Análisis de Riesgos

Cristina Bausá

4ª Clase Virtual

1
Análisis de Riesgos

►  Tema 1: Análisis y gestión de riesgos

►  Tema 2: Metodologías y herramientas de análisis y gestión de riesgos
►  Ciberinteligencia
►  Actividades

Análisis de Riesgos – Cristina Bausá 2

Tema 1:
Análisis y gestión de riesgos

Ø  Seguridad de la información y gestión de riesgos

Ø  UNE-ISO 31000: 2018 Gestión del Riesgo – Directrices

Análisis de Riesgos – Cristina Bausá 3

4ª clase

►  UNE-ISO 31000: 2018

Gestión del Riesgo –Directrices

Análisis de Riesgos – Cristina Bausá 4

 UNE-ISO 31000: 2018
Gestión del Riesgo – Directrices

Análisis de Riesgos – Cristina Bausá 5

UNE-ISO-31000: 2018

Análisis de Riesgos – Cristina Bausá 6

UNE-ISO-31000: 2018

Análisis de Riesgos – Cristina Bausá 7

UNE-ISO-31000: 2018

Análisis de Riesgos – Cristina Bausá 8

PROCESO DE LA GESTIÓN DEL RIESGO

Análisis de Riesgos – Cristina Bausá 9

PROCESO DE LA GESTIÓN DEL RIESGO

►  Implica la aplicación sistemática de políticas,

procedimientos y prácticas a las actividades de
comunicación y consulta, establecimiento del contexto y
evaluación, tratamiento, seguimiento, revisión, registro e
informe del riesgo.

►  Puede aplicarse a nivel estratégico, operacional, de

programa o de proyecto.

Análisis de Riesgos – Cristina Bausá 10

PROCESO DE LA GESTIÓN DEL RIESGO

►  Puede haber muchas aplicaciones del proceso de la

gestión del riesgo dentro de la organización, adaptadas
para lograr objetivos, y apropiadas a los contextos
externo e interno en los cuales se aplican.

►  El proceso de la gestión del riesgo que se presenta

frecuentemente como secuencial, en la práctica es
iterativo.

Análisis de Riesgos – Cristina Bausá 11

PROCESO DE LA GESTIÓN DEL RIESGO

►  Comunicación y consulta

Análisis de Riesgos – Cristina Bausá 12

Comunicación y consulta

►  El propósito es ayudar a las partes interesadas pertinentes a

comprender el riesgo, a entender las bases con las que se toman
decisiones y las razones por las que son necesarias acciones
específicas.
►  La comunicación busca promover la toma de conciencia y la
comprensión del riesgo,
►  La consulta implica obtener retroalimentación e información para
apoyar la toma de decisiones.
►  La comunicación y consulta debe facilitar un intercambio de
información basado en hechos, este intercambio debe ser oportuno,
pertinente, exacto y comprensible, teniendo en cuenta la
confidencialidad e integridad de la información, así como el derecho
a la privacidad de las personas.

Análisis de Riesgos – Cristina Bausá 13

Comunicación y consulta

►  La comunicación y consulta con las partes interesadas apropiadas,

externas e internas, se debería realizar en todas y cada una de las
etapas del proceso de la gestión del riesgo.
►  La comunicación y consulta pretende:
v  reunir diferentes áreas de experiencia en cada etapa del proceso de la
gestión del riesgo
v  asegurar que se consideren los diferentes puntos de vista cuando se
definen los criterios del riesgo y cuando se valoran los riesgos;
v  proporcionar suficiente información para facilitar la supervisión del
riesgo y la toma de decisiones;
v  construir un sentido de inclusión y propiedad entre las personas
afectadas por el riesgo

Análisis de Riesgos – Cristina Bausá 14

PROCESO DE LA GESTIÓN DEL RIESGO

►  Alcance, contexto y criterios

Análisis de Riesgos – Cristina Bausá 15

Alcance, contexto y criterios

►  Como el proceso de la gestión del riesgo puede

aplicarse a niveles distintos (por ejemplo: estratégico,
operacional, de programa, de proyecto u otras
actividades), es importante tener claro el alcance
considerado, los objetivos pertinentes a considerar
y su alineamiento con los objetivos de la
organización.

Análisis de Riesgos – Cristina Bausá 16

Alcance, contexto y criterios

►  Se incluyen las siguientes consideraciones:

v  los objetivos y las decisiones que se necesitan tomar;
v  los resultados esperados de las etapas a ejecutar en el proceso;
v  el tiempo, la ubicación, las inclusiones y las exclusiones
especificas;
v  las herramientas y las técnicas apropiadas de evaluación del
riesgo;
v  los recursos requeridos, responsabilidades y registros a
conservar;
v  las relaciones con otros proyectos, procesos y actividades.

