02B NTC 5254 Icontec Borrador

PROYECTO DE DE 615/02
NORMA TCNICA COLOMBIANA DE 101/03

1

GESTIN DE RIESGO.
RISK MANAGEMENT
AS/NZS 4360:1999

PREFACIO A LA NORMA

Esta norma tiene como objetivo proporcionar un marco genrico para establecer el contexto, la
identificacin, el anlisis, la evaluacin, el tratamiento, el monitoreo y la comunicacin del riesgo. Se
debera leer en conjunto con otras normas aplicables o pertinentes.

Esta norma especifica los elementos del proceso de gestin del riesgo, pero no es el propsito de
esta norma obligar a la uniformidad de los sistemas de gestin del riesgo. Es genrica e
independiente de cualquier sector industrial o econmico especfico. El diseo e implementacin
del sistema de gestin de riesgo se ver influenciado por las necesidades variantes de una
organizacin, sus objetivos particulares, sus productos y servicios y los procesos y prcticas
especficas empleadas.

La gestin del riesgo es un proceso iterativo que consta de pasos bien definidos que, tomados en
secuencia, apoyan una mejor toma de decisiones mediante su contribucin a un mayor
adentramiento en los riesgos y sus impactos. El proceso de gestin del riesgo puede aplicarse a
cualquier situacin donde un resultado indeseado o inesperado podra ser importante o donde se
identifiquen oportunidades. Quienes toman decisiones deben conocer los posibles resultados y
tomar medidas para controlar su impacto.

La gestin del riesgo se reconoce como parte integral de la buena prctica de gestin. A fin de ser
lo ms efectiva posible, la gestin del riesgo debera volverse parte de la cultura de una
organizacin. Debera integrarse en la filosofas de la organizacin, las prcticas y planes
empresariales en vez de verse o practicarse como un programa separado. Cuando esto se logra, la
gestin del riesgo se vuelve asunto de cada una de las personas de la organizacin.

Si por alguna razn no es posible integrar la gestin del riesgo a lo largo de una organizacin entera,
an puede ser posible aplicarla exitosamente a departamentos, procesos o proyectos individuales.

La terminologa empleada en esta norma se ha seleccionado para que resulte aceptable a lo
largo y a lo ancho de una serie de riesgos y disciplinas de gestin del riesgo en la medida de lo
posible. Se han evitado las palabras que tienen significados con ligeras diferencias en
diferentes ramas de la gestin del riesgo y se han remplazado por palabras que pudieran
definirse con un significado comn. Un ejemplo es el trmino de tratamiento del riesgo que se
define para cubrir ms de lo que usualmente se quiere decir por el trmino "control del riesgo".

El trmino "informativo" se ha empleado en esta norma para definir la aplicacin del apndice al
cual se aplica. Un apndice "informativo" slo es para informacin y orientacin.

1

GESTIN DE RIESGO.
RISK MANAGEMENT
AS/NZS 4360:1999

1. OBJETO, APLICACIN Y DEFINICIONES

1.1 OBJETO

Esta norma ofrece una gua genrica para el establecimiento e implementacin del proceso de
gestin del riesgo involucrando la determinacin del contexto y la identificacin, anlisis,
evaluacin, tratamiento, comunicacin y el monitoreo de riesgos en curso.

1.2 APLICACIN

La gestin de riesgo es reconocida como una parte integral de las buenas practicas de gestin.
Es un proceso iterativo que consiste en una serie de pasos los cuales empiezan en secuencia
posibilitando el mejoramiento continuo al tomar decisiones.

La gestin del riesgo es el trmino aplicado a un mtodo lgico y sistemtico para el
establecimiento del contexto, identificacin, anlisis, evaluacin, tratamiento, monitoreo y
comunicacin de los riesgos asociados con cualquier actividad, funcin o proceso de forma que
posibilite que las organizaciones minimicen prdidas y maximicen oportunidades. La gestin del
riesgo tiene que ver tanto con la identificacin de oportunidades como con la prevencin o
mitigacin de prdidas.

Esta norma puede aplicarse en todas las etapas de la vida de una actividad, funcin, proyecto,
producto o bien. Por lo general, el mximo beneficio se obtiene mediante la aplicacin del
proceso de gestin del riesgo desde el inicio. Con frecuencia se realizan numerosos estudios
diferentes en diferentes etapas de un proyecto.

NOTA La presente norma puede aplicarse a un muy amplio rango de actividades u operaciones de cualquier
empresa pblica, privada o comunitaria, o grupo. En el Apndice A se presentan ejemplos.

1.3 DEFINICIONES

Para el propsito de esta norma, se aplican las siguientes definiciones:

1.3.1
consecuencia
resultado de un evento expresado cualitativa o cuantitativamente, como una prdida, dao,
desventaja o ganancia. Puede haber una serie de posibles resultados asociados con un evento.


2
1.3.2
costo
de las actividades, tanto directas como indirectas, que involucre cualquier impacto negativo,
incluyendo dinero, tiempo, mano de obra, interrupcin del trabajo, buen nombre, prdidas
polticas e intangibles.

1.3.3
evento
incidente o situacin que ocurre en un lugar particular durante un intervalo particular de tiempo.

1.3.4
anlisis de rbol del evento
tcnica que describe la posible serie y secuencia de los resultados que pueden provenir del
inicio de un evento.

13.5
anlisis de efectos y modo de falla (FMEA)
procedimiento mediante el cual se analizan los modos de falla potencial en un sistema tcnico.
Un FMEA se puede extender hasta realizar lo que se denomina anlisis de modos de falla,
efectos y grado de seriedad (FMECA). En un FMECA, cada modo de falla identificado se
clasifica de acuerdo con la influencia combinada de su probabilidad de ocurrencia y la
severidad de sus consecuencias.

1.3.6
anlisis de rbol de fallas
mtodo de ingeniera de sistemas para representar las combinaciones lgicas de varios estados del
sistema y posibles causas que pueden contribuir a un evento especfico (llamado el evento superior).

1.3.7
frecuencia
medida de la tasa de ocurrencia de un evento expresado como el nmero de ocurrencias de un
evento en un tiempo determinado. Tambin vase posibilidad y probabilidad.

1.3.8
causa o amenaza
fuente de dao potencial o situacin potencial para causar prdida.

1.3.9
posibilidad
se emplea como descripcin cualitativa de la probabilidad o frecuencia.

1.3.10
prdida
cualquier consecuencia negativa, financiera u otra.

1.3.11
monitorear
verificar, supervisar observar de forma crtica, o registrar el progreso de una actividad, accin o
sistema sobre una base regular a fin de identificar el cambio.

1.3.12
organizacin
empresa, firma, compaa o asociacin, u otra entidad legal o parte de la misma, ya sea
constituida o no, pblica o privada, que tenga sus propias funciones y administracin.

3
1.3.13
probabilidad
posibilidad de que ocurra un evento o resultado especfico, medida por la proporcin de
eventos o resultados especficos a nmero total de posibles eventos o resultados. La
probabilidad se expresa como un nmero entre 0 y 1, y 0 indica un evento o resultado
imposible y 1 un evento o resultado seguro.

1.3.14
riesgo residual
nivel restante de riesgo despus de que se han tomado medidas de tratamiento del riesgo.

1.3.15
riesgo
posibilidad de que suceda algo que tendr impacto en los objetivos. Se mide en trminos de
consecuencia y posibilidad de ocurrencia

1.3.16
aceptacin del riesgo
decisin informada de aceptar las consecuencias y posibilidad de un riesgo particular.

1.3.17
anlisis del riesgo
uso sistemtico de informacin disponible para determinar la forma cmo frecuentemente
pueden ocurrir eventos especificados y la magnitud de sus consecuencias.

1.3.18
valoracin de riesgo
proceso general de anlisis del riesgo y evaluacin del riesgo. Dirjase a la Figura 3.1.

1.3.19
evitar del riesgo
decisin informada de no participar en una situacin de riesgo.

1.3.20
control del riesgo
aquella parte de la gestin del riesgo que involucra la implementacin de polticas, normas,
procedimientos y cambios fsicos a fin de eliminar o minimizar los riesgos adversos.

1.3.21
ingeniera del riesgo
aplicacin de principios de ingeniera y mtodos para la gestin del riesgo.

1.3.22
evaluacin del riesgo
proceso usado para determinar las prioridades de la gestin del riesgo mediante la
comparacin del nivel de riesgo contra normas predeterminadas, niveles de riesgo objeto u
otros criterios.

1.3.23
financiacin del riesgo
mtodos aplicados para generar fondos para el tratamiento del riesgo y las consecuencias
financieras del riesgo.

