Análisis de riesgos.

8 consejos para optimizar

su tiempo de realización
¿Qué riesgos tiene mi organización?
Es la pregunta que debe responder el responsable de gestión de riesgos, para ello realiza
un análisis de riesgos que proporcione los puntos críticos de la organización. Este análisis
debe buscar un equilibrio entre la exhaustividad para no dejar de considerar ningún aspecto,
que suele derivar en un análisis que no termina nunca o, por otro lado, hacer un análisis muy
somero que nos proporcione una idea insuficiente de la situación de la organización.

¿Cómo conseguir este equilibrio?

Te presentamos estos 8 consejos para hacer un análisis de riesgos eficiente y eficaz:

1. Utiliza una herramienta que te permita considerar todos los tipos de elementos que hayas
decidido que van a participar en el análisis, así como sus dependencias. Debe permitir definir
con mucho detalle algunos de ellos, incluso hacer un cálculo de su importancia para la
organización, y para otros no tanto, por ejemplo, heredar de forma automática la importancia
de otros elementos con los que está relacionado.
2. La herramienta debe permitir configurar las diferentes metodologías de análisis que se
hayan considerado para cada tipo de análisis. Es posible que el análisis de riesgos financieros
se realice con una metodología diferente al análisis de riesgos de seguridad de la
información. Ambas deberán poder convivir para aplicarse a los respectivos análisis. Así
haremos los análisis de forma simultánea si así lo deseamos.
3. Es habitual que muchas personas tengan que intervenir en el proceso para la valoración de
los riesgos. Una herramienta eficiente nos proporcionará la posibilidad de obtener
esta valoración a través de encuestas, de forma rápida y directa para cada persona.
Posteriormente, la consolidación de resultados se realizará de forma automática.
4. Una vez obtenidos todos los riesgos, la herramienta debe ser capaz de presentar los
resultados a gusto del consumidor. En forma de tabla para, por ejemplo, un análisis
detallado o con diferentes gráficas de nivel ejecutivo aplicando diferentes filtros y
preferencias. Todo ello con la posibilidad de recalcular de forma rápida el análisis de riesgos
completo en caso de que necesitemos ajustar algún aspecto del proceso.
5. Elige una herramienta que posibilite la definición del nivel de riesgo aceptable por la
organización de forma flexible. Puede ser de forma global para la organización, por áreas de
negocio, o elemento a elemento. Seguramente se realizará de diferente forma para cada tipo
de análisis.
6. Queremos informes y registros a medida, no los que nos impongan. Nuestra herramienta
debe permitir configurar la información que queremos que aparezca en los diferentes tipos
de informes que necesitaremos, tanto del resultado final como de cualquier fase del proceso
de análisis y gestión de los riesgos.
7. Hablando de la gestión de riesgos, una vez hayamos terminado el análisis definiremos
un plan de tratamiento vinculando cada acción de mejora con los riesgos que trate.
Elegiremos una herramienta que además nos permita optimizarlo de forma que podamos
simular cómo sería el mapa de riesgos final una vez ejecutado el plan, y ajustar así las
acciones para conseguir un resultado óptimo.
8. El paso final de la gestión de riesgos es la obtención del riesgo residual una vez que el plan
de tratamiento se ha finalizado. La herramienta elegida realizará este cálculo de forma
automática según la eficacia que se establezca para las acciones de mejora del plan de
tratamiento. Evitaremos así la tediosa revisión de todos y cada uno de los riesgos tratados
para recalcular su valor actual.
Si, como gestor de los riesgos de tu organización, cuentas con una herramienta como
GlobalSUITE – Risk Management que cubre todos estos aspectos, te felicito, seguro que tu
gestión es un factor útil y válido para la estrategia de tu organización, a la vez que consigues un
análisis de gestión de riesgos eficaz y eficiente.

7 herramientas para la evaluación de riesgos

La norma ISO 31010 aporta herramientas para la evaluación de riesgos. Check-lists, SWIFT,
análisis de árbol de fallas, diagrama causa-efecto, análisis modal de fallos y efectos, HAZOP y
LOPA (análisis de capas de protección) son técnicas de análisis proporcionadas por esta norma
para la Gestión de Riesgos. ISO 31010 ofrece recomendaciones sobre la selección de técnicas
de valoración del riesgo, como complemento a ISO 31000.

