Una definición posible de riesgo es el efecto de la incertidumbre sobre los objetivos trazados en un determinado plan. Se entiende por efecto una desviación respecto a lo previsto; puede ser positivo, negativo o ambos y puede abordar, crear o resultar en oportunidades o amenazas. Otra definición posible de riesgo es brindada por la reciente ley de IA promulgada por la Unión Europea y sus enmiendas de junio de 2023: la combinación de la probabilidad de que se produzca un daño y la gravedad de dicho daño. Ese riesgo se convierte en significativo como consecuencia de la combinación de su gravedad, intensidad, probabilidad de ocurrencia y duración de sus efectos y su capacidad de afectar a una o varias personas o a un grupo determinado de personas.
La gestión del riesgo alude a las actividades coordinadas para dirigir y controlar la organización con relación al riesgo. El proceso de gestión del riesgo implica la aplicación sistemática de políticas, procedimientos y prácticas a las actividades de comunicación consulta, el establecimiento del contexto, la evaluación, el tratamiento, el seguimiento, la revisión del registro y el informe de riesgo.

Figura 1. Fuente ISO 31000, 2018-02

En la descripción del cuadro precedente, la comunicación y consulta se refiere a la asistencia a las partes interesadas para comprender el riesgo, las bases con las que se toman decisiones y las razones por las que son necesarias acciones específicas. El alcance, el contexto y los criterios se refieren a adaptar el proceso a la gestión del riesgo para permitir una evaluación del riesgo eficaz y un tratamiento apropiado del riesgo. El alcance, contexto y los criterios implican definir el alcance del proceso, y comprender los contextos externos e internos.

Figura 2. Fuente ISO 31000, 2018-02
En el cuadro precedente, que es detalle del cuadro de la figura 1, la identificación del riesgo se refiere a encontrar, reconocer y describir los riesgos que pueden ayudar o impedir a una organización a lograr sus objetivos. El análisis del riesgo se refiere a comprender la naturaleza del riesgo y sus características; implica una consideración detallada de incertidumbres, fuentes de riesgos, consecuencias, probabilidades, eventos, escenarios, controles y su eficacia.

La fuente de riesgo es el elemento que, por sí solo o en combinación con otros, tiene el potencial de generar riesgo.

La consecuencia es el resultado de un evento que afecta a los objetivos. Las consecuencias pueden ser ciertas o inciertas y puede tener efectos positivos o negativos, directos o indirectos sobre los objetivos; se pueden expresar de manera cualitativa o cuantitativa; y pueden incrementarse por efectos en cascada y efectos acumulativos.

En la terminología de gestión de riesgos, la palabra probabilidad [likelihood] se utiliza para indicar la posibilidad de que algo suceda, esté definida, medida o determinada objetiva o subjetivamente, cualitativa o cuantitativamente y descrita utilizando términos generales o matemáticos (como una probabilidad matemática o una frecuencia en un periodo de tiempo determinado). El término inglés likelihood, diferente de probability, probabilidad, más limitada a un sentido matemático, no tiene un equivalente directo en algunos idiomas, pero es el que se emplea en el campo de estudios de la gestión de riesgos.

Un evento es una ocurrencia o cambio de un conjunto particular de circunstancias. Un evento puede tener una o más ocurrencias y puede tener varias causas y varias consecuencias. Un evento también puede ser algo previsto que no llega a ocurrir, o algo no previsto que ocurre.

El control es una medida que mantiene y/o modifica un riesgo, aunque no siempre pueden producir el efecto de modificación previsto o asumido.

REFERENCIA
Norma Internacional ISO 31000, segunda edición 2018-02. Gestión de riesgo – Directrices. https://www.iso.org/obp/ui#iso:std:iso:31000:ed-2:v1:es