NOTA En algunas industrias la financiacin del riesgo solo se relaciona con la adquisicin de fondos para las
consecuencias financieras del riesgo.

4
1.3.24
identificacin del riesgo
proceso para determinar lo que puede suceder, por qu y cmo.

1.3.25
gestin del riesgo
cultura, procesos y estructuras que se dirigen hacia la gestin efectiva de las oportunidades
potenciales y efectos adversos.

1.3.26
proceso de gestin del riesgo
aplicacin sistemtica de polticas de gestin, procedimientos y prcticas para las tareas de
establecimiento del contexto, identificacin, anlisis, evaluacin, tratamiento, monitoreo y
comunicacin del riesgo.

1.3.27
reduccin del riesgo
aplicacin selectiva de tcnicas apropiadas y principios de gestin a fin de reducir la posibilidad
de una ocurrencia o sus consecuencias, o ambos.

1.3.28
retencin del riesgo
retencin intencional o sin intencin de la responsabilidad por prdida, o carga financiera de la
prdida dentro de la organizacin.

1.3.29
transferencia del riesgo
traslado de la responsabilidad o carga por la prdida a otra parte por medio de la legislacin,
contratos, seguros u otros medios. La transferencia del riesgo tambin se puede referir al
traslado de un riesgo fsico o parte del mismo a cualquier otra parte.

1.3.30
tratamiento del riesgo
seleccin e implementacin de las opciones apropiadas para manejar el riesgo.

1.3.31
anlisis de sensibilidad
examina la forma como los resultados de un clculo o modelo varan a medida que cambian las
suposiciones de los individuos.

1.3.32
partes interesadas
aquellas personas y organizaciones que pueden afectar, verse afectadas por, o percibirse ellas
mismas como afectadas por una decisin o actividad.

NOTA El trmino parte interesada tambin puede incluir las partes interesadas definidas en las normas ISO 14050:1998
y AS/NZS ISO 14004:1996.

2. REQUISITOS DE LA GESTIN DEL RIESGO

2.1 PROPSITO

El propsito de esta seccin es describir un proceso formal para el establecimiento de un
programa de gestin del riego sistemtico.


5
Para llevar a cabo un programa de administracin de riesgo a nivel de proyecto o nivel
suborganizacional es necesario contar, como gua, con una poltica de administracin de riesgo
organizacional y de mecanismos soporte

2.2 POLTICA DE GESTIN DEL RIESGO

La alta direccin de la organizacin debe definir y documentar su poltica para gestin del
riesgo, incluyendo objetivos para, y su compromiso con, la gestin del riesgo. La poltica de
gestin del riesgo debe ser importante en el contexto estratgico de la organizacin y sus
metas, objetivos y la naturaleza de sus negocios. La Direccin debe asegurar que sea
entendida, implementada y mantenida la poltica en todos los niveles de la organizacin.

2.3 PLANEACIN Y RECURSOS

2.3.1 Compromiso de la direccin

La organizacin debe asegurar que:

a) se establezca, implemente y mantenga un sistema de gestin del riesgo de
acuerdo con esta norma; y

b) se reporte el desempeo del sistema de gestin del riesgo a la direccin de la
organizacin para revisin y como base para mejora.

2.3.2 Responsabilidad y autoridad

Debe definirse y documentarse la responsabilidad, autoridad y la interrelacin del personal que
realiza y verifica la gestin del riesgo, en especial para las personas que requieren autonoma y
autoridad organizacional para efectuar una o ms de las siguientes actividades:

a) iniciar acciones a fin de evitar o reducir los efectos adversos del riesgo;

b) controlar el posterior tratamiento de los riesgos hasta que el nivel de riesgo se
vuelva aceptable;

c) identificar y registrar cualquier problema relacionado con la gestin del riesgo;

d) iniciar, recomendar o proporcionar soluciones por medio de canales designados;

e) verificar la implementacin de soluciones; y

f) comunicar y consultar interna y externamente, segn sea apropiado.

2.3.3 Recursos

La organizacin debe identificar los requerimientos de recursos y brindar los recursos
adecuados, incluyendo la asignacin de personal entrenado para direccin, desempeo del
trabajo y actividades de verificacin incluyendo la verificacin interna.

2.4 PROGRAMA DE IMPLEMENTACIN

Se requieren numerosos pasos para implementar un sistema de gestin del riesgo efectivo
dentro de una organizacin. En el Apndice B se presentan algunos ejemplos. Dependiendo de

6
la filosofa general de gestin del riesgo de la organizacin, su cultura y estructura, debe ser
posible combinar u omitir ciertos pasos. No obstante, deben tenerse en cuenta todos los pasos.

2.5 REVISIN POR LA DIRECCIN

La alta direccin de la organizacin debe garantizar que se realice una revisin del sistema de
gestin del riesgo en intervalos especificados, suficiente para asegurar su continua adecuacin
y efectividad en la satisfaccin de los requisitos de la presente norma y la poltica y objetivos de
la gestin del riesgo establecidos por la organizacin (vase el numeral 2.2). Se deben
mantener registros de dichas revisiones.

3. PANORAMA GENERAL DE LA GESTIN DEL RIESGO

3.1 GENERALIDADES

La gestin del riesgo es una parte integral del proceso de gestin. La gestin del riesgo es un
proceso multifactico, cuyos aspectos apropiados con frecuencia los realiza un equipo multi-
disciplinario. Es un proceso interactivo de mejora continua.

3.2 ELEMENTOS PRINCIPALES

Los elementos principales del proceso de gestin del riesgo, como se muestran en la Figura 3.1,
son los siguientes:

a) Establecer el contexto

Establecer el contexto estratgico, organizacional y de gestin del riesgo en el
cual ocurrir el resto del proceso. Debe establecerse criterios contra los cuales el
riesgo se evaluar y debe definirse la estructura de anlisis.

b) Identificar riesgos

Identificar qu, porqu y como pueden surgir elementos como base para el
anlisis posterior.

c) Analizar riesgos

Determinar los controles existentes y analizar los riesgos en trminos de
consecuencia y posibilidad en el contexto de estos controles. El anlisis debe
considerar el rango de consecuencias potenciales y la forma como probablemente
estas consecuencias van a ocurrir. Se pueden combinar la consecuencia y la
posibilidad para producir un estimado del nivel de riesgo.

d) Evaluar los riesgos

Comparar los niveles de riesgo calculados contra los criterios pre-establecidos. Esto
posibilita que los riesgos sean ranqueados de modo que se identifiquen prioridades de
gestin. Si los niveles de riesgo establecido son bajos, entonces los riesgos pueden
encajar en una categora aceptable y es posible que no se requiera tratamiento.


7
e) Tratar los riesgos

Aceptar y monitorear los riesgos de baja prioridad. Para otros riesgos, desarrollar e
implementar un plan de gestin especfico que considere los recursos.

f) Monitorear y revisar

Monitorear y revisar el desempeo del sistema de gestin del riesgo y los
cambios que pudieran afectarlo.

g) Comunicar y consultar

Comunicar y consultar con las partes interesadas internas y externas segn sea
apropiado en cada etapa del proceso de gestin del riesgo y se trate de algo
relacionado con el proceso como un todo.

ESTABLECER EL CONTEXTO
IDENTIFICACIN DE
RIESGOS
ANLISIS DE RIESGOS
EVALUACIN DE RIESGOS
TRATAR EL RIESGO
C
o
m
u
n
i
c
a
c
i
n

y

c
o
n
s
u
l
t
a
M
o
n
i
t
o
r
e
o

y

r
e
v
i
s
i
n

Figura 3.1. Panorama general de gestin del riesgo

La gestin del riesgo puede aplicarse en muchos niveles de una organizacin. Puede aplicarse
en el nivel estratgico y en niveles operacionales. Puede aplicarse a proyectos especficos,
para servir de ayuda en decisiones especficas o manejar reas de riesgo reconocidas.
La gestin del riesgo es un proceso iterativo que puede contribuir a la mejora organizacional.
con cada ciclo, los criterios de riesgo pueden fortalecerse para lograr progresivamente mejores
niveles de gestin del riesgo.

Para cada etapa del proceso, deben mantenerse registros adecuados, que sean suficientes
para satisfacer la auditora independiente.


8
4. PROCESO DE GESTIN DEL RIESGO

4.1 ESTABLECER EL CONTEXTO

4.1.1 Generalidades

En la Figura 4.1 se muestran los detalles del proceso de gestin del riesgo. El proceso ocurre
dentro del marco de un contexto estratgico, organizacional y de gestin del riesgo de una
organizacin. Este requiere establecerse de modo que defina los parmetros bsicos dentro de
los cuales se debe manejar el riesgo y ofrecer orientacin para decisiones dentro de estudios
de riesgo ms detallados. Con este se fija el mbito para el resto del proceso de gestin.

