguaje  apropiado  para  el
entrevistado,  y  cada  pregunta  debe  cubrir  un  solo  tema.  También  se  preparan  posibles  preguntas  de  seguimiento
para  buscar  aclaraciones.

Las  preguntas  deben  probarse  con  personas  de  antecedentes  similares  a  los  que  se  van  a  entrevistar  para  verificar
que  las  preguntas  no  sean  ambiguas,  que  se  comprendan  correctamente  y  que  las  respuestas  cubran  los  temas
pretendidos.  Se  debe  tener  cuidado  de  no  "guiar"  al  entrevistado.

B.1.5.2 Uso

Las  entrevistas  estructuradas  y  semiestructuradas  son  un  medio  para  obtener  información  detallada  y  opiniones  de
los  individuos  de  un  grupo.  Sus  respuestas  pueden  ser  confidenciales  si  es  necesario.  Proporcionan  información
detallada  en  la  que  las  personas  no  están  sesgadas  por  las  opiniones  de  otros  miembros  de  un  grupo.

Son  útiles  si  es  difícil  reunir  a  las  personas  en  el  mismo  lugar  al  mismo  tiempo  o  si  la  discusión  fluida  en  un  grupo  no
es  apropiada  para  la  situación  o  las  personas  involucradas.  También  es  posible  obtener  información  más  detallada
en  una  entrevista  que  en  una  encuesta  o  en  una  situación  de  taller.  Las  entrevistas  se  pueden  utilizar  en  cualquier
nivel  de  una  organización.

B.1.5.3 Entradas

Los insumos son una comprensión clara de la información requerida y un conjunto preparado de preguntas que han
sido probadas con un grupo piloto.
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 45 –

Quienes diseñan la entrevista y los entrevistadores necesitan algunas habilidades para obtener buenas respuestas válidas
que no estén influenciadas por los propios sesgos de los entrevistadores.

B.1.5.4 Salidas

La salida es la información detallada requerida.

B.1.5.5 Fortalezas y limitaciones

Los puntos fuertes de las entrevistas estructuradas incluyen lo siguiente.

• Permiten que las personas tengan tiempo para reflexionar sobre un tema.

• La comunicación uno a uno puede permitir una consideración más profunda de los problemas que un grupo
acercarse.

• Las entrevistas estructuradas permiten la participación de un mayor número de partes interesadas que un rostro
grupo cara a cara.

Las limitaciones incluyen lo siguiente.

• Las entrevistas requieren mucho tiempo para diseñarlas, entregarlas y analizarlas.

• Requieren algo de experiencia para diseñar y entregar si las respuestas no van a ser sesgadas por el
entrevistador.

• Se tolera el sesgo en el encuestado y no se modera ni elimina a través del grupo.
discusión.

• Las entrevistas no activan la imaginación (que es una característica de los métodos grupales).

• Las entrevistas semiestructuradas producen un cuerpo considerable de información en las palabras del entrevistado.
Puede ser difícil agrupar esto sin ambigüedades en una forma susceptible de análisis.

B.1.5.6 Documentos de referencia

[9] HARRELL, MC BRADLEY, MA 2009, Métodos de recopilación de datos – Manual de capacitación –
Entrevistas semiestructuradas y grupos focales

[10] GILL, J. JOHNSON, P. 2010, Métodos de investigación para gerentes

B.1.6 Encuestas

B.1.6.1 Descripción general

Las  encuestas  generalmente  involucran  a  más  personas  que  las  entrevistas  y  generalmente  hacen  preguntas  más
restringidas.  Por  lo  general,  una  encuesta  implicará  un  cuestionario  en  computadora  o  en  papel.  Las  preguntas  a  menudo
ofrecen  respuestas  de  sí/no,  opciones  de  una  escala  de  calificación  o  opciones  de  una  variedad  de  opciones.  Esto  permite
el  análisis  estadístico  de  los  resultados,  que  es  una  característica  de  tales  métodos.  Se  pueden  incluir  algunas  preguntas
con  respuestas  libres,  pero  su  número  debe  ser  limitado  debido  a  las  dificultades  de  análisis.

B.1.6.2 Uso

Las encuestas se pueden utilizar en cualquier situación en la que sea útil una amplia consulta a las partes interesadas, en
particular cuando se necesita relativamente poca información de un gran número de personas.

B.1.6.3 Entradas

Preguntas  inequívocas  y  probadas  previamente  enviadas  a  una  muestra  ampliamente  representativa  de  personas  dispuestas
a  participar.  El  número  de  respuestas  debe  ser  suficiente  para  proporcionar  validez  estadística.
(Las  tasas  de  devolución  suelen  ser  bajas,  lo  que  significa  que  se  deben  enviar  muchos  cuestionarios).  Se  necesita  cierta
experiencia  para  desarrollar  un  cuestionario  que  logre  resultados  útiles  y  en  el  análisis  estadístico  de  los  resultados.
Machine Translated by Google

– 46 – CEI 31010:2019 CEI 2019

B.1.6.4 Salidas

El resultado es un análisis de las opiniones de una variedad de personas, a menudo en forma gráfica.

B.1.6.5 Fortalezas y limitaciones

Los puntos fuertes de las encuestas incluyen lo siguiente.

• Se pueden involucrar números más grandes que para las entrevistas, proporcionando mejor información a través de un
grupo.

• Las encuestas tienen un costo de ejecución relativamente bajo, especialmente si se usa un software en línea que es capaz
de proporcionar algún análisis estadístico.

• Pueden proporcionar información estadísticamente válida.

• Los resultados son fáciles de tabular y fáciles de entender: la salida gráfica suele ser posible.

• Los informes de las encuestas pueden ponerse a disposición de otros con relativa facilidad.

Las limitaciones incluyen lo siguiente.

• La naturaleza de las preguntas está restringida por la necesidad de ser simples e inequívocas.
• Por lo general, es necesario obtener alguna información demográfica para interpretar los resultados.

• El número de preguntas que se pueden incluir es limitado si se cuenta con un número suficiente de respuestas.
es de esperar.

•  La  persona  que  plantea  la  pregunta  no  puede  explicar,  por  lo  que  los  encuestados  pueden  interpretar  las  preguntas
diferente  de  lo  que  se  pretendía.
• Es  difícil  diseñar  preguntas  que  no  lleven  a  los  encuestados  a  respuestas  particulares.

• Los cuestionarios tienden a tener suposiciones subyacentes que pueden no ser válidas.

• Puede ser difícil obtener una tasa de respuesta buena e imparcial.

B.1.6.6 Documentos de referencia

[11] SAUNDERS, M. LEWIS, P. THORNHILL, A. 2016, Métodos de investigación para empresas
Estudiantes

[12] CAJA DE HERRAMIENTAS COMUNITARIAS DE LA UNIVERSIDAD DE KANSAS Sección 13, Realización de encuestas

B.2 Técnicas de identificación del riesgo

B.2.1 Generalidades

Las técnicas de identificación de riesgos pueden incluir:

• métodos basados en evidencia, tales como revisiones de literatura y análisis de datos históricos;

• métodos empíricos, incluyendo pruebas y modelos para identificar lo que podría suceder bajo
circunstancias particulares;

• encuestas de percepción, que analizan las opiniones de una amplia gama de personas con experiencia;

• técnicas en las que el tema que se está considerando se divide en elementos más pequeños, cada uno de los cuales
que se considera a su vez utilizando métodos que plantean preguntas hipotéticas;

EJEMPLOS HAZOP (B.2.4), FMEA (B.2.3) y SWIFT (B.2.6).

• técnicas para fomentar el pensamiento imaginativo sobre las posibilidades del futuro, como el análisis de escenarios (B.2.5);

• listas de verificación o taxonomías basadas en datos pasados o modelos teóricos (B.2.2).

Las técnicas descritas en la Cláusula B.2 son ejemplos de algunos enfoques estructurados para identificar el riesgo. Es
probable que una técnica estructurada sea más completa que una no estructurada.
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 47 –

o taller semiestructurado y ser más fácil de usar para demostrar la diligencia debida en la identificación del riesgo.

El  uso  de  múltiples  técnicas,  incluidos  los  métodos  de  arriba  hacia  abajo  y  de  abajo  hacia  arriba,  fomenta  la  identificación
integral  de  riesgos.  Los  enfoques  que  cuestionan  los  resultados  de  la  identificación  de  riesgos,  como  el  equipo  rojo,
también  se  pueden  usar  para  ayudar  a  verificar  que  no  se  hayan  pasado  por  alto  riesgos  relevantes.

NOTA Red teaming es la práctica de ver un problema desde la perspectiva de un adversario o competidor [13].

Las técnicas descritas pueden involucrar a múltiples partes interesadas y expertos. Los métodos que se pueden utilizar
para obtener opiniones, ya sea individualmente o en grupo, se describen en la Cláusula B.1.

B.2.2 Listas de control, clasificaciones y taxonomías

B.2.2.1 Descripción general

Las  listas  de  verificación  se  utilizan  durante  la  evaluación  de  riesgos  de  varias  maneras,  como  para  ayudar  a  comprender
el  contexto,  identificar  riesgos  y  agrupar  riesgos  para  diversos  fines  durante  el  análisis.  También  se  utilizan  cuando  se
gestiona  el  riesgo,  por  ejemplo,  para  clasificar  controles  y  tratamientos,  para  definir  responsabilidades  y  rendición  de
cuentas,  o  para  informar  y  comunicar  el  riesgo.

Una  lista  de  verificación  puede  basarse  en  la  experiencia  de  éxitos  y  fracasos  anteriores,  pero  se  pueden  desarrollar
tipologías  y  taxonomías  de  riesgo  más  formales  para  categorizar  o  clasificar  los  riesgos  en  función  de  atributos  comunes.
En  sus  formas  puras,  las  tipologías  son  esquemas  de  clasificación  "de  arriba  hacia  abajo"  derivados  conceptualmente,
mientras  que  las  taxonomías  son  esquemas  de  clasificación  "de  abajo  hacia  arriba"  derivados  empírica  o  teóricamente.
Las  formas  híbridas  suelen  combinar  estas  dos  formas  puras.

Las  taxonomías  de  riesgo  generalmente  tienen  la  intención  de  ser  mutuamente  excluyentes  y  colectivamente  exhaustivas  (es
decir,  para  evitar  superposiciones  y  lagunas).  Las  clasificaciones  de  riesgo  pueden  enfocarse  en  aislar  una  categoría  particular
de  riesgo  para  un  examen  más  detallado.

Tanto  las  tipologías  como  las  taxonomías  pueden  ser  jerárquicas  con  varios  niveles  de  clasificación  desarrollados.
Cualquier  taxonomía  debe  ser  jerárquica  y  poder  subdividirse  a  niveles  de  resolución  cada  vez  más  finos.  Esto  ayudará  a
mantener  un  número  manejable  de  categorías  al  mismo  tiempo  que  logra  suficiente  granularidad.

B.2.2.2 Uso

Se  pueden  diseñar  listas  de  verificación,  clasificaciones  y  taxonomías  para  aplicar  a  nivel  estratégico  u  operativo.  Se
pueden  aplicar  mediante  cuestionarios,  entrevistas,  talleres  estructurados  o  combinaciones  de  los  tres,  en  métodos
presenciales  o  por  computadora.

Los siguientes son ejemplos de listas de verificación, clasificaciones o taxonomías comúnmente utilizadas a nivel
estratégico.

• DAFO (fortalezas, debilidades, oportunidades y amenazas) identifica factores en el contexto interno y externo para
ayudar a establecer objetivos y estrategias para lograrlos teniendo en cuenta el riesgo.

•  PESTLE,  STEEP,  STEEPLED,  etc.  son  siglas  que  representan  tipos  de  factores  a  considerar  al  momento  de  establecer
el  contexto  o  identificar  riesgos  [14].  Las  letras  representan  Político,  Económico,  Social,  Tecnológico,  Ambiental,
Legal,  Ético  y  Demográfico.
Se  pueden  seleccionar  categorías  relevantes  para  la  situación  particular  y  se  pueden  desarrollar  listas  de  verificación
para  ejemplos  en  cada  categoría.

•  Consideración  de  objetivos  estratégicos,  factores  críticos  de  éxito  para  alcanzar  los  objetivos,  amenazas  a  los  factores
de  éxito  y  factores  de  riesgo.  A  partir  de  esto,  se  pueden  desarrollar  tratamientos  de  riesgo  e  indicadores  de  alerta
temprana  para  los  factores  de  riesgo.
Machine Translated by Google

– 48 – CEI 31010:2019 CEI 2019

A  nivel  operativo,  las  listas  de  verificación  de  peligros  se  utilizan  para  identificar  peligros  dentro  de  HAZID  y  Análisis  Preliminar  de
Peligros  (PHA)  [15].  Estas  son  evaluaciones  preliminares  de  riesgos  de  seguridad  que  generalmente  se  llevan  a  cabo  en  la  etapa
inicial  de  diseño  de  un  proyecto.

Las categorizaciones generales de riesgo incluyen:

• por fuente de riesgo: precios de mercado, incumplimiento de la contraparte, fraude, riesgos de seguridad, etc.;

• por consecuencia, aspectos o dimensiones de objetivos o desempeño.

Las  categorías  de  riesgo  preidentificadas  pueden  ser  útiles  para  dirigir  el  pensamiento  sobre  el  riesgo  a  través  de  una  amplia
gama  de  temas.  Sin  embargo,  es  difícil  garantizar  que  tales  categorías  sean  integrales  y,  al  subdividir  el  riesgo  de  una  manera
predefinida,  el  pensamiento  se  dirige  a  lo  largo  de  líneas  particulares  y  se  pueden  pasar  por  alto  aspectos  importantes  del  riesgo.

Las  listas  de  verificación,  tipologías  y  taxonomías  se  utilizan  dentro  de  otras  técnicas  descritas  en  este  documento;  por  ejemplo,
las  palabras  clave  en  HAZOP  B.2.4  y  las  categorías  en  un  análisis  de  Ishikawa  (B.3.3).  En  la  norma  IEC  62740:2015  [16]  se
proporciona  una  taxonomía  que  se  puede  utilizar  para  considerar  los  factores  humanos  al  identificar  el  riesgo.

