Documente Academic
Documente Profesional
Documente Cultură
EVALUACIÓN DE RIESGOS
Resumen
Este Estándar proporciona una guía en el desarrollo y sustento de un programa coherente y efectivo de evaluación de
riesgos incluyendo principios, administración de un programa general de la evaluación de riesgos, y la realización de
evaluaciones de riesgos individuales, al igual que la confirmación de las competencias de asesores de riesgos y la
comprensión de las tendencias. Este Estándar describe un programa detallado de evaluación de riesgos y evaluaciones
individuales para proporcionar los fundamentos para un proceso de administración de riesgos. Los siete anexos
proporcionan orientación adicional para aplicar evaluaciones de riesgos y tratamientos potenciales.
i
ANSI / ASIS / RIMS RA.1-2015
NOTIFICACIONES Y AVISO LEGAL
La información en esta publicación fue considerada técnicamente válida por el consenso de aquellos quienes se
involucraron en el desarrollo y aprobación del documento durante el momento de su creación. El consenso no
necesariamente significa que exista un acuerdo unánime entre los participantes en el desarrollo de este documento.
Las publicaciones de estándares y lineamientos de ASIS y RIMS, de los cuales el documento aquí contenido forma parte de
ellos, se desarrollan a través de un proceso de desarrollo de un consenso voluntario de estándares. Este proceso junta
voluntarios y/o busca los puntos de vista de personas que tienen un interés y conocimiento en el tema cubierto en esta
publicación. Mientras ASIS administre el proceso y establece reglas para promover la equidad en el desarrollo del consenso,
no escribe el documento ni prueba, evalúa o verifica independientemente la veracidad o integridad de cualquier información
o la validez de algún juicio contenido en sus publicaciones de estándares y lineamientos.
ASIS es una sociedad profesional constituida por voluntarios, sin fines de lucro sin potestad normativa, licencimiento o
autoridad sobre sus miembros o cualquier otro. ASIS y RIMS no aceptan o asumen responsabilidad de terceras partes
porque no tienen la autoridad para hacer cumplir sus estándares y lineamientos. Ellos no asumen responsabilidad de cuidar
al público en general, porque sus trabajos no son obligatorios y porque no monitorean su uso.
ASIS y RIMS no asumen responsabilidad por ninguna lesión personal, daños propietarios u otros de cualquier que sea su
naturaleza, siendo especial, indirecta, consecuencial o compensatoria, directa o indirecta resultante de la publicación, uso,
aplicación o dependencia de este documento. ASIS y RIMS renuncian responsabilidad y no garantizan ni aseguran, expresa
o implícitamente, en cuanto a la precisión o integridad de cualquier información publicada aquí mismo y renuncian
responsabilidad y no garantiza que la información en este documento cumplirá los objetivos y necesidades y cualquier
persona o entidad. ASIS y RIMS no se comprometen a asegurar el rendimiento de los productos o servicios de cualquier
individuo manufacturero o vendedor en virtud de este estándar o guía.
Al publicar y hacer disponible este documento, ASIS y RIMS no se responsabilizan por entregar servicios profesional o de
otro tipo para o a nombre de cualquier persona o entidad, ni ASIS y RIMS asumen realizar una tarea perteneciente a
cualquier persona o entidad para alguien más. Cualquiera que use este documento debe depender de su propio juicio o,
según lo apropiado, buscar el consejo de un profesional competente para determinar el ejercicio de cuidado razonable en
cualquier circunstancia dada. La información y otros estándares en el tema tratado en esta publicación pueden estar
disponibles en otros recursos, los cuales el usuario podría querer consultar para obtener puntos de vista adicionales o
información no cubierta en esta publicación.
ASIS y RIMS no tienen poder, ni tampoco asumen vigilar u obligar cumplimiento del contenido de este documento. ASIS y
RIMS no tienen control sobre cuál de sus estándares, en su caso, puede adoptarse por las agencias gubernamentales
regulatorias o sobre alguna actividad o conducta que pretende agregar a sus estándares- ASIS y RIMS no enlistan,
certifican, prueban, inspeccionan o aprueban prácticas, productos, materiales, diseños o instalaciones para cumplir con sus
estándares. Simplemente publican estándares para ser usados como lineamientos que terceros podrían o no escoger seguir,
modificar o rechazar. Cualquier certificación u otra declaración de conformidad con cualquier información en este
documento no se deben atribuir a ASIS y RIMS y es completamente la responsabilidad del certificador o realizador de la
declaración.
Todos los derechos están reservados. Ninguna parte de esta publicación puede ser reproducida, guardada en un sistema de
recuperación o trasmitida, de ninguna forma o por ningún medio, electrónico, mecánico, fotocopiado, grabado u otro, sin el
previo consentimiento por escrito del dueño de los derechos.
Copyright © 2015 ASIS International and Risk and Insurance Management Society, Inc. Todos los derechos reservados.
ISBN: 978-1-934904-75-6
ii
ANSI / ASIS / RIMS RA.1-2015
PRÓLOGO
La información contenida en este Prólogo no es parte de los Estándares Americanos Nacionales (ANS, por sus siglas en
inglés) y no ha sido procesada según los requisitos del ANSI para un ANS. Como tal, este Prólogo puede incluir material
que no ha sido sujeto a una revisión pública o a un proceso de consenso. Así mismo, no contiene los requisitos necesarios
para confirmar un Estándar.
Los lineamientos de ANSI especifican dos categorías de requisitos: mandatorios y recomendaciones. Los requisitos
mandatorios se designan por la palabra deberá y las recomendaciones por la palabra debe. Donde ambos, requerimiento
mandatorio y una recomendación se especifican para el mismo criterio, la recomendación representa una meta identificable
actualmente para tener diferentes ventajas competitivas o de desempeño.
ASIS International and Risk Management Society, Inc. colaboraron en el desarrollo de este estándar de Evaluación de
Riesgos.
Sobre ASIS
ASIS International (ASIS) es la organización de miembros más grande para la administración de profesionales de seguridad
que cruza sectores industriales, abarcando cualquier disciplina junto con el espectro de seguridad de lo operacional a la
ciber-seguridad. Fundada en 1955, ASIS está dedicada a incrementar la eficiencia de los profesionales de seguridad en todos
los niveles.
Con membresías y divisiones alrededor del mundo, ASIS desarrolla y entrega certificaciones del consejo y estándares
industriales, alberga oportunidades de contacto, publica la premiada revista de Security Management, y ofrece programas
educacionales, incluyendo el Seminario Anual y Exhibiciones – el evento más influyente de la industria de seguridad. Ya
sea proporcionando un pensamiento de liderazgo a través de la mesa redonda de CSO para los ejecutivos más altos de la
industria o abogando ante negocios, gobierno o los medio, ASIS está enfocada en avanzar en la profesión y asegurar que la
comunidad de seguridad tiene acceso a inteligencia, recursos y tecnología necesaria dentro de la iniciativa empresarial.
www.asisonline.org
El trabajo de preparar estándares y lineamientos se lleva a cabo por los Comités de Estándares y Lineamientos de ASIS
International y es regido por la Comisión de ASIS de Estándares y Lineamientos. Como una Organización de Desarrollo de
Estándares (SDO, por sus siglas en inglés) acreditada por ANSI, ASIS participa activamente en la Organización
Internacional de Estándares (ISO, por sus siglas en inglés). La misión de la Comisión de ASIS de Estándares y
Lineamientos es promover la práctica de administración de seguridad a través del desarrollo de estándares y lineamientos
dentro de un proceso voluntario, sin fines de lucro y basado en un consenso, utilizando en la mayor medida de lo posible el
conocimiento, experiencia y competencia de los miembros ASIS, profesionales de seguridad y la industria global de
seguridad.
Sobre RIMS
Como la organización preeminente dedicada a promover la práctica de administración de riesgos, RIMS, the risk
management society™, es una organización global sin fines de lucro representando a más de 3,500 entidades industriales,
de servicio, sin fines de lucro, caritativas y gubernamentales alrededor del mundo. Fundada en 1950, RIMS trae a sus
miembros oportunidades de contacto, desarrollo profesional y educacional de más de 11,000 profesionales de
administración de riesgos que están ubicados en más de 60 países.
Son bienvenidas las sugerencias para mejorar este documento. Deben enviarse a ASIS International, 1625 Prince Street,
Alexandria, VA 22314-2818.
Miembros de la Comisión
Charles Baley, Farmers Insurance Group, Inc.
Michael Bouchard, Sterling Global Operations, Inc.
Cynthia P. Conlon, CPP, Conlon Consulting Corporation
iii
ANSI / ASIS / RIMS RA.1-2015
William Daly, Control Risks Security Consulting
Lisa DuBrock, Radian Compliance LLC
Eugene Ferraro, CPP, CFE, CPI, SPHR, Convercent, Inc.
F. Mark Geraci, CPP, Purdue Pharma L.P., Presidente
Bernard Greenawalt, CPP, Securitas Security Services USA, Inc.
Robert Jones, Socrates Ltd
Glen Kitteringham, CPP, Kitteringham Security Group Inc.
Michael Knoke, CPP, Express Scripts, Inc., Vicepresidente
Bryan Leadbetter, CPP, Alcoa Inc.
Marc Siegel, Ph.D., Comisionado, Iniciativa ASIS de Estándares Globales
José Miguel Sobron, Naciones Unidas
Roger Warwick, CPP, Pyramid International Temi Group
Allison Wylde, Consultora
Al momento de aprobar este documento, RA, quien es responsable del desarrollo de este Estándar, tenía los siguientes
miembros:
iv
ANSI / ASIS / RIMS RA.1-2015
Ray Bernard, PSP, RBCS, Inc.
William Besse, Andrews International LLC
John Biddy, CPP, Independiente
Robert Birdsall, CPP, Independiente
Ingeborg (Inge) Black, CPP, CFE, CPOI, Appollo International
Dennis Blass, CPP, PSP, CISSP, CFE, Children’s of Alabama
John Boal, CPP, PCI, Independiente
Michael Bouchard, Security Dynamics Group LLC
Gertrude Branch, Cruz Roja Nacional Americana
Patrick Brennan, Crivello Carlson
Mitchell Brockbank, CISSP, CISA, Independiente
John Brown, CPP, Thomson Reuters
Michael Brzozowski, PSP, CPP, Symcor
Dirk Buerhaus, KOETTER GmbH & Co. KG Security
David Bunch, CPP, Independiente
Donald Byrne, CBCP, CDCP, Independiente
James Calder, Ph.D, CPP, Independiente
Herbert Calderon, CPP, PSP, CFE, Talisman Energy
John Casas, PSP, John Casas & Associates LLC
Laurie Champion, CPCU, Aon Corporation
Chee-Seng Chan, CBCP, Spot Management Services Pte., Ltd.
Antony Chattin, Líder Auditor IRCA 9001, Maritime Security Solutions Global Ltd.
Albert Concordia, CPP, ACE Group Insurance
Bill Cooper, Northwest University
Amaury Cooper, International Relief & Development (IRD)
José Correa, CPP, PSP, Independiente
Georges Cowan, Business Continu-IT Partners
Geoffrey Craighead, CPP, Universal Protection Service
Michael Crocker, CPP y CSC, Michael Crocker, CPP & Assoc., Inc.
Kenneth Crowther, The MITRE Corporation
Dana Curtiss, Cook Country Department of Homeland Security & Emergency Management
Ali Dalipi, Villanova University
Allan Davis, Sizemore Inc.
Frank Davis, CPP, MSc. Trident Manor
Eric Davoine, Independiente
Robert Day, CPP, PCI, CSP, CRSP, CHRP, CPMSIA, Office of Regulatory Change Management
Debra Decker, Independiente
Donald Decker, CPP, CPM, Robson Forensic, Inc.
Sean Denson, World Vision International
Mark DeWitt, Independiente
Anthony DiSalvatore, CPP, PSP, PCI, REVEL
Anthony Dobson, Independiente
Richard Dobson, Luxottica
María Domínguez, CPP, Bank of America
Bobby Domínguez, CPP, CISSP, PMP, Infinite Computer Systems, Inc.
v
ANSI / ASIS / RIMS RA.1-2015
Daniel Donohue, CPP, Caterpillar Inc.
Jack Dowling, CPP, PSP, JD Security Consultants, LLC
Kristen Drobnis, PMP, CBCP, CSOX, CGRM, CGRM-IT, TD Bank
David Droster, The Briggs & Stratton Corporation
Johan Du Plooy, CPP, Temi Group
Jason Dury, Independiente
William Eardley, Independiente
Nocholas Economou, M.B.A., Cablevision Systems Corporation
Michael Edgerton, CPP, Indpendiente
Eduard Emde, CPP, CISSP, BMKISS Europe
Robert Fay Sr., IOSSI Unexploded Ordinance, Inc.
David Feeney, CPP, AlliedBarton Security Services
Ali Ferrer, PSP, Independiente
Joseph Finley, Jr., Ph.D., CPP, G4S Secure Solutions, (USA), Inc.
Window Fitzgerald, CPP, CHS-III, CFE, Fitzgerald Technology Group
Lawrence Fitzgerald, CPP, PSP, TRC Corporation
William Foos, CPP, Gannett Fleming, Inc.
Kevin Foster, CPEng, PhD, Foster Risk Management Ptg Ltd.
Thomas Frank, CPP, AbbVie Inc.
Sherryl Fraser, Algonquin College
Rudolf Friederich, CPP, Independiente
Andrew Gale, CPP, CFE, PCIP, Independiente
Francis Gallagher, PSP, Good Harbor Techmark, LLC
Nanpon Gambo, CSS, Nigerian Army
Scott Gane, CPP, CRISC, Gane Security Solutions
Douglas Glenn, PMP, SimplexGrinnell LP
Salvatore Grasso, Independiente
Harold Grimsley, CPP, Blue Cross Blue Shield of Florida
Jeffrey Gruber, CPP, CHS-IV, Independiente
Philip Guffey, CPP, Roche Diagnostics
Carlos Guzmán, Security 101
Mark Hankewycz, CPP, The Protection Engineering Group, Inc.
Steven Harback, CPP, Independiente
Jerry Hart, MSc, SGS
Jeffrey Hauk, CPP, El Paso Water Utilities
Jeffrey Hawley, ARES Security Corporation
Patrick Hayden, Monsanto
Henri Hemery, PhD, RISK&CO
Alistair Hogg, CPP and MSc, Indendiente
Robert Holm, McDonald’s USA
Diane Huberman-Arnold, Independiente
George Huff, CBCP, BCMS Auditor, MBCI, Association of Contingency Planners (ACP)
Robert Hulshouser, CPP, Independiente
John Hunepohl, PSP, ASSA ABLOY
Russell Hunt, Independiente
vi
ANSI / ASIS / RIMS RA.1-2015
Adam Incher, CPP, ACT Government, Shared services
Scott Jack, CPP, Baylor Health Care System
Calvin Jaeger, Independiente
Celia Jarvis, SPHR, MCR, LLC
Katherine Johnson, Harsco Corporation
Taylor Johnson, CPP, Independiente
Roger Johnson, CPP, Argonne National Laboratory
Nicholas Jones, CPP, Independiente
Edward Jopeck, Independiente
Matthew Jordan, CPP; Parsons Corporation
Richard Kibbey, CPP, PSP, Independiente
Glen Kitteringham, CPP, Kitteringham Security Group, Inc.
Kelly Klatt, CPP, Loews Hotels
Don Knox, CPP, CITRMS, Caterpillar Inc.
Daniel Kropp, CPP; Towers Watson
Ellen Ku, CBCP, Association of Contingency Planners (ACP)
Michael Kuras, CBCP; CHP, AIM Specialty Health
Keith Kushner, TRC Corporation
Eliot Kushner, CPP; CHS-V, NICET, Pacific Gas & Electric
Henrik Laidlow-Petersen, Siemens Wind Power
Mukesh Lakhanpal, CPP, G4S Secure Services India Pvt. Ltd.
Ronald Lander, CPP, Ultrasafe Security Solutions
Robert Lang, Kennesaw State University
Laura Langone, JD, Juniper Networks, Inc.
Russell Law, PSP, Gralion, LLC
Donals Lee, Jr., CPP, First Citizen Bank of North Carolina
James Lflar, Jr., CPP, CBCP, MBCI, Zantech IT Services
Vickie Leighton, AMBCI, Avanade Inc.
Jeffrey Leonard, CPP, PSP, Securitas Critical Infrastructure Services, Inc.
Vincent Lombardi, Jr., E*TRADE Financial
Christopher Lowery, Celgene Corporation
James Lukaszewski, Risdall Public Relations
Grant Lundberg, First Citizens Bank of North Carolina
William Lutz, Jr., Security On-Line Systems, Inc.
Ashley MacDonald, NCSO (ACSA) CPO (IFPO), United Protection Services, Inc.
Anthony Macisco, CPP, The Densus Group
Virginia MacSuibhne, J.D., CCEP, Roche Molecular Systems
Tracy Male, CFCP, CBCA, Independiente
Peter Marotto, M.Ed., Independiente
Ronald Martin, CPP, Open Security Exchange
Jan Mattingly, CRM, RF, CIP, RiskResults Consulting Inc.
Christopher Mayer, Department of Defense
Joe Mazza, CHPP, Independiente
Lachlan McConnell, Orion Support, Inc. (OSI)
Timothy McCreight, Government of Alberta
vii
ANSI / ASIS / RIMS RA.1-2015
Daniel McGarvey, Global Skills Exchange
Raymond McGill, CPP, Care Security Systems
James McGuffey, CPP, PSP, CPI, A.C.E. Security Consultants, LLC
Russell McGuire, Riskonnect, Inc.
Victoria McKenney, ACADEMI LLC
James Mecsics, Independiente
Mohamed Fadhel Meddeb, Offline Solutions LLC
Paul Michaels, CISSP, CPP, ISP, PSP, PCI, CB&I Federal Services
Murray Mills, CPP, Independiente
William Minear, II, CPP, West Virginia Military Authority
Mark Mirek, Beecher Carlson
George Mitchell, Independiente
David Moore, PSP, Jacobs Engineering Inc.
Pedro Moreno, AMPM Mensajería
Andrew Morey, Independiente
Dennis Morgan, DMMS Solutions
Andrew Morgan, STOPline Pty Ltd.
Juan Muñoz, CPP, Associated Projects International
Francisco Muñoz, CPP, Occidental oil and gas Corporation
Patrick Murphy, CPP, PSP, Marriott International Inc.
Drew Neckar, CPP, Mayo Clinic Health System
Joseph Nelson, CPP, State Street
Peter Nevins, ARM, ALCM, Independiente
W. Barry Nixon, SPHR, National Institute for Prevention of Workplace Violence, Inc.
Curtis Noffsinger, CPP, PSP, Independiente
Thomas Norman, CPP, PSP, Protection Partners International
Augustine Okereke, CPP, PZ Cussons Nigeria PLC
Joe Olmeda, CPP, PCI, Independiente
Alexandros Paraskevas, Ph.D., Independiente
Jeff Peck, PSP, City of Toronto
Jean Perois, CPP, PSP, Risk & Co.
Gene Perry, CPP, Independiente
Kevin Peterson, CPP, CPOI, Innovative Protection Solutions, LLC
Axel Petri, Deutsche Telekom AG
Russ Phillips, MMTS Group
John Piper, Bearing LLC
Jose Piscione, CPP, PSP, West Corp
Frank Pisciotta, CPP, Business Protection Specialists, Inc.
Kurt Raffai, Saskgaming Corporation
Bala Ramanan, CISM, CRISC, CBCI, Microland Ltd.
Joseph Rector, CPP, PSP, PCI, 11th Security Forces group
Brett Reddock, M.Sc., ABCP, SEM, Unparalleled Technologies
James Reese, TigerSwan
Vince Regan, CPP, PSP, PCI, Anixter, Inc.
Shawn Reilly, CPP, CHPA, Tech Systems, Inc.
viii
ANSI / ASIS / RIMS RA.1-2015
John Richardson, Initiative for Human Rights in Business
Thomas Rohr Sr., CPP, Carestream Health, Inc.
Ronals Ronacher, PSP, Arup
Craig Rydalch, CISSP, CISM, PMP, AIM Specialty Health
Michael Saad, CPP, Gane Security Solutions
Ed Schlichtenmyer, ABCP, ImpactWeather
Brian Schmidt, CPP, Independiente
Michael Schroeder, CBCP, MBCI, US Equities Asset Management
Josh Schubring, CPP, Mulva International Inc.
Michael Severin, Independiente
Alister Shepherd, Allen & Overy LLP
Maya Siegel, M. Siegel Associates
Jeffrey Slotnick, CPP, PSP, Setracon Inc.
Jeff Snider, The MITRE Corporation
Jose Miguel Sobron, Naciones Unidas
Christopher Spillman, PSP, Port Authority of NY & NJ, office of Emergency Management
Gregory Staisiunas, CPP, CTI, FISSM, Independiente
Teresa Stanford, CPP, Security Engineers, Inc.
Barry Stanford, CPP, Independiente
J. Kelly Stewart, Newcastle Consulting LLC
Peter Stiernstedt, CPP, Cikraitz AB
John St-Ilma, PSP, NCSPF, Health Canada
Jeremy Sturgeon, CPP, CFE, Apple
Robert Summers, CPP, Summers Associates, LLC
Timothy Sutton, CPP, CHSS, Sorensen, Wilder & Associates (SWA)
Kenneth Szalontay, CPP, AlliedBarton Security services
Scott Taylor, CPP, Exact Security Pty Ltd.
Scott Tezak, Professional Engineer, TRC Corporation
Rajeev Thykatt, Infosys BPO Ltd.
Yoriko Tobishima, InterRick Research Institute & Consulting, Inc.
Lina Tsakiris, CPP, TD Bank
Ruth Unks, ARM, Maricopa County Community College District
Karim Vellani, CPP, Threat Analysis Group, LLC
Joop Verdonk, CPP, CPOI, European Security Academy
Heather Viccione, PSP, (RBS) Citizens Bank
Corey Vitello, Ph.D., Visa Inc.
Taz Wake, CISSP, CISM, CRISC, Halkyn Consulting
Todd Warren, Spring Hill College
Andrew Weaver, PSP, PMP, Markon, Inc.
Jerry Werries, First Citizens Bank of South Carolina
Michael White, CPP, CRM, Security Risk Canada
Allan Wick, CFE, CPP, PSP, PCI, CBCP, Tri-State Generation & Transmission Association, Inc.
William Wills, CPP, Independiente
Wei-Ning Wong, Ph.D., CBCP, MBCI, Instramax
Loftin Woodiel, CPP, Missouri Baptist University
ix
ANSI / ASIS / RIMS RA.1-2015
Greg Wurm, CPP, Anthem
Allison wylde, SRM, Independiente
Mark Yeakley, CPP, Bank of America
Michael Yip, BFL CANADA
Paul Yung, Ph.D., Deloitte Touche Tohmatsu
Davoud Zahedi, Transportation Security Administration Air Cargo Division
Richard Zijdemans, Medtronic Inc.
Mohamad Zineddin, Khalifa University
Jeffrey Zwirn, CPP, CFPS, CFE, IDS Research & Development, Inc.
x
ANSI / ASIS / RIMS RA.1-2015
J. Kelly Stewart, Newcastle Consulting LLC
Jeremy Sturgeon, CPP, CFE, Apple
Andrew Weaver, PSP, PMP, Markon, Inc.
William Wills, CPP, Independiente
xi
ANSI / ASIS / RIMS RA.1-2015
xii
ANSI / ASIS / RIMS RA.1-2015
0 INTRODUCCION .................................................................................................. xvi
0.1 General ................................................................................................................................................. xvi
0.2 Definición de Evaluación de Riesgos ..................................................................................................... xvii
0.3 Análisis Cualitativo y Cuantitativo ...................................................................................................... xviii
0.4 Administrando Evaluaciones Organizacionales y los Riesgos Específicos .............................................. xix
1 ALCANCE ................................................................................................................. 1
4 PRINCIPIOS ........................................................................................................... 8
4.1 General .................................................................................................................................................... 8
4.2 Imparcialidad, Independencia y Objetividad ........................................................................................... 9
4.3 Confianza, Competencia y la Debida Atención Profesional ..................................................................... 9
4.4 Representación Honesta y Justa ............................................................................................................ 10
4.5 Responsabilidad y Autoridad ................................................................................................................. 10
4.6 Enfoque consultivo ................................................................................................................................ 10
4.7 Enfoque basado en los Hechos .............................................................................................................. 10
4.8 Confidencialidad .................................................................................................................................... 11
4.9 Gestión del Cambio ................................................................................................................................ 11
4.10 Mejora Continua .................................................................................................................................... 11
xiii
ANSI / ASIS / RIMS RA.1-2015
6.2 Comenzando con la Evaluación de Riesgos ........................................................................................... 44
6.3 Planeando las Actividades de la Evaluación de Riesgos ........................................................................ 50
6.4 Llevando a cabo las Actividades de la Evaluación de Riesgos ............................................................... 62
6.5 Actividades Posteriores a la Evaluación de Riesgo ................................................................................ 87
6.6 Checando y Revisando ........................................................................................................................... 89
xiv
ANSI / ASIS / RIMS RA.1-2015
F.3 Procedimientos de Respuesta .............................................................................................................. 113
F.4 Procedimientos de Continuidad ........................................................................................................... 115
F.5 Procedimientos de Recuperación ........................................................................................................ 115
TABLA DE FIGURAS
FIGURA 1: PROCESO DE ADMINISTRACIÓN DE RIESGOS (BASADO EN EL ISO 31000) .............................................................. XVII
FIGURA 2: CICLO PLANIFICAR-HACER-VERIFICAR-ACTUAR .................................................................................................... XX
FIGURA 3: EVALUACIONES DE RIESGOS FORMALES VS. INFORMALES ...................................................................................... 32
FIGURA 4: EJEMPLO DE DIAGRAMA DE INFLUENCIA ................................................................................................................ 40
FIGURA 5: FORMATO DE DISEÑO DEL PORTAFOLIO DE RIESGO ................................................................................................ 52
FIGURA 6: ADMINISTRANDO LA INCERTIDUMBRE EN EL CONTEXTO ........................................................................................ 53
FIGURA 7: ELEMENTOS DE LA AMENAZA ................................................................................................................................. 71
FIGURA 8: DETERMINANDO LOS NIVELES DE AMENAZA .......................................................................................................... 72
FIGURA 9: ANÁLISIS DE CRITICIDAD Y CONSECUENCIA ............................................................................................................ 77
FIGURA 10: DETERMINANDO EL NIVEL DE RIESGO .................................................................................................................. 78
FIGURA 11: EMBUDO DE EVALUACIÓN DE RIESGOS ................................................................................................................. 81
FIGURA 12: “CURVA” DE RIESGO CONCEPTUAL ...................................................................................................................... 82
FIGURA 13: MATRIZ DE EJEMPLO ............................................................................................................................................. 83
FIGURA 14: PROCESO DE MUESTREO ..................................................................................................................................... 100
FIGURA 15: DEFINIR, ANALIZAR Y RESOLVER ....................................................................................................................... 104
FIGURA 16: ANÁLISIS DE IMPACTO EN EL NEGOCIO (BIA POR SUS SIGLAS EN INGLÉS) .......................................................... 124
FIGURA 17: EJEMPLO DE METODOLOGÍA BIA ........................................................................................................................ 125
FIGURA 18: EJEMPLO DEL PROCESO BIA ............................................................................................................................... 125
xv
ANSI / ASIS / RIMS RA.1-2015
0 INTRODUCCION
0.1 General
La evaluación de riesgos proporciona el fundamento analítico para la administración de riesgos, por lo tanto, un
paso de la evaluación de riesgos del proceso general de la evaluación de riesgos, se usa para informar para la
toma de decisiones. Al utilizar un enfoque lógico, estructurado y consistente para evaluar el riesgo, las personas
responsables de la toma de decisiones pueden seleccionar sistemáticamente de las posibles opciones que están
basadas en la causa y en la mejor información disponible. Para poder lograr los objetivos generales de la
organización y los objetivos de la administración de riesgos, los responsables de realizar la evaluación de
riesgos deben seguir un enfoque estructurado para revisar y analizar los hechos relevantes, observaciones y
posibles resultados. El resultado del proceso de evaluación de riesgos proporciona una base para los tomadores
de decisión s para determinar una acción en particular o líneas de acción.
