Estandar Asnz 4360-1999

ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

1. Alcance, aplicacin y definiciones.
1.1. Alcance.
Este estndar provee una gua general para el establecimiento y la implantacin de
procesos de administracin del riesgo, que dentro de su contexto involucran
identificacin, anlisis, evaluacin, tratamiento, comunicacin y monitoreo sobre el
terreno de los riesgos.
1.2 Aplicacin.
La administracin del riesgo es reconocida como prctica integral de una buena
gerencia. Se trata de un proceso interactivo que contiene pasos, que corresponden
a una secuencia de desarrollo continuo, capacitacin e implantacin de toma de
decisiones.
Administracin del riesgo es un trmino aplicado a un mtodo lgico y sistemtico
que establece el contexto, identificacin, anlisis, evaluacin, tratamiento, monitoreo
y comunicacin sobre los riesgos asociados con una determinada actividad, funcin
o proceso, con el fin de capacitar a las organizaciones para minimizar sus prdidas y
maximizar sus ventajas. Administracin del riesgo es algo como identificar
oportunidades y reducir prdidas.
Este estndar puede ser aplicado a la totalidad de escenarios en el ciclo de vida de
una actividad, funciones, proyectos, productos o ventajas El mayor beneficio es
generalmente obtenido por los procesos de administracin del riesgo en sus
comienzos. Frecuentemente un nmero de diferentes estudios estn fuera de curso
sobre diferentes escenarios de un proyecto.
NOTA: Este estndar puede ser aplicado a un amplio rango de actividades u
operaciones bien del sector pblico o del sector privado, en empresas comunitarias
o grupos. Ejemplos estn dados en el apndice A.
1.3 Definiciones.
Para el propsito de estndar se aplican las siguientes definiciones.
1.3.1 Consecuencia. El resultado de un evento expresado en forma cualitativa o
cuantitativa, que genera prdida, dao, desventaja o ganancia. Estos pueden ser
un rango de posibles resultados asociados con el evento.
1.3.2
Costo. De una actividad, tanto directos como indirectos, involucran un impacto

negativo, esto se refiere a dinero, tiempo, trabajo, desorganizacin, renombre,
polticas y prdidas intangibles.
1.3.3
Evento. Un incidente o suceso, el cual ocurre en un determinado lugar durante un

determinado intervalo de tiempo.

1.3.4
rbol de anlisis de causas. Es una tcnica que describe en forma ordenada y

secuencial los resultados que pueden originarse de un suceso inicial.
1.3.5
Mtodo de error y anlisis de efectos (FMEA). Es un procedimiento mediante el

cual los errores en un sistema tcnico son analizados.
El FMEA puede ser entendido como una manera de identificar los errores,
efectos y anlisis crtico (FMECA) En este sistema cada falla identificada es
clasificada segn su posibilidad de ocurrencia
y la gravedad de sus
consecuencias.
1.3.6
rbol de anlisis de fallas. Es un mtodo de ingeniera de sistemas que

representa la combinacin lgica de varios estados sistematizados y posibles
causas que pueden contribuir a un hecho especfico. (Busca el evento mayor).
1.3.7
Frecuencia. Es una medida sobre el porcentaje de ocurrencia de un evento

expresado en nmero de ocurrencias o veces que se da un evento. Ver tambin
posibilidad y probabilidad.
1.3.8
Causa/Amenaza El origen de un dao potencial o una situacin que

potencialmente cause prdidas.
1.3.9
Posibilidad. Se usa como una descripcin cualitativa de la probabilidad o la

frecuencia.
1.3.10 Prdida. Una consecuencia negativa, financiera o de cualquier otra ndole.

1.3.11 Monitoreo. Para el chequeo, supervisin, observacin crtica o el registro del
desarrollo de una actividad, accin o sistema sobre una base regular en orden a
identificar cambios.
1.3.12 Organizacin. Una compaa, firma, empresa o asociacin, o entidad de tipo legal
o de cualquier ndole, esto es incorporada o no al sector pblico o privado, que
tiene su propia funcin y administracin.
1.3.13 Probabilidad. La posibilidad que un evento especfico o resultado se d, medido
por el porcentaje de eventos especficos o resultados dentro de un nmero total
de posibles eventos. Probabilidad expresada entre los nmeros 0 y 1, en donde
cero indica que es imposible que el hecho ocurra y 1 indica que el evento es
cierto, que se va a dar.
1.3.14 Riesgo residual. Se refiere al margen o residuo de riesgo que puede darse a
pesar de las medidas (controles) tomadas para el manejo del riesgo.
1.3.15 Riesgo. La posibilidad que algo suceda y que tenga un impacto sobre los
objetivos. Esto est medido en trminos de consecuencias y posibilidad de
ocurrencia.
1.3.16 Aceptacin del riesgo. Es la decisin informada de aceptar las consecuencias y la
posibilidad de un riesgo en particular.

1.3.17 Anlisis del riesgo. El uso sistemtico de evaluar la informacin para determinar
con qu frecuencia un determinado evento puede ocurrir y la magnitud de sus
consecuencias.
1.3.18 Valoracin del riesgo. El conjunto de procesos para analizar el riesgo y evaluar
su riesgo, ver Figura 3.1.
1.3.19 Evitar el riesgo. Decisin informada de no involucrarse en una situacin de riesgo.
1.3.20 Control. Se refiere a la parte de la administracin de riesgo, que involucra la
implantacin de polticas, estndar, procedimientos y cambios fsicos para
eliminar o minimizar los riesgos adversos.
1.3.21 Ingeniera de riesgos. Es la aplicacin de principios de ingeniera y mtodos para
la administracin del riesgo.
1.3.22 Evaluacin del riesgo. Los procesos utilizados para determinar prioridades en la
administracin del riesgo por la comparacin de niveles de riesgo frente a
estndares determinados, niveles objeto del riesgo u aplicacin de otro criterio.
1.3.23 Financiando el riesgo. Los mtodos aplicados para fondear el manejo del riesgo y
las consecuencias financieras del riesgo.
NOTA: En algunas industrias riesgo financiero solamente hace relacin a las
consecuencias econmicas del riesgo.
1.3.24 Identificacin del riesgo. Proceso para determinar que est sucediendo, por qu y
cmo.
1.3.25 Administracin del riesgo. La cultura, los procesos y las estructuras que estn
dirigidas hacia una efectiva administracin de oportunidades potenciales y
efectos adversos.
1.3.26 Procesos de administracin del riesgo. La aplicacin sistemtica de polticas de
administracin, procedimientos y prctica para las actividades de establecer el
contexto, identificarlo, analizarlo, evaluarlo, tratarlo, monitorearlo y comunicarlo el
riesgo.
1.3.27 Reduccin del riesgo. La aplicacin selectiva de tcnicas apropiadas y principios
gerenciales para reducir cada posibilidad de ocurrencia de un evento o de sus
consecuencias o de ambos.
1.3.28 Conservacin (retencin) del riesgo. Intencionalmente o no conservar la
responsabilidad por prdidas o carga financiera por prdidas al interior de la
empresa.
1.3.29 Transferir el riesgo. Transferir total o parcialmente la responsabilidad o el peso de
la prdida a otro lugar a travs de legislacin. Contratos u otra forma de seguro.
Transferir el riesgo puede tambin hacer referencia a mover fsicamente el riesgo
o parte del mismo a otro sitio.
1.3.30 Tratamiento del riesgo (Administracin del riesgo). Seleccionar e implantar las
opciones apropiadas para tratar con el riesgo.
3

1.3.31 Anlisis de sensibilidad. Examinar cmo los resultados del clculo de un modelo
varan cuando los supuestos individuales son modificados.
1.3.32 Stakeholders (Objetos del riesgo, los que toman el riesgo). Son las personas y las
organizaciones quienes pueden ser afectadas, son afectadas por, o perciben que
ellos mismos pueden ser afectados por una decisin o actividad.
Nota: El trmino stakeholder est incluido en la parte correspondiente definida en
ISO 14050:1998 y en ISO 14004:1996.
2
REQUERIMIENTOS PARA LA ADMINISTRACIN DEL RIESGO
2.1
Propsito
El propsito de esta seccin es describir el proceso formal para establecer un
sistemtico programa de administracin del riesgo.
El desarrollo de una poltica organizacional de administracin del riesgo y
mecanismos de soporte es necesario para proveer una estructura que lleve
acabo un programa detallado de administracin del riesgo a los niveles de la
organizacin.
2.2
Poltica de administracin del riesgo.

