Académique Documents
Professionnel Documents
Culture Documents
1.3.3
1.3.5
1.3.6
1.3.7
1.3.8
1.3.9
2.1
Propsito
El propsito de esta seccin es describir el proceso formal para establecer un
sistemtico programa de administracin del riesgo.
El desarrollo de una poltica organizacional de administracin del riesgo y
mecanismos de soporte es necesario para proveer una estructura que lleve
acabo un programa detallado de administracin del riesgo a los niveles de la
organizacin.
2.2
2.3
Planeacin y Recursos.
2.3.1 Compromiso de la Gerencia
La organizacin debe asegurar que:
a)
El sistema de administracin del riesgo se establece, implanta y mantiene
de acuerdo con estos estndares; y
b)
El desempeo del sistema de administracin del riesgo es reportada a la
gerencia de la organizacin para su revisin y como base de su desarrollo.
2.3.2
Responsabilidad y autoridad
La responsabilidad, autoridad y las interrelaciones del personal que ejecuta y
verifica el manejo del riesgo debe estar definido y documentado, especialmente
para aquellas personas que necesitan autonoma y autoridad para atender uno o
ms de los siguientes asuntos:
a)
Iniciar accin para prevenir o reducir los efectos negativos del riesgo;
b)
Tratamiento futuro de los controles sobre el riesgo, hasta que este se
considere aceptable.
c)
Identificar y registrar cualquier problema relacionado con el tratamiento del
riesgo.
d)
Iniciar, recomendar o proveer soluciones a travs de los canales
designados;
e)
Verificar la implantacin de soluciones; y
4
2.3.3
Recursos
La organizacin debe identificar y proveer los recursos adecuados, incluyendo la
asignacin de personal calificado para el manejo, atencin del trabajo, y
verificacin de las actividades que incluyen revisin interna.
2.4
Programa de implantacin
Se requiere un nmero de pasos para la implementacin de un sistema efectivo
de administracin del riesgo dentro de la organizacin. Se muestran unos
ejemplos en el apndice B(No est dentro de las fotocopias). Depende de
administracin del riesgo en conjunto, de la filosofa global, su cultura y
estructura, requerir de combinar u omitir ciertos pasos. No obstante, todos los
pasos debern ser considerados.
2.5
Revisin gerencial
Los ejecutivos de la organizacin debern asegurar que una revisin del sistema
de administracin del riesgo se lleva a cabo en especficos intervalos de tiempo,
suficientes para asegurar que este continua siendo conveniente y efectivo y
satisface los requerimientos de estos estndares, y las polticas y objetivos
establecidos de la empresa. (Ver clusula 2.2.). Se deben dejar registros de cada
una de estas revisiones.
General
La administracin del riesgo hace parte integral de los procesos gerenciales. La
administracin del riesgo es un proceso multifactico, sus aspectos para ser bien
atendidos requieren la conformacin de un equipo multidisciplinario. Es un
proceso interactivo en continuo desarrollo.
3.2
Elementos principales.
Los elementos principales que conforman el proceso de administracin del riesgo,
que se muestran en la figura 3.1, son los siguientes:
a)
b)
c)
d)
e)
f)
g)
Identificar riesgos
Analizar riesgos
Evaluar riesgos
Monitoreo y revisin
Comunicar y consultar
Establecer el contexto
4.1
Establecer el contexto.
Los detalles sobre los procesos de la Administracin del riesgo se muestran en la
figura 4.1. Los procesos se suceden dentro de la estructura de la estrategia de la
organizacin, organizacional y contexto de administracin del riesgo. Estas
necesidades deben ser establecidas para definir los parmetros dentro de los
cuales los riesgos deben ser administrados y para proveer lineamientos para
6
4.1.3
4.1.4
El contexto estratgico
El contexto organizacional
El contexto de la administracin
del riesgo.
Desarrollo del criterio
Decidir la estructura
Qu est sucediendo?
Cmo est sucediendo?
Identificar el riesgo
Monitoreo y Revisin
Comunicacin y consulta
Determinar
probabilidad
Tomar
Riesgos
Si
Riesgos Evaluados
No
Tratamiento del riesgo
4.2
Definir la estructura
Esto incluye descomponer la actividad o proyecto en sus elementos. Estos
elementos proveen una estructura lgica para ser identificada y analizada
lo que ayuda a asegurar que los riesgos significativos no son ignorados.