El proceso de evaluación de riesgos de una organización debe apoyar la estrategia en toda la empresa y de las
actividades operacionales, al igual que los programas y actividades relacionadas con los proyectos. Una
evaluación de riesgos proporciona la piedra angular para los tomadores de decisiones , sobre cómo manejar las
incertidumbres para lograr los objetivos de la organización. Por lo tanto, una evaluación de riesgos exhaustiva
está diseñada para considerar la visión, misión, valores y cultura de la organización, al igual que los objetivos
estratégicos y tácticos. Podría considerar los objetivos y actividades más amplios de la organización o algunas
metas y objetivos específicos, pero en todos los casos evalúa lo que puede afectar el cumplimiento de estos, tanto
positiva como negativamente.
En este Estándar, nos enfocamos en las evaluaciones de riesgo desde el punto de vista de que el riesgo – el
efecto de una incertidumbre para lograr objetivos (particularmente incertidumbre con respecto a los resultados
futuros) – es un concepto dinámico. Por lo tanto, las evaluaciones de riesgos requieren un monitoreo proactivo y
continuo del contexto interno y externo de la organización, al igual que sus riesgos y medidas de tratamiento. La
incertidumbre es inseparable de la probabilidad: el futuro puede presentarse en escenarios diferentes y variables,
algunos más comunes que otros. A través de este Estándar, el riesgo se considera desde una perspectiva de logro
de objetivos y metas; por lo tanto, el efecto de la incertidumbre sobre los objetivos podría resultar en
oportunidades con grandes ganancias (“mejoramiento”), al igual que las amenazas que podrían resultar en
pérdidas potenciales (“empeoramiento”). El riesgo asume que las cosas van a cambiar, ya sea en el entorno o en
otras circunstancias.
Este estándar de evaluación de riesgos proporciona orientación sobre el desarrollo y sustento de un programa de
evaluación de riesgo coherente y efectivo, incluyendo principios, la administración de un programa general de
evaluación de riesgos y la ejecución de evaluaciones de riesgos individuales, junto con la confirmación de las
competencias de los asesores de riesgos. Este estándar es complementario a los estándares mencionados en las
referencias normativas y sigue el proceso de evaluación de riesgos delineado en el ISO 31000:2009
Administración de Riesgos – Principios y lineamientos e ilustrado en la Figura 1. Un programa de evaluación de
riesgos bien definido y las evaluaciones individuales proporcionan los fundamentos de un proceso de
administración de riesgos.
Este Estándar proporciona un modelo genérico para llevar a cabo las evaluaciones de riesgo (incluyendo análisis
de impacto) para la toma de decisiones en la administración de riesgos y para el uso de estándares del sistema de
administración basado en el riesgo. Los estándares del sistema de administración basado en el riesgo requieren
de un proceso de evaluación de riesgos definido, repetible y documentado. Proporcionando la base para planear
la administración de cuestiones planteadas por un estándar de sistema de administración, al igual que identificar
oportunidades de mejora. Por lo tanto, seguir el enfoque descrito en este Estándar, cumple con los requisitos del
proceso de evaluación de riesgos en los estándares del sistema de administración.
xvi
ANSI / ASIS / RIMS RA.1-2015
El Contexto Externo
El Contexto Interno
El Contexto de Administración de Riesgos Estableciendo el Contexto
Desarrollo de Criterio y Definición de Estructura
Evaluación de Riesgos
Qué Puede pasar, Cuándo, Dónde, Cómo y Por qué
Identificación, Valuación y Caracterización de activos
Amenaza/Oportunidad, Vulnerabilidad/Capacidad, y Criticidad/Análisis de Impacto Identificación Riesgo
Comunicación y Consulta
Determinar Similitudes
Monitoreo y Revisión
Determinar Consecuencias Análisis de Riesgo
Determinar Nivel de Riesgo
NO
Tratamiento
de riesgo
YES
Identificar y Evaluar Opciones
Evitar? Compartir? Aprovechar? Reducir? Aceptar?
Preparar e Implementar Opciones de Tratamiento Tratamiento de Riesgo
Analizar y Evaluar Riesgo Residual
xvii
ANSI / ASIS / RIMS RA.1-2015
• Mejorar el logro de objetivos e identificar oportunidades sin explotar;
• Proveer un mecanismo para entender el impacto de un posible evento;
• Cumplir con la ley y las regulaciones; y
• Identificar medidas de control razonables necesarias para tratar el riesgo y su relación costo/beneficio.
La evaluación de riesgos se realiza para determinar , cómo y en qué medida los objetivos de la organización, los
resultados deseados y sus activos puedan estar impactados. Una evaluación de riesgos se ajusta al contexto en
que opera la organización.
Un análisis cualitativo usa términos descriptivos y frases como “menor”, “moderado”, “mayor” o “crítico” para
describir probabilidades y consecuencias potenciales de eventos de riesgo y la posibilidad que ocurran las
consecuencias. Los términos utilizados para describir los diferentes riesgos y consecuencias deben estar
claramente definidos, reconociendo que la misma frase puede ser entendida de otra forma al describir diferentes
riesgos o al ser descrita por diferentes personas. Los análisis cualitativos pueden utilizarse cuando los datos
numéricos son inadecuados, dudosos o no están disponibles para poder describir adecuadamente el riesgo.
También pueden implementarse cuando lo más apropiado para el tomador de decisiones es un método empírico
de análisis y cuando el escaneo inicial del riesgo parece aceptable en lugar de los métodos cuantificables.
Una evaluación de riesgos cualitativa podría tener ventajas cuando:
xviii
ANSI / ASIS / RIMS RA.1-2015
a) La administración y el consejo de administración entenderían mejor una presentación descriptiva del
riesgo;
b) Al comunicar y consultar el riesgo con accionistas internos y externos sea más efectivo verbalizar o
visualizar la información del riesgo;
c) Los datos básicos o históricos no están disponibles o son pocos seguros;
d) Las limitaciones de los recursos hacen que la recopilación de datos cuantitativos se vuelva impráctica;
e) Un riesgo no está bien definido o entendido;
f) La cuantificación sea innecesariamente compleja y pueda basarse en suposiciones potencialmente
erróneas;
g) Múltiples riesgos podrían impactar sobre los objetivos del negocio; y
h) Se manejan riesgos estratégicos, los cuales tienden a ser más difíciles de cuantificar que los riesgos
operacionales y financieros.
xix
ANSI / ASIS / RIMS RA.1-2015
Un programa de evaluación de riesgos completo puede comprender muchas estrategias diferentes y evaluaciones
de riesgo tácticas – ya sea ad-hoc o conducidas en intervalos definidos o debidos a cambio(s) de
circunstancia(s)-. Las evaluaciones individuales dentro del programa general de evaluación de riesgos se llevan a
cabo dentro de un alcance claramente definido y consistente con el logro de objetivos del programa general de
evaluación de riesgos. Este Estándar también proporciona orientación sobre la preparación y ejecución de
evaluaciones de riesgos individuales.
Planificar
Definir y Analizar un
Problema y su Contexto
Actuar Hacer
Estandarizar la Solución Idear una Solución
Desarrollar un Plan de Acción
Revisar y Definir los
Detallado e Implementarlo
Siguientes Problemas
Sistemáticamente
Verificar
Confirmar Resultados
Contra el Plan
Identificar Desviaciones y
Problemas
xx
ANSI / ASIS / RIMS RA.1-2015
f) Proporcionar a la alta dirección un ciclo de retroalimentación para evaluar el progreso y realizar cambios
apropiados para el programa de evaluación de riesgos; y
g) Manejar información dentro de la organización y de ese modo mejorar la eficiencia operacional.
Conjuntamente con el ciclo PDCA, este Estándar usa un enfoque de procesos para el programa de evaluación de
riesgos. Un programa de evaluación de riesgos es una compilación de un sistema de actividades
interrelacionadas; se puede referir a su identificación, enlace e interacción como “enfoque de procesos”. Al
diseñar un programa de evaluación de riesgos, es necesario identificar y administrar muchas actividades para que
funcione correctamente. Cualquier actividad que use recursos y se administre para habilitar la transformación de
entradas en salidas, se puede considerar como un proceso. Al desarrollar el programa de evaluación de riesgos y
evaluaciones de riesgo individuales, es importante reconocer que a veces la salida de un proceso influencia
directamente la entrada de otro proceso.
xxi
ESTANDAR AMERICANO NACIONAL ANSI/ASIS/RIMS RA.1-2015
Evaluación de Riesgos
1 ALCANCE
Este Estándar:
a) Proporciona orientación para establecer un programa de evaluación de riesgos y llevar a cabo
evaluaciones de riesgo individuales basados en el ISO 31000:2009 Administración de Riesgo –
Principios y lineamientos y el marco de la Administración de Riesgo Empresarial (ERM, por sus siglas
en inglés) del Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO, por sus
siglas en inglés);
b) Proporciona orientación sobre la realización de evaluaciones de riesgo para estándares de sistemas de
gestión basados en riesgo y para las disciplinas de riesgo, resiliencia, seguridad, crisis, continuidad y
gestión de recuperación, incluyendo a los principios de las evaluaciones de riesgo, la administración del
programa de evaluación de riesgos y llevando a cabo las evaluaciones de riesgo, así como la evaluación
de aptitud de personas involucradas en el proceso de evaluación de riesgos;
c) Describe el proceso para llevar a cabo las evaluaciones de riesgo consistente con el Ciclo Planificar-
Hacer-Verificar-Actuar; y
d) Proporciona la base informacional necesaria para los tomadores de decisión para poder tomar decisiones
fundamentadas sobre el manejo de riesgos en la organización su cadena de suministro.
Organizaciones de todo tipo y tamaño pueden usar los conceptos y orientación de este Estándar para llevar a
cabo las evaluaciones de riesgo respaldando sus actividades de administración de riesgos. Se recomienda que las
organizaciones que implementen estándares de sistemas de gestión basados en el riesgo y resiliencia usen los
procesos descritos en este Estándar junto con el ISO 31000:2009 para llevar a cabo sus actividades de
administración de riesgos (vea la Figura 1).
Este Estándar es un documento orientativo y no está previsto como especificación para una certificación de
terceros. Proporciona un enfoque amplio para establecer un programa de evaluación de riesgos y la realización
de evaluaciones individuales. La implementación de este Estándar debe adaptarse a las necesidades de la
organización.
2 REFERENCIAS NORMATIVAS
Los siguientes estándares contienen disposiciones los cuales, a través de referencias en este texto, constituyen
disposiciones de este Estándar Americano Nacional. Al momento de esta publicación, las versiones indicadas
son las vigentes. Todos los estándares están sujetos a revisión y se recomienda a los usuarios que usen este
Estándar Americano Nacional que investiguen la posibilidad de aplicar las versiones más recientes de los
estándares indicados a continuación.
1
ANSI / ASIS / RIMS RA.1-2015
3 TÉRMINOS Y DEFINICIONES
3.1 Definiciones
Para efectos de este Estándar, se aplican los siguientes términos y definiciones:
Término Definición
3.1 activo Cualquier cosa que tenga valor tangible o intangible para la organización.
NOTA 1: Los activos tangibles incluyen activos humanos,
físicos y ambientales.
NOTA 2: Los activos intangibles incluyen información,
propiedad intelectual, marca y reputación.
3.2 auditoría Proceso sistemático, independiente, objetivo y documentado para
obtener, examinar, verificar y evaluar información en relación a una serie
de criterios.
3.3 capacidad de análisis Proceso de evaluación de 1) competencia, aptitud y experiencia de la
gente y la organización, 2) adecuación de tecnología, y 3) aplicación de
procesos para un propósito(s) en particular para determinar si los
resultados esperados estarán dentro de un rango aceptable.
3.4 cliente Organización o persona que recibe un producto o servicio
NOTA 1: Ejemplos incluyen consumidores, proveedores,
usuario final, minorista, beneficiario y comprador.
NOTA 2: Un cliente puede ser interno (ej., de otro
departamento) o externo a la organización.
3.5 comunicación y consulta Procesos continuos, iterativos y bidireccionales para el intercambio de
información con y entre las partes interesadas y los tomadores de
decisiones sobre los riesgos administrativos.
NOTA 1: La información podría relacionarse con el
contexto de la organización, características de los riesgos
y su evaluación, así como la selección y evaluación de las
opciones del tratamiento del riesgo.
NOTA 2: La comunicación y consulta informa a los
procesos de toma de decisiones, pero no infiere en la
toma de decisión conjunta.
3.6 comunidad Grupo de organizaciones asociadas y gente compartiendo intereses en
común.
3.7 competencia Competencia demostrable para aplicar conocimiento y destrezas para
lograr los resultados deseados.
3.8 conformidad Consistencia con un requisito.
2
ANSI / ASIS / RIMS RA.1-2015
Término Definición
3.10 mejora continua Procesos continuos para mejorar productos, servicios y prácticas
administrativas para aumentar la competencia de cumplimiento de
requisitos
NOTA: Los cambios pueden ser incrementales o
completos.
3.11 acción correctiva Acción para reparar las causas de una no conformidad detectada u otra
situación indeseable.
NOTA 1: Puede haber más de una causa para una no
conformidad.
NOTA 2: Se toma la acción correctiva para prevenir
recurrencias, mientras que se toma una acción preventiva
para prevenir ocurrencias.
3.12 criticidad De gran importancia en cuanto a los objetivos y/o resultados.
[ANSI/ASIS SPC.1-2009]
3.13 análisis de críticidad Un proceso diseñado para identificar, evaluar y clasificar
sistemáticamente impactos positivos y negativos en las partes
interesadas, activos, servicios y actividades de la organización basándose
en la importancia de su misión o función o en el significado de los
riesgos de las competenciaes organizacionales para llegar a sus objetivos
y expectativas.
NOTA: Determina qué cualidades o grados de riesgo son
de gran importancia para una ejecución exitosa de los
objetivos de la organización o cuál podría representar un
punto decisivo en una ejecución estratégica.
3.14 punto crítico de control Un punto, paso o proceso en el cual se pueden aplicar controles para
modificar el riesgo.
(CCP)
NOTA 1: Una amenaza o contingencia puede ser
prevenida, eliminada o reducida a los objetivos
establecidos.
NOTA 2: Un punto donde una oportunidad puede ser
aprovechada.
3.15 evento disruptivo Un evento que interrumpe las actividades, operaciones o funciones
planeadas ya sea previsto o imprevisto.
3.16 documento Información y medio de apoyo en cualquier formato.
3.17 eficiencia Grado en que las actividades planeadas cumplen su propósito de tal
forma que producen los resultados deseados o previstos.
3.18 evento Cambio ocurrido en un intervalo de tiempo con el potencial de alterar los
resultados.
NOTA 1: La probabilidad y consecuencias de un evento
puedan ser predecibles usando medidas cualitativas y
cuantitativas.
NOTA 2: Un evento puede deberse a causas singulares o
múltiples y puede tener más de una incidencia.
NOTA 3: la no-ocurrencia de un cambio anticipado
también es un evento.
NOTA 4: Un evento no es un riesgo, sino es la
incertidumbre de los resultados lo que crea el riesgo.
3.19 impacto El efecto positivo o negativo sobre alguien o algo (vea consecuencia).
3.20 análisis de impacto Proceso que identifica y evalúa los efectos potenciales del cambio en una
organización. Esto puede incluir una evaluación de los pros y contras de
seguir una línea de acción ante sus posibles consecuencias o el grado y
naturaleza de más cambios (intencionales o no) que dicho cambio pueda
causar.
3
ANSI / ASIS / RIMS RA.1-2015
Término Definición
3.21 incidente Un evento con consecuencias que tiene la capacidad de causar ganancias
o pérdidas/daño a los objetivos y/o activos (ej., capital tangible,
intangible y humano, el ambiente y derechos de las partes interesadas).
3.22 integridad Asegurar solvencia, fiabilidad e integridad de los activos tangibles e
intangibles.
3.23 probabilidad Posibilidad que algo suceda.
3.24 sistema de gestión Marco de políticas, procesos y procedimientos utilizados para asegurar
que una organización pueda cumplir todas las tareas requeridas para
lograr sus objetivos.
NOTA: Los sistemas de gestión se usan por las
organizaciones para establecer sus políticas, objetivos y
metas; determinar y asignar recursos; definir roles y
autoridades; implementar procedimientos; y evaluar el
rendimiento para lograr los resultados y objetivos
deseados.
3.25 monitoreo Control continuo, supervisión, evaluación y conciencia situacional para
determinar el estado actual e identificar cambios en los ambientes
internos y externos al igual que en el rendimiento.
3.26 No no conformidad Incumplimiento de un requerimiento.
3.27 análisis de oportunidad Proceso para identificar incertidumbres que pueden ser aprovechadas y
para analizar la aptitud y buena disposición de la organización para
aprovecharlas. El proceso puede abarcar la identificación de las
necesidades no satisfechas o mal atendidas del consumidor/cliente, la
identificación de mercados objetivo, el análisis de ventajas competitivas,
al igual que el análisis de la capacidad de los recursos de la organización
para asumir una oportunidad.
3.28 organización Grupo de personas e instalaciones con un arreglo de responsabilidades,
autoridades y relaciones.
NOTA: Una organización puede ser una entidad
gubernamental o pública, compañía, corporación, firma,
empresa, institución, caridad, comerciante individual,
asociación o partes o combinaciones de estas.
3.29 planeación Parte de un proceso administrativo enfocado en poner objetivos,
proyectar los riesgos de estos objetivos y asegurar que los recursos y
sistemas están en su lugar para garantizar que se logren los objetivos.
3.30 prevención Medidas que habilitan a la organización evitar, impedir o limitar el
impacto de un evento no deseado o potencialmente perturbador.
3.31 acción preventiva Un cambio o mejora proactiva implementado para tratar una debilidad
que aún no es responsable de causar no conformidades.
NOTA 1: Una no conformidad potencial la cual puede
tener una o más causas principales.
NOTA 2: Se toma una acción preventiva para evitar el
acontecimiento, mientras que se toma una acción
correctiva para rectificar un problema y prevenir una
recurrencia.
3.32 procedimiento Un modo establecido o específico para llevar a cabo una actividad o un
proceso.
3.33 registro Un documento puesto por escrito o de otra forma permanente como
referencia posterior.
3.34 riesgo residual Riesgo remanente después de un tratamiento de riesgo.
NOTA: El riesgo residual puede incluir un riesgo retenido
por una decisión informada, riesgo no tratado y/o riesgo
no identificado.
4
ANSI / ASIS / RIMS RA.1-2015
Término Definición
5
ANSI / ASIS / RIMS RA.1-2015
Término Definición
3.44 criterio de riesgo Términos de referencia usados para medir y evaluar el significado y
efectos de un riesgo.
NOTA: Los criterios de riesgo son una función de los
objetivos, valores y políticas de la organización, al igual
que el ambiente externo e interno.
NOTA 2: El criterio de riesgo puede derivarse de las leyes
jurisdiccionales, obligaciones y otros requisitos.
3.45 impulsor del riesgo Un evento, individuo(s), proceso o tendencias que tiene impacto sobre
los objetivos de una organización.
3.46 valoración del riesgo Proceso de comparación de resultados del análisis de riesgo con el
criterio de riesgo para determinar si un nivel de riesgo en particular está
dentro de la tolerancia aceptable o presenta una oportunidad potencial.
NOTA: La valoración del riesgo proporciona la base de
decisión sobre los métodos de tratamiento de riesgo.
3.47 identificación del riesgo Proceso para determinar cuáles riesgos se pueden anticipar, sus
características, dependencias temporales, frecuencias, periodo de
duración y posibles resultados.
NOTA: La identificación del riesgo involucra la
identificación de amenazas, oportunidades, criticidades,
debilidades y estrategias, al igual que la identificación de
causas de riesgo y eventos potenciales con sus causas e
impactos.
3.48 administración del riesgo Una disciplina estratégica de negocios que apoya la realización de los
objetivos de la organización al abordar la gama completa de sus riesgos y
administrando el impacto combinado de aquellos riesgos como una
cartera de riesgos interrelacionar. [Recursos RIMS]
3.49 registro del riesgo Una compilación de todos los riesgos identificados, analizados y
valorados en el proceso de evaluación de riesgos.
NOTA: El registro del riesgo incluye información de la
probabilidad, consecuencias, tratamientos y dueños del
riesgo.
3.50 causa de riesgo Un factor con el potencial de crear una incertidumbre en el logro de
objetivos.
NOTA: Una causa de riesgo puede incluir factores
tangibles o intangibles por si solos o en conjunto.
3.51 tolerancia de riesgo La cantidad total o lo más restringida de incertidumbre que una
organización está dispuesta a aceptar dentro de cierta unidad de trabajo,
una categoría de riesgo en particular o para una iniciativa específica.
NOTA: El nivel de tolerancia o nivel de aceptación de la
en cuanto al logro de objetivos puede estar influenciado
por la ley de jurisdicción y los requisitos de las partes
interesadas.
[RIMS Informe Resumido sobre la Exploración del Apetito de Riesgo y
la Tolerancia de Riesgo]
6
ANSI / ASIS / RIMS RA.1-2015
Término Definición
7
ANSI / ASIS / RIMS RA.1-2015
Término Definición
4 PRINCIPIOS
4.1 General
Los principios de este Estándar proveen la orientación necesaria para proporcionar transparencia, seguridad y
confianza en los procesos de evaluación de riesgos. Una evaluación de riesgos es una herramienta efectiva para
valorar los riesgos y la resiliencia, los retos y madurez de la organización, así como para llevar a cabo mejoras de
rendimiento. Adicionalmente, la evaluación de riesgos proporciona seguridad a los tomadores de decisiones
sabiendo que el riesgo adoptado, el sistema de gestión basado en la resiliencia y las medidas administrativas de
riesgo están logrando sus objetivos previstos.
Ejemplos de partes interesadas como parte del proceso de evaluación de riesgos pueden ser, más no están
limitados a:
a) Consumidores, clientes, accionistas, empleados, contratistas y socios de la cadena de suministro (ej.,
socios subcontratados y proveedores de infraestructura crítica);
b) Autoridades gubernamentales y regulatorias;
c) Organizaciones no-gubernamentales;
8
ANSI / ASIS / RIMS RA.1-2015
d) Grupos de sociedades civiles; y
e) Miembros del público (incluyendo los medios).
Los siguientes principios aplican a todas las actividades involucradas en el programa de evaluación, al igual que
durante las evaluaciones individuales de riesgo. El uso de estos principios ayuda a validar que las personas que
realicen las evaluaciones de riesgo independientemente, pero en circunstancias similares, lleguen a conclusiones
similares y repetibles.
9
ANSI / ASIS / RIMS RA.1-2015
4.4 Representación Honesta y Justa
Los hallazgos y conclusiones de la evaluación de riesgos deben estar basados en la evidencia que refleja precisa
y honestamente las actividades de la evaluación de riesgos y que se presentan de manera veraz en la
documentación de evaluación. Cualquier impedimento en lograr los objetivos de la evaluación de riesgos debe
ser documentado. Las comunicaciones deben ser oportunas, precisas, inequívocas, imparciales y completas. La
evidencia debe estar claramente documentada.
10
ANSI / ASIS / RIMS RA.1-2015
4.8 Confidencialidad
Las personas involucradas en el proceso de evaluación de riesgos deben mantener confidencial cualquier
información sensible, protegida y relacionada con el riesgo sobre una organización y su sistema de gestión, al
igual que información que puede causar daño a los entrevistados, clientes, consumidores, socios de la cadena de
suministro, personas que trabajan por su cuenta, demandantes u otros partes interesadas externos. La evaluación
de riesgos y sus datos asociados se pueden considerar confidenciales y, si así se requiere, solo deben compartirse
con personas que tienen una necesidad genuina para conocerlos. El intercambio de información debe basarse en
procedimientos establecidos. Se debe establecer un mecanismo para asegurar que toda la información relevante
está protegida y sólo se proporciona a las personas y organizaciones apropiadas. Los acuerdos de
confidencialidad deben considerarse como obligaciones legales, incluyendo aquellos para proteger información
al igual que requisitos relacionados con la divulgación.
5.1 General
El programa de evaluación de riesgos establece un marco para ejecutar los pasos generales de la evaluación de
riesgos en el proceso de administración de riesgos. El programa de evaluación de riesgos establece los
parámetros para mejorar la estructura organizacional, recursos, compromiso y métodos documentados utilizados
para planear y ejecutar las evaluaciones de riesgo. Un programa efectivo tiene como fundamento que los
objetivos estén claramente definidos. Una persona competente con el entrenamiento, competenciaes y
experiencia necesarios debe administrar el programa de evaluación de riesgos. Los recursos necesarios deben ser
identificados y asignados con los objetivos del programa (incluyendo personal calificado, asignación de fondos y
tiempo suficiente). Se le debe dar prioridad a los temas evaluados como los más significativos para la misión de
11
ANSI / ASIS / RIMS RA.1-2015
la organización y así lograr sus objetivos. El programa de evaluación de riesgos también debe considerar las
obligaciones legales, regulatorias, contractuales y sociales. Un programa de evaluación de riesgos integral debe
identificar las oportunidades para maximizar los resultados favorables, al igual que minimizar la probabilidad y
consecuencias de eventos indeseables y perturbadores.