Los ejecutivos de la compaa deben definir y documentar las polticas de
administracin del riesgo, incluyendo sus objetivos, y su compromiso para ello. La
poltica de administracin del riesgo debe ser una estrategia relevante dentro del
contexto de metas de la empresa, un objetivo y la naturaleza del negocio. La alta
gerencia debe asegurarse que esta poltica es entendida, implantada y mantenida
por todos los niveles de la organizacin.
2.3
Planeacin y Recursos.
2.3.1 Compromiso de la Gerencia
La organizacin debe asegurar que:
a)
El sistema de administracin del riesgo se establece, implanta y mantiene
de acuerdo con estos estndares; y
b)
El desempeo del sistema de administracin del riesgo es reportada a la
gerencia de la organizacin para su revisin y como base de su desarrollo.
2.3.2
Responsabilidad y autoridad
La responsabilidad, autoridad y las interrelaciones del personal que ejecuta y
verifica el manejo del riesgo debe estar definido y documentado, especialmente
para aquellas personas que necesitan autonoma y autoridad para atender uno o
ms de los siguientes asuntos:
a)
Iniciar accin para prevenir o reducir los efectos negativos del riesgo;
b)
Tratamiento futuro de los controles sobre el riesgo, hasta que este se
considere aceptable.
c)
Identificar y registrar cualquier problema relacionado con el tratamiento del
riesgo.
d)
Iniciar, recomendar o proveer soluciones a travs de los canales
designados;
e)
Verificar la implantacin de soluciones; y
4

f)
Comunicar y efectuar consultas tanto internas como externas cuando esto

sea apropiado.
2.3.3
Recursos
La organizacin debe identificar y proveer los recursos adecuados, incluyendo la
asignacin de personal calificado para el manejo, atencin del trabajo, y
verificacin de las actividades que incluyen revisin interna.
2.4
Programa de implantacin
Se requiere un nmero de pasos para la implementacin de un sistema efectivo
de administracin del riesgo dentro de la organizacin. Se muestran unos
ejemplos en el apndice B(No est dentro de las fotocopias). Depende de
administracin del riesgo en conjunto, de la filosofa global, su cultura y
estructura, requerir de combinar u omitir ciertos pasos. No obstante, todos los
pasos debern ser considerados.
2.5
Revisin gerencial
Los ejecutivos de la organizacin debern asegurar que una revisin del sistema
de administracin del riesgo se lleva a cabo en especficos intervalos de tiempo,
suficientes para asegurar que este continua siendo conveniente y efectivo y
satisface los requerimientos de estos estndares, y las polticas y objetivos
establecidos de la empresa. (Ver clusula 2.2.). Se deben dejar registros de cada
una de estas revisiones.
3. VISION GENERAL DE LA ADMINISTRACION DEL RIESGO

3.1
General
La administracin del riesgo hace parte integral de los procesos gerenciales. La
administracin del riesgo es un proceso multifactico, sus aspectos para ser bien
atendidos requieren la conformacin de un equipo multidisciplinario. Es un
proceso interactivo en continuo desarrollo.
3.2
Elementos principales.
Los elementos principales que conforman el proceso de administracin del riesgo,
que se muestran en la figura 3.1, son los siguientes:
a)
b)
c)
d)
Establecer el Contexto. Establecimiento de la estrategia, la administracin

del riesgo organizacional dentro de la cual el resto de procesos tienen
lugar. Debe establecerse el criterio contra el cual el riesgo debe ser
evaluado y definir la estructura del anlisis.
Identificacin del riesgo. Identificar que, como y porqu se pueden
originar hechos como base para posterior anlisis.
Anlisis de los riesgos. Determinar la existencia de controles y analizar los
riesgos en trminos de consecuencia y probabilidad en el contexto de
dichos controles. En el anlisis se debe considerar el grado de la
potencial consecuencia y que tan probable es que tal consecuencia se d.
Consecuencia y probabilidad deben ser combinados para lograr un
estimado del nivel del riesgo.
Evaluacin del riesgo. Comparar el nivel estimado del riesgo contra un
criterio preestablecido. Estos riesgos permitidos deben ser clasificados as
como tambin se identifican las prioridades de la gerencia. Si el nivel
5

establecido del riesgo es bajo, entonces el riesgo se puede considerar
dentro de una categora aceptable y tratarlo puede ser no necesario.
Tratamiento del riesgo. Aceptar y monitorear los riesgos de bajas
prioridades. Para otros riesgos, desarrollar e implantar un plan especfico
de administracin el cual involucra consideraciones sobre la inversin
requerida.
Monitoreo y revisin. Monitorear y revisar la aplicacin del sistema de
administracin del riesgo y los cambios que pueden de manera
considerable afectarlo.
Comunicacin
y consulta. Comunicarse y consultar tanto con los
stakeholder internos como externos lo apropiado de los procesos de
administracin del riesgo en cada escenario, y lo concernientes a estos
procesos como un todo.
e)
f)
g)
La administracin del riesgo puede ser aplicada en los diferentes niveles en la

organizacin. Esta puede ser aplicada tanto en el nivel estratgico como en el
nivel operacional. Puede ser aplicada a proyectos especficos, para asesorar en
la toma de decisiones sobre determinadas reas de riesgo.
La administracin del riesgo es un proceso interactivo que contribuye al
desarrollo organizacional. Con cada ciclo, los criterios de riesgo pueden ser
fortalecidos para lograr progresivamente un mejor nivel de administracin
del riesgo.
Para cada escenario deben mantenerse registros adecuados, suficientes para
satisfacer una auditora independiente.
Identificar riesgos
Analizar riesgos
Evaluar riesgos
Monitoreo y revisin
Comunicar y consultar
Establecer el contexto
Tratar los riesgos

Figura 3.1 Vista general de la Administracin del riesgo
4.
Procesos de la Administracin del Riesgo
4.1
Establecer el contexto.
Los detalles sobre los procesos de la Administracin del riesgo se muestran en la
figura 4.1. Los procesos se suceden dentro de la estructura de la estrategia de la
organizacin, organizacional y contexto de administracin del riesgo. Estas
necesidades deben ser establecidas para definir los parmetros dentro de los
cuales los riesgos deben ser administrados y para proveer lineamientos para
6

tomar decisiones dentro de los estudios de administracin del riesgo mas
detallados. Esto fija el mbito para el resto de procesos de administracin del
riesgo.
4.1.2
Establecimiento del contexto estratgico

Define las relaciones entre la organizacin y su medio ambiente,
identificando las fortalezas, debilidades, oportunidades y comportamiento
de la organizacin. Este contexto incluye los aspectos financieros,
operativos, competitivos, polticas (percepcin imagen ante el pblico),
sociedad, clientes, cultura y aspectos legales del funcionamiento de la
organizacin.
Identificar a los stakeholder internos y externos, considerar sus objetivos,
tener en cuenta sus percepciones u establecer unas polticas de
comunicacin con estas partes.
Nota: El apndice C contiene una lista de estos potenciales stakeholder.
Este paso esta enfocado al medio ambiente de las operaciones de la
organizacin. Las empresas deben buscar los elementos cruciales y
determinantes que soportan o afectan estas habilidades para manejar las
etapas del riesgo.
El anlisis estratgico de ser atendido. Esta labor debe ser asignada a
ejecutivos de nivel, fijar los parmetros bsicos y suministrar la asesora
mas detallada en los procesos de manejo del riesgo. Aqu se debe cerrar
la relacin entre la misin o los objetivos estratgicos de la organizacin y
el manejo de los riesgos a los cuales est expuesta.
4.1.3
Establecimiento del contexto organizacional.

