Gestion Del Riesgo

InstitutoCostarricensesobreDrogas
ProcesoContinuoe Integrado paralaGestindel Riesgo

Metodologa
ICD/UIEI002:2007 Enero,2007
ProcesoContinuoeIntegradoparalaGestindelRiesgo ICD/UIEI002:2007
ICD/UIEI002:2007|ProcesoContinuoeIntegradoparalaGestindelRiesgo
Descripcindeldocumento Institucin: Documento: Unidad: Elaboradopor: Fecha: Versin: InstitutoCostarricensesobreDrogas ProcesoContinuoeIntegradoparalaGestindelRiesgo UnidaddeInformtica Ing.FelipeRamrezHerrera Enero,2007 1.5
UnidaddeInformticaInstitutoCostarricensesobreDrogas(http://www.icd.go.cr)
Contenido
1 2 3
Presentacin ............................................................................ 5 Alcances del estndar ................................................................. 5 Principios bsicos ...................................................................... 5

3.1 3.2 3.3 3.4 3.5 Adaptabilidad ............................................................................... 6 Agilidad ...................................................................................... 6 Potenciar la comunicacin ............................................................... 6 Aprender de todas las experiencias ................................................... 7 Responsabilidad compartida ............................................................. 7 Definicin de riesgo ....................................................................... 8 Descripcin del proceso ................................................................ 10
Establecer el contexto ........................................................................10 Identificacin de las fuentes de riesgo y taxonomas ....................................12 Identificacin de riesgos .....................................................................16 Anlisis de riesgos .............................................................................20 Tratamiento de los riesgos ...................................................................29 Monitoreo y revisin ..........................................................................35 Comunicacin y consulta .....................................................................36 Razones para la documentacin.............................................................37
Proceso de gestin de riesgos ....................................................... 8

4.1 4.2
4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 4.2.7
4.3
Documentacin ........................................................................... 37
4.3.1
5 6
Referencias bibliogrficas ...........................................................40 Esquema de la gestin de riesgos ..................................................42
1 Presentacin
El presente documento contiene el estndar de gestin de riesgos y vulnerabilidades del InstitutoCostarricensesobreDrogas. Este documento presenta la informacin bsica sobre la administracin de riesgos que describe los principios, conceptos, recomendaciones y la definicin de un proceso formal dividido en seis etapas para administrar los riesgos de forma exitosa para los proyectos y procesos ejecutadosporlaunidaddetecnologadelainformacin.
2 Alcancesdelestndar
Este estndar provee un marco conceptual y orientador para el establecimiento e implementacin del proceso continuo e integrado de la gestin del riesgo involucrando el establecimiento del contexto y la identificacin, anlisis, evaluacin, tratamiento, comunicacin y elmonitoreoencursodelosriesgos.
3 Principiosbsicos
El estndar de gestin de riesgos propuesto en este documento se basa en la nocin de que los riesgos deben tratarse de forma proactiva, que la administracin de riesgos forma parte de un procesoformalysistemticoquedebeconsiderarsecomounainiciativapositiva.
3.1 Adaptabilidad
La adaptabilidad es una respuesta de comportamiento que permite reaccionar ante hechos que se producen en el entorno y retroalimentar el sistema creando nuevas bases de comportamiento.
3.2 Agilidad
Las actividades relacionadas con la gestin de riesgos no deben limitarse a una nica fase delciclodevidadeunproyectoounarevisinaisladaenlaetapainicialdeunproceso. La agilidad exige que el equipo de trabajo valore ininterrumpidamente y administre proactivamentelosriesgosdurantetodaslasetapasdeunprocesooduranteelciclodevidadeun proyectoporqueloscontinuoscambiosentodaslasfacetasdel proyectosignificanquelosriesgos tambinestncambiando. Un enfoque proactivo permite que el equipo acepte el cambio y lo convierta en una oportunidad,evitandoasquesevuelvaensucontra.
3.3 Potenciarlacomunicacin
Esteprincipiosealaquelosriesgosdebenserdiscutidosdeformaabierta,tantodentrodel equipocomoconlosinteresadosexternos. Todos los integrantes del equipo de trabajo deben participar en la identificacin y anlisis de los riesgos. La Direccin General y las jefaturas deben evitar que los riesgos se perciban como algonegativoyanimaralpersonalaquesigaestecomportamiento.
El personal no debe tener reservas para comunicar sus opiniones con libertad para, de esta forma, evaluar con ms precisin el estado del proyecto o proceso y tomar decisiones consensuadasentrelosmiembrosdelequipoylospatrocinadores.
3.4 Aprenderdetodaslasexperiencias
El aprendizaje puede ayudar a mejorar los resultados. El conocimiento obtenido durante la ejecucin de un proceso o proyecto puede reducir la incertidumbre de la toma de decisiones en otrosprocesosoproyectoscuandolainformacinespocofiable. Por este motivo, en el proceso de administracin de riesgos incorpora actividades relacionadas con la comunicacin y documentacin. El anlisis directo de los resultados de resultados anteriores fomenta el aprendizaje dentro del equipo mediante el intercambio de opinionesentrelosmiembrosdelequipo.
3.5 Responsabilidadcompartida
Nohayningunapersonaqueseapropietariadelagestinderiesgos,laparticipacinactiva enelprocesoesresponsabilidaddetodoelpersonal. Losfuncionariosdeunaunidadtienenasignadastareasespecficasparaanalizarlosriesgosen elmarcode planeamientogeneraldel proyectooelesquemade responsabilidaddefinidoparalos procesos operativos y estratgicos, y cada uno de ellos se responsabiliza de llevarlas a cabo. Las actividades pueden afectar a todas las reas del proyecto durante todas las fases de los ciclos del proyecto y del proceso de administracin de riesgos. Estas actividades van desde la identificacin de riesgos en reas de experiencia o responsabilidad personal hasta el anlisis de riesgos, la valoracin de riesgos y la ejecucin de tareas de control de riesgos durante la ejecucin de las actividadesdelaunidad. La jefatura de cada unidad se responsabiliza de la organizacin del equipo de trabajo en las actividadesdegestinderiesgosyquedichasactividadesseincorporanentodoslosprocesos.
4 Procesodegestinderiesgos
De acuerdo con el Project Management Body of Knowledge (PMBOK 2004), la gestin del riesgo es el proceso sistemtico de identificar, analizar y responder a un riesgo de un proyecto, procesooprograma. Lagestindelriesgoincluyemaximizarlaprobabilidadyconsecuenciasdeeventospositivosy minimizar la probabilidad y consecuencias de eventos adversos a los objetivos de proyectos, procesosoprogramas.
4.1 Definicinderiesgo
Unriesgoconstituyees: unevento(ocondicin)conciertaincertidumbreysisteocurretieneunefectopositivo o negativo en los objetivos del proyecto. Un riesgo tiene una causa y, en caso de ocurrencia, tambinimplicaunaconsecuencia(PMBOK2004). Unriesgoimplicasimultneamenteamenazasalosobjetivosdeunproyecto/proyectoyala vez oportunidades para mejorar dichos objetivos. Los riesgos tienen su origen en la incertidumbre que est presente en todos los proyectos y en general en la ejecucin y gestin de los procesos operativos. Los riesgos conocidos son aquellos que han sido identificados y analizados, es posible establecer un plan especfico para atenderlos. Obviamente, los riesgos desconocidos no pueden ser administrados, no obstante, las jefaturas y encargados de procesos pueden encaminar este tipo de riesgos mediante un plan de contingencia basado en experiencias previas con circunstanciassimilares.
A nivel organizacional, los riesgos son vistos como amenazas al xito de los proyectos. Los riesgosquesonconsideradoscomoamenazaspuedenseraceptadossiestosestnenbalancecon un beneficio que se obtiene al tomar dichos riesgos (ej. reduccin de tiempos y costos). Por su parte, los riesgos que se perciben como oportunidades se persiguen para el beneficio de los objetivosoperacionalesdelaunidad. Para el xito, la organizacin debe estar comprometida a aplicar la administracin de riesgos a lo largo de todos sus procesos y proyectos. Una medida del compromiso organizacional es su dedicacinareunirdatosdetalladossobrelosriesgosysucaracterizacin.
La gestin de riesgos es una parte integral del proceso de administracin. La gestin de riesgos es un proceso multifactico, llevado a cabo a menudo por un equipo multidisciplinario.Esunprocesoiterativodemejoracontinua.