En  general,  cuanto  más  específica  es  la  lista  de  verificación,  más  restringido  su  uso  al  contexto  particular  en  el  que  se  desarrolla.
Las  palabras  que  brindan  indicaciones  generales  suelen  ser  más  productivas  para  fomentar  un  nivel  de  creatividad  al  identificar
el  riesgo.

B.2.2.3 Entradas

Las entradas son datos o modelos a partir de los cuales desarrollar listas de verificación, taxonomías o clasificaciones válidas.

B.2.2.4 Salidas:

Las salidas son:

• listas de verificación, avisos o categorías y esquemas de clasificación;

• una comprensión del riesgo a partir del uso de estos, incluidas (en algunos casos) listas de riesgos y
agrupaciones de riesgos.

B.2.2.5 Fortalezas y limitaciones

Los puntos fuertes de las listas de verificación, taxonomías y tipografías incluyen lo siguiente.

• Promueven una comprensión común del riesgo entre las partes interesadas. • Cuando están

bien diseñados, aportan una amplia experiencia a un sistema fácil de usar para personas que no
expertos

• Una vez desarrollados, requieren poca experiencia especializada.

Las limitaciones incluyen lo siguiente.

• Su uso está limitado en situaciones novedosas donde no hay antecedentes relevantes o en situaciones
que difieren de aquello para lo que fueron desarrollados.

• Abordan lo ya conocido o imaginado.

• A menudo son genéricos y es posible que no se apliquen a las circunstancias particulares que se están
consideró.

• La complejidad puede dificultar la identificación de relaciones (p. ej., interconexiones y alternativas).
agrupaciones).

• La falta de información puede generar superposiciones y/o brechas (por ejemplo, los esquemas no son mutuamente excluyentes
ni colectivamente exhaustivos).

• Pueden alentar el tipo de comportamiento de "marcar la casilla" en lugar de la exploración de ideas.
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 49 –

B.2.2.6 Documentos  de  referencia
[17]  BROUGHTON,  Vanda,  Clasificación  esencial
[18]  BAILEY,  Kenneth,  Tipologías  y  taxonomías:  una  introducción  a  la  clasificación
tecnicas
[19]  VDI  2225  hoja  1,  metodología  de  diseño    diseño  técnico  y  económico
Determinación  simplificada  de  costos,  1997  Beuth  Verlag

B.2.3 Análisis de modos de falla y efectos (FMEA) y análisis de modos de falla, efectos y criticidad
(FMECA)

B.2.3.1 Descripción general

En  FMEA,  un  equipo  subdivide  el  hardware,  un  sistema,  un  proceso  o  un  procedimiento  en  elementos.  Para
cada  elemento  se  consideran  las  formas  en  que  puede  fallar  y  las  causas  y  efectos  de  la  falla.
FMEA  puede  ser  seguido  por  un  análisis  de  criticidad  que  define  la  importancia  de  cada  modo  de  falla
(FMECA).

Para cada elemento se registra lo siguiente:

• su  función;
•  la  falla  que  podría  ocurrir  (modo  de  falla);
•  los  mecanismos  que  podrían  producir  estos  modos  de  falla;
•  la  naturaleza  de  las  consecuencias  si  ocurriera  la  falla;
•  si  la  falla  es  inofensiva  o  dañina;  •  cómo  y  cuándo  se
puede  detectar  la  falla;
•  las  provisiones  inherentes  que  existen  para  compensar  la  falla.

Para  FMECA,  el  equipo  de  estudio  clasifica  cada  uno  de  los  modos  de  falla  identificados  según  su  criticidad.
Se  pueden  utilizar  varios  métodos  diferentes  de  criticidad.  Los  más  utilizados  son  una  matriz  de  consecuencia/
probabilidad  cualitativa,  semicuantitativa  o  cuantitativa  (B.10.3)  o  un  número  de  prioridad  de  riesgo  (RPN).
También  se  puede  derivar  una  medida  cuantitativa  de  la  criticidad  a  partir  de  las  tasas  de  falla  reales  y  una
medida  cuantitativa  de  las  consecuencias  cuando  se  conocen.

NOTA El RPN es un método de índice (B.8.6) que toma el producto de las calificaciones por consecuencia de falla, probabilidad
de falla y capacidad para detectar el problema (detección). A un fallo se le da una prioridad más alta si es difícil de detectar.

B.2.3.2 Uso

FMEA/FMECA  se  puede  aplicar  durante  el  diseño,  fabricación  u  operación  de  un  sistema  físico  para  mejorar
el  diseño,  seleccionar  entre  alternativas  de  diseño  o  planificar  un  programa  de  mantenimiento.  También  se
puede  aplicar  a  procesos  y  procedimientos,  como  en  procedimientos  médicos  y  procesos  de  fabricación.
Se  puede  realizar  en  cualquier  nivel  de  desglose  de  un  sistema,  desde  diagramas  de  bloques  hasta
componentes  detallados  de  un  sistema  o  pasos  de  un  proceso.

FMEA se puede utilizar para proporcionar información para técnicas de análisis como el análisis de árbol de fallas.
Puede proporcionar un punto de partida para un análisis de causa raíz.

B.2.3.3 Entradas

Las  entradas  incluyen  información  sobre  el  sistema  a  analizar  y  sus  elementos  con  suficiente  detalle  para
un  análisis  significativo  de  las  formas  en  que  cada  elemento  puede  fallar  y  las  consecuencias  si  lo  hace.  La
información  necesaria  puede  incluir  dibujos  y  diagramas  de  flujo,  detalles  del  entorno  en  el  que  opera  el
sistema  e  información  histórica  sobre  fallas  cuando  esté  disponible.

FMEA  normalmente  lo  lleva  a  cabo  un  equipo  multifuncional  con  conocimiento  experto  del  sistema  que  se
analiza,  dirigido  por  un  facilitador  capacitado.  Es  importante  que  el  equipo  cubra  todas  las  áreas  relevantes
de  experiencia.
Machine Translated by Google

– 50 – CEI 31010:2019 CEI 2019

B.2.3.4 Salidas

Las salidas de FMEA son:

• una hoja de trabajo con modos de falla, efectos, causas y controles existentes;

• una medida de la criticidad de cada modo de falla (si FMECA) y la metodología utilizada para
definirlo;

• cualquier acción recomendada, por ejemplo, para análisis adicionales, cambios de diseño o características que se
incorporarán en los planes de prueba.

FMECA generalmente proporciona una clasificación cualitativa de la importancia de los modos de falla, pero puede dar
un resultado cuantitativo si se utilizan datos de tasa de falla adecuados y consecuencias cuantitativas.

B.2.3.5 Fortalezas y limitaciones

Las fortalezas de FMEA/FMECA incluyen lo siguiente.

• Se puede aplicar ampliamente a los modos humanos y técnicos de sistemas, hardware, software y procedimientos.

• Identifica los modos de falla, sus causas y sus efectos en el sistema, y los presenta en un formato de fácil lectura.

• Evita  la  necesidad  de  modificaciones  costosas  de  los  equipos  en  servicio  al  identificar  los  problemas  en  las  primeras
etapas  del  proceso  de  diseño.
• Proporciona  información  para  los  programas  de  mantenimiento  y  monitoreo  al  resaltar  las  características  clave  que
se  monitorearán.

Las limitaciones incluyen lo siguiente.

• FMEA solo se puede usar para identificar modos de falla únicos, no combinaciones de modos de falla. • A menos que

estén adecuadamente controlados y enfocados, los estudios pueden llevar mucho tiempo y ser costosos.

• FMEA puede ser difícil y tedioso para sistemas complejos de múltiples capas.

B.2.3.6 Documento de referencia

[20] IEC 60812, Modos de falla y análisis de efectos (FMEA y FMECA)

B.2.4 Estudios de riesgos y operabilidad (HAZOP)

B.2.4.1 Descripción general

Un estudio HAZOP es un examen estructurado y sistemático de un proceso, procedimiento o sistema planificado o
existente que implica identificar posibles desviaciones de la intención del diseño y examinar sus posibles causas y
consecuencias.

Dentro de un taller facilitado, el equipo de estudio:

• subdivide el sistema, proceso o procedimiento en elementos más pequeños;

• acuerda la intención del diseño para cada elemento, incluida la definición de parámetros relevantes (como
caudal o temperatura en el caso de un sistema físico);

• aplica palabras guía sucesivamente a cada parámetro para cada elemento para postular posibles
desviaciones de la intención del diseño que podrían tener resultados no deseados;

NOTA No todas las combinaciones de parámetros de palabras guía serán significativas.

• acuerda la causa y las consecuencias en cada caso sugiriendo cómo pueden ser tratadas;

• documenta la discusión y acuerda posibles acciones para tratar los riesgos identificados.
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 51 –

La  Tabla  B.1  proporciona  ejemplos  de  palabras  guía  comúnmente  utilizadas  para  sistemas  técnicos.  Palabras  guía  similares
como  "demasiado  pronto",  "demasiado  tarde",  "demasiado",  "demasiado  poco",  "demasiado  largo",  "demasiado  corto",  "dirección
incorrecta",  "objeto  incorrecto",  "acción  incorrecta"  pueden  ser  Se  utiliza  para  identificar  los  modos  de  error  humano.

Las palabras guía se aplican a parámetros tales como:

• propiedades físicas de un material o proceso;

• condiciones físicas como la temperatura o la velocidad;

• momento;

• una intención específica de un componente de un sistema o diseño (por ejemplo, transferencia de información);
• aspectos operativos.

Tabla B.1 – Ejemplos de palabras guía básicas y sus significados genéricos

Palabra guía Definición

no o no No se logra ninguna parte del resultado previsto o la condición prevista está ausente

Más alto) Incremento cuantitativo

menos (más bajo) Disminución cuantitativa

Así como Modificación/aumento cualitativo (por ejemplo, material adicional)

Parte de Modificación/disminución cualitativa (por ejemplo, solo uno de dos componentes en una mezcla)

Inversa/opuesta Lógicamente opuesta a la intención del diseño (p. ej., contraflujo)

Otro que Sustitución completa, sucede algo completamente diferente (por ejemplo, material incorrecto)

Temprano Relativo al tiempo del reloj

Tarde Relativo al tiempo del reloj

B.2.4.2 Uso

Los  estudios  HAZOP  se  desarrollaron  inicialmente  para  analizar  los  sistemas  de  procesos  químicos,  pero  se  han
ampliado  a  otros  tipos  de  sistemas,  incluidos  los  sistemas  de  energía  mecánica,  electrónica  y  eléctrica,  los  sistemas  de
software,  los  cambios  organizacionales,  el  comportamiento  humano  y  el  diseño  y  revisión  de  contratos  legales.

El  proceso  HAZOP  puede  lidiar  con  todas  las  formas  de  desviación  de  la  intención  del  diseño  debido  a  deficiencias  en
el  diseño,  los  componentes,  los  procedimientos  planificados  y  las  acciones  humanas.  Se  utiliza  con  mayor  frecuencia
para  mejorar  un  diseño  o  identificar  riesgos  asociados  con  un  cambio  de  diseño.  Por  lo  general,  se  lleva  a  cabo  en  la
etapa  de  diseño  de  detalle,  cuando  se  dispone  de  un  diagrama  completo  del  proceso  previsto  y  de  la  información  de
diseño  de  respaldo,  pero  mientras  los  cambios  de  diseño  aún  son  factibles.  Sin  embargo,  puede  llevarse  a  cabo  en  un
enfoque  por  etapas  con  diferentes  palabras  guía  para  cada  etapa  a  medida  que  el  diseño  se  desarrolla  en  detalle.
También  se  puede  realizar  un  estudio  HAZOP  durante  la  operación,  pero  los  cambios  requeridos  pueden  ser  costosos
en  esa  etapa.

B.2.4.3 Entradas

Las  entradas  incluyen  información  actual  sobre  el  sistema  que  se  va  a  revisar  y  la  intención  y  las  especificaciones  de
rendimiento  del  diseño.  Para  el  hardware,  esto  puede  incluir  dibujos,  hojas  de  especificaciones,  diagramas  de  flujo,
diagramas  lógicos  y  de  control  de  procesos,  y  procedimientos  de  operación  y  mantenimiento.  Para  HAZOP  no
relacionados  con  el  hardware,  las  entradas  pueden  ser  cualquier  documento  que  describa  funciones  y  elementos  del
sistema  o  procedimiento  en  estudio,  por  ejemplo,  diagramas  organizacionales  y  descripciones  de  roles,  o  un  borrador
de  contrato  o  borrador  de  procedimiento.

Un  estudio  HAZOP  generalmente  lo  realiza  un  equipo  multidisciplinario  que  debe  incluir  diseñadores  y  operadores  del
sistema,  así  como  personas  que  no  están  directamente  involucradas  en  el  diseño  o  el  sistema,  proceso  o  procedimiento
bajo  revisión.  El  líder/facilitador  del  estudio  debe  estar  capacitado  y  tener  experiencia  en  el  manejo  de  estudios  HAZOP.
Machine Translated by Google

– 52 – CEI 31010:2019 CEI 2019

B.2.4.4 Salidas

Los  resultados  incluyen  actas  de  la(s)  reunión(es)  HAZOP  con  desviaciones  para  cada  punto  de  revisión  registrado.
Los  registros  deben  incluir  la  palabra  guía  utilizada  y  las  posibles  causas  de  las  desviaciones.  También  pueden
incluir  acciones  para  abordar  los  problemas  identificados  y  la  persona  responsable  de  la  acción.

B.2.4.5 Fortalezas y limitaciones

Las fortalezas de HAZOP incluyen lo siguiente.

• Proporciona  los  medios  para  examinar  sistemáticamente  un  sistema,  proceso  o  procedimiento  para  identificar
cómo  podría  no  lograr  su  propósito.
• Proporciona  un  examen  detallado  y  completo  por  un  equipo  multidisciplinario.
• Identifica  problemas  potenciales  en  la  etapa  de  diseño  de  un  proceso.
• Genera  soluciones  y  acciones  de  tratamiento  de  riesgos.
• Es  aplicable  a  una  amplia  gama  de  sistemas,  procesos  y  procedimientos.
• Permite  la  consideración  explícita  de  las  causas  y  consecuencias  del  error  humano.
• Crea  un  registro  escrito  del  proceso,  que  se  puede  utilizar  para  demostrar  la  diligencia  debida.

