Debemos diferenciar entre lo que es el CONCEPTO de Riesgo y la FORMA DE MEDIRLO.

Lo que
ha sucedido es que algunos autores u organizaciones incorporan en la definición la manera de
medir el Riesgo. Dicho de manera sencilla el concepto No varía; cambia la manera como se
define....

Si te fijas en cada una de las definiciones mencionadas aparecen siempre TRES (3) elementos:
EVENTO, PROBABILIDAD (Posibilidad, frecuencia, etc.) de que el mismo pueda ocurrir,
y CONSECUENCIA que dicho evento tendría en caso que llegara a ocurrir.

¿Que ha ido entonces refinándose en los últimos años?; veamos algunas cosas.

En primer lugar, el concepto se ha ido extendiendo - y así lo reconocen ahora las principales
Normas internacionales y autores - no solo a "Eventos Negativos" (Incendios, atentados,
terremotos, etc...) sino también a "Eventos Positivos". Por ello la concepción, por ejemplo de
CONSECUENCIA requiere necesariamente un punto de referencia pues genéricamente
CONSECUENCIA es un efecto sobre "algo" o cambio de algo; por ello para poder determinar una
CONSECUENCIA hay que determinar que es aquello que puede cambiar o afectarse.

La tendencia universal de ver el RIESGO desde una óptica "Holística" ha llevado a que las Normas
de GESTIÓN DE RIESGOS hagan planteamientos sobre QUE es aquello que puede cambiar o
afectarse en caso de ocurrencia de cierto evento.... es aquí donde algunas definiciones son mas
explícitas y dicen, por ejemplo, que RIESGO es la probabilidad de ocurrencia de un evento que
afecte los "Objetivos" de una organización, proyecto, etc., o la "Misión" de una empresa u
organización, etc., etc.

Por otro lado, aparecen diferentes definiciones que incorporan palabras como PROBABILIDAD,
POSIBILIDAD, FRECUENCIA, etc. Acá debemos ver que independientemente del término
utilizado, todos ellos se refieren a lo mismo: Mostrar que el riesgo incorpora un nivel de
INCERTIDUMBRE sobre la ocurrencia o no ocurrencia del evento, o dicho de otra manera que el
RIESGO se refiere a un hecho incierto....

Sobre lo anterior los autores coinciden en que esa incertidumbre se puede expresar de manera
CUALITATIVA y en ese caso se refieren a ella como "Posibilidad" (algo que podría pasar) o
también la pueden expresar de manera CUANTITATIVA en cuyo caso se refieren a ella como
PROBABILIDAD (la expresión matemática de un valor que trata de medir cuanto vale dicha
posibilidad de ocurrencia). La utilización del término FRECUENCIA es simplemente para mostrar
que una de las maneras o métodos de valorar una posibilidad (para convertirla en Probabilidad) es
hacer análisis frecuenciales de ocurrencia histórica. Sobre ello hay que tener en cuenta que no en
todos los análisis de riesgos se dan las condiciones que permiten utilizar métodos
frecuenciales (llamada Probabilidad Frecuentista) y por lo tanto hay que recurrir a otros métodos
para ello, principalmente el conocido como "Probabilidad de Expertos".

Por último, en los anteriores años - y ese es el caso de DESASTRES - se han incorporado
términos como AMENAZA, VULNERABILIDAD, etc.

Estos enfoque no cambian para nada ni afectan el concepto general, sino mas bien precisan y
facilitan su aplicación, y sobre todo facilitan la determinación de estrategias para el manejo de los
Riesgos.

Por ello el concepto de AMENAZA tal como lo expresas en tu correo, se ha referido a la

PROBABILIDAD de que en ciertas condiciones de EXPOSICIÓN se presente un evento que
exceda ciertas condiciones.... etc. Por ello, este concepto de Amenaza lleva implícito un proceso
de exposición entre una fuente potencial (Peligro) y un elemento expuesto o enfrentado a la misma;
la expresión matemática de ello es lo que se conoce como AMENAZA, por lo que el gran aporte del
concepto es ligar de manera específica una INCERTIDUMBRE a unas condiciones particulares de
exposición. Si cambian las condiciones de exposición, variará entonces la probabilidad de
ocurrencia (Cambia en Nivel de la Amenaza).

