Estandar-Evaluacion de Riesgos

ANSI
/ ASIS / RIMS RA.1-2015

ANSI / ASIS / RIMS RA.1-2015
Estándar Nacional Americano
EVALUACIÓN DE RIESGOS

Aprobado Agosto 3, 2015

American National Standards Institute, Inc.
ASIS International and Risk and Insurance Management Society, Inc.
Resumen
Este Estándar proporciona una guía en el desarrollo y sustento de un programa coherente y efectivo de evaluación de
riesgos incluyendo principios, administración de un programa general de la evaluación de riesgos, y la realización de
evaluaciones de riesgos individuales, al igual que la confirmación de las competencias de asesores de riesgos y la
comprensión de las tendencias. Este Estándar describe un programa detallado de evaluación de riesgos y evaluaciones
individuales para proporcionar los fundamentos para un proceso de administración de riesgos. Los siete anexos
proporcionan orientación adicional para aplicar evaluaciones de riesgos y tratamientos potenciales.
i

NOTIFICACIONES Y AVISO LEGAL
La información en esta publicación fue considerada técnicamente válida por el consenso de aquellos quienes se
involucraron en el desarrollo y aprobación del documento durante el momento de su creación. El consenso no
necesariamente significa que exista un acuerdo unánime entre los participantes en el desarrollo de este documento.
Las publicaciones de estándares y lineamientos de ASIS y RIMS, de los cuales el documento aquí contenido forma parte de
ellos, se desarrollan a través de un proceso de desarrollo de un consenso voluntario de estándares. Este proceso junta
voluntarios y/o busca los puntos de vista de personas que tienen un interés y conocimiento en el tema cubierto en esta
publicación. Mientras ASIS administre el proceso y establece reglas para promover la equidad en el desarrollo del consenso,
no escribe el documento ni prueba, evalúa o verifica independientemente la veracidad o integridad de cualquier información
o la validez de algún juicio contenido en sus publicaciones de estándares y lineamientos.
ASIS es una sociedad profesional constituida por voluntarios, sin fines de lucro sin potestad normativa, licencimiento o
autoridad sobre sus miembros o cualquier otro. ASIS y RIMS no aceptan o asumen responsabilidad de terceras partes
porque no tienen la autoridad para hacer cumplir sus estándares y lineamientos. Ellos no asumen responsabilidad de cuidar
al público en general, porque sus trabajos no son obligatorios y porque no monitorean su uso.
ASIS y RIMS no asumen responsabilidad por ninguna lesión personal, daños propietarios u otros de cualquier que sea su
naturaleza, siendo especial, indirecta, consecuencial o compensatoria, directa o indirecta resultante de la publicación, uso,
aplicación o dependencia de este documento. ASIS y RIMS renuncian responsabilidad y no garantizan ni aseguran, expresa
o implícitamente, en cuanto a la precisión o integridad de cualquier información publicada aquí mismo y renuncian
responsabilidad y no garantiza que la información en este documento cumplirá los objetivos y necesidades y cualquier
persona o entidad. ASIS y RIMS no se comprometen a asegurar el rendimiento de los productos o servicios de cualquier
individuo manufacturero o vendedor en virtud de este estándar o guía.
Al publicar y hacer disponible este documento, ASIS y RIMS no se responsabilizan por entregar servicios profesional o de
otro tipo para o a nombre de cualquier persona o entidad, ni ASIS y RIMS asumen realizar una tarea perteneciente a
cualquier persona o entidad para alguien más. Cualquiera que use este documento debe depender de su propio juicio o,
según lo apropiado, buscar el consejo de un profesional competente para determinar el ejercicio de cuidado razonable en
cualquier circunstancia dada. La información y otros estándares en el tema tratado en esta publicación pueden estar
disponibles en otros recursos, los cuales el usuario podría querer consultar para obtener puntos de vista adicionales o
información no cubierta en esta publicación.
ASIS y RIMS no tienen poder, ni tampoco asumen vigilar u obligar cumplimiento del contenido de este documento. ASIS y
RIMS no tienen control sobre cuál de sus estándares, en su caso, puede adoptarse por las agencias gubernamentales
regulatorias o sobre alguna actividad o conducta que pretende agregar a sus estándares- ASIS y RIMS no enlistan,
certifican, prueban, inspeccionan o aprueban prácticas, productos, materiales, diseños o instalaciones para cumplir con sus
estándares. Simplemente publican estándares para ser usados como lineamientos que terceros podrían o no escoger seguir,
modificar o rechazar. Cualquier certificación u otra declaración de conformidad con cualquier información en este
documento no se deben atribuir a ASIS y RIMS y es completamente la responsabilidad del certificador o realizador de la
declaración.
Todos los derechos están reservados. Ninguna parte de esta publicación puede ser reproducida, guardada en un sistema de
recuperación o trasmitida, de ninguna forma o por ningún medio, electrónico, mecánico, fotocopiado, grabado u otro, sin el
previo consentimiento por escrito del dueño de los derechos.
Copyright © 2015 ASIS International and Risk and Insurance Management Society, Inc. Todos los derechos reservados.
ISBN: 978-1-934904-75-6
ii

PRÓLOGO
La información contenida en este Prólogo no es parte de los Estándares Americanos Nacionales (ANS, por sus siglas en
inglés) y no ha sido procesada según los requisitos del ANSI para un ANS. Como tal, este Prólogo puede incluir material
que no ha sido sujeto a una revisión pública o a un proceso de consenso. Así mismo, no contiene los requisitos necesarios
para confirmar un Estándar.
Los lineamientos de ANSI especifican dos categorías de requisitos: mandatorios y recomendaciones. Los requisitos
mandatorios se designan por la palabra deberá y las recomendaciones por la palabra debe. Donde ambos, requerimiento
mandatorio y una recomendación se especifican para el mismo criterio, la recomendación representa una meta identificable
actualmente para tener diferentes ventajas competitivas o de desempeño.
ASIS International and Risk Management Society, Inc. colaboraron en el desarrollo de este estándar de Evaluación de
Riesgos.
Sobre ASIS
ASIS International (ASIS) es la organización de miembros más grande para la administración de profesionales de seguridad
que cruza sectores industriales, abarcando cualquier disciplina junto con el espectro de seguridad de lo operacional a la
ciber-seguridad. Fundada en 1955, ASIS está dedicada a incrementar la eficiencia de los profesionales de seguridad en todos
los niveles.
Con membresías y divisiones alrededor del mundo, ASIS desarrolla y entrega certificaciones del consejo y estándares
industriales, alberga oportunidades de contacto, publica la premiada revista de Security Management, y ofrece programas
educacionales, incluyendo el Seminario Anual y Exhibiciones – el evento más influyente de la industria de seguridad. Ya
sea proporcionando un pensamiento de liderazgo a través de la mesa redonda de CSO para los ejecutivos más altos de la
industria o abogando ante negocios, gobierno o los medio, ASIS está enfocada en avanzar en la profesión y asegurar que la
comunidad de seguridad tiene acceso a inteligencia, recursos y tecnología necesaria dentro de la iniciativa empresarial.
www.asisonline.org
El trabajo de preparar estándares y lineamientos se lleva a cabo por los Comités de Estándares y Lineamientos de ASIS
International y es regido por la Comisión de ASIS de Estándares y Lineamientos. Como una Organización de Desarrollo de
Estándares (SDO, por sus siglas en inglés) acreditada por ANSI, ASIS participa activamente en la Organización
Internacional de Estándares (ISO, por sus siglas en inglés). La misión de la Comisión de ASIS de Estándares y
Lineamientos es promover la práctica de administración de seguridad a través del desarrollo de estándares y lineamientos
dentro de un proceso voluntario, sin fines de lucro y basado en un consenso, utilizando en la mayor medida de lo posible el
conocimiento, experiencia y competencia de los miembros ASIS, profesionales de seguridad y la industria global de
seguridad.
Sobre RIMS
Como la organización preeminente dedicada a promover la práctica de administración de riesgos, RIMS, the risk
management society™, es una organización global sin fines de lucro representando a más de 3,500 entidades industriales,
de servicio, sin fines de lucro, caritativas y gubernamentales alrededor del mundo. Fundada en 1950, RIMS trae a sus
miembros oportunidades de contacto, desarrollo profesional y educacional de más de 11,000 profesionales de
administración de riesgos que están ubicados en más de 60 países.
Son bienvenidas las sugerencias para mejorar este documento. Deben enviarse a ASIS International, 1625 Prince Street,
Alexandria, VA 22314-2818.
Miembros de la Comisión
Charles Baley, Farmers Insurance Group, Inc.
Michael Bouchard, Sterling Global Operations, Inc.
Cynthia P. Conlon, CPP, Conlon Consulting Corporation
iii

William Daly, Control Risks Security Consulting
Lisa DuBrock, Radian Compliance LLC
Eugene Ferraro, CPP, CFE, CPI, SPHR, Convercent, Inc.
F. Mark Geraci, CPP, Purdue Pharma L.P., Presidente
Bernard Greenawalt, CPP, Securitas Security Services USA, Inc.
Robert Jones, Socrates Ltd
Glen Kitteringham, CPP, Kitteringham Security Group Inc.
Michael Knoke, CPP, Express Scripts, Inc., Vicepresidente
Bryan Leadbetter, CPP, Alcoa Inc.
Marc Siegel, Ph.D., Comisionado, Iniciativa ASIS de Estándares Globales
José Miguel Sobron, Naciones Unidas
Roger Warwick, CPP, Pyramid International Temi Group
Allison Wylde, Consultora
Al momento de aprobar este documento, RA, quien es responsable del desarrollo de este Estándar, tenía los siguientes
miembros:
Miembros del Comité:

Comité Copresidencia: Carol Fox, ARM, Director de Estrategias y Práctica Empresarial, RIMS
Comité Copresidencia: Marc Siegel, Ph.D., Comisionado, Iniciativa ASIS de Estándares Globales
Comisión de Vinculación: Glen Kitteringham, CPP, Kitteringham Security Group Inc.
Comité Secretarial: Sue Carioti, Secretaria ASIS
Kaleen Ahmed, Independiente

Sean Ahrens, M.A., CPP, BSCP, CSC; Aon Corporation
Ian Alderson, CPP, Independiente
Christopher Aldous, Dip SP&C (Open), CPP, PSP, Design Security Ltd
Lyle Alexander, CPP, A.R.M Specialists Ltd
Rex Alexander, HeliExperts International LLC
Kanch Algama, DynCorp International, LLC
Franck Amoyaw, LandMark Security Limited
Edgard Ansola, CISA; CISSP, CEH, CCNA; Asepeyo MATEPSS n°151
Gina Arbeau, Cadillac Fairview Ltd.
Julie Ashley, The MITRE Corporation
Paul Aube, CPP, Dessau
Don Aviv, CPP, PSP, PCI, Interfor Inc.
Pradeep Bajaj, eagle Hunter Solutions Limited
Mark Baker, CPP, Macatoma Security Inc.
Guillaume Banville, PSP, Bell Canada
Serge Barbeau, CPP, Chartand-Barbeau
Shayne Bates, CPP, LMC Consulting Group
Mark Beaudry, CPP, Independiente
Jay Beighley, CPP, CFE, Nationwide Insurance
Dan Belai, CPP, PSP, Independiente
Franck Bellomo, Business Risks International
iv

Ray Bernard, PSP, RBCS, Inc.
William Besse, Andrews International LLC
John Biddy, CPP, Independiente
Robert Birdsall, CPP, Independiente
Ingeborg (Inge) Black, CPP, CFE, CPOI, Appollo International
Dennis Blass, CPP, PSP, CISSP, CFE, Children’s of Alabama
John Boal, CPP, PCI, Independiente
Michael Bouchard, Security Dynamics Group LLC
Gertrude Branch, Cruz Roja Nacional Americana
Patrick Brennan, Crivello Carlson
Mitchell Brockbank, CISSP, CISA, Independiente
John Brown, CPP, Thomson Reuters
Michael Brzozowski, PSP, CPP, Symcor
Dirk Buerhaus, KOETTER GmbH & Co. KG Security
David Bunch, CPP, Independiente
Donald Byrne, CBCP, CDCP, Independiente
James Calder, Ph.D, CPP, Independiente
Herbert Calderon, CPP, PSP, CFE, Talisman Energy
John Casas, PSP, John Casas & Associates LLC
Laurie Champion, CPCU, Aon Corporation
Chee-Seng Chan, CBCP, Spot Management Services Pte., Ltd.
Antony Chattin, Líder Auditor IRCA 9001, Maritime Security Solutions Global Ltd.
Albert Concordia, CPP, ACE Group Insurance
Bill Cooper, Northwest University
Amaury Cooper, International Relief & Development (IRD)
José Correa, CPP, PSP, Independiente
Georges Cowan, Business Continu-IT Partners
Geoffrey Craighead, CPP, Universal Protection Service
Michael Crocker, CPP y CSC, Michael Crocker, CPP & Assoc., Inc.
Kenneth Crowther, The MITRE Corporation
Dana Curtiss, Cook Country Department of Homeland Security & Emergency Management
Ali Dalipi, Villanova University
Allan Davis, Sizemore Inc.
Frank Davis, CPP, MSc. Trident Manor
Eric Davoine, Independiente
Robert Day, CPP, PCI, CSP, CRSP, CHRP, CPMSIA, Office of Regulatory Change Management
Debra Decker, Independiente
Donald Decker, CPP, CPM, Robson Forensic, Inc.
Sean Denson, World Vision International
Mark DeWitt, Independiente
Anthony DiSalvatore, CPP, PSP, PCI, REVEL
Anthony Dobson, Independiente
Richard Dobson, Luxottica
María Domínguez, CPP, Bank of America
Bobby Domínguez, CPP, CISSP, PMP, Infinite Computer Systems, Inc.
v

Daniel Donohue, CPP, Caterpillar Inc.
Jack Dowling, CPP, PSP, JD Security Consultants, LLC
Kristen Drobnis, PMP, CBCP, CSOX, CGRM, CGRM-IT, TD Bank
David Droster, The Briggs & Stratton Corporation
Johan Du Plooy, CPP, Temi Group
Jason Dury, Independiente
William Eardley, Independiente
Nocholas Economou, M.B.A., Cablevision Systems Corporation
Michael Edgerton, CPP, Indpendiente
Eduard Emde, CPP, CISSP, BMKISS Europe
Robert Fay Sr., IOSSI Unexploded Ordinance, Inc.
David Feeney, CPP, AlliedBarton Security Services
Ali Ferrer, PSP, Independiente
Joseph Finley, Jr., Ph.D., CPP, G4S Secure Solutions, (USA), Inc.
Window Fitzgerald, CPP, CHS-III, CFE, Fitzgerald Technology Group
Lawrence Fitzgerald, CPP, PSP, TRC Corporation
William Foos, CPP, Gannett Fleming, Inc.
Kevin Foster, CPEng, PhD, Foster Risk Management Ptg Ltd.
Thomas Frank, CPP, AbbVie Inc.
Sherryl Fraser, Algonquin College
Rudolf Friederich, CPP, Independiente
Andrew Gale, CPP, CFE, PCIP, Independiente
Francis Gallagher, PSP, Good Harbor Techmark, LLC
Nanpon Gambo, CSS, Nigerian Army
Scott Gane, CPP, CRISC, Gane Security Solutions
Douglas Glenn, PMP, SimplexGrinnell LP
Salvatore Grasso, Independiente
Harold Grimsley, CPP, Blue Cross Blue Shield of Florida
Jeffrey Gruber, CPP, CHS-IV, Independiente
Philip Guffey, CPP, Roche Diagnostics
Carlos Guzmán, Security 101
Mark Hankewycz, CPP, The Protection Engineering Group, Inc.
Steven Harback, CPP, Independiente
Jerry Hart, MSc, SGS
Jeffrey Hauk, CPP, El Paso Water Utilities
Jeffrey Hawley, ARES Security Corporation
Patrick Hayden, Monsanto
Henri Hemery, PhD, RISK&CO
Alistair Hogg, CPP and MSc, Indendiente
Robert Holm, McDonald’s USA
Diane Huberman-Arnold, Independiente
George Huff, CBCP, BCMS Auditor, MBCI, Association of Contingency Planners (ACP)
Robert Hulshouser, CPP, Independiente
John Hunepohl, PSP, ASSA ABLOY
Russell Hunt, Independiente
vi

Adam Incher, CPP, ACT Government, Shared services
Scott Jack, CPP, Baylor Health Care System
Calvin Jaeger, Independiente
Celia Jarvis, SPHR, MCR, LLC
Katherine Johnson, Harsco Corporation
Taylor Johnson, CPP, Independiente
Roger Johnson, CPP, Argonne National Laboratory
Nicholas Jones, CPP, Independiente
Edward Jopeck, Independiente
Matthew Jordan, CPP; Parsons Corporation
Richard Kibbey, CPP, PSP, Independiente
Glen Kitteringham, CPP, Kitteringham Security Group, Inc.
Kelly Klatt, CPP, Loews Hotels
Don Knox, CPP, CITRMS, Caterpillar Inc.
Daniel Kropp, CPP; Towers Watson
Ellen Ku, CBCP, Association of Contingency Planners (ACP)
Michael Kuras, CBCP; CHP, AIM Specialty Health
Keith Kushner, TRC Corporation
Eliot Kushner, CPP; CHS-V, NICET, Pacific Gas & Electric
Henrik Laidlow-Petersen, Siemens Wind Power
Mukesh Lakhanpal, CPP, G4S Secure Services India Pvt. Ltd.
Ronald Lander, CPP, Ultrasafe Security Solutions
Robert Lang, Kennesaw State University
Laura Langone, JD, Juniper Networks, Inc.
Russell Law, PSP, Gralion, LLC
Donals Lee, Jr., CPP, First Citizen Bank of North Carolina
James Lflar, Jr., CPP, CBCP, MBCI, Zantech IT Services
Vickie Leighton, AMBCI, Avanade Inc.
Jeffrey Leonard, CPP, PSP, Securitas Critical Infrastructure Services, Inc.
Vincent Lombardi, Jr., E*TRADE Financial
Christopher Lowery, Celgene Corporation
James Lukaszewski, Risdall Public Relations
Grant Lundberg, First Citizens Bank of North Carolina
William Lutz, Jr., Security On-Line Systems, Inc.
Ashley MacDonald, NCSO (ACSA) CPO (IFPO), United Protection Services, Inc.
Anthony Macisco, CPP, The Densus Group
Virginia MacSuibhne, J.D., CCEP, Roche Molecular Systems
Tracy Male, CFCP, CBCA, Independiente
Peter Marotto, M.Ed., Independiente
Ronald Martin, CPP, Open Security Exchange
Jan Mattingly, CRM, RF, CIP, RiskResults Consulting Inc.
Christopher Mayer, Department of Defense
Joe Mazza, CHPP, Independiente
Lachlan McConnell, Orion Support, Inc. (OSI)
Timothy McCreight, Government of Alberta
vii

Daniel McGarvey, Global Skills Exchange
Raymond McGill, CPP, Care Security Systems
James McGuffey, CPP, PSP, CPI, A.C.E. Security Consultants, LLC
Russell McGuire, Riskonnect, Inc.
Victoria McKenney, ACADEMI LLC
James Mecsics, Independiente
Mohamed Fadhel Meddeb, Offline Solutions LLC
Paul Michaels, CISSP, CPP, ISP, PSP, PCI, CB&I Federal Services
Murray Mills, CPP, Independiente
William Minear, II, CPP, West Virginia Military Authority
Mark Mirek, Beecher Carlson
George Mitchell, Independiente
David Moore, PSP, Jacobs Engineering Inc.
Pedro Moreno, AMPM Mensajería
Andrew Morey, Independiente
Dennis Morgan, DMMS Solutions
Andrew Morgan, STOPline Pty Ltd.
Juan Muñoz, CPP, Associated Projects International
Francisco Muñoz, CPP, Occidental oil and gas Corporation
Patrick Murphy, CPP, PSP, Marriott International Inc.
Drew Neckar, CPP, Mayo Clinic Health System
Joseph Nelson, CPP, State Street
Peter Nevins, ARM, ALCM, Independiente
W. Barry Nixon, SPHR, National Institute for Prevention of Workplace Violence, Inc.
Curtis Noffsinger, CPP, PSP, Independiente
Thomas Norman, CPP, PSP, Protection Partners International
Augustine Okereke, CPP, PZ Cussons Nigeria PLC
Joe Olmeda, CPP, PCI, Independiente
Alexandros Paraskevas, Ph.D., Independiente
Jeff Peck, PSP, City of Toronto
Jean Perois, CPP, PSP, Risk & Co.
Gene Perry, CPP, Independiente
Kevin Peterson, CPP, CPOI, Innovative Protection Solutions, LLC
Axel Petri, Deutsche Telekom AG
Russ Phillips, MMTS Group
John Piper, Bearing LLC
Jose Piscione, CPP, PSP, West Corp
Frank Pisciotta, CPP, Business Protection Specialists, Inc.
Kurt Raffai, Saskgaming Corporation
Bala Ramanan, CISM, CRISC, CBCI, Microland Ltd.
Joseph Rector, CPP, PSP, PCI, 11th Security Forces group
Brett Reddock, M.Sc., ABCP, SEM, Unparalleled Technologies
James Reese, TigerSwan
Vince Regan, CPP, PSP, PCI, Anixter, Inc.
Shawn Reilly, CPP, CHPA, Tech Systems, Inc.
viii

John Richardson, Initiative for Human Rights in Business
Thomas Rohr Sr., CPP, Carestream Health, Inc.
Ronals Ronacher, PSP, Arup
Craig Rydalch, CISSP, CISM, PMP, AIM Specialty Health
Michael Saad, CPP, Gane Security Solutions
Ed Schlichtenmyer, ABCP, ImpactWeather
Brian Schmidt, CPP, Independiente
Michael Schroeder, CBCP, MBCI, US Equities Asset Management
Josh Schubring, CPP, Mulva International Inc.
Michael Severin, Independiente
Alister Shepherd, Allen & Overy LLP
Maya Siegel, M. Siegel Associates
Jeffrey Slotnick, CPP, PSP, Setracon Inc.
Jeff Snider, The MITRE Corporation
Jose Miguel Sobron, Naciones Unidas
Christopher Spillman, PSP, Port Authority of NY & NJ, office of Emergency Management
Gregory Staisiunas, CPP, CTI, FISSM, Independiente
Teresa Stanford, CPP, Security Engineers, Inc.
Barry Stanford, CPP, Independiente
J. Kelly Stewart, Newcastle Consulting LLC
Peter Stiernstedt, CPP, Cikraitz AB
John St-Ilma, PSP, NCSPF, Health Canada
Jeremy Sturgeon, CPP, CFE, Apple
Robert Summers, CPP, Summers Associates, LLC
Timothy Sutton, CPP, CHSS, Sorensen, Wilder & Associates (SWA)
Kenneth Szalontay, CPP, AlliedBarton Security services
Scott Taylor, CPP, Exact Security Pty Ltd.
Scott Tezak, Professional Engineer, TRC Corporation
Rajeev Thykatt, Infosys BPO Ltd.
Yoriko Tobishima, InterRick Research Institute & Consulting, Inc.
Lina Tsakiris, CPP, TD Bank
Ruth Unks, ARM, Maricopa County Community College District
Karim Vellani, CPP, Threat Analysis Group, LLC
Joop Verdonk, CPP, CPOI, European Security Academy
Heather Viccione, PSP, (RBS) Citizens Bank
Corey Vitello, Ph.D., Visa Inc.
Taz Wake, CISSP, CISM, CRISC, Halkyn Consulting
Todd Warren, Spring Hill College
Andrew Weaver, PSP, PMP, Markon, Inc.
Jerry Werries, First Citizens Bank of South Carolina
Michael White, CPP, CRM, Security Risk Canada
Allan Wick, CFE, CPP, PSP, PCI, CBCP, Tri-State Generation & Transmission Association, Inc.
William Wills, CPP, Independiente
Wei-Ning Wong, Ph.D., CBCP, MBCI, Instramax
Loftin Woodiel, CPP, Missouri Baptist University
ix

Greg Wurm, CPP, Anthem
Allison wylde, SRM, Independiente
Mark Yeakley, CPP, Bank of America
Michael Yip, BFL CANADA
Paul Yung, Ph.D., Deloitte Touche Tohmatsu
Davoud Zahedi, Transportation Security Administration Air Cargo Division
Richard Zijdemans, Medtronic Inc.
Mohamad Zineddin, Khalifa University
Jeffrey Zwirn, CPP, CFPS, CFE, IDS Research & Development, Inc.
Miembros del Grupo Laboral

Comité Copresidencia: Carol Fox, ARM, Director de Estrategia y Práctica Empresarial, RIMS
Comité Copresidencia: Marc Siegel, Ph.D., Comisionado, Iniciativa Global de Estándares ASIS
Shayne Bates, CPP, LMC Consulting Group

Dennis Blass, CPP, PSP, CISSP, CFE, Children’s of Alabama
David Bunch, CPP, Independiente
John Casas, PSP, John Casas & Associates LLC
Albert Concordia, CPP, ACE group Insurance
Michael Crocker, CPP y CSC, Michael Crocker, CPP & Assoc, Inc.
Frank Davis, CPP, MSc. Security and Risk Management, Trident Manor
Donald Decker, CPP, CPM, Robson Forensic, Inc.
Sean Denson, World Vision International
Kristen Drobnis, PMP, CBCP, CSOX, CGRM, CGRM-IT, TD Bank
Johan Du Plooy, CPP, Temi group
Jason Dury, Independiente
Windom Fitzgerald, CPP, CHS-III, CFE, Fitzgerald Technology Group
Kevin Foster, CPEng, PhD, Foster Risk Management Ptg Ltd.
Thomas Frank, CPP, AbbVie Inc.
Jeffrey Gruber, CPP, CHS-IV, Independiente
Alistair Hogg, CPP y MSc, Independiente
George Huff, CBCP, Auditor BCMS, MBCI, Association of Contingency Planners (ACP)
Scott Jack, CPP, Baylor Health Care System
Calvin Jaeger, Independiente
Glen Kitteringham, CPP, Kitteringham Security Group Inc.
James Leflar, Jr, CPP, CBCP, MBCI, Zantech IT Services
Vickie Leighton, AMBCI, Avanade Inc.
Jeffrey Leonard, CPP, PSP, Securitas Critical Infrastructure Services, Inc.
Anthony Macisco, CPP, The Densus Group
Jan Mattingly, CRM, RF, CIP, RiskResults Consulting Inc.
William Minear, II, CPP, West Virginia Military Authority
Curtis Noffsinger, CPP, PSP, Independiente
Kevin Peterson, CPP, CPOI, Innovative Protection Solutions, LLC
Vince Regan, CPP, PSP, PCI, Anixter, Inc.
Jeffrey Slotnick, CPP, PSP, Setracon Inc.
x

J. Kelly Stewart, Newcastle Consulting LLC
Jeremy Sturgeon, CPP, CFE, Apple
Andrew Weaver, PSP, PMP, Markon, Inc.
William Wills, CPP, Independiente
xi

Esta página se dejó intencionalmente en blanco.
xii

0 INTRODUCCION .................................................................................................. xvi
0.1 General ................................................................................................................................................. xvi
0.2 Definición de Evaluación de Riesgos ..................................................................................................... xvii
0.3 Análisis Cualitativo y Cuantitativo ...................................................................................................... xviii
0.4 Administrando Evaluaciones Organizacionales y los Riesgos Específicos .............................................. xix
1 ALCANCE ................................................................................................................. 1
2 REFERENCIAS NORMATIVAS ....................................................................................... 1
3 TÉRMINOS Y DEFINICIONES ........................................................................................ 2

3.1 Definiciones ............................................................................................................................................. 2
4 PRINCIPIOS ........................................................................................................... 8
4.1 General .................................................................................................................................................... 8
4.2 Imparcialidad, Independencia y Objetividad ........................................................................................... 9
4.3 Confianza, Competencia y la Debida Atención Profesional ..................................................................... 9
4.4 Representación Honesta y Justa ............................................................................................................ 10
4.5 Responsabilidad y Autoridad ................................................................................................................. 10
4.6 Enfoque consultivo ................................................................................................................................ 10
4.7 Enfoque basado en los Hechos .............................................................................................................. 10
4.8 Confidencialidad .................................................................................................................................... 11
4.9 Gestión del Cambio ................................................................................................................................ 11
4.10 Mejora Continua .................................................................................................................................... 11
5 ADMINISTRANDO UN PROGRAMA DE EVALUACIÓN DE RIESGOS .................... 11

5.1 General .................................................................................................................................................. 11
5.2 Entendiendo a la Organización y sus Objetivos ..................................................................................... 13
5.3 Estableciendo la Estructura ................................................................................................................... 17
5.4 Estableciendo el Programa .................................................................................................................... 23
5.5 Implementando el Programa de Evaluación de Riesgos ........................................................................ 30
5.6 Monitoreo del Programa de Evaluación de Riesgos .............................................................................. 41
5.7 Revisión y Mejora .................................................................................................................................. 43
6 EJECUTANDO EVALUACIONES DE RIESGO INDIVIDUALES .............................. 44

6.1 General .................................................................................................................................................. 44
xiii

6.2 Comenzando con la Evaluación de Riesgos ........................................................................................... 44
6.3 Planeando las Actividades de la Evaluación de Riesgos ........................................................................ 50
6.4 Llevando a cabo las Actividades de la Evaluación de Riesgos ............................................................... 62
6.5 Actividades Posteriores a la Evaluación de Riesgo ................................................................................ 87
6.6 Checando y Revisando ........................................................................................................................... 89
7 CONFIRMANDO LAS COMPETENCIAES DE LOS ASESORES DE RIESGO ........... 90

7.1 General .................................................................................................................................................. 90
7.2 Competencia .......................................................................................................................................... 90
7.3 Validación y Registros del Personal ....................................................................................................... 93
7.4 Uso de Asesores de Riesgo y Expertos Técnicos Externos ...................................................................... 96
A MÉTODOS DE EVALUACIÓN DE RIESGOS, RECOPILACIÓN DE DATOS Y

MUESTREO ................................................................................................................ 97
A.1 General .................................................................................................................................................. 97
A.2 Tipos de Interacciones ........................................................................................................................... 97
A.3 Trayectorias de Evaluación .................................................................................................................... 98
A.4 Muestreo ............................................................................................................................................... 99
B ANÁLISIS DE CAUSA RAÍZ ...................................................................................... 102

B.1 General ................................................................................................................................................ 102
B.2 Aplicando Técnicas de Causa Raíz ....................................................................................................... 102
B.3 Diez Pasos para un Análisis Efectivo de Causa Raíz ............................................................................. 103
B.4 Resumen del Análisis de Causa Raíz .................................................................................................... 105
C VERIFICACIÓN DE ANTECEDENTES Y ACREDITACIÓN DE SEGURIDAD ........................... 106

C.1 General ................................................................................................................................................ 106
C.2 Revisiones de Antecedentes ................................................................................................................ 106
C.3 Entrevistas ........................................................................................................................................... 108
C.4 Protección de Privacidad ..................................................................................................................... 108
D CONTENIDO DEL REPORTE DE EVALUACIÓN DE RIESGOS ........................................... 109
E CONFIDENCIALIDAD Y PROTECCIÓN DE DOCUMENTOS................................................ 111
F EJEMPLOS DE PROCEDIMIENTOS DE TRATAMIENTO DE RIESGO QUE AUMENTAN LA

FORTALEZA DE LA ORGANIZACIÓN ................................................................................ 112
F.1 General ................................................................................................................................................ 112
F.2 Procedimientos de Prevención y Mitigación ........................................................................................ 112
xiv

F.3 Procedimientos de Respuesta .............................................................................................................. 113
F.4 Procedimientos de Continuidad ........................................................................................................... 115
F.5 Procedimientos de Recuperación ........................................................................................................ 115
G ANÁLISIS DE IMPACTO EN EL NEGOCIO .................................................................... 122
H BIBLIOGRAFÍA ...................................................................................................... 126

H.1 Publicaciones de ASIS International ..................................................................................................... 126
H.2 Publicaciones de Estándares ISO ......................................................................................................... 126
COMPETENCIACompetencia
TABLA DE FIGURAS
FIGURA 1: PROCESO DE ADMINISTRACIÓN DE RIESGOS (BASADO EN EL ISO 31000) .............................................................. XVII
FIGURA 2: CICLO PLANIFICAR-HACER-VERIFICAR-ACTUAR .................................................................................................... XX
FIGURA 3: EVALUACIONES DE RIESGOS FORMALES VS. INFORMALES ...................................................................................... 32
FIGURA 4: EJEMPLO DE DIAGRAMA DE INFLUENCIA ................................................................................................................ 40
FIGURA 5: FORMATO DE DISEÑO DEL PORTAFOLIO DE RIESGO ................................................................................................ 52
FIGURA 6: ADMINISTRANDO LA INCERTIDUMBRE EN EL CONTEXTO ........................................................................................ 53
FIGURA 7: ELEMENTOS DE LA AMENAZA ................................................................................................................................. 71
FIGURA 8: DETERMINANDO LOS NIVELES DE AMENAZA .......................................................................................................... 72
FIGURA 9: ANÁLISIS DE CRITICIDAD Y CONSECUENCIA ............................................................................................................ 77
FIGURA 10: DETERMINANDO EL NIVEL DE RIESGO .................................................................................................................. 78
FIGURA 11: EMBUDO DE EVALUACIÓN DE RIESGOS ................................................................................................................. 81
FIGURA 12: “CURVA” DE RIESGO CONCEPTUAL ...................................................................................................................... 82
FIGURA 13: MATRIZ DE EJEMPLO ............................................................................................................................................. 83
FIGURA 14: PROCESO DE MUESTREO ..................................................................................................................................... 100
FIGURA 15: DEFINIR, ANALIZAR Y RESOLVER ....................................................................................................................... 104
FIGURA 16: ANÁLISIS DE IMPACTO EN EL NEGOCIO (BIA POR SUS SIGLAS EN INGLÉS) .......................................................... 124
FIGURA 17: EJEMPLO DE METODOLOGÍA BIA ........................................................................................................................ 125
FIGURA 18: EJEMPLO DEL PROCESO BIA ............................................................................................................................... 125
xv

0 INTRODUCCION
0.1 General
La evaluación de riesgos proporciona el fundamento analítico para la administración de riesgos, por lo tanto, un
paso de la evaluación de riesgos del proceso general de la evaluación de riesgos, se usa para informar para la
toma de decisiones. Al utilizar un enfoque lógico, estructurado y consistente para evaluar el riesgo, las personas
responsables de la toma de decisiones pueden seleccionar sistemáticamente de las posibles opciones que están
basadas en la causa y en la mejor información disponible. Para poder lograr los objetivos generales de la
organización y los objetivos de la administración de riesgos, los responsables de realizar la evaluación de
riesgos deben seguir un enfoque estructurado para revisar y analizar los hechos relevantes, observaciones y
posibles resultados. El resultado del proceso de evaluación de riesgos proporciona una base para los tomadores
de decisión s para determinar una acción en particular o líneas de acción.
El proceso de evaluación de riesgos de una organización debe apoyar la estrategia en toda la empresa y de las
actividades operacionales, al igual que los programas y actividades relacionadas con los proyectos. Una
evaluación de riesgos proporciona la piedra angular para los tomadores de decisiones , sobre cómo manejar las
incertidumbres para lograr los objetivos de la organización. Por lo tanto, una evaluación de riesgos exhaustiva
está diseñada para considerar la visión, misión, valores y cultura de la organización, al igual que los objetivos
estratégicos y tácticos. Podría considerar los objetivos y actividades más amplios de la organización o algunas
metas y objetivos específicos, pero en todos los casos evalúa lo que puede afectar el cumplimiento de estos, tanto
positiva como negativamente.
En este Estándar, nos enfocamos en las evaluaciones de riesgo desde el punto de vista de que el riesgo – el
efecto de una incertidumbre para lograr objetivos (particularmente incertidumbre con respecto a los resultados
futuros) – es un concepto dinámico. Por lo tanto, las evaluaciones de riesgos requieren un monitoreo proactivo y
continuo del contexto interno y externo de la organización, al igual que sus riesgos y medidas de tratamiento. La
incertidumbre es inseparable de la probabilidad: el futuro puede presentarse en escenarios diferentes y variables,
algunos más comunes que otros. A través de este Estándar, el riesgo se considera desde una perspectiva de logro
de objetivos y metas; por lo tanto, el efecto de la incertidumbre sobre los objetivos podría resultar en
oportunidades con grandes ganancias (“mejoramiento”), al igual que las amenazas que podrían resultar en
pérdidas potenciales (“empeoramiento”). El riesgo asume que las cosas van a cambiar, ya sea en el entorno o en
otras circunstancias.
Este estándar de evaluación de riesgos proporciona orientación sobre el desarrollo y sustento de un programa de
evaluación de riesgo coherente y efectivo, incluyendo principios, la administración de un programa general de
evaluación de riesgos y la ejecución de evaluaciones de riesgos individuales, junto con la confirmación de las
competencias de los asesores de riesgos. Este estándar es complementario a los estándares mencionados en las
referencias normativas y sigue el proceso de evaluación de riesgos delineado en el ISO 31000:2009
Administración de Riesgos – Principios y lineamientos e ilustrado en la Figura 1. Un programa de evaluación de
riesgos bien definido y las evaluaciones individuales proporcionan los fundamentos de un proceso de
administración de riesgos.
Este Estándar proporciona un modelo genérico para llevar a cabo las evaluaciones de riesgo (incluyendo análisis
de impacto) para la toma de decisiones en la administración de riesgos y para el uso de estándares del sistema de
administración basado en el riesgo. Los estándares del sistema de administración basado en el riesgo requieren
de un proceso de evaluación de riesgos definido, repetible y documentado. Proporcionando la base para planear
la administración de cuestiones planteadas por un estándar de sistema de administración, al igual que identificar
oportunidades de mejora. Por lo tanto, seguir el enfoque descrito en este Estándar, cumple con los requisitos del
proceso de evaluación de riesgos en los estándares del sistema de administración.
xvi

