Árbol de causas: qué es, para qué sirve y cómo construir uno

En caso de materializarse un riesgo o un evento no deseado, por ejemplo un incidente o accidente, es importante investigar y analizar las causas que pudieron ocasionarlo. Y una manera de hacerlo es a través de la metodología del árbol de causas. 

A continuación podrás conocer más sobre esta metodología: qué es, cuál es su utilidad y cómo puedes construir un árbol de causas en tu organización en caso de presentarse un riesgo o un evento no deseado.

Árbol de causas y su utilidad 

En palabras simples, el árbol de causas consiste en una metodología utilizada para la identificación y análisis de las diferentes causas, inmediatas y subyacentes, que ocasionan un evento no deseado para la organización; es decir, sirve para conocer y entender qué fue lo que pasó.  

Esta metodología, además de permitir la investigación de riesgos, incidentes o accidentes, es útil para la prevención de futuros eventos, ya que es posible tomar medidas correctivas y preventivas para reducir la probabilidad de ocurrencia de nuevos riesgos y eventos indeseados. 

A partir de esto, debes saber que el árbol de causas es de gran utilidad para:

• Identificar los factores de riesgo que causaron la materialización de un riesgo, incidente o accidente que tiene diferentes consecuencias para la organización.

• Tomar medidas correctivas para mitigar las causas generadoras de los eventos no deseados.

• Prevenir y disminuir la ocurrencia de este tipo de eventos gracias al análisis de lo ocurrido y a la implementación de medidas preventivas.

Pasos para construir un árbol de causas

Para la implementación de esta metodología, sí o sí hay que partir de la materialización de un riesgo o evento no deseado, es decir, de un hecho que pudo generar consecuencias y afectaciones. 

Un ejemplo de evento no deseado podría ser la interrupción en la cadena de suministro, un accidente laboral o un ataque cibernético. Y con el árbol de causas se busca entonces poder identificar y analizar las diferentes causas o factores que ocasionaron estos u otros eventos.

Para construir un árbol de causas es importante:

1. Recolectar la información sobre el riesgo o evento presentado

El área de gestión de riesgos debe recoger la mayor cantidad posible de información sobre el evento que se presentó, con esto se busca tener claridad de qué fue lo que ocurrió. Entre otras cosas es importante saber: fecha y hora del evento, fecha y hora en la que se descubrió, responsables o afectados en el hecho y pérdidas que se pudieron generar. 

La información recolectada debe servir para identificar las posibles causas inmediatas que contribuyeron a la materialización del riesgo o evento, así como también las causas subyacentes, es decir, aquellos factores o situaciones más profundas que pueden desencadenar el riesgo. 

Por eso, es importante hacer las preguntas adecuadas al personal que pueda estar involucrado de manera directa o indirecta. 

2. Crear el árbol de causas

Una vez recolectada la información sobre lo ocurrido e identificadas las causas inmediatas y subyacentes, lo siguiente es construir el árbol así:

• Raíces del árbol (parte inferior): causas inmediatas y subyacentes del evento que se materializó.
• Tronco del árbol (centro): riesgo o evento no deseado que se presentó.
• Ramas y hojas del árbol (parte superior): consecuencias de la materialización del riesgo o evento indeseado. 

Es importante tener en cuenta que las causas inmediatas están por encima de las subyacentes porque estas últimas son más profundas y pueden dar cuenta del verdadero origen del problema. Además, todos los elementos del árbol deben estar conectados entre sí por medio de flechas para dar cuenta de la relación causa - efecto. 

En el caso de un ataque cibernético podríamos tener las siguientes causas y consecuencias:

Causa inmediata: un empleado abrió un correo electrónico de un remitente desconocido e hizo clic en un enlace infectado (phishing).

Causa subyacente: falta de capacitaciones periódicas sobre seguridad y buen uso de la información a los empleados de la organización.

Consecuencias: secuestro de información confidencial de la organización. Los ciber atacantes exigen un rescate por esta (ransomware). 

3. Definir acciones correctivas y preventivas

Después de ocurrido el riesgo o evento no deseado, y a partir de las causas identificadas, es necesario establecer acciones correctivas y también medidas preventivas para que el hecho presentado no vuelva a ocurrir. Las medidas preventivas deben ser tanto para las causas inmediatas como para las causas subyacentes.

Todas las medidas que se tomen deben tener un responsable a cargo y un tiempo de implementación, así se ayuda a garantizar la no repetición del evento. Además, es importante hacerles un seguimiento periódico para conocer si están cumpliendo con el objetivo esperado. 

En el caso mencionado anteriormente del ataque cibernético, como medidas preventivas se podría tener:

• Establecer un cronograma de capacitaciones sobre seguridad de la información para todos los empleados.
• Hacer simulacros de ataques de phishing para conocer qué tan preparado está el personal en caso de recibir correos electrónicos de desconocidos. 

Estas son solo algunas de las acciones preventivas que se podrían tomar para no ser víctima de un nuevo ataque cibernético. Cada organización debe definir las mejores medidas que se ajusten a su realidad y contexto. 

Los anteriores tres pasos te ayudarán a aplicar de una manera simple la metodología del árbol de causas. Recuerda que esta es de mucha utilidad para conocer qué fue lo que realmente sucedió y poder tomar las medidas necesarias para prevenir que vuelva a ocurrir.