La estructura escogida depende de la naturaleza del riesgo y del
alcance del proyecto o actividad.
General
Este paso busca identificar el riesgo ha ser administrado. Comprender,
identificar y usar un buen sistema estructurado de los procesos es crtico,
porque un riesgo potencial no identificado en este escenario quedar
excluido de anlisis futuros. La identificacin debe incluir todos los riesgos
estn estos o no bajo el control de la organizacin.
4.2.2
4.2.3
4.2.4
Herramientas y tcnicas
Aproximaciones usadas para identificar riesgos incluyen listas de chequeo,
juicios basados en la experiencia y registros, flujogramas, ingenio (malicia)
anlisis sistemtico, anlisis del escenario y tcnicas de ingeniera de
sistemas.
El acercamiento utilizado depender de la naturaleza de la actividad bajo
revisin y de los tipos de riesgo.
4.3
General.
El objetivo del anlisis es separar los riesgos menores aceptados de los
riesgos mas representativos, y proveer informacin para asesorar en la
evaluacin y tratamiento del riesgo. El anlisis de riesgo involucra la
consideracin del origen del riesgo, sus consecuencias y la probabilidad
de que estas consecuencias puedan ocurrir. Factores tales como el efecto
de las consecuencias y la probabilidad de ocurrencia deben ser
10
4.3.3
Consecuencia y probabilidad
La magnitud de la consecuencia de un hecho, si puede este ocurrir, y la
probabilidad que el hecho est asociado a consecuencias, son evaluadas
en el contexto de los controles existentes. Consecuencias y probabilidad
son evaluadas para determinar el nivel del riesgo. Las consecuencias y la
probabilidad pueden ser determinadas mediante anlisis estadsticos y
clculos. Se evalan alternativamente hechos histricos, estimativos
subjetivos pueden resultar de opiniones individuales o de grupo sobre la
credibilidad de que un posible hecho tenga ocurrencia.
Para evitar bases subjetivas lo mejor es basarse en la informacin
disponible sus Fuentes y deben utilizarse tcnicas de anlisis de las
consecuencias y probabilidad. Como fuentes de informacin pueden
incluirse las siguientes:
a)
b)
c)
d)
e)
f)
g)
h)
Registros histricos
Experiencias significativas
Prctica de la industria y experiencia
Literatura publicada relevante
Pruebas de mercadeo e investigacin de maercados
Experimentos y prototipos
Economa, ingeniera y otros modelos
Opiniones de especialistas y expertos
Tcnicas incluidas
i)
ii)
iii)
iv)
v)
Tipos de anlisis.
11
Anlisis cualitativo
Este anlisis utiliza formas descriptivas para presentar la
magnitud de consecuencias potenciales y la posibilidad de
que estas se presenten. Estas escalas pueden ser
adaptadas o ajustadas a las circunstancias, y diferentes
descripciones se pueden usar para diferentes riesgos.
Nota: Las tablas E1 y E2 del apndice E muestran unos
ejemplos simples de escalas cualitativas o descriptivas por
probabilidad y consecuencias. La tabla E3 es un ejemplo de
una matriz en la cual los riesgos han sido designados segn
prioridad y combinando su probabilidad y consecuencias.
Estas tablas deben elaborarse segn las necesidades
particulares de cada organizacin o el concepto particular
del riesgo evaluado.
Anlisis cualitativos usados:
1) Como una actividad de preseleccin inicial para identificar
riesgos que requieren un anlisis mas detallado.
2) Cuando el nivel del riesgo no justifica el tiempo y el esfuerzo
requerido para un anlisis mas completo.
3) Cuando los datos numricos disponibles son inadecuados
para un anlisis cuantitativo.
b)
Anlisis semi-cuantitativo
En este anlisis a las escalas cualitativas como las descritas
anteriormente le son asignados valores. Los nmeros u
ordenamiento dado a los niveles de riesgo no soportan no
son tomados de manera exacta frente a la magnitud real,
consecuencias o probabilidad. El ordenamiento admite que
existan posibles cambios dependiendo del sistema de
evaluacin utilizado y la forma de asignar el orden a los
mismos. El objetivo es producir una lista mas detallada y
mejorada llevando a cabo un anlisis cuantitativo no se
sugiere una evaluacin real hasta intentar un anlisis
cuantitativo.