Una meta del programa de la evaluación de riesgos es revisar los controles y el sistema de administración de
riesgos, al igual que identificar oportunidades de mejora. Al desarrollar el programa de evaluación de riesgos, se
debe considerar lo siguiente:
a) El enfoque administrativo y los estándar(es) del sistema de gestión que se están utilizando;
d) El alcance, complejidad y nivel de madurez del sistema(s) de administración de negocios que se está
evaluando;
12
ANSI / ASIS / RIMS RA.1-2015
g) Asignación de recursos necesarios para valorar adecuadamente el sistema de gestión.
i) Flujo de información;
o) Cultura empresarial;
q) Cualquier asunto especial surgido en los procesos de producción, administración y servicio (por ejemplo,
desecho ambiental, eliminación de activos defectuosos, etc.);
r) Tipo de mano de obra (por ejemplo, sindicato, no calificado, uso de trabajadores temporales,
subcontratación, uso de inmigrantes, etc.);
s) Horas de operación;
13
ANSI / ASIS / RIMS RA.1-2015
t) Sensibilidad de la información; y
Al valorar los objetivos de una organización algunas preguntas que se deben considerar incluir son:
a) ¿Cuáles son los objetivos estratégicos explícitos e implícitos de la organización y de sus áreas internas?
b) ¿Cuál es el estado de desarrollo, tamaño, sector industrial, distribución geográfica, madurez del estilo de
administración del negocio y complejidad de la organización y sus actividades?
c) ¿Cuál es el origen y dimensión de los riesgos significativos asociados con el logro de los objetivos de la
organización?
d) ¿Cuáles son las limitantes para la toma de riesgos, cuáles riesgos están dispuestos a tomar y cuáles no?
j) ¿Cuáles son los factores determinantes a considerar en la inclinación al riesgo y tolerancia al riesgo?
Para poder entender a la organización, es necesario identificar a las personas, activos y servicios que le
proporcionan a la compañía un valor tangible e intangible. Las personas involucradas o afectadas por la
organización incluye a empleados, consumidores, visitantes, vendedores, pacientes, invitados, pasajeros,
inquilinos, personas de contacto y cualquier otra persona que estén legalmente presenten en la propiedad siendo
evaluada. Personas no autorizadas (tales como intrusos) tienen que considerarse en la evaluación de riesgos. La
propiedad incluye activos raíces, terreno, edificios e instalaciones; la propiedad tangible como el efectivo,
metales piedras preciosas (ej., materias primas, materiales procesados, productos acabados y materiales
peligros); productos con elevado índice de robo (ej., drogas, títulos, efectivo, etc.); al igual que casi todo lo que
puede ser robado, dañado o afectado de alguna manera.
Los activos intangibles incluyen la marca, buena voluntad o reputación de cualquier compañía que podría ser
afectada. La información es otro bien intangible de alto valor. La información incluye propiedad intelectual y
datos protegidos, tales como secretos comerciales, planes de mercadotecnia, interacción de redes sociales,
cartera de clientes y cualquier otro dato que al ser robado, alterado o destruido podría causar daño a la
organización.
Los servicios proporcionados a las partes interesadas internos y externos son partes importantes de la cadena de
valor de la organización y pueden afectarse. Por ejemplo, la no disponibilidad de los servicios de TI o
contabilidad puedes tener un impacto en la organización, sus operaciones y activos.
14
ANSI / ASIS / RIMS RA.1-2015
El valor de los activos y servicios de la compañía debe considerarse dentro del contexto de:
b) Posesión exclusiva;
c) Utilidad;
El valor de un bien y servicio debe considerarse dentro del contexto de cómo contribuyen estos activos al logro
de objetivos de la organización. Mientras que las organizaciones pueden tener una infinidad de activos,
productos y servicios, normalmente no todos son de misión crítica. Por lo tanto, además de considerar el valor
monetario de los activos, la valoración debe considerar cómo encaja el bien dentro de la cadena de valores de la
organización y su valor relativo al lograr objetivos estratégicos y tácticos.
La organización debe entender y definir su criterio para valorar los riesgos significativos. El criterio de riego
debe reflejar los valores, objetivos y recursos de la organización. Aunque el criterio de riesgo debe establecerse
al comienzo del proceso de evaluación de riesgos, por ser dinámico, debe revisarse continuamente. Al definir el
criterio de riesgo, la organización debe considerar:
e) Requisitos legales y regulatorios, entre otros (ej., obligaciones contractuales, compromisos de derechos
humanos) a los cuales se inscribe la organización;
g) La naturaleza y tipo de amenazas y consecuencias que pueden ocurrir a sus activos, negocio y
operaciones;
15
ANSI / ASIS / RIMS RA.1-2015
h) Cómo se definiría y determinaría la probabilidad, consecuencia y nivel de riesgo;
l) Nivel de tolerancia de riesgo o aversión al riesgo de la organización y sus clientes (definir los limitantes
para cuando el riesgo es aceptable o tolerable);
Al establecer el criterio de riesgo, la organización debe entender el riesgo que está dispuesta a tratar, retener o
tomar (apetito de riesgo), al igual que el riesgo que esta lista para soportar después del tratamiento de riesgo
(tolerancia de riesgo) y el riesgo que no está dispuesta a asumir (aversión al riesgo) para lograr sus objetivos. Al
establecer el apetito de riesgo, es importante entender la naturaleza de la incertidumbre y si la organización
puede administrar el riesgo al nivel que está dispuesta a seguir. El apetito de riesgo, tolerancia de riesgo y
aversión al riesgo tienen componentes temporales y ambientales que cambiarán con el tiempo cuando cambien
las circunstancias. Por ejemplo, se pueden monitorear los efectos de cambios en el ambiente económico o socio-
político sobre qué tan aceptable sería el riesgo. También, al valorar el impacto de un riesgo en la compañía, es
importante corregir los niveles de apetito de riesgo y tolerancia de riesgo designados para determinar si los
factores (ej., impacto de reputación) fueron entendidos por completo al hacer las estimaciones iniciales. El
apetito de riesgo, tolerancia de riesgo y las aversiones al riesgo también pueden variar en niveles y elementos de
la cadena de valor entre diferentes compañías, deben alinearse.
El apetito de riesgo, tolerancia de riesgo y las aversiones al riesgo tienen que ser conceptos sincronizados. El
apetito de riesgo tiene que establecerse en el contexto de la madurez del negocio y los procesos de
administración de riesgos de la organización. La organización necesita tener la capacidad y competencia para
administrar el riesgo dentro de los límites que se establezcan. Por lo tanto, los límites se deben adaptar y
proporcionar a la medida, naturaleza y madurez del negocio y de los procesos de administración de riesgos.
Los prejuicios a veces pueden llevar a distorsiones de precepción, juicio inexacto y análisis ilógico de la
información. Hay una tendencia común para obtener y procesar información filtrándola a través de los
preferencias, disgustos y experiencias de uno mismo. La persona que administra la evaluación debe identificar y
entender los prejuicios inherentes y cognoscitivos dentro de la organización y de los individuos que llevan a
cabo la evaluación. El prejuicio inherente es el efecto de los factores y suposiciones latentes que impactan la
recolección y análisis de la información. Los prejuicios cognoscitivos son tendencias de pensar de cierta forma o
la falta de imaginación en posibles alternativas. Los tipos de prejuicios a considerar incluyen (pero no están
limitados a):
16
ANSI / ASIS / RIMS RA.1-2015
c) Prejuicios de percepción, selección observacional y de memoria;
Al Llevar a cabo una evaluación de riesgos de una organización requiere de conocimiento sobre los factores
internos y externos que pueden influenciar en el rendimiento de la organización para administrar riesgos. Al
planear el proceso de evaluación de riesgos, es importante considerar:
d) Partes interesadas internos y externos que son creadores de riesgos y tomadores de riesgos;
e) Partes interesadas internos y externos que están impactados por los riesgos; y
f) Factores que influyen en la aceptación de riesgo en la organización y por sus partes interesadas.
Entender los factores principales, implusores y asuntos que influencian la posibilidadcompetencia de que la
organización logre sus objeticos y cubrir sus obligaciones, es una parte integral de cualquier planeación
estratégica y táctica de un proceso. El contexto proporcionará una base para las actividades de administración de
riesgos. Por lo tanto, los pasos descritos en este Estándar no deben revisarse como un conjunto lineal de
secuencia de pasos sino como un proceso iterativo donde el contexto de la organización es re-valorar a medida
que se vaya disponiendo de más información.
17
ANSI / ASIS / RIMS RA.1-2015
a) Estrategias, políticas, objetivos, planes y lineamientos para lograr objetivos;
f) Partes interesadas internas que son dueños, colaboradores, partes impactadas y gerentes de riesgo (a lo
ancho de la organización y por sub-divisiones);
h) Prácticas y procedimientos;
j) Marca y reputación;
c) Los acuerdos contractuales, incluyendo otras organizaciones dentro del alcance del contrato;
f) Partes interesadas externas que son dueños, colaboradores, partes impactadas y gerentes de riesgo
(dentro de la cadena de valor, intereses particulares, comunidades afectadas y los medios);
g) Asuntos y tendencias principales que pueden impactar los procesos y/o objetivos de la organización;
j) Marca y reputación.
Al establecer su contexto externo, la organización debe asegurarse que los objetivos e inquietudes de las partes
interesadas externos sean considerados en el criterio de la administración de riesgos.
18
ANSI / ASIS / RIMS RA.1-2015
Administrar los riesgos en la cadena de suministros, incluyendo subcontratistas, requiere de un entendimiento de
la cultura y ambiente organizacional al igual que del contexto del ambiente global de su cadena de suministros.
Cada nodo de la cadena de suministros de la organización involucra un conjunto de riesgos y procesos
administrativos.
La organización debe identificar y documentar sus partes interesadas anteriores y posteriores de la cadena de
suministros, incluyendo sus subcontratistas, para identificar riesgos significativos y el potencial para causar un
evento de riesgo. El análisis de riesgo en la cadena de suministro debe estar incluido en un programa general de
evaluación de riesgos de la organización. La organización debe definir y documentar los nodos y niveles de su
cadena de suministro y subcontratistas para incluirlos en su programa de evaluación de riesgos.
El contexto de administración de riesgos de la organización describe el contenido, al igual que los parámetros de
control, métodos y planes de riesgo actuales para las actividades de administración de riesgos. Antes de
comenzar con el diseño e implementación del programa de administración de riesgos, es importante entender los
objetivos del programa, así como valorar y entender tanto el alcance como la eficacia del sistema y medidas de
control de riesgos actuales.
b) Los objetivos del programa de administración de riesgos alineados con los objetivos generales de
administración empresarial de la organización.
c) ¿Cuáles son los nodos en la cadena de valor que serían los responsables de la mayor medida de valor?
d) ¿Cuáles son las actividades, productos y servicios identificables, considerados esenciales para lograr los
objetivos de la organización?
f) ¿Cuáles son los métodos de control de riesgos actuales, eficacia al controlar un riesgo identificable, el
riesgo residual y el costo-beneficio percibido de las medidas de control?
h) ¿Cuáles son los datos, información y fuente de inteligencia utilizados para determinar a los riesgos y su
fiabilidad percibida?
k) ¿Cuáles son las interdependencias entre los contextos de administración de riesgos internos y externos?
19
ANSI / ASIS / RIMS RA.1-2015
La(s) persona(s) que llevan a cabo la evaluación de riesgos debe(n) entender la razón y propósito de la
evaluación. Debe haber un entendimiento claro entre el gerente de riesgos y la alta dirección sobre el propósito
del programa de evaluación de riesgos y sobre el uso de los resultados. Existen varios propósitos para la
evaluación de riesgos. Algunos ejemplos son:
c) Identificar riesgos actuales, potenciales y percibidos y valorar los procesos de tratamiento de riesgo;
e) El uso de un proceso sistemático para identificar debilidades en los procesos de la organización y en los
enfoques de administración de riesgos;
n) Entender la exposición del riesgo relacionada con las actividades, proyectos y operaciones;
q) Reducir riesgos;
Al desarrollar el programa de evaluación de riesgos, el gerente de riesgos debe entender el uso o de los
resultados de la evaluación por la organización. El uso de los resultados de la evaluación de riesgos puede influir
en la actitud de los participantes en el proceso de evaluación de riesgos.
20
ANSI / ASIS / RIMS RA.1-2015
Definir claramente los objetivos de la evaluación de riesgos , es fundamental para implementar un programa de
evaluación de riesgos exitoso. Las evaluaciones de riesgos proporcionarán más valor a la organización si los
objetivos del programa se alinean con los objetivos organizacionales y administrativos. El gerente de riesgos y la
alta dirección deben definir claramente y acordar los objetivos de la evaluación de riesgos.
Al definir los objetivos del programa de evaluación de riesgos, se deben considerar los siguientes factores:
g) Percepciones y expectativas de los afectados y otros partes interesadas, incluyendo las necesidades de la
cadena de suministro;
Algunos ejemplos de los objetivos del programa de evaluación de riesgos son (pero no están limitados a):
a) Realizar un análisis de brechas para determinar mejoras a la empresa y a los procesos de administración
de riesgos;
b) Verificar la conformidad del sistema de gestión con los requisitos de estándares relevantes;
c) Demostrar la eficiencia de las medidas del tratamiento de riesgo e identificar las oportunidades de
mejora:
La respuesta de los tomadores de decisiones de una organización a la situación con resultados variables es
función del riesgo percibido y de la percepción de criticidad. Es importante conocer los componentes básicos
psicológicos, sociales y emocionales que influencian en la toma de decisiones (las decisiones del asesor o las
decisiones de otros). Algunos factores a considerar:
21
ANSI / ASIS / RIMS RA.1-2015
a) La definición precisa del problema y su contexto es la mayor parte de una buena toma de decisión y no
solo la resolución del problema;
c) Los plazos de toma de decisiones influenciarán en la criticidad de la toma de decisiones (un plazo corto
normalmente resulta en mayor criticidad);
Un riesgo puede tener efectos acumulativos sobre otros riesgos. En el proceso de toma de decisiones, es
importante evaluar el riesgo para que la interacción entre los múltiples riesgos sea entendida. El impacto de
varias decisiones en la evaluación y tratamiento de riesgos debe considerarse a través del proceso de evaluación
de riesgos, al igual que el potencial de consecuencias imprevistas al manjar decisiones de riesgo.
El alcance del programa de evaluación de riesgos debe definirse para poder lograr los objetivos de la evaluación
de riesgos y considerar el contexto de la organización, sus necesidades y requisitos. El alcance debe definir los
procesos, funciones, actividades, límites físicos (instalaciones y ubicaciones) y las partes interesadas incluidos
dentro de los límites del programa de evaluación de riesgos. El alcance del programa de evaluación de riesgos
tendrá un efecto directo sobre los recursos y requisitos de tiempo necesarios para las evaluaciones de riesgo
individuales. Al establecer el alcance del programa de evaluación de riesgos, los recursos y requisitos de tiempo
serán directamente proporcionales al tamaño del alcance. El gerente de riesgos y la alta dirección deben ponerse
de acuerdo sobre el alcance del programa de evaluación de riesgos antes de comenzar cualquier evaluación.
Cualquier cambio subsecuente en el alcance debe ser documentado y tomado de mutuo acuerdo .
El alcance del programa de evaluación de riesgos se puede componer de uno o más evaluaciones de riesgo
individuales. Si el objetivo del programa de evaluación de riesgos es la comprobación de un estándar del sistema
de gestión, entonces el alcance del programa debe alinearse con el alcance el sistema de gestión con cualquier
desviación observada y entendida.
22
ANSI / ASIS / RIMS RA.1-2015
g) Complejidad y madurez del sistema de administración de riesgos; y
Los roles y responsabilidades de las partes que llevan a cabo la evaluación de riesgos y el cliente deben ser
claramente definidos y entendidos, incluyendo:
b) Líder de equipo de evaluación de riesgos (LER) – la persona designada para liderar el equipo de
evaluación de riesgos;
c) Asesor de riesgos (AR) – la persona que lleva a cabo la evaluación de riesgos, individualmente o como
miembro de un equipo;
d) Experto técnico – un experto en la materia con conocimiento o experiencia específicos para apoyar al
equipo de evaluación de riesgos, aunque no funja como un asesor (ej., experto legal o en el sector
industrial, asesor de riesgos, especialista en seguridad física, especialista en tecnología de la
información, especialista del sistema de control y adquisición de datos, SCADA);
e) Observador – la persona que acompaña al equipo de evaluación de riesgos (ej., representante del cliente,
enlace de clientes o guía); y
f) Cliente – Alta gerencia o área de negocio de una organización que requiere de una evaluación de riesgos.
Un cliente puede ser interno o externo a la organización que está siendo evaluada.
NOTA: Todas las personas que desempeñan funciones deben demostrar capacidad en los roles que están realizando.
Dependiendo del tamaño y la complejidad del alcance, algunos o todos estos roles pueden combinarse. La capacidad
combinada del equipo debe ser suficiente para cubrir todas las áreas de especialidad necesarias para llevar a cabo una
evaluación efectiva. Vea sección 7.2 sobre capacidad.
a) Definir los objetivos, criterio y alcance del programa de administración de riesgos en cuanto a
evaluaciones individuales;
23
ANSI / ASIS / RIMS RA.1-2015
c) Asegurar que el equipo de evaluación de riesgos y sus miembros tengan todo la capacidad necesaria para
llevar una evaluación de riesgos exitosa;
e) Asegurar que el programa de evaluación de riesgos se ejecute como planeado en un tiempo adecuado;
g) Asegurar que los riesgos hacia los clientes y equipo de evaluación de riesgos sean administrados
apropiadamente durante el programa de evaluación de riesgos;
h) Revisar los resultados de trabajo asignado a los asesores en cuanto a compleción y precisión; y
El cliente debe designar al menos un representante de la alta dirección para interactuar con el equipo de
evaluación. El representante del cliente debe tener la autoridad de proporcionar a los asesores:
b) La información organizacional, funcional, de los interesados e histórica apropiada para valorar los
riesgos;
e) Acceso a la información;
f) Instalaciones para uso del equipo de evaluación de riesgos (ej., espacio de trabajo privado,
telecomunicaciones, instalaciones seguras e higiénicas, etc.);
Los asesores deben realizar actividades con profesionalidad apegadas a la ley y a los principios éticos más
elevados. Un asesor debe seguir los principios listados en la sección 4 honesta y diligentemente al llevar a cabo
las responsabilidades profesionales. Los asesores deben salvaguardar la información confidencial y ejercer el
cuidado requerido para prevenir su divulgación indebida. Los asesores no deben dañar maliciosamente la
reputación o práctica profesional de colegas, clientes o empleados.
Los gerentes de riesgos y LER deben de estar conscientes de los asuntos legales y obligaciones relacionados con
la evaluación. Los asesores deben entender sus responsabilidades en cuanto a:
24
ANSI / ASIS / RIMS RA.1-2015
b) No utilizar la información adquirida durante el curso de la evaluación de riesgos para beneficio personal
o para el beneficio de otros;
c) No compartir la información más allá de lo necesario a saber o que pueda utilizare para la competencia
restringida;
d) Ejercer un cuidado responsable y competente para evitar la violación del principio de diligencia;
Los asesores deben ser calificados por sus responsabilidades para reportar actividades ilegales o inseguras dentro
o fuera del alcance de la evaluación de riesgos, incluyendo requisitos legales de divulgación. Una vez
encontradas, un asesor no debe ignorar las actividades ilegales o inseguras. Los asesores deben informar al LER
– quien le informa al cliente y al gerente de riesgos. El LER debe verificar y crear un registro de la situación. Si
el equipo está en peligro, la evaluación de riesgos debe detenerse y no reiniciar hasta que la condición de peligro
sea reparada.
La aptitud y capacidad para aplicar los conocimientos y competenciaes para lograr los resultados esperados es
necesaria para todos los interesados que están involucrados en la evaluación de riesgos. La aptitud es la suma de
demostraciones de aptitudes personales, conocimiento y competenciaes genéricas de evaluación de riesgos,
conocimiento de administración de riesgos, así como conocimiento y competenciaes del sector industrial
específico.
Para llevar a cabo una evaluación de riesgos efectiva, el GR, LER y los asesores deben demostrar competenciaes
y conocimiento en las siguientes áreas:
e) Conciencia y entendimiento cultural, incluyendo respecto hacia los derechos de los individuos;
25
ANSI / ASIS / RIMS RA.1-2015
El GR y LER deben asegurar que los asesores proporcionen los servicios de evaluación de riesgos solo en
aquellas áreas donde tengan el conocimiento, competenciaes y experiencia necesarios.
Los cambios internos y externos en la organización pueden afectar al riesgo. Por lo tanto, el análisis de la
incertidumbre relacionada a los procesos de la evaluación de riesgos es una parte integral del desarrollo y mejora
del programa de evaluación de riesgos. Para evaluar correctamente cualquier organización, es importante
entender los riesgos relacionados con:
Hay una necesidad de entender las incertidumbres relacionadas con el programa de evaluación de riesgos para
lograr los objetivos y asegurar la credibilidad.
d) Las autorizaciones;
e) La exposición a vulnerabilidades;
f) Reportar requisitos; y
26
ANSI / ASIS / RIMS RA.1-2015
Las personas que llevan a cabo la evaluación de riesgos deben conocer las incertidumbres que pueden tener
impacto de la evaluación de riesgos sobre el logro de los objetivos. También es importante conocer el tiempo
disponible y recursos de las áreas con mayor nivel de riesgo. El proceso de planeación debe priorizar los
recursos acordes al nivel de riesgo asociado y asegurar que no se pasen por alto los factores de riesgo
importantes.
Al identificar, analizar y valorar los riesgos al programa de evaluación, el gerente de riesgos debe considerar:
a) La planeación;
f) La comunicación entre los miembros del equipo, al igual que entre el equipo de evaluación y el cliente;
El gerente de riesgos debe establecer y documentar un proceso para identificar, analizar, valorar y atender (ej.,
reducir) los riesgos relacionados con imparcialidad de las amenazas reales y percibidas. Se deben tomar las
consideraciones para los prejuicios descritos en la sección 5.2.3, al igual que los factores relacionados con las
decisiones cruciales.
Al planear el programa de evaluación de riesgos, el gerente de riesgos debe considerar los requisitos
jurisdiccionales relacionados con:
c) La protección
e) La responsabilidad de cuidado; y
27
ANSI / ASIS / RIMS RA.1-2015
Cuando existe el potencial de exposición a una amenaza y peligro para equipo de evaluación durante la
evaluación de riesgos, el gerente de riesgos debe valorar la protección y seguridad en cuanto a los riesgos y
tomar las medidas apropiadas. Por ejemplo, se podría necesitar o requerir de entrenamiento especializado o
equipo de protección para asignaciones o tareas específicas.
Las percepciones de las partes interesadas externas pueden impactar el diseño e implementación del programa de
evaluación de riesgos. Por lo tanto, durante el diseño de las evaluaciones de riesgo, el gerente de riesgos debe
estar al tanto y considerar las percepciones de:
c) Supervisores gubernamentales;
f) Los medios.
El diseño de procedimientos efectivos de evaluación de riesgos debe considerar la idoneidad y eficiencia de los
controles de administración de riesgos e identificar los cambios en los perfiles y prioridades del riesgo. El nivel
de confianza en los resultados de la evaluación se basará en la evidencia y los datos recolectados; no en las
percepciones ni las suposiciones.
El gerente de riesgos debe desarrollar uno o más procedimientos para administrar el programa de evaluación de
riesgos. Al desarrollar los procedimientos, el gerente de riesgos debe identificar las métricas de rendimiento que
se utilizarán para determinar si los procedimientos fueron aplicados efectiva y exitosamente. Los procedimientos
deben desarrollarse para:
d) Asegurar una comunicación adecuada entre todas las partes implicadas en la evaluación;
g) Valorar la información a ser evaluada, definir las prioridades y mejorar los métodos de tratamiento de
riesgo;
28
ANSI / ASIS / RIMS RA.1-2015
h) La evaluación de desempeño del proceso de evaluación para identificar oportunidades de mejora;
k) Monitorear, revisar y tener una mejora continua del programa de evaluación de riesgos.
Una vez que se hayan establecido el alcance y los objetivos para el programa de evaluación de riesgos, el gerente
de riesgos debe identificar y asegurar la dotación de los recursos necesarios para llevar a cabo un programa de
evaluación de riesgos exitoso. El gerente de riesgos debe proporcionar los recursos en cuanto a personal, tiempo,
viajes y los recursos financieros necesarios para desarrollar, implementar, administrar y mejorar las actividades
de la evaluación de riesgos (incluyendo garantizar la capacidad del asesor). Desde el punto de vista de la
organización, los beneficios tangibles e intangibles de incrementar la probabilidad de lograr los objetivos
organizacionales deben sobrepasar los costos de realización de la evaluación de riesgos.
Los recursos humanos incluyen la asignación de asesores apropiados y adecuados, de tiempo completo o parcial,
al igual que de expertos técnicos complementarios. La constitución del equipo de evaluación debe reflejar los
objetivos del programa de evaluación de riesgos y la complejidad del sistema organizacional para administrar el
riesgo. El gerente de riesgos debe calcular las horas-hombre para completar exitosamente cada parte de la
evaluación de riesgos.
Los factores que afectarán la asignación de los requisitos de recursos (particularmente requisitos de personal y de
tiempo) incluyen (pero no están limitados a):
j) La revisión de la documentación;
29
ANSI / ASIS / RIMS RA.1-2015
l) El número de centros, multi-centros, consideraciones y diversidad de las partes interesadas;
El programa de evaluación de riesgos puede constar de una o más evaluaciones de riesgo, que en conjunto logran
los objetivos generales del programa. El alcance, objetivos y criterio de las evaluaciones individuales de riesgo
dentro del programa deben ser consistentes con los objetivos generales del programa de evaluación de riesgos.
Los objetivos de las evaluaciones individuales de riesgo deben definirse y documentarse con claridad. Algunos
ejemplos de los objetivos de la evaluación de riesgos pueden ser (pero no limitarse a), determinar:
30
ANSI / ASIS / RIMS RA.1-2015
El alcance de las evaluaciones individuales debe definirse y documentarse con claridad. Algunos ejemplos de un
alcance de evaluación individual de riesgos serían (pero no están limitados a):
f) Procesos específicos.
El criterio para las evaluaciones individuales de riesgos debe definirse y documentarse con claridad. Algunos
ejemplos del criterio de una evaluación individual de riesgos serían (pero no están limitados a):
e) Requisitos legales;
f) Requisitos de seguridad;
El alcance y profundidad de la evaluación de riesgos debe determinarse y documentarse por la organización. Los
objetivos y plazos manejan tipos específicos de evaluaciones de riesgos para aplicarse en diferentes situaciones.
La Figura 3 ilustra los diferentes alcances y profundidad de las evaluaciones de riesgo, basados en aplicaciones
específicas.
31
ANSI / ASIS / RIMS RA.1-2015
• Procesos formales
Múltiples técnicas aplicadas de administración de riesgos
Esfuerzo Importancia estratégica
•
• Elementos decisivos de calidad
riguroso y compleja • Consideraciones de prejuicios
• Plazo e decisión más largo
• Memoria “muscular”
Automático Simple y frecuente • Técnicas de “La clave de la servilleta”
• Decidido al momento
Adaptado de la Presentación: Enfoque Cultural hacia la Toma de Decisiones en RIMS 2011 ERM Conferencia dada por el
Dr. Carl Spetzler. Copyright © 2013 Risk and Insurance Management Society, Inc. Todos los derechos reservados.