El Contexto Externo
El Contexto Interno
El Contexto de Administración de Riesgos Estableciendo el Contexto
Desarrollo de Criterio y Definición de Estructura
Evaluación de Riesgos
Qué Puede pasar, Cuándo, Dónde, Cómo y Por qué
Identificación, Valuación y Caracterización de activos
Amenaza/Oportunidad, Vulnerabilidad/Capacidad, y Criticidad/Análisis de Impacto Identificación Riesgo
Identificar Controles Existentes
Comunicación y Consulta
Determinar Similitudes
Monitoreo y Revisión
Determinar Consecuencias Análisis de Riesgo
Determinar Nivel de Riesgo
Comparar el Criterio – Asignar Prioridades

Considerar Tolerancia y Aceptación Evaluación de Riesgo
NO
Tratamiento
de riesgo
YES
Identificar y Evaluar Opciones
Evitar? Compartir? Aprovechar? Reducir? Aceptar?
Preparar e Implementar Opciones de Tratamiento Tratamiento de Riesgo
Analizar y Evaluar Riesgo Residual
Figura 1: Proceso de Administración de Riesgos (Basado en el ISO 31000)
0.2 Definición de Evaluación de Riesgos

La evaluación de riesgos es la identificación, análisis y valoración de incertidumbres sobre los objetivos y metas.
Proporciona un comparativo entre las metas deseadas/no-deseadas y las recompensas/pérdidas esperadas de los
objetivos organizacionales. La evaluación de riesgos analiza si la incertidumbre está dentro de los límites
aceptables y dentro de la capacidad de la organización para manejar dicho riesgo. Los resultados de una
evaluación de riesgos informan al responsable y comprometido con la toma de decisiones sobre las opciones
disponibles para manejar el riesgo efectivamente para lograr los objetivos de la organización. Una evaluación de
riesgos es una revisión cuidadosa y metódica de lo que podría causar una incertidumbre, proporcionando las
bases para determinar si se han tomado las suficientes acciones para prevenir resultados negativos o mejorar las
oportunidades de generar resultados positivos. No es posible eliminar todos los riesgos y las incertidumbres, así
que la evaluación de riesgos ayuda a priorizar los riesgos que impactan el camino al logro de los objetivos
organizacionales. El contexto de la organización y la evaluación de riesgos proporcionan la información
fundamental para:
• Calcular los efectos de la incertidumbre la cual impacta sobre los resultados deseados;
• Proteger los activos tangibles e intangibles de la organización incluyendo a las personas; activos
tangibles físicos (por ejemplo el terreno, edificio, equipo); activos intangibles intelectuales (por ejemplo
la información, procesos, secretos comerciales); y abstractos (por ejemplo la imagen, reputación);
• Salvaguardar la integridad y continuidad de la cadena de suministro, servicios y actividades;
• Entender la exposición relativa del riesgo actual sobre las actividades planeadas;
xvii

• Mejorar el logro de objetivos e identificar oportunidades sin explotar;
• Proveer un mecanismo para entender el impacto de un posible evento;
• Cumplir con la ley y las regulaciones; y
• Identificar medidas de control razonables necesarias para tratar el riesgo y su relación costo/beneficio.
La evaluación de riesgos se realiza para determinar , cómo y en qué medida los objetivos de la organización, los
resultados deseados y sus activos puedan estar impactados. Una evaluación de riesgos se ajusta al contexto en
que opera la organización.
0.3 Análisis Cualitativo y Cuantitativo

Los grados de detalle en las evaluaciones de riesgos pueden impactar en los resultados obtenidos. El nivel de
detalle depende del tipo de riesgo, propósito del análisis, limitaciones de recursos, información disponible para el
asesor y la comunicación de los hallazgos de la evaluación de riesgos. El riesgo podría evaluarse utilizando un
enfoque computacional cuantitativo o un enfoque subjetivo cualitativo o una combinación de ambos. En todos
los casos, los supuestos subyacentes deben entenderse y documentarse. Los tipos de análisis y contexto son:
a) Análisis Cualitativo – depende del razonamiento y del juicio empírico de los miembros del equipo de
evaluación y expertos en la materia utilizando términos, palabras e imágenes como descriptores de
riesgo;
b) Análisis Cuantitativo – depende de probabilidades y estadísticas utilizando fórmulas y cálculos
matemáticos para interpretar números, datos y estimaciones; y
c) Enfoques combinados – pueden ser complementarios cuando el riesgo está más definido y plasmado por
una combinación de valores subjetivos y numéricos.
En algunos casos, un análisis cualitativo precede a un análisis cuantitativo para obtener un indicativo del nivel de
riesgo y para identificar los principales factores de riesgo al igual que los controles existentes.
Al seleccionar un análisis cualitativo, análisis cuantitativo o una combinación de ambos, se debe tomar en cuenta
la fiabilidad y validez de la información disponible. También se debe considerar si la naturaleza de los factores
de riesgo y si son cuantificables. Por ejemplo, el valor de los activos intangibles y probabilidad de amenaza
comúnmente son difíciles de cuantificar y requieren de un análisis cualitativo. Así mismo, se debe considerar a
la audiencia objetivo al entregar los resultados de la evaluación de riesgos. Los tomadores de decisiones
responden de diferente modo a la presentación de resultados de la evaluación de riesgos, dependiendo del tipo de
análisis. Las evaluaciones cuantitativas pueden ser traducidas a términos cualitativos para ser comunicados a los
accionistas y la administración. Por lo tanto, se debe considerar si un método de análisis es más entendible y útil
que otro método.
0.3.1 Análisis Cualitativo
Un análisis cualitativo usa términos descriptivos y frases como “menor”, “moderado”, “mayor” o “crítico” para
describir probabilidades y consecuencias potenciales de eventos de riesgo y la posibilidad que ocurran las
consecuencias. Los términos utilizados para describir los diferentes riesgos y consecuencias deben estar
claramente definidos, reconociendo que la misma frase puede ser entendida de otra forma al describir diferentes
riesgos o al ser descrita por diferentes personas. Los análisis cualitativos pueden utilizarse cuando los datos
numéricos son inadecuados, dudosos o no están disponibles para poder describir adecuadamente el riesgo.
También pueden implementarse cuando lo más apropiado para el tomador de decisiones es un método empírico
de análisis y cuando el escaneo inicial del riesgo parece aceptable en lugar de los métodos cuantificables.
Una evaluación de riesgos cualitativa podría tener ventajas cuando:
xviii

a) La administración y el consejo de administración entenderían mejor una presentación descriptiva del
riesgo;
b) Al comunicar y consultar el riesgo con accionistas internos y externos sea más efectivo verbalizar o
visualizar la información del riesgo;
c) Los datos básicos o históricos no están disponibles o son pocos seguros;
d) Las limitaciones de los recursos hacen que la recopilación de datos cuantitativos se vuelva impráctica;
e) Un riesgo no está bien definido o entendido;
f) La cuantificación sea innecesariamente compleja y pueda basarse en suposiciones potencialmente
erróneas;
g) Múltiples riesgos podrían impactar sobre los objetivos del negocio; y
h) Se manejan riesgos estratégicos, los cuales tienden a ser más difíciles de cuantificar que los riesgos
operacionales y financieros.
0.3.2 Análisis Cuantitativo
El análisis cuantitativo utiliza comparaciones numéricas para describir probabilidades y consecuencias

potenciales (incluyendo la probabilidad de que la consecuencia/impacto ocurra). La meta es calcular valores
numéricos objetivos, para cada uno de los componentes del riesgo evaluado en la evaluación de riesgos (por
ejemplo, amenazas, vulnerabilidad, consecuencia). Un análisis de costo/beneficio también podría ser incluido en
el análisis cuantitativo. En este método de análisis, se podría usar más de un valor numérico ya que el análisis
podría aplicar a más de una categoría de riesgo o consecuencia.
Una evaluación de riesgos cuantitativa podría tener ventajas cuando:
a) El riesgo se ajusta a una cuantificación en términos numéricos;
b) Se requiere una precisión y presentación numérica para una decisión en particular;
c) Las métricas cuantitativas se usan para medir el rendimiento y éxito en la organización;
d) La información es suficiente y apropiada, está disponible o puede obtenerse rápidamente y es relevante
para evaluaciones predictivas;
e) El riesgo puede comunicarse y entenderse mejor a través de comparaciones cuantitativas; y
f) Hay un acuerdo general sobre las suposiciones básicas.
0.4 Administrando Evaluaciones Organizacionales y los Riesgos

Específicos
Las evaluaciones de riesgo organizacional abarcan la estructura organizacional general, recursos, compromiso y
métodos documentados utilizados para planear y ejecutar las evaluaciones de riesgo. Un programa efectivo se
construye al definir claramente los objetivos de la evaluación de riesgos. Una persona competente con el
conocimiento y experiencia apropiados debe administrar el programa de evaluación de riesgos y la organización
debe comprometerse a asignar los recursos, gente y tiempo necesarios para administrar efectivamente el
programa y sus objetivos. Se debe dar prioridad a la evaluación de los riesgos significativos de la misión de la
organización y a las incertidumbres en lograr los resultados deseados (por ejemplo, aprovechar una oportunidad,
cumplir con obligaciones o administrar eventos relacionados con el riesgo).
xix

Un programa de evaluación de riesgos completo puede comprender muchas estrategias diferentes y evaluaciones
de riesgo tácticas – ya sea ad-hoc o conducidas en intervalos definidos o debidos a cambio(s) de
circunstancia(s)-. Las evaluaciones individuales dentro del programa general de evaluación de riesgos se llevan a
cabo dentro de un alcance claramente definido y consistente con el logro de objetivos del programa general de
evaluación de riesgos. Este Estándar también proporciona orientación sobre la preparación y ejecución de
evaluaciones de riesgos individuales.
0.5 Ciclo Planificar-Hacer-Verificar-Actuar

Parecido al ISO 31000, este Estándar utiliza el ciclo “Planificar-Hacer-Verificar-Actuar” (PDCA, por sus siglas
en inglés) tanto para el programa general de evaluación de riesgos como para las evaluaciones de riesgo
individuales. La Figura 2 ilustra el ciclo PDCA.
Planificar
Definir y Analizar un
Problema y su Contexto
Actuar Hacer
Estandarizar la Solución Idear una Solución
Desarrollar un Plan de Acción
Revisar y Definir los
Detallado e Implementarlo
Siguientes Problemas
Sistemáticamente
Verificar
Confirmar Resultados
Contra el Plan
Identificar Desviaciones y
Problemas
Figura 2: Ciclo Planificar-Hacer-Verificar-Actuar
El ciclo PDCA es un enfoque documentado, claro y sistemático para:

a) Establecer políticas, objetivos y metas medibles;
b) Implementar metódicamente el programa;
c) Monitorear, medir y evaluar el progreso;
d) Identificar, prevenir o remediar problemas en cuanto ocurran;
e) Evaluar la capacidad de requisitos y entrenar a las personas que trabajan en nombre de la organización;
xx

f) Proporcionar a la alta dirección un ciclo de retroalimentación para evaluar el progreso y realizar cambios
apropiados para el programa de evaluación de riesgos; y
g) Manejar información dentro de la organización y de ese modo mejorar la eficiencia operacional.
Conjuntamente con el ciclo PDCA, este Estándar usa un enfoque de procesos para el programa de evaluación de
riesgos. Un programa de evaluación de riesgos es una compilación de un sistema de actividades
interrelacionadas; se puede referir a su identificación, enlace e interacción como “enfoque de procesos”. Al
diseñar un programa de evaluación de riesgos, es necesario identificar y administrar muchas actividades para que
funcione correctamente. Cualquier actividad que use recursos y se administre para habilitar la transformación de
entradas en salidas, se puede considerar como un proceso. Al desarrollar el programa de evaluación de riesgos y
evaluaciones de riesgo individuales, es importante reconocer que a veces la salida de un proceso influencia
directamente la entrada de otro proceso.
xxi
ESTANDAR AMERICANO NACIONAL ANSI/ASIS/RIMS RA.1-2015

Evaluación de Riesgos
1 ALCANCE
Este Estándar:
a) Proporciona orientación para establecer un programa de evaluación de riesgos y llevar a cabo
evaluaciones de riesgo individuales basados en el ISO 31000:2009 Administración de Riesgo –
Principios y lineamientos y el marco de la Administración de Riesgo Empresarial (ERM, por sus siglas
en inglés) del Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO, por sus
siglas en inglés);
b) Proporciona orientación sobre la realización de evaluaciones de riesgo para estándares de sistemas de
gestión basados en riesgo y para las disciplinas de riesgo, resiliencia, seguridad, crisis, continuidad y
gestión de recuperación, incluyendo a los principios de las evaluaciones de riesgo, la administración del
programa de evaluación de riesgos y llevando a cabo las evaluaciones de riesgo, así como la evaluación
de aptitud de personas involucradas en el proceso de evaluación de riesgos;
c) Describe el proceso para llevar a cabo las evaluaciones de riesgo consistente con el Ciclo Planificar-
Hacer-Verificar-Actuar; y
d) Proporciona la base informacional necesaria para los tomadores de decisión para poder tomar decisiones
fundamentadas sobre el manejo de riesgos en la organización su cadena de suministro.
Organizaciones de todo tipo y tamaño pueden usar los conceptos y orientación de este Estándar para llevar a
cabo las evaluaciones de riesgo respaldando sus actividades de administración de riesgos. Se recomienda que las
organizaciones que implementen estándares de sistemas de gestión basados en el riesgo y resiliencia usen los
procesos descritos en este Estándar junto con el ISO 31000:2009 para llevar a cabo sus actividades de
administración de riesgos (vea la Figura 1).
Este Estándar es un documento orientativo y no está previsto como especificación para una certificación de
terceros. Proporciona un enfoque amplio para establecer un programa de evaluación de riesgos y la realización
de evaluaciones individuales. La implementación de este Estándar debe adaptarse a las necesidades de la
organización.
2 REFERENCIAS NORMATIVAS
Los siguientes estándares contienen disposiciones los cuales, a través de referencias en este texto, constituyen
disposiciones de este Estándar Americano Nacional. Al momento de esta publicación, las versiones indicadas
son las vigentes. Todos los estándares están sujetos a revisión y se recomienda a los usuarios que usen este
Estándar Americano Nacional que investiguen la posibilidad de aplicar las versiones más recientes de los
estándares indicados a continuación.
a) ISO 31000:2009, Administración de Riesgos - Principios y lineamientos;

b) ISO/IEC 31010:2009, Administración de Riesgos – Técnicas de evaluación de Riesgos; y
c) Guía ISO 73:2009, Administración de Riesgos – Vocabulario.
1


3 TÉRMINOS Y DEFINICIONES

3.1 Definiciones
Para efectos de este Estándar, se aplican los siguientes términos y definiciones:
Término Definición
3.1 activo Cualquier cosa que tenga valor tangible o intangible para la organización.
NOTA 1: Los activos tangibles incluyen activos humanos,
físicos y ambientales.
NOTA 2: Los activos intangibles incluyen información,
propiedad intelectual, marca y reputación.
3.2 auditoría Proceso sistemático, independiente, objetivo y documentado para
obtener, examinar, verificar y evaluar información en relación a una serie
de criterios.
3.3 capacidad de análisis Proceso de evaluación de 1) competencia, aptitud y experiencia de la
gente y la organización, 2) adecuación de tecnología, y 3) aplicación de
procesos para un propósito(s) en particular para determinar si los
resultados esperados estarán dentro de un rango aceptable.
3.4 cliente Organización o persona que recibe un producto o servicio
NOTA 1: Ejemplos incluyen consumidores, proveedores,
usuario final, minorista, beneficiario y comprador.
NOTA 2: Un cliente puede ser interno (ej., de otro
departamento) o externo a la organización.
3.5 comunicación y consulta Procesos continuos, iterativos y bidireccionales para el intercambio de
información con y entre las partes interesadas y los tomadores de
decisiones sobre los riesgos administrativos.
NOTA 1: La información podría relacionarse con el
contexto de la organización, características de los riesgos
y su evaluación, así como la selección y evaluación de las
opciones del tratamiento del riesgo.
NOTA 2: La comunicación y consulta informa a los
procesos de toma de decisiones, pero no infiere en la
toma de decisión conjunta.
3.6 comunidad Grupo de organizaciones asociadas y gente compartiendo intereses en
común.
3.7 competencia Competencia demostrable para aplicar conocimiento y destrezas para
lograr los resultados deseados.
3.8 conformidad Consistencia con un requisito.
3.9 consecuencia Consecuencia o efecto de una acción, condición o decisión al lograr

objetivos y resultados.
NOTA 1: Las incertidumbres interaccionan y pueden
resultar en consecuencias singulares o múltiples con un
potencial para efectos positivos o negativos sobre los
objetivos.
NOTA 2: Las consecuencias deben considerar factores
tanto tangibles como intangibles y pueden ser expresadas
de forma cualitativa, cuantitativa o ambas.
NOTA 3: Las consecuencias pueden tener efectos
cascada.
2

3.10 mejora continua Procesos continuos para mejorar productos, servicios y prácticas
administrativas para aumentar la competencia de cumplimiento de
requisitos
NOTA: Los cambios pueden ser incrementales o
completos.
3.11 acción correctiva Acción para reparar las causas de una no conformidad detectada u otra
situación indeseable.
NOTA 1: Puede haber más de una causa para una no
conformidad.
NOTA 2: Se toma la acción correctiva para prevenir
recurrencias, mientras que se toma una acción preventiva
para prevenir ocurrencias.
3.12 criticidad De gran importancia en cuanto a los objetivos y/o resultados.
[ANSI/ASIS SPC.1-2009]
3.13 análisis de críticidad Un proceso diseñado para identificar, evaluar y clasificar
sistemáticamente impactos positivos y negativos en las partes
interesadas, activos, servicios y actividades de la organización basándose
en la importancia de su misión o función o en el significado de los
riesgos de las competenciaes organizacionales para llegar a sus objetivos
y expectativas.
NOTA: Determina qué cualidades o grados de riesgo son
de gran importancia para una ejecución exitosa de los
objetivos de la organización o cuál podría representar un
punto decisivo en una ejecución estratégica.
3.14 punto crítico de control Un punto, paso o proceso en el cual se pueden aplicar controles para
modificar el riesgo.
(CCP)
NOTA 1: Una amenaza o contingencia puede ser
prevenida, eliminada o reducida a los objetivos
establecidos.
NOTA 2: Un punto donde una oportunidad puede ser
aprovechada.
3.15 evento disruptivo Un evento que interrumpe las actividades, operaciones o funciones
planeadas ya sea previsto o imprevisto.
3.16 documento Información y medio de apoyo en cualquier formato.
3.17 eficiencia Grado en que las actividades planeadas cumplen su propósito de tal
forma que producen los resultados deseados o previstos.
3.18 evento Cambio ocurrido en un intervalo de tiempo con el potencial de alterar los
resultados.
NOTA 1: La probabilidad y consecuencias de un evento
puedan ser predecibles usando medidas cualitativas y
cuantitativas.
NOTA 2: Un evento puede deberse a causas singulares o
múltiples y puede tener más de una incidencia.
NOTA 3: la no-ocurrencia de un cambio anticipado
también es un evento.
NOTA 4: Un evento no es un riesgo, sino es la
incertidumbre de los resultados lo que crea el riesgo.
3.19 impacto El efecto positivo o negativo sobre alguien o algo (vea consecuencia).
3.20 análisis de impacto Proceso que identifica y evalúa los efectos potenciales del cambio en una
organización. Esto puede incluir una evaluación de los pros y contras de
seguir una línea de acción ante sus posibles consecuencias o el grado y
naturaleza de más cambios (intencionales o no) que dicho cambio pueda
causar.
3

3.21 incidente Un evento con consecuencias que tiene la capacidad de causar ganancias
o pérdidas/daño a los objetivos y/o activos (ej., capital tangible,
intangible y humano, el ambiente y derechos de las partes interesadas).
3.22 integridad Asegurar solvencia, fiabilidad e integridad de los activos tangibles e
intangibles.
3.23 probabilidad Posibilidad que algo suceda.
3.24 sistema de gestión Marco de políticas, procesos y procedimientos utilizados para asegurar
que una organización pueda cumplir todas las tareas requeridas para
lograr sus objetivos.
NOTA: Los sistemas de gestión se usan por las
organizaciones para establecer sus políticas, objetivos y
metas; determinar y asignar recursos; definir roles y
autoridades; implementar procedimientos; y evaluar el
rendimiento para lograr los resultados y objetivos
deseados.
3.25 monitoreo Control continuo, supervisión, evaluación y conciencia situacional para
determinar el estado actual e identificar cambios en los ambientes
internos y externos al igual que en el rendimiento.
3.26 No no conformidad Incumplimiento de un requerimiento.
3.27 análisis de oportunidad Proceso para identificar incertidumbres que pueden ser aprovechadas y
para analizar la aptitud y buena disposición de la organización para
aprovecharlas. El proceso puede abarcar la identificación de las
necesidades no satisfechas o mal atendidas del consumidor/cliente, la
identificación de mercados objetivo, el análisis de ventajas competitivas,
al igual que el análisis de la capacidad de los recursos de la organización
para asumir una oportunidad.
3.28 organización Grupo de personas e instalaciones con un arreglo de responsabilidades,
autoridades y relaciones.
NOTA: Una organización puede ser una entidad
gubernamental o pública, compañía, corporación, firma,
empresa, institución, caridad, comerciante individual,
asociación o partes o combinaciones de estas.
3.29 planeación Parte de un proceso administrativo enfocado en poner objetivos,
proyectar los riesgos de estos objetivos y asegurar que los recursos y
sistemas están en su lugar para garantizar que se logren los objetivos.
3.30 prevención Medidas que habilitan a la organización evitar, impedir o limitar el
impacto de un evento no deseado o potencialmente perturbador.
3.31 acción preventiva Un cambio o mejora proactiva implementado para tratar una debilidad
que aún no es responsable de causar no conformidades.
NOTA 1: Una no conformidad potencial la cual puede
tener una o más causas principales.
NOTA 2: Se toma una acción preventiva para evitar el
acontecimiento, mientras que se toma una acción
correctiva para rectificar un problema y prevenir una
recurrencia.
3.32 procedimiento Un modo establecido o específico para llevar a cabo una actividad o un
proceso.
3.33 registro Un documento puesto por escrito o de otra forma permanente como
referencia posterior.
3.34 riesgo residual Riesgo remanente después de un tratamiento de riesgo.
NOTA: El riesgo residual puede incluir un riesgo retenido
por una decisión informada, riesgo no tratado y/o riesgo
no identificado.
4

3.35 resiliencia Capacidad de adaptación de una organización en un ambiente complejo y

cambiante. [ANSI/ASIS SPC.1-2009]
3.36 recursos Cualquier activo (humano, físico, información o intangible),
instalaciones, equipo, materiales, productos o desecho que tiene un valor
potencial y puede ser utilizado. [ANSI/ASIS SPC.1-2009]
3.37 revisión Actividad asumida para determinar la aptitud, idoneidad y eficiencia del
sistema de gestión y los elementos que lo componen para lograr los
objetivos establecidos.
3.38 riesgo Efecto de la incertidumbre sobre el logro de objetivos estratégicos,
tácticos y operacionales.
NOTA 1: El riesgo se considera potencial teniendo
resultados positivos y/o negativos.
NOTA 2: La incertidumbre es el estado donde los
resultados son desconocidos, con falta de suficiente
información o de lo contrario, indeterminados o sin
definirse en el proceso de la toma de decisión.
NOTA 3: Los objetivos pueden incluir metas estratégicas
relacionadas con la organización completa o parte de ella
y su cadena de valor, al igual que asuntos operacionales
y tácticos en niveles de la organización.
NOTA 4: El riesgo puede ser caracterizado por el efecto
de la incertidumbre sobre los activos tangibles y/o
intangibles, y/o eventos de riesgos potenciales.
NOTA 5: El riesgo generalmente se expresa en términos
de una combinación de las consecuencias y probabilidad
de los resultados de una incertidumbre.
NOTA 6: A veces el riesgo se enfoca en los resultados
negativos donde se considera una función de las
amenazas, vulnerabilidades y consecuencias.
3.39 aceptación del riesgo Acción informada de consentimiento para retener, recibir o asumir un
riesgo en particular
3.40 análisis de riesgo Proceso para describir y entender la naturaleza de un riesgo y para definir
el nivel de riesgo.
NOTA: El análisis de riesgo evalúa la probabilidad y
consecuencias de un riesgo para proporcionar la base
para una evaluación de riesgos y la toma de decisiones
de un tratamiento de riesgo.
3.41 apetito de riesgo El monto total expuesto que una organización desea asumir con base en
la relación riesgo/rendimiento para uno o más resultados deseados y
esperados. [RIMS Informe Resumido sobre la Exploración del Apetito de
Riesgo y la Tolerancia de Riesgo]
3.42 evaluación de riesgos Proceso general y sistemático para evaluar los efectos de las
incertidumbres al lograr objetivos.
NOTA: La evaluación de riesgos incluye identificación del
riesgo, análisis de riesgo y evaluación del riesgo.
3.43 actitud de riesgo Punto de vista / perspectiva individual o de la organización sobre el valor
cualitativo y cuantitativo percibido que puede obtenerse en comparación
con la pérdida o pérdidas potenciales relacionadas. [RIMS Informe
Resumido sobre la Exploración del Apetito de Riesgo y la Tolerancia de
Riesgo]
5

3.44 criterio de riesgo Términos de referencia usados para medir y evaluar el significado y
efectos de un riesgo.
NOTA: Los criterios de riesgo son una función de los
objetivos, valores y políticas de la organización, al igual
que el ambiente externo e interno.
NOTA 2: El criterio de riesgo puede derivarse de las leyes
jurisdiccionales, obligaciones y otros requisitos.
3.45 impulsor del riesgo Un evento, individuo(s), proceso o tendencias que tiene impacto sobre
los objetivos de una organización.
3.46 valoración del riesgo Proceso de comparación de resultados del análisis de riesgo con el
criterio de riesgo para determinar si un nivel de riesgo en particular está
dentro de la tolerancia aceptable o presenta una oportunidad potencial.
NOTA: La valoración del riesgo proporciona la base de
decisión sobre los métodos de tratamiento de riesgo.
3.47 identificación del riesgo Proceso para determinar cuáles riesgos se pueden anticipar, sus
características, dependencias temporales, frecuencias, periodo de
duración y posibles resultados.
NOTA: La identificación del riesgo involucra la
identificación de amenazas, oportunidades, criticidades,
debilidades y estrategias, al igual que la identificación de
causas de riesgo y eventos potenciales con sus causas e
impactos.
3.48 administración del riesgo Una disciplina estratégica de negocios que apoya la realización de los
objetivos de la organización al abordar la gama completa de sus riesgos y
administrando el impacto combinado de aquellos riesgos como una
cartera de riesgos interrelacionar. [Recursos RIMS]
3.49 registro del riesgo Una compilación de todos los riesgos identificados, analizados y
valorados en el proceso de evaluación de riesgos.
NOTA: El registro del riesgo incluye información de la
probabilidad, consecuencias, tratamientos y dueños del
riesgo.
3.50 causa de riesgo Un factor con el potencial de crear una incertidumbre en el logro de
objetivos.
NOTA: Una causa de riesgo puede incluir factores
tangibles o intangibles por si solos o en conjunto.
3.51 tolerancia de riesgo La cantidad total o lo más restringida de incertidumbre que una
organización está dispuesta a aceptar dentro de cierta unidad de trabajo,
una categoría de riesgo en particular o para una iniciativa específica.
NOTA: El nivel de tolerancia o nivel de aceptación de la
en cuanto al logro de objetivos puede estar influenciado
por la ley de jurisdicción y los requisitos de las partes
interesadas.
[RIMS Informe Resumido sobre la Exploración del Apetito de Riesgo y
la Tolerancia de Riesgo]
6

3.52 tratamiento de riesgo Proceso de selección e implementación de medidas para modificar el

riesgo con el fin de lograr los objetivos.
NOTA 1: Las medidas para modificar el riesgo pueden
incluir:
• Evitar el riesgo;
• Adaptar los parámetros internos o externos para
cambiar la naturaleza del riesgo;
• Explotar un riesgo para perseguir una
oportunidad;
• Eliminar o influenciar la causa del riesgo;
• Modificar la probabilidad;
• Modificar las consecuencias;
• Compartir el riesgo (ej., aseguradora, contratos,
subcontratación, etc.); y
• Aceptar el riesgo con una decisión informada;
NOTA 2: El tratamiento de riesgo puede cambiar las
características de los riesgos existentes o generar nuevos
riesgos.
NOTA 3: El tratamiento de riesgo puede requerir de una
reubicación de recursos o de la modificación de planes y
prioridades.
3.53 seguridad La condición de estar protegido contra peligros, amenazas, riesgos o
pérdidas.
NOTA 1: En un sentido generalizado, la seguridad es un
concepto similar al de protección. La diferencia entre
ambos es el énfasis añadido sobre estar protegido del
peligro que se origina del exterior.
NOTA 2: El término seguridad significa que algo, no solo
está seguro, sino que ha sido asegurado.
3.54 parte interesada Persona u organización con un interés o inquietud.
NOTA: La parte interesada puede afectar y puede ser
afectada por la organización y por los logros de sus
objetivos (reales o imaginarios).
3.55 cadena de suministro Una relación bidireccional de organizaciones, gente, actividades,
logísticas, información, tecnología y recursos comprometidos en
actividades y activos creativos desde el punto de origen hasta el
consumo, incluyendo la transformación de materiales/componentes en
productos y servicios para los usuarios finales.
NOTA: La cadena de suministro puede incluir
vendedores, subcontratistas, instalaciones de
manufactura, proveedores de logística, centros de
distribución internos, distribuidores, mayoristas y otras
entidades que conducen al usuario final.
[ANSI/ASIS SCRM.1-2014]
7

3.56 análisis de amenazas Proceso de identificación y cuantificación de la causa potencial de un

acontecimiento no deseado el cual puede resultar en daño a individuos,
activos, un sistema u organización, al ambiente o a la comunidad.
NOTA 1: Las amenazas pueden ser por acontecimientos
intencionales, no intencionales o naturales.
NOTA 2: El término peligro se refiere a una condición
[peligrosa] o amenaza que puede incrementar la
frecuencia o severidad de una pérdida. [Adaptado del
libro de texto Administración de Riesgos Principios y
Prácticas, publicado por The Institutes,
www.theinstitutes.org.]
3.57 alta gerencia Persona o grupo de personas responsables y obligadas a elaborar las
metas, objetivos, estrategias, políticas y/o asignación de recursos
organizacionales.
3.58 evento no deseable Cualquier acontecimiento que tiene el potencial de causar un impacto
negativo en el cumplimiento de los objetivos o activos ya sean tangibles
o intangibles.
3.59 cadena de valor La serie de funciones, procesos o actividades de materias primas hacia un
eventual usuario final que crea y le da valor en cada paso para poder
entregar un producto o servicio.
NOTA: Para mayor información sobre el vocabulario de riesgo, favor de consultar el léxico de terminología
ISO:
• Vea la Guía ISO de 73 Definiciones en la Plataforma de Búsqueda en línea ISO:
<https://www.iso.org/obp/ui/#iso:std:iso:guide:73:ed-1:v1:en>. Accedido en Agosto 2015.
• Definiciones adicionales relacionadas con el riesgo pueden encontrarse en el ISO 31000 en la Plataforma
de Búsqueda en línea ISO:
<https://www.iso.org/obp/ui/#iso:std:iso:31000:ed-1:v1:en>. Accedido en Agosto 2015.
4 PRINCIPIOS

4.1 General
Los principios de este Estándar proveen la orientación necesaria para proporcionar transparencia, seguridad y
confianza en los procesos de evaluación de riesgos. Una evaluación de riesgos es una herramienta efectiva para
valorar los riesgos y la resiliencia, los retos y madurez de la organización, así como para llevar a cabo mejoras de
rendimiento. Adicionalmente, la evaluación de riesgos proporciona seguridad a los tomadores de decisiones
sabiendo que el riesgo adoptado, el sistema de gestión basado en la resiliencia y las medidas administrativas de
riesgo están logrando sus objetivos previstos.
Ejemplos de partes interesadas como parte del proceso de evaluación de riesgos pueden ser, más no están
limitados a:
a) Consumidores, clientes, accionistas, empleados, contratistas y socios de la cadena de suministro (ej.,
socios subcontratados y proveedores de infraestructura crítica);
b) Autoridades gubernamentales y regulatorias;
c) Organizaciones no-gubernamentales;
8

d) Grupos de sociedades civiles; y
e) Miembros del público (incluyendo los medios).
Los siguientes principios aplican a todas las actividades involucradas en el programa de evaluación, al igual que
durante las evaluaciones individuales de riesgo. El uso de estos principios ayuda a validar que las personas que
realicen las evaluaciones de riesgo independientemente, pero en circunstancias similares, lleguen a conclusiones
similares y repetibles.
4.2 Imparcialidad, Independencia y Objetividad

La confianza en el proceso de evaluación de riesgos depende de una valoración imparcial de los orígenes del
riesgo y de las prácticas administrativas. La imparcialidad requiere de una objetividad tanto real como
perceptiva. Los programas de evaluación deben implementar medidas para asegurar y monitorear la
imparcialidad.
Los asesores deben ser imparciales, tener una actitud ecuánime y evitar cualquier conflicto de intereses. Los
posibles conflictos de intereses deben identificarse, resolverse y documentarse antes de comenzar con la
evaluación de riesgos. Las amenazas a la imparcialidad pueden ser:
a) Interés propio – amenazas que surgen por tener un interés personal o financiero;
b) Auto-revisión – amenazas que surgen del consejo de revisión o trabajo realizado por uno mismo en
nombre de la organización;
c) Familiaridad – amenazas que surgen al estar demasiado familiarizado con los procesos y/o las personas
evaluadas para poder obtener una evidencia y conclusiones ecuánimes.
d) Habituación – amenazas que surgen por complacencia o la sobre-familiaridad con el contexto de las
condiciones operacionales;
e) Sesgo-cognitivo – amenazas que surgen por individuos que crean sus propias realidades subjetivas a
través de su percepción preconcebida de la entrada; e
f) Intimidación – amenazas que surgen por tener una percepción de estar obligado o presionado.
Ya sea el personal interno o consultores externos, los asesores deben ser independientes y objetivos al realizar su
trabajo. Las actividades de evaluación de riesgos deben estar libres de interferencias al realizar la evaluación, de
la cultura, de la profesión, de la organización y técnicamente ecuánime. Se deben analizar, mitigar y reportar las
dudas relacionadas con la independencia u objetividad. Los asesores deben estar alertas y sensibles sobre
influencias que puedan afectar su juicio al llevar a cabo una evaluación de riesgos.
4.3 Confianza, Competencia y la Debida Atención Profesional

Las actividades en la evaluación de riesgos deben llevarse a cabo con honestidad, integridad, diligencia y
responsabilidad. Las partes interesadas deben tener confianza en la competencia técnica e integridad del asesor.
La competencia, es la capacidad de aplicar el conocimiento, experiencia y competenciaes para lograr el
propósito pretendido y unos resultados precisos. Las evaluaciones de riesgo deben llevarse a cabo con la debida
atención profesional. La integridad proporciona la base para el profesionalismo y la confianza. Los asesores
deben demostrar conciencia y conformidad con los requisitos legales, regulatorios, de seguridad y protección.
Muchas organizaciones han establecido un código de ética que definen estándares de conducta en el desempeño
del trabajo. Para infundir la confianza, los principios éticos e integridad del asesor pueden estar codificados por
un conjunto formal de estándares éticos tratando temas de competencia, independencia, diligencia, honestidad,
integridad, imparcialidad y confidencialidad.
9

4.4 Representación Honesta y Justa
Los hallazgos y conclusiones de la evaluación de riesgos deben estar basados en la evidencia que refleja precisa
y honestamente las actividades de la evaluación de riesgos y que se presentan de manera veraz en la
documentación de evaluación. Cualquier impedimento en lograr los objetivos de la evaluación de riesgos debe
ser documentado. Las comunicaciones deben ser oportunas, precisas, inequívocas, imparciales y completas. La
evidencia debe estar claramente documentada.
4.5 Responsabilidad y Autoridad

