Tolerancia al riesgo: el límite que no debe traspasarse
Toda organización convive con riesgos que no puede eliminar por completo. Algunos forman parte de su propia actividad; otros provienen del entorno normativo, tecnológico o social en el que opera. La cuestión no es aspirar a una seguridad absoluta -quimera costosa, además de inalcanzable-, sino determinar con precisión hasta dónde puede aceptarse la exposición sin comprometer el funcionamiento, la reputación o la legalidad. Ese umbral se denomina tolerancia al riesgo.
Si el apetito expresa lo que se desea asumir para avanzar y la actitud revela cómo se actúa ante la incertidumbre, la tolerancia fija el límite operativo que no debe superarse. Es una frontera. Cuando se rebasa, no cabe la indiferencia: debe activarse una respuesta.
La tolerancia al riesgo señala el grado máximo de variación aceptable respecto a la consecución de los objetivos. No describe aspiraciones estratégicas, sino márgenes concretos. Puede formularse en términos cuantitativos -porcentaje de fallos, tiempos de respuesta o pérdidas económicas acumuladas- o cualitativos -nivel de disconformidad, reiteración de incumplimientos o señales tempranas de deterioro-. En todos los casos cumple la misma función: establecer un punto a partir del cual la situación deja de considerarse admisible.
La norma ISO 31000 incorpora esta lógica al definir la gestión del riesgo como un proceso integrado en la gobernanza y la estrategia. Dentro de ese marco, la tolerancia representa el nivel máximo de variación que la organización está dispuesta a aceptar para alcanzar sus fines. Superar ese nivel obliga a revisar, corregir o replantear.
No se trata de una apreciación subjetiva. La tolerancia debe apoyarse en criterios técnicos, normativos y de responsabilidad. En un edificio público, por ejemplo, la tolerancia al riesgo de incendio no depende únicamente de la percepción interna de peligro. Está condicionada por la legislación vigente, por el número de ocupantes, por la naturaleza de los bienes protegidos y por los compromisos adquiridos con terceros. Ignorar estos factores equivale a desatender obligaciones.
La tolerancia no es uniforme en toda la organización. Puede variar según áreas, procesos o categorías de riesgo. Una empresa puede mantener tolerancia mínima ante riesgos reputacionales, dada la fragilidad de la confianza pública, y aceptar mayor variabilidad en proyectos tecnológicos si dispone de sistemas de respaldo eficaces. Lo decisivo es que estas diferencias estén declaradas, justificadas y sometidas a seguimiento.
Aquí surge una cuestión relevante: la que separa la tolerancia declarada de la tolerancia real. No es infrecuente que los documentos oficiales proclamen “tolerancia cero” ante determinados comportamientos, mientras que la práctica cotidiana muestra concesiones sistemáticas. Esta disonancia daña la credibilidad interna y deteriora la cultura de seguridad. La coherencia exige ajustar los límites a la capacidad efectiva de cumplimiento, sin renunciar a estándares exigentes pero evitando la ficción normativa.
La gestión de la tolerancia implica supervisar indicadores clave de riesgo -los conocidos KRIs- que permitan detectar desviaciones antes de que se materialicen en incidentes graves. No basta con reaccionar ante el daño consumado; es preciso observar tendencias.
Si los tiempos de evacuación en simulacros aumentan de forma sostenida, si las incidencias dejan de reportarse, si los protocolos no se actualizan o si los informes de mantenimiento repiten los mismos fallos, es muy probable que hayamos superado el umbral tolerable aunque no se haya producido aún una crisis visible. La vigilancia constante permite actuar a tiempo.
Estos mecanismos de seguimiento no deben interpretarse como una forma de desconfianza permanente, sino como instrumentos de control racional. La tolerancia bien definida evita tanto la improvisación como la reacción desproporcionada. Cuando el indicador rebasa el límite, la respuesta ya está prevista: revisión del plan, auditoría interna o refuerzo de medidas, entre otras.
La tolerancia al riesgo no es una cifra grabada en piedra. Evoluciona con el entorno, con la experiencia acumulada y con los cambios en la dirección. Lo que ayer resultaba aceptable puede hoy considerarse excesivo tras un incidente relevante o una modificación normativa. Y a la inversa, la adquisición de nuevas capacidades técnicas puede permitir asumir mayores márgenes sin comprometer la seguridad.
Por ello, la tolerancia debe revisarse periódicamente, especialmente tras auditorías, simulacros o transformaciones estructurales. Esta revisión no implica volatilidad, sino adaptación razonada.
En contextos de presión operativa, la tolerancia se somete a prueba. Por ejemplo, mantener un acceso abierto por razones logísticas, flexibilizar un control por motivos comerciales o posponer una revisión técnica por limitaciones presupuestarias supone ajustar temporalmente el umbral. Tales decisiones deben quedar documentadas: qué se modifica, por cuánto tiempo, con qué justificación y bajo qué condiciones de evaluación posterior. De lo contrario, la excepción puede convertirse en norma, y ya sabemos que eso no trae nada bueno.
La tolerancia al riesgo no supone resignarse ante el peligro, sino establecer límites claros y verificables. Marca la línea a partir de la cual la exposición deja de ser funcional y pasa a comprometer la estabilidad, la legalidad o la confianza.
Su correcta definición y seguimiento constituyen una condición necesaria para una gestión eficaz de la seguridad. Sin tolerancia explícita, el sistema bascula entre la complacencia y el alarmismo. Con ella, la organización dispone de un criterio operativo para anticipar desviaciones, justificar decisiones y actuar con disciplina.
No se trata de eliminar el riesgo, sino de saber cuándo ha dejado de ser aceptable. Esa conciencia del límite es, en última instancia, una manifestación de madurez.