32
ANSI / ASIS / RIMS RA.1-2015
Las evaluaciones de riesgos se vuelven una parte automática e informal del proceso de la toma de decisiones
cuando la administración de riesgo está completamente integrada en la cultura organizacional. Cuando las
decisiones se vuelven más significativas o complejas, se necesita de un proceso de evaluación de riesgos
moderado y deliberado. En esas situaciones, las técnicas limitadas de la evaluación de riesgos pueden ser
utilizadas para llegar a una decisión en un corto plazo. Cuando las decisiones son de naturalezas estratégicas y
complejas, se necesita un esfuerzo más riguroso y deliberado. En esos casos, al haber un margen de tiempo
mayor, se pueden aplicar las técnicas de evaluación de riesgos múltiples.
El gerente de riesgos debe determinar la metodología apropiada para llevar a cabo la evaluación para lograr los
objetivos, alcance y criterio. El nivel de detalle y complejidad de la evaluación de riesgos debe adaptarse a las
decisiones que se pretendan apoyar. Los métodos seleccionados serán en función del tamaño y naturaleza de la
organización junto con los factores de riesgo, humanos, culturales, de infraestructura y geográficos. La
metodología de evaluación de riesgos utilizada, direcciionará el conjunto de competencias y competenciaes
requeridas de los asesores. Información adicional se encuentra en la ISO 31000 y en la sección 6 de éste
Estándar.
Cuando se seleccione una metodología de evaluación de riesgos, se debe de tener cuidado de mantenerse dentro
de las posibilidades de la organización. La metodología debe seguir un proceso lógico por el cual las entradas de
la evaluación son valoradas para producir los resultados que se utilizan en los procesos de toma de decisiones. Al
tratar de determinar la metodología, un buen punto de partida puede ser las evaluaciones anteriores o un enfoque
aceptable de la industria, pero deben revalorar su idoneidad y ajustarlos a las circunstancias actuales. La
metodología seleccionada también debe considerar la disponibilidad de información y las restricciones en
recursos.
Los miembros del equipo son responsables de recopilar información para sustentar el análisis y valoración de
riesgos y cualquier medida de control propuesta para tratar el riesgo. Los miembros del equipo deben poder
33
ANSI / ASIS / RIMS RA.1-2015
recolectar información eficiente y objetivamente y con la debida consideración de evitar disturbios potenciales a
la rutina normal de la organización.
El gerente de riesgos debe establecer un criterio bien-definido para la selección de individuos y la asignación de
tareas. Se deben desarrollar procedimientos para valorar las aptitudes de un asesor en particular, abarcando:
a) Conocimiento;
b) Experiencia; y
a) Capacidad general del equipo de evaluación necesaria para lograr los objetivos de la evaluación de
riesgos;
b) Origen del sistema de administración de riesgos y qué disciplinas de riesgo específicas se han manejado
(ej., cumplimiento, seguridad, protección, administración de crisis y continuidad – los asesores pueden
tener un enfoque y tendencia a una disciplina, por lo que se debe de considerar una balance
disciplinario);
c) Conocimiento del sector industrial y los riesgos que enfrenta ese sector, incluyendo la comprensión del
contexto específico de la organización y sus dependencias;
d) Complejidad de las actividades de administración de riesgos, incluyendo el uso de estándares del sistema
de gestión singulares o múltiples;
f) Requisitos legales, normativos, entre otros manteniendo en mente las variaciones jurisdiccionales;
h) Competenciaes personales, culturales, sociales y de idiomas requeridos para manejar con la diversidad
de la organización;
i) Requisitos de seguridad, permisos, ciudadanía y protección para los miembros del equipo;
j) Dinámica de los miembros del equipo y su competencia de trabajar juntos y con el cliente;
Al considerar la selección de asesores, el gerente de riesgos debe valorar las aptitudes, conocimiento,
experiencia, competenciaes y rasgos personales de los asesores que necesiten lograr los objetivos de la
evaluación de riesgos. El gerente de riesgos debe tener un proceso documentado para valorar y seleccionar a los
asesores. Vea la sección 7 para más detalles al respecto.
34
ANSI / ASIS / RIMS RA.1-2015
Los expertos técnicos pueden complementar la capacidad del equipo. En todo momento, los expertos técnicos
deben operar en conjunto con los asesores de riesgos. Los expertos técnicos están previstos para complementar
la especialización general del equipo de evaluación de riesgos para proporcionar conocimientos especializados
en la materia. Los expertos técnicos no son sustitutos de los asesores con competencias en las disciplinas de
riesgo a ser evaluadas.
Los asesores bajo entrenamiento también pueden incluirse en el equipo. Los asesores bajo entrenamiento deben
tener el conocimiento para llevar a cabo las evaluaciones de riesgo, los riesgos relacionados con la organización
y la administración de riesgos. Deben participar bajo la dirección y orientación de un asesor experimentado.
El gerente de riesgos y LER, puede realizar ajustes al equipo durante el transcurso de la evaluación dependiendo
de la necesidad de competencias adicionales.
El gerente de riesgos debe asignar con anticipación a un individuo para ser el líder del equipo de evaluación de
riesgos (LER), antes del comienzo de las evaluaciones, permitiéndole el suficiente tiempo de preparación. Ya
que el LER se encarga de llevar a cabo la evaluación, al igual que dirigir y monitorear al equipo, el individuo
debe ser un asesor experimentado y familiarizado con el negocio y sector industrial a ser evaluado, así como en
las disciplinas basadas en el riesgo a ser administrado. El LER es responsable de:
b) Representar al equipo de evaluación con el cliente y/o con el equipo administrativo de la organización;
c) Iniciar y mantener la comunicación con el cliente y/o con el equipo administrativo de la organización;
g) Liderar, organizar y dirigir a los miembros del equipo de evaluación (particularmente a los asesores bajo
entrenamiento);
h) Darle buen uso a los recursos durante la evaluación de riesgos y la administración de tiempo;
j) Llevar a cabo juntas regulares y de avances con el equipo de evaluación de riesgos, así como con el
cliente y/o equipo administrativo de la organización;
35
ANSI / ASIS / RIMS RA.1-2015
n) Revisar la evidencia y observaciones de los asesores y liderar al equipo para determinar los hallazgos y
conclusiones; y
o) Preparar y entregar el reporte de la evaluación de riesgos, asegurando que realmente está correcto y claro
en cuanto a recomendaciones.
Las designaciones de evaluación específicas deben basarse en la experiencia y conocimiento de cada asesor y
responder a la complejidad de las tareas de la evaluación. Debe haber un balance en el equipo de evaluación en
cuanto al conocimiento técnico, legal, industrial, administrativo y de disciplina administrativa basada en el
riesgo. El LER debe asignar y comunicar las responsabilidades de evaluación antes de comenzar con la
evaluación.
El gerente de riesgos debe identificar la documentación necesaria para la evaluación de riesgos. Los
procedimientos deben establecerse para el uso y manejo de los documentos y registros creados por el gerente de
riesgos para el programa de evaluación de riesgos. Se deben delinear procedimientos claros para obtener y
manejar la documentación organizacional y del cliente. El cliente y la administración organizacional deben
aprobar explícitamente la copia de cualquier informaciónen cualquier formato. Los asesores no deben borrar,
modificar, eliminar o destruir documentos (incluyendo archivos electrónicos) sin permiso explicito por escrito
para hacerlo.
El gerente de riesgos debe establecer, implementar y mantener los procedimientos para proteger la sensibilidad,
confidencialidad e integridad de los documentos y registros incluyendo el acceso, identificación, almacenaje,
protección, recuperación, retención y desecho de registros. Los documentos deben estar claramente etiquetados
en cuanto a su estado y versión (ej., borrador o versión final, activo o de archivo), así como el nivel de
sensibilidad y confidencialidad. Los registros deben mantenerse con acceso a información y documentos.
En ocasiones donde los reportes se consideran confidenciales, el gerente de riesgos debe establecer controles
computarizados y de red sobre los archivos e información de la evaluación de riesgos para prevenir acceso por
usuarios no autorizados. Al recopilar información confidencial, el gerente de riesgos debe establecer
procedimientos y proporcionar la tecnología necesaria a los miembros del equipo de evaluación para cifrar
equipos de almacenamiento o laptops para asegurar esta información.
Los registros y documentación deben ser creados, mantenidos y almacenados apropiadamente tanto para el
programa general de evaluación de riesgos como para las evaluaciones individuales, incluyendo:
a) Planes y reportes;
36
ANSI / ASIS / RIMS RA.1-2015
b) Hipótesis, partes interesadas y fuentes de información;
Los procedimientos deben establecerse para crear y mantener los registros del desempeño de la evaluación de
riesgos. Los registros de la revisión de desempeño deben utilizarse para manejar una mejora continua del
proceso de evaluación de riesgos y de la capacidad del equipo de evaluación. Algunos ejemplos de registros de
desempeño son:
c) Valoraciones de desempeño de los miembros del equipo de evaluación y del líder del equipo;
e) Necesidad de entrenamiento continuo y mejora de aptitudes de los miembros del equipo de evaluación.
El gerente de riesgos, en conjunto con el LER, debe identificar la documentación necesaria para evaluar riesgos
a la organización y su cadena de valor. El LER debe contactar a las partes interesadas internos y externos
apropiados para evaluar la disponibilidad de documentos relacionados con la evaluación de riesgos dentro del
alcance de la evaluación.
37
ANSI / ASIS / RIMS RA.1-2015
c) Contexto del ambiente de riesgo;
La revisión del documento debe proporcionar aportación a la planeación de la segunda etapa de la evaluación de
riesgos: las actividades in-situ. La revisión del documento debe proporcionar indicaciones de las áreas que
requieran más atención y de los recursos para llevar a cabo la segunda etapa de la evaluación de riesgos, así
como la disponibilidad de la organización para la segunda etapa.
La revisión del documento indicará la probabilidad de lograr los objetivos de la evaluación de riesgos y puede
indicar la necesidad de cambios en el enfoque de la evaluación y en la composición del equipo. Cualquier
cambio debe realizarse consultando al gerente de riesgos, LER, cliente y la administración de la organización.
a) ¿Todos los requisitos del sistema de administración de riesgos impuestos por la organización se
implementaron correctamente y se están logrando los objetivos de política y desempeño?
b) ¿Se están abordando correctamente los problemas identificados en las evaluaciones de riesgo y se
reflejan consistentemente a través de todos los elementos del sistema de administración de riesgos?
e) ¿La organización tomó medidas con los riesgos identificados, hallazgos de auditorías internas, resultados
de ejercicios y lecciones aprendidas de eventos implementando las acciones correctivas y preventivas
apropiadas?
Al evaluar riesgos, los tomadores de decisiones tienen que valorar las alternativas en términos de valor e
incertidumbre. El análisis de decisión proporciona una visión de cómo se diferencian las alternativas definidas
una de la otra y proporciona una base para considerar alternativas nuevas y mejoradas. Esto involucra el
entendimiento del fundamento de valores utilizados para las probabilidades, las funciones de valor para valorar
alternativas, la importancia del valor para medir el intercambio de objetivos y la preferencia de riesgo. El gerente
de riesgos debe valorar la sensibilidad de los resultados, considerar la fiabilidad de las probabilidades clave y
evaluar los parámetros e importancia de las preferencias de riesgo.
38
ANSI / ASIS / RIMS RA.1-2015
El análisis del panorama es un proceso de examinar los posibles y plausibles eventos futuros al considerar
escenarios y resultados alternativos. Proporciona una base para tomar decisiones en un contexto de diferentes
condiciones y resultados. Crear escenarios de supuestos desafíos sobre qué puede o no pasar. Basar las
decisiones y planes en escenarios más probables ayuda a determinar si las decisiones son razonables aun si las
condiciones y circunstancias cambien. Desarrollar y valorar escenarios alternativos reduce la incertidumbre en la
toma de decisiones y aclara lo desconocido que pueda ocurrir.
Las alternativas también se pueden valorar usando el análisis de Pareto el cual supone que en los eventos de
riesgo, aproximadamente el 80% de los efectos vienen del 20% de las causas. Es una técnica simple para
priorizar los posibles cambios al identificar los problemas que se resolverán al hacer estos cambios. Esto le
permite al gerente de riesgos enfocarse en las áreas más efectivas de la evaluación de riesgos mientras que se
minimiza el resto. Por ejemplo, el análisis de Pareto puede ayudar a las organizaciones a identificar la
proporción de activos y proveedores de los cuales depende más en términos de costo, generación de valor,
producción y fracaso, y por ende los activos y servicios que pueden representar el mayor riesgo a la organización
y a su cadena de suministro. El análisis de Pareto está diseñado para que los usuarios identifiquen cuál pequeño
conjunto de prácticas, funciones, proveedores, personal, etc. tiene el mayor impacto. Sin embargo, puede
limitarse por la exclusión de sus problemas los cuales pueden ser pequeños de inicio, pero pueden crecer con el
tiempo.
El utilizar los diagramas de influencia puede ayudar a identificar la fortaleza de estos factores influyentes y
ayudar al LER a determinar el potencial de ponderación a considerar.
En su forma más simple y básica, los diagramas de influencia son una representación de los factores influyentes
sobre los riesgos y objetivos. Graficar a los factores influyentes y lo que impactan, puede ofrecer una visión
crítica. Lo diamantes en el diagrama representan las variables influyentes y las conexiones indican los niveles de
dependencia de variabilidad (vea figura 4). Un mayor número de conexiones demuestra un nodo de alta
dependencia. Trazar estas dependencias puede llevar a un mayor entendimiento de cómo múltiples influyentes
pueden afectar el desempeño.
39
ANSI / ASIS / RIMS RA.1-2015
Talento
Competencia Infraestructura
Inversionistas
Administración
Capacidades
del Sistema
Proveedores
Leyendas
Estratégico
Operacional
bajo medio alto bajo alto
Financiero
Impacto/Probabilidad Conexión Percibida
Los diagramas de influencia pueden ayudar a definir las causas principales de los riesgos importantes, definir la
cadena de eventos probables en un escenario y convertirse en la base de modelados posteriores. Los diagramas
de influencia estimulan las conversaciones y visiones para entender mejor las relaciones de riesgo.
Adaptado de Risk and Insurance Management Society, Inc. Copyright © 2014 Todos los derechos reservados.
40
ANSI / ASIS / RIMS RA.1-2015
5.5.9 Administrando y Reportando los Resultados del Programa
El gerente de riesgos es responsable de revisar y aprobar los hallazgos de la evaluación y el reporte final de
evaluación de riesgos. Para tener credibilidad, cualquier recomendación de cambios debe venir del equipo de
evaluación y se volverá a presentar para una aprobación. Adicionalmente, el gerente de riesgos es responsable
de:
El gerente de riesgos debe establecer métricas de desempeño y medir la eficiencia del programa de evaluación de
riesgos. Las métricas de desempeño deben utilizarse para valorar el desempeño tanto del programa general de
evaluación de riesgos, como de las evaluaciones de riesgo individuales. El monitoreo de desempeño y las
valoraciones deben incluir:
f) Administración de recursos;
h) Capacidad y profesionalismo por parte de los miembros del equipo de evaluación de riesgos; y
El gerente de riesgos y el LER deben volver a revisar los riesgos identificados durante el proceso de evaluación
de riesgos tanto para el programa de evaluación de riesgos como para las evaluaciones de riesgo individuales,
41
ANSI / ASIS / RIMS RA.1-2015
para determinar si los riesgos identificados se han administrado adecuadamente y si algún riesgo haya surgido y
que no haya sido previamente identificado.
El gerente de riesgos debe establecer, implementar y mantener los procedimientos para hacerse cargo de las no
conformidades y para tomar acciones correctivas y preventivas de problemas identificados en el transcurso del
programa de evaluación de riesgos. Los procedimientos deben incluir:
c) La investigación de las no conformidades, determinando sus causas principales y tomando acciones para
evitar su recurrencia;
Los asesores deben mejorar su conocimiento, competenciaes y competencia a través de un desarrollo profesional
continuo. El LER debe valorar el desempeño de todos los miembros del equipo de evaluación, mientras que el
gerente de riesgos valore al LER. Las valoraciones deben reconocer tanto las fortalezas como las debilidades
para ayudar con la selección del asesor para futuras evaluaciones de riesgos.
El LER y el gerente de riesgos deben proporcionar retroalimentación a los asesores, particularmente a los
asesores bajo entrenamiento, para ayudarles a mejorar y mantener su capacidad. Las valoraciones deben
considerar:
b) Competenciaes de comunicación;
42
ANSI / ASIS / RIMS RA.1-2015
5.7 Revisión y Mejora
El gerente de riesgos debe revisar el programa de evaluación de riesgos para evaluar si los objetivos de la
evaluación de riesgos se están cumpliendo y para asegurar la adecuación continuidad, idoneidad y eficiencia del
programa. Las revisiones deben incluir la evaluación de oportunidades de mejora y la necesidad de cambios en el
programa de evaluación de riesgos.
La revisión del programa de evaluación de riesgos debe incluir una revisión de:
El gerente de riesgos debe monitorear el contexto del programa de evaluación de riesgos y gestionar el cambio.
Los factores que pueden desencadenar la necesidad de cambios en el programa de evaluación de riesgos incluyen
cambios en:
a) Las necesidades, percepciones y expectativas de las partes interesadas y otras partes interesadas;
e) Las tendencias del sector y la industria, incluyendo la identificación de prácticas industriales aceptables;
43
ANSI / ASIS / RIMS RA.1-2015
5.7.3 Oportunidades de Mejora
El gerente de riesgos debe revisar la implementación general del programa de evaluación de riesgos para
identificar las áreas de mejora. La mejora continua y el mantenimiento del programa de evaluación de riesgos
deben reflejar los cambios en los riesgos, actividades y operación del programa que afectará el logro de los
objetivos. El gerente de riesgos debe asegurar que cualquier problema del programa de evaluación de riesgos y
sus causas principales haya sido identificado y que se hayan iniciado las medidas correctivas para prevenir o
minimizar la recurrencia. Cualquier cambio resultante de la implementación de las oportunidades de mejora que
impacte el programa continuo de evaluación de riesgos debe ser detallado por el LER al cliente o a la alta
dirección de la organización antes de la implementación para asegurar que ellos entiendan los beneficios
potenciales y cualquier cambio consecuente en el proceso.
El gerente de riesgos debe abordar los problemas relacionados con la mejora de la implementación del programa
de evaluación de riesgos y con la mejora de las competencias del asesor. Cuando sea apropiado, solicitar la
retroalimentación del cliente en cuanto a las posibles mejoras que se puedan considerar en el proceso de
evaluación de riesgos.
6.1 General
Esta sección se enfoca en las evaluaciones de riesgo individuales, tanto en su la preparación como en la
ejecución de éstas. Dependiendo del alcance de la evaluación, no todas las condiciones en esta sección aplican a
todas las evaluaciones de riesgo.
Las evaluaciones de riego pueden llevarse a cabo por un equipo interno, equipo externo o una combinación de
estos dependiendo de las necesidades y los recursos de la organización, así como de la amplitud de la
experiencia. Una evaluación de riesgos frecuentemente sigue el orden descrito en esta sección. Sin embargo, no
siempre es el caso dependiendo de las circunstancias de la evaluación, particularmente la definición de los
objetivos de la evaluación.
Los objetivos de la evaluación de riesgos individual deben comprenderse y documentarse claramente para
enfocarse en las tareas, recursos y metas de las actividades de evaluación. Todas las evaluaciones de riesgo
deben incluir un análisis y valoración de la eficiencia de las medidas de tratamiento y oportunidades de mejora
actuales. Los objetivos se establecen dentro del contexto del logro del negocio general de la organización y de
los objetivos de la gestión de riesgos. Los objetivos deben estar asociados a los valores fundamentales. Al definir
los objetivos de evaluaciones individuales, considere:
44
ANSI / ASIS / RIMS RA.1-2015
a) El origen de los objetivos de la organización;
b) Los eventos que puedan afectar el logro de los objetivos de toda la empresa (positiva o negativamente);
g) Las medidas actuales de control para administrar el riesgo y para proteger los activos tangibles e
intangibles;
Los objetivos de las evaluaciones individuales pueden estar ampliamente definidos para considerar la estrategia
de toda la empresa o los requisitos operacionales; o enfocados con más precisión para considerar los riesgos
relacionados con productos, actividades, proceso o funciones específicas. Los objetivos pueden considerar
problemas relacionados con la organización y/o toda o parte de su cadena de suministro (sin embargo, hoy en día
pocas organizaciones no son afectadas por su cadena de suministro y sus dependencias).
Las evaluaciones de riesgos individuales pueden identificar, analizar y valorar los riesgos relacionados con uno o
más problemas que contribuyen a una incertidumbre en el logro de los objetivos de la organización, incluyendo
(pero no limitándose a):
d) Obligaciones contractuales;
f) Diseño del producto, desarrollo, manufactura, distribución, uso y desecho (incluyendo servicios);
h) Marca y reputación;
k) Problemas de protección;
45
ANSI / ASIS / RIMS RA.1-2015
l) Eventos no deseados y perturbadores (ej., actividades criminales, desastres naturales, fallas tecnológicas,
mala administración);
Una vez definidos, los objetivos de la evaluación de riesgos individual debe escribirse en una frase concisa el
alcance, hipótesis, procedimientos y resultados.
Las partes interesadas deben identificarse como los creadores de riesgos y tomadores de riesgos internos y
externos. Una parte interesada es cualquier individuo u organización que esta directa o indirectamente
relacionado con o afectado por las decisiones y actividades de la organización. Identificar claramente las partes
interesadas internos y externos debe realizarse conjuntamente con la identificación de incertidumbres para lograr
los objetivos de la organización y la protección de los activos tangibles e intangibles.
a) Internos
iv. Administradores;
v. Gerencia (en toda la organización, así como las unidades organizacionales y los niveles de
funcionarios);
b) Externos
ii. Contratistas/vendedores/distribuidores;
iv. Competencia;
vii. Analistas;
46
ANSI / ASIS / RIMS RA.1-2015
viii. Sociedades civiles y organizaciones no-gubernamentales (ONGs);
Al establecer los parámetros de la evaluación de riesgos, considere las condiciones interrelacionadas en las
cuales el/los objetivos existen u ocurren y qué variables podrían haber. Establecer el contexto interno involucra
el entender cómo las siguientes condiciones interrelacionadas aplican al evaluar riesgos:
h) Políticas y procesos;
Los generadores de valor y la percepción de los tomadores de riesgo ylas partes interesadas internas y externas
deben ser analizados. Las variables a considerar al evaluar los riesgos que estas partes interesadas perciben
pueden incluir:
c) Oportunidades;
d) Plazos: Prontitud para comenzar (velocidad), cuando el evento/tendencia ocurre (desencadena), cuánto
tiempo tarda (duración) y la reanudación de operaciones (tiempo de recuperación);
47
ANSI / ASIS / RIMS RA.1-2015
e) Vulnerabilidad: susceptibilidad relacionada con la preparación, agilidad y adaptabilidad de la entidad;
j) Gobernabilidad;
l) Interdependencias;
m) Preparación; y
Las hipótesis son una parte integral de la evaluación y la resolución de problemas. Al llevar a cabo evaluaciones
de riesgos, las hipótesis (tanto propias como de otros) deben ser claramente definidas y documentadas. Una
evaluación de riesgos puede malinterpretar información importante si las hipótesis no se entienden con claridad.
Además, revisar los resultados de la evaluación de riesgos no es fiable si no están consideradas dentro del
contexto de las hipótesis hechas por el equipo de evaluación de riesgos. La interpretación de información y
evidencia por las diferentes partes interesadas se forma por sus hipótesis. Por lo tanto, las hipótesis deben
identificarse y establecerse con claridad, justificarse y documentarse.
Las hipótesis generalmente están ligadas a la perspectiva y punto de vista del individuo. Proporcionan una
ventana hacia cómo las personas que conducen la evaluación de riesgos perciben e interpretan la evidencia e
información recopilada. Las personas que conducen la evaluación de riesgos deben considerar:
b) ¿Cómo se impactan los resultados por las hipótesis subyacentes de la evaluación de riesgos?
g) ¿Las hipótesis sobre probabilidades están equilibradas con las consecuencias potenciales de alcanzar los
objetivos?
48
ANSI / ASIS / RIMS RA.1-2015
j) ¿Las hipótesis aun fueron validas ante la evidencia y la información recopilada cuando se realizaron
cuando se estableció el criterio de riesgo?
Identificar a un evento de riesgo potencial como un riesgo proporciona la base para crear un plan proactivo para
administrar el riesgo. Todas las hipótesis de riesgo deben ser monitoreadas y validadas a través del proyecto para
asegurar un entendimiento continuo de su origen.
El alcance puede ser para toda la empresa o limitado a una unidad organizacional, ubicación geográfica, flujo de
producto o una actividad, función o fuente de riesgo en particular. El alcance define las condiciones limitantes de
la evaluación de riesgos individual (lo que está dentro y fuera de la evaluación). Como con cualquier proyecto, el
alcance es una función de las necesidades, recursos, autoridades y del tiempo.
Se debe tener cuidado para no sobrecargar o carencia en el alcance de la evaluación de riesgos. Al definir las
limitantes de la evaluación, el alcance debe estar sincronizado con los objetivos y necesidades del cliente, así
como con los objetivos y alcance del programa general de la evaluación de riesgos. La carencia en el alcance
puede resultar en pasar por alto algunos objetivos, activos, partes interesadas y amenazas organizacionales. La
carencia en el alcance puede resultar en una visión limitada respecto a la interacción de las fuentes del riesgo
(ej., la interacción cercana entre la seguridad física y cibernética al evaluar los objetivos organizacionales
relacionados con la seguridad de la información). La sobrecarga del alcance puede resultar en una pérdida de
tiempo y recursos sin poder proporcionar la suficiente atención a las necesidades del cliente.
Una declaración del alcance debe estar claramente preparada, definiendo las limitantes de la evaluación de
riesgos. Esta debe incluir una declaración de trabajo resaltando cuáles son las disciplinas organizacionales,
físicas, operacionales, lógicas y de riesgo incluidas en las limitantes para delinear detalladamente lo que está
dentro y lo que está fuera de la evaluación de riesgos.
El LER debe obtener del cliente una verificación y permiso y acceso para llevar a cabo la evaluación de riesgos
dentro de los límites del alcance aprobado.
Durante el transcurso de la evaluación de riesgos, el LER debe notificar al cliente si existes algunas condiciones
significativas fuera del alcance de la evaluación que puedan impactar un riesgo de la organización o formar uno
adicional.
Antes de comenzar cualquier actividad de evaluación de riesgos in-situ, el LER debe obtener la autorización y
apoyo apropiados del cliente y/o alta dirección en una política de declaración normativa. La política de
declaración normativa debe incluir declaraciones de:
c) Autorización clara para llevar a cabo la evaluación dentro de los límites establecidos en el alcance;
49
ANSI / ASIS / RIMS RA.1-2015
e) Compromiso del cliente y/o alta dirección para comprometerse a establecer el criterio y revisar los
resultados;
f) Compromiso de las personas que trabajan a nombre de la organización para compartir información con
los asesores; y
g) Compromiso del cliente para comunicar a las personas que trabajar a su nombre dentro de los límites
establecidos en el alcance, la importancia de la participación en la evaluación de riesgos.