Las limitaciones incluyen lo siguiente.

•  Un  análisis  detallado  puede  llevar  mucho  tiempo  y,  por  lo  tanto,  ser  costoso.  •  La
técnica  tiende  a  ser  repetitiva,  encontrando  los  mismos  problemas  varias  veces;  por  lo  tanto  puede
ser  difícil  mantener  la  concentración.

•  Un  análisis  detallado  requiere  un  alto  nivel  de  documentación  o  sistema/proceso  y  procedimiento
especificación.
• Puede  enfocarse  en  encontrar  soluciones  detalladas  en  lugar  de  desafiar  suposiciones  fundamentales  (sin
embargo,  esto  puede  mitigarse  con  un  enfoque  por  etapas).
•  La  discusión  se  puede  centrar  en  cuestiones  detalladas  de  diseño,  y  no  en  temas  más  amplios  o  externos.
asuntos.
• Está  limitado  por  el  diseño  (borrador)  y  la  intención  del  diseño,  y  el  alcance  y  los  objetivos  dados  al  equipo.

• El proceso depende en gran medida de la experiencia de los diseñadores, a quienes les puede resultar difícil ser
suficientemente objetivas para buscar problemas en sus diseños.

B.2.4.6 Documento de referencia

[21] IEC 61882, Estudios de riesgos y operabilidad (estudios HAZOP) – Guía de aplicación

B.2.5 Análisis de escenarios

B.2.5.1 Descripción general

El  análisis  de  escenarios  es  un  nombre  dado  a  una  variedad  de  técnicas  que  involucran  el  desarrollo  de  modelos
de  cómo  podría  resultar  el  futuro.  En  términos  generales,  consiste  en  definir  un  escenario  plausible  y  trabajar  en
lo  que  podría  suceder  dados  varios  desarrollos  futuros  posibles.

Para  escalas  de  tiempo  relativamente  cortas,  puede  implicar  la  extrapolación  de  lo  que  sucedió  en  el  pasado.
Para  escalas  de  tiempo  más  largas,  el  análisis  de  escenarios  puede  involucrar  la  construcción  de  un  escenario
imaginario  pero  creíble  y  luego  explorar  la  naturaleza  de  los  riesgos  dentro  de  este  escenario.  La  mayoría  de  las
veces  es  aplicada  por  un  grupo  de  partes  interesadas  con  diferentes  intereses  y  experiencia.  El  análisis  de
escenario  implica  definir  con  cierto  detalle  el  escenario  o  escenarios  a  considerar  y  explorar  las  implicaciones  del
escenario  y  el  riesgo  asociado.  Los  cambios  comúnmente  considerados  incluyen:
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 53 –

•  cambios  en  la  tecnología;
•  posibles  decisiones  futuras  que  podrían  tener  una  variedad  de  resultados;
•  las  necesidades  de  las  partes  interesadas  y  cómo  podrían  cambiar;

• cambios en el entorno macro (regulatorio, demográfico, etc.);
• cambios en el entorno físico.

B.2.5.2 Uso

El análisis de escenarios se utiliza con mayor frecuencia para identificar riesgos y explorar las consecuencias. Puede
ser utilizado tanto a nivel estratégico como operativo, para la organización en su conjunto o parte de ella.

El  análisis  de  escenarios  a  largo  plazo  intenta  ayudar  a  planificar  cambios  importantes  en  el  futuro,  como  los  que  han
ocurrido  en  los  últimos  50  años  en  tecnología,  preferencias  de  los  consumidores,  actitudes  sociales,  etc.  El  análisis  de
escenarios  no  puede  predecir  las  probabilidades  de  tales  cambios,  pero  puede  considerar  las  consecuencias.  y  ayudar
a  las  organizaciones  a  desarrollar  fortalezas  y  la  resiliencia  necesarias  para  adaptarse  al  cambio  previsible.  Se  puede
utilizar  para  anticipar  cómo  podrían  desarrollarse  tanto  las  amenazas  como  las  oportunidades  y  se  puede  utilizar  para
todo  tipo  de  riesgo.

El  análisis  de  escenarios  a  corto  plazo  se  utiliza  para  explorar  las  consecuencias  de  un  evento  iniciador.
Los  escenarios  probables  se  pueden  extrapolar  de  lo  que  ha  sucedido  en  el  pasado  o  de  los  modelos.
Los  ejemplos  de  tales  aplicaciones  incluyen  la  planificación  para  situaciones  de  emergencia  o  interrupciones
comerciales.  Si  no  hay  datos  disponibles,  se  utilizan  las  opiniones  de  los  expertos,  pero  en  este  caso  es  muy  importante
prestar  la  máxima  atención  a  las  explicaciones  de  sus  puntos  de  vista.

B.2.5.3 Entradas

Para llevar a cabo un análisis de escenarios, se requieren datos sobre tendencias y cambios actuales e ideas para
cambios futuros. Para escenarios complejos o de muy largo plazo, se requiere experiencia en la técnica.

B.2.5.4 Salidas

El  resultado  puede  ser  una  "historia"  para  cada  escenario  que  cuente  cómo  se  puede  pasar  del  presente  al  escenario
en  cuestión.  Los  efectos  considerados  pueden  ser  tanto  beneficiosos  como  perjudiciales.
Las  historias  pueden  incluir  detalles  plausibles  que  agregan  valor  a  los  escenarios.

Otros  resultados  pueden  incluir  una  comprensión  de  los  posibles  efectos  de  la  política  o  los  planes  para  varios  futuros
plausibles,  una  lista  de  riesgos  que  podrían  surgir  si  se  desarrollaran  los  futuros  y,  en  algunas  aplicaciones,  una  lista
de  indicadores  principales  para  esos  riesgos.

B.2.5.5 Fortalezas y limitaciones

Las fortalezas del análisis de escenarios incluyen lo siguiente.

• Tiene  en  cuenta  una  gama  de  futuros  posibles.  Esto  puede  ser  preferible  al  enfoque  tradicional  de  confiar  en
pronósticos  que  asumen  que  los  eventos  futuros  probablemente  continuarán  siguiendo  las  tendencias  pasadas.
Esto  es  importante  para  situaciones  donde  hay  poco  conocimiento  actual  sobre  el  cual  basar  las  predicciones  o
donde  los  riesgos  se  están  considerando  a  más  largo  plazo.
• Apoya  la  diversidad  de  pensamiento.
• Fomenta  el  seguimiento  de  los  principales  indicadores  de  cambio.
•  Las  decisiones  tomadas  para  los  riesgos  identificados  pueden  ayudar  a  desarrollar  la  resiliencia  para  cualquier  cosa  que  ocurra.

Las limitaciones incluyen lo siguiente.

• Los escenarios utilizados pueden no tener una base adecuada, por ejemplo, los datos pueden ser especulativos.
Esto podría producir resultados poco realistas que podrían no ser reconocidos como tales.
Machine Translated by Google

– 54 – CEI 31010:2019 CEI 2019

• Hay poca evidencia de que los escenarios explorados para el futuro a largo plazo sean aquellos que
ocurrir realmente.

B.2.5.6 Documentos de referencia

[22]  RINGLAND,  Gill.  Escenarios  en  los  negocios  [23]
Van  der  HEIJDEN,  Kees.  Escenarios:  el  arte  de  la  conversación  estratégica  [24]  CHERMACK,
Thomas  J.  Planificación  de  escenarios  en  las  organizaciones  [25]  MUKUL  PAREEK,
Uso  del  análisis  de  escenarios  para  gestionar  el  riesgo  tecnológico

B.2.6 Técnica hipotética estructurada (SWIFT)

B.2.6.1 Descripción general

SWIFT  es  una  técnica  de  identificación  de  riesgos  de  alto  nivel  que  se  puede  utilizar  de  forma  independiente  o  como
parte  de  un  enfoque  por  etapas  para  hacer  que  los  métodos  ascendentes  como  HAZOP  o  FMEA  sean  más  eficientes.
SWIFT  utiliza  la  lluvia  de  ideas  estructurada  (B.1.2)  en  un  taller  facilitado  en  el  que  se  combina  un  conjunto
predeterminado  de  palabras  guía  (momento,  cantidad,  etc.)  con  indicaciones  obtenidas  de  los  participantes  que  a
menudo  comienzan  con  frases  como  "¿y  si?"  o  "¿cómo  podría?".  Es  similar  a  HAZOP  pero  se  aplica  a  un  sistema  o
subsistema  en  lugar  de  la  intención  del  diseñador.

Antes  de  que  comience  el  estudio,  el  facilitador  prepara  una  lista  rápida  para  permitir  una  revisión  exhaustiva  de  los
riesgos  o  fuentes  de  riesgo.  Al  comienzo  del  taller,  se  discute  el  contexto,  el  alcance  y  el  propósito  del  SWIFT  y  se
articulan  los  criterios  para  el  éxito.  Usando  las  palabras  guía  y  "¿y  si?"  indicaciones,  el  facilitador  pide  a  los  participantes
que  planteen  y  discutan  temas  como:

• riesgos conocidos;

• fuentes y factores de riesgo;

• experiencia previa, éxitos e incidentes;

• controles conocidos y existentes;

• requisitos y limitaciones reglamentarios.

El  facilitador  usa  la  lista  de  sugerencias  para  monitorear  la  discusión  y  sugerir  temas  y  escenarios  adicionales  para  que
el  equipo  los  discuta.  El  equipo  considera  si  los  controles  son  adecuados  y,  en  caso  contrario,  considera  posibles
tratamientos.  Durante  esta  discusión,  más  "¿qué  pasaría  si?"  se  plantean  preguntas.

En  algunos  casos  se  identifican  riesgos  específicos  y  se  puede  registrar  una  descripción  del  riesgo,  sus  causas,
consecuencias  y  controles.  Además,  pueden  identificarse  fuentes  más  generales  o  impulsores  de  riesgo,  problemas  de
control  o  problemas  sistémicos.

Cuando  se  genera  una  lista  de  riesgos,  a  menudo  se  utiliza  un  método  de  evaluación  de  riesgos  cualitativo  o
semicuantitativo  para  clasificar  las  acciones  creadas  en  términos  de  nivel  de  riesgo.  Esto  normalmente  tiene  en  cuenta
los  controles  existentes  y  su  eficacia.

B.2.6.2 Uso

La  técnica  se  puede  aplicar  a  sistemas,  elementos  de  planta,  procedimientos  y  organizaciones  en  general.
En  particular,  se  utiliza  para  examinar  las  consecuencias  de  los  cambios  y  el  riesgo  que  se  modifica  o  crea.  Se  pueden
considerar  resultados  tanto  positivos  como  negativos.  También  se  puede  utilizar  para  identificar  los  sistemas  o  procesos
en  los  que  valdría  la  pena  invertir  los  recursos  para  un  HAZOP  o  FMEA  más  detallado.

B.2.6.3 Entradas

Se  necesita  una  comprensión  clara  del  sistema,  el  procedimiento,  el  elemento  de  la  planta  y/o  el  cambio  y  los  contextos
externo  e  interno.  Esto  se  establece  a  través  de  entrevistas,  reuniendo  un  equipo  multifuncional  y  mediante  el  estudio
de  documentos,  planos  y  dibujos  por  parte  del  facilitador.  Normalmente  el
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 55 –

sistema de estudio se divide en elementos para facilitar el proceso de análisis. Aunque el facilitador debe estar
capacitado en la aplicación de SWIFT, esto generalmente se puede lograr rápidamente.

B.2.6.4 Salidas

Los resultados incluyen un registro de riesgos con acciones o tareas clasificadas por riesgo que se pueden utilizar como
base para un plan de tratamiento.

B.2.6.5 Fortalezas y limitaciones

Los puntos fuertes de SWIFT incluyen los siguientes.

• Es  ampliamente  aplicable  a  todas  las  formas  de  planta  o  sistema  físico,  situación  o  circunstancia,  organización
o  actividad.
• Necesita  una  preparación  mínima  por  parte  del  equipo.
• Es  relativamente  rápido  y  los  principales  riesgos  y  fuentes  de  riesgo  se  hacen  evidentes  rápidamente  dentro  de
la  sesión  del  taller.
•  El  estudio  está  "orientado  a  los  sistemas"  y  permite  a  los  participantes  observar  la  respuesta  del  sistema  a  las
desviaciones  en  lugar  de  simplemente  examinar  las  consecuencias  de  la  falla  de  los  componentes.
• Se  puede  utilizar  para  identificar  oportunidades  de  mejora  de  procesos  y  sistemas  y,  en  general,  se  puede
utilizar  para  identificar  acciones  que  conduzcan  y  mejoren  sus  probabilidades  de  éxito.

•  La  participación  en  el  taller  de  quienes  son  responsables  de  los  controles  existentes  y  de  otras  acciones  de
tratamiento  de  riesgos  refuerza  su  responsabilidad.
• Crea  un  registro  de  riesgos  y  un  plan  de  tratamiento  de  riesgos  con  poco  más  esfuerzo.

Las limitaciones incluyen lo siguiente.

• Si  el  equipo  del  taller  no  tiene  una  base  de  experiencia  lo  suficientemente  amplia  o  si  el  sistema  de  indicaciones
no  es  completo,  es  posible  que  no  se  identifiquen  algunos  riesgos  o  peligros.
•  La  aplicación  de  alto  nivel  de  la  técnica  podría  no  revelar  información  compleja,  detallada  o  correlacionada.
causas

• Las recomendaciones suelen ser genéricas, por ejemplo, el método no proporciona soporte para
y controles detallados sin que se lleven a cabo más análisis.

B.2.6.6 Documento de referencia

[26] CARD, Alan J. WARD, James R. y CLARKSON, P. John. Más allá de FMEA: El estructurado
técnica hipotética (SWIFT)

B.3 Técnicas para determinar las fuentes, las causas y los impulsores del riesgo

B.3.1 Generalidades

La  comprensión  de  las  causas  de  los  eventos  potenciales  y  los  impulsores  del  riesgo  se  puede  utilizar  para  diseñar
estrategias  para  prevenir  consecuencias  adversas  o  mejorar  las  positivas.  A  menudo  hay  una  jerarquía  de  causas
con  varias  capas  antes  de  llegar  a  la  causa  raíz.  Generalmente  se  analizan  las  causas  hasta  que  se  pueden
determinar  y  justificar  las  acciones.

