Traducción para fines exclusivos de capacitación.

______________________________________________________________________

ANEXO DE
LA NORMA
ISO-IEC 31010
______________________________
GESTIÓN DEL RIESGO – TÉCNICAS DE
EVALUACIÓN DEL RIESGO
 Traducción para fines exclusivos de capacitación.
______________________________________________________________________

Tabla A.1 – Aplicabilidad de las herramientas usadas para la evaluación de riesgos

Proceso de evaluación de riesgo

Análisis de riesgo
Ver
Herramientas y técnicas Identificación Nivel Evaluación
Anexo
de riesgo Consecuencia Probabilidad de de riesgo
riesgo

Lluvia de ideas SA (1) NA (2) NA NA NA B01

Entrevistas estructuradas SA NA NA NA NA B02
y semiestructuradas
Delphi SA NA NA NA NA B03
Listas de verificación SA NA NA NA NA B04
Análisis de peligro SA NA NA NA NA B05
primario
Estudios de operabilidad y SA SA A (3) A A B06
peligros
HACCP SA SA NA NA SA B07
Evaluación de riesgo SA SA SA SA SA B08
medioambiental
Estructura “Qué pasaría SA SA SA SA SA B09
si” (SWIFT)
Análisis de escenario SA SA A A A B10
Análisis de impacto de A SA A A A B11
negocios
Análisis de causa raíz NA SA SA SA SA B12
Análisis de efecto modo SA SA SA SA SA B13
falla
Análisis de árbol de fallas A NA SA A A B14
Análisis de árbol de A SA A A NA B15
eventos
Análisis de causa A SA SA A A B16
consecuencia
Análisis de causa y efecto SA SA NA NA NA B17
Análisis de protección de A SA A A NA B18
capa (LOPA)
Árbol de decisión NA SA SA A A B19
Análisis de confiabilidad SA SA SA SA A B20
humana
Análisis de corbata NA A SA SA A B21
mariposa
Mantenimiento centrado SA SA SA SA SA B22
en la confiabilidad
Análisis de circuito oculto A NA NA NA NA B23
Análisis de Markov A SA NA NA NA B24
Simulación Monte Carlo NA NA NA NA SA B25
 Traducción para fines exclusivos de capacitación.
______________________________________________________________________

Estadísticas Bayesianas y NA SA NA NA SA B26

Redes Bayesianas
Curvas FN A SA SA A SA B27
Índices de riesgo A SA SA A SA B28
Matriz de SA SA SA SA A B29
consecuencia/probabilidad
Análisis de costo beneficio A SA A A A B30
Análisis de Decisión A SA A SA A B31
Multicriterio (MCDA)
1) Fuertemente aplicable (SA)
2) No aplicable (NA)
3) Aplicable (A)

Tabla A.2 – Atributos de una selección de herramientas de evaluación de riesgo

Tipo de técnica de
evaluación de Descripción
riesgo
MÉTODOS DE CHEQUEO
Una forma de identificación de riesgo. Una técnica que provee
Listas de una lista de incertidumbres típicas que necesitan ser
verificación consideradas. Los usuarios se refieren a una lista previamente
desarrollada, códigos o estándares.
Un método simple inductivo de análisis cuyo objetivo es identificar
Análisis preliminar
los peligros y las situaciones peligrosas y eventos que pueden
de peligros
causar peligro para una actividad dada, infraestructura o sistema.
MÉTODOS DE SOPORTE
Una forma de colectar un amplio conjunto de ideas y
Entrevista
evaluaciones, ordenándolas por un equipo. La lluvia de ideas
estructurada y lluvia
puede ser estimulada por avisos o técnicas de entrevista uno a
de ideas
uno o uno a varios.
Un medio de combinar opiniones expertas que pueden sostener la
identificación de la fuente e influencia, estimación de probabilidad
Técnica Delphi y consecuencia y evaluación de riesgo. Es una técnica
colaborativa para construir consensos entre expertos. Involucra
análisis independiente y votación por expertos.
Un sistema de motivación al equipo para identificar riesgos.
SWIFT Estructurado
Normalmente usado dentro de un taller facilitado. Normalmente
¿Qué hay si?
unido a un análisis de riesgo y técnica de evaluación.
Análisis de El análisis de confiabilidad humana (HRA) trata con el impacto de
confiabilidad humanos en los sistemas de desempeño y puede ser utilizado
humana para evaluar las influencias de error humano en el sistema.
ANÁLISIS DE ESCENARIO
Una pérdida simple que ha ocurrido es analizada con el fin de
Análisis de causa entender las causas contribuyentes y cómo el sistema o procesos
raíz (análisis de pueden ser mejorados para evitar tales pérdidas futuras. El
pérdida simple) análisis considera qué controles fueron instalados en el momento
en que ocurrió la pérdida y cómo debe ser mejorado los controles.
Se identifican posibles escenarios futuros a través de la
Análisis de
imaginación o extrapolación desde el presente y se consideran los
escenario
diferentes riesgos asumiendo cada uno de estos escenarios
 Traducción para fines exclusivos de capacitación.
______________________________________________________________________