El LER debe obtener los recursos apropiados del cliente y/o alta dirección para llevar a cabo las actividades de la
evaluación de riesgos. Si el LER determina que no existen el suficiente tiempo y recursos asignados para llevar a
cabo la evaluación, se le debe notificar al cliente. Si no se puedes asegurar más recursos, entonces los objetivos y
el alcance de la evaluación deben modificarse en consecuencia con el acuerdo del cliente.
Un análisis de brechas es una técnica que puede utilizarse para determinar qué pasos se tengan que tomar para
mejorar la capacidad de la organización para llevar a cabo una evaluación de riesgos para moverse de un estado
actual a un deseado estado futuro. También conocido como análisis de brechas de necesidades, análisis de
necesidades y evaluación de necesidades, el análisis de brechas busca contestar las preguntas: “¿Dónde
estamos?” – el estado actual; y “¿dónde queremos estar?” – el estado futuro. El análisis de brechas incluye una
valoración de la idoneidad del proceso actual para evaluar el riesgo y si es suficiente para administrar los riesgos.
El análisis de brechas también puede utilizarse dentro de los límites de la evaluación de riesgos individual.
1. Tomar nota de los factores actuales disponibles, tales como competenciaes, competencias, tiempo y
niveles de desempeño dada la situación actual de recursos (“lo que es”);
2. Enlistar los factores de éxito necesarios para lograr los objetivos futuros deseados (“lo que debe ser”); y
3. Resaltar las brechas – esto es, la cantidad por la cual la necesidad excede los recursos – lo que existe y
los que las brechas puedan necesitar para lograr ser exitosas (“qué considerar”).
Al llevar a cabo una evaluación de riesgos individual, el LER debe revisar los requisitos legales entre otros
mencionados en la sección 5.4.2, relacionados con el objetivo y alcance de la evaluación individual.
50
ANSI / ASIS / RIMS RA.1-2015
6.3.3.1 General: Objetivos, Metas y Cronograma
El tiempo es un reto para poder lograr los objetivos de llevar a cabo las evaluaciones de riesgo. El LER necesita
desarrollar una estrategia de evaluación, o “camino” para recolectar información de forma representativa, lógica
y metódica. Es necesaria una planeación efectiva para hacer un uso eficiente del tiempo para proporcionar una
evaluación de riesgos informativa. Dependiendo de los resultados deseados de las evaluaciones de riesgos y si el
alcance es para toda la empresa o limitado a un parea específica, proceso o proyecto, se deben establecer metas
razonables y un cronograma dentro de las restricciones de los recursos y fondos disponibles.
Un portafolio de riesgo de una entidad es una colección completa y rango de incertidumbres que afectan al
futuro de la organización. Los portafolios de riesgo a veces se conocen como “universo de riesgo”. En esencia,
es un portafolio de “incertidumbres” basados en el contexto interno y externo, cronograma y los objetivos
estratégicos y operacionales de la organización. Es un principio generalmente aceptado, que el portafolio de
riesgo está diseñado de acuerdo al apetito de riesgo, tolerancias de riesgo, cronogramas y objetivos de retorno de
la entidad. El valor esperado de cada objetivo puede influenciar la relación riesgo/recompensa para el portafolio
completo. El impacto potencial de cada riesgo puede influenciar a otros riesgos al igual que a los objetivos
generales de la estrategia planeada. Algunos riesgos pueden cubrir naturalmente a otros riesgos lo cual puede
alterar la respuesta general/asignación de control.
En el ejemplo dado en la Figura 5, el portafolio de riesgo para el contexto interno se categoriza en tres áreas para
las cuales la organización puede tener ciertos objetivos: estratégicos, operacionales y financieros. Se usa una
cuarta categoría para el contexto externo. Aunque este tipo de formato de diseño no aborda el rango o impacto de
los riesgos, ni la interrelación de los riesgos dentro del portafolio de riesgo, proporciona un enfoque para que el
equipo de evaluación de riesgos considere que tan ancho y profundo debe ser la penetración de las evaluaciones
dados los objetivos generales, metas y cronogramas contemplados.
51
ANSI / ASIS / RIMS RA.1-2015
En este tipo de diseño, puede haber sub-riesgos dentro de cada una de las subcategorías. Por ejemplo, bajo
Operaciones/Infraestructura, uno podría incluir Información Tecnológica, la cual puede tener otro sub-riesgo
como la infraestructura de tecnología, bajo procesos con sub-riesgos como disponibilidad de datos, integridad de
datos, datos/privacidad, desarrollo de sistemas e implementación de sistemas y bajo Talento con sub-riesgos
como requisitos de competencia.
Los métodos, definiciones y metas de la evaluación de riesgos pueden variar ampliamente dependiendo si la
técnica administrativa se está utilizando dentro del contexto operacional, del proyecto, estratégico u otro
ambiente de riesgo administrativo.
Del mismo modo, los resultados y soluciones pueden diferir dependiendo si las evaluaciones de riesgo se están
usando en entornos operacionales, del proyecto o estratégicos (vea Figura 6).
52
ANSI / ASIS / RIMS RA.1-2015
Riesgo Riesgo del Riesgo
Operacional Proyecto Estratégico
Tiempo
¿Qué RESULTADO queremos Contracción del
Meta lograr y asegurar?
Ganancias Presupuesto
crecimiento
Alcance
Adaptado de la presentación de la Conferencia RIMS 2012 por Joanna Makonaski. Copyright © 2012. Risk and Insurance
Management Society, Inc. Todos los derechos reservados.
Por ejemplo, las evaluaciones de riesgo operacional pueden limitarse a incertidumbres asociadas con las
operaciones existentes y los planes operacionales – los activos, procesos, personas y sistemas instalados – para
entregar un resultado en particular de las operaciones de la organización, como las ganancias planeadas. Las
evaluaciones de riesgo del proyecto normalmente se usan para evaluar las incertidumbres y consecuencias
potenciales relacionadas con el/los resultados esperados de un proyecto o iniciativa en particular, como la
entrega de un proyecto con el tiempo, presupuesto y alcance establecidos. Por otro lado, las evaluaciones de
riesgo estratégicas, se enfocan en una deliberación y acciones más amplias sobre las incertidumbres y
oportunidades sin explorar que afecten a la estrategia planeada y la ejecución de la estrategia de la organización,
como el crecimiento (ej., abriendo nuevo mercado) o contracción de objetivos (ej., eliminar alguna línea de
producto o servicio).
Cada método de evaluación tiene sus ventajas y desventajas. Al seleccionar una metodología en particular, los
asesores primero necesitan considerar la meta y resultado de objetivos que la organización busca, visualizar los
riesgos como desviaciones del resultado (ya sea positivas o negativas) antes de valorar las soluciones disponibles
y recomendar las acciones más adecuadas para el perfil de riesgos general (posición) y nivel de riesgo deseado
de la entidad.
53
ANSI / ASIS / RIMS RA.1-2015
6.3.4 Recopilación de Datos
La información y datos pueden recopilarse de varias fuentes, incluyendo (pero no limitados a):
e) Expertos en la materia;
f) Evidencia física; y
El LER, consultando con los miembros del equipo de evaluación, debe determinar qué tanta información se
necesita recopilar. Al desarrollar el plan de muestreo, es importante mantener en mente que la evaluación intenta
encontrar las debilidades sistemáticas y oportunidades de mejora y no solo las incidencias aisladas. El muestro
examina los elementos seleccionados y de la población en general. El método de muestreo debe definirse y
documentarse utilizando la práctica y procedimientos de muestreo apropiados para los objetivos de recolección
de datos. Si se colectan datos contradictorios o se identifican posibles problemas sistemáticos, el tamaño del
muestreo debe incrementarse para determinar si hay una tendencia o un patrón. Vea el Anexo C para más
información sobre muestreo.
La recopilación de datos es el primer paso en el proceso de evaluación de riesgos para encontrar, reconocer y
registrar riesgos. El propósito de la recopilación de datos es identificar qué podría pasar o qué situaciones
podrían existir que afecten el logro de los objetivos del sistema u organización. El proceso incluye la
identificación de las causas y fuentes del riesgo, eventos, situaciones o circunstancias en las cuales pueden tener
un impacto material sobre los objetivos y la naturaleza del impacto. Estos métodos pueden incluir:
b) Enfoques sistemáticos de equipo, donde un equipo de expertos sigue un proceso sistemático para
provocar riesgos por medio de un conjunto estructurado de instrucciones o preguntas;
54
ANSI / ASIS / RIMS RA.1-2015
c) Técnicas de razonamiento inductivo como escaneo, análisis de escenario, indicador(es) principales de
desempeño y diagramas lógicos de árbol de evento; y
d) Otros métodos que no formen parte de uno de los métodos mencionados arriba.
Se pueden usar varias técnicas para mejorar la precisión e integridad de los datos recopilados con propósito de la
evaluación. Independientemente de las técnicas actuales empleadas, es importante que se reconozcan los factores
humanos y organizacionales en el proceso general de la evaluación de riesgos.
Las interacciones durante el transcurso de la evaluación entre el equipo de evaluación y aquellos que mejor
entienden los riesgos que enfrenta la organización pueden tener diferentes formas. Al identificar y valorar los
riesgos que son relevantes e importantes para los objetivos de la organización, el equipo de evaluación puede
recopilar datos explorando procedimientos, procesos, actividades, tecnologías (incluyendo sistemas de
información) y la interacción entre el desempeño humano y tecnológico. La recopilación de datos puede lograrse
a través de contacto directo o a través de una revisión indirecta.
Contacto directo – entre las partes interesadas y el equipo de evaluación, tales como:
a) Llevando a cabo entrevistas (en persona, telefónicas o en línea) incluyendo el llenado de encuestas y
cuestionarios con la participación de partes interesadas;
c) Sesiones de grupo para tormenta de ideas, involucrando la estimulación y fomento de una conversación
fluida en un grupo de personas con conocimiento para identificar los modos de falla potenciales y los
riesgos asociados;
e) Escenario de codesarrollo; y
ii. Análisis de escenario – un proceso que utiliza modelos descriptivos para determinar y analizar
posibles eventos que pueden ocurrir en el futuro y sus resultados potenciales. Puede utilizarse
para identificar riesgos al considerar futuros desarrollos posibles y al explorar sus implicaciones.
Se pueden usar un conjunto de escenarios que reflejan (por ejemplo) el ‘mejor caso’, ‘peor caso’
y ‘caso esperado’ para analizar las consecuencias potenciales y sus probabilidades para cada uno
de los escenarios como una forma de análisis sensitivo al analizar un riesgo.
iii. Ejercitar (ej., sobremesa, juegos de guerra, equipo rojo y trayectoria de desarrollo adversaria).
55
ANSI / ASIS / RIMS RA.1-2015
Revisión indirecta – revisión de información y documentación disponible por el equipo de evaluación, como:
a) Llevando a cabo revisiones del repositorio de documentos (ej., datos perdidos y registros pasados por
alto, reportes de satisfacción del cliente, auditoria interna, seguridad y reportes administrativos);
h) Fuentes periodísticas.
Los métodos utilizados para analizar riesgos pueden ser cualitativos, semi-cuantitativos o cuantitativos. El grado
de detalle requerido dependerá de la aplicación en particular, la disponibilidad de información fiable y las
necesidades de la toma de decisión de la organización. Algunos métodos y el grado de detalle del análisis pueden
ser obligatorios por ley. Fuentes adicionales de discusión de la identificación de riesgo pueden encontrarse en la
sección 6.4.4 Implementación.
Al llevar a cabo la evaluación de riesgo, es importante tomar en consideración que cierta información y medidas
están sujetas a incertidumbres. Para poder sacar conclusiones válidas, el error debe entenderse, indicarse y
manejarse apropiadamente. El análisis de error toma en cuenta el tipo y cantidad de error que puede ocurrir. Se
debe incluir un indicador de qué tan precisos son los resultados y nivel de incertidumbre junto con las
conclusiones de la evaluación de riesgos.
Los errores surgen de mediciones y muestreo de imprecisiones al igual que de la variabilidad inherente de
factores naturales, humanos, físicos, sociales y económicos complejos, algunos de los cuales, sujetos a
influencias aleatorias. Es importante diferenciar cuando las conclusiones se basan en los objetivos o en las
probabilidades subjetivas y/o si la variabilidad es el resultado de las fluctuaciones inherentes. Cuando los
eventos se describen subjetivamente, se deben basar en la mejor información, perspectiva y juicio disponibles.
El muestreo de errores puede ser sistemático o aleatorio. Los errores sistemáticos son las incertidumbres que
tienden a cambiar todas las mediciones de forma sistemática de tal forma que su valor significativo se desplace.
Esto puede ser por cosas como cuestionarios predispuestos o nociones preconcebidas de la persona llevando a
cabo las mediciones. Los errores aleatorios son imprecisiones que fluctúan de una medición a la siguiente.
Producen resultados donde el valor significativo varía. Pueden ocurrir por una variedad de razones incluyendo la
falta de enfoque en las preguntas, definición imprecisa de la terminología o la falta de sensibilidad en el análisis
de modelos.
56
ANSI / ASIS / RIMS RA.1-2015
Existen muchos métodos estadísticos para cuantificar el error. La clave para entender la fiabilidad y nivel de
confianza en los resultados de la evaluación de riesgos es entender claramente las fuentes del error y el tamaño
de su influencia en las conclusiones.
El análisis de sensibilidad es una técnica sistemática utilizada para entender cómo las estimaciones del riesgo y
las decisiones basadas en el riesgo dependen de la variabilidad e incertidumbre en los factores que contribuyen al
riesgo. La sensibilidad generalmente se refiere a la variación en el rendimiento de un modelo de análisis de
riesgo con respecto al cambio en los valores de entrada del modelo. El análisis de sensibilidad intenta
proporcionar una clasificación de las entradas del modelo basadas en sus contribuciones relativas a la
variabilidad e incertidumbre del rendimiento del modelo.
Hay muchos métodos analíticos que pueden referenciarse como análisis de sensibilidad, algunos de los cuales
son muy simples e intuitivos. En su versión más simple, el asesor puede comparar los resultados del enfoque
analítico usando diferentes hipótesis y valores de entrada. Valores el nivel de incertidumbre al usar un estimado
creíble para cada cálculo. El análisis de sensibilidad también puede involucrar más técnicas matemáticas y
estadísticas complejas para determinar que factores en el modelo de análisis de riesgos contribuye más con la
varianza en los estimados del riesgo. La complejidad generalmente surge por el hecho de que múltiples fuentes
de variabilidad e incertidumbre influencian al estimado al mismo tiempo, en lugar de actuar independientemente.
b) Puede que las hipótesis y valores anteriores no apliquen con las condiciones cambiantes;
c) El rendimiento del modelo puede ser muy sensible a ciertos parámetros e hipótesis(particularmente
estimaciones de probabilidad subjetiva);
d) Los parámetros del modelo pueden describir mejor unos riesgos que otros; y
Se debe mantener en mente que los modelos de análisis de riesgo están basados en ciertas hipótesis y premisas;
por lo tanto, el análisis solo es tan preciso como la fiabilidad de las variables y parámetros utilizados.
Las pruebas de estrés son una forma de simulación utilizados para determinar las reacciones a diferentes
situaciones. Las pruebas de estrés también se utilizan para medir qué tan cierto es que los factores estresantes
afecten a la compañía o industria. El análisis computacional se usa para probar los escenarios hipotéticos en las
pruebas de estrés para valorar el efecto de la incertidumbre sobre los sistemas en un amplio rango de situaciones.
Típicamente se usan para valorar el rango de posibles resultados y la frecuencia relativa de los valores en dicho
rango para cuantificar las mediciones de un sistema, tal como el costo, duración, rendimiento, demanda y
medidas similares. Estas simulaciones pueden utilizarse para dos propósitos diferentes:
57
ANSI / ASIS / RIMS RA.1-2015
b) Cálculos probabilísticos cuando las técnicas analíticas no funcionan.
En general, las simulaciones de análisis computacional se usan para evaluar, ya sea la distribución completa de
los resultados que puedan surgir o las medidas claves de una distribución tales como:
b) El valor de un resultado del cual los dueños del problema tienen un cierto nivel de confianza en que no
se exceda o se venza, un costo de que haya menos del 10% de chance de excederse, o una duración que
tiene 80% de certidumbre para excederse. Un análisis de la relación entre las entradas y salidas puede
esclarecer el significado relativo de los factores a trabajar e identificar las metas útiles para esforzarse a
influenciar la incertidumbre en el resultado.
La prueba de desempeño es diferente a la prueba de estrés. La prueba de desempeño se lleva a cabo dentro del
ambiente “normal” de operación, mientras que la prueba de estrés ocurre a la máxima capacidad y fuera de los
parámetros “normales”.
Antes de realizar la evaluación de riesgos, el LER debe obtener la documentación inicial sobre la organización a
ser evaluada para preparar las actividades de la evaluación. El LER y el equipo de evaluación deben revisar los
documentos relevantes para determinar las actividades de la evaluación de riesgos y para entender mejor al
cliente y la organización. Esto incluye documentos de política organizacional, declaración de principios, perfiles
de la compañía, estructura organizacional, sistema(s) administrativos y prácticas industriales. También incluye
información relacionada con los productos, servicios, procesos y actividades, al igual que el entendimiento del
alcance geográfico, interacciones y dependencias.
El LER debe obtener cualquier descripción del sistema de administración de riesgos, incluyendo manuales, para
que los estudie el equipo. Los reportes anteriores de evaluación de riesgos también son útiles pero no deben
predisponerse con los esfuerzos de la evaluación actual. Se necesitan abordar las preocupaciones del propietario
y acuerdos de confidencialidad. La revisión de documentos debe examinar el alcance y lineamientos de política
del sistema de administración de riesgos del cliente para confirmar la consistencia con los objetivos, criterio y
alcance de la evaluación de riesgos. Cualquier inconsistencia debe aclararse con el cliente.
Se debe obtener la suficiente documentación al preparar la evaluación de riesgos para determinar si el sistema de
administración de riesgos está diseñado adecuadamente y si existe alguna brecha significativa que podría indicar
que el sistema de administración de riesgos no está completo ni mantenido correctamente.
El LER prepara el plan de evaluación de riesgos basándose en los objetivos, alcance y criterio del programa de
evaluación de riesgos y la documentación e información proporcionada por el cliente. El plan de evaluación de
riesgos debe ser revisado y aceptado por el cliente de acuerdo con las estipulaciones del programa de evaluación
de riesgos. El plan de evaluación de riesgos debe presentarse al cliente con antelación a las actividades in-situ.
Cualquier problema que surja por parte del cliente con el plan de evaluación de riesgos debe resolverse entre el
LER y el cliente.
58
ANSI / ASIS / RIMS RA.1-2015
a) Objetivos y alcance de la evaluación de riesgos;
d) El cliente, representante administrativo, guías, las secciones, instalaciones y funciones a ser evaluadas;
e) Miembros del equipo de evaluación (ej., LER, asesores, expertos técnicos, observadores), sus
competencias, roles y responsabilidades;
a) Proporcionar la base para el acuerdo con el cliente para llevar a cabo la evaluación de riesgos;
b) Considerar el efecto que las actividades de la evaluación de riesgos podrían tener en el cliente y sus
funciones;
d) Tomar en cuenta las competenciaes y composición del equipo de evaluación (incluyendo si se requieren
expertos técnicos o de seguridad); y
e) Delinear los métodos y prácticas apropiadas de evaluación (ej., técnicas de muestreo y de entrevista).
59
ANSI / ASIS / RIMS RA.1-2015
La complejidad y alcance de la evaluación de riesgos y el nivel de confianza para lograr objetivos de la
evaluación de riesgos, determina la cantidad de detalle que se requiere en el plan de evaluación de riesgos. El
alcance de la evaluación de riesgos podría diferir entre las evaluación inicial y subsecuente. El plan de
evaluación de riesgos debe incluir espacio de flexibilidad para permitir cambios con el progreso de la evaluación
de riesgos.
Las sesiones informativas del equipo de evaluación se realizan para asegurar que se logren los objetivos de la
evaluación de riesgos. Esto se puede realizar al asignar el trabajo y decidir sobre posibles enmiendas. El LER
determina la frecuencia de las sesiones informativas del equipo de evaluación.
Durante toda la evaluación de riesgos, el equipo de evaluación debe estar alertas sobre circunstancias de riesgos
cambiantes o nuevas. Los asesores deben notificar al LER quién debe consultar con los miembros del equipo
asesor para abordar estos cambios para poder lograr los objetivos de la evaluación de riesgos. El LER debe
comunicar al cliente cualquier riesgo significativo identificado (especialmente amenazas a la, seguridad y
protección del equipo de evaluación y la organización del cliente), así como cualquier cambio significativo al
plan de evaluación de riesgos.
El LER debe determinar la viabilidad del logro de objetivos de la evaluación de riesgos. Si la evaluación de
riesgos se considera viable, debe haber una confianza razonable en que los objetivos de la evaluación de riesgos
se puedan realizar. Si la evaluación no es viable, el LER le debe notificar al gerente de riesgos, cliente y
administración organizacional. La preparación para la evaluación de riesgos debe suspenderse hasta que todas
las partes estén de acuerdo con los cambios subsecuentes.
En el alcance y objetivos ya definidos, los factores que contribuyen a la viabilidad de la evaluación de riesgos
son:
c) Disponibilidad del personal del equipo de evaluación con la mezcla de características, competenciaes y
acreditación necesaria;
f) Gastos logísticos; y
g) Requisitos de idioma.
60
ANSI / ASIS / RIMS RA.1-2015
6.3.9 Documentación y Control de Documentos
La organización debe establecer y mantener registros para sustentar las actividades de la evaluación de riesgos.
Toda la documentación de la evaluación debe indicar cuándo fue realizada, producida, periodo de tiempo
transcurrido, fechas de cualquier revisión o apéndices y los asesores quienes contribuyeron, produjeron y
autorizaciones del documento.
h) Reportes de incidentes;
o) Selección de personal;
p) Registros de entrenamiento;
La organización debe establecer, implementar y mantener los procedimientos para proteger la sensibilidad,
confidencialidad e integridad de los registros incluyendo el acceso, identificación, almacenamiento, protección,
recuperación, retención y eliminación de los registros. Los registros deben guardarse por el periodo mínimo
designado o como se requiera o se limite por la ley. La organización debe establecer, implementar y mantener
procedimientos para:
61
ANSI / ASIS / RIMS RA.1-2015
b) Proteger la sensibilidad y confidencialidad de la información;
g) Asegurar que los documentos de origen externo sean identificados y se controle su distribución;
Las organizaciones deben asegurar la integridad de los documentos al realizarles copias de seguridad accesibles
solo al personal autorizado y protegerlos de la divulgación, modificación, eliminación, daño, deterioro o pérdida
no autorizada.
Los miembros del equipo de evaluación preparan los documentos de trabajo para facilitar y registrar su
investigación y reportar sus resultados. Los documentos de trabajo proporcionan un plan de trabajo flexible para
llevar a cabo las actividades de la evaluación y registrar las observaciones de las evidenciaschecklist de la
evaluación de riesgos. Los documentos de trabajo deben mostrar qué se ha valorado, cómo se ha valorado, qué
se examinó y qué se observó. Los documentos de trabajo pueden incluir checklist, planeas de muestreo de
evaluación y formularios para registrar la información, incluyendo hallazgos de la evaluación y registros de las
juntas.
Los documentos de trabajo bien preparados pueden ayudar a mejorar la administración del tiempo de la
evaluación. El uso de listas de control, formularios, mapas de proceso y hojas de registro deben proporcionar una
estructura para las diversas actividades de evaluación. Sin embargo, el uso de checklist no debe restringir lo que
un asesor necesita hacer y debe ser flexible para considerar cambios que puedan realizarse durante la evaluación.
La organización y el cliente deben estar al tanto, a través del LER, que el uso de checklist no debe restringir lo
que un asesor necesita hacer.
Al desarrollar los documentos de trabajo, los procedimientos deben ser especificados en cuanto a su
almacenamiento, acceso y la necesidad de proteger la información confidencial y empresarial. La integridad de
la información debe estar segura en todo momento.
a) Adecuarse al usuario;
62
ANSI / ASIS / RIMS RA.1-2015
b) Indicar la información de antecedentes necesarios;
g) Incluir espacio en el documento para las muestras tomadas, revisiones al documento, así como registro
de comentarios y observaciones;
Un ejemplo de una checklist de una evaluación es la construcción de una matriz, enlistando los riesgos
específicos que el asesor desea verificar para evaluar y tratar. En las columnas, el asesor puede registrar la
evidencia relacionada con el criterio con notas adicionales:
c) Nivel de criticidad;
d) Nivel de amenaza;
e) Nivel de vulnerabilidad;
f) Nivel de riesgo;
g) Documentos;
i) Conclusiones; y
j) Comentarios.
Las checklist deben ser revisadas antes de cada evaluación para determinar si aún siguen siendo relevantes y
apropiadas. Al preparar las checklist, deben diseñarse para:
b) Proporcionar estructura;
63
ANSI / ASIS / RIMS RA.1-2015
f) Reducir la carga de trabajo durante la evaluación;
Las checklist deben volverse a examinar antes de cada evaluación para valorar si son apropiadas para el trabajo
en mano.
6.4.2 Asignando Roles y Facilitando la Comunicación Entre los Miembros del Equipo
El LER debe de asignar las evaluación específicas basándose en la competencia de cada asesor y en la
complejidad de las tareas de la evaluación de riesgos. Debe haber un balance en el equipo de evaluación en
cuanto al conocimiento técnico, legal, industrial, administrativo y sobre administración de riesgos. El LER
debedebe asignar y comunicar las responsabilidades de la evaluación de riesgos antes de su comienzo.
Podrían ser necesarios los canales de comunicación formales entre el equipo de evaluación, el cliente y agentes
externos (donde aplique) durante la evaluación. Especialmente podría ser necesario cuando los requisitos legales
demanden un reporte mandatorio sobre ciertas violaciones de riesgo y normativas.
La comunicación dentro del equipo de evaluación debe ocurrir con regularidad para evaluar el progreso de la
evaluación de riesgos, reasignar trabajo entre los equipos de evaluación e intercambiar información como sea
necesario. La frecuencia de la comunicación debedebe ser por lo menos diaria o basada en la complejidad de la
evaluación y las necesidades del equipo de evaluación. Las sesiones informativas confirman las observaciones
de la evaluación del día y le proporcionan al LER la oportunidad de aclarar la evidencia de los miembros del
equipo de evaluación y sus interpretaciones. Eso es particularmente importante en casos donde los miembros del
equipo no están in-situ hasta el final de la evaluación. Si existe alguna preocupación sobre un problema fuera del
alcance de la evaluación, se debedebe de anotar y reportar al LER. Queda a la discreción del LER comunicar las
preocupaciones al cliente.
El progreso de la evaluación y cualquier preocupación sobre la evaluación debedeben ser comunicados por el
LER al cliente, preferentemente a diario, o como fuera necesario. La finalidad de las actualizaciones es para:
El LER debe reportar y proporcionar al cliente una explicación en caso de que la evidencia de la evaluación
sugiera que los objetivos de la evaluación sean inalcanzables. El LER y el cliente deben determinar la acción
apropiada (ej., modificar el plan de evaluación, cambiar el alcance u objetivo de la evaluación y suspender la
evaluación). La necesidad de un cambio en el plan de evaluación podría volverse evidente con el avance de la
evaluación y en su caso, se debe de revisar y aprobar por el cliente y gerente de riesgos.