Herramientas para la evaluación de riesgos

 Check-lists. Se trata de una manera simple de identificar los riesgos. Esta técnica
proporciona una lista de las incertidumbres típicas a considerar. Los usuarios se refieren a
una lista previamente desarrollada, códigos o normas.
 SWIFT. Sistema que permite al equipo identificar los riesgos, normalmente vinculado a un
análisis de riesgos y evaluación técnica.
 Análisis de árbol de fallas. Esta técnica se inicia con un evento no deseado y determina
todas las maneras en las que podría ocurrir. Estos eventos se muestran gráficamente en un
diagrama de árbol lógico. Una vez que el árbol de fallas se ha desarrollado, debe
considerarse la posibilidad de formas de reducir o eliminar las posibles causas/fuentes.
 Diagrama causa-efecto. Un efecto puede tener un número de factores que se pueden
agrupar en distintas categorías. Estos factores se identifican a menudo a través del
intercambio de ideas y se muestran en una estructura de “espina de pescado”. Permite
conocer la raíz del problema y cuellos de botella en procesos.
 Análisis Modal de Fallos y Efectos (AMFE). Esta técnica identifica y analiza los fallos
potenciales, mecanismos y los efectos de esos fallos. Entre otros, se utiliza para el diseño
de componentes y productos, sistemas, procesos de fabricación y montaje, servicio y
software.
 Análisis funcional de operatividad (HAZOP). Se trata de un proceso general de
identificación de riesgos para definir posibles desviaciones del rendimiento esperado o
deseado. Se utiliza para detectar situaciones de inseguridad en plantas industriales, debido a
la operación o a los procesos productivos.
 Análisis de capas de protección (LOPA). Permite la evaluación de controles, así como su
eficacia.
Los profesionales de Risk Management han de conocer estas herramientas. Todas ellas tienen
el mismo objetivo: reducir el riesgo.
Normas, leyes y estándares sobre Gestión de
Riesgos Empresarial
Las iniciativas de Gestión de Riesgos pueden surgir de las propias empresas o venir impuestas
por determinadas normativas. ISO 31000 es una de las normativas base del Risk
Management a seguir por las compañías. No obstante, hay organizaciones reguladas que han
de seguir normativas como las derivadas de Basilea, por ejemplo. Cada una de ellas está
regulada por la correspondiente entidad de cada país. Estos entes reguladores marcan la
necesidad de contar con una Gestión de Riesgos operativa, tener un plan de continuidad de
negocio, realizar pruebas periódicas o gestionar eventos de pérdida.

Normas, leyes y estándares sobre Gestión de Riesgos Empresarial (ERM)

Hay muchas normas, leyes y regulaciones que hablan sobre Gestión de Riesgos. Entre ellas
podemos encontrar las siguientes:

 PRL
 22301, de continuidad de negocio.
 27001, sobre seguridad de la información.
 20000
 PIC
 Basilea, Solvencia, COSO, SOX, Banco de España, Buen Gobierno.
 14971
 PCI-DSS, sobre seguridad en transacciones de tarjetas de crédito.
 9001, sobre calidad.
 14001, sobre medioambiente.
 PMP, PMBOK, 21500
 MAAGTIC, AS/NZS 4360
 NTC 5254, MECI, GOB. LÍNEA.
Estas normas afectan a diferentes aspectos gestionados por distintas áreas dentro de las
compañías. No obstante, una visión integrada permite la Gestión de Riesgos empresarial.

Las normativas a las que están sujetas las organizaciones permiten tener una visión sobre los
riesgos a los que están expuestas. La definición del apetito al riesgo, tolerancia y límites se
realiza a partir de estas normas.
“Organizaciones de todos los tipos y tamaños se enfrentan a factores e influencias internas y
externas que hacen incierto saber si y cuándo conseguirán sus objetivos. La incidencia que esta
incertidumbre tiene sobre la consecución de los objetivos de una organización constituye el
riesgo”, según ISO 31000. La implementación de normas como ISO 31000 proporcionan
beneficios a las compañías.

Gestión de Riesgos ambientales: estimación de consecuencias y análisis de riesgos

n Gestión de Riesgos Ambientales, la norma UNE 150008 se basa en el análisis para la

identificación de peligros medioambientales y postulación de escenarios; la estimación
del riesgo medioambiental, para la estimación de probabilidad y estimación de consecuencias;
la evaluación del riesgo medioambiental; y la gestión del riesgo medioambiental, para la
eliminación, reducción, retención y transferencia.
Existen muchas herramientas y modelos para la estimación de consecuencias de riesgos
ambientales. Algunas de estas herramientas disponibles en el mercado son gratuitas y otras
requieren el pago de una licencia.

La elección del modelo va acompañada de la necesidad de contar con profesionales con criterio
para incorporar los datos a estas herramientas. Además, implica el desarrollo de una
metodología para el tratamiento de los resultados proporcionados por estos modelos.

La automatización del análisis de riesgos

Cuando las empresas cuentan con instalaciones complejas y buscan homogeneizar criterios en
el análisis de diferentes emplazamientos del mismo sector, se recomienda integrar los datos en
una herramienta personalizada. La automatización del análisis de riesgos también es idónea
cuando se pretende implementar un programa de gestión para repetir el análisis con una
frecuencia determinada y bajo distintas condiciones.

La metodología puede agrupar características de las sustancias, focos de peligro, sucesos

indicadores, entorno receptor… en bases de datos. Con base a las herramientas disponibles en
el mercado se realizan cálculos, entre los que se encuentran las consecuencias ambientales.
Implica el análisis de resultados y contribuye a fijar la tolerabilidad para la Gestión de Riesgos.

Análisis e interpretación de los resultados

Las matrices de tolerabilidad permiten el análisis, interpretación y evaluación de los riesgos
ambientales. Las instalaciones industriales presentan distintos escenarios de riesgos y aplicando
los criterios de operadores se puede establecer sobre cuáles actuar, mejorar o asumir. Los
riesgos se pueden analizar por distintas tipologías, entre las que se encuentran la de fuente o la
perspectiva de costes.

El plan de acción para la Gestión de Riesgos Ambientales puede ser más efectivo, cuando se
elimina el riesgo o se sustituye por otro de menor riesgo; o menos efectivo, con procedimientos
operacionales, planes de mantenimiento y de emergencia.