ADMINISTRCION DEL RIESGO

ADMINISTRACION DEL RIESGO

ESTANDAR AS/NZ 4360:1999

ADMINISTRACION DEL RIESGO

ESTANDAR AS/NZ 4360:1999

1. Alcance, aplicacin y definiciones.

1.1. Alcance.

Este estndar provee una gua general para el establecimiento y la implantacin de procesos de administracin del riesgo, que dentro de su contexto involucran identificacin, anlisis, evaluacin, tratamiento, comunicacin y monitoreo sobre el terreno de los riesgos.

1.2 Aplicacin.

La administracin del riesgo es reconocida como prctica integral de una buena gerencia. Se trata de un proceso interactivo que contiene pasos, que corresponden a una secuencia de desarrollo continuo, capacitacin e implantacin de toma de decisiones.

Administracin del riesgo es un trmino aplicado a un mtodo lgico y sistemtico que establece el contexto, identificacin, anlisis, evaluacin, tratamiento, monitoreo y comunicacin sobre los riesgos asociados con una determinada actividad, funcin o proceso, con el fin de capacitar a las organizaciones para minimizar sus prdidas y maximizar sus ventajas. Administracin del riesgo es algo como identificar oportunidades y reducir prdidas.

Este estndar puede ser aplicado a la totalidad de escenarios en el ciclo de vida de una actividad, funciones, proyectos, productos o ventajas El mayor beneficio es generalmente obtenido por los procesos de administracin del riesgo en sus comienzos. Frecuentemente un nmero de diferentes estudios estn fuera de curso sobre diferentes escenarios de un proyecto.

NOTA: Este estndar puede ser aplicado a un amplio rango de actividades u operaciones bien del sector pblico o del sector privado, en empresas comunitarias o grupos. Ejemplos estn dados en el apndice A.

1.3 Definiciones.

Para el propsito de estndar se aplican las siguientes definiciones.

1.3.1 Consecuencia. El resultado de un evento expresado en forma cualitativa o cuantitativa, que genera prdida, dao, desventaja o ganancia. Estos pueden ser un rango de posibles resultados asociados con el evento.

1.3.2 Costo. De una actividad, tanto directos como indirectos, involucran un impacto negativo, esto se refiere a dinero, tiempo, trabajo, desorganizacin, renombre, polticas y prdidas intangibles.

1.3.3 Evento. Un incidente o suceso, el cual ocurre en un determinado lugar durante un determinado intervalo de tiempo.

1.3.4 rbol de anlisis de causas. Es una tcnica que describe en forma ordenada y secuencial los resultados que pueden originarse de un suceso inicial.

1.3.5 Mtodo de error y anlisis de efectos (FMEA). Es un procedimiento mediante el cual los errores en un sistema tcnico son analizados.

El FMEA puede ser entendido como una manera de identificar los errores, efectos y anlisis crtico (FMECA) En este sistema cada falla identificada es clasificada segn su posibilidad de ocurrencia y la gravedad de sus consecuencias.

1.3.6 rbol de anlisis de fallas. Es un mtodo de ingeniera de sistemas que representa la combinacin lgica de varios estados sistematizados y posibles causas que pueden contribuir a un hecho especfico. (Busca el evento mayor).

1.3.7 Frecuencia. Es una medida sobre el porcentaje de ocurrencia de un evento expresado en nmero de ocurrencias o veces que se da un evento. Ver tambin posibilidad y probabilidad.

1.3.8 Causa/Amenaza El origen de un dao potencial o una situacin que potencialmente cause prdidas.

1.3.9 Posibilidad. Se usa como una descripcin cualitativa de la probabilidad o la frecuencia.

1.3.10 Prdida. Una consecuencia negativa, financiera o de cualquier otra ndole.

1.3.11 Monitoreo. Para el chequeo, supervisin, observacin crtica o el registro del desarrollo de una actividad, accin o sistema sobre una base regular en orden a identificar cambios.

1.3.12 Organizacin. Una compaa, firma, empresa o asociacin, o entidad de tipo legal o de cualquier ndole, esto es incorporada o no al sector pblico o privado, que tiene su propia funcin y administracin.

1.3.13 Probabilidad. La posibilidad que un evento especfico o resultado se d, medido por el porcentaje de eventos especficos o resultados dentro de un nmero total de posibles eventos. Probabilidad expresada entre los nmeros 0 y 1, en donde cero indica que es imposible que el hecho ocurra y 1 indica que el evento es cierto, que se va a dar.

1.3.14 Riesgo residual. Se refiere al margen o residuo de riesgo que puede darse a pesar de las medidas (controles) tomadas para el manejo del riesgo.

1.3.15 Riesgo. La posibilidad que algo suceda y que tenga un impacto sobre los objetivos. Esto est medido en trminos de consecuencias y posibilidad de ocurrencia.

1.3.16 Aceptacin del riesgo. Es la decisin informada de aceptar las consecuencias y la posibilidad de un riesgo en particular.

1.3.17 Anlisis del riesgo. El uso sistemtico de evaluar la informacin para determinar con qu frecuencia un determinado evento puede ocurrir y la magnitud de sus consecuencias.

1.3.18 Valoracin del riesgo. El conjunto de procesos para analizar el riesgo y evaluar su riesgo, ver Figura 3.1.

1.3.19 Evitar el riesgo. Decisin informada de no involucrarse en una situacin de riesgo.

1.3.20 Control. Se refiere a la parte de la administracin de riesgo, que involucra la implantacin de polticas, estndar, procedimientos y cambios fsicos para eliminar o minimizar los riesgos adversos.

1.3.21 Ingeniera de riesgos. Es la aplicacin de principios de ingeniera y mtodos para la administracin del riesgo.

1.3.22 Evaluacin del riesgo. Los procesos utilizados para determinar prioridades en la administracin del riesgo por la comparacin de niveles de riesgo frente a estndares determinados, niveles objeto del riesgo u aplicacin de otro criterio.

1.3.23 Financiando el riesgo. Los mtodos aplicados para fondear el manejo del riesgo y las consecuencias financieras del riesgo.

NOTA: En algunas industrias riesgo financiero solamente hace relacin a las consecuencias econmicas del riesgo.

1.3.24 Identificacin del riesgo. Proceso para determinar que est sucediendo, por qu y cmo.

1.3.25 Administracin del riesgo. La cultura, los procesos y las estructuras que estn dirigidas hacia una efectiva administracin de oportunidades potenciales y efectos adversos.

1.3.26 Procesos de administracin del riesgo. La aplicacin sistemtica de polticas de administracin, procedimientos y prctica para las actividades de establecer el contexto, identificarlo, analizarlo, evaluarlo, tratarlo, monitorearlo y comunicarlo el riesgo.

1.3.27 Reduccin del riesgo. La aplicacin selectiva de tcnicas apropiadas y principios gerenciales para reducir cada posibilidad de ocurrencia de un evento o de sus consecuencias o de ambos.

1.3.28 Conservacin (retencin) del riesgo. Intencionalmente o no conservar la responsabilidad por prdidas o carga financiera por prdidas al interior de la empresa.

1.3.29 Transferir el riesgo. Transferir total o parcialmente la responsabilidad o el peso de la prdida a otro lugar a travs de legislacin. Contratos u otra forma de seguro. Transferir el riesgo puede tambin hacer referencia a mover fsicamente el riesgo o parte del mismo a otro sitio.

1.3.30 Tratamiento del riesgo (Administracin del riesgo). Seleccionar e implantar las opciones apropiadas para tratar con el riesgo.