4.2 Descripcindelproceso
Grficamenteelprocesodelagestindelriesgoestconfiguradodelasiguientemanera:
4.2.1 Establecerelcontexto
Deben identificarse y documentarse las metas, objetivos, estrategias, alcance y parmetros de la actividad, o parte de la organizacin a la cual se est aplicando el proceso de gestin de riesgos. El proceso debera ser llevado a cabo con plena consideracin de la necesidad debalancearcostos,beneficiosyoportunidades.
10
Tambindeberanespecificarselosrecursosrequeridosylosregistrosquesevanallevar. Establecer el alcance y los lmites de una aplicacin del proceso de administracin de riesgosinvolucra: a) Definirelproyectooprocesoyestablecersusmetasyobjetivos. b) Identificar las etapas o fases del proyecto o el proceso administrado y sus respectivos hitos. c) Definirlasactividadesqueconstituyencadaunadelasetapas/fasesconsiderando: o Rolesyresponsabilidadesdelasdistintaspartesdelaorganizacinqueparticipanenla administracinderiesgos. o o o o d) Estimarlasprincipalesvariablesdecontroldelprocesooproyecto. e) Elaborar un inventario de las fuentes genricas de riesgo y las reas de impacto aplicables alprocesooproyecto. Losartefactosdelasactividades. Lasrelacionesentreelproyectoyotrosproyectosopartesdelaorganizacin. Elementosoatributosdeincertidumbresusceptiblesariesgos. Documentacindelastareas/procedimientosdecadaunadelasactividades.
11
4.2.2 Identificacindelasfuentesderiesgoytaxonomas
4.2.2.1 Fuentesgenricasderiesgo
La identificacin de fuentes de riesgo y reas de impacto provee una estructura para identificacin y anlisis de riesgos. A raz de la gran cantidad potencial de fuentes e impactos, desarrollar una lista genrica focaliza las actividades de identificacin de riesgos y contribuye a unaadministracinmsefectiva. Las fuentes de riesgo y reas de impacto genricas son seleccionadas de acuerdo a su relevanciaparalaactividadbajoestudio. Los componentes de cada categora genrica pueden formar la base para un estudio completoderiesgos. Cada fuente genrica tiene numerosos componentes, cualquiera de los cuales pueden dar lugar a un riesgo. Algunos componentes estarn bajo control de la organizacin que realiza el estudio, mientras que otros estarn fuera de su control. Cuando se identifican los riesgos se necesitaconsideraraambostipos.Lasfuentesgenricasderiesgoincluyen: a) Relaciones comerciales y legales: entre la organizacin y otras organizaciones (por ejemploproveedores,subcontratistasyarrendatarios). b) Circunstancias econmicas: De la organizacin, pas, internacionales, como asimismo factoresquecontribuyenaesascircunstancias(porejemplotiposdecambio). c) Comportamiento humano: Tanto de los involucrados en la organizacin como de los que noloestn. d) Eventosnaturales. e) Circunstancias polticas: Incluyendo cambios legislativos y factores que pudieran influenciaraotrasfuentesderiesgo. f) Aspectostecnolgicosytcnicos:Tantointernoscomoexternosalaorganizacin.
g) Actividadesycontrolesgerenciales.
12
h) Actividadesindividuales. El anlisis de riesgo se puede concentrar en impactos en un rea solamente o en varias reasposiblesdeimpacto. Lasreasdeimpactoincluyenalassiguientes: a) Basedeactivosyrecursosdelaorganizacin,incluyendoalpersonal. b) Ingresosyderechos c) Costosdelasactividades,tantodirectoscomoindirectos. d) Personas. e) Comunidad. f) Desempeo.
g) Cronogramayprogramadeactividades. h) Elambiente. i) j) Intangiblestalescomolareputacin,gestosdebuenavoluntad,calidaddevida. Comportamientoorganizacional.
4.2.2.2 Otrasclasificacionesderiesgo
Distintas disciplinas a menudo categorizan las fuentes de riesgo de otra forma, utilizando trminos tales como azares o exposiciones de riesgo. Estas clasificaciones pueden ser subconjuntosdelasfuentesderiesgolistadasanteriormente. Lossiguientessonalgunosejemplos: a) Enfermedades:afectandoahumanos,animalesyplantas. b) Econmicos:fluctuacionesenlamoneda,tasasdeinters,mercadoaccionario. c) Ambientales:ruidos,contaminacin,polucin. d) Financieros:riesgoscontractuales,malversacionesdefondos,fraudes,multas. e) Humanos:motines,huelgas,sabotajes,errores.
13
f)
Desastres naturales: condiciones climticas, terremotos, incendios de bosques, plagas, actividadvolcnica.
g) Salubridad y seguridad ocupacional: medidas de seguridad inadecuadas, administracin deseguridadpobre. h) Responsabilidad por productos: errores de diseo, calidad bajo estndar, pruebas inadecuadas. i) j) Responsabilidadprofesional:consejoequivocado,negligencia,errordediseo. Daosalapropiedad:fuego,inundaciones,terremotos,contaminacin,errorhumano.
k) Responsabilidadpblica:acceso,egresoyseguridadpblica. l) Seguridad:desfalcos,vandalismo,robo,apropiacinindebidadeinformacin,penetracin ilegal. m) Tecnolgicos:innovacin,obsolescencia,explosionesydependencia.
4.2.2.3 Clasificacindelosriesgosbasadaentaxonoma
Se pueden utilizar las clasificaciones o categoras de los riesgos, denominadas tambin taxonomas de riesgos, para varios propsitos. Durante la identificacin de riesgos, pueden utilizarse para estimular el pensamiento sobre los riesgos que pueden producirse en las distintas reas del proyecto. Durante la puesta en comn de ideas, las clasificaciones de riesgos tambin aligeranlacomplejidaddetrabajarconmuchascantidadesderiesgosporquelosriesgosparecidos puedenincluirseenunmismogrupo. Tambin pueden emplearse para proporcionar una terminologa unificada que el equipo detrabajopuedeutilizarparasupervisarynotificarelestadodelosriesgosalolargodelproyecto. Por ltimo, las clasificaciones de los riesgos son muy tiles para establecer las bases de conocimiento de riesgo para empresas e industrias porque proporcionan la base para indexar nuevascontribucionesybuscaryrecuperarinformacinexistente. La tabla siguiente muestra una clasificacin de alto nivel de las fuentes de riesgo de los proyectos.
14
CATEGORA: Clientes Usuariosfinales Patrocinadores Participantes Personas Personal Organizacin Conocimientos Polticas Moral Misinymetas Tomadedesiciones Caractersticasdelproyecto Proceso Presupuesto,costoyprogramacin Requerimientos Diseo Creacin Pruebas Seguridad Entornodedesarrolloyprueba Herramientas Tecnologa Implementacin Soportetcnico Entornooperativo Disponibilidad Legal Normativo Entorno Competencia Econmico Tecnologa Organizacional TIPO:
15
Existen muchas taxonomas o clasificaciones para los riesgos de proyectos generales de desarrollo de software. Entre las clasificaciones conocidas y ms mencionadas que describen las fuentes de riesgo de proyectos de desarrollo de software se incluyen las realizadas por SEI SoftwareRiskTaxonomy(CMU/SEI93TR6).
4.2.3 Identificacinderiesgos
Este paso busca identificar los riesgos a administrar. Segn el PMBOK 2004, la identificacin de los riesgos involucra determinar cules riesgos pueden afectar un proyecto [o proceso]ydocumentarsuscaractersticas. Es crtica una identificacin amplia utilizando un proceso sistemtico bien estructurado, porque los riesgos potenciales que no se identifican en esta etapa son excluidos de un anlisis posterior. La identificacin debera incluir todos los riesgos, estn o no bajo control de la organizacin.
4.2.3.1 Paso1:Declaracionesderiesgo
