Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Riesgos
Versin Light
(Apto para todo pblico)
Agradezco a:
Irene, que me apoya en cada locura
Gad, que me acompaa en cada aventura
Mis hermanos, que han actuado como revisores y crticos
Ma Isabel Casares San Jos-Mart, mi profe
Christian Haindl, de quien he aprendido casi todo en estas materias
Prefacio
Todos los derechos reservados. Prohibidas su reproduccin parcial y/o total sin
autorizacin escrita previa. Alan Santos
INDICE
INTRODUCCIN .................................................................................................. 13
NORMAS Y BUENAS PRCTICAS ...................................................................... 21
ISO 31000 .......................................................................................................... 28
COSO III ............................................................................................................ 31
BASILEA ............................................................................................................ 35
SOX ................................................................................................................... 39
FORMALIZACIN DE UN MODELO DE GESTION DE RIESGOS (MGR) .......... 43
BUSINESS IMPACT ANALYSIS (BIA) .................................................................. 48
ANLISIS FODA ................................................................................................... 54
FACTORES DE RIESGO ...................................................................................... 57
CATEGORAS DE RIESGOS................................................................................ 60
DEFINICIONES Y CRITERIOS ............................................................................. 67
ESCALA ............................................................................................................. 68
MEDICIN NOMINAL..................................................................................... 68
MEDICIN ORDINAL ..................................................................................... 69
MEDICIN POR RAZONES ........................................................................... 69
MEDICIN POR INTERVALOS ..................................................................... 70
TRES NIVELES ........................................................................................... 70
INTRODUCCIN
Un da, o tal vez una noche, sent una serie de empujones. No entenda nada.
Estaba acomodado en mi rincn, sin molestar a nadie. Un poco apretado nada
ms, pero muy tranquilo. Vi una luz y sent la necesidad de ir a ella. Los
empujones eran cada vez ms fuerte. Haba una pequea abertura, pero no caba.
Trataba de salir pero no poda. Desde la luz entr algo como una cuchara y
empuj mi cabeza. Calzaba justo en la abertura y part. Al salir, haca mucho frio,
estaba todo seco, no saba que hacer e instintivamente comenc a gritar. De mis
narices saltaron lquidos varios. Me ator cuando metieron unos tubos en mi
garganta. Haca mucho frio, tena miedo, estaba incmodo. Lo nico que quera
era volver a donde estaba. Me envolvieron en unas telas, haba luz, mucha luz,
que molestaba mis ojos, voces y ruidos que no conoca. Entre ellos escuche una
voz familiar, me pusieron contra su pecho y escuche el latir de su corazn, me
tranquilizo, estaba con mi madre.
El simple hecho de nacer, un acto primordial en la vida de todo ser viviente, es un
acto riesgoso per se. Sin embargo, todos lo hemos sufrido y sobrevivido. El cordn
umbilical puede estar como banda presidencial alrededor del pecho, o peor an,
alrededor del cuello. Dentro de los primeros minutos el recin nacido debe
instintivamente aprender a controlar su temperatura corporal, aprender a respirar,
debe ser protegido contra los riesgos de enfermedades tan simples como un
resfro u otras ms complejas y graves. El nico lugar donde se siente protegido,
es cerca de donde siempre estuvo, escuchando lo que siempre escucho, el
ver enfrentada a riesgos. Es por ello que es necesario, primero conocer cules
son y luego gestionarlos o decidir qu hacer al respecto.
Al analizar las conductas individuales de las personas, diariamente gestionan los
riesgos, sea al elegir un producto que sea ecolgico o no, si contiene sustancias
nocivas, o se cruza en una esquina con luz roja o se detiene en un cruce
ferroviario. Desde el momento en que se levanta, un persona est gestionando
riesgos. El asearse diariamente tiene por objetivo mitigar la probabilidad de
enfermar. El lavarse los dientes diariamente tiene por objetivo llegar a la tercera o
cuarta edad y an contar con todos los dientes, etc.
Con las organizaciones sucede lo mismo. Las organizaciones deben gestionar sus
riesgos en forma permanente, sean estos riesgos propios del negocio como
comprar o vender o el riesgo de contratar a alguien que no sea adecuado, o que
se inicie un incendio en las bodegas o la planta de produccin, etc. Sin embargo,
la organizacin no gestiona los riesgos simplemente por arte de magia. Las
personas son la principal, aunque no la nica, fuente de riesgo de una
organizacin y la nica forma de mitigar estos riesgos es con colaboradores
consientes de la necesidad de gestionar permanentemente el riesgo. Esto no es
una tarea fcil, por lo que es necesario sistematizar la Gestin de Riesgos en una
organizacin mediante un Modelo de Gestin de Riesgos, similar en estructura o
equivalente a un Sistema de Gestin de Calidad (ISO 9001) o un Sistema de
Gestin de Seguridad de la Informacin (ISO 27001) o un Modelo de Prevencin
de Delitos Corporativos (Ley 20.393 de Chile) o tantos otros.
En este texto, se entregar una visin bsica y genrica de cmo identificar, medir
y evaluar los riesgos, as como establecer una orientacin respecto de cmo se
podra implementar un Modelo de Gestin de Riesgos en forma amplia, sin
limitaciones de visin o de mbito, permitiendo que cada institucin, organizacin
o persona pueda optar por una metodologa segn estime factible aplicar a la
gestin de sus riesgos, indistinto del tipo de riesgo o del tipo y caractersticas de la
organizacin a la que se aplique. Los conceptos y frmulas planteados son
meramente referenciales, pudiendo los interesados aplicarlas directamente o
modificarlas, adaptndolas a su propia organizacin y realidad.
No obstante, es indispensable conocer qu se puede hacer con los riesgos que se
identifiquen. El cmo, se definir en base a las caractersticas y recursos que la
organizacin pueda disponer o considere relevantes para la gestin de sus
riesgos.
detalle
participacin
de
todas
las
partes
involucradas,
Al tratar de analizar los riesgos por primera vez, es necesario buscar referencias o
parmetros para conocer cmo gestionarlos o simplemente cmo identificar el
riesgo. Existen diversas normas internacionales y recomendaciones respecto de la
gestin de riesgos especficos. Por mencionar algunas, sin ser una lista exhaustiva
ni mucho menos detallada, se puede mencionar a: ISO 9001:2015 que busca
gestionar los riesgos asociados a la calidad del producto/servicio; ISO 14001 que
busca gestionar los riesgos medioambientales; OHSAS 18000 que busca
gestionar los riesgos laborales; ISO 22001 que busca gestionar los riesgos
relacionados a la inocuidad alimentaria; ISO 19600 que busca gestionar los
riesgos relacionados con el cumplimiento o compliance; BASILEA I, II y III, que
es una recomendacin en el mbito de la industria financiera, aunque en algunos
pases es una exigencia para la industria financiera; SOX, Ley norteamericana que
busca hacer responsables a la alta direccin de conocer exactamente el origen,
flujo y destino de los recursos que por ella transitan; COSO I, II y III, as como
SAS, que tambin son recomendaciones que apuntan esencialmente a la
informacin contable y financiera, aunque COSO III es bastante ms amplia y se
puede aplicar a otras instancias; la Directiva del Parlamento Europeo Solvencia I y
II que regula en forma continental (Europa) la industria de los seguros; ITIL busca
gestionar riesgos asociados especficamente al mbito de servicios y tecnologas,
al igual que ISO 20000; ISO 27001, que busca controlar los riesgos relacionados
con la Seguridad de la Informacin; y la Gua ISO/CEI 73:2002 que proporciona
Existen distintos tipos o categoras de riesgos, los que para efectos de este texto
sern considerados los mbitos de Riesgo.
Estn los Riesgos de Crdito, que hacen esencialmente referencia al riesgo de no
poder recuperar recursos entregados a otros. Por ejemplo, cuando se vende a
crdito, existe un plazo en el cual el producto est entregado, posiblemente
distribuido e incluso puede estar consumido, pero an no se recibe el pago. Si
durante ese plazo el cliente desaparece por cualquier motivo (quiebra, muerte,
fraude, etc.), no es posible recuperar los recursos y por ende se genera una
prdida y un impacto negativo. Lo mismos es aplicable a la industria bancaria,
cuando se otorga un crdito propiamente tal, al servicio pblico y empresas de
bienes y/o servicios.
Estn los Riesgos de Mercado o Poltico - Sociales, que se asocian a las
condiciones socio-econmicas del mercado en que la organizacin realiza sus
actividades. En este sentido se consideran posibles cambios en el mercado
internos, estabilidad geopoltica del lugar de desarrollo de la actividad, estabilidad
social, factores culturales, etc. Todos estos eventos pueden generar la
materializacin de riesgos y la prdida de la totalidad de los ingresos e incluso de
la misma propiedad de la organizacin. Sin embargo, son riesgos propios del lugar
donde se realiza la actividad.
Tambin est el Riesgo de Negocio. Este es el riesgo propio de invertir en un rea
productiva o de servicio y que los resultados no sean los esperados o incluso
negativos. Por ejemplo invertir en la adquisicin de una cantidad de productos y no
lograr venderlos en los plazos definidos para generar una utilidad o rentabilidad
adecuada, podra generar prdidas de capital.