4.1.2 Establecer el contexto estratgico

Definir la relacin entre la organizacin y su entorno, identificado las fortalezas, debilidades.
oportunidades y amenazas de la organizacin. El contexto incluye los aspectos financieros,
operacionales, competitivos, polticos (percepciones pblicas/imagen) sociales, del cliente,
culturales y legales de las funciones de una organizacin.

Identificar las partes interesadas internas y externas y considerar sus objetivos, tener en cuenta
sus percepciones y establecer las polticas de comunicacin con estas partes.

NOTA El Apndice C establece una lista de partes interesadas potenciales.

Este paso se enfoca hacia el medio ambiente en el cual opera la organizacin. La organizacin
debe tratar de determinar los elementos cruciales que pudieran apoyar o deteriorar su
capacidad para manejar el riesgo que enfrenta.

Se puede emprender el anlisis estratgico, el cual debe tener respaldo a nivel de la alta direccin,
determinar los parmetros bsicos y proporcionar orientacin para los procesos de gestin del
riesgo ms detallados. Debera existir una estrecha relacin entre la misin u objetivos estratgicos
de una organizacin y su gestin de todos los riesgos a los cuales se expone.

4.1.3 Establecer el contexto organizacional

Antes de comenzar un estudio de gestin del riesgo, es necesario comprender la organizacin y
sus capacidades, lo mismo que sus metas y objetivos y las estrategias incorporadas para lograrlos.

Esto es importante por las siguientes razones:

a) La gestin del riesgo tiene lugar en el contexto de las metas ms amplias,
objetivos y estrategias de la organizacin;

b) El no lograr los objetivos de la organizacin o la actividad especfica, o el proyecto
en consideracin representa un conjunto de riesgos que debe manejarse;

c) La poltica y metas organizacionales pueden ayudar a definir los criterios por los
cuales se decide si un riesgo es aceptable o no, conformando la base de
opciones para su tratamiento.


9
ESTABLECER EL CONTEXTO
- El contexto estrategico
- El contexto organizacional
- El contexto de gestin de riesgos
- Criterio desarrollado
- Definir la estructura
IDENTIFICAR RIESGOS
- Que puede suceder?
- Como puede suceder?
ANALIZAR RIESGOS
Determinar los controles existentes
Determinar
la probabilidad consecuencias
Determinar las
Calcular nivel de riesgo
- Establecer prioridades de riesgo
- Comparar contra criterios
EVALUAR RIESGOS
Aceptar
riesgos
TRATAR LOS RIESGOS
- Implementar planes
- Identificar opciones de tratamiento
- Evaluar las opciones de tratamiento
- Seleccionar las opciones de tratamiento
- Preparar planes de tratamiento
C
o
m
u
n
i
c
a
r

y

c
o
n
s
u
l
t
a
r
M
o
n
i
t
o
r
e
a
r

y

r
e
v
i
s
a
r
Evaluar los riesgos
No
Si

Figura 4.1. Proceso de gestin del riesgo

4.1.4 Establecer el contexto de la gestin del riesgo

Se deben establecerse metas, objetivos, estrategias, objeto y parmetros de la actividad o
parte de la organizacin a la cual se est aplicando el proceso de gestin del riesgo. Se debe
emprender el proceso con plena consideracin de la necesidad de equilibrar costos, beneficios
y oportunidades. Tambin deben especificarse los recursos requeridos y los registros por
mantener.

El establecimiento del objeto y lmites de una aplicacin del proceso de gestin del riesgo
involucra:

a) Definicin del proyecto o actividad y establecimiento de sus metas y objetivos;


10
b) Definicin del alcance del proyecto en el tiempo y lugar;

c) Identificacin y estudios necesarios y su objeto, objetivos y los recursos
requeridos. Las fuentes genricas de riesgo y las reas de impacto pueden
ofrecer una gua para este punto.

NOTA Para ejemplos de fuentes genricas de riesgo y sus reas de impacto, dirjase al Apndice D.

d) Definicin del alcance y comprensin de las actividades de gestin del riesgo por
manejar.

Entre los asuntos especficos que tambin pueden discutirse se encuentran:

i) Las funciones y responsabilidades de diferentes partes de la organizacin
que participan en la gestin del riesgo;

ii) Relaciones entre el proyecto y otros proyectos o partes de la
organizacin.

4.1.5 Desarrollar criterios de evaluacin del riesgo

Decidir los criterios contra los cuales se va a evaluar el riesgo. Las decisiones relacionadas con la
aceptabilidad del riesgo y su tratamiento pueden basarse en criterios operacionales, tcnicos,
financieros, legales, sociales, humanitarios u otros. Con frecuencia, estos dependen de la poltica
interna de una organizacin, sus metas, objetivos y los intereses de las partes interesadas.

Los criterios pueden verse afectados por percepciones internas y externas y requisitos legales.
Es importante que se determinen criterios apropiados desde el principio.

Aunque los criterios del riesgo se desarrollan inicialmente como parte del establecimiento del
contexto de gestin del riesgo, stos pueden desarrollarse luego y refinarse consecuentemente
a medida que se identifican los riesgos particulares y se seleccionan tcnicas de anlisis, por
ejemplo, los criterios del riesgo deben corresponder al tipo de riesgos y la forma cmo se
expresan los niveles de riesgo.

4.1.6 Definir la estructura

Esto involucra la divisin de las actividades o proyectos en un conjunto de elementos. Estos
elementos ofrecen un marco lgico para la identificacin y anlisis que ayuda a garantizar que
no se pasen por alto riesgos importantes. La seleccin de la estructura depende de la
naturaleza de los riesgos y el objeto del proyecto o actividad.

4.2 IDENTIFICACIN DEL RIESGO

4.2.1 Generalidades

Para la identificacin de los riesgos es fundamental un proceso, amplio, sistemtico y
estructurado, debido a que un riesgo potencial no identificado durante esta etapa ser excluido
del anlisis posterior. La identificacin debe incluir todos los riesgos, sea que estn o no bajo el
control de la organizacin.

11
4.2.2 Qu puede suceder?

A fin de identificar lo que puede suceder se debe generar una lista global de eventos que
podran afectar cada elemento de la estructura a la que se hace referencia en el numeral 4.1.6.

NOTA El Apndice D proporciona informacin acerca de recursos genricos de riesgo y sus reas de impacto.

4.2.3 Cmo y por qu puede suceder?

Teniendo identificada una lista global de eventos, es necesario considerar posibles causas y
formas de presentarse el riesgo. Existen varias vas como un evento puede ser iniciado. es
importante que causas no significativas sean omitidas

4.2.4 Herramientas y tcnicas

Entre los mtodos empleados para identificar riesgos se encuentran listas de verificacin,
juicios basados en la experiencia y registros, diagramas de flujo, lluvia de ideas, anlisis de
sistemas, anlisis de escenario y tcnicas de ingeniera de sistemas.

El mtodo empleado depender de la naturaleza de las actividades bajo revisin y los tipos de
riesgo.

4.3 ANLISIS DEL RIESGO

4.3.1 Generalidades

Los objetivos del anlisis son separar los riesgos aceptables menores de los mayores, y
proporcionar datos que sirvan para la evaluacin y el tratamiento de riesgos. El anlisis del
riesgo incluye la consideracin de las fuentes de riesgo, sus consecuencias y la posibilidad de
que estas consecuencias ocurran. Se pueden identificar los factores que afectan las
consecuencias y la posibilidad. El riesgo se analiza mediante la combinacin de clculos de
consecuencias y posibilidad en el contexto de las medidas de control existentes.

Se puede realizar un anlisis preliminar de manera que se excluyan de estudio detallado los
riesgos similares o de bajo impacto. Se deben enumerar los riesgos excluidos, siempre que sea
posible, a fin de demostrar que el anlisis de riesgos es completo.

4.3.2 Determinar los controles existentes

Identificar la administracin, los sistemas tcnicos y procedimientos existentes para controlar el
riesgo y evaluar sus fortalezas y debilidades. Las herramientas empleadas en el numeral 4.2.4
pueden resultar apropiadas, lo mismo que los mtodos tales como las inspecciones y tcnicas
de auto-evaluacin del control ('AEC').

4.3.3 Consecuencias y probabilidad

Se evalan la magnitud de las consecuencias de un evento, si ocurriera, y la pro del evento y sus
consecuencias asociadas, en el contexto y los controles existentes. Se combinan las
consecuencias y la posibilidad para producir un nivel de riesgo. Las consecuencias y posibilidad
pueden determinarse empleando anlisis y clculos estadsticos. De manera alternativa, cuando no
se encuentran datos del pasado, se pueden realizar clculos subjetivos que reflejen el grado de
creencia de un individuo o grupo de que un evento o resultado particular ocurra.