Una declaracin de riesgo es una expresin de lenguaje natural que describe la relacin entre una situacin o atributo real de un proceso (o proyecto) y una segunda situacin o atributo deproceso(oproyecto)norealizado. La primera parte de la declaracin de riesgo se denomina condicin e incluye y describe una situacin o atributo del proceso (o proyecto) existente que el equipo de trabajo prev que puederesultarenunaprdidaeneldesempeooenunareduccindebeneficios.
16
La segunda parte de la declaracin de riesgo se denomina consecuencia y describe el atributo o situacin no deseable del proyecto. Las dos declaraciones estn unidas por un por lo tanto o como consecuencia que implica una relacin incierta (en otras palabras, inferior al 100%)perocausal. El proceso de declaracin en dos partes ofrece la ventaja de unir las consecuencias de riesgo con las condiciones de riesgo visibles (y controlables en potencia) dentro del proyecto en la fasepreliminardelaidentificacinderiesgos. Es necesario tener en cuenta que las declaraciones de riesgo no son declaraciones deterministicas o condicionales, sino declaraciones de hechos que exploran las posibles pero no realizadas consecuencias. Durante los pasos de anlisis y planeamiento, la posibilidad de utilizar declaraciones deterministicas hipotticas puede servir de ayuda para sopesar las alternativas y elaborar planes mediante rboles de decisiones. Sin embargo, la meta en la identificacin de riesgosconsisteenidentificarlamayorcantidadposiblederiesgosyespreferibledejarlosanlisis qupasaraparalafasedeplaneamiento. Cuando se formule una declaracin de riesgo, el equipo deber tener en cuenta tanto la causa del resultado potencial menos deseado as como el propio resultado. La declaracin de riesgo debe incluir el estado visible de la situacin (condicin) dentro del proceso (o proyecto) as comoelestadovisibledelassituacionesquepuedanproducirse(consecuencia). Como parte de una anlisis de riesgos exhaustivo, los miembros del equipo deberan buscarcoincidenciasyagrupacionesnaturalesdelascondicionesdelasdeclaracionesderiesgodel proyecto y retroceder por la cadena causal de condicin en busca de una causa raz subyacente comn. Tambin puede resultar prctico seguir la cadena causal hacia adelante desde el binomio condicin consecuencia de la declaracin de riesgo para examinar los efectos en la organizacin y el entorno fuera del proyecto para obtener una mejor perspectiva de las prdidas totalesuoportunidadesperdidasasociadasconunacondicindeterminadadelproyecto.
17
Durante la identificacin del riesgo es habitual que el equipo identifique varias consecuencias para la misma condicin. Algunas veces, las consecuencias de riesgo identificadas enunreadelprocesooproyectopuedenconvertirseenunacondicinderiesgoenotrarea. Los equipos deben registrar estas situaciones para poder tomar las decisiones adecuadas durante el anlisis y el planeamiento de riesgos teniendo en cuenta las dependencias e interaccionescausalesentrelosriesgos. Dependiendo de las relaciones entre los riesgos, el cierre de un riesgo puede cerrar un grupo entero de riesgos dependientes y cambiar el perfil de todo el proceso o proyecto. La documentacin de estas relaciones en la fase preliminar de identificacin de riesgos puede proporcionarinformacin muytilparacrearunplaneamientoderiesgosflexible,completoyque utilice de forma eficaz los recursos disponibles del proyecto resolviendo la causa original. Las ventajas de capturar este tipo de informacin en la fase de identificacin deben compararse rpidamente con los anlisis y las prioridades subsiguientes y, a continuacin, volver a examinar lasdependenciasylacausarazdurantelafasedeplaneamientoparalosriesgosmsimportantes.
4.2.3.2 Paso2:Identificarlasconsecuenciasdelosriesgo
La intencin es generar una lista amplia de eventos que podran afectar a cada elemento de la estructura referida en la Clusula 4.1.6. Estos son luego considerados en mayor detalle para identificarloquepuedesuceder.
4.2.3.3 Paso3:Identificarlossntomas/disparadoresdelosriesgos
Habiendo identificado una lista de eventos, es necesario considerar causas y escenarios posibles. Haymuchasformasenquesepuedeiniciarunevento.Esimportantequenoseomitanlas causassignificativas.
18
4.2.3.4 Herramientasytcnicassugeridas
Losenfoquesutilizadosparaidentificarriesgosincluyen: o Lluvias de ideas (brainstorming): Es una de las tcnicas ms utilizadas en la identificacin de riesgos. La meta es obtener una lista amplia de riesgos que pueden presentarse durante la ejecucin de un proceso o proyecto y puede utilizarse posteriormente como insumoenelanlisiscualitativoycuantitativo. o TcnicaDelphi(juiciodeexpertos):Esunaformadelograrunconsensodeexpertosenun tema (en este caso un riesgo), cada uno de los expertos participa de forma annima al brindarsujuicio. o Entrevistas: Los riesgos pueden identificarse a travs de los administradores de proyectos (jefes de unidades funcionales) o bien directamente con los individuos encargados de ejecutardirectamentelasactividadesdelprocesooproyecto. o Listas de verificacin: Se pueden desarrollar con base en informacin o conocimiento histrico que ha sido acumulado de experiencias similares (en proyectos o procesos) y otrasfuentesdeinformacin. o Anlisis de escenarios e hiptesis: Se plantean hiptesis y escenarios y de cada uno de ellos se determina su validez, los riesgos surgen de la incompletitud, inconsistencia o inexactituddelashiptesisodelosescenarios. o Tcnicas basadas en diagramas: Pueden incluir diagramas de causa y efecto (Ishikawa/fishbone),diagramasdeflujoydesistemas(muestraninteracciones),diagramas de influencia (una representacin grfica de un problema que muestra las influencias
19
causales, ordenamiento temporal de eventos y otras relaciones), as como los diagramas deingenieradesoftware. o El enfoque utilizado depender de la naturaleza de las actividades bajo revisin y los tipos deriesgos. Losproductosdeestaetapasern: o Riesgos: Un riesgo constituye un evento (o condicin) con cierta incertidumbre y si ste ocurretieneunefectopositivoonegativoenlosobjetivosdelproyectooproceso. o Disparadores: Se les llama a menudo sntomas del riesgo o seales de alarma y son indicadoresdequeunriesgoestapuntodeocurrir. Documentacinexistente.
4.2.4 Anlisisderiesgos
Los objetivos de anlisis son separar los riesgos menores y aceptables de los riesgos mayores, y proveer datos para asistir en la evaluacin y tratamiento de los riesgos. El anlisis de riesgos involucra prestar consideracin a las fuentes de riesgos, sus consecuencias y las probabilidades de que puedan ocurrir esas consecuencias. Pueden identificarse los factores que afectan a las consecuencias y probabilidades. Se analiza el riesgo combinando estimaciones de consecuenciasyprobabilidadesenelcontextodelasmedidasdecontrolexistentes. Se puede llevar a cabo un anlisis preliminar para excluir del estudio detallado los riesgos similares o de bajo impacto. De ser posible los riesgos excluidos deberan listarse para demostrar queserealizunanlisisderiesgoscompleto.
20
