I.

Peligro / Amenaza
Estos dos conceptos estn muy ligados, y por su cercana, propensos a ser
confundidos entre s; e incluso a ser considerados como sinnimos y ser usados
indistintamente. As vemos que en algunas metodologas solo mencionan a uno de
ellos; como por ejemplo, la metodologa Identificacin de peligros, Evaluacin de
riesgos IPER que solo consideran la idea de peligro; O, en caso contrario, en la
metodologa Corbata michi Bow Tie en la que se hace referencia solo a la
amenaza. Incluso hay metodologas que consideran ambos conceptos como cuasi
sinnimos, como las ligadas a la de los riesgos naturales.
Otra limitacin que encontramos, y esta vez ligada al lenguaje espaol, es que la
definicin de peligro se usa tanto para identificar una situacin potencial que puede
ser daina, como para sealar una situacin concreta en la que se produce el dao.
Para desenredar este nudo gordiano nos apoyaremos en un smil que nos permitir
comprender que si bien en esencia no existe diferencia entre un peligro, ya sea este
potencial o concreto, y una amenaza, si lo existe en la condicin en que estos se
presentan, y este smil est relacionado con los estados del agua, esto es, nos
referimos al vapor (de agua), al agua propiamente dicha y al hielo (de agua); todos
sabemos que estamos hablamos de agua, pero estas tres ideas se diferencian en la
forma fsica como se presentan: gaseosa, lquida y slida.
Como complemento a esta analoga usaremos en nuestra explicacin conceptos del
ingls que nos permitir visualizar mejor las diferencias que planteamos, y que
presentamos a continuacin:
a) Hazard: Corresponde al peligro potencial y est alineada con una definicin
conocida: Peligro: Es una fuente o situacin con potencial capacidad de
producir prdidas en trminos de bienes y dao a la propiedad.
Por ejemplo, si estamos en Lima (ciudad en la que no se producen tormentas
elctricas) sabemos que en la cordillera peruana se presentan rayos que tienen
la potencialidad de hacer dao, pero al estar en Lima no existe la probabilidad
que nos expongamos a ese peligro, y por lo tanto no tenemos que tomar ninguna
medida al respecto.
b) Threat: Nos referimos a la Amenaza, y est relacionada a factores externos que
advierten proximidad o propensin a un evento de prdida (materializacin de
un riesgo).

Sus comentarios respecto a este artculo por favor hacerlos llegar al siguiente correo: smasiasg@hotmail.com

La diferencia crtica entre los conceptos de peligro y el de amenaza est dada

por que el primero est asociado a la potencialidad que ocurra un hecho, y el
segundo a la probabilidad de ocurrencia de un riesgo.
Si seguimos con el ejemplo planteado al definir el peligro, corresponde a la figura
de trasladarnos a la cordillera peruana, en temporada de lluvias, cuando se tiene
que ha estado lloviendo dos o tres veces por semana, y hemos llegado en un da
soleado. Por lo tanto, nos exponemos a la probabilidad de tener un dao si hay
una tormenta de rayos durante nuestra estada en la sierra. En esta situacin
estamos describiendo un riesgo e implcitamente hablamos de una amenaza que
es un componente de este.
c) Danger: Concierne al peligro concreto, e implica la materializacin del riesgo y
cuyas consecuencias dependern del evento en s, y como este se desenvuelve.
En nuestro ejemplo, salimos a pasear a la campia y de pronto comienza a
llover, y luego comienza la tormenta de rayos. Ya no estamos ante un riesgo,
sino ante un hecho cierto que nos enfrenta a un peligro concreto.
El cuadro que presentamos a continuacin nos permitir visualizar mejor lo que
acabamos de describir como la frontera del riesgo, desde la ptica de la capacidad de
producir un dao:

Sus comentarios respecto a este artculo por favor hacerlos llegar al siguiente correo: smasiasg@hotmail.com

Dos razones que nos permiten ver la importancia de comprender debidamente estos
conceptos las presentamos a continuacin:

Es muy comn al momento de identificar una amenaza entre las empresas es

confundirlas con un peligro; esto es, se enfocan en situaciones potenciales que
podran producirles un dao, y que en la prctica la probabilidad de ocurrencia
de tal situacin es nula, y en consecuencia no configurara un riesgo, y terminan
aplicando medidas de mitigacin que no son necesarias, incurriendo en gastos
innecesarios.
Comprender la diferencia que existe entre un peligro potencial, una amenaza y
un peligro concreto permitira la aplicacin del concepto de barrera que se aplica
en metodologas como el Modelo del Queso Suizo Modelo Reason, o del
Modelo de la Corbata Michi Bow Tie y que tiene una gran importancia en la
prevencin de riesgos.