1.3.31 Anlisis de sensibilidad. Examinar cmo los resultados del clculo de un modelo varan cuando los supuestos individuales son modificados.

1.3.32 Stakeholders (Objetos del riesgo, los que toman el riesgo). Son las personas y las organizaciones quienes pueden ser afectadas, son afectadas por, o perciben que ellos mismos pueden ser afectados por una decisin o actividad.

Nota: El trmino stakeholder est incluido en la parte correspondiente definida en ISO 14050:1998 y en ISO 14004:1996.

2 REQUERIMIENTOS PARA LA ADMINISTRACIN DEL RIESGO

2.1 Propsito

El propsito de esta seccin es describir el proceso formal para establecer un sistemtico programa de administracin del riesgo.

El desarrollo de una poltica organizacional de administracin del riesgo y mecanismos de soporte es necesario para proveer una estructura que lleve acabo un programa detallado de administracin del riesgo a los niveles de la organizacin.

2.2 Poltica de administracin del riesgo.

Los ejecutivos de la compaa deben definir y documentar las polticas de administracin del riesgo, incluyendo sus objetivos, y su compromiso para ello. La poltica de administracin del riesgo debe ser una estrategia relevante dentro del contexto de metas de la empresa, un objetivo y la naturaleza del negocio. La alta gerencia debe asegurarse que esta poltica es entendida, implantada y mantenida por todos los niveles de la organizacin.

2.3 Planeacin y Recursos.

2.3.1 Compromiso de la Gerencia

La organizacin debe asegurar que:

a) El sistema de administracin del riesgo se establece, implanta y mantiene de acuerdo con estos estndares; y

b) El desempeo del sistema de administracin del riesgo es reportada a la gerencia de la organizacin para su revisin y como base de su desarrollo.

2.3.2 Responsabilidad y autoridad

La responsabilidad, autoridad y las interrelaciones del personal que ejecuta y verifica el manejo del riesgo debe estar definido y documentado, especialmente para aquellas personas que necesitan autonoma y autoridad para atender uno o ms de los siguientes asuntos:

a) Iniciar accin para prevenir o reducir los efectos negativos del riesgo;

b) Tratamiento futuro de los controles sobre el riesgo, hasta que este se considere aceptable.

c) Identificar y registrar cualquier problema relacionado con el tratamiento del riesgo.

d) Iniciar, recomendar o proveer soluciones a travs de los canales designados;

e) Verificar la implantacin de soluciones; y

f) Comunicar y efectuar consultas tanto internas como externas cuando esto sea apropiado.

2.3.3 Recursos

La organizacin debe identificar y proveer los recursos adecuados, incluyendo la asignacin de personal calificado para el manejo, atencin del trabajo, y verificacin de las actividades que incluyen revisin interna.

2.4 Programa de implantacin

Se requiere un nmero de pasos para la implementacin de un sistema efectivo de administracin del riesgo dentro de la organizacin. Se muestran unos ejemplos en el apndice B(No est dentro de las fotocopias). Depende de administracin del riesgo en conjunto, de la filosofa global, su cultura y estructura, requerir de combinar u omitir ciertos pasos. No obstante, todos los pasos debern ser considerados.

2.5 Revisin gerencial

Los ejecutivos de la organizacin debern asegurar que una revisin del sistema de administracin del riesgo se lleva a cabo en especficos intervalos de tiempo, suficientes para asegurar que este continua siendo conveniente y efectivo y satisface los requerimientos de estos estndares, y las polticas y objetivos establecidos de la empresa. (Ver clusula 2.2.). Se deben dejar registros de cada una de estas revisiones.

3. VISION GENERAL DE LA ADMINISTRACION DEL RIESGO

3.1 General

La administracin del riesgo hace parte integral de los procesos gerenciales. La administracin del riesgo es un proceso multifactico, sus aspectos para ser bien atendidos requieren la conformacin de un equipo multidisciplinario. Es un proceso interactivo en continuo desarrollo.

3.2 Elementos principales.

Los elementos principales que conforman el proceso de administracin del riesgo, que se muestran en la figura 3.1, son los siguientes:

a) Establecer el Contexto. Establecimiento de la estrategia, la administracin del riesgo organizacional dentro de la cual el resto de procesos tienen lugar. Debe establecerse el criterio contra el cual el riesgo debe ser evaluado y definir la estructura del anlisis.

b) Identificacin del riesgo. Identificar que, como y porqu se pueden originar hechos como base para posterior anlisis.

c) Anlisis de los riesgos. Determinar la existencia de controles y analizar los riesgos en trminos de consecuencia y probabilidad en el contexto de dichos controles. En el anlisis se debe considerar el grado de la potencial consecuencia y que tan probable es que tal consecuencia se d. Consecuencia y probabilidad deben ser combinados para lograr un estimado del nivel del riesgo.

d) Evaluacin del riesgo. Comparar el nivel estimado del riesgo contra un criterio preestablecido. Estos riesgos permitidos deben ser clasificados as como tambin se identifican las prioridades de la gerencia. Si el nivel establecido del riesgo es bajo, entonces el riesgo se puede considerar dentro de una categora aceptable y tratarlo puede ser no necesario.

e) Tratamiento del riesgo. Aceptar y monitorear los riesgos de bajas prioridades. Para otros riesgos, desarrollar e implantar un plan especfico de administracin el cual involucra consideraciones sobre la inversin requerida.

f) Monitoreo y revisin. Monitorear y revisar la aplicacin del sistema de administracin del riesgo y los cambios que pueden de manera considerable afectarlo.

g) Comunicacin y consulta. Comunicarse y consultar tanto con los stakeholder internos como externos lo apropiado de los procesos de administracin del riesgo en cada escenario, y lo concernientes a estos procesos como un todo.

La administracin del riesgo puede ser aplicada en los diferentes niveles en la organizacin. Esta puede ser aplicada tanto en el nivel estratgico como en el nivel operacional. Puede ser aplicada a proyectos especficos, para asesorar en la toma de decisiones sobre determinadas reas de riesgo.

La administracin del riesgo es un proceso interactivo que contribuye al desarrollo organizacional. Con cada ciclo, los criterios de riesgo pueden ser fortalecidos para lograr progresivamente un mejor nivel de administracin del riesgo.

Para cada escenario deben mantenerse registros adecuados, suficientes para satisfacer una auditora independiente.

Figura 3.1 Vista general de la Administracin del riesgo

4. Procesos de la Administracin del Riesgo

4.1Establecer el contexto.Los detalles sobre los procesos de la Administracin del riesgo se muestran en la figura 4.1. Los procesos se suceden dentro de la estructura de la estrategia de la organizacin, organizacional y contexto de administracin del riesgo. Estas necesidades deben ser establecidas para definir los parmetros dentro de los cuales los riesgos deben ser administrados y para proveer lineamientos para tomar decisiones dentro de los estudios de administracin del riesgo mas detallados. Esto fija el mbito para el resto de procesos de administracin del riesgo.

4.1.2 Establecimiento del contexto estratgico

Define las relaciones entre la organizacin y su medio ambiente, identificando las fortalezas, debilidades, oportunidades y comportamiento de la organizacin. Este contexto incluye los aspectos financieros, operativos, competitivos, polticas (percepcin imagen ante el pblico), sociedad, clientes, cultura y aspectos legales del funcionamiento de la organizacin.

Identificar a los stakeholder internos y externos, considerar sus objetivos, tener en cuenta sus percepciones u establecer unas polticas de comunicacin con estas partes.

Nota: El apndice C contiene una lista de estos potenciales stakeholder.

