Está en la página 1de 24

Auditoría

ADMINISTRACIÓN DE RIESGOS
ESTÁNDAR AUSTRALIANO/NEOZELANDÉS
AS/NZS 4360:1999
Traducción libre y adaptada: Diana Edith Rincón V y María Mercedes Paloma L.

Introducción

Este estándar fue preparado por el Comité OB/7 de la junta de estándares de


Australia y Nueva Zelanda sobre administración de riesgos como una revisión de
AS/NZS 4360:1995 Administración de riesgos. De acuerdo a este se conserva el
objetivo de proveer un marco conceptual genérico para el establecimiento del
contexto, identificación, análisis, evaluación, tratamiento, monitoreo y comunicación
del riesgo. Debe ser leído en conjunción con otros estándares aplicables o relevantes.

Este estándar especifica los elementos del proceso de administración de riesgos, pero
no tiene como propósito forzar a la uniformidad en el sistema de administración del
riesgo. Es genérico e independiente de cualquier sector industrial o económico. El
diseño e implementación del sistema de administración del riesgo estarán
influenciadas necesariamente por las necesidades de la organización, sus objetivos
particulares, sus productos y servicios, y los procesos y prácticas específicas
empleadas.

La administración del riesgo es un proceso interactivo de pasos bien definidos los


cuales, si se toman de manera secuencial, soporta mejor la toma de decisiones
contribuyendo a una mayor comprensión de los riesgos y sus impactos. El proceso de
administración del riesgo puede ser aplicado a cualquier situación donde un resultado
indeseado o inesperado pudiera ser significante o donde se identifiquen
oportunidades. Los ejecutivos necesitan conocer todos los resultados posibles y
tomar medidas para controlar su impacto.

La administración de riesgos se reconoce como una parte integral de las buenas


prácticas administrativas. Para ser más efectiva, la administración del riesgo debe
volverse parte de la cultura organizacional. Debe estar integrada en la filosofía,
prácticas, planes de la organización y no ser vista o practicada como un programa
separado. Cuando esto se logra, la administración del riesgo le concierne a cada uno
en la organización.

Si por alguna razón no es posible integrar la administración del riesgo en la totalidad


de la organización, podría ser posible aplicarla exitosamente en departamentos,
procesos o proyectos individualmente.

Área de Planeación – AS/NZS 4360- Risk Management


2

Auditoría

La terminología usada en este estándar ha sido escogida para que sea congruente, en
lo posible, con una amplio rango de disciplinas de riesgos y administración de
riesgos. Se han evitado aquellas palabras que tienen diferentes significados en
diferentes teorías de la administración del riesgo y se han reemplazado por palabras
que podrían ser menos usadas comúnmente en la práctica actual pero que podrían ser
definidas para que tengan un significado común y preciso. Un ejemplo es el término
tratamiento del riesgo el cual es definido para cubrir mas que el significado para el
término control del riesgo.

El estándar AS/NZS 3931 Risk análisis of technological systems- application guide, (


el cual es idéntico al IEC 60300-3-9:1995 , Dependability Management, Parte : Guía
de aplicación, Sección 9: Análisis de riesgos de los sistemas tecnológicos) define
como el inicio del proceso de administración del riesgo, el análisis de riesgos sin
incluir los dos pasos de establecer el contexto e identificar los riesgos. Esta
definición del proceso de administración de riesgos no fue seguida en este estándar
porque no fue suficientemente genérico, es decir, practicado por todas las disciplinas
y tampoco permite que se le dé la importancia necesaria a los pasos iniciales
necesario para establecer la administración de todos los riesgos.

El término “informativo” ha sido usado en este estándar para definir la aplicación del
apéndice al cual se está haciendo referencia. Un apéndice “informativo” es solamente
para proporcionar información y guía.1

1
No se tradujeron los anexos

Área de Planeación – AS/NZS 4360- Risk Management


3

Auditoría

1. ALCANCE, APLICACIÓN Y DEFINICIONES.

1.1 Alcance

El estándar provee una guía genérica para el establecimiento e implementación del


proceso de administración del riesgo involucrando la identificación, análisis,
evaluación, tratamiento y monitoreo ongoing o sobre la marcha de los riesgos.

1.2 Aplicación

La administración del riesgo es reconocida como una parte integral de las buenas
prácticas de la administración. Es un proceso interactivo consistente de pasos, los
cuales, cuando son realizados en secuencia, permiten un mejoramiento continuo en la
toma de decisiones.

La administración del riesgo es un término aplicado al método sistemático y lógico


de identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados
con cualquier actividad, función o proceso de la manera que permita a las
organizaciones minimizar las pérdidas y maximizar las oportunidades. La
administración del riesgo es mejor definida como identificar oportunidades que
evitar o mitigar pérdidas.

Este estándar puede ser aplicado en todos los estados de vida de una actividad,
función, proyecto o activo. El beneficio máximo se obtiene usualmente aplicando el
proceso de administración de riesgos desde el comienzo.

1.3 Definiciones.
Para el propósito el estándar, se aplican las siguientes definiciones:

Concepto Definición

Consecuencia
Consequence El resultado de que un evento o situación expresada cualitativamente o
cuantitativamente, siendo este resultado una pérdida, daño, desventaja o ganancia.

Costo
Cost De actividades, directas o indirectas, involucrando cualquier impacto
negativo, incluyendo dinero, tiempo, labor, buen nombre, pérdidas intangibles y
políticas.