12
A fin de evitar los sesgos subjetivos, se deben emplear los recursos de informacin y tcnicas
disponibles al analizar las consecuencias probabilidades y posibilidades. Entre las fuentes de
informacin se pueden incluir:

a) Registros pasados;

b) Experiencia pertinente;

c) Prctica y experiencia industrial;

d) Literatura publicada pertinente;

e) Marketing de ensayo e investigacin de mercado;

f) Experimentos y prototipos;

g) Modelos econmicos, de ingeniera y otros;

h) Juicios de especialistas y expertos.

Entre las tcnicas se emplean:

i) entrevistas estructuradas con expertos en el rea de inters;

ii) empleo de grupos de expertos multi-disciplinarios;

iii) evaluaciones individuales empleando cuestionarios;

iv) uso del computador y otros modelos

v) uso de rboles de error y rboles de eventos.

Siempre que sea posible, se debe incluir la confianza depositada en los clculos de niveles de
riesgo.

4.3.4 Tipos de anlisis

El anlisis del riesgo puede ser aplicado a diferentes grados de exactitud, dependiendo de la
informacin del riesgo y de la disponibilidad de datos. El anlisis puede ser cualitativo, semi-
cuantitativo, cuantitativo una con combinacin de estos, dependiendo de las circunstancias.
El orden de complejidad y el costo de estos anlisis en orden ascendente es cualitativo, semi-
cuantitativo y cuantitativo. En la prctica, con frecuencia inicialmente se emplea el anlisis
cualitativo para obtener un indicador general del nivel del riesgo. Posteriormente se hace
necesario un anlisis especfico que corresponda a una verificacin cuantitativa. En detalle los
tipos de anlisis son los siguientes:

a) Anlisis cualitativo

El anlisis cualitativo emplea formas o escalas descriptivas para describir la
magnitud de las consecuencias potenciales y la posibilidad de que estas
consecuencias ocurran. Estas escalas pueden adaptarse o ajustarse para
encajar en las circunstancias y se pueden emplear diferentes descripciones para
diferentes riesgos.

13
NOTA Las Tablas E1 y E2 en el apndice E muestran ejemplos de escalas cualitativas o
descriptivas simples para la posibilidad y las consecuencias. La Tabla E.3 es un ejemplo de una
matriz en la cual se le asignan los riesgos clases de prioridad mediante la combinacin de su
posibilidad y consecuencia. Estas tablas deben ajustarse para satisfacer las necesidades de cada
organizacin o el concepto particular del riesgo evaluado.

El anlisis cualitativo se emplea;

i) Como una actividad inicial de preseleccin, para identificar los riesgos
que necesitan un anlisis ms detallado;
ii) cuando el nivel del riesgo no justifica el tiempo y esfuerzo requeridos para
un anlisis ms completo;

iii) Cuando los datos numricos disponibles son inadecuados para un
anlisis cuantitativo.

b) Anlisis semi-cuantitativo

En anlisis semi-cuantitativos, a las escalas cualitativas tales como las descritas
anteriormente le son asignados valores. No es obligatorio que el nmero
asignado a cada descripcin tenga una relacin exacta con la magnitud real de
las consecuencias y posibilidad. El ordenamiento admite que existan posibles
cambios dependiendo del sistema de evaluacin utilizado y la forma de asignar
el orden a los mismos. El objetivo es producir una priorizacin ms detallada que
la que generalmente se logra en el anlisis cualitativo y no sugerir cualquier valor
realista del riesgo tal como se intenta en el anlisis cuantitativo.

Se debe tener cuidado con el uso del anlisis semi-cuantitativo ya que es posible
que los nmeros seleccionados no reflejen adecuadamente los tipos de
relatividad que pueden conducir a resultados inconsistentes. Puede ser que el
anlisis semi-cuantitativo no diferencie adecuadamente entre los riesgos en
especial cuando las consecuencias o la posibilidad son extremas.

Algunas veces resulta apropiado considerar la posibilidad como compuesta de
dos elementos, a los que generalmente se les denomina frecuencia de
exposicin y probabilidad.

Frecuencia de exposicin es el grado de extensin a la cual una fuente de riesgo
existe y la probabilidad es el grado de materializacin con sus consecuencias,
cuando existe esa fuente de riesgo. Se debe tener precaucin en situaciones
donde la relacin entre los dos elementos no es completamente independiente,
es decir, donde existe una fuerte relacin entre frecuencia de exposicin y
probabilidad.

Este mtodo puede aplicarse en anlisis semi-cuantitativo y cuantitativo.

c) Anlisis cuantitativo

El anlisis cuantitativo emplea valores numricos (en lugar de las escalas
descriptivas empleadas en los anlisis cualitativo y semi-cuantiativo) tanto para
las consecuencias como para la probabilidad se emplean datos de una variedad
de distintas fuentes (tales como aquellos a los que se hace referencia en los sub-
prrafos (a) a (h) del numeral 4.3.3). La calidad del anlisis depende de la
exactitud y de que tan completos sean los valores numricos empleados.


14
Las consecuencias pueden ser estimadas mediante modelos con resultados de eventos o
grupos de eventos, o por extrapolacin de estudios experimentales o datos histricos. Las
consecuencias pueden expresarse en trminos de criterios monetarios, tcnicos, humanos o
cualquiera de los criterios a que hace referencia el numeral 4.1.5. En algunos casos se requiere
ms de un valor numrico para especificar las consecuencias en diferentes tiempos, lugares,
grupos o situaciones.

Por lo general la posibilidad se expresa ya sea como probabilidad, frecuencia o una
combinacin de exposicin y probabilidad.

La forma cmo se expresan la posibilidad, probabilidad y las consecuencias y la forma cmo
se combinan para brindar un nivel de riesgo, variarn de acuerdo con el tipo de riesgo y el
contexto en el cual se va a emplear el nivel del riesgo.

NOTA En el Apndice F se ofrecen algunos ejemplos de expresiones de riesgo cuantitativo.

4.3.5 Anlisis de Sensibilidad

Puesto que algunos de los clculos realizados en el anlisis cuantitativo son imprecisos, debe
realizarse un anlisis de sensibilidad para ensayar el efecto de los cambios en las hiptesis y datos.

4.4 EVALUACIN DEL RIESGO

La evaluacin del riesgo involucra la comparacin del nivel de riesgo encontrado durante el
proceso de anlisis con criterios de riesgo previamente establecidos.

Se deben considerar el anlisis del riesgo y los criterios contra los cuales se comparan los riesgos
en la evaluacin del riesgo sobre la misma base. Por lo tanto la evaluacin cualitativa incluye la
comparacin de un nivel cualitativo del riesgo contra los criterios cualitativos, y la evaluacin
cuantitativa involucra la comparacin del nivel numrico del riesgo contra los criterios que pueden
expresase como un nmero especfico, tal como un valor deque indique fatalidad, frecuencia o
valor monetario.

El resultado de una evaluacin del riesgo es una lista priorizada de riesgos para tomar
acciones posteriores.

Deben considerarse los objetivos de la organizacin y el grado de oportunidad que pudiera
resultar de asumir el riesgo.

Las decisiones deben dar cuenta del amplio contexto del riesgo e incluir la consideracin de la
tolerabilidad de los riesgos asumidos por las partes diferentes a la organizacin que se
beneficia de ella.

Si los riesgos resultantes encajan en las categoras de riesgo bajo o aceptable, pueden
aceptarse con mnimo tratamiento posterior. Los riesgos bajos y aceptados deben monitorearse
y revisarse peridicamente para garantizar que sigan siendo aceptables.

Si los riesgos no encajan en la categora de riesgo baja o aceptable, deben tratarse empleando
una o ms de las opciones consideradas en el numeral 4.5.

4.5 TRATAMIENTO DEL RIESGO

El tratamiento del riesgo incluye la identificacin de la serie de opciones para tratar el riesgo, la
evaluacin de dichas opciones, la preparacin de planes para el tratamiento del riesgo y su
implementacin.

15
4.5.1 Identificacin de opciones para el tratamiento del riesgo

La Figura 4.2 ilustra el proceso del tratamiento del riesgo. Entre las opciones, las cuales no son
de manera obligatoria mutuamente excluyentes o apropiadas en todas las circunstancias, se
encuentran las siguientes:

a) Evitar el riesgo decidiendo no proceder con la actividad que tiene probabilidad de
generar riesgo (siempre que esto sea aplicable).

