Medio siglo de análisis de riesgos con el Método Fine (II)

Óscar Pascual Sanz. Director de Operaciones-España. Advanced Security Business Group.

 

Basándose precisamente en la capacidad que menciona Fine en cuanto a variar criterios de sus fórmulas, George Kinney en 1976 modificó el método Fine también en el ámbito de los riesgos laborales. Desarrolló así el método Fine-Kinney (a veces únicamente Kinney) en el que no se limitó a sustituir únicamente los valores cuantitativos de la tabla de «Graduación de Consecuencias» tal y como mencionábamos anteriormente, sino que modificó también los parámetros en las graduaciones de probabilidad y exposición.

Método Fine

En ocasiones estas modificaciones han dado lugar a confusiones a quienes buscando por Internet «tablas del método Fine», han terminado empleado otras aparentemente similares, pero con ciertos parámetros modificados (método Kinney).
Como ejemplos de la evolución del método Fine en prevención de riesgos laborales podemos citar del Instituto Nacional de Seguridad y Salud en el Trabajo (INSHT) la Norma Técnica de Protección (NTP) 101 «Comunicación de riesgos en la empresa» (ya sin vigencia por criterios técnicos desfasados), en la que tras una fórmula similar a la de Fine, disponía de una tabla de valoración del «Coste de los Medios» para realizar la “Justificación” totalmente diferente.
Igualmente podemos fijarnos en la NTP 330 «Sistema simplificado de evaluación de riesgo de accidente» como otra evolución de FINE que considera como factores: el «nivel de consecuencias», el «nivel de exposición» y el «nivel de deficiencias», siendo las tablas de graduación específicas y adaptadas para este método.

En cuanto al factor denominado «nivel de deficiencias», vemos que es un número equivalente al que aplicamos en «security» pero donde, fieles al método Fine, seguimos denominándolo como «probabilidad». Realmente en nuestro caso no podríamos denominarlo «deficiencias» porque «security» abarca más aspectos a valorar que «safety», pues como «probabilidad» incluimos no sólo las propias vulnerabilidades (o deficiencias) sino que consideramos las posibilidades del adversario (algo que en PRL no existe).
El estudio de este adversario tendrá presente aspectos tales como el interés en delinquir, su capacidad tanto en medios como en preparación, o que disponga de la oportunidad de aprovechar las posibles vulnerabilidades de nuestros subsistemas y procedimientos de seguridad.

Ajustes en Seguridad Patrimonial
Volviendo al análisis y valoración de riesgos en Seguridad Patrimonial queda patente que la tabla de «Graduación de Consecuencias» no es la adecuada para todas las organizaciones.
Probablemente ésta sea la razón principal del desuso y falta de aplicación de éste método frente a otros.
Pero ante ello hemos de recordar que también es misión del director de Seguridad como analista, profundizar e investigar cuando algo «no cuadra» y no sencillamente limitarse a abandonar el empleo de un método que, si lo empleamos como parte de una doble metodología en nuestros análisis (p. ej. junto a Mosler), nos va a proporcionar un estupendo enfoque complementario e incluso la posibilidad de detectar anomalías en ciertos tipos de riesgo.

Debemos evitar el «efecto paradigma» y lejos de rechazar todo lo que no se ajuste al modelo inicial, tratar de ampliar nuestro enfoque y reflexionar sobre esta metodología, que debe emplearse adaptada a la complejidad real de la situación en que nos encontremos.
Sobra justificar con ejemplos tales como que la clasificación de «Catástrofe» de la «Tabla de Consecuencias», para daños que superen 1.500.000 €, no va a ser un parámetro precisamente igual de acertado para todas las empresas. Tampoco el hecho de que se llegue a producir algún fallecimiento o herido, etc.
Resulta recomendable tratar de abarcar en los ajustes de la «Graduación de las consecuencias» tres factores:
• Daños a la vida e integridad física de las personas
• Daños económicos y de imagen
• Tiempo de interrupción de las actividades críticas
Con este último factor vemos que ya nos aproximamos al Análisis de Impacto en el Negocio (BIA) del correspondiente Plan de Continuidad de Negocio (BCP).

La labor de adecuación es sumamente delicada, aunque como indicó el propio Fine en su momento «…los resultados tienen principalmente propósitos comparativos». No podemos buscar la exactitud absoluta porque realmente no es posible, pero podemos aproximarnos a la realidad con lógica y coherencia.
Ahora adquiere más importancia que nunca, antes de realizar los análisis de riesgos, estudiar el «Contexto» al que hay que adaptarse y su «Marco de Referencia» (UNE-ISO 3100:2018) y muy en concreto aspectos complementarios para comprender a fondo los riesgos, tales como los que se derivarán de la «Comunicación y Consulta» con todas las partes interesadas.
Se precisa la implicación de la Alta Dirección, resto de órganos gerenciales y expertos de la propia Organización, pues los criterios a aplicar se deben alinear con el «Marco de Referencia» de la gestión del riesgo y adaptarse al «Propósito» y «Alcance» de los objetivos de la misma.
El proceso no ha de ser especialmente largo ni tampoco complejo, pero por su importancia debe contar con una expresión clara de la progresión en los niveles de daño, desde los corporativamente asumibles hasta los no asumibles bajo ningún concepto por peligrar la propia supervivencia.

Para acceder a la Parte I del artículo pincha aquí