Documentos de Académico
Documentos de Profesional
Documentos de Cultura
n
y
c
o
n
s
u
l
t
a
M
o
n
i
t
o
r
e
o
y
r
e
v
i
s
i
n
Figura 3.1. Panorama general de gestin del riesgo
La gestin del riesgo puede aplicarse en muchos niveles de una organizacin. Puede aplicarse
en el nivel estratgico y en niveles operacionales. Puede aplicarse a proyectos especficos,
para servir de ayuda en decisiones especficas o manejar reas de riesgo reconocidas.
La gestin del riesgo es un proceso iterativo que puede contribuir a la mejora organizacional.
con cada ciclo, los criterios de riesgo pueden fortalecerse para lograr progresivamente mejores
niveles de gestin del riesgo.
Para cada etapa del proceso, deben mantenerse registros adecuados, que sean suficientes
para satisfacer la auditora independiente.
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
8
4. PROCESO DE GESTIN DEL RIESGO
4.1 ESTABLECER EL CONTEXTO
4.1.1 Generalidades
En la Figura 4.1 se muestran los detalles del proceso de gestin del riesgo. El proceso ocurre
dentro del marco de un contexto estratgico, organizacional y de gestin del riesgo de una
organizacin. Este requiere establecerse de modo que defina los parmetros bsicos dentro de
los cuales se debe manejar el riesgo y ofrecer orientacin para decisiones dentro de estudios
de riesgo ms detallados. Con este se fija el mbito para el resto del proceso de gestin.
4.1.2 Establecer el contexto estratgico
Definir la relacin entre la organizacin y su entorno, identificado las fortalezas, debilidades.
oportunidades y amenazas de la organizacin. El contexto incluye los aspectos financieros,
operacionales, competitivos, polticos (percepciones pblicas/imagen) sociales, del cliente,
culturales y legales de las funciones de una organizacin.
Identificar las partes interesadas internas y externas y considerar sus objetivos, tener en cuenta
sus percepciones y establecer las polticas de comunicacin con estas partes.
NOTA El Apndice C establece una lista de partes interesadas potenciales.
Este paso se enfoca hacia el medio ambiente en el cual opera la organizacin. La organizacin
debe tratar de determinar los elementos cruciales que pudieran apoyar o deteriorar su
capacidad para manejar el riesgo que enfrenta.
Se puede emprender el anlisis estratgico, el cual debe tener respaldo a nivel de la alta direccin,
determinar los parmetros bsicos y proporcionar orientacin para los procesos de gestin del
riesgo ms detallados. Debera existir una estrecha relacin entre la misin u objetivos estratgicos
de una organizacin y su gestin de todos los riesgos a los cuales se expone.
4.1.3 Establecer el contexto organizacional
Antes de comenzar un estudio de gestin del riesgo, es necesario comprender la organizacin y
sus capacidades, lo mismo que sus metas y objetivos y las estrategias incorporadas para lograrlos.
Esto es importante por las siguientes razones:
a) La gestin del riesgo tiene lugar en el contexto de las metas ms amplias,
objetivos y estrategias de la organizacin;
b) El no lograr los objetivos de la organizacin o la actividad especfica, o el proyecto
en consideracin representa un conjunto de riesgos que debe manejarse;
c) La poltica y metas organizacionales pueden ayudar a definir los criterios por los
cuales se decide si un riesgo es aceptable o no, conformando la base de
opciones para su tratamiento.
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
9
ESTABLECER EL CONTEXTO
- El contexto estrategico
- El contexto organizacional
- El contexto de gestin de riesgos
- Criterio desarrollado
- Definir la estructura
IDENTIFICAR RIESGOS
- Que puede suceder?
- Como puede suceder?
ANALIZAR RIESGOS
Determinar los controles existentes
Determinar
la probabilidad consecuencias
Determinar las
Calcular nivel de riesgo
- Establecer prioridades de riesgo
- Comparar contra criterios
EVALUAR RIESGOS
Aceptar
riesgos
TRATAR LOS RIESGOS
- Implementar planes
- Identificar opciones de tratamiento
- Evaluar las opciones de tratamiento
- Seleccionar las opciones de tratamiento
- Preparar planes de tratamiento
C
o
m
u
n
i
c
a
r
y
c
o
n
s
u
l
t
a
r
M
o
n
i
t
o
r
e
a
r
y
r
e
v
i
s
a
r
Evaluar los riesgos
No
Si
Figura 4.1. Proceso de gestin del riesgo
4.1.4 Establecer el contexto de la gestin del riesgo
Se deben establecerse metas, objetivos, estrategias, objeto y parmetros de la actividad o
parte de la organizacin a la cual se est aplicando el proceso de gestin del riesgo. Se debe
emprender el proceso con plena consideracin de la necesidad de equilibrar costos, beneficios
y oportunidades. Tambin deben especificarse los recursos requeridos y los registros por
mantener.
El establecimiento del objeto y lmites de una aplicacin del proceso de gestin del riesgo
involucra:
a) Definicin del proyecto o actividad y establecimiento de sus metas y objetivos;
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
10
b) Definicin del alcance del proyecto en el tiempo y lugar;
c) Identificacin y estudios necesarios y su objeto, objetivos y los recursos
requeridos. Las fuentes genricas de riesgo y las reas de impacto pueden
ofrecer una gua para este punto.
NOTA Para ejemplos de fuentes genricas de riesgo y sus reas de impacto, dirjase al Apndice D.
d) Definicin del alcance y comprensin de las actividades de gestin del riesgo por
manejar.
Entre los asuntos especficos que tambin pueden discutirse se encuentran:
i) Las funciones y responsabilidades de diferentes partes de la organizacin
que participan en la gestin del riesgo;
ii) Relaciones entre el proyecto y otros proyectos o partes de la
organizacin.
4.1.5 Desarrollar criterios de evaluacin del riesgo
Decidir los criterios contra los cuales se va a evaluar el riesgo. Las decisiones relacionadas con la
aceptabilidad del riesgo y su tratamiento pueden basarse en criterios operacionales, tcnicos,
financieros, legales, sociales, humanitarios u otros. Con frecuencia, estos dependen de la poltica
interna de una organizacin, sus metas, objetivos y los intereses de las partes interesadas.
Los criterios pueden verse afectados por percepciones internas y externas y requisitos legales.
Es importante que se determinen criterios apropiados desde el principio.
Aunque los criterios del riesgo se desarrollan inicialmente como parte del establecimiento del
contexto de gestin del riesgo, stos pueden desarrollarse luego y refinarse consecuentemente
a medida que se identifican los riesgos particulares y se seleccionan tcnicas de anlisis, por
ejemplo, los criterios del riesgo deben corresponder al tipo de riesgos y la forma cmo se
expresan los niveles de riesgo.