4.2.4.1 Determinarloscontrolesexistentes Identificar la administracin, sistemas tcnicos y procedimientos existentes para controlar los riesgos y evaluar sus fortalezas y debilidades. Pueden ser apropiadas las herramientas mencionadas en el apartado anterior, como asimismo los enfoques tales como inspecciones y tcnicasdeautoevaluacindecontroles(CSA). 4.2.4.2 Consecuenciasyprobabilidades Lamagnituddelasconsecuenciasdeunevento,sielmismoocurriera,ylaprobabilidaddel evento y sus consecuencias asociadas, se evalan en el contexto de los controles existentes. Las consecuencias y probabilidades se combinan para producir un nivel de riesgo. Se pueden determinarlasconsecuenciasyprobabilidadesutilizandoanlisisyclculosestadsticos. Alternativamente cuando no se dispone de datos anteriores, se pueden realizar estimaciones subjetivas que reflejan el grado de conviccin de un individuo o grupo de que podr ocurriruneventooresultadoparticular. Para evitar prejuicios subjetivos cuando se analizan consecuencias y probabilidades, deberanutilizarselasmejorestcnicasyfuentesdeinformacindisponibles. Sepuedenincluirlassiguientesfuentesdeinformacin: a) Registrosanteriores. b) Experienciarelevante. c) Prcticasyexperienciadeotrasinstitucionesenprocesosoactividadessimilares. d) Literaturarelevante. e) Experimentosyprototipos. f) Modeloseconmicos,deingenierauotros.
g) Opinionesyjuiciosdeespecialistasyexpertos.
21
Lastcnicasincluyen: a) Entrevistasestructuradasconexpertosenelreadeinters. b) Utilizacindegruposmultidisciplinariosdeexpertos. c) Evaluacionesindividualesutilizandocuestionarios. d) Usodemodelosdecomputadoruotros. e) Usoderbolesdefallasyrbolesdeeventos. Siempre que sea posible, debera incluirse el nivel de confianza asignado a las estimacionesdelosnivelesderiesgo. 4.2.4.3 Tiposdeanlisis El anlisis de riesgos puede ser llevado con distintos grados de refinamiento dependiendo de la informacin de riesgos y datos disponibles. Dependiendo de las circunstancias, el anlisis puedesercualitativo,semicuantitativoocuantitativoounacombinacindeestos. El orden de complejidad y costos de estos anlisis en orden ascendente, es cualitativo, semicuantitativo y cuantitativo. En la prctica, a menudo se utiliza primero el anlisis cualitativo para obtener una indicacin general del nivel de riesgo. Luego puede ser necesario llevar a cabo unanlisiscuantitativomsespecfico.Eldetalledelostiposdeanlisiseselsiguiente: 4.2.4.3.1 Anlisiscualitativo El anlisis cualitativo utiliza formatos de palabras o escalas descriptivas para describir la magnitud de las consecuencias potenciales y la probabilidad de que esas consecuencias ocurran. Estas escalas se pueden modificar o ajustar para adaptarlas a las circunstancias, y se pueden utilizardistintasdescripcionesparariesgosdiferentes.
22
4.2.4.3.2 Medidascualitativasdeconsecuenciaoimpacto: El impacto del riesgo calcula la gravedad de los efectos adversos, la magnitud de una prdida o el costo potencial de la oportunidad si el riesgo llega a producirse dentro del proyecto. Debe tratarse de una medida directa de la consecuencia del riesgo tal y como se define en la declaracin de riesgo. Puede calcularse en trminos financieros o con una escala de medicin subjetiva. La ventaja de expresar todos los impactos del riesgo en trminos financieros es que los patrocinadores del proyecto se familiarizarn antes con la informacin. El impacto financiero puede traducirse en costos a largo plazo de operaciones y soporte tcnico, la prdida de cuota de mercado,costosacortoplazoportrabajosadicionalesoloscostosdelasoportunidades. Enelrestodesituaciones,elusodeunaescaladevaloressubjetivade1a5ode1a10es msadecuadaparacalcularelimpacto.Sitodoslosriesgosdeunalistamaestraderiesgosutilizan lasmismasunidadesdemedida,lastcnicasdeasignacindeprioridadessimplesfuncionarn. NIVEL: 1 2 DESCRIPTOR: Insignificante Menor EJEMPLODEDESCRIPCINDETALLADA: Sinperjuicios,bajaprdidafinanciera. Tratamiento de primeros auxilios, liberado localmente se contuvo inmediatamente,perdidafinancieramedia. Requiere tratamiento mdico, liberado localmente pero contenido 3 Moderado conasistenciaexterna,prdidafinancianeraalta. Perjuiciosextensivos,prdidadecapacidaddeproduccin,liberacin 4 Mayor externa,sinefectosnocivos,prdidafinancieramayor. Muerte, liberacin txica externa con efectos nocivos, enorme 5 Nota: Las medidas utilizadas deberan reflejar las necesidades y naturaleza de la organizacin y actividadbajoestudio. Catastrfico prdidafinanciera.
23
4.2.4.3.3 Medidascualitativasdeprobabilidad: La probabilidad1 de riesgo es una medida que calcula la probabilidad de que la situacin descrita en el apartado de consecuencias de los riesgos de la declaracin de riesgos llegue a producirse de verdad. Las probabilidades son claramente difciles de calcular y aplicar, a pesar de contar con la ayuda de las bases de datos de riesgo de empresas e industrias, cuyos datos muestranlosclculosbasadoseninfinidaddeproyectos. Sin embargo, la mayora de equipos de proyecto pueden expresar con palabras sus experiencias,interpretarlosinformesyproporcionarunaampliagamadeexpresionesdelenguaje naturalparaindicarrangosdeprobabilidadnumricos.Porejemplo,lassimplesexpresionesbajo, medio, alto pueden expresar valores de probabilidad claros (17%, 50%, 84%), aunque tambin pueden emplearse trminos ms complejos como, por ejemplo, muy poco probable, improbable, probable, casi con total seguridad, que expresan incertidumbre frente a probabilidades. NIVEL: A B C D E 4.2.4.3.4 Exposicinalriesgo La exposicin al riesgo calcula la amenaza general que supone el riesgo combinando la informacin que expresa la probabilidad de una prdida real con informacin que indica la
1
DESCRIPTOR: Casicerteza Probable Posible Improbable Raro
DESCRIPCIN: Seesperaqueocurraenlamayoradelascircunstancias. Probablementeocurrirenlamayoradelascircunstancias. Podraocurrirenalgunmomento. Pudoocurrirenalgunmomento. Puedeocurrirencircunstanciasexcepcionales.
Para clasificar los riesgos es recomendable la asignacin de un valor numrico a la probabilidad (Anlisis Cuantitativo).
La probabilidad de un riesgo debe ser mayor que cero o el riesgo no representa una amenaza para el proyecto. Asimismo, la probabilidad debe ser menor que 100% o el riesgo es una certeza, en otras palabras, es un problema identificado.
24
magnituddelaprdidapotencialenunnicovalornumrico.Elequipopuedeusarlamagnitudde la exposicin al riesgo para clasificar los riesgos. En el caso ms simple de anlisis de riesgo cuantitativo, la exposicin al riesgo se calcula multiplicando la probabilidad de riesgo por el impacto. Cuando las puntuaciones se utilizan para cuantificar la probabilidad y el impacto, es muy prctico crear una matriz que tenga en cuenta las posibles combinaciones de las puntuaciones y las asigne a las categoras de riesgo bajo, medio o alto. Para utilizar la puntuacin de probabilidad tripartita, en la que 1 es bajo y 3 alto, los resultados pueden expresarse en una tabla, donde cada casillaesun valorposibleparalaexposicinalriesgo.Enestadisposicinesmuyfcil clasificarlos riesgosenla categorade bajo,medioyaltodependiendodesuposicinenlasbandasdiagonales delapuntuacinascendente.
4.2.4.4 Matrizdeanlisisderiesgocualitativoydeterminacindelnivelderiesgo