En cuanto a la VULNERABILIDAD, en general el término ha sido ligado a "fortalezas" o

"debilidades" que influyen sobre las consecuencias o efectos. Si revisamos las diversas teorías,
encontramos que fundamentalmente el término VULNERABILIDAD se utiliza en dos campos: el
campo de los DESASTRES y en SECURITY (Cuya traducción al español ha sido difícil - Seguridad
Física, etc...); en en campo de SECURITY es muy común que algunos interpreten o confundan su
aplicación y utilicen el concepto para referirse también a aquellas condiciones que faciliten la
presentación del evento y no a a aquellas condiciones que faciliten la presentación de las
consecuencias....

Inclusive, sobre el concepto de VULNERABILIDAD también tiende a diferenciarse entre los que
algunos llaman "vulnerabilidad intrínseca" y lo que llaman "vulnerabilidad relativa"; veamos un
ejemplo: En caso de la caída de un vaso de vidrio, ¿que tan "propenso" sería a que se rompiera, o
que tan "susceptible" sería a dañarse?. A esto se han referido algunos como la VULNERABILIDAD
INTRÍNSECA del vaso (fortalezas y/o debilidades que tenga dicho vaso....); otra pregunta sería: en
caso que el vaso se rompiera ¿que tanto se afectaría el sistema del cual hace parte dicho vaso?; A
esto se han referido como VULNERABILIDAD RELATIVA. Una cosa es que un sismo derribe un
edificio (que tan vulnerable es el edificio ante el sismo) y otra es como se afectaría por ejemplo una
empresa o una comunidad, lo cual dependerá obviamente del papel o importancia relativa de dicho
edificio para la comunidad o empresa (sistema de referencia).

Sobre todo lo anterior lo que yo visualizo es un enfoque (igual en todas las teorías) que considera
lo siguiente:

1.- En cualquier empresa, organización, proceso, actividad, hay un orden o condiciones que se
consideran normales para su funcionamiento, y dicho funcionamiento tienen unas finalidades,
(misión, objetivos o como queramos llamarlas).

2.- En el desarrollo de lo anterior se presentan condiciones que hacen posible que puedan ocurrir
eventos de diferente naturaleza y/u origen que puedan afectar (dañar o como lo queramos
expresar) a los elementos que en ellas participan, y que al hacerlo afectaran por ende los
resultados que se esperaban lograr (o las condiciones consideradas como "adecuadas",
"normales", etc.), y que dependiendo de que se afecte y el nivel de afectación ello se considerará
mas o menos graves para un sistema o interesado en particular (criterios para medir las
consecuencias y sus efectos sobre el sistema).

Esto es común a todas las teorías antes mencionadas. Lo que pasa entonces es que cada uno
expresa lo anterior de diferente manera y utiliza términos diversos para hacerlo. Hay una IDEA
GENERAL sobre lo que es el Riesgo y hay diversas maneras de aplicar dicha idea en contextos
particulares....

Lo que queda claro en todas estas teoría es simplemente que la GESTIÓN DEL RIESGO no es NI
Objetiva Ni desinteresada; en todos los casos debe referirse a un SISTEMA y hay que determinar -
de acuerdo a los intereses u objetivos de dicho sistema - cuales son las variables que pueden
afectarse e influir sobre sus objetivos, y unos niveles de referencia para determinar cuando lo
probabilidad de que se generen ciertos efectos sea considerado grave o menos grave para dicha
Organización.

Si miramos bien las diversas teorías, dependiendo del campo de aplicación (desastres, seguridad
industrial, seguros, seguridad de la información, auditoría, etc.) en cada una de ellas se trata de
definir cual es el sistema de referencia (una comunidad, una organización, un procesos, etc.)
cuales son las variables críticas que están asociadas con su misión, cuales son los eventos que al
ocurrir afectarían dichas variables, y cuales son los niveles de afectación que se consideran graves
o menos graves.......(o cual ese ese "nivel de exedencia....")

Para hacerlo, se han venido desarrollando metodologías para tratar de medir de manera sencilla y
confiable el RIESGO asociado..

Espero no haber contribuido a confundir y enredar mas estos conceptos. Quedan todavía por
analizar algunos otros conceptos y términos (trataremos de analizarlos en correos posteriores)