GESTION DEL RIESGO El exitn de la gestion =5 Una mam2d Meeps o986y able . La gestion del riesgo es el proceso de medir 0 evaluar el riesgo y establecer el desarrollo de estrategias para gestionar el riesgo. Ricci © IMPORTANCIA DE MAPA DE PROCESOS EN LA GESTION DEL RIESGO CRava un Alen) sado, pesado evita O = a DE SUMINISTRO- NOIDVZINVDYO V1 30 GvalunDas '*|DENTIFICACION DE PELIGROS EN LA CADET O Revsens} sn = Prveador sin expencnda, ©? bzo- aiezap + Cae process Wene SooIDENTIFICAR LOS RIESGOS / ve) bite om shies es.) \ a / \ ANALIZAR LOS RIESGOS pon N (controles internos) 7 \* EVALUAR LOS RIESGOS /| \ (probabilidad / consecuencia) / \ J § COMUNICACION Y CONSULTA NOISIASY A OSYOLINOW \ TRATAR LOS RIESGOS (minimizar, desaparecer) canaado Quin. Wererttica, Gero: Savade Yo haces ETAPAS DE UN PROCESO DE GESTION DEL RIESGO E ESTABLECER EL CONTEXTO El Contexto incluye aspectos: Financieros, Definicién de metodologia de Evaluacién (por Operacionales, Relaciones Comerciales, Legales, destino, por tipo de empresa, por tipo de carga, etc. etc. Qué puede suceder? éCémo y/o porqué puede suceder? yaloo asal to, saboatey sr NEZ eS SCTo SneEE (bleiCleMiereteleleme exten tel eset Determinar la Probabilidad ==> Determinar la Consecuencia Calcular Nivel del Riesgo =A ol who sedd _. on: Giucn © 3 \a ava scda ey chaETAPAS DE UN PROCESO DE GESTION DEL RIESGO = EVALUACION DEERIESGO ‘Comparar contra criterios establecidos Establecer prioridades del riesgo Identificar opciones de tratamient Reducir Probabilidad, Reducir Consecuencia, Transferrlo Implementar Planes Preparar Planes de Tratamiento Contexto del Riesgo Eficacia del Plan de Tratamiento del Riesgo Si | i c BENEFICIOS DE LA IMPLEMENTACION DEL PROCESO DE GESTION DEL RIESGO * Fficiente asignacién de los recursos humanos + Incremento de los ingresos por mejora de las recaudaciones * Mejora del cumplimiento de las leyes y reglamentos * Mejora en la colaboracién entre los operadores y Aduanas * Reduccién de tiempo de liberacién * Reduccidn de los costos operacionales de operadores.COSTOS DE LA IMPLEMENTACION DEL PROCESO DE GESTION DEL RIESGO Cambios importantes de infraestructura Redireccionamiento de las competencias del Personal. (Menos inspectores fisicos y documentales, Mas auditores e investigadores Implementacion de bases de datos de inteligencia yequipos adecuados Programas de Formacién Integral Frnctenss ce nabiz) xiace Visble la. properno cin de Mies - * REQUISITOS DE IMPLEMENTACION Cambio de mentalidad del personal de gestion, Enfoque a Proceso de Gestion del Riesgo Cursos de sensibilizacién para toda la organizacién y de especializaci6n para personal técnico involucrado directamente implicado en la ejecucién de nuevos procedimientos Una politica de gestién de riesgos y un plan de gestion estratégica puede desencadenar el establecimiento de objetivos y prioridades en la introduccién del nuevo sistema. La estructura interna de la administracién aduanera ha de ser adaptado, mediante la creacién de por ejemplo. Riccio Se> Proceso: Despacho de Carga de Exportacién. > Actividad (qué): Carguio de Mercancias > Amenaza: Contaminacién, robo. |> Controles: Vigilancia, inspecci6n al | furgén | > probabilidad/Consecuencia > Contramedidas: Segregacién vehicular _> Personal (quign): Inspectores, Montacargas, Estiba (ero), Vigilancia (ero) > Instalacién (donde): Zona de despacho. IDENTIFICACION DE RIESGOS Puntos de Inspeccion / Falsa Pared frontal > Proceso: Recepcién de Contenedores (> Actividad: Inspeccion de | | Contenedores | > Amenaza: Contaminacién |> Controles: _Procedimiento Inspeccién. > Probabilidad/Consecuencia > Contramedidas: Segregacién vehicular | | > Personal: Inspectores, Supervisores, | Jefatura de Seguridad | > Instalacién: Zona de recepcién y/ Lenadoie IDENTIFICACION DE RIESGOS El ndmero de precinto no coincida con la lista de Proceso: Despacho de Contenedores Actividad: Colocacién de precintos | Amenaza: Contaminacién | expedicion del fabricante, Controles: Procedimiento de Control de | el numero original tiene Precintos. | que haber sido lijado Probabilidad/Consecuencia | Contramedidas: Procedimiento de | identificacion de manipulacin de | precinto. Personal: Inspectores, Supervisor de Expo, Agencias (3ero), Transportista (Bero), Instalacién: Zona de recepcién y | DEFINICIONES Probabilidad Posibilidad de que ocurra un evento o resultado especifico. Consecuencia Magnitud del resultado de un evento expresado cualitativamente o cuantitativamente. Vulnerabilidad C Coatroles Son las condiciones 0 actos (controles operacionales) que minimizan el riesgo de que la amenaza se materialice, y si esta se lega a dar, mitigar el dafio producido. Ricvictin SeMETODOLOGIAS PARA LA IDENTIFICACION, EVALUACION Y CONTROL DE LOS RIESGOS Y AMENAZAS DE SEGURIDAD IDENTIFICACION DE RIESGOS ITEM DESCRIPCION DE RIESGOS 1 Robos menores (herramientas, utiles de oficina, celulares, etc.) 2 ___ |Robo de mercaderias __ 3 Camufiaje de sustancias ilicitas / Armas_ 4 __|Traslado de sustancias ilicitas nn5. Sabotaje - [6 _|Robo/ Venta de Informacién/contrabando 7____|Mal uso de la informacion 8 __|Lavado de activos 9 __ |Falsificacién de Documentos [10 __| Terrorismo 11___|Conspiraci6n Interna / Externa ae Pérdida de la Informacion 13 |Entrada legal 14 Incendio @were porerd CRITERIOS DE EVALUACION DEL RIESGO GRADO DE PROBABILIDAD DESCRIPCION Frecuente | Se espera que ocurra en la mayoria de las circunstancias Probable Puede probablomente ocurtren la mayoria de las circunstancias| Posible Es posible que ocurra en algunas ocasiones Poco Probable | Podrla ocurrr en algunas ocasiones [x 8 a 2 1 Remote Puede curr solo en ocasiones excepcionales ‘CONSECUENCIA GRADO DE DESCRIPCION 18 Catastrético ‘Efacio perjudiil permanent para la imagen do ls emprosa dabido al narcovanic, lavado de activos y terorismo, enorme pérdida financieray de clientes anivel inemacional,nvolueramianto de representantes/accionistas en nnarcoiréficoRerrorsmoflavado y ctividades ictas afines. Muy Alto Perdida fnanciera important, vinulacién temporal con el arcataica, lavado de _activos yterrorismo dentro de sus operaciones, Alto PPérdidas financieras alta, imagen de la empresa relacionada con el comercio iit. Moderade Wedianas pérddas nancieres ylo de adivos. Pocos efectos negatives en la imagen dela omprosa Menor Pérdidas finanGievas/acives minimos y efeclos on la iiagon Ge la eripresa no ercoptbes.abrers a>raps wera a>presd CRITERIOS DE EVALUACION DEL RIESGO FROBASLIDAD ees 36 7 144 nae 8 rel ee @) Se 5 10 20 0 Soper tes 3 2 24 2 nis 2 4 8 16 28 ae Tagore Ringo Barono 18-36 Riesgo Alto eae 36 Tiago Moderado Tengo ep PRIORIZACION DEL RIESGO ‘VULNERABILIDAD DESCRIPCION We, ‘No cuenta con ningun medio para mifigar el dafo ante una amenaza Media ‘Cuenta con algunos medios para que ante una amenaza, los dafios generados son de media escala Baja ‘Cuenta con todos fos madios pasibles para gavaniizar que ante una amenaza el dao sea el menor posible: equipos, capaciaciones, charas, eto Vuinerabiidad Fieage Priorided ‘haa Extrema) 1 ete Alto (No se debe de continuar con la actividades hasta establece e implantarcontoh Meda Baremo "sco ‘Aa Moderado 2 Ao Media 0 (Se reatzantas acividades con supenisién ae ae permanente y exhaustiva) Baja Edremo ta Bao Media Bolo 3 Alo (Se realiza el trabajo con los contoles ya Baja Moderado eee B30 Frc ©MATRIZ DE EVALUACION DE RIESGO Aphiac pe —estableado DEA.Planificacion pel aoa) aa its Beet ce | PUN iaias Sa acel(olley tea} cle) - Comunicacién de controles resultantes -Aislarla de las decisiones de moot vate teeters Pie enincg Seren Bee ie ils BO air Rut Klee EU cnet Cece anueeoa isc incidencias) = Obtener materia prima del personal involucrado. con eee iets Evaluacién de Riesgos de seguridad y Planificacion Ay Nee a ESTUDIO DE CASOS PARA EVALUAR RIESGOS - Lea el caso (Puerto, Exportador, Almacen) Beanie Keon Bevo Site ca rie oe a eeeMODULO 2 SEGURIDAD DE LOS SOCIOS Y USUARIOS DE NEGOCIO, SEGURIDAD DEL PERSONAL, CAPACITACION Y TOMA DE CONCIENCIA Riccisim SProg ate Paw baldert TALLER Nro. 1 EVALUACION DE RIESGO: Objetivo.- Ejercitar en los participantes las habilidades necesarias para la identificacién y evaluaci6n de riesgo en las operaciones de la organizacién. ‘Método... El equipo formado deberé de analizar la informacién proporcionada y evaluar los posibles riesgos a presentarse y determinar las posibles contramedidas. Tareas Los participantes deberdn: ~ Agruparse en equipos de 5. personas ~ _Elegir uno de los supuestos ‘critos en el taller ~ Tener como base la informacién proporcionada para: 1 4, ar 6. Deseribir el proceso y actividades de la evaluacién de riesgos (Pueden ser para Jas instalaciones, para las rutas de transporte, para operaciones 0 personas, para las cadenas de suministro completo 6 para otros elementos, y también pueden evaluar los riesgos para los elientes, partes interesadas y otros terceros ademés de sus propios riesgos) Basada en la identificacién de seguridad y en las medidas existentes identifique las posibles 3 amenazas en los diversos puntos de la cadena de suministro. ( tablas 2, 3). Basado en la evaluacién de la seguridad de los proveedores, contratistas y operaciones propias (dependiendo del alcance identificados en la tarea 1), identificar las medidas de seguridad existentes y controles que estén en el lugar. (tabla 5) Evaluar la amenaza en base a criterios de probabilidad, consecuencia y vulnerabilidad ( tablas 6, 7 8,9). Priorizar el Riesgo ( tabla 10) Determinar las contramedidas ( tabla 11) ha establecer en base a los resultados obtenidos. Tomar como referencia para el desarrollo de este Taller el formato Matriz de Evaluacién de Riesgos Tiempo asignado.