Realización de un

análisis de riesgos
“Risk... the effect of
uncertainty on
objectives”
 Conceptos Fundamentales
• Peligro: Prácticamente…cualquier cosa
✓ Una pistola cargada
✓ Un recipiente con ácido
✓ Un almacén de productos flamables.

• Amenaza: Cualquier incidente que afecte

negativamente a la Organización.
✓ Fenómenos naturales
✓ Actos criminales intencionales
✓ Accidentes ocasionados por descuido o
negligencia
 Conceptos Fundamentales
• Vulnerabilidad: Cualquier falla o debilidad en la
Organización que pueda combinarse con una
amenaza o un peligro produciendo un efecto
negativo.
✓ Hoyos en la cerca
✓ Falta de un sistema de detección de incendio
✓ Procedimientos de reclutamiento inadecuados.
 Conceptos Fundamentales
Entonces… ¿Qué es un RIESGO?

La materialización de un peligro o amenaza que

ocasiona una PÉRDIDA.
 Clasificación de Riesgos
Los riesgos se clasifican en 3 categorías:
• Gente
• Propiedades
• Legales
• Demandas judiciales ó laborales
• Errores y omisiones
• Incumplimiento de servicios
 Tareas básicas del análisis de Riesgos
1. Identificar los bienes a proteger
• Gente
• Dinero
• Productos
• Procesos industriales
• Otros
 Tareas básicas del análisis de Riesgos
2. Identificar los peligros, amenazas
o eventos que podrían afectar a
los bienes.
• Secuestro
• Sabotaje
• Extorsión
• Incendio
• Terremoto
 Tareas básicas del análisis de Riesgos
3. Determinar la probabilidad de
ocurrencia.

4. Estimar el impacto ó efectos en la

Organización si se produce una
pérdida.
 Beneficios de un buen análisis de riesgos

1. Mostrar la situación real de Seguridad que tiene la

Organización (Vulnerabilidad).

2. Resaltar áreas donde se requiere mayor ó menos

protección.

3. Obtener evidencias para el desarrollo y

justificación (en términos de costo) de medidas
efectivas de seguridad.

4. Incrementar la conciencia y cultura de seguridad

en la Organización.
 Para recordar…

• El objetivo de un Análisis de Riesgo es obtener un

balance entre el Impacto del Riesgo a la
Organización y el Costo de implementar medidas
de prevención y protección.

• El Análisis de Riesgo no es una tarea que se

realiza una sola vez y para todos los escenarios.
Debe efectuarse continuamente y cada vez que
hay cambios significativos en las instalaciones,
equipos y el entorno.
 Iniciando la identificación de riesgos

1. Cuáles son los BIENES que la Compañía posee,

opera, renta, controla, compra, vende, diseña,
produce, prueba, analiza, provee servicio, tiene
responsabilidad o custodia por ellos?

2. Cuál es la EXPOSICIÓN de la Compañía a sufrir o

contribuir al deterioro, robo ó pérdida de
propiedades, activos y afectación de personas?
 Iniciando la identificación de riesgos
3. Qué evidencia existe para establecer la
frecuencia, magnitud y alcance de
incidentes anteriores que produjeron
PÉRDIDAS en la Organización, en otras
empresas cercanas ó en Compañías de
productos o servicios similares?
 Iniciando la identificación de riesgos
Potenciales amenazas y peligros a considerar en el
proceso de identificación

Catástrofes naturales: (terremotos, inundaciones, huracanes,

tormentas, tornados, tifones, erupciones volcánicas,
nevadas, tsunamis)
Desastres industriales: (accidentes ambientales, incendios,
fugas de materiales tóxicos, colapso de estructuras)
Disturbios civiles: Manifestaciones, mítines, sabotaje,
vandalismo
Crimen: Asaltos, bombas, robo, ciber-crimen, espionaje,
extorsión, fraude, secuestro, homicidio, abuso sexual
 Iniciando la identificación de riesgos
Potenciales amenazas y peligros a considerar en el
proceso de identificación

Conflicto de intereses: Competencia desleal, soborno,

corrupción.
Terrorismo: Secuestro, ataques con armas biológicas
Otras amenzas: Accidentes en transporte, personas
perturbadas, piratería
Desastres secundarios: Amenazas resultantes de los
daños ocasionados por otros desastres específicos.
Por ejemplo, un sismo puede causar daño
estructural, que asu vez podría causar incendio por
corto-circuitos y falla en el suministro de energía.
 Técnicas para identificar riesgos

• Investigar y recopilar información técnica e

histórica en fuentes confiables, incluyendo Policía,
Cruz Roja, Secretarías de Gobierno, Periódicos, y
sitios de Internet.
 Técnicas para identificar riesgos
• Realizar inspecciones físicas en las
instalaciones o zonas geográficas
documentando con cuestionarios, listas
de chequeo, fotografías y otros
documentos escritos o gráficos.
 Técnicas para identificar riesgos
Probabilidad de Ocurrencia
Descripción Significado

Altamente Probable Una amenaza que probablemente pueda

ocurrir en 1 año.