Finalmente est el Riesgo Operacional. Este tipo de riesgo abarca toda aquella
situacin que, indistinto de su origen o causa raz, pudiera directa o indirectamente
afectar la operacin o funcionamiento de una organizacin en su quehacer
cotidiano. As las cosas, el Riesgo Operacional abarca los riesgos legales, desde
el punto de vista de la fiscalizacin, de la relacin con clientes y proveedores, e
incluso con los propios empleados o con terceras partes que pudieran estar
involucradas, como un directorio o una junta de accionistas. Tambin incluye los
temas medio ambientales, seguridad de las personas, tecnologas, seguridad de la
informacin, seguridad ante situaciones de emergencia, sea originadas por el
hombre o la naturaleza, etc. El Riesgo Operacional abarca escencialmente
aquellos riesgos que directa o indirectamente pudieran afectar la Calidad,
Continuidad, Seguridad de la Informacin y eventualmente los aspectos legales.
Es decir, todo lo que no est en los mbitos de Riesgo mencionados
anteriormente.
Particularmente, cuando se evala el Riesgo Operacional, dada su diversidad de
mbitos, es recomendable clasificar los riesgos en los ejes que corresponda. As
se tendrn riesgos asociados al Eje Calidad, al Eje Seguridad de la Informacin, al
Eje Continuidad Operacional y al Eje Legal.
Dado lo anterior, la familia de las Normas ISO 31.000 es una buena gua que
puede ser complementada con buenas prcticas al respecto, que pueden
adoptarse o adaptarse segn sea el caso, a casi cualquier organizacin.
Nota: ISO 31.004 es la gua de implementacin de ISO 31.000
PLANIFICAR
HACER
ACTUAR
VERIFICAR
OPERACION
RIESGOS
GESTIN DE RIESGOS
ISO 31000
Pese a que no existe ningn estndar certificable que pueda definir un criterio u
orientacin nica para una adecuada Gestin de Riesgos, ISO (International
Standards Organization), dada su vasta experiencia en materias relacionadas, es
un referente importante que hay que considerar. Particularmente, y al darse
cuenta que todas sus normas de una u otra forma incorporan a la Gestin de
Riesgos especficos, la ISO decidi desarrollar una Recomendacin o Gua para
la implementacin de la Gestin del Riesgo. Es importante hacer notar que ISO en
ningn momento recomienda un Modelo o Sistema de Gestin del Riesgo basado
en algo parecido a lo planteado en otras normas tales como la ISO 9001, ISO
14001 u otras, pese a que implcitamente en cada una de las normas ISO
demanda una adecuada identificacin y Gestin de Riesgos asociados a dichas
normas. De hecho, la revisin de ISO 9001:2015 incorpor explcitamente la
obligacin de gestionar los riesgos y particularmente tomar en consideracin la
probabilidad y consecuencia de los riesgos identificados.
En ste documento slo se mencionar algunos de los aspectos de la norma,
puesto que entrar en su detalle corresponde a otro documento, con un anlisis
ms en profundidad de ella.
Es transparente e inclusiva
j.
Procesos
ISO 31000:20xx
ISO 31000:2009
Introduccin
Introduccin
1. Alcance
1. Alcance
3.- Principios
5.- Procesos
Anexo A
Bibliografa
Anexos
A. Expresiones comunes (contemporneas y legadas)
B. Aplicacin a otros estndares
C. Aplicacin a requisitos de aproximacin basada en
riesgo
D. Aplicacin en ambientes ISO 31000:2009
Fuente: Traduccin desde Draft Design Specification for the revision of ISO 31000
COSO III
La recomendacin del Committee of Sponsoring Organizations of the Treadway
Commission (COSO) es bastante extensa, por lo que no corresponde su anlisis
detallado en este documento. No obstante, es importante hacer mencin de
algunos aspectos relevantes.
El objetivo principal del informe COSO es establecer una definicin de control
interno que sea comn para todas las entidades y que ayude a las organizaciones
a evaluar de mejor manera sus sistemas de control y en definitiva mejorar su
proceso de toma decisiones.
Particularmente COSO III define que la Gestin de Riesgos corporativos como el
proceso que incluye las siguientes capacidades:
Las Actividades de control: las actividades de control son las polticas y los
procedimientos que llevan a cabo las instrucciones de la direccin. Hay
actividades de control en toda la organizacin, a todos los niveles y en
todas las funciones; en stas incluyen aprobaciones, autorizaciones,
verificaciones, conciliaciones, y otras.
Principio 10: Selecciona y desarrolla actividades de control
Principio 11: Selecciona y desarrolla controles generales sobre tecnologa
Principio 12: Se implementa a travs de polticas y procedimientos
Principio 13: Usa informacin Relevante
En resumen, COSO se parece mucho al modelo PDCA que usa ISO, donde se
desarrolla un Ambiente de Control, sobre el cual se desarrolla la Evaluacin de
Riesgos,
que
controlada
debe
ser
mediante
Actividades
de
Control,
producto de lo cual se
genera
informacin
monitoreada
para
adecuar el Ambiente de
Control.
Fuente: Informe COSO II - 2004
BASILEA
Se le conoce como Basilea I, Basilea II y Basilea III, pero esencialmente son
informes y recomendaciones del Comit de Basilea o Comit de Supervisin
Bancaria de Basilea.
DEFINICIN
Riesgos derivados de algn tipo de actuacin
orientada a cometer fraude, apropiarse de bienes
(robo) o soslayar la legislacin (informes adulterados)
en los que se encuentran involucrados, al menos, una
persona perteneciente al grupo.
CATEGORIA
FRAUDE EXTERNO
DEFINICIN
Riesgos derivados de algn tipo de actuacin
orientada a cometer fraude, apropiarse de bienes o
soslayar la legislacin por parte de terceros ajenos a
la compaa.
RELACIONES
LABORALES Y
SEGURIDAD EN EL
TRABAJO
CLIENTES,
PRODUCTOS Y
PRCTICAS
EMPRESARIALES
DAOS A ACTIVOS
MATERIALES
del hombre
terroristas, etc).
(Protestas, paros,
atentados
CATEGORIA
DEFINICIN
INCIDENCIAS EN EL
NEGOCIO Y FALLOS
EN LOS SISTEMAS
operaciones
PROCESOS
proveedores.
Podra
incluir
los
Lo anterior, sin dejar de lado las gestiones realizadas respecto de los Riesgos de
Crdito y Riesgos de Mercado ya conocidos con anterioridad.
Cmo se puede observar, desde el punto de vista operacional, los riesgos o
Categoras de Riesgos especificados por Basilea son bastante transversales a
todo tipo de organizacin, indistinto que est o no relacionada a la industria
financiera o especficamente a la banca. A diferencia de las otras normas y
recomendaciones, Basilea es la nica que especifica y agrupa de alguna forma los
riesgos.
SOX
Sox es una legislacin norteamericana que nace a principios del milenio (2002)
como respuesta a una serie de situaciones financieras de grandes empresas y
conglomerados que afectaron la economa global. Al consultar a cualquier
entendido en la materia, cul es el punto ms relevante de la legislacin, todos
respondern, con un 100% de certeza, que la seccin 404 de la Ley.
SEC. 404. MANAGEMENT ASSESSMENT OF INTERNAL CONTROLS.
(a) RULES REQUIRED.The Commission shall prescribe rules requiring each
annual report required by section 13(a) or 15(d) of the Securities Exchange Act of
1934 (15 U.S.C. 78m or 78o(d)) to contain an internal control report, which shall
(1) state the responsibility of management for establishing and maintaining an
adequate internal control structure and procedures for financial reporting; and (2)
contain an assessment, as of the end of the most recent fiscal year of the issuer, of
the effectiveness of the internal control structure and procedures of the issuer for
financial reporting.
(b) INTERNAL CONTROL EVALUATION AND REPORTING .With respect to the
internal control assessment required by subsection (a), each registered public
accounting firm that prepares or issues the audit report for the issuer shall attest to,
and report on, the assessment made by the management of the issuer. An
attestation made under this subsection shall be made in accordance with
standards for attestation engagements issued or adopted by the Board. Any such
attestation shall not be the subject of a separate engagement.
Fuente: Sabarnes-Oxley Law Biblioteca del Congreso de EEUU - 2002
DIRECTORIO
Comit de
Riesgo
Gerencia
General
Gerencia 1
Gerencia 2
Staff
Gerencia N
estar tambin bajo el alero de una Contralora o Jurdico, aunque dependiendo del
giro de la empresa, en la mayora de los casos, no es recomendable que estn en
el mbito legal, puesto que se tiende a minimizar los Riesgos relacionados con
otros factores, como el Operacional. El Comit de Administracin de Riesgos
necesariamente debe estar fuera de las reas de negocio y aquellas que generan
Riesgo. La razn es evidente, no se puede evaluar objetivamente una situacin de
la cual se es parte. Igualmente, el Comit de Riesgos debe incorporar a todas las
reas que generan y son dueas de los procesos donde existen los Riesgos,
presidido por el Gerente General o el Contralor de la empresa. En esta instancia
se deber informar regularmente el estado de la gestin de los riesgos, tomar
decisiones respecto de mejoras y tratamiento de los Riesgos, as como definir y
estructurar informes para el Directorio o Dueo.