El cumplimiento de los requisitos y controles del programa de administración de riesgos es responsabilidad de
los administradores y de riesgos y de los tomadores de riesgos dentro de la organización. Es responsabilidad del
equipo de evaluación valorar objetivamente el cumplimiento del criterio del programa de administración de
riesgos al recopilar y documentar evidencia de cumplimiento o no-cumplimiento de los requisitos del programa.
Se necesita suficiente evidencia documentada para una declaración de cumplimiento y eficacia de las medidas de
administración de riesgos; y para identificar oportunidades de mejora.
La autoridad para llevar a cabo una avaluación de riesgos debe ser verificada antes de comenzar con las
actividades de evaluación de riesgos. La autoridad para realizar una evaluación puede otorgarse ya sea por una o
varias fuentes dentro o fuera de la organización. La autoridad específica y apropiada para llevar a cabo la
evaluación otorga legitimidad a la evaluación y permite que la evaluación sea procedente. La relación entre las
autoridades responsables y el equipo de evaluación debe ser claramente entendida y documentada.
4.6 Enfoque consultivo

La comunicación y consulta facilitan un intercambio de información precisa, veraz y comprensible a través de la
organización. La comunicación y consulta con partes interesadas externas e internas debe llevarse a cabo durante
el proceso de evaluación de riesgos. Se requiere identificar y consultar a las partes interesadas relevantes,
internos y externos, para entender el contexto e identificar los riesgos. Las percepciones de riesgo pueden variar
entre los diferentes partes interesadas internos y externos por las diferencias en valores, necesidades,
suposiciones, conceptos, experiencia y prioridades. La comunicación y consulta con las partes interesadas es
necesaria para entender las percepciones de estas y determinar cómo necesitan tomarse en cuenta en el proceso
de toma de decisiones. Dado el carácter delicado de la información de la evaluación de riesgos, es esencial tomar
en cuenta aspectos de confidencialidad e integridad del personal.
4.7 Enfoque basado en los Evidencias

Las conclusiones de la evaluación deben basarse en evidencia comprobable, cuando se disponga de ella,
recolectada a través de un proceso sistemático de evaluación de riesgos que asegura fiabilidad y
reproducibilidad. Debe reconocerse que una evaluación es un vistazo en el tiempo realizado con recursos finitos;
por lo tanto, cualquier técnica de muestreo debe basarse en una metodología definida que otorga una muestra
representativa. El monitoreo y vigilancia del cumplimiento debe definirse por un tiempo significativo o como un
proceso en progreso e incluido en el programa de evaluación de riesgos para asegurar concientización continua,
cumplimiento y para impulsar las mejoras en el proceso. Si la evidencia está por debajo de lo real porque hay
insuficiente información disponible o de forma que limita la posibilidad de verificarla, entonces su credibilidad
debe respaldarse en otra información fiable.
La importancia de aceptar la validez de la información subyacente es primordial en una evaluación de riesgos.
Un proceso claro debe convenir qué compone la evidencia verificable y, cuando no se disponga de ella, qué
compone la información fiable o estimaciones.
10

4.8 Confidencialidad
Las personas involucradas en el proceso de evaluación de riesgos deben mantener confidencial cualquier
información sensible, protegida y relacionada con el riesgo sobre una organización y su sistema de gestión, al
igual que información que puede causar daño a los entrevistados, clientes, consumidores, socios de la cadena de
suministro, personas que trabajan por su cuenta, demandantes u otros partes interesadas externos. La evaluación
de riesgos y sus datos asociados se pueden considerar confidenciales y, si así se requiere, solo deben compartirse
con personas que tienen una necesidad genuina para conocerlos. El intercambio de información debe basarse en
procedimientos establecidos. Se debe establecer un mecanismo para asegurar que toda la información relevante
está protegida y sólo se proporciona a las personas y organizaciones apropiadas. Los acuerdos de
confidencialidad deben considerarse como obligaciones legales, incluyendo aquellos para proteger información
al igual que requisitos relacionados con la divulgación.
4.9 Gestión del Cambio

Como parte del proceso de administración de riesgos, una organización debe revisar y mejorar regularmente sus
procesos de evaluación de riesgos, incluyendo una revisión de lo que incita a una evaluación de riesgos renovada
como un cambio en el ambiente interno o externo.
La organización debe establecer un programa definido y documentado de gestión del cambio para asegurar que
cualquier cambio interno o externo que impacte a la organización sea revisado en relación con la evaluación de
riesgos. La organización debe identificar cualquier desencadenante de desviaciones de los resultados esperados,
así como nuevas actividades críticas que requieran ser incluidas en el programa de gestión del cambio.
4.10 Mejora Continua

Los gerentes mejoran sus procesos de evaluación de riesgos a través del monitoreo, medición, revisión y
eventual modificación del programa, procesos, procedimientos, aptitudes e información de evaluación en un
ciclo PDCA de mejora continua. Las revisiones formales y documentadas se llevan a cabo regularmente. Los
hallazgos tales como las revisiones deben ser considerados por la alta dirección y tomar acción donde sea
necesario para identificar oportunidades de mejora.
5 ADMINISTRANDO UN PROGRAMA DE EVALUACIÓN DE

RIESGOS

5.1 General
El programa de evaluación de riesgos establece un marco para ejecutar los pasos generales de la evaluación de
riesgos en el proceso de administración de riesgos. El programa de evaluación de riesgos establece los
parámetros para mejorar la estructura organizacional, recursos, compromiso y métodos documentados utilizados
para planear y ejecutar las evaluaciones de riesgo. Un programa efectivo tiene como fundamento que los
objetivos estén claramente definidos. Una persona competente con el entrenamiento, competenciaes y
experiencia necesarios debe administrar el programa de evaluación de riesgos. Los recursos necesarios deben ser
identificados y asignados con los objetivos del programa (incluyendo personal calificado, asignación de fondos y
tiempo suficiente). Se le debe dar prioridad a los temas evaluados como los más significativos para la misión de
11

la organización y así lograr sus objetivos. El programa de evaluación de riesgos también debe considerar las
obligaciones legales, regulatorias, contractuales y sociales. Un programa de evaluación de riesgos integral debe
identificar las oportunidades para maximizar los resultados favorables, al igual que minimizar la probabilidad y
consecuencias de eventos indeseables y perturbadores.
El programa de evaluación de riesgos debe definir:
a) Objetivos y propósito de la evaluación de riesgos;
b) Alcance, actividades, áreas y ubicaciones cubiertas por la evaluación de riesgos;
c) Duración, cantidad, horario y frecuencia de la evaluación de riesgos;
d) Responsabilidades y autoridades asociadas con la administración y manejo de las evaluaciones de riesgo;
e) Criterio de evaluación de riesgo (estándares, políticas, métricas de evaluación y otros criterios);
f) Aptitud del asesor y selección de equipos;
g) Asuntos de administración de negocios relacionados con el criterio de la evaluación de riesgos y la

evaluación de riesgos en sí;
h) Recursos (humanos, de tiempo y horario, financieros, tecnológicos, equipo, viaje, etc.);
i) Asuntos de confidencialidad, seguridad y protección;
j) Métodos de cómo se llevará a cabo la evaluación de riesgos;
k) Comunicación de los hallazgos de la evaluación de riesgos;
l) Monitoreo de actividades de la evaluación de riesgos;
m) Documentación, registros y procedimientos de documentación; y
n) Valoración de la evaluación de riesgos y mejora continua.
Una meta del programa de la evaluación de riesgos es revisar los controles y el sistema de administración de
riesgos, al igual que identificar oportunidades de mejora. Al desarrollar el programa de evaluación de riesgos, se
debe considerar lo siguiente:
a) El enfoque administrativo y los estándar(es) del sistema de gestión que se están utilizando;
b) El tamaño y origen de la organización a evaluar;
c) La complejidad y volatilidad del ambiente operacional;
d) El alcance, complejidad y nivel de madurez del sistema(s) de administración de negocios que se está
evaluando;
e) Los riesgos asociados con la organización evaluada y su sector industrial;
f) Atributos comerciales y prioridades de la organización a ser evaluada; y
12

g) Asignación de recursos necesarios para valorar adecuadamente el sistema de gestión.
5.2 Entendiendo a la Organización y sus Objetivos

La tarea fundamental de las personas que planean y llevan a cabo el programa de evaluación de riesgos es de
desarrollar un entendimiento de la organización a ser evaluada. Esto no significa que el asesor debe volverse un
experto en la operación de la compañía a ser valorada, sino debe adquirir el suficiente entendimiento de cómo
opera la organización para apreciar sus complejidades y matices.
Entender a la organización debe incluir (pero no limitarse a), factores como:
a) La misión de la organización y los objetivos del negocio;
b) Origen de la actividad del negocio;
c) Activos tangibles e intangibles y su cadena de valor;
d) Gobernanza, autoridad y estilo administrativo;
e) Medidas actuales de control de riesgo;
f) Tipos de servicios proporcionados o productos producidos, manufacturados, almacenados o

suministrados de otra forma;
g) Partes interesadas y sus objetivos;
h) Tipos de clientes, clientela y consumidores ;
i) Flujo de información;
j) Roles, responsabilidades y rendición de cuentas;
k) Cadena de suministro y dependencias e interdependencias de infraestructura crítica;
l) Ambientes legales y regulatorios;
m) Compromisos voluntarios de la organización;
n) Naturaleza competitiva de la industria;
o) Cultura empresarial;
p) Distribución geográfica de las compañías;
q) Cualquier asunto especial surgido en los procesos de producción, administración y servicio (por ejemplo,
desecho ambiental, eliminación de activos defectuosos, etc.);
r) Tipo de mano de obra (por ejemplo, sindicato, no calificado, uso de trabajadores temporales,
subcontratación, uso de inmigrantes, etc.);
s) Horas de operación;
13

t) Sensibilidad de la información; y
u) Percepción de la tolerancia y aceptación de riesgos (interna y externamente).
Al valorar los objetivos de una organización algunas preguntas que se deben considerar incluir son:
a) ¿Cuáles son los objetivos estratégicos explícitos e implícitos de la organización y de sus áreas internas?
b) ¿Cuál es el estado de desarrollo, tamaño, sector industrial, distribución geográfica, madurez del estilo de
administración del negocio y complejidad de la organización y sus actividades?
c) ¿Cuál es el origen y dimensión de los riesgos significativos asociados con el logro de los objetivos de la
organización?
d) ¿Cuáles son las limitantes para la toma de riesgos, cuáles riesgos están dispuestos a tomar y cuáles no?
e) ¿Cuál es la actitud sobre la gobernanza en la organización y en la administración de riesgos?
f) ¿Existe una estructura organizacional para facilitar la administración de riesgos?
g) ¿Cuál es la cultura de administración de riesgos en la organización?
h) ¿La organización es progressta e innovadora o conservadora y negada al cambio?
i) ¿Existen recursos y sistemas para sustentar los procesos de administración de riesgos?
j) ¿Cuáles son los factores determinantes a considerar en la inclinación al riesgo y tolerancia al riesgo?
5.2.1 Valor Empresarial de Activos Tangibles, Intangibles y Servicios
Para poder entender a la organización, es necesario identificar a las personas, activos y servicios que le
proporcionan a la compañía un valor tangible e intangible. Las personas involucradas o afectadas por la
organización incluye a empleados, consumidores, visitantes, vendedores, pacientes, invitados, pasajeros,
inquilinos, personas de contacto y cualquier otra persona que estén legalmente presenten en la propiedad siendo
evaluada. Personas no autorizadas (tales como intrusos) tienen que considerarse en la evaluación de riesgos. La
propiedad incluye activos raíces, terreno, edificios e instalaciones; la propiedad tangible como el efectivo,
metales piedras preciosas (ej., materias primas, materiales procesados, productos acabados y materiales
peligros); productos con elevado índice de robo (ej., drogas, títulos, efectivo, etc.); al igual que casi todo lo que
puede ser robado, dañado o afectado de alguna manera.
Los activos intangibles incluyen la marca, buena voluntad o reputación de cualquier compañía que podría ser
afectada. La información es otro bien intangible de alto valor. La información incluye propiedad intelectual y
datos protegidos, tales como secretos comerciales, planes de mercadotecnia, interacción de redes sociales,
cartera de clientes y cualquier otro dato que al ser robado, alterado o destruido podría causar daño a la
organización.
Los servicios proporcionados a las partes interesadas internos y externos son partes importantes de la cadena de
valor de la organización y pueden afectarse. Por ejemplo, la no disponibilidad de los servicios de TI o
contabilidad puedes tener un impacto en la organización, sus operaciones y activos.
14

El valor de los activos y servicios de la compañía debe considerarse dentro del contexto de:
a) Valor relativo a la misión crítica de actividades, productos y servicios;
b) Posesión exclusiva;
c) Utilidad;
d) Costo de creación o re-creación;
e) Criticidad y ventaja competitiva;
f) Recursos humanos y conocimiento importantes;
g) Impacto operacional y del negocio (incluyendo dependencias e interdependencias);
h) Costo de oportunidad perdida;
i) Vida útil del bien;
j) Reputación e impacto de marca; y
k) Otras consideraciones importantes para la gerencia o los clientes.
El valor de un bien y servicio debe considerarse dentro del contexto de cómo contribuyen estos activos al logro
de objetivos de la organización. Mientras que las organizaciones pueden tener una infinidad de activos,
productos y servicios, normalmente no todos son de misión crítica. Por lo tanto, además de considerar el valor
monetario de los activos, la valoración debe considerar cómo encaja el bien dentro de la cadena de valores de la
organización y su valor relativo al lograr objetivos estratégicos y tácticos.
5.2.2 Considerando un Criterio de Riesgo
La organización debe entender y definir su criterio para valorar los riesgos significativos. El criterio de riego
debe reflejar los valores, objetivos y recursos de la organización. Aunque el criterio de riesgo debe establecerse
al comienzo del proceso de evaluación de riesgos, por ser dinámico, debe revisarse continuamente. Al definir el
criterio de riesgo, la organización debe considerar:
a) Actividades importantes, funciones, servicios, productos y relaciones de partes interesadas;
b) El ambiente operacional y la incertidumbre inherente en la operación de regiones específicas;
c) El impacto potencial relacionado con un evento perjudicial o indeseado;
d) Opiniones y percepciones de las partes interesadas;
e) Requisitos legales y regulatorios, entre otros (ej., obligaciones contractuales, compromisos de derechos
humanos) a los cuales se inscribe la organización;
f) La política general de administración de riesgos de la organización;
g) La naturaleza y tipo de amenazas y consecuencias que pueden ocurrir a sus activos, negocio y
operaciones;
15

h) Cómo se definiría y determinaría la probabilidad, consecuencia y nivel de riesgo;
i) Impacto sobre las necesidades las partes interesadas;
j) Establecer los cronogramas para valorar las probabilidades y consecuencias;
k) Riesgo de reputación y percibido;
l) Nivel de tolerancia de riesgo o aversión al riesgo de la organización y sus clientes (definir los limitantes
para cuando el riesgo es aceptable o tolerable);
m) Cómo se determinaría el nivel de riesgo; y
n) Cómo se tomarían en cuenta las combinaciones y secuencias de riesgos múltiples.
Al establecer el criterio de riesgo, la organización debe entender el riesgo que está dispuesta a tratar, retener o
tomar (apetito de riesgo), al igual que el riesgo que esta lista para soportar después del tratamiento de riesgo
(tolerancia de riesgo) y el riesgo que no está dispuesta a asumir (aversión al riesgo) para lograr sus objetivos. Al
establecer el apetito de riesgo, es importante entender la naturaleza de la incertidumbre y si la organización
puede administrar el riesgo al nivel que está dispuesta a seguir. El apetito de riesgo, tolerancia de riesgo y
aversión al riesgo tienen componentes temporales y ambientales que cambiarán con el tiempo cuando cambien
las circunstancias. Por ejemplo, se pueden monitorear los efectos de cambios en el ambiente económico o socio-
político sobre qué tan aceptable sería el riesgo. También, al valorar el impacto de un riesgo en la compañía, es
importante corregir los niveles de apetito de riesgo y tolerancia de riesgo designados para determinar si los
factores (ej., impacto de reputación) fueron entendidos por completo al hacer las estimaciones iniciales. El
apetito de riesgo, tolerancia de riesgo y las aversiones al riesgo también pueden variar en niveles y elementos de
la cadena de valor entre diferentes compañías, deben alinearse.
El apetito de riesgo, tolerancia de riesgo y las aversiones al riesgo tienen que ser conceptos sincronizados. El
apetito de riesgo tiene que establecerse en el contexto de la madurez del negocio y los procesos de
administración de riesgos de la organización. La organización necesita tener la capacidad y competencia para
administrar el riesgo dentro de los límites que se establezcan. Por lo tanto, los límites se deben adaptar y
proporcionar a la medida, naturaleza y madurez del negocio y de los procesos de administración de riesgos.
5.2.3 Entendiendo los Prejuicios
Los prejuicios a veces pueden llevar a distorsiones de precepción, juicio inexacto y análisis ilógico de la
información. Hay una tendencia común para obtener y procesar información filtrándola a través de los
preferencias, disgustos y experiencias de uno mismo. La persona que administra la evaluación debe identificar y
entender los prejuicios inherentes y cognoscitivos dentro de la organización y de los individuos que llevan a
cabo la evaluación. El prejuicio inherente es el efecto de los factores y suposiciones latentes que impactan la
recolección y análisis de la información. Los prejuicios cognoscitivos son tendencias de pensar de cierta forma o
la falta de imaginación en posibles alternativas. Los tipos de prejuicios a considerar incluyen (pero no están
limitados a):
a) Prejuicios sociales y culturales;
b) Prejuicios conocidos y confirmados;
16

c) Prejuicios de percepción, selección observacional y de memoria;
d) Prejuicios de creencia y de comportamiento;
e) Prejuicios relacionales, de pensamiento grupal y tribal;
f) Prejuicios de confirmación y post-racionalizados;
g) Prejuicios de información disponible;
h) Prejuicios de la toma de decisiones; y
i) Prejuicios de la ilusión de control.
5.3 Estableciendo el Marco de trabajo

Establecer el marco de trabajo comienza con la identificación del contexto interno y externo, incluyendo los
ambientes de operación internos y externos y otros factores dentro y fuera de la organización que pueden incluir
en el programa de evaluación de riesgos. El marco de trabajo proporciona la base y fundamentos para diseñar,
implementar, monitorea, mantener, revisar y mejorar continuamente el programa de evaluación de riesgos.
5.3.1 Contexto de la Organización
Al Llevar a cabo una evaluación de riesgos de una organización requiere de conocimiento sobre los factores
internos y externos que pueden influenciar en el rendimiento de la organización para administrar riesgos. Al
planear el proceso de evaluación de riesgos, es importante considerar:
a) Riesgos asociados con el sector industrial y los procesos de la organización;
b) Factores internos que afectan el ambiente operacional de la organización;
c) Factores externos que afectan el ambiente operacional de la organización;
d) Partes interesadas internos y externos que son creadores de riesgos y tomadores de riesgos;
e) Partes interesadas internos y externos que están impactados por los riesgos; y
f) Factores que influyen en la aceptación de riesgo en la organización y por sus partes interesadas.
Entender los factores principales, implusores y asuntos que influencian la posibilidadcompetencia de que la
organización logre sus objeticos y cubrir sus obligaciones, es una parte integral de cualquier planeación
estratégica y táctica de un proceso. El contexto proporcionará una base para las actividades de administración de
riesgos. Por lo tanto, los pasos descritos en este Estándar no deben revisarse como un conjunto lineal de
secuencia de pasos sino como un proceso iterativo donde el contexto de la organización es re-valorar a medida
que se vaya disponiendo de más información.
5.3.2 Contexto Interno
La organización debe identificar, valorar y documentar los contextos internos, incluyendo:
17

a) Estrategias, políticas, objetivos, planes y lineamientos para lograr objetivos;
b) Gobernanza, roles, responsabilidades y rendiciones de cuentas;
c) Valores, filosofía, moral y cultura organizacional;
d) Arreglos y restricciones financieras;
e) Flujo de información y procesos de toma de decisiones;
f) Partes interesadas internas que son dueños, colaboradores, partes impactadas y gerentes de riesgo (a lo
ancho de la organización y por sub-divisiones);
g) Competencias, recursos y activos (tangibles e intangibles);
h) Prácticas y procedimientos;
i) Actividades, funciones, productos y servicios incluyendo su flujo de valores; y
j) Marca y reputación;
5.3.3 Contexto Externo
La organización debe definir y documentar su contexto externo, incluyendo:
a) El contexto cultural y político;
b) El ambiente legal, regulatorio, tecnológico, económico, natural y competitivo;
c) Los acuerdos contractuales, incluyendo otras organizaciones dentro del alcance del contrato;
d) Las dependencias infraestructurales e interdependencias operacionales;
e) La cadena de suministro, relaciones y compromisos con contratistas;
f) Partes interesadas externas que son dueños, colaboradores, partes impactadas y gerentes de riesgo
(dentro de la cadena de valor, intereses particulares, comunidades afectadas y los medios);
g) Asuntos y tendencias principales que pueden impactar los procesos y/o objetivos de la organización;
h) Percepciones, valores, necesidades e intereses de las partes interesadas externos (incluyendo

comunidades locales en las áreas de operación);
i) Fuerza operativa y líneas de autoridad; y
j) Marca y reputación.
Al establecer su contexto externo, la organización debe asegurarse que los objetivos e inquietudes de las partes
interesadas externos sean considerados en el criterio de la administración de riesgos.
5.3.4 Cadena de Suministros, Mapeo y Análisis del Subcontratista
18

Administrar los riesgos en la cadena de suministros, incluyendo subcontratistas, requiere de un entendimiento de
la cultura y ambiente organizacional al igual que del contexto del ambiente global de su cadena de suministros.
Cada nodo de la cadena de suministros de la organización involucra un conjunto de riesgos y procesos
administrativos.
La organización debe identificar y documentar sus partes interesadas anteriores y posteriores de la cadena de
suministros, incluyendo sus subcontratistas, para identificar riesgos significativos y el potencial para causar un
evento de riesgo. El análisis de riesgo en la cadena de suministro debe estar incluido en un programa general de
evaluación de riesgos de la organización. La organización debe definir y documentar los nodos y niveles de su
cadena de suministro y subcontratistas para incluirlos en su programa de evaluación de riesgos.
5.3.5 Contexto de Administración de Riesgos
El contexto de administración de riesgos de la organización describe el contenido, al igual que los parámetros de
control, métodos y planes de riesgo actuales para las actividades de administración de riesgos. Antes de
comenzar con el diseño e implementación del programa de administración de riesgos, es importante entender los
objetivos del programa, así como valorar y entender tanto el alcance como la eficacia del sistema y medidas de
control de riesgos actuales.
Al determinar el estado actual de asuntos, los temas a considerar incluyen:
a) Los objetivos definidos de los programas de administración de riesgos.
b) Los objetivos del programa de administración de riesgos alineados con los objetivos generales de
administración empresarial de la organización.
c) ¿Cuáles son los nodos en la cadena de valor que serían los responsables de la mayor medida de valor?
d) ¿Cuáles son las actividades, productos y servicios identificables, considerados esenciales para lograr los
objetivos de la organización?
e) ¿Cuáles son las amenazas y vulnerabilidades identificables?
f) ¿Cuáles son los métodos de control de riesgos actuales, eficacia al controlar un riesgo identificable, el
riesgo residual y el costo-beneficio percibido de las medidas de control?
g) ¿Existen exclusiones específicas para los riesgos identificables y tratados?
h) ¿Cuáles son los datos, información y fuente de inteligencia utilizados para determinar a los riesgos y su
fiabilidad percibida?
i) ¿Cuáles son las funciones, responsabilidades y recursos de la administración de riesgos?
j) ¿Cuáles son los requisitos administrativos de información, reporte y registros?
k) ¿Cuáles son las interdependencias entre los contextos de administración de riesgos internos y externos?
5.3.6 Necesidades y Requisitos
19

La(s) persona(s) que llevan a cabo la evaluación de riesgos debe(n) entender la razón y propósito de la
evaluación. Debe haber un entendimiento claro entre el gerente de riesgos y la alta dirección sobre el propósito
del programa de evaluación de riesgos y sobre el uso de los resultados. Existen varios propósitos para la
evaluación de riesgos. Algunos ejemplos son:
a) Determinar si la organización está logrando los objetivos administrativos generales;
b) Proporcionar información para los procesos de toma de decisiones;
c) Identificar riesgos actuales, potenciales y percibidos y valorar los procesos de tratamiento de riesgo;
d) Proteger los activos tangibles e intangibles;
e) El uso de un proceso sistemático para identificar debilidades en los procesos de la organización y en los
enfoques de administración de riesgos;
f) Valorar las medidas del tratamiento de riesgos;
g) Identificar oportunidades de mejora;
h) Verificar las prácticas industriales aceptables;
i) Promover la consistencia en los procesos en todas las áreas del negocio;
j) Promover y valorar programas de entrenamiento y sensibilización;
k) Proporcionar apoyo administrativo visible a los programas de administración de riesgos;
l) Llevar a cabo la diligencia requerida para la sociedad de compras y cadena de suministro;
m) Valorar y mejorar la ubicación de los recursos;
n) Entender la exposición del riesgo relacionada con las actividades, proyectos y operaciones;
o) Identificar oportunidades de negocio (incluyendo la puesta en marcha de nuevas sociedades, productos y

servicios);
p) Demostrar el cumplimiento regulatorio;
q) Reducir riesgos;
r) Atender las necesidades y preocupaciones de los consumidores y de la cadena de suministro; y
s) Demostrar la fiabilidad del producto y servicio entregado.
Al desarrollar el programa de evaluación de riesgos, el gerente de riesgos debe entender el uso o de los
resultados de la evaluación por la organización. El uso de los resultados de la evaluación de riesgos puede influir
en la actitud de los participantes en el proceso de evaluación de riesgos.
5.3.7 Objetivos del Programa de Evaluación de Riesgos
20

Definir claramente los objetivos de la evaluación de riesgos , es fundamental para implementar un programa de
evaluación de riesgos exitoso. Las evaluaciones de riesgos proporcionarán más valor a la organización si los
objetivos del programa se alinean con los objetivos organizacionales y administrativos. El gerente de riesgos y la
alta dirección deben definir claramente y acordar los objetivos de la evaluación de riesgos.
Al definir los objetivos del programa de evaluación de riesgos, se deben considerar los siguientes factores:
a) Requisitos administrativos y de toma de decisiones;
b) Activos tangibles e intangibles a ser protegidos;
c) Requisitos del sistema de administración de la empresa;
d) Metas organizacionales, empresariales y operativas;
e) Obligaciones legales y contractuales;
f) Prioridades y rendimiento de la administración de riesgos;
g) Percepciones y expectativas de los afectados y otros partes interesadas, incluyendo las necesidades de la
cadena de suministro;
h) Eventos de riesgo anteriores incluyendo ejercicios, simulacros, incidentes menores y mayores

incluyendo incidentes fallidos; y
i) Nivel de madurez del sistema de gestión de la organización.
Algunos ejemplos de los objetivos del programa de evaluación de riesgos son (pero no están limitados a):
a) Realizar un análisis de brechas para determinar mejoras a la empresa y a los procesos de administración
de riesgos;
b) Verificar la conformidad del sistema de gestión con los requisitos de estándares relevantes;
c) Demostrar la eficiencia de las medidas del tratamiento de riesgo e identificar las oportunidades de
mejora:
d) Validar la administración de riesgos organizacional de las partes interesadas internos y externos;
e) Demostrar una consistencia con las prácticas aceptables de la industria; y
f) Valorar el alineamiento de la administración de riesgos con el enfoque general de la administración de la

empresa para lograr los objetivos organizacionales generales.
5.3.8 Valorando la Criticidad de las Decisiones
La respuesta de los tomadores de decisiones de una organización a la situación con resultados variables es
función del riesgo percibido y de la percepción de criticidad. Es importante conocer los componentes básicos
psicológicos, sociales y emocionales que influencian en la toma de decisiones (las decisiones del asesor o las
decisiones de otros). Algunos factores a considerar:
21

a) La definición precisa del problema y su contexto es la mayor parte de una buena toma de decisión y no
solo la resolución del problema;
b) La estructuración de una decisión en términos de pérdida o ganancia potencial influenciará la criticidad

de las decisiones y nivel perceptivo del riesgo aceptable;
c) Los plazos de toma de decisiones influenciarán en la criticidad de la toma de decisiones (un plazo corto
normalmente resulta en mayor criticidad);
d) Cambiar rápidamente de ambientes requiere someterse a una nueva revisión de la relevancia de la

experiencia pasada y la especialización; y
e) Incertidumbres, no solo problemas obvios, afectan la toma de decisión crítica.
Un riesgo puede tener efectos acumulativos sobre otros riesgos. En el proceso de toma de decisiones, es
importante evaluar el riesgo para que la interacción entre los múltiples riesgos sea entendida. El impacto de
varias decisiones en la evaluación y tratamiento de riesgos debe considerarse a través del proceso de evaluación
de riesgos, al igual que el potencial de consecuencias imprevistas al manjar decisiones de riesgo.
5.3.9 Estableciendo el Alcance del Programa de Evaluación de Riesgos
El alcance del programa de evaluación de riesgos debe definirse para poder lograr los objetivos de la evaluación
de riesgos y considerar el contexto de la organización, sus necesidades y requisitos. El alcance debe definir los
procesos, funciones, actividades, límites físicos (instalaciones y ubicaciones) y las partes interesadas incluidos
dentro de los límites del programa de evaluación de riesgos. El alcance del programa de evaluación de riesgos
tendrá un efecto directo sobre los recursos y requisitos de tiempo necesarios para las evaluaciones de riesgo
individuales. Al establecer el alcance del programa de evaluación de riesgos, los recursos y requisitos de tiempo
serán directamente proporcionales al tamaño del alcance. El gerente de riesgos y la alta dirección deben ponerse
de acuerdo sobre el alcance del programa de evaluación de riesgos antes de comenzar cualquier evaluación.
Cualquier cambio subsecuente en el alcance debe ser documentado y tomado de mutuo acuerdo .
El alcance del programa de evaluación de riesgos se puede componer de uno o más evaluaciones de riesgo
individuales. Si el objetivo del programa de evaluación de riesgos es la comprobación de un estándar del sistema
de gestión, entonces el alcance del programa debe alinearse con el alcance el sistema de gestión con cualquier
desviación observada y entendida.
Algunos factores adicionales a considerar al establecer el alcance:
a) Tamaño y complejidad de la organización;
b) Resultados de evaluaciones de riesgos previas;
c) La probabilidad y consecuencias de eventos conocidos indeseables e interrumpibles (incluyendo la

consideración de incidentes anteriores y debilidades en el sistema de gestión);
d) Nuevos riesgos y oportunidades de negocio;
e) Reportes y preocupaciones de las partes interesadas internas y externas;
f) Nodos de la cadena de suministro a incluirse;
22

g) Complejidad y madurez del sistema de administración de riesgos; y
h) Factores relacionados con el tiempo, logística, comunicaciones y disponibilidad de la información.
5.4 Estableciendo el Programa

5.4.1 Roles y Responsabilidades
Los roles y responsabilidades de las partes que llevan a cabo la evaluación de riesgos y el cliente deben ser
claramente definidos y entendidos, incluyendo:
a) Gerente de Riesgo (GR) – la persona responsable de administrar el programa de evaluación de riesgos y

asegurarse que los recursos financieros, humanos, físicos y de tiempo necesarios se comprometan a
llevar a cabo una evaluación de riesgos efectiva;
b) Líder de equipo de evaluación de riesgos (LER) – la persona designada para liderar el equipo de
evaluación de riesgos;
c) Asesor de riesgos (AR) – la persona que lleva a cabo la evaluación de riesgos, individualmente o como
miembro de un equipo;
d) Experto técnico – un experto en la materia con conocimiento o experiencia específicos para apoyar al
equipo de evaluación de riesgos, aunque no funja como un asesor (ej., experto legal o en el sector
industrial, asesor de riesgos, especialista en seguridad física, especialista en tecnología de la
información, especialista del sistema de control y adquisición de datos, SCADA);
e) Observador – la persona que acompaña al equipo de evaluación de riesgos (ej., representante del cliente,
enlace de clientes o guía); y
f) Cliente – Alta gerencia o área de negocio de una organización que requiere de una evaluación de riesgos.
Un cliente puede ser interno o externo a la organización que está siendo evaluada.
NOTA: Todas las personas que desempeñan funciones deben demostrar capacidad en los roles que están realizando.
Dependiendo del tamaño y la complejidad del alcance, algunos o todos estos roles pueden combinarse. La capacidad
combinada del equipo debe ser suficiente para cubrir todas las áreas de especialidad necesarias para llevar a cabo una
evaluación efectiva. Vea sección 7.2 sobre capacidad.
El gerente de riesgos es el responsable de la planeación, administración y realización del programa de evaluación

de riesgos, mientras que el LER es responsable de realizar las evaluaciones individuales. Ambos son
responsables por el comportamiento profesional y ético de los miembros del equipo de evaluación de riesgos. El
GR y el LER son responsables de:
a) Definir los objetivos, criterio y alcance del programa de administración de riesgos en cuanto a
evaluaciones individuales;
b) Comunicar y consultar con las partes interesadas sobre la evaluación de riesgos;
23

c) Asegurar que el equipo de evaluación de riesgos y sus miembros tengan todo la capacidad necesaria para
llevar una evaluación de riesgos exitosa;
d) Asegurar la asignación de los recursos adecuados para la evaluación de riesgos;
e) Asegurar que el programa de evaluación de riesgos se ejecute como planeado en un tiempo adecuado;
f) Asegurar la compleción e integridad de la documentación;
g) Asegurar que los riesgos hacia los clientes y equipo de evaluación de riesgos sean administrados
apropiadamente durante el programa de evaluación de riesgos;
h) Revisar los resultados de trabajo asignado a los asesores en cuanto a compleción y precisión; y
i) Asegurar la integridad y confiablidad de la información.
El cliente debe designar al menos un representante de la alta dirección para interactuar con el equipo de
evaluación. El representante del cliente debe tener la autoridad de proporcionar a los asesores:
a) La autoridad de llevar a cabo evaluaciones y toma de decisiones;
b) La información organizacional, funcional, de los interesados e histórica apropiada para valorar los
riesgos;
c) Acceso a áreas y actividades a ser evaluadas;
d) Acceso a personas de interés;
e) Acceso a la información;
f) Instalaciones para uso del equipo de evaluación de riesgos (ej., espacio de trabajo privado,
telecomunicaciones, instalaciones seguras e higiénicas, etc.);
g) Personal de apoyo, en caso necesario;
h) Los requisitos de seguridad, vigilancia y normativos; y
i) La información necesaria para proteger los derechos de propiedad y de confidencialidad;
5.4.2 Requisitos Legales y de Otro Tipo
Los asesores deben realizar actividades con profesionalidad apegadas a la ley y a los principios éticos más
elevados. Un asesor debe seguir los principios listados en la sección 4 honesta y diligentemente al llevar a cabo
las responsabilidades profesionales. Los asesores deben salvaguardar la información confidencial y ejercer el
cuidado requerido para prevenir su divulgación indebida. Los asesores no deben dañar maliciosamente la
reputación o práctica profesional de colegas, clientes o empleados.
Los gerentes de riesgos y LER deben de estar conscientes de los asuntos legales y obligaciones relacionados con
la evaluación. Los asesores deben entender sus responsabilidades en cuanto a:
a) La evasión de conflictos de intereses y la protección de imparcialidades reales y perceptivas;
24

b) No utilizar la información adquirida durante el curso de la evaluación de riesgos para beneficio personal
o para el beneficio de otros;
c) No compartir la información más allá de lo necesario a saber o que pueda utilizare para la competencia
restringida;
d) Ejercer un cuidado responsable y competente para evitar la violación del principio de diligencia;
e) Reportar los hallazgos con honestidad;
f) Seguir las normativas ambientales, de seguridad y vigilancia; y
g) No divulgar información empresarial.
Los asesores deben ser calificados por sus responsabilidades para reportar actividades ilegales o inseguras dentro
o fuera del alcance de la evaluación de riesgos, incluyendo requisitos legales de divulgación. Una vez
encontradas, un asesor no debe ignorar las actividades ilegales o inseguras. Los asesores deben informar al LER
– quien le informa al cliente y al gerente de riesgos. El LER debe verificar y crear un registro de la situación. Si
el equipo está en peligro, la evaluación de riesgos debe detenerse y no reiniciar hasta que la condición de peligro
sea reparada.
5.4.3 Requisitos de Aptitud
La aptitud y capacidad para aplicar los conocimientos y competenciaes para lograr los resultados esperados es
necesaria para todos los interesados que están involucrados en la evaluación de riesgos. La aptitud es la suma de
demostraciones de aptitudes personales, conocimiento y competenciaes genéricas de evaluación de riesgos,
conocimiento de administración de riesgos, así como conocimiento y competenciaes del sector industrial
específico.
Para llevar a cabo una evaluación de riesgos efectiva, el GR, LER y los asesores deben demostrar competenciaes
y conocimiento en las siguientes áreas:
a) Competenciaes interpersonales y de comunicación;
b) Sistemas, ciclo PDCA y enfoques de proceso de la administración de riesgos;
c) Estándares utilizados, al igual que documentos normativos;
d) Principios de la administración de riesgos basados en ISO 31000;
e) Conciencia y entendimiento cultural, incluyendo respecto hacia los derechos de los individuos;
f) Conocimiento técnico de la actividad a evaluar;
g) Evaluación y administración de riesgos desde una perspectiva de misión y operacional;
h) Conocimiento general de requisitos normativos; y
i) Buena práctica del sector industrial y disciplina de riesgo específico.
25