Debe tenerse mucho cuidado con este anlisis semicuantitativo, por cuanto las cifras escogidas pueden ser
inapropiadas y llevar a errores e inconsistencias. Este
anlisis puede no diferenciar apropiadamente entre los
12
cuando
cada
aplicado
en
anlisis
Anlisis Cuantitativo
El anlisis cuantitativo utiliza valores numricos (Porcentaje
que se utilizan en anlisis cualitativos, semicuantitativos) en
ambos casos consecuencias y probabilidad se usan datos
de diversos orgenes. (Tal como se describe en los literales
a hasta h del numeral 4.3.3. La calidad del anlisis
cuantitativo depende de lo exactas y completas que estn
las cifras utilizadas.
Las consecuencias pueden ser estimadas mediante
modelos con resultados de eventos o grupo de eventos, o
por extrapolacin de estudios experimentales o datos
histricos. Las consecuencias pueden ser presentadas en
trminos monetarios, tecnolgicos o criterios humanos, o
cualquier otro criterio mencionado en el punto 4.1.5 En
algunos casos mas de un valor numrico es necesario para
presentar consecuencias en diferentes momentos, lugares,
grupos o situaciones.
La posibilidad es generalmente expresada como una
probabilidad, una frecuencia o la combinacin de exposicin
y probabilidad.
La forma en la cual la posibilidad y consecuencias son
expresadas y las formas por las cuales ellos se combinan
para proveer el nivel de riesgo, puede variar de acuerdo al
tipo de riesgo y del contexto a nivel del riesgo es utilizado.
Nota:
Algunos
ejemplos
de
riesgos
cuantitativamente se dan en el Apndice F.
4.3.5
expresados
Anlisis de sensibilidad
13
15
Riesgo
aceptab
le
Aceptado
Reduce
Probabilidad
Reduce
consecuencias
Transfiere total o
parcialmente
Evita
Preparar
Planes
Tratamiento
Implantar
Planes
Tratamiento
No
Identificar
Opciones
tratamiento
Reduce
Probabilidad
Reduce
consecuencias
Transfiere total o
parcialmente
Riesgo
aceptab
le
f)
Evita
Residual
Transferir el riesgo
16
Implementar
medidas
de reduccin
Usar criterio
Antieconmico
0
Costo de reducir el riesgo($)
Figura 4.3 Costo de las medidas de reduccin del
riesgo
18
Monitoreo y revisin.
19
Comunicacin y consulta.
Comunicar y consultar es una tema importante a considerar en cada paso
del proceso de administracin del riesgo. Es importante desarrollar un
plan de comunicacin tanto para la parte interna como externa de los
clientes en los escenarios del proceso. Este plan debe dirigirse a temas
relacionados con el mismo riesgo y el proceso para tratarlo.
Comunicar y consultar involucra dos vas de dialogo entre los tomadores
del riesgo con fortalezas enfocadas a consultar lo mas importante en un
sentido del flujo de informacin sobre las decisiones tomadas por otros
sujetos de riesgo.
Una comunicacin interna y externa efectiva, es importante para asegurar
que los responsables por implantar el manejo del riesgo han entendido el
inters concedido, las bases con las cules las decisiones se han tomado
y en particular el por qu de las acciones requeridas.
Percepciones sobre el riesgo pueden variar debido a la diferencia de
supuestos y conceptos y las necesidades, temas e importancia de cmo
las diferentes partes sujetas al riesgo relatan el riesgo y los asuntos bajo
discusin. Los funcionarios probablemente hacen juicios de la
aceptabilidad del riesgo basados en sus propias percepciones del riesgo.
Entonces los funcionarios pueden tener un impacto significativo en la
decisin tomada, esto es importante para su percepcin del riesgo, como
es que ellos perciben los beneficios, efectan la identificacin y
documentacin y las razones entendidas por ellos para entenderlo y
dirigirlo.
5.
DOCUMENTACION
5.1
General
Cada escenario del proceso de administracin del riesgo debe ser
documentado. La documentacin deber incluir presunciones, mtodos,
datos de origen y resultados.