puede ocurrir. Esto se puede hacer formal o informalmente,

cualitativa o cuantitativamente
Los peligros son identificados y analizados y las posibles rutas por
los cuales puede especificarse una ruta al peligro son
Evaluación del identificadas. La información a nivel de la exposición y la
riesgo toxicológico naturaleza del peligro causado por un nivel dado de exposición
son combinados para dar una medida de la probabilidad de que el
peligro especificado ocurrirá.
Da un análisis de cómo los riesgos de disrupción clave podrían
afectar a las operaciones de una organización e identifica y
Análisis de impacto cuantifica las capacidades que podrían requerirse para
del negocio manejarlos.
Una técnica que comienza con el evento no deseado (evento
principal) y determina todas las formas en que podría ocurrir.
Análisis de árbol de Estos son mostrados gráficamente en un diagrama de árbol
fallas lógico. Una vez que el árbol de fallas ha sido desarrollado, se
debe dar consideración a las formas dadas de reducción o
eliminación de causas/fuentes potenciales.
Análisis de árbol de Usando razonamiento inductivo para traducir probabilidades de
eventos eventos iniciantes diferentes en salidas posibles.
Una combinación de árbol de fallas y eventos que permite la
Análisis de
inclusión de tiempos dilatados. Ambas causas y consecuencias
causa/consecuencia
de eventos iniciantes son consideradas.
Un efecto puede tener un número de factores contribuyentes que
pueden ser agrupados en diferentes categorías. Los factores
Análisis de causa y
contribuyentes son identificados frecuentemente a través de lluvia
efecto
de ideas y mostradas en una estructura de árbol o diagrama
espina de pescado.
ANÁLISIS DE FUNCIÓN
FMEA (Modo de falla y análisis de efectos) es una técnica que
identifica los modos de falla y mecanismos y sus efectos.

Hay varios tipos de FMEA: diseño (o producto) FMEA que es

usado para componentes y productos, Sistemas FMEA que es
usado para sistemas, procesos FMEA que es usado para
procesos de manufactura y ensamblaje, Servicios FMEA y
FMEA y FMECA Software FMEA.

FMEA puede ser seguido por un análisis de criticidad que define

la significancia de cada modo de falla, cualitativamente,
semicualitativamente o cuantitativamente (FMECA). El análisis de
criticidad puede estar basado en la probabilidad de que el modo
de falla resultará en falla de sistema, o el nivel de riesgo asociado
con el modo de falla o número de prioridad de riesgo.
Un método para identificar las políticas que deberían ser
Mantenimiento
implementadas para manejar fallas de manera que sea eficiente y
centrado en
efectivamente alcanzada la seguridad requerida, disponibilidad y
confiabilidad
economía de operación para todo tipo de equipos.
Una metodología para identificar errores de diseño. Una condición
oculta es una hardware latente, software o condición integrada
que puede causar un evento no deseado y que ocurra o puede
Análisis oculto inhibir un evento deseado y no es causado por los componentes
(análisis de circuito de falla. Estas condiciones son caracterizadas por su naturaleza
oculto) aleatoria y habilidad para escapar de la detección durante las
pruebas de sistemas más rigurosos o estandarizados. Las
condiciones ocultas pueden causar operaciones impropias,
pérdida de disponibilidad de sistemas, retrasos en los programas,
 Traducción para fines exclusivos de capacitación.
______________________________________________________________________

o aún muerte o heridas al personal.