Antes de comenzar el estudio del manejo del riesgo, es necesario
entender la organizacin y sus capacidades, as como tambin sus metas
y objetivos y las estrategias que tiene para lograrlos.
Es importante por las siguientes razones:
a)
El manejo del riesgo esta ubicado dentro del contexto completo de
las metas, objetivos y estrategias de la organizacin.
b)
Fallas que afectan los objetivos de la organizacin o una actividad
especfica, un proyecto que ha sido considerado es una situacin
de riesgo que debe ser manejada.
c)
La poltica organizacional y metas ayudan a definir el criterio con el
cual se decide que riesgo es aceptable o no y forma las bases de
opciones para tratarlo.
4.1.4
Establecimiento de contexto de la administracin del riesgo.

Deben establecerse las metas, objetivos, estrategias, mbito y parmetros
de una actividad, o parte de la organizacin que aplica procesos de
administracin del riesgo. Los procesos deben corresponder
completamente a las necesidades del balance de costos, utilidades y
oportunidades. Los recursos requeridos y los registros que deben
mantenerse tambin deben ser especificados.
7

Determinar el mbito y los lmites en los cuales se aplican los procesos
para el manejo del riesgo incluye:
a)
Definir el proyecto o actividad y establecer sus metas y objetivos.
b)
Definir el alcance del proyecto el tiempo asociado y su ubicacin.
c)
Identificar los estudios necesarios y su alcance, objetivos y
recursos requeridos. Las fuentes genricas del riesgo y las reas
de impacto puede servir de gua para esto.
Nota: Para ver fuentes genricos del riesgo y las reas de impacto,
referirse al Apndice D.
d)
Definir la extensin y comprensin de las actividades de riesgo a
ser manejadas.
Asuntos especficos que deben ser discutidos aqu, incluyen lo
siguiente:
i.)
Los roles y responsabilidades de las diferentes partes de la
organizacin que intervienen en el tratamiento del riesgo.
ii.)
Relacin entre el proyecto y los dems proyectos o partes
de la organizacin.
4.1.5
Desarrollo del criterio para la evaluacin del riesgo.

En este punto se decide el criterio contra el cual el riesgo debe ser
evaluado. Decisiones concernientes a la aceptacin del riesgo y su
manejo pueden estar basadas en aspectos operativos, tcnicos,
financieros, legales, sociales, humanos u otro tipo de criterio. Esto
frecuentemente depende de la poltica interna de la organizacin, metas,
objetivos y el inters de los stakeholder.
Aunque el criterio de riesgo es desarrollado como parte de establecer el
contexto de administracin del riesgo, estos deben a futuro desarrollarse y
en la medida en que los riesgos particulares son identificados y las
tcnicas de anlisis de riesgo son seleccionados, por ejemplo: el criterio
de riesgo debe corresponder a un tipo de riesgo y la forma con la cual el
nivel del riesgo es expresado.

Establecer el contexto
El contexto estratgico
El contexto organizacional
El contexto de la administracin
del riesgo.
Desarrollo del criterio
Decidir la estructura
Qu est sucediendo?
Cmo est sucediendo?
Identificar el riesgo
Anlisis del riesgo

Determinar la existencia de controles
Determinar
consecuencia
s
Monitoreo y Revisin
Comunicacin y consulta
Determinar
probabilidad
Estimar nivel del riesgo
Evaluacin del riesgo
Criterio contra el que se compara

Fijar prioridades de riesgo
Tomar
Riesgos
Si
Riesgos Evaluados
No
Tratamiento del riesgo
Identificar opciones de tratamiento

Evaluar opciones de tratamiento
FSeleccionar opcin
Preparar plan de tratamiento
Implantar plan
Figura 4.1 Procesos de Administracin del riesgo

4.1.6
4.2
Definir la estructura
Esto incluye descomponer la actividad o proyecto en sus elementos. Estos
elementos proveen una estructura lgica para ser identificada y analizada
lo que ayuda a asegurar que los riesgos significativos no son ignorados.
La estructura escogida depende de la naturaleza del riesgo y del
alcance del proyecto o actividad.
Identificacin del Riesgo.

4.2.1
General
Este paso busca identificar el riesgo ha ser administrado. Comprender,
identificar y usar un buen sistema estructurado de los procesos es crtico,
porque un riesgo potencial no identificado en este escenario quedar
excluido de anlisis futuros. La identificacin debe incluir todos los riesgos
estn estos o no bajo el control de la organizacin.
4.2.2
Qu puede estar sucediendo

El propsito es generar una lista que contenga todos los eventos que
puedan afectar cada elemento de la estructura mencionada en la clusula
4.1.6. Se considera entonces aqu con mas detalle identificar qu puede
estar sucediendo.
Nota: El apndice D provee informacin sobre las fuentes en general de
los
riesgos y sus reas de impacto.
4.2.3
Cmo y por qu puede estar sucediendo

Estamos identificando una lista de eventos, esto es necesario para
considerar las posibles causas y escenarios. Hay varia maneras para que
los eventos puedan iniciarse. Esto es importante para que ninguna causa
no significativas sean omitidas.
4.2.4
Herramientas y tcnicas
Aproximaciones usadas para identificar riesgos incluyen listas de chequeo,
juicios basados en la experiencia y registros, flujogramas, ingenio (malicia)
anlisis sistemtico, anlisis del escenario y tcnicas de ingeniera de
sistemas.
El acercamiento utilizado depender de la naturaleza de la actividad bajo
revisin y de los tipos de riesgo.
4.3
Anlisis del riesgo.

4.3.1
General.
El objetivo del anlisis es separar los riesgos menores aceptados de los
riesgos mas representativos, y proveer informacin para asesorar en la
evaluacin y tratamiento del riesgo. El anlisis de riesgo involucra la
consideracin del origen del riesgo, sus consecuencias y la probabilidad
de que estas consecuencias puedan ocurrir. Factores tales como el efecto
de las consecuencias y la probabilidad de ocurrencia deben ser
10

identificados. El riesgo
es analizado
por la mezcla de estimar
consecuencia y probabilidad en el contexto de medicin de los controles
existentes.
Un Anlisis preliminar puede llevarse a cabo en forma similar para
impactos bajos de los riesgos que estn excluidos del estudio detallado.
Podrn excluirse riesgos cuando sea posible, deben sin embargo ser
listados para demostrar lo completo del anlisis de riesgos.
4.3.2
Determinando los controles existentes.