El GR y LER deben asegurar que los asesores proporcionen los servicios de evaluación de riesgos solo en
aquellas áreas donde tengan el conocimiento, competenciaes y experiencia necesarios.
5.4.4 Identificando y Administrando la Incertidumbre en el Programa de Evaluación de

Riesgos
Los cambios internos y externos en la organización pueden afectar al riesgo. Por lo tanto, el análisis de la
incertidumbre relacionada a los procesos de la evaluación de riesgos es una parte integral del desarrollo y mejora
del programa de evaluación de riesgos. Para evaluar correctamente cualquier organización, es importante
entender los riesgos relacionados con:
a) La complejidad y naturaleza dinámica del ambiente externo e interno;
b) Lograr los objetivos de las evaluaciones;
c) Imparcialidades entre la realidad y la percepción;
d) Asuntos legales y normativos;
e) La ejecución de la evaluación en la organización del cliente y sus actividades;
f) Seguridad y protección para los equipos de evaluación; y
g) Percepciones de las partes interesadas.
Hay una necesidad de entender las incertidumbres relacionadas con el programa de evaluación de riesgos para
lograr los objetivos y asegurar la credibilidad.
5.4.4.1 Riesgo de la Evaluación en una Organización Las evaluaciones de riesgos involucran

la valoración inherente de información sensible de las organizaciones. Esto introduce un elemento de
incertidumbre para el proceso de evaluación de riesgos. El gerente de riesgos debe valorar los impactos
potenciales tangible e intangible al llevar a cabo la evaluación de riesgos del cliente.
El gerente de riesgos debe considerar:
a) Las necesidades de información de seguridad y confidencialidad;
b) La protección de las fuentes de información;
c) Los antecedentes del equipo de evaluación de riesgos;
d) Las autorizaciones;
e) La exposición a vulnerabilidades;
f) Reportar requisitos; y
g) Interrupciones a las operaciones.
5.4.4.2 Riesgo de la Evaluación de Lograr los Objetivos
26

Las personas que llevan a cabo la evaluación de riesgos deben conocer las incertidumbres que pueden tener
impacto de la evaluación de riesgos sobre el logro de los objetivos. También es importante conocer el tiempo
disponible y recursos de las áreas con mayor nivel de riesgo. El proceso de planeación debe priorizar los
recursos acordes al nivel de riesgo asociado y asegurar que no se pasen por alto los factores de riesgo
importantes.
Al identificar, analizar y valorar los riesgos al programa de evaluación, el gerente de riesgos debe considerar:
a) La planeación;
b) La implicación organizacional y de liderazgo en el proceso;
c) La capacidad general del equipo de evaluación y sus miembros;
d) La asignación de suficientes recursos;
e) La implementación del plan de evaluación de riesgos;
f) La comunicación entre los miembros del equipo, al igual que entre el equipo de evaluación y el cliente;
g) La documentación y control de registros apropiados (y control de documentación) según los

requerimiento jurisdiccionales; y
h) El monitoreo de los resultados del programa.
5.4.4.3 Imparcialidad entre el Riesgo Real y Percibido
El gerente de riesgos debe establecer y documentar un proceso para identificar, analizar, valorar y atender (ej.,
reducir) los riesgos relacionados con imparcialidad de las amenazas reales y percibidas. Se deben tomar las
consideraciones para los prejuicios descritos en la sección 5.2.3, al igual que los factores relacionados con las
decisiones cruciales.
5.4.4.4 Legal y Normativo
Al planear el programa de evaluación de riesgos, el gerente de riesgos debe considerar los requisitos
jurisdiccionales relacionados con:
a) Las autoridades y rendición de cuentas
b) La seguridad (física e informativa);
c) La protección
d) Los requisitos de divulgación y confidencialidad;
e) La responsabilidad de cuidado; y
f) Las obligaciones contractuales.
5.4.4.5 Seguridad y Protección de los Equipos de Evaluación de Riesgos
27

Cuando existe el potencial de exposición a una amenaza y peligro para equipo de evaluación durante la
evaluación de riesgos, el gerente de riesgos debe valorar la protección y seguridad en cuanto a los riesgos y
tomar las medidas apropiadas. Por ejemplo, se podría necesitar o requerir de entrenamiento especializado o
equipo de protección para asignaciones o tareas específicas.
5.4.4.6 Percepciones de las partes interesadas
Las percepciones de las partes interesadas externas pueden impactar el diseño e implementación del programa de
evaluación de riesgos. Por lo tanto, durante el diseño de las evaluaciones de riesgo, el gerente de riesgos debe
estar al tanto y considerar las percepciones de:
a) Partes interesadas claves (ej., trabajadores, sindicatos y organizaciones laborales, consumidores,

inversionistas, etc.);
b) Socios de la cadena de suministro;
c) Supervisores gubernamentales;
d) Comunidades vecinales y adyacentes;
e) Grupos y organizaciones de sociedad civil; y
f) Los medios.
5.4.5 Enfoque y Procedimientos del Programa
El diseño de procedimientos efectivos de evaluación de riesgos debe considerar la idoneidad y eficiencia de los
controles de administración de riesgos e identificar los cambios en los perfiles y prioridades del riesgo. El nivel
de confianza en los resultados de la evaluación se basará en la evidencia y los datos recolectados; no en las
percepciones ni las suposiciones.
El gerente de riesgos debe desarrollar uno o más procedimientos para administrar el programa de evaluación de
riesgos. Al desarrollar los procedimientos, el gerente de riesgos debe identificar las métricas de rendimiento que
se utilizarán para determinar si los procedimientos fueron aplicados efectiva y exitosamente. Los procedimientos
deben desarrollarse para:
a) Planear las evaluaciones para valorar los riesgos y controles de la organización;
b) Identificar y mantener el nivel apropiado de capacidad del asesor;
c) Seleccionar los miembros del equipo de evaluación y designar al LER;
d) Asegurar una comunicación adecuada entre todas las partes implicadas en la evaluación;
e) Valorar los recursos necesarios, logística y factibilidad de una evaluación exitosa;
f) Llevar a cabo la evaluación incluyendo la recopilación de información y técnicas de muestreo;
g) Valorar la información a ser evaluada, definir las prioridades y mejorar los métodos de tratamiento de
riesgo;
28

h) La evaluación de desempeño del proceso de evaluación para identificar oportunidades de mejora;
i) La integridad, confidencialidad y protección de la información;
j) Manejar la cadena de protección, control de acceso y almacenamiento de registros; y
k) Monitorear, revisar y tener una mejora continua del programa de evaluación de riesgos.
5.4.6 Dotación de Recursos
Una vez que se hayan establecido el alcance y los objetivos para el programa de evaluación de riesgos, el gerente
de riesgos debe identificar y asegurar la dotación de los recursos necesarios para llevar a cabo un programa de
evaluación de riesgos exitoso. El gerente de riesgos debe proporcionar los recursos en cuanto a personal, tiempo,
viajes y los recursos financieros necesarios para desarrollar, implementar, administrar y mejorar las actividades
de la evaluación de riesgos (incluyendo garantizar la capacidad del asesor). Desde el punto de vista de la
organización, los beneficios tangibles e intangibles de incrementar la probabilidad de lograr los objetivos
organizacionales deben sobrepasar los costos de realización de la evaluación de riesgos.
Los recursos humanos incluyen la asignación de asesores apropiados y adecuados, de tiempo completo o parcial,
al igual que de expertos técnicos complementarios. La constitución del equipo de evaluación debe reflejar los
objetivos del programa de evaluación de riesgos y la complejidad del sistema organizacional para administrar el
riesgo. El gerente de riesgos debe calcular las horas-hombre para completar exitosamente cada parte de la
evaluación de riesgos.
Los factores que afectarán la asignación de los requisitos de recursos (particularmente requisitos de personal y de
tiempo) incluyen (pero no están limitados a):
a) La complejidad del criterio de riesgo y rango de riesgos a ser evaluados;
b) Los riesgos relacionados con la organización, sus actividades y su contexto;
c) La complejidad y tamaño de la organización a ser evaluada (ej., las organizaciones tecnológicamente

complejas o de trabajo intenso pueden aumentar las horas-hombre requeridas);
d) La madurez del sistema de administración de riesgos existente;
e) Los riesgos relacionados con el programa de evaluación de riesgos (incluyendo la reducción de

prejuicios);
f) El periodo de tiempo deseado en el cual se llevará a cabo la evaluación;
g) Las metodologías de evaluación de riesgos y métodos de muestreo;
h) Los resultados de evaluaciones de riesgo anteriores;
i) La dimensión de los cambios en el ambiente operativo;
j) La revisión de la documentación;
k) La disponibilidad y accesibilidad a la información;
29

l) El número de centros, multi-centros, consideraciones y diversidad de las partes interesadas;
m) Una o múltiples jornadas, al igual que fines de semana y horas libres;
n) El tamaño físico y esquema de la organización a ser evaluada;
o) Cumplimiento con los requisitos;
p) Las comunicaciones (incluyendo la disponibilidad de tecnologías y métodos de información y

comunicación);
q) Los arreglos y equipos de seguridad y protección;
r) Los viajes y logística (incluyendo alojamiento, comidas y descansos);
s) El análisis de información y preparación de reportes;
t) La disponibilidad de personal complementario para llevar a cabo las evaluaciones; y
u) Los retrasos anticipados en la programación.
5.5 Implementando el Programa de Evaluación de Riesgos
5.5.1 Estableciendo el Criterio para las Evaluaciones Individuales de Riesgo
El programa de evaluación de riesgos puede constar de una o más evaluaciones de riesgo, que en conjunto logran
los objetivos generales del programa. El alcance, objetivos y criterio de las evaluaciones individuales de riesgo
dentro del programa deben ser consistentes con los objetivos generales del programa de evaluación de riesgos.
Los objetivos de las evaluaciones individuales de riesgo deben definirse y documentarse con claridad. Algunos
ejemplos de los objetivos de la evaluación de riesgos pueden ser (pero no limitarse a), determinar:
a) La valoración de rendimiento del sistema de administración de riesgos, incluyendo la coherencia de las

medidas de tratamiento de riesgo con los resultados de la evaluación de riesgos;
b) La valoración de las condiciones subyacentes del riesgo(s);
c) La dimensión de cumplimiento de los requisitos legales entre otros;
d) La eficacia de los procesos de tratamiento de riesgos de la organización;
e) La adecuación de los controles de administración de riesgos en un ambiente operacional cambiante;
f) Un criterio para el gasto basado en el riesgo;
g) La sensibilización y promoción de una cultura de administración de riesgos en la organización; y
h) Las oportunidades de mejora.
30

El alcance de las evaluaciones individuales debe definirse y documentarse con claridad. Algunos ejemplos de un
alcance de evaluación individual de riesgos serían (pero no están limitados a):
a) Instalaciones y ubicaciones físicas específicas;
b) Divisiones individuales y unidades organizacionales;
c) Una cadena de valor en la organización;
d) Un conjunto de riesgos específico;
e) Valoración de riesgos relacionados con nuevos productos y servicios; y
f) Procesos específicos.
El criterio para las evaluaciones individuales de riesgos debe definirse y documentarse con claridad. Algunos
ejemplos del criterio de una evaluación individual de riesgos serían (pero no están limitados a):
a) Las metas de administración de riesgos establecidos por la alta dirección;
b) Los requisitos de estándares del sistema de gestión de uno o más estándares;
c) Prácticas industriales aceptables;
d) Requisitos de la matriz o de la cadena de suministro;
e) Requisitos legales;
f) Requisitos de seguridad;
g) Preocupaciones y riesgos perceptivos de las partes interesadas; y
h) Políticas y procedimientos de la administración de riesgos.
El alcance y profundidad de la evaluación de riesgos debe determinarse y documentarse por la organización. Los
objetivos y plazos manejan tipos específicos de evaluaciones de riesgos para aplicarse en diferentes situaciones.
La Figura 3 ilustra los diferentes alcances y profundidad de las evaluaciones de riesgo, basados en aplicaciones
específicas.
31

• Procesos formales
Múltiples técnicas aplicadas de administración de riesgos
Esfuerzo Importancia estratégica
•
• Elementos decisivos de calidad
riguroso y compleja • Consideraciones de prejuicios
• Plazo e decisión más largo
• Se requieren menos técnicas de administración de riesgos

Esfuerzo Importancia estratégica • Elementos decisivos de calidad en lista de control
moderado o compleja • Emerger y evitar aparentes prejuicios
• Plazo e decisión más corto
• Memoria “muscular”
Automático Simple y frecuente • Técnicas de “La clave de la servilleta”
• Decidido al momento
Adaptado de la Presentación: Enfoque Cultural hacia la Toma de Decisiones en RIMS 2011 ERM Conferencia dada por el
Dr. Carl Spetzler. Copyright © 2013 Risk and Insurance Management Society, Inc. Todos los derechos reservados.
Figura 3: Evaluaciones de Riesgos Formales vs. Informales
32

Las evaluaciones de riesgos se vuelven una parte automática e informal del proceso de la toma de decisiones
cuando la administración de riesgo está completamente integrada en la cultura organizacional. Cuando las
decisiones se vuelven más significativas o complejas, se necesita de un proceso de evaluación de riesgos
moderado y deliberado. En esas situaciones, las técnicas limitadas de la evaluación de riesgos pueden ser
utilizadas para llegar a una decisión en un corto plazo. Cuando las decisiones son de naturalezas estratégicas y
complejas, se necesita un esfuerzo más riguroso y deliberado. En esos casos, al haber un margen de tiempo
mayor, se pueden aplicar las técnicas de evaluación de riesgos múltiples.
5.5.2 Identificando los Métodos de Evaluación de Riesgos
El gerente de riesgos debe determinar la metodología apropiada para llevar a cabo la evaluación para lograr los
objetivos, alcance y criterio. El nivel de detalle y complejidad de la evaluación de riesgos debe adaptarse a las
decisiones que se pretendan apoyar. Los métodos seleccionados serán en función del tamaño y naturaleza de la
organización junto con los factores de riesgo, humanos, culturales, de infraestructura y geográficos. La
metodología de evaluación de riesgos utilizada, direcciionará el conjunto de competencias y competenciaes
requeridas de los asesores. Información adicional se encuentra en la ISO 31000 y en la sección 6 de éste
Estándar.
Cuando se seleccione una metodología de evaluación de riesgos, se debe de tener cuidado de mantenerse dentro
de las posibilidades de la organización. La metodología debe seguir un proceso lógico por el cual las entradas de
la evaluación son valoradas para producir los resultados que se utilizan en los procesos de toma de decisiones. Al
tratar de determinar la metodología, un buen punto de partida puede ser las evaluaciones anteriores o un enfoque
aceptable de la industria, pero deben revalorar su idoneidad y ajustarlos a las circunstancias actuales. La
metodología seleccionada también debe considerar la disponibilidad de información y las restricciones en
recursos.
Al seleccionar una metodología, es importante entender los niveles de fiabilidad y confidencialidad de la

información disponible, especialmente las estimaciones de probabilidad y consecuencias. No hay una sola
metodología que sea apropiada para medir la probabilidad y consecuencias de varios riesgos. Cada metodología
requiere de un análisis independiente en cuanto a su diseño. En algunos casos, ni siquiera podría ser posible o
necesario determinar detalladamente la probabilidad y consecuencia. Como regla general, las metodologías
simples son menos propensas a errores y son más fáciles de entender para las partes interesadas; así mismo, son
más probables de cumplir con los principios de transparencia y practicidad. La metodología que cumple mejor
con las necesidades del tomador de decisiones es generalmente la mejor opción, ya sea cuantitativa o cualitativa.
5.5.3 Competencia, Evaluación y Selección de los Asesores de Riesgo
La credibilidad de cualquier programa de evaluación de riesgos depende de la experiencia, conocimiento y

competenciaes interpersonales del equipo de evaluación. El gerente de riesgos debe seleccionar a los miembros
del equipo y al LER basándose en la capacidad requerida para lograr los objetivos de la evaluación de riesgos y
en las competenciaes interpersonales necesarias para interactuar correctamente con personas de la organización
siendo evaluada. El tamaño y composición del equipo dependerá de los objetivos, alcance y criterio de la
evaluación de riesgos, al igual que el tamaño y complejidad de la organización a ser evaluada.
Los miembros del equipo son responsables de recopilar información para sustentar el análisis y valoración de
riesgos y cualquier medida de control propuesta para tratar el riesgo. Los miembros del equipo deben poder
33

recolectar información eficiente y objetivamente y con la debida consideración de evitar disturbios potenciales a
la rutina normal de la organización.
El gerente de riesgos debe establecer un criterio bien-definido para la selección de individuos y la asignación de
tareas. Se deben desarrollar procedimientos para valorar las aptitudes de un asesor en particular, abarcando:
a) Conocimiento;
b) Experiencia; y
c) Competenciaes y rasgos personales.
Los factores a considerar al seleccionar miembros para un equipo de evaluación son:
a) Capacidad general del equipo de evaluación necesaria para lograr los objetivos de la evaluación de
riesgos;
b) Origen del sistema de administración de riesgos y qué disciplinas de riesgo específicas se han manejado
(ej., cumplimiento, seguridad, protección, administración de crisis y continuidad – los asesores pueden
tener un enfoque y tendencia a una disciplina, por lo que se debe de considerar una balance
disciplinario);
c) Conocimiento del sector industrial y los riesgos que enfrenta ese sector, incluyendo la comprensión del
contexto específico de la organización y sus dependencias;
d) Complejidad de las actividades de administración de riesgos, incluyendo el uso de estándares del sistema
de gestión singulares o múltiples;
e) Métodos de evaluación de riesgos a ser utilizados;
f) Requisitos legales, normativos, entre otros manteniendo en mente las variaciones jurisdiccionales;
g) Independencia, imparcialidad y evasión de conflictos de intereses percibidos o reales;
h) Competenciaes personales, culturales, sociales y de idiomas requeridos para manejar con la diversidad
de la organización;
i) Requisitos de seguridad, permisos, ciudadanía y protección para los miembros del equipo;
j) Dinámica de los miembros del equipo y su competencia de trabajar juntos y con el cliente;
k) Logística y disponibilidad del personal; y
l) Requisitos de liderazgo y la necesidad de supervisar y entrenar a los nuevos asesores.
Al considerar la selección de asesores, el gerente de riesgos debe valorar las aptitudes, conocimiento,
experiencia, competenciaes y rasgos personales de los asesores que necesiten lograr los objetivos de la
evaluación de riesgos. El gerente de riesgos debe tener un proceso documentado para valorar y seleccionar a los
asesores. Vea la sección 7 para más detalles al respecto.
34

Los expertos técnicos pueden complementar la capacidad del equipo. En todo momento, los expertos técnicos
deben operar en conjunto con los asesores de riesgos. Los expertos técnicos están previstos para complementar
la especialización general del equipo de evaluación de riesgos para proporcionar conocimientos especializados
en la materia. Los expertos técnicos no son sustitutos de los asesores con competencias en las disciplinas de
riesgo a ser evaluadas.
Los asesores bajo entrenamiento también pueden incluirse en el equipo. Los asesores bajo entrenamiento deben
tener el conocimiento para llevar a cabo las evaluaciones de riesgo, los riesgos relacionados con la organización
y la administración de riesgos. Deben participar bajo la dirección y orientación de un asesor experimentado.
El gerente de riesgos y LER, puede realizar ajustes al equipo durante el transcurso de la evaluación dependiendo
de la necesidad de competencias adicionales.
5.5.4 Estableciendo Roles y Responsabilidades del Líder del Equipo de Evaluación de

Riesgos
El gerente de riesgos debe asignar con anticipación a un individuo para ser el líder del equipo de evaluación de
riesgos (LER), antes del comienzo de las evaluaciones, permitiéndole el suficiente tiempo de preparación. Ya
que el LER se encarga de llevar a cabo la evaluación, al igual que dirigir y monitorear al equipo, el individuo
debe ser un asesor experimentado y familiarizado con el negocio y sector industrial a ser evaluado, así como en
las disciplinas basadas en el riesgo a ser administrado. El LER es responsable de:
a) Desempeño satisfactorio en todas las fases y actividades de la evaluación;
b) Representar al equipo de evaluación con el cliente y/o con el equipo administrativo de la organización;
c) Iniciar y mantener la comunicación con el cliente y/o con el equipo administrativo de la organización;
d) Fomentar la diversidad de puntos de vista al mantener un comportamiento profesional y armonioso entre

los miembros del equipo de evaluación;
e) Desarrollar el plan de evaluación de riesgos;
f) Administrar los riesgos durante el proceso de evaluación de riesgos;
g) Liderar, organizar y dirigir a los miembros del equipo de evaluación (particularmente a los asesores bajo
entrenamiento);
h) Darle buen uso a los recursos durante la evaluación de riesgos y la administración de tiempo;
i) Llevar a cabo juntas de inicio y cierre;
j) Llevar a cabo juntas regulares y de avances con el equipo de evaluación de riesgos, así como con el
cliente y/o equipo administrativo de la organización;
k) Proteger la salud y seguridad del equipo de evaluación;
l) Asegurar la confidencialidad y proteger la información sensible y empresarial;
m) Prevenir y resolver conflictos;
35

n) Revisar la evidencia y observaciones de los asesores y liderar al equipo para determinar los hallazgos y
conclusiones; y
o) Preparar y entregar el reporte de la evaluación de riesgos, asegurando que realmente está correcto y claro
en cuanto a recomendaciones.
Las designaciones de evaluación específicas deben basarse en la experiencia y conocimiento de cada asesor y
responder a la complejidad de las tareas de la evaluación. Debe haber un balance en el equipo de evaluación en
cuanto al conocimiento técnico, legal, industrial, administrativo y de disciplina administrativa basada en el
riesgo. El LER debe asignar y comunicar las responsabilidades de evaluación antes de comenzar con la
evaluación.
5.5.5 Administrando y Manteniendo la Documentación, Registros y Control Documental del

Programa
El gerente de riesgos debe identificar la documentación necesaria para la evaluación de riesgos. Los
procedimientos deben establecerse para el uso y manejo de los documentos y registros creados por el gerente de
riesgos para el programa de evaluación de riesgos. Se deben delinear procedimientos claros para obtener y
manejar la documentación organizacional y del cliente. El cliente y la administración organizacional deben
aprobar explícitamente la copia de cualquier informaciónen cualquier formato. Los asesores no deben borrar,
modificar, eliminar o destruir documentos (incluyendo archivos electrónicos) sin permiso explicito por escrito
para hacerlo.
El gerente de riesgos debe establecer, implementar y mantener los procedimientos para proteger la sensibilidad,
confidencialidad e integridad de los documentos y registros incluyendo el acceso, identificación, almacenaje,
protección, recuperación, retención y desecho de registros. Los documentos deben estar claramente etiquetados
en cuanto a su estado y versión (ej., borrador o versión final, activo o de archivo), así como el nivel de
sensibilidad y confidencialidad. Los registros deben mantenerse con acceso a información y documentos.
En ocasiones donde los reportes se consideran confidenciales, el gerente de riesgos debe establecer controles
computarizados y de red sobre los archivos e información de la evaluación de riesgos para prevenir acceso por
usuarios no autorizados. Al recopilar información confidencial, el gerente de riesgos debe establecer
procedimientos y proporcionar la tecnología necesaria a los miembros del equipo de evaluación para cifrar
equipos de almacenamiento o laptops para asegurar esta información.
Los registros y documentación deben ser creados, mantenidos y almacenados apropiadamente tanto para el
programa general de evaluación de riesgos como para las evaluaciones individuales, incluyendo:
a) Los objetivos, criterio y alcance del programa;
b) Métodos de evaluación y tratamientos de riesgos y medidas;
c) Valoración de logros de los objetivos de la evaluación de riesgos; y
d) Eficiencia del programa de evaluación de riesgos y oportunidades de mejora.
Para las evaluaciones de riesgo individuales, los registros deben incluir:
a) Planes y reportes;
36

b) Hipótesis, partes interesadas y fuentes de información;
c) Criterio de riesgo y apetito de riesgo;
d) Requisitos y condiciones de seguridad, protección y confidencialidad;
e) Agenda y minutas de las juntas de inicio y cierre;
f) Reportes de no-conformidad y acciones correctivas;
g) Modificación de los métodos de tratamiento de riesgo; y
h) Reportes de seguimiento de la evaluación de riesgos.
Los procedimientos deben establecerse para crear y mantener los registros del desempeño de la evaluación de
riesgos. Los registros de la revisión de desempeño deben utilizarse para manejar una mejora continua del
proceso de evaluación de riesgos y de la capacidad del equipo de evaluación. Algunos ejemplos de registros de
desempeño son:
a) Retroalimentación de la organización y el cliente;
b) Selección del criterio y aptitud de los miembros del equipo de evaluación;
c) Valoraciones de desempeño de los miembros del equipo de evaluación y del líder del equipo;
d) Eficiencia en la administración del tiempo; y
e) Necesidad de entrenamiento continuo y mejora de aptitudes de los miembros del equipo de evaluación.
5.5.6 Ejecutando la Evaluación de Riesgos y el Control Operacional
El gerente de riesgos, en conjunto con el LER, debe identificar la documentación necesaria para evaluar riesgos
a la organización y su cadena de valor. El LER debe contactar a las partes interesadas internos y externos
apropiados para evaluar la disponibilidad de documentos relacionados con la evaluación de riesgos dentro del
alcance de la evaluación.
Las políticas y procedimientos de administración de riesgos de la organización se revisan antes de determinar si

el sistema de administración de riesgos ha sido definido y diseñado claro e íntegro. La documentación
organizacional y del cliente debe ser revisada para determinar si se ajusta a los requisitos de administración de
riesgos, así como a los requisitos legales y normativos. La revisión de documentos no es un enfoque de
“checklistchecklist”, sino es una verificación de cómo se interrelacionan y se integran los elementos del sistema
de administración de riesgos para cubrir con los objetivos. Por ejemplo, los asesores deben verificar y valorar las
interrelaciones e integración de los objetivos organizacionales, cadena de valores, administración empresarial y
enfoques de la administración de riesgos.
Al llevar a cabo la revisión inicial del documento, se debe de prestar atención a:
a) Alcance del sistema de administración de riesgos de la organización;
b) Parámetros abordados en el programa de evaluación de riesgos;
37

c) Contexto del ambiente de riesgo;
d) El criterio de riesgo de la organización;
e) Metodología y resultados claves de evaluaciones de riesgo anteriores;
f) Selección y eficiencia de medidas de tratamiento de riesgo;
g) Auditorías internas y revisión administrativa; y
h) Disponibilidad de documentos actuales y compromisos.
La revisión del documento debe proporcionar aportación a la planeación de la segunda etapa de la evaluación de
riesgos: las actividades in-situ. La revisión del documento debe proporcionar indicaciones de las áreas que
requieran más atención y de los recursos para llevar a cabo la segunda etapa de la evaluación de riesgos, así
como la disponibilidad de la organización para la segunda etapa.
La revisión del documento indicará la probabilidad de lograr los objetivos de la evaluación de riesgos y puede
indicar la necesidad de cambios en el enfoque de la evaluación y en la composición del equipo. Cualquier
cambio debe realizarse consultando al gerente de riesgos, LER, cliente y la administración de la organización.
La segunda etapa de la evaluación de riesgos consiste en la recopilación de información y evidencias para

sustentar los resultados de la evaluación de riesgos. Se dDebe considerar si:
a) ¿Todos los requisitos del sistema de administración de riesgos impuestos por la organización se
implementaron correctamente y se están logrando los objetivos de política y desempeño?
b) ¿Se están abordando correctamente los problemas identificados en las evaluaciones de riesgo y se
reflejan consistentemente a través de todos los elementos del sistema de administración de riesgos?
c) ¿Se están cumpliendo las obligaciones legales, normativas y contractuales?
d) ¿La administración está comprometida y lidera con el ejemplo?
e) ¿La organización tomó medidas con los riesgos identificados, hallazgos de auditorías internas, resultados
de ejercicios y lecciones aprendidas de eventos implementando las acciones correctivas y preventivas
apropiadas?
f) ¿Hay un mecanismo de cambio administrativo?
5.5.7 Modelos de Decisión
Al evaluar riesgos, los tomadores de decisiones tienen que valorar las alternativas en términos de valor e
incertidumbre. El análisis de decisión proporciona una visión de cómo se diferencian las alternativas definidas
una de la otra y proporciona una base para considerar alternativas nuevas y mejoradas. Esto involucra el
entendimiento del fundamento de valores utilizados para las probabilidades, las funciones de valor para valorar
alternativas, la importancia del valor para medir el intercambio de objetivos y la preferencia de riesgo. El gerente
de riesgos debe valorar la sensibilidad de los resultados, considerar la fiabilidad de las probabilidades clave y
evaluar los parámetros e importancia de las preferencias de riesgo.
38

El análisis del panorama es un proceso de examinar los posibles y plausibles eventos futuros al considerar
escenarios y resultados alternativos. Proporciona una base para tomar decisiones en un contexto de diferentes
condiciones y resultados. Crear escenarios de supuestos desafíos sobre qué puede o no pasar. Basar las
decisiones y planes en escenarios más probables ayuda a determinar si las decisiones son razonables aun si las
condiciones y circunstancias cambien. Desarrollar y valorar escenarios alternativos reduce la incertidumbre en la
toma de decisiones y aclara lo desconocido que pueda ocurrir.
Las alternativas también se pueden valorar usando el análisis de Pareto el cual supone que en los eventos de
riesgo, aproximadamente el 80% de los efectos vienen del 20% de las causas. Es una técnica simple para
priorizar los posibles cambios al identificar los problemas que se resolverán al hacer estos cambios. Esto le
permite al gerente de riesgos enfocarse en las áreas más efectivas de la evaluación de riesgos mientras que se
minimiza el resto. Por ejemplo, el análisis de Pareto puede ayudar a las organizaciones a identificar la
proporción de activos y proveedores de los cuales depende más en términos de costo, generación de valor,
producción y fracaso, y por ende los activos y servicios que pueden representar el mayor riesgo a la organización
y a su cadena de suministro. El análisis de Pareto está diseñado para que los usuarios identifiquen cuál pequeño
conjunto de prácticas, funciones, proveedores, personal, etc. tiene el mayor impacto. Sin embargo, puede
limitarse por la exclusión de sus problemas los cuales pueden ser pequeños de inicio, pero pueden crecer con el
tiempo.
5.5.8 Factores Influyentes
La influencia de las partes interesadas, como el impacto de la normatividad gubernamental, generalmente es

bastante obvia al evaluar riesgos. Sin embargo, hay individuos o grupos dentro del sector de actividad o espacio
geográfico de la organización que ejercen influencias convenidas menos evidentes.
El utilizar los diagramas de influencia puede ayudar a identificar la fortaleza de estos factores influyentes y
ayudar al LER a determinar el potencial de ponderación a considerar.
En su forma más simple y básica, los diagramas de influencia son una representación de los factores influyentes
sobre los riesgos y objetivos. Graficar a los factores influyentes y lo que impactan, puede ofrecer una visión
crítica. Lo diamantes en el diagrama representan las variables influyentes y las conexiones indican los niveles de
dependencia de variabilidad (vea figura 4). Un mayor número de conexiones demuestra un nodo de alta
dependencia. Trazar estas dependencias puede llevar a un mayor entendimiento de cómo múltiples influyentes
pueden afectar el desempeño.
39

Financiero Estratégico Operacional
Talento
Competencia Infraestructura
Inversionistas
Administración
Capacidades
del Sistema
Proveedores
Leyendas
Estratégico
Operacional
bajo medio alto bajo alto
Financiero
Impacto/Probabilidad Conexión Percibida
Los diagramas de influencia pueden ayudar a definir las causas principales de los riesgos importantes, definir la
cadena de eventos probables en un escenario y convertirse en la base de modelados posteriores. Los diagramas
de influencia estimulan las conversaciones y visiones para entender mejor las relaciones de riesgo.
Adaptado de Risk and Insurance Management Society, Inc. Copyright © 2014 Todos los derechos reservados.
Figura 4: Ejemplo de Diagrama de Influencia
40

5.5.9 Administrando y Reportando los Resultados del Programa
El gerente de riesgos es responsable de revisar y aprobar los hallazgos de la evaluación y el reporte final de
evaluación de riesgos. Para tener credibilidad, cualquier recomendación de cambios debe venir del equipo de
evaluación y se volverá a presentar para una aprobación. Adicionalmente, el gerente de riesgos es responsable
de:
a) La adecuación de acciones correctivas y preventivas para no conformidades en el proceso de evaluación

de riesgos;
b) Asegurar la distribución del reporte de evaluación de riesgos solo al personal autorizado;
c) Mantener la confidencialidad de información sensible y empresarial; y
d) Asegurar un seguimiento apropiado de la evaluación de riesgos, cuando sea necesario.
5.6 Monitoreando el Programa de Evaluación de Riesgos
5.6.1 Monitoreando las Medidas de Valoración del Desempeño del Programa
El gerente de riesgos debe establecer métricas de desempeño y medir la eficiencia del programa de evaluación de
riesgos. Las métricas de desempeño deben utilizarse para valorar el desempeño tanto del programa general de
evaluación de riesgos, como de las evaluaciones de riesgo individuales. El monitoreo de desempeño y las
valoraciones deben incluir:
a) Respuesta e implementación de acciones correctivas y preventivas de las no conformidades identificadas

en el proceso de evaluación de riesgos;
b) Logro de los objetivos de la evaluación de riesgos;
c) Valor agregado para la organización y el cliente;
d) Administración basada en el riesgo;
e) Administración del tiempo;
f) Administración de recursos;
g) La competencia de lograr los objetivos e implementar planes individuales de evaluación de riesgos;
h) Capacidad y profesionalismo por parte de los miembros del equipo de evaluación de riesgos; y
i) Eficiencia de comunicación entre todas las partes involucradas en la evaluación de riesgos;
5.6.2 Valorando los Resultados del Programa de Administración de Riesgos
El gerente de riesgos y el LER deben volver a revisar los riesgos identificados durante el proceso de evaluación
de riesgos tanto para el programa de evaluación de riesgos como para las evaluaciones de riesgo individuales,
41

para determinar si los riesgos identificados se han administrado adecuadamente y si algún riesgo haya surgido y
que no haya sido previamente identificado.
5.6.3 No Conformidades, Acciones Correctivas y Preventivas
El gerente de riesgos debe establecer, implementar y mantener los procedimientos para hacerse cargo de las no
conformidades y para tomar acciones correctivas y preventivas de problemas identificados en el transcurso del
programa de evaluación de riesgos. Los procedimientos deben incluir:
a) La identificación y corrección de no conformidades y la toma de decisiones para mitigar sus

consecuencias;
b) La valoración de la necesidad de acciones para prevenir las no conformidades e implementar las

acciones apropiadas diseñadas para evitar su ocurrencia;
c) La investigación de las no conformidades, determinando sus causas principales y tomando acciones para
evitar su recurrencia;
d) El registro de resultados de las acciones correctivas y preventivas realizadas; y
e) La revisión de la eficiencia de las acciones correctivas y preventivas realizadas.
5.6.4 La capacidad y Competenciaes de Mejora del Asesor de Riesgos
Los asesores deben mejorar su conocimiento, competenciaes y competencia a través de un desarrollo profesional
continuo. El LER debe valorar el desempeño de todos los miembros del equipo de evaluación, mientras que el
gerente de riesgos valore al LER. Las valoraciones deben reconocer tanto las fortalezas como las debilidades
para ayudar con la selección del asesor para futuras evaluaciones de riesgos.
El LER y el gerente de riesgos deben proporcionar retroalimentación a los asesores, particularmente a los
asesores bajo entrenamiento, para ayudarles a mejorar y mantener su capacidad. Las valoraciones deben
considerar:
a) Comportamiento personal y profesionalismo;
b) Competenciaes de comunicación;
c) Interacción con miembros de otro equipo y con el cliente;
d) Competencia de seguir instrucciones;
e) Fortalezas y debilidades al realizar tareas y asignaciones específicas de la evaluación;
f) Conocimiento y competenciaes de valoración relacionados con el criterio de evaluación y cualesquiera

estándares del sistema de gestión de una disciplina específica;
g) Conocimiento de administración basada en el riesgo; y
h) Especialidad en el sector industrial.
42