- Practica 30 minutos Feedback 30 minutosSUPUESTOS La exportadora La empresa INDUSTRIAS COSMETICAS SA., cuenta con veinte afios en el mercado dedicado a la exportacién de productos cosméticos, el 100% de sus exportaciones se realiza por via aérea y maritima y los furgones y/o contenedores son cargados dentro de sus instalaciones por personal de estiba tercerizado, a quienes los contratan a destajo y de acuerdo a la cantidad de operaciones que se realicen. El almacén de producto terminado, es controlado por el encargado de logistica, quien le indica al personal de estiba cuales son los productos a embarcar. Este almacén se encuentra frente al drea asignada para la carga de exportacion y la misma que es contigua al area de estacionamiento asignado para personal y visitantes. La seguridad de las instalaciones es controtada por dos agentes de seguridad de la empresa Tigres, quienes se encuentran asignados uno al control de accesos y el otro a rondas. Esta empresa de seguridad normalmente ha trabajado con personal asignado_a colegios e instituciones publicas, pero no en operaciones logisticas. EI procedimiento de Seguridad en las exportaciones establece que durante el embarque, el vigilante de ronda debera permanecer en esta drea e impedir los accesos y Ia circulaci6n del personal no autorizado y llena un formato del control de personal participantes, colocando los precintos a los contenedores de manera ordenada y on numeraién correlativa. Los vehiculos para contenedores y furgones utilizados para embarques de exportacién son contratados a la empresa CAMIONES SAC y otros que éste a su vez contrate de acuerdo a la necesidad, cuyos chéferes y acompafiantes son conocidos por la organizacién y en algunas oportunidades colaboran con el embarque. En reiteradas oportunidades los estibadores ingresan con mochilas a la zona de embarque ya que llevan sus alimentos para no distraerbel trabajo. Cuando se visitaron las procesos de apoyo, en RRHH se mantenia un procedimientos de seleccién y contratacién de personal, y que el personal critico lo habia determinado su Jefatura en base a sus criterios y experiencia. Las capacitaciones programadas se habian realizado conforme al programa y que se habia puesto bastante empefio en el area de balanza. Ademés, El supervisor de embarques que entrevistaron en el recorrido, es la persona encargada de cumplir con funciones de seguridad, sin embargo estas no figuran en su Manual de Organizacién y funciones (MOF). Al visitar el drea de SEGURIDAD, se muestrea un incidente en el cual una parihuela se encontraba contaminada de droga en destino y que al ser investigado por ésta area, se concluy6 que el proveedor de parihuelas (Parihuelita SAC) no habia sido evaluado por logistica conforme al procedimiento, asi mismo, el agente de carga (Carguito SAC), el transportista interno (Port SAC) y el exportador (Producto Peruano) no contaban con cerfificacién de seguridad aiguno. En el area de sistema se verificé que las PCs que contenian informacion de lasexportaciones como destinos, procesos de exportacién, nimeros de precintos no tenian contrasefias y los puertos USBs no se encontraban bloqueados para acceso a la informacién, asi mismo los embarques de exportacién que grababa el CCTV mantenia las cintas grabadas por un dia y se borraban automaticamente.ASINZS 4360:1999 Estandar Australiano Administracion de Riesgos Administracién de RiesgosContenido 1 Alcance , aplicacién y definiciones 1.4 Alcance 1.2 Aplicacién 1.3 Definiciones 2 Requerimientos de administracién de riesgos 2.4 Propésito 2.2 Politica de administracion de riesgos 2.3 Planeamiento y recursos 2.4 Programa de implementacién 2.5 Revisién gerencial 3 Vista general de la administracién de riesgos 3.1 General 3.2 Elementos principales 4 Proceso de administracién de riesgos 4.4 Establecer el contexto 4.2 Identiicacién de riesgos 4.3 Andlisis de riesgos 44 Evaluacién de riesgos 45 Tratamiento de los riesgos 4.6 Monitoreo y revision 4.7 Comunicacién y consulta 5 Documentacién 5:4 General 5.2 Razones para documentar Apéndices ‘A Aplicaciones de administracion de riesgos B Pasos en el desarrollo ¢ implementacion de un programa de administracién de riesgos C interesados D Fuentes genéricas de riesgo y sus areas de impacto E Ejemplos de definicion y clasificacién de riesgos F Ejemplos de expresiones cuantitaivas de riesgos G Identificar opciones para tratamiento de los riesgos H Administracion y documentacién de riesgosAlcance, aplicacion y definiciones 1.1 Alcance Este Esténdar provee una gula genérica para el establecimiento e implementacién el proceso de administracion de riesgos involucrando el establecimiento del contexto y la identificacién, andlisis, tevaluacién, tratamiento, comunicacién y el monitoreo en curso de los riesgos. 1.2 Aplicacion La administracién de riesgos es reconocida como una parte integral de las buenas practicas gerenciales. Es un proceso iteralivo que consta de pasos, los cuales, cuando son ejecutados en Secuencia, posibiltan una mejora continua en el proceso de toma de decisiones, ‘Administracion de riesgos es el término aplicado a un método légico y sistematico de establecer el contexto, identifcar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados con una actividad, funcién 0 proceso de una forma que permita a las organizaciones minimizar pérdidas y ‘maximizar oportunidades. Administracion de riesgos es tanto identificar oportunidades como evitar érdidas. eae Nnn nn puede ser aplicado a todas las etapas de la vida de una actividad, funcion, proyecto, producto © active, El beneficio méximo se obtiene generalmente aplicando el proceso de ‘administracion de riesgos desde el principio. ‘A menudo se llevan @ cabo una cantidad de estudios diferentes en las diferentes etapas de un proyecto, nota: Este Esténdar se puede aplicar a un amplio rango de actividades u operaciones de cualquier ‘empresa piblica, privada 0 comunitaria, o grupo. Se brindan ejemplos en el Apéndice A. 1.3 Definiciones Para el propésito de este Estandar se aplican las definiciones de abajo. 1.3.1 Aceptacién de riesgo: una decision informada de aceptar las consecuencias y probabilidad dde un riesgo en particular. 1.3.2 Administracion de riesgos: la cultura, procesos y estructuras que estan dirigidas hacia la ‘administracion efectiva de oportunidades potenciales y efectos adversos. 1.3.3 Anilisis érbol de eventos: una técnica que describe el rango y secuencia posibles de los productos que podrian surgir de un evento iniciado. 1.34 Andlisis arbol_de falas: un método de ingenieria de sistemas para representar las ‘combinaciones légicas de varios estados del sistema y causas posibles que pueden contribuir un evento especificado (denominado evento superior 0 “top event”). 1.3.5 Andlisis de modos y efectos (FMEA) un procedimiento por el cual se analizan ‘modos de fallas potenciales en un sistema técnico. Se puede extender un FMEA para realizar lo que se denomina andlisis de modo, efecto y criticidad de fallas (FMECA). En un FMECA, cada modo de falla identifcado es ordenado de acuerdo a la influencia combinada de su probabilidad de ocurrencia y severidad de sus consecuencias, 1.3.6 Andlisis de tlesga: un uso sistematico de la informacién disponible para determinar cuan frecuentamente pueden ocurtr eventos especificados y la magnitud de sus consecuencias,1.3.7 Analisis de sensibiidad: examina cémo varian los resultados de un célculo © modelo a medida que se cambian los supuestos o hipétesis individuales. 138 luna fuente de dafio potencial o una situacion con potencial para causar pérdidas. 1.3.9 Consecuencia: el producto de un evento expresado cualitatva 0 cuantitativamente, sea este una pérdida, perjuicio, desventsja o ganancia. Podria haber un rango de productos posibles asociados a un evento. 1.3.10 Control de_tiesgos: ta parte de administracién de riesgos que involucra la implementacién de polticas, estandares, procedimientos y cambios fisicos para eliminar o minimizar los riesgos adversos. 1.3.11 Coste: de las actividades, tanto directas como indirectas, involucrando cualquier impacto nnegativo, incluyendo pérdidas de dinero, de tiempo, de mano de obra, interrupciones, problemas de relaciones, politicas e intangibles. 1.3.12 Evaluacién de riesgo: el proceso global de andlsis de riesgo y evaluacién de riesgo, vor la Figura 3.1 1.3.43 Evaluacién de riesaos: el proceso utlizado para delerminar las prioridades de ‘administracion de’ riesgos comparando el nivel de riesgo respecto de estindares predeterminados, niveles de riesgo objetivos u otro criti. 1.3.14 Evento: un incidente o situacién, que ocurre en un lugar particular durante un intervalo de tiempo particular. 1.3.15 Evitar_un riesgo: una deci riesgo. 1.3.16 Einanciamiento de rlesgos: los métodos aplicados para fondear el tratamiento de riesgos y las conseouencias financieras de los riesgos. nota: En algunas industrias financiamiento de riesgos se reflere s6lo al fondeo de las consecuencias financieras de los riesgos. 