Identificar el manejo existente, la tcnica y el procedimiento utilizado para
controlar el riesgo y evaluar sus fortalezas y debilidades. Herramientas
usadas en 4.2.4 pueden resultar apropiadas, as como enfoques tales
como la inspecciones y tcnicas de autoevaluacin del control (CSA).
4.3.3
Consecuencia y probabilidad
La magnitud de la consecuencia de un hecho, si puede este ocurrir, y la
probabilidad que el hecho est asociado a consecuencias, son evaluadas
en el contexto de los controles existentes. Consecuencias y probabilidad
son evaluadas para determinar el nivel del riesgo. Las consecuencias y la
probabilidad pueden ser determinadas mediante anlisis estadsticos y
clculos. Se evalan alternativamente hechos histricos, estimativos
subjetivos pueden resultar de opiniones individuales o de grupo sobre la
credibilidad de que un posible hecho tenga ocurrencia.
Para evitar bases subjetivas lo mejor es basarse en la informacin
disponible sus Fuentes y deben utilizarse tcnicas de anlisis de las
consecuencias y probabilidad. Como fuentes de informacin pueden
incluirse las siguientes:
a)
b)
c)
d)
e)
f)
g)
h)
Registros histricos
Experiencias significativas
Prctica de la industria y experiencia
Literatura publicada relevante
Pruebas de mercadeo e investigacin de maercados
Experimentos y prototipos
Economa, ingeniera y otros modelos
Opiniones de especialistas y expertos
Tcnicas incluidas
i)
ii)
iii)
iv)
v)
Entrevistas estructuradas con expertos en el rea de inters

Conformar equipos multidisciplinarios de expertos
Evaluaciones individuales usando cuestionarios
Usar el computador y otros modelos, y
Usar rboles de error y rboles de eventos
Cada vez que sea posible, la confianza requerida sobre estimativos de

niveles de riesgo deben ser incluidos.
4.3.4
Tipos de anlisis.
11

El anlisis del riesgo corresponder a diferentes grados de exactitud,
dependiendo de la informacin del riesgo y la disponibilidad de datos, El
anlisis puede ser cualitativo, semi-cuantitativo, cuantitativo o una
combinacin de estos, dependiendo de las circunstancias. El orden de
complejidad y el costo de estos anlisis ir ascendiendo en este orden.
Cualitativo, semi-cuantitativo y cuantitativo. En la prctica, el anlisis
cualitativo es frecuentemente utilizado inicialmente para obtener un
indicador general del nivel del riesgo. Mas tarde se hace necesario un
anlisis que corresponda mas a una verificacin cuantitativa. En detalle,
los tipos de anlisis son los siguientes:
a)
Anlisis cualitativo
Este anlisis utiliza formas descriptivas para presentar la
magnitud de consecuencias potenciales y la posibilidad de
que estas se presenten. Estas escalas pueden ser
adaptadas o ajustadas a las circunstancias, y diferentes
descripciones se pueden usar para diferentes riesgos.
Nota: Las tablas E1 y E2 del apndice E muestran unos
ejemplos simples de escalas cualitativas o descriptivas por
probabilidad y consecuencias. La tabla E3 es un ejemplo de
una matriz en la cual los riesgos han sido designados segn
prioridad y combinando su probabilidad y consecuencias.
Estas tablas deben elaborarse segn las necesidades
particulares de cada organizacin o el concepto particular
del riesgo evaluado.
Anlisis cualitativos usados:
1) Como una actividad de preseleccin inicial para identificar
riesgos que requieren un anlisis mas detallado.
2) Cuando el nivel del riesgo no justifica el tiempo y el esfuerzo
requerido para un anlisis mas completo.
3) Cuando los datos numricos disponibles son inadecuados
para un anlisis cuantitativo.
b)
Anlisis semi-cuantitativo
En este anlisis a las escalas cualitativas como las descritas
anteriormente le son asignados valores. Los nmeros u
ordenamiento dado a los niveles de riesgo no soportan no
son tomados de manera exacta frente a la magnitud real,
consecuencias o probabilidad. El ordenamiento admite que
existan posibles cambios dependiendo del sistema de
evaluacin utilizado y la forma de asignar el orden a los
mismos. El objetivo es producir una lista mas detallada y
mejorada llevando a cabo un anlisis cuantitativo no se
sugiere una evaluacin real hasta intentar un anlisis
cuantitativo.
Debe tenerse mucho cuidado con este anlisis semicuantitativo, por cuanto las cifras escogidas pueden ser
inapropiadas y llevar a errores e inconsistencias. Este
anlisis puede no diferenciar apropiadamente entre los
12

diferentes
riesgos
particularmente
consecuencia o probabilidad es extrema.
cuando
cada
Algunas veces es apropiado considerar que la posibilidad

esta compuesta de dos elementos, generalmente referida a
la FRECUENCIA DE EXPOSICIN y la PROBABILIDAD.
Frecuencia de exposicin es la extensin en la cual una
fuente de riesgo existe y probabilidad ees la operacin que
cuando esa fuente de riesgo existe, se den las
consecuencias. Debe tenerse cuidado al realizar este
ejercicio en situaciones en donde la relacin entre estos dos
elementos no es completamente independiente por ejemplo
cuando existe una fuerte relacin entres frecuencia de
exposicin y probabilidad.
Este acercamiento puede ser
semicuantitativos y cuantitativos.
c)
aplicado
en
anlisis
Anlisis Cuantitativo
El anlisis cuantitativo utiliza valores numricos (Porcentaje
que se utilizan en anlisis cualitativos, semicuantitativos) en
ambos casos consecuencias y probabilidad se usan datos
de diversos orgenes. (Tal como se describe en los literales
a hasta h del numeral 4.3.3. La calidad del anlisis
cuantitativo depende de lo exactas y completas que estn
las cifras utilizadas.
Las consecuencias pueden ser estimadas mediante
modelos con resultados de eventos o grupo de eventos, o
por extrapolacin de estudios experimentales o datos
histricos. Las consecuencias pueden ser presentadas en
trminos monetarios, tecnolgicos o criterios humanos, o
cualquier otro criterio mencionado en el punto 4.1.5 En
algunos casos mas de un valor numrico es necesario para
presentar consecuencias en diferentes momentos, lugares,
grupos o situaciones.
La posibilidad es generalmente expresada como una
probabilidad, una frecuencia o la combinacin de exposicin
y probabilidad.
La forma en la cual la posibilidad y consecuencias son
expresadas y las formas por las cuales ellos se combinan
para proveer el nivel de riesgo, puede variar de acuerdo al
tipo de riesgo y del contexto a nivel del riesgo es utilizado.
Nota:
Algunos
ejemplos
de
riesgos
cuantitativamente se dan en el Apndice F.
4.3.5
expresados
Anlisis de sensibilidad
13

As las cosas algunos de los estimativos efectuados en un anlisis
cuantitativo son imprecisos, debindose efectuar un anlisis de
sensibilidad, probando los efectos ante cambios en supuestos o premisas
y datos.
4.4 Evaluacin del riesgo
La evaluacin del riesgo incluye comparar los niveles de riesgo encontrado
durante los procesos de anlisis con los criterios de riesgo previamente
establecidos.
El anlisis del riesgo y los criterios contra el cual es comparado en una evaluacin
de riesgo debe ser considerado sobre las mismas bases. De esta forma
la
evaluacin cualitativa involucra comparaciones de niveles cualitativos del riesgo
contra criterios cualitativos y evaluaciones cuantitativas involucra comparaciones
de niveles numricos contra criterios de riesgo los cuales deben estar expresados
en nmeros especficos, tales como fallas, frecuencia de valores monetarios.
La fuerza de la evaluacin del riesgo esta en la lista de priorizacin de riesgos
para futuras acciones.
El objetivo de la organizacin y la cantidad de oportunidades pueden resultar de
tomar el riesgo que deba ser considerado.
Las decisiones debern tomarse tomando en cuenta todo el contexto del riesgo e
incluyendo consideraciones de la tolerabilidad del riesgo soportado por las partes
de la organizacin y los beneficios que ella pretende.
Si el resultado es tomar un riesgo considerado bajo o el riesgo es aceptado ellos
aceptan que el tratamiento futuro ser mnimo. Riesgos bajos y aceptados deben
ser monitoreados y peridicamente revisados para asegurar que ellos se
mantienen en niveles aceptables,
Si el riesgo no es considerado bajo o no est en la categora de aceptable ,
debern usar uno o mas de los tratamientos indicados en el punto 4.5.
4.4
Tratamiento del riesgo