Evento
Event Un incidente o situación, la cual ocurre en un lugar particular durante un
intervalo de tiempo particular.

Área de Planeación – AS/NZS 4360- Risk Management


4

Auditoría

Árbol de análisis de eventos


Event tree analysis Una técnica la cual describe el rango posible y
secuencia de resultados los cuales podrían surgir de un evento inicial.

Modo de falla y análisis de efectos (FMEA)


Failure mode and effects analysis
Un procedimiento por el cual los modos de falla
potenciales en un sistema técnico son analizados.
Árbol de análisis de fallas
Fault tree analysis Un método de ingeniería de sistemas para representar las
combinaciones lógicas de varios estados del sistema y sus posibles causas, las cuales
pueden contribuir a un evento específico.

Frecuencia
Frequency Una medida de la rata de ocurrencia de un evento expresado como el
número de ocurrencias de un evento dado en el tiempo. Ver también posibilidad y
probabilidad.

Peligro
Hazard Una fuente de un daño potencial o una situación con un potencial que
cause pérdida.

Verosimilitud-Posibilidad
Likelihood Usado como una descripción cualitativa de probabilidad o frecuencia.

Pérdida
Loss Cualquier consecuencia negativa financiera o de otra índole

Monitorear
Monitor Chequear, supervisar, observar críticamente, o registrar el progreso de
una actividad, acción o sistema sobre una base regular para identificar los cambios.

Organización
Organization Una compañía, firma, empresa, asociación u otra entidad legal,
pública o privada, que tiene su propia función y administración.

Probabilidad
Probability La posibilidad de un resultado o evento específico, medida por el
radio de resultados o eventos específicos del número total de posible resultados o
eventos. La probabilidad se expresa como un número entre 0 y 1, donde 0 indica que
es imposible el resultado y 1 indica que el resultado es cierto.

Riesgo Residual
Residual risk El nivel remanente del riesgo después de que se han tomado
medidas de tratamiento del riesgo.

Área de Planeación – AS/NZS 4360- Risk Management


5

Auditoría

Riesgo
Risk La oportunidad de que algo ocurra que tendrá un impacto sobre los objetivos.
Esta medida en términos de consecuencia y posibilidad.

Aceptación del Riesgo


Risk acceptance Una decisión tomada con base en la información disponible
para aceptar las consecuencias y posibilidad de un riesgo particular.

Análisis de riesgos
Risk analysis El uso sistemático de información disponible para determinar
cuantas veces un evento especificado podría ocurrir y la magnitud de sus
consecuencias.

Valoración de riesgos
Risk assessment
Proceso completo de análisis de riesgos y evaluación de riesgos. Ver figura
3.1.

Evitar el riesgo
Risk avoidance Una decisión tomada con base en información de no
involucrarse en una situación de riesgo.

Control de riesgo
Risk control La parte de la administración del riesgo que involucra la
implementación de políticas, estándares, procedimientos y cambios físicos para
eliminar o minimizar riesgos advertidos.

Ingeniería del riesgo


Risk engineering La aplicación de principios de ingeniería y métodos para la
administración del riesgo.

Evaluación o priorización del riesgo


Risk evaluation
El proceso usado para determinar prioridades en la administración del riesgo
a través de la comparación del nivel del riesgo contra los estándares
predeterminados, niveles de riesgo deseables u otros criterios.

Financiación del riesgo


Risk Financing Los métodos aplicados para fundamentar el tratamiento al
riesgo y las consecuencias financieras del mismo.
Nota: En algunas industrias el riesgo financiero solamente toma en cuenta los
fundamentos relacionados con consecuencias financieras del riesgo.

Área de Planeación – AS/NZS 4360- Risk Management


6

Auditoría

Identificación del riesgo


Risk identification
El proceso para determinar lo que puede ocurrir, por qué y cómo.

Administración del riesgo


Risk management
Incluye la cultura, el proceso y las estructuras que están dirigidas hacia la
administración efectiva de oportunidades potenciales y efectos adversos.

Proceso de administración del riesgo


Risk management process
La aplicación sistemática de políticas administrativas, procedimientos y prácticas
cuando se está estableciendo el contexto, identificando, analizando, evaluando,
tratando, monitoreando y comunicando el riesgo.

Reducción del riesgo


Risk reduction
Una aplicación selectiva de las técnicas apropiadas y principios administrativos para
reducir la posibilidad de una ocurrencia o sus consecuencias, o ambas.

Retención del riesgo


Risk retention
Retener, conservar o asumir intencionalmente o no, la responsabilidad de pérdida o
responsabilidad financiera de pérdida dentro de la organización.

Transferencia del riesgo


Risk transfer
Delegar la responsabilidad por pérdida a otra parte a través de legislación, contratos,
pólizas u otros medios. La transferencia del riesgo puede también referirse a
traspasar un riesgo físico o parte de él a otro.

Tratamiento del riesgo


Risk Treatment
Selección e implementación de opciones apropiadas para manejar el riesgo.

Análisis de Sensitividad
Sensitivity analysis
Examina como los resultados de un cálculo o modelo varían cuando cambian los
valores en la confianza.

Interesados
Stakeholders
Aquellas personas y organizaciones que podrían afectar, ser afectadas por, o percibir
ser afectadas ellas mismas por una decisión o actividad.

Área de Planeación – AS/NZS 4360- Risk Management


7

Auditoría

2. REQUERIMIENTOS PARA LA ADMINISTRACIÓN


DEL RIESGO

2.1 Propósito

El propósito de esta sección es describir un proceso formal para establecer un


programa sistemático de administración del riesgo.