5.7 Revisión y Mejora
5.7.1 Idoneidad y Eficiencia
El gerente de riesgos debe revisar el programa de evaluación de riesgos para evaluar si los objetivos de la
evaluación de riesgos se están cumpliendo y para asegurar la adecuación continuidad, idoneidad y eficiencia del
programa. Las revisiones deben incluir la evaluación de oportunidades de mejora y la necesidad de cambios en el
programa de evaluación de riesgos.
La revisión del programa de evaluación de riesgos debe incluir una revisión de:
a) Adecuación de los objetivos, criterio y alcance;
b) Eficiencia de la evaluación de riesgos y medidas de tratamiento del programa de evaluación de riesgos;
c) Conformidad a los procedimientos del programa de evaluación de riesgos;
d) Eficiencia y precisión de los métodos de la evaluación de riesgos;
e) Asignación de recursos (incluyendo recursos humanos);
f) Mantenimiento de registros y documentación; y
g) Protección e integridad de la información.
5.7.2 Necesidad de Cambios
El gerente de riesgos debe monitorear el contexto del programa de evaluación de riesgos y gestionar el cambio.
Los factores que pueden desencadenar la necesidad de cambios en el programa de evaluación de riesgos incluyen
cambios en:
a) Las necesidades, percepciones y expectativas de las partes interesadas y otras partes interesadas;
b) La estructura organizacional, gobernanza o modelos de negocios;
c) El riesgo relacionado con la imparcialidad y conflicto de intereses (real o percibido);
d) El ambiente de riesgo del cliente y los asesores;
e) Las tendencias del sector y la industria, incluyendo la identificación de prácticas industriales aceptables;
f) Los requisitos legales y normativos;
g) Las competenciaes requeridas para una evaluación efectiva del riesgo; y
h) La disponibilidad de los recursos.
43

5.7.3 Oportunidades de Mejora
El gerente de riesgos debe revisar la implementación general del programa de evaluación de riesgos para
identificar las áreas de mejora. La mejora continua y el mantenimiento del programa de evaluación de riesgos
deben reflejar los cambios en los riesgos, actividades y operación del programa que afectará el logro de los
objetivos. El gerente de riesgos debe asegurar que cualquier problema del programa de evaluación de riesgos y
sus causas principales haya sido identificado y que se hayan iniciado las medidas correctivas para prevenir o
minimizar la recurrencia. Cualquier cambio resultante de la implementación de las oportunidades de mejora que
impacte el programa continuo de evaluación de riesgos debe ser detallado por el LER al cliente o a la alta
dirección de la organización antes de la implementación para asegurar que ellos entiendan los beneficios
potenciales y cualquier cambio consecuente en el proceso.
El gerente de riesgos debe abordar los problemas relacionados con la mejora de la implementación del programa
de evaluación de riesgos y con la mejora de las competencias del asesor. Cuando sea apropiado, solicitar la
retroalimentación del cliente en cuanto a las posibles mejoras que se puedan considerar en el proceso de
evaluación de riesgos.
6 EJECUTANDO EVALUACIONES DE RIESGO INDIVIDUALES

6.1 General
Esta sección se enfoca en las evaluaciones de riesgo individuales, tanto en su la preparación como en la
ejecución de éstas. Dependiendo del alcance de la evaluación, no todas las condiciones en esta sección aplican a
todas las evaluaciones de riesgo.
Las evaluaciones de riego pueden llevarse a cabo por un equipo interno, equipo externo o una combinación de
estos dependiendo de las necesidades y los recursos de la organización, así como de la amplitud de la
experiencia. Una evaluación de riesgos frecuentemente sigue el orden descrito en esta sección. Sin embargo, no
siempre es el caso dependiendo de las circunstancias de la evaluación, particularmente la definición de los
objetivos de la evaluación.
6.2 Comenzando con la Evaluación de Riesgos
6.2.1 Estableciendo los Objetivos
Los objetivos de la evaluación de riesgos individual deben comprenderse y documentarse claramente para
enfocarse en las tareas, recursos y metas de las actividades de evaluación. Todas las evaluaciones de riesgo
deben incluir un análisis y valoración de la eficiencia de las medidas de tratamiento y oportunidades de mejora
actuales. Los objetivos se establecen dentro del contexto del logro del negocio general de la organización y de
los objetivos de la gestión de riesgos. Los objetivos deben estar asociados a los valores fundamentales. Al definir
los objetivos de evaluaciones individuales, considere:
44

a) El origen de los objetivos de la organización;
b) Los eventos que puedan afectar el logro de los objetivos de toda la empresa (positiva o negativamente);
c) Lograr resultados claros de la evaluación;
d) Usar los resultados de la evaluación de riesgos y de la diseminación;
e) Las categorías de riesgo a considerar;
f) Cómo se relaciona la evaluación individual con el programa general de evaluación de riesgos;
g) Las medidas actuales de control para administrar el riesgo y para proteger los activos tangibles e
intangibles;
h) Los indicadores para medir los niveles de riesgo;
i) Los plazos para la evaluación de riesgos; y
j) Los recursos necesarios para lograr los objetivos.
Los objetivos de las evaluaciones individuales pueden estar ampliamente definidos para considerar la estrategia
de toda la empresa o los requisitos operacionales; o enfocados con más precisión para considerar los riesgos
relacionados con productos, actividades, proceso o funciones específicas. Los objetivos pueden considerar
problemas relacionados con la organización y/o toda o parte de su cadena de suministro (sin embargo, hoy en día
pocas organizaciones no son afectadas por su cadena de suministro y sus dependencias).
Las evaluaciones de riesgos individuales pueden identificar, analizar y valorar los riesgos relacionados con uno o
más problemas que contribuyen a una incertidumbre en el logro de los objetivos de la organización, incluyendo
(pero no limitándose a):
a) Misión y visión estratégica;
b) Aspectos operacionales (ej., gente, procesos y sistemas);
c) Acuerdos legales y normativos, así como practicas éticas;
d) Obligaciones contractuales;
e) Competencia de cubrir con los objetivos del proyecto;
f) Diseño del producto, desarrollo, manufactura, distribución, uso y desecho (incluyendo servicios);
g) Acceso, protección y uso de la información;
h) Marca y reputación;
i) Factores financieros, crediticios y de mercado;
j) Seguridad (protección de activos tangibles e intangibles);
k) Problemas de protección;
45

l) Eventos no deseados y perturbadores (ej., actividades criminales, desastres naturales, fallas tecnológicas,
mala administración);
m) Factores socio-económicos y políticos; y
n) Cadena de suministro y dependencias (ascendentes y descendentes).
Una vez definidos, los objetivos de la evaluación de riesgos individual debe escribirse en una frase concisa el
alcance, hipótesis, procedimientos y resultados.
6.2.2 Identificación de Partes interesadas
Las partes interesadas deben identificarse como los creadores de riesgos y tomadores de riesgos internos y
externos. Una parte interesada es cualquier individuo u organización que esta directa o indirectamente
relacionado con o afectado por las decisiones y actividades de la organización. Identificar claramente las partes
interesadas internos y externos debe realizarse conjuntamente con la identificación de incertidumbres para lograr
los objetivos de la organización y la protección de los activos tangibles e intangibles.
Algunos ejemplos de partes interesadas son (pero no están limitados a):
a) Internos
i. Personas trabajando a nombre de la organización, como empleados (y sus familiares);
ii. Dueños/socios del negocio;
iii. Mesas directivas;
iv. Administradores;
v. Gerencia (en toda la organización, así como las unidades organizacionales y los niveles de
funcionarios);
vi. Sindicatos y asociaciones laborales; y
vii. Contratistas/vendedores in-situ.
b) Externos
i. Consumidores/clientes: existentes y potenciales;
ii. Contratistas/vendedores/distribuidores;
iii. Inversionistas/accionistas/donadores/inversionistas de riesgo;
iv. Competencia;
v. Instituciones financieras y acreedores;
vi. Asociaciones sectoriales y consorcios internacionales;
vii. Analistas;
46

viii. Sociedades civiles y organizaciones no-gubernamentales (ONGs);
ix. Los medios;
x. Agencias gubernamentales y normativas;
xi. Policía local;
xii. Personal de emergencia; y
xiii. Comunidades aledañas y líderes de la comunidad.
6.2.3 Identificación del Contexto Interno y Variables
Al establecer los parámetros de la evaluación de riesgos, considere las condiciones interrelacionadas en las
cuales el/los objetivos existen u ocurren y qué variables podrían haber. Establecer el contexto interno involucra
el entender cómo las siguientes condiciones interrelacionadas aplican al evaluar riesgos:
a) Capacidades de la organización en términos de recursos y conocimiento;
b) Flujos de información y procesos de toma de decisiones;
c) Análisis FODA (Fortalezas, Oportunidades, Debilidades y Amenazas);
d) Métricas e indicadores claves del de desempeño;
e) Partes interesadas internos;
f) Objetivos y las estrategias que se tomen para lograrlos;
g) Percepciones, valores y cultura;
h) Políticas y procesos;
i) Estándares y modelos de referencia adoptados por la organización; y
j) Estructuras (ej., gobernanza, roles y rendición de cuentas).
Los generadores de valor y la percepción de los tomadores de riesgo ylas partes interesadas internas y externas
deben ser analizados. Las variables a considerar al evaluar los riesgos que estas partes interesadas perciben
pueden incluir:
a) Probabilidad: La frecuencia, frecuencia relacional y la verosimilitud;
b) Severidad: El impacto de las consecuencias (puede expresarse en múltiples términos: financiero,

humano, reputación, propiedad, competencia de continuar operaciones, etc.);
c) Oportunidades;
d) Plazos: Prontitud para comenzar (velocidad), cuando el evento/tendencia ocurre (desencadena), cuánto
tiempo tarda (duración) y la reanudación de operaciones (tiempo de recuperación);
47

e) Vulnerabilidad: susceptibilidad relacionada con la preparación, agilidad y adaptabilidad de la entidad;
f) Valor esperado: Significado, moda o media de proyecciones, presupuestos;
g) Variabilidad: Rango, desviación estándar y distribución probabilística;
h) Relación: Cuándo hay de una cosa comparada con otra;
i) Capacidad y resiliencia (ej., la capacidad de la organización para adaptarse a ambientes cambiantes);
j) Gobernabilidad;
k) Visibilidad (para monitorear);
l) Interdependencias;
m) Preparación; y
n) Grado de confianza y fiabilidad en la evaluación y cada una de sus variantes;
6.2.4 Documentando Hipótesis
Las hipótesis son una parte integral de la evaluación y la resolución de problemas. Al llevar a cabo evaluaciones
de riesgos, las hipótesis (tanto propias como de otros) deben ser claramente definidas y documentadas. Una
evaluación de riesgos puede malinterpretar información importante si las hipótesis no se entienden con claridad.
Además, revisar los resultados de la evaluación de riesgos no es fiable si no están consideradas dentro del
contexto de las hipótesis hechas por el equipo de evaluación de riesgos. La interpretación de información y
evidencia por las diferentes partes interesadas se forma por sus hipótesis. Por lo tanto, las hipótesis deben
identificarse y establecerse con claridad, justificarse y documentarse.
Las hipótesis generalmente están ligadas a la perspectiva y punto de vista del individuo. Proporcionan una
ventana hacia cómo las personas que conducen la evaluación de riesgos perciben e interpretan la evidencia e
información recopilada. Las personas que conducen la evaluación de riesgos deben considerar:
a) ¿En qué están basadas las hipótesis?
b) ¿Cómo se impactan los resultados por las hipótesis subyacentes de la evaluación de riesgos?
c) ¿Cómo es afectada la hipótesis por el nivel de incertidumbre?
d) ¿Las hipótesis son una reflexión de las predisposiciones de los asesores?
e) ¿Las hipótesis son algo basado en las opiniones o evidencia?
f) ¿Cómo afectan las hipótesis la confianza en la interpretación de la evidencia?
g) ¿Las hipótesis sobre probabilidades están equilibradas con las consecuencias potenciales de alcanzar los
objetivos?
h) ¿Las hipótesis pueden ser diferentes si se realizan por otro individuo?
i) ¿Los resultados serán diferentes si se basaran en hipótesis diferentes?
48

j) ¿Las hipótesis aun fueron validas ante la evidencia y la información recopilada cuando se realizaron
cuando se estableció el criterio de riesgo?
Identificar a un evento de riesgo potencial como un riesgo proporciona la base para crear un plan proactivo para
administrar el riesgo. Todas las hipótesis de riesgo deben ser monitoreadas y validadas a través del proyecto para
asegurar un entendimiento continuo de su origen.
6.2.5 Definiendo el alcance y Plan de Trabajo
El alcance puede ser para toda la empresa o limitado a una unidad organizacional, ubicación geográfica, flujo de
producto o una actividad, función o fuente de riesgo en particular. El alcance define las condiciones limitantes de
la evaluación de riesgos individual (lo que está dentro y fuera de la evaluación). Como con cualquier proyecto, el
alcance es una función de las necesidades, recursos, autoridades y del tiempo.
Se debe tener cuidado para no sobrecargar o carencia en el alcance de la evaluación de riesgos. Al definir las
limitantes de la evaluación, el alcance debe estar sincronizado con los objetivos y necesidades del cliente, así
como con los objetivos y alcance del programa general de la evaluación de riesgos. La carencia en el alcance
puede resultar en pasar por alto algunos objetivos, activos, partes interesadas y amenazas organizacionales. La
carencia en el alcance puede resultar en una visión limitada respecto a la interacción de las fuentes del riesgo
(ej., la interacción cercana entre la seguridad física y cibernética al evaluar los objetivos organizacionales
relacionados con la seguridad de la información). La sobrecarga del alcance puede resultar en una pérdida de
tiempo y recursos sin poder proporcionar la suficiente atención a las necesidades del cliente.
Una declaración del alcance debe estar claramente preparada, definiendo las limitantes de la evaluación de
riesgos. Esta debe incluir una declaración de trabajo resaltando cuáles son las disciplinas organizacionales,
físicas, operacionales, lógicas y de riesgo incluidas en las limitantes para delinear detalladamente lo que está
dentro y lo que está fuera de la evaluación de riesgos.
El LER debe obtener del cliente una verificación y permiso y acceso para llevar a cabo la evaluación de riesgos
dentro de los límites del alcance aprobado.
Durante el transcurso de la evaluación de riesgos, el LER debe notificar al cliente si existes algunas condiciones
significativas fuera del alcance de la evaluación que puedan impactar un riesgo de la organización o formar uno
adicional.
6.2.6 Política y Compromiso Normativo
Antes de comenzar cualquier actividad de evaluación de riesgos in-situ, el LER debe obtener la autorización y
apoyo apropiados del cliente y/o alta dirección en una política de declaración normativa. La política de
declaración normativa debe incluir declaraciones de:
a) Objetivos, alcance y duración de la evaluación de riesgos;
b) Importancia de la evaluación para la organización a ser evaluada;
c) Autorización clara para llevar a cabo la evaluación dentro de los límites establecidos en el alcance;
d) Necesidad de confidencialidad e integridad de la información;
49

e) Compromiso del cliente y/o alta dirección para comprometerse a establecer el criterio y revisar los
resultados;
f) Compromiso de las personas que trabajan a nombre de la organización para compartir información con
los asesores; y
g) Compromiso del cliente para comunicar a las personas que trabajar a su nombre dentro de los límites
establecidos en el alcance, la importancia de la participación en la evaluación de riesgos.
6.2.7 Dotación de Recursos
El LER debe obtener los recursos apropiados del cliente y/o alta dirección para llevar a cabo las actividades de la
evaluación de riesgos. Si el LER determina que no existen el suficiente tiempo y recursos asignados para llevar a
cabo la evaluación, se le debe notificar al cliente. Si no se puedes asegurar más recursos, entonces los objetivos y
el alcance de la evaluación deben modificarse en consecuencia con el acuerdo del cliente.
6.3 Planeando las Actividades de la Evaluación de Riesgos
6.3.1 Análisis de Brechas
Un análisis de brechas es una técnica que puede utilizarse para determinar qué pasos se tengan que tomar para
mejorar la capacidad de la organización para llevar a cabo una evaluación de riesgos para moverse de un estado
actual a un deseado estado futuro. También conocido como análisis de brechas de necesidades, análisis de
necesidades y evaluación de necesidades, el análisis de brechas busca contestar las preguntas: “¿Dónde
estamos?” – el estado actual; y “¿dónde queremos estar?” – el estado futuro. El análisis de brechas incluye una
valoración de la idoneidad del proceso actual para evaluar el riesgo y si es suficiente para administrar los riesgos.
El análisis de brechas también puede utilizarse dentro de los límites de la evaluación de riesgos individual.
El análisis de brechas consiste en tres pasos:
1. Tomar nota de los factores actuales disponibles, tales como competenciaes, competencias, tiempo y
niveles de desempeño dada la situación actual de recursos (“lo que es”);
2. Enlistar los factores de éxito necesarios para lograr los objetivos futuros deseados (“lo que debe ser”); y
3. Resaltar las brechas – esto es, la cantidad por la cual la necesidad excede los recursos – lo que existe y
los que las brechas puedan necesitar para lograr ser exitosas (“qué considerar”).
6.3.2 Requisitos Legales y Otros
Al llevar a cabo una evaluación de riesgos individual, el LER debe revisar los requisitos legales entre otros
mencionados en la sección 5.4.2, relacionados con el objetivo y alcance de la evaluación individual.
6.3.3 Objetivos, Metas y Estrategias
50

6.3.3.1 General: Objetivos, Metas y Cronograma
El tiempo es un reto para poder lograr los objetivos de llevar a cabo las evaluaciones de riesgo. El LER necesita
desarrollar una estrategia de evaluación, o “camino” para recolectar información de forma representativa, lógica
y metódica. Es necesaria una planeación efectiva para hacer un uso eficiente del tiempo para proporcionar una
evaluación de riesgos informativa. Dependiendo de los resultados deseados de las evaluaciones de riesgos y si el
alcance es para toda la empresa o limitado a un parea específica, proceso o proyecto, se deben establecer metas
razonables y un cronograma dentro de las restricciones de los recursos y fondos disponibles.
6.3.3.2 Enfoque Analítico Utilizando un Formato de Diseño de Portafolio de Riesgo
Un portafolio de riesgo de una entidad es una colección completa y rango de incertidumbres que afectan al
futuro de la organización. Los portafolios de riesgo a veces se conocen como “universo de riesgo”. En esencia,
es un portafolio de “incertidumbres” basados en el contexto interno y externo, cronograma y los objetivos
estratégicos y operacionales de la organización. Es un principio generalmente aceptado, que el portafolio de
riesgo está diseñado de acuerdo al apetito de riesgo, tolerancias de riesgo, cronogramas y objetivos de retorno de
la entidad. El valor esperado de cada objetivo puede influenciar la relación riesgo/recompensa para el portafolio
completo. El impacto potencial de cada riesgo puede influenciar a otros riesgos al igual que a los objetivos
generales de la estrategia planeada. Algunos riesgos pueden cubrir naturalmente a otros riesgos lo cual puede
alterar la respuesta general/asignación de control.
En el ejemplo dado en la Figura 5, el portafolio de riesgo para el contexto interno se categoriza en tres áreas para
las cuales la organización puede tener ciertos objetivos: estratégicos, operacionales y financieros. Se usa una
cuarta categoría para el contexto externo. Aunque este tipo de formato de diseño no aborda el rango o impacto de
los riesgos, ni la interrelación de los riesgos dentro del portafolio de riesgo, proporciona un enfoque para que el
equipo de evaluación de riesgos considere que tan ancho y profundo debe ser la penetración de las evaluaciones
dados los objetivos generales, metas y cronogramas contemplados.
51

Estratégico Operaciones Financiero Externo

• Adquisiciones • Servicio al cliente • Capital • Economía
• Modelo de Negocios • Infraestructura • Flujo de efectivo • Ambiente
• Competencia • Procesos • Crédito • Geopolítica
• Cambios Demográficos • Capacidades del sistema • Obligaciones de deuda • Normativo
• Tecnología disruptiva • Talento • Tipo de cambio • Políticas de impuestos
• Mercado • Liquidez • Eventos climáticos
• Proveedores
Portafolio de Riesgo Completo Organizado por Tipo

Copyright © 2013. Risk and Insurance Management Society, Inc. Todos los derechos reservados.
Figura 5: Formato de Diseño del Portafolio de Riesgo
En este tipo de diseño, puede haber sub-riesgos dentro de cada una de las subcategorías. Por ejemplo, bajo
Operaciones/Infraestructura, uno podría incluir Información Tecnológica, la cual puede tener otro sub-riesgo
como la infraestructura de tecnología, bajo procesos con sub-riesgos como disponibilidad de datos, integridad de
datos, datos/privacidad, desarrollo de sistemas e implementación de sistemas y bajo Talento con sub-riesgos
como requisitos de competencia.
6.3.3.3 Metodología de Análisis
Los métodos, definiciones y metas de la evaluación de riesgos pueden variar ampliamente dependiendo si la
técnica administrativa se está utilizando dentro del contexto operacional, del proyecto, estratégico u otro
ambiente de riesgo administrativo.
Del mismo modo, los resultados y soluciones pueden diferir dependiendo si las evaluaciones de riesgo se están
usando en entornos operacionales, del proyecto o estratégicos (vea Figura 6).
52

Riesgo Riesgo del Riesgo
Operacional Proyecto Estratégico
Tiempo
¿Qué RESULTADO queremos Contracción del
Meta lograr y asegurar?
Ganancias Presupuesto
crecimiento
Alcance
¿Qué EVENTOS/TENDENCIAS (+/-)

Eventos/Tendencias Eventos/Tendencias Eventos/Tendencias
Riesgo nos desviarían de entregar ese + y - + y - + y -
resultado?
¿Qué soluciones disponibles Aceptar Aceptar Aceptar

Transferir Transferir Transferir
Solución pueden alterar los efectos o Controlar Controlar Controlar
probabilidad de estos eventos? Explotar Explotar Explotar
Establecer la solución más apta a

Decisión/ Perfil de Riesgo Perfil de Riesgo Perfil de Riesgo
nuestro PERFIL DE RIESGO Valores Valores Valores
Acción deseado. Costo Costo Costo
Medir Medir Medir

¿Las soluciones responden como
Monitoreo estaba previsto?
Probar Probar Probar
Auditar Auditar Auditar
Adaptado de la presentación de la Conferencia RIMS 2012 por Joanna Makonaski. Copyright © 2012. Risk and Insurance
Management Society, Inc. Todos los derechos reservados.
Figura 6: Administrando la Incertidumbre en el Contexto
Por ejemplo, las evaluaciones de riesgo operacional pueden limitarse a incertidumbres asociadas con las
operaciones existentes y los planes operacionales – los activos, procesos, personas y sistemas instalados – para
entregar un resultado en particular de las operaciones de la organización, como las ganancias planeadas. Las
evaluaciones de riesgo del proyecto normalmente se usan para evaluar las incertidumbres y consecuencias
potenciales relacionadas con el/los resultados esperados de un proyecto o iniciativa en particular, como la
entrega de un proyecto con el tiempo, presupuesto y alcance establecidos. Por otro lado, las evaluaciones de
riesgo estratégicas, se enfocan en una deliberación y acciones más amplias sobre las incertidumbres y
oportunidades sin explorar que afecten a la estrategia planeada y la ejecución de la estrategia de la organización,
como el crecimiento (ej., abriendo nuevo mercado) o contracción de objetivos (ej., eliminar alguna línea de
producto o servicio).
Cada método de evaluación tiene sus ventajas y desventajas. Al seleccionar una metodología en particular, los
asesores primero necesitan considerar la meta y resultado de objetivos que la organización busca, visualizar los
riesgos como desviaciones del resultado (ya sea positivas o negativas) antes de valorar las soluciones disponibles
y recomendar las acciones más adecuadas para el perfil de riesgos general (posición) y nivel de riesgo deseado
de la entidad.
53

6.3.4 Recopilación de Datos
Es responsabilidad del equipo de evaluación recolectar información/evidencia basada en hechos y analizarla

contra el criterio de riesgo. Basándose en la evidencia de los hechos, el equipo de evaluación determinará sus
hallazgos. Se debe de usar como evidencia la información fiable. El equipo de evaluación debe tener una
estrategia muy desarrollada de recolección de datos y un plan de muestreo para asegurar la recolección de
información comprehensiva que refleja el alcance de la evaluación de riesgos. En condiciones dinámicas,
inestables o inseguras donde la evidencia puede estar limitada, se debe buscar información indirecta y
corroborativa para acercarse a la información fiable.
La información y datos pueden recopilarse de varias fuentes, incluyendo (pero no limitados a):
a) Revisión de documentos, indicadores de desempeño y registros;
b) Sitios web y bases de datos;
c) Reportes externos (ej., Publicaciones industriales, estadísticas de crimen y reportes gubernamentales);
d) Entrevistas con personas (partes interesadas internos y externos);
e) Expertos en la materia;
f) Evidencia física; y
g) Observación de los procesos operacionales.
El LER, consultando con los miembros del equipo de evaluación, debe determinar qué tanta información se
necesita recopilar. Al desarrollar el plan de muestreo, es importante mantener en mente que la evaluación intenta
encontrar las debilidades sistemáticas y oportunidades de mejora y no solo las incidencias aisladas. El muestro
examina los elementos seleccionados y de la población en general. El método de muestreo debe definirse y
documentarse utilizando la práctica y procedimientos de muestreo apropiados para los objetivos de recolección
de datos. Si se colectan datos contradictorios o se identifican posibles problemas sistemáticos, el tamaño del
muestreo debe incrementarse para determinar si hay una tendencia o un patrón. Vea el Anexo C para más
información sobre muestreo.
6.3.4.1 Tipos y Métodos
La recopilación de datos es el primer paso en el proceso de evaluación de riesgos para encontrar, reconocer y
registrar riesgos. El propósito de la recopilación de datos es identificar qué podría pasar o qué situaciones
podrían existir que afecten el logro de los objetivos del sistema u organización. El proceso incluye la
identificación de las causas y fuentes del riesgo, eventos, situaciones o circunstancias en las cuales pueden tener
un impacto material sobre los objetivos y la naturaleza del impacto. Estos métodos pueden incluir:
a) Métodos basados en la evidencia, ejemplificados con observaciones, entrevistas, checklist y revisiones

de datos históricos;
b) Enfoques sistemáticos de equipo, donde un equipo de expertos sigue un proceso sistemático para
provocar riesgos por medio de un conjunto estructurado de instrucciones o preguntas;
54

c) Técnicas de razonamiento inductivo como escaneo, análisis de escenario, indicador(es) principales de
desempeño y diagramas lógicos de árbol de evento; y
d) Otros métodos que no formen parte de uno de los métodos mencionados arriba.
Se pueden usar varias técnicas para mejorar la precisión e integridad de los datos recopilados con propósito de la
evaluación. Independientemente de las técnicas actuales empleadas, es importante que se reconozcan los factores
humanos y organizacionales en el proceso general de la evaluación de riesgos.
Las interacciones durante el transcurso de la evaluación entre el equipo de evaluación y aquellos que mejor
entienden los riesgos que enfrenta la organización pueden tener diferentes formas. Al identificar y valorar los
riesgos que son relevantes e importantes para los objetivos de la organización, el equipo de evaluación puede
recopilar datos explorando procedimientos, procesos, actividades, tecnologías (incluyendo sistemas de
información) y la interacción entre el desempeño humano y tecnológico. La recopilación de datos puede lograrse
a través de contacto directo o a través de una revisión indirecta.
Contacto directo – entre las partes interesadas y el equipo de evaluación, tales como:
a) Llevando a cabo entrevistas (en persona, telefónicas o en línea) incluyendo el llenado de encuestas y
cuestionarios con la participación de partes interesadas;
i. Preguntas abiertas (entrevista estructurada).
ii. Preguntas cerradas (checklist).
b) Llevando a cabo revisiones de documentos con la participación de beneficiarios;
c) Sesiones de grupo para tormenta de ideas, involucrando la estimulación y fomento de una conversación
fluida en un grupo de personas con conocimiento para identificar los modos de falla potenciales y los
riesgos asociados;
d) Promoviendo talleres o metodología Delphi, resultante de la combinación de opiniones expertas que

pueden corroborar las fuentes y la identificación de efectos, probabilidad y estimación de consecuencias
y la valoración del riesgo. Es una técnica colaborativa para construir un consenso que involucra análisis
independiente y votación de expertos;
e) Escenario de codesarrollo; y
i. Preguntas de Qué tal Si.
ii. Análisis de escenario – un proceso que utiliza modelos descriptivos para determinar y analizar
posibles eventos que pueden ocurrir en el futuro y sus resultados potenciales. Puede utilizarse
para identificar riesgos al considerar futuros desarrollos posibles y al explorar sus implicaciones.
Se pueden usar un conjunto de escenarios que reflejan (por ejemplo) el ‘mejor caso’, ‘peor caso’
y ‘caso esperado’ para analizar las consecuencias potenciales y sus probabilidades para cada uno
de los escenarios como una forma de análisis sensitivo al analizar un riesgo.
iii. Ejercitar (ej., sobremesa, juegos de guerra, equipo rojo y trayectoria de desarrollo adversaria).
f) Previendo múltiples resultados potenciales.
55

Revisión indirecta – revisión de información y documentación disponible por el equipo de evaluación, como:
a) Llevando a cabo revisiones del repositorio de documentos (ej., datos perdidos y registros pasados por
alto, reportes de satisfacción del cliente, auditoria interna, seguridad y reportes administrativos);
b) Resultados de encuestas de riesgo en línea;
c) Reportes industriales y analíticos;
d) Factores de riesgo de la competencia en los reportes de negocio (ej., 10ks);
e) Encuestas de riesgo públicamente disponibles;
f) Información y reportes meteorológicos y geológicos;
g) Reportes de desastre y falla técnica; y
h) Fuentes periodísticas.
Los métodos utilizados para analizar riesgos pueden ser cualitativos, semi-cuantitativos o cuantitativos. El grado
de detalle requerido dependerá de la aplicación en particular, la disponibilidad de información fiable y las
necesidades de la toma de decisión de la organización. Algunos métodos y el grado de detalle del análisis pueden
ser obligatorios por ley. Fuentes adicionales de discusión de la identificación de riesgo pueden encontrarse en la
sección 6.4.4 Implementación.
6.3.4.2 Análisis de Error
Al llevar a cabo la evaluación de riesgo, es importante tomar en consideración que cierta información y medidas
están sujetas a incertidumbres. Para poder sacar conclusiones válidas, el error debe entenderse, indicarse y
manejarse apropiadamente. El análisis de error toma en cuenta el tipo y cantidad de error que puede ocurrir. Se
debe incluir un indicador de qué tan precisos son los resultados y nivel de incertidumbre junto con las
conclusiones de la evaluación de riesgos.
Los errores surgen de mediciones y muestreo de imprecisiones al igual que de la variabilidad inherente de
factores naturales, humanos, físicos, sociales y económicos complejos, algunos de los cuales, sujetos a
influencias aleatorias. Es importante diferenciar cuando las conclusiones se basan en los objetivos o en las
probabilidades subjetivas y/o si la variabilidad es el resultado de las fluctuaciones inherentes. Cuando los
eventos se describen subjetivamente, se deben basar en la mejor información, perspectiva y juicio disponibles.
El muestreo de errores puede ser sistemático o aleatorio. Los errores sistemáticos son las incertidumbres que
tienden a cambiar todas las mediciones de forma sistemática de tal forma que su valor significativo se desplace.
Esto puede ser por cosas como cuestionarios predispuestos o nociones preconcebidas de la persona llevando a
cabo las mediciones. Los errores aleatorios son imprecisiones que fluctúan de una medición a la siguiente.
Producen resultados donde el valor significativo varía. Pueden ocurrir por una variedad de razones incluyendo la
falta de enfoque en las preguntas, definición imprecisa de la terminología o la falta de sensibilidad en el análisis
de modelos.
56

Existen muchos métodos estadísticos para cuantificar el error. La clave para entender la fiabilidad y nivel de
confianza en los resultados de la evaluación de riesgos es entender claramente las fuentes del error y el tamaño
de su influencia en las conclusiones.
6.3.4.3 Análisis de Sensibilidad
El análisis de sensibilidad es una técnica sistemática utilizada para entender cómo las estimaciones del riesgo y
las decisiones basadas en el riesgo dependen de la variabilidad e incertidumbre en los factores que contribuyen al
riesgo. La sensibilidad generalmente se refiere a la variación en el rendimiento de un modelo de análisis de
riesgo con respecto al cambio en los valores de entrada del modelo. El análisis de sensibilidad intenta
proporcionar una clasificación de las entradas del modelo basadas en sus contribuciones relativas a la
variabilidad e incertidumbre del rendimiento del modelo.
Hay muchos métodos analíticos que pueden referenciarse como análisis de sensibilidad, algunos de los cuales
son muy simples e intuitivos. En su versión más simple, el asesor puede comparar los resultados del enfoque
analítico usando diferentes hipótesis y valores de entrada. Valores el nivel de incertidumbre al usar un estimado
creíble para cada cálculo. El análisis de sensibilidad también puede involucrar más técnicas matemáticas y
estadísticas complejas para determinar que factores en el modelo de análisis de riesgos contribuye más con la
varianza en los estimados del riesgo. La complejidad generalmente surge por el hecho de que múltiples fuentes
de variabilidad e incertidumbre influencian al estimado al mismo tiempo, en lugar de actuar independientemente.
Al tomar decisiones pasadas en el análisis de sensibilidad, se debe considerar lo siguiente:
a) La mayoría de los sistemas son dinámicos;
b) Puede que las hipótesis y valores anteriores no apliquen con las condiciones cambiantes;
c) El rendimiento del modelo puede ser muy sensible a ciertos parámetros e hipótesis(particularmente
estimaciones de probabilidad subjetiva);
d) Los parámetros del modelo pueden describir mejor unos riesgos que otros; y
e) La complejidad del modelo puede ser sensible para variables múltiples.
Se debe mantener en mente que los modelos de análisis de riesgo están basados en ciertas hipótesis y premisas;
por lo tanto, el análisis solo es tan preciso como la fiabilidad de las variables y parámetros utilizados.
6.3.4.4 Análisis de Estrés
Las pruebas de estrés son una forma de simulación utilizados para determinar las reacciones a diferentes
situaciones. Las pruebas de estrés también se utilizan para medir qué tan cierto es que los factores estresantes
afecten a la compañía o industria. El análisis computacional se usa para probar los escenarios hipotéticos en las
pruebas de estrés para valorar el efecto de la incertidumbre sobre los sistemas en un amplio rango de situaciones.
Típicamente se usan para valorar el rango de posibles resultados y la frecuencia relativa de los valores en dicho
rango para cuantificar las mediciones de un sistema, tal como el costo, duración, rendimiento, demanda y
medidas similares. Estas simulaciones pueden utilizarse para dos propósitos diferentes:
a) Propagación de incertidumbre sobre los modelos analíticos convencionales; y
57

b) Cálculos probabilísticos cuando las técnicas analíticas no funcionan.
En general, las simulaciones de análisis computacional se usan para evaluar, ya sea la distribución completa de
los resultados que puedan surgir o las medidas claves de una distribución tales como:
a) La probabilidad del surgimiento de un resultado definido; y
b) El valor de un resultado del cual los dueños del problema tienen un cierto nivel de confianza en que no
se exceda o se venza, un costo de que haya menos del 10% de chance de excederse, o una duración que
tiene 80% de certidumbre para excederse. Un análisis de la relación entre las entradas y salidas puede
esclarecer el significado relativo de los factores a trabajar e identificar las metas útiles para esforzarse a
influenciar la incertidumbre en el resultado.
La prueba de desempeño es diferente a la prueba de estrés. La prueba de desempeño se lleva a cabo dentro del
ambiente “normal” de operación, mientras que la prueba de estrés ocurre a la máxima capacidad y fuera de los
parámetros “normales”.
6.3.5 Revisión de Documentación
Antes de realizar la evaluación de riesgos, el LER debe obtener la documentación inicial sobre la organización a
ser evaluada para preparar las actividades de la evaluación. El LER y el equipo de evaluación deben revisar los
documentos relevantes para determinar las actividades de la evaluación de riesgos y para entender mejor al
cliente y la organización. Esto incluye documentos de política organizacional, declaración de principios, perfiles
de la compañía, estructura organizacional, sistema(s) administrativos y prácticas industriales. También incluye
información relacionada con los productos, servicios, procesos y actividades, al igual que el entendimiento del
alcance geográfico, interacciones y dependencias.
El LER debe obtener cualquier descripción del sistema de administración de riesgos, incluyendo manuales, para
que los estudie el equipo. Los reportes anteriores de evaluación de riesgos también son útiles pero no deben
predisponerse con los esfuerzos de la evaluación actual. Se necesitan abordar las preocupaciones del propietario
y acuerdos de confidencialidad. La revisión de documentos debe examinar el alcance y lineamientos de política
del sistema de administración de riesgos del cliente para confirmar la consistencia con los objetivos, criterio y
alcance de la evaluación de riesgos. Cualquier inconsistencia debe aclararse con el cliente.
Se debe obtener la suficiente documentación al preparar la evaluación de riesgos para determinar si el sistema de
administración de riesgos está diseñado adecuadamente y si existe alguna brecha significativa que podría indicar
que el sistema de administración de riesgos no está completo ni mantenido correctamente.
6.3.6 Preparando el Plan de Evaluación de Riesgos
El LER prepara el plan de evaluación de riesgos basándose en los objetivos, alcance y criterio del programa de
evaluación de riesgos y la documentación e información proporcionada por el cliente. El plan de evaluación de
riesgos debe ser revisado y aceptado por el cliente de acuerdo con las estipulaciones del programa de evaluación
de riesgos. El plan de evaluación de riesgos debe presentarse al cliente con antelación a las actividades in-situ.
Cualquier problema que surja por parte del cliente con el plan de evaluación de riesgos debe resolverse entre el
LER y el cliente.
El plan de evaluación de riesgos identifica, cuando sea relevante:
58

a) Objetivos y alcance de la evaluación de riesgos;
b) Criterio de la evaluación de riesgos como el criterio de riesgo, estándares, contratos, normativas,

manuales y documentos de referencia a ser utilizados en la evaluación de riesgos;
c) Actividades de seguimiento de las evaluaciones de riesgo anteriores;
d) El cliente, representante administrativo, guías, las secciones, instalaciones y funciones a ser evaluadas;
e) Miembros del equipo de evaluación (ej., LER, asesores, expertos técnicos, observadores), sus
competencias, roles y responsabilidades;
f) Disponibilidad de los recursos apropiados;
g) Logística de la evaluación de riesgos, incluyendo lugar y fecha de la evaluación de riesgos, viajes,

alojamiento e instalaciones para la evaluación de riesgos;
h) Cronograma y calendario general de las actividades de la evaluación de riesgos;
i) Procedimientos de comunicación, incluyendo juntas con el cliente y el equipo de evaluación;
j) Métodos de evaluación de riesgos, incluyendo recolección de evidencia y métodos de muestreo;
k) Riesgos identificados, relacionados con la evaluación de riesgos, el cliente, la organización y el equipo

de evaluación;
l) Confidencialidad, seguridad, y medidas de protección;
m) Condiciones que justifican el paro de la evaluación de riesgos;
n) Idioma de la evaluación de riesgos y reporte;
o) Temas del reporte de evaluación de riesgos; y
p) Exclusiones e hipótesis específicas.
El plan de evaluación de riesgos debe:
a) Proporcionar la base para el acuerdo con el cliente para llevar a cabo la evaluación de riesgos;
b) Considerar el efecto que las actividades de la evaluación de riesgos podrían tener en el cliente y sus
funciones;
c) Facilitar la comunicación eficiente, coordinación y calendarización de las actividades de la evaluación

de riesgos para lograr los objetivos eficaz y eficientemente;
d) Tomar en cuenta las competenciaes y composición del equipo de evaluación (incluyendo si se requieren
expertos técnicos o de seguridad); y
e) Delinear los métodos y prácticas apropiadas de evaluación (ej., técnicas de muestreo y de entrevista).
59