CONSECUENCIAS: PROBABILIDAD: Insignificantes Menores 1 A(Casicerteza) B(Probable) C(Posible) D(Improbable) E(Raro) Alto Medio Bajo Bajo Bajo 2 Alto Alto Medio Bajo Bajo Moderadas 3 Extremo Alto Alto Medio Medio Mayores 4 Extremo Extremo Extremo Alto Alto Catastrficas 6 Extremo Extremo Extremo Extremo Alto
25
NIVEL: Bajo Medio CATEGORA: Aceptabletalcual Aceptableconcontroles DESCRIPCIN: Norequieremitigacin. Se debe verificar que existan controles para este riesgoyestnoperativos. Debe ser mitigado con controles de ingeniera o Alto Indeseable administrativos dentro de un perodo mnimo de 12meses. Debe ser mitigado con controles de ingeniera o Extremo Inaceptable administrativosdentrodeunperodomnimode6 meses. Elanlisiscualitativoseutiliza: o Como una actividad inicial de tamiz, para identificar los riesgos que requieren un anlisis msdetallado. o Cuando el nivel de riesgo no justifica el tiempo y esfuerzo requerido para un anlisis ms completo. o 4.2.4.4.1 Anlisissemicuantitativo En el anlisis semicuantitativo, a las escalas cualitativas, tales como las descriptas arriba, se les asignan valores. El nmero asignado a cada descripcin no tiene que guardar una relacin precisa con la magnitud real de las consecuencias o probabilidades. Los nmeros pueden ser combinados en cualquier rango de frmula dado que el sistema utilizado para priorizar confronta el sistema seleccionado para asignar nmeros y combinarlos. El objetivo es producir un ordenamiento de prioridades ms detallado que el que se logra normalmente en el anlisis Cuandolosdatosnumricossoninadecuadosparaunanlisiscuantitativo.
26
cualitativo, y no sugerir valores realistas para los riesgos tales como los que se procuran en el anlisiscuantitativo. Se debe tener cuidado con el uso del anlisis semicuantitativo porque los nmeros seleccionados podran no reflejar apropiadamente las relatividades, lo que podra conducir a resultados inconsistentes. El anlisis semicuantitativo puede no diferenciar apropiadamente entre distintos riesgos,particularmentecuandolasconsecuenciasolasprobabilidadessonextremas. Avecesesapropiadoconsiderarlaprobabilidadcompuestadedoselementos,alosquese refieregeneralmentecomofrecuenciadelaexposicinyprobabilidad. Frecuencia de la exposicin es la extensin a la cual una fuente de riesgo existe, y probabilidad2eslamedidadelafrecuenciadeque,cuandoexisteesafuentederiesgo,leseguirn las consecuencias. Deber ejercerse precaucin en las situaciones en que las relaciones entre los dos elementos no es completamente independiente, cuando hay una fuerte relacin entre frecuenciadelaexposicinylaprobabilidad. Esteenfoquesepuedeaplicarenelanlisissemicuantitativoycuantitativo. 4.2.4.4.2 Anlisiscuantitativo El anlisis cuantitativo utiliza valores numricos para las consecuencias y probabilidades (en lugar de las escalas descriptivas utilizadas en los anlisis cualitativos y semicuantitativos) utilizandodatosdedistintasfuentes.Lacalidaddelanlisisdependedelaprecisineintegridadde losvaloresnumricosutilizados. Las consecuencias pueden ser estimadas modelando los resultados de un evento o conjunto de eventos, o extrapolando a partir de estudios experimentales o datos del pasado. Las consecuencias pueden ser expresadas en trminos de criterios monetarios, tcnicos o humanos, o
2
Matemticamente hablando, la probabilidad p de aparicin de un suceso S de un total de n
casos posibles igualmente factibles es la razn entre el nmero de ocurrencias h de dicho suceso y el nmero total de casos posibles n. p = P{S} = h / n.
27
cualquier otro criterio referido en la Clusula 4.1.5. En algunos casos se requiere ms de un valor numrico para especificar las consecuencias para distintos momentos, lugares, grupos o situaciones. La probabilidad es expresada generalmente como una probabilidad, una frecuencia, o una combinacindeexposicinyprobabilidad. Laformaenqueseexpresanlasprobabilidadesylasconsecuenciasylasformasenquelas mismas son combinadas para proveer un nivel de riesgo variarn de acuerdo con el tipo de riesgo yelcontextoenelcualsevaautilizarelnivelderiesgo. 4.2.4.4.3 Anlisisdesensibilidad Dadoquealgunasdelasestimacionesrealizadasenelanlisiscuantitativosonimprecisas, deber llevarse a cabo un anlisis de sensibilidad para comprobar el efecto de los cambios en los supuestosyenlosdatos. 4.2.4.5 Evaluacinderiesgos La evaluacin de riesgos involucra comparar el nivel de riesgo detectado durante el procesodeanlisisconcriteriosderiesgoestablecidospreviamente. El anlisis de riesgo y los criterios contra los cuales se comparan los riesgos en la evaluacin de riesgos deberan considerarse sobre la misma base. En consecuencia, la evaluacin cualitativainvolucralacomparacindeunnivelcualitativoderiesgocontracriterioscualitativos,y laevaluacincuantitativainvolucralacomparacindeunnivelnumricoderiesgocontracriterios que pueden ser expresados como un nmero especfico, tal como, un valor de fatalidad, frecuenciaomonetario. El producto de una evaluacin de riesgo es una lista de riesgos con prioridades para una accinposterior.
28
Deberan considerarse los objetivos de la organizacin y el grado de oportunidad que podranresultardetomarelriesgo. Las decisiones deben tener en cuenta el amplio contexto del riesgo e incluir consideracin de la tolerabilidad de los riesgos sostenidos por las partes fuera de la organizacin que se beneficiandeellos. Si los riesgos resultantes caen dentro de las categoras de riesgos bajos o aceptables, pueden ser aceptados con un tratamiento futuro mnimo. Los riesgos bajos y aceptados deberan sermonitoreadosyrevisadosperidicamenteparaasegurarquesemantienenaceptables. Si los riesgos no caen dentro de la categora de riesgos bajos o aceptables, deberan ser tratadosutilizandounaomsdelasopcionesdetramientoquesedescribenacontinuacin.
4.2.5 Tratamientodelosriesgos
El tratamiento de los riesgos involucra identificar el rango de opciones para tratar los riesgos,evaluaresasopciones,prepararplanesparatratamientodelosriesgoseimplementarlos. 4.2.5.1 Identificaropcionesparatratamientodelosriesgos Las opciones para el tratamiento de los riesgos no son necesariamente mutuamente exclusivasyapropiadasentodaslascircunstancias,incluyenlosiguiente:
29
4.2.5.1.1 Evitarelriesgodecidiendonoprocederconlaactividadqueprobablementegenerara elriesgo(cuandoestoespracticable). Evitar riesgos puede ocurrir inadecuadamente por una actitud de aversin al riesgo, que es una tendencia en mucha gente (a menudo influenciada por el sistema interno de una organizacin). Evitarinadecuadamentealgunosriesgospuedeaumentarlasignificacindeotros. Laaversinariesgostienecomoresultado: o Decisiones de evitar o ignorar riesgos independientemente de la informacin disponible y deloscostosincurridoseneltratamientodeesosriesgos. o o o o Fallasentratarlosriesgos. Dejarlasopcionescrticasy/odecisionesenotraspartes. Diferirlasdecisionesquelaorganizacinnopuedeevitar. Seleccionar una opcin porque representa un riesgo potencial ms bajo independientementedelosbeneficios. 4.2.5.1.2 Reducirocontrolarlaprobabilidaddelaocurrencia Sepuedenmencionarlassiguientesacciones: a) Programasdeauditoriaycumplimiento. b) Condicionescontractuales. c) Revisionesformalesderequerimientos,especificaciones,diseo,ingenierayoperaciones. d) Inspeccionesycontrolesdeprocesos. e) Administracindeinversionesycartera. f) Administracindeproyectos.