Análisis de Riesgos – Cristina Bausá 17

Alcance, contexto y criterios

►  Los contextos externo e interno son el entorno en el cual la

organización busca definir y lograr sus objetivos.
►  El contexto del proceso de la gestión del riesgo se debería
establecer a partir de la comprensión de los entornos externo e
interno en los cuales opera la organización y debería reflejar el
entorno específico de la actividad en la cual se va a aplicar el
proceso de la gestión del riesgo.
►  Aplican los mismos componentes que en el marco de referencia

Análisis de Riesgos – Cristina Bausá 18

Alcance, contexto y criterios

►  La organización debería definir los criterios que se aplican para

evaluar la importancia del riesgo.
►  Los criterios deberían reflejar los valores, los objetivos y los
recursos de la organización.
►  Algunos criterios pueden estar impuestos o derivarse de requisitos
legales o reglamentarios, o de otros requisitos suscritos por la
organización.
►  Los criterios de riesgo deberían ser coherentes con la política de
gestión del riesgo de la organización , definirse al comienzo de
cualquier proceso de gestión del riesgo, y revisarse continuamente.
►  Los criterios se deberían definir teniendo en consideración las
obligaciones de la organización y los puntos de vista de sus partes
interesadas.

Análisis de Riesgos – Cristina Bausá 19

Alcance, contexto y criterios

►  Al definir los criterios de riesgo, se deberían considerar

una serie de factores:
v  La naturaleza y los tipos de las causas y de las consecuencias
que se pueden producir, y cómo se deben medir
v  El método de definición de la probabilidad
v  Los plazos de la probabilidad y/o de las consecuencias
v  El método para determinar el nivel de riesgo
v  Las opiniones de las partes interesadas
v  El nivel al que el riesgo comienza a ser aceptable o tolerable
v  Si se deberían tener en cuenta combinaciones de riesgos
múltiples y, en caso afirmativo, cómo y qué combinaciones se
deberían considerar.
Análisis de Riesgos – Cristina Bausá 20
PROCESO DE LA GESTIÓN DEL RIESGO

Análisis de Riesgos – Cristina Bausá 21

Evaluación del riesgo

►  La evaluación del riesgo es el proceso global de identificación,

de análisis y de valoración del riesgo.
►  La evaluación del riesgo se debería llevar a cabo de manera
sistemática, iterativa y colaborativa, basándose en el conocimiento
y los puntos de vista de las partes interesadas. Se debería utilizar la
mejor información disponible, complementada por investigación
adicional, si fuese necesario.

Análisis de Riesgos – Cristina Bausá 22

Identificación del riesgo

►  PROPÓSITO: encontrar, reconocer y describir los riesgos que

pueden ayudar o impedir a una organización lograr sus objetivos.
►  Se deberían considerar los factores siguientes:
v  Las fuentes de riesgo tangibles e intangibles;
v  Las causas y los eventos,
v  Las amenazas y las oportunidades;
v  Las vulnerabilidades y las capacidades;
v  Los cambios en los contextos externo e interno;
v  Los indicadores de riesgos emergentes;
v  La naturaleza y el valor de los activos y los recursos;

v  ……

Análisis de Riesgos – Cristina Bausá 23

Identificación del riesgo

v  Las consecuencias y sus impactos en los objetivos;

v  Las limitaciones de conocimiento y la confiabilidad de la información;
v  Los factores relacionados con el tiempo;
v  Los sesgos, los supuestos y las creencias de las personas
involucradas.

►  La organización debería identificar los riesgos, tanto si sus fuentes

están o no bajo su control.
►  El objetivo de esta etapa consiste en generar una lista de riesgos
exhaustiva basada en aquellos sucesos que podrían crear, mejorar,
prevenir, degradar, acelerar o retrasar el logro de los objetivos

Análisis de Riesgos – Cristina Bausá 24

Identificación del riesgo

►  La organización debería aplicar herramientas y técnicas de

identificación del riesgo que se adapten a sus objetivos y aptitudes,
así como a los riesgos a los que está expuesta.
►  Para la identificación de los riesgos es esencial disponer de
información pertinente y actualizada.
►  Siempre que sea posible, esta información debería ir acompañada
de antecedentes apropiados.
►  En la identificación de los riesgos deberían intervenir personas con
conocimientos apropiados.