Adicionalmente, dado que el principal Riesgo en toda organizacin tiene que ver
directamente con el Error humano, es necesario especificar e incorporar dentro
de la reglamentacin interna, perfiles de cargo y/o los propios contratos de trabajo,
clusulas especficas respecto de la Gestin de Riesgos que individualmente cada
colaborador debe realizar en sus actividades dentro de los procesos del negocio,
sean estas espordicas o cotidianas.
Una forma de difundir esta propuesta es la capacitacin. Sin embargo, si se
combina con campaas ldicas se puede mantener el inters por identificar y
gestionar los riesgos. Por ejemplo, hacer una cacera de riesgos con un premio
para quien identifique el riesgo ms relevante no identificado anteriormente, o una
bsqueda del mitigador perdido donde se premie a quien proponga controles o
transporte sea de carga, personas, valores, animales vivos, u otros. Las empresas
de transporte, en general, tienen esencialmente un proceso de retiro o carga de lo
que se transportar, uno de logstica o transporte y uno de despacho o entrega.
Sin embargo, si el camin, bus o avin no tiene combustible, el servicio no se
puede prestar. Luego, el proceso de carga de combustible es crtico. Por otro lado,
la mantencin peridica de los vehculos, el retraso en un par de das o una
semana no impide prestar el servicio, indistinto que los riesgos relacionados a la
mantencin aumenten, por tanto no es un proceso crtico. En general, toda
organizacin depende de las personas, del recurso humano. Sin embargo, salvo
casos contados, los procesos de contratacin, asignacin de beneficios, pago de
remuneraciones, etc., relacionados con las personas o procesos de recursos
humanos, usualmente no son crticos.
Veamos otro ejemplo. Una empresa que produce productos intravenosos tales
como sueros, productos oncolgicos u otros. Estos producen productos
especficos, diseados para cada paciente individual en funcin de una receta
mdica. Si se produce un error en su elaboracin, personas pueden morir.
Evidentemente, el proceso de produccin es extremadamente sensible. Sin
embargo, si no se entrega a tiempo, el paciente podra tambin morir. Luego la
logstica de despacho tambin es un tema crtico. Por otro lado, en todo el mundo
se conoce cmo es la letra de los mdicos, especialmente cuando se trata de
recetas. Qu sucedera cuando se recibe la receta en forma illegible? Tenemos
otro proceso crtico.
Una vez identificados los procesos crticos, es necesario priorizarlos. Todos son
crticos, pero habr unos ms crticos que otros. Puede usarse cualquier criterio,
pero es indispensable priorizarlos de alguna forma. Usualmente, los procesos
crticos ms evidentes se les consideran ms crticos. Por ejemplo, en una
universidad, el proceso de Admisin y Matrcula es evidentemente el ms
importante. En caso que dicho proceso se vea afectado, se corre el riesgo de
afectar los ingresos por un largo perodo de tiempo. No obstante, el proceso de
Toma de Ramos tambin es crtico, pero no tanto como la Admisin y Matrcula.
Identificados y priorizados los procesos, es necesario identificar los componentes
crticos de cada uno de ellos. Nuevamente, un componente crtico es aquel
cuya ausencia provoca que el proceso no funcione o se vea interrumpido.
Los componentes se
ordenan
en
tres categoras:
Recursos Humanos,
horas puede ser grave, pero no crtico, mientras que ms de eso ya pasa a ser
color de hormiga.
El proceso de Anlisis del Impacto en el Negocio o BIA, identificar situaciones de
impacto severo o mximo que afectarn a la organizacin y permitirn establecer
planes de contingencia organizados en un BCP o incluso planes ante situaciones
de desastre que se configurarn en un DRP.
Sin embargo, para efectos de la Gestin de Riesgos, el BIA nos aporta
informacin relevante, en funcin de la metodologa de Gestin de Riesgos que se
utilice. Los escenarios planteados en el BIA, la identificacin de procesos crticos y
de sus componentes, as como de los principales Factores de Riesgo o
situaciones puntuales que pudieran ocurrir y el impacto que estas pudieran tener
sobre la organizacin, los RTO y RPO de los procesos y de las actividades
puntuales,
son
un
importante
insumo
considerar.
Adicionalmente,
la
ANLISIS FODA
Otra forma de introducir a la organizacin en la Gestin de Riesgos, es mediante
la realizacin de un detallado anlisis FODA o anlisis de Fortalezas y Debilidades
(Fortalezas, Oportunidades, Debilidades, Amenazas).
El proceso de anlisis de las Fortalezas y Oportunidades permitir identificar los
niveles de Riesgo Aceptables o controlados por la organizacin, as como los
controles y mitigadores implementados, mientras las Debilidades y Amenazas
permitirn identificar Riesgos.
Esencialmente, el proceso es el siguiente. Se prepara 4 cuadros, uno para cada
componente del FODA y luego se analizan individualmente. Usualmente cada
Fortaleza est asociada a una Oportunidad, aunque ello no es estrictamente
obligatorio y cada Debilidad muestra una Amenaza consistente en la explotacin
de dicha debilidad. Se analiza componente a componente y se listan los aspectos
de la empresa, la organizacin o el entorno que correspondan.
Al realizar el anlisis se define con cierta certeza el nivel de aceptacin de ciertos
Riesgos, se pueden identificar algunos riesgos especficos y se puede comparar y
ajustar las definiciones de los criterios de impacto. Este resultado de las
expectativas de la organizacin se cruza con las declaraciones de misin, visin y
objetivos del negocio, lo cual permitir identificar no slo el apetito al Riesgo,
sino eventualmente dar algunas luces respecto de las prioridades que se deben
atender.
FACTORES DE RIESGO
CATEGORAS DE RIESGOS
En algunas culturas existe un Riesgo que se debe asumir por temas de tradicin y
preservacin cultural.
MAPA DE RIESGOS
R46FR55
R14FR03R42FR123
R37FR122
R35FR122
R34FR122
R38FR123
R39FR123
R36FR122
R04FR03
R02FR03
R15FR03
R75FR175 R63FR223
R45FR55
R67FR223
CP
R43FR112
R25FR159
R16FR43
Nivel de Exposicin
FI
FE
GP
R09FR142
R53FR67
DA
R13FR35
R10FR35 R05FR35
R65FR37
R79FR231
R40FR01
R48FR152
R68FR181
R01FR202
R29FR107
RL
R60FR207
R66FR173
R62FR154
R44FR212
R06FR160
R56FR54
R64FR240
R59FR154
R07FR121R71FR08
R28FR241
R24FR163
R61FR196
R33FR15
R51FR28
R58FR66
R31FR17
R47FR131
R74FR111
R72FR112
R12FR138
R49FR242
R23FR106
R30FR106
R76FR242
R03FR148
R26FR106
R41FR101
IN
R27FR230 R08FR32
R77FR63
R19FR188
R54FR162
R32FR16
R73FR188
R20FR188
R18FR135
R69FR135
R22FR135 R78FR237
R70FR135
R55FR237
R52FR135
R21FR237
R57FR237
R17FR20
R50FR108
R11
Categoras
R14FR03
R15FR03
R13FR35
R16FR43
(Fig
6),
tal
que
R20FR188
R21FR237
R17FR20
se
R03i
R03e
FR44
FR182
FR129
FR44
FR49
FR180
FR180
FR174
FR201
FR181
FR47
FR203
FR182
FR129
FR201
FR42
FR42
FR193
FR193
FR45
FR49
FR174
FR05
FR47
FR203
FR181
FR05
FR45
Fig 7 Mapas de Riesgo Inherente y Riesgo Residual de FRs del Riesgo R03
DEFINICIONES Y CRITERIOS
ESCALA
En este sentido, se debe comenzar por definir lo mnimo necesario para construir
sobre ello. Es necesario definir diversas escalas de medicin. En general, los
especialistas en la materia estn de acuerdo en que es necesario llevar una
escala de impacto y otra de probabilidad, se debe definir otras escalas segn la
metodologa y parmetros que se utilicen. Por ejemplo, si se define que se utilizar
un Nivel de Riesgo Residual o la Severidad que se medir en funcin de la
Velocidad del Impacto y la Persistencia del Impacto, los controles y sus
parmetros, etc. Cada parmetro deber estar asociado a una escala determinada
para entender exactamente en qu consiste cada parmetro. Existen bsicamente
cuatro formas de medicin: nominal, ordinal, de intervalo y de razn. Se analizar
brevemente cada una de ellas, pero se profundizar especialmente en la medicin
de intervalos.
MEDICIN NOMINAL
Es la forma ms sencilla de abordar el tema de la medicin mediante la
agrupacin en categoras tales como econmica, tecnolgica o medioambiental,
sin situar un acontecimiento especfico por sobre otro. Los nmeros asignados en
la medicin nominal nicamente tienen por objetivo la identificacin de los riesgos.
Al usar este tipo de medicin, las evaluaciones son cualitativas y por ende se
basan fuertemente en aspectos subjetivos que pudieran ocultar algunos riesgos o
pudieran exponer riesgos que no son relevantes respecto de otros.
MEDICIN ORDINAL
En este tipo de medicin, los eventos se describen en orden de relevancia para la
organizacin, con etiquetas del tipo Crtico, Indispensable o Relevante o
clasificado con valores definidos en la escala. Por ejemplo, la direccin de una
organizacin podra definir que la probabilidad de un error humano es muy baja,
mientras que la probabilidad de una falla en los sistemas es muy alta, indistinto de
la historia, datos estadsticos u otras formas de valorizar o definir.