La prevencin del riesgo puede ocurrir de forma inapropiada debido a alguna
actitud de aversin al riesgo, la cual es una tendencia de muchas personas (con
frecuencia influenciadas por un sistema interno de una organizacin), La
inadecuada prevencin del riesgo puede incrementar la importancia de otros
riesgos.

La aversin al riesgo conlleva a:

i) decisiones para evitar o ignorar los riesgos sin importar la informacin
disponible y los costos incurridos en el tratamiento de tales riesgos.

ii) error en el tratamiento del riesgo;

iii) dejar opciones crticas y/o decisiones en otras partes;

iv) aplazar decisiones que la organizacin no puede evitar; o

v) seleccionar una opcin por que representa un riesgo potencial ms bajo
sin importar los beneficios.

b) Reducir la probabilidad de la ocurrencia

NOTA En el Apndice G se muestran algunos ejemplos.

c) Reducir las consecuencias

NOTA En el Apndice G se muestran algunos ejemplos.

d) Transferir el riesgo

Aqu participa otra parte que asume o comparte alguna parte del riesgo. Entre
los mecanismos se encuentran el uso de contratos, acuerdos de seguros y
estructuras organizacionales, tales como la sociedad o las alianzas estratgicas
(Joint Ventures).

La transferencia de un riesgo a otras partes, o la transferencia fsica a otros
lugares, reducir el riesgo para la organizacin original, pero es posible que no
disminuya el nivel general de riesgo para la sociedad.

Cuando los riesgos se transfieren en su totalidad o parcialmente, la organizacin que
transfiere el riesgo ha adquirido un nuevo riesgo, en cuanto a que la organizacin a la
cual le ha transferido el riesgo no puede manejar dicho riesgo en forma efectiva.


16
EVALUACIN Y RANGO DEL RIESGO
M
O
N
I
T
O
R
E
O

Y

R
E
V
I
S
I
N
Riesgo
aceptable
Si
Reduccin de consecuencias Reduccin de probabilidad Transfere total o en pertes Evitar
CONSIDERACIONES DE FACTIBILIDAD DE COSTOS Y BENEFICIOS
RECOMENDACIONES DEL TRATAMIENTO DE ESTRATEGIAS
PREPARACIN DE PLANES DE TRATAMIENTO
SELECCIN DEL TRATAMIENTO DE ESTRATEGIAS
Transfere total o en pertes Reduccin de consecuencias Reduccin de probabilidades Evitar
Retener guardar
C
O
M
U
N
I
C
A
R

Y

C
O
N
S
U
L
T
A
R
Acepta
No
Si Riesgo
aceptable
Identificacin y
tratamiento de opciones
de tratamiento
Implementar planes
de las
tratamiento
Calcular el
opciones
Preparar los
planes de
tratamiento
No
Parte retenida/parte transferida

Figura 4.2. Proceso de tratamiento del riesgo

e) Retener el riesgo

Despus de haber reducido o transferido los riesgos, pueden haber riesgos
residuales que se han retenido. Es recomendable implementar planes para
manejar las consecuencias de estos riesgos, si ocurrieran, incluyendo la
identificacin de un medio de financiacin del riesgo. Los riesgos tambin
pueden retenerse por defecto, es decir, cuando existe fracaso en la identificacin
y/o transferencia apropiada u otro tratamiento de los riesgos.

Se puede hacer referencia a la reduccin de las consecuencias y la posibilidad
como el control del riesgo. El control del riesgo incluye la determinacin del
beneficio relativo de nuevos controles a la luz de la efectividad de los controles
existentes. Los controles deben incorporar polticas de efectividad, los
procedimientos o los cambios fsicos.

4.5.2 Evaluacin de opciones de tratamiento de riesgo

Se aconseja evaluar las opciones sobre la base del grado de reduccin del riesgo y el alcance
de cualquier beneficio adicional o oportunidades creadas, tomando en cuenta los criterios
desarrollados en el numeral 4.1.5. Se pueden considerar numerosas opciones y aplicarse ya
sea de forma individual o en combinacin.

17
La seleccin de la opcin ms apropiada incluye el equilibrio del costo de implementar cada
opcin contra los beneficios derivados del mismo. En general, el costo de la gestin de riesgos
debe ser proporcional a los beneficios obtenidos.

Cuando existe la posibilidad de obtener grandes reducciones con relativamente menos gasto, tales
opciones deberan implementarse. Pueden resultar poco econmicas opciones adicionales y se
debe ejercer el juicio para determinar si son justificables. En la Figura 4.3 se ilustra este aspecto.

Implementacin
de medidas
de reduccin
Uso de criterios
COSTOSO
COSTO DE REDUCCIN DEL RIESGO ($)
N
I
V
E
L

D
E

R
I
E
S
G
O

(
V
A
L
O
R

D
E
L

R
I
E
S
G
O
)

Figura 4.3. Costo de las medidas de reduccin del riesgo

Al tomar decisiones se debera tener en cuenta la necesidad de considerar cuidadosamente
riesgos raros pero severos, los cuales podran ameritar medidas de reduccin de riesgo que
nos son justificables sobre el campo estrictamente econmico.

En general, debera disminuirse el impacto adverso del riesgo en una medida razonablemente
posible, sin tener en cuenta ningn criterio absoluto.

Si el nivel del riesgo es alto, pero podran surgir oportunidades considerables al asumir el
riesgo, tal como el uso de una nueva tecnologa, entonces la aceptacin del riesgo debe
basarse en la valoracin de los costos del tratamiento del riesgo y los costos de rectificar las
consecuencias potenciales contra las oportunidades provistas al asumir el riesgo.

En muchos casos, resulta improbable que cualquier opcin de tratamiento del riesgo sea una
solucin completa par un problema particular. Con frecuencia, la organizacin se beneficiar en
forma sustancial de una combinacin de opciones tales como la reduccin de la posibilidad de
riesgos, la reduccin de sus consecuencias y la transferencias o retencin de cualquier riesgo
residual. Un ejemplo lo constituye el uso efectivo de contratos y financiacin del riesgo
apoyados en un programa de reduccin del riesgo.

Cuando el costo acumulado de la implementacin de los tratamientos del riesgo excede el
presupuesto disponible, el plan debe identificar claramente el orden de prioridad en el cual
deben implementarse los tratamientos del riesgo individuales. El orden de prioridad puede
establecerse empleando varias tcnicas, incluyendo la clasificacin del riesgo y el anlisis
costo-beneficio. Los tratamientos del riesgo que no pueden implementarse dentro del limite del
presupuesto disponibles deben esperar la disponibilidad de recursos financieros adicionales o,

18
si por cualquier razn uno o todos los tratamientos restantes se considera importante, debe
realizarse alguna accin para asegurar finanzas adicionales.

En las opciones del tratamiento del riesgo se deben considerar la forma cmo perciben el
riesgo las partes afectadas y las formas ms apropiadas de comunicacin con esas partes.

4.5.3 Preparacin de planes de tratamiento

En los planes se debe documentar la forma como deben implementarse las opciones
seleccionadas.

El plan de tratamiento debe identificar responsabilidades, cronogramas, el resultado esperado
de los tratamientos, presupuesto, medidas de desempeo y el proceso de revisin por
implementar.

NOTA Para tener detalles, dirjase a la Parte H5, Apndice H.

El plan tambin debe incluir un mecanismo para evaluar la implementacin de las opciones
contra criterios de desempeo, responsabilidades individuales y otros objetivos, y monitorear
acontecimientos importantes de implementacin crtica.

4.5.4 Implementacin de planes de tratamiento

De manera ideal, la responsabilidad del tratamiento del riesgo deben asumirla aquellos con
mayor capacidad para controlar el riesgo. Se deberan acordar las responsabilidades entre las
partes lo ms temprano posible.

La implementacin exitosa del plan de tratamiento del riesgo requiere de un sistema de gestin
efectivo que especifique los mtodos seleccionados, asigne responsabilidades y obligaciones
individuales con respecto a acciones y las monitoree contra criterios especificados.

Si despus del tratamiento existe un riesgo residual, debe tomarse una decisin en cuanto a si
retener el riesgo o repetir el proceso de tratamiento de riesgo.

4.6 MONITOREO Y REVISIN

Es necesario monitorear los riesgos, la efectividad del plan de tratamiento del riesgo, las estrategias
y el sistema de gestin que se establecen para controlar la implementacin. Debe monitorearse los
riesgos y la efectividad de las medidas de control a fin de garantizar que las circunstancias
cambiantes no alteren las prioridades del riesgo. Pocos riesgos permanecen estticos.

Resulta esencial la continua revisin para asegurarse de que el plan de gestin continua siendo
pertinente. Los factores que pueden afectar la posibilidad y las consecuencias de un resultado
pueden cambiar, lo mismo que lo pueden hacer los factores que afectan la conveniencia o el costo
de las diferentes opciones de tratamiento. Por consiguiente es necesario repetir regularmente el
ciclo de gestin del riesgo. La revisin es una parte integral del plan de tratamiento de gestin del
riesgo.