1.3.17 Frecuencia: una medida del coeficiente de ocurrencia de un evento expresado como la Cantidad de ocurrencias de un evento en un tiempo dado. Ver también Probabiidad, 1.3.18 Identiicacibn de riesaos: el proceso de determinar qué puede suceder, por qué y eémo. 1.3.49 Ingenieria de riesaos: la aplicacion de principios y métodos de Ingenieria a la administracion de riesgos. 1.3.20 lnteresados: aquella gente y organizaciones que pueden afectar, ser afectados por, 0 percibir ellos mismos ser afectados, por una decisién o actividad. nota: El término puede inciuir también partes interesadas tal como lo define la ISO 14050:1998 y la ASINZS ISO 14004:1996. 1.3.21 Monitoreo: comprobar, supervisar, observar criticamente, o registrar el progreso de una actividad, accin o sistema en forma sistematica para identificar cambios, 1.3.22 Organizacién: una compatiia, firma, empresa o asociacién, u otra entidad legal o parte de ella, sea o no incorporada, publica 0 privada, que tiene sus propias funciones y administracién, 1.3.23, Pésdidar cualquier consecuencia negatva, financiera 0 de otro tipo. 1.3.24 Probabilidad: la probabilidad de un evento especifico 0 resultado, medido por el coaficiente de eventos 0 resultados especificos en relacién a la cantidad total de posibles eventos 0 resultados. La probabilidad se expresa como un ndmero entre 0 y 1, donde 0 indica un evento © resultado imposible y 1 indica un evento o resultado cierto. 1.3.25. Probablidad: utiizado como una descripcién cualitativa de probabilidad o frecuencia, 1.3.26 Proceso de _administracion_de_iesgos: la aplicacién sistemética de _politicas, procedimientos y practicas de administracién a las tareas de establecer el contexto, identifiar, anaiizar, evaluar, tratar, monitorear y comunicar riesgos. 1.3.27 Reduction de riesgos: una aplicacién selectiva de técnicas apropiadas y principios de ‘administracién para reducir las probabllidades de una ocurrencia, o sus consecuencias, 0 ambas, 1.3.28 Retencién de riesgos’ intencionaimente 0 sin intencién retener la responsabilidad por las pérdidas, ola carga financiera de las pérdidas dentro de la organizacién. informada de no verse involucrado en una situacién de1.3.29 Riesao residual: el nivel restante de riesgo luego de tomar medidas de tratamiento del riesgo. 4.3.30 Riesao: la posibiidad de que suceda algo que tendré un impacto sobre los objetivos. Se lo ‘mide en términos de consecuencias y probabilidades, 4.3.31 Transfeti riesgos: cambiar la responsabilidad 0 carga por las pérdidas a una tercera parte ‘mediante legislacién, contrato, seguros u otros medios. Transferir riesgos también se puede referir a cambiar un riesgo fisico, o parte el mismo a otro sitio. 1.3.32 Tratamiento de riesgos: seleccién e implementacién de opciones apropiadas para tratar el riesgo.2 Requerimientos de administracion de riesgos 2.1 Propésito El propésito de esta Seccién es descri sistematico de administracién de riesgos. lun proceso formal para establecer un programa Se necesita el desarrollo de una politica organizacional de administracién de riesgos y un ‘mecanismo de soporte con objeto de proveer una estructura para levar a cabo un programa de ‘administracion de rlesgos mas detallado a nivel sub-organizacional 0 de proyecto. 2.2 Politica de administracion de riesgos El ejecutivo de la organizacién debe defini y documentar su politica para administracién de Fiesgos, incluyendo objetivos para, y su compromiso con, la administracién de riesgos. La politica ‘de administracién de riesgos debe ser relevante para el contexto estratégico de la organizacién y para sus metas, objetivos y la naturaleza de su negocio. La gerencia aseguraré que esta politica es ‘comprendida, implementada y mantenida en todas los niveles de la organizacion, 2.3 Planeamiento y recursos 2.3.4 Compromiso gerencial La organizacién deberia asegurar que: a) se ha establecido, implementado y mantenido un sistema de adminis acuerdo con este Estandar; y b) se reporta el desempefio del sistema de administracion de riesgos @ la gerencia de la ‘organizacién para revision y como base para su mejor tracién de riesgos, de 2.32 Responsabilidad y autoridad Deberé definirse y documentarse la responsabilidad, autoridad e interrelaciones del personal que realiza y vetifica el trabajo que afecta la administracion de riesgos, particularmente para la gente que necesita la libertad y autoridad organizacional para realizar una o mas de las siguientes acciones: 2) Iniciar acciones para prevenir o reducir los efectos adversos de los riesgos; ') controlar e! tratamiento posterior de los riesgos hasta que el nivel de riesgo se haga ceptable; ©) identiicar y registrar cualquier problema relativo @ la administracién de riesgos; 4) Iniciar, recomendar o proveer soluciones a través de los canales asignados: )_verifcar ta implementacién de soluciones; y )comunicar y consultar intema y extemamente segin corresponda, 2.3.3 Recursos La organizacién debe identifcar los requerimientos de recursos y proveer recursos adecuados, incluyendo la asignacién de personal entrenado para las actividades de administracién, desempetio del trabajo, y verificacién incluyendo la revisin interna,2.4 Programa de implementacién ‘Se requiere seguir una cantidad de pasos para implementar un sistema efectivo de administracion de riesgos dentro de una organizacion. En el Apéndice B se proveen ejemplos. Dependiendo de la flosofia, cultura y estructura general de administracion de riesgos de la organizacién, deberia ser posible combinar u omitir ciertos pasos. Sin embargo, deberian considerarse todos los pasos, 2.5 Revision gerencial El ejecutivo de la organizacién debe asegurar que se lieve a cabo una revisién del sistema de ‘administracion de riesgos a intervalos especificados, suficiente para asegurar su continua Conformidad y efectividad para satisfacer los requerimientos de este Estandar, y las politicas y objetivs de administracion db riesgos establecidos en la organizacién (ver Ciausula 2.2). Debera llevarse un registro de tales revisiones.4 ~ Vista general de la administracion de riesgos 3.1 General. La administracion de iesgos es una parte intogral del proceso de administracion. La adminstracién de riesgos es un proceso multifacético, aspectos apropiados del cual son a menudo llevados a ‘cabo mejor por un equipo multidiscipinario. Es un proceso iterativo de mejora continua, 3.2 Elementos principales Los elementos principales del proceso de administracién de riesgos, como se muestra en la figura igura 3.1, son los siguientes: 2) Establecer el contexto Establecer el contexto estratégico, organizacional y de administracién de riesgos en el cual tendré lugar el resto del proceso. Deberian establecerse criterios contra los cuales se ‘evaluaran los riesgos y definrse la estructura del andlisis. by Identiicar riesgos Identiicar qué, por qué y cémo pueden surgir las cosas como base para andlisis posterior. ©) Analizar riesgos i Determinar los controles existentes y analizar riesgos en términos de consecuencias y probabilidades en el contexto de esos controles. El andlisis deberfa considerar el rango de consecuencias potenciales y cuén probable es que ocurran esas consecuencias, Consecuencias y probabiidades pueden ser combinadas para producir un nivel estimado de riesgo. 6) Evaluarriesgos ‘Comparar niveles estimados de riesgos contra los crterios preestablectdos, Esto posibiita que los riesgos sean ordenados como para identificar las prioridades a ‘administracion. Si los niveles de riesgo establecidos son bajos, los riesgos podrian caer en tuna categoria aceptable y no se requeriria un tratamiento. ©) Tratar riesgos Aceptar y monitorear los riesgos de baja prioridad. Para otros riesgos, desarrollar & Jimplementar un plan de administracion especifice que incluya consideraciones de fondeo. 1) Monitorear y revisar Monitorear y revisar el desempefio del sistema de administracién de riesgos y los cambios {que podrian afectario. 9) Comunicar y consultar Comunicar y consultar con interesados internos y extemos segin corresponda en cada etapa del proceso de administracién de riesgos y concemiendo al proceso como un todo. La administracién de riesgos se puede aplicar en una organizacién a muchas niveles. Se lo Puede aplicar a nivel estratégico y a niveles operatives. Se lo puede aplicar a proyectos especificos, para asistir con decisiones especificas o para administrar areas especificas reconocidas de riesgo. La administracién de riesgos es un proceso iterative que puede contribuir @ la mejora corganizacional. Con cada ciclo, los criterios de riesgos se pueden fortalecer para alcanzar progresivamente mejores niveles de administracién de riesgos. Para cada etapa del proceso deberian llevarse registros adecuados, suficientes como para satisfacer a una auditoria independiente,-— __[Establecerelcontexto |, i 8 sf eenticarsesgos > F 2 e i Aralzariesges _f—4 & 3 i i 2h evatuorricssos _f-—9 2 f+ tatarvsaos | 3.1 Vista General dela Administracion de Riesgos4 4.1 Establecer el contexto Proceso de administraci6n de riesgos 4.4.4 General En la Figura 4.1 se muestran los detalles del proceso de administracién de riesgos. El proceso ocurre dentro de la estructura del contexto estratégico, organizacional y de administracién de riesgos de una organizacién. Esto necesita ser establecido para definir los parémetros basicas dentro de los cuales deben administrarse los riesgos y para proveer una guia para las decisiones dentro de estudios de administracién de riesgos mas detallados. Esto establece el alcance para el resto del proceso de administracién de riesgos. 