Es indispensable desarrollar una política de administración del riesgo y los


mecanismos de soporte necesarios para proveer un marco claro de trabajo y llevar a
cabo un programa mas detallado en un nivel organizacional inferior o a nivel de
proyecto.

2.2 Política de administración del riesgo:

Los ejecutivos de las organizaciones deben definir y documentar sus políticas acerca
de la administración del riesgo, incluyendo los objetivos del proceso, su compromiso
y el manejo como tal. La política de la administración del riesgo debe ser relevante
con el contexto estratégico de la organización, sus metas, objetivos y naturaleza de la
empresa. La gerencia deberá asegurar que su política es entendida, implementada y
mantenida por todos los niveles de la organización.

2.3 Planear y asignar recursos.

2.3.1 Compromiso Gerencial

La organización debe asegurar que:


a. El sistema de administración de riesgos está establecido, implementado y
mantenido en concordancia con este estándar y

b. El desempeño del sistema de administración del riesgo es reportado a la


gerencia de la organización para su revisión y como una base para mejorar.

2.3.2 Responsabilidad y autoridad

Se debe definir y documentar la responsabilidad, autoridad y la interrelación del


personal que desempeña y verifica el trabajo de la administración del riesgo,
particularmente para las personas que necesitan la autoridad y libertad organizacional
para hacer una o mas de las siguientes actividades:

a. iniciar la acción para prevenir o reducir los efectos adversos de los riesgos;
b. adicionar control al tratamiento de riesgos hasta que el nivel de riesgo se
vuelva aceptable.

Área de Planeación – AS/NZS 4360- Risk Management


8

Auditoría

c. identificar y registrar cualquier problema relacionado con la administración


de riesgos;
d. iniciar, recomendar o proveer soluciones a través de los canales diseñados.
e. verificar la implementación de soluciones y
f. comunicar y consultar interna y externamente según sea conveniente.

2.3.3. Recursos

La organización debe identificar los requerimientos y proveer los recursos


adecuados, incluyendo la asignación de personal entrenado para la administración,
desarrollo del trabajo y verificación de actividades que incluyan revisiones internas.

2.4 Programa de implementación

Se requiere un número de pasos para implementar un sistema efectivo de


administración de riesgos dentro de la organización. Dependiendo de la filosofía,
cultura y estructura de toda la organización acerca del manejo del riesgo, se pueden
combinar u omitir algunos pasos. Sin embargo, deberían considerarse todos los
pasos.

2.5 Revisión del manejo.


Los ejecutivos de la organización deben asegurar que se lleve a cabo, en intervalos
específicos, una revisión del sistema de administración del riesgo para asegurar su
continua oportunidad, conveniencia y efectividad en satisfacer los requerimientos de
este Estándar y las políticas y objetivos de la administración del riesgo establecidos
en la organización (Ver 2.2) Se deben mantener registros de estas revisiones.

Área de Planeación – AS/NZS 4360- Risk Management


9

Auditoría

3. VISIÓN GENERAL DE LA ADMINISTRACIÓN DEL


RIESGO

3.1 General

La administración del riesgo es parte integral del proceso de administración. Es un


proceso iterativo de mejoramiento continuo, multifacético, que se lleva mejor a cabo
con la participación de un grupo multidisciplinario.

Establecer el contexto
Comunicación y consulta

Monitoreo y revisión
Identificar los riesgos

Analizar los riesgos

Evaluar los riesgos

Tratar los riesgos

3.2 Elementos Principales

Los elementos principales del proceso de administración del riesgo, como se


muestran en la figura 3.1 son los siguientes:

a. Establecer el contexto. Establecer el contexto estratégico, organizacional y


de administración del riesgo en el cual el resto del proceso tomará lugar. Se
deben en primer término, establecer los criterios contra los cuales se
evaluarán los riesgos y definir la estructura del análisis.

Área de Planeación – AS/NZS 4360- Risk Management


10

Auditoría

b. Identificación de riesgos. Identificar qué, por qué y cómo las cosas pueden
suceder como la base para mayores análisis.

c. Análisis de riesgos. Determinar los controles existentes y los riesgos


analizados en términos de consecuencia y probabilidad en el contexto de esos
controles. El análisis debe considerar el rango de consecuencias potenciales y
como probablemente esas consecuencias pueden ocurrir. La consecuencia y
la probabilidad son combinadas para producir un nivel de riesgo estimado.

d. Evaluación de riesgos. Comparar los niveles de riesgo estimados contra el


criterio pre-establecido. Esto permite priorizar los riesgos así como identificar
las prioridades de la administración. Si los niveles de riesgo establecido son
bajos, entonces los riesgos podrían caer en una categoría aceptable y podría
no necesitarse un tratamiento.

e. Tratamiento de riesgos. Aceptar y monitorear los riesgos de prioridad baja.


Para otros riesgos, desarrollar e implementar un plan de manejo específico
dentro del cual se incluyen consideraciones de fundamento.

f. Monitorear y revisar. Monitorear y revisar el desempeño del sistema de


administración y los cambios que podrían afectarlo.

g. Comunicación y consulta. Comunicación y consulta apropiada con


accionistas internos y externos no solo en cada estado del proceso de
administración del riesgo sino en lo concerniente a la totalidad del proceso.