4.7 COMUNICACIN Y CONSULTA

La comunicacin y la consulta constituyen una consideracin importante en cada paso del
proceso de gestin del riesgo. Resulta primordial desarrollar un plan de comunicacin tanto
para las partes interesadas internas como externas en la etapa ms temprana del proceso.
Este plan debe tratar asuntos relacionados tanto con el riesgo mismo como con el proceso para
gestionarlo.

19
La comunicacin y consulta incluyen un dilogo bilateral entre las partes interesadas con
esfuerzos enfocados hacia la consulta ms que un flujo unilateral de informacin proveniente
de quien toma las decisiones hacia las otras partes interesadas.

La comunicacin interna y externa efectiva es importante para garantizar que quienes son
responsables de implementar la gestin del riesgo y quienes tienen un inters creado comprendan
la base sobre la cual se toman decisiones y por qu se requieren acciones particulares.

Las percepciones del riesgo pueden variar debido a la diferencia en las creencias y conceptos y las
necesidades, asuntos y preocupaciones de las partes interesadas en la medida en que se
relacionan con el riesgo u otros asuntos bajo discusin. Es probable que las partes interesadas
realicen juicios acerca de la aceptabilidad de un riesgo con base en su percepcin del riesgo.
Puesto que las partes interesadas pueden tener un impacto significativo en las decisiones tomadas,
resulta primordial que se identifiquen y documenten sus percepciones del riesgo, lo mismo que sus
percepciones de los beneficios, y que se entiendan y traten las razones subyacentes.

5. DOCUMENTACIN

5.1 GENERALIDADES

Cada etapa del proceso de gestin del riesgo debe estar documentada. La documentacin
debera incluir las creencias, mtodos, fuentes de datos y resultados.

5.2 RAZONES PARA LA DOCUMENTACIN

Las razones para la documentacin son las siguientes:

a) demostrar que el proceso es conducido de forma apropiada

b) proporcionar evidencia de un enfoque sistemtico para la identificacin y anlisis
del riesgo

c) ofrecer un registro de los riesgos y desarrollar la base de datos del conocimiento
que tiene la organizacin

d) darle a las personas que toman decisiones pertinentes un plan de gestin del
riesgo para su aprobacin y posterior implementacin.

e) proporcionar un mecanismo y herramienta de responsabilidad

f) facilitar el monitoreo y la revisin continuos

g) ofrecer un camino de auditora y

h) compartir y comunicar la informacin.

Las decisiones concernientes con el alcance de la documentacin pueden incluir costos y
beneficios y deberan tomar en cuenta los factores arriba mencionados.

Orientacin: En el Apndice H se encuentran algunos ejemplos que son tiles y ofrecen
orientacin acerca de la adecuada documentacin. Estos ejemplos son indicativos ms que
globales.


20
APNDICE A

APLICACIONES DE LA GESTIN DEL RIESGO

A.1 ORGANIZACIONES

Esta norma puede aplicarse a un amplio rango de organizaciones incluyendo:

a) pblicas:

- nacionales, regionales, locales

b) comerciales:

- empresas, alianzas estratgicas, firmas, franquicias, prcticas aisladas y

c) voluntarias:

- entidades de beneficencia, sociales y deportivas

A.2 APLICACIONES

La norma tiene una serie de aplicaciones incluyendo (aunque no exclusivamente):

i) gestin de activos y planeacin de recursos;

ii) riesgos de continuidad de negocio;

iii) cambio: organizacional, tecnolgico y poltico;

iv) actividad de construccin;

v) Planeamiento de contingencia para emergencias y desastres.

vi) diseo y responsabilidad por el producto;

vii) responsabilidad del director y los funcionarios;

viii) procedimientos de seleccin de personal, entrenamiento, discriminacin y
hostigamiento

ix) asuntos ambientales;

x) asuntos de tica y honradez;

xi) estudios de factibilidad;

xii) deteccin de incendio /prevencin de incendio;

xiii) operaciones de divisas;

xiv) prevencin, deteccin y manejo de fraude;

21
xv) salud humana, animal y vegetal

xvi) sistemas de informacin / redes de computacin

xvii) inversiones;

xviii) cumplimiento legal

xix) salud ocupacional y seguridad industrial ;

xx) operaciones y sistemas de mantenimiento;

xxi) gestin del proyecto;

xxii) riesgo pblico y responsabilidad general;

xxiii) gestin de contratacin de compras;

xxiv) asesora profesional;

xxv) asuntos de reputacin e imagen;

xxvi) seguridad;

xxvii) transporte areo, martimo, por carretera y ferrocarril.

xxviii) tesorera y finanzas.


22
APNDICE B
(Informativo)

PASOS EN EL DESARROLLO E IMPLEMENTACIN DE UN
PROGRAMA DE GESTIN DEL RIESGO

PASO 1. RESPALDO DE LA ALTA DIRECCIN

Desarrollar una filosofa de gestin del riesgo organizacional y una conciencia del "riesgo" en
los niveles de la alta direccin. Esto podra facilitarse mediante formacin, educacin e
instrucciones de la direccin ejecutiva.

- Es necesario el continuo respaldo de la alta direccin

- Un director ejecutivo de alto rango o "lder" similar (o equipo) debe patrocinar la
iniciativa.

- Toda la alta direccin debe brindar pleno respaldo.

PASO 2. DESARROLLAR LA POLTICA DE LA ORGANIZACIN

Desarrollar y documentar una poltica corporativa y un marco para gestionar los riesgos, que
tenga el respaldo dela alta direccin, y sea implementada en toda la organizacin. La poltica
puede incluir informacin tal como:

- Los objetivos para la poltica y fundamentos para la gestin del riesgo.

- Los enlaces entre la poltica y el plan corporativo o estratgico de la organizacin.

- El alcance o serie de asuntos a los que se aplica la poltica.

- Lineamientos sobre lo que puede ser considerado como riesgo aceptable.

- Quien es el responsable de la gestin del riesgo

- El apoyo/ experiencia con que se cuenta para asesorar a los responsables de la
gestin del riesgo.

- Los niveles de documentacin requerida y

- El plan para revisin del desempeo organizacional con respecto a la poltica

PASO 3. COMUNICACIN DE POLTICAS

Desarrollo, establecimiento e implementacin de una infraestructura o disposiciones que
aseguren el manejo del riesgo llegando a ser una parte integral de la planeacin, los procesos
de gestin y en general de la cultura organizacional. Esto puede incluir:

- Establecer un equipo que contenga personal de la alta direccin que sea
responsable de las comunicaciones internas acerca de la poltica.

- Promover la toma de conciencia acerca de la gestin de riesgo.

23
- Comunicacin / dilogo en la organizacin sobre la gestin del riesgo y la poltica
de la organizacin

- Adquirir habilidad en gestin de riesgo, por ejemplo por medio de consultores y
desarrollando experiencia con entrenamiento y educacin.

- Asegurar apropiados niveles de reconocimiento, recompensas y sanciones, y

- Establecimiento de procesos de gestin de desempeo.

PASO 4. GESTIN DE RIESGO A NIVEL ORGANIZACIONAL

Desarrollar y establecer un programa de gestin de riesgo a nivel organizacional aplicando un
sistema de gestin de acuerdo con los lineamientos del numeral 2 de la norma. El proceso
para la gestin de riesgo debe integrarse con la planeacin estratgica y procesos de gestin
de la organizacin y debe tener la siguiente documentacin:

- El contexto de la organizacin y de la gestin de riesgo.

- Identificacin de riesgos para la organizacin.

- El anlisis y evaluacin de los riesgos.

- Estrategias de tratamiento

- Mecanismos de revisin del programa.

- Estrategias que fomenten la toma de conciencia, adquisicin de experiencia,
formacin y educacin.

PASO 5. GESTIN DE RIESGOS A NIVEL DE PROGRAMA, PROYECTO Y DE EQUIPO

Desarrollar y establecer un programa de gestin de riesgo en la organizacin para cada
subrea organizacional, programa, proyecto o actividades de equipo por medio de la aplicacin
del proceso de gestin de riesgo de acuerdo al numeral 4. el proceso de gestin de riesgo debe
ser integrado con otras actividades de planeacin y gestin. El proceso seguido, las decisiones
tomadas, y las acciones planeadas deben ser documentadas.

PASO 6. MONITOREO Y REVISIN

Desarrollar y aplicar mecanismos que aseguren la puesta en marcha de la revisin de los
riesgos.