4.4.2 Establecer el contexto estratégico Definir la relacién entre la organizacién y su entomo, identificando las fortalezas, debilidades, oportunidades y amenazas de la organizacién. El contexto incluye los aspectos financieros, operatives, competitivos, politicos (percepciones piblicas / imagen), sociales, de. clientes, cailturales y legales de las funciones de la organizacion dentificar los interesados internos y extemos, y considerar sus objetivos, tomar en cuenta sus percepciones, y establecer politicas de comunicacién con estas partes. nota: El apéndice C establece una lista de interesados potenciales. Este paso esti focalizado en el fentomo en el cual opera la organizacién. La organizacién deberia buscar determinar los elementos ccruciales que podrian sustentar o dificultar su habllidad para aiministrar los riesgos que enfrenta. Puede llevarse a cabo un andlisis estratégico. El mismo deberia ser endosado al nivel ejecutivo, ppara que establezca los parémetros basicos y provea una guia en los procesos mas detallados de administracién de riesgos. Deberia existi una estrecha relacion entre la mision u objetivos festratégicos de una organizacién y la administracién de todos los riesgos a los cuales esta expuesta, 4.4.3 Establecer el contoxto organizacional ‘Antes de comenzar un estudio de administracién de riesgos, es necesario comprender ta crganizacién y sus capacidades, asi como sus metas y objeives y las estrategias que estan vigentes para lograros. Esto es importante por las siguientes razones: 2) La edministracion de riesgos tiene lugar en el contexto de las amplias metas, objetives y estrategias de la organizacién; 1») La falla en lograr los objetivos de la organizacién, o de una actividad espectica, 0 proyecto fen consideracién, es un conjunto de riesgos que deberia ser administrado; «) La politca y metas de la organizacién ayudan a defini los criteios mediante los cuales se decide si un riesgo es aceptable 0 no, y constiuye la base para las opciones de tratamiento. 4.4.4 Establecer el contexto de administracion de riesgos Deberian establecerse las metas, objetivos, estrategias, alcance y pardmetros de la actividad, 0 parte de la organizacion a la cual se esta aplicando el proceso de administracién de riesgos. El [proceso deberia ser llevado @ cabo con plena consideracién de la necesidad de balancear costos, beneficios y oportunidades. 10‘También deberian especiicarse los recursos requeridos y los registros que se van a llevar. Establecer el alcance y los limites de una aplicacién de! proceso de administracién de riesgos involucra: '2) Definir el proyecto o actividad y establecer sus metas y objetivos; ) Definic fa extensién del proyecto en tiempo y ubicacion; ‘c) Identificar cualquier estudio necesario y su alcance, objetivos y recursos requeridos. Pueden proveer una guia para esto las fuentes genéricas de riesgo y las areas de impacto. nota: Para obtener ejemplos de fuentes genéricas de riesgo y sus dreas de impacto ‘consultar el Apéndice D. 4d) Definir el alcance y amplitud de las actividades de administracién de riesgos a levar a cabo. Los aspectos especificos que también podtian ser discutidos incluyen lo siguiente: i. Los roles y responsabilidades de las distintas partes de la organizacién {que participan en la administracin de riesgos; li, Las relaciones entre el proyecto y otros proyectos o partes de la organizacién. 4.4.5 Desarroliarcriterios de evaluacién de riesgos Decidir los criterios contra los cuales se va a evaluar el riesgo. Las decisiones concemientes a ‘aceplabilidad de riesgos y tratamiento de riesgos pueden basarse en criterios operativos, técnicos, financieros, legales, sociales, humanitarios u otros. Esto a menudo depende de las politicas, metas ¥ objetivos intemnos de la organizacion y de los intereses de las demas partes interesadas, Los criterios pueden estar afectados por percepciones intemas y extemas y por requerimientos legales. Es importante que los criterios apropiados sean determinados al comienzo. ‘Aunque los crterios de riesgo son inicialmente desarrollados como parte del establecimiento del ontexto de administracién de riesgos, los mismos pueden ser posteriormente desarrollados y refinados a medida que se identifican riesgos particulares y se seleccionan técnicas de andlisis de riesgos, ej: os crterios de riesgo deben corresponder al tipo de riesgos y a la forma en que se ‘expresan los niveles de riesgo, 4.4.6 Defini la estructura Esto involucra separer la actividad o proyecto en un conjunto de elementos. Estos elementos proven una estructura légica para identiicacién y andlisis lo cual ayuda a asegurar que no se pasen por alto riesgos significativos. La estructura seleccionada depende de la naturaleza de los riesgos y del alcance del proyecto o actividad "1+—+|:seteeeiy seqnsuod A seoqunwoD, JBSIA0Y A BIO] ‘Pregame nueedetsumane Senamaro pases eee 4.1 Proceso de Administracin de Riesgos 4.2 \dentificacion de riesgos 42.4 General Este paso busca identificar los riesgos a administra. Es critica una identificacién amplia utlizando lun proceso sistematico bien estructurado, porque los riesgos potenciales que no se identifican en esta etapa son exciuidos de un andlisis posterior. La identiicacién deberia incluir todos los riesgos, ‘estén 0 no bajo control de la organizacién. 4.2.2 Qué puede suceder La intencién es generar una lista amplia de eventos que podrian afectar a cada elemento de la estructura referida en la Cldusula 4.1.8. Estos son iuego considerados en mayor detalle para identiicar lo que puede suceder. nota: El apéndice D prove informacién sobre las fuentes genéricas de riesgo y sus areas de impacto, 4.2.3 Cémo y por qué pueden suceder 12Habiendo identificado una lista de eventos, es necesario considerar causas y escenarios posibies. Hay muchas formas en que se puede iniciar un evento. Es importante que no se omitan las causas significativa. 4.2.4 Herramientas y técnicas Los enfoques utiizados para identificar riesgos incluyen “checklists’, juicios basados en la experiencia y en los registros, diagramas de fujo, ‘brainstorming’, andlisis de sistemas, analisis de escenarias y técnicas de ingeniria de sistemas. El enfoque utilizado dependerd de la naturaleza de las actividades bajo revision y los tipos de resgos. 4.3 Anilisis de riesgos 4.34 General Los objetivos de andlisis son separar los riesgos menores aceptables de los riesgos mayores, y proveer datos para asistr en la evaluacién y tratamiento de los riesgos. El andlisis de riesgos involucra prestar consideracién a las fuentes de riesgos, sus consecuencias y las probabilidades de que puedan ocurrir esas consecuencias, Pueden Identificarse. los factores que afectan a las ‘consecuencias y probabilidades. Se analiza el riesgo aombinando estimaciones de consecuencias yy probablidades en el contexto de las medidas de control existentes, Se puede llevar a cabo un andlisis preliminar para excluir del estudio detallado los riesgos similares ‘0 de bajo impacto, De ser posible los riesgos exciuidos deberian listarse para demostrar que se realiz6 un andlisis de riesgos completo. 4.3.2 Determinar los controles existentes Identiicar la administracién, sistemas técnicos y procedimientos existentes para controlar los riesgos y evaluar sus fortalezas y debilidades, Pueden ser apropiadas las herramientas utlizadas en 4.2.4, como asimismo los enfoques tales como inspecciones y técnicas de auto-evaluacion de controles (‘CSA’), 4.3.3 Consecuencias y probabilidades La magnitud de las consecuencias de un evento, si el mismo courier y la probabilidad del evento y sus consecuencias asociadas, se evaldan en el contexto de los controles existentes. Las Consecuencias y probabiidades se combinan para producir un nivel de riesgo. Se pueden determinar las consecuencias y probebilidades utlizando anélisis y cdlculos estadistics. ‘Altemativamente cuando no se dispone de datos anteriores, se pueden realizar estimaciones subjetivas que reflejan el grado de conviccén de un individuo © gtupo de que podré ocurir un evento 0 resultado particular. Para evitar prejuicos subjetvos cuando se analizan consecuencias y probabilidades, deberian llizarse las mejores técnicas y fuentes de informacién disponibles. Se pueden inciur as siguientes fuentes de inforracién '2). Registros anteriores; ) Experiencia relevant ©) Précticas y experiencia de la industria; 4) Literatura relevante publicada; ‘e) Comprobaciones de marketing e investigaciones de mercado: 4) Experimentos y prototipos; @) Modelos econémicos, de ingenieria u otros; Fh) Opiniones y juicios de especialistas y experts. 13Las técnicas incluyen: i) entrevistas estructuradas con expertos en el area de interés; ii utilizacién de grupos multidisciplinarios de expertos; i) evaluaciones individuales utlizando cuestionarios; iv) uso de modelos de computador u otros; y ¥) uso de arboies de fallas y arboles de eventos. ‘Siempre que sea posible, deberia inclurse el nivel de confianza asignado a las estimaciones de los niveles de riesgo. 