Вы находитесь на странице: 1из 80

BASC Per

World BASC Organization

Agosto 2011
Objetivo General del Taller
Que los participantes tengan la capacidad de Identificar,
analizar, evaluar y tratar los riesgos en la organizacin, as
como conocer el proceso para implementar un sistema de
gestin de riesgos.

Objetivos Especficos:

1. Dar a conocer a los participantes la metodologa para


Identificar los riesgos relacionados al Sistema de Gestin de
Seguridad en la Cadena de Suministro BASC.
2. Que conozcan la metodologa de evaluacin de riesgos.
3. Elaboracin de la Matriz de Riesgos de la Empresa.
ndice:
Definicin de Riesgo.
Definiciones relacionadas al riesgo
Tipos de Riesgos que enfrentan las organizaciones
Sistema de Gestin de la Seguridad.
Requerimientos de Gestin de Riesgos
Poltica de administracin de riesgos
Planeamiento y recursos
Programa de implementacin
Revisin gerencial
Los Cinco pasos del Proceso de Gestin de Riesgos:
Establecer el contexto
Identificacin de Riesgos
Anlisis de Riesgos
Evaluacin de Riesgos.
Tratamiento de los riesgo
Comunicacin y consulta
Ejercicio de Identificacin de Riesgos
Ejercicio de Evaluacin de Riesgos.
Resumen y otras recomendaciones
Objetivo Principal del Taller
Asegurar que los participantes tengan la capacidad de
Identificar, evaluar y analizar los riesgos as como implementar
acciones que sea capaz de mitigarlos.
Riesgo
Objetivos Especficos:
1. Dar a conocer a los participantes los conceptos relacionados al
Riesgo. Objetivo C
2. Conocer la metodologa para Identificar los Riesgos por procesos.
3. Conocer la metodologa de evaluar y analizar los Riesgos que
cuentan las empresas por actividades del proceso.
4. Conocer P a tomar para mitigar los riesgos
las acciones
Objetivo
5. Elaboracin de la Matriz de Riesgos de la Empresa.

Oportunidad de que suceda algo que tendr impacto en los objetivos.


El riesgo se mide en trminos de una combinacin de
consecuencias de un evento.

El riesgo puede tener un impacto positivo o negativo.

5
Definiciones

Riesgo Residual:
Riesgo remanente despus de la implementacin del tratamiento del Riesgo.

Concepto Riesgo Residual

Riesgos Relevantes Controles Existentes

Riesgo Residual Zona No cubierta


por controles
Definiciones

Consecuencia:
Resultado o impacto de un evento.
Puede haber mas de una consecuencia en un evento
Pueden variar desde positivas hasta negativas.
Pueden expresar cualitativa y cuantitativamente.
Se consideran en relacin al logro de los objetivos.

Evento:
Ocurrencia de un conjunto particular de circunstancias.
El evento puede ser cierto o incierto
El evento puede ser una sola ocurrencia o una serie de ocurrencias.
Definiciones

Control:
Proceso, poltica, dispositivo, prctica u otra accion existente que acta para
minimizar el riesgo negativo o potenciar oportunidades positivas.

Evaluacin del control:


Revisin sistemtica de los procesos para garantizar que los controles aun son
eficaces y adecuados.
La evaluacin peridica de la gestin en lnea de los controles con
ferecuencia se denomina Auto evaluacin del Control ocurrencias.
Definiciones

Frecuencia:
Medicin del nmero de ocurrencias por unidad de tiempo.

Peligro:
Una fuente de dao potencial o una situacion con potencial para causar
perdidas.

Posibilidad:
Se utiliza como descripcin general de la posibilidad o la frecuencia.
Se puede expresar cualitativa o cuntitativamente.

Prdida:
Cualquier consecuencia negativa, financiero u otro.
Definiciones

Monitorear:
Observar crticamente, supervisar, verificar, medir regularmente el programa
de una actividad, una accin o un sistema para identificar los cambios en el
nivel de desempeo requerido o esperado.

Probabilidad:
Medida de la oportunidad de ocurrencia expresada como un nmero de 0 a 1,
mayormente expresada porcentualmente.
Para describir el Riesgo se puede usar frecuencias o posibilidad pero
no probabilidad.

Posibilidad:
Se utiliza como descripcin general de la posibilidad o la frecuencia.
Se puede expresar cualitativa o cuantitativamente.
Definiciones

Prdida:
Cualquier consecuencia negativa o efecto adverso, financiero u otro.

Identificacin del Riesgo:


Proceso para determinar Qu, Cundo, Dnde, Por qu y Cmo podan suceder
algo.

Anlisis del Riesgo:


Proceso sistemtico para entender la naturaleza del riesgo y deducir el nivel del
riesgo.
Proporciona la base para la evaluacin del riesgo y las decisiones sobre el
tratamiento del riesgo.
Definiciones

Valoracin del riesgo:


Proceso total de Identificacin. Analisis y evaluacion del riesgo.

Evitar el riesgo:
Decisin de NO involucrarse en o retirarse de una situacin de riesgo.

Criterios del Riesgo:


Trminos de referencia mediante los cuales se evala la importancia del
riesgo.
Los criterios del riesgo pueden incluir costos y beneficios asociados, requisisitos
legales, y estatutos, aspectos socioeconmicos y ambientales, preocupaciones de
las partes interesadas , prioridades y otras entradas para la evaluacin.
Definiciones

Gestin del riesgo:


Cultura, procesos y estructuras dirigidas a obtener oportunidades
potenciales mientras se administran los efectos del riesgo.