La administración del riesgo puede ser aplicada en muchos niveles en una


organización. Puede ser aplicada en un nivel estratégico y en niveles operacionales.
Podría ser incluso aplicada a proyectos específicos para asistir decisiones específicas
o para manejar áreas de riesgo reconocido.

Como ya se había mencionado, la administración del riesgo es un proceso iterativo


que puede contribuir al mejoramiento organizacional. Con cada ciclo, el criterio del
riesgo puede ser fortalecido para lograr progresivamente mejores niveles de
administración de riesgos.

En cada estado del proceso se deben conservar los registros adecuados y suficientes
para satisfacer una auditoría independiente.

Área de Planeación – AS/NZS 4360- Risk Management


11

Auditoría

4. PROCESO DE ADMINISTRACIÓN DEL RIESGO


Establecimiento del contexto

•El contexto Estratégico


•El contexto organizacional
•El contexto de la Administración del riesgo
•Desarrollo del criterio
•Decidir la estructura

Identificación de los riesgos


Que puede ocurrir?
Cómo puede ocurrir?

Análisis de Riesgos
Comunicación y consulta

Determinar controles existentes

Moitorar y Revisar
Determinar Determinar
probabilidad Consecuencias

Estimar el nivel de riesgo

Evaluación de riesgos

•Comparar contra el criterio


•Establecer prioridades

Aceptación SI
Del riesgo

NO

Tratamiento del riesgo


•Identificar opciones de tratamiento
•Evaluar opciones de tratamiento
•Seleccionar opciones de tratamiento
•Preparar planeas de tratamiento
•Implementar planes

Figura 4.1

Área de Planeación – AS/NZS 4360- Risk Management


12

Auditoría

4.1 Establecer el contexto

4.1.1 General

Los detalles del proceso de manejo del riesgo se muestran en la figura 4.1. El
proceso ocurre dentro del marco de un contexto estratégico, organizacional y manejo
del riesgo de la organización. Es necesario establecer el contexto para definir los
parámetros básicos dentro de los cuales los riesgos deben ser manejados y para
proveer una guía en la toma de decisiones cuando se realicen estudios más detallados
del manejo del riesgo. Lo anterior establece el alcance para el resto del proceso de
administración del riesgo.

4.1.2 Establecer el contexto estratégico

Define la relación entre la organización y su medio ambiente, identificando las


fortalezas, debilidades, oportunidades y amenazas de la organización. El contexto
incluye los aspectos financieros, operacionales, competitivos, políticos (percepciones
públicas/imagen), sociales, de servicio al cliente, culturales y legales de las funciones
de la organización.

Identifica los accionistas internos y externos, y considera sus objetivos, llevar en la


contabilidad sus percepciones, y establecer políticas de comunicación con estas
partes.

Este paso está enfocado en el medio ambiente en el cual la organización opera. La


organización debe buscar determinar los elementos cruciales que podrían soportar o
empeorar sus habilidades para manejar los riesgos que enfrenta.

Para que el análisis estratégico pueda ser emprendido debe ser aprobado a nivel
ejecutivo, estableciendo los parámetros básicos y suministrando guía más detallada a
los procesos de manejo del riesgo. Debe existir una relación cercana entre la misión
de la organización o los objetivos estratégicos y el manejo de todos los riesgos a los
cuales esté expuesta.

4.1.3 Establecer el contexto organizacional

Antes de que un estudio de manejo del riesgo comience, es necesario entender la


organización y sus capacidades, así como sus metas, objetivos y las estrategias para
alcanzarlas.

Esto es importante por las siguientes razones:

Área de Planeación – AS/NZS 4360- Risk Management


13

Auditoría

a) El manejo del riesgo toma lugar en el contexto de las más amplias metas,
objetivos y estrategias de la organización;
b) El fracaso para llevar a cabo los objetivos de la organización o la actividad
específica, o el proyecto que está siendo considerado es uno de los riesgos que
deben ser manejados;
c) La política organizacional y las metas ayudan a definir el criterio por el cual se
decide si el riesgo es aceptable o no, y es la base de las opciones para el
tratamiento.

4.1.4 Establecer el contexto del manejo del riesgo

Deben establecerse las metas, objetivos, estrategias, campo de acción y parámetros


de la actividad, o parte de la organización a la cual el proceso de manejo del riesgo
será aplicado. El proceso debe tomar todas las consideraciones, los costos,
beneficios y las oportunidades. Se deben especificar los recursos requeridos y los
registros que se mantuvieron.

Establecer el campo de acción y límites de una aplicación del proceso de manejo del
riesgo implica:

a) Definir el proyecto o la actividad y establecer sus metas y objetivos;


b) Definir lo extenso del proyecto en tiempo y localización;
c) Identificar algunos estudios necesarios y su alcance, objetivos y los recursos
requeridos. Las fuentes genéricas del riesgo y las áreas de impacto pueden
proveer una guía para esto.
d) Definir lo extenso y lo que comprenden las actividades de administración del
riesgo para ser llevadas a cabo.

Entre los asuntos específicos que podrían ser también discutidos se incluyen los
siguientes:

i) Los roles y responsabilidades de varias partes de la organización que


participan en el manejo del riesgo;
ii) Las relaciones entre el proyecto y otros proyectos o partes de la organización.