4.3.4 Tipos de andlisis, El andlisis de riesgos pueden ser llevado con distinlos grados de refinamiento dependiendo de la informacion de riesgos y datos disponibles. Dependiendo de las circunstancias, el andlisis puede ser cualitativo, semi-cuantitatvo 0 cuantitativo o una combinacién de estos. El orden de complejidad y ‘costos de estos andlisis en orden ascendente, es cualitativo, semi-cuantitativo y ‘cuantitativo. En la préctica, a menudo se ultiiza primero el andlisis cualitatvo para obtener una indicacién general del nivel de riesgo. Luego puede ser necesario llevar a cabo un andlisis ‘cuantitativo mas especifico. El detalle de los tipos de andlisis es el siguiente: a) Analisis cualitativo El anélisis cualitativo utliza formatos de palabras 0 escalas descriptivas para deseribir la magnitud_de las consecuencias potenciales y la probabilidad de que esas consecuencias ‘ocurran, Estas escalas se pueden modificar o ajustar para adaplarias a las circunstancias, ¥ se pueden utiizar distintas descripciones para riesgos diferentes. nota: Las tablas E1 y E2 del Apéndice E muestran ejemplos de escalas simples ‘cualitatvas 0 descriptivas para probabilidades y consecuencias. La tabla E3 es un ejemplo de una matriz en la cual los riesgos estén asignados a clases de priordad mediante la combinacién de su probabilidad y consecuencia. Se necesita adaplar estas tablas para satisfacer las necesidades de una organizacién individual o la materia particular de evaluacién de riesgos. El analisis cualitativo se utiliza: i, como una actividad inicial de tamiz, pata identificar los riesgos que requieren un andlisis més detallado; li, cuando el nivel de riesgo no justia el tiempo y esfuerzo requeride para Un andlisis mas completo; 0 li cuando los datos numéricos son inadecuados para un andlisis cuantitativo, b) Anélisis semi-cuanttativo En el andlisis semi-cuantitativo, a las escalas cualtativas, tales como las descriptas arriba, se les asignan valores. El nimero asignado a cada descripcién no tiene que guardar una relacién precisa con la magnitud real de las consecuencias o probabilidades. Los niimeros pueden ser combinados en cualquier rango de férmula dado que el sistema utlizado para priorizer confronta el sistema seleccionado para asignar nimeros y combinarios. El objetivo es producir un ordenamiento de prioridades mas detallado que el que se logra normalmente en el andlisis cualitavo, y no sugerir valores realistas para los riesgos tales ‘como los que se procuran en el andiisis cuantitativo. Se debe tener cuidado con el uso del andlisis semi-cuanttativo porque los nimeros seleccionados podrian no reflejar apropiadamente las relatividades, lo que podria conducir ‘a resultados inconsistentes. El andlisis semi-cuantitativo puede no diferenciar apropiadamente entre distintos riesgos, particularmente cuando las consecuencias o las probabilidades son extremas. 14‘A veces es apropiado considerar la probablidad compuesta de dos elementos, a los que se reflere generaimente como frecuencia de la exposicién y probabilidad. Frecuencia de la exposicion es la extension a la cual una fuente de riesgo existe, y probabilidad es la chance de que, cuando existe esa fuente de riesgo, le seguirdn las consecuencias. Deberd ejercerse precaucién en las situaciones en que las relaciones entre les dos elementos no es completamente independiente, ej. Cuando hay una fuerte relacién centre frecuencia de la exposicion y la probabilidad. Este enfoque se puede aplicar en el andlisis semi-cuantitativo y cuantitativo ©) Analisis cuantitativo El andlisis cuantitativo ulliza valores numéricos para las consecuencias y probabilidades (en lugar de las escalas descriptivas utlizadas en los andlisis cualitatos y semi- Ccuantitaves) utiizando datos de distintas fuentes (tales como las mencionadas en los sub- pparrafos (a) a (h) de la Cldusula 4.3.3). La calidad del andlisis depende de la precisién € integridad de los valores numéricos utlizados, Las consecuencias pueden ser estimadas modelando Ios resultados de un evento o cconjunto de eventos, 0 extrapolando a partir de estudios experimentales 0 datos del pasado. Las consecuencias pueden ser expresadas en términos de crterios monetarios, ‘téenicos 0 humanos, o cualquier otro criterio referido en la Ciéusula 4.1.8. En algunos cases se requiere més de un valor numérico para especificar las consecuencias para distintos momentos, lugares, grupos o situaciones. La probabildad es expresada goneralmente como una probabilidad, una frecuencia, © una ‘combinacion de exposicién y probablldad La forma en que se expresan las probabilidades y las consecuencias y las formas en que las mismas son combinadas para proveer un nivel de riesgo variaran de acuerdo con el tipo de riesgo y el contexto en el cual se va a utlizar ei nivel de riesgo. nota: En el Apéndice F se brindan algunas ejemplos de expresiones de riesgo cuantitativo. 4.3.5 Andlisis de sensibilidad Dado que algunas de las estimaciones realizadas en el andlisis cuantitativo son imprecisas, deberd lWevarse a cabo un anidlisis de sensibiidad para comprobar el efecto de los cambios en los ‘supuestos y en los datos, 4.4 Evaluacién de riesgos La eveluacién de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de andlisis con eriterios de riesgo establecidos previamente, EI anadlisis de riesgo y las criterios contra los cuales se comparan los riesgos en la evaluacién de riesgos deberian considerarse sobre la misma base. En consecuencia, la evaluacién cualitativa involucra la comparacion de un nivel cualitative de riesgo contra criterios cuaiitativos, y la fevaluacién cuantitativa involucra la comparacién de un nivel numérico de riesgo contra criterios que pueden ser expresados como un nimero especifco, tal como, un valor de fatalidad, frecuencia 0 ‘monetatio. El producto de una evaluacién de riesgo es una lista de riesgos con prioridades para una accién posterior. Deberian considerarse los objetivos de la organizacién y el grado de oportunidad que podrian resultar de tomar el riesgo. LLas decisiones deben tener en cuenta el amplio contexto del riesgo e incluir consideracion de ta ‘olerabilidad de los riesgos sostenidos por las partes fuera de la organizacién que se benefician de ellos. 15i los riesgos resultantes caen dentro de las categorias de riesgos bajos o aceptables, pueden ser aceptados con un tratamiento futufo minimo. Los riesgos bajos y aceptados deberian ser ‘monitoreados y revisados periédicamente para asegurar que se mantienen aceptables, Si los riesgos no caen dentro de la categoria de riesgos bajos o aceptables, deberian ser tratados utiizando una o mas de las opciones consideradas en la Clausula 4.5, 4.5 Tratamiento de los riesgos_ El tratamiento de los riesgos involucra identificar el rango de opciones para tratar los riesgos, evaluar esas opciones, preparer planes para tratamiento de los riesgos e implementaros. 4.5.1 Identiicar opciones para tratamiento de los riesgos La Figura 4.2 ilustra el proceso de tratamiento de los riesgos. Las opciones, que no son ecesariamente mutuamente exclusivas y apropiadas en todas las circunstencias, incluyen lo siguiente: ). Evilar el riesgo decidiendo no proceder con la actividad qie probablemente generaria el riesgo (cuando esto es practicable). Evitar rlesgos puede ocurtir nadecuadamente por una actitud de aversin al riesgo, que es tuna tendencia en mucha gente (a menudo influenciada por el sistema interno de una organizacién). Eviter inadecuadamente algunos riesgos puede aumentar la significacién de otros. : Laaversién a riesgos tiene como resultado: i) decisiones de evitar 0 ignorar riesgos independientemente de la informacion disponible y de los costos incurridos en el tratamiento de esos riesgos. ii) fallas en tratar os riesgos; i) dejar las opciones criticas ylo decisiones en otras partes; ¥) iter las decisiones que la organizacién no puede evitar; 0 ¥) __seleccionar una opcién porque representa un riesgo potencial més bajo independientemente de los beneficios. b) Reducir la probabilidad de la ocurrencia nota: Se muestran ejemplos en el Apéndice G. ©) Reducir las consecuencias nota: Se muestran ejemplos en el Apéndice G. 4) Transfer los lesgos Esto involucra que otra parte soporte o comparta parte del riesgo. Los mecanismos incluyen el uso de contratos, areglos de seguros y estructuras organizacionales tales ‘como sociedades y joint ventures” La transferencia de un riesgo 2 otras partes, o la transferencia fisica a otros lugares, reducira el riesgo para la organizacién original, pero puede no disminuir el nivel general del ‘riesgo para la sociedad. ‘Cuando los riesgos son total o parcialmente transferidos, la organizacién que transfiere los riesgos ha adquirido un nuevo riesgo, que la organizacién a la cual ha transferido el riesgo ‘no pueda administrario efectivamente, @) Retener los riesgos Luego de que los riesgos hayan sido reducidos 0 transferidos, podria haber riesgos residuales que sean retenidos. Deberian ponerse en practica anes para administrar las consecuencias de esos riesgos si los mismos ocurrieran, incluyendo identificar medios de financiar dichos riesgos. Los riesgos también pueden ser retenidos en forma predeterminada, ej. cuando hay una falla para identifcar y/o transferir apropladamente o de otro modo tratar os riesgos. 