Este paso esta enfocado al medio ambiente de las operaciones de la organizacin. Las empresas deben buscar los elementos cruciales y determinantes que soportan o afectan estas habilidades para manejar las etapas del riesgo.

El anlisis estratgico de ser atendido. Esta labor debe ser asignada a ejecutivos de nivel, fijar los parmetros bsicos y suministrar la asesora mas detallada en los procesos de manejo del riesgo. Aqu se debe cerrar la relacin entre la misin o los objetivos estratgicos de la organizacin y el manejo de los riesgos a los cuales est expuesta.

4.1.3 Establecimiento del contexto organizacional.

Antes de comenzar el estudio del manejo del riesgo, es necesario entender la organizacin y sus capacidades, as como tambin sus metas y objetivos y las estrategias que tiene para lograrlos.

Es importante por las siguientes razones:

a) El manejo del riesgo esta ubicado dentro del contexto completo de las metas, objetivos y estrategias de la organizacin.

b) Fallas que afectan los objetivos de la organizacin o una actividad especfica, un proyecto que ha sido considerado es una situacin de riesgo que debe ser manejada.

c) La poltica organizacional y metas ayudan a definir el criterio con el cual se decide que riesgo es aceptable o no y forma las bases de opciones para tratarlo.

4.1.4 Establecimiento de contexto de la administracin del riesgo.

Deben establecerse las metas, objetivos, estrategias, mbito y parmetros de una actividad, o parte de la organizacin que aplica procesos de administracin del riesgo. Los procesos deben corresponder completamente a las necesidades del balance de costos, utilidades y oportunidades. Los recursos requeridos y los registros que deben mantenerse tambin deben ser especificados.

Determinar el mbito y los lmites en los cuales se aplican los procesos para el manejo del riesgo incluye:

a) Definir el proyecto o actividad y establecer sus metas y objetivos.

b) Definir el alcance del proyecto el tiempo asociado y su ubicacin.

c) Identificar los estudios necesarios y su alcance, objetivos y recursos requeridos. Las fuentes genricas del riesgo y las reas de impacto puede servir de gua para esto.

Nota: Para ver fuentes genricos del riesgo y las reas de impacto, referirse al Apndice D.

d) Definir la extensin y comprensin de las actividades de riesgo a ser manejadas.

Asuntos especficos que deben ser discutidos aqu, incluyen lo siguiente:

i.) Los roles y responsabilidades de las diferentes partes de la organizacin que intervienen en el tratamiento del riesgo.

ii.) Relacin entre el proyecto y los dems proyectos o partes de la organizacin.

4.1.5 Desarrollo del criterio para la evaluacin del riesgo.

En este punto se decide el criterio contra el cual el riesgo debe ser evaluado. Decisiones concernientes a la aceptacin del riesgo y su manejo pueden estar basadas en aspectos operativos, tcnicos, financieros, legales, sociales, humanos u otro tipo de criterio. Esto frecuentemente depende de la poltica interna de la organizacin, metas, objetivos y el inters de los stakeholder.

Aunque el criterio de riesgo es desarrollado como parte de establecer el contexto de administracin del riesgo, estos deben a futuro desarrollarse y en la medida en que los riesgos particulares son identificados y las tcnicas de anlisis de riesgo son seleccionados, por ejemplo: el criterio de riesgo debe corresponder a un tipo de riesgo y la forma con la cual el nivel del riesgo es expresado.

Tomar Si

Riesgos Riesgos Evaluados

No

F

Figura 4.1 Procesos de Administracin del riesgo

4.1.6 Definir la estructura

Esto incluye descomponer la actividad o proyecto en sus elementos. Estos elementos proveen una estructura lgica para ser identificada y analizada lo que ayuda a asegurar que los riesgos significativos no son ignorados. La estructura escogida depende de la naturaleza del riesgo y del alcance del proyecto o actividad.4.2 Identificacin del Riesgo.

4.2.1 General

Este paso busca identificar el riesgo ha ser administrado. Comprender, identificar y usar un buen sistema estructurado de los procesos es crtico, porque un riesgo potencial no identificado en este escenario quedar excluido de anlisis futuros. La identificacin debe incluir todos los riesgos estn estos o no bajo el control de la organizacin.

4.2.2 Qu puede estar sucediendo

El propsito es generar una lista que contenga todos los eventos que puedan afectar cada elemento de la estructura mencionada en la clusula 4.1.6. Se considera entonces aqu con mas detalle identificar qu puede estar sucediendo.

Nota: El apndice D provee informacin sobre las fuentes en general de los

riesgos y sus reas de impacto.

4.2.3 Cmo y por qu puede estar sucediendo

Estamos identificando una lista de eventos, esto es necesario para considerar las posibles causas y escenarios. Hay varia maneras para que los eventos puedan iniciarse. Esto es importante para que ninguna causa no significativas sean omitidas.

4.2.4 Herramientas y tcnicas

Aproximaciones usadas para identificar riesgos incluyen listas de chequeo, juicios basados en la experiencia y registros, flujogramas, ingenio (malicia) anlisis sistemtico, anlisis del escenario y tcnicas de ingeniera de sistemas.

El acercamiento utilizado depender de la naturaleza de la actividad bajo

revisin y de los tipos de riesgo.

4.3 Anlisis del riesgo.

4.3.1 General.

El objetivo del anlisis es separar los riesgos menores aceptados de los riesgos mas representativos, y proveer informacin para asesorar en la evaluacin y tratamiento del riesgo. El anlisis de riesgo involucra la consideracin del origen del riesgo, sus consecuencias y la probabilidad de que estas consecuencias puedan ocurrir. Factores tales como el efecto de las consecuencias y la probabilidad de ocurrencia deben ser identificados. El riesgo es analizado por la mezcla de estimar consecuencia y probabilidad en el contexto de medicin de los controles existentes.

Un Anlisis preliminar puede llevarse a cabo en forma similar para impactos bajos de los riesgos que estn excluidos del estudio detallado. Podrn excluirse riesgos cuando sea posible, deben sin embargo ser listados para demostrar lo completo del anlisis de riesgos.

4.3.2 Determinando los controles existentes.

Identificar el manejo existente, la tcnica y el procedimiento utilizado para controlar el riesgo y evaluar sus fortalezas y debilidades. Herramientas usadas en 4.2.4 pueden resultar apropiadas, as como enfoques tales como la inspecciones y tcnicas de autoevaluacin del control (CSA).

4.3.3 Consecuencia y probabilidad

La magnitud de la consecuencia de un hecho, si puede este ocurrir, y la probabilidad que el hecho est asociado a consecuencias, son evaluadas en el contexto de los controles existentes. Consecuencias y probabilidad son evaluadas para determinar el nivel del riesgo. Las consecuencias y la probabilidad pueden ser determinadas mediante anlisis estadsticos y clculos. Se evalan alternativamente hechos histricos, estimativos subjetivos pueden resultar de opiniones individuales o de grupo sobre la credibilidad de que un posible hecho tenga ocurrencia.

Para evitar bases subjetivas lo mejor es basarse en la informacin disponible sus Fuentes y deben utilizarse tcnicas de anlisis de las consecuencias y probabilidad. Como fuentes de informacin pueden incluirse las siguientes:

a) Registros histricos

b) Experiencias significativas

c) Prctica de la industria y experiencia

d) Literatura publicada relevante

e) Pruebas de mercadeo e investigacin de maercados

f) Experimentos y prototipos

g) Economa, ingeniera y otros modelos

h) Opiniones de especialistas y expertos

Tcnicas incluidas

i) Entrevistas estructuradas con expertos en el rea de inters

ii) Conformar equipos multidisciplinarios de expertos

iii) Evaluaciones individuales usando cuestionarios

iv) Usar el computador y otros modelos, y

v) Usar rboles de error y rboles de eventos

Cada vez que sea posible, la confianza requerida sobre estimativos de niveles de riesgo deben ser incluidos.