4.1.5 Desarrollar el criterio de evaluación del riesgo

En esta parte se decide el criterio contra el cual el riesgo será evaluado. Las
decisiones concernientes a la aceptación del riesgo y al tratamiento del mismo
podrían basarse en criterios operacionales, técnicos, financieros, legales, sociales,
humanitarios y otros. Depende frecuentemente de una política interna de la
organización, de las metas, objetivos y los intereses de los accionistas.

Área de Planeación – AS/NZS 4360- Risk Management


14

Auditoría

El criterio podría ser afectado por las percepciones internas y externas y los
requerimientos legales. Es importante que el criterio apropiado sea determinado al
principio.

Aunque los criterios del riesgo son desarrollados inicialmente como parte del
establecimiento del contexto de manejo del riesgo, ellos pueden ser posteriormente
desarrollados y refinados. Luego, vistos como riesgos particulares son identificados y
se escoge la técnica de análisis de riesgos, es decir, el criterio del riesgo debe
corresponder al tipo de riesgos y debe ser expresado de la misma manera que los
niveles del riesgo.

4.1.6 Definir la estructura

Esto implica separar la actividad o el proyecto en un conjunto de elementos. Estos


elementos proveen una estructura lógica para la identificación y análisis que ayuda a
asegurar que no se pasaron por alto riesgos significantes. La estructura escogida
depende de la naturaleza de los riesgos y del alcance del proyecto o actividad.

4.2 Identificación del riesgo


 

4.2.1 General
 
Este paso busca identificar los riesgos a ser manejados. El uso de un proceso
sistemático bien estructurado es crítico para realizar una identificación bastante
amplia, porque un riesgo potencial no identificado en este estado será excluido de
cualquier análisis posterior. La identificación debe incluir todos los riesgos estén o
no controlados por la organización.
 

4.2.2. Lo que puede ocurrir

El propósito es generar una lista amplia de eventos los cuales podrían afectar cada
elemento de las estructuras referidas en a la sección 4.1.6. Esos eventos son entonces
considerados en mayor detalle para identificar lo que puede ocurrir.
 

4.2.3 Cómo y por qué puede ocurrir

Teniendo identificada una lista de eventos, es necesario considerar posibles causas y


escenarios. Un evento puede ser iniciado de muchas formas, pero lo importante es
que no se omitan las causas más significativas.
 

Área de Planeación – AS/NZS 4360- Risk Management


15

Auditoría

4.2.4 Herramientas y técnicas

Las aproximaciones usadas para identificar riesgos incluyen listas de chequeo,


juicios basados en la experiencia, datos históricos, diagramas de flujo, lluvia de
ideas, análisis de sistemas, análisis del escenario y técnicas de ingeniería.
 

4.3 Análisis de riesgos


 

4.3.1 General
 
Los objetivos del análisis son separar riesgos menores aceptables de los riesgos
mayores y proveer datos para asistir en la evaluación y tratamiento de riesgos. El
análisis de riesgos involucra un debido examen de las fuentes de riesgo, sus
consecuencias y la probabilidad que esas consecuencias puedan ocurrir. Pueden ser
identificados factores que afectan consecuencias y probabilidad. El riesgo es
analizado combinando estimados de consecuencias y probabilidad en el contexto de
medidas de control existentes.
 
Un análisis preliminar se puede llevar a cabo de manera similar a los riesgos de bajo
impacto que son excluidos del estudio detallado. Los riesgos excluidos deben, en lo
posible, ser listados para demostrar la completitud del análisis de riesgos
 

4.3.2. Determinar los controles existentes


 
Identificar la administración existente, sistemas técnicos y procedimientos para
controlar el riesgo y evaluar sus fortalezas y debilidades. Se pueden usar las
herramientas mencionadas en 4.2.4, al igual que aproximaciones como inspecciones
y técnicas de auto-evaluación del control (CSA)
 

4.3.3 Consecuencias y probabilidad


 
Se valora, en el contexto de los controles existentes, la probabilidad del evento y sus
consecuencias asociadas para determinar la magnitud de las consecuencias de un
evento. Las consecuencias y la probabilidad son combinadas para producir un nivel
de riesgo y pueden ser determinadas usando análisis estadísticos y cálculos.
Alternativamente donde no hay datos históricos disponibles, se pueden hacer
estimativos subjetivos que reflejen el grado de creencia de un grupo o de un
individuo en que un evento en particular o salida ocurran.
 
Para evitar juicios subjetivos analizando las consecuencias y probabilidad se deben
usar las mejores técnicas y fuentes de información. Entre las fuentes de información
se pueden incluir las siguientes:
 
- Registros históricos

Área de Planeación – AS/NZS 4360- Risk Management


16

Auditoría

- Experiencia relevante
- Practica y experiencia en la industria
- Literatura relevante publicada
- Pruebas de mercadeo e investigación de mercados
- Experimentos y prototipos
- Modelos económicos, de ingeniería u otros
- Juicios de expertos y especialistas
 
Las técnicas incluyen:
- Entrevistas estructuradas con expertos en el área de interés
- Uso de grupos multi-disciplinarios de expertos
- Evaluaciones individuales usando cuestionarios
- Uso de computadores y
- Uso de árboles de eventos.
 
En lo posible, la confianza depositada en los estimativos de niveles de riesgo debe
ser incluida.
 