16Tego wanes yarkeno Gry enerpp) seynsuoa kzeannwoD 4.2 Proceso de Tratamiento de Riesgos ‘Ala reduccién de las consecuencias y probabilidades se las puede referir como control de riesgos. El control de riesgos involucra determinar el beneficio relative de nuevos controles @ la luz de la ‘efectividad de los controles existentes. Los controles pueden involuerar politicas de efectividad, procedimientos 0 cambios fisicos, 4.5.2 Evaluar opciones de tratamiento de los riesgos ‘Las opciones deberian ser evaluadas sobre la base del alcance de la reduccién del riesgo, y el alcance de cualquier beneficio v oportunidad adicional creadas, tomando en cuenta los criterios desarrollados en la Cldusula 4.1.5, Pueden considerarse y aplicarse una cantidad de opciones ya sea individualmente o combinadas. La seleccion de la opcién mas apropiada involucra balancear el costo de implementar cada opcién contra los beneficios derivados de la misma. En general, e! costo de administrar los riesgos necesita ser conmensurada con los beneficios obtenidos. Cuando se pueden obtener grandes reducciones en el riesgo con un gasto relativamente bajo, tales opciones deberian implementarse. Otras opciones de mejoras pueden ser no econémicas y necesita ejercerse el juicio para establecer si son justificables. Esto se ilustra en la Figura 4.3. Las decisiones deberian tener en cuenta la necesidad de considerar cuidadosamente los riesgos raros pero severos, que podrian justicar medidas de seguridad que no son justificables por fundamentos estrictamente econémicos 7z z e Ieptenentar &| Vata 3 £ ‘Valier & ‘juice & minis 2 ‘Costa de veducir riesgo @) 43 Costo de as Medidas de Reduceién de Riesgos En general el impacto adverso de los riesgos deberia hacerse tan bajo como sea razonablemente practicable, independientemente de cualquier criterio absolute, Si el nivel de riesgo es alto, pero podrian resultar oportunidades considerables si se lo asume, tal ‘coma el uso de una nueva tecnologia, entonces la aceptacién del riesgo necesita estar basada en luna evaluacién de los costos de tratamiento y los costos de rectificar las consecuencias Potenciales versus las oportunidades que podrian depararse de tomar el riesgo. En muchos casos, es improbable que cualquier opcién de tratamiento del riesgo sea una solucién ‘completa para un problema particular. A menudo la organizacién se beneficiaré sustancialmente mediante una combinacién de opciones tales como reduc la probablidad de los riesgos, reducir 54s consecuencias, y transferir 0 retener algunos riesgos residuales. Un ejemplo es el uso efectivo de contratos y la financiacién de esgos sustentados por un programa de reduccién de riesgos. ‘Cuando el costo acumulado de implementacién de todos los tratamientos de riesgos excede el presupuesto disponible, el plan deberia identiicar claramente el orden de prioridad bajo el cual deberian implementarse los tratamientos individuales de los riesgos. El ordenamiento de priorided puede establecerse utlizando distintas técnicas, incluyendo andlisis de ‘ranking" de riesgos y de costo-beneficio. Los tratamientos de riesgos que no puedan ser implementados dentro de los limites del presupuesto disponible deben esperar la disponibilidad de recursos de financiamiento adicionales, 0, si por cualquier razén todos 0 algunos de los tratamientos restantes son considerados importantes, debe plantearse el problema para conseguir el fnanciamiento adicional. Las opciones de tratamiento de los riesgos deberian considerar cémo es percibido el riesgo por las partes afectadas y las formas més apropiadas de comunicdrselo a dichas partes. 4.5.3 Preparar planes de tratamiento Los planes deberian documentar eémo deben ser implementadas las opciones seleccionadas. El plan de tratamiento deberia identifica las responsabiidades, e! programa, los resultados ‘esperados de los tratamientos, el presupuesto, las medidas de desempetio y el proceso de revision a establecer. nota: Para mayores detalles consultar Parte HS, Apéndice H. El plan también deberia incivir un mecanismo para evaluar la implementacién de las opciones contra criterios de desempefo, las responsabilidades individuales y otros objetivos, y para ‘monitorear los mojones criticos de implementacién, 18Figura 4.3 Costo de las medidas de reduccién de riesgos. 4.5.4 Implementar planes de tratamiento Idealmente, la responsabilidad por el tratamiento del riesgo deberia ser levada a cabo por aquellos ‘con mejor posiblidad de controlar el riesgo. Las responsabiidades deberian ser acordadas entre Jas partes en el momento mas temprano posible. La implementacién exitosa de! plan de tratamiento del riesgo requiere un sistema efectivo de administracion que especifique los métodos seleccionados, asigne responsabiidades ‘compromisos individuales por las acciones, y los monitoree respecto de criterios especiticados, ‘Si luego del tratamiento hay un riesgo residual, deberia tomarse la decision de si retener este Fiesgo 0 repetir el proceso de tratamiento. 4.6 Monitoreo y revision Es necesario moritorear los riesgos, la efectividad de! plan de tratamiento de los riesgos, las estrategias y el sistema de administracion que se establece para controlar Ia implementacién. Los fiesgos y la efectividad de las medidas de control necesitan ser monitoreadas para asegurar que las circunstancias cambiantes no alteren las prioridades de los riesgos. Pocos riesgos permanecen estaticos, Es esencial una revision sobre la marcha para asegurar que el plan de administracién se mantiene relevante. Pueden cambiar los factores que podrian afectar las probabilidades y consecuencias de lun resultado, como también los factores que afectan la conveniencia 0 costos de las cistintas opciones de tratamiento, En consecuencia, es necesario repetir regularmente el ciclo de administracion de riesgos. La revision es una parte integral del plan de tratamiento de la administracién de riesgos. 4.7 Comunicaciéon y consulta La comunicacién y consulta son una consideracién importante en cada paso del proceso de administracion de riesgos, Es importante desarrollar un plan de comunicacién para los interesados internos y extemos en la etapa més temprana del proceso. Este plan deberia encarar aspectos relatives al riesgo en si mismo y al proceso para administraro. La comunicacién y consulta involuera un dialog en ambas direcciones entre los interesados, con fl esfuerzo focalizado en la consulta més que un fiyjo de informacién en un sélo sentido del tomador de decisién hacia fos interesados. Es importante la comunicacién efectiva intema y extema para asegurar que aquellos responsables ppor implementar la administracién de riesgos, y aquellos con intereses creados comprenden la ‘base sobre la cual se toman las decisiones y por qué se requieren ciertas acciones en particular. Las percepciones de los riesgos pueden variar debido a diferencias en los supuestos, conceptos, Jas necesidades, aspectos y preocupaciones de los interesados, segin se relacionen con el riesgo © los aspectos bajo discusién. Los interesados probablemente harén juicios de aceptabilidad de los riesgos basados en su percepeién de los mismos. Dado que los interesados pueden tener un impacto significative en las decisiones tomadas, es importante que sus percepciones de los riesgos, asi como, sus percepciones de los beneficios, sean identifcadas y decumentadas y las razones subyacentes para las mismas comprendidas y tenidas en cuenta, 19Documentaci6n 5.1 General Deberia documentarse cada etapa del proceso de administracion de riesgos. La documentacién deberiaincluir los supuestos, los métodios, las fuentes de datos y los resultados, 5.2 Razones para la documentacién Las razones para la documentacion son las siguientes: a) b) °) a) 2) o) 9 hy ‘demostrar que el proceso es conducido apropiadamente; prover evidencia de un enfoque sistematico de identiicacién y andlisis de riesgos; prover un registro de los riesgos y desarrollar la base de datos de conocimientos de la ‘organizacién; prover a los tomadores de decision relevantes de un plan de administracién de riesgos para aprobacin y subsiguiente implementacién: roveer un mecanismo y herramienta de responsabilidad; faciltar el continuo monitoreo y revision; prover una pista de aucitora; y ‘compartir y comunicar informacién. Las decisiones concernientes al alcance de la documentacién pueden involucrar costes y bbeneficios y deberian tomar en consideracién los factores mencionados arriba. Gula: Para asistir y dar alguna guia acerca de la documentacién apropiada, se proveen ejemplos. en el Apéndice H. Estos ejemplos son indicatives mas que comprensivos, 20‘~. Aplicaciones de la administracion de riesgos ‘AM Organizaciones Este Esténdar puede aplicarse a un rango muy amplio de organizaciones incluyendo: a) publicas: nacionales, regionales, locales; )_ comerciales: = compatiias, joint ventures", firmas, franquicias, practicas exclusivas; y ©). voluntarias: mde caridad, sociales, deportivas. A2 Aplicaciones El Estandar tiene un amplio rango de aplicaciones inciuyendo, pero no circunscrito a: {) administracién de activos y planeamiento de recursos; il) Interrupcién del negocio; ) cambios: organizacionales, tecnolégicos y politicos; 'v) actividad de construccién; ¥v) planeamiento de contingencia, para desastres y emergencias; responsabilidades de disefio y producto; vil) responsabiidades de directores y funcionarios; vil) procedimientos, entrenamiento, discriminacién y acoso en empleos; ix) aspectos ambientales; x) aspectos éticos y de probidad; xi) estudios de factbiidad; xi) deteccién de incendios / prevencién de incendios; xii) operaciones de cambio monetario; Xiv) prevencién, deteccién y administracién de fraudes: xy) Sanidad humana, animal y vegetal; xvi) sistemas de informacién / redes de computacién; il iversiones; xvi) cumplimiento legistativo; xix) salud y seguridad ocupacional; xx) sistemas de operaciones y mantenimiento; xi) administracion de proyectos; ) riesgo publica y responsabilidad general; >exil) administracion de contratos de compra; xxiv) asesoramiento profesional; 2exv) aspectos de reputacién e imagen; x) seguridad; veevi) transporte incluyendo aire, mar, carretera, ferrocartl y >owvil) tesoreria y finanzas. 