Proceso de gestin del riesgo:


Aplicacin sistematica de Polticas, procedimientos y prcticas de gestion a
las labores de comunicar, establecer el contexto, identificar, analizar,
evaluar, tratar, monitorear y revisar el riesgo.
Definiciones

Sistema para la gestin del riesgo:


Conjunto de elementos del sistema de gestin de una organizacin
involucrados en la gestin del riesgo.
Los elementos del sistema de gestin pueden incluir planificacin estratgica,
toma de decisiones y otras estrategias, procesos y prcticas para abordar el
riesgo.
La Cultura de una organizacin se refrleja en la gestin del riesgo.

Reduccin del riesgo:


Acciones que se toman para disminuir la posibilidad, las consecuencias
negativas o ambas, asociadas con un riesgo.
Definiciones

Tratamiento del Riesgo:


Proceso de seleccin e implementacin de medidas para modificar el
riesgo.
El trmino tratamiento del riesgo en ocasiones se utiliza para las medidas en
s.
Las medidas para el tratamiento del riesgo pueden incluir evitar, modificar,
compartir o retener el riesgo.

Partes involucradas:
Personas y organizaciones que pueden afectar, verse afectadas o
percibirse como afectadas por la decisin, una actividad o un riesgo.
El termino parte involucrada tambien puede incluir a las partes interesadas, tal
como se definen en las normas NTC-ISO 14050 y NTC-ISO 14004.
Definiciones

Retencin del Riesgo:


Aceptacin del peso de la prdida o del beneficio de la ganancia de un
riesgo particular.
La retencin del riesgo incluye la aceptacin del riesgo que NO se han
identificado.
El nivel de riesgo retenido puede depender de los criterios de riesgo

Compartir el Riesgo:
Compartir con otra de las partes el peso de la prdida o del beneficio de la
ganancia proveniente de un riesgo particular.
Los requisitos legales o estutos pueden limitar, prohibir u ordenar compartir
algunos riesgos.
El compartir el riesgo se puede realizar a travs de seguros u otros acuerdos.
Compartir el riesgo puede crear riesgos nuevos o modificar un riesgo
existente.
Elemental

Toda empresa debe demostrar su habilidad para gestionar los


riesgos, segn sus circunstancias particulares, de manera que
apoye de manera efectiva el logro de todos y cada uno de sus
objetivos.

Habilidades: Tipos de Generados por el entorno


Gestin del Riesgos Generados en el normal desarrollo de las actividades de la organizacin.
Riesgo
Tipos de Riesgos

Asociados a la naturaleza
Meteorolgicos (huracanes, tornados, etc.) y climticos
Efecto invernadero, disminucin de la capa de ozono, contaminacin
de las aguas y el aire.
Sismos, tsunamis, etc.

Asociados al Pas, la Regin y la ciudad de ubicacin


Inversin local y extranjera
Dficit fiscal, situacin poltica, crecimiento de la economa.
Terrorismo, narcotrfico, delincuencia, corrupcin, etc.
Tipos de Riesgos

Asociado al sector econmico y a la industria


Campaas de desprestigio de la competencia
Espionaje industrial
Competencia desleal
Transacciones ilegales
Corrupcin institucional y privada
Operaciones ilcitas
Daos por productos
Accidentes y enfermedades profesionales
Productos contaminados
Tipos de Riesgos

Puro
Origina prdida ( incendio, accidente, inundacin, explosin, etc.)

Especulativo
Beneficio o prdida ( inversin en acciones, devaluacin,
revaluacin, lanzamiento de un producto)

Reputacional
Fraude, insolvencia, conducta irregular, contaminacin

Financiero
Mercado, liquidez y crdito
Tipos de Riesgos

Tecnolgico
Hardware, software, hacker.
Obsolescencia, etc.

Laborales
Huelgas, sabotajes, negociacin
Accidentes

Fsicos
Corto circuito, incendios, inundacin, explosin fsica, dao en equipos.
Tipos de Riesgos

Las personas.
El ser humano es materia prima, producto en proceso y producto terminado
mas importante en la organizacin y puede ser generador del mayor o del
menor riesgo en la organizacin, dependiendo del grado de madurez de la
Cultura de Seguridad basada en Gestin del Riesgo.

El proceso.
Los procesos mal diseados, no establecidos, no Identificados o mal
documentados pueden ser un riesgo para la empresa incluso aunque se sigan a
la perfeccin.
SISTEMA DE GESTION DE LA SEGURIDAD

Mejora Continua

SISTEMA DE GESTION DE LA SEGURIDAD

Politica de Gestion de la Seguridad

Revision por la Direccion Planificacion de la Seguridad:


1. Evaluacion de Riesgos
2. Requisitos de Reglamentacion
3. Objetivos y metas de Seguridad
4. Programa de Gestion de la Seguridad
Verificacion y Acciones Correctivas:
1. Medicion y Seguimiento
2. Evaluacion del Sistema Implementacion y Operacion:
3. No conformidad y accion correctiva 1. Comunicacion
4. Registros 2. Documentacion
5. Auditorias 3. Control Operacional
4. Preparacion para emergencias
Plan del Sistema de Gestin de Riesgos.
Requerimientos de la Gestin de Riesgos
Poltica de Gestin de riesgos
Planeamiento y recursos
Programa de implementacin
Revisin gerencial
Los Cinco pasos del Proceso de Gestin de Riesgos:
Establecer el contexto
Identificacin de Riesgos
Anlisis de Riesgos
Evaluacin de Riesgos.
Tratamiento de los riesgo
Comunicacin y consulta
Documentacin
Definir y documentar su poltica para Gestin de Riesgos, incluyendo
objetivos para, y su compromiso con la Gestin de riesgos.

La poltica de gestin de riesgos debe ser relevante para el contexto


estratgico de la organizacin y para sus metas, objetivos y la
naturaleza de su negocio.