El tratamiento del riesgo implica identificar el rango de opciones para
tratamiento del riesgo, valorando esas opciones, preparando panes de
tratamiento del riesgo e implantndolos.
4.5.1 Identificando opciones para el tratamiento del riesgo
La figura 4.2 ilustra el proceso para el tratamiento del riesgo.
Opciones que no son necesariamente excluyentes o apropiadas
para todas las circunstancias, se incluye lo siguiente.
a)
Evitar que el riesgo por una determinacin no sea atendido

para un determinado proceso cuando el riesgo es probable
que se presente en tal actividad. (Cuando esto es
practicable).
14

Puede ocurrir que evitar el riesgo se efecte de una manera
inapropiada porque exista una actitud de aversin al riesgo,
lo cual esta una tendencia de muchas personas
(frecuentemente por el sistema interno de la organizacin)
Evitar de manera inadecuada un riesgo puede incrementar
la importancia de otros riesgos.
Aversin al riesgo resulta en:
1) Decisiones de evitar o ignorar riesgos indiferentes por la
informacin disponible y los costos incurridos en el
tratamiento de dicho riesgo
2) Error en el tratamiento del riesgo
3) Escoger una salida crtica y/o decisiones superiores de
otras partes
4) Aplazar decisiones las cuales la organizacin no puede
evitar, o
5) Seleccionar una opcin porque esta representa una
prdida potencial indiferente o beneficios.
b)
c)
d)
e)
Reducir la probabilidad de la ocurrencia.

Nota: Ejemplos son mostrados en el apndice G
Reducir las consecuencias.
Nota: Ejemplos mostrados en el apndice G
15
e) Evaluar y clasificar el riesgo
Riesgo
aceptab
le
Aceptado
Reduce
Probabilidad
Reduce
consecuencias
Transfiere total o
parcialmente
Evita
Considerar viabilidad costos y beneficios
Recomendar estrategias de tratamiento

Valorar
Opciones
Tratamiento
Seleccionar estrategia de tratamiento
Preparar
Planes
Tratamiento
Implantar
Planes
Tratamiento
Monitoreo y revisin (Numeral 4.6)
Comunicar y consultar (Numeral 4.7)
No
Identificar
Opciones
tratamiento
Preparar plan de tratamiento
Reduce
Probabilidad
Reduce
consecuencias
Transfiere total o
parcialmente
Riesgo
aceptab
le
f)
Evita
Residual
Transferir el riesgo
16

Hace referencia a buscar respaldo y compartir con otro parte
del riesgo. Se utilizan mecanismos tales como contratos,
plizas de seguros y estructuras organizacionales cuyos
equipos toman el riesgo o parte del mismo.
Se traslada el riesgo a otra parte, o fsicamente se traslada
a otro lugar, se reducir el riesgo para la organizacin
original, pero puede que no disminuya el nivel total del
riesgo para la sociedad.
Cuando el riesgo es trasladado total o parcialmente, la
organizacin que transfiere el riesgo adquiere un nuevo
riesgo, esto es que la organizacin a la cual se ha
transferido el riesgo no lo maneje efectivamente.
g)
Mantener el riesgo (Retener)

Luego de que el riesgo ha sido reducido o transferido,
entonces puede quedar un riesgo residual el cual se
mantiene. Se deben elaborar planes para manejar en el
lugar las consecuencias de estos riesgos que pueden
ocurrir, esto incluye identificar el medio de financiamiento del
riesgo. Los riesgos tambin
pueden mantenerse por
defecto, por ejemplo cuando una falla es identificada y/o
transferida apropiadamente o manejado de otra manera el
riesgo.
Reducir las consecuencias y posibilidad puede hacer
referencia
tambin a lo indicado por el control. Los
controles incluyen determinar el beneficio relativo o nuevo
control que avisa sobre la efectividad de un control
existente. Los controles pueden incluir polticas de
eficiencia, procedimientos o cambios fsicos.
4.5.2 Valorando las opciones para tratamiento del riesgo.

Las opciones deben ser valoradas teniendo en cuenta que tanto
logran la reduccin del riesgo, y lo extenso de beneficios
adicionales o crear oportunidades, teniendo en cuenta los criterios
desarrollados en el numeral 4.1.5. Un nmero de opciones puede
ser considerado y aplicado individualmente o en forma combinada.
Seleccionar la opcin mas apropiada involucra balancear el costo
de implantacin de cada opcin contra el benefici derivado de la
misma. En general, el costo de manejo de un riesgo necesita ser
medido con el beneficio obtenido.
Cuando se puede obtener una gran reduccin del riesgo con
relativo bajo costo, tal opcin debe ser implantada. La implantacin
de una futura opcin puede resultar no econmica y se hace
17

necesario hacer el ejercicio de determinar si tal opcin es
justificable. Esto es ilustrado en la figura 4.3
Las decisiones deben tomarse teniendo en cuenta el necesario
cuidado considerando lo poco frecuente pero severo del riesgo,
que garantice una medida de reduccin del riesgo que no sea
justificable o fundamental desde un punto estrictamente
econmico.
n general si el impacto de tomar un riesgo es bajo, este se debe
tomar independientemente de cualquier otra consideracin.
Si el nivel del riesgo es alto, entonces es necesario aceptar el
riesgo sobre la base de una valoracin del costo de tratar el riesgo,
y los costos de corregir las potenciales consecuencias frente a las
oportunidades que ofrece tomar el riesgo.
Nivel del riesgo(Valor del riesgo)
Implementar
medidas
de reduccin
Usar criterio
Antieconmico
0
Costo de reducir el riesgo($)
Figura 4.3 Costo de las medidas de reduccin del
riesgo
En muchos casos es improbable que una sola opcin para tratar el

riesgo sea la completa solucin a un problema en particular.
Frecuentemente la organizacin se beneficiar sustancialmente por
la combinacin de opciones tales que reduzcan la posibilidad del
riesgo, reduciendo sus consecuencias, y trasladando o
manteniendo un riesgo residual. Un ejemplo es el efectivo uso de
contratos y soportar el financiamiento del riesgo mediante un
programa de reduccin de riesgo.
18

Cuando el costo acumulado para implementar el tratamiento de
todos los riesgos excede los presupuestos determinados, el plan
deber identificar claramente el orden de prioridades con cual los
tratamientos a los riesgos deben ser aplicados. El orden de
prioridades puede establecerse mediante el uso de varias tcnicas,
incluido risk rankin (clasificacin de riesgos) y el anlisis de costo
beneficio. Tratamientos de los riesgos los cuales c no pueden
implantados dentro de los limites del presupuesto determinado,
debe evaluarse la posibilidad de recursos financieros futuros o, si
por alguna razn uno o todos los tratamientos remanentes se
consideran importante, en ese caso debe asegurarse
financiamiento adicional.
El tratamiento del riesgo debe considerar cmo el riesgo es
percibido por las partes afectadas y cual es la forma mas apropiada
comunicar tales circunstancias a todas las partes.
4.5.3 Preparando planes de tratamiento.
Los planes deben documentarse sobre como se escogi la opcin
que va a ser implantada.
El plan de tratamiento debe identificar responsabilidades,
programas, resultados esperados del tratamiento, presupuesto,
medidas para verificar el cumplimiento y procesos de revisin a
fijarse en el lugar.
Nota: Para detalles referirse a la parte H5, apndice H.
El plan debe contener tambin el mecanismo de implantacin de la
opcin frente a al criterio de cumplimiento, responsables
individuales y otros objetivos, y como monitorear las partes crticas
de la implantacin (seales o indicadores).
4.5.3 Implementando planes de tratamiento.
Ideal, responsabilizar por el tratamiento del riesgo en donde este
nace por los mas capaces para aplicar el control. Las
responsabilidades deben ser acordadas por las partes en menor
tiempo posible.
El xito de la implantacin de un plan de tratamiento requiere un
sistema gerencial efectivo el cual especifique el mtodo elegido,
asignacin de responsabilidades y actividades individuales a
ejecutar, y monitores frente al criterio especificado.
Si despus del tratamiento existe un riesgo residual, debe tomarse
una decisin sobre de qu manera se retiene el riesgo o se si repite
el proceso de tratamiento del riesgo.
4.6
Monitoreo y revisin.
19