HAZOP (Estudios Un proceso general de identificación de riesgo para definir

de peligros y posibles desviaciones del desempeño esperado o intencionado.
operabilidad) Usa un sistema basado en palabras guía.
Un sistema ordenado, proactivo y preventivo para asegurar la
HACCP (Análisis de
calidad del producto, confiabilidad y seguridad de procesos por
peligros y puntos
medición y monitoreo de características específicas que son
críticos de control)
requeridos para estar dentro de los límites definidos.
EVALUACIÓN DE CONTROLES
LOPA (Capas de
(También puede llamársele análisis de barrera). Permite los
análisis de
controles y su efectividad sea evaluada.
protección)
Una forma diagramática simple de describir y analizar las rutas de
un riesgo desde peligros a salidas y revisión de controles. Puede
Análisis de corbata ser considerado como una combinación de la lógica de un análisis
mariposa de árobl de fallas a causas y uno de eventos (representado por el
nudo y las alas) y un análisis de árbol de eventos analizado las
consecuencias.
MÉTODOS ESTADÍSTICOS
El análisis de Markov, algunas veces llamado análisis estado
espacio, es usado comúnmente en el análisis de sistemas
Análisis de Markov
complejos reparables que pueden existir en estados múltiples,
incluyendo varios estados degradados.
La simulación Monte Carlo es usada para establecer la variación
agregada en un sistema resultando de variaciones en el sistema,
para un número de entradas, donde cada entrada tiene una
distribución definida y las entradas están relacionadas a las
salidas vía relaciones definidas. El análisis puede ser usado para
Análisis de Monte
modelos específicos donde las interacciones de varias entradas
Carlo
pueden ser matemáticamente definidas. Las entras pueden estar
basadas en una variedad de tipos de distribución según la
naturaleza de la incertidumbre que están intentando representar.
Para la evaluación de riesgo, las distribuciones triangulares o
distribuciones beta son usadas comúnmente.
Un procedimiento estadístico que utiliza una distribución previa
para evaluar la probabilidad del resultado. El análisis bayesiano
depende de la precisión de la distribución previa para deducir un
Análisis bayesiano resultado preciso. El modelo de causa efecto de las redes de
creencia bayesianas en una variedad de dominios capturando las
relaciones probabilísticas de variables de ingreso para derivar un
resultado.
 Traducción para fines exclusivos de capacitación.
______________________________________________________________________

Anexo B

(Informativo)

Técnicas de evaluación de riesgo

B.1 Lluvia de ideas

B.1.1 Perspectiva

La lluvia de ideas involucra una conversación estimulante y alentadora de flujo libre entre un
grupo de gente con conocimiento para identificar los modos de falla potencial y peligros
asociados, riesgos, criterios para decisiones y/o opciones de tratamiento. El término “lluvia
de ideas” es frecuentemente usado de manera vaga para expresar cualquier tipo de grupo
de discusión. Sin embargo, la verdadera lluvia de ideas involucra técnicas particulares para
tratar de asegurar que la imaginación de las personas sea alentada por los pensamientos y
las sentencias de otros en el grupo.

La facilitación efectiva es muy importante en esta técnica e incluye la estimulación de la

discusión al inicio, provocación periódica del grupo en otras áreas relevantes y capturar las
cuestiones que surjan de la discusión (la cual es generalmente muy animada).

B.1.2 Uso

La lluvia de ideas puede ser usada en conjunción con otros métodos de evaluación de
riesgos descritos más abajo o puede permanecer como una sola técnica para motiva el
pensamiento imaginativo en cualquier etapa del proceso de manejo de riesgos y en cualquier
etapa del ciclo de vida del sistema. Puede ser utilizado para discusiones de alto nivel donde
se identifican las cuestiones, para una revisión más detallada o a un nivel detallado para
problemas particulares.

La lluvia de ideas pone un fuerte énfasis en la imaginación. Es por lo tanto particularmente

útil para identificar riesgos de nueva tecnología, donde no hay datos o donde se requiere
soluciones novedosas para los problemas.

B.1.3 Contribuciones

Son evaluados un equipo de personas con conocimiento de la organización, sistema,

proceso o aplicación.
 Traducción para fines exclusivos de capacitación.
______________________________________________________________________

B.1.4 Proceso

La lluvia de ideas puede ser formal o informal. La lluvia de ideas formal es más estructurada
con los participantes preparados por adelantado y la sesión tiene un propósito y un resultado
definido con la idea de evaluar las ideas puestas. La lluvia de ideas informal es menos
estructurada y frecuentemente más ad-hoc.

En un proceso formal:

- El facilitador prepara los pensamientos iniciales y se desencadena apropiadamente al

contexto antes de la sesión;
- Los objetivos de la sesión son definidos por las reglas explicadas;
- El facilitador comienza un entrenamiento de pensamiento y todos exploran ideas
identificando tantas cuestiones como sea posible. No hay discusión en este punto acerca de
si las cosas estarán o no en una lista o qué es lo que se quiere decir con sentencias
particulares debido a que esto tiende a inhibir el pensamiento de flujo libre. Todas las
entradas son aceptadas y ninguno es criticado y el grupo se mueve rápidamente para
permitir que las ideas desencadenen pensamiento lateral;
- El facilitador puede hacer salir a la gente a un nuevo tema cuando una dirección de
pensamiento es agotado o la discusión se desvía demasiado lejos. La idea sin embargo, es
recolectar tantas ideas diversas como sea posible para un análisis posterior.