La gerencia asegurar que esta poltica sea comprendida,


implementada y mantenida en todos los niveles de la organizacin.
Compromiso gerencial
La organizacin debera asegurar que:
a) se ha establecido, implementado y mantenido un sistema de Gestin de riesgos, de acuerdo con este Estndar; y
b) se reporta el desempeo del sistema de Gestin de riesgos a la gerencia de la organizacin para revisin y como base para su
mejora.

Responsabilidad y autoridad
Deber definirse y documentarse la responsabilidad, autoridad e interrelaciones del personal que realiza y
verifica el trabajo que afecta la administracin de riesgos, particularmente para la gente que necesita la libertad y
autoridad organizacional para realizar una o ms de las siguientes acciones:
a) iniciar acciones para prevenir o reducir los efectos adversos de los riesgos;
b) controlar el tratamiento posterior de los riesgos hasta que el nivel de riesgo se haga aceptable;
c) identificar y registrar cualquier problema relativo a la gestin de riesgos;
d) iniciar, recomendar o proveer soluciones a travs de los canales asignados;
e) verificar la implementacin de soluciones; y
f) comunicar y consultar interna y externamente segn corresponda.

Recursos
La organizacin debe identificar los requerimientos de recursos y proveer recursos adecuados, incluyendo la
asignacin de personal entrenado para las actividades de administracin, desempeo del trabajo, y verificacin
incluyendo la revisin interna.
Se requiere seguir una cantidad de pasos para implementar un sistema
efectivo de Gestin de Riesgos dentro de una organizacin.

Dependiendo de la filosofa, cultura y estructura general de Gestin de


Riesgos de la organizacin, debera ser posible combinar u omitir ciertos
pasos. Sin embargo, deberan considerarse todos los pasos.
El ejecutivo de la organizacin debe asegurar que se lleve a cabo una revisin
del sistema de Gestin de Riesgos a intervalos especificados, suficiente para
asegurar su continua conformidad y efectividad para satisfacer los
requerimientos de este Estndar, y las polticas y objetivos de Gestin de
Riesgos establecidos en la organizacin .

Deber llevarse un registro de tales revisiones.


Establecer el contexto
1
COMUNICAR Y CONSULTAR

MONITOREO Y CONTROL
Identificar los Riesgos

EVALUACION DEL RIESGO


2

Analizar los Riesgos


3

Evaluar los Riesgos


4

Tratar los Riesgos


5
Establecer
La organizacin debe de establecer el contexto estratgico el contexto
1
interno y externo y de la gestin del Riesgo en los cuales
tendrn lugar el resto de los procesos.

Establecer el contexto consiste en definir parmetros bsicos


dentro de los cuales se deben gestionar los riesgos y establecer
el alcance para el resto del proceso de gestin de riesgos.

Se debe definir los criterios de Identificacin, anlisis y


evaluacin de los riesgos y definirse la estructura del anlisis.

El respaldo de la Alta Direccin es factor importante en esta


etapa.
Define el ambiente externo en que funciona la organizacin:
Ambiente del negocio:
Social, Reglamentos, Cultural, Competencia, Poltico y Financiero
Contexto Amenazas y oportunidades de la organizacin
Externo La parte externas involucradas
Las directrices claves del negocio

Antes de iniciar una actividad de gestin del riesgo:


Conocer la cultura
Conocer las partes internas involucradas.
Contexto Conocer la estructura.
Interno Conocer los recursos de personas, sistemas, procesos y capital.
Importancia de conocer el contexto interno:
La Gestin del riesgo tiene lugar en el contexto de objetivos y metas.
El riesgo principal es fallar en los objetivos estratgicos.
Las Polticas y las metas ayudan a definir la Politica de Gestin/Riesgo
Es crtica una identificacin amplia utilizando un proceso sistemtico bien estructurado, Identificar
porque los riesgos potenciales que no se identifican en esta etapa son excluidos de un El Riesgo
anlisis posterior. 2

La identificacin debera incluir todos los riesgos, estn o no bajo control de la


organizacin.

La identificacin de riesgos es el primer paso, y el ms importante para la creacin de


perfil de riesgo de la organizacin.

La identificacin del que, dnde, cuando, porque y como los eventos podrian impedir,
degradar, demorar o mejorar el logro de los objetivos estrategicos y operacionales del
negocio como base para un analisis poeterior

Una metodologa para Identificar los Riesgos es:


Definicir los Macro-procesos de la organizacion: Estrategicos, Operativos y de
soporte.
Definir las actividades que se incurren en cada proceso y sub-proceso.
Identificar los riesgos que se incurren en cada actividad de cada proceso
Una FUENTE de riesgo o peligro, aquello que tiene potencial intrnsico para hacer dao: un
qumico, competidores, gobierno.

Un EVENTO o INCIDENTE, aquello que la fuente de riesgo genera un impacto: un derrame, un


competidor, un reglamento.

Una CONSECUENCIA, un resultado o impacto sobre un grupo de partes involucradas y


recursos: dao ambiental, prdida, incremento de mercado, reduccin de mercados.

Una CAUSA, una o una cadena de causas directas y subyacentes: diseo, intervencin
humana, financiacon, ausencia de mercado.

CONTROLES, y su nivel de eficacia: sistemas de deteccin, sistemas de limpieza, polticas,


seguridad, regulaciones, procedimientos, formacin, capacitacin, investigacin.

CUANDO puede ocurrir un riesgo y DONDE puede ocurrir


Cual es la fuente de cada riesgo?

Que puede suceder, donde y cuando?


Incrementa o reduce el logro eficaz de los objetivos?
Hara el logro de los objetivos mas o menos eficiente: financiero, temporal, tiempo?
Producir beneficios adicionales?

Como y porque puede suceder?


Identificar las causas y escenarios posibles

Herramientas tecnicas a usar para Identificar los riesgos?


Ver lista

Que controles existen para abordar estos riesgos?