64
ANSI / ASIS / RIMS RA.1-2015
La junta de pre-evaluación normalmente inicia con la fase de recolección de datos en el lugar de la evaluación de
riesgos. El propósito de la junta de pre-evaluación es para:
a) Confirmar el plan de evaluación de riesgos – revisar el propósito, alcance y esquema del proceso y
métodos de evaluación;
g) Proporcionar una oportunidad para que el cliente haga preguntas sobre la evaluación.
El LER conduce la junta de pre-evaluación. Un miembro designado del equipo de evaluación debe tomar
asistencia y las minutas. Se debe de realizar con la gerencia del cliente. Así mismo, aquellos responsables de los
servicios, funciones o procesos siendo evaluados podrían estar presenten.
La junta de pre-evaluación debe detallarse como sea necesario para asegurar que todos los presentes entiendan el
proceso de evaluación. En la junta de pre-evaluación es donde, por lo menos se explica la naturaleza de la
evaluación. La formalidad de la junta depende del tipo de evaluación que se lleve a cabo.
Los siguientes elementos son apropiados para la junta de pre-evaluación (donde aplique):
a) La presentación de los miembros del equipo de evaluación a los representantes del cliente, incluyendo a
los especialistas, observadores y guías. También se debedebe de explicar cada uno de sus roles;
vii. Un calendario general de la evaluación, mostrando temas, asesores y tiempos aproximados para
terminar.
65
ANSI / ASIS / RIMS RA.1-2015
d) Informar al cliente cómo se van a reportar los hallazgos de la evaluación de riesgos, incluyendo el
método para calificar las no conformidades y el método para presentar los hallazgos de la evaluación;
i) Dar información sobre los sistemas de retroalimentación del cliente sobre los resultados de la
evaluación, así como el sistema para quejas y apelaciones.
La junta de pre-evaluación marca la pauta para la evaluación y establece una relación entre el cliente y el equipo
de evaluación. El LER debe preparar una agenda para a junta de pre-evaluación y proyectar tanto conocimiento
como confianza en las actividades de la evaluación. Los miembros del equipo de evaluación deben participar en
la junta solo si así se los pide el LER.
6.4.4 Implementación
La identificación del riesgo determina las fuentes y naturaleza del riesgo y el efecto de incertidumbre en lograr
los objetivos de la organización. Un proceso minucioso de identificación de riesgo considerará la infinidad de
incertidumbres que podrían afectar a los objetivos de la organización. Esto podría incluir eventos naturales,
intencionales e involuntarios como eventos hostiles, criminales, técnicos, institucionales, logísticos, lógicos,
demográficos, ambientales o socio/políticos. Es más que solo preguntar “qué puede salir mal” sino también
incluye el preguntar qué riegos podrían aplicar como una oportunidad.
Mientras que diferentes disciplinas de riesgo usan un rango de técnicas para identificar la naturaleza y fuentes
del riesgo, todas deben contener los siguientes componentes junto con el entendimiento de interacción entre
estos componentes para una identificación y caracterización comprehensiva de los riesgos:
La identificación del riesgo puede llevarse a cabo utilizando análisis cualitativos o cuantitativos o una
combinación de ambas. Sin importar el método de evaluación, se debe señalar las hipótesis, nivel de precisión en
la estimación de parámetros y la fiabilidad en la información utilizada.
La identificación del riesgo es parte de un buen negocio y estrategia de administración de riesgos. Por lo tanto, al
llevar a cabo la identificación del riesgo, el análisis FODA (fortalezas, oportunidades, debilidades y amenazas)
del negocio debe de consultarse como una aportación clave.
66
ANSI / ASIS / RIMS RA.1-2015
Identificar los riesgos debe contestar a las siguientes preguntas:
• Individuos o grupos asociados con la amenaza, control del riesgo y/o que el riesgo los impacte.
Las fuentes de información relacionadas con el proceso de identificación del riesgo incluyen (pero no están
limitadas a):
a) Análisis FODA;
c) Inteligencia;
d) Advertencias de amenaza;
f) Fluctuaciones significativas en la disponibilidad y precio de la canasta básica, tales como comida, agua y
recursos naturales;
67
ANSI / ASIS / RIMS RA.1-2015
m) Datos de eventos externos de riesgo y de crimen;
o) Órganos policiales;
p) Agencias gubernamentales/internacionales;
q) Asociaciones industriales;
s) Sistemas internos; y
Los métodos para solicitar aportaciones incluyen (pero no están limitados a):
a) Realizando un ejercicio;
b) Evaluaciones de escenarios;
c) Cuestionarios;
g) Discusiones en grupo;
h) Talleres;
Al llevar a cabo las actividades de identificación del riesgo, se debe señalar que algunos riesgos son continuos y
algunos varían con el tiempo. Así mismo, los niveles de amenaza, oportunidad, vulnerabilidad y criticidad
podrían depender del tiempo. A veces, las dependencias que afectarán la consideración del nivel de riesgo y la
necesidad de tratamiento incluyen:
a) Duración de un evento;
d) Hora del día (ej., periodos de descanso, horario de trabajo, jornada laboral);
68
ANSI / ASIS / RIMS RA.1-2015
f) Contexto del tiempo en la cadena de suministros; y
Generalmente el paso preliminar es identificar y valorar las fuentes de incertidumbre para lograr los objetivos
organizacionales. La caracterización de activos identifica qué activos podrían estar en riesgo, cuál es su
criticidad en cuanto a los objetivos organizacionales y cuáles son las consecuencias potenciales de aquellos
activos siendo comprometidos. Preguntas que se deben responder:
a) ¿Cuáles son las actividades, funciones y activos que contribuyen al logro de los objetivos de la
organización?
b) ¿Cuál es la cadena de valor de la organización y cuáles son las actividades, funciones y activos que
contribuyen a los generadores del valor crítico?
c) ¿Cuál es el valor tangible e intangible del activo para la organización y su cadena de suministro?
d) ¿Cuáles son las dependencias de las actividades y funciones de la organización sobre el activo ?
La pérdida de los activos más valiosos o la interrupción del valor crítico que genera las actividades y funciones
podrían resultar en un daño inaceptable para la organización y/o la interrupción de las actividades y funciones
dependientes. El valor de un bien frecuentemente se mide en relación de más de una consecuencia. Por ejemplo,
un daño menor a la gente podría resultar en un daño mayor a la marca y su reputación. Así mismo, al caracterizar
la actividad, función o activo , se debe de considerar su valor relativo a la organización y su cadena de
suministro, así como su valor potencial para un adversario o competidor.
Se deben considerar todas las actividades, funciones y activos que contribuyen al logro de los objetivos de la
organización y que están dentro del alcance de la evaluación de riesgos. Los activos tangibles e intangibles
incluyen (pero no están limitados a):
f) Sistemas de transporte;
69
ANSI / ASIS / RIMS RA.1-2015
i) Marca, imagen y reputación.
Después de identificar las actividades, funciones y activos que contribuyen al logro de objetivos de la
organización, habrá que considerar para cada actividad, función y bien:
c) Severidad y lapsos de las consecuencias si las actividades, funciones o activos se perdieras u ofrecieran
una oportunidad importante;
Las fuentes de riesgo y las amenazas y oportunidades relacionadas deben identificarse y analizarse una vez que
se haya identificado la prioridad y criticidad de las actividades, funciones y activos. Esto proporcionará una base
para entender qué eventos de riesgo podrían contribuir a una incertidumbre en el logro de los objetivos de la
organización. El proceso debe considerar tanto las amenazas como las oportunidades potenciales.
El análisis de amenazas considera los impactos, tiempos y factores que podrían prevenir el logro de los
objetivos. Los eventos involuntarios buscan las posibilidades del error humano. Las amenazas pueden ser
intencionales e involuntarias y podrían ocurrir por errores de comisión u omisión.
El análisis de oportunidades generalmente busca el potencial de cambio que una organización podría sufrir para
mejorar sus resultados generales. Las oportunidades podrían aumentar la demanda general o disminuir los
niveles de precios para sus productos y servicios, ampliar o restringir su oferta, así como incrementar la
eficiencia a través de reducciones de gastos y mejoras operacionales. Cualquiera que sea la meta, el
comprometerse con un análisis de oportunidades ayuda a proporcionar un entendimiento sobre qué efectos
potenciales, positivos y negativos, son más probables de ocurrir si se toman diferentes decisiones.
El análisis de amenazas y oportunidades puede llevarse a cabo utilizando ya sea un enfoque cuantitativo,
cualitativo o una combinación de ambos. Independientemente del método, se debe de definir un conjunto usual
de métricas y escalas para que se puedan realizar los cálculos y reportarlos utilizando escalas y parámetros
consistentes. Las comparaciones sólo serán válidas si los valores se determinan utilizando los mismos métodos y
métricas. Todas las actividades, funciones y activos prioritarios y críticos se deben analizar.
Las fuentes de riesgo elevan el potencial de amenazas y oportunidades. El análisis de amenazas y oportunidades
marca las limitantes en cuanto al tipo de amenazas y oportunidades que puedan manejarse, por lo tanto, se debe
considerar el rango de fuentes de riesgo asociadas con el logro de los objetivos organizacionales. El análisis de
amenazas y oportunidades frecuentemente incluye estimaciones subjetivas, por lo que la confianza en las
70
ANSI / ASIS / RIMS RA.1-2015
predicciones debe considerarse dentro del contexto de la fiabilidad de la información. Las probabilidades
estimadas son particularmente sensibles a la información e hipótesis en las que se basan.
Utilizando el resultado de la identificación, valuación y caracterización del activo, considere las fuentes de
riesgo que crean la incertidumbre en el logro de los objetivos de la organización. Considere tanto los eventos de
riesgo intencionales como los involuntarios que podrían afectar el logro de los objetivos de la organización
(amenazas naturales y artificiales; factores sociales, económicos y políticos; así como acciones mal-
intencionadas). Determine cuáles son las amenazas y/u oportunidades asociados con los eventos de riesgo
potencial. El resultado de la evaluación del análisis de amenazas y oportunidades debe ser una lista
comprehensiva de amenazas y oportunidades enfocada en priorizar los más relevantes para el logro de los
objetivos.
Las amenazas pueden identificarse en términos de “amenazas de” y “amenazas a”. La “amenaza de” está basada
en la naturaleza y atributos de la amenaza y cómo podría causar daño y/o incertidumbre. La “amenaza a”
considera la ubicación de los activos y servicios potenciales. Al evaluar la amenaza, se debe considerar su
naturaleza (ej., es hostil, es incidente natural o accidental). Para una amenaza hostil, la evaluación debe
considerar el “quién/porqué” (ej., descripción del adversario), el “qué” (ej., el material utilizado por el
adversario) y el “cómo/cuándo/Dónde” (ej., las características del escenario y las tácticas relacionadas).
Recursos
Habilidad
Conocimiento
Amenaza
Atractivo
Deseado
Motivación/
Voluntad
Confianza
El análisis de amenazas puede llevarse a cabo utilizando el análisis del árbol de amenazas. Los tres tipos de
técnicas de mapeos o matrices son:
71
ANSI / ASIS / RIMS RA.1-2015
a) Árbol de activos , medios de acceso, agente de amenaza interno o externo, motivo intencional o
involuntario, competencia, evento, consecuencia;
Para poder determinar un nivel de amenaza realista, considere el siguiente diagrama de flujo en la Figura 8.
Motivación,
Habilidad
Intención
Amenaza
Atracción Visibilidad
Ambiente,
Imagen
Contexto
Probabilidad de
Amenaza
Medidas de Oportunidades,
Control de Riesgo Aversión al Riesgo
Probabilidad
Exitosa de Riesgo
Nivel de Riesgo
72
ANSI / ASIS / RIMS RA.1-2015
La probabilidad de amenaza debe considerarse como parte del análisis de amenazas. Hay muchos enfoques
diferentes que se pueden utilizar. Uno es un enfoque narrativo que básicamente usa la descripción cualitativa
para el nivel y características de la amenaza. Los expertos en la materia podrían proporcionar aportaciones
basándose en un análisis de eventos, tendencias y otros indicadores o un análisis de las características específicas
de la amenaza (ej., intenciones, competenciaes y otros atributos). Otro enfoque es el de clasificación de la
amenaza el cual generalmente es un enfoque semi-cuantitativo para estimar los componentes de la amenaza y
después combinarlos en cierto valor y/o clasificación con alguna descripción. Los atributos que se clasifican para
cada amenaza deben ser ortogonales (ej., no deben solaparte de tal forma que haya un doble conteo). En algunos
casos, la puntuación global puede utilizarse para representar una “probabilidad de tipo riesgo”.
Los perfiles de amenaza generalmente son dinámicos. Por lo tanto, las amenazas deben monitorearse de forma
continua. Usualmente falta información específica sobre las instalaciones individuales. Al estimar los niveles de
amenaza, es importante entender el contexto interno y externo de la ubicación a ser evaluada, así como las
fuentes de riesgo únicas para esa ubicación. Por ejemplo, la condonación en comunidades locales para los actos
de violencia puede influir en la probabilidad de una amenaza terrorista y de crimen violento. Las organizaciones
que operan en un entorno cultural donde hay poca condonación o aceptación a la violencia, enfrentarían
diferentes niveles de amenaza que una sociedad que condona el uso de violencia como medios para justificar la
mala conducta percibida.
La caracterización de amenazas y oportunidades busca identificar las fuentes de riesgo generales y específicas y
describe cómo se manifiestan. Los escenarios se pueden desarrollar para analizar cómo la amenaza u
oportunidad se materializarán y cuáles son los diferentes factores y partes interesadas afectadas. Una vez que se
haya identificado un escenario, se puede valorar las diferentes magnitudes del evento de riesgo. Se podrían
desencadenar escenarios similares por los eventos que resulten de consecuencias similares. Al valorar las
diferentes posibilidades, es posible identificar las opciones de tratamiento de riesgo que se enfoca tanto en la
probabilidad como en las consecuencias.
Cuando se valora el potencial de amenazas intencionales, se deben tomar consideraciones para la presencia y
proximidad de blancos “difíciles” y “fáciles”. Un adversario resistente y determinado considerará los mismos
factores ilustrados en la Figura 8 para llevar a cabo exitosamente la amenaza de causar un evento de riesgo.
El análisis de vulnerabilidad/Capacidad evalúa la eficacia de las medidas de riesgo actuales (deliberadas y/o
inherentes) que tendrán un efecto sobre la probabilidad de una amenaza o la materialización de una oportunidad
y la probabilidad de extender las consecuencias. La vulnerabilidad depende de las medidas de control de riesgo
(ej., contramedidas) implementadas para administrar un evento de riesgo. La capacidad depende de la
adaptabilidad de la entidad y su competencia de responder a eventos negativos y tomar ventaja de aquellos
potencialmente positivos. Las medidas de control de riesgo pueden ser físicas o virtuales (ej., tecnologías,
barreras físicas, procedimientos administrativos, etc.). Se debe reconocer que algunas medidas de tratamiento de
riesgo podrían reducir la probabilidad de que un evento tome lugar, pero no hacer que el blanco sea menos
vulnerable.
El análisis de vulnerabilidad incluye el analizar los atributos del evento y los activos, servicios y actividades. Los
factores a considerar incluyen:
73
ANSI / ASIS / RIMS RA.1-2015
b) Nivel del perfil, reconocimiento, visibilidad y status icónico;
g) Accesibilidad;
h) Interdependencias y dependencias;
a) Identificar los escenarios de riesgo (de las valoraciones de activos y el análisis de amenazas);
d) Determinar la vulnerabilidad basada en los atributos del escenario de eventos y resultados potenciales; y
El nivel de vulnerabilidad se determina basándose en las métricas diseñadas para medir el logro de los objetivos
de la organización. Por lo tanto, no solo se considera el valor del activo, servicio o actividad, sino también el
margen de tiempo que el activo, servicio o actividad podrían estar inaccesibles. Al determinar la vulnerabilidad,
considere:
Los árboles de eventos pueden ser herramientas de ayuda al valorar la vulnerabilidad, Aunque existan muchos
modelos, un ejemplo simplificado es:
74
ANSI / ASIS / RIMS RA.1-2015
c) Identificar las blancos y consecuencias potenciales;
d) Identificar la accesibilidad;
El análisis de criticidad y consecuencia proporciona una medida de impacto del evento de riesgo relacionado con
el logro de los objetivos de la organización y el impacto de perder un activo, actividad o función tangible o
intangible que tendrá sobre las operaciones de la organización y de sus partes interesadas, respectivamente. Un
análisis de criticidad y consecuencia correcto permitirá enfocarse en aquellos activos, actividades y funciones
que tienen la mayor importancia a la organización y a las partes interesadas.
Es importante entender las criticidades y consecuencias para poder desarrollar una estrategia rentable de
administración del riesgo. Las consecuencias dependerán de la naturaleza, ubicación y otros factores del evento.
Los escenarios generalmente se usan para calcular consecuencias verosímiles, inverosímiles y catastróficas. Esto
se debe de realizar valorando las consecuencias contra la criticidad del activo, actividad o función.
La criticidad de un activo, actividad o funciones puede ser inherente o derivativa. La criticidad inherente indica
el valor directo del activo, actividad o función al lograr los objetivos de la organización. La criticidad derivativa
indica las consecuencias indirectas del evento de riesgo y cómo las consecuencias resultantes indirectamente
relacionadas con el activo, actividad o función, afectarán a la organización en el logro de sus objetivos. Al
valorar la criticidad, considere:
a) El valor del activo, actividad o función en las operaciones actuales y el valor generado;
b) El valor del activo, actividad o función para las partes interesadas internos y externos incluyendo a los
competidores y adversarios;
c) Margen de tiempo de criticidad – periodo de tiempo que un bien, actividad o función puede estar
inaccesible antes de que los efectos se vuelvan significativos;
f) Propiedad exclusiva;
h) Percepción de la criticidad con los socios y otros partes interesadas de la cadena de suministro;
Existen muchas escalas para calificar a las consecuencias. La escala exacta debe determinarse con la precisión de
las predicciones, si la consecuencia es cuantificable y el uso previsto de la información. Las escalas deben
75
ANSI / ASIS / RIMS RA.1-2015
determinarse también basándose en su utilidad para los gerentes de riesgos y los tomadores de decisiones.
Independientemente de la escala utilizada, habría que ser consistentes a lo largo del proceso de evaluación de
riesgos. Al evaluar las consecuencias del evento de riesgo, considere:
a) El Impacto Humano: Daño físico y psicológico a los empleados, consumidores, proveedores y otras
partes interesadas;
En la Figura 9 se aprecia un ejemplo de un diagrama de flujo para considerar las consecuencias de un evento de
riesgo, ilustrando la importancia de las consideraciones del tiempo.
76
ANSI / ASIS / RIMS RA.1-2015
El análisis de riesgo es un proceso para entender la naturaleza y nivel de riesgo para determinar su importancia.
La organización toma la información generado durante el proceso de identificación del riesgo y la valora dentro
del contexto de sus operaciones y el criterio de riesgo. El proceso de análisis de riesgo evalúa la probabilidad y
consecuencia para determinar el nivel de riesgo y priorizar los tratamientos de riesgo. Para empezar, las
77
ANSI / ASIS / RIMS RA.1-2015
organizaciones podrían seleccionar un rango de eventos de riesgo con varios grados de detalle, dependiendo del
riesgo y de la información, datos y recursos disponibles.
Como se puede ver en la Figura 10, el resultado de la identificación del riesgo proporciona el aporte al análisis
de riesgo.
Análisis de Vulnerabilidad
y Capacidad
Análisis de Amenazas y Análisis de criticidad
Oportunidades e Impacto
Eficiencia del
Control de Riesgos
Nivel de Riesgo
c) Los métodos para determinar las amenazas e impactos a activos tangibles e intangibles, así como los
impactos tangibles e intangibles (los activos e impactos intangibles no se pueden prestar a valoraciones
numéricas);
78
ANSI / ASIS / RIMS RA.1-2015
d) Otros procesos y metodologías de análisis de riesgo utilizadas por la organización; y
e) El método más efectivo para comunicar el nivel de riesgo a los tomadores de decisiones.
Independientemente del método utilizado para determinar el nivel de riesgo, se debe tener cuidado para asegurar
un enfoque consistente y considerar el nivel de confianza, particularmente para datos agregados. Las unidades y
escalas de medición del riesgo determinadas durante la definición del criterio de riesgo, deben utilizarse
consistentemente a lo largo del análisis. El método de análisis de riesgo utilizado, debe cumplir con las
necesidades de la valoración del riesgo y el proceso de tratamiento de los tomadores de decisiones.
La valoración de riesgos usa el criterio de riesgo y los resultados de la identificación del riesgo y los pasos del
análisis de riesgo, para determinar qué riesgos son aceptables con los tratamientos de riesgo existentes y cuáles
requieren de un tratamiento adicional. El nivel de riesgo establecido durante el análisis de riesgos indicará las
prioridades del tratamiento de riesgo. Valorar el nivel de riesgo antes y después del tratamiento, combinado con
el análisis de valor agregado, proporciona la base para determinar si los niveles de riesgo residual caen dentro
del nivel de riesgo aceptable establecido por el criterio de riesgo. La priorización del tratamiento de riesgo
también debe predecirse con un entendimiento de la tolerancia de riesgo. Si el nivel de riesgos residuales es
mayor que el nivel de riesgo aceptable establecido por el criterio de riesgo, la organización debe considerar
tratamientos de riesgos alternativos o adicionales para reducir el nivel de riesgo residual. Las decisiones del
tratamiento inicial serán conducidas por la tolerancia y no solo ocupándose del riesgo residual. La valoración de
riesgo considera el costo y beneficios de las diferentes opciones de tratamiento. Se debe tener cuidado durante la
fase de valoración de riesgo para asegurar que el tratar un riesgo no crea otro riesgo.
Los niveles de riesgo aceptables serían únicos para cada organización y su cadena de valor. Podrían variar por
proyecto, utilidad, producto o servicio, así como con el tiempo. La organización podría tener niveles variantes de
tolerancia al riesgo para diferentes áreas, subsidiarias y socios. Podría ser impráctico eliminar todos los riesgos
por causa de costos. Es deseable aceptar el riego para obtener una oportunidad (ej., para aumentar el mercado de
valores o para perseguir beneficios laborales o de ubicación). Para lograr tan bajo como sea razonablemente
79
ANSI / ASIS / RIMS RA.1-2015
posible el riesgo, una meta típica de una valoración de riesgos es determinar los tratamientos con el costo más
eficiente.
Algunos ejemplos de razones de una organización podría tolerar el riesgo (con una decisión informada)
incluyen:
a) El nivel de riesgo es tan bajo que el tratamiento específico no es apropiado dentro de los límites de los
recursos disponibles;
b) El riesgo es tal que no hay tratamiento disponible. Por ejemplo, las causas del riesgo podrían estar fuera
del control de la organización;
c) El costo del tratamiento, incluyendo los costos de seguros, es claramente excesivo comparado con el
beneficio de que la tolerancia sea la única opción. Esto aplica particularmente en riesgos de bajo rango;
d) Las oportunidades presentadas sobrepasan las amenazas a tal grado que el riesgo es justificable; y
e) Las organizaciones también podrían determinar aceptar un riesgo con una toma de decisión informada o
para maximizar la oportunidad de negocio;
Independientemente del método utilizado para valorar el/los tratamiento(s) de riesgo para lograr un nivel de
riesgo tan bajo como sea posible, es importante entender que esto es un proceso iterativo, donde el gerente de
riesgos puede escoger varias capas de medidas de tratamiento de riesgo, incluyendo:
f) Distribución de riesgos; y
Durante el proceso de valoración de riesgos, los métodos propuestos de tratamiento de riesgo deben valorarse
para considerar el costo/beneficio de la medida para reducir el riesgo y si el tratamiento de riesgo cambia o
introduce un nuevo riesgo para la organización y su cadena de valor. La Figura 11 ilustra cómo los resultados de
la identificación de riesgo y pasos del análisis pueden representarse en forma de embudo, donde el riesgo
intolerable debe ser tratado a cualquier costo razonable. Las medidas de tratamiento se aplican para llevar al
riesgo a un nivel tan bajo como sea posible, donde mayores tareas de tratamiento serían desproporcionados para
el costo/beneficio. Los riesgos alcanzan un nivel tolerable cuando el riesgo está dentro del nivel de tolerancia del
criterio de riesgos. Las medidas de contingencia podrían considerarse para los riesgos que se mantienen después
del tratamiento.
80
ANSI / ASIS / RIMS RA.1-2015
Una forma en que la organización podría desear evaluar la tolerancia de sus riesgos es a través de una curva de
posibilidades de riesgo, esquematizando la probabilidad de eventos por sus consecuencias (Figura 12). Las
organizaciones pueden encontrar ciertos riesgos con tan baja probabilidad o con una consecuencia tan limitada,
que no autorizan ningún otro tratamiento o consideración. Para aquellos con mayor probabilidad o consecuencia,
la organización puede desear utilizar la administración de recursos para reducir la volatilidad. Estos mecanismos
buscan reducir la probabilidad, duración o consecuencia de un evento de riesgo. Las organizaciones también
pueden determinar aceptar un riesgo con una toma de decisiones informada para maximizar una oportunidad de
negocio.
81
ANSI / ASIS / RIMS RA.1-2015
Alto
Reduce
pérdida
Probabilidad del evento
potencial
Elimina, evita
el riesgo
Bajo
Menor Mayor
Consecuencia del evento
Una forma bidimensional de representar los niveles de riesgo, es utilizar una matriz mostrando los eventos de
riesgo definiendo la probabilidad y consecuencia (a veces conocido como mapa de calor, matriz de riesgos o
matriz de eventos). Esta técnica permite a los gerentes visualizar con más facilidad la probabilidad y
consecuencia relativa al diferir riesgos. Para utilizar este método eficientemente, es crítico tener un criterio bien-
definido y utilizado consistentemente para los diferentes niveles de probabilidad y consecuencia. Se usan varios
esquemas en diferentes organizaciones; las gradaciones, esquematizaciones y términos utilizados, deben basarse
en lo que mejor se entienda por los usuarios y por los tomadores de decisiones. La Figura 13 muestra un ejemplo
de matriz ilustrando el concepto.
82
ANSI / ASIS / RIMS RA.1-2015
Metas Objetivos
Adaptado del taller de RIMS sobre Técnicas de Administración de Riesgos. Copyright © Risk and Insurance Management
Society, Inc. Todos los derechos reservados.
La Figura 13 ilustra una representación bidimensional de riesgos identificados relacionados con los objetivos de
una organización ficticia. El ejemplo de representación considera riesgos tanto de una perspectiva de
oportunidad como de amenaza. Este tipo de evaluación cualitativa asume que los términos utilizados en la matriz
han sido definidos y que el equipo de evaluación ha analizado la probabilidad e impactos/consecuencias
potenciales de cada uno de los riesgos en el contexto de los objetivos de la organización para colocarse en la
matriz.