Las  técnicas  de  análisis  causal  pueden  explorar  las  percepciones  de  la  causa  bajo  un  conjunto  de  encabezados
predeterminados,  como  en  el  método  Ishikawa  (ver  B.3.3),  o  pueden  adoptar  un  enfoque  más  basado  en  la  lógica,
como  en  el  análisis  del  árbol  de  fallas  y  el  análisis  del  árbol  de  éxito  (ver  B.5.7). .

El análisis de corbata de moño (ver B.4.2) se puede utilizar para representar gráficamente las causas y las
consecuencias y mostrar cómo se controlan.
Machine Translated by Google

– 56 – CEI 31010:2019 CEI 2019

Varias  de  las  técnicas  descritas  en  IEC  62740  [16]  se  pueden  utilizar  de  forma  proactiva  para  analizar  las
posibles  causas  de  los  eventos  que  podrían  ocurrir  en  el  futuro,  así  como  los  que  ya  han  ocurrido.  Estas
técnicas  no  se  repiten  aquí.

B.3.2 Enfoque cindínico

B.3.2.1 Descripción general

Cindynics significa literalmente la ciencia del peligro. El enfoque cindínico identifica fuentes de riesgo intangibles
y factores que podrían dar lugar a muchas consecuencias diferentes. En particular, identifica y analiza:

• inconsistencias, ambigüedades, omisiones, ignorancia (denominadas deficiencias) y
• divergencias entre las partes interesadas (denominadas disonancias).

El  enfoque  cindínico  parte  de  la  recopilación  de  información  sobre  el  sistema  u  organización  objeto  de  estudio
y  la  situación  cindínica  definida  por  un  espacio  geográfico,  temporal  y  cronológico  y  un  conjunto  de  redes  o
grupos  de  partes  interesadas.

Luego  utiliza  entrevistas  semiestructuradas  (ver  B.1.5)  para  recopilar  información  en  varios  momentos  (t1 ,  t2 ,
…,)  sobre  el  estado  del  conocimiento  y  el  estado  de  ánimo  de  cada  parte  interesada,  en  relación  con  los  cinco
yo
_

criterios. del enfoque cindínico de la siguiente manera:

•  objetivo  (objetivo  principal  de  la  organización);
•  valores  (considerados  en  alta  estima  por  el  actor);
•  reglas  (derechos,  normas,  procedimientos,  etc.  que  rigen  sus  logros);
•  datos  (en  los  que  se  basa  la  toma  de  decisiones);
•  modelos  (técnicos,  organizativos,  humanos,  etc.,  que  utilicen  datos  en  la  toma  de  decisiones).

NOTA Los elementos que caracterizan los contextos internos y externos pueden agruparse de acuerdo con los cinco criterios
del enfoque cindínico.

El enfoque tiene en cuenta tanto las percepciones como los hechos.

Una vez obtenida esta información, se analiza la coherencia entre los objetivos a alcanzar y los cinco criterios
de cindynics y se establecen tablas de déficits y disonancias.

B.3.2.2 Uso

El  objetivo  del  enfoque  cindínico  es  comprender  por  qué,  a  pesar  de  todas  las  medidas  de  control  adoptadas
para  prevenir  desastres,  todavía  ocurren.  Desde  entonces,  el  enfoque  se  ha  ampliado  para  mejorar  la  eficiencia
económica  de  las  organizaciones.  La  técnica  busca  fuentes  sistémicas  y  factores  de  riesgo  dentro  de  una
organización  que  pueden  tener  consecuencias  de  gran  alcance.  Se  aplica  a  nivel  estratégico  y  puede  utilizarse
para  identificar  factores  que  actúan  de  manera  favorable  o  desfavorable  durante  la  evolución  del  sistema  hacia
nuevos  objetivos.

También se puede utilizar para validar la consistencia de cualquier proyecto y es especialmente útil en el
estudio de sistemas complejos.

B.3.2.3 Entradas

Información  como  se  describe  anteriormente.  El  análisis  generalmente  involucra  a  un  equipo  multidisciplinario
que  incluye  a  aquellos  con  experiencia  operativa  real  y  aquellos  que  llevarán  a  cabo  acciones  de  tratamiento
para  abordar  las  fuentes  de  riesgo  identificadas.
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 57 –

B.3.2.4 Salidas

Los  resultados  son  tablas  que  indican  disonancias  y  déficits  entre  las  partes  interesadas,  como  se  ilustra
en  los  ejemplos  a  continuación.  La  Tabla  B.2  muestra  una  matriz  que  indica  los  déficits  de  cada  actor
frente  a  los  cinco  criterios  de  análisis  (metas,  valores,  reglas,  modelos  y  datos).  Al  comparar  la  información
recopilada  como  entrada  entre  situaciones  tomadas  en  los  tiempos  t1 ,  t2 , ...,  es  posible  identificar   yo , ,

déficits entre diferentes situaciones.

Tabla B.2 – Tabla de déficits para cada actor

Criterio de análisis
Interesado
Objetivos Valores Normas Datos Modelos

S1 Concéntrate en un Sin referencia a los Sin referencia a las Sin referencia a

número restringido de procedimientos medidas. modelos.
valores

S2 Inconsistencia Falta de clasificación Falta de clasificación Ignorancia de la Ignorancia de

entre  objetivos  y   entre  valores. entre  las  reglas. experiencia  y   modelos  específicos
reglas. retroalimentación
de  otros  países.

S3 Inconsistencia Centrarse en Falta de clasificación No se presta atención Falta de

entre metas y un valor específico entre las reglas. a datos específicos, priorización en la
estándares. (por ejemplo, empleo) por ejemplo, lesiones selección de modelos
laborales)

La  Tabla  B.3  es  una  matriz  donde  las  partes  interesadas  relevantes  están  representadas  en  ambos  ejes  y  las
diferencias  de  puntos  de  vista  entre  las  partes  interesadas  (las  llamadas  disonancias)  se  muestran  en  las  celdas  de  la  matriz.
Estas  tablas  permiten  establecer  un  programa  de  reducción  de  déficits  y  disonancias.

Tabla B.3 – Tabla de disonancias entre actores

Interesado
Interesado
S1 S2 S3 S4

S1 S1 y S2 no comparten S1 y S3 no comparten S1 y S4 no comparten

los mismos objetivos los mismos valores los mismos sistemas
de medición

S2 S2  y  S3  no S2  y  S4  no  están  de
acordar  la   acuerdo  en  los  datos
interpretación  de  los
procedimientos

S3 S3 y S4 no están de acuerdo
en la interpretación de las
reglas

B.3.2.5 Fortalezas y limitaciones

Los  puntos  fuertes  del  enfoque  cindínico  incluyen  lo  siguiente.
• Es  un  enfoque  sistémico,  multidimensional  y  multidisciplinario.
• Proporciona  conocimiento  del  riesgo  potencial  de  un  sistema  y  su  consistencia.
• Considera  los  aspectos  humanos  y  organizacionales  del  riesgo  en  cualquier  nivel  de  responsabilidad.
• Integra  nociones  de  espacio  y  tiempo.
• Ofrece  soluciones  para  reducir  los  riesgos.
Machine Translated by Google

– 58 – CEI 31010:2019 CEI 2019

Las limitaciones incluyen lo siguiente.

• No  intenta  priorizar  fuentes  de  riesgo  o  riesgos.
• Sólo  recientemente  ha  comenzado  a  difundirse  en  la  industria.  Por  lo  tanto,  no  se  beneficia  de  la  misma  madurez
adquirida  a  través  de  desarrollos  pasados  que  los  enfoques  tradicionales.

• Dependiendo de la cantidad de partes interesadas involucradas, puede requerir mucho tiempo y
recursos.

B.3.2.6 Documentos de referencia

[27]  KERVERN,  GY.  Elementos  fundamentales  de  la  cindina  [28]  KEVERN,  GY.
Últimos  avances  en  cindínicos  [29]  KEVERN,  GY.  &  BOULENGER,
P.  Cindyniques  –  Conceptos  e  instrucciones

B.3.3 Método de análisis de Ishikawa (espina de pescado)

B.3.3.1 Descripción general

El  análisis  de  Ishikawa  utiliza  un  enfoque  de  equipo  para  identificar  las  posibles  causas  de  cualquier  evento,  efecto,
problema  o  situación  deseable  o  indeseable.  Los  posibles  factores  contribuyentes  se  organizan  en  categorías  amplias
para  cubrir  causas  humanas,  técnicas  y  organizativas.  La  información  se  representa  en  un  diagrama  de  espina  de  pescado
(también  llamado  Ishikawa)  (consulte  la  Figura  B.1).  Los  pasos  principales  para  realizar  el  análisis  son  los  siguientes.

• Establecer el efecto a analizar y colocarlo en un recuadro como cabeza del diagrama de espina de pescado.
El efecto puede ser positivo (un objetivo) o negativo (un problema);

•  Consensuar  las  principales  categorías  de  causas.  Ejemplos  de  categorías  de  uso  común  incluyen:
–  6Ms,  por  ejemplo,  métodos,  maquinaria,  gestión,  materiales,  mano  de  obra,  dinero;
–  materiales,  métodos  y  procesos,  medio  ambiente,  equipos,  personas,  mediciones.

NOTA Se puede utilizar cualquier conjunto de categorías acordadas que se ajusten a las circunstancias que se analizan. La Figura B.1
ilustra otra posibilidad.

• ¿Pregunta porque?" y "¿cómo podría ocurrir eso?" iterativamente para explorar las causas y la influencia
factores en cada categoría, agregando cada uno a los huesos del diagrama de espina de pescado.

• Revisar todas las ramas para verificar la consistencia y la integridad y asegurarse de que las causas
aplicar al efecto principal.

• Identificar los factores más importantes con base en la opinión del equipo y la evidencia disponible.
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 59 –

Figura B.1 – Ejemplo de diagrama de Ishikawa (espina de pescado)

El diagrama a menudo se desarrolla en un escenario de taller.

B.3.3.2 Uso

El  análisis  de  Ishikawa  se  puede  utilizar  cuando  se  realiza  un  análisis  de  causa  raíz  de  eventos  que  han  ocurrido,
o  para  identificar  factores  que  podrían  contribuir  a  resultados  que  aún  no  han  ocurrido.
El  método  se  puede  utilizar  para  examinar  situaciones  en  cualquier  nivel  de  una  organización  en  cualquier  escala  de
tiempo.

Los  diagramas  se  utilizan  generalmente  cualitativamente.  Es  posible  asignar  probabilidades  a  las  causas
genéricas,  y  posteriormente  a  las  subcausas,  en  función  del  grado  de  creencia  sobre  su  relevancia.  Sin  embargo,
los  factores  contribuyentes  a  menudo  interactúan  y  contribuyen  al  efecto  de  formas  complejas  y  puede  haber
causas  no  identificadas  que  invaliden  la  cuantificación.

B.3.3.3 Aporte

El aporte es la pericia y la experiencia de los participantes y una comprensión de la situación que se examina.

B.3.3.4 Salida

El  resultado  son  las  causas  percibidas  del  efecto  que  se  analiza,  que  normalmente  se  muestra  como  un  diagrama
de  espina  de  pescado  o  de  Ishikawa.  El  diagrama  de  espina  de  pescado  está  estructurado  al  representar  las
categorías  principales  como  espinas  principales  de  la  columna  vertebral  del  pescado  con  ramas  y  subramas  que
describen  subcausas  más  específicas  en  esas  categorías.

B.3.3.5 Fortalezas y limitaciones

Los puntos fuertes de la técnica de Ishikawa incluyen los siguientes.

• Fomenta  la  participación  y  utiliza  el  conocimiento  del  grupo.
• Proporciona  un  enfoque  enfocado  para  la  lluvia  de  ideas  o  técnicas  de  identificación  similares.
• Se  puede  aplicar  a  una  amplia  gama  de  situaciones.
• Proporciona  un  análisis  estructurado  de  la  causa  con  una  salida  gráfica  fácil  de  leer.
• Permite  a  las  personas  reportar  problemas  en  un  ambiente  neutral.
• Se  puede  utilizar  para  identificar  los  factores  que  contribuyen  a  los  efectos  deseados  y  no  deseados.
Machine Translated by Google

– 60 – CEI 31010:2019 CEI 2019

NOTA Un enfoque positivo puede fomentar una mayor propiedad y participación.

Las limitaciones incluyen lo siguiente.

•  La  separación  de  los  factores  causales  en  categorías  principales  al  inicio  del  análisis  significa  que  las  interacciones
entre  las  categorías  podrían  no  considerarse  adecuadamente.
•  No  se  identifican  las  causas  potenciales  no  cubiertas  por  las  categorías  seleccionadas.

B.3.3.6 Documentos de referencia

[30] ISHIKAWA, K. Guía de Control de Calidad

Ver también IEC 62740 [16] para otras técnicas de análisis causal.

B.4 Técnicas de análisis de controles
B.4.1 Generalidades

Las técnicas de la Cláusula B.4 se pueden utilizar para verificar si los controles son apropiados y adecuados.

El análisis de corbata de lazo (B.4.2) y LOPA (B.4.4) identifican las barreras entre una fuente de riesgo y sus
posibles consecuencias y se pueden utilizar para comprobar que las barreras son suficientes.

HACCP (B.4.3) busca puntos en un proceso donde se pueden monitorear las condiciones e introducir controles
cuando hay una indicación de que las condiciones están cambiando.

El análisis de árbol de eventos (B.5.6) también se puede utilizar como un medio cuantitativo de análisis de controles
mediante el cálculo de la influencia de diferentes controles en la probabilidad de consecuencias.

Cualquier técnica de análisis causal puede utilizarse como base para comprobar que cada causa está controlada.