Análisis de Riesgos – Cristina Bausá 25

Análisis del riesgo

►  PROPÓSITO: comprender la naturaleza del riesgo y sus

características incluyendo, el nivel del riesgo.
►  IMPLICA: una consideración detallada de incertidumbres, fuentes de
riesgo, consecuencias, probabilidades, eventos, escenarios, controles
y su eficacia.
►  Un evento puede tener múltiples causas y consecuencias y puede
afectar a múltiples objetivos.
►  El análisis del riesgo se puede realizar con diferentes grados de
detalle y complejidad, dependiendo del propósito del análisis, la
disponibilidad y la confiabilidad de la información y los recursos
disponibles

Análisis de Riesgos – Cristina Bausá 26

Análisis del riesgo

►  Las técnicas de análisis pueden ser cualitativas, cuantitativas o una

combinación de éstas, dependiendo de las circunstancias y del uso
previsto.
►  El análisis del riesgo debería considerar factores tales como:
v  la probabilidad de los eventos y de las consecuencias;
v  la naturaleza y la magnitud de las consecuencias;
v  la complejidad y las interdependencias;
v  los factores relacionados con el tiempo y la volatilidad;
v  la eficacia de los controles existentes;
v  los niveles de sensibilidad y de confianza.

Análisis de Riesgos – Cristina Bausá 27

Análisis del riesgo

►  El análisis del riesgo puede estar influenciado por cualquier

divergencia de opiniones, sesgos, percepciones del riesgo y juicios.
►  Estas influencias se deberían considerar, documentar y comunicar a
las personas que toman decisiones.
►  El análisis del riesgo proporciona una entrada para la valoración del
riesgo, para las decisiones sobre la manera de tratar los riesgos y si
es necesario hacerlo. y sobre la estrategia y los métodos más
apropiados de tratamiento.
►  Los resultados proporcionan un entendimiento profundo para tomar
decisiones, cuando se está eligiendo entre distintas alternativas, y las
opciones implican diferentes tipos y niveles de riesgo.

Análisis de Riesgos – Cristina Bausá 28

Valoración del riesgo

►  PROPÓSITO: apoyar a la toma de decisiones.

►  IMPLICA: implica comparar los resultados del análisis del riesgo con
los criterios del riesgo establecidos para determinar cuándo se
requiere una acción adicional. Esto puede conducir a una decisión de:
v  no hacer nada más;
v  considerar opciones para el tratamiento del riesgo;
v  realizar un análisis adicional para comprender mejor el riesgo;
v  mantener los controles existentes;
v  reconsiderar los objetivos.

►  Los resultados de la valoración del riesgo se deberían registrar,

comunicar y luego validar a los niveles apropiados de la organización.

Análisis de Riesgos – Cristina Bausá 29

PROCESO DE LA GESTIÓN DEL RIESGO

Análisis de Riesgos – Cristina Bausá 30

Tratamiento del riesgo

►  PROPÓSITO: seleccionar e implementar opciones para abordar el

riesgo.
►  IMPLICA: un proceso iterativo de:
v  Formular y seleccionar opciones para el tratamiento del riesgo
v  Planificar e implementar el tratamiento del riesgo
v  Evaluar la eficacia de ese tratamiento
v  Decidir si el riesgo residual es aceptable
v  Efectuar un tratamiento adicional si el riesgo no es aceptable

Análisis de Riesgos – Cristina Bausá 31

Tratamiento del riesgo: OPCIONES

►  Las opciones de tratamiento del riesgo no se excluyen

necesariamente unas a otras, ni son apropiadas en todas las
circunstancias.
►  Las opciones pueden incluir lo siguiente:
v  Evitar el riesgo decidiendo no iniciar o continuar con la actividad que
genera el riesgo
v  Aceptar o aumentar el riesgo en busca de una oportunidad
v  Eliminar la fuente de riesgo
v  Modificar la probabilidad
v  Modificar las consecuencias
v  Compartir el riesgo
v  Retener el riesgo con base en una decisión informada

Análisis de Riesgos – Cristina Bausá 32

Tratamiento del riesgo

►  Se debe hacer un balance entre los beneficios potenciales, derivados

del logro de los objetivos contra costos, esfuerzo o desventajas de la
implementación.
►  Se debería realizar de acuerdo con los objetivos de la organización,
los criterios del riesgo y los recursos disponibles.
►  Se deberían considerar los valores, las percepciones, el involucrar
potencialmente a las partes interesadas. A igual eficacia, algunas
partes interesadas pueden aceptar mejor que otras los diferentes
tratamientos del riesgo.