Es necesario monitorear los riesgos, la efectividad del plan de tratamiento,
estrategias y sistemas de administracin los cuales coloquen por encima la
implantacin del control. Riesgos y eficiencia de las medidas de control
son necesarias para monitorear que cambios en las circunstancias no
alteren las prioridades del riesgo. Pocos riesgos se mantienen estticos.
Revisiones sobre la marcha son esenciales para asegurar que el plan de
tratamiento permanece relevante. Factores tales que puedan afectar la
posibilidad y consecuencias de un resultado pueden cambiar, tanto como
cambian los factores que afectan las conveniencias o el costo de varias
opciones de tratamiento. La revisin hace parte integral del plan gerencias
para tratamiento del riesgo.
4.7
Comunicacin y consulta.
Comunicar y consultar es una tema importante a considerar en cada paso
del proceso de administracin del riesgo. Es importante desarrollar un
plan de comunicacin tanto para la parte interna como externa de los
clientes en los escenarios del proceso. Este plan debe dirigirse a temas
relacionados con el mismo riesgo y el proceso para tratarlo.
Comunicar y consultar involucra dos vas de dialogo entre los tomadores
del riesgo con fortalezas enfocadas a consultar lo mas importante en un
sentido del flujo de informacin sobre las decisiones tomadas por otros
sujetos de riesgo.
Una comunicacin interna y externa efectiva, es importante para asegurar
que los responsables por implantar el manejo del riesgo han entendido el
inters concedido, las bases con las cules las decisiones se han tomado
y en particular el por qu de las acciones requeridas.
Percepciones sobre el riesgo pueden variar debido a la diferencia de
supuestos y conceptos y las necesidades, temas e importancia de cmo
las diferentes partes sujetas al riesgo relatan el riesgo y los asuntos bajo
discusin. Los funcionarios probablemente hacen juicios de la
aceptabilidad del riesgo basados en sus propias percepciones del riesgo.
Entonces los funcionarios pueden tener un impacto significativo en la
decisin tomada, esto es importante para su percepcin del riesgo, como
es que ellos perciben los beneficios, efectan la identificacin y
documentacin y las razones entendidas por ellos para entenderlo y
dirigirlo.
5.
DOCUMENTACION
5.1
General
Cada escenario del proceso de administracin del riesgo debe ser
documentado. La documentacin deber incluir presunciones, mtodos,
datos de origen y resultados.
5.2
Razones para documentar.

20

Las siguientes son las razones para documentar:
a)
b)
c)
d)
e)
f)
g)
h)
Para demostrar que los procedimientos se condujeron

apropiadamente.
Para proveer evidencia de una aproximacin sistemtica a la
identificacin del riesgo y su anlisis.
Para mantener un registro de riesgos y para el desarrollo de la
base de datos de conocimientos de la organizacin.
Para demostrar que las decisiones tomadas sobre la administracin
del riesgo son apropiadas y por ende su subsecuente implantacin.
Para suministrar un mecanismo y herramienta contable.
Para facilitar las labores de revisin y monitoreo
Para proveer un entrenamiento de auditora: y
Para compartir y comunicar informacin.
Decisiones relacionadas con la extensin de los documentos
involucran costos y beneficios y deben tomarse teniendo en
cuenta estos factores.
Gua: Para asistir y dar alguna gua sobre la documentacin
apropiada, se proveen ejemplos en el apndice H, Estos ejemplos
estn indicados cono los mas importantes para comprender.
..........................
21

APENDICE A:
.........................
1. Deteccin del fuego/ prevencin del fuego
2. Operaciones cambio extranjero
3. Prevencin fraude, deteccin y manejo.
4. Salud humanos, animales y plantas
5. Sistemas de informacin / redes de cmputo.
6. Inversiones;
7. Compendio legal.
8. Salud ocupacional y seguridad
9. Operaciones y sistemas de mantenimiento
10. Proyectos de la gerencia
11. Riesgos pblicos y posibilidad general
12. Administracin contratos proveedores
13. Asesoramientos profesionales
14. Reputacin y asuntos de imagen
15. Seguridad
16. Transporte incluye, aire, mar, carretera, ferrocarril
17. Impuestos y financiacin.
22

APENDICE B
PASOS EN EL DESARROLLO E IMPLANTACIN DEL PROGRAMA DE
ADMINISTRACIN DEL RIESGO.
PASO 1: Soporte a Gerencia Senior
Desarrollar una filosofa gerencias de la organizacin sobre el riesgo y una
conciencia de riesgo en el mbito de la gerencia senior. Esto permite
facilitar el entrenamiento, educacin e informacin de los ejecutivos.
El soporte sobre el terreno en las organizaciones por parte del

presidente es necesario.
Un ejecutivo senior o campen similar (en un equipo) necesita
patrocinar la iniciativa
Todos los ejecutivos deben dar completo soporte.
PASO 2 DESARROLLO DE UNA POLITICA ORGANIZACIONAL.

Desarrollar y documentar una poltica corporativa y una estructura para el
manejo del riesgo debe asignarse a los ejecutivos de la organizacin e
implantarse a travs de la organizacin. L apoltica debe incluir informacin
tal como:
Objetivos de la poltica y razonabilidad del manejo del riesgo.

El campo entre la poltica y la estrategia de la organizacin / plan
corporativo.
La extensin, o rango de asuntos para los cuales aplica la poltica.
Gua de qu puede ser considera cono riesgo aceptable.
Quin es el responsable del manejo del riesgo.
El soporte / la experiencia disponible para asistir esta responsabilidad
para manejo de riesgos.
El nivel de documentacin requerida; y
El plan de revisin organizacional en atencin a la ejecucin de la
poltica.
PASO 3: COMUNICAR LA POLTICA
Desarrollar, establecer e implantar una infraestructura de ajustes (arreglos
acciones) para asegurar que el manejo del riesgo se convierta en parte
integral de la planeacin, procesos gerenciales y en general cultura de la
organizacin. Esto puede incluir:
Establecer un equipo compuesto por personal de gerentes senior para

que sean responsables de la comunicacin interna sobre las polticas.
Aumentar la conciencia acerca del manejo del riesgo
Comunicar/ dilogos a travs de la organizacin acerca de la
administracin del riesgo y las polticas de la organizacin.
23
Adquirir habilidades para el manejo del riesgo, por ejemplo controles, y

desarrollo de habilidades del staff a travs de educacin y
entrenamiento.
Asegurar niveles apropiados de reconocimiento, recompensas y
sanciones; y
Establecimiento de procedimientos de ejecucin gerencial.
PASO 4: MANEJO DE RIESGOS A NIVEL ORGANIZACIONAL

Desarrollar y establecer un programa de manejo de riesgos a nivel
organizacional a travs de la aplicacin de sistemas de administracin del
riesgo delineados en la seccin 2. El proceso de manejo del riesgo debe
estar integrado con la planeacin estratgica y los procesos gerenciales
de la organizacin. Esto implica documentar:
La organizacin y el contexto del riesgo

Los riesgos identificados por la organizacin.
El anlisis y evaluacin de estos riesgos
Las estrategias para su tratamiento
Los mecanismos para revisin del plan; y
Las estrategias para aumentar la conciencia
entrenar y educar.
adquirir habilidades,
PASO 5: MANEJO PROGRAMA DE RIESGOS, PROYECTO Y NIVEL DEL