4.3.4 Tipos de anlisis.

El anlisis del riesgo corresponder a diferentes grados de exactitud, dependiendo de la informacin del riesgo y la disponibilidad de datos, El anlisis puede ser cualitativo, semi-cuantitativo, cuantitativo o una combinacin de estos, dependiendo de las circunstancias. El orden de complejidad y el costo de estos anlisis ir ascendiendo en este orden. Cualitativo, semi-cuantitativo y cuantitativo. En la prctica, el anlisis cualitativo es frecuentemente utilizado inicialmente para obtener un indicador general del nivel del riesgo. Mas tarde se hace necesario un anlisis que corresponda mas a una verificacin cuantitativa. En detalle, los tipos de anlisis son los siguientes:

a) Anlisis cualitativo

Este anlisis utiliza formas descriptivas para presentar la magnitud de consecuencias potenciales y la posibilidad de que estas se presenten. Estas escalas pueden ser adaptadas o ajustadas a las circunstancias, y diferentes descripciones se pueden usar para diferentes riesgos.

Nota: Las tablas E1 y E2 del apndice E muestran unos ejemplos simples de escalas cualitativas o descriptivas por probabilidad y consecuencias. La tabla E3 es un ejemplo de una matriz en la cual los riesgos han sido designados segn prioridad y combinando su probabilidad y consecuencias. Estas tablas deben elaborarse segn las necesidades particulares de cada organizacin o el concepto particular del riesgo evaluado.

Anlisis cualitativos usados:

1) Como una actividad de preseleccin inicial para identificar riesgos que requieren un anlisis mas detallado.

2) Cuando el nivel del riesgo no justifica el tiempo y el esfuerzo requerido para un anlisis mas completo.

3) Cuando los datos numricos disponibles son inadecuados para un anlisis cuantitativo.

b) Anlisis semi-cuantitativo

En este anlisis a las escalas cualitativas como las descritas anteriormente le son asignados valores. Los nmeros u ordenamiento dado a los niveles de riesgo no soportan no son tomados de manera exacta frente a la magnitud real, consecuencias o probabilidad. El ordenamiento admite que existan posibles cambios dependiendo del sistema de evaluacin utilizado y la forma de asignar el orden a los mismos. El objetivo es producir una lista mas detallada y mejorada llevando a cabo un anlisis cuantitativo no se sugiere una evaluacin real hasta intentar un anlisis cuantitativo.

Debe tenerse mucho cuidado con este anlisis semi-cuantitativo, por cuanto las cifras escogidas pueden ser inapropiadas y llevar a errores e inconsistencias. Este anlisis puede no diferenciar apropiadamente entre los diferentes riesgos particularmente cuando cada consecuencia o probabilidad es extrema.

Algunas veces es apropiado considerar que la posibilidad esta compuesta de dos elementos, generalmente referida a la FRECUENCIA DE EXPOSICIN y la PROBABILIDAD.

Frecuencia de exposicin es la extensin en la cual una fuente de riesgo existe y probabilidad ees la operacin que cuando esa fuente de riesgo existe, se den las consecuencias. Debe tenerse cuidado al realizar este ejercicio en situaciones en donde la relacin entre estos dos elementos no es completamente independiente por ejemplo cuando existe una fuerte relacin entres frecuencia de exposicin y probabilidad.

Este acercamiento puede ser aplicado en anlisis semicuantitativos y cuantitativos.

c) Anlisis Cuantitativo

El anlisis cuantitativo utiliza valores numricos (Porcentaje que se utilizan en anlisis cualitativos, semicuantitativos) en ambos casos consecuencias y probabilidad se usan datos de diversos orgenes. (Tal como se describe en los literales a hasta h del numeral 4.3.3. La calidad del anlisis cuantitativo depende de lo exactas y completas que estn las cifras utilizadas.

Las consecuencias pueden ser estimadas mediante modelos con resultados de eventos o grupo de eventos, o por extrapolacin de estudios experimentales o datos histricos. Las consecuencias pueden ser presentadas en trminos monetarios, tecnolgicos o criterios humanos, o cualquier otro criterio mencionado en el punto 4.1.5 En algunos casos mas de un valor numrico es necesario para presentar consecuencias en diferentes momentos, lugares, grupos o situaciones.

La posibilidad es generalmente expresada como una probabilidad, una frecuencia o la combinacin de exposicin y probabilidad.

La forma en la cual la posibilidad y consecuencias son expresadas y las formas por las cuales ellos se combinan para proveer el nivel de riesgo, puede variar de acuerdo al tipo de riesgo y del contexto a nivel del riesgo es utilizado.

Nota: Algunos ejemplos de riesgos expresados cuantitativamente se dan en el Apndice F.

4.3.5 Anlisis de sensibilidad

As las cosas algunos de los estimativos efectuados en un anlisis cuantitativo son imprecisos, debindose efectuar un anlisis de sensibilidad, probando los efectos ante cambios en supuestos o premisas y datos.

4.4 Evaluacin del riesgo

La evaluacin del riesgo incluye comparar los niveles de riesgo encontrado durante los procesos de anlisis con los criterios de riesgo previamente establecidos.

El anlisis del riesgo y los criterios contra el cual es comparado en una evaluacin de riesgo debe ser considerado sobre las mismas bases. De esta forma la evaluacin cualitativa involucra comparaciones de niveles cualitativos del riesgo contra criterios cualitativos y evaluaciones cuantitativas involucra comparaciones de niveles numricos contra criterios de riesgo los cuales deben estar expresados en nmeros especficos, tales como fallas, frecuencia de valores monetarios.

La fuerza de la evaluacin del riesgo esta en la lista de priorizacin de riesgos para futuras acciones.

El objetivo de la organizacin y la cantidad de oportunidades pueden resultar de tomar el riesgo que deba ser considerado.

Las decisiones debern tomarse tomando en cuenta todo el contexto del riesgo e incluyendo consideraciones de la tolerabilidad del riesgo soportado por las partes de la organizacin y los beneficios que ella pretende.

Si el resultado es tomar un riesgo considerado bajo o el riesgo es aceptado ellos aceptan que el tratamiento futuro ser mnimo. Riesgos bajos y aceptados deben ser monitoreados y peridicamente revisados para asegurar que ellos se mantienen en niveles aceptables,

Si el riesgo no es considerado bajo o no est en la categora de aceptable , debern usar uno o mas de los tratamientos indicados en el punto 4.5.

4.4 Tratamiento del riesgo

El tratamiento del riesgo implica identificar el rango de opciones para tratamiento del riesgo, valorando esas opciones, preparando panes de tratamiento del riesgo e implantndolos.

4.5.1 Identificando opciones para el tratamiento del riesgo

La figura 4.2 ilustra el proceso para el tratamiento del riesgo. Opciones que no son necesariamente excluyentes o apropiadas para todas las circunstancias, se incluye lo siguiente.

a) Evitar que el riesgo por una determinacin no sea atendido para un determinado proceso cuando el riesgo es probable que se presente en tal actividad. (Cuando esto es practicable).

Puede ocurrir que evitar el riesgo se efecte de una manera inapropiada porque exista una actitud de aversin al riesgo, lo cual esta una tendencia de muchas personas (frecuentemente por el sistema interno de la organizacin) Evitar de manera inadecuada un riesgo puede incrementar la importancia de otros riesgos.