4.1.6 Definir la estructura
Esto involucra la divisin de las actividades o proyectos en un conjunto de elementos. Estos
elementos ofrecen un marco lgico para la identificacin y anlisis que ayuda a garantizar que
no se pasen por alto riesgos importantes. La seleccin de la estructura depende de la
naturaleza de los riesgos y el objeto del proyecto o actividad.
4.2 IDENTIFICACIN DEL RIESGO
4.2.1 Generalidades
Para la identificacin de los riesgos es fundamental un proceso, amplio, sistemtico y
estructurado, debido a que un riesgo potencial no identificado durante esta etapa ser excluido
del anlisis posterior. La identificacin debe incluir todos los riesgos, sea que estn o no bajo el
control de la organizacin.
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
11
4.2.2 Qu puede suceder?
A fin de identificar lo que puede suceder se debe generar una lista global de eventos que
podran afectar cada elemento de la estructura a la que se hace referencia en el numeral 4.1.6.
NOTA El Apndice D proporciona informacin acerca de recursos genricos de riesgo y sus reas de impacto.
4.2.3 Cmo y por qu puede suceder?
Teniendo identificada una lista global de eventos, es necesario considerar posibles causas y
formas de presentarse el riesgo. Existen varias vas como un evento puede ser iniciado. es
importante que causas no significativas sean omitidas
4.2.4 Herramientas y tcnicas
Entre los mtodos empleados para identificar riesgos se encuentran listas de verificacin,
juicios basados en la experiencia y registros, diagramas de flujo, lluvia de ideas, anlisis de
sistemas, anlisis de escenario y tcnicas de ingeniera de sistemas.
El mtodo empleado depender de la naturaleza de las actividades bajo revisin y los tipos de
riesgo.
4.3 ANLISIS DEL RIESGO
4.3.1 Generalidades
Los objetivos del anlisis son separar los riesgos aceptables menores de los mayores, y
proporcionar datos que sirvan para la evaluacin y el tratamiento de riesgos. El anlisis del
riesgo incluye la consideracin de las fuentes de riesgo, sus consecuencias y la posibilidad de
que estas consecuencias ocurran. Se pueden identificar los factores que afectan las
consecuencias y la posibilidad. El riesgo se analiza mediante la combinacin de clculos de
consecuencias y posibilidad en el contexto de las medidas de control existentes.
Se puede realizar un anlisis preliminar de manera que se excluyan de estudio detallado los
riesgos similares o de bajo impacto. Se deben enumerar los riesgos excluidos, siempre que sea
posible, a fin de demostrar que el anlisis de riesgos es completo.
4.3.2 Determinar los controles existentes
Identificar la administracin, los sistemas tcnicos y procedimientos existentes para controlar el
riesgo y evaluar sus fortalezas y debilidades. Las herramientas empleadas en el numeral 4.2.4
pueden resultar apropiadas, lo mismo que los mtodos tales como las inspecciones y tcnicas
de auto-evaluacin del control ('AEC').
4.3.3 Consecuencias y probabilidad
Se evalan la magnitud de las consecuencias de un evento, si ocurriera, y la pro del evento y sus
consecuencias asociadas, en el contexto y los controles existentes. Se combinan las
consecuencias y la posibilidad para producir un nivel de riesgo. Las consecuencias y posibilidad
pueden determinarse empleando anlisis y clculos estadsticos. De manera alternativa, cuando no
se encuentran datos del pasado, se pueden realizar clculos subjetivos que reflejen el grado de
creencia de un individuo o grupo de que un evento o resultado particular ocurra.
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
12
A fin de evitar los sesgos subjetivos, se deben emplear los recursos de informacin y tcnicas
disponibles al analizar las consecuencias probabilidades y posibilidades. Entre las fuentes de
informacin se pueden incluir:
a) Registros pasados;
b) Experiencia pertinente;
c) Prctica y experiencia industrial;
d) Literatura publicada pertinente;
e) Marketing de ensayo e investigacin de mercado;
f) Experimentos y prototipos;
g) Modelos econmicos, de ingeniera y otros;
h) Juicios de especialistas y expertos.
Entre las tcnicas se emplean:
i) entrevistas estructuradas con expertos en el rea de inters;
ii) empleo de grupos de expertos multi-disciplinarios;
iii) evaluaciones individuales empleando cuestionarios;
iv) uso del computador y otros modelos
v) uso de rboles de error y rboles de eventos.
Siempre que sea posible, se debe incluir la confianza depositada en los clculos de niveles de
riesgo.
4.3.4 Tipos de anlisis
El anlisis del riesgo puede ser aplicado a diferentes grados de exactitud, dependiendo de la
informacin del riesgo y de la disponibilidad de datos. El anlisis puede ser cualitativo, semi-
cuantitativo, cuantitativo una con combinacin de estos, dependiendo de las circunstancias.
El orden de complejidad y el costo de estos anlisis en orden ascendente es cualitativo, semi-
cuantitativo y cuantitativo. En la prctica, con frecuencia inicialmente se emplea el anlisis
cualitativo para obtener un indicador general del nivel del riesgo. Posteriormente se hace
necesario un anlisis especfico que corresponda a una verificacin cuantitativa. En detalle los
tipos de anlisis son los siguientes:
a) Anlisis cualitativo
El anlisis cualitativo emplea formas o escalas descriptivas para describir la
magnitud de las consecuencias potenciales y la posibilidad de que estas
consecuencias ocurran. Estas escalas pueden adaptarse o ajustarse para
encajar en las circunstancias y se pueden emplear diferentes descripciones para
diferentes riesgos.
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
13
NOTA Las Tablas E1 y E2 en el apndice E muestran ejemplos de escalas cualitativas o
descriptivas simples para la posibilidad y las consecuencias. La Tabla E.3 es un ejemplo de una
matriz en la cual se le asignan los riesgos clases de prioridad mediante la combinacin de su
posibilidad y consecuencia. Estas tablas deben ajustarse para satisfacer las necesidades de cada
organizacin o el concepto particular del riesgo evaluado.
El anlisis cualitativo se emplea;
i) Como una actividad inicial de preseleccin, para identificar los riesgos
que necesitan un anlisis ms detallado;
ii) cuando el nivel del riesgo no justifica el tiempo y esfuerzo requeridos para
un anlisis ms completo;
iii) Cuando los datos numricos disponibles son inadecuados para un
anlisis cuantitativo.
b) Anlisis semi-cuantitativo
En anlisis semi-cuantitativos, a las escalas cualitativas tales como las descritas
anteriormente le son asignados valores. No es obligatorio que el nmero
asignado a cada descripcin tenga una relacin exacta con la magnitud real de
las consecuencias y posibilidad. El ordenamiento admite que existan posibles
cambios dependiendo del sistema de evaluacin utilizado y la forma de asignar
el orden a los mismos. El objetivo es producir una priorizacin ms detallada que
la que generalmente se logra en el anlisis cualitativo y no sugerir cualquier valor
realista del riesgo tal como se intenta en el anlisis cuantitativo.