EQUIPO
Desarrollar y establecer un programa para el manejo de riesgos por cada
subrea de la organizacin, programas, proyectos o equipo activo a travs
de aplicacin procesos de administracin del riesgo delineados en la
seccin 4. El proceso de manejo del riesgo debe estar integrado con los
otros planes y actividades gerenciales. Los procesos seguidos, las
decisiones tomadas y los planes de accin deben ser documentados.
PASO 6: MONITOR Y REVISIN
Desarrollar y aplicar mecanismos para asegurar revisiones sobre el
terreno de los riesgos. Esto asegurar que la implantacin y la poltica de
administracin del riesgo permanezcan relevantes, as las circunstancias
estn cambiadas todo el tiempo y la revisin de decisiones previas es
fundamental. Los riesgos no son estticos. La efectividad del proceso de
manejo del riesgo deber ser tambin monitoreado y revisado.
24

APENDICE C. TOMADORES DEL RIESGO (STAKEHOLDERS)
Stakeholder son los individuos quienes estn, o perciben por si mismos,
los efectos por las decisiones o actividades. En ellos se pueden incluir:
Los individuos dentro de la organizacin, tales como empleados,

gerentes, ejecutivos y voluntarios.
Quienes toman decisiones
La Competencia
Grupos de empleados
Sindicato
Instituciones financieras
Compaas de seguros
Organizaciones reguladoras estatales que tienen autoridad sobre
las actividades.
Polticos ( a todo nivel del gobierno) quienes pueden un
electorado o portafolio interesante.
Organizaciones no gubernamentales tales cono grupos
ambientales y grupos de inters pblico
Clientes
Suministradores, proveedores de servicios y contratistas de la
actividad.
El medio, quienes son potenciales stkeholders como un buen
conductor de informacin para otros stakeholders.
Individuos o grupos quienes estn interesados en asuntos
relacionado con el objetivo
Comunidades locales; y
Sociedad en general.
Pasado el tiempo, la mezcla de stakeholders puede cambiar,
Nuevos stakeholder pueden aparecer y esto incluye nuevas
consideraciones, tambin otros pueden omitirse, a travs de no
estar involucrados en los procesos, Consecuentemente, el
proceso de anlisis de stakeholder debe ser continuo y, tambin
deber ser parte integral del proceso de administracin del riesgo.
El nivel asignado a un stakeholder puede cambian en respuesta a
nueva informacin, a cambios de cada stakeholder o por que
nueva informacin crece para nuevas necesidades asuntos o
relaciones. Ntese tambin que diferentes stakeholders pueden
tener diferente opinin y diferentes nivel de conocimiento en
relacin con determinado asunto.
25

APNDICE D
ORIGENES GENRICOS DEL RIESGO Y SUS REAS DE IMPACTO
D1 GENERAL
Identificando los orgenes de los riesgos y sus reas de impacto se proporciona
una estructura para identificacin de riesgos y anlisis. Porque potencialmente
son muchos los orgenes e impactos, desarrollando una lista general enfocada a
las actividades de riesgo se contribuye a una gerencia efectiva.
Orgenes generales de riesgo y rea de impacto sol seleccionada de acuerdo con
su importancia en relacin con la actividad estudiada. (Ver numeral 4.1.4 y 4.2.2.)
Componentes de cada categora general se puede conformar a travs del estudio
del riesgo.
D2 ORIGENES DEL RIESGO
Cada origen del riesgo tiene un nmero de componentes, uno de los cuales
determina el nivel del riesgo. Algunos componentes pueden esta bajo el control
de la organizacin siendo estudiado, alguno otros pueden estar por fuera de
control. Ambos tipos necesitan ser considerados cuando estamos identificando el
riesgo. Orgenes generales del riesgo incluyen:
a) Relaciones comerciales y legales
Entre la organizacin y otras organizaciones,
proveedores, subcontratistas, comisionistas.
por
ejemplo
b) Circunstancias econmicas
De la organizacin, del pas, internacionales o tambin factores que
contribuyen a estas circunstancias ejemplo cambio en tasas de inters.
c) Comportamiento humano
Tanto del personal involucrado en la empresa como del que no lo est.
d) Eventos naturales.
e) Circunstancias polticas
Incluye cambios legislativos y factores que pueden influenciar en otros
orgenes del riesgo.
f) Tecnologa y temas tcnicos.
Tanto internos como externos a la organizacin
g) Actividades de gerencia y control
h) Actividades individuales
D3 REAS DE IMPACTO
El anlisis del riesgo puede concentrarse en los impactos de un rea solamente o
en una variedad posible de reas de impacto.
Areas de impacto incluyen las siguientes:
a)
b)
Ventajas base de recursos

De la organizacin, incluyendo el personal
Fuentes y derechos
26

c)
d)
e)
f)
g)
h)
i)
j)
D4
Costos
De las actividades, tanto directos como indirectos.
Gente
Comunidad
Marca
Cronograma y programacin de actividades
Medio ambiente
Intangibles
Tales como la reputacin, prestigio, calidad de vida
Desempeo organizacional.
IDENTIFICACION DEL RIESGO

Un mtodo de sintetizar la forma como se originan los riesgos en una
organizacin en mediante el uso de una plantilla de identificacin de
riesgos como la clase mostrada en la tabla D1. Las entradas pueden
hacerse con cada marca que muestre en dnde ocurre el riesgo, o con
notas descriptivas mas detalladas.
D5
OTRAS CLASIFICACIONES DEL RIESGO

Diferentes disciplinas frecuentemente categorizan los origines de los
riesgos de otras formas, usando sus trminos de riesgo o exposicin al
riesgo. Estas clasificaciones pueden estar incluidas en los orgenes del
riesgo listados en D2. Ejemplo son los siguientes:
a)
b)
c)
d)
e)
f)
g)
h)
i)
j)
k)
Enfermedad profesional
Por ejemplo que afectan a los seres humanos, a los animales o a
las plantas
Econmicos
Ejemplo fluctuacin del cambio, tasas de inters, parte del mercado
Medio ambiente
Ruido, contaminacin, polucin.
Financieros
Riesgos contractuales, robo de fondos, fraude, multas.
Humanos
Disturbios, despilfarros, huelgas, sabotajes, errores.
Riesgos naturales
Condiciones climatolgicas, terremotos, incendios, plagas,
actividad volcnica.
Salud ocupacional y seguridad
Medidas de seguridad inadecuadas, administracin de seguridad
pobre.
Responsabilidad del producto
Errores de diseo, bajos controles de calidad, inadecuadas
pruebas.
Responsabilidad profesional
Asesoras erradas, negligencia, errores de diseo.
Daos a la propiedad.
Fuego, inundaciones, terremotos, contaminacin, error humano
Responsabilidad pblica
27

l)
m)
Acceso del pblico, salidas y seguridad

Seguridad
Medidas para el efectivo, vandalismo, robo, hurto de informacin,
accesos ilegales.
Tecnologa
Innovacin, obsolescencia, fortaleza de sistema y seguridad.
(explosions se emplea como posibilidad de cadas del
sistema o daos graves).
Tabla D1 Ejemplo de una plantilla de identificacin del riesgo.
Orgenes del riesgo
Area de impacto
Seleccionar lo que sea aplicable del pargrafo
D
Relaciones
comerciales
y
legales
Econmicos
Desempeo humano
Eventos Naturales
Circunstancias polticas
Tecnologa/ Asuntos tcnicos
Manejo de actividades y control
Actividades individuales
Nota: Los orgenes de los riesgos y las reas de impacto deben ser adaptadas de
acuerdo con cada organizacin o actividad.
28

APENDICE E
EJEMPLOS DE DEFINICIN DE RIESGO Y CLASIFICACIN
Tabla E1 Medidas cualitativas de las consecuencias o impacto
Nivel
Descripcin
Ejemplo detallado de la descripcin
1
2
Insignificante
Menor
Moderado
Mayor
Catastrfico
No hay dao, prdida financiera baja