Aversin al riesgo resulta en:

1) Decisiones de evitar o ignorar riesgos indiferentes por la informacin disponible y los costos incurridos en el tratamiento de dicho riesgo

2) Error en el tratamiento del riesgo

3) Escoger una salida crtica y/o decisiones superiores de otras partes

4) Aplazar decisiones las cuales la organizacin no puede evitar, o

5) Seleccionar una opcin porque esta representa una prdida potencial indiferente o beneficios.

b) Reducir la probabilidad de la ocurrencia.

Nota: Ejemplos son mostrados en el apndice G

c) Reducir las consecuencias.

d) Nota: Ejemplos mostrados en el apndice G

No

Identificar

Opciones

tratamiento

Valorar

Opciones

Tratamiento

Preparar

Planes

Tratamiento

ImplantarPlanes

Tratamiento

e) Transferir el riesgo

Hace referencia a buscar respaldo y compartir con otro parte del riesgo. Se utilizan mecanismos tales como contratos, plizas de seguros y estructuras organizacionales cuyos equipos toman el riesgo o parte del mismo.

Se traslada el riesgo a otra parte, o fsicamente se traslada a otro lugar, se reducir el riesgo para la organizacin original, pero puede que no disminuya el nivel total del riesgo para la sociedad.

Cuando el riesgo es trasladado total o parcialmente, la organizacin que transfiere el riesgo adquiere un nuevo riesgo, esto es que la organizacin a la cual se ha transferido el riesgo no lo maneje efectivamente.

f) Mantener el riesgo (Retener)

Luego de que el riesgo ha sido reducido o transferido, entonces puede quedar un riesgo residual el cual se mantiene. Se deben elaborar planes para manejar en el lugar las consecuencias de estos riesgos que pueden ocurrir, esto incluye identificar el medio de financiamiento del riesgo. Los riesgos tambin pueden mantenerse por defecto, por ejemplo cuando una falla es identificada y/o transferida apropiadamente o manejado de otra manera el riesgo.

Reducir las consecuencias y posibilidad puede hacer referencia tambin a lo indicado por el control. Los controles incluyen determinar el beneficio relativo o nuevo control que avisa sobre la efectividad de un control existente. Los controles pueden incluir polticas de eficiencia, procedimientos o cambios fsicos.

4.5.2 Valorando las opciones para tratamiento del riesgo.

Las opciones deben ser valoradas teniendo en cuenta que tanto logran la reduccin del riesgo, y lo extenso de beneficios adicionales o crear oportunidades, teniendo en cuenta los criterios desarrollados en el numeral 4.1.5. Un nmero de opciones puede ser considerado y aplicado individualmente o en forma combinada.

Seleccionar la opcin mas apropiada involucra balancear el costo de implantacin de cada opcin contra el benefici derivado de la misma. En general, el costo de manejo de un riesgo necesita ser medido con el beneficio obtenido.

Cuando se puede obtener una gran reduccin del riesgo con relativo bajo costo, tal opcin debe ser implantada. La implantacin de una futura opcin puede resultar no econmica y se hace necesario hacer el ejercicio de determinar si tal opcin es justificable. Esto es ilustrado en la figura 4.3

Las decisiones deben tomarse teniendo en cuenta el necesario cuidado considerando lo poco frecuente pero severo del riesgo, que garantice una medida de reduccin del riesgo que no sea justificable o fundamental desde un punto estrictamente econmico.

n general si el impacto de tomar un riesgo es bajo, este se debe tomar independientemente de cualquier otra consideracin.

Si el nivel del riesgo es alto, entonces es necesario aceptar el riesgo sobre la base de una valoracin del costo de tratar el riesgo, y los costos de corregir las potenciales consecuencias frente a las oportunidades que ofrece tomar el riesgo.

Implementar

medidas

de reduccin

Usar criterio

Antieconmico

0

Costo de reducir el riesgo($)

Figura 4.3 Costo de las medidas de reduccin del riesgo

En muchos casos es improbable que una sola opcin para tratar el riesgo sea la completa solucin a un problema en particular. Frecuentemente la organizacin se beneficiar sustancialmente por la combinacin de opciones tales que reduzcan la posibilidad del riesgo, reduciendo sus consecuencias, y trasladando o manteniendo un riesgo residual. Un ejemplo es el efectivo uso de contratos y soportar el financiamiento del riesgo mediante un programa de reduccin de riesgo.

Cuando el costo acumulado para implementar el tratamiento de todos los riesgos excede los presupuestos determinados, el plan deber identificar claramente el orden de prioridades con cual los tratamientos a los riesgos deben ser aplicados. El orden de prioridades puede establecerse mediante el uso de varias tcnicas, incluido risk rankin (clasificacin de riesgos) y el anlisis de costo beneficio. Tratamientos de los riesgos los cuales c no pueden implantados dentro de los limites del presupuesto determinado, debe evaluarse la posibilidad de recursos financieros futuros o, si por alguna razn uno o todos los tratamientos remanentes se consideran importante, en ese caso debe asegurarse financiamiento adicional.

El tratamiento del riesgo debe considerar cmo el riesgo es percibido por las partes afectadas y cual es la forma mas apropiada comunicar tales circunstancias a todas las partes.

4.5.3 Preparando planes de tratamiento.

Los planes deben documentarse sobre como se escogi la opcin que va a ser implantada.

El plan de tratamiento debe identificar responsabilidades, programas, resultados esperados del tratamiento, presupuesto, medidas para verificar el cumplimiento y procesos de revisin a fijarse en el lugar.

Nota: Para detalles referirse a la parte H5, apndice H.

El plan debe contener tambin el mecanismo de implantacin de la opcin frente a al criterio de cumplimiento, responsables individuales y otros objetivos, y como monitorear las partes crticas de la implantacin (seales o indicadores).

4.5.3 Implementando planes de tratamiento.

Ideal, responsabilizar por el tratamiento del riesgo en donde este nace por los mas capaces para aplicar el control. Las responsabilidades deben ser acordadas por las partes en menor tiempo posible.

El xito de la implantacin de un plan de tratamiento requiere un sistema gerencial efectivo el cual especifique el mtodo elegido, asignacin de responsabilidades y actividades individuales a ejecutar, y monitores frente al criterio especificado.

Si despus del tratamiento existe un riesgo residual, debe tomarse una decisin sobre de qu manera se retiene el riesgo o se si repite el proceso de tratamiento del riesgo.

4.6 Monitoreo y revisin.

Es necesario monitorear los riesgos, la efectividad del plan de tratamiento, estrategias y sistemas de administracin los cuales coloquen por encima la implantacin del control. Riesgos y eficiencia de las medidas de control son necesarias para monitorear que cambios en las circunstancias no alteren las prioridades del riesgo. Pocos riesgos se mantienen estticos.

Revisiones sobre la marcha son esenciales para asegurar que el plan de tratamiento permanece relevante. Factores tales que puedan afectar la posibilidad y consecuencias de un resultado pueden cambiar, tanto como cambian los factores que afectan las conveniencias o el costo de varias opciones de tratamiento. La revisin hace parte integral del plan gerencias para tratamiento del riesgo.

4.7 Comunicacin y consulta.

Comunicar y consultar es una tema importante a considerar en cada paso del proceso de administracin del riesgo. Es importante desarrollar un plan de comunicacin tanto para la parte interna como externa de los clientes en los escenarios del proceso. Este plan debe dirigirse a temas relacionados con el mismo riesgo y el proceso para tratarlo.