g) Mantenimientopreventivo. h) Aseguramientodecalidad,administracinyestndares. i) Investigacinydesarrollo,desarrollotecnolgico.
30
j)
Capacitacinestructuradayotrosprogramas.
k) Supervisin. l) Comprobaciones.
m) Acuerdosorganizacionales. n) Controlestcnicos. 4.2.5.1.3 Reducirocontrolarlasconsecuencias Estospuedenincluirlossiguientesprocedimientos: Planeamientodecontingencia. Arregloscontractuales. Condicionescontractuales. Caractersticasdediseo. Planesderecuperodedesastres. Barrerasdeingenierayestructurales. Planeamientodecontroldefraudes. Minimizarlaexposicinafuentesderiesgo. Planeamientodecartera. Polticaycontrolesdeprecios. Separacinoreubicacindeunaactividadyrecursos. Relacionespblicas. Pagosexgratia3.
Se da este nombre al pago que efecta una institucin sin tener responsabilidad legal alguna de indemnizar una perdida.
Normalmente, se persigue con el pago ex gratia evitar los gastos excesivos que se producirn al tener que demostrar judicialmente, o de modo anlogo la improcedencia de dicho pago, cuyo importe no compensara la cuanta de aquellos gastos.
31
4.2.5.1.4 Transferirlosriesgos Esto involucra que otra parte soporte o comparta parte del riesgo. Los mecanismos incluyen el uso de contratos, arreglos de seguros y estructuras organizacionales tales como sociedades. La transferencia de un riesgo a otras partes, o la transferencia fsica a otros lugares, reducir el riesgo para la organizacin original, pero puede no disminuir el nivel general del riesgo paralasociedad. Cuandolosriesgossontotaloparcialmentetransferidos,laorganizacinquetransfierelos riesgos ha adquirido un nuevo riesgo, que la organizacin a la cual ha transferido el riesgo no puedaadministrarloefectivamente. 4.2.5.1.5 Retenerlosriesgos Luego de que los riesgos hayan sido reducidos o transferidos, podra haber riesgos residuales que sean retenidos. Deberan ponerse en prctica planes para administrar las consecuencias de esos riesgos si los mismos ocurrieran, incluyendo identificar medios de financiar dichos riesgos. Los riesgos tambin pueden ser retenidos en forma predeterminada, por ejemplo cuando hay una falla para identificar y/o transferir apropiadamente o de otro modo tratar los riesgos. A la reduccin de las consecuencias y probabilidades se las puede referir como control de riesgos.Elcontrolderiesgosinvolucradeterminarelbeneficiorelativodenuevoscontrolesalaluz de la efectividad de los controles existentes. Los controles pueden involucrar polticas de efectividad,procedimientosocambiosfsicos.
32
4.2.5.1.6 Aceptarlosriesgos Los responsables del proyecto o proceso deciden no lidiar con el riesgo debido a que no quierenafectarelrendimientoocambiarlaplanificacinactualosedesconoceunplandemanejo implementableparaesteriesgo. 4.2.5.2 Evaluaropcionesdetratamientodelosriesgos Lasopcionesdeberanserevaluadassobrelabasedelalcancede lareduccin delriesgo,y elalcancedecualquierbeneficiouoportunidadadicionalcreadas,tomandoencuentaloscriterios desarrollados.Puedenconsiderarseyaplicarseunacantidaddeopcionesyaseaindividualmenteo combinadas. Laseleccindelaopcinmsapropiadainvolucrabalancearelcostodeimplementarcada opcin contra los beneficios derivados de la misma. En general, el costo de administrar los riesgos necesitaserconmensuradaconlosbeneficiosobtenidos. Cuando se pueden obtener grandes reducciones en el riesgo con un gasto relativamente bajo, tales opciones deberan implementarse. Otras opciones de mejoras pueden ser no econmicas y necesitaejercerseeljuicioparaestablecersisonjustificables. Las decisiones deberan tener en cuenta la necesidad de considerar cuidadosamente los riesgos raros pero severos, que podran justificar medidas de seguridad que no son justificables porfundamentosestrictamenteeconmicos. En general el impacto adverso de los riesgos debera hacerse tan bajo como sea razonablementepracticable,independientementedecualquiercriterioabsoluto. Si el nivel de riesgo es alto, pero podran resultar oportunidades considerables si se lo asume, tal como el uso de una nueva tecnologa, entonces la aceptacin del riesgo necesita estar basada en una evaluacin de los costos de tratamiento y los costos de rectificar las consecuencias potencialesversuslasoportunidadesquepodrandepararsedetomarelriesgo.
33
En muchos casos, es improbable que cualquier opcin de tratamiento del riesgo sea una solucin completa para un problema particular. A menudo la organizacin se beneficiar sustancialmente mediante una combinacin de opciones tales como reducir la probabilidad de los riesgos,reducirsusconsecuencias,ytransferiroreteneralgunosriesgosresiduales.Unejemploes elusoefectivodecontratosylafinanciacinderiesgossustentadosporunprogramadereduccin deriesgos. Cuando el costo acumulado de implementacin de todos los tratamientos de riesgos excedeelpresupuestodisponible,elplandeberaidentificarclaramenteelordendeprioridadbajo el cual deberan implementarse los tratamientos individuales de los riesgos. El ordenamiento de prioridad puede establecerse utilizando distintas tcnicas, incluyendo anlisis de ranking de riesgos y de costobeneficio. Los tratamientos de riesgos que no puedan ser implementados dentro de los lmites del presupuesto disponible deben esperar la disponibilidad de recursos de financiamientoadicionales,o,siporcualquierrazntodosoalgunosdelostratamientosrestantes son considerados importantes, debe plantearse el problema para conseguir el financiamiento adicional. Lasopcionesdetratamientodelosriesgosdeberanconsiderarcmoespercibidoelriesgo porlaspartesafectadasylasformasmsapropiadasdecomunicrseloadichaspartes. 4.2.5.3 Prepararplanesdetratamiento Los planes deberan documentar cmo deben ser implementadas las opciones seleccionadas. El plan de tratamiento debera identificar las responsabilidades, el programa, los resultadosesperadosdelostratamientos,elpresupuesto,lasmedidasdedesempeoyelproceso derevisinaestablecer.
34
El plan tambin debera incluir un mecanismo para evaluar la implementacin de las opciones contra criterios de desempeo, las responsabilidades individuales y otros objetivos, y paramonitorearlosmojonescrticosdeimplementacin. 4.2.5.4 Implementarplanesdetratamiento Idealmente,laresponsabilidadporeltratamientodelriesgodeberaserllevadaacabopor aquellos con mejor posibilidad de controlar el riesgo. Las responsabilidades deberan ser acordadasentrelaspartesenelmomentomstempranoposible. Laimplementacinexitosadelplande tratamientodelriesgorequiereunsistemaefectivo de administracin que especifique los mtodos seleccionados, asigne responsabilidades y compromisosindividualesporlasacciones,ylosmonitoreerespectodecriteriosespecificados. Si luego del tratamiento hay un riesgo residual, debera tomarse la decisin de si retener esteriesgoorepetirelprocesodetratamiento.
4.2.6 Monitoreoyrevisin