Se debe tener cuidado con el uso del anlisis semi-cuantitativo ya que es posible
que los nmeros seleccionados no reflejen adecuadamente los tipos de
relatividad que pueden conducir a resultados inconsistentes. Puede ser que el
anlisis semi-cuantitativo no diferencie adecuadamente entre los riesgos en
especial cuando las consecuencias o la posibilidad son extremas.
Algunas veces resulta apropiado considerar la posibilidad como compuesta de
dos elementos, a los que generalmente se les denomina frecuencia de
exposicin y probabilidad.
Frecuencia de exposicin es el grado de extensin a la cual una fuente de riesgo
existe y la probabilidad es el grado de materializacin con sus consecuencias,
cuando existe esa fuente de riesgo. Se debe tener precaucin en situaciones
donde la relacin entre los dos elementos no es completamente independiente,
es decir, donde existe una fuerte relacin entre frecuencia de exposicin y
probabilidad.
Este mtodo puede aplicarse en anlisis semi-cuantitativo y cuantitativo.
c) Anlisis cuantitativo
El anlisis cuantitativo emplea valores numricos (en lugar de las escalas
descriptivas empleadas en los anlisis cualitativo y semi-cuantiativo) tanto para
las consecuencias como para la probabilidad se emplean datos de una variedad
de distintas fuentes (tales como aquellos a los que se hace referencia en los sub-
prrafos (a) a (h) del numeral 4.3.3). La calidad del anlisis depende de la
exactitud y de que tan completos sean los valores numricos empleados.
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
14
Las consecuencias pueden ser estimadas mediante modelos con resultados de eventos o
grupos de eventos, o por extrapolacin de estudios experimentales o datos histricos. Las
consecuencias pueden expresarse en trminos de criterios monetarios, tcnicos, humanos o
cualquiera de los criterios a que hace referencia el numeral 4.1.5. En algunos casos se requiere
ms de un valor numrico para especificar las consecuencias en diferentes tiempos, lugares,
grupos o situaciones.
Por lo general la posibilidad se expresa ya sea como probabilidad, frecuencia o una
combinacin de exposicin y probabilidad.
La forma cmo se expresan la posibilidad, probabilidad y las consecuencias y la forma cmo
se combinan para brindar un nivel de riesgo, variarn de acuerdo con el tipo de riesgo y el
contexto en el cual se va a emplear el nivel del riesgo.
NOTA En el Apndice F se ofrecen algunos ejemplos de expresiones de riesgo cuantitativo.
4.3.5 Anlisis de Sensibilidad
Puesto que algunos de los clculos realizados en el anlisis cuantitativo son imprecisos, debe
realizarse un anlisis de sensibilidad para ensayar el efecto de los cambios en las hiptesis y datos.
4.4 EVALUACIN DEL RIESGO
La evaluacin del riesgo involucra la comparacin del nivel de riesgo encontrado durante el
proceso de anlisis con criterios de riesgo previamente establecidos.
Se deben considerar el anlisis del riesgo y los criterios contra los cuales se comparan los riesgos
en la evaluacin del riesgo sobre la misma base. Por lo tanto la evaluacin cualitativa incluye la
comparacin de un nivel cualitativo del riesgo contra los criterios cualitativos, y la evaluacin
cuantitativa involucra la comparacin del nivel numrico del riesgo contra los criterios que pueden
expresase como un nmero especfico, tal como un valor deque indique fatalidad, frecuencia o
valor monetario.
El resultado de una evaluacin del riesgo es una lista priorizada de riesgos para tomar
acciones posteriores.
Deben considerarse los objetivos de la organizacin y el grado de oportunidad que pudiera
resultar de asumir el riesgo.
Las decisiones deben dar cuenta del amplio contexto del riesgo e incluir la consideracin de la
tolerabilidad de los riesgos asumidos por las partes diferentes a la organizacin que se
beneficia de ella.
Si los riesgos resultantes encajan en las categoras de riesgo bajo o aceptable, pueden
aceptarse con mnimo tratamiento posterior. Los riesgos bajos y aceptados deben monitorearse
y revisarse peridicamente para garantizar que sigan siendo aceptables.
Si los riesgos no encajan en la categora de riesgo baja o aceptable, deben tratarse empleando
una o ms de las opciones consideradas en el numeral 4.5.
4.5 TRATAMIENTO DEL RIESGO
El tratamiento del riesgo incluye la identificacin de la serie de opciones para tratar el riesgo, la
evaluacin de dichas opciones, la preparacin de planes para el tratamiento del riesgo y su
implementacin.
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
15
4.5.1 Identificacin de opciones para el tratamiento del riesgo
La Figura 4.2 ilustra el proceso del tratamiento del riesgo. Entre las opciones, las cuales no son
de manera obligatoria mutuamente excluyentes o apropiadas en todas las circunstancias, se
encuentran las siguientes:
a) Evitar el riesgo decidiendo no proceder con la actividad que tiene probabilidad de
generar riesgo (siempre que esto sea aplicable).
La prevencin del riesgo puede ocurrir de forma inapropiada debido a alguna
actitud de aversin al riesgo, la cual es una tendencia de muchas personas (con
frecuencia influenciadas por un sistema interno de una organizacin), La
inadecuada prevencin del riesgo puede incrementar la importancia de otros
riesgos.
La aversin al riesgo conlleva a:
i) decisiones para evitar o ignorar los riesgos sin importar la informacin
disponible y los costos incurridos en el tratamiento de tales riesgos.
ii) error en el tratamiento del riesgo;
iii) dejar opciones crticas y/o decisiones en otras partes;
iv) aplazar decisiones que la organizacin no puede evitar; o
v) seleccionar una opcin por que representa un riesgo potencial ms bajo
sin importar los beneficios.
b) Reducir la probabilidad de la ocurrencia
NOTA En el Apndice G se muestran algunos ejemplos.
c) Reducir las consecuencias
NOTA En el Apndice G se muestran algunos ejemplos.
d) Transferir el riesgo
Aqu participa otra parte que asume o comparte alguna parte del riesgo. Entre
los mecanismos se encuentran el uso de contratos, acuerdos de seguros y
estructuras organizacionales, tales como la sociedad o las alianzas estratgicas
(Joint Ventures).
La transferencia de un riesgo a otras partes, o la transferencia fsica a otros
lugares, reducir el riesgo para la organizacin original, pero es posible que no
disminuya el nivel general de riesgo para la sociedad.