Comunicar y consultar involucra dos vas de dialogo entre los tomadores del riesgo con fortalezas enfocadas a consultar lo mas importante en un sentido del flujo de informacin sobre las decisiones tomadas por otros sujetos de riesgo.

Una comunicacin interna y externa efectiva, es importante para asegurar que los responsables por implantar el manejo del riesgo han entendido el inters concedido, las bases con las cules las decisiones se han tomado y en particular el por qu de las acciones requeridas.

Percepciones sobre el riesgo pueden variar debido a la diferencia de supuestos y conceptos y las necesidades, temas e importancia de cmo las diferentes partes sujetas al riesgo relatan el riesgo y los asuntos bajo discusin. Los funcionarios probablemente hacen juicios de la aceptabilidad del riesgo basados en sus propias percepciones del riesgo.

Entonces los funcionarios pueden tener un impacto significativo en la decisin tomada, esto es importante para su percepcin del riesgo, como es que ellos perciben los beneficios, efectan la identificacin y documentacin y las razones entendidas por ellos para entenderlo y dirigirlo.

5. DOCUMENTACION

5.1 General

Cada escenario del proceso de administracin del riesgo debe ser documentado. La documentacin deber incluir presunciones, mtodos, datos de origen y resultados.

5.2 Razones para documentar.

Las siguientes son las razones para documentar:

a) Para demostrar que los procedimientos se condujeron apropiadamente.

b) Para proveer evidencia de una aproximacin sistemtica a la identificacin del riesgo y su anlisis.

c) Para mantener un registro de riesgos y para el desarrollo de la base de datos de conocimientos de la organizacin.

d) Para demostrar que las decisiones tomadas sobre la administracin del riesgo son apropiadas y por ende su subsecuente implantacin.

e) Para suministrar un mecanismo y herramienta contable.

f) Para facilitar las labores de revisin y monitoreo

g) Para proveer un entrenamiento de auditora: y

h) Para compartir y comunicar informacin.

Decisiones relacionadas con la extensin de los documentos involucran costos y beneficios y deben tomarse teniendo en cuenta estos factores.

Gua: Para asistir y dar alguna gua sobre la documentacin apropiada, se proveen ejemplos en el apndice H, Estos ejemplos estn indicados cono los mas importantes para comprender.

..........................

APENDICE A:

.........................

1. Deteccin del fuego/ prevencin del fuego

2. Operaciones cambio extranjero

3. Prevencin fraude, deteccin y manejo.

4. Salud humanos, animales y plantas

5. Sistemas de informacin / redes de cmputo.

6. Inversiones;

7. Compendio legal.

8. Salud ocupacional y seguridad

9. Operaciones y sistemas de mantenimiento

10. Proyectos de la gerencia

11. Riesgos pblicos y posibilidad general

12. Administracin contratos proveedores

13. Asesoramientos profesionales

14. Reputacin y asuntos de imagen

15. Seguridad

16. Transporte incluye, aire, mar, carretera, ferrocarril

17. Impuestos y financiacin.

APENDICE B

PASOS EN EL DESARROLLO E IMPLANTACIN DEL PROGRAMA DE ADMINISTRACIN DEL RIESGO.

PASO 1: Soporte a Gerencia Senior

Desarrollar una filosofa gerencias de la organizacin sobre el riesgo y una conciencia de riesgo en el mbito de la gerencia senior. Esto permite facilitar el entrenamiento, educacin e informacin de los ejecutivos.

El soporte sobre el terreno en las organizaciones por parte del presidente es necesario.

Un ejecutivo senior o campen similar (en un equipo) necesita patrocinar la iniciativa

Todos los ejecutivos deben dar completo soporte.

PASO 2 DESARROLLO DE UNA POLITICA ORGANIZACIONAL.

Desarrollar y documentar una poltica corporativa y una estructura para el manejo del riesgo debe asignarse a los ejecutivos de la organizacin e implantarse a travs de la organizacin. L apoltica debe incluir informacin tal como:

Objetivos de la poltica y razonabilidad del manejo del riesgo.

El campo entre la poltica y la estrategia de la organizacin / plan corporativo.

La extensin, o rango de asuntos para los cuales aplica la poltica.

Gua de qu puede ser considera cono riesgo aceptable.

Quin es el responsable del manejo del riesgo.

El soporte / la experiencia disponible para asistir esta responsabilidad para manejo de riesgos.

El nivel de documentacin requerida; y

El plan de revisin organizacional en atencin a la ejecucin de la poltica.

PASO 3: COMUNICAR LA POLTICA

Desarrollar, establecer e implantar una infraestructura de ajustes (arreglos acciones) para asegurar que el manejo del riesgo se convierta en parte integral de la planeacin, procesos gerenciales y en general cultura de la organizacin. Esto puede incluir:

Establecer un equipo compuesto por personal de gerentes senior para que sean responsables de la comunicacin interna sobre las polticas.

Aumentar la conciencia acerca del manejo del riesgo

Comunicar/ dilogos a travs de la organizacin acerca de la administracin del riesgo y las polticas de la organizacin.

Adquirir habilidades para el manejo del riesgo, por ejemplo controles, y desarrollo de habilidades del staff a travs de educacin y entrenamiento.

Asegurar niveles apropiados de reconocimiento, recompensas y sanciones; y

Establecimiento de procedimientos de ejecucin gerencial.

PASO 4: MANEJO DE RIESGOS A NIVEL ORGANIZACIONAL

Desarrollar y establecer un programa de manejo de riesgos a nivel organizacional a travs de la aplicacin de sistemas de administracin del riesgo delineados en la seccin 2. El proceso de manejo del riesgo debe estar integrado con la planeacin estratgica y los procesos gerenciales de la organizacin. Esto implica documentar:

La organizacin y el contexto del riesgo

Los riesgos identificados por la organizacin.

El anlisis y evaluacin de estos riesgos

Las estrategias para su tratamiento

Los mecanismos para revisin del plan; y

Las estrategias para aumentar la conciencia adquirir habilidades, entrenar y educar.

PASO 5: MANEJO PROGRAMA DE RIESGOS, PROYECTO Y NIVEL DEL EQUIPO

Desarrollar y establecer un programa para el manejo de riesgos por cada subrea de la organizacin, programas, proyectos o equipo activo a travs de aplicacin procesos de administracin del riesgo delineados en la seccin 4. El proceso de manejo del riesgo debe estar integrado con los otros planes y actividades gerenciales. Los procesos seguidos, las decisiones tomadas y los planes de accin deben ser documentados.

PASO 6: MONITOR Y REVISIN

Desarrollar y aplicar mecanismos para asegurar revisiones sobre el terreno de los riesgos. Esto asegurar que la implantacin y la poltica de administracin del riesgo permanezcan relevantes, as las circunstancias estn cambiadas todo el tiempo y la revisin de decisiones previas es fundamental. Los riesgos no son estticos. La efectividad del proceso de manejo del riesgo deber ser tambin monitoreado y revisado.

APENDICE C. TOMADORES DEL RIESGO (STAKEHOLDERS)

Stakeholder son los individuos quienes estn, o perciben por si mismos, los efectos por las decisiones o actividades. En ellos se pueden incluir:

Los individuos dentro de la organizacin, tales como empleados, gerentes, ejecutivos y voluntarios.

Quienes toman decisiones

La Competencia

Grupos de empleados

Sindicato

Instituciones financieras

Compaas de seguros

Organizaciones reguladoras estatales que tienen autoridad sobre las actividades.

Polticos ( a todo nivel del gobierno) quienes pueden un electorado o portafolio interesante.