241Pasos en el desarrollo e implementacion de un programa de administracion de riesgos Paso 1: Respaldo de la alta gerencia Desarrollar una fiosofia de administracién de riesgos organizacional y toma de conciencia sobre ‘riesgos' a nivel de la alta gerencia. Esto podria ser faclitado mediante entrenamiento, educacién y sintesis a la gerencia ejecutiva. ‘+ Es necesario el apoyo permanentemente activo del Presidente (CEO) de la organizacién, © Se necesita que patrocine la iniciativa un gerente ejecutivo principal o un “campeén’ similar (© un grupo). ‘+ Todos los ejacutivos principales deben dar pleno apoyo. Paso 2: Desarrollar la politica organizacional Desarrolar y documentar una politica y estructura corporativa para administrar los riesgos, a ser endosada por el ejecutivo de la organizacion e implementada en toda la organizacién. La politica debe incluirinformacién tal como: los objetivos de la politica y explicacion para administra los riesgos; tos vinculos entre la poiica y el plan estratéaico / corporativo de la organizacién; €lalcance, 0 el rango de aspectos a los cuales so aplica la poltica; {guia de lo que puede ser considerado como riesgo aceptable; 4uién es responsable por administrarriesgos; el apoyo / capacidad disponibles para asistir a los responsables de administrar riesgos; el nivel de documentacion requerido; y el plan para revisar el desempefio organizacional en relacién con la politica. Paso ; Comunicar la politica Desarrollar, establecer e implementar una infraestructura o medidas para asegurar que la ‘administracién de riesgos se convierte en una parte integral de los procesos de planeamiento y _administracién y de la cultura general de la organizacién. Esto puede incuir ‘*establecer un equipo que comprenda personal de alta gerencia para ser responsable por las comunicaciones intemas acerca de la politica; procurar la toma de conciencia acerca de la administracién de riesgos; ‘comunicacién / didlogo en toda la organizacién acerca de administracién de riesgos y la politica de la organizacién; ‘= aduirir pericia en administracién de riesgos, ej: consultores, y desarrollar destrezas en el personal a través de la educacién y capacitacién; ‘asegurar niveles apropiados de reconocimiento, recompensas y sanciones; y establecer procesos de administracion de desempefo. Paso 4: Administrar riesgos a nivel organizacional Desarrollar y establecer un programa para administrar riesgos a nivel organizacional a través de la aplicacién del sistema de administracién de riesgos descrito en la Seccién 2. El proceso de 22administracién de riesgos deberia estar integrado con los procesos de planeamiento estratégico y ‘administracion de la organizacion, Esto involucrara documentar; cel contexto de la organizacién y de la administracion de riesgos; los riesgos identificados para la organizacién; 1 analisis y evaluacién de estos riesgos; las estrategias de tratamiento; Jos mecanismos para revisar el programa; y las estrategias para procurar la toma de conciencia, la adquisicién de pericia, la capacitacién y la educacién. Paso 5: Administrar riesgos a nivel de programa, proyecto y equipo Desarrollat_y establecer un programa para administrar los riesgos para cada érea sub- lorganizacional, programa, proyecto © actividad de equipo a través de la aplicacién del proceso de ‘administracion de riasgas descrito en la Seccién 4. E1 proceso para administrar riesgos deberia estar integrado con otfas actividades de planeamionto y administracién. Deberia documentarse el proceso seguido, las decisiones tomadas y las acciones planeadas. Paso 6: Monitorear y revisar Desarrollar y aplicar mecanismos para asegurar revisiones de los riesgos sobre la marcha. Esto aseguraré que la implementacién y la politica de administracién de riesgos se mantenga relevante, dado que las circunstancias cambian todo el tiempo y se hace vital la revision de las decisiones anteriores. Los riesgos no son estaticos. También deberia monitorearse y revisarse la efectividad del proceso de administracion de riesgos. 231 C Interesados Interesados son aquellos individuos que estén, o perciben estar, afectados por una decisién o actividad. Etlos pueden inclui: individuos dentro de la organizacién, tales como los empleados, la gerencia, la alta sgerencia, y voluntarios; tomadores de decisiones; ‘contrapartes de negocios 0 comerciales; ‘grupos de empleados; ‘grupos sindicale: instituciones financieras; corganizaciones de seguros: reguladores y otras organizaciones gubemamentales que tienen autoridad sobre las, actividades; politicos (a todos los niveles del gobierno) que pudieran tener un interés electoral o de cartera; ‘organizaciones no-gubernamentales tales como grupos ambientales y grupos de interés pico; clientes; proveedores, proveedores de servicios y contratistas para la actividad; los medios, que son interesados potenciales, como también, conductos de informacion a ‘otros interesados; individuos 0 grupos que estén interesados en aspectos relacionados con la propuesta; ‘comunidades locales; y la sociedad como un todo. La mezcia de interesados puede cambiar con el tiempo. Nuevos interesados pueden unirse y desear ser considerados, mientras que otros podrian quedar excluidos al no estar més involucrados en el proceso. Consecuentemente, el proceso de andlisis de interesados deberia ser ‘continuo, y como tal, deberia ser parte integrante del proceso de administracién de riesgos. El nivel ¢ preocupacién de los interesados puede cambiar en respuesta a nueva informacién, ya sea porque se han encarado las necesidades y preocupaciones de los interesados, 0 porque ‘nueva informacién ha dado lugar a nuevas necesidades, aspectos o preocupaciones. Notese también que distintos interesados podrian tener diferentes opiniones y diferentes niveles de conocimiento en relacién a un aspecto en particular. 24Fuentes genéricas de riesgo y sus areas de impacto D1 General La identificacién de fuentes de riesgo y areas de Impacto provee una estructura para identificacién y andlisis de riesgos. A ralz de la gran cantidad potencial de fuentes e impactos, desarrollar una lista genérica focaliza las actividades de identificacion de riesgos y contribuye a una administracion més efectiva. Las fuentes de riesgo y éreas de impacto genéricas son seleccionadas de acuerdo a su relevancia para la actividad bajo estudio (ver Cléusulas 4.1.4 y 4.2.2). Los componentes de cada categoria genérica pueden formar la base para un estudio completo de riesgos. D2 Fuentes de riesgo Cada fuente genérica tiene numerosos componentes, cualquier de los cuales pueden der lugar a tn riesgo. Algunos componentes estarén bajo control de la organizacién que realiza el estudio, mientras que otros estaran fuera de su control. Cuando se identifican los riesgos se necesita Considerar a ambos tipos. Las fuentes genéricas de riesgo inoluyen: 2) Relaciones comerciales y legales Entre la organizacién y otras organizaciones, ej: proveedores, subcontratistas, arrendatarios, ») Circunstancias econémicas De la organizacién, pals, internacionales, como asimismo factores que contribuyen a esas circunstancias ¢):tipos de cambio. ‘¢) Comportamiento humano ‘Tanto de los involucrados en la organizacién como de los que no lo estan, 4) Eventos naturales e) Circunstancias politicas Incluyendo cambios legislativos y factores que pudieran influencier a otras fuentes de tiesgo. 4) Aspectos tecnolégicos y técnicos “Tanto interos como externos a la organizacién. 9) Actividades y controles gerenciales h) Actividades individuales D3 Areas de impacto El andlisis de riesgo se puede concentrar en impactos en un area solamente 0 en varias areas posibles de impacto. Las reas de impacto incluyen a las siguientes: a) Base de actives y recursos de le organizacién, inciuyendo al personal, )_Ingresos y derechos ) Costes de las actividades, tanto directos como indirectos. 4) Gente 25) Comunidad 1) Desempetio {9} Cronograma y programa de actividades h) Elambiente i) Intangibles tales como la reputacion, gestos de buena voluntad, calidad de vida, }) Comportamiento organizacional D4 Identificacién de riesgos [Un método de resumir la forma en la cual surgen los riesgos en una organizacion es utlizando una plantila de identificacién de riesgos del tipo que se muestra en la Tabla 01. Las entradas pueden realizarse con marcas para mostrar donde ocurren los riesgos, 0 con notas descriptivas mas detalladas. D5 Otras clasificaciones de riesgo Distintas disciplinas a menudo categorizan las fuentes de riesgo de otra forma, utlizando términos tales como azares 0 exposiciones de riesgo. Estas clasificaciones pueden ser subconjuntos de las fuentes de riesgo listadas arriba en D2. Los siguientes son algunos ejemplos: a) Enfermedades ¢j: afectando a humanos, animales y plantas. b) Econémicos ej fuctuaciones en la moneda, tasas de interés, mercado accionario. ©) Ambientales ruidos, contaminacién, polucion. 