Cuando los riesgos se transfieren en su totalidad o parcialmente, la organizacin que
transfiere el riesgo ha adquirido un nuevo riesgo, en cuanto a que la organizacin a la
cual le ha transferido el riesgo no puede manejar dicho riesgo en forma efectiva.
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
16
EVALUACIN Y RANGO DEL RIESGO
M
O
N
I
T
O
R
E
O
Y
R
E
V
I
S
I
N
Riesgo
aceptable
Si
Reduccin de consecuencias Reduccin de probabilidad Transfere total o en pertes Evitar
CONSIDERACIONES DE FACTIBILIDAD DE COSTOS Y BENEFICIOS
RECOMENDACIONES DEL TRATAMIENTO DE ESTRATEGIAS
PREPARACIN DE PLANES DE TRATAMIENTO
SELECCIN DEL TRATAMIENTO DE ESTRATEGIAS
Transfere total o en pertes Reduccin de consecuencias Reduccin de probabilidades Evitar
Retener guardar
C
O
M
U
N
I
C
A
R
Y
C
O
N
S
U
L
T
A
R
Acepta
No
Si Riesgo
aceptable
Identificacin y
tratamiento de opciones
de tratamiento
Implementar planes
de las
tratamiento
Calcular el
opciones
Preparar los
planes de
tratamiento
No
Parte retenida/parte transferida
Figura 4.2. Proceso de tratamiento del riesgo
e) Retener el riesgo
Despus de haber reducido o transferido los riesgos, pueden haber riesgos
residuales que se han retenido. Es recomendable implementar planes para
manejar las consecuencias de estos riesgos, si ocurrieran, incluyendo la
identificacin de un medio de financiacin del riesgo. Los riesgos tambin
pueden retenerse por defecto, es decir, cuando existe fracaso en la identificacin
y/o transferencia apropiada u otro tratamiento de los riesgos.
Se puede hacer referencia a la reduccin de las consecuencias y la posibilidad
como el control del riesgo. El control del riesgo incluye la determinacin del
beneficio relativo de nuevos controles a la luz de la efectividad de los controles
existentes. Los controles deben incorporar polticas de efectividad, los
procedimientos o los cambios fsicos.
4.5.2 Evaluacin de opciones de tratamiento de riesgo
Se aconseja evaluar las opciones sobre la base del grado de reduccin del riesgo y el alcance
de cualquier beneficio adicional o oportunidades creadas, tomando en cuenta los criterios
desarrollados en el numeral 4.1.5. Se pueden considerar numerosas opciones y aplicarse ya
sea de forma individual o en combinacin.
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
17
La seleccin de la opcin ms apropiada incluye el equilibrio del costo de implementar cada
opcin contra los beneficios derivados del mismo. En general, el costo de la gestin de riesgos
debe ser proporcional a los beneficios obtenidos.
Cuando existe la posibilidad de obtener grandes reducciones con relativamente menos gasto, tales
opciones deberan implementarse. Pueden resultar poco econmicas opciones adicionales y se
debe ejercer el juicio para determinar si son justificables. En la Figura 4.3 se ilustra este aspecto.
Implementacin
de medidas
de reduccin
Uso de criterios
COSTOSO
COSTO DE REDUCCIN DEL RIESGO ($)
N
I
V
E
L
D
E
R
I
E
S
G
O
(
V
A
L
O
R
D
E
L
R
I
E
S
G
O
)
Figura 4.3. Costo de las medidas de reduccin del riesgo
Al tomar decisiones se debera tener en cuenta la necesidad de considerar cuidadosamente
riesgos raros pero severos, los cuales podran ameritar medidas de reduccin de riesgo que
nos son justificables sobre el campo estrictamente econmico.
En general, debera disminuirse el impacto adverso del riesgo en una medida razonablemente
posible, sin tener en cuenta ningn criterio absoluto.
Si el nivel del riesgo es alto, pero podran surgir oportunidades considerables al asumir el
riesgo, tal como el uso de una nueva tecnologa, entonces la aceptacin del riesgo debe
basarse en la valoracin de los costos del tratamiento del riesgo y los costos de rectificar las
consecuencias potenciales contra las oportunidades provistas al asumir el riesgo.
En muchos casos, resulta improbable que cualquier opcin de tratamiento del riesgo sea una
solucin completa par un problema particular. Con frecuencia, la organizacin se beneficiar en
forma sustancial de una combinacin de opciones tales como la reduccin de la posibilidad de
riesgos, la reduccin de sus consecuencias y la transferencias o retencin de cualquier riesgo
residual. Un ejemplo lo constituye el uso efectivo de contratos y financiacin del riesgo
apoyados en un programa de reduccin del riesgo.
Cuando el costo acumulado de la implementacin de los tratamientos del riesgo excede el
presupuesto disponible, el plan debe identificar claramente el orden de prioridad en el cual
deben implementarse los tratamientos del riesgo individuales. El orden de prioridad puede
establecerse empleando varias tcnicas, incluyendo la clasificacin del riesgo y el anlisis
costo-beneficio. Los tratamientos del riesgo que no pueden implementarse dentro del limite del
presupuesto disponibles deben esperar la disponibilidad de recursos financieros adicionales o,
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
18
si por cualquier razn uno o todos los tratamientos restantes se considera importante, debe
realizarse alguna accin para asegurar finanzas adicionales.
En las opciones del tratamiento del riesgo se deben considerar la forma cmo perciben el
riesgo las partes afectadas y las formas ms apropiadas de comunicacin con esas partes.
4.5.3 Preparacin de planes de tratamiento
En los planes se debe documentar la forma como deben implementarse las opciones
seleccionadas.
El plan de tratamiento debe identificar responsabilidades, cronogramas, el resultado esperado
de los tratamientos, presupuesto, medidas de desempeo y el proceso de revisin por
implementar.
NOTA Para tener detalles, dirjase a la Parte H5, Apndice H.
El plan tambin debe incluir un mecanismo para evaluar la implementacin de las opciones
contra criterios de desempeo, responsabilidades individuales y otros objetivos, y monitorear
acontecimientos importantes de implementacin crtica.
4.5.4 Implementacin de planes de tratamiento
De manera ideal, la responsabilidad del tratamiento del riesgo deben asumirla aquellos con
mayor capacidad para controlar el riesgo. Se deberan acordar las responsabilidades entre las
partes lo ms temprano posible.
La implementacin exitosa del plan de tratamiento del riesgo requiere de un sistema de gestin
efectivo que especifique los mtodos seleccionados, asigne responsabilidades y obligaciones
individuales con respecto a acciones y las monitoree contra criterios especificados.