Al usar este tipo de medicin, las evaluaciones son cualitativas y por ende se
basan fuertemente en aspectos subjetivos que pudieran ocultar algunos riesgos o
pudieran exponer riesgos que no son relevantes respecto de otros.
Fig 8.1.-
Fig 8.2.-
Fig 8.3.-
Nivel 2
Nivel 3
Bajo
Medio
Alto
Atendible
Urgente
Prioritario
Menor
Medio
Mayor
CUATRO NIVELES
Muchas normas y guas que ayudan a gestionar los Riesgos, trabajan con escalas
de 4 niveles. La alternativa de escalas pares y particularmente de una escala de 4
valores, genera varios problemas. El primer problema, como se puede observar en
los esquemas de las figuras 9.1, 9.2 y 9.3, es la simetra en las diagonales, la cual
simplemente no se puede lograr y motivo por el cual tampoco existe un punto
medio.
Fig 9.1.-
Fig 9.2.-
Fig 9.3.-
Las formas verbales como se pueden expresar estos niveles pueden ser del tipo:
Nivel 1
Nivel 2
Nivel 3
Nivel 4
Malo
Regular
Aceptable
Bueno
Aceptado
Atendible
Urgente
Prioritario
Menor
Medio
Mayor
Extremo
CINCO NIVELES
Otra alternativa de escala es la de cinco niveles (Figura 10). Su caracterstica
esencial es que siendo simtrica, es la escala ms pequea que cumple con los
requerimientos de escalas. Estos son:
1.- Qu no presente posibles inconsistencias.
2.- Que exista un punto medio
Adicionalmente a las caractersticas mnimas
necesarias indicadas anteriormente, el tener un
nivel de segregacin de la escala de un 20%
Las formas verbales como se pueden expresar estos niveles pueden ser del tipo:
Nivel 1
Nivel 2
Nivel 3
Nivel 4
Nivel 5
Mnimo
Menor
Medio
Alto
Extremo
Controlado
Aceptado
Atendible
Urgente
Prioritario
Malo
Regular
Aceptable
Bueno
Muy bueno
OTRAS ESCALAS
Otras escalas que se pueden utilizar son las relacionadas con los puntajes o
escala de valoracin utilizada en los pases donde se aplicar la evaluacin de los
Riesgos. En este sentido, en algunos pases de Sudamrica se usa una escala de
1 a 7 con un decimal, en Europa y Norteamrica se usan escalas de 5, 10 y 100,
con hasta 4 decimales e incluso con letras. Todas estas escalas tiene el beneficio
de la facilidad o reconocimiento por parte que los usuarios y dueos de procesos
que debern finalmente valorizar.
Sin embargo, particularmente las
escalas
pares
tienen
sus
inconvenientes.
El primer problema es que siendo
pares no tienen un nivel o punto
medio claro, es un lmite entre un
punto y otro, una interseccin de
PROBABILIDAD
Segn el diccionario de la Real Academia de la Lengua Espaola:
probabilidad.(Del lat. probabiltas, -tis).
1. f. Verosimilitud o fundada apariencia de verdad.
2. f. Cualidad de probable, que puede suceder.
3. f. Mat. En un proceso aleatorio, razn entre el nmero de casos
favorables y el nmero de casos posibles.
Fuente: www.rae.es
puede asignar un valor. Dicho valor sera del tipo ha ocurrido YYY veces en un
ao.
Por otro lado, actividades como Realizar mantenimiento de equipos, en algunos
casos requiere detener la produccin de ese equipo por perodos de das o
semanas. Los FR en este punto tienen que ver con un aumento no planificado de
la duracin de la mantencin, provocando problemas de operacin, o directamente
con la imposibilidad de arrancar nuevamente, u otros. Dado lo anterior, este tipo
de actividades se realizan muy poco en un perodo de un ao o incluso dos, por lo
que para determinar el valor de la Probabilidad de materializacin de un FR sera
en funcin de la cantidad de veces que la actividad se realiza. Dicho valor sera
del tipo ha ocurrido Z veces en las ltimas N veces que se ha realizado la
actividad. Donde N es un parmetro fijo, predefinido como un criterio de
referencia.
Ambas formas de valoracin de la Probabilidad son vlidas y pueden utilizarse
individualmente durante todo el proceso o alternar el criterio en funcin de la
actividad en la cual se pudiera materializar el Factor de Riesgo.
Sin embargo, cuando existe suficiente informacin de materializacin de eventos
(a lo menos un ao de estadsticas), es recomendable modificar el criterio y
ajustarlo de acuerdo a los nuevos resultados en base a datos ms duros. De
esta forma se logra refinar el criterio utilizado para definir o estimar la probabilidad.
Otro aspecto de la Probabilidad que es conveniente tener en cuenta es que ella se
describe en funcin de varios parmetros. Por ejemplo, la probabilidad que caiga
IMPACTO
Cuando se analiza el Impacto hay varios elementos que se deben considerar. El
Impacto se traduce en cuanto puede llegar a doler a la organizacin la
materializacin de un Riesgo en particular. En este cuanto le puede llegar a
doler hay que considerar no slo los costos directos como el de una mquina,
sino tambin los costos de reparacin o reposicin, los costos asociados a no
poder operar, si hay heridos, los costos asociados a esas personas, etc.
El
Aplicando la escala que se defina, es necesario asociar a cada nivel una expresin
o verbalizacin de dicho nivel que est asociada de alguna forma al nivel y que
permita facilitar la comprensin por parte de los usuarios y dueos de procesos.
Sin embargo, la discriminacin de los impacto por medio de FLIN o FLINN,
permitir identificar en forma ms certera el origen del impacto y por donde hay
que tratarlo. Por ejemplo, un Riesgo cuyo impacto en Imagen sea extremo
requiere un tipo de tratamiento muy distinto que un impacto que desde el punto de
vista Normativo tiene la misma magnitud. En el caso de un impacto en Imagen, se
dispondr de orientaciones para una comunicacin adecuada con el pblico,
clientes y proveedores, mientras que en el caso normativo, se mantendr acuciosa
vigilancia respecto de los aspectos normativos que pudieran verse afectados o
respecto de los que pudiera existir alguna brecha o incumplimiento.
Dicho lo anterior, y en el marco de la escala que se defina, para cada uno de los
impactos FLIN es necesario establecer un criterio que estandarice la valorizacin
en el marco de la misma escala definida para el Impacto. Es decir, los cuatro
aspectos de FLIN deben ser valorizados con la misma escala, pero un mismo nivel
significar distinto para un aspecto que para otro.
A su vez, dado que el objetivo de la evaluacin de Riesgos es exponer los
Riesgos, para efectos de definicin de cul valor de los tipos de impactos se
utilizara para realizar clculos y grficas, se recomienda que sea el valor ms alto,
es decir, el que potencialmente produce mayor dolor para la organizacin.
Por ejemplo, en forma genrica se ha determinado que un nivel de Impacto
mnimo, desde el punto de vista Financiero representa menos de US$1000;
IMPACTO EN IMAGEN
Al tratar el concepto de Imagen, estamos tratando con un bien valorado intangible
como lo es la marca, el respeto que esta provoca, la confianza en la misma o su
credibilidad. Hay marcas que, debido a un incidente mayor, han debido eliminarse
y redefinirse, pese a que el producto final sigue siendo el mismo. En este sentido,
se debe definir cada nivel en funcin del impacto negativo respecto de la imagen
hacia el mercado que la organizacin quiere mostrar. Por ejemplo, una situacin
simple o menor, sera que se resuelva internamente sin conocimiento por parte de
proveedores o cliente. Mientras, en el otro extremo, habra informacin en medios
de comunicacin masiva como radio, peridicos o televisin.
IMPACTO NORMATIVO
El impacto Normativo tiene que ver con los fiscalizadores y terceras partes
interesadas, principalmente entidades del Estado. Por ejemplo, que se detecte un
problema sanitario en una planta productora de alimentos, podra llegar hasta la
clausura de la planta por dicha situacin. Tambin hay que considerar que una
situacin pequea puede rpidamente escalar a una ms compleja o incluso hasta
el cierre de las operaciones.
En este sentido, un impacto menor podra ser una visita de inspeccin con
resultados desfavorables menores (observaciones o deteccin de brechas
fcilmente enmendables), mientras en el otro extremo se tendra sanciones de
diverso tipo que pudieran incluso incluir el cierre temporal o trmino definitivo,
parcial o total de la operacin.
IMPACTO NEGOCIO
El impacto en el Negocio tiene que ver directamente con los resultados producto
del giro de la Empresa. A diferencia del impacto Financiero, donde pudiera
considerarse efectos en el flujo de caja o en cuentas contables especficas, ste
se fija principalmente en los efectos sobre los resultados del ejercicios anual, las
utilidades o beneficios.
Aqu el impacto menor podra ser que no afecta los resultados de la
organizacin, mientras un nivel mximo pudiera ser un ejercicio comercial con
resultados negativos, equivalentes o superiores a 10% del ejercicio anterior.
OTROS PARMETROS DEL IMPACTO
Adicionalmente a las alternativas de FLINN para el impacto, existen otros
parmetros que en algn momento debieran ser considerados. Por un lado est la
Velocidad con que llega el impacto y por otro la Persistencia del impacto en el
tiempo. Estos dos parmetros tienen que ver con la Severidad o cuan grave es el
impacto.