B.4.2 Análisis de pajarita

B.4.2.1 Descripción general

Una  pajarita  es  una  representación  gráfica  de  los  caminos  desde  las  causas  de  un  evento  hasta  sus  consecuencias.
Muestra  los  controles  que  modifican  la  probabilidad  del  evento  y  los  que  modifican  las  consecuencias  si  el  evento
ocurre.  Puede  considerarse  como  una  representación  simplificada  de  un  árbol  de  fallas  o  un  árbol  de  éxito
(analizando  la  causa  de  un  evento)  y  un  árbol  de  eventos  (analizando  las  consecuencias).  Los  diagramas  de  corbata
de  lazo  se  pueden  construir  a  partir  de  árboles  de  fallas  y  eventos,  pero  con  mayor  frecuencia  los  dibuja  directamente
un  equipo  en  un  escenario  de  taller.
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 61 –

Figura B.2 – Ejemplo de corbatín

La pajarita se dibuja de la siguiente manera.

• El evento de interés está representado por el nudo central de la pajarita, ver Figura B.2.

• Las fuentes de riesgo (o peligros/amenazas en un contexto de seguridad) se enumeran en el lado izquierdo del nudo y se unen
al nudo mediante líneas que representan los diferentes mecanismos por los cuales las fuentes de riesgo pueden conducir al
evento.

• Las barreras o controles para cada mecanismo se muestran como barras verticales a lo largo de las líneas.

• En el lado derecho de los nudos se dibujan líneas que irradian desde el evento hacia cada
consecuencia potencial.

• Después del evento, las barras verticales representan controles reactivos o barreras que modifican
consecuencias.

• Se agregan los factores que pueden causar que los controles fallen (factores de escalada), junto con
controles para los factores de escalamiento.

• Las funciones de gestión que respaldan los controles (como la capacitación y la inspección) pueden
mostrado debajo de la pajarita y vinculado al control respectivo.

Puede  ser  posible  cierto  nivel  de  cuantificación  de  un  diagrama  de  pajarita  cuando  las  vías  son  independientes,  se  conoce  la
probabilidad  de  una  consecuencia  o  resultado  particular  y  se  puede  estimar  la  probabilidad  de  que  un  control  falle.  Sin  embargo,
en  muchas  situaciones,  las  vías  y  las  barreras  no  son  independientes,  y  los  controles  pueden  ser  procedimentales  y  su  eficacia
incierta.
A  menudo,  la  cuantificación  se  lleva  a  cabo  de  manera  más  adecuada  mediante  el  análisis  del  árbol  de  fallas  (B.5.7)  y  el  análisis
del  árbol  de  eventos  (B.5.6)  o  LOPA  (B.4.4).

B.4.2.2 Uso

El  análisis  de  corbata  de  lazo  se  utiliza  para  mostrar  y  comunicar  información  sobre  riesgos  en  situaciones  en  las  que  un  evento
tiene  una  variedad  de  posibles  causas  y  consecuencias.  Se  puede  utilizar  para  explorar  en  detalle  las  causas  y  consecuencias  de
los  eventos  que  se  registran  de  forma  sencilla  en  un  registro  de  riesgos  (B.10.2).  Se  utiliza  particularmente  para  analizar  eventos
con  consecuencias  más  graves.  Se  utiliza  una  corbata  de  moño  cuando  se  evalúan  los  controles  para  verificar  que  cada  camino
de  la  causa  al  evento  y  del  evento  a  la  consecuencia  tenga  controles  efectivos,  y  que  se  reconozcan  los  factores  que  podrían
hacer  que  los  controles  fallen  (incluidas  las  fallas  de  los  sistemas  de  gestión).  Puede  utilizarse  como  base  de  un  medio  para
registrar  información  sobre  un  riesgo  que  no  se  ajusta  a  la  representación  lineal  simple  de  un  registro  de  riesgos.  Él
Machine Translated by Google

– 62 – CEI 31010:2019 CEI 2019

se puede usar de manera proactiva para considerar eventos potenciales y también retrospectivamente para modelar
eventos que ya han ocurrido.

La corbata de lazo se utiliza cuando la situación no justifica la complejidad de un análisis completo del árbol de fallas
y del análisis del árbol de eventos, pero es más compleja de lo que puede representarse mediante una vía única de
causaeventoconsecuencia.

Para algunas situaciones, se pueden desarrollar pajaritas en cascada donde las consecuencias de un evento se
convierten en la causa del siguiente.

B.4.2.3 Aporte

La  entrada  incluye  información  sobre  las  causas  y  consecuencias  del  evento  predefinido  y  los  controles  que  podrían
modificarlo.  Esta  información  puede  tomarse  de  los  resultados  de  las  técnicas  para  identificar  riesgos  y  controles  o  de
la  experiencia  de  las  personas.

B.4.2.4 Salida

El  resultado  es  un  diagrama  simple  que  muestra  las  principales  vías  de  riesgo,  los  controles  implementados  y  los
factores  que  podrían  conducir  a  la  falla  del  control.  También  muestra  las  posibles  consecuencias  y  las  medidas  que
se  pueden  tomar  después  de  ocurrido  el  evento  para  modificarlas.

B.4.2.5 Fortalezas y limitaciones

Las fortalezas del análisis de la pajarita incluyen lo siguiente.

• Es simple de entender y da una clara representación pictórica de un evento y sus causas y consecuencias.

• Centra  la  atención  en  los  controles  que  se  supone  que  deben  estar  en  su  lugar  y  su  eficacia.
• Se  puede  utilizar  tanto  para  las  consecuencias  deseables  como  para  las  indeseables.
• No  necesita  un  alto  nivel  de  experiencia  para  su  uso.

Las limitaciones incluyen lo siguiente.

•  Una  pajarita  no  puede  representar  una  situación  en  la  que  los  caminos  desde  las  causas  hasta  el  evento  no  estén
independientes  (es  decir,  donde  habría  compuertas  AND  en  un  árbol  de  fallas).
• Puede  simplificar  en  exceso  situaciones  complejas,  en  particular  cuando  se  intenta  la  cuantificación.

B.4.2.6 Documentos de referencia

[31]  LEWIS,  S.  SMITH,  K.,  Lecciones  aprendidas  de  la  aplicación  en  el  mundo  real  del  método  de  corbatín.
[31]
[32]  HALE,  AR,  GOOSSENS  LHJ,  ALE,  BJM,  BELLAMY  LA  POST  J.  Gestión  de  barreras  y  controles  de  seguridad  en
el  lugar  de  trabajo
[33]  MCCONNELL,  P.  and  DAVIES,  M.  Scenario  Analysis  bajo  Basilea  II

B.4.3 Análisis de peligros y puntos críticos de control (APPCC)

B.4.3.1 Descripción general

El  análisis  de  peligros  y  puntos  críticos  de  control  (HACCP)  se  desarrolló  para  garantizar  la  seguridad  alimentaria  para
el  programa  espacial  de  la  NASA,  pero  se  puede  utilizar  para  procesos  o  actividades  no  alimentarios.  La  técnica
proporciona  una  estructura  para  identificar  fuentes  de  riesgo  (peligros  o  amenazas)  y  establecer  controles  en  todas
las  partes  relevantes  de  un  proceso  para  protegerse  contra  ellos.  HACCP  se  utiliza  a  niveles  operativos,  aunque  sus
resultados  pueden  respaldar  la  estrategia  general  de  una  organización.  HACCP  tiene  como  objetivo  garantizar  que
los  riesgos  se  minimicen  mediante  el  seguimiento  y  los  controles  a  lo  largo  de  un  proceso  en  lugar  de  mediante  la
inspección  al  final  del  proceso.

HACCP consiste en los siguientes siete principios:
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 63 –

1)  identificar  los  peligros,  los  factores  que  influyen  en  el  riesgo  y  las  posibles  medidas  preventivas;  2)  determinar
los  puntos  del  proceso  donde  es  posible  monitorear  y  el  proceso  puede  controlarse  para  minimizar  las  amenazas
(los  puntos  críticos  de  control  o  PCC);
3)  establecer  límites  críticos  para  los  parámetros  a  monitorear,  es  decir,  cada  CCP  debe  operar  dentro  de  parámetros
específicos  para  asegurar  que  el  riesgo  esté  controlado;
4)  establecer  los  procedimientos  para  monitorear  los  límites  críticos  de  cada  PCC  a  intervalos  definidos;  5)
establecer  acciones  correctivas  a  ser  utilizadas  cuando  el  proceso  se  salga  de  los  límites  establecidos;  6)
establecer  procedimientos  de  verificación;  7)
implementar  procedimientos  de  mantenimiento  de  registros  y  documentación  para  cada  paso.

B.4.3.2 Uso

HACCP  es  un  requisito  en  la  mayoría  de  los  países  para  las  organizaciones  que  operan  en  cualquier  parte  de  la
cadena  alimentaria,  desde  la  cosecha  hasta  el  consumo,  para  controlar  los  riesgos  de  contaminantes  físicos,
químicos  o  biológicos.

Se ha extendido para su uso en la fabricación de productos farmacéuticos, dispositivos médicos y en otras áreas
donde los riesgos biológicos, químicos y físicos son inherentes a la organización.

El  principio  de  la  técnica  es  identificar  fuentes  de  riesgo  relacionadas  con  la  calidad  del  resultado  de  un  proceso  y
definir  puntos  en  ese  proceso  donde  los  parámetros  críticos  pueden  ser  monitoreados  y  las  fuentes  de  riesgo
controladas.  Esto  se  puede  generalizar  a  muchos  otros  procesos,  incluidos,  por  ejemplo,  los  procesos  financieros.

B.4.3.3 Entradas

Las entradas incluyen:

•  un  diagrama  de  flujo  básico  o  diagrama  de  proceso;
•  información  sobre  fuentes  de  riesgo  que  podrían  afectar  la  calidad,  seguridad  o  confiabilidad  del  producto
o  salida  del  proceso;
•  información  sobre  los  puntos  del  proceso  donde  los  indicadores  pueden  ser  monitoreados  y  los  controles  pueden
Ser  presentado.

B.4.3.4 Salidas

Los resultados incluyen registros, incluida una hoja de trabajo de análisis de peligros y un plan HACCP.

La hoja de trabajo de análisis de peligros enumera para cada paso del proceso:

•  peligros  que  podrían  introducirse,  controlarse  o  exacerbarse  en  ese  paso;
•  si  los  peligros  presentan  un  riesgo  significativo  (basado  en  la  consideración  de  la  consecuencia  y  la  probabilidad
usando  una  combinación  de  experiencia,  datos  y  literatura  técnica);
•  una  justificación  de  la  calificación  de  importancia;
•  posibles  medidas  preventivas  para  cada  peligro;
•  si  se  pueden  aplicar  medidas  de  seguimiento  o  control  en  este  paso  (es  decir,  ¿es  un  PCC?).

El plan HACCP delinea los procedimientos a seguir para asegurar el control de un diseño, producto, proceso o
procedimiento específico. El plan incluye una lista de todos los CCP y para cada CCP enumera:

•  los  límites  críticos  para  las  medidas  preventivas;
•  actividades  de  seguimiento  y  control  continuo  (incluido  qué,  cómo  y  cuándo  se  realizará  el  seguimiento).
llevarse  a  cabo  y  por  quién);
•  acciones  correctivas  requeridas  si  se  detectan  desviaciones  de  los  límites  críticos;
Machine Translated by Google

– 64 – CEI 31010:2019 CEI 2019

• actividades de verificación y mantenimiento de registros.

B.4.3.5 Fortalezas y limitaciones

Las fortalezas de HACCP incluyen lo siguiente.

•  HACCP  es  un  proceso  estructurado  que  proporciona  evidencia  documentada  para  el  control  de  calidad  como
así  como  identificar  y  reducir  los  riesgos.
• Se  centra  en  los  aspectos  prácticos  de  cómo  y  dónde,  en  un  proceso,  se  pueden  encontrar  y  controlar  las  fuentes  de
riesgo.
• Proporciona  control  de  riesgos  a  lo  largo  de  un  proceso  en  lugar  de  depender  de  la  inspección  del  producto  final.
• Llama  la  atención  sobre  el  riesgo  introducido  por  las  acciones  humanas  y  cómo  se  puede  controlar  en  el  punto  de
introducción  o  posteriormente.

Las limitaciones incluyen lo siguiente.

•  HACCP  requiere  que  se  identifiquen  los  peligros,  se  definan  los  riesgos  que  representan  y  se  comprenda  su  importancia
como  entradas  al  proceso.  También  es  necesario  definir  los  controles  apropiados.  Es  posible  que  HACCP  deba
combinarse  con  otras  herramientas  para  proporcionar  estos  insumos.

• Tomar medidas solo cuando los parámetros de control exceden los límites definidos puede pasar por alto cambios
graduales en los parámetros de control que son estadísticamente significativos y, por lo tanto, deben tomarse medidas.

B.4.3.6 Documentos de referencia

[34] ISO 22000, Sistemas de gestión de seguridad alimentaria: requisitos para cualquier organización en el
cadena de comida

[35] Sistemas de calidad e inocuidad de los alimentos: manual de capacitación sobre higiene de los alimentos y riesgos
Sistema de Análisis y Puntos Críticos de Control (HACCP)

B.4.4 Análisis de capas de protección (LOPA)

B.4.4.1 Descripción general

LOPA analiza la reducción del riesgo que se consigue mediante un conjunto de controles. Puede considerarse como un
caso particular de un árbol de eventos (B.5.6) y, a veces, se lleva a cabo como seguimiento de un estudio HAZOP (B.2.4).

Se  selecciona  un  par  causaconsecuencia  de  una  lista  de  riesgos  identificados  y  se  identifican  las  capas  de  protección
independientes  (IPL).  Una  IPL  es  un  dispositivo,  sistema  o  acción  que  es  capaz  de  evitar  que  un  escenario  avance  hasta
su  consecuencia  no  deseada.  Cada  IPL  debe  ser  independiente  del  evento  causal  o  de  cualquier  otra  capa  de  protección
asociada  con  el  escenario  y  debe  ser  auditable.  Las  IPL  incluyen:

• caracteristicas de diseño;

• dispositivos de protección física;

• enclavamientos y sistemas de apagado;
• alarmas críticas e intervención manual;

• protección física posterior al evento;

• sistemas de respuesta a emergencias.