A continuacin presentamos una figura que nos permitir visualizar mejor lo dicho en el
prrafo previo:

Sus comentarios respecto a este artculo por favor hacerlos llegar al siguiente correo: smasiasg@hotmail.com

II.

Descripcin del riesgo

Otra situacin ligada al concepto de peligro/amenaza es que muchas veces se les
trata como si fueran un sinnimo (o, cuasi sinnimo) de riesgos, en cuyo caso se
define al riesgo solo en funcin del peligro/amenaza, o tan solo considerndolos en
el contexto de un evento dado.
Para esclarecer esta confusin nos apoyaremos en un criterio que es usado por un
conocido sistema de gestin de control y seguridad (BASC) para evaluar la
probabilidad de ocurrencia de un riesgo: Dado un evento se evala la relacin
(Amenaza - Vulnerabilidad) que se da en l.
En consecuencia es necesario identificar previamente al evento, la amenaza y
la vulnerabilidad que interactan en dicho riesgo, para poder evaluar su
probabilidad.
Ahora bien, respecto a la amenaza y a la vulnerabilidad, podemos usar las
siguientes definiciones que son usadas en la seguridad de la cadena de
suministros:
Amenaza: Son aquellos factores externos a la organizacin que advierten
proximidad o propensin a un evento de prdida (materializacin de un riesgo)
sobre los cuales esta no tiene control.
Vulnerabilidad: Son todos los factores internos a la organizacin que
facilitan la materializacin de un evento de prdida (riesgos) sobre los cuales se
debern determinar alternativas de control.
En ambas definiciones, no solo se remarca el hecho que tanto la amenaza
como la vulnerabilidad son componentes del riesgo uno externo, el otro
interno sino que tambin se habla de la existencia de un evento de prdida,
por lo que podemos afirmar que el evento al que se hace mencin en la
definicin de probabilidad corresponde a un evento de prdida, por lo que
podemos inferir que para que podamos hablar de una prdida, previamente
debemos reconocer un valor el cual puede ser afectado.
Dicho de otro modo, si hablamos de un evento de prdida estamos
refirindonos que en ese evento por la interaccin de la amenaza con la
vulnerabilidad se puede afectar el valor tangible o intangible que participa
en ese evento. Y esto que acabamos de describir tiene relacin con la
definicin de Impacto:

Sus comentarios respecto a este artculo por favor hacerlos llegar al siguiente correo: smasiasg@hotmail.com

Impacto: Conjunto de consecuencias provocadas por un hecho.

Subsiguientemente, teniendo en cuenta lo anteriormente dicho para poder
evaluar un riesgo, por su probabilidad y su impacto, se requiere que primero se
identifiquen los componentes del riesgo: el Evento en el que interactan la
Amenaza la Vulnerabilidad, y el dao que afectara al valor que participa en el
evento y que es afectado por la interrelacin de la amenaza con la
probabilidad, tal como se muestra en la figura que se muestra a continuacin:

Como corolario, podemos sugerir que si la probabilidad de ocurrencia de un

riesgo est en funcin de un evento, la amenaza y la vulnerabilidad; su
impacto estara en funcin del valor que participa en ese evento, y como la
relacin de la amenaza con la vulnerabilidad lo afecta (daa).
Es as que demostramos que definir un riesgo solo en funcin de un evento y
su amenaza es una manera muy pobre de hacerlo.
Sus comentarios respecto a este artculo por favor hacerlos llegar al siguiente correo: smasiasg@hotmail.com

III.

La determinacin del impacto y el efecto cascada

Existen diversas definiciones para definir el impacto de un riesgo, una que se ajusta
muy bien la presentamos a continuacin: Conjunto de consecuencias provocadas
por un hecho.
Por otro lado, debemos tener en cuenta lo que dice la ISO 31000:2009 respecto a la
Consecuencia: Resultado de un evento que afecta a los objetivos y aade en su
nota 4 que Las consecuencias iniciales pueden escalar a travs de efectos
secundarios.
Al respecto queremos destacar que cuando evaluemos el impacto de un riesgo se
tenga en cuenta lo que se conoce como el efecto cascada al momento de calificar
el impacto, y que justamente hace referencia a la nota 4 de la definicin de
consecuencia:
"Por la falta de un clavo fue que la herradura se perdi.
Por la falta de una herradura fue que el caballo se perdi.
Por la falta de un caballo fue que el caballero se perdi.
Por la falta de un caballero fue que la batalla se perdi.
Y as como la batalla, fue que un reino se perdi.
Y todo porque fue un clavo el que falt." *

IV.