Primer tratamiento de ayuda, se realiza inmediatamente,
genera perdidas financiera bajas.
Requiere tratamiento mdico en el sitio, con asistencia fuera del
sitio, perdidas financieras medias.
Daos mayores, prdidas de capacidad de produccin, alivio
fuera del sitio sin efectos perjudiciales, prdidas financieras
mayores.
Muerte, liberacin fuera del sitio con efectos perjudiciales,
prdidas financieras enormes.
Nota: Las medidas deben reflejar las necesidades y naturaleza de la organizacin y de

la actividad bajo estudio.
Tabla E2 Medidas cualitativas de probabilidad
Nivel
A
Descriptor
Casi seguro
B
C
D
E
Probable
Posible
Improbable
Raro
Descripcin
La expectativa de ocurrencia se da en la mayora de
circunstancias
Probabilidad de ocurrencia en la mayora de las circunstancias
Ocurre en la mitad de los casos
Puede ocurrir algunas veces
Puede ocurrir solo bajo circunstancias excepcionales
Nota: Esta tabla debe elaborarse a la medida de las necesidades de la organizacin

individual.
Tabla E3 Riesgo cualitativo Anlisis de matriz - nivel de riesgo
Posibilidad
A
B
C
D
E
Casi seguro
Probable
Moderado
Improbable
Raro
Insignificante
1
H
M
L
L
L
Menor
2
H
H
M
L
L
Consecuencias
Moderado
Mayor
3
E
H
H
M
M
4
E
E
E
H
H
Catastrfico
5
E
E
E
E
H
Nota: El nmero de categoras debe reflejar las necesidades del estudio.

Convenciones
E:
H:
M:
L:
Riesgo extremo, se requiere accin inmediata

Riesgo alto requiere atencin de la gerencia senior
Riesgo moderado, la gerencia responsable debe efectuar especificaciones
Riesgo bajo, se maneja segn procedimientos de rutina
29

APNDICE F.
F1
EJEMPLOS DE EXPRESIONES CUANTITATIVAS DEL RIESGO
Riesgo de prdida financiera o ganancia.
Las prdidas financieras (o ganancias) multiplicadas por la frecuencia anual de las

prdidas (o ganancias) dado el valor esperado en dlares por ao.
F2
Riesgo por fatalidades
El riesgo por fatalidades de una actividad puede ser calculado como:
Nmero de muertes por ao en la actividad
Exposicin de la poblacin
F3
Desastres naturales o humanos

Las consecuencias pueden ser especificadas utilizando simulaciones
computarizadas y estimados de probabilidades de datos histricos, rboles
de error u otro sistema tcnico de ingeniera.
F4
Riesgos de salud
Los riesgos que afectan la salud son generalmente expresados en la
siguiente forma:
a)
El nmero de casos de afecciones a la salud en una poblacin

expuesta comparado con el total de la poblacin. Por ejemplo cinco
nuevos casos en una poblacin expuesta de 100.000 persona es
un riesgo de
5 x 10 5
por persona expuesta, por ao.
b) La rata o probabilidades de muerte antes de un ao determinado, con

y sin la exposicin al riesgo.
c) El nmero de fatalidades para el ao 70 que son esperadas por el
resultado de una exposicin, dividida por el numero de personas
expuestas.
Riesgos
de
salud
pueden
ser
derivados
de
datos
epidemiolgicos(encuesta poblacionales o fatalidades por enfermedad) o
de informacin experimental basada en estudios de animales.
Nota: Mejor que calcular el valor promedio de un riesgo, la distribucin de
posibles valores puede ser calculada reemplazando el valor promedio de
las variables en los resultados dependan por la distribucin apropiada de
valores
30

APNDICE G.
G1
IDENTIFICANDO OPCIONES PARA EL TRATAMIENTO DEL

RIESGO.
Acciones para reducir o controlar la posibilidad

Estas pueden ser:
i)
ii)
iii)
iv)
v)
vi)
vii)
viii)
ix)
x)
xi)
xii)
xiii)
xiv)
G2
Auditora y correspondientes programas.

Condiciones contractuales.
Revisiones formales de requerimientos, especificaciones, diseos,
ingeniera y operaciones.
Inspecciones y procedimientos de control.
Inversiones y manejo de portafolio.
Manejo de proyectos.
Mantenimiento preventivo
Control de calidad, manejo y standards.
Recursos y desarrollo, desarrollo tecnolgico.
Entrenamiento estructurado y otros programas.
Supervisin.
Pruebas testeo.
Acuerdos organizacionales; y
Controles tcnicos.
Procedimientos para reducir o controlar consecuencias

Estos incluyen:
j) Planes de contingencia
ii)
Acuerdos contractuales
iii)
Condiciones de contratos
iv)
Futuros diseos
v)
Planes de recuperacin de desastres
vi)
Ingeniera y barreras estructurales
vii)
Planes para control del fraude
viii)
Minimizacin de exposicin a orgenes del riesgo
ix)
Planeamiento del portafolio
x)
Polticas de precios y controles
xi)
Separacin o relocalizacin de una actividad y recursos
xii)
Relaciones pblicas; y
xiii)
Ex gratia payments.
31

APNDICE H.
H1
DOCUMENTACION
RIESGO.
DE
LA
ADMINISTRACIN
DEL
GENERAL
Para un manejo adecuado del riesgo, se requiere documentacin
apropiada. Esto puede ser suficiente para satisfacer una auditora
independiente. Decisiones relacionadas con la extensin de la
documentacin pueden incluir costos y beneficios y deben tomarse
teniendo en cuenta los factores indicados en el numeral 5.2. La poltica
para el manejo del riesgo debe establecer definiciones sobre las
necesidades de documentacin.
Para cada escenario del proceso, la documentacin debe incluir:
a)
b)
c)
d)
Objetivos
Origen de la informacin
Premisas, presunciones y
Decisiones
Este apndice H incluye un ejemplo de registro del riesgo, y un

programa de manejo y plan de accin. Planes para reas de alto riesgo
deben requerir de mas detalle y especificaciones.
H2
POLTICA
En el apndice B se presentan ejemplo de polticas que pueden ser
establecidas por la organizacin.
H3
CUMPLIMIENTO Y ESTADO DE LA DEBIDA DILIGENCIA

En algunas circunstancias el cumplimiento y estado de la debida diligencia
puede ser requerida, tal como para formalizar el reconocimiento formal de
responsabilidades por parte de los ejecutivos para cumplir con las polticas
de administracin del riesgo y procedimientos.
H4
REGISTRO DEL RIESGO. (Estos ejemplos estn solamente indicados).

Para cada riesgo identificado, el registro del riesgo debe indicar:
a)
b)
c)
d)
e)
f)
Origen
Naturaleza
Controles existentes;
Consecuencias y probabilidad
Valoracin del riesgo inicial; y
Vulnerabilidad a factores internos y externos
Referirse al siguiente ejemplo proforma como una gua.

H5
PROGRAMA DE MANEJO DEL RIESGO Y PLAN DE ACCIN

32

Una administracin del riesgo y la documentacin del plan de accin con
el manejo con controles a ser adoptados debe listar y contener la siguiente
informacin:
a)
Quin es el responsable por la implantacin del plan
b)
Qu recursos son utilizados
c)
Asignacin de presupuesto
d)
Cronograma de implantacin
e)
Detalles de los mecanismos y frecuencias de la revisin del
cumplimiento con el plan de manejo.
H6
Monitores y documentos de auditoria

Los monitores y los registros de auditora deben documentar:
a)
b)
c)
Detalles sobre los mecanismos y frecuencia de las revisiones del

riesgo y procesos manejo del riesgo como un todo.
Los resultados de la auditora y procedimientos de auditora
Detalles de cmo las recomendaciones de la revisin han sido
atendidas e implantadas.
(Traduccin preparada por Pedro Orlando Gil Gallo para Newtech)

Marzo de 2001.
33

Estandar Asnz 4360-1999

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Estandar Asnz 4360-1999

Transféré par

Droits d'auteur :

Formats disponibles

ADMINISTRACION DEL RIESGO