Los  procedimientos  estándar  y/o  las  inspecciones  no  agregan  barreras  directamente  a  la  falla,  por  lo  que,  en  general,  no
deben  considerarse  como  IPL.  Se  estima  la  probabilidad  de  falla  de  cada  IPL  y  se  realiza  un  cálculo  de  orden  de  magnitud
para  determinar  si  la  protección  general  es  adecuada  para  reducir  el  riesgo  a  un  nivel  tolerable.

La  frecuencia  de  ocurrencia  de  la  consecuencia  no  deseada  se  puede  encontrar  combinando  la  frecuencia  de  la  causa
iniciadora  con  las  probabilidades  de  falla  de  cada  IPL,  teniendo  en  cuenta  cualquier  modificador  condicional.  (Un  ejemplo
de  un  modificador  condicional  es  si  una  persona  será
Machine Translated by Google

CEI 31010:2019 CEI 2019 sesenta y cinco

presente y podría ser influenciado.) Los órdenes de magnitud se utilizan para frecuencias y probabilidades.

B.4.4.2 Uso

LOPA  se  puede  utilizar  cualitativamente  para  revisar  las  capas  de  protección  entre  un  factor  causal  y  una
consecuencia.  También  se  puede  utilizar  cuantitativamente  para  asignar  recursos  a  los  tratamientos  analizando
la  reducción  del  riesgo  que  produce  cada  capa  de  protección.  Se  puede  aplicar  a  sistemas  con  un  horizonte
temporal  de  largo  o  corto  plazo  y  generalmente  se  usa  para  tratar  riesgos  operativos.

LOPA  también  se  puede  usar  cuantitativamente  para  la  especificación  de  IPL  y  niveles  de  integridad  de
seguridad  (niveles  SIL)  para  sistemas  instrumentados,  como  se  describe  en  IEC  61508  (todas  las  partes)  y  en
IEC  61511  (todas  las  partes),  y  para  demostrar  que  se  logra  un  SIL  específico .

NOTA Un SIL es un nivel discreto (uno de cuatro posibles) para especificar la confiabilidad requerida de un sistema relacionado con la
seguridad. El nivel 4 tiene el nivel más alto de integridad de seguridad y el nivel 1 tiene el más bajo.

B.4.4.3 Entradas

Las entradas a LOPA incluyen:

•  información  básica  sobre  fuentes,  causas  y  consecuencias  de  eventos;
•  información  sobre  controles  establecidos  o  tratamientos  propuestos;
•  la  frecuencia  del  evento  causal,  y  las  probabilidades  de  falla  de  las  capas  de  protección,  medidas  de
consecuencia  y  una  definición  de  riesgo  tolerable.

B.4.4.4 Salidas

Los resultados son recomendaciones para tratamientos adicionales y estimaciones del riesgo residual.

B.4.4.5 Fortalezas y limitaciones

Las fortalezas de LOPA incluyen lo siguiente.

• Requiere  menos  tiempo  y  recursos  que  el  análisis  del  árbol  de  eventos  o  la  evaluación  de  riesgos
completamente  cuantitativa,  pero  es  más  riguroso  que  los  juicios  cualitativos  subjetivos.
• Ayuda  a  identificar  y  concentrar  los  recursos  en  las  capas  de  protección  más  críticas.
• Identifica  operaciones,  sistemas  y  procesos  para  los  que  no  existen  garantías  suficientes.
• Se  centra  en  las  consecuencias  más  graves.

Las limitaciones de LOPA incluyen lo siguiente.

• Se enfoca en un par causaconsecuencia y un escenario a la vez; las interacciones complejas entre riesgos
o entre controles no están cubiertas.

•  Cuando  se  usa  cuantitativamente,  es  posible  que  no  tenga  en  cuenta  las  fallas  de  modo  común.
• No  se  aplica  a  escenarios  muy  complejos  donde  hay  muchos  pares  de  causaconsecuencia  o  donde  hay
una  variedad  de  consecuencias  que  afectan  a  diferentes  partes  interesadas.

B.4.4.6 Documentos de referencia

[36]  IEC  61508  (todas  las  partes),  Seguridad  funcional  de  los  sistemas  relacionados  con  la  seguridad  eléctricos/
electrónicos/electrónicos  programables
[37]  IEC  61511  (todas  las  partes),  Seguridad  funcional  –  Sistemas  instrumentados  de  seguridad  para  el  proceso
sector  industrial
[38]  Análisis  de  la  capa  de  protección:  evaluación  de  riesgos  del  proceso  simplificado
Machine Translated by Google

– 66 – CEI 31010:2019 CEI 2019

B.5 Técnicas para comprender las consecuencias y la probabilidad

B.5.1 Generalidades

Las técnicas descritas en la Cláusula B.5 tienen como objetivo proporcionar una mayor comprensión de las consecuencias
y su probabilidad. En general, las consecuencias pueden explorarse mediante:

• experimentación, como estudios celulares para explorar las consecuencias de la exposición a toxinas con
resultados aplicados a los riesgos para la salud humana y ecológica;

• investigación de eventos pasados, incluidos estudios epidemiológicos; • modelado

para  determinar  la  forma  en  que  se  desarrollan  las  consecuencias  después  de  algún  desencadenante,  y  cómo  esto
depende  de  los  controles  establecidos.  Esto  puede  incluir  modelos  matemáticos  o  de  ingeniería  y  métodos  lógicos
como  el  análisis  de  árbol  de  eventos  (B.5.6);

• técnicas para fomentar el pensamiento imaginativo, como el análisis de escenarios (B.2.5).

La probabilidad de un evento o de una consecuencia particular se puede estimar mediante:

•  extrapolación  de  datos  históricos  (siempre  que  haya  suficientes  datos  históricos  relevantes  para  que  el  análisis  sea
estadísticamente  válido).  Esto  aplica  especialmente  para  ocurrencias  cero,  cuando  uno  no  puede  asumir  que  debido  a
que  un  evento  o  consecuencia  no  ha  ocurrido  en  el  pasado  no  ocurrirá  en  el  futuro  cercano;

• síntesis de datos relacionados con las tasas de falla o éxito de los componentes de los sistemas: utilizando técnicas como
el análisis de árbol de eventos (B.5.6), análisis de árbol de fallas (B.5.7) o análisis de causa y consecuencia (B.5.5);

• técnicas de simulación, para generar, por ejemplo, la probabilidad de equipos y estructuras
fallas debido al envejecimiento y otros procesos de degradación.

Se  puede  pedir  a  los  expertos  que  expresen  su  opinión  sobre  las  probabilidades  y  las  consecuencias,  teniendo  en  cuenta
la  información  relevante  y  los  datos  históricos.  Hay  una  serie  de  métodos  formales  para  obtener  el  juicio  de  expertos  que
hacen  que  el  uso  del  juicio  sea  visible  y  explícito  (consulte  la  Cláusula  B.1).

La  consecuencia  y  la  probabilidad  se  pueden  combinar  para  dar  un  nivel  de  riesgo.  Esto  se  puede  utilizar  para  evaluar  la
importancia  de  un  riesgo  comparando  el  nivel  de  riesgo  con  un  criterio  de  aceptabilidad,  o  para  clasificar  los  riesgos  por
orden  de  importancia.

Las  técnicas  para  combinar  valores  cualitativos  de  consecuencia  y  probabilidad  incluyen  métodos  de  índice  (B.8.6)  y
matrices  de  consecuencia/probabilidad  (B.10.3).  También  se  puede  producir  una  única  medida  de  riesgo  a  partir  de  una
distribución  de  probabilidad  de  consecuencias  (véanse,  por  ejemplo,  VaR  (B.7.2)  y  CVaR  (B.7.3)  y  curvas  S  (B.10.4)).

B.5.2 Análisis bayesiano

B.5.2.1 Descripción general

Es  común  encontrar  problemas  donde  hay  datos  e  información  subjetiva.
El  análisis  bayesiano  permite  utilizar  ambos  tipos  de  información  para  tomar  decisiones.  El  análisis  bayesiano  se  basa  en
un  teorema  atribuido  al  reverendo  Thomas  Bayes  (1760).  En  su  forma  más  simple,  el  teorema  de  Bayes  proporciona  una
base  probabilística  para  cambiar  de  opinión  a  la  luz  de  nueva  evidencia.  Generalmente  se  expresa  como  en  la  Fórmula  (1):

Pr  |( )
( ) _ un
  PRBA   (1)
Pr  |(  B
A )=
PR ( )
B

dónde

PR(A) es la evaluación previa de la probabilidad de A; es la
PR(B) evaluación previa de la probabilidad de B;
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 67 –

PR(A|B) es la probabilidad de A dado que B ha ocurrido (la evaluación posterior); es la probabilidad
PR(B|A) de B dado que A ha ocurrido.

El teorema de Bayes se puede extender para abarcar múltiples eventos en un espacio de muestra particular.

Por  ejemplo,  supongamos  que  tenemos  algunos  datos,  D,  que  deseamos  utilizar  para  actualizar  nuestra
comprensión  previa  (o  falta  de  ella)  del  riesgo.  Queremos  usar  estos  datos  para  evaluar  los  méritos  relativos  de
un  número  (N)  de  hipótesis  que  compiten  y  no  se  superponen,  que  denotaremos  por  Hn  (donde  n  =  1,  2,  …,  N).
Entonces  el  teorema  de  Bayes  se  puede  usar  para  calcular  la  probabilidad  de  la  jésima  hipótesis  usando  la
Fórmula  (2):

Pr  (|
H
dj )

PR (HD  H|  jj ) = PR ( (2)
PR (H  D)  H
(Pr  |
   )  ∑   norte norte

)

donde j = 1, 2 ..., norte.

Esto muestra que una vez que se tienen en cuenta los nuevos datos, la probabilidad actualizada para la hipótesis
j [es decir, Pr(Hj |D)] se obtiene multiplicando su probabilidad anterior Pr(Hj ) por la fracción entre paréntesis.

El  numerador  de  esta  fracción  es  la  probabilidad  de  obtener  estos  datos  si  la  jésima  hipótesis  es  verdadera.  El
denominador  proviene  de  la  "ley  de  la  probabilidad  total":  la  probabilidad  de  obtener  estos  datos  si,  una  por  una,
cada  hipótesis  fuera  cierta.  El  denominador  es  el  factor  de  normalización.

Una probabilidad bayesiana se puede entender más fácilmente si se considera como el grado de creencia de una
persona en un determinado evento en oposición a la probabilidad clásica que se basa en la evidencia física.

B.5.2.2 Uso

El  análisis  bayesiano  es  un  medio  de  inferencia  a  partir  de  datos,  tanto  de  juicio  como  empíricos.  Se  pueden
desarrollar  métodos  bayesianos  para  proporcionar  inferencia  de  parámetros  dentro  de  un  modelo  de  riesgo
desarrollado  para  un  contexto  particular;  por  ejemplo,  la  probabilidad  de  un  evento,  la  tasa  de  un  evento  o  el
tiempo  hasta  un  evento.

Los  métodos  bayesianos  se  pueden  utilizar  para  proporcionar  una  estimación  previa  de  un  parámetro  de  interés
basado  en  creencias  subjetivas.  Una  distribución  de  probabilidad  previa  suele  asociarse  con  datos  subjetivos,  ya
que  representa  incertidumbres  en  el  estado  del  conocimiento.  Se  puede  construir  un  a  priori  utilizando  solo  datos
subjetivos  o  utilizando  datos  relevantes  de  situaciones  similares.  Una  estimación  previa  puede  proporcionar  una
predicción  probabilística  de  la  probabilidad  de  un  evento  y  ser  útil  para  la  evaluación  de  riesgos  para  los  que  no
hay  datos  empíricos.

Luego, los datos de eventos observados se pueden combinar con la distribución anterior a través de un análisis
bayesiano para proporcionar una estimación posterior del parámetro de riesgo de interés.

El teorema de Bayes se usa para incorporar nueva evidencia en creencias previas para formar una estimación
actualizada.

El  análisis  bayesiano  puede  proporcionar  estimaciones  puntuales  y  de  intervalo  para  un  parámetro  de  interés.
Estas  estimaciones  capturan  las  incertidumbres  asociadas  con  la  variabilidad  y  el  estado  del  conocimiento.  Esto
es  diferente  a  la  inferencia  frecuentista  clásica  que  representa  la  variación  aleatoria  estadística  en  la  variable  de
interés.

El  modelo  de  probabilidad  que  sustenta  un  análisis  bayesiano  depende  de  la  aplicación.  Por  ejemplo,  se  puede
usar  un  modelo  de  probabilidad  de  Poisson  para  eventos  como  accidentes,  no  conformidades  o  entregas  tardías,
o  se  puede  usar  un  modelo  de  probabilidad  binomial  para  eventos  de  una  sola  vez.
Machine Translated by Google

– 68 – CEI 31010:2019 CEI 2019

elementos. Cada vez es más común construir un modelo de probabilidad para representar las relaciones causales
entre variables en forma de una red bayesiana (B.5.3).

B.5.2.3 Entradas

Las entradas de un análisis bayesiano son los datos de juicio y empíricos necesarios para estructurar y cuantificar
el modelo de probabilidad.

B.5.2.4 Salidas

Al igual que las estadísticas clásicas, el análisis bayesiano proporciona estimaciones, tanto de números individuales
como de intervalos, para el parámetro de interés y se puede aplicar a una amplia gama de resultados.

B.5.2.5 Fortalezas y limitaciones

Los puntos fuertes son los siguientes.

•  Las  declaraciones  inferenciales  son  fáciles  de  entender.
• Proporciona  un  mecanismo  para  usar  creencias  subjetivas  sobre  un  problema.
• Proporciona  un  mecanismo  para  combinar  creencias  previas  con  nuevos  datos.

Las limitaciones son las siguientes.

• Puede producir distribuciones posteriores que dependen en gran medida de la elección de la anterior.
• Resolver problemas complejos puede implicar altos costos computacionales y ser intensivo en mano de obra.