(maximimar los riesgos positivos o minimizar los riesgos negativos)

Que podria causar que los controles no tuvieran los efectos esperados?
Cada fuente genrica tiene numerosos componentes, cualquier de los cuales pueden dar lugar a un
riesgo (Componentes bajo control de la organizacin y otros estarn fuera de su control). Las fuentes
genricas de riesgo incluyen:
a) Relaciones comerciales y legales
Entre la organizacin y otras organizaciones, ej: proveedores, subcontratistas, arrendatarios.
b) Circunstancias econmicas
De la organizacin, pas, internacionales, como asimismo factores que contribuyen a esas circunstancias
ej: tipos de cambio.
c) Comportamiento humano
Tanto de los involucrados en la organizacin como de los que no lo estn.
d) Eventos naturales
e) Circunstancias polticas
Incluyendo cambios legislativos y factores que pudieran influenciar a otras fuentes de riesgo.
f) Aspectos tecnolgicos y tcnicos
Tanto internos como externos a la organizacin.
g) Actividades y controles gerenciales
h) Actividades individuales
1. Lista de chequeo
2. Juicios Basados en experiencia local y extranjera
3. Registros histricos, bases de datos, etc.\ Diagramas de flujos
4. Lluvia de ideas
5. Anlisis de sistemas
6. Anlisis de escenarios
7. Entrevistas estructurales
8. Discusiones de grupos de enfoque.
9. Planes estratgicos que incluyen el anlisis DOFA.
10. Informes y declaraciones de seguros.
11. Experiencia personal y organizacional.
12. Encuestas y cuestionarios.
13. Tcnicas de Ingeniera de sistemas
Despus de examinar cada elemento se deber considera las
siguientes preguntas generales:

1. Cual es la confiabilidad de la informacin?

2. Que confianza tenemos en que la lista de riesgos involucrados sea


completa?

3. Hay necesidad de investigacin de riesgos especficos?

4. Los objetivos y alcances se abarcan en forma suficiente?


Objetivo: Proveer un ingreso de datos a las decisiones sobre si los Analizar
riesgos necesitan ser tratados y sobre estrategias mas apropiadas y los riesgos
costo- eficaces de tratamiento de los riesgos. 3

Involucra considerar fuentes de riesgo, sus consecuencias (impactos)


positivas o negativas y las probabilidades de que esas consecuencias
puedan ocurrir .

Pueden identificarse los factores que afectan a las consecuencias y


probabilades (causas)

El Riesgo es analizado combinando consecuencias (impactos) y


probabilidades tomando en cuenta los controles existentes,

PXI=R
Estos elementos permiten al equipo categorizar los riesgos, lo que a su vez le permite
dedicar ms energa a la Gestin de los Riesgos ms importantes.
Determinar estrategias y controles existentes:
Identificar los procedimientos, dispositivos o prcticas existentes que actan para minimizar los
riesgos negativos o mejorar oportunidades positivas y evaluar sus fortalezas y debilidades.

Consecuencia y Probabilidad:
La magnitud de las consecuencias de un evento, en el caso de que el mismo ocurriera, y la
probabilidad del evento y sus consecuencias asociadas, son evaluadas en el contexto de la eficacia de
las estrategias y controles existentes.
Para evitar perjuicios subjetivos cuando se analizan consecuencias y probabilidades, deben de usarse
tcnicas de informacion y fuentes pertinentes, las fuentes son:
Registros anteriores
Practicas y experiencias relevantes
Literatura relevante publica
Investigaciones de mercado
Modelos econmicos, de ingeniera etc
Juicios de especialistas y expertos
Las tcnicas son:
Entrevistas estructuradas con expertos del rea de inters
Uso de grupos multidisciplinarios de expertos
Evaluaciones individuales utilizando cuestionarios
Uso de modelos y simulaciones
Tipos de Anlisis:
El analisis del riesgo se lleva en distintos niveles de detalle dependiendo del riesgo.
El orden de complejidad y los costos de estos analisis en orden ascendente es:
Anlisis cualitativo
Anlisis semi-cuantitativo
Anlisis cuantitativo

Analisis Cualitativo:
Utiliza palabras o escalas descriptivas para describir la magnitud de las consecuencias potenciales y
probabilidad de que ocurran esas consecuencias.
Puede utilizarse:
Como actividad inicial para Identificar los riesgos que requieren un ananlisis mas detallado.
Cuando esta clase de analisis es apropiado para las desiciones
Cuando los datos numericos o los recursos son inadecuados para un analisis cuantitativo.
Analisis semi-cuantativo:
En el analisis semi-cuantitativo, a las escalas nominales cualitativas se le asignan valores
El objetivo es producir una priorizacion mas detallada que la que se logra normalmente en un
analisis cualitativo, y no sugerir valores reales a los riesgo, tales como los que se procuran en
un analisis cuantitativo.
Sin embargo puede no producir una relacion precisa con la magnitud de consecuencia o
probabilidad, pudiendo conducir a resultaos inconsistenetes, anomalos o inapropiados

Analisis cuantativo:
Utiliza valores numericos tanto para las consecuencias como para las probabilidades.
La calidad del analisis depende de la presicion e integridad de los valores numericos y de la
mvalidez de los modelos utilizados.
Las consecuerncias pueden ser estimadas modelando los resultados de un evento o conjunto
de eventos o mediante extrapolacion de estudios experimentales o datos del pasado.
La forma en la cual se expresan las probabilidades y consecuencias y las formas en las cuales
las mismas se combinan para proveer un nivel de riesgo variaran de acuerdo con el tipo de
riesgo y el proposito para el cual se va a utilizar el resultado de la evaluacion del riesgo.
Deberia comunicarse y considerarse la incertidumbre y variabilidad de cada factor del riesgo
Analisis de sensibilidad:
Al considerar que algunas estimaciones en el analisis de riesgo son imprecisas,
deberia llevarse a cabo un analisis de sensibilidad para verificar el efecto de la
incertidumbre en las suposisciones y datos.
El analisis de sensisbildad es una formade comprobar l;a adecuacion y
efectividad de los controles y de las opciones de tratamiento de riesgos
potenciales.
Evaluar
los riesgos
Objetivo: 3
Tomar decisiones en los resultados del anlisis de riesgo, acerca de los riesgos que
requieren tratamiento y sus prioridades.