La complejidad y alcance de la evaluación de riesgos y el nivel de confianza para lograr objetivos de la
evaluación de riesgos, determina la cantidad de detalle que se requiere en el plan de evaluación de riesgos. El
alcance de la evaluación de riesgos podría diferir entre las evaluación inicial y subsecuente. El plan de
evaluación de riesgos debe incluir espacio de flexibilidad para permitir cambios con el progreso de la evaluación
de riesgos.
6.3.7 Formando al Equipo de Evaluación de Riesgos
El LER delega la responsabilidad de los procesos específicos, actividades, ubicaciones y funciones de la

evaluación de riesgos a cada uno de los miembros del equipo. Al delegar los roles y responsabilidades, se toman
en cuenta las competenciaes, fortalezas y debilidades de los miembros del equipo de evaluación individual, así
como el uso apropiado de los recursos.
Las sesiones informativas del equipo de evaluación se realizan para asegurar que se logren los objetivos de la
evaluación de riesgos. Esto se puede realizar al asignar el trabajo y decidir sobre posibles enmiendas. El LER
determina la frecuencia de las sesiones informativas del equipo de evaluación.
Durante toda la evaluación de riesgos, el equipo de evaluación debe estar alertas sobre circunstancias de riesgos
cambiantes o nuevas. Los asesores deben notificar al LER quién debe consultar con los miembros del equipo
asesor para abordar estos cambios para poder lograr los objetivos de la evaluación de riesgos. El LER debe
comunicar al cliente cualquier riesgo significativo identificado (especialmente amenazas a la, seguridad y
protección del equipo de evaluación y la organización del cliente), así como cualquier cambio significativo al
plan de evaluación de riesgos.
6.3.8 Determinando la Viabilidad
El LER debe determinar la viabilidad del logro de objetivos de la evaluación de riesgos. Si la evaluación de
riesgos se considera viable, debe haber una confianza razonable en que los objetivos de la evaluación de riesgos
se puedan realizar. Si la evaluación no es viable, el LER le debe notificar al gerente de riesgos, cliente y
administración organizacional. La preparación para la evaluación de riesgos debe suspenderse hasta que todas
las partes estén de acuerdo con los cambios subsecuentes.
En el alcance y objetivos ya definidos, los factores que contribuyen a la viabilidad de la evaluación de riesgos
son:
a) Recursos adecuados comprometidos con la evaluación de riesgos;
b) Tiempo adecuado en la programación de restricciones;
c) Disponibilidad del personal del equipo de evaluación con la mezcla de características, competenciaes y
acreditación necesaria;
d) Cooperación con el cliente y un ambiente de trabajo propicio;
e) Acceso a información adecuada y relevante para preparar y llevar a cabo la evaluación;
f) Gastos logísticos; y
g) Requisitos de idioma.
60

6.3.9 Documentación y Control de Documentos
La organización debe establecer y mantener registros para sustentar las actividades de la evaluación de riesgos.
Toda la documentación de la evaluación debe indicar cuándo fue realizada, producida, periodo de tiempo
transcurrido, fechas de cualquier revisión o apéndices y los asesores quienes contribuyeron, produjeron y
autorizaciones del documento.
La documentación podría incluir entre otras cosas:
a) Registros requeridos por el cliente y la organización;
b) Objetivos, alcance, criterio e hipótesis;
c) Partes interesadas consultados en el proceso de evaluación de riesgos;
d) Caracterización e identificación de activos;
e) Metodología de evaluación de riesgos utilizada;
f) Inspección, mantenimiento y registros de calibración;
g) Registros pertinentes del subcontratista y proveedor;
h) Reportes de incidentes;
i) Registros de investigaciones de incidentes y su disposición;
j) Resultados de la evaluación de riesgos;
k) Resultados de la revisión administrativa;
l) Decisión de comunicaciones externas;
m) Registros de requisitos legales pertinentes;
n) Catálogo de riesgos significativos, probabilidades e impactos;
o) Selección de personal;
p) Registros de entrenamiento;
q) Registros de monitoreo de procesos; y
r) Comunicaciones con las partes interesadas.
La organización debe establecer, implementar y mantener los procedimientos para proteger la sensibilidad,
confidencialidad e integridad de los registros incluyendo el acceso, identificación, almacenamiento, protección,
recuperación, retención y eliminación de los registros. Los registros deben guardarse por el periodo mínimo
designado o como se requiera o se limite por la ley. La organización debe establecer, implementar y mantener
procedimientos para:
a) Aprobar la idoneidad de documentos antes de su publicación;
61

b) Proteger la sensibilidad y confidencialidad de la información;
c) Revisar, actualizar como sea necesario y re-aprobar documentos;
d) Enmendar registros en los documentos;
e) Hacer de fácil acceso los documentos actualizados y aprobados;
f) Asegurar que los documentos se mantengan legibles y fáciles de identificar;
g) Asegurar que los documentos de origen externo sean identificados y se controle su distribución;
h) Prevenir el uso no deliberado de documentos obsoletos; y
i) Asegurar la destrucción apropiada, legítima y transparente de documentos obsoletos.
Las organizaciones deben asegurar la integridad de los documentos al realizarles copias de seguridad accesibles
solo al personal autorizado y protegerlos de la divulgación, modificación, eliminación, daño, deterioro o pérdida
no autorizada.
6.4 Llevando a cabo las Actividades de la Evaluación de Riesgos
6.4.1 Preparando los Documentos de Trabajo
Los miembros del equipo de evaluación preparan los documentos de trabajo para facilitar y registrar su
investigación y reportar sus resultados. Los documentos de trabajo proporcionan un plan de trabajo flexible para
llevar a cabo las actividades de la evaluación y registrar las observaciones de las evidenciaschecklist de la
evaluación de riesgos. Los documentos de trabajo deben mostrar qué se ha valorado, cómo se ha valorado, qué
se examinó y qué se observó. Los documentos de trabajo pueden incluir checklist, planeas de muestreo de
evaluación y formularios para registrar la información, incluyendo hallazgos de la evaluación y registros de las
juntas.
Los documentos de trabajo bien preparados pueden ayudar a mejorar la administración del tiempo de la
evaluación. El uso de listas de control, formularios, mapas de proceso y hojas de registro deben proporcionar una
estructura para las diversas actividades de evaluación. Sin embargo, el uso de checklist no debe restringir lo que
un asesor necesita hacer y debe ser flexible para considerar cambios que puedan realizarse durante la evaluación.
La organización y el cliente deben estar al tanto, a través del LER, que el uso de checklist no debe restringir lo
que un asesor necesita hacer.
Al desarrollar los documentos de trabajo, los procedimientos deben ser especificados en cuanto a su
almacenamiento, acceso y la necesidad de proteger la información confidencial y empresarial. La integridad de
la información debe estar segura en todo momento.
Los documentos de trabajo eficaces deben:
a) Adecuarse al usuario;
62

b) Indicar la información de antecedentes necesarios;
c) Guiar al asesor sobre qué evidencia objetiva requiere una revisión;
d) Registrar el proceso de recolección de evidencia;
e) Delinear los tipos de preguntas a realizar;
f) Proporcionar un significado al registro que parte del programa siendo muestreado;
g) Incluir espacio en el documento para las muestras tomadas, revisiones al documento, así como registro
de comentarios y observaciones;
h) Proporcionar evidencia de la minuciosidad de la evaluación; y
i) Ser revisado al final de la evaluación en cuanto a eficiencia y mejora.
Un ejemplo de una checklist de una evaluación es la construcción de una matriz, enlistando los riesgos
específicos que el asesor desea verificar para evaluar y tratar. En las columnas, el asesor puede registrar la
evidencia relacionada con el criterio con notas adicionales:
a) Criterio de riesgo utilizado y evidencia relacionada con el criterio;
b) Controles de riesgo existentes y su eficiencia;
c) Nivel de criticidad;
d) Nivel de amenaza;
e) Nivel de vulnerabilidad;
f) Nivel de riesgo;
g) Documentos;
h) Hallazgo de necesidades de un tratamiento completo y/o oportunidad de mejora;
i) Conclusiones; y
j) Comentarios.
Las checklist deben ser revisadas antes de cada evaluación para determinar si aún siguen siendo relevantes y
apropiadas. Al preparar las checklist, deben diseñarse para:
a) Mantener la claridad de los objetivos de la evaluación;
b) Proporcionar estructura;
c) Ayudar a asegurar la meticulosidad;
d) Mantener el ritmo y continuidad de la evaluación;
e) Reducir el prejuicio del asesor y así incrementar la objetividad de la evidencia;
63

f) Reducir la carga de trabajo durante la evaluación;
g) Proporcionar la el formato de recolección de evidencia; y
h) Proporcionar un registro de la evaluación y recolección de evidencia.
Las checklist deben volverse a examinar antes de cada evaluación para valorar si son apropiadas para el trabajo
en mano.
6.4.2 Asignando Roles y Facilitando la Comunicación Entre los Miembros del Equipo
El LER debe de asignar las evaluación específicas basándose en la competencia de cada asesor y en la
complejidad de las tareas de la evaluación de riesgos. Debe haber un balance en el equipo de evaluación en
cuanto al conocimiento técnico, legal, industrial, administrativo y sobre administración de riesgos. El LER
debedebe asignar y comunicar las responsabilidades de la evaluación de riesgos antes de su comienzo.
Podrían ser necesarios los canales de comunicación formales entre el equipo de evaluación, el cliente y agentes
externos (donde aplique) durante la evaluación. Especialmente podría ser necesario cuando los requisitos legales
demanden un reporte mandatorio sobre ciertas violaciones de riesgo y normativas.
La comunicación dentro del equipo de evaluación debe ocurrir con regularidad para evaluar el progreso de la
evaluación de riesgos, reasignar trabajo entre los equipos de evaluación e intercambiar información como sea
necesario. La frecuencia de la comunicación debedebe ser por lo menos diaria o basada en la complejidad de la
evaluación y las necesidades del equipo de evaluación. Las sesiones informativas confirman las observaciones
de la evaluación del día y le proporcionan al LER la oportunidad de aclarar la evidencia de los miembros del
equipo de evaluación y sus interpretaciones. Eso es particularmente importante en casos donde los miembros del
equipo no están in-situ hasta el final de la evaluación. Si existe alguna preocupación sobre un problema fuera del
alcance de la evaluación, se debedebe de anotar y reportar al LER. Queda a la discreción del LER comunicar las
preocupaciones al cliente.
El progreso de la evaluación y cualquier preocupación sobre la evaluación debedeben ser comunicados por el
LER al cliente, preferentemente a diario, o como fuera necesario. La finalidad de las actualizaciones es para:
a) Asegurar que el cliente se mantenga informado del progreso y resultados de la evaluación;
b) Solicitar aportaciones e información adicional del cliente; y
c) Asegurar que no hayan sorpresas durante la junta final.
Si la evidencia recolectada durante la evaluación sugiere o indica un riesgo inmediato y significativo a la

organización, cliente o al equipo de evaluación, el cliente debe ser informado sobre el riesgo sin demoras.
El LER debe reportar y proporcionar al cliente una explicación en caso de que la evidencia de la evaluación
sugiera que los objetivos de la evaluación sean inalcanzables. El LER y el cliente deben determinar la acción
apropiada (ej., modificar el plan de evaluación, cambiar el alcance u objetivo de la evaluación y suspender la
evaluación). La necesidad de un cambio en el plan de evaluación podría volverse evidente con el avance de la
evaluación y en su caso, se debe de revisar y aprobar por el cliente y gerente de riesgos.
6.4.3 Llevando a Cabo la Junta de Pre-Evaluación
64

La junta de pre-evaluación normalmente inicia con la fase de recolección de datos en el lugar de la evaluación de
riesgos. El propósito de la junta de pre-evaluación es para:
a) Confirmar el plan de evaluación de riesgos – revisar el propósito, alcance y esquema del proceso y
métodos de evaluación;
b) Introducir al equipo de evaluación y conocer la contraparte de la organización o cliente que participen en

la evaluación;
c) Confirmar y explicar el criterio de riesgo;
d) Confirmar los canales de comunicación;
e) Verificar la autorización y aprobación para llevar a cabo la evaluación de riesgos;
f) Verificar la factibilidad de las actividades de la evaluación de riesgos; y
g) Proporcionar una oportunidad para que el cliente haga preguntas sobre la evaluación.
El LER conduce la junta de pre-evaluación. Un miembro designado del equipo de evaluación debe tomar
asistencia y las minutas. Se debe de realizar con la gerencia del cliente. Así mismo, aquellos responsables de los
servicios, funciones o procesos siendo evaluados podrían estar presenten.
La junta de pre-evaluación debe detallarse como sea necesario para asegurar que todos los presentes entiendan el
proceso de evaluación. En la junta de pre-evaluación es donde, por lo menos se explica la naturaleza de la
evaluación. La formalidad de la junta depende del tipo de evaluación que se lleve a cabo.
Los siguientes elementos son apropiados para la junta de pre-evaluación (donde aplique):
a) La presentación de los miembros del equipo de evaluación a los representantes del cliente, incluyendo a
los especialistas, observadores y guías. También se debedebe de explicar cada uno de sus roles;
b) Confirmar el plan de evaluación de riesgos – alcance, criterio, estándares referenciados, objetivos y

métodos utilizados en la evaluación;
c) Confirmar la logística de la evaluación, incluyendo:
i. Agendas – especialmente visitas de campo y juntas;
ii. Canales de comunicación entre el cliente y el equipo de evaluación;
iii. Idioma a utilizarse durante la evaluación;
iv. Problemas de salud y seguridad;
v. Revisión de seguridad y procedimientos de emergencia para el equipo de evaluación;
vi. Cualquier problema relacionado con la seguridad y confidencialidad de la información; y
vii. Un calendario general de la evaluación, mostrando temas, asesores y tiempos aproximados para
terminar.
65

d) Informar al cliente cómo se van a reportar los hallazgos de la evaluación de riesgos, incluyendo el
método para calificar las no conformidades y el método para presentar los hallazgos de la evaluación;
e) Confirmar cómo se le informará al cliente sobre el progreso durante la evaluación de riesgos;
f) Confirmar qué recursos e instalaciones estarán disponibles para el equipo de evaluación;
g) Expresar las condiciones en las cuales se podría suspender la evaluación;
h) Explicar las posibles formas de abordar los posibles hallazgos en la evaluación; y
i) Dar información sobre los sistemas de retroalimentación del cliente sobre los resultados de la
evaluación, así como el sistema para quejas y apelaciones.
La junta de pre-evaluación marca la pauta para la evaluación y establece una relación entre el cliente y el equipo
de evaluación. El LER debe preparar una agenda para a junta de pre-evaluación y proyectar tanto conocimiento
como confianza en las actividades de la evaluación. Los miembros del equipo de evaluación deben participar en
la junta solo si así se los pide el LER.
6.4.4 Implementación
6.4.4.1 Identificación del Riesgo
La identificación del riesgo determina las fuentes y naturaleza del riesgo y el efecto de incertidumbre en lograr
los objetivos de la organización. Un proceso minucioso de identificación de riesgo considerará la infinidad de
incertidumbres que podrían afectar a los objetivos de la organización. Esto podría incluir eventos naturales,
intencionales e involuntarios como eventos hostiles, criminales, técnicos, institucionales, logísticos, lógicos,
demográficos, ambientales o socio/políticos. Es más que solo preguntar “qué puede salir mal” sino también
incluye el preguntar qué riegos podrían aplicar como una oportunidad.
Mientras que diferentes disciplinas de riesgo usan un rango de técnicas para identificar la naturaleza y fuentes
del riesgo, todas deben contener los siguientes componentes junto con el entendimiento de interacción entre
estos componentes para una identificación y caracterización comprehensiva de los riesgos:
a) Identificación, valoración y caracterización de los activos y servicios;
b) Análisis de amenazas y oportunidades;
c) Análisis de vulnerabilidad y capacidad; y
d) Análisis de criticidad y de impacto.
La identificación del riesgo puede llevarse a cabo utilizando análisis cualitativos o cuantitativos o una
combinación de ambas. Sin importar el método de evaluación, se debe señalar las hipótesis, nivel de precisión en
la estimación de parámetros y la fiabilidad en la información utilizada.
La identificación del riesgo es parte de un buen negocio y estrategia de administración de riesgos. Por lo tanto, al
llevar a cabo la identificación del riesgo, el análisis FODA (fortalezas, oportunidades, debilidades y amenazas)
del negocio debe de consultarse como una aportación clave.
66

Identificar los riesgos debe contestar a las siguientes preguntas:
a) ¿Por qué podría pasar algo?
• Una causa o factor que crea el riesgo.
• Eficiencia de los tratamientos del riesgo.
b) ¿Quién podría estar involucrado?
• Individuos o grupos asociados con la amenaza, control del riesgo y/o que el riesgo los impacte.
c) ¿Cómo podría suceder?
• Una fuente del riesgo.
d) ¿Qué podría pasar?
• Evento y probabilidad potencial.
• Consecuencias y probabilidad potenciales.
e) ¿Cuándo podría suceder algo?
f) ¿Dónde podría suceder?
Las fuentes de información relacionadas con el proceso de identificación del riesgo incluyen (pero no están
limitadas a):
a) Análisis FODA;
b) Planes del negocio;
c) Inteligencia;
d) Advertencias de amenaza;
e) Reportes meteorológicos y geológicos;
f) Fluctuaciones significativas en la disponibilidad y precio de la canasta básica, tales como comida, agua y
recursos naturales;
g) Datos y tendencias previas, actuales y emergentes;
h) Tendencias políticas, sociales y económicas;
i) Información del seguro;
j) Partes interesadas internos y externos;
k) Hallazgos de auditorías y reporte de actividades;
l) Datos sobre crimen interno, pérdidas y eventos de riesgo;
67

m) Datos de eventos externos de riesgo y de crimen;
n) Datos de riesgo industrial;
o) Órganos policiales;
p) Agencias gubernamentales/internacionales;
q) Asociaciones industriales;
r) Medios, internet y reportes públicos;
s) Sistemas internos; y
t) Relaciones informales y personales;
Los métodos para solicitar aportaciones incluyen (pero no están limitados a):
a) Realizando un ejercicio;
b) Evaluaciones de escenarios;
c) Cuestionarios;
d) Entrevistas estructuradas uno-a-uno;
e) Reportes de incidentes, actividades o auditorías;
f) Sesiones de tormenta de ideas;
g) Discusiones en grupo;
h) Talleres;
i) Discusiones de partes interesadas y grupos de debate; y
j) Testimoniaos de expertos (incluyendo fuentes del sector público y privado).
Al llevar a cabo las actividades de identificación del riesgo, se debe señalar que algunos riesgos son continuos y
algunos varían con el tiempo. Así mismo, los niveles de amenaza, oportunidad, vulnerabilidad y criticidad
podrían depender del tiempo. A veces, las dependencias que afectarán la consideración del nivel de riesgo y la
necesidad de tratamiento incluyen:
a) Duración de un evento;
b) Contexto cultural del tiempo;
c) Día, semana o mes en el año;
d) Hora del día (ej., periodos de descanso, horario de trabajo, jornada laboral);
e) Plazos de entrega de los productos y servicios;
68

f) Contexto del tiempo en la cadena de suministros; y
g) Restricciones de tiempo en viajes;
6.4.4.1.1 Identificación, Valoración y Caracterización de Activos
Generalmente el paso preliminar es identificar y valorar las fuentes de incertidumbre para lograr los objetivos
organizacionales. La caracterización de activos identifica qué activos podrían estar en riesgo, cuál es su
criticidad en cuanto a los objetivos organizacionales y cuáles son las consecuencias potenciales de aquellos
activos siendo comprometidos. Preguntas que se deben responder:
a) ¿Cuáles son las actividades, funciones y activos que contribuyen al logro de los objetivos de la
organización?
b) ¿Cuál es la cadena de valor de la organización y cuáles son las actividades, funciones y activos que
contribuyen a los generadores del valor crítico?
c) ¿Cuál es el valor tangible e intangible del activo para la organización y su cadena de suministro?
d) ¿Cuáles son las dependencias de las actividades y funciones de la organización sobre el activo ?
e) ¿Hay un potencial significativo de consecuencias positivas, neutrales o negativas relacionado con el

activo ?
La pérdida de los activos más valiosos o la interrupción del valor crítico que genera las actividades y funciones
podrían resultar en un daño inaceptable para la organización y/o la interrupción de las actividades y funciones
dependientes. El valor de un bien frecuentemente se mide en relación de más de una consecuencia. Por ejemplo,
un daño menor a la gente podría resultar en un daño mayor a la marca y su reputación. Así mismo, al caracterizar
la actividad, función o activo , se debe de considerar su valor relativo a la organización y su cadena de
suministro, así como su valor potencial para un adversario o competidor.
Se deben considerar todas las actividades, funciones y activos que contribuyen al logro de los objetivos de la
organización y que están dentro del alcance de la evaluación de riesgos. Los activos tangibles e intangibles
incluyen (pero no están limitados a):
a) Recursos humanos internos y externos;
b) Propiedad (ej., instalaciones, equipo, materiales, productos, sistemas físicos);
c) Controles de proceso (físicos y cibernéticos);
d) Procesos financieros y administrativos (ej., fondos, inventario, contabilidad y sistemas de mantenimiento

de registros);
e) Sistemas de información y telecomunicaciones;
f) Sistemas de transporte;
g) Acceso a infraestructura esencial y utilidades auxiliares;
h) Propiedad intelectual e información empresarial;
69

i) Marca, imagen y reputación.
Después de identificar las actividades, funciones y activos que contribuyen al logro de objetivos de la
organización, habrá que considerar para cada actividad, función y bien:
a) Su contribución a la cadena de valores de la organización y al logro de objetivos;
b) El potencial de riesgo para aprovecharse en ventaja de la organización;
c) Severidad y lapsos de las consecuencias si las actividades, funciones o activos se perdieras u ofrecieran
una oportunidad importante;
d) Infraestructura esencial, dependencias e interdependencias (internas y externas);
e) Funciones y contramedidas que existan actualmente para la protección y ayuda;
f) Criticidad a la cadena de valores y al logro de los objetivos de la organización; y
g) Prioridad y valor crítico relacionado con otras actividades, funciones y activos.
6.4.4.1.2 Análisis de Amenazas y Oportunidades
Las fuentes de riesgo y las amenazas y oportunidades relacionadas deben identificarse y analizarse una vez que
se haya identificado la prioridad y criticidad de las actividades, funciones y activos. Esto proporcionará una base
para entender qué eventos de riesgo podrían contribuir a una incertidumbre en el logro de los objetivos de la
organización. El proceso debe considerar tanto las amenazas como las oportunidades potenciales.
El análisis de amenazas considera los impactos, tiempos y factores que podrían prevenir el logro de los
objetivos. Los eventos involuntarios buscan las posibilidades del error humano. Las amenazas pueden ser
intencionales e involuntarias y podrían ocurrir por errores de comisión u omisión.
El análisis de oportunidades generalmente busca el potencial de cambio que una organización podría sufrir para
mejorar sus resultados generales. Las oportunidades podrían aumentar la demanda general o disminuir los
niveles de precios para sus productos y servicios, ampliar o restringir su oferta, así como incrementar la
eficiencia a través de reducciones de gastos y mejoras operacionales. Cualquiera que sea la meta, el
comprometerse con un análisis de oportunidades ayuda a proporcionar un entendimiento sobre qué efectos
potenciales, positivos y negativos, son más probables de ocurrir si se toman diferentes decisiones.
El análisis de amenazas y oportunidades puede llevarse a cabo utilizando ya sea un enfoque cuantitativo,
cualitativo o una combinación de ambos. Independientemente del método, se debe de definir un conjunto usual
de métricas y escalas para que se puedan realizar los cálculos y reportarlos utilizando escalas y parámetros
consistentes. Las comparaciones sólo serán válidas si los valores se determinan utilizando los mismos métodos y
métricas. Todas las actividades, funciones y activos prioritarios y críticos se deben analizar.
Las fuentes de riesgo elevan el potencial de amenazas y oportunidades. El análisis de amenazas y oportunidades
marca las limitantes en cuanto al tipo de amenazas y oportunidades que puedan manejarse, por lo tanto, se debe
considerar el rango de fuentes de riesgo asociadas con el logro de los objetivos organizacionales. El análisis de
amenazas y oportunidades frecuentemente incluye estimaciones subjetivas, por lo que la confianza en las
70

predicciones debe considerarse dentro del contexto de la fiabilidad de la información. Las probabilidades
estimadas son particularmente sensibles a la información e hipótesis en las que se basan.
Utilizando el resultado de la identificación, valuación y caracterización del activo, considere las fuentes de
riesgo que crean la incertidumbre en el logro de los objetivos de la organización. Considere tanto los eventos de
riesgo intencionales como los involuntarios que podrían afectar el logro de los objetivos de la organización
(amenazas naturales y artificiales; factores sociales, económicos y políticos; así como acciones mal-
intencionadas). Determine cuáles son las amenazas y/u oportunidades asociados con los eventos de riesgo
potencial. El resultado de la evaluación del análisis de amenazas y oportunidades debe ser una lista
comprehensiva de amenazas y oportunidades enfocada en priorizar los más relevantes para el logro de los
objetivos.
Las amenazas pueden identificarse en términos de “amenazas de” y “amenazas a”. La “amenaza de” está basada
en la naturaleza y atributos de la amenaza y cómo podría causar daño y/o incertidumbre. La “amenaza a”
considera la ubicación de los activos y servicios potenciales. Al evaluar la amenaza, se debe considerar su
naturaleza (ej., es hostil, es incidente natural o accidental). Para una amenaza hostil, la evaluación debe
considerar el “quién/porqué” (ej., descripción del adversario), el “qué” (ej., el material utilizado por el
adversario) y el “cómo/cuándo/Dónde” (ej., las características del escenario y las tácticas relacionadas).
La amenaza hostil se evalúa al valorar la combinación de motivación/voluntad y competencia de un adversario

en impactar la prioridad o un activo, función, actividad o competencia críticos. La Figura 7 ilustra la interacción
de estos elementos.
Recursos
Habilidad
Conocimiento
Amenaza
Atractivo
Deseado
Motivación/
Voluntad
Confianza
Figura 7: Elementos de la Amenaza
El análisis de amenazas puede llevarse a cabo utilizando el análisis del árbol de amenazas. Los tres tipos de
técnicas de mapeos o matrices son:
71

a) Árbol de activos , medios de acceso, agente de amenaza interno o externo, motivo intencional o
involuntario, competencia, evento, consecuencia;
b) Árbol de tipo amenaza – tipo de amenaza, acto, evento resultante, consecuencia; y
c) Árbol adversario – tipo de adversario, motivación, competencia, métodos, evento, consecuencias.
Para poder determinar un nivel de amenaza realista, considere el siguiente diagrama de flujo en la Figura 8.
Motivación,
Habilidad
Intención
Amenaza
Atracción Visibilidad
Ambiente,
Imagen
Contexto
Probabilidad de
Amenaza
Medidas de Oportunidades,
Control de Riesgo Aversión al Riesgo
Probabilidad
Exitosa de Riesgo
Nivel de Riesgo
Figura 8: Determinando los Niveles de Amenaza
72

La probabilidad de amenaza debe considerarse como parte del análisis de amenazas. Hay muchos enfoques
diferentes que se pueden utilizar. Uno es un enfoque narrativo que básicamente usa la descripción cualitativa
para el nivel y características de la amenaza. Los expertos en la materia podrían proporcionar aportaciones
basándose en un análisis de eventos, tendencias y otros indicadores o un análisis de las características específicas
de la amenaza (ej., intenciones, competenciaes y otros atributos). Otro enfoque es el de clasificación de la
amenaza el cual generalmente es un enfoque semi-cuantitativo para estimar los componentes de la amenaza y
después combinarlos en cierto valor y/o clasificación con alguna descripción. Los atributos que se clasifican para
cada amenaza deben ser ortogonales (ej., no deben solaparte de tal forma que haya un doble conteo). En algunos
casos, la puntuación global puede utilizarse para representar una “probabilidad de tipo riesgo”.
Los perfiles de amenaza generalmente son dinámicos. Por lo tanto, las amenazas deben monitorearse de forma
continua. Usualmente falta información específica sobre las instalaciones individuales. Al estimar los niveles de
amenaza, es importante entender el contexto interno y externo de la ubicación a ser evaluada, así como las
fuentes de riesgo únicas para esa ubicación. Por ejemplo, la condonación en comunidades locales para los actos
de violencia puede influir en la probabilidad de una amenaza terrorista y de crimen violento. Las organizaciones
que operan en un entorno cultural donde hay poca condonación o aceptación a la violencia, enfrentarían
diferentes niveles de amenaza que una sociedad que condona el uso de violencia como medios para justificar la
mala conducta percibida.
La caracterización de amenazas y oportunidades busca identificar las fuentes de riesgo generales y específicas y
describe cómo se manifiestan. Los escenarios se pueden desarrollar para analizar cómo la amenaza u
oportunidad se materializarán y cuáles son los diferentes factores y partes interesadas afectadas. Una vez que se
haya identificado un escenario, se puede valorar las diferentes magnitudes del evento de riesgo. Se podrían
desencadenar escenarios similares por los eventos que resulten de consecuencias similares. Al valorar las
diferentes posibilidades, es posible identificar las opciones de tratamiento de riesgo que se enfoca tanto en la
probabilidad como en las consecuencias.
Cuando se valora el potencial de amenazas intencionales, se deben tomar consideraciones para la presencia y
proximidad de blancos “difíciles” y “fáciles”. Un adversario resistente y determinado considerará los mismos
factores ilustrados en la Figura 8 para llevar a cabo exitosamente la amenaza de causar un evento de riesgo.
6.4.4.1.3 Análisis de Vulnerabilidad/Capacidad
El análisis de vulnerabilidad/Capacidad evalúa la eficacia de las medidas de riesgo actuales (deliberadas y/o
inherentes) que tendrán un efecto sobre la probabilidad de una amenaza o la materialización de una oportunidad
y la probabilidad de extender las consecuencias. La vulnerabilidad depende de las medidas de control de riesgo
(ej., contramedidas) implementadas para administrar un evento de riesgo. La capacidad depende de la
adaptabilidad de la entidad y su competencia de responder a eventos negativos y tomar ventaja de aquellos
potencialmente positivos. Las medidas de control de riesgo pueden ser físicas o virtuales (ej., tecnologías,
barreras físicas, procedimientos administrativos, etc.). Se debe reconocer que algunas medidas de tratamiento de
riesgo podrían reducir la probabilidad de que un evento tome lugar, pero no hacer que el blanco sea menos
vulnerable.
El análisis de vulnerabilidad incluye el analizar los atributos del evento y los activos, servicios y actividades. Los
factores a considerar incluyen:
a) Eficiencia de las medidas de control de riesgo;
73

b) Nivel del perfil, reconocimiento, visibilidad y status icónico;
c) Valor de los activos (incluyendo simbólico y de reputación);
d) Entender quiénes apoyan los objetivos de la organización y quiénes no;
e) Ajuste con la intención y motivaciones de los adversarios potenciales;
f) Cronograma, intensidad y duración del evento;
g) Accesibilidad;
h) Interdependencias y dependencias;
i) Tiempos de recuperación percibidos y reales;
j) Efectos en cascada (ej., la liberación por corrientes de viento de un componente tóxico)
k) Cultura demográfica y local; y
l) Daño potencial y colateral.
Pasos a considerar al determinar el nivel de vulnerabilidad:
a) Identificar los escenarios de riesgo (de las valoraciones de activos y el análisis de amenazas);
b) Definir cómo se manifestará el escenario de riesgo (en una o varias partes);
c) Determinar la eficiencia de las medidas de control de riesgos;
d) Determinar la vulnerabilidad basada en los atributos del escenario de eventos y resultados potenciales; y
e) Determinar el nivel de vulnerabilidad basado en la severidad de las consecuencias y los periodos de

tiempo de recuperación.
El nivel de vulnerabilidad se determina basándose en las métricas diseñadas para medir el logro de los objetivos
de la organización. Por lo tanto, no solo se considera el valor del activo, servicio o actividad, sino también el
margen de tiempo que el activo, servicio o actividad podrían estar inaccesibles. Al determinar la vulnerabilidad,
considere:
a) ¿La vulnerabilidad es causada por una o varias debilidades?
b) ¿La naturaleza de la vulnerabilidad la hace difícil de aprovechar?
c) ¿La vulnerabilidad se disminuye con varias capas de contramedidas?
Los árboles de eventos pueden ser herramientas de ayuda al valorar la vulnerabilidad, Aunque existan muchos
modelos, un ejemplo simplificado es:
a) Suponer un escenario de riesgo;
b) Identificar los agentes y métodos amenazantes;
74

c) Identificar las blancos y consecuencias potenciales;
d) Identificar la accesibilidad;
e) Identificar las contramedidas;
f) Determinar si existen una o varias capas de defensa;
g) Determinar la eficiencia de las contramedidas (considerar las condiciones de implementación); y
h) Determinar el nivel de vulnerabilidad;
6.4.4.1.4 Análisis de Criticidad y de Consecuencia (Impacto)
El análisis de criticidad y consecuencia proporciona una medida de impacto del evento de riesgo relacionado con
el logro de los objetivos de la organización y el impacto de perder un activo, actividad o función tangible o
intangible que tendrá sobre las operaciones de la organización y de sus partes interesadas, respectivamente. Un
análisis de criticidad y consecuencia correcto permitirá enfocarse en aquellos activos, actividades y funciones
que tienen la mayor importancia a la organización y a las partes interesadas.
Es importante entender las criticidades y consecuencias para poder desarrollar una estrategia rentable de
administración del riesgo. Las consecuencias dependerán de la naturaleza, ubicación y otros factores del evento.
Los escenarios generalmente se usan para calcular consecuencias verosímiles, inverosímiles y catastróficas. Esto
se debe de realizar valorando las consecuencias contra la criticidad del activo, actividad o función.
La criticidad de un activo, actividad o funciones puede ser inherente o derivativa. La criticidad inherente indica
el valor directo del activo, actividad o función al lograr los objetivos de la organización. La criticidad derivativa
indica las consecuencias indirectas del evento de riesgo y cómo las consecuencias resultantes indirectamente
relacionadas con el activo, actividad o función, afectarán a la organización en el logro de sus objetivos. Al
valorar la criticidad, considere:
a) El valor del activo, actividad o función en las operaciones actuales y el valor generado;
b) El valor del activo, actividad o función para las partes interesadas internos y externos incluyendo a los
competidores y adversarios;
c) Margen de tiempo de criticidad – periodo de tiempo que un bien, actividad o función puede estar
inaccesible antes de que los efectos se vuelvan significativos;
d) Efectos derivativos – el efecto sobre otros activos, actividades o funciones;
e) Impacto en la marca, imagen y reputación;
f) Propiedad exclusiva;
g) Disponibilidad de alternativas para los activos, actividades y funciones; y
h) Percepción de la criticidad con los socios y otros partes interesadas de la cadena de suministro;
Existen muchas escalas para calificar a las consecuencias. La escala exacta debe determinarse con la precisión de
las predicciones, si la consecuencia es cuantificable y el uso previsto de la información. Las escalas deben
75

determinarse también basándose en su utilidad para los gerentes de riesgos y los tomadores de decisiones.
Independientemente de la escala utilizada, habría que ser consistentes a lo largo del proceso de evaluación de
riesgos. Al evaluar las consecuencias del evento de riesgo, considere:
a) El Impacto Humano: Daño físico y psicológico a los empleados, consumidores, proveedores y otras
partes interesadas;
b) El impacto de activos físicos: Pérdidas de propiedad y costos de reemplazo;
c) El impacto de activos informativos: Pérdida de información sensible, empresarial o personal;
d) El Impacto financiero: Ventas/Negocios perdidos o aplazados, pérdida de cuota de mercado, demandas,

multas/penalizaciones normativas, pago de tiempo extra, devaluación de acciones;
e) El impacto del deterioro de prestigio: Posición decreciente en la comunidad, prensa negativa;
f) El Impacto comunitario/social: Impactos indirectos sobre la economía regional, reducción en la

economía neta regional, pérdidas de la base fiscal en las jurisdicciones locales; y
g) El impacto ambiental: Degradación de la calidad del ambiente.
En la Figura 9 se aprecia un ejemplo de un diagrama de flujo para considerar las consecuencias de un evento de
riesgo, ilustrando la importancia de las consideraciones del tiempo.
76