B.5.2.6 Documentos de referencia

[39]  GHOSH,  J.,  DELAMPADY,  M.  y  SAMANTA,  T.  Una  introducción  al  análisis  bayesiano,
Nueva  York  SpringerVerlag,  2006
[40]  QUIGLEY,  JL,  BEDFORD,  TJ  y  WALLS,  LA  Obtención  de  distribución  previa

B.5.3 Redes bayesianas y diagramas de influencia

B.5.3.1 Descripción general

Una  red  bayesiana  (red  de  Bayes  o  BN)  es  un  modelo  gráfico  cuyos  nodos  representan  las  variables  aleatorias
(discretas  y/o  continuas)  (Figura  B.3).  Los  nodos  están  conectados  por  arcos  dirigidos  que  representan  dependencias
directas  (que  a  menudo  son  conexiones  causales)  entre  variables.

Los  nodos  que  apuntan  a  un  nodo  X  se  denominan  sus  padres  y  se  denotan  pa(X).  La  relación  entre  las  variables
se  cuantifica  mediante  distribuciones  de  probabilidad  condicional  (CPD)  asociadas  con  cada  nodo,  denominadas
P(X|pa(X)),  donde  el  estado  de  los  nodos  secundarios  depende  de  la  combinación  de  los  valores  de  los  nodos
principales.  En  la  Figura  B.3,  las  probabilidades  se  indican  mediante  estimaciones  puntuales.
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 69 –

Figura B.3: una red bayesiana que muestra una versión simplificada de un problema ecológico
real: modelado de poblaciones de peces nativos en Victoria, Australia

B.5.3.2 Uso

Un BN básico contiene variables que representan eventos inciertos y se pueden usar para estimar la probabilidad o el
riesgo o para inferir factores de riesgo clave que conducen a consecuencias específicas.

Un  BN  se  puede  ampliar  para  incluir  decisiones,  acciones  y  valoraciones,  así  como  incertidumbres,  en  cuyo  caso  se
conoce  como  diagrama  de  influencia,  que  se  puede  utilizar  para  evaluar  el  impacto  de  los  controles/mitigaciones  de
riesgos  o  para  valorar  las  opciones  de  intervención.

Un  modelo  BN  puede  construirse  como  una  representación  cualitativa  de  un  problema  por  parte  de  las  partes
interesadas  y  luego  cuantificarse  utilizando  datos  relevantes,  incluido  el  juicio  (por  ejemplo,  análisis  de  riesgo  del  centro
de  distribución  de  medicamentos),  o  un  modelo  BN  puede  aprenderse  solo  a  partir  de  datos  empíricos  (por  ejemplo,
motores  de  búsqueda  web,  informes  financieros).  riesgo).  Independientemente  de  la  forma  de  una  BN,  el  mecanismo
de  inferencia  subyacente  se  basa  en  el  teorema  de  Bayes  y  posee  las  propiedades  generales  del  análisis  bayesiano  (B.5.2).

BN  se  ha  utilizado  en  una  amplia  gama  de  aplicaciones:  incluida  la  toma  de  decisiones  ambientales,  el  diagnóstico
médico,  la  extensión  de  la  vida  útil  de  la  infraestructura  crítica,  el  riesgo  de  la  cadena  de  suministro,  el  desarrollo  de
nuevos  productos  y  procesos,  el  modelado  de  imágenes,  la  genética,  el  reconocimiento  de  voz,  la  economía,  la
exploración  espacial  y  en  los  motores  de  búsqueda  web. .

En  general,  las  BN  proporcionan  modelos  visuales  que  respaldan  la  articulación  de  problemas  y  la  comunicación  entre
las  partes  interesadas.  Los  modelos  BN  permiten  realizar  análisis  de  sensibilidad  para  explorar  "¿qué  pasaría  si?"
escenarios.  La  construcción  de  la  estructura  cualitativa  de  la  BN  se  puede  respaldar  mediante  el  uso  de  mapas  causales
(B.6.1)  y  una  BN  se  puede  usar  junto  con  el  análisis  de  escenarios  (B.2.5)  y  el  análisis  de  impacto  cruzado  (B.6.2).

Los  BN  son  útiles  para  obtener  aportes  y  acuerdos  de  las  partes  interesadas  para  decisiones  en  las  que  existe  una
gran  incertidumbre  y  una  divergencia  de  puntos  de  vista  de  las  partes  interesadas.  La  representación  es  fácilmente
comprensible,  aunque  se  requiere  experiencia  para  producirla.

Los BN pueden ser útiles para mapear los análisis de riesgo para las partes interesadas no técnicas, al promover la
transparencia de los supuestos y el proceso y al tratar la incertidumbre de una manera que sea matemáticamente sólida.
Machine Translated by Google

– 70 – CEI 31010:2019 CEI 2019

B.5.3.3 Entradas

Las entradas para BN requieren una comprensión de las variables del sistema (nodos), los vínculos causales entre ellos
(arcos dirigidos) y las probabilidades previas y condicionales de estas relaciones.

En el caso de un diagrama de influencia, también se requieren las valoraciones (por ejemplo, pérdida financiera, lesiones,
etc.).

B.5.3.4 Salidas

Los  BN  proporcionan  distribuciones  marginales  y  condicionales  en  una  salida  gráfica  que  generalmente  se  considera  fácil
de  interpretar,  al  menos  en  comparación  con  otros  modelos  de  caja  negra.  El  modelo  BN  y  los  datos  se  pueden  modificar
fácilmente  para  visualizar  fácilmente  las  relaciones  y  explorar  la  sensibilidad  de  los  parámetros  a  diferentes  entradas.

B.5.3.5 Fortalezas y limitaciones

Las fortalezas de los BN incluyen lo siguiente.

• Hay software fácilmente disponible que es relativamente fácil de usar y entender.

• Tienen un marco transparente y pueden ejecutar rápidamente escenarios y analizar la sensibilidad de los resultados a
diferentes supuestos. • Pueden incluir creencias subjetivas

sobre un problema, junto con datos.

Las limitaciones incluyen lo siguiente.

• Definir todas las interacciones para sistemas complejos es difícil y puede volverse complicado desde el punto de vista computacional.
intratable cuando las tablas de probabilidad condicional se vuelven demasiado grandes.

• Los BN suelen ser estáticos y normalmente no incluyen circuitos de retroalimentación. Sin embargo, el uso de la dinámica
BN está aumentando.

•  El  establecimiento  de  parámetros  requiere  el  conocimiento  de  muchas  probabilidades  condicionales  que  generalmente
son  proporcionadas  por  el  juicio  de  expertos.  Los  BN  solo  pueden  proporcionar  respuestas  basadas  en  estos  supuestos
(una  limitación  que  es  común  a  otras  técnicas  de  modelado).

• El usuario puede ingresar errores, pero la salida aún puede dar una respuesta creíble; comprobación
los extremos pueden ayudar a localizar errores.

B.5.3.6 Documentos de referencia

[41]  NEIL,  Martín  y  FENTON,  Norman.  Evaluación  de  riesgos  y  análisis  de  decisiones  con  redes  bayesianas  CRC  Press,
2012
[42]  JENSEN,  FV,  NIELSEN  TD  Redes  bayesianas  y  gráficos  de  decisión,  2ª  ed.
Springer,  Nueva  York,  2007
[43]  NICHOLSON,  A.,  WOODBERRY  O  y  TWARDY  C,  The  "Native  Fish"  Bayesian
redes  Informe  técnico  de  inteligencia  bayesiana  2010/3,  2010
[44]  FIN  DEL  TUTORIAL

B.5.4 Análisis de impacto en el negocio (BIA)

B.5.4.1 Descripción general

El  análisis  de  impacto  empresarial  analiza  cómo  los  incidentes  y  eventos  podrían  afectar  las  operaciones  de  una
organización,  e  identifica  y  cuantifica  las  capacidades  que  serían  necesarias  para  gestionarlo.
Específicamente,  un  BIA  proporciona  una  comprensión  acordada  de:

• la criticidad de los procesos comerciales clave, funciones y recursos asociados y la clave
interdependencias que existen para una organización;

• cómo los eventos disruptivos afectarán la capacidad y la capacidad de lograr negocios críticos
objetivos;
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 71 –

• la capacidad y la capacidad necesarias para gestionar el impacto de una interrupción y recuperar los niveles
de operación acordados.

El BIA se puede realizar mediante cuestionarios, entrevistas, talleres estructurados o una combinación de los
tres.

B.5.4.2 Uso

BIA  se  utiliza  para  determinar  la  criticidad  y  los  plazos  de  recuperación  de  los  procesos  y  los  recursos  asociados
(por  ejemplo,  personas,  equipos  y  tecnología  de  la  información)  para  permitir  una  planificación  adecuada  para
eventos  disruptivos.  BIA  también  ayuda  a  determinar  las  interdependencias  e  interrelaciones  entre  los  procesos,
las  partes  internas  y  externas  y  los  vínculos  de  la  cadena  de  suministro.

También se puede utilizar como parte del análisis de consecuencias al considerar las consecuencias de eventos
disruptivos.

El BIA proporciona información que ayuda a la organización a determinar y seleccionar estrategias de
continuidad del negocio apropiadas para permitir una respuesta y recuperación efectivas de un incidente
disruptivo.

B.5.4.3 Entradas

Las entradas incluyen:

•  información  sobre  los  objetivos,  la  dirección  estratégica,  el  entorno,  los  activos  y  las  interdependencias  de  la
organización;
•  descripción  general  de  los  productos  y  servicios  comerciales  de  la  organización  y  su  relación  con  los  procesos
comerciales;
•  una  evaluación  de  las  prioridades  de  una  revisión  de  gestión  anterior;
•  detalles  de  las  actividades  y  operaciones  de  la  organización,  incluidos  los  procesos,  los  recursos,  las
relaciones  con  otras  organizaciones,  las  cadenas  de  suministro,  los  acuerdos  subcontratados  y  las  partes
interesadas;
•  información  para  permitir  la  evaluación  de  las  consecuencias  financieras,  legales  y  operativas  de  la  pérdida
de  procesos  críticos;
•  un  cuestionario  preparado  u  otros  medios  para  recopilar  información;
•  resultados  de  otras  evaluaciones  de  riesgos  y  análisis  de  incidentes  críticos  relacionados  con  los  resultados
de  incidentes  disruptivos;
•  una  lista  de  personas  de  áreas  relevantes  de  la  organización  y/o  partes  interesadas  que  serán
contactado.

B.5.4.4 Salidas

Las salidas incluyen:

•  una  lista  de  prioridades  de  los  productos  y  servicios  de  la  organización;
•  documentos  que  detallen  la  información  recolectada  como  insumos;
•  una  lista  priorizada  de  procesos  críticos  e  interdependencias  asociadas;
•  impactos  documentados  de  una  pérdida  de  los  procesos  críticos,  incluidos  los  impactos  financieros,  legales,
ambientales  y  operativos;
•  información  sobre  los  recursos  de  apoyo  y  las  actividades  necesarias  para  restablecer  los  procesos  críticos;  •
una  evaluación  de  los  impactos  en  el  tiempo  de  no  entregar  esos  productos  y  servicios  en  el
corto,  mediano  y  largo  plazo;
•  marcos  de  tiempo  priorizados  para  reanudar  la  entrega  de  esos  productos  y  servicios  a  un  nivel  mínimo
especificado,  teniendo  en  cuenta  el  tiempo  después  del  cual  los  impactos  de  no  reanudarlos  serían
inaceptables;
Machine Translated by Google

– 72 – CEI 31010:2019 CEI 2019

• marcos de tiempo de interrupción para el proceso crítico y los marcos de tiempo de recuperación de tecnología de la
información asociados.

B.5.4.5 Fortalezas y limitaciones

Las fortalezas del BIA incluyen que proporciona:

• una comprensión profunda de los procesos críticos que permiten a una organización lograr sus objetivos y que pueden
indicar áreas de mejora comercial;

• información necesaria para planificar la respuesta de una organización a un evento disruptivo;

• una comprensión de los recursos clave necesarios en caso de una interrupción;

• una oportunidad para redefinir el proceso operativo de una organización para ayudar a mejorar
la resiliencia de la organización.

Las limitaciones incluyen lo siguiente.

•  BIA  se  basa  en  el  conocimiento  y  las  percepciones  de  los  participantes  involucrados  en  el  llenado  de  cuestionarios,  o
en  la  realización  de  entrevistas  o  talleres.  Esto  puede  conducir  a  expectativas  simplistas  o  demasiado  optimistas
de  los  requisitos  de  recuperación.

• La dinámica de grupo puede afectar negativamente el análisis completo de un proceso crítico.

• Puede haber expectativas simplistas o demasiado optimistas de los requisitos de recuperación.
• Puede ser difícil obtener un nivel adecuado de comprensión de las operaciones y actividades de la organización.

B.5.4.6 Documentos de referencia

[45]  ISO  TS  22317,  Seguridad  social  –  Sistemas  de  gestión  de  la  continuidad  del  negocio  –  Directrices
para  análisis  de  impacto  empresarial
[46]  ISO  22301,  Seguridad  social  –  Sistemas  de  gestión  de  la  continuidad  del  negocio  –  Requisitos

B.5.5 Análisis de causaconsecuencia (CCA)

B.5.5.1 Descripción general

En algunas circunstancias, un evento que podría ser analizado por un árbol de fallas es mejor abordado por CCA. Por
ejemplo:

• si  es  más  fácil  desarrollar  secuencias  de  eventos  que  relaciones  causales;
• si  el  TLC  pudiera  llegar  a  ser  muy  grande;
• si  hay  equipos  separados  que  se  ocupan  de  diferentes  partes  del  análisis.

En la práctica, a menudo no es el evento principal el que se define primero, sino los eventos potenciales en la interfaz
entre el dominio funcional y técnico.

Por  ejemplo,  considere  el  evento  "pérdida  de  tripulación  o  vehículo"  para  una  misión  de  nave  espacial.  En  lugar  de
construir  un  gran  árbol  de  fallas  basado  en  este  evento  principal,  los  eventos  no  deseados  intermedios,  como  fallas  de
encendido  o  fallas  de  empuje,  pueden  definirse  como  eventos  principales  y  analizarse  como  árboles  de  fallas  separados.
Estos  eventos  principales  se  utilizarían  a  su  vez  como  entradas  para  los  árboles  de  eventos  para  analizar  las
consecuencias  operativas.