Cuando se menciona que el impacto ocurre en forma rpida, como producto de
desastres de la naturaleza, estamos ante situaciones con determinadas
caractersticas. Sin embargo, un nivel de impacto equivalente puede darse con un
paro de actividades de los trabajadores, la cual podra venir incubndose con
bastante tiempo y paulatinamente va afectando los procesos.
Cuando se menciona la Persistencia de un impacto, nos referimos a como ese
impacto se mantiene en el tiempo. Por ejemplo, el accidente en una central
cabo. Con ello se tiene una visin integrada y de 360 respecto del origen del
potencial impacto y de su magnitud esperada.
EXPOSICIN AL RIESGO
Es habitual que se confundan conceptos de Riesgo Residual o Restante y la
Exposicin al Riesgo. El Riesgos Restante o Residual es el Riesgo como resultado
de la aplicacin de controles y mitigadores. Sin embargo, el Nivel de Exposicin al
Riesgo tiene que ver con la cantidad de veces en un perodo dado en que la
organizacin, producto de sus actividades y controles, se ve enfrentada o
expuesta a un Riesgo en particular. Por ejemplo, una fbrica de productos en serie
se ve expuesta a tener un producto fallido con una frecuencia bastante alta. Se
podra decir, sin temor a error, que la empresa est expuesta a producir un
producto fallido, en forma diaria. Sin embargo, un fabricante de vehculos
motorizados a pedido, se ve expuesto al mismo riesgo, pero no con la misma
frecuencia. Con mayor certeza, se ve expuesto al mismo riesgo cada vez que
produce un nuevo vehculo a pedido y no en forma diaria.
Otro ejemplo: Una fbrica de helados produce varios cientos de miles de helados
en forma automatizada. Es casi seguro que a lo menos uno o dos de ellos tengan
algn defecto, sea de forma, color, el palito no qued al centro, etc. Es decir la
organizacin se ve Expuesta al Riesgo en forma diaria. Por otro lado, se puede
considerar el mismo producto, pero en esta oportunidad, la produccin ser
artesanal. Aunque la produccin es aproximadamente en serie, un da se hace
una actividad del proceso, otro da se hace otra actividad y as sucesivamente, se
logra completar un lote de producto en aproximadamente 5 das. En este caso, la
CONTROLES
Existen esencialmente tres tipos de controles. Estn aquellos que controlan que
un evento no suceda, estos reducen la probabilidad y se les denomina controles
Preventivos. Existen otros controles que no previenen nada, pero permiten mejorar
el nivel de reaccin ante la materializacin de un Riesgo, por lo que se les
denomina Detectivos, dado que detectan que ha sucedido algo y generan una
alerta que permite una reaccin temprana, reduciendo los efectos negativos del
evento. Finalmente estn los controles que mitigan puramente el Impacto o
Reactivos, es decir, cuando se ha materializado el Riesgo, estos controles
permiten que la recuperacin o el dao, sea mitigado.
La mayora de los Riesgos y particularmente los ms evidentes, estn mitigados o
controlados. Ello es debido a que existen controles o mitigadores implementados.
Por ejemplo, en Chile los movimientos ssmicos son frecuentes en todo el pas.
Por eso las empresas, por mandato judicial (est en la Ley), deben contar con un
plan de evacuacin y deben ejercitarlo a lo menos una vez al ao. Por tanto, todos
los trabajadores conocen qu hacer, en forma casi instintiva, ante un sismo fuerte
y particularmente, ante la necesidad de un proceso de evacuacin. Algunas
localidades costeras incluso han implementado planes de evacuacin masiva de la
poblacin en caso de existir cierto grado de certeza respecto de un TSUNAMI. En
estos casos, el Plan de Evacuacin es un mitigador de impacto y por ende es un
mitigador Reactivo que afecta el impacto en la organizacin producto de la
materializacin de un Riesgo. En realidad no hay como evitar o reducir la
probabilidad que se produzcan eventos de la naturaleza tales como terremotos,
las caractersticas propias del control. Por ejemplo, los generadores de respaldo
son un control de tipo reactivo que entran a operar cuando hay un corte de energa
elctrica. Sin embargo, las mantenciones a dichos equipos, el que cuenten con
suficiente combustible y sus respectivos fluidos, el que el personal conozca como
encenderlo, etc., son parte de un control sobre el control. Esto se evala cuando
se analiza la calidad del control.
A continuacin algunos ejemplos de categoras de controles:
Tipo de Control
Categora de Control
Preventivos
Preventivos
Preventivos
Procedimientos
Preventivos
Polticas
Preventivos
Preventivos
Reglamentos internos
Preventivos
Clusulas contractuales
Preventivos
Control de acceso
Detectivo
Autorizacin
Detectivo
Alertas
Detectivo
Informes de gestin
Detectivo
Validaciones
Detectivo
Indicadores
Detectivo
Supervisin
Tipo de Control
Categora de Control
Detectivo
Conciliaciones Cuadraturas
Detectivo
Auditoria
Correctivos
Correctivos
Extintores
Correctivos
Respaldos
Procedimientos
(de
evacuacin,
de
Correctivos
recuperacin, u otros)
Correctivos
Sanciones administrativas
Correctivos
Seguros
CALIDAD
La calidad de un control debiera considerar los aspectos propios de un control,
dejando de lado otras caractersticas relacionadas con la eficacia y/o eficiencia.
Algunas caractersticas de Calidad de un control pueden ser su nivel de
Formalidad, su Alcance, su Resiliencia, la frecuencia con que el control opera, el
tipo de control (Preventivo, Reactivo, Detectivo), Fabricante, requerimientos de
mantenciones y su frecuencia, costos de operacin y mantencin, etc. En general
son caractersticas propias de un control. Por ejemplo, el extintor de Incendios.
Obviando el simple hecho que estar presente no mitiga ningn Riesgo, se puede
evaluar si el tamao del mismo es el adecuado, si sus mantenciones son
adecuadas, si el tipo de extintor es el adecuado, si su fecha de caducidad o
vigencia est al da, si es de activacin manual, semi-autimtica o automtica, etc.
En general, las caractersticas de Calidad de un control se refieren a cuan
confiable puede ser en cualquier momento y particularmente cuando se le
necesite.
Estas caractersticas tambin deben ser valorizadas de alguna forma tal que
permita, en combinacin con la eficiencia y eficacia del control, mitigar o controlar
adecuadamente el o los FR a los que se asociar el mismo.
EFICACIA
La eficacia de un control tiene que ver con cuan bien opera el control. Por ejemplo,
los bomberos pueden ser extremadamente eficaces, puesto que extinguen el
fuego, pero si se demoran demasiado (eficiencia) en llegar, da lo mismo si llegan o
no. Cuando se evala la Eficacia de un control se mide o valoriza cuan bien
de
extincin
de
incendios
automtico,
combinado
con
sus
tiempo que demora en ser efectivo el control respecto del RTO, etc. El RTO se
puede obtener producto de un BIA o como resultado de alguna definicin que sea
consistente. (Ver captulo BUSINESS IMPACT ANALYSIS (BIA))
NOTA: El RTO es el tiempo mximo que un proceso puede soportar una interrupcin de su operacin sin
causar dao permanente.
de
una
combinacin
de
Fig. 12
de
llegar
una
puede seguir mitigando. Es como el fuego de una parrilla, slo se puede poner
una cantidad de lea y carbn limitada y si se pone demasiado, puede que sea
necesario sacar lea para que el fuego surja. En el caso de los controles sucede lo
mismo, por lo que es necesario definir un Umbral o la cantidad mxima de
mitigacin que se podr obtener implementando todos los controles posibles e
como
el
Nivel
de
Aceptacin.
Sin
embargo,
en
otras
puede hacer para reducir o mitigar este Riesgo, salvo mitigar el impacto, lo cual
tambin puede llegar hasta cierto punto nicamente.
Tambin es factible, en consideracin de situaciones en que no es posible
modificar alguno de los parmetros, definir niveles de tolerancia distintos segn su
Categora o incluso para cada Riesgo. Por ejemplo, la Categora de Riesgos
DAOS A ACTIVOS MATERIALES, se podra definir un nivel de tolerancia
mayor que la Categora de Riesgos FRAUDE INTERNO. El motivo es simple y
evidente. Contra el fraude interno puedo desarrollar actividades que controlen la
probabilidad y/o mitiguen el impacto, pero contra eventos que estn fuera de mi
control, como los eventos de la naturaleza, o sublevaciones sociales, paros de
servicios pblicos, guerras, etc., no es mucho lo que se puede hacer para
controlar la probabilidad, slo se puede mitigar el impacto.
METODOLOGA DE ANLISIS
Muchas empresas y profesionales de la Gestin de Riesgos consideran que el
proceso es tan complejo, que es difcil y engorroso utilizar frmulas matemticas
que representen objetivamente los Niveles de Riesgo a los que est expuesta la
organizacin y los niveles de control sobre los mismos. Es por ello que el proceso
es de anlisis detallado y, en funcin de ciertos criterios y de una metodologa de
anlisis, se determina la prioridad o urgencia de tratar determinados Riesgos, los
costos y caractersticas de los controles y mitigadores necesarios para tratar
dichos Riesgos ms relevantes o prioritarios.
Este Anlisis de Riesgos lo realiza una persona, o equipo de trabajo, que
determinan ciertos criterios para definir cmo identificarn y medirn el Riesgo.