• Identificar y determinar la criticidad (prioridad) de los

Confirmar los activos, activos, actividades y funciones para alcanzar los objetivos
actividades y funciones y el impacto de un evento de riesgo
críticas
• Estimar el máximo tiempo de paro que la organización

Identificar puede tolerar mientras aún se mantenga viable –
interrupciones y habilitándola a establecer objetivos de tiempo de
tiempo de recuperación
recuperación
• Evaluar los requisitos de recursos, interdependencia de

Identificar las actividad externa para reanudar operaciones dentro de la
interdependencias y escala de tiempo de recuperación identificada
recursos
• Proporcionar parámetros para la selección de estrategias

de control de riesgo apropiadas que puedan satisfacer la
Determinar escala de tiempo de recuperación identificada
estrategias
Figura 9: Análisis de criticidad y consecuencia
6.4.4.2 Análisis de Riesgo
El análisis de riesgo es un proceso para entender la naturaleza y nivel de riesgo para determinar su importancia.
La organización toma la información generado durante el proceso de identificación del riesgo y la valora dentro
del contexto de sus operaciones y el criterio de riesgo. El proceso de análisis de riesgo evalúa la probabilidad y
consecuencia para determinar el nivel de riesgo y priorizar los tratamientos de riesgo. Para empezar, las
77

organizaciones podrían seleccionar un rango de eventos de riesgo con varios grados de detalle, dependiendo del
riesgo y de la información, datos y recursos disponibles.
Como se puede ver en la Figura 10, el resultado de la identificación del riesgo proporciona el aporte al análisis
de riesgo.
Identificación del activo,

Valuación y Caracterización
Análisis de Vulnerabilidad
y Capacidad
Análisis de Amenazas y Análisis de criticidad
Oportunidades e Impacto
Eficiencia del
Control de Riesgos
Probabilidad Análisis de Riesgo Consecuencia
Nivel de Riesgo
Figura 10: Determinando el Nivel de Riesgo
La probabilidad y consecuencia se pueden expresar cuantitativa o cualitativamente (o una combinación de

métodos). La decisión en cuanto a qué enfoque funciona mejor para una organización se basa en:
a) La disponibilidad y fiabilidad de la información;
b) Las escalas y nivel de detalle del proceso de identificación del riesgo;
c) Los métodos para determinar las amenazas e impactos a activos tangibles e intangibles, así como los
impactos tangibles e intangibles (los activos e impactos intangibles no se pueden prestar a valoraciones
numéricas);
78

d) Otros procesos y metodologías de análisis de riesgo utilizadas por la organización; y
e) El método más efectivo para comunicar el nivel de riesgo a los tomadores de decisiones.
Independientemente del método utilizado para determinar el nivel de riesgo, se debe tener cuidado para asegurar
un enfoque consistente y considerar el nivel de confianza, particularmente para datos agregados. Las unidades y
escalas de medición del riesgo determinadas durante la definición del criterio de riesgo, deben utilizarse
consistentemente a lo largo del análisis. El método de análisis de riesgo utilizado, debe cumplir con las
necesidades de la valoración del riesgo y el proceso de tratamiento de los tomadores de decisiones.
6.4.4.3 Evaluación del Riesgo y Estrategias
La valoración de riesgos usa el criterio de riesgo y los resultados de la identificación del riesgo y los pasos del
análisis de riesgo, para determinar qué riesgos son aceptables con los tratamientos de riesgo existentes y cuáles
requieren de un tratamiento adicional. El nivel de riesgo establecido durante el análisis de riesgos indicará las
prioridades del tratamiento de riesgo. Valorar el nivel de riesgo antes y después del tratamiento, combinado con
el análisis de valor agregado, proporciona la base para determinar si los niveles de riesgo residual caen dentro
del nivel de riesgo aceptable establecido por el criterio de riesgo. La priorización del tratamiento de riesgo
también debe predecirse con un entendimiento de la tolerancia de riesgo. Si el nivel de riesgos residuales es
mayor que el nivel de riesgo aceptable establecido por el criterio de riesgo, la organización debe considerar
tratamientos de riesgos alternativos o adicionales para reducir el nivel de riesgo residual. Las decisiones del
tratamiento inicial serán conducidas por la tolerancia y no solo ocupándose del riesgo residual. La valoración de
riesgo considera el costo y beneficios de las diferentes opciones de tratamiento. Se debe tener cuidado durante la
fase de valoración de riesgo para asegurar que el tratar un riesgo no crea otro riesgo.
Las consideraciones de la valoración de riesgos incluyen:
a) Objetivos de proyectos y oportunidades;
b) Impactos tangibles e intangibles;
c) Requisitos legales, normativos y contractuales;
d) Puntos críticos de control;
e) Tolerabilidad de riesgos para otros;
f) Si un riesgo necesita tratamiento;
g) Decidiendo si el riesgo se puede tolerar;
h) Si se debe emprender una actividad; y
i) Prioridades para el tratamiento.
Los niveles de riesgo aceptables serían únicos para cada organización y su cadena de valor. Podrían variar por
proyecto, utilidad, producto o servicio, así como con el tiempo. La organización podría tener niveles variantes de
tolerancia al riesgo para diferentes áreas, subsidiarias y socios. Podría ser impráctico eliminar todos los riesgos
por causa de costos. Es deseable aceptar el riego para obtener una oportunidad (ej., para aumentar el mercado de
valores o para perseguir beneficios laborales o de ubicación). Para lograr tan bajo como sea razonablemente
79

posible el riesgo, una meta típica de una valoración de riesgos es determinar los tratamientos con el costo más
eficiente.
Algunos ejemplos de razones de una organización podría tolerar el riesgo (con una decisión informada)
incluyen:
a) El nivel de riesgo es tan bajo que el tratamiento específico no es apropiado dentro de los límites de los
recursos disponibles;
b) El riesgo es tal que no hay tratamiento disponible. Por ejemplo, las causas del riesgo podrían estar fuera
del control de la organización;
c) El costo del tratamiento, incluyendo los costos de seguros, es claramente excesivo comparado con el
beneficio de que la tolerancia sea la única opción. Esto aplica particularmente en riesgos de bajo rango;
d) Las oportunidades presentadas sobrepasan las amenazas a tal grado que el riesgo es justificable; y
e) Las organizaciones también podrían determinar aceptar un riesgo con una toma de decisión informada o
para maximizar la oportunidad de negocio;
Independientemente del método utilizado para valorar el/los tratamiento(s) de riesgo para lograr un nivel de
riesgo tan bajo como sea posible, es importante entender que esto es un proceso iterativo, donde el gerente de
riesgos puede escoger varias capas de medidas de tratamiento de riesgo, incluyendo:
a) Eliminar la exposición al riesgo;
b) Aislar la causa del riesgo u objetivos potenciales;
c) Modificaciones y sustituciones técnicas;
d) Controles administrativos y procedimentales;
e) Medidas de protección, preventivas y mitigantes;
f) Distribución de riesgos; y
g) Aceptar o aprovechar el riesgo con una decisión informada.
Durante el proceso de valoración de riesgos, los métodos propuestos de tratamiento de riesgo deben valorarse
para considerar el costo/beneficio de la medida para reducir el riesgo y si el tratamiento de riesgo cambia o
introduce un nuevo riesgo para la organización y su cadena de valor. La Figura 11 ilustra cómo los resultados de
la identificación de riesgo y pasos del análisis pueden representarse en forma de embudo, donde el riesgo
intolerable debe ser tratado a cualquier costo razonable. Las medidas de tratamiento se aplican para llevar al
riesgo a un nivel tan bajo como sea posible, donde mayores tareas de tratamiento serían desproporcionados para
el costo/beneficio. Los riesgos alcanzan un nivel tolerable cuando el riesgo está dentro del nivel de tolerancia del
criterio de riesgos. Las medidas de contingencia podrían considerarse para los riesgos que se mantienen después
del tratamiento.
80

Identificación del Riesgo
Se evitan, comparten o reducen los niveles intolerables

de riesgo
Tratamiento de riesgo para reducir la probabilidad y/o

consecuencias
Riesgo tan bajo como tan bajo como sea

razonablemente tolerable:
costo/beneficio o tratamiento posterior no justificable
Riesgo tolerable: Aceptado por una decisión informada,

pero podría requerir planeación de contingencia
Figura 11: Embudo de Evaluación de Riesgos
Una forma en que la organización podría desear evaluar la tolerancia de sus riesgos es a través de una curva de
posibilidades de riesgo, esquematizando la probabilidad de eventos por sus consecuencias (Figura 12). Las
organizaciones pueden encontrar ciertos riesgos con tan baja probabilidad o con una consecuencia tan limitada,
que no autorizan ningún otro tratamiento o consideración. Para aquellos con mayor probabilidad o consecuencia,
la organización puede desear utilizar la administración de recursos para reducir la volatilidad. Estos mecanismos
buscan reducir la probabilidad, duración o consecuencia de un evento de riesgo. Las organizaciones también
pueden determinar aceptar un riesgo con una toma de decisiones informada para maximizar una oportunidad de
negocio.
81

Alto
Reduce
pérdida
Probabilidad del evento
potencial
Elimina, evita
el riesgo
Curva de “Riesgo aceptable”
Bajo
Menor Mayor
Consecuencia del evento
Figura 12: “Curva” de Riesgo Conceptual
Una forma bidimensional de representar los niveles de riesgo, es utilizar una matriz mostrando los eventos de
riesgo definiendo la probabilidad y consecuencia (a veces conocido como mapa de calor, matriz de riesgos o
matriz de eventos). Esta técnica permite a los gerentes visualizar con más facilidad la probabilidad y
consecuencia relativa al diferir riesgos. Para utilizar este método eficientemente, es crítico tener un criterio bien-
definido y utilizado consistentemente para los diferentes niveles de probabilidad y consecuencia. Se usan varios
esquemas en diferentes organizaciones; las gradaciones, esquematizaciones y términos utilizados, deben basarse
en lo que mejor se entienda por los usuarios y por los tomadores de decisiones. La Figura 13 muestra un ejemplo
de matriz ilustrando el concepto.
82

Metas Objetivos
• Crear un valor y • Crecimiento de ingresos >= 10% anual

ganancia sustentables al
incrementar los ingresos • Alterar el índice de ventas en
E.U./Resto del Mundo de 95:5 a 85:15
• Lograr liderar el
mercado • Agregar habilidades profesionales y
• Establecer la compañía
servicios de consultoría
como un proveedor • Crear o adquirir tecnología de punta
premier de
biocombustible y • Crecimiento BPA >= 15% anual
tecnologías de energía
alterna • >$150 millones de flujo de efectivo
Adaptado del taller de RIMS sobre Técnicas de Administración de Riesgos. Copyright © Risk and Insurance Management
Society, Inc. Todos los derechos reservados.
Figura 13: Matriz de Ejemplo
La Figura 13 ilustra una representación bidimensional de riesgos identificados relacionados con los objetivos de
una organización ficticia. El ejemplo de representación considera riesgos tanto de una perspectiva de
oportunidad como de amenaza. Este tipo de evaluación cualitativa asume que los términos utilizados en la matriz
han sido definidos y que el equipo de evaluación ha analizado la probabilidad e impactos/consecuencias
potenciales de cada uno de los riesgos en el contexto de los objetivos de la organización para colocarse en la
matriz.
83

La matriz muestra cómo las organizaciones pueden desear priorizar por probabilidad y consecuencia. Las escalas
de la matriz deben definirse al establecer el criterio de riesgo. El tipo de escala, parámetros y nivel de detalle
dependerá de los requisitos de los tomadores de decisión.
Un registro de riesgo también podría ser utilizado para catalogar a los riesgos. Un registro de riesgos es una lista
de riesgos identificados y sus características, la severidad de las consecuencias y la probabilidad de que ocurran.
Los registros de riesgo se utilizan frecuentemente para comparar riesgos de muchas fuentes diferentes. Un
registro de riesgo debe incluir (pero no limitarse a):
a) Nombre del riesgo;
b) Descripción del riesgo;
c) Periodo de tiempo para estimaciones;
d) Dueño del Riesgo;
e) Probabilidad o frecuencia de incidencia;
f) Impactos, severidad o consecuencia de incidencia;
g) Interdependencias y dependencias; y
h) Acciones y/o contramedidas para reducir la probabilidad y consecuencias.
Nota: Para más metodologías de análisis de riesgo, vea el ISO 31010:2009 Administración de Riesgo – Técnicas
de evaluación de riesgos.
6.4.4.4 Análisis Costo-Beneficio
El análisis de costo-beneficio proporciona un método para valorar y comparar el valor y costo de las opciones de
tratamiento de riesgos. El análisis debe considerar los costos y beneficios directos e indirectos. Algunos
ejemplos son:
a) Beneficio:
• Beneficios directos – surgen de la reducción en la probabilidad o consecuencias dañinas del

riesgo; y
• Beneficios indirectos – surgen de los efectos colaterales del tratamiento tales como reducción en
las cuotas de seguro, mejora administrativa y confianza del personal y una mejora en la
reputación.
b) Costo:
• Costos directos – por implementar el tratamiento propuesto y/o que pueda surgir si el riesgo se
concreta (ej., pérdida de un bien); y
• Costos indirectos – surge de la pérdida de productividad, interrupción comercial, distracción de

la atención administrativa, pérdida de reputación y valor de marca.
84

6.4.4.5 Control de Riesgos y Tratamientos
Una vez que la organización entienda su contexto y haya analizado sus riesgos potenciales, puede comenzar con
el proceso para modificar y reducir el riesgo. Al desarrollar la estrategia de tratamiento de riesgo, es importante
mantener en mente que los tratamientos de riesgo tienen el potencial de crear nuevos riesgos o modificar los
existentes.
Después de que una organización haya identificado y priorizado los riesgos a los que enfrenta, puede elaborar los
planes de tratamiento de riesgo. Los planes incluyen el desarrollo de estrategias y medidas para proteger las
cadenas de valor de las fuentes de riesgo, respondiendo a los eventos que estos riesgos puedan causar y
continuando con las operaciones y recuperándose de los eventos indeseables e destructivos. Los tratamientos de
riesgo buscan:
a) Quitar la fuente de riesgo, donde sea posible;
b) Quitar o reducir la probabilidad de incidencia del evento de riesgo;
c) Quitar o reducir las consecuencias negativas;
d) Compartir el riesgo con otros interesados, incluyendo un seguro de riesgos;
e) Aceptar el riesgo a través de una decisión informada o para aprovechar una oportunidad; y/o
f) Evitar actividades que aumenten el riesgo.
Para que las organizaciones administren eficientemente el costo de riesgo, deben desarrollar estrategias
balanceadas para tratar adaptable, proactiva y reactivamente la minimización tanto de la probabilidad como
consecuencias de los eventos indeseables y/o destructivos. Además, la selección de controles de tratamiento de
riesgo debe integrarse con los programas generales de administración del riesgo con sus partes interesadas
prioritarios. Este tipo de programa debe tener por lo menos tres elementos: 1) proteger la organización y su
cadena de valor; 2) responder a eventos; y 3) continuar con las operaciones mientras se recupera de los eventos.
Los planes también deben involucrar el determinar las formas para medir los riesgos, así como probar la
eficiencia del plan en sí y su competencia para limitar riesgos. La organización debe establecer, implementar y
mantener los procedimientos para prevenir y administrar eventos indeseables y destructivos para prevenir
consecuencias negativas y aprovechar las consecuencias positivas para la organización, sus partes interesadas
incluyendo los socios de la cadena de suministro y al medio ambiente.
Los procedimientos deben ser consistentes y accesibles para aquellos responsables de su implementación. Los
planes y procedimientos deben ser aceptados a lo largo de diferentes áreas administrativas y disciplinas de riesgo
para evitar un enfoque de silo (ej., un plan de continuidad del negocio requiere tomar en consideración cómo se
impactará la continuidad en operación con las medidas de seguridad de la respuesta de un incidente). Las
operaciones y planes deben examinarse para asegurar una integración apropiada y que la coordinación se use
para capitalizar los recursos limitados. Algunos ejemplos de los procedimientos de tratamiento del riesgo se
proporcionan en el Anexo F.
6.4.5 Generando Hallazgos y Conclusiones
Los hallazgos de la evaluación de riesgos deben determinarse al valorar los datos y evidencia recopilada contra
el criterio de riesgo. Los hallazgos de la evaluación de riesgos indican el nivel de riesgo y las necesidades de
85

aceptación y/o tratamiento. Los hallazgos deben basarse en evidencia sustentada y documentada que clasifica y
prioriza la evidencia de la evaluación de riesgo para indicar el significado de cualquier riesgo, así como
identificar las oportunidades de mejora y ajustarse a las prácticas industriales aceptables y a los requisitos
legales. Esto ayudará al cliente y la organización para entender el efecto de un riesgo sobre la organización. Los
riesgos significativos pueden basarse en:
a) Las necesidades de aprovechar las oportunidades de proteger el valor creado;
b) Si hay incidencias singulares o repetitivas;
c) Cómo afecta el riesgo al logro de los objetivos de la organización;
d) Nivel del riesgo; y
e) Si los riesgos singulares o múltiples guían hacia situaciones de riesgo en la organización.
Los niveles de riesgo y su prioridad de tratamiento deben estar directamente ligados a la evidencia de soporte de
la evaluación de riesgos y se deben registrar. El riesgo se podría clasificar en una escala cualitativa y/o
cuantitativa. Los riesgos individuales se pueden agrupar para proporcionar evidencia de problemas sistémicos
dentro del sistema de administración de riesgos. Esto ayudará a identificar los problemas que muestran la
necesidad de cambio en el sistema y procesos. La necesidad imperiosa de cambio se basa en el riesgo de la
organización siendo evaluada, así como a sus partes interesadas. La clasificación y documentación clara de las
observaciones ayudará a identificar las acciones de seguimiento.
Los hallazgos de la evaluación de riesgos se generan por el LER en conjunto con los miembros del equipo de
evaluación. En las etapas apropiadas a lo largo de la evaluación, el equipo de evaluación debe reunirse para
revisar los hallazgos de la evaluación hasta ese punto. Los aspectos que se debe considerar al determinar los
hallazgos de la evaluación incluyen requisitos del cliente y la organización, tamaño de la muestra, acciones de
seguimiento de los hallazgos y conclusiones de evaluaciones anteriores y la categorización de los hallazgos de
evaluación, cuando estos sean necesarios.
Al crear los registros de niveles de riesgo y los tratamientos necesarios, el equipo de evaluación debe identificar
el criterio de riesgo utilizado, los riesgos evaluados, valorar la evidencia de la evaluación para mantener el nivel
de confianza en los hallazgos y establecer si la evidencia es consistente con el criterio de riesgo (particularmente
la actitud de riesgo de la organización). Al crear los registros sobre riesgos específicos, el equipo de evaluación
debe identificar al riesgo siendo evaluado, mostrar la evidencia de la evaluación de riesgos que apoya las
decisiones del tratamiento de riesgos e incluir la evidencia de la evaluación relevante para soportar los hallazgos.
Cada denominación de nivel de riesgo debe poderse rastrear hasta el origen de la evidencia recopilada para ese
riesgo en específico.
86

6.5 Actividades Posteriores a la Evaluación de Riesgo
6.5.1 Llevando a cabo La Reunión Post-Evaluación
La junta post-evaluación culmina las actividades in-situ de la evaluación y presenta un borrador o reporte
preliminar de evaluación al cliente. La junta post-evaluación debe ser preparada por el LER. El propósito es de
presentar las conclusiones y hallazgos del equipo de evaluación a la gerencia de la organización y aquellos
responsables de las áreas siendo evaluadas (donde aplique). La junta post-evaluación debe presentar áreas de
riesgos en ambos sentidos, así como fortalezas y debilidades en el sistema de administración de riesgos,
comenzando con las fortalezas y proporcionando la suficiente información para que el cliente y la gerencia
organizacional entiendan los hallazgos. Se debe de asignar a un miembro del equipo de evaluación para tomar
asistencia y realizar las minutas.
El nivel de detalle depende del nivel de familiaridad que el cliente tenga con el proceso de evaluación. También
la formalidad de la junta depende del tipo de evaluación. En algunos casos, se requiere una junta formal con
registros de asistencia y minutas, mientras que en otras situaciones, la junta puede ser de comunicación menos
formal para presentar los hallazgos de la evaluación.
Si se presentan situaciones durante la evaluación que pudieran cuestionar los resultados de la evaluación, el
equipo de evaluación debe aconsejar a los presentes sobre la situación. Además, se debe discutir cualquier
diferencia de opiniones sobre las conclusiones o hallazgos de la evaluación entre el equipo de evaluación y el
cliente. Las partes deben intentar resolver cualquier desacuerdo. Si las partes no pueden resolver sus diferentes
puntos de visto, esto se debe de documentar.
Los participantes deben discutir un margen de tiempo rápido para un plan de acción para tratar los hallazgos de
la evaluación y adaptar el sistema de administración de riesgos, cuando sea necesario. Las recomendaciones de
mejoras podrían presentarse si los objetivos de la evaluación así lo especifican. Debe ser claro que cualquier
recomendación no es obligatoria y se debe destacar que en las evaluaciones subsecuentes, éstas podrían ser
prejuiciosas para una evaluación imparcial.
Se debe tratar lo siguiente con la gerencia de la organización para que estén enterados y lo entiendan en la junta
post-evaluación (cuando aplique):
a) Los hallazgos y conclusiones de la evaluación;
b) El método de reporteo;
c) Manejo y divulgación de información y reportes;
d) El manejo de los hallazgos de la evaluación y posibles consecuencias; y
e) Actividades post-evaluación (donde aplique).
6.5.2 Reportes y Registros
El reporte de la evaluación de riesgos comunica los resultados de la evaluación al cliente y a la organización y

proporciona un registro completo y conciso de la evaluación.
87

6.5.2.1 Visión General
El reporte de la evaluación de riesgos es preparado por el LER, con aportaciones del equipo de evaluación y se le
entrega al gerente de riesgos tan pronto como sea posible después de la junta post-evaluación. El gerente de
riesgos revisa y aprueba el reporte de evaluación antes de su distribución. Para tener credibilidad, cualquier
cambio en el reporte, incluyendo hallazgos, se debe realizar por el LER. El cliente determina quien recibirá
copias del reporte de evaluación. El propósito del reporte de evaluación es para:
a) Proporcionar información sobre los hallazgos y conclusiones de la evaluación;
b) Iniciar una solicitud de acciones correctivas para los riesgos significantes que requieran de una atención
inmediata;
c) Fungir como base para identificar las oportunidades de mejora para el sistema de administración de
riesgos; y
d) Proporcionar un registro de la evaluación.
6.5.2.2 Distribuyendo el Reporte de Evaluación
El reporte de evaluación de riesgos debe emitirse sin demoras dentro del margen de tiempo acordado. Si el
equipo de evaluación es incapaz de lograrlo, se deben comunicar a la brevedad las razones al cliente,
organización y la(s) persona(s) responsables del programa de administración de riesgos. En conformidad con los
buenos procedimientos de un proyecto de administración, el reporte de evaluación debe revisarse, aprobarse y
fecharse. La distribución del reporte de la evaluación de riesgos está a discreción del cliente y la organización. El
gerente de riesgos no debe enviar una copia del reporte de la evaluación de riesgos a nadie, a menos que sea
aprobado explícitamente por escrito por el cliente y la organización. La organización que lleva a cabo la
evaluación mantiene una copia para sus registros según el acuerdo con el cliente y la organización. La retención
de una copia del reporte debe congruente con los requisitos, necesidades y obligaciones legales.
En algunos casos, los reportes podrían requerirse para una entrega y transmisión digital de forma segura. En esos
casos, el gerente de riesgos debe controlar la liberación y accesibilidad de la información utilizando los métodos
apropiados de seguridad de la información. Las contraseñas y encriptado deben cumplir con las prácticas y
métodos aceptados por el gobierno o industria para asegurar ese tipo de información.
El cliente y la organización deben tratar el reporte de la evaluación de riesgos como información protegida y
proporcionar un manejo seguro al documento.
6.5.3 Seguimiento y Monitoreo
Es responsabilidad de la organización y el cliente aplicar las acciones correctivas, preventivas o de mejora

indicadas en el reporte de evaluación. El cliente debe implementar estas acciones de manera oportuna. El cliente
debe mantener informados al LER y gerente de riesgos de estas acciones para facilitar el monitoreo de riesgo
continuo. Estas acciones deben documentarse y verificarse para que se puedan incluir en una evaluación futura.
La verificación de que las acciones correctivas, preventivas o de mejora se hayan llevado a cabo y son eficientes,
se debe documentar antes de que comience el seguimiento de la evaluación.
La organización debe establecer un monitoreo de riesgo y un programa de cambios administrativos definidos y

documentados para asegurar que cualquier cambio interno o externo que impacte los riesgos de la organización
88

se revise en relación al criterio de riesgo. Debe identificar cualquier actividad crítica nueva que requiera ser
incluida en el programa de administración del riesgo. El programa de cambio administrativo debe definir la
frecuencia en la cual se debe actualizar la evaluación de riesgos, así como los eventos que desencadenan la
realización de una nueva evaluación.
6.6 Checando y Revisando
6.6.1 Valoración de la Evaluación
El LER debe establecer, implementar y mantener las métricas y procedimientos de desempeño para monitorear y
medir aquellas características de la evaluación de riesgos que tengan un impacto material sobre su desempeño.
Los procedimientos deben incluir la documentación de información para monitorear el desempeño, controles
operacionales aplicables y el apego con los objetivos y metas del programa de evaluación de riesgos de la
organización.
6.6.1.1 Identificando Oportunidades de Mejora
El LER debe monitorear, valorar y aprovechar las oportunidades de mejora en el desempeño de la evaluación de
riesgos y eliminar las causas de problemas potenciales, incluyendo:
a) El monitoreo continuo del panorama organizacional para identificar problemas potenciales y

oportunidades de mejora;
b) La determinación e implementación de acciones necesarias para mejorar el desempeño de la evaluación;

y
c) La revisión de la eficiencia de cualquier acción tomada para mejorar el desempeño.
Las acciones tomadas deben ser apropiadas para el impacto de problemas potenciales y la realidad de los
recursos.
El gerente de riesgos y el LER deben asegurarse que las acciones se tomen sin un retraso indebido para inicial
con las oportunidades de mejora. Al existir acuerdos revisados y nuevos acuerdos a introducir que podrían
impactar el programa de la evaluación de riesgos, el LER debe tomar en cuenta los resultados asociados antes de
ser implementados.
Los resultados de las revisiones y las acciones tomadas deben estar claramente documentados y se deben guardar
los registros. Las actividades de seguimiento deben incluir la verificación de las acciones a tomar y el reporte de
los resultados verificados.
6.6.2 Mejora
La revisión de la evaluación de riesgos debe incluir la evaluación de oportunidades de mejora y la necesidad de

cambios al programa de evaluación de riesgos. Los resultados de las revisiones deben estar claramente
documentados y se deben guardar los registros. La organización debe mejorar continuamente la eficiencia de las
actividades de evaluación de riesgos.
89

7 CONFIRMANDO LA COMPETENCIA DE LOS ASESORES DE

RIESGO

7.1 General
La credibilidad de cualquier programa de evaluación de riesgos está en función de la competencia de los
asesores. Todas las personas involucradas en el proceso de evaluación de riesgos deben ser competentes para
realizar sus roles y tareas designadas. Los asesores de riesgo deben poseer conocimientos técnicos y aptitudes
interpersonales para evaluar eficientemente la aplicación de los sistemas de administración de riesgos para un
cliente en particular. Los asesores deben valorar la eficiencia de las medidas de administración de riesgos, no
solo marcando una casilla indicando que la medida existe. Para agregar valor al cliente y la organización, los
asesores deben entender los enfoques administrativos y de riesgo en un ambiente empresarial y de riesgo del
cliente. Los asesores deben tener un entendimiento claro sobre cómo aplicar el criterio de riesgo. La competencia
del asesor está comprometida con varios elementos:
a) Cualidades personales y aptitudes interpersonales;
b) Aptitudes de evaluación;
c) Aptitudes de comunicación;
d) Educación, entrenamiento y conocimiento; y
e) Experiencia laboral.
El equipo de evaluación de riesgos debe tener un entendimiento proficiente sobre el negocio y las disciplinas que
se estén asesorando. El equipo de evaluación debe proyectar una imagen al cliente y la organización de que
tienen la competencia suficiente para el área técnica apropiada del sistema de administración basado en el riesgo,
disciplinas relacionadas con el riesgo, sector industrial y ubicación geográfica.
7.2 Competencia
7.2.1 General
El gerente de riesgos y el LER deben determinar y documentar la competencia requerida para valorar cada área
técnica y función en la actividad de evaluación de riesgos. Al identificar los requisitos de competenciaes, el
gerente de riesgos y el LER deben adaptar esos requisitos para los tipos de riesgos que enfrentan el cliente y la
organización y la ubicación de las operaciones para poder:
a) Definir el alcance de las actividades que se van a asumir;
b) Identificar cualquier cualificación técnica de sus asesores necesaria para ese tipo de riesgo, servicio y
ubicación de operación en particular;
c) Asegurar que el personal tiene el conocimiento, aptitudes y experiencia apropiada y relevante a los tipos
o servicios proporcionados y las áreas geográficas de operación; y
90

d) Seleccionar un equipo de evaluación calificado y adecuado.
El gerente de riesgos y el LER deben determinar el criterio y medios para la demostración de competenciaes
antes de llevar a cabo las funciones específicas. Los registros de la determinación deben mantenerse y dejar
disponible a petición para el cliente y/o la organización.
7.2.2 La Determinación del Criterio de Competencia
El gerente de riesgos y el LER deben documentar el proceso para determinar el criterio de competenciaes para el
personal con una competencia demostrable para la administración y desempeño de la evaluación de riesgos. El
criterio medible debe determinarse para demostrar la competencia en cuanto a:
a) Los requisitos del sistema de administración de riesgos y cualquier estándar administrativo utilizado
basado en el riesgo;
b) La evaluación y administración de riesgos congruente con las obligaciones legales y las prácticas
aceptables de la industria relacionados con la operación;
c) El contexto legal, cultural y operacional de la ubicación de la operación; y
d) Las funciones en el proceso de evaluación de riesgos.
Los resultados del proceso deben ser el criterio documentado del conocimiento requerido y las competenciaes
necesarias para desempeñar eficientemente las tareas de la evaluación de riesgos a ser completada para lograr los
resultados previstos y proporcionar una base para:
a) La selección de los miembros del equipo de evaluación para cubrir todas las áreas de competencia
requerida;
b) La determinación del requerimiento de mejora de competencia para una mejora continua de la

competencia del asesor; y
c) La determinación de indicadores de desempeño para los asesores.
Para determinar la competencia apropiada del asesor, considere:
a) El riesgo asociado con las operaciones y actividades de la organización;
b) La naturaleza y complejidad del sistema de administración de riesgos del cliente;
c) Las disciplinas de administración de riesgos a considerarse;
d) Los objetivos y dimensión del programa de evaluación de riesgos;
e) Los requisitos legales entre otros, tales como aquellos impuestos por agentes externos, cuando sea
apropiado;
f) El rol del proceso de administración de riesgos en el sistema de administración de empresas en la

organización;
g) La necesidad de balance y evasión de prejuicio en el proceso de evaluación;
91

h) La complejidad del ambiente de riesgo a ser evaluado; y
i) Los riesgos relacionados con el logro de los objetivos de la evaluación de riesgos.
Al determinar el criterio de competencia, el gerente de riesgos y el LER deben establecer un desempeño basado
en el criterio de valoración y un método consistente documentado para la competencia a valorar. Algunos
ejemplos de los métodos de valoración son (pero no están limitados a):
a) Verificar los antecedentes, educación y experiencia;
b) Prueba psicométrica (cuantitativa) de conocimiento y aptitudes (podría incluir variables tales como
inteligencia, aptitud y rasgos de personalidad;
c) Revisar las muestras de trabajo escritas;
d) Entrevistas para valorar el conocimiento, aptitudes de comunicación y comportamiento personal;
e) Observación de las aptitudes de evaluación de riesgos;
f) Certificaciones basadas en las competenciaes y credenciales profesionales; y
g) Revisión de retroalimentación y post-evaluación;
7.2.3 Entrenamiento y Valoración de Competencias
Las personas que llevan a cabo las evaluaciones de riesgo deben haber completado exitosamente un
entrenamiento y ser capaces de demostrar la competencia en entender y aplicar:
a) Los sistemas de administración de riesgos y las disciplinas de riesgo siendo evaluadas;
b) Las metodologías de administración de riesgo;
c) Los principios administrativos y de la evaluación de riesgos;
d) Las leyes legales, normativas y otras jurisdiccionales que sean relevantes;
e) La obligación y responsabilidad civil asociadas con la industrial y el perfil de riesgo; y
f) Administrar los riesgos de los eventos indeseables e interrumpibles.
El gerente de riesgos y el LER deben asegurar que las personas que llevan a cabo las evaluaciones de riesgo
tienen un conocimiento laboral de la ISO 31000:2009 estándar de Administración de riesgos. Los asesores deben
tener el conocimiento y aptitudes correspondientes a una educación superior que incluye idiomas y aptitudes de
comunicación.
El gerente de riesgos y el LER deben asegurar que las personas que llevan a cabo las evaluaciones de riesgo
tienen experiencia en la industria, disciplina o sectores relacionado con el riesgo, incluyendo trabajo en la
administración de riesgos o el equivalente basado en los estándares de la industria y en la complejidad de las
disciplinas de riesgo. El número de años del total de experiencia laboral podría reducirse si la persona ha
completado una educación superior apropiada y relevante.
92

El gerente de riesgos y el LER deben establecer, documentar y mantener un proceso para valorar y verificar el
entrenamiento y competencia de las personas que llevan a cabo las evaluaciones de riesgo, incluyendo un
entrenamiento continuo apropiado de acuerdo con sus requisitos de cualificaciones específicas para mantener su
competencia.
7.2.4 Monitoreando la Competencia
El gerente de riesgos y el LER deben asegurar un desempeño aceptable de todo el personal involucrado en las
actividades de su evaluación de riesgos. El gerente de riesgos y el LER deben establecer procedimientos,
métricas y criterio documentados para monitorear y medir el desempeño de todas las personas involucradas,
basándose en el nivel de conocimiento requerido basado en el riesgo ligado a sus actividades. El gerente de
riesgos y el LER deben revisar, por lo menos anualmente, la competencia de su personal basado en su
desempeño para identificar las necesidades de entrenamiento.
Los procedimientos de monitoreo deben incluir una combinación de observación in-situ, revisión del reporte de
evaluación de riesgos y en la retroalimentación de los clientes y otras partes afectadas. El monitoreo debe
diseñarse de tal forma que se minimice el disturbio a las operaciones normales, especialmente desde el punto de
vista del cliente.
7.2.5 Mejora de la Competencia
Los asesores deben incrementar y mejorar sus aptitudes a través de una educación y experiencia continua. Los
riesgos, prácticas de administración organizacional, tecnologías, prácticas aceptables de la industria y estándares
que cambian con el tiempo. Los asesores deben mantener al día la necesidad de perfeccionar su conocimiento y
aptitud establecidos, con el cambio de condiciones de la evaluación de riesgos. Algunos ejemplos de métodos de
educación continua y mejora de aptitudes son:
a) Participación en las evaluaciones de riesgo;
b) Literatura profesional social y técnica;
c) Participación en asociaciones profesionales y sus talleres y conferencias;
d) Programas de asesoría y revisión mutua;
e) Leer casos prácticos; y
f) Certificación profesional y programas de educación formal.
7.3 Validación y Registros del Personal