Si despus del tratamiento existe un riesgo residual, debe tomarse una decisin en cuanto a si
retener el riesgo o repetir el proceso de tratamiento de riesgo.
4.6 MONITOREO Y REVISIN
Es necesario monitorear los riesgos, la efectividad del plan de tratamiento del riesgo, las estrategias
y el sistema de gestin que se establecen para controlar la implementacin. Debe monitorearse los
riesgos y la efectividad de las medidas de control a fin de garantizar que las circunstancias
cambiantes no alteren las prioridades del riesgo. Pocos riesgos permanecen estticos.
Resulta esencial la continua revisin para asegurarse de que el plan de gestin continua siendo
pertinente. Los factores que pueden afectar la posibilidad y las consecuencias de un resultado
pueden cambiar, lo mismo que lo pueden hacer los factores que afectan la conveniencia o el costo
de las diferentes opciones de tratamiento. Por consiguiente es necesario repetir regularmente el
ciclo de gestin del riesgo. La revisin es una parte integral del plan de tratamiento de gestin del
riesgo.
4.7 COMUNICACIN Y CONSULTA
La comunicacin y la consulta constituyen una consideracin importante en cada paso del
proceso de gestin del riesgo. Resulta primordial desarrollar un plan de comunicacin tanto
para las partes interesadas internas como externas en la etapa ms temprana del proceso.
Este plan debe tratar asuntos relacionados tanto con el riesgo mismo como con el proceso para
gestionarlo.
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
19
La comunicacin y consulta incluyen un dilogo bilateral entre las partes interesadas con
esfuerzos enfocados hacia la consulta ms que un flujo unilateral de informacin proveniente
de quien toma las decisiones hacia las otras partes interesadas.
La comunicacin interna y externa efectiva es importante para garantizar que quienes son
responsables de implementar la gestin del riesgo y quienes tienen un inters creado comprendan
la base sobre la cual se toman decisiones y por qu se requieren acciones particulares.
Las percepciones del riesgo pueden variar debido a la diferencia en las creencias y conceptos y las
necesidades, asuntos y preocupaciones de las partes interesadas en la medida en que se
relacionan con el riesgo u otros asuntos bajo discusin. Es probable que las partes interesadas
realicen juicios acerca de la aceptabilidad de un riesgo con base en su percepcin del riesgo.
Puesto que las partes interesadas pueden tener un impacto significativo en las decisiones tomadas,
resulta primordial que se identifiquen y documenten sus percepciones del riesgo, lo mismo que sus
percepciones de los beneficios, y que se entiendan y traten las razones subyacentes.
5. DOCUMENTACIN
5.1 GENERALIDADES
Cada etapa del proceso de gestin del riesgo debe estar documentada. La documentacin
debera incluir las creencias, mtodos, fuentes de datos y resultados.
5.2 RAZONES PARA LA DOCUMENTACIN
Las razones para la documentacin son las siguientes:
a) demostrar que el proceso es conducido de forma apropiada
b) proporcionar evidencia de un enfoque sistemtico para la identificacin y anlisis
del riesgo
c) ofrecer un registro de los riesgos y desarrollar la base de datos del conocimiento
que tiene la organizacin
d) darle a las personas que toman decisiones pertinentes un plan de gestin del
riesgo para su aprobacin y posterior implementacin.
e) proporcionar un mecanismo y herramienta de responsabilidad
f) facilitar el monitoreo y la revisin continuos
g) ofrecer un camino de auditora y
h) compartir y comunicar la informacin.
Las decisiones concernientes con el alcance de la documentacin pueden incluir costos y
beneficios y deberan tomar en cuenta los factores arriba mencionados.
Orientacin: En el Apndice H se encuentran algunos ejemplos que son tiles y ofrecen
orientacin acerca de la adecuada documentacin. Estos ejemplos son indicativos ms que
globales.
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
20
APNDICE A
APLICACIONES DE LA GESTIN DEL RIESGO
A.1 ORGANIZACIONES
Esta norma puede aplicarse a un amplio rango de organizaciones incluyendo:
a) pblicas:
- nacionales, regionales, locales
b) comerciales:
- empresas, alianzas estratgicas, firmas, franquicias, prcticas aisladas y
c) voluntarias:
- entidades de beneficencia, sociales y deportivas
A.2 APLICACIONES
La norma tiene una serie de aplicaciones incluyendo (aunque no exclusivamente):
i) gestin de activos y planeacin de recursos;
ii) riesgos de continuidad de negocio;
iii) cambio: organizacional, tecnolgico y poltico;
iv) actividad de construccin;
v) Planeamiento de contingencia para emergencias y desastres.
vi) diseo y responsabilidad por el producto;
vii) responsabilidad del director y los funcionarios;
viii) procedimientos de seleccin de personal, entrenamiento, discriminacin y
hostigamiento
ix) asuntos ambientales;
x) asuntos de tica y honradez;
xi) estudios de factibilidad;
xii) deteccin de incendio /prevencin de incendio;
xiii) operaciones de divisas;
xiv) prevencin, deteccin y manejo de fraude;
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
21
xv) salud humana, animal y vegetal
xvi) sistemas de informacin / redes de computacin
xvii) inversiones;
xviii) cumplimiento legal
xix) salud ocupacional y seguridad industrial ;
xx) operaciones y sistemas de mantenimiento;
xxi) gestin del proyecto;
xxii) riesgo pblico y responsabilidad general;
xxiii) gestin de contratacin de compras;
xxiv) asesora profesional;
xxv) asuntos de reputacin e imagen;
xxvi) seguridad;
xxvii) transporte areo, martimo, por carretera y ferrocarril.
xxviii) tesorera y finanzas.
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
22
APNDICE B
(Informativo)
PASOS EN EL DESARROLLO E IMPLEMENTACIN DE UN
PROGRAMA DE GESTIN DEL RIESGO
PASO 1. RESPALDO DE LA ALTA DIRECCIN
Desarrollar una filosofa de gestin del riesgo organizacional y una conciencia del "riesgo" en
los niveles de la alta direccin. Esto podra facilitarse mediante formacin, educacin e
instrucciones de la direccin ejecutiva.
- Es necesario el continuo respaldo de la alta direccin
- Un director ejecutivo de alto rango o "lder" similar (o equipo) debe patrocinar la
iniciativa.
- Toda la alta direccin debe brindar pleno respaldo.
PASO 2. DESARROLLAR LA POLTICA DE LA ORGANIZACIN
Desarrollar y documentar una poltica corporativa y un marco para gestionar los riesgos, que
tenga el respaldo dela alta direccin, y sea implementada en toda la organizacin. La poltica
puede incluir informacin tal como:
- Los objetivos para la poltica y fundamentos para la gestin del riesgo.