Prrafo extrado de Jacula Prudentum (1651), una recopilacin de proverbios hecha por George Herbert, un
poeta, orador y sacerdote de origen gales

Riesgo inherente / Riesgo residual

Para desarrollar estos conceptos nos apoyaremos en la ISO 31000:2009, donde
podemos observar que se incluyen los controles en la fase del anlisis del riesgo,
puesto que en el numeral 5.4.3 se dice: Tambin se deberan considerar los
controles existentes y su eficacia y eficiencia.
Y tambin en la ISO 31000:2009 encontramos en el numeral 5.5.1 lo siguiente: El
tratamiento del riesgo involucra la seleccin de una o ms opciones para modificar
los riesgos y la implementacin de tales opciones. Una vez implementado, el
tratamiento suministra controles o los modifica. El tratamiento del riesgo implica
un proceso cclico de:

Valoracin del tratamiento del riesgo;

Decisin sobre si los niveles de riesgo residual son tolerables;

Sus comentarios respecto a este artculo por favor hacerlos llegar al siguiente correo: smasiasg@hotmail.com

El hecho que se hable en la etapa del tratamiento del riesgo de suministrar controles
o modificarlos, y que a continuacin se hable sobre si el nivel de riesgo residual es
tolerable nos lleva a tres reflexiones:

Que lo que se hable en el tema de controles en la etapa de tratamiento de

riesgos tambin aplica para la etapa de anlisis de riesgos pues al referirse a
una modificacin de controles implcitamente se refiere a los controles
identificados en el anlisis de riesgos.
Que el nivel de riesgo residual tambin aplica para el anlisis de riesgos,
puesto que si en la etapa de tratamiento de riesgos se toma la opcin de no
incluir controles adicionales, el nivel de riesgo residual quedara definido a
nivel del anlisis del riesgo, al considerar los controles identificados en esa
etapa.
Por lo tanto cuando en el tratamiento de riesgos se habla de riesgo residual,
se habla al riesgo residual final, y que su concepto se aplica desde la etapa
del anlisis de riesgos.

Armonizando los enunciados dados, vemos que est en lnea con la prctica comn
al momento de evaluar un riesgo, la cual consiste que primero se procede a calificar
el riesgo propio del evento sin tener en cuenta el efecto de los controles, lo que se
define como el riesgo inherente; para luego valorar el nivel de riesgo resultante
despus de aplicar los controles, a lo que se llama riesgo residual.
El calcular primero el nivel de riesgo inherente y luego el riesgo residual otorga
muchos beneficios a la Organizacin, tales como:
a) Conocer el verdadero nivel de riesgo que conlleva su operacin, para tomar
conciencia a que se est exponiendo y poder tomar decisiones apropiadas.
b) Al conocer el nivel de riesgo inherente y el nivel de riesgo residual de una
operacin, y poder as compararlos, se podr tomar conciencia que tan
eficaces son los controles que se han implementado.
c) Si se calcula directamente el riesgo residual, puede darse el caso que se
estn considerando controles innecesarios puesto que el riesgo inherente
podra tener un nivel bajo, y no requerira un mayor control.
Los beneficios descritos pueden ser visualizados en la figura que se presenta a
continuacin:

Sus comentarios respecto a este artculo por favor hacerlos llegar al siguiente correo: smasiasg@hotmail.com

V.

Prioridad de riesgos
Desde el principio, a travs de su definicin de riesgo Efecto de la incertidumbre
sobre los objetivos la ISO 31000:2009 nos invita a que tengamos muy presente
la ntima relacin que existe entre los objetivos de una organizacin y el efecto de
los riesgos sobre ella.
Esto que acabamos de decir, y que aparece como una verdad de Perogrullo se
refleja a lo largo de la etapa Establecer el contexto, que forma parte de la
metodologa propuesta por la ISO 31000:2009; As tenemos que en el punto 5.3.1
generalidades, se comienza sealando Al establecer el contexto, la organizacin
articula sus objetivos, define los parmetros externos e internos que se van a
considerar al gestionar el riesgo y establece el alcance y los criterios del riesgo para
el resto del proceso.
La ISO 31000:2009 continua en la lnea de pensamiento del prrafo anterior, al
definir la naturaleza de los criterios del riesgo: Los criterios del riesgo se basan en
los objetivos y en el contexto externo e interno de la organizacin.
Y no deja de remarcar la importancia de los objetivos en la gestin de riesgos,
cuando seala en el numeral 5.3.3 que, El contexto interno es el ambiente interno
en el cual la organizacin busca alcanzar sus objetivos., y luego sigue en el
inciso (a): la gestin del riesgo tiene lugar en el contexto de los objetivos de la
organizacin.