Involucra comparar el nivel de riesgo detectado durante el proceso de anlisis con


los criterios de riesgo previamente establecidos.

Deberian de considerarse los objetivos de la organizacion y la gama de


oportunidades que podrian resultar del riesgo.

Establecer prioridades de gestion de los riesgos:


1. Los riesgos bajos o tolerables podrian ser aceptados con un tratamiento futuro
minimo, los que deben ser monitoreados y revisados periodicamente para
asegurarse que se mantienen en el mismo nivel de riesgo.
2. Si los riesgos no son bajos o tolerables, deberan ser tratados de inmediato
3. El resultado de una evaluacion de riesgos es una lista priorizada de riesgos para
tomar acciones posteriores
4. La decision del analisis deben dar cuenta las consideraciones de tolerabilidad de
los riesgos asumidos
El tratamiento de los riesgos involucra identificar el rango de opciones para Tratamiento
tratar los riesgos, evaluar esas opciones, preparar planes para tratamiento de riesgos
4
de los riesgos e implementarlos.

Aceptar y monitorear los riesgos de baja prioridad.

Para otros riesgos desarrollar e implementar un plan de Gestion especfico que


incluya consideraciones de fondo.

Las opciones de tratamiento pueden ser:


1. Evitar el Riesgo deciendo no proceder con la actividad que probablemente
generaria el riesgo.
2. Reducir la probabilidad de ocurrencia.
3. Reducir las consecuencias
4. Transferir los riesgos (otra parte soporta o comparta el riesgo)
5. Retener los riesgos (luego de reducir o transferirlos, podrian haber riesgos
residuales que sean retenidos)
Evitar riesgos puede ocurrir inadecuadamente por una actitud de aversin al
riesgo, que es una tendencia en mucha gente (a menudo influenciada por el
sistema interno de una organizacin).
Evitar inadecuadamente algunos riesgos puede aumentar la significacin de otros.
La aversin a riesgos tiene como resultado:
i) decisiones de evitar o ignorar riesgos independientemente de la
informacin disponible y de los costos incurridos en el tratamiento de esos
riesgos.
ii) fallas en tratar los riesgos;
iii) dejar las opciones crticas y/o decisiones en otras partes;
iv) diferir las decisiones que la organizacin no puede evitar; o
v) seleccionar una opcin porque representa un riesgo potencial ms bajo independientemente de
los beneficios.
Estas acciones pueden incluir:
Programas de auditoria y cumplimiento
Condiciones contractuales
Revisiones formales de requerimientos, especificaciones, diseo, ingeniera y operaciones
Inspecciones y controles de procesos
Administracin de inversiones y cartera
Administracin de proyectos
Mantenimiento preventivo
Aseguramiento de calidad, administracin y estndares
Investigacin y desarrollo, desarrollo tecnolgico
Capacitacin estructurada y otros programas
Supervisin
Comprobaciones
Acuerdos organizacionales
Controles tcnicos
Estas acciones pueden incluir:
Planeamiento de contingencia
Arreglos contractuales
Condiciones contractuales
Caractersticas de diseo
Planes de recupero de desastres
Barreras de ingeniera y estructurales
Planeamiento de control de fraudes
Minimizar la exposicin a fuentes de riesgo
Planeamiento de cartera
Poltica y controles de precios
Separacin o reubicacin de una actividad y recursos
Relaciones pblicas
Pagos ex gratia
Luego de que los riesgos hayan sido reducidos o transferidos, podra haber riesgos
residuales que sean retenidos.
Deberan ponerse en prctica planes para administrar las consecuencias de esos
riesgos si los mismos ocurrieran, incluyendo identificar medios de financiar dichos
riesgos.
Los riesgos tambin pueden ser retenidos en forma predeterminada, ej. cuando
hay una falla para identificar y/o transferir apropiadamente o de otro modo tratar
los riesgos.
Las opciones deberan ser evaluadas sobre la base del alcance de la reduccin del
riesgo, y el alcance de cualquier beneficio u oportunidad adicional creadas.
La seleccin de la opcin ms apropiada involucra balancear el costo de implementar
cada opcin contra los beneficios derivados de la misma. En general, el costo de
administrar los riesgos necesita ser conmensurada con los beneficios obtenidos.
Cuando se pueden obtener grandes reducciones en el riesgo con un gasto
relativamente bajo, tales opciones deberan implementarse.
Otras opciones de mejoras pueden ser no econmicas y necesita ejercerse el juicio
para establecer si son justificables
En muchos casos, es improbable que cualquier opcin de tratamiento del riesgo sea
una solucin completa para un problema particular.
A menudo la organizacin se beneficiar sustancialmente mediante una combinacin
de opciones tales como reducir la probabilidad de los riesgos, reducir sus
consecuencias, y transferir o retener algunos riesgos residuales.
El ordenamiento de prioridad puede establecerse utilizando distintas tcnicas, incluyendo
anlisis de ranking de riesgos y de costo-beneficio.
Los planes deberan documentar cmo deben ser implementadas las opciones
seleccionadas.
El plan de tratamiento debera identificar las responsabilidades, el programa, los
resultados esperados de los tratamientos, el presupuesto, las medidas de desempeo y el
proceso de revisin a establecer.
El plan tambin debera incluir un mecanismo para evaluar la implementacin de las
opciones contra criterios de desempeo, las responsabilidades individuales y otros
objetivos, y para monitorear los mojones crticos de implementacin.
Idealmente, la responsabilidad por el tratamiento del riesgo debera ser llevada a cabo por
aquellos con mejor posibilidad de controlar el riesgo.
Las responsabilidades deberan ser acordadas entre las partes en el momento ms
temprano posible.
La implementacin exitosa del plan de tratamiento del riesgo requiere un sistema efectivo
de administracin que especifique los mtodos seleccionados, asigne responsabilidades y
compromisos individuales por las acciones, y los monitoree respecto de criterios
especificados.
Si luego del tratamiento hay un riesgo residual, debera tomarse la decisin de si retener
este riesgo o repetir el proceso de tratamiento.
Los Principios del xito en la Gestin del Riesgo
Tratar positivamente la identificacin de riesgos.