- Los enlaces entre la poltica y el plan corporativo o estratgico de la organizacin.
- El alcance o serie de asuntos a los que se aplica la poltica.
- Lineamientos sobre lo que puede ser considerado como riesgo aceptable.
- Quien es el responsable de la gestin del riesgo
- El apoyo/ experiencia con que se cuenta para asesorar a los responsables de la
gestin del riesgo.
- Los niveles de documentacin requerida y
- El plan para revisin del desempeo organizacional con respecto a la poltica
PASO 3. COMUNICACIN DE POLTICAS
Desarrollo, establecimiento e implementacin de una infraestructura o disposiciones que
aseguren el manejo del riesgo llegando a ser una parte integral de la planeacin, los procesos
de gestin y en general de la cultura organizacional. Esto puede incluir:
- Establecer un equipo que contenga personal de la alta direccin que sea
responsable de las comunicaciones internas acerca de la poltica.
- Promover la toma de conciencia acerca de la gestin de riesgo.
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
23
- Comunicacin / dilogo en la organizacin sobre la gestin del riesgo y la poltica
de la organizacin
- Adquirir habilidad en gestin de riesgo, por ejemplo por medio de consultores y
desarrollando experiencia con entrenamiento y educacin.
- Asegurar apropiados niveles de reconocimiento, recompensas y sanciones, y
- Establecimiento de procesos de gestin de desempeo.
PASO 4. GESTIN DE RIESGO A NIVEL ORGANIZACIONAL
Desarrollar y establecer un programa de gestin de riesgo a nivel organizacional aplicando un
sistema de gestin de acuerdo con los lineamientos del numeral 2 de la norma. El proceso
para la gestin de riesgo debe integrarse con la planeacin estratgica y procesos de gestin
de la organizacin y debe tener la siguiente documentacin:
- El contexto de la organizacin y de la gestin de riesgo.
- Identificacin de riesgos para la organizacin.
- El anlisis y evaluacin de los riesgos.
- Estrategias de tratamiento
- Mecanismos de revisin del programa.
- Estrategias que fomenten la toma de conciencia, adquisicin de experiencia,
formacin y educacin.
PASO 5. GESTIN DE RIESGOS A NIVEL DE PROGRAMA, PROYECTO Y DE EQUIPO
Desarrollar y establecer un programa de gestin de riesgo en la organizacin para cada
subrea organizacional, programa, proyecto o actividades de equipo por medio de la aplicacin
del proceso de gestin de riesgo de acuerdo al numeral 4. el proceso de gestin de riesgo debe
ser integrado con otras actividades de planeacin y gestin. El proceso seguido, las decisiones
tomadas, y las acciones planeadas deben ser documentadas.
PASO 6. MONITOREO Y REVISIN
Desarrollar y aplicar mecanismos que aseguren la puesta en marcha de la revisin de los
riesgos.
Se debe garantizar que la implementacin y la poltica de gestin de riesgo mantengan su
pertinencia, a medida que las circunstancias cambian con el tiempo y es vital revisar las
decisiones previas. Los riesgos no son estticos. La efectividad del proceso de gestin de
riesgo debe ser revisada y monitoreada.
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
24
APNDICE C
(Informativo)
PARTES INTERESADAS
Las partes interesadas son aquellos individuos, quienes se ven o se sienten afectados por una
decisin o actividad. Entre ellos se pueden incluir:
- individuos en el interior de la organizacin, tales como empleados, la direccin,
gerentes y voluntarios.
- las personas que toman decisiones;
- empresas o contrapartes comerciales;
- grupos de empleados;
- grupos de sindicatos;
- instituciones financieras;
- organizaciones de seguros;
- reguladores y otras organizaciones gubernamentales que tienen autoridad sobre
actividades.
- polticos ( en todos los niveles del gobierno) quienes tienen un inters electoral.
- organizaciones no gubernamentales tales como grupos medio ambientales y
grupos de inters pblico.
- clientes;
- suministradores y proveedores de servicios y contratista de actividades.
- los medios, quienes son partes interesadas potencialmente lo mismo que
conductos de informacin para otras partes interesadas;
- individuos o grupos que estn interesados en asuntos relacionados con la
propuesta;
- comunidades locales y
- la sociedad como un todo.
Con el tiempo, la mezcla de intereses puede cambiar. Se pueden unir nuevas partes interesadas y
desear participar en cualquier consideracin, mientras que otras pueden salir y no seguir
participando del proceso. Por consiguiente el proceso de anlisis de las partes interesadas debe
ser continuo y como tal debe ser una parte integral de la gestin de riesgo.
El nivel de inters de la parte interesada puede cambiar en respuesta a nueva informacin, ya
sea porque se han resuelto las necesidades y preocupaciones de las partes interesadas o
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
25
porque la nueva informacin tiende a crear nuevas necesidades, problemas o preocupaciones.
Ntese tambin que diferentes partes interesadas pueden tener diferentes opiniones y
diferentes niveles de conocimiento respecto a un asunto particular.
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
26
Apndice D
(Informativo)
FUENTES GENRICAS DE RIESGO Y SUS REAS DE IMPACTO
D.1 GENERAL
Identificar fuentes de riesgo y reas de impacto ofrece un marco para la identificacin y
anlisis de riesgo. El desarrollo de una lista genrica enfoca las actividades de identificacin
del riesgo y contribuye a hacer ms efectiva la gestin, debido a la gran cantidad posible de
fuentes e impactos.
Las fuentes genricas de riesgo y reas de impacto se seleccionan de acuerdo con su importancia
en las actividades estudiadas (vanse los numerales 4.1.1 y 4.2.2) .Los componentes de cada
categora genrica pueden formar las bases para el estudio de los riesgos.
D.2 FUENTES DE RIESGO
Cada fuente genrica tiene numerosos componentes, cualquiera de los cuales puede dar origen a
un riesgo. Algunos componentes pueden estar bajo el control de la organizacin que conduce el
estudio, mientras que otros pueden estar por fuera de su control. Ambos tipos deben considerarse
al identificar los riesgos. Entre las fuentes genricas de riesgo se encuentran:
a) Relaciones legales y comerciales.
Al interior de la organizacin y de est con otras organizaciones, por ejemplo
proveedores, subcontratistas, arrendatarios.
b) Circunstancias econmicas y de mercado organizacionales, nacionales, e
internacionales; as como factores que contribuyan a estas circunstancias, por
ejemplo tasas de cambio.
c) Comportamientos humanos
De quienes estn involucrados en la organizacin y de quienes no lo estn
d) Eventos naturales
e) Circunstancias polticas
Incluye cambios legislativos y factores sociales por los cuales se puede
influenciar otras fuentes de riesgo.
f) Tecnologa y asuntos tcnicos
Tanto internos como externos de la organizacin.
g) Actividades de gestin y control.
h) Actividades individuales.