Esnecesariomonitorearlosriesgos,laefectividaddelplandetratamientodelosriesgos,las estrategias y el sistema de administracin que se establece para controlar la implementacin. Los riesgos y la efectividad de las medidas de control necesitan ser monitoreadas para asegurar que las circunstancias cambiantes no alteren las prioridades de los riesgos. Pocos riesgos permanecen estticos. Es esencial una revisin sobre la marcha para asegurar que el plan de administracin se mantiene relevante. Pueden cambiar los factores que podran afectar las probabilidades y consecuenciasdeunresultado,comotambinlosfactoresqueafectanlaconvenienciaocostosde las distintas opciones de tratamiento. En consecuencia, es necesario repetir regularmente el ciclo
35
de administracin de riesgos. La revisin es una parte integral del plan de tratamiento de la administracinderiesgos.
4.2.7 Comunicacinyconsulta
La comunicacin y consulta son una consideracin importante en cada paso del proceso de administracinderiesgos.Esimportantedesarrollarunplandecomunicacinparalosinteresados internos y externos en la etapa ms temprana del proceso. Este plan debera encarar aspectos relativosalriesgoensimismoyalprocesoparaadministrarlo. La comunicacin y consulta involucra un dilogo en ambas direcciones entre los interesados, con el esfuerzo focalizado en la consulta ms que un flujo de informacin en un slo sentido del tomadordedecisinhacialosinteresados. Es importante la comunicacin efectiva interna y externa para asegurar que aquellos responsables por implementar la administracin de riesgos, y aquellos con intereses creados comprenden la base sobre la cual se toman las decisiones y por qu se requieren ciertas acciones enparticular. Las percepciones de los riesgos pueden variar debido a diferencias en los supuestos, conceptos,lasnecesidades,aspectosypreocupacionesdelosinteresados,segnserelacionencon el riesgo o los aspectos bajo discusin. Los interesados probablemente harn juicios de aceptabilidaddelosriesgosbasadosensupercepcindelosmismos. Dadoquelosinteresadospuedentenerunimpactosignificativoenlasdecisionestomadas,es importantequesuspercepcionesdelosriesgos,ascomo,suspercepcionesdelosbeneficios,sean identificadas y documentadas y las razones subyacentes para las mismas comprendidas y tenidas encuenta.
36
4.3 Documentacin
Debera documentarse cada etapa del proceso de administracin de riesgos. La documentacindeberaincluirlossupuestos,losmtodos,lasfuentesdedatosylosresultados.
4.3.1 Razonesparaladocumentacin
Lasrazonesparaladocumentacinsonlassiguientes: a) Demostrarqueelprocesoesconducidoapropiadamente. b) Proveerevidenciadeunenfoquesistemticodeidentificacinyanlisisderiesgos. c) Proveer un registro de los riesgos y desarrollar la base de datos de conocimientos de la organizacin. d) Proveer a los tomadores de decisin relevantes de un plan de administracin de riesgos paraaprobacinysubsiguienteimplementacin. e) Proveerunmecanismoyherramientaderesponsabilidad. f) Facilitarelcontinuomonitoreoyrevisin.
g) Proveerunapistadeauditora. h) Compartirycomunicarinformacin. Las decisiones concernientes al alcance de la documentacin pueden involucrar costos y beneficiosydeberantomarenconsideracinlosfactoresmencionadosarriba. Para administrar correctamente el riesgo, se requiere una documentacin apropiada. Esto puede necesitar ser suficiente para satisfacer a una auditora independiente. Las decisiones concernientes al alcance de la documentacin pueden involucrar costos y beneficios y debera tomarencuentalosfactoresriesgomencionadosenlosapartadosanteriores.Ladeclaracindela polticadeadministracinderiesgosdeberadefinirladocumentacinnecesaria. Encadaetapadelproceso,ladocumentacindeberaincluir:
37
a) Objetivos. b) Fuentesdeinformacin. c) Supuestos. d) Decisiones. 4.3.1.1 Declaracindecumplimientoydiligenciadebida En algunas circunstancias puede requerirse una declaracin de cumplimiento y diligencia debida, de forma tal que los gerentes tomen conocimiento formal de su responsabilidad por el cumplimientodelaspolticasyprocedimientosdeadministracinderiesgos. 4.3.1.2 Registroderiesgos Porcadariesgoidentificadoelregistroderiesgocomprende: a) Declaracin. b) Ubicacinenelcontextoorganizacional. c) Sntomas/Disparadores d) Consecuencias e) ProbabilidadeImpacto. f) Niveldeexposicin.
g) Opcionesdetratamientoyrespuesta/controlesexistentes. 4.3.1.3 Programadetratamientoderiesgosyplandeaccin Un tratamiento de riesgos y plan de accin documenta los controles gerenciales a adoptar y listalasiguienteinformacin: a) Responsablesdelaimplementacindelplan. b) Recursosrequeridos.
38
c) Asignacindepresupuesto. d) Calendariodeimplementacin. e) Detalles del mecanismo y frecuencia de la revisin de cumplimiento del plan de tratamiento. 4.3.1.4 Monitorearyauditardocumentos Losregistrosdemonitoreoyauditoriadeberandocumentar: a) Detalles del mecanismo y frecuencia de la revisin de riesgos y del proceso de administracinderiesgoscomountodo. b) Losresultadosdelasauditoriasydeotrosprocedimientosdemonitoreo. c) Detallesdecmosonseguidaseimplementadaslasrecomendacionesdelasrevisiones.
39
5 Referenciasbibliogrficas
[HIGUE96] Ronald P. Higuera y Yacov Y. Haimes, Software Risk Management, SEI Technical Report CMU/SEI96TR012 ESC96012 (Pittsburgh, PA: Software Engineering Institute UniversidadCarnegieMellon,1996. [CARR93] Marvin J. Carr y otros, TaxonomyBased Risk Identification, SEI Technical Report CMU/SEI93TR6 ESCTR93183 (Pittsburgh, PA: Software Engineering Institute UniversidadCarnegieMellon,1993. [SEA05] Robert C. Seacord y Allen D. Householder, A Structured Approach to Classifyng Security Vulnerabilities, SEI Technical Note CMU/SEI2005TN003 (Pittsburgh, PA: Software EngineeringInstituteUniversidadCarnegieMellon,2005. [SOM02] Ian Sommerville. Ingeniera de Software. Sexta Edicin. Editorial Addison Wesley. Mxico.2002. [STON02] Gary Stoneburner y otros. Risk Management Guide for Information Technology Systems. Recommendations of the National Institute of Standards and Technology SP 80030.NationalInstituteofStandardsandTechnology.2002 [PMBOK00] Project Management Institute Inc. (www.pmi.org). A guide to project management bodyofknowledge(PMBOKGuide).Edicin2000.Pennsylvania,EUA.2000. [PMBOK04] Project Management Institute Inc. (www.pmi.org). A guide to project management bodyofknowledge(PMBOKGuide).Edicin2004.Pennsylvania,EUA.2004. [DOD00] Departamento de Defensa. Standard Practice for System Safety. MILSTD882D. Febrero2000.
40
[DOD03] Departamento de Defensa. Risk Manegement Guide for DoD Acquisition. MILSTD 882D.QuintaEdicin(Versin2.0).Junio2003. [ROBIN02] Allison Robin y otros. Disciplina de administracin de riesgos Versin 1.1. Microsoft SolutionsFramework.MicrosoftCorportation.2002. [SAA99] Standards Association of Australia. Risk management. AS/NZS 4360:1999. Strathfield, NSW:StandardsAssociationofAustralia,1999. [GALL05] Gallagher, Brian P. y otros. "Taxonomy of Operational Risks" (CMU/SEI2005TN36). Pittsburgh,PA:SoftwareEngineeringInstitute,CarnegieMellonUniversity,2005. [MURP96] Murphy, Richard L. y otros. "Continuous Risk Management Guidebook". PA: Carnegie MellonUniversity,1996. [WILL99] Williams, Ray C. y otros. "Software Risk Evaluation (SRE) Method Description (Version 2.0)" (CMU/SEI99TR029, ADA001008). PA: Software Engineering Institute, Carnegie MellonUniversity,1999.
41
6 Esquemadelagestinderiesgos
42