83
ANSI / ASIS / RIMS RA.1-2015
La matriz muestra cómo las organizaciones pueden desear priorizar por probabilidad y consecuencia. Las escalas
de la matriz deben definirse al establecer el criterio de riesgo. El tipo de escala, parámetros y nivel de detalle
dependerá de los requisitos de los tomadores de decisión.
Un registro de riesgo también podría ser utilizado para catalogar a los riesgos. Un registro de riesgos es una lista
de riesgos identificados y sus características, la severidad de las consecuencias y la probabilidad de que ocurran.
Los registros de riesgo se utilizan frecuentemente para comparar riesgos de muchas fuentes diferentes. Un
registro de riesgo debe incluir (pero no limitarse a):
g) Interdependencias y dependencias; y
Nota: Para más metodologías de análisis de riesgo, vea el ISO 31010:2009 Administración de Riesgo – Técnicas
de evaluación de riesgos.
El análisis de costo-beneficio proporciona un método para valorar y comparar el valor y costo de las opciones de
tratamiento de riesgos. El análisis debe considerar los costos y beneficios directos e indirectos. Algunos
ejemplos son:
a) Beneficio:
• Beneficios indirectos – surgen de los efectos colaterales del tratamiento tales como reducción en
las cuotas de seguro, mejora administrativa y confianza del personal y una mejora en la
reputación.
b) Costo:
• Costos directos – por implementar el tratamiento propuesto y/o que pueda surgir si el riesgo se
concreta (ej., pérdida de un bien); y
84
ANSI / ASIS / RIMS RA.1-2015
6.4.4.5 Control de Riesgos y Tratamientos
Una vez que la organización entienda su contexto y haya analizado sus riesgos potenciales, puede comenzar con
el proceso para modificar y reducir el riesgo. Al desarrollar la estrategia de tratamiento de riesgo, es importante
mantener en mente que los tratamientos de riesgo tienen el potencial de crear nuevos riesgos o modificar los
existentes.
Después de que una organización haya identificado y priorizado los riesgos a los que enfrenta, puede elaborar los
planes de tratamiento de riesgo. Los planes incluyen el desarrollo de estrategias y medidas para proteger las
cadenas de valor de las fuentes de riesgo, respondiendo a los eventos que estos riesgos puedan causar y
continuando con las operaciones y recuperándose de los eventos indeseables e destructivos. Los tratamientos de
riesgo buscan:
e) Aceptar el riesgo a través de una decisión informada o para aprovechar una oportunidad; y/o
Para que las organizaciones administren eficientemente el costo de riesgo, deben desarrollar estrategias
balanceadas para tratar adaptable, proactiva y reactivamente la minimización tanto de la probabilidad como
consecuencias de los eventos indeseables y/o destructivos. Además, la selección de controles de tratamiento de
riesgo debe integrarse con los programas generales de administración del riesgo con sus partes interesadas
prioritarios. Este tipo de programa debe tener por lo menos tres elementos: 1) proteger la organización y su
cadena de valor; 2) responder a eventos; y 3) continuar con las operaciones mientras se recupera de los eventos.
Los planes también deben involucrar el determinar las formas para medir los riesgos, así como probar la
eficiencia del plan en sí y su competencia para limitar riesgos. La organización debe establecer, implementar y
mantener los procedimientos para prevenir y administrar eventos indeseables y destructivos para prevenir
consecuencias negativas y aprovechar las consecuencias positivas para la organización, sus partes interesadas
incluyendo los socios de la cadena de suministro y al medio ambiente.
Los procedimientos deben ser consistentes y accesibles para aquellos responsables de su implementación. Los
planes y procedimientos deben ser aceptados a lo largo de diferentes áreas administrativas y disciplinas de riesgo
para evitar un enfoque de silo (ej., un plan de continuidad del negocio requiere tomar en consideración cómo se
impactará la continuidad en operación con las medidas de seguridad de la respuesta de un incidente). Las
operaciones y planes deben examinarse para asegurar una integración apropiada y que la coordinación se use
para capitalizar los recursos limitados. Algunos ejemplos de los procedimientos de tratamiento del riesgo se
proporcionan en el Anexo F.
Los hallazgos de la evaluación de riesgos deben determinarse al valorar los datos y evidencia recopilada contra
el criterio de riesgo. Los hallazgos de la evaluación de riesgos indican el nivel de riesgo y las necesidades de
85
ANSI / ASIS / RIMS RA.1-2015
aceptación y/o tratamiento. Los hallazgos deben basarse en evidencia sustentada y documentada que clasifica y
prioriza la evidencia de la evaluación de riesgo para indicar el significado de cualquier riesgo, así como
identificar las oportunidades de mejora y ajustarse a las prácticas industriales aceptables y a los requisitos
legales. Esto ayudará al cliente y la organización para entender el efecto de un riesgo sobre la organización. Los
riesgos significativos pueden basarse en:
Los niveles de riesgo y su prioridad de tratamiento deben estar directamente ligados a la evidencia de soporte de
la evaluación de riesgos y se deben registrar. El riesgo se podría clasificar en una escala cualitativa y/o
cuantitativa. Los riesgos individuales se pueden agrupar para proporcionar evidencia de problemas sistémicos
dentro del sistema de administración de riesgos. Esto ayudará a identificar los problemas que muestran la
necesidad de cambio en el sistema y procesos. La necesidad imperiosa de cambio se basa en el riesgo de la
organización siendo evaluada, así como a sus partes interesadas. La clasificación y documentación clara de las
observaciones ayudará a identificar las acciones de seguimiento.
Los hallazgos de la evaluación de riesgos se generan por el LER en conjunto con los miembros del equipo de
evaluación. En las etapas apropiadas a lo largo de la evaluación, el equipo de evaluación debe reunirse para
revisar los hallazgos de la evaluación hasta ese punto. Los aspectos que se debe considerar al determinar los
hallazgos de la evaluación incluyen requisitos del cliente y la organización, tamaño de la muestra, acciones de
seguimiento de los hallazgos y conclusiones de evaluaciones anteriores y la categorización de los hallazgos de
evaluación, cuando estos sean necesarios.
Al crear los registros de niveles de riesgo y los tratamientos necesarios, el equipo de evaluación debe identificar
el criterio de riesgo utilizado, los riesgos evaluados, valorar la evidencia de la evaluación para mantener el nivel
de confianza en los hallazgos y establecer si la evidencia es consistente con el criterio de riesgo (particularmente
la actitud de riesgo de la organización). Al crear los registros sobre riesgos específicos, el equipo de evaluación
debe identificar al riesgo siendo evaluado, mostrar la evidencia de la evaluación de riesgos que apoya las
decisiones del tratamiento de riesgos e incluir la evidencia de la evaluación relevante para soportar los hallazgos.
Cada denominación de nivel de riesgo debe poderse rastrear hasta el origen de la evidencia recopilada para ese
riesgo en específico.
86
ANSI / ASIS / RIMS RA.1-2015
6.5 Actividades Posteriores a la Evaluación de Riesgo
La junta post-evaluación culmina las actividades in-situ de la evaluación y presenta un borrador o reporte
preliminar de evaluación al cliente. La junta post-evaluación debe ser preparada por el LER. El propósito es de
presentar las conclusiones y hallazgos del equipo de evaluación a la gerencia de la organización y aquellos
responsables de las áreas siendo evaluadas (donde aplique). La junta post-evaluación debe presentar áreas de
riesgos en ambos sentidos, así como fortalezas y debilidades en el sistema de administración de riesgos,
comenzando con las fortalezas y proporcionando la suficiente información para que el cliente y la gerencia
organizacional entiendan los hallazgos. Se debe de asignar a un miembro del equipo de evaluación para tomar
asistencia y realizar las minutas.
El nivel de detalle depende del nivel de familiaridad que el cliente tenga con el proceso de evaluación. También
la formalidad de la junta depende del tipo de evaluación. En algunos casos, se requiere una junta formal con
registros de asistencia y minutas, mientras que en otras situaciones, la junta puede ser de comunicación menos
formal para presentar los hallazgos de la evaluación.
Si se presentan situaciones durante la evaluación que pudieran cuestionar los resultados de la evaluación, el
equipo de evaluación debe aconsejar a los presentes sobre la situación. Además, se debe discutir cualquier
diferencia de opiniones sobre las conclusiones o hallazgos de la evaluación entre el equipo de evaluación y el
cliente. Las partes deben intentar resolver cualquier desacuerdo. Si las partes no pueden resolver sus diferentes
puntos de visto, esto se debe de documentar.
Los participantes deben discutir un margen de tiempo rápido para un plan de acción para tratar los hallazgos de
la evaluación y adaptar el sistema de administración de riesgos, cuando sea necesario. Las recomendaciones de
mejoras podrían presentarse si los objetivos de la evaluación así lo especifican. Debe ser claro que cualquier
recomendación no es obligatoria y se debe destacar que en las evaluaciones subsecuentes, éstas podrían ser
prejuiciosas para una evaluación imparcial.
Se debe tratar lo siguiente con la gerencia de la organización para que estén enterados y lo entiendan en la junta
post-evaluación (cuando aplique):
b) El método de reporteo;
87
ANSI / ASIS / RIMS RA.1-2015
6.5.2.1 Visión General
El reporte de la evaluación de riesgos es preparado por el LER, con aportaciones del equipo de evaluación y se le
entrega al gerente de riesgos tan pronto como sea posible después de la junta post-evaluación. El gerente de
riesgos revisa y aprueba el reporte de evaluación antes de su distribución. Para tener credibilidad, cualquier
cambio en el reporte, incluyendo hallazgos, se debe realizar por el LER. El cliente determina quien recibirá
copias del reporte de evaluación. El propósito del reporte de evaluación es para:
b) Iniciar una solicitud de acciones correctivas para los riesgos significantes que requieran de una atención
inmediata;
c) Fungir como base para identificar las oportunidades de mejora para el sistema de administración de
riesgos; y
El reporte de evaluación de riesgos debe emitirse sin demoras dentro del margen de tiempo acordado. Si el
equipo de evaluación es incapaz de lograrlo, se deben comunicar a la brevedad las razones al cliente,
organización y la(s) persona(s) responsables del programa de administración de riesgos. En conformidad con los
buenos procedimientos de un proyecto de administración, el reporte de evaluación debe revisarse, aprobarse y
fecharse. La distribución del reporte de la evaluación de riesgos está a discreción del cliente y la organización. El
gerente de riesgos no debe enviar una copia del reporte de la evaluación de riesgos a nadie, a menos que sea
aprobado explícitamente por escrito por el cliente y la organización. La organización que lleva a cabo la
evaluación mantiene una copia para sus registros según el acuerdo con el cliente y la organización. La retención
de una copia del reporte debe congruente con los requisitos, necesidades y obligaciones legales.
En algunos casos, los reportes podrían requerirse para una entrega y transmisión digital de forma segura. En esos
casos, el gerente de riesgos debe controlar la liberación y accesibilidad de la información utilizando los métodos
apropiados de seguridad de la información. Las contraseñas y encriptado deben cumplir con las prácticas y
métodos aceptados por el gobierno o industria para asegurar ese tipo de información.
El cliente y la organización deben tratar el reporte de la evaluación de riesgos como información protegida y
proporcionar un manejo seguro al documento.
El LER debe establecer, implementar y mantener las métricas y procedimientos de desempeño para monitorear y
medir aquellas características de la evaluación de riesgos que tengan un impacto material sobre su desempeño.
Los procedimientos deben incluir la documentación de información para monitorear el desempeño, controles
operacionales aplicables y el apego con los objetivos y metas del programa de evaluación de riesgos de la
organización.
El LER debe monitorear, valorar y aprovechar las oportunidades de mejora en el desempeño de la evaluación de
riesgos y eliminar las causas de problemas potenciales, incluyendo:
Las acciones tomadas deben ser apropiadas para el impacto de problemas potenciales y la realidad de los
recursos.
El gerente de riesgos y el LER deben asegurarse que las acciones se tomen sin un retraso indebido para inicial
con las oportunidades de mejora. Al existir acuerdos revisados y nuevos acuerdos a introducir que podrían
impactar el programa de la evaluación de riesgos, el LER debe tomar en cuenta los resultados asociados antes de
ser implementados.
Los resultados de las revisiones y las acciones tomadas deben estar claramente documentados y se deben guardar
los registros. Las actividades de seguimiento deben incluir la verificación de las acciones a tomar y el reporte de
los resultados verificados.
6.6.2 Mejora
89
ANSI / ASIS / RIMS RA.1-2015
7.1 General
La credibilidad de cualquier programa de evaluación de riesgos está en función de la competencia de los
asesores. Todas las personas involucradas en el proceso de evaluación de riesgos deben ser competentes para
realizar sus roles y tareas designadas. Los asesores de riesgo deben poseer conocimientos técnicos y aptitudes
interpersonales para evaluar eficientemente la aplicación de los sistemas de administración de riesgos para un
cliente en particular. Los asesores deben valorar la eficiencia de las medidas de administración de riesgos, no
solo marcando una casilla indicando que la medida existe. Para agregar valor al cliente y la organización, los
asesores deben entender los enfoques administrativos y de riesgo en un ambiente empresarial y de riesgo del
cliente. Los asesores deben tener un entendimiento claro sobre cómo aplicar el criterio de riesgo. La competencia
del asesor está comprometida con varios elementos:
b) Aptitudes de evaluación;
c) Aptitudes de comunicación;
e) Experiencia laboral.
El equipo de evaluación de riesgos debe tener un entendimiento proficiente sobre el negocio y las disciplinas que
se estén asesorando. El equipo de evaluación debe proyectar una imagen al cliente y la organización de que
tienen la competencia suficiente para el área técnica apropiada del sistema de administración basado en el riesgo,
disciplinas relacionadas con el riesgo, sector industrial y ubicación geográfica.
7.2 Competencia
7.2.1 General
El gerente de riesgos y el LER deben determinar y documentar la competencia requerida para valorar cada área
técnica y función en la actividad de evaluación de riesgos. Al identificar los requisitos de competenciaes, el
gerente de riesgos y el LER deben adaptar esos requisitos para los tipos de riesgos que enfrentan el cliente y la
organización y la ubicación de las operaciones para poder:
b) Identificar cualquier cualificación técnica de sus asesores necesaria para ese tipo de riesgo, servicio y
ubicación de operación en particular;
c) Asegurar que el personal tiene el conocimiento, aptitudes y experiencia apropiada y relevante a los tipos
o servicios proporcionados y las áreas geográficas de operación; y
90
ANSI / ASIS / RIMS RA.1-2015
d) Seleccionar un equipo de evaluación calificado y adecuado.
El gerente de riesgos y el LER deben determinar el criterio y medios para la demostración de competenciaes
antes de llevar a cabo las funciones específicas. Los registros de la determinación deben mantenerse y dejar
disponible a petición para el cliente y/o la organización.
El gerente de riesgos y el LER deben documentar el proceso para determinar el criterio de competenciaes para el
personal con una competencia demostrable para la administración y desempeño de la evaluación de riesgos. El
criterio medible debe determinarse para demostrar la competencia en cuanto a:
a) Los requisitos del sistema de administración de riesgos y cualquier estándar administrativo utilizado
basado en el riesgo;
b) La evaluación y administración de riesgos congruente con las obligaciones legales y las prácticas
aceptables de la industria relacionados con la operación;
Los resultados del proceso deben ser el criterio documentado del conocimiento requerido y las competenciaes
necesarias para desempeñar eficientemente las tareas de la evaluación de riesgos a ser completada para lograr los
resultados previstos y proporcionar una base para:
a) La selección de los miembros del equipo de evaluación para cubrir todas las áreas de competencia
requerida;
e) Los requisitos legales entre otros, tales como aquellos impuestos por agentes externos, cuando sea
apropiado;
91
ANSI / ASIS / RIMS RA.1-2015
h) La complejidad del ambiente de riesgo a ser evaluado; y
Al determinar el criterio de competencia, el gerente de riesgos y el LER deben establecer un desempeño basado
en el criterio de valoración y un método consistente documentado para la competencia a valorar. Algunos
ejemplos de los métodos de valoración son (pero no están limitados a):
b) Prueba psicométrica (cuantitativa) de conocimiento y aptitudes (podría incluir variables tales como
inteligencia, aptitud y rasgos de personalidad;
Las personas que llevan a cabo las evaluaciones de riesgo deben haber completado exitosamente un
entrenamiento y ser capaces de demostrar la competencia en entender y aplicar:
El gerente de riesgos y el LER deben asegurar que las personas que llevan a cabo las evaluaciones de riesgo
tienen un conocimiento laboral de la ISO 31000:2009 estándar de Administración de riesgos. Los asesores deben
tener el conocimiento y aptitudes correspondientes a una educación superior que incluye idiomas y aptitudes de
comunicación.
El gerente de riesgos y el LER deben asegurar que las personas que llevan a cabo las evaluaciones de riesgo
tienen experiencia en la industria, disciplina o sectores relacionado con el riesgo, incluyendo trabajo en la
administración de riesgos o el equivalente basado en los estándares de la industria y en la complejidad de las
disciplinas de riesgo. El número de años del total de experiencia laboral podría reducirse si la persona ha
completado una educación superior apropiada y relevante.
92
ANSI / ASIS / RIMS RA.1-2015
El gerente de riesgos y el LER deben establecer, documentar y mantener un proceso para valorar y verificar el
entrenamiento y competencia de las personas que llevan a cabo las evaluaciones de riesgo, incluyendo un
entrenamiento continuo apropiado de acuerdo con sus requisitos de cualificaciones específicas para mantener su
competencia.
El gerente de riesgos y el LER deben asegurar un desempeño aceptable de todo el personal involucrado en las
actividades de su evaluación de riesgos. El gerente de riesgos y el LER deben establecer procedimientos,
métricas y criterio documentados para monitorear y medir el desempeño de todas las personas involucradas,
basándose en el nivel de conocimiento requerido basado en el riesgo ligado a sus actividades. El gerente de
riesgos y el LER deben revisar, por lo menos anualmente, la competencia de su personal basado en su
desempeño para identificar las necesidades de entrenamiento.
Los procedimientos de monitoreo deben incluir una combinación de observación in-situ, revisión del reporte de
evaluación de riesgos y en la retroalimentación de los clientes y otras partes afectadas. El monitoreo debe
diseñarse de tal forma que se minimice el disturbio a las operaciones normales, especialmente desde el punto de
vista del cliente.
Los asesores deben incrementar y mejorar sus aptitudes a través de una educación y experiencia continua. Los
riesgos, prácticas de administración organizacional, tecnologías, prácticas aceptables de la industria y estándares
que cambian con el tiempo. Los asesores deben mantener al día la necesidad de perfeccionar su conocimiento y
aptitud establecidos, con el cambio de condiciones de la evaluación de riesgos. Algunos ejemplos de métodos de
educación continua y mejora de aptitudes son:
El gerente de riesgos y el LER deben asegurar que todas las personas que trabajan a su nombre, asignados a
desempeñar las evaluaciones de riesgo, así como los expertos técnicos, se les pueda confiar para mantener
confidencial la información obtenida durante las labores de la evaluación de riesgos. Ese personal no debe crear
93
ANSI / ASIS / RIMS RA.1-2015
un riesgo de seguridad al traicionar la confidencialidad o impactar adversamente las operaciones (evidenciados
por la ejecución de un acuerdo de confidencialidad/confidencialidad). Esto debe ser validado con la
investigación apropiada de antecedentes de las personas involucradas en las actividades de evaluación de
riesgos.
Las personas desempeñando las evaluaciones de riesgo deben tener un mínimo de aptitudes interpersonales y
atributos personales para llevar a cabo una evaluación exitosa. Un asesor que carece de las aptitudes
interpersonales y atributos personales necesarios, no podría llevar a cabo una evaluación exitosa; por lo tanto, el
asesor debe tener buenas aptitudes de comunicación, incluyendo:
b) Saber escuchar;
f) Tacto y diplomacia.
b) Coraje – necesidad de tratar ideas, creencias o puntos de vista equitativamente sin importar el potencial
de consecuencias negativas;
d) Mentalidad Justa – tratar a todos los puntos de vista con igualdad, sin referenciar los propios
sentimientos o intereses personales;
94
ANSI / ASIS / RIMS RA.1-2015
m) Adaptable – ágil en abordar el cambio de curso en caso necesario;
Los líderes del equipo de evaluación también deben ser capaces de mostrar liderazgo, manejo de tiempo,
entender las formalidades comunicativas, manejar conflictos y proporcionar tutoría a los asesores menos
experimentados.
7.3.1 Credenciales
Todo el personal involucrado en las actividades de evaluación de riesgos debe ser capaz de mostrar una
credencial inviolable, consistente con una identificación gubernamental verificable que se distinga con facilidad,
con un número único, mostrando lo siguiente:
a) Fotografía
b) Nombre completo;
c) Periodo de validez; y
Todas las personas asignadas para llevar a cabo las evaluaciones de riesgo deben firmar acuerdos de
confidencialidad, confidencialidad y un código de ética. El gerente de riesgos y el LER deben establecer,
documentar y mantener los procedimientos sobre cómo respetar y proteger la integridad de información sensible,
confidencial y empresarial. El gerente de riesgos y el LER deben revisar periódicamente, como parte de la
calidad de su propio sistema de gestión, el desempeño de su personal con respecto a la toma de los pasos
apropiados para proteger la información sensible, confidencial y empresarial.
Al requerirse, los acuerdos de confidencialidad y confidencialidad firmados por el personal involucrado en las
actividades de su evaluación de riesgos deben estar disponibles para las organizaciones bajo la evaluación de
riesgos.
El gerente de riesgos y el LER deben establecer, documentar y mantener los procedimientos para hacer que el
personal involucrado en las actividades de su evaluación de riesgos esté consciente de las infracciones que el
equipo estaría sujeto con acciones disciplinarias, responsabilidad civil y enjuiciamiento criminal. Los
95
ANSI / ASIS / RIMS RA.1-2015
procedimientos deben incluir un proceso para tratar las infracciones o procedimientos, el código de ética y los
acuerdos de confidencialidad y confidencialidad, incluyendo el proceso de investigación y acciones
disciplinarias. Se deben mantener registros de infracciones, investigaciones y cualquier acción disciplinaria
subsecuente.
7.3.4 Registros
El gerente de riesgos y el LER deben establecer, documentar y mantener los procedimientos para mantener los
registros del personal involucrado en las actividades de su evaluación de riesgos. Los registros se deben
conservar por un periodo que el gerente de riesgos y el LER consideren apropiado y de acuerdo con los periodos
de conservación designados por los requisitos nacionales, internaciones y otros requisitos legales.
96
ANSI / ASIS / RIMS RA.1-2015
Anexo A
(informativo)
A.1 General
El tiempo es el mayor reto para optimizar la evaluación de riesgos para lograr los objetivos de la evaluación. El
asesor requiere desarrollar una estrategia o “camino” de evaluación, para recopilar datos de forma representativa,
lógica y metódica. La planeación efectiva de una evaluación de riesgos es necesaria para hacer un uso eficiente
del tiempo para proporcionar una imagen completa de los riesgos y el nivel de riesgo. El LER es responsable de
la planeación efectiva y de la aplicación de los métodos y estrategias de la evaluación. El LER tiene la
responsabilidad de supervisar la conducción de las actividades de la evaluación.
a) Interacción humana – entre el equipo de evaluación y la organización siendo evaluada (incluyendo las
partes interesadas internos y externos):
i. Realizando entrevistas;
ii. Completando listas de verificación, encuestas y cuestionarios con la participación de las partes
interesadas;
v. Muestreo; y
b) Interacción humana mínima – revisión del equipo de evaluación sobre equipo, tecnologías, políticas,
procedimientos, instalaciones y documentación:
97
ANSI / ASIS / RIMS RA.1-2015
i. Realizando revisión de documentos (ej., registros, análisis de datos);
i. Seguir hacia adelante o hacia atrás con la trayectoria de una actividad a través de procesos
comenzando en el inicio, fin o mitad; y
ii. Seguir hacia adelante o hacia atrás con la trayectoria de un evento a través de una secuencia de
causas y efectos, comenzando con el antes, durante o después del evento.
ii. Evaluar los controles, interacciones, eficiencia y oportunidades de mejora del proceso;
iii. Método Objetivos: Se enfoca en los objetivos específicos y los riesgos asociados;
vi. Método Requerimiento: Se enfoca en las necesidades y requisitos de las partes interesadas (ej.,
socios de la cadena de suministro); y
Los caminos de la evaluación se pueden utilizar para entender mejor al riesgo y para identificar las causas raíces
de las debilidades, así como para identificar oportunidades de mejora. Esto involucra series progresivas de
preguntas como “por qué” y “qué tal si” para identificar las causas raíces. El asesor debe mantener notas
detalladas del camino de la evaluación y reconocer cuando el camino lo llevará a un callejón sin salida.
98
ANSI / ASIS / RIMS RA.1-2015
A.4 Muestreo
A.4.1 General
Durante la evaluación, no siempre es práctico, en términos de tiempo o costo, valorar toda la información
disponible. Un muestreo, proceso o técnica de seleccionar una parte representativa de una población con el
propósito de determinar los parámetros o características de toda la población, podría ser necesario para evaluar
adecuadamente el riesgo. El método y lógica del muestreo y la cantidad de muestras de la población debe
adaptarse a las circunstancias de la evaluación para lograr los objetivos de la evaluación. El enfoque de muestreo
debe proporcionar un nivel de confianza de que los objetivos de la evaluación se están logrando.
El muestreo completamente aleatorio podría no siempre ser apropiado. Por ejemplo, en áreas de brechas
operacionales conocidas, incertidumbre elevada de información o riesgo mayor, el asesor debe seleccionar más
muestras. Las consideraciones en elegir el tamaño y selección de las muestras incluyen (pero no están limitadas
a):
e) Problemas conocimos por ser de gran importancia para la organización y sus partes interesadas;
Para poder asegurar que las conclusiones están correctas al evaluar el riesgo, es importante entender el factor
confianza, que los resultados son imparciales y consistentes con el muestreo de la población entera. El muestreo
exitoso se basa en enfocarse en la definición del problema. En el muestro, esto incluye definir la población de la
cual se sacaran las muestras. Una población puede definirse como la inclusión de todas las personas u objetos
con una característica específica que requiera ser entendida.