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
27
D.3 REAS DE IMPACTO
El anlisis de riesgo puede concentrarse en una sola rea de impacto o en varias posibles
reas de impacto.
Las siguientes son reas de impacto:
a) Base de activos y recursos
De la organizacin incluyendo personal.
b) Ingresos y derechos.
c) costos
De actividades, tanto directa o indirectamente
d) Gente
e) Comunidad
f) Desempeo
g) programacin de actividades
g) Medio ambiente
h) Intangibles
Reputacin, buen nombre, calidad de vida
i) Comportamiento organizacional.
D.4 IDENTIFICACIN DE RIESGOS
Un mtodo para resumir la forma cmo surge el riesgo en una organizacin consiste en utilizar
una plantilla de identificacin del riesgo como la mostrada en la Tabla D.1. Las entradas
pueden hacerse con seales para mostrar en donde los riesgos ocurren, o con notas
descriptivas ms detalladas.
D.5 OTRA CLASIFICACIN DE RIESGOS
Diferentes disciplinas frecuentemente categorizan fuentes de riesgo de otra forma usando
trminos semejantes como peligro o exposicin al riesgo. Esas clasificaciones pueden ser
subconjuntos de las fuentes de riesgo de la Lista D.2 anterior.
EJEMPLOS.
a) Enfermedades
Afecciones humanas, de animales y plantas.
b) Econmicas
Fluctuaciones del dinero, tasas de inters, participacin en el mercado.
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
28
c) Medioambiente
Ruido, contaminacin y polucin
d) Financiero
riesgos contractuales, fraudes, malversacin de fondos y multas.
e) Humanos
Disturbios, ataques, sabotajes y errores.
f) Riesgos naturales
Condiciones climticas, terremotos, incendios forestales, inundaciones plagas y actividad
volcnica.
g) Salud ocupacional y seguridad
Medidas inadecuadas de seguridad, deficiente gestin de seguridad
h) Responsabilidad en el producto
Diseo de error, control de calidad por debajo de la norma, ensayos inadecuados.
i) Responsabilidad profesional
Mala asesora, error de diseo, negligencia.
j) Daos en la propiedad
Incendio, terremotos, inundaciones, contaminacin, errores humanos
k) Responsabilidad publica
Ingreso y egreso de publico, y seguridad
l) Seguridad
Disposicin del dinero, vandalismo, robo, inapropiacin de informacin, entradas ilegales.
m) Tecnolgica
Innovacin, obsolescencia, explosiones y confiabilidad
NOTA Los literales anteriores se citan como ejemplo
Tabla D.1. Ejemplo Forma de relacionar fuentes de riesgo con reas de impacto
rea de impacto
Seleccione segn sea aplicable de acuerdo con el literal D.3
Fuentes de riesgo # # # # # #
Relaciones comerciales y legales
Econmicas
Comportamiento humano
Eventos naturales
Circunstancias polticas
Tecnolgicas/asuntos tcnicos
Actividades de gestin y controles
Actividades individuales
NOTA Las fuentes de riesgo y las reas de impacto deben ser adaptadas a una organizacin o actividad.
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
29
APNDICE E
(Informativo)
EJEMPLOS DE DEFINICIN DE RIESGO Y CLASIFICACIN
Tabla E.1. Medidas cualitativas con consecuencias o impacto
Nivel descriptor Descripcin detallada de ejemplo
1 Insignificante Ningn dao, perdidas financieras pequeas
2 Menor Tratamiento de primeros auxilios, Medianas perdidas financieras,
3 Moderada Requiere de tratamiento medico, retencin con liberacin en el sitio
con asistencia externa, perdidas financieras altas
4 Mayor Daos grandes, Perdidas de produccin de la capacidad, retencin
con liberacin fuera del sitio sin efectos de detrimento, prdida
financiera importante
5 catastrfica Muerte, liberacin de txicos fuera del sitio con efecto de detrimento,
enorme perdida financiera
NOTA Las medidas tomadas deben reflejar las necesidades y naturaleza de la organizacin y actividades bajo
estudio.
Tabla E.2. Medidas cualitativas de las probabilidades
Nivel Descriptor Descripcin
A Casi cierto Se espera que ocurra en la mayora de las circunstancias.
B Probable Puede probablemente ocurrir en la mayora de las
circunstancias.
C Posible Es posible que ocurra en algunas veces
D Improbable Podra ocurrir en algunas veces
E Raro Puede ocurrir solamente en circunstancias excepcionales
NOTA Las tablas necesitan ser a la medida de la organizacin para satisfacer las necesidades individuales de la
organizacin.
Tabla E.3. Matriz de anlisis cualitativo de riesgos. Nivel de riesgos
Consecuencias
Probabilidad Insignificante
1
Menor
2
Moderada
3
Mayor
4
Catastrfica
5
A (casi cierto) H H E E E
B (probable) M H H E E
C (posible) L M H E E
D.(improbable) L L M M E
E ( Raro) L L M H H
NOTA El numero de categoras debe reflejar las necesidades del estudio
Convencin:
E = Riesgo Extremo; se requiere accin inmediata
H = Alto riesgo; Es necesario la atencin del director
M = Riesgo moderado, se debe especificar la responsabilidad de la direccin
L = riesgo inferior, gestionar mediante procedimientos de rutina
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
30
APNDICE F
(Informativo)
EJEMPLOS CUANTITATIVOS DE GESTIN DE RIESGO
F.1 RIESGOS DE PRDIDA FINANCIERA O GANANCIA
Las perdidas financieras (o ganancias) multiplicadas por la frecuencia anual de perdidas (o
ganancias) dan el valor esperado en dlares por ao.
F.2 RIESGO DE FATALIDAD
El riesgo de fatalidad de una actividad puede ser calculada como:
- Nmero de muertes por ao en una actividad
- Poblacin expuesta
F.3 DESASTRES NATURALES U OCASIONADOS POR EL HOMBRE
Las consecuencias pueden ser modeladas usando simuladores de computador y probabilidades
estimadas a partir de datos histricos, rboles de error u otras tcnicas de ingeniera de sistemas.
F.4 RIESGOS DE SALUD
Los riesgos de salud se expresan comnmente de las siguientes maneras:
a) el numero de casos de salud-enfermedad por ao en una poblacin expuesta
comparada con el total de esa poblacin. Por ejemplo cinco nuevos casos en
una poblacin expuesta de 100 000 es un riesgo de 5 x 10
5
por personas
expuestas por ao
b) La proporcin de la probabilidad de muertes despus de cierta edad con y sin
exposicin.
c) El numero de fatalidades a la edad de 70 , que se espera como consecuencia de
una exposicin, dividida por el numero de personas expuestas.