Gestion Del Riesgo

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Gestion Del Riesgo

Загружено:

Авторское право:

Доступные форматы

InstitutoCostarricensesobreDrogas

ProcesoContinuoe Integrado paralaGestindel Riesgo

Presentacin ............................................................................ 5 Alcances del estndar ................................................................. 5 Principios bsicos ...................................................................... 5

Proceso de gestin de riesgos ....................................................... 8

4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 4.2.7

Referencias bibliogrficas ...........................................................40 Esquema de la gestin de riesgos ..................................................42

g) Cronogramayprogramadeactividades. h) Elambiente. i) j) Intangiblestalescomolareputacin,gestosdebuenavoluntad,calidaddevida. Comportamientoorganizacional.

Desastres naturales: condiciones climticas, terremotos, incendios de bosques, plagas, actividadvolcnica.

k) Responsabilidadpblica:acceso,egresoyseguridadpblica. l) Seguridad:desfalcos,vandalismo,robo,apropiacinindebidadeinformacin,penetracin ilegal. m) Tecnolgicos:innovacin,obsolescencia,explosionesydependencia.

DESCRIPTOR: Casicerteza Probable Posible Improbable Raro

DESCRIPCIN: Seesperaqueocurraenlamayoradelascircunstancias. Probablementeocurrirenlamayoradelascircunstancias. Podraocurrirenalgunmomento. Pudoocurrirenalgunmomento. Puedeocurrirencircunstanciasexcepcionales.

Matemticamente hablando, la probabilidad p de aparicin de un suceso S de un total de n

g) Mantenimientopreventivo. h) Aseguramientodecalidad,administracinyestndares. i) Investigacinydesarrollo,desarrollotecnolgico.

Вам также может понравиться