Entre otras cosas, definirn los niveles de probabilidad e impacto y cmo los
controles y mitigadores aplican y afectan al Riesgo. Como resultado de lo anterior
generarn un listado de prioridad de los Riesgos a mitigar o controlar.
Sin embargo, tambin son vlidas metodologas que intentan objetivizar las
aprensiones y juicios de valor de las personas y los valores inicialmente
designados a fin de tener resultados que no dependan del criterio de las personas,
sino como resultado de un proceso complejo.
METODOLOGA BSICA
La forma ms simple de aplicar matemticamente los controles, es dejando de
lado todo tipo de matices. Para ello se puede comenzar por definir controles slo
de tipo Preventivo o Reactivo y se define que todos los controles de tipo Detectivo
actan nicamente sobre la Probabilidad o nicamente sobre el Impacto. Otra
Es decir, donde:
Cr = Control Reactivo
Cp = Control Preventivo
Pi = Probabilidad Inicial
Ii = Impacto Inicial
Luego,
f(Pi, Ii, Cr, Cp) = (Pi - Cp, Ii - Cr) = coordenadas del Riesgo restante
si los controles tienen valores de la escala o
f(Pi, Ii, Cr, Cp) = (Pi *(1- Cp), Ii *(1- Cr)) = coordenadas del Riesgo restante
si los controles tienen valores porcentuales
METODOLOGA DE INTRODUCCIN
Una forma que pudiera ser ms certera al tratar el tema de la Gestin de Riesgo,
respecto de la Metodologa Bsica, es establecer una escala de 5 valores y
manejar un grupo de 5 a 6 parmetros que permitan determinar las caractersticas
de los controles. En los controles se puede considerar un grupo de caractersticas
que definan la Calidad, otro la Eficacia y otro la Eficiencia. Incluso puede que
uno o dos de estos parmetros sean definidos lo ms objetivamente posible, o
subjetivamente y sus valores ingresados directamente y no como el resultado de
un clculo. A su vez, se combinan y normalizan estos valores. El resultado puede
ser en la misma escala de 1 a 5 como un porcentaje de mitigacin.
Algunos ejemplos de variantes sobre el mismo tema:
Sean,
C = valor de calidad calculado, medido o asignado en escala 1 a 5
Ef1= valor de la eficiencia calculado, medido o asignado en escala 1 a 5
Ef2= valor de la eficacia calculada, medida o asignada en escala 1 a 5
Ej1(C + Ef1 + Ef2) /3 = Mitigacin del Control (M1)
Por qu dividido por 3? Bsicamente, es la forma de obtener una media.
Ej2-
Por qu dividido por 125? El objetivo que es que sea un porcentaje y dado que
todo est en la misma escala de 1 a 5, el valor mximo de la multiplicacin de las
caractersticas del control sera 125. Luego para obtener un porcentaje, el valor
debe ser dividido por 125.
Otra forma de valorizar los controles es darles un peso o ponderador a cada uno
de los parmetros, tal que la suma de los ponderadores siempre sea 1. Luego la
Calidad pudiera ser ponderada de una forma, la Eficacia de otra y la Eficiencia de
otra. La suma ponderada se puede usar como valor o su proporcin respecto del
valor mximo de la escala o como un porcentaje de mitigacin.
Por ejemplo, manteniendo la escala de 1 a 5 se podra ponderar de la siguiente
forma:
Pc = Ponderador de la Calidad
Pef1= Ponderador de la Eficiencia
Pef2= Ponderador de la Eficacia
Luego, la mitigacin del Control seria:
M = Pc * C + Pef1 * Ef1 + Pef2 * Ef2
METODOLOGA CONTNUA
Cuando se trata de una metodologa de este tipo, la discontinuidad est dada por
la cantidad de decimales que se usen. Esto tiene directa relacin con el nivel de
detalle con que se traten las variables y parmetros del Modelo Gestin de
Riesgos implementado. Es decir que la discontinuidad sea lo ms pequea
posible, pero dentro de un rango razonable. Para efectos de considerar una
funcin o frmula continua que permita determinar la magnitud del Riesgo
Restante, con dos o tres decimales puede ser razonable.
Como mencionado anteriormente, hay organizaciones que definen el Impacto
como una funcin de la Probabilidad. Usualmente, este tipo de funciones implican
complejas ecuaciones que pudieran combinar races cuadradas, funciones
trigonomtricas y otro tipo de artilugios matemticos. Sin embargo, en este sentido
y segn cmo se definan los parmetros, las frmulas sern ms complejas o
menos. Claramente lo ms simple dentro de las alternativas continuas es el uso de
Pitgoras. Es decir:
Dadas las coordenadas restantes de,
Pr = Probabilidad Restante
Ir = Impacto Restante
Magnitud = |Raiz (Pr^2 + I^2)-1|
Para llegar a ello, es necesario definir matemticamente la Probabilidad y el
Impacto restantes. Una forma sera:
Pr = P i * C
Donde,
Pr = Probabilidad Restante
Pi = Probabilidad Inherente
C = Mitigacin de Control
Ir = Impacto Residual
Ii = Impacto Inherente
Vi = Velocidad del Impacto
Pi = Persistencia del Impacto
Eficiencia
Nivel de Formalidad
Confiabilidad
Eficacia
Nivel de automatizacin
Alcance
Desarrollo propio
que para un FR puede existir un control y para otro FR puede existir ese mismo
control ms otros.
En este sentido existen distintos criterios. La mayora son subjetivos y valorizan
como un paquete el conjunto de controles. Sin embargo, el nivel de subjetividad de
dicha valoracin pone en riesgo el resultado de la valoracin de los Riesgos. La
ventaja de trabajar con ecuaciones matemticas, por muy simples que sean, es
que se mitiga o reduce en alguna medida, los conceptos y juicios de valor que
tergiversarn los resultados.
La siguiente frmula, ha sido perfeccionada en el tiempo en base a los resultados
y experiencias de su aplicacin. Esta frmula genera un porcentaje de mitigacin
producto de la combinacin priorizada de los controles segn su efectividad
individual.
% =
%Mc(1)
%Mc(n)
%Mc(i)
+ ( (
)) ( (
))
(id + 1)
(id + 1)
(id + 1)
=2
=1
Donde,
%Mc(1) = % de mitigacin del control que ms mitiga
Id = posicin relativa de la capacidad de mitigacin del control que aplica
%Mc(n) = % de mitigacin de n-simo control que ms mitiga
Umbral = nivel mximo de mitigacin asumiendo infinitos controles
%Mc(i) = % de mitigacin del i-simo control que ms mitiga.
Bsicamente, se asume que el mejor control, aquel que controla o mitiga ms,
opera mejor que los dems y en forma complementaria, los siguientes controles
van aportando mayor mitigacin. Ello genera una representacin matemtica que
permite que la combinacin de controles cuya capacidad de control y mitigacin
conjunta sea mayor a la del mejor control individual.
El concepto se puede observar con mayor facilidad en el siguiente grfico:
Luego, es cuestin de definir en forma continua los lmites entre un rango y otro.
Por ejemplo, la probabilidad e impactos se definen en rangos de 1 a 5, pero las
magnitudes del Riesgo no, solamente un nivel de tolerancia, puesto que la
magnitud combinando los valores mximos de 5 niveles sera levemente superior
a 6, en este ejemplo. En este sentido, se puede definir un par de niveles bajo el
nivel de tolerancia y otros 3 sobre dicho nivel, a objeto de generar las debidas
alertas. Por ejemplo, si el Nivel de Aceptacin se ha definido como una Magnitud
de Riesgo 3, estamos estableciendo que todos aquellos Riesgos cuyas
magnitudes sean menores a 3 se encuentran controlados. Luego es posible
establecer que en el rango de 2 a 3 est controlado y en el rango menor a 2 est
muy controlado. Luego para aquellos valores sobre el Nivel Aceptable, se puede
decir que el rango de 3 a 4 tendr un Nivel de Riesgo Medio, entre 4 y 5 un Nivel
de Riesgo Alto y sobre 5 un Nivel de Riesgo Extremo. Sin embargo, estos tres
niveles son inaceptables. Esta jerarquizacin permite identificar la prioridad con
que se deben designar los siempre escasos recursos para mitigar los Riesgos
segn su Nivel.
Sin embargo, al jerarquizar por rangos, lo que se est haciendo es llevar una
Magnitud de Riesgo representado matemticamente por una escala continua, a
una escala discontinua representada por los rangos. Esto se hace nicamente con
el fin de ofrecer a quienes no son entendidos en la materia y que en definitiva son
los que deciden las acciones relevantes de la organizacin, una herramienta ms
digerible y fcil de comprender.
Existen muchas frmulas de valoracin de Riesgos que entregan valores
continuos.
Por ejemplo:
Riesgo = Pr*Ir*F*Vi*Pi
C
Fuente: Proceso de Gestin de Riesgos y Seguros, Isabel Cceres San Jos-Marti
Donde:
Pr es la Probabilidad Restante
Ir es el Impacto Restante
F es la frecuencia con que se ejecuta la actividad donde el FR se presenta
Vi es la Velocidad con que se presenta el Impacto
Pi es la Persistencia del Impacto
C es la valoracin de los controles y mitigadores
En este caso, si se define que la Probabilidad, Impacto y Controles estn en
escalas de 1 a 5 y la Frecuencia, Velocidad del Impacto y Persistencia del Impacto
son parmetros mayores a 0 y menores o iguales a 1, el resultado siempre ser
entre 0 y 5, existiendo la posibilidad de tener magnitudes de Riesgo menores a 1.