Se debe garantizar que la implementacin y la poltica de gestin de riesgo mantengan su
pertinencia, a medida que las circunstancias cambian con el tiempo y es vital revisar las
decisiones previas. Los riesgos no son estticos. La efectividad del proceso de gestin de
riesgo debe ser revisada y monitoreada.


24
APNDICE C
(Informativo)

PARTES INTERESADAS

Las partes interesadas son aquellos individuos, quienes se ven o se sienten afectados por una
decisin o actividad. Entre ellos se pueden incluir:

- individuos en el interior de la organizacin, tales como empleados, la direccin,
gerentes y voluntarios.

- las personas que toman decisiones;

- empresas o contrapartes comerciales;

- grupos de empleados;

- grupos de sindicatos;

- instituciones financieras;

- organizaciones de seguros;

- reguladores y otras organizaciones gubernamentales que tienen autoridad sobre
actividades.

- polticos ( en todos los niveles del gobierno) quienes tienen un inters electoral.

- organizaciones no gubernamentales tales como grupos medio ambientales y
grupos de inters pblico.

- clientes;

- suministradores y proveedores de servicios y contratista de actividades.

- los medios, quienes son partes interesadas potencialmente lo mismo que
conductos de informacin para otras partes interesadas;

- individuos o grupos que estn interesados en asuntos relacionados con la
propuesta;

- comunidades locales y

- la sociedad como un todo.

Con el tiempo, la mezcla de intereses puede cambiar. Se pueden unir nuevas partes interesadas y
desear participar en cualquier consideracin, mientras que otras pueden salir y no seguir
participando del proceso. Por consiguiente el proceso de anlisis de las partes interesadas debe
ser continuo y como tal debe ser una parte integral de la gestin de riesgo.

El nivel de inters de la parte interesada puede cambiar en respuesta a nueva informacin, ya
sea porque se han resuelto las necesidades y preocupaciones de las partes interesadas o

25
porque la nueva informacin tiende a crear nuevas necesidades, problemas o preocupaciones.
Ntese tambin que diferentes partes interesadas pueden tener diferentes opiniones y
diferentes niveles de conocimiento respecto a un asunto particular.


26
Apndice D
(Informativo)

FUENTES GENRICAS DE RIESGO Y SUS REAS DE IMPACTO

D.1 GENERAL

Identificar fuentes de riesgo y reas de impacto ofrece un marco para la identificacin y
anlisis de riesgo. El desarrollo de una lista genrica enfoca las actividades de identificacin
del riesgo y contribuye a hacer ms efectiva la gestin, debido a la gran cantidad posible de
fuentes e impactos.

Las fuentes genricas de riesgo y reas de impacto se seleccionan de acuerdo con su importancia
en las actividades estudiadas (vanse los numerales 4.1.1 y 4.2.2) .Los componentes de cada
categora genrica pueden formar las bases para el estudio de los riesgos.

D.2 FUENTES DE RIESGO

Cada fuente genrica tiene numerosos componentes, cualquiera de los cuales puede dar origen a
un riesgo. Algunos componentes pueden estar bajo el control de la organizacin que conduce el
estudio, mientras que otros pueden estar por fuera de su control. Ambos tipos deben considerarse
al identificar los riesgos. Entre las fuentes genricas de riesgo se encuentran:

a) Relaciones legales y comerciales.

Al interior de la organizacin y de est con otras organizaciones, por ejemplo
proveedores, subcontratistas, arrendatarios.

b) Circunstancias econmicas y de mercado organizacionales, nacionales, e
internacionales; as como factores que contribuyan a estas circunstancias, por
ejemplo tasas de cambio.

c) Comportamientos humanos

De quienes estn involucrados en la organizacin y de quienes no lo estn

d) Eventos naturales

e) Circunstancias polticas

Incluye cambios legislativos y factores sociales por los cuales se puede
influenciar otras fuentes de riesgo.

f) Tecnologa y asuntos tcnicos

Tanto internos como externos de la organizacin.

g) Actividades de gestin y control.

h) Actividades individuales.


27
D.3 REAS DE IMPACTO

El anlisis de riesgo puede concentrarse en una sola rea de impacto o en varias posibles
reas de impacto.

Las siguientes son reas de impacto:

a) Base de activos y recursos

De la organizacin incluyendo personal.

b) Ingresos y derechos.

c) costos

De actividades, tanto directa o indirectamente

d) Gente

e) Comunidad

f) Desempeo

g) programacin de actividades

g) Medio ambiente

h) Intangibles

Reputacin, buen nombre, calidad de vida

i) Comportamiento organizacional.

D.4 IDENTIFICACIN DE RIESGOS

Un mtodo para resumir la forma cmo surge el riesgo en una organizacin consiste en utilizar
una plantilla de identificacin del riesgo como la mostrada en la Tabla D.1. Las entradas
pueden hacerse con seales para mostrar en donde los riesgos ocurren, o con notas
descriptivas ms detalladas.

D.5 OTRA CLASIFICACIN DE RIESGOS

Diferentes disciplinas frecuentemente categorizan fuentes de riesgo de otra forma usando
trminos semejantes como peligro o exposicin al riesgo. Esas clasificaciones pueden ser
subconjuntos de las fuentes de riesgo de la Lista D.2 anterior.

EJEMPLOS.

a) Enfermedades

Afecciones humanas, de animales y plantas.
b) Econmicas

Fluctuaciones del dinero, tasas de inters, participacin en el mercado.


28
c) Medioambiente

Ruido, contaminacin y polucin

d) Financiero

riesgos contractuales, fraudes, malversacin de fondos y multas.

e) Humanos

Disturbios, ataques, sabotajes y errores.

f) Riesgos naturales

Condiciones climticas, terremotos, incendios forestales, inundaciones plagas y actividad
volcnica.

g) Salud ocupacional y seguridad

Medidas inadecuadas de seguridad, deficiente gestin de seguridad

h) Responsabilidad en el producto

Diseo de error, control de calidad por debajo de la norma, ensayos inadecuados.

i) Responsabilidad profesional

Mala asesora, error de diseo, negligencia.

j) Daos en la propiedad

Incendio, terremotos, inundaciones, contaminacin, errores humanos

k) Responsabilidad publica

Ingreso y egreso de publico, y seguridad

l) Seguridad

Disposicin del dinero, vandalismo, robo, inapropiacin de informacin, entradas ilegales.

m) Tecnolgica

Innovacin, obsolescencia, explosiones y confiabilidad

NOTA Los literales anteriores se citan como ejemplo

Tabla D.1. Ejemplo Forma de relacionar fuentes de riesgo con reas de impacto

rea de impacto
Seleccione segn sea aplicable de acuerdo con el literal D.3
Fuentes de riesgo # # # # # #
Relaciones comerciales y legales
Econmicas
Comportamiento humano
Eventos naturales
Circunstancias polticas
Tecnolgicas/asuntos tcnicos
Actividades de gestin y controles
Actividades individuales

NOTA Las fuentes de riesgo y las reas de impacto deben ser adaptadas a una organizacin o actividad.

29
APNDICE E
(Informativo)

EJEMPLOS DE DEFINICIN DE RIESGO Y CLASIFICACIN

Tabla E.1. Medidas cualitativas con consecuencias o impacto

Nivel descriptor Descripcin detallada de ejemplo
1 Insignificante Ningn dao, perdidas financieras pequeas
2 Menor Tratamiento de primeros auxilios, Medianas perdidas financieras,
3 Moderada Requiere de tratamiento medico, retencin con liberacin en el sitio
con asistencia externa, perdidas financieras altas
4 Mayor Daos grandes, Perdidas de produccin de la capacidad, retencin
con liberacin fuera del sitio sin efectos de detrimento, prdida
financiera importante
5 catastrfica Muerte, liberacin de txicos fuera del sitio con efecto de detrimento,
enorme perdida financiera

NOTA Las medidas tomadas deben reflejar las necesidades y naturaleza de la organizacin y actividades bajo
estudio.

Tabla E.2. Medidas cualitativas de las probabilidades

Nivel Descriptor Descripcin
A Casi cierto Se espera que ocurra en la mayora de las circunstancias.
B Probable Puede probablemente ocurrir en la mayora de las
circunstancias.
C Posible Es posible que ocurra en algunas veces
D Improbable Podra ocurrir en algunas veces
E Raro Puede ocurrir solamente en circunstancias excepcionales

NOTA Las tablas necesitan ser a la medida de la organizacin para satisfacer las necesidades individuales de la
organizacin.