Para que la administracin y manejo de riesgos tenga xito, los miembros de la


organizacin debern identificar los riesgos sin temor a ser criticados por ello.
Identificar un riesgo slo significa que la empresa tiene menos probabilidades de
enfrentarse a una sorpresa desagradable.
El personal no puede prepararse para un riesgo hasta que ste haya sido
identificado.

N lista de Riesgos Principales


Riesgo Evaluado y rankeado

Si
Riesgo Acepatble? Se acepta
No
Identificar

MONITOREO Y CONTROL
Opciones
COMUNICAR Y CONSULTAR

de Reducir Reducir Transferir Evitar


tratamiento Probabilidad Consecuencias el Riesgo el Riesgo

Considerar factibilidad , costos y beneficios


Evaluar
Opciones
de Recomendar estrategias de tratamiento
tratamiento

Seleccionar estrategias de tratamiento


Preparar
Planes de Preparar planes de tratamiento
tratamiento

Reducir Reducir Transferir Evitar


Implementar
Probabilidad Consecuencias el Riesgo El Riesgo
Planes de
tratamiento

Si
No Riesgo Aceptable? Retener
Monitoreo
Es necesario monitorear los riesgos, la efectividad del plan de y Control
tratamiento de los riesgos, las estrategias y el sistema de administracin
que se establece para controlar la implementacin.
Los riesgos y la efectividad de las medidas de control necesitan ser
monitoreadas para asegurar que las circunstancias cambiantes no
alteren las prioridades de los riesgos.
Pocos riesgos permanecen estticos.
Es esencial una revisin sobre la marcha para asegurar que el plan de
administracin se mantiene relevante.
Pueden cambiar los factores que podran afectar las probabilidades y
consecuencias de un resultado, como tambin los factores que afectan
la conveniencia o costos de las distintas opciones de tratamiento. En
consecuencia, es necesario repetir regularmente el ciclo de
administracin de riesgos.
La revisin es una parte integral del plan de tratamiento de la
administracin de riesgos
Controles de Directiva

Estos controles estn diseados para asegurar que un resultado especfico se alcance.
Ellos son particularmente importantes cuando es muy importante que un evento no
deseado sea evitado - tpicamente asociados con la salud y seguridad o con seguridad.
Ejemplos de este tipo de control sera la de incluir el requisito que la ropa protectora usar
durante el ejercicio de las funciones peligrosas, o el personal que se requiere
capacitacin con habilidades antes de que se les permita trabajar sin supervisin.

Controles de Deteccin

Estos controles estn diseados para identificar ocasiones de tener resultados no


deseados han sido detectados. Su efecto es, por definicin, "despus del evento para
que slo se apropiada cuando es posible aceptar la prdida o daos sufridos. (controles
de deteccin incluyen controles de acciones o de activos,
que detectan si las reservas o los activos se han retirado sin autorizacin.), la
reconciliacin (que puede detectar transacciones no autorizadas).
Controles Preventivos

Estos controles estn diseados para limitar la posibilidad de un resultado no deseado,


que no ha sido detectado. La mayora de los controles implementados en las
organizaciones tienden a pertenecer a esta categora. (slo los debidamente capacitado y
autorizado se le permite manejar tomar acciones.)

Controles Correctivos

Estos controles estn diseados para corregir los resultados indeseables que han sido
detectados. Proporcionan una va de recurso para conseguir una cierta recuperacin de
prdidas o daos, facilita la recuperacin financiera frente a la realizacin de un riesgo.
Planes de contingencia es un elemento importante de control correctivo, ya que es el
medio por el cual las organizaciones dan continuidad del negocio / recuperacin despus
de los acontecimientos.
Comunicacin
La comunicacin y consulta son una consideracin importante y consulta
en cada paso del proceso de administracin de riesgos para los
interesados internos y externos en la etapa ms temprana del
proceso.

Este plan debera encarar aspectos relativos al riesgo en si


mismo y al proceso para administrarlo.

La comunicacin y consulta involucra un dilogo en ambas


direcciones entre los interesados, con el esfuerzo focalizado en
la consulta ms que un flujo de informacin en un slo sentido
del tomador de decisin hacia los interesados.
Es importante la comunicacin efectiva interna y externa para asegurar que
aquellos responsables por implementar la administracin de riesgos, y
aquellos con intereses creados comprenden la base sobre la cual se toman las
decisiones y por qu se requieren ciertas acciones en particular.

Las percepciones de los riesgos pueden variar debido a diferencias en los


supuestos, conceptos, las necesidades, aspectos y preocupaciones de los
interesados, segn se relacionen con el riesgo o los aspectos bajo discusin.
Los interesados probablemente harn juicios de aceptabilidad de los riesgos
basados en su percepcin de los mismos.