5.2
21
22
23
adquirir habilidades,
24
25
por
ejemplo
b) Circunstancias econmicas
De la organizacin, del pas, internacionales o tambin factores que
contribuyen a estas circunstancias ejemplo cambio en tasas de inters.
c) Comportamiento humano
Tanto del personal involucrado en la empresa como del que no lo est.
d) Eventos naturales.
e) Circunstancias polticas
Incluye cambios legislativos y factores que pueden influenciar en otros
orgenes del riesgo.
f) Tecnologa y temas tcnicos.
Tanto internos como externos a la organizacin
g) Actividades de gerencia y control
h) Actividades individuales
D3 REAS DE IMPACTO
El anlisis del riesgo puede concentrarse en los impactos de un rea solamente o
en una variedad posible de reas de impacto.
Areas de impacto incluyen las siguientes:
a)
b)
Costos
De las actividades, tanto directos como indirectos.
Gente
Comunidad
Marca
Cronograma y programacin de actividades
Medio ambiente
Intangibles
Tales como la reputacin, prestigio, calidad de vida
Desempeo organizacional.
D5
Enfermedad profesional
Por ejemplo que afectan a los seres humanos, a los animales o a
las plantas
Econmicos
Ejemplo fluctuacin del cambio, tasas de inters, parte del mercado
Medio ambiente
Ruido, contaminacin, polucin.
Financieros
Riesgos contractuales, robo de fondos, fraude, multas.
Humanos
Disturbios, despilfarros, huelgas, sabotajes, errores.
Riesgos naturales
Condiciones climatolgicas, terremotos, incendios, plagas,
actividad volcnica.
Salud ocupacional y seguridad
Medidas de seguridad inadecuadas, administracin de seguridad
pobre.
Responsabilidad del producto
Errores de diseo, bajos controles de calidad, inadecuadas
pruebas.
Responsabilidad profesional
Asesoras erradas, negligencia, errores de diseo.
Daos a la propiedad.
Fuego, inundaciones, terremotos, contaminacin, error humano
Responsabilidad pblica
27
Area de impacto
Seleccionar lo que sea aplicable del pargrafo
D
Relaciones
comerciales
y
legales
Econmicos
Desempeo humano
Eventos Naturales
Circunstancias polticas
Tecnologa/ Asuntos tcnicos
Manejo de actividades y control
Actividades individuales
Nota: Los orgenes de los riesgos y las reas de impacto deben ser adaptadas de
acuerdo con cada organizacin o actividad.
28
Descripcin
1
2
Insignificante
Menor
Moderado
Mayor
Catastrfico
Descriptor
Casi seguro
B
C
D
E
Probable
Posible
Improbable
Raro
Descripcin
La expectativa de ocurrencia se da en la mayora de
circunstancias
Probabilidad de ocurrencia en la mayora de las circunstancias
Ocurre en la mitad de los casos
Puede ocurrir algunas veces
Puede ocurrir solo bajo circunstancias excepcionales
Casi seguro
Probable
Moderado
Improbable
Raro
Insignificante
1
H
M
L
L
L
Menor
2
H
H
M
L
L
Consecuencias
Moderado
Mayor
3
E
H
H
M
M
4
E
E
E
H
H
Catastrfico
5
E
E
E
E
H
29
F4
Riesgos de salud
Los riesgos que afectan la salud son generalmente expresados en la
siguiente forma:
a)
30
G2
31
H1
DOCUMENTACION
RIESGO.
DE
LA
ADMINISTRACIN
DEL
GENERAL
Para un manejo adecuado del riesgo, se requiere documentacin
apropiada. Esto puede ser suficiente para satisfacer una auditora
independiente. Decisiones relacionadas con la extensin de la
documentacin pueden incluir costos y beneficios y deben tomarse
teniendo en cuenta los factores indicados en el numeral 5.2. La poltica
para el manejo del riesgo debe establecer definiciones sobre las
necesidades de documentacin.
Para cada escenario del proceso, la documentacin debe incluir:
a)
b)
c)
d)
Objetivos
Origen de la informacin
Premisas, presunciones y
Decisiones
POLTICA
En el apndice B se presentan ejemplo de polticas que pueden ser
establecidas por la organizacin.
H3
H4
Origen
Naturaleza
Controles existentes;
Consecuencias y probabilidad
Valoracin del riesgo inicial; y
Vulnerabilidad a factores internos y externos
33