Tabla E.3. Matriz de anlisis cualitativo de riesgos. Nivel de riesgos

Consecuencias
Probabilidad Insignificante
1
Menor
2
Moderada
3
Mayor
4
Catastrfica
5
A (casi cierto) H H E E E
B (probable) M H H E E
C (posible) L M H E E
D.(improbable) L L M M E
E ( Raro) L L M H H

NOTA El numero de categoras debe reflejar las necesidades del estudio

Convencin:

E = Riesgo Extremo; se requiere accin inmediata

H = Alto riesgo; Es necesario la atencin del director

M = Riesgo moderado, se debe especificar la responsabilidad de la direccin

L = riesgo inferior, gestionar mediante procedimientos de rutina

30
APNDICE F
(Informativo)

EJEMPLOS CUANTITATIVOS DE GESTIN DE RIESGO

F.1 RIESGOS DE PRDIDA FINANCIERA O GANANCIA

Las perdidas financieras (o ganancias) multiplicadas por la frecuencia anual de perdidas (o
ganancias) dan el valor esperado en dlares por ao.

F.2 RIESGO DE FATALIDAD

El riesgo de fatalidad de una actividad puede ser calculada como:

- Nmero de muertes por ao en una actividad

- Poblacin expuesta

F.3 DESASTRES NATURALES U OCASIONADOS POR EL HOMBRE

Las consecuencias pueden ser modeladas usando simuladores de computador y probabilidades
estimadas a partir de datos histricos, rboles de error u otras tcnicas de ingeniera de sistemas.

F.4 RIESGOS DE SALUD

Los riesgos de salud se expresan comnmente de las siguientes maneras:

a) el numero de casos de salud-enfermedad por ao en una poblacin expuesta
comparada con el total de esa poblacin. Por ejemplo cinco nuevos casos en
una poblacin expuesta de 100 000 es un riesgo de 5 x 10
5
por personas
expuestas por ao

b) La proporcin de la probabilidad de muertes despus de cierta edad con y sin
exposicin.

c) El numero de fatalidades a la edad de 70 , que se espera como consecuencia de
una exposicin, dividida por el numero de personas expuestas.

Los riesgos de salud se pueden derivar de datos epidemiolgicos ( encuestas de poblacin de
fatalidades o enfermedad) o de una base de datos experimental basada en estudio de animales.

NOTA En vez de calcular el valor promedio del riesgo, se puede calcular la distribucin posible de valores
remplazando los valores promedio de las variables de las que depende el resultado por las distribuciones
apropiadas de los valores.

31
APNDICE G
(Informativa)

IDENTIFICACIN DE OPCIONES PARA EL TRATAMIENTO DEL RIESGO

G.1 ACCIONES PARA REDUCIR O CONTROLAR LA POSIBILIDAD O PROBABILIDAD

Estas pueden incluir:

i) Auditoria y programas de verificacin de cumplimiento

ii) condiciones contractuales

iii) revisin formal de requerimientos, especificaciones, diseo, ingeniera y
operaciones;

iv) Inspeccin y procesos de control

v) inversiones y gestin de portafolios

vi) gestin de proyectos

vii) mantenimiento preventivo

viii) aseguramiento de calidad, gestin y normalizacin

ix) investigacin y desarrollo, desarrollo tecnolgico

x) formacin estructurada y otros programas

xi) supervisin

xii) ensayos

xiii) disposiciones organizacionales

xiv) tcnicas de control

G.2 PROCEDIMIENTO DE REDUCCIN O CONTROL DE CONSECUENCIAS

Esto puede incluir:

i) planes de contingencia

ii) arreglos contractuales

iii) condiciones contractuales

iv) diseo de caractersticas


32
v) planes de recuperacin de desastres

vi) barreras estructurales y de ingeniera

vii) planeacin de control de fraudes

viii) reduccin de exposicin a fuentes de riesgo

ix) planeacin del portafolio

x) polticas y control de precios

xi) separacin o reubicacin de una actividad y de recursos

xii) relaciones publicas

xiii) pagos ex gratia (discrecionales)


33
APNDICE H
(Informativo)

DOCUMENTACIN DE GESTIN DE RIESGO GENERAL

La gestin correcta del riesgo requiere de documentacin apropiada, que debera ser la
suficiente para satisfacer auditorias independientes. Las decisiones concernientes a la
extensin de la documentacin puede involucrar costos y beneficios que podra tener en cuenta
los factores relacionados en el numeral 5.2. Las declaracin de la poltica de gestin de riesgo
debera definir la documentacin necesaria.

En cada estado del proceso la documentacin debera incluir:

a) objetivos

b) fuentes de informacin

c) suposiciones y

d) decisiones

Este apndice H incluye un ejemplo de un registro del riesgo y un cronograma de tratamiento y
plan de accin. Es posible que se requieran planes para reas de alto riesgo ms especficos y
detallados.

H.2 POLTICA

En el apndice B se presentan ejemplos de informacin los cuales pueden ser incluidos en la
declaracin de la polticas de una organizacin.

H.3 CONFORMIDAD Y DECLARACIN DE DEBIDA DILIGENCIA (DUE DILIGENCE)

En algunas circunstancias, se puede requerir una declaracin de conformidad y de debida
diligencia, de modo que los gerentes reconozcan formalmente su responsabilidad en el
cumplimiento de las polticas y procedimientos de gestin de riesgo

H.4 REGISTRAR RIESGO

Para cada riesgo identificado, se lleva un registro del riesgo con:

a) Fuente

b) Naturaleza

c) Controles existentes

d) Consecuencias y probabilidades

e) Clasificacin de riesgo inicial y

f) Vulnerabilidad a factores internos o externos


34
Vase el formato de norma de muestra a continuacin, como una gua

H.5 CRONOGRAMA DEL TRATAMIENTO DEL RIESGO Y PLANES DE ACCIN

Un plan de tratamiento del riesgo y de accin documenta los controles por adoptar y enuncia la
siguiente informacin:

a) quien es el responsable de la implementacin del plan

b) Que recursos se van a utilizar

c) Distribucin del presupuesto

d) Cronograma para la implementacin

e) Detalles de los mecanismos y frecuencia de revisin para dar conformidad con el
plan de tratamiento

H.6 DOCUMENTOS DE MONITOREO Y AUDITORIA

Los registros de monitoreo y auditora deben documentar:

a) Detalles de los mecanismos y frecuencia de revisin de riesgos y el proceso de
gestin de riesgo como un todo.

b) Los resultados de las auditorias y otros procedimientos de monitoreo

c) Detalles de cmo se siguen e implementan las recomendaciones de revisin

35

REGISTRO DE RIESGO
Fecha de revisin del riesgo
Compilado por.............................Fecha........................
Funcin/actividad............................................. Revisado por...............................Fecha

LAS CONSECUENCIAS DE QUE
OCURRA UN EVENTO

REF
EL RIESGO
QUE PUEDE OCURRIR
Y COMO PUEDE
OCURRIR CONSECUENCIAS PROBABILIDAD
ADECUACIN
DE CONTROLES
EXISTENTES
CLASIFICACIN
DE LA
CONSECUENCIA
CLASIFICACIN
DE LA
PROBABILIDAD
NIVEL DE
RIESGO
PRIORIDAD DE
RIESGO


36
CRONOGRAMA Y PLAN DE TRATAMIENTO DEL RIESGO
Fecha de revisin del riesgo
Compilado por.............................Fecha........................
Funcin/actividad............................................. Revisado por...............................Fecha

RIESGO EN
ORDEN DE
PRIORIDAD DE
ACUERDO CON
EL REGISTRO
DE RIESGO
POSIBLES
OPCIONES DE
TRATAMIENTO
OPCIONES
PREFERIDAS
CLASIFICACIN
DEL RIESGO
DESPUS DEL
TRATAMIENTO
RESULTADO DEL
ANLISIS COSTO
BENEFICIO:
A: ACEPTAR
B: RECHAZAR
PERSONA
RESPONSABLE
PARA
IMPLEMENTACIN
DE OPCIN
CRONOGRAMA
PARA
IMPLEMENTACIN
COMO SE
MONITOREARN
ESTE RIESGO Y LAS
OPCIONES DE
TRATAMIENTO


37
PLAN DE ACCIN DE RIESGO

ELEMENTO Ref

RIESGO

Resumen - Respuesta recomendada e impacto

Plan de accin

1. Acciones propuestas

2. recursos requeridos

3.Responsabilidades

4.Cronograma

5.Reporte y monitoreo requeridos

Responsable................Fecha...................Revisar...................Fecha...................


38

PREPARADO POR:______________________________-
ENRIQUE ARANGUREN L.

csm.

02B NTC 5254 Icontec Borrador

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

02B NTC 5254 Icontec Borrador

Cargado por

Copyright:

Formatos disponibles

PROYECTO DE DE 615/02

NORMA TCNICA COLOMBIANA DE 101/03

También podría gustarte