Probable Una amenaza que probablemente pueda

ocurrir en los próximos 10 años.

Poco Probable Una amenaza que probablemente pueda

ocurrir en los próximos 100 años.

No Aplica No hay historia o posibilidad de que

ocurra. NA
17
 Técnicas para identificar riesgos
Impacto o Severidad
Descripción Significado
Catastrófico Completo desastre con interrupción potencial
a todas las operaciones críticas
(Manufactura, Pagos a proveedores, Nómina,
Servicio a Clientes, cierres financieros)
Mayor Evento que puede causar interrupción a
algunas operaciones críticas.
Menor Evento que no afecta las operaciones.

18
 Técnicas para identificar riesgos
Matriz de Riesgos
Probabilidad

Muy Probable Probable Poco Probable NA

Catastrófico Alto Alto Medio NA

Impacto o Mayor Alto Medio Bajo NA

Severidad

Menor Bajo Bajo Bajo NA

 Estrategias para la
mitigación de riesgos

“We have no future

because our present
is too volatile. We
have only risk
management.”
William Gibson
 Estrategias de mitigación de riesgos
Un buen programa de Manejo de Riesgos
involucra tres pasos básicos:

• Realizar un Análisis de Riesgos efectivo

(4 tareas)

• Identificar las Vulnerabilidades.

• Evaluar las alternativas para manejar los

riesgos y mitigar el impacto.
21
 Estrategias de mitigación de riesgos

Las 5 estrategias para el Manejo de Riesgos

• Transferir (Risk Transfer)

• Asumir (Risk Self-assumption)
• Reducir (Risk Reduction)
• Distribuir (Risk Spreading)
• Evitar (Risk Avoidance)
 Estrategias de mitigación de
riesgos

1. Risk Transfer representa TRANSFERIR el riesgo

a otra Empresa mediante el pago de una póliza
de seguro.

Ejemplo: Contratar una póliza de seguro contra

accidente y/o robo de autos utilitarios reduce las
pérdidas potenciales, particularmente en
ciudades de altos índices de criminalidad y
siniestralidad.
 Estrategias de mitigación de
riesgos
2. Risk Self-assumption requiere calcular y
ACEPTAR una pérdida eventual sin el beneficio
de recuperar algo mediante una póliza de
seguro.
Ejemplo: En un edificio, después de analizar la
probabilidad y el impacto de una intrusión para
saquearlo, se puede ACEPTAR el riesgo sin
contratar un seguro contra robo, mitigándolo
solamente con un programa efectivo de
seguridad física.
 Estrategias de mitigación de riesgos

3. Risk Reduction significa REDUCIR los efectos

potenciales adversos (impacto) ocasionados
por problemas de Seguridad cuando es
imposible evitarlos.
Ejemplo: En un almacén o planta de producción
donde se manejan materiales combustibles, el
riesgo de incendio no se puede evitar. La
instalación de sistemas de detección y combate
de incendios REDUCE la pérdida potencial al
mitigar el impacto del incidente.
 Estrategias de mitigación de riesgos
4. Risk Spreading contempla Descentralizar o Distribuir
una operación o proceso para que no cause una
pérdida total.

Ejemplo: Una estrategia en la cadena de suministro

puede considerar transportar productos de alto valor
distribuidos en varios camiones en vez de en uno solo.
En caso de robo, la pérdida potencial e impacto en el
mercado negro es menor.
 Estrategias de mitigación de riesgos
5. Risk Avoidance significa mitigar el problema por
eliminación del Riesgo.

Ejemplo: El pago de nómina en CASH a empleados

y contratistas puede generar un Riesgo de
ASALTO en las instalaciones. Para ELIMINAR el
riesgo, la Compañía puede decidir realizar
depósitos bancarios.
 Análisis y Manejo de Riesgos
Fennelly define que:
Risk Assessment aplica los métodos utilizados para
identificar todos los riesgos asociados mediante la
determinación de la probabilidad de ocurrencia
relacionados con seguridad.
Risk Management se basa en nuestras habilidades
para implementar y mantener apropiadamente un
plan de seguridad efectivo, o mejor aún, un plan
de protección definitivo basado en lo que sabemos
derivado de nuestra evaluación.
Casos Prácticos

Manos a la obra !!!