Los riesgos de salud se pueden derivar de datos epidemiolgicos ( encuestas de poblacin de
fatalidades o enfermedad) o de una base de datos experimental basada en estudio de animales.
NOTA En vez de calcular el valor promedio del riesgo, se puede calcular la distribucin posible de valores
remplazando los valores promedio de las variables de las que depende el resultado por las distribuciones
apropiadas de los valores.
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
31
APNDICE G
(Informativa)
IDENTIFICACIN DE OPCIONES PARA EL TRATAMIENTO DEL RIESGO
G.1 ACCIONES PARA REDUCIR O CONTROLAR LA POSIBILIDAD O PROBABILIDAD
Estas pueden incluir:
i) Auditoria y programas de verificacin de cumplimiento
ii) condiciones contractuales
iii) revisin formal de requerimientos, especificaciones, diseo, ingeniera y
operaciones;
iv) Inspeccin y procesos de control
v) inversiones y gestin de portafolios
vi) gestin de proyectos
vii) mantenimiento preventivo
viii) aseguramiento de calidad, gestin y normalizacin
ix) investigacin y desarrollo, desarrollo tecnolgico
x) formacin estructurada y otros programas
xi) supervisin
xii) ensayos
xiii) disposiciones organizacionales
xiv) tcnicas de control
G.2 PROCEDIMIENTO DE REDUCCIN O CONTROL DE CONSECUENCIAS
Esto puede incluir:
i) planes de contingencia
ii) arreglos contractuales
iii) condiciones contractuales
iv) diseo de caractersticas
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
32
v) planes de recuperacin de desastres
vi) barreras estructurales y de ingeniera
vii) planeacin de control de fraudes
viii) reduccin de exposicin a fuentes de riesgo
ix) planeacin del portafolio
x) polticas y control de precios
xi) separacin o reubicacin de una actividad y de recursos
xii) relaciones publicas
xiii) pagos ex gratia (discrecionales)
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
33
APNDICE H
(Informativo)
DOCUMENTACIN DE GESTIN DE RIESGO GENERAL
La gestin correcta del riesgo requiere de documentacin apropiada, que debera ser la
suficiente para satisfacer auditorias independientes. Las decisiones concernientes a la
extensin de la documentacin puede involucrar costos y beneficios que podra tener en cuenta
los factores relacionados en el numeral 5.2. Las declaracin de la poltica de gestin de riesgo
debera definir la documentacin necesaria.
En cada estado del proceso la documentacin debera incluir:
a) objetivos
b) fuentes de informacin
c) suposiciones y
d) decisiones
Este apndice H incluye un ejemplo de un registro del riesgo y un cronograma de tratamiento y
plan de accin. Es posible que se requieran planes para reas de alto riesgo ms especficos y
detallados.
H.2 POLTICA
En el apndice B se presentan ejemplos de informacin los cuales pueden ser incluidos en la
declaracin de la polticas de una organizacin.
H.3 CONFORMIDAD Y DECLARACIN DE DEBIDA DILIGENCIA (DUE DILIGENCE)
En algunas circunstancias, se puede requerir una declaracin de conformidad y de debida
diligencia, de modo que los gerentes reconozcan formalmente su responsabilidad en el
cumplimiento de las polticas y procedimientos de gestin de riesgo
H.4 REGISTRAR RIESGO
Para cada riesgo identificado, se lleva un registro del riesgo con:
a) Fuente
b) Naturaleza
c) Controles existentes
d) Consecuencias y probabilidades
e) Clasificacin de riesgo inicial y
f) Vulnerabilidad a factores internos o externos
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
34
Vase el formato de norma de muestra a continuacin, como una gua
H.5 CRONOGRAMA DEL TRATAMIENTO DEL RIESGO Y PLANES DE ACCIN
Un plan de tratamiento del riesgo y de accin documenta los controles por adoptar y enuncia la
siguiente informacin:
a) quien es el responsable de la implementacin del plan
b) Que recursos se van a utilizar
c) Distribucin del presupuesto
d) Cronograma para la implementacin
e) Detalles de los mecanismos y frecuencia de revisin para dar conformidad con el
plan de tratamiento
H.6 DOCUMENTOS DE MONITOREO Y AUDITORIA
Los registros de monitoreo y auditora deben documentar:
a) Detalles de los mecanismos y frecuencia de revisin de riesgos y el proceso de
gestin de riesgo como un todo.
b) Los resultados de las auditorias y otros procedimientos de monitoreo
c) Detalles de cmo se siguen e implementan las recomendaciones de revisin
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
35
REGISTRO DE RIESGO
Fecha de revisin del riesgo
Compilado por.............................Fecha........................
Funcin/actividad............................................. Revisado por...............................Fecha
LAS CONSECUENCIAS DE QUE
OCURRA UN EVENTO
REF
EL RIESGO
QUE PUEDE OCURRIR
Y COMO PUEDE
OCURRIR CONSECUENCIAS PROBABILIDAD
ADECUACIN
DE CONTROLES
EXISTENTES
CLASIFICACIN
DE LA
CONSECUENCIA
CLASIFICACIN
DE LA
PROBABILIDAD
NIVEL DE
RIESGO
PRIORIDAD DE
RIESGO
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
36
CRONOGRAMA Y PLAN DE TRATAMIENTO DEL RIESGO
Fecha de revisin del riesgo
Compilado por.............................Fecha........................
Funcin/actividad............................................. Revisado por...............................Fecha
RIESGO EN
ORDEN DE
PRIORIDAD DE
ACUERDO CON
EL REGISTRO
DE RIESGO
POSIBLES
OPCIONES DE
TRATAMIENTO
OPCIONES
PREFERIDAS
CLASIFICACIN
DEL RIESGO
DESPUS DEL
TRATAMIENTO
RESULTADO DEL
ANLISIS COSTO
BENEFICIO:
A: ACEPTAR
B: RECHAZAR
PERSONA
RESPONSABLE
PARA
IMPLEMENTACIN
DE OPCIN
CRONOGRAMA
PARA
IMPLEMENTACIN
COMO SE
MONITOREARN
ESTE RIESGO Y LAS
OPCIONES DE
TRATAMIENTO
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
37
PLAN DE ACCIN DE RIESGO
ELEMENTO Ref
RIESGO
Resumen - Respuesta recomendada e impacto
Plan de accin
1. Acciones propuestas
2. recursos requeridos
3.Responsabilidades
4.Cronograma
5.Reporte y monitoreo requeridos
Responsable................Fecha...................Revisar...................Fecha...................
PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03
38
PREPARADO POR:______________________________-
ENRIQUE ARANGUREN L.
csm.