4.3.4 Tipos de análisis


 
El análisis de riesgos podría ser aplicado en varios grados de refinamiento
dependiendo de la información del riesgo y la disponibilidad de los datos. El análisis
puede ser cualitativo, semi-cuantitativo o cuantitativo o una combinación
dependiendo de las circunstancias. El orden de complejidad y costos de esos análisis
en orden ascendente, es cualitativo, semi-cuantitativo y cuantitativo. En la práctica,
el análisis cualitativo es frecuentemente usado primero para obtener una indicación
general del nivel de riesgo. Mas tarde podría ser necesario realizar análisis
cuantitativos específicos. En detalle, los tipos de análisis son como los siguientes:
 
a. Análisis Cualitativo
 
El análisis cuantitativo usa frases o escalas descriptivas para describir la magnitud de
la consecuencia potencial y la probabilidad de que estas consecuencias ocurran. Las
escalas pueden ser adaptadas o ajustadas para ceñirse a las circunstancias y se pueden
usar diferentes descripciones para diferentes riesgos.
 
El análisis cualitativo es usado:
 
i. Como una actividad inicial para identificar riesgos los cuales requieren mas
análisis detallado.
ii. Donde el nivel de riesgo no justifica el tiempo y esfuerzo requerido para un
análisis completo o
iii. Donde los datos numéricos son inadecuados para el análisis cuantitativo.
 

Área de Planeación – AS/NZS 4360- Risk Management


17

Auditoría

b. Análisis semi-cuantitativo.
 
En el análisis semi-cuantitativo, a las escalas cualitativas como las descritas
anteriormente se les da un valor. El número asignado para cada descripción no tiene
que soportar una relación exacta con la actual magnitud de la consecuencia y de la
probabilidad. Los números pueden ser combinados con cualquier otro número
dentro de un rango de fórmula dado por el sistema que se usa para priorizar. El
objetivo es producir una priorización detallada que se logra usualmente en el análisis
cualitativo, a diferencia del análisis cuantitativo que sirve para sugerir valores
realistas a los riesgos.
 
Debe tomarse con el debido cuidado el uso del análisis semi-cuantitativo porque los
números escogidos pueden no reflejar las relaciones adecuadamente y por
consiguiente llevar a resultados inconsistentes. El análisis cuantitativo podría no
diferenciar apropiadamente entre riesgos, particularmente cuando las consecuencias
o la probabilidad son extremas.

c. Análisis Cuantitativo

El análisis cuantitativo usa valores numéricos (mejor que descripciones en escala


usada en el análisis semi-cuantitativo y cualitativo). Tanto la consecuencia como la
posibilidad usan datos de variadas fuentes (como se referencia en los numerales a y b
de la sección 4.3.3) La calidad de los análisis depende de la exactitud y completitud
de los valores numéricos usados.

Las consecuencias pueden estimarse modelando las salidas de un evento o conjunto


de eventos, o por extrapolación de estudios experimentales o datos históricos. Las
consecuencias podrían ser expresadas en términos monetarios, técnicos o criterio
humano, o cualquiera de los otros criterios referidos en la sección 4.1.5. En algunos
casos, se necesita mas de un valor numérico para especificar las consecuencias para
diferentes tiempos, lugares, grupos o situaciones.

La posibilidad está usualmente expresada como una probabilidad, una frecuencia o


una combinación de exposición y probabilidad.

La forma en la cual la verosimilitud y consecuencias son expresadas y las formas en


las cuales son combinadas para proveer un nivel de riesgo variarán de acuerdo al tipo
de riesgo y al contexto en el cual el nivel de riesgo esta para ser usado

4.3.5. Análisis de sensitividad

Como algunos de los estimativos hechos en el análisis cuantitativo son imprecisos, se


debe llevar a cabo un análisis de sensitividad para probar los efectos de cambios en
los supuestos y los datos.

Área de Planeación – AS/NZS 4360- Risk Management


18

Auditoría

4.4 Evaluación del Riesgo

La evaluación del riesgo implica comparar el nivel del riesgo encontrado durante el
proceso de análisis contra el criterio de riesgo previamente establecido.

El análisis del riesgo y el criterio contra el cual los riesgos son comparados en la
evaluación del riesgo deben ser considerados sobre las mismas bases. Por lo tanto la
evaluación cualitativa implica la comparación de un nivel cualitativo de riesgo contra
el criterio cualitativo, y una evaluación cuantitativa implica una comparación de
niveles numéricos de riesgos contra los criterios los cuales pueden ser expresados
como un número específico, tal como fatalidad, frecuencia o valor monetario.

El resultado de una evaluación del riesgo es una lista priorizada de riesgos.

Se debe considerar que los objetivos de la organización y la extensión de la


oportunidad podrían resultar de correr el riesgo.

Las decisiones deberán ser tomadas dentro del más amplio contexto del riesgo
considerando la tolerancia a los riesgos transferidos a terceras partes y el beneficio
que la organización percibe de esto.

Si los riesgos resultantes caen dentro de la categoría baja o aceptable, pueden ser
aceptados con un mínimo tratamiento. Los riesgos bajos y aceptados deben ser
monitoreados y periódicamente revisados para asegurar su continua aceptabilidad.

Si los riesgos no caen dentro de la categoría de riesgo baja o aceptable, ellos deben
ser tratados usando una o más de las opciones consideradas en la cláusula 4.5.

4.5 Tratamiento del Riesgo

El tratamiento del riesgo implica la identificación del rango de las opciones para el
tratamiento del riesgo, la valoración de estas opciones y la preparación de planes
para el tratamiento del riesgo e implementación de ellos.