Se  pueden  distinguir  dos  tipos  de  CCA,  dependiendo  de  qué  parte  del  análisis  es  más  relevante  para  las  circunstancias.
Cuando  se  requieren  causas  detalladas  pero  es  aceptable  una  descripción  más  general  de  la  consecuencia,  entonces
la  parte  del  análisis  del  árbol  de  fallas  se  expande  y  el  análisis  se  denomina  CCASELF  (árbol  de  eventos  pequeños,
árbol  de  fallas  grandes).  Cuando  se  requiere  una  descripción  detallada  de  la  consecuencia  pero  la  causa  se  puede
considerar  con  menos  detalle,  el  análisis  se  denomina  CCALESF  (árbol  de  eventos  grandes,  árbol  de  fallas  pequeñas).
La  Figura  B.4  muestra  un  diagrama  conceptual  de  un  análisis  típico  de  causaconsecuencia.
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 73 –

B.5.5.2 Uso

Al  igual  que  el  análisis  del  árbol  de  fallas,  CCA  se  utiliza  para  representar  la  lógica  de  falla  que  conduce  a  un  evento
crítico,  pero  se  suma  a  la  funcionalidad  de  un  árbol  de  fallas  al  permitir  el  análisis  de  fallas  secuenciales  en  el  tiempo.
El  método  también  permite  incorporar  retrasos  de  tiempo  en  el  análisis  de  consecuencias,  lo  que  no  es  posible  con  los
árboles  de  eventos.  Analiza  las  diversas  rutas  que  podría  tomar  un  sistema  después  de  un  evento  crítico  según  el
comportamiento  de  subsistemas  particulares  (como  los  sistemas  de  respuesta  a  emergencias).

Si se cuantifica, un análisis de causaconsecuencia dará una estimación de la probabilidad de diferentes consecuencias
posibles después de un evento crítico.

Como cada secuencia en un diagrama de causaconsecuencia es una combinación de subárboles de fallas, el análisis de
causa y consecuencia se puede usar para construir grandes árboles de fallas.

Dado que los diagramas son complejos de producir y usar, la técnica tiende a aplicarse cuando la magnitud de la
consecuencia potencial de la falla justifica un esfuerzo intensivo.

Figura B.4 – Ejemplo de diagrama causaconsecuencia

B.5.5.3 Entradas

Se requiere una comprensión del sistema y sus modos de falla y escenarios de falla.

B.5.5.4 Salidas

Los resultados de CCA son:

• una representación esquemática de cómo un sistema puede fallar mostrando tanto las causas como
consecuencias;
Machine Translated by Google

– 74 – CEI 31010:2019 CEI 2019

• una estimación de la probabilidad de ocurrencia de cada consecuencia potencial basada en el análisis de
probabilidades de ocurrencia de condiciones particulares después del evento crítico.

B.5.5.5 Fortalezas y limitaciones

Además de las fortalezas de los árboles de fallas y eventos, CCA es más capaz de representar simultáneamente
las causas y consecuencias de un evento de enfoque y las dependencias de tiempo que estas técnicas.

Las limitaciones incluyen que CCA es más complejo que el árbol de fallas y el análisis del árbol de eventos,
tanto en su construcción como en la forma en que se tratan las dependencias durante la cuantificación.

B.5.5.6 Documentos de referencia

[47] ANDREWS JD, RIDLEY LM 2002. Aplicación del método de diagrama de causaconsecuencia a sistemas
estáticos
[48] NIELSEN DS El método del diagrama de causa/consecuencia como base para el análisis cuantitativo de
accidentes

B.5.6 Análisis de árbol de eventos (ETA)

B.5.6.1 Descripción general

ETA  es  una  técnica  gráfica  que  representa  las  secuencias  mutuamente  excluyentes  de  eventos  que  podrían
surgir  después  de  un  evento  iniciador  según  si  los  diversos  sistemas  diseñados  para  cambiar  las  consecuencias
funcionan  o  no.  El  árbol  se  puede  cuantificar  para  proporcionar  las  probabilidades  de  los  diferentes  resultados
posibles  (consulte  la  Figura  B.5).

El  árbol  comienza  con  el  evento  iniciador  y  luego  para  cada  control  se  dibujan  líneas  para  representar  su  éxito
o  fracaso.  Se  puede  asignar  una  probabilidad  de  falla  o  éxito  a  cada  control,  por  juicio  de  expertos,  a  partir  de
datos  o  de  análisis  de  árboles  de  fallas  individuales.  Las  probabilidades  son  probabilidades  condicionales.  Por
ejemplo,  la  probabilidad  de  que  un  elemento  funcione  no  es  la  probabilidad  obtenida  de  las  pruebas  en
condiciones  normales,  sino  la  probabilidad  de  funcionar  en  las  condiciones  del  evento  iniciador.

La  frecuencia  de  los  diferentes  resultados  viene  representada  por  el  producto  de  las  probabilidades  condicionales
individuales  y  la  probabilidad  o  frecuencia  del  evento  de  iniciación,  dado  que  los  distintos  eventos  son
independientes.  En  la  figura  B.5,  se  supone  que  la  probabilidad  del  evento  iniciador  es  1.

B.5.6.2 Uso

ETA  se  puede  usar  cualitativamente  para  ayudar  a  analizar  escenarios  potenciales  y  secuencias  de  eventos
después  de  un  evento  de  inicio,  y  para  explorar  cómo  los  resultados  se  ven  afectados  por  varios  controles.  Se
puede  aplicar  a  cualquier  nivel  de  una  organización  ya  cualquier  tipo  de  evento  iniciador.

La  ETA  cuantitativa  se  puede  utilizar  para  considerar  la  aceptabilidad  de  los  controles  y  la  importancia  relativa
de  los  diferentes  controles  para  el  nivel  general  de  riesgo.  El  análisis  cuantitativo  requiere  que  los  controles
funcionen  o  no  (es  decir,  no  puede  tener  en  cuenta  los  controles  degradados)  y  que  los  controles  sean
independientes.  Este  es  principalmente  el  caso  de  problemas  operativos.  ETA  se  puede  utilizar  para  modelar
eventos  iniciadores  que  pueden  generar  pérdidas  o  ganancias.  Sin  embargo,  las  circunstancias  en  las  que  se
buscan  caminos  para  optimizar  la  ganancia  se  modelan  más  a  menudo  utilizando  un  árbol  de  decisión  (B.9.3).
Machine Translated by Google

CEI 31010:2019 CEI 2019 – 75 –

Figura B.5 – Ejemplo de análisis de árbol de eventos

B.5.6.3 Entradas

Las entradas incluyen:

•  un  evento  iniciador  especificado;
•  información  sobre  barreras  y  controles  y,  para  el  análisis  cuantitativo,  sus  probabilidades  de  falla;
•  una  comprensión  de  los  posibles  escenarios.

B.5.6.4 Salidas

Los resultados de ETA incluyen lo siguiente:

•  descripciones  cualitativas  de  los  posibles  resultados  de  los  eventos  iniciadores;
•  estimaciones  cuantitativas  de  tasas/frecuencias  o  probabilidades  de  eventos  y  la  importancia  relativa
de  varias  secuencias  de  fallas  y  eventos  contribuyentes;
•  evaluaciones  cuantitativas  de  la  eficacia  de  los  controles.

B.5.6.5 Fortalezas y limitaciones

Las fortalezas de ETA incluyen lo siguiente.

• Se analizan los escenarios potenciales que siguen a un evento iniciador y se muestra la influencia del éxito o
fracaso de los controles en forma de diagrama claro que puede, si es necesario, cuantificarse.

• Identifica eventos finales que de otro modo no podrían ser previstos.
• Identifica fallas potenciales de un solo punto, áreas de vu

Estándar Internacional

Cargado por

Estándar Internacional

Cargado por

Machine Translated by Google

– 2 – CEI 31010:2019 CEI 2019

CEI 31010:2019 CEI 2019 – 3 –

– 4 – CEI 31010:2019 CEI 2019

CEI 31010:2019 CEI 2019 – 5 –

– 6 – CEI 31010:2019 CEI 2019

CEI 31010:2019 CEI 2019 – 7 –

– 8 – CEI 31010:2019 CEI 2019

CEI 31010:2019 CEI 2019 – 9 –

– 10 – CEI 31010:2019 CEI 2019

CEI 31010:2019 CEI 2019 – 11 –

– 12 – CEI 31010:2019 CEI 2019

CEI 31010:2019 CEI 2019 – 13 –

– 14 – CEI 31010:2019 CEI 2019

CEI 31010:2019 CEI 2019 ­ 15 ­

­ dieciséis ­ CEI 31010:2019 CEI 2019

CEI 31010:2019 CEI 2019 – 17 –

– 18 – CEI 31010:2019 CEI 2019

CEI 31010:2019 CEI 2019 – 19 –

– 20 – CEI 31010:2019 CEI 2019

CEI 31010:2019 CEI 2019 – 21 –

– 22 – CEI 31010:2019 CEI 2019

CEI 31010:2019 CEI 2019 – 23 –

– 24 – CEI 31010:2019 CEI 2019

CEI 31010:2019 CEI 2019 – 25 –

– 26 – CEI 31010:2019 CEI 2019

CEI 31010:2019 CEI 2019 – 27 –

– 28 – CEI 31010:2019 CEI 2019

CEI 31010:2019 CEI 2019 – 29 –

– 30 – CEI 31010:2019 CEI 2019

CEI 31010:2019 CEI 2019 – 31 –

Característica Descripción Detalles (por ejemplo, indicadores de características)

Solicitud Cómo se utiliza la técnica en la evaluación Obtenga puntos de vista, identifique, analice la

Alcance Se aplica al riesgo a nivel organizacional, organización (org)

Horizonte de tiempo Considera el riesgo a corto, mediano o largo plazo Corto, mediano, largo, cualquiera

Nivel de decisión Se aplica al riesgo a nivel estratégico, táctico u Estratégico (1), táctico (2), operativo (3)

Necesidades iniciales de información/datos El nivel de información inicial o datos necesarios Alto medio bajo

Experiencia especializada Nivel de experiencia requerido para la correcta bajo: entrenamiento intuitivo o de uno a dos días

Esfuerzo para aplicar Tiempo y costo requeridos para aplicar la alto medio bajo

Técnica Descripción Ámbito de aplicación Nivel de Necesidades Experiencia Cual/cuanto/ Esfuerzo

B.8.2 Criterios ALARP/SFAIRP para decidir la importancia del riesgo y evaluar. 1 cualquier 1/2 alto alto cual/cuánto alto

B.10.3 Consecuencia/ Compara riesgos individuales seleccionando un par reportar riesgos cualquier cualquier cualquier medio bajo para usar, moderado cual/ bajo

cruzado conjunto dado de eventos como consecuencia de la probabilidad medio

B.9.3 Análisis de árboles Utiliza una representación en forma de árbol o modelo de comparar cualquier cualquier

Técnica Descripción Ámbito de aplicación Nivel de Necesidades Experiencia Cual/cuanto/ Esfuerzo

B.5.6 Análisis de Modela los posibles resultados de un evento iniciador dado analizar 2/3 cualquier cualquier baja/media moderada calidad/cuantificación media

B.5.7 Análisis de árbol de fallas Analiza las causas de un evento de enfoque usando analizar 2/3 medio 2/3 alta para depende de la calidad/cuantificación medio/alto

B.4.4 Capas de Analiza la reducción de riesgos que puede ser el análisis de protección analizar 3 cualquier 2/3 medio moderado/alto calidad/cuantificación medio/alto

B.5.9 Análisis de Markov Calcula la probabilidad de que un sistema analizar 3 cualquier 2/3 altura media alto en cuanto a medio

B.5.11 (PIA/DPIA) privacidad Analiza cómo los incidentes y eventos podrían impactar el análisis/afectar analizar cualquier cualquier 1/2 medio moderado/alto cual medio

Técnica Descripción Ámbito de aplicación Nivel de Necesidades Experiencia Cual/cuanto/ semi­ Esfuerzo

B.10.2 Registros de riesgos Medio de registro de información sobre riesgos y seguimiento de riesgos de cualquier cualquier cualquier medio bajo bajo/ cual medio

CEI 31010:2019 CEI 2019 – 37 –

– 38 – CEI 31010:2019 CEI 2019

ALARP, ALARA y SFAIRP ESO ESO ESO ESO en B.8.2

análisis bayesiano ESO ESO en ESO ESO B.5.2

redes bayesianas ESO ESO en ESO en B.5.3

Lluvia de ideas en A ESO ESO ESO B.1.2

Análisis de Impacto del Negocio A en ESO ESO ESO B.5.4

Mapeo causal A A ESO ESO ESO B.6.1

enfoque cindínico en ESO ESO ESO ESO B.3.2

Matriz de consecuencias/probabilidades ESO A A en A B.10.3

Análisis coste­beneficio ESO en ESO ESO en B.9.2

Análisis de impacto cruzado ESO ESO en ESO ESO B.6.2

Análisis de árboles de decisión ESO en en A A B.9.3

técnica Delphi en ESO ESO ESO ESO B.1.3

Análisis de árbol de eventos ESO en A A A B.5.6

Análisis del árbol de fallos A ESO en A A B.5.7

Teoría de juego A en ESO ESO en B.9.4

Estudios de peligrosidad y operabilidad en A ESO ESO ESO B.2.4

Análisis de peligros y puntos críticos en en ESO ESO en B.4.3

Ishikawa (espina de pescado) en A ESO ESO ESO B.3.3

Análisis de protección de capas (LOPA) A en A A ESO B.4.4

análisis de Markov A A en ESO ESO B.5.9

simulación del Monte Carlo ESO A A A en B.5.10

Análisis multicriterio (ACM) A ESO ESO ESO en B.9.5

CEI 31010:2019 CEI 2019 15

dieciséis CEI 31010:2019 CEI 2019

Técnica Descripción Ámbito de aplicación Nivel de Necesidades Experiencia Cual/cuanto/ semi Esfuerzo

Análisis costebeneficio ESO en ESO ESO en B.9.2

CEI 31010:2019 CEI 2019 sesenta y cinco