Análisis de Riesgos – Cristina Bausá 33

Tratamiento del riesgo

►  El tratamiento del riesgo a su vez puede introducir nuevos riesgos

que necesiten gestionarse.
►  Para tener la seguridad de que las medidas son eficaces, es necesario que el
seguimiento sea una parte integrante del plan de tratamiento del riesgo.
►  El tratamiento del riesgo también puede introducir riesgos secundarios que
necesitan que se aprecien, se traten, se realice seguimiento y se revisen.
►  Estos riesgos secundarios se deberían incorporar en el mismo plan de
tratamiento que el riesgo original, y no tratarse como riesgos nuevos.

Análisis de Riesgos – Cristina Bausá 34

Tratamiento del riesgo

►  Si no hay opciones disponibles para el tratamiento o si las opciones

para el tratamiento no modifican suficientemente el riesgo, éste se
debería registrar y mantener en continua revisión.
►  Las personas que toman decisiones y otras partes interesadas
deberían ser conscientes de la naturaleza y el nivel del riesgo
residual después del tratamiento del riesgo.
►  El riesgo residual se debería documentar y ser objeto de seguimiento,
revisión y, cuando sea apropiado, de tratamiento adicional.

Análisis de Riesgos – Cristina Bausá 35

Plan de Tratamiento del Riesgo

►  PROPÓSITO: documentar la manera en que se implantarán las

opciones de tratamiento elegidas.
►  El plan de tratamiento del riesgo debería identificar el orden de
prioridad en que se deberían implementar los tratamientos de riesgo
individuales.
►  El plan de tratamiento del riesgo debe integrarse en los planes y
procesos de la gestión de la organización, en consulta con las partes
interesadas apropiadas

Análisis de Riesgos – Cristina Bausá 36

Plan de Tratamiento del Riesgo

►  La información proporcionada en el plan del tratamiento debería incluir:

v  Las razones que justifican la selección de las opciones de tratamiento,
incluyendo los beneficios previstos
v  Las personas responsables de la aprobación del plan y las personas
responsables de la implementación del plan
v  Las acciones propuestas
v  Los recursos necesarios, incluyendo las contingencias
v  Las medidas del desempeño y las restricciones
v  Los informes y seguimiento requeridos
v  Los plazos previstos para la realización y la finalización de las
acciones

Análisis de Riesgos – Cristina Bausá 37

PROCESO DE LA GESTIÓN DEL RIESGO

Análisis de Riesgos – Cristina Bausá 38

Seguimiento y revisión

►  PROPÓSITO: asegurar y mejorar la calidad y la eficacia del diseño, la

implementación y los resultados del proceso.
►  El seguimiento y la revisión deberían planificarse en el proceso de gestión del
riesgo y someterse a una verificación o una vigilancia regular.
►  El seguimiento y la revisión deberían tener lugar en todas etapas del proceso.
►  El seguimiento y la revisión incluyen planificar, recopilar y analizar información,
registrar resultados y proporcionar retroalimentación.
►  Los resultados del seguimiento y de la revisión se deberían registrar e incluir
en informes internos y externos, según sea apropiado, y también se deberían
utilizar como elementos de entrada para la revisión del marco de referencia de
la gestión del riesgo.

Análisis de Riesgos – Cristina Bausá 39

PROCESO DE LA GESTIÓN DEL RIESGO

Análisis de Riesgos – Cristina Bausá 40

Registro e informe

►  El proceso de la gestión del riesgo y sus resultados se deberían documentar e

informar a través de los mecanismos apropiados.
►  PROPÓSITO:
v  Comunicar las actividades de la gestión del riesgo y sus resultados a lo
largo de la organización
v  Proporcionar información para la toma de decisiones
v  Mejorar las actividades de la gestión del riesgo
v  Ayudar a la interacción con las partes interesadas, incluyendo a las
personas que tienen la responsabilidad y la obligación de rendir cuentas de
las actividades de la gestión del riesgo

Análisis de Riesgos – Cristina Bausá 41

Registro e informe

►  Las decisiones con respecto a la creación, conservación y tratamiento

de los registros e informes deberían tener en cuenta, pero no limitarse
a, su uso, la sensibilidad de la información y los contextos externo e
interno

►  El informe es una parte integral de la gobernanza de la organización y

debería mejorar la calidad del diálogo con las partes interesadas, y
apoyar a la alta dirección y a los órganos de supervisión a cumplir sus
responsabilidades

Análisis de Riesgos – Cristina Bausá 42

www.unir.net
43