Área de Planeación – AS/NZS 4360- Risk Management


19

Auditoría

Riesgo evaluado y priorizado

SI
Riesgo
Aceptar
Aceptable?
NO

Transferir total
Reducir la Reducir las
o una parte Evitar
Probabilidad consecuencias

Monitoreo y revisión
Comunicación y consulta

Considerar factibilidad de costos y beneficios

Estrategias de tratamiento recomendadas

Seleccionar Estrategia de tratamiento

Preparar planea de tratamiento

Transferir total
Reducir la Reducir las
o una parte Evitar
Probabilidad consecuencias

Parte retenida Parte transferida

Riesgo
Retener
Aceptable? SI
NO

Figura 4.2 Proceso de tratamiento del riesgo

Área de Planeación – AS/NZS 4360- Risk Management


20

Auditoría

4.5.1 Opciones de identificación para el tratamiento del riesgo

La Figura 4.2 ilustra el proceso del tratamiento del riesgo. Las opciones no son
necesariamente mutuamente exclusivas o apropiadas en todas las circunstancias,
incluyen lo siguiente:

a) Evitar el riesgo decidiendo no proceder con la actividad generadora del riesgo


(donde esto es la práctica).

Una actitud de aversión al riesgo, la cual es una tendencia de muchas personas


(frecuentemente influenciadas por el sistema interno de la organización) puede ser
inapropiada porque puede aumentar la significancia de los otros riesgos.

La aversión al riesgo genera:

i) Decisiones para evitar o ignorar los riesgos a pesar de la información


disponible y los costos en que se ha incurrido para tratar esos riesgos.
ii) Fracaso para tratar el riesgo;
iii) Que no se realicen selecciones críticas y/o decisiones importantes;
iv) Decisiones diferidas que la organización no puede evitar; o
v) Seleccionar una opción porque representa un bajo riesgo potencial sin
considerar los beneficios.

b) Reducir la probabilidad de la ocurrencia.

c) Reducir las consecuencias.

d) Transferir el riesgo

Involucra a terceros para que corran con el riesgo o compartan alguna parte del
mismo. Entre los mecanismos se incluyen el uso de contratos, arreglos del seguro y
estructuras organizacionales como sociedades y contratos de asociaciones.

La transferencia de un riesgo a terceros, o la transferencia física a otros lugares,


reducirán el riesgo para la organización original, pero no puede disminuir todo el
nivel del riesgo de la sociedad.
Donde los riesgos son transferidos en un todo o en una parte, la organización que
transfiere el riesgo ha adquirido un nuevo riesgo, ya que la organización a la cual el
riesgo ha sido transferido, podría no manejar el riesgo efectivamente.

e) Retener el Riesgo

Después de que los riesgos han sido reducidos o transferidos, podrían haber residuos
del riesgo (riesgo residual) los cuales son retenidos. Los planes deben manejar las
consecuencias de estos riesgos si ellos ocurrieran, incluyendo la identificación de los
medios de financiar el riesgo. Los riesgos también pueden ser retenidos por

Área de Planeación – AS/NZS 4360- Risk Management


21

Auditoría

descuido, por ejemplo, cuando hay una falla para identificar y/o transferir
apropiadamente.

La reducción de la consecuencia y la posibilidad pueden ser referidas como un


control del riesgo. El control del riesgo involucra determinar el beneficio relativo de
nuevos controles a la luz de la efectividad de los controles existentes. Los controles
pueden involucrar políticas efectivas, procedimientos o cambios físicos.

4.5.2 Valorando las opciones del tratamiento del riesgo

Las opciones deberían ser valoradas con base en el alcance de la reducción del riesgo
y en la extensión de algunos beneficios adicionales u oportunidades creadas,
tomando en cuenta el criterio desarrollado en la cláusula 4.1.5 Se pueden considerar
y aplicar varias opciones individualmente o en combinación.

La selección de la opción más apropiada involucra la comparación del costo de la


realización de cada opción contra los beneficios derivados de esto. En general, el
costo del manejo de los riesgos necesita ser proporcionado con los beneficios
obtenidos.

Las opciones que reducen considerablemente el riesgo a un costo relativamente bajo


deben ser implementadas. Las opciones para mejorar que pueden no ser económicas,
se dejan a juicio en cuanto a si son justificables o no. Esto está ilustrado en la Figura
4.3.

A juicio

No económicas
Implementar
Medidas de
reducción

Figura 4.3 Costo de las medidas de reducción de riesgo

Las decisiones deben tomarse cuidadosamente porque deben tener en cuenta los
casos considerados raros pero que generan riesgos severos, estas decisiones pueden
garantizar reducir el riesgo, aunque no serían justificables en términos estrictamente
económicos.

Área de Planeación – AS/NZS 4360- Risk Management


22

Auditoría

En general, debería tratarse de dejar el impacto adverso de los riesgos tan bajo como
razonablemente práctico se pueda, sin considerar criterios absolutos.

Si el nivel del riesgo es alto, pero ofrece oportunidades considerables, se podría


decidir correr el riesgo, como por ejemplo el uso de una nueva tecnología. La
aceptación del riesgo necesita estar basada en un avalúo de los costos del tratamiento
del riesgo, y en los costos de rectificar las consecuencias potenciales contra las
oportunidades proporcionadas si se toma el riesgo.

Cualquier opción de tratamiento del riesgo, en la mayoría de los casos, es improbable


que sea una solución completa para un problema particular. Frecuentemente la
organización beneficiará sustancialmente de una combinación de opciones tales
como reducir la probabilidad de riesgo, reduciendo sus consecuencias y transfiriendo
o reteniendo algunos riesgos residuales. Un ejemplo es el uso efectivo de contratos y
riesgo financiero soportado por un programa de reducción de riesgos.