Donde,
RSS = Riesgo de Suscripcin de Seguro
CORR= es la combinatoria de los RSS j y k
Donde,
MR = Margen de Riesgo
CoC = Tasa de Costo de Capital
CS(t) = Capital de solvencia obligatorio al cabo de t aos
R(t+1) = tipo de inters sin riesgo bsico correspondiente al vencimiento de
t + 1 aos
Aporte
al
Cardiovascular
1
2
3
4
5
Riesgo
Pas,
tina,
Edad,
Gnero,
Antecedentes personales de enfermedad CV,
Antecedentes familiares de enfermedad CV: slo cuando stos han ocurrido
en familiares de 1er grado.
Tabaquismo,
Hipertensin arterial,
Diabetes,
Dislipidemia,
Obesidad abdominal,
Sedentarismo,
Colesterol HDL< 40 mg/dL,
Triglicridos >150 mg/dL
Estos son los parmetros utilizados en las Tablas de Framingham, las que se ven
aproximadamente como muestra la figura.
EL FACTOR TIEMPO
Indistinto de la metodologa, escalas o criterios definidos, siempre existir una
pesadilla que rondar los rincones de nuestras mentes. Esta es cmo vara la
Magnitud del Riesgo en el tiempo.
Para analizar esta situacin, es necesario definir cinco estados o puntos en el
tiempo que son relevantes. Se definir como T0 aquella instancia de tiempo en que
no ocurre nada o desde la perspectiva de los parmetros de probabilidad e
impacto, aquel momento en el cual la probabilidad existe y es menor que 100%.
En el instante en que se materializa un incidente, ese preciso instante de tiempo
en que la probabilidad pasa a ser 100%, puesto que se ha materializado el riesgo,
se denominar T1. A partir de este punto, pasa un tiempo hasta el momento en
que la organizacin detecta y se da cuenta que se ha materializado el riesgo. A
este momento se le denominar T2. Entre T1 y T2 el impacto se va materializando
y en la medida que el tiempo transcurre, el impacto aumenta y el servicio o
proceso afectado se va degradando. En este punto (T2), la organizacin se
prepara para reaccionar, basado en los controles existentes o la intuicin, segn
sea el caso. Cuando efectivamente la organizacin comienza a reaccionar o los
controles comienzan a operar, ese instante ser T3. A partir de la reaccin de la
organizacin, se mitiga el impacto y este, en funcin lo la calidad de las respuesta,
ir disminuyendo hasta retornar a los niveles normales equivalentes a los
existentes en T0. Esto demorar el tiempo necesario para llegar a T4, el instante en
que se ha declarado que la incidencia ha sido superada.
Para algunos casos, estos tiempos pueden tener distancias temporales de unos
pocos segundos, mientras que para otros pudieran ser varios aos, segn sea el
riesgo materializado.
La figura 16 muestra estos tiempos en funcin del nivel de servicio que se ve
deteriorado por la materializacin de un Riesgo especfico.
T0
T2
T4
T3
Nivel normal
del Servicio
T1
Ejemplos:
Un banco realiza transacciones en miles de millones de dlares en forma diaria.
Se puede suponer el peor escenario posible, que justo cuando est realizando una
de estas millonarias transacciones, se produce un incidente. El banco no puede
darse el lujo de perder una transaccin, menos an si es por mucho dinero que no
es de su propiedad. Por lo tanto, el tiempo entre T1 y T2 debe ser menor a 1
segundo. Igualmente, el tiempo entre T3 y T4 no puede ser significativo y a lo ms
ser de unas horas.
Por otro lado, se dan situaciones como las centrales elctricas nucleares. El
accidente de Chernobil, por ejemplo, tuvo un plazo entre T 1 y T2 de unos das.
Mientras que el perodo entre T3 y T4 an no se puede cuantificar despus de 30
aos!
Transformacin
Inicio
Elementos
de Salida
Desarrollo propio
DEFINICIONES
LEVANTAMIENTO Y
CLCULOS
REVISIN DE
DEFINICIONES Y
PARMETROS
SI
ACCIONES DE
MITIGACIN
VALIDACIN
REQUIERE
AJUSTES?
NO
requiere
de
ciertos
formalismos,
designacin
de
responsables,
informacin respecto de sus riesgos y por ende una mejor calidad de informacin
para la toma de decisiones.
LEVANTAMIENTO DE PROCESOS
Para poder iniciar el levantamiento e identificacin de los Riesgos, es necesaria
una comprensin detallada del proceso que se evaluar. La forma ms prctica de
hacerlo es mediante un conjunto de documentos. Por un lado, un diagrama de
flujo que detalle las actividades, agrupadas en sub-procesos, si existieren, y en el
que cada toma de decisin y cada actividad, ya sea interna o externa, debiera
estar codificada y asociada a un rea o unidad responsable de dicha tarea. El
segundo documento debiera ser una descripcin operacional de cada una de las
actividades, indicando los elementos de entrada de dicha actividad, la actividad
propiamente tal y los elementos de salida. Adems, en ambos documentos es
necesario indicar las tecnologas involucradas. En este sentido es importante
reconocer que una corchetera (engrapadora) o un lpiz pueden ser tan
importantes como una base de datos digital o un sistema informtico de gestin.
Por ejemplo, en una actividad en particular se usan corchetes (grapas) para unir
importantes documentos, como un cheque y su respectivo documento de
autorizacin. Si no hay disponible una corchetera o siquiera corchetes que
permitan efectivamente unir ambos documentos para evitar el extravo de alguno
de ellos, la probabilidad de materializacin de un FR del tipo que se extrave un
cheque aumenta significativamente. Para evitar esta situacin, se puede
considerar como mitigador, tener un pequeo stock de corchetes o clips
disponibles.
En un banco pequeo, el dueo es el nico autorizado para firmar documentos
valorados sobre determinado monto. Hay un importante documento que debe ser
firmado con tinta azul, por un aspecto legal. Justo cuando va a firmar, no hay tinta
azul, solo negra y pese a que hay otras personas, solo hay lpices de tinta negra,
verde o roja o de cualquier color menos azul qu hacemos?
Ambos ejemplos anteriores son hechos reales que han sido observados en
distintas organizaciones y que efectivamente han causado impacto en las
organizaciones. Los detalles, usualmente los menos evidentes, son aquellos de
los que hay que preocuparse, del resto, slo hay que ocuparse.
FLUJOGRAMA
Cuando se trabaja con flujogramas, en general, es necesario conocer algunos
aspectos bsicos de los mismos. Para la documentacin de los flujos se
recomienda el uso del mtodo de notacin BPMN (Business Process Modeling
Notation ISO 19510:2013), el que consiste de una notacin grfica
estandarizada para el modelado de los procesos de negocio.
Su principal objetivo es:
Resolver las dificultades de comunicacin que tiene el lenguaje comn
Proporciona un mtodo normalizado para representar procesos de negocio
Facilita su entendimiento debido a la poca complejidad de su notacin
Proporciona un lenguaje comn entre los usuarios de negocio y los tcnicos
Facilita la diagramacin de los procesos de negocio
Algunas reglas o buenas prcticas mencionan lo siguiente:
1. Por lo general existe a lo menos un punto de inicio y un punto final del
proceso.
2. Una actividad especfica puede gatillar varias actividades subsecuentes
paralelas.
3. Una actividad especfica puede ser gatillada por una o varias actividades.
4. Una decisin slo tiene dos salidas, esto es que se cumple o no se cumple
una condicin.
5. La lnea de unin de dos figuras debe indicar hacia donde se dirige el flujo.
6. En el caso de las lneas de salida de una decisin, deben indicar si esa ruta
corresponde a una confirmacin de la condicin o a una negacin de la
misma.
actividades
especficas
las
las
actividades
sub-
Es importante contar con algn tipo de descriptor de la simbologa, tal que permita
conocer el significado de cada uno de ellos.
Otro ejemplo similar es con las inundaciones. Estn aquellos que tienden a
matizar que se inunde con 1 cm de agua, que se inunde con 5 cm de agua, etc.
Son matices, en la prctica es que se rompa una caera, lo cual es vlido
incluso en pisos altos. Sin embargo, tambin se puede producir una inundacin
porque en la oficina de arriba se produjo una filtracin o se rompi una caera.
Luego todas estas variantes estn incluidas en el FR Que se rompa una caera
provocando una inundacin, dado que lo importante es la consecuencia o impacto
y no la variante de la causa especfica.
IDENTIFICACIN DE RIESGOS
Teniendo identificados los FR especficos e individuales, que no son fallas o faltas
de controles, se pueden agrupar en variados criterios. Usualmente las normas
relacionadas a la Gestin de Riesgo indican una serie de categora y es cuestin
de analizarlas e ir asociando los FR a los Riesgos especificados. Por ejemplo,
Basilea II especifica 7 categoras sealadas anteriormente.