Dado que los interesados pueden tener un impacto significativo en las


decisiones tomadas, es importante que sus percepciones de los riesgos, as
como, sus percepciones de los beneficios, sean identificadas y documentadas
y las razones subyacentes para las mismas comprendidas y tenidas en cuenta.
Resumen
Metodologa de Gestin de Riesgos

Elemento de Trabajo Descripcin

Macro-procesos Establecer los procesos y subprocesos de la organizacion:


Estrategicos, Operacionales y de soporte
Requerimientos para la Gestin del Riesgo:
Requerimientos del Sistema de
Poltica de Gestin de Riesgos, Planeamiento y recursos,
Gestin
Programa de implementacin, Revisin.

Identifica, analiza y evala los riesgos en la empresa


Evaluacin de Riesgos
Por procesos y sub-procesos

Consolida los riesgos de la empresa priorizados por el nivel de riesgo para su


Tratamiento de Riesgos
tratamiento, diseando y estableciendo controles adecuados

Monitorea y realiza actividades para proveer entendimiento de las fortalezas


Monitoreo y Control
y debilidades de la administracin de riesgos y controles asociados

Comunicacin y consulta Utiliza la informacin de los riesgos y controles para mejorar el rendimiento
Enfoque de Top Down
TOP DOWN Validacin de riesgos estratgicos y definir Macro-
procesos, procesos y subprocesos

Requerimientos para la Gestin del Riesgo:


Poltica de Gestin de Riesgos, Planeamiento y
recursos, Programa de implementacin, Revisin.

Evaluacin de riesgos (por procesos y sub-procesos


(matriz de riesgos)

Tratamiento de los riesgos

Monitoreo y control

Comunicacin y consulta
Caractersticas del Riesgo

El riesgo es una parte fundamental de las operaciones.


El nico entorno sin riesgo ser aquel cuyo futuro no incluya incertidumbres: el que no
se pregunte si una carga llegar a destino, o si un disco duro fallar o cundo lo har; el
que no le importe si el transportista conoce de medidas de seguridad.

El riesgo no es bueno ni malo.


Un riesgo es una posibilidad de prdida futura y aunque sta pueda ser considerada
como "mala", por s mismo el riesgo no lo es. No hay riesgo sin oportunidad y no hay
oportunidad sin riesgo.

El riesgo no hay que temerlo, sino administrarlo.


Los riesgos hay que tratarlos reconociendo y minimizando la incertidumbre, y haciendo
frente proactivamente a cada riesgo identificado.
Principios en el Manejo de Riesgos
Valorar los riesgos continuamente.
Nunca debe dejar de buscar riesgos nuevos, as como que hay que volver a evaluar
peridicamente los riesgos existentes.

Integrar la administracin y manejo de riesgos en todos los papeles y funciones.


Cada proceso se disea teniendo en cuenta la administracin y manejo de riesgos. Cada
dueo de proceso debe:
Identificar las fuentes potenciales de riesgo.
Valorar la posibilidad de que el riesgo llegue a producirse.
Hacer planes para minimizar esa probabilidad.
Entender el impacto potencial.
Hacer planes para minimizar ese impacto.
Identificar los indicadores que muestran la inminencia del riesgo.
Planear cmo reaccionar si el riesgo se produce.
Los Principios del xito en la Gestin del Riesgo

Usar una programacin basada en riesgos.

Mantener un entorno suele significar la realizacin de cambios de manera secuencial,


pero siempre que sea posible la empresa debe abordar primero los cambios de
mayor riesgo.
Un ejemplo es la contratacin de nuevo personal. Si la compaa desea verificar los
datos de todo el personal, pero hay empleados nuevos en reas de posiciones
crticas, esos son las primeros que hay que verificar. Si se comprobaran en ltimo
lugar y uno de ellos es un delincuente, la empresa habra malgastado los recursos
invertidos en la verificacin de los dems.

Lista de Riesgos Superiores


Los Principios del xito en la Gestin del Riesgo
Establecer un procedimiento aceptable.

El exito requiere que la organizacin establezca y mantenga procedimientos y


metodologias para la identificacion y evaluacion de las amenazas de la seguridad y
de las amenazas y riesgos relacionados con la gestion de la seguridad y la
identificacion e implementacion de medidas necesarias de control de gestion, que la
empresa entienda y utilice.

Si el procedimiento y metodologia est poco estructurado, la gente lo podr utilizar


pero los resultados no sern tiles.

Si el procedimiento y metodologia es demasiado perceptivo, es probable que la


gente no lo utilice
.
Hgalo simple
Origen del Riesgo

Las personas. Todo el mundo comete errores, por lo que incluso


aunque la tecnologa y los procesos de la empresa no
tengan errores, los errores humanos pueden ser un riesgo para
la empresa.

El proceso. Los procesos con errores o mal documentados pueden


ser un riesgo para la empresa incluso aunque se sigan a la
perfeccin.
Modo de Error
Las operaciones pueden crear un fallo en la empresa de cuatro maneras diferentes:

Costo. La infraestructura puede funcionar adecuadamente, pero con un costo


demasiado alto, produciendo una amortizacin de la inversin demasiado baja.

Agilidad. La infraestructura puede funcionar adecuadamente, pero carecer de la


capacidad de cambiar con rapidez suficiente para atender a las necesidades de la
empresa.

Rendimiento. La infraestructura puede no dar satisfaccin a las expectativas de los


usuarios bien porque stas eran errneas o porque el rendimiento de la
infraestructura es incorrecto.