Organizaciones no gubernamentales tales cono grupos ambientales y grupos de inters pblico

Clientes

Suministradores, proveedores de servicios y contratistas de la actividad.

El medio, quienes son potenciales stkeholders como un buen conductor de informacin para otros stakeholders.

Individuos o grupos quienes estn interesados en asuntos relacionado con el objetivo

Comunidades locales; y

Sociedad en general.

Pasado el tiempo, la mezcla de stakeholders puede cambiar, Nuevos stakeholder pueden aparecer y esto incluye nuevas consideraciones, tambin otros pueden omitirse, a travs de no estar involucrados en los procesos, Consecuentemente, el proceso de anlisis de stakeholder debe ser continuo y, tambin deber ser parte integral del proceso de administracin del riesgo.

El nivel asignado a un stakeholder puede cambian en respuesta a nueva informacin, a cambios de cada stakeholder o por que nueva informacin crece para nuevas necesidades asuntos o relaciones. Ntese tambin que diferentes stakeholders pueden tener diferente opinin y diferentes nivel de conocimiento en relacin con determinado asunto.

APNDICE D

ORIGENES GENRICOS DEL RIESGO Y SUS REAS DE IMPACTO

D1 GENERAL

Identificando los orgenes de los riesgos y sus reas de impacto se proporciona una estructura para identificacin de riesgos y anlisis. Porque potencialmente son muchos los orgenes e impactos, desarrollando una lista general enfocada a las actividades de riesgo se contribuye a una gerencia efectiva.

Orgenes generales de riesgo y rea de impacto sol seleccionada de acuerdo con su importancia en relacin con la actividad estudiada. (Ver numeral 4.1.4 y 4.2.2.) Componentes de cada categora general se puede conformar a travs del estudio del riesgo.

D2 ORIGENES DEL RIESGO

Cada origen del riesgo tiene un nmero de componentes, uno de los cuales determina el nivel del riesgo. Algunos componentes pueden esta bajo el control de la organizacin siendo estudiado, alguno otros pueden estar por fuera de control. Ambos tipos necesitan ser considerados cuando estamos identificando el riesgo. Orgenes generales del riesgo incluyen:

a) Relaciones comerciales y legales

Entre la organizacin y otras organizaciones, por ejemplo proveedores, subcontratistas, comisionistas.

b) Circunstancias econmicas

De la organizacin, del pas, internacionales o tambin factores que contribuyen a estas circunstancias ejemplo cambio en tasas de inters.

c) Comportamiento humano

Tanto del personal involucrado en la empresa como del que no lo est.

d) Eventos naturales.

e) Circunstancias polticas

Incluye cambios legislativos y factores que pueden influenciar en otros orgenes del riesgo.

f) Tecnologa y temas tcnicos.

Tanto internos como externos a la organizacin

g) Actividades de gerencia y control

h) Actividades individuales

D3 REAS DE IMPACTO

El anlisis del riesgo puede concentrarse en los impactos de un rea solamente o en una variedad posible de reas de impacto.

Areas de impacto incluyen las siguientes:

a) Ventajas base de recursos

De la organizacin, incluyendo el personal

b) Fuentes y derechos

c) Costos

De las actividades, tanto directos como indirectos.

d) Gente

e) Comunidad

f) Marca

g) Cronograma y programacin de actividades

h) Medio ambiente

i) Intangibles

Tales como la reputacin, prestigio, calidad de vida

j) Desempeo organizacional.

D4IDENTIFICACION DEL RIESGO

Un mtodo de sintetizar la forma como se originan los riesgos en una organizacin en mediante el uso de una plantilla de identificacin de riesgos como la clase mostrada en la tabla D1. Las entradas pueden hacerse con cada marca que muestre en dnde ocurre el riesgo, o con notas descriptivas mas detalladas.

D5OTRAS CLASIFICACIONES DEL RIESGO

Diferentes disciplinas frecuentemente categorizan los origines de los riesgos de otras formas, usando sus trminos de riesgo o exposicin al riesgo. Estas clasificaciones pueden estar incluidas en los orgenes del riesgo listados en D2. Ejemplo son los siguientes:

a) Enfermedad profesional

Por ejemplo que afectan a los seres humanos, a los animales o a las plantas

b) Econmicos

Ejemplo fluctuacin del cambio, tasas de inters, parte del mercado

c) Medio ambiente

Ruido, contaminacin, polucin.

d) Financieros

Riesgos contractuales, robo de fondos, fraude, multas.

e) Humanos

Disturbios, despilfarros, huelgas, sabotajes, errores.

f) Riesgos naturales

Condiciones climatolgicas, terremotos, incendios, plagas, actividad volcnica.

g) Salud ocupacional y seguridad

Medidas de seguridad inadecuadas, administracin de seguridad pobre.

h) Responsabilidad del producto

Errores de diseo, bajos controles de calidad, inadecuadas pruebas.

i) Responsabilidad profesional

Asesoras erradas, negligencia, errores de diseo.

j) Daos a la propiedad.

Fuego, inundaciones, terremotos, contaminacin, error humano

k) Responsabilidad pblica

Acceso del pblico, salidas y seguridad

l) Seguridad

Medidas para el efectivo, vandalismo, robo, hurto de informacin, accesos ilegales.

m) Tecnologa

Innovacin, obsolescencia, fortaleza de sistema y seguridad. (explosions se emplea como posibilidad de cadas del sistema o daos graves).

Tabla D1 Ejemplo de una plantilla de identificacin del riesgo.

Orgenes del riesgoArea de impacto

Seleccionar lo que sea aplicable del pargrafo D

******

Relaciones comerciales y legales

Econmicos

Desempeo humano

Eventos Naturales

Circunstancias polticas

Tecnologa/ Asuntos tcnicos

Manejo de actividades y control

Actividades individuales

Nota: Los orgenes de los riesgos y las reas de impacto deben ser adaptadas de acuerdo con cada organizacin o actividad.

APENDICE E

EJEMPLOS DE DEFINICIN DE RIESGO Y CLASIFICACIN

Tabla E1 Medidas cualitativas de las consecuencias o impacto

NivelDescripcinEjemplo detallado de la descripcin

1InsignificanteNo hay dao, prdida financiera baja

2MenorPrimer tratamiento de ayuda, se realiza inmediatamente, genera perdidas financiera bajas.

3ModeradoRequiere tratamiento mdico en el sitio, con asistencia fuera del sitio, perdidas financieras medias.

4MayorDaos mayores, prdidas de capacidad de produccin, alivio fuera del sitio sin efectos perjudiciales, prdidas financieras mayores.

5CatastrficoMuerte, liberacin fuera del sitio con efectos perjudiciales, prdidas financieras enormes.

Nota: Las medidas deben reflejar las necesidades y naturaleza de la organizacin y de la actividad bajo estudio.

Tabla E2 Medidas cualitativas de probabilidad

NivelDescriptorDescripcin

ACasi seguroLa expectativa de ocurrencia se da en la mayora de circunstancias

BProbableProbabilidad de ocurrencia en la mayora de las circunstancias

CPosibleOcurre en la mitad de los casos

DImprobablePuede ocurrir algunas veces

ERaroPuede ocurrir solo bajo circunstancias excepcionales

Nota: Esta tabla debe elaborarse a la medida de las necesidades de la organizacin individual.

Tabla E3 Riesgo cualitativo Anlisis de matriz - nivel de riesgo

C o n s e c u e n c i a s

PosibilidadInsignificanteMenorModeradoMayorCatastrfico

12345

A Casi seguroHHEEE

B ProbableMHHEE

C ModeradoLMHEE

D ImprobableLLMHE

E RaroLLMHH

Nota: El nmero de categoras debe reflejar las necesidades del estudio.