B.1.5 Salidas

Las salidas dependen de la etapa del proceso de manejo de riesgo al cual se aplica, por
ejemplo en la etapa de identificación, las salidas deben ser un lista de riesgos y controles
actuales.

B.1.6 Fortalezas y limitaciones

Las fortalezas de la lluvia de ideas incluyen:

- Fomenta la imaginación la cual ayuda a identificar nuevos riesgos y soluciones novedosas.

- Involucra a los interesados y de aquí que ayuda a la comunicación;
- Es relativamente rápido y fácil de instalar.
- Las limitaciones incluyen:
- Los participantes pueden carecer de habilidades y conocimiento para ser efectivos
contribuyentes;
 Traducción para fines exclusivos de capacitación.
______________________________________________________________________

- Ya que es relativamente desestructurado, es difícil de demostrar que el procesos ha sido

comprensivo, e.g., que todos los riesgos potenciales han sido identificados;
- Puede haber una dinámica de grupo particular, donde alguna gente con ideas valiosas estén
quietas mientras que otros dominan la discusión. Esto se puede superar calculador la lluvia
de ideas, usando un foro de discusión o una técnica de grupo nominal. El cálculo de la lluvia
de ideas puede ser instalado para que sea anónimo, evitando así las cuestiones políticas o
personales que pueden impedir el flujo libre de ideas. En la técnica de grupo nominal, las
ideas son sometidas anónimamente al moderador y son luego discutidas por el grupo.

B.2 Entrevistas estructuradas o semiestructuradas

B.2.1 Introducción

En una entrevista estructurada, los individuos entrevistados se les interrogan un conjunto de

preguntas preparadas de una hoja inicial que motiva al entrevistado a ver una situación de
una perspectiva diferente y así identifica los riesgos desde esa perspectiva. Una entrevista
semiestructurada es similar, pero permite más libertad para una conversación y explorar
cuestiones que surgen.

B.2.2 Uso

Las entrevistas estructuradas y semiestructuradas son útiles donde es difícil hacer que la
gente se junte para una sesión de lluvia de ideas o donde la discusión de flujo libre en un
grupo no es apropiado para la situación o las personas involucradas. Son más
frecuentemente usados para identificar riesgos o evaluar la efectividad de controles
existentes como parte de una análisis de riesgos. Pueden ser aplicados en cualquier etapa
de un proyecto o proceso. Son un medio para proveer las entradas de los interesados para
evaluar el riesgo.

B.2.3 Entradas

Las entradas incluyen:

- Una clara definición de los objetivos de las entrevistas;

- Una lista de entrevistados seleccionados de los interesados relevantes;
- Un conjunto de preguntas elaboradas

B.2.4 Proceso

Un conjunto de preguntas relevantes se crea para guiar al entrevistador. Las preguntas

deben ser abiertas en lo posible, deben ser simples, en un lenguaje apropiado para el
 Traducción para fines exclusivos de capacitación.
______________________________________________________________________

entrevistado y cubrir un solo aspecto. Las preguntas que posiblemente siguen deben buscar
la aclaración y también deben ser preparadas previamente.

Las preguntas luego son expuestas a la persona a ser entrevistada. Cuando se busca la
elaboración, las preguntas deben ser abiertas. Se debe tener cuidado de no “guiar” al
entrevistado.

Las respuestas deben ser consideradas con un grado de flexibilidad con el fin de dar la
oportunidad de explorar áreas en los que el entrevistado puede desear ir.

B.2.5 Salidas

Las salidas son los puntos de vista de los interesados en las cuestiones que son materia de
las entrevistas.

B.2.5 Fortalezas y limitaciones

Las fortalezas de entrevistas estructuradas son como sigue:

- Las entrevistas estructuradas permiten a las personas un tiempo para el pensamiento

considerado acerca de una cuestión;
- La comunicación uno a uno puede permitir una consideración más profunda de las
cuestiones;
- Las entrevistas estructuradas permiten el involucramiento de una número grande de
interesados que la lluvia de ideas, la cual usa un grupo relativamente pequeño.

Las limitaciones son como sigue:

- Insume mucho tiempo para que el facilitador obtenga múltiples opiniones en esta forma;
- Se tolera la desviación y no se remueve a través de la discusión de grupo;
- El desencadenamiento de la imaginación que es una característica de la lluvia de ideas no
puede ser alcanzado.