Donde el costo acumulativo de implementar todos los tratamientos de riesgo excede


el presupuesto disponible, el plan debería identificar claramente el orden prioritario
en el cual los tratamientos de riesgo individuales deberían ser implementados. El
orden de prioridad se puede establecer usando varias técnicas, incluyendo el risk
ranking y el análisis del costo-beneficio. Los tratamientos del riesgo que no pueden
ser implementados dentro del límite del presupuesto disponible deben aún esperar la
disponibilidad de más recursos financieros o si por cualquier razón algún o todos los
tratamientos sobrantes son considerados importantes, se debe asegurar el
financiamiento adicional.

Las opciones del tratamiento del riesgo deben considerar cómo el riesgo es percibido
por las partes afectadas y las formas más apropiadas de comunicarse con estas partes.

4.5.3 Preparando planes de tratamiento

Los planes deberían documentar cómo las opciones escogidas deberían ser
implementadas.

El plan de tratamiento debe identificar responsabilidades, cronogramas, horarios, el


resultado esperado de los tratamientos, presupuesto, medidas de mejoramiento y el
proceso de revisión a establecidos.

El plan debería también incluir un mecanismo para estimar la implementación de las


opciones contra el criterio de desempeño, responsabilidades individuales y otros
objetivos, y monitorear los acontecimientos críticos de la implementación.

Área de Planeación – AS/NZS 4360- Risk Management


23

Auditoría

4.5.4 Implementando los planes de tratamiento

Idealmente, la responsabilidad para el tratamiento del riesgo debería ser soportada


por los más capaces de controlar el riesgo. Las responsabilidades deberían ser
convenidas entre las partes en el menor tiempo posible.

La implementación exitosa del plan de tratamiento del riesgo requiere un sistema de


manejo efectivo que especifique los métodos escogidos, asigne responsabilidades
individuales de las acciones y los monitoree contra un criterio específico.

Si después del tratamiento existe un riesgo residual, se debería tomar una decisión
para retener este riesgo o repetir el proceso de tratamiento del riesgo.

4.6 Monitoreo y revisión.

Es necesario monitorear: los riesgos, la efectividad del plan de tratamiento del riesgo,
las estrategias y el sistema de administración establecido para la implementación del
control. Es esencial monitorear los riesgos y la efectividad de las medidas de control
para asegurar que el cambio de circunstancias no altera las prioridades de los riesgos.
Pocos riesgos permanecen estáticos.

La revisión sobre la marcha es esencial para asegurar que el plan de administración


permanece relevante. Los factores que afectan la posibilidad y consecuencia de un
resultado pueden cambiar así como los factores que afectan la oportunidad,
conveniencia o costo de las diferentes opciones de tratamiento. La revisión es una
parte integral del plan de tratamiento administrativo del riesgo.

4.7. Comunicación y consulta

La comunicación y consulta son consideraciones importantes en cada paso del


proceso de administración del riesgo. Es esencial desarrollar un plan de
comunicación para los accionistas internos y externos en las primeras etapas del
proceso. Este plan debe dirigirse hacia asuntos relativos al riesgo en sí mismo y al
proceso de administración del mismo.

La comunicación y la consulta involucran un diálogo en dos vías entre los


accionistas, con enfoque en la consulta a diferencia de la comunicación
unidireccional vista como un flujo de información del accionista que tomó la
decisión a otros accionistas.

La comunicación interna y externa efectiva es importante para asegurar que ellos son
los responsables de implementar la administración del riesgo y ellos con su interés
personal determinan las bases sobre las cuales se toman las decisiones y la razón
particular de las acciones requeridas.

Área de Planeación – AS/NZS 4360- Risk Management


24

Auditoría

Las percepciones del riesgo pueden variar debido a la diferencia entre suposiciones y
conceptos y las necesidades e intereses de los accionistas y la manera como ellos
relacionan el riesgo o los asuntos bajo discusión. Los accionistas están
probablemente haciendo juicios de aceptabilidad de un riesgo basado en sus
percepciones del riesgo. Debido a que los accionistas tienen un impacto significante
sobre las decisiones tomadas, es importante que sus percepciones de riesgo, así como
sus percepciones de beneficios, sean identificadas y documentadas y las razones
subrayadas por ellos entendidas y manejadas.

5 DOCUMENTACIÓN

5.1 General

Cada etapa del proceso de administración del riesgo debe ser documentada. La
documentación debe incluir las suposiciones, métodos, fuentes de datos y resultados.

5.2 Razones para la documentación.

Las razones para la documentación son las siguientes:


a. Demostrar que el proceso es conducido apropiadamente
b. Proveer evidencia de un proceso sistemático en la identificación y análisis de
riesgos.
c. Proveer un registro de riesgos y desarrollar la base de datos de conocimiento
de la organización
d. Proveer a los ejecutivos que toman decisiones un plan para administrar los
riesgos para su aprobación y posterior implementación.
e. Proveer un mecanismo y herramienta
f. Facilitar el monitoreo continuo y las revisiones
g. Proveer un rastro de auditoría
h. Compartir y comunicar información

Las decisiones relativas a la cantidad de documentación involucran los costos y


beneficios y deben tomar en cuenta los factores anteriormente descritos.

Área de Planeación – AS/NZS 4360- Risk Management