Sus comentarios respecto a este artculo por favor hacerlos llegar al siguiente correo: smasiasg@hotmail.com

Vemos as que existe una relacin cercana entre los objetivos de la organizacin y
los riesgos de esta.
Adems de la importancia de los objetivos, la ISO 31000:2009 en el numeral 5.3.3
nos indica que existen otros elementos que debemos tomar en cuenta: El proceso
para la gestin del riesgo debera estar alineado con la cultura, los procesos, la
estructura y la estrategia de la organizacin. El contexto interno es todo aquello
dentro de la organizacin que pueda tener influencia en la forma en que la
organizacin gestionar el riesgo.
Lo descrito en el prrafo anterior nos permite tomar conciencia de la importancia de
la Cultura de la Organizacin en la percepcin del riesgo, la cual est emparentada
a lo que la ISO 31000:2009 describe como la actitud ante el riesgo: Enfoque de la
organizacin para evaluar y eventualmente buscar, retener, tomar o alejarse del
riesgo
Y este enfoque puede pasar por tres hitos que la literatura de riesgos reconoce
como ser adversos, neutrales y amantes al riesgo, y que la figura siguiente nos
permitir visualizar mejor:

Por lo tanto podemos afirmar que una de las tareas ms importantes de la

etapa establecer el contexto es definir los criterios que nos permitirn
determinar la prioridad de los riesgos para su tratamiento, los mismos que
pasan por la interaccin de dos ejes:

Sus comentarios respecto a este artculo por favor hacerlos llegar al siguiente correo: smasiasg@hotmail.com

a) Uno Objetivo, y que est justamente liderado por los Objetivos de la

organizacin, y como sta se estructura y opera en funcin de estos
objetivos.
b) Uno Subjetivo, y que est ligado a la Cultura de la organizacin, y de
manera particular a su actitud al riesgo, que por definicin debera ser
comn a toda la organizacin.
Por otro lado, en el numeral 5.4.4 Evaluacin del riesgo, la ISO 31000:2009 seala
El propsito de la evaluacin del riesgo es facilitar la toma de decisiones, basada
en los resultados de dicho anlisis, a acerca de cules riesgos necesitan tratamiento
y la prioridad para la implementacin del tratamiento.
Y a continuacin se dice: La evaluacin del riesgo implica la comparacin del
nivel de riesgo observado durante el proceso de anlisis y de los criterios del
riesgo establecidos al considerar el contexto. Con base en esta comparacin, se
puede considerar la necesidad de tratamiento.
En consecuencia, una manera coherente de proceder respecto a la ISO
31000:2009, es aplicar los dos ejes sealados prrafos arriba para establecer
la prioridad de los riesgos de la organizacin, es decir, en funcin de los
Objetivos y de la Actitud ante el riesgo de la misma, y ambos deben quedar
definidos al establecerse el contexto de la Organizacin.

A modo de Conclusin
Como ya hemos sealado, la ISO 31000:2009 define al riesgo como el Efecto
de la incertidumbre sobre los objetivos, pero debemos recalcar que el riesgo es una
de las formas como se manifiesta la incertidumbre, las otras son la ignorancia, la
duda y la ambigedad como fue bien sealado por los investigadores ORiordan y
Cox en su obra Ciencia, Riesgo, Incertidumbre y Precaucin, Universidad de
Cambridge, 2001.
A lo largo de este artculo hemos sealado en repetidas ocasiones la
importancia que tiene que para una apropiada implementacin de la gestin de
riesgos que se identifique debidamente sus riesgos para que de esta manera
tener slidas bases para su evaluacin y as determinar adecuadamente tanto
la probabilidad como el impacto del mismo.
En la figura que se muestra a continuacin mostramos la interrelacin que
existe entre las distintas formas como se puede presentar una incertidumbre y
Sus comentarios respecto a este artculo por favor hacerlos llegar al siguiente correo: smasiasg@hotmail.com

el grado de solidez de las bases que permitiran su evaluacin; para de esta

forma que solo existe un sustento apropiado para determinar su probabilidad y
su consecuencia de una incertidumbre podremos decir que nos estamos
refiriendo a un riesgo.

Sus comentarios respecto a este artculo por favor hacerlos llegar al siguiente correo: smasiasg@hotmail.com