Estas categoras son vlidas para cualquier tipo de organizacin, indistinto que
fueran concebidas originalmente para la industria financiera. Obviamente existen
Riesgos especficos que se enmarcan en cada una de estas categoras. Por
ejemplo: Accidente Laboral; Acoso; Discriminacin; etc, son Riesgos
especficos asociados a Relaciones Laborales Y Seguridad En El Trabajo.
Complementariamente, si se considera necesario se puede abrir otras categoras
como por ejemplo Legales o Poltico Sociales.
Luego, estos Riesgos especficos agrupan distintas formas como se puede
materializar. Por ejemplo, el Riesgo Acoso incluye Que se solicite favores extralaborales a un subalterno con fines laborales; Que un supervisor genere cargas
de trabajo desproporcionadas respecto de sus supervisados; Que una autoridad
exija favores sexuales a cambio de mejoras de evaluaciones, remuneraciones o
simplemente para mantener el trabajo u otras condiciones; etc. Todos estos FR
son distintos, pero todos estn asociados al concepto de ACOSO, por lo que se
agrupan en ese Riesgo. Eventualmente pueden existir Riesgos mencionados en
normativas o guas de referencia que no aplican a la organizacin y en dicho caso,
no deben ser considerados. Sin embargo, usualmente la gran mayora de las
VALORACIN
Una vez identificados los FR, definidos los criterios y la metodologa que se
utilizar, comienza el trabajo de valorizar cada uno de los parmetros para cada
uno de los FR y de los controles. Lo peor que se puede hacer, es que a puerta
cerrada, entre un grupo de colaboradores que en ningn momento se encuentra
involucrado con las actividades o procesos donde se genera el FR, se valorice en
funcin del criterio de cada uno. Lamentablemente, el criterio no se puede
comprar en el negocio de la esquina o en supermercado de su rubro. Es por ello
que es indispensable estandarizar e integrar a los involucrados en las actividades
especficas.
Una forma que ha demostrado dar buenos resultados, es reunir a todos quienes
estn involucrados en el proceso, desde el auxiliar que reparte la correspondencia
hasta el director general, si participan en el proceso. Se hace una pequea
introduccin explicando la actividad a desarrollar, la metodologa y los resultados
esperados.
La metodologa bsicamente consiste en primero evaluar los parmetros de
Probabilidad para cada uno de los FR identificados. Esta situacin permite
concretar varios aspectos relevantes, puesto que primero se valida por los propios
usuarios, en forma pblica, que los FR identificados efectivamente son vlidos y
eventualmente incluso pueden surgir nuevos. Adicionalmente, se est capacitando
a los asistentes en la Gestin de Riesgos y por ltimo, se genera conciencia de los
niveles de relevancia de mitigar los FR en forma permanente. La idea es que para
RIESGO
INHERENTE O INICIAL
Producto del anlisis detallado y la valoracin individual de los FR asociados a
cada Riesgo, se calcula un primer nivel de exposicin denominado Riesgo
Inherente. Este consiste con el clculo de la Magnitud del Riesgo, pero sin
considerar los controles, podramos decir que se evala el Riesgo tal cual Dios lo
trajo al mundo, desnudo. Este clculo matemtico entregar un valor asociado al
Riesgo Inherente o propio de la actividad para cada FR. Dado lo anterior, es
necesario identificar, para cada Riesgo, cual es el FR, asociado a ese Riesgo en
particular, que tiene la mayor exposicin y por ende es el que lleva al Riesgo a su
mayor nivel. En general es bastante evidente, pero hay ciertas condiciones de
borde que deben ser consideradas y tratadas.
Supongamos que tanto la probabilidad como el impacto estn en escala de 1 a 5.
La metodologa o frmula para calcular el Riesgo ser P * I. Qu sucede cuando
tenemos un FR con Probabilidad = 4 e Impacto = 5 y lo comparamos contra otro
de Probabilidad = 5 e Impacto = 4. Al aplicar nuestra frmula, en ambos casos
tenemos el mismo valor, 20. Cul de los dos es ms relevante? Es necesario
definir un criterio que permita discriminar cul de los dos es ms relevante.
Cuando ocurren estas situaciones medias extraas, es recomendable considerar
como ms relevante aquel FR cuyo Impacto es mayor. El motivo es que al
comparar dos situaciones, se presume que ambas han ocurrido, luego el Impacto
es la variable que manda para diferencia la prioridad de uno sobre el otro.
R04e
FR03
4
I
M
P
A 3
C
T
O
2
FR142 FR212
FR244
FR190
1
1
PROBA BI L I DA D
FR160
FR212
FR22
FR161
39
32
29
25
17
12
INFORMES
Con cada ciclo de Gestin de Riesgos, donde se ha evaluado cada uno de los FR
y se ha determinado los niveles de exposicin de cada Riesgos y su relacin con
sus respectivos Niveles de Tolerancia o Aversin al Riesgo, es necesario informar
a las mximas autoridades de la organizacin el estado del arte o la situacin
vigente de los Riesgos. Esta informacin es muy importante para la toma de
decisiones y particularmente aquellas que tengan que ver con temas estratgicos
o con enfrentar situaciones de desmedro.
Por ejemplo, las compaas de seguro cobrarn menor prima si el nivel de
accidentalidad es nulo o bajo. En la medida que se apliquen controles adecuados,
el nivel de accidentabilidad bajar, las primas bajarn y todos estarn felices. Por
otro lado, es importante para la autoridad organizacional conocer estos factores,
puesto que se podra estar estudiando la fusin de la organizacin con otra y el
tener niveles bajos de accidentabilidad pudiera ser un factor preponderante en las
negociaciones y particularmente el precio. En el sentido opuesto, dada una
situacin de mercado que se contrae, es posible que sea necesario realizar
recortes presupuestarios. El hecho de tener una baja accidentabilidad es una
fortaleza que permitir que los recortes no estn por ese lado.
En general, el informe debe comenzar con una breve resea de la situacin
anterior. Breve, de no ms de un prrafo o dos, sumando no ms de unas 10
lneas. El informe debe ser ejecutivo, breve, conciso, sin rodeos, directo a la
materia. Luego una resea de la situacin actual, no ms larga que la anterior y
finalmente una resea de lo que se est haciendo para mejorar la situacin actual.
Cada uno de estos puntos no debe extenderse significativamente, puesto que se
complementar con informacin en detalle en el resto del informe. Todo esto debe
estar en una nica pgina del informe, puesto que es EJECUTIVO y no en detalle.
La siguiente seccin del informe deber profundizar un nivel mostrando grficos
de cada Categora de Riesgo, el comparativo del ciclo anterior y el actual. Ello
permitir mostrar en forma resumida la evolucin de la Gestin de Riesgos a nivel
de Categora.
La siguiente seccin profundiza an ms, y debe indicar los Factores de Riesgos
especficos ms riesgosos o peligrosos, indicando en primer lugar aquellos de
mayor prioridad y paulatinamente llegar hasta los de Magnitud del Riesgo medio o
bajo, segn sea el caso, hasta los cuales tengan una Magnitud del Riesgo sobre el
Nivel de Aceptacin definido, pero por muy poco. De esta forma se facilita la
priorizacin de la asignacin de los recursos y facilita la generacin de proyectos
necesarios para implementar nuevos controles.
En algunos casos, pudiera ser necesario especificar la situacin particular de
alguno de ellos, incluso cuando un Riesgo est bajo el nivel de tolerancia, por
motivos de cumplimiento legal. Usualmente, estos Riesgos especficos tienen que
ver con la probabilidad de comisin de algn delito por parte de la organizacin o
que esta sea utilizada por clientes o proveedores para cometer ilcitos. Es por ello
que pudiera ser tan relevante tratar estos Riesgos especficos en sesiones de
Directorio o reuniones de las mximas autoridades de la organizacin.
REGISTRO DE PRDIDAS
Por ejemplo, en las industrias manufactureras es comn ver carteles que indican
la cantidad de das transcurridos desde el ltimo accidente. Un accidente en una
industria donde la mano de obra es intensa, tiene un costo que va ms all de la o
las personas accidentadas, con el costo que significa el tratamiento de las
lesiones, los costos de recuperacin y eventualmente capacitacin. Tambin hay
que considerar los costos de despido y los costos de reemplazo, slo desde el
punto de vista del recurso humano. Adicionalmente, estn los costos de la
produccin propiamente tal. Si el proceso productivo se detuvo durante varias
horas o eventualmente das, existe un costo relevante en la materia, la reposicin
de componentes o maquinarias daadas producto del accidente, el impacto en la
moral y la eficiencia de los colaboradores que vieron el accidente o participaron
indirectamente, amigos y colegas. Complementariamente, subir la prima de
accidentes, y en el peor de los casos puede incluso surgir demandas laborales o
descontento general. Directamente, todo lo anterior debe valorizarse en dinero,
necesariamente, puesto que ello se comparar con el costo de implementar una o
un conjunto de medidas con el objetivo que el incidente no se repita y a que si
llegase a ocurrir, el impacto del mismo sea el menor posible.
GLOSARIO
BIBLIOGRAFIA
Diettica
FERNANDO
MARTN
FERNNDEZ
http://www2.uned.es/pea-nutricion-y-dietetica-I/guia/PDF/
Programa_Calculo_Riesgo_Cardiovascular _UNED.pdf
Nuevas Tablas Para La Evaluacin Del Riesgo Coronarios En Chile - Dra. Carolina
Echegoyen Inzunza http://medicinafamiliar.uc.cl/html/articulos/240.html