4). Financieros :riesgos contractuales, malversaciones de fondos, fraudes, multas, e) Humans «i: motines, huelgas, sabotajes, errores. ) Desastres naturales i: condiciones climaticas, terremotos, incendios de bosques, plagas, activided voleanica, 9) Salubridad y seguridad ocupacional ej: medidas de seguridad inadecuadas, administracion de seguridad pobre. h)_ Responsabilidad por productos i: errores de disento, calidad bajo estandar, pruebas inadecuadas. i) Responsabilidad profesional i: consejo equivacado, negligencia, error de disefo. J) Dafios a la propiedad i: fuego, inundaciones, terremotos, contaminacién, error humano. k)_ Responsabilidad piblica i: acceso, egreso y seguridad pablicas. ) Seguridad i: desfalcos, vandalismo, robo, apropiacién indebida de informactén, penetracion legal, ‘m) Tecnoiégicos i: innovacién, obsolescencia, explosiones y dependencia, 26Tabla D1 Ejemplo do plantila de identificacién de rlesgos. ‘Areas do impacto Selena Piro D3 sgt pine Fuentes de Rieso0 eek ire elaconos coma y legates ‘Comporaienia humane veri naturales ‘Greurtancas plies ‘Aspects tecnolbgeoskécnicas ‘Aatvidadesycontoes garenciles ‘eldades swiuales ‘as foerfas de iso las race de mpacio dtoran adoplarse cara organiza o aca partular 27Ejemplos de definicién y clasificacién de riesgos. Tabla E1 Medidas cualitativas de consecuencia o impacto, Wee Descriptor | emplo de descripcén detaada 1 Insigitcante | sin persicos, aja peace tnandora 2 Menor | Talamenia da pines aodloe,tberada beainenie fonor__| secon inmedatamert, pedis rancerameda 3 Moseraas | Resuln tatarierioméalo, ard earenia joeraco | Contanlo con sltenca exe, pera franca ata PerulosedeneWos, pica de cavaetod co ‘ ayer | produedt,tberacin externa, om tects noche, ésstatrancaramayor astriico | Musa, heracn bisa eama con eects noche, . Catastrsico | Prom panda francis as mackiss uilsdes seberan rtojaras naceltaosynaturateza Ge a oranzaciny actdad aj esse ‘Tabla E2 Medidas cualitativas de probabilidad, Nivel | Descriptor Describe | cosiceeza | se espers au acura en majoria de ae censtanclas 8 Provatie | Pronalemerie ocumed en e majors de le einstancias c Posto | Poda ocuriran agin mormats ° Imorobaute | Puce ecu en doin memento e ero | Puede ocnirsdo on creustnces exepebnates Estas tabla necestan er adaptadas pare eater las necesdades de una awarzatén en pareular 28Tabla E3 Matriz de anlisis de riesgo cualitativo ~ nivel de riesgo. Consecuoncias Insigniteantss | Menores | wocerades | wayores | cotatétcas Probabitiad 1 2 a 4 5 ‘A easiceters) H K e e e ‘Geronatley ™ H 4 e € c emoderado) t ” 4 e e grprssioy L i " 4 e (aro) L i ™ 4 La candad categorie ceberon etal pacesisade dt etuc, Leyenda cgemg riesge etree, remuere acién inmedita sieeg so; neces anc del a gerencis riesgo modzado, debe espesficarse reponsabiitd gerncial ‘eego tjo,adeinistrar medante procefimieios de uta 29K Ejemplos de expresiones cuantitativas de riesgo F1 Riesgo de pérdida o ganancia financiera La pérdida (0 ganancia) financiera mutipicada por la frecuencia anual de la pérdida (0 ganancia) da el valor esperado en délares por afo, F2 Riesgo de fatalidad El riesgo de fatalidad de una actividad. F3 Desastres naturales o producidos por el hombre Las consecuencias pueden ser modelades utlizando simulaciones computarizadas y las probabilidades estimadas a partir de datos histéricos, érboles de fellas u otras técnicas de Ingenieria de sistemas. F4 Riesgos de salubridad Los riesgos de salubridad se expresan normaimente en alguna de las siguientes formas: a) La cantidad de nuevos casos de enfermedad por afio en una poblacién expuesta ‘comparado con el total de esa poblacién, el: 5 nuevos casos en una poblacién expuesta de 100 000 es un riesgo de 5 x 10 -5 por persona expuesta, por afio. Cantidad de muertes por affo en la poblacién expuesta a la actividad b) El coeficiente de probabilidad de muerte antes de cierta edad, con y sin exposicién. c) La cantidad de fatalidades por edad 70 que se espera resulte de una exposicién, dividida Por la cantidad de gente expuesta. Los fiesgos de salubridad pueden derivarse de datos epidemioiégicos (censos de poblacién de fatalidad 0 enfermedad) 0 de datos experimentales basados en estudios sobre animales. nota: En lugar de calcular el valor promedio de un riesgo, la distribucién de valores posibles se puede calcular reemplazando los valores promedio de las variables, de las cuales depende el resultado, por las distribuciones apropiadas de valores. 30“8 Identificar opciones para tratamiento de riesgos G1 Acciones para reducir o controlar la probabilidad Estos pueden incluir |) programas de auditoria y cumplimiento; |i) condiciones contractuales; lil revisiones formales de requerimientos, especificaciones, disefio, Ingenieria y operaciones; iv) inspecciones y controles de procesos; vv) administracion de inversiones y cartera; vi) administracion de proyectos vii) mantenimiento preventivo; vil) aseguramiento de calidad, administracién y esténdares; ix) investigacién y desarrollo, desarrollo tecno\égico; x) capacitacién estructurada y otros programas, x)) supervision; xi) comprobaciones; xil) acuerdos organizacionales; y xiv) controles técnicos. G2 Procedimientos para reducir o controlar las consecuencias Estos pueden inclir ') planeamiento de contingencia; i areglos contractuales; i) condiciones contractuales; 'v) caracteristicas de disero; ¥) planes de recupero de desastres; ¥%) barreras de ingenieria y estructurales; vil) planeamiento de control de fraudes; vii) minimizer la exposicion a fuentes de riesgo i) planeamiento de cartera: x) politica y controles de precios; x) separacién o reubicacién de una actividad y recursos; xii) relaciones pablicas; y i) pagos ex gratia. 31H Documentacién de administracién de riesgos H1 General Para administrar correctamente el riesgo, se requiere una documentacion apropiada. Esto puede ecesitar ser suficiente para satisfacer_a una auditoria independiente. Las decisiones concemientes al alcance de la documentacién puede involucrar costos y beneficios y deberia tomar en cuenta los factores listados en la Clausula 5.2. La declaracién de la pola de administracién de riesgos deberia defini la documentacién necesaria. En cada etapa del proceso, la documentacién deberia incluir: 2) objetivos; b) fuentes de informacion ©) supuestos; y 4) decisiones. El Apéndice H incluye un ejemplo de un registro de riesgo, y un programa de tratamiento y plan de ‘accién. Los planes para las areas de alto riesgo pueden necesitar ser mas especiticos y detallados. H2 Politica En el Apéndice B se dan ejemplos de la informacién que podria ser incluida en la deciaracion de politica de una organizacién, H3 Declaracién de cumplimiento y diligencia debida En algunas circunstancias puede requerirse una declaracién de cumplimiento y dligencia debida, de forma tal que los gerentes tomen conocimiento formal de su responsabilidad por el ccumplimiento de las polticas y procedimientos de administracién de riesgos, H4 Registro de riesgos * Por cada riesgo identiicado el registro de riesgo comprende: 2) fuente; ) naturaleza; )_controles existentes; 4) consecuencias y probabilidad; ‘e)_puntaje inicial del riesgo; y 4) winerabildad a factores extemos /intemos. Consultar como guia la proforma de muestra. H5 Programa de tratamiento de riesgos y plan de accién * Un tratamiento de riesgos y plan de accién documenta los controles gerenciales @ adoptar y lista la siguiente informacion: 32a) ») °) 9) e) {Quién tiene responsabilidad por la implementacién del plan; ‘Qué recursos se van a ullizer; Asignacién de presupuesto; Calendario de implementacién; Detalles del mecanismo y frecuencia de la revision de cumplimiento del plan de ‘tratamiento. H6 Monitorear y auditar documentos Los registros de monitoreo y auditoria deberian documenta: a) ») ¢) Detalles del mecanismo y frecuencia de la revision de riesgos y del proceso de ‘administracion de riesgos como un todo} Los resultados de las auditorias y de otros procedimientos de monitoreo; Detalles de cémo son seguidas e implementadas las recomendaciones de las revisiones. Estos ejemplos son solo indicativos. 33Registro de Riesgos Comptaaa por Fecne Fumento oe st fogs Thectrineents | 22%, | nartance | rutaeae | Niet [Peis pune neon y Eta uncom | rons | S| So lnet_| _tionuede suesPrograma y plan de tratamiento de riesgos Fach revtin do eso Sorel er Fae funliaconc_ eae teen esaaso se] reson ion eenee, | onsmerrsties | cymes, | rest fart pe caren | rire gircdie | Gieanare’” | german | tomar bosntetan nega iymertastn| sey tee Sic, [Eieoatn cose 35Plan de accién de riesgos Tem iesgo Ret ‘Resumen — Respuesta e impacto recomendado an de acid 1 Accones propusstas 2 Requesmlnts de recursos 3 Responsstiades 4 Programa defeenas 5 Montoreo eines reueridos Compilador Fecha Revisor. Fecha, 36