99
ANSI / ASIS / RIMS RA.1-2015
Determinar los Objetivos del Plan de Muestreo Consistente con los Objetivos de la Evaluación
La selección de una muestra apropiada debe basarse tanto en el método de muestreo como en el tipo de dato
requerido. Hay dos tipos de métodos de muestreo:
a) Muestreo no-estadístico:
ii. Se enfoca en áreas donde se han encontrado problemas previos o áreas para mejoras específicas;
iv. Enfatiza las áreas de mayor riesgo o de gran interés para la organización y sus partes
interesadas;
vi. No hay una estimación estadística del efecto de la incertidumbre en los hallazgos de la
evaluación y las conclusiones obtenidas.
b) Muestreo Estadístico:
100
ANSI / ASIS / RIMS RA.1-2015
i. Proceso de selección de muestras basado en la teoría de probabilidad;
ii. Asegura que cada objeto de la población tenga la misma oportunidad de ser seleccionado;
iv. Muestro basado en atributos, utilizado cuando solo hay dos posibles resultados para cada
muestra (ej., correcto/incorrecto o pasa/falla);
a) Muestreo razonado: basado en una opción deliberada y excluye cualquier proceso aleatorio.
b) Muestreo de conveniencia: utilizar aquellos que están dispuestos a ofrecerse o casos en los que se
presenten como muestra.
c) Muestreo irregular: las muestras se seleccionan en base a la conveniencia pero preferentemente se deben
de escoger tan aleatoriamente como sea posible.
a) Muestreo aleatorio: asegura que cada miembro de la población tenga la misma oportunidad de ser
seleccionado.
c) Muestreo estratificado: se subdivide la población en grupos homogéneos, por ejemplo regiones, tamaño
o tipo de establecimiento. El estrato puede tener tamaños iguales o podrían haber una proporción mayor
in cierto estrato.
d) Muestreo por clúster/bloque: las unidades en la población se pueden encontrar frecuentemente en grupos
o agrupaciones. La población muestreada se divide en grupos llamados clúster.
En el muestreo estadístico, es importante entender el nivel de confianza. Cualquier porcentaje menor al 100% es
posible, pero para poder tener resultados significativos, los números deben estar cerca del 100%. Los niveles
comunes de confianza son 90%, 95% y 99%. El valor de α se determina al sustraer nuestro nivel de confianza de
uno y escribir el resultado como decimal. Así que un nivel de confianza de 95% correspondería a un riesgo de
101
ANSI / ASIS / RIMS RA.1-2015
muestreo del 5%, lo que significa que el asesor está dispuesto a aceptar el riesgo de que 5 de 100 de las muestras
examinadas no reflejaran los valores actuales, si una población completa fuera examinada.
Anexo B
(informativo)
B.1 General
El análisis de causa raíz (ACR) se refiere a múltiples técnicas y enfoques de evaluación de riesgos, a veces
aplicados en series que se diseñan para identificar la causa(s) o detonante(s) de riesgo subyacente o inicial.
Originalmente se desarrollaron un número significativo de técnicas en el proceso de los campos de la ingeniería
y seguridad. Éstas técnicas no estaban destinadas sólo para identificar las amenazas de seguridad y puntos de
fallas durante el diseño de nuevos procesos de ingeniería, sino también para determinar por qué los eventos de
riesgo ocurren después de pérdidas significativas.
El análisis de causa raíz tradicionalmente se ha visto como el método de evaluación más apropiado, utilizado
después de un evento de riesgo mayor o pérdida. Sin embargo, las organizaciones con programas administrativos
de riesgo más maduros usan cada vez más las mismas técnicas para apoyar la planeación estratégica y del
negocio con el fin de administrar los riesgos proactivamente antes de que puedan afectar los objetivos planeados.
En casos más sencillos, uno simplemente podría utilizar lo que se conoce como el enfoque de los cinco porqués
del ACR. Un problema definido puede analizarse secuencialmente al preguntar “por qué” un factor
contribuyente al evento de pérdida se puede encontrar sin mayor explicación. En casos más complejos, este
enfoque se podría anidar dentro del diagrama de análisis de causa y efecto (a veces llamado Ishikawa o de
espinazo). El uso de diagramas de causa y efecto apoya el análisis de situaciones más complejas, particularmente
donde hay múltiples detonantes de riesgo presentes, donde cada uno de ellos requiere un análisis más detallado
para poder desarrollar una imagen comprehensiva de la situación.
Estas mismas técnicas también se pueden utilizar para identificar fuentes de riesgo potenciales durante los
procesos de planeación estratégica o del negocio. Al desarrollar una imagen de los riesgos potenciales asociados
102
ANSI / ASIS / RIMS RA.1-2015
con una actividad planeada, iniciativa u objetivo, los planeadores tienen la posibilidad de incorporar mejor las
actividades de tratamiento de riesgo desde el comienzo, en lugar de como “complementos” después del hecho.
Al utilizarse proactivamente, el foco del análisis cambia de la pregunta de qué causa que suceda una pérdida a
qué podría causar que algo falle – o, tal vez aún más importante – qué causará que algo tenga éxito. Este tipo de
análisis también puede incluir un rango de otras técnicas ACR tales como análisis de campo de fuerza (diseñado
para identificar las fuerzas impulsoras y limitantes en el ambiente) y diagramación de influencia, la cual está
diseñada para mostrar gráficamente cómo las fortalezas relativas del riesgo o las interdependencias de la causa
pueden tener impacto entre ellas. Los análisis de campo de fuerza y los diagramas de influencia le permiten al
usuario experimentado alinear las acciones específicas con los riesgos (o personas) específicos con el fin de
aprovechar (o superar) las dependencias existentes.
La aplicación proactiva de las técnicas de ACR pueden ser problemáticas en algunas situaciones, particularmente
donde hay un escepticismo cultural sobre el valor de la calidad de su futuro. Un método para sobrellevar este
escepticismo es llevando a cabo un análisis de soluciones efecto siguiendo el uso de otras técnicas de ACR. Este
enfoque es similar a la técnica de causa y efecto, pero visualiza las “respuestas” propuestas agrupadas
temáticamente en lugar de ver los riesgos. Después, estas soluciones se analizan de nuevo para revelar cualquier
consecuencia involuntaria – o impulsores de éxito sin explorar – resultantes de la combinación de acciones
propuestas. Al incluir la solución o propietarios de la acción propuesta en este proceso, a menudo está dispuestos
a ver dónde sus ideas requieren de refinamiento, así como darles mayor confianza que el proceso utilizado para
obtener aquellas respuestas era robusto.
Otros enfoques de uso prolongado para análisis de causas raíces incluyen el concepto del ventilador, estudios de
amenazas e interoperabilidad, análisis de solución de efectos, análisis de valor del ciclo de vida e identificación
de amenaza/identificación ambiental, por nombrar algunos. Aunque esta lista no sea exhaustiva, proporciona un
buen punto de inicio para un entendimiento más profundo, de las fuentes de riesgo iniciales o subyacentes.
• ¿Cuál es la evidencia?
Analizar • Aplica las técnicas de evaluación apropiadas.
• ¿Por qué? ¿Por qué? ¿Por qué? ¿Por qué? ¿Por qué?
103
ANSI / ASIS / RIMS RA.1-2015
Figura 15: Definir, Analizar y Resolver
Define:
2. Recopila datos y evidencia que puedan, por ejemplo, trazarse a lo largo de una línea de
tiempo del incidente hasta la falla final o crisis, o para enfoques futuros hacia el resultado
final deseado.
Analiza:
3. Usar una o más técnicas para analizar la evidencia. Por ejemplo, podría preguntar “por qué”
repetidamente e identificar las causas asociadas con cada paso en la secuencia hacia el
problema definido o el resultado deseado.
4. Clasificar las causas en factores causales que se relacionan con un resultado en la secuencia
y causas raíces, que si se aplicaran puede acordarse interrumpir ese paso de la cadena de
secuencia.
5. Si hay múltiples causas raíces, lo cual a menudo es el caso, anótalos claramente para un
análisis adicional.
Resolver:
6. Identifica las soluciones potenciales que con certeza prevendrán la recurrencia del problema
o evento, o alternativamente, se deban seguir para obtener mayores probabilidades de un
resultado exitoso.
7. Identifica que las soluciones que previenen la recurrencia con una certeza razonable con el
acuerdo consensado del grupo, están bajo tu control, cumplen tus metas y objetivos y no
introducen otros problemas nuevos, inesperados.
El ACR (particularmente los pasos 3,4 y 5) forma la parte más crítica de desarrollar soluciones exitosas y planes
de acciones correctivas, porque dirige a la acción correctiva a la verdadera causa raíz del problema o asunto. El
análisis de causa raíz en sí, es secundario para lograr la meta prevista. Sin embargo, sin identificar y entender
la(s) causa(s) raíz, no se podrían identificar o desarrollar las soluciones efectivas o acciones correctivas.
104
ANSI / ASIS / RIMS RA.1-2015
B.4 Resumen del Análisis de Causa Raíz
El análisis de causa raíz, al realizarse de forma comprehensiva y planeada, proporciona a las organizaciones la
oportunidad de no solo entender completamente las causas de sus pérdidas pasadas, sino también planear
proactivamente para prevenir pérdidas similares en un futuro. Al utilizarse para identificar la verdadera causa de
pérdidas anteriores, el uso de las técnicas de ACR le permite a las organizaciones identificar y después, tratar la
“enfermedad” en lugar de simplemente aplicar una solución Curita temporal a los “síntomas”. Al hacerlo, la
mayoría de las organizaciones se darán cuenta que el costo total de riesgo se reduce, puesto que ya no requiere
abordar repetidamente el mismo problema.
Así mismo, al aplicar las técnicas de ACR para analizar las acciones, iniciativas y objetivos propuestos mientras
aún se encuentren en la fase de planeación, las organizaciones normalmente pueden mejorar desde un comienzo,
aquellas soluciones a través de la integración de controles de riesgo efectivos. Esto tiende no solo a mejorar la
eficiencia de las soluciones en sí, sino también ayuda a prevenir la necesidad (y costo) asociada con el
incremento de capas de control de riesgo adicionales después de la implementación. Esto ayuda a reducir aún
más los costos, ya que la aplicación de la implementación posterior generalmente es menos efectiva y a veces es
demasiado tarde para salvar del fracaso a una oportunidad prometedora.
Las organizaciones pueden mejorar las probabilidades de éxito de los resultados futuros, al aplicar los controles
de riesgos – y factores de éxito no reconocidos con anterioridad – que tratan eficientemente con las fuentes de
riesgos iniciales o subyacentes. Al hacerlo, reducen su costo de riesgo general al tratar reactiva y proactivamente
las causas raíces actuales de exposición al riesgo.
105
ANSI / ASIS / RIMS RA.1-2015
Anexo C
(informativo)
C.1 General
Las evaluaciones de riesgo frecuentemente contienen parte de la información más sensible de la organización.
Siendo consistente con los requisitos de protección de la información, legislación de privacidad, políticas de
administración de recursos humanos y las necesidades de las partes interesadas, el gerente de riesgos y el LER
deben establecer, documentar y mantener un procedimiento para la verificación e investigación de todo el
personal involucrado en las actividades de su evaluación de riesgos. Los requisitos y la realización de las
revisiones de antecedentes y acreditación de seguridad varían significativamente entre los tipos de evaluación y
las prácticas administrativas de la organización. Por ejemplo, las evaluaciones de riesgo de seguridad,
normalmente se consideran de alto riesgo y se lleva a cabo un proceso de verificación riguroso de antecedentes
hecho por el Oficial en Jefe de Seguridad o algún designado. Por otro lado, las revisiones de antecedentes en las
evaluaciones de riesgo en negocios estratégicos y los procedimientos de verificación normalmente se incluyen
como parte general de la revisión de antecedentes y proceso de verificación del empleado en recursos humanos.
El gerente de riesgos y LER deben revisar el enfoque de la organización en cuanto a los objetivos y requisitos
del tipo de evaluación de riesgos que se esté llevando a cabo y asegurar que todo el personal involucrado en las
actividades de su evaluación de riesgos cumplan con estos requisitos. El proceso de investigación y acreditación
pueden incluir, pero no estar limitados a, revisiones de antecedentes, entrevistas y revisión de histórico laboral.
NOTA: Los detalles proporcionados a continuación representan al enfoque más riguroso que generalmente se requiere de la
evaluación de riesgos de seguridad. Para otros tipos de evaluaciones de riesgo, el nivel de rigurosidad se debe adaptar en
cuanto a los objetivos y requisitos de la evaluación, tomando en consideración los requisitos de protección de la información,
legislación de privacidad, políticas administrativas de recursos humanos y las necesidades de las partes interesadas.
106
ANSI / ASIS / RIMS RA.1-2015
entrevistas, supervisadas por la alta dirección de la organización y apegados con las políticas generales de
seguridad y de recursos humanos.
a) Verificación de identidad;
c) Acreditación.
Las exclusiones se deben documentar cuando la información no está disponible, no es confiable o inapropiada.
La verificación de identidad debe incluir la verificación de la validez del histórico personal y debe considerar
(pero no estar limitada a):
a) Direcciones de casa;
b) Registros de empleo;
c) Medios electrónicos;
g) Registros vehiculares;
h) Reportes crediticios;
a) Verificación de educación;
b) Verificación de empleo;
c) Verificación de licencia/certificación/registro;
d) Referencias personales;
107
ANSI / ASIS / RIMS RA.1-2015
Los candidatos deben proporcionar dos referencias laborales, así como una referencia de honradez relevante a su
trabajo o jurisdicción local. El proceso de investigación también puede incluir una revisión de la documentación
entregada por el candidato.
C.3 Entrevistas
El gerente de riesgos y el LER deben establecer un procedimiento de entrevista, incluyendo la jerarquía de los
entrevistadores, los cuales deben estar supervisados por el gerente de riesgos. La alta gerencia debe seleccionar
un gerente de riesgos que ha sido verificado a través de una entrevista e investigación para ser fiable y tener la
competencia y juicio necesarios para investigar al personal involucrado en las actividades de su evaluación de
riesgos. El gerente responsable debe evaluar a través de la revisión de documentación entregada por el candidato,
entrevistas y monitoreo constante, la fiabilidad y las características de comportamiento apropiadas del personal
involucrado en las actividades de su evaluación de riesgos.
108
ANSI / ASIS / RIMS RA.1-2015
Anexo D
(informativo)
El reporte de evaluación de riesgos proporciona un resumen conciso basado en evidencia, de las actividades de la
evaluación de riesgos, así como las principales conclusiones y recomendaciones. El reporte generalmente
incluye lo siguiente:
a) Identificación de la organización y del gerente de riesgos que lleva a cabo la evaluación de riesgos;
e) El criterio de riesgo;
h) Identificación del LER, miembros del equipo de evaluación y cualquier persona que los acompañe;
i) Las fechas y lugares donde se llevaron a cabo las actividades de evaluación (in-situ o vía remota);
j) Métodos de evaluación;
l) Un registro de riesgo; y
c) Plan de evaluación;
109
ANSI / ASIS / RIMS RA.1-2015
d) Calendario del plan de evaluación;
h) Oportunidades de mejora;
l) Evaluaciones subsecuentes;
110
ANSI / ASIS / RIMS RA.1-2015
Anexo E
(informativo)
Hay varios enfoques y materiales de referencia relacionados con el control de la Seguridad de la Información
Sensible (SSI por sus siglas en inglés), clasificación de documentos, cuidado custodial, mantenimiento, métodos
de distribución/transmisión/almacenaje y protección contra la divulgación a entidades no autorizadas. Los
métodos de clasificación y restricción relacionados con la distribución pueden tener muchas variables
dependiendo del órgano rector, requisitos de autorización de seguridad y su relación contractual con el asesor de
la organización.
Los procedimientos de confidencialidad y protección de documentos deben determinar y definir como mínimo:
i. Información;
iii. Planes;
111
ANSI / ASIS / RIMS RA.1-2015
Anexo F
(informativo)
F.1 General
Construir una organización fuerte, es parte de cualquier buena estrategia de administración de negocios. Para
poder prosperar y sobrevivir, las organizaciones necesitan adaptarse a un ambiente de cambio constante. Para ser
ágil y fuerte para poder lograr los objetivos de la organización, ésta necesita aprovechar todas las disciplinas que
contribuyen a la administración de riesgos. Para que las organizaciones administren el riesgo con un costo
eficiente, deben desarrollar estrategias balanceadas para tratar de forma adaptable, proactiva y reactiva de
maximizar las oportunidades y minimizar la probabilidad y consecuencias de eventos potenciales, no deseados y
perturbadores (vea ANSI/ASIS SPC.1-2009).
La organización debe establecer, implementar y mantener procedimientos para prevenir y administrar los
eventos perturbadores, los cuales tienen el potencial de dañar a la organización, sus partes interesadas principales
incluyendo a los socios de la cadena de suministro y al ambiente.
Los procedimientos deben ser concisos y aceptables para aquellos responsables de su implementación. Los
diagramas de flujo, gráficas, tablas y listas de acción deben utilizarse en lugar de texto extenso.
El propósito y alcance de cada procedimiento debe acordarse con la alta dirección y ser entendido por aquellos
responsables de su implementación. Las dependencias e interdependencias deben identificarse y se debe
establecer y entender la relación entre los procedimientos, incluyendo aquellos de servicios de emergencia y
autoridades locales. Las siguientes secciones proporcionan más información sobre los procedimientos
seleccionados. Al final de este anexo existen algunas plantillas para los diferentes planes.
Los procedimientos de prevención deben describir cómo tomará la organización los pasos proactivos para
proteger sus activos al establecer enfoques arquitectónicos, administrativos, de diseño, operacionales y
tecnológicos para evitar, eliminar o reducir la probabilidad de la materialización de riesgos, incluyendo la
protección de activos de amenazas y peligros imprevistos.
Los procedimientos de mitigación deben describir cómo tomará la organización los pasos proactivos para
proteger sus activos al establecer enfoques inmediatos, provisionales y a largo plazo para reducir las
112
ANSI / ASIS / RIMS RA.1-2015
consecuencias de riesgos antes de que se materialicen, incluyendo la protección de activos de amenazas y
peligros imprevistos.
Las organizaciones podrían escoger tener un solo procedimiento con secciones y/o anexos tratando con
diferentes tipos de incidentes. Como alternativa, se podría escribir procedimientos separados para cada tipo de
incidente.
La organización debe designar un “dueño” primario para cada procedimiento de prevención y mitigación y debe
estipular quién es el responsable de revisar, enmendar y actualizar el procedimiento. El proceso de revisar,
enmendar, actualizar y distribuir los procedimientos debe ser controlado.
e) Controles administrativos, tales como prácticas o procedimientos laborales que reduzcan el riesgo; y
113
ANSI / ASIS / RIMS RA.1-2015
Los procedimientos de respuesta deben describir cómo responderá la organización a uno o más tipos de eventos
perturbadores. Las organizaciones podrían escoger tener un solo procedimiento con secciones y/o anexos
tratando con diferentes tipos de incidentes. Como alternativa, se podría escribir procedimientos separados para
cada tipo de incidente.
Algunos procedimientos de respuesta podrían ser implementados con antelación del evento perturbador; por
ejemplo, a la espera de un daño de un cercano ciclón tropical, incendio forestal o ataque malicioso sobre la
organización o un socio de la cadena de suministro. En estas circunstancias, se le dará énfasis a proteger y/o
remover los activos prioritarios y de comunicar sobre riesgo del daño al personal, organizaciones externas y a las
autoridades.
d) Medidas para limitar la forma y extensión del daño ambiental causado por el evento perturbador;
f) Criterio que determinará si el evento perturbador se clasificará como incidente, accidente, emergencia,
crisis y/o un desastre;
k) Detalles de contacto de todos los individuos responsables de implementar el procedimiento y otros que
necesiten ser notificados que el procedimiento está siendo o ha sido implementado.
La organización debe designar un “dueño” primario para cada procedimiento de prevención y mitigación y debe
estipular quién es el responsable de revisar, enmendar y actualizar el procedimiento. El proceso de revisar,
enmendar, actualizar y distribuir los procedimientos debe ser controlado.
114
ANSI / ASIS / RIMS RA.1-2015
F.4 Procedimientos de Continuidad
El propósito de un procedimiento de continuidad es de definir las medidas a ser tomadas por la organización para
mantener y/o re-establecer las actividades prioritarias de la organización y sus socios de la cadena de suministro.
Los procedimientos de continuidad deben describir cómo mantendrá y/o re-establecerá la organización las
actividades críticas en un periodo inmediato después de la fase de respuesta/emergencia. Las organizaciones
podrían escoger tener un solo procedimiento con secciones y/o anexos tratando con diferentes tipos de
incidentes. Como alternativa, se podría escribir procedimientos separados para cada tipo de incidente.
b) Activos prioritarios a ser protegidos durante e inmediatamente después del evento perturbador;
e) Medidas para limitar la forma y extensión del daño ambiental causado por el evento perturbador;
h) La estructura organizacional a utilizarse incluyendo enlaces con agencias externas tales como servicios
de emergencia y cuerpos de salud y seguridad ocupacional;
k) Detalles de contacto de todos los individuos responsables de implementar el procedimiento y otros que
requieran ser notificados que el procedimiento está siendo implementado.
La organización debe designar un “dueño” primario para cada procedimiento de prevención y mitigación y debe
estipular quién es el responsable de revisar, enmendar y actualizar el procedimiento. El proceso de revisar,
enmendar, actualizar y distribuir los procedimientos debe ser controlado.
NOTA: Los procedimientos de continuidad podrían ejecutar conjuntamente con los procedimientos de respuesta
y recuperación.
115
ANSI / ASIS / RIMS RA.1-2015
Los procedimientos de recuperación deben describir cómo re-establecerá la organización todas las actividades
operacionales y de soporte necesarias, reemplazará los activos e información dañados y/o destruidos,
reconstruirá la marca y reputación de la organización y asistirá al personal para recuperarse del evento. Las
organizaciones podrían escoger tener un solo procedimiento con secciones y/o anexos tratando con diferentes
tipos de incidentes. Como alternativa, se podría escribir procedimientos separados para cada tipo de incidente.
b) Actividades operacionales y de soporte a ser re-establecidas y/o restauradas y la prioridad para dicha
restauración;
c) Activos incluyendo propiedad, equipo, información, vehículos y tiendas a ser reparadas y/o
reemplazadas y la prioridad para dicha reparación y reemplazo;
j) La estructura organizacional a utilizarse incluyendo enlaces con agencias externas tales como cuerpos de
salud y seguridad ocupacional y ajustadores/compañías de seguros; y
La organización debe designar un “dueño” primario para cada procedimiento de prevención y mitigación y debe
estipular quién es el responsable de revisar, enmendar y actualizar el procedimiento. El proceso de revisar,
enmendar, actualizar y distribuir los procedimientos debe ser controlado.
NOTA 1: Los procedimientos de recuperación podrían ejecutar conjuntamente con los procedimientos de
continuidad.
116
ANSI / ASIS / RIMS RA.1-2015
Objetivos y Medidas de
Éxito
Pasos de Implementación
y Frecuencia
Roles, Responsabilidades
y Autoridades
Requisitos de
Comunicación
Interdependencias e
Interacciones Internas y
Externas
Requisitos de Recursos,
Competencia y
Entrenamiento
Flujo de Información y
Documentación
117
ANSI / ASIS / RIMS RA.1-2015
Actividades Prioritarias a
Mantener
Situación /Condición en la
Cual el Plan Será
Implementado
Roles y Responsabilidades
de los Individuos y
Grupos
118
ANSI / ASIS / RIMS RA.1-2015
PLAN DE TRATAMIENTO DE RESPUESTA
Estructura de la
Organización a Utilizar,
Incluyendo Mando de
Incidentes y Enlaces
Externos
Detalles de Contacto de
Todos los Individuos
119
ANSI / ASIS / RIMS RA.1-2015
Actividades Prioritarias a
Mantener
Actividades a Restaurar
como Prioridad Después
de un Evento
Situación /Condiciones en
la Cual el Plan Será
Implementado
Roles y Responsabilidades
de los Individuos y
Grupos
120
ANSI / ASIS / RIMS RA.1-2015
PLAN DE TRATAMIENTO DE CONTINUIDAD
Estructura de la
Organización a Utilizar,
Incluyendo Mando de
Incidentes y Enlaces
Externos
Procedimientos de
Comunicación Dentro de
la Organización
Detalles de Contacto de
Todos los Individuos
121
ANSI / ASIS / RIMS RA.1-2015
Anexo G
(informativo)
La eliminación de todos los riesgos no es posible. La evaluación de riesgos proporciona un análisis detallado de
los niveles de riesgo y los métodos de tratamiento requeridos para llevar al riesgo a un nivel tan bajo como sea
razonablemente práctico. Los costos y beneficios de tratar un riesgo y el potencial de explotar las oportunidades,
afectará la determinación de cuál método de tratamiento llevará al riesgo a un nivel tan bajo como sea
razonablemente práctico. Los riesgos residuales necesitan mayor consideración para desarrollar planes de
contingencia.
Un Análisis de Impacto en el Negocio (BIA por sus siglas en inglés), proporciona un enfoque estructurado para
obtener información sobre las actividades, funciones y procesos críticos de la organización y los recursos
asociados necesarios para la organización para mitigar los impactos de eventos indeseables y perturbadores. El
BIA:
a) Evalúa actividades, funciones y procesos críticos y su rol en el logro de los objetivos organizacionales;
b) Determina las actividades, funciones y procesos más críticos y los recursos (activos) que se requieren
para lograr el resultado deseado;
c) Prioriza las actividades, funciones y procesos más críticos que deben ser operacionales para mantener un
nivel aceptable de funcionalidad comercial durante e inmediatamente después de una interrupción
comercial inaceptable; y
d) Determina los márgenes de tiempo y requisitos de recursos para mantener las actividades, funciones y
procesos críticos después de un evento de riesgo para restaurar la operación al nivel requerido para
cumplir con los objetivos organizacionales.
La organización podría llevar a cabo un BIA sobre actividades, funciones y procesos críticos relacionados con su
riesgo residual y desarrollar planes de contingencia. El propósito del BIA debe ser para determinar:
a) Criticidad – Se identifica cada función crítica del negocio (con sus dependencias e interdependencias
relacionadas) y se determina el impacto de un evento indeseable y perturbador.
b) Máxima Inactividad – Se estima el máximo de inactividad que se pueda tolerar mientras aún se
mantenga la viabilidad. La gerencia debe determinar el periodo de tiempo más largo en que un proceso
crítico pueda ser interrumpido antes de que la recuperación se vuelva improbable.
c) Requisitos de Recursos – Los esfuerzos para recuperación realista requieren de una evaluación detallada
de los recursos requeridos para reanudar las operaciones críticas y las interdependencias relacionadas tan
pronto como sea posible.
122
ANSI / ASIS / RIMS RA.1-2015
Los objetivos de márgenes de tiempo y de recuperación normalmente se definen en términos de:
• Interrupción Máxima Permisible: Representa el periodo de tiempo máximo que una organización puede
tolerar la pérdida de la capacidad de una función, proceso o bien crítico del negocio.
d) Margen de tiempo cuando la organización requiere una capacidad operacional del 100%
Existen muchas metodologías para llevar a cabo el BIA. La metodología debe adaptarse a las necesidades de la
toma de decisiones de la organización y el logro de los objetivos organizacionales. Las tres siguientes figuras
representan un enfoque generalizado de la realización de un análisis de impacto en el negocio.
123
ANSI / ASIS / RIMS RA.1-2015
Figura 16: Análisis de Impacto en el Negocio (BIA por sus siglas en inglés)
124
ANSI / ASIS / RIMS RA.1-2015
Determina las
Determina el Determina las
Operaciones Interdependencias
Alcance del BIA
Críticas
125
ANSI / ASIS / RIMS RA.1-2015
Anexo H
(informativo)
H BIBLIOGRAFÍA
ISO 19011:2011, Lineamientos para la calidad y/o auditorias de sistemas de administración ambiental
126