Seguridad. La infraestructura puede fallar a la empresa por no proporcionar


proteccin suficiente a los recursos o por tener una seguridad tan estricta que los
usuarios legtimos no tienen acceso a los recursos.
Matriz del Origen y del Modo

Una solucin efectiva y que produce beneficios en las fases posteriores del
proceso, consiste en subdividir todas las condiciones posibles en una tabla:

Modo de Error

Costo Agilidad Rendimiento Seguridad

Personas

Origen Proceso

del Riesgo Tecnologa/Material

Externo
Ejemplo de escala para Probabilidad de ocurrencia

Categora Valor Descripcin

Casi Cierto 5 Riesgo cuya probabilidad de ocurrencia es muy alta, es decir, se tiene plena
seguridad que ste se presente, tiende al 100%

Probable 4 Riesgo cuya probabilidad de ocurrencia es alta, es decir, se tiene entre 75% a 95%
de seguridad que ste se presente

Moderado 3 Riesgo cuya probabilidad de ocurrencia es media, es decir, se tiene entre 51% a
74% de seguridad que ste se presente

Improbable 2 Riesgo cuya probabilidad de ocurrencia es baja, es decir, se tiene entre 26% a 50%
de seguridad que ste se presente

Poco Probable 1 Riesgo cuya probabilidad de ocurrencia es muy baja, es decir, se tiene entre 1% a
25% de seguridad que ste se presente
Ejemplo de escala para Materialidad del Impacto

Categora Valor Descripcin

Riesgo cuya materializacin influye directamente en el cumplimiento de la misin,


Catastrficas 5 prdida patrimonial o deterioro de la imagen, dejando adems sin funcionar
totalmente o por un perodo importante de tiempo, los programas o servicios que
entrega la institucin

Riesgo cuya materializacin daara significativamente el patrimonio, imagen o logro


Mayores 4 de los objetivos sociales. Adems, se requerira una cantidad importante de tiempo de
la alta direccin en investigar y corregir los daos

Riesgo cuya materializacin causara ya sea una prdida importante en el patrimonio


Moderadas 3 o un deterioro significativo de la imagen. Adems, se requerira una cantidad de
tiempo importante de la alta direccin en investigar y corregir los daos

Riesgo que causa un dao en el patrimonio o imagen, que se puede corregir en el


Menores 2 corto tiempo y que no afecta el cumplimiento de los objetivos estratgicos

Insignificantes 1 Riesgo que puede tener un pequeo o nulo efecto en la institucin


Ejemplo para medir nivel de Exposicin al Riesgo

INDICADOR DE VALOR NVEL DE


EXPOSICION AL
EXPOSICION AL RIESGO
RIESGO

8,0 25,0 NO ACEPTABLE


(Na)

NIVEL SEVERIDAD DEL 4,0 7,99 MAYOR (Ma)


RIESGO
NIVEL EFICIENCIA DEL
CONTROL
3,0 3,99 MEDIA (Md)

0,2 - 2,99 MENOR (Me)


Probable (4) Almost certain (5)
5
Supplementary
10 15 IR 20 25
Issue Issue Unacceptable Unacceptable Unacceptable

4 8 12 16 20

Likelihood of risk

Internal control
Supplementary
Acceptable Issue Issue Unacceptable Unacceptable

Possible (3) 3 6 9 12 15
Supplementary
Acceptable Issue
Issue Issue Unacceptable
Unlikely (2)

2 4 6 8 10
Supplementary Supplementary
Acceptable Acceptable Issue Issue
Issue

1 2 3 4 5
Rare(1)

Issue
Acceptable Acceptable
RR
Acceptable Acceptable

Insignificant (1) Minor (2) Moderate (3) Major (4) Catastrophic (5)

Consequence of risk
Unacceptable: Immediate action required to manage the risk
Issue: Action required to ma nage the risk
Supplementary issue: Action is advisable if resources are available
Acceptable: No action required

Risk appetite, as defined by the board

IR = Inherent Risk RR = Residual Risk

Fig.2 Grid showi ng the significance of risks


Mitigaciones / Reducir.

La reduccin del riesgo minimiza la probabilidad del


riesgo, su impacto o ambas cosas.
Por ejemplo:
La redundancia suele reducir el impacto del fallo.
Cuando falla un componente no hay impacto porque el
componente redundante sigue funcionando.

Llevar un seguimiento de la duracin esperada de un


componente y sustituirlo antes de que se espere que
falle reduce la probabilidad del fallo.
Idealmente, un mtodo de reduccin reduce a cero la probabilidad o el impacto, aunque
esto no es siempre posible.
Desencadenadores

Los desencadenadores indican a la empresa que una condicin va


a producirse, o se ha producido, por lo que ha llegado el momento
de poner en marcha el plan de contingencia.

En una situacin ideal, el desencadenador se produce antes que la


consecuencia. Es til pensar en ellos como indicadores
luminosos que se encienden cuando todava hay tiempo de evitar
el peligro.
Contingencias

Una contingencia es un paso que da la empresa si la condicin se produce


o el desencadenador llega a darse.
El plan de contingencia documenta el conjunto de contingencias que
utilizar la empresa al reaccionar ante una condicin particular.
Si se ha cumplido un valor de desencadenador, ejecute entonces el plan de contingencia.

Si un riesgo se ha vuelto irrelevante, retrelo entonces.

Si la condicin o la consecuencia ha cambiado, rehaga entonces el paso de identificacin


para evaluar de nuevo el elemento.

Si ha cambiado la probabilidad o el impacto, vaya al paso de anlisis para actualizarlo.

Si ya no est en marcha el plan de mitigacin, vaya entonces al paso de planeacin para


revisarlo.
Al principio este paso puede no parecer necesario, no resultando clara la distincin con el
paso de seguimiento. En la prctica, la necesidad de actuar suele ser detectada por una
herramienta o por personas que carecen de la responsabilidad, autoridad o experiencia
que les permite reaccionar. El paso de control garantiza que sean las personas apropiadas
las que reaccionen en el momento oportuno.
Es perdonable ser derrotado,
pero nunca sorprendido.
Frederico, El Grande