Convenciones

E:Riesgo extremo, se requiere accin inmediata

H:Riesgo alto requiere atencin de la gerencia senior

M:Riesgo moderado, la gerencia responsable debe efectuar especificaciones

L:Riesgo bajo, se maneja segn procedimientos de rutina

APNDICE F. EJEMPLOS DE EXPRESIONES CUANTITATIVAS DEL RIESGO

F1Riesgo de prdida financiera o ganancia.

Las prdidas financieras (o ganancias) multiplicadas por la frecuencia anual de las prdidas (o ganancias) dado el valor esperado en dlares por ao.

F2Riesgo por fatalidades

El riesgo por fatalidades de una actividad puede ser calculado como:

Nmero de muertes por ao en la actividad

Exposicin de la poblacin

F3Desastres naturales o humanos

Las consecuencias pueden ser especificadas utilizando simulaciones computarizadas y estimados de probabilidades de datos histricos, rboles de error u otro sistema tcnico de ingeniera.

F4Riesgos de salud

Los riesgos que afectan la salud son generalmente expresados en la siguiente forma:

a)El nmero de casos de afecciones a la salud en una poblacin expuesta comparado con el total de la poblacin. Por ejemplo cinco nuevos casos en una poblacin expuesta de 100.000 persona es un riesgo de 5 x 10 5 por persona expuesta, por ao.

b) La rata o probabilidades de muerte antes de un ao determinado, con y sin la exposicin al riesgo.

c) El nmero de fatalidades para el ao 70 que son esperadas por el resultado de una exposicin, dividida por el numero de personas expuestas.

Riesgos de salud pueden ser derivados de datos epidemiolgicos(encuesta poblacionales o fatalidades por enfermedad) o de informacin experimental basada en estudios de animales.

Nota: Mejor que calcular el valor promedio de un riesgo, la distribucin de posibles valores puede ser calculada reemplazando el valor promedio de las variables en los resultados dependan por la distribucin apropiada de valores

APNDICE G.IDENTIFICANDO OPCIONES PARA EL TRATAMIENTO DEL RIESGO.G1Acciones para reducir o controlar la posibilidad

Estas pueden ser:

i) Auditora y correspondientes programas.

ii) Condiciones contractuales.

iii) Revisiones formales de requerimientos, especificaciones, diseos, ingeniera y operaciones.

iv) Inspecciones y procedimientos de control.

v) Inversiones y manejo de portafolio.

vi) Manejo de proyectos.

vii) Mantenimiento preventivo

viii) Control de calidad, manejo y standards.

ix) Recursos y desarrollo, desarrollo tecnolgico.

x) Entrenamiento estructurado y otros programas.

xi) Supervisin.

xii) Pruebas testeo.

xiii) Acuerdos organizacionales; y

xiv) Controles tcnicos.

G2Procedimientos para reducir o controlar consecuencias

Estos incluyen:

j) Planes de contingencia

ii) Acuerdos contractuales

iii) Condiciones de contratos

iv) Futuros diseos

v) Planes de recuperacin de desastres

vi) Ingeniera y barreras estructurales

vii) Planes para control del fraude

viii) Minimizacin de exposicin a orgenes del riesgo

ix) Planeamiento del portafolio

x) Polticas de precios y controles

xi) Separacin o relocalizacin de una actividad y recursos

xii) Relaciones pblicas; y

xiii) Ex gratia payments.

APNDICE H.DOCUMENTACION DE LA ADMINISTRACIN DEL RIESGO.

H1 GENERAL

Para un manejo adecuado del riesgo, se requiere documentacin apropiada. Esto puede ser suficiente para satisfacer una auditora independiente. Decisiones relacionadas con la extensin de la documentacin pueden incluir costos y beneficios y deben tomarse teniendo en cuenta los factores indicados en el numeral 5.2. La poltica para el manejo del riesgo debe establecer definiciones sobre las necesidades de documentacin.

Para cada escenario del proceso, la documentacin debe incluir:

a) Objetivos

b) Origen de la informacin

c) Premisas, presunciones y

d) Decisiones

Este apndice H incluye un ejemplo de registro del riesgo, y un programa de manejo y plan de accin. Planes para reas de alto riesgo deben requerir de mas detalle y especificaciones.

H2POLTICA

En el apndice B se presentan ejemplo de polticas que pueden ser establecidas por la organizacin.

H3CUMPLIMIENTO Y ESTADO DE LA DEBIDA DILIGENCIA

En algunas circunstancias el cumplimiento y estado de la debida diligencia puede ser requerida, tal como para formalizar el reconocimiento formal de responsabilidades por parte de los ejecutivos para cumplir con las polticas de administracin del riesgo y procedimientos.

H4 REGISTRO DEL RIESGO. (Estos ejemplos estn solamente indicados).

Para cada riesgo identificado, el registro del riesgo debe indicar:

a) Origen

b) Naturaleza

c) Controles existentes;

d) Consecuencias y probabilidad

e) Valoracin del riesgo inicial; y

f) Vulnerabilidad a factores internos y externos

Referirse al siguiente ejemplo proforma como una gua.

H5PROGRAMA DE MANEJO DEL RIESGO Y PLAN DE ACCIN

Una administracin del riesgo y la documentacin del plan de accin con el manejo con controles a ser adoptados debe listar y contener la siguiente informacin:

a) Quin es el responsable por la implantacin del plan

b) Qu recursos son utilizados

c) Asignacin de presupuesto

d) Cronograma de implantacin

e) Detalles de los mecanismos y frecuencias de la revisin del cumplimiento con el plan de manejo.

H6Monitores y documentos de auditoria

Los monitores y los registros de auditora deben documentar:

a) Detalles sobre los mecanismos y frecuencia de las revisiones del riesgo y procesos manejo del riesgo como un todo.

b) Los resultados de la auditora y procedimientos de auditora

c) Detalles de cmo las recomendaciones de la revisin han sido atendidas e implantadas.

(Traduccin preparada por Pedro Orlando Gil Gallo para Newtech)

Marzo de 2001.

Establecer el contexto

Identificar riesgos

Analizar riesgos

Evaluar riesgos

Tratar los riesgos

Monitoreo y revisin

Comunicar y consultar

Establecer el contexto

El contexto estratgico

El contexto organizacional

El contexto de la administracin del riesgo.

Desarrollo del criterio

Decidir la estructura

Identificar el riesgo

Qu est sucediendo?

Cmo est sucediendo?

Anlisis del riesgo

Determinar la existencia de controles

Determinar probabilidad

Determinar consecuencias

Estimar nivel del riesgo

Evaluacin del riesgo

Criterio contra el que se compara

Fijar prioridades de riesgo

Tratamiento del riesgo

Identificar opciones de tratamiento

Evaluar opciones de tratamiento

Seleccionar opcin

Preparar plan de tratamiento

Implantar plan

Comunicacin y consulta

Monitoreo y Revisin

Nivel del riesgo(Valor del riesgo)

Residual

Riesgo aceptable

Reduce consecuencias

Reduce Probabilidad

Transfiere total o parcialmente

Evita

Preparar plan de tratamiento

Seleccionar estrategia de tratamiento

Recomendar estrategias de tratamiento

Considerar viabilidad costos y beneficios

Transfiere total o parcialmente

Evita

Reduce consecuencias

Reduce Probabilidad

Aceptado

Monitoreo y revisin (Numeral 4.6)

Comunicar y consultar (Numeral 4.7)

Riesgo aceptable

e) Evaluar y clasificar el riesgo

33