El gerente de riesgos y el LER deben mantener al día los registros de cualificaciones, entrenamiento,
experiencia, afiliaciones profesionales y membresías relevantes, status profesional y competencia de todo el
personal involucrado en sus actividades de evaluación de riesgos.
El gerente de riesgos y el LER deben asegurar que todas las personas que trabajan a su nombre, asignados a
desempeñar las evaluaciones de riesgo, así como los expertos técnicos, se les pueda confiar para mantener
confidencial la información obtenida durante las labores de la evaluación de riesgos. Ese personal no debe crear
93

un riesgo de seguridad al traicionar la confidencialidad o impactar adversamente las operaciones (evidenciados
por la ejecución de un acuerdo de confidencialidad/confidencialidad). Esto debe ser validado con la
investigación apropiada de antecedentes de las personas involucradas en las actividades de evaluación de
riesgos.
Las personas desempeñando las evaluaciones de riesgo deben tener un mínimo de aptitudes interpersonales y
atributos personales para llevar a cabo una evaluación exitosa. Un asesor que carece de las aptitudes
interpersonales y atributos personales necesarios, no podría llevar a cabo una evaluación exitosa; por lo tanto, el
asesor debe tener buenas aptitudes de comunicación, incluyendo:
a) Buenas aptitudes de lenguaje oral y escrito;
b) Saber escuchar;
c) Competencia para manejar el estrés y evitar conflictos ambientes adversos;
d) Sensibilidad cultural, incluyendo un lenguaje corporal apropiado;
e) Competencia de llevar a cabo un interrogatorio, análisis y resolución de problemas imparciales; y
f) Tacto y diplomacia.
Los atributos personales de un asesor incluyen:
a) Humildad – concientización de los límites del conocimiento propio, incluyendo la sensibilidad a la

predisposición, prejuicio y limitaciones del punto de vista propio;
b) Coraje – necesidad de tratar ideas, creencias o puntos de vista equitativamente sin importar el potencial
de consecuencias negativas;
c) Confianza En La Razón – pensar coherente y lógicamente para persuadir a través de la razón;
d) Mentalidad Justa – tratar a todos los puntos de vista con igualdad, sin referenciar los propios
sentimientos o intereses personales;
e) Empatía – ponerse en lugar de los demás para entenderlos genuinamente;
f) Integridad – admitir con honestidad las discrepancias e inconsistencias en pensamientos y acciones

propias;
g) Independiente – libre de conflictos de interés o influencia, reales o percibidos;
h) Imparcial – libre de nociones y prejuicios preconcebidos;
i) Sistemático – poder llevar a cabo una investigación ordenada y metódica;
j) Ético y confiable – justo, discreto y honesto;
k) Persistente – tenaz y enfocado en lograr los objetivos de la evaluación;
l) Curioso y de mente abierta – inquisidor y dispuesto a considerar varios puntos de vista;
94

m) Adaptable – ágil en abordar el cambio de curso en caso necesario;
n) Versátil – capaz de manejar una variedad de situaciones;
o) Positivo – para proyectar un aura de actitud positiva, sin negatividad;
p) Sin juzgar – para enfocarse en la evidencia sin interponer juicios de valor;
q) Observador y perceptivo – atento al ambiente y capaz de entender el contexto;
r) Decisivo – capaz de tomar decisiones basadas en los hechos y la situación; y
s) Autosuficiente – capaz de trabajar autónomamente mientras interactúa con otros.
Los líderes del equipo de evaluación también deben ser capaces de mostrar liderazgo, manejo de tiempo,
entender las formalidades comunicativas, manejar conflictos y proporcionar tutoría a los asesores menos
experimentados.
7.3.1 Credenciales
Todo el personal involucrado en las actividades de evaluación de riesgos debe ser capaz de mostrar una
credencial inviolable, consistente con una identificación gubernamental verificable que se distinga con facilidad,
con un número único, mostrando lo siguiente:
a) Fotografía
b) Nombre completo;
c) Periodo de validez; y
d) Nombre de la entidad emisora.
7.3.2 Acuerdos de Confidencialidad
Todas las personas asignadas para llevar a cabo las evaluaciones de riesgo deben firmar acuerdos de
confidencialidad, confidencialidad y un código de ética. El gerente de riesgos y el LER deben establecer,
documentar y mantener los procedimientos sobre cómo respetar y proteger la integridad de información sensible,
confidencial y empresarial. El gerente de riesgos y el LER deben revisar periódicamente, como parte de la
calidad de su propio sistema de gestión, el desempeño de su personal con respecto a la toma de los pasos
apropiados para proteger la información sensible, confidencial y empresarial.
Al requerirse, los acuerdos de confidencialidad y confidencialidad firmados por el personal involucrado en las
actividades de su evaluación de riesgos deben estar disponibles para las organizaciones bajo la evaluación de
riesgos.
7.3.3 Rendición de Cuentas
El gerente de riesgos y el LER deben establecer, documentar y mantener los procedimientos para hacer que el
personal involucrado en las actividades de su evaluación de riesgos esté consciente de las infracciones que el
equipo estaría sujeto con acciones disciplinarias, responsabilidad civil y enjuiciamiento criminal. Los
95

procedimientos deben incluir un proceso para tratar las infracciones o procedimientos, el código de ética y los
acuerdos de confidencialidad y confidencialidad, incluyendo el proceso de investigación y acciones
disciplinarias. Se deben mantener registros de infracciones, investigaciones y cualquier acción disciplinaria
subsecuente.
7.3.4 Registros
El gerente de riesgos y el LER deben establecer, documentar y mantener los procedimientos para mantener los
registros del personal involucrado en las actividades de su evaluación de riesgos. Los registros se deben
conservar por un periodo que el gerente de riesgos y el LER consideren apropiado y de acuerdo con los periodos
de conservación designados por los requisitos nacionales, internaciones y otros requisitos legales.
7.4 Uso de Asesores de Riesgo y Expertos Técnicos Externos

El gerente de riesgos y el LER deben implementar un proceso documentado para subcontratar cualquier
actividad de la evaluación de riesgos o para utilizar expertos en la materia externos para asegurar el
cumplimiento con las políticas, procedimientos y servicios de la evaluación de riesgos, así como el respeto a la
confidencialidad y confidencialidad de la información del cliente u organización. Los acuerdos de
subcontratación y expertos externos deben ejecutada y revisada por el asesor legal apropiado.
96

Anexo A
(informativo)
A MÉTODOS DE EVALUACIÓN DE RIESGOS, RECOPILACIÓN DE

DATOS Y MUESTREO
A.1 General
El tiempo es el mayor reto para optimizar la evaluación de riesgos para lograr los objetivos de la evaluación. El
asesor requiere desarrollar una estrategia o “camino” de evaluación, para recopilar datos de forma representativa,
lógica y metódica. La planeación efectiva de una evaluación de riesgos es necesaria para hacer un uso eficiente
del tiempo para proporcionar una imagen completa de los riesgos y el nivel de riesgo. El LER es responsable de
la planeación efectiva y de la aplicación de los métodos y estrategias de la evaluación. El LER tiene la
responsabilidad de supervisar la conducción de las actividades de la evaluación.
A.2 Tipos de Interacciones

Existen dos tipos de interacciones entre el equipo de evaluación y la organización siendo evaluada durante el
transcurso de la evaluación de riesgos. Al evaluar un riesgo, el equipo de evaluación examinará las políticas,
procedimientos, actividades humanas, tecnologías (incluyendo sistemas de información) y las interfaces entre las
actividades humanas y tecnológicas. Los tipos de interacciones incluyen:
a) Interacción humana – entre el equipo de evaluación y la organización siendo evaluada (incluyendo las
partes interesadas internos y externos):
i. Realizando entrevistas;
ii. Completando listas de verificación, encuestas y cuestionarios con la participación de las partes
interesadas;
iii. Realizando revisión de documentos con la participación de las partes interesadas;
iv. Ejercicios, juegos, talleres y análisis de escenario;
v. Muestreo; y
vi. Investigaciones encubierto, líneas directas, programas denunciantes y de reclamación y recursos

de inteligencia.
b) Interacción humana mínima – revisión del equipo de evaluación sobre equipo, tecnologías, políticas,
procedimientos, instalaciones y documentación:
97

i. Realizando revisión de documentos (ej., registros, análisis de datos);
ii. Exploración física y pruebas de las medidas de control de riesgos;
iii. Observación del trabajo desempeñado;
iv. Realizando visitas in-situ;
v. Completando listas de verificación; y
vi. Muestreo (ej., productos, equipo).
A.3 Trayectorias de Evaluación

Las evaluaciones generalmente involucran múltiples procesos interdependientes. Por lo tanto, el asesor podría
segmentar la evaluación al utilizar técnicas de trazado o reconocimiento y/o segmentar la evaluación por riesgo,
amenaza o tipo de consecuencia; actividades o funciones; generador de valor; o departamento. Algunos ejemplos
de trayectorias de evaluación son:
a) Trazado: Rastrear cronológicamente un proceso o evento de riesgo:
i. Seguir hacia adelante o hacia atrás con la trayectoria de una actividad a través de procesos
comenzando en el inicio, fin o mitad; y
ii. Seguir hacia adelante o hacia atrás con la trayectoria de un evento a través de una secuencia de
causas y efectos, comenzando con el antes, durante o después del evento.
b) Método de proceso: Probar una secuencia de pasos o interacciones de actividades y procesos:
i. Usar organigramas de proceso de diagramas de flujo;
ii. Evaluar los controles, interacciones, eficiencia y oportunidades de mejora del proceso;
iii. Método Objetivos: Se enfoca en los objetivos específicos y los riesgos asociados;
iv. Método de Fuente de Riesgo: Se enfoca en las fuentes de riesgo específicas;
v. Método Departamento: Se enfoca en un departamento, división o nivel funcional;
vi. Método Requerimiento: Se enfoca en las necesidades y requisitos de las partes interesadas (ej.,
socios de la cadena de suministro); y
vii. Método Descubrimiento: Evaluación aleatoria.
Los caminos de la evaluación se pueden utilizar para entender mejor al riesgo y para identificar las causas raíces
de las debilidades, así como para identificar oportunidades de mejora. Esto involucra series progresivas de
preguntas como “por qué” y “qué tal si” para identificar las causas raíces. El asesor debe mantener notas
detalladas del camino de la evaluación y reconocer cuando el camino lo llevará a un callejón sin salida.
98

A.4 Muestreo
A.4.1 General
Durante la evaluación, no siempre es práctico, en términos de tiempo o costo, valorar toda la información
disponible. Un muestreo, proceso o técnica de seleccionar una parte representativa de una población con el
propósito de determinar los parámetros o características de toda la población, podría ser necesario para evaluar
adecuadamente el riesgo. El método y lógica del muestreo y la cantidad de muestras de la población debe
adaptarse a las circunstancias de la evaluación para lograr los objetivos de la evaluación. El enfoque de muestreo
debe proporcionar un nivel de confianza de que los objetivos de la evaluación se están logrando.
El muestreo completamente aleatorio podría no siempre ser apropiado. Por ejemplo, en áreas de brechas
operacionales conocidas, incertidumbre elevada de información o riesgo mayor, el asesor debe seleccionar más
muestras. Las consideraciones en elegir el tamaño y selección de las muestras incluyen (pero no están limitadas
a):
a) Áreas mayores y problemas relacionados con el riesgo;
b) Áreas con eventos de riesgo previos, riesgos emergentes y debilidades históricas;
c) Elementos que sirven de bases para el sistema de gestión de riesgo y negocio;
d) Interacciones entre elementos del sistema de gestión;
e) Problemas conocimos por ser de gran importancia para la organización y sus partes interesadas;
f) Actividades de tipo legal, normativas o problemas relacionados con las responsabilidades;
g) Actividades y funciones donde los recursos están sobrecargados;
h) Complejidad e interdependencia de actividades críticas; y
i) Actividades nuevas o con cambios significativos.
Para poder asegurar que las conclusiones están correctas al evaluar el riesgo, es importante entender el factor
confianza, que los resultados son imparciales y consistentes con el muestreo de la población entera. El muestreo
exitoso se basa en enfocarse en la definición del problema. En el muestro, esto incluye definir la población de la
cual se sacaran las muestras. Una población puede definirse como la inclusión de todas las personas u objetos
con una característica específica que requiera ser entendida.
El muestreo debe considerar los pasos de la Figura 14:
99

Determinar los Objetivos del Plan de Muestreo Consistente con los Objetivos de la Evaluación
Identificar la Población para el Muestreo
Determinar la Mezcla de Muestreo Apropiada
Seleccionar los Métodos de Muestreo
Determinar el Tamaño de la Muestra
Llevar a Cabo el Muestreo
Evaluar el Proceso de Muestro en cuanto a Predisposiciones y Capacidad
Compilar el reporte y Documentar los Resultados
Figura 14: Proceso de Muestreo
A.4.2 Métodos de Muestreo
La selección de una muestra apropiada debe basarse tanto en el método de muestreo como en el tipo de dato
requerido. Hay dos tipos de métodos de muestreo:
a) Muestreo no-estadístico:
i. Depende del conocimiento, competenciaes y experiencia del equipo de evaluación;
ii. Se enfoca en áreas donde se han encontrado problemas previos o áreas para mejoras específicas;
iii. Puede utilizarse para identificar la causa raíz de un problema;
iv. Enfatiza las áreas de mayor riesgo o de gran interés para la organización y sus partes
interesadas;
v. No puede generalizar sobre una población entera; y
vi. No hay una estimación estadística del efecto de la incertidumbre en los hallazgos de la
evaluación y las conclusiones obtenidas.
b) Muestreo Estadístico:
100

i. Proceso de selección de muestras basado en la teoría de probabilidad;
ii. Asegura que cada objeto de la población tenga la misma oportunidad de ser seleccionado;
iii. Utilizado cuando se requieran conclusiones sobre la población;
iv. Muestro basado en atributos, utilizado cuando solo hay dos posibles resultados para cada
muestra (ej., correcto/incorrecto o pasa/falla);
v. Muestreo basado en variables, es utilizado cuando los resultados de la muestra ocurren en un

rango continuo; y
vi. Proporciona estimación estadística del efecto de la incertidumbre en los hallazgos de la

evaluación y las conclusiones obtenidas.
A.4.3 Ejemplos de Métodos de Muestreo
Algunos ejemplos de métodos no-estadísticos son:
a) Muestreo razonado: basado en una opción deliberada y excluye cualquier proceso aleatorio.
b) Muestreo de conveniencia: utilizar aquellos que están dispuestos a ofrecerse o casos en los que se
presenten como muestra.
c) Muestreo irregular: las muestras se seleccionan en base a la conveniencia pero preferentemente se deben
de escoger tan aleatoriamente como sea posible.
Algunos ejemplos de métodos estadísticos son:
a) Muestreo aleatorio: asegura que cada miembro de la población tenga la misma oportunidad de ser
seleccionado.
b) Muestreo sistemático: después de seleccionar aleatoriamente un punto de inicio entre 1 y n en la

población, se selecciona cada nva unidad, donde n es igual al tamaño de la población dividido entre el
tamaño de la muestra.
c) Muestreo estratificado: se subdivide la población en grupos homogéneos, por ejemplo regiones, tamaño
o tipo de establecimiento. El estrato puede tener tamaños iguales o podrían haber una proporción mayor
in cierto estrato.
d) Muestreo por clúster/bloque: las unidades en la población se pueden encontrar frecuentemente en grupos
o agrupaciones. La población muestreada se divide en grupos llamados clúster.
A.4.4 Tamaño de la Muestra y Margen de Error
En el muestreo estadístico, es importante entender el nivel de confianza. Cualquier porcentaje menor al 100% es
posible, pero para poder tener resultados significativos, los números deben estar cerca del 100%. Los niveles
comunes de confianza son 90%, 95% y 99%. El valor de α se determina al sustraer nuestro nivel de confianza de
uno y escribir el resultado como decimal. Así que un nivel de confianza de 95% correspondería a un riesgo de
101

muestreo del 5%, lo que significa que el asesor está dispuesto a aceptar el riesgo de que 5 de 100 de las muestras
examinadas no reflejaran los valores actuales, si una población completa fuera examinada.
Anexo B
(informativo)
B ANÁLISIS DE CAUSA RAÍZ
B.1 General
El análisis de causa raíz (ACR) se refiere a múltiples técnicas y enfoques de evaluación de riesgos, a veces
aplicados en series que se diseñan para identificar la causa(s) o detonante(s) de riesgo subyacente o inicial.
Originalmente se desarrollaron un número significativo de técnicas en el proceso de los campos de la ingeniería
y seguridad. Éstas técnicas no estaban destinadas sólo para identificar las amenazas de seguridad y puntos de
fallas durante el diseño de nuevos procesos de ingeniería, sino también para determinar por qué los eventos de
riesgo ocurren después de pérdidas significativas.
El análisis de causa raíz tradicionalmente se ha visto como el método de evaluación más apropiado, utilizado
después de un evento de riesgo mayor o pérdida. Sin embargo, las organizaciones con programas administrativos
de riesgo más maduros usan cada vez más las mismas técnicas para apoyar la planeación estratégica y del
negocio con el fin de administrar los riesgos proactivamente antes de que puedan afectar los objetivos planeados.
B.2 Aplicando Técnicas de Causa Raíz

Históricamente, el uso del ACR se ha asociado con las situaciones reactivas y con revisión hacia atrás.
Típicamente, un evento de pérdida significativa ocurrido (como un proceso fallido conduciendo a daño, pérdida
o lesión) o una actividad planeada que no haya logrado los resultados esperados. En éste tipo de aplicación, se
utilizarían varias técnicas para intentar e identificar qué modo de falla dio lugar al evento de pérdida, utilizando
esta información para apoyar la recuperación o acciones preventivas futuras.
En casos más sencillos, uno simplemente podría utilizar lo que se conoce como el enfoque de los cinco porqués
del ACR. Un problema definido puede analizarse secuencialmente al preguntar “por qué” un factor
contribuyente al evento de pérdida se puede encontrar sin mayor explicación. En casos más complejos, este
enfoque se podría anidar dentro del diagrama de análisis de causa y efecto (a veces llamado Ishikawa o de
espinazo). El uso de diagramas de causa y efecto apoya el análisis de situaciones más complejas, particularmente
donde hay múltiples detonantes de riesgo presentes, donde cada uno de ellos requiere un análisis más detallado
para poder desarrollar una imagen comprehensiva de la situación.
Estas mismas técnicas también se pueden utilizar para identificar fuentes de riesgo potenciales durante los
procesos de planeación estratégica o del negocio. Al desarrollar una imagen de los riesgos potenciales asociados
102

con una actividad planeada, iniciativa u objetivo, los planeadores tienen la posibilidad de incorporar mejor las
actividades de tratamiento de riesgo desde el comienzo, en lugar de como “complementos” después del hecho.
Al utilizarse proactivamente, el foco del análisis cambia de la pregunta de qué causa que suceda una pérdida a
qué podría causar que algo falle – o, tal vez aún más importante – qué causará que algo tenga éxito. Este tipo de
análisis también puede incluir un rango de otras técnicas ACR tales como análisis de campo de fuerza (diseñado
para identificar las fuerzas impulsoras y limitantes en el ambiente) y diagramación de influencia, la cual está
diseñada para mostrar gráficamente cómo las fortalezas relativas del riesgo o las interdependencias de la causa
pueden tener impacto entre ellas. Los análisis de campo de fuerza y los diagramas de influencia le permiten al
usuario experimentado alinear las acciones específicas con los riesgos (o personas) específicos con el fin de
aprovechar (o superar) las dependencias existentes.
La aplicación proactiva de las técnicas de ACR pueden ser problemáticas en algunas situaciones, particularmente
donde hay un escepticismo cultural sobre el valor de la calidad de su futuro. Un método para sobrellevar este
escepticismo es llevando a cabo un análisis de soluciones efecto siguiendo el uso de otras técnicas de ACR. Este
enfoque es similar a la técnica de causa y efecto, pero visualiza las “respuestas” propuestas agrupadas
temáticamente en lugar de ver los riesgos. Después, estas soluciones se analizan de nuevo para revelar cualquier
consecuencia involuntaria – o impulsores de éxito sin explorar – resultantes de la combinación de acciones
propuestas. Al incluir la solución o propietarios de la acción propuesta en este proceso, a menudo está dispuestos
a ver dónde sus ideas requieren de refinamiento, así como darles mayor confianza que el proceso utilizado para
obtener aquellas respuestas era robusto.
Otros enfoques de uso prolongado para análisis de causas raíces incluyen el concepto del ventilador, estudios de
amenazas e interoperabilidad, análisis de solución de efectos, análisis de valor del ciclo de vida e identificación
de amenaza/identificación ambiental, por nombrar algunos. Aunque esta lista no sea exhaustiva, proporciona un
buen punto de inicio para un entendimiento más profundo, de las fuentes de riesgo iniciales o subyacentes.
B.3 Diez Pasos para un Análisis Efectivo de Causa Raíz

Siguiendo un enfoque disciplinado del ACR llevará a un éxito mayor.
• ¿Cuál es el problema o asunto?

Definir • ¿Cuál es el resultado potencial?
• ¿Cuál es la evidencia?
Analizar • Aplica las técnicas de evaluación apropiadas.
• ¿Por qué? ¿Por qué? ¿Por qué? ¿Por qué? ¿Por qué?
• ¿Cómo se puede prevenir?

Resolver • ¿Cómo se puede controlar?
• ¿Cómo se puede modificar hacia el éxito?
103

Figura 15: Definir, Analizar y Resolver
Define:
1. Define el problema o describe el acontecimiento objetivamente.
2. Recopila datos y evidencia que puedan, por ejemplo, trazarse a lo largo de una línea de
tiempo del incidente hasta la falla final o crisis, o para enfoques futuros hacia el resultado
final deseado.
Analiza:
3. Usar una o más técnicas para analizar la evidencia. Por ejemplo, podría preguntar “por qué”
repetidamente e identificar las causas asociadas con cada paso en la secuencia hacia el
problema definido o el resultado deseado.
4. Clasificar las causas en factores causales que se relacionan con un resultado en la secuencia
y causas raíces, que si se aplicaran puede acordarse interrumpir ese paso de la cadena de
secuencia.
5. Si hay múltiples causas raíces, lo cual a menudo es el caso, anótalos claramente para un
análisis adicional.
Resolver:
6. Identifica las soluciones potenciales que con certeza prevendrán la recurrencia del problema
o evento, o alternativamente, se deban seguir para obtener mayores probabilidades de un
resultado exitoso.
7. Identifica que las soluciones que previenen la recurrencia con una certeza razonable con el
acuerdo consensado del grupo, están bajo tu control, cumplen tus metas y objetivos y no
introducen otros problemas nuevos, inesperados.
8. Implementa la(s) corrección(es) recomendada de causa raíz.
9. Asegura la eficiencia al observar y posiblemente reportar, si las soluciones recomendadas e

implementadas lograron el resultado previsto.
10. Se podrían considerar e incorporar otras metodologías de solución de problemas, como

suplementos al análisis de causa raíz.
El ACR (particularmente los pasos 3,4 y 5) forma la parte más crítica de desarrollar soluciones exitosas y planes
de acciones correctivas, porque dirige a la acción correctiva a la verdadera causa raíz del problema o asunto. El
análisis de causa raíz en sí, es secundario para lograr la meta prevista. Sin embargo, sin identificar y entender
la(s) causa(s) raíz, no se podrían identificar o desarrollar las soluciones efectivas o acciones correctivas.
104

B.4 Resumen del Análisis de Causa Raíz
El análisis de causa raíz, al realizarse de forma comprehensiva y planeada, proporciona a las organizaciones la
oportunidad de no solo entender completamente las causas de sus pérdidas pasadas, sino también planear
proactivamente para prevenir pérdidas similares en un futuro. Al utilizarse para identificar la verdadera causa de
pérdidas anteriores, el uso de las técnicas de ACR le permite a las organizaciones identificar y después, tratar la
“enfermedad” en lugar de simplemente aplicar una solución Curita temporal a los “síntomas”. Al hacerlo, la
mayoría de las organizaciones se darán cuenta que el costo total de riesgo se reduce, puesto que ya no requiere
abordar repetidamente el mismo problema.
Así mismo, al aplicar las técnicas de ACR para analizar las acciones, iniciativas y objetivos propuestos mientras
aún se encuentren en la fase de planeación, las organizaciones normalmente pueden mejorar desde un comienzo,
aquellas soluciones a través de la integración de controles de riesgo efectivos. Esto tiende no solo a mejorar la
eficiencia de las soluciones en sí, sino también ayuda a prevenir la necesidad (y costo) asociada con el
incremento de capas de control de riesgo adicionales después de la implementación. Esto ayuda a reducir aún
más los costos, ya que la aplicación de la implementación posterior generalmente es menos efectiva y a veces es
demasiado tarde para salvar del fracaso a una oportunidad prometedora.
Las organizaciones pueden mejorar las probabilidades de éxito de los resultados futuros, al aplicar los controles
de riesgos – y factores de éxito no reconocidos con anterioridad – que tratan eficientemente con las fuentes de
riesgos iniciales o subyacentes. Al hacerlo, reducen su costo de riesgo general al tratar reactiva y proactivamente
las causas raíces actuales de exposición al riesgo.
105

Anexo C
(informativo)
C VERIFICACIÓN DE ANTECEDENTES Y ACREDITACIÓN DE SEGURIDAD
C.1 General
Las evaluaciones de riesgo frecuentemente contienen parte de la información más sensible de la organización.
Siendo consistente con los requisitos de protección de la información, legislación de privacidad, políticas de
administración de recursos humanos y las necesidades de las partes interesadas, el gerente de riesgos y el LER
deben establecer, documentar y mantener un procedimiento para la verificación e investigación de todo el
personal involucrado en las actividades de su evaluación de riesgos. Los requisitos y la realización de las
revisiones de antecedentes y acreditación de seguridad varían significativamente entre los tipos de evaluación y
las prácticas administrativas de la organización. Por ejemplo, las evaluaciones de riesgo de seguridad,
normalmente se consideran de alto riesgo y se lleva a cabo un proceso de verificación riguroso de antecedentes
hecho por el Oficial en Jefe de Seguridad o algún designado. Por otro lado, las revisiones de antecedentes en las
evaluaciones de riesgo en negocios estratégicos y los procedimientos de verificación normalmente se incluyen
como parte general de la revisión de antecedentes y proceso de verificación del empleado en recursos humanos.
El gerente de riesgos y LER deben revisar el enfoque de la organización en cuanto a los objetivos y requisitos
del tipo de evaluación de riesgos que se esté llevando a cabo y asegurar que todo el personal involucrado en las
actividades de su evaluación de riesgos cumplan con estos requisitos. El proceso de investigación y acreditación
pueden incluir, pero no estar limitados a, revisiones de antecedentes, entrevistas y revisión de histórico laboral.
NOTA: Los detalles proporcionados a continuación representan al enfoque más riguroso que generalmente se requiere de la
evaluación de riesgos de seguridad. Para otros tipos de evaluaciones de riesgo, el nivel de rigurosidad se debe adaptar en
cuanto a los objetivos y requisitos de la evaluación, tomando en consideración los requisitos de protección de la información,
legislación de privacidad, políticas administrativas de recursos humanos y las necesidades de las partes interesadas.
C.2 Revisiones de Antecedentes

El gerente de riesgos y el LER deben asegurar la creación de un procedimiento documentado para revisiones e
investigación de antecedentes de los individuos que llevan a cabo las evaluaciones de riesgo en nombre de la
organización. El procedimiento para la revisión e investigación de antecedentes debe filtrar al personal que no
cumple con las cualificaciones mínimas establecidas para los puestos y seleccionar al personal apropiadamente
calificado basado en su conocimiento, capacidades, competenciaes y otros atributos. Los procedimientos de
diagnóstico y selección deben ser consistentes con la protección de datos, legislación de privacidad, políticas
administrativas de recursos humanos y los requisitos del cliente. Donde se practique, las revisiones de
antecedentes pueden llevarse a cabo a través de agencias o autoridades nacionales. Cuando no se practique, el
gerente de riesgos y el LER deben establecer, documentar y mantener un procedimiento para revisar la
viabilidad e integridad a través de un proceso de investigación interna, incluyendo la revisión de registros y
106

entrevistas, supervisadas por la alta dirección de la organización y apegados con las políticas generales de
seguridad y de recursos humanos.
Cuando sea posible, el proceso de diagnóstico e investigación debe incluir:
a) Verificación de identidad;
b) Verificación de histórico personal; y
c) Acreditación.
Las exclusiones se deben documentar cuando la información no está disponible, no es confiable o inapropiada.
La verificación de identidad debe incluir la verificación de la validez del histórico personal y debe considerar
(pero no estar limitada a):
a) Direcciones de casa;
b) Registros de empleo;
c) Medios electrónicos;
d) Registro de histórico criminal y civil;
e) Registros de violaciones de derechos humanos;
f) Registros militares y policiacos;
g) Registros vehiculares;
h) Reportes crediticios;
i) Índices de ofensas sexuales;
j) Listas de sanciones gubernamentales e industriales; y
k) Registros de licencias industriales específicas.
La acreditación involucra la verificación de la experiencia y cualificaciones que se presentan por el candidato.

La organización debe buscar huecos inexplicables. La acreditación proporciona información sobre (pero no está
limitada a):
a) Verificación de educación;
b) Verificación de empleo;
c) Verificación de licencia/certificación/registro;
d) Referencias personales;
e) Entrevistas con el supervisor y compañeros; y
f) Verificación de histórico militar.
107

Los candidatos deben proporcionar dos referencias laborales, así como una referencia de honradez relevante a su
trabajo o jurisdicción local. El proceso de investigación también puede incluir una revisión de la documentación
entregada por el candidato.
C.3 Entrevistas
El gerente de riesgos y el LER deben establecer un procedimiento de entrevista, incluyendo la jerarquía de los
entrevistadores, los cuales deben estar supervisados por el gerente de riesgos. La alta gerencia debe seleccionar
un gerente de riesgos que ha sido verificado a través de una entrevista e investigación para ser fiable y tener la
competencia y juicio necesarios para investigar al personal involucrado en las actividades de su evaluación de
riesgos. El gerente responsable debe evaluar a través de la revisión de documentación entregada por el candidato,
entrevistas y monitoreo constante, la fiabilidad y las características de comportamiento apropiadas del personal
involucrado en las actividades de su evaluación de riesgos.
C.4 Protección de Privacidad

La privacidad y confidencialidad de la información sobre los individuos debe ser protegida. Los documentos
personales, tales como pasaportes, licencias y actas de nacimiento originales deben ser devueltos al personal
dentro de un margen de tiempo razonable.
108

Anexo D
(informativo)
D CONTENIDO DEL REPORTE DE EVALUACIÓN DE RIESGOS
El reporte de evaluación de riesgos proporciona un resumen conciso basado en evidencia, de las actividades de la
evaluación de riesgos, así como las principales conclusiones y recomendaciones. El reporte generalmente
incluye lo siguiente:
a) Identificación de la organización y del gerente de riesgos que lleva a cabo la evaluación de riesgos;
b) El nombre y dirección de la organización (incluyendo al cliente y el representante administrativo del

cliente) siendo evaluada;
c) El tipo de evaluación de riesgos (ej., inicial, sistema de administración de riesgos, estratégica, de

vigilancia, de riesgo o función específica);
d) Los objetivos de la evaluación de riesgos;
e) El criterio de riesgo;
f) El alcance de la evaluación, identificación específica de la organización o unidades funcionales o

procesos evaluados;
g) Hipótesis, condiciones existentes, antecedentes y calificadores;
h) Identificación del LER, miembros del equipo de evaluación y cualquier persona que los acompañe;
i) Las fechas y lugares donde se llevaron a cabo las actividades de evaluación (in-situ o vía remota);
j) Métodos de evaluación;
k) Hallazgos de la evaluación, evidencia y conclusiones (oportunidades y riesgos considerables),

consistentes con los requisitos del tipo de evaluación;
l) Un registro de riesgo; y
m) Cualquier asunto no resuelto, si se haya encontrado.
También se puede incluir o referenciar lo siguiente en el reporte de evaluación:
a) Un resumen ejecutivo para los reportes de evaluación largos;
b) Áreas dentro del alcance de la evaluación que no fueron cubiertas;
c) Plan de evaluación;
109

d) Calendario del plan de evaluación;
e) Resumen del proceso de evaluación;
f) Prácticas industriales identificadas y aceptadas;
g) Fortalezas y debilidades del tratamiento de riesgo;
h) Oportunidades de mejora;
i) Lista de recomendaciones basada en los objetivos;
j) Planes de acción de seguimiento;
k) Reiteración de la naturaleza confidencial de los contenidos;
l) Evaluaciones subsecuentes;
m) Implicaciones para el programa de administración del riesgo;
n) Lista de distribución del reporte de evaluación;
o) Clasificación y diseminación de la información protegida relacionada con la evaluación de riesgos; y
p) Lista de referencia de materiales relevantes;
110

Anexo E
(informativo)
E CONFIDENCIALIDAD Y PROTECCIÓN DE DOCUMENTOS
Hay varios enfoques y materiales de referencia relacionados con el control de la Seguridad de la Información
Sensible (SSI por sus siglas en inglés), clasificación de documentos, cuidado custodial, mantenimiento, métodos
de distribución/transmisión/almacenaje y protección contra la divulgación a entidades no autorizadas. Los
métodos de clasificación y restricción relacionados con la distribución pueden tener muchas variables
dependiendo del órgano rector, requisitos de autorización de seguridad y su relación contractual con el asesor de
la organización.
Los procedimientos de confidencialidad y protección de documentos deben determinar y definir como mínimo:
a) La relación entre las partes interesadas y el/los asesor(es);
b) Expectativas mínimas relacionadas con la clasificación de:
i. Información;
ii. Datos o imágenes descriptivos e imágenes fotográficas;
iii. Planes;
iv. Encriptado de medios; y
v. Métodos en los cuales la información está siendo controlada.
c) Control, clasificación y marcaje de protocolos;
d) Protección y cuidado custodial de la información, imágenes digitales, planes, notas y otra

documentación específica del lugar/instalación durante un viaje, transmitiendo y en posesión del
asesor(es);
e) Requisitos de almacenamiento de protección y accesibilidad, para toda la información y datos, mientras

que estén en posesión del asesor(es) o beneficiario, métodos para obtener acceso a, rastrear la
distribución, requisitos de reproducción y destrucción de información específica; y
f) Penalidades a la par de la mitigación, reporte, requerimiento investigativo y de recuperación

relacionados con la divulgación inadvertida o deliberada de la SSI.
111

Anexo F
(informativo)
F EJEMPLOS DE PROCEDIMIENTOS DE TRATAMIENTO DE RIESGO QUE

AUMENTAN LA FORTALEZA DE LA ORGANIZACIÓN
F.1 General
Construir una organización fuerte, es parte de cualquier buena estrategia de administración de negocios. Para
poder prosperar y sobrevivir, las organizaciones necesitan adaptarse a un ambiente de cambio constante. Para ser
ágil y fuerte para poder lograr los objetivos de la organización, ésta necesita aprovechar todas las disciplinas que
contribuyen a la administración de riesgos. Para que las organizaciones administren el riesgo con un costo
eficiente, deben desarrollar estrategias balanceadas para tratar de forma adaptable, proactiva y reactiva de
maximizar las oportunidades y minimizar la probabilidad y consecuencias de eventos potenciales, no deseados y
perturbadores (vea ANSI/ASIS SPC.1-2009).
La organización debe establecer, implementar y mantener procedimientos para prevenir y administrar los
eventos perturbadores, los cuales tienen el potencial de dañar a la organización, sus partes interesadas principales
incluyendo a los socios de la cadena de suministro y al ambiente.
Los procedimientos deben ser concisos y aceptables para aquellos responsables de su implementación. Los
diagramas de flujo, gráficas, tablas y listas de acción deben utilizarse en lugar de texto extenso.
El propósito y alcance de cada procedimiento debe acordarse con la alta dirección y ser entendido por aquellos
responsables de su implementación. Las dependencias e interdependencias deben identificarse y se debe
establecer y entender la relación entre los procedimientos, incluyendo aquellos de servicios de emergencia y
autoridades locales. Las siguientes secciones proporcionan más información sobre los procedimientos
seleccionados. Al final de este anexo existen algunas plantillas para los diferentes planes.
F.2 Procedimientos de Prevención y Mitigación

El propósito de un procedimiento de prevención o mitigación es de definir las medidas a tomarse por la
organización para minimizar la probabilidad de un evento perturbador o para minimizar el potencial de la
severidad de las consecuencias del evento.
Los procedimientos de prevención deben describir cómo tomará la organización los pasos proactivos para
proteger sus activos al establecer enfoques arquitectónicos, administrativos, de diseño, operacionales y
tecnológicos para evitar, eliminar o reducir la probabilidad de la materialización de riesgos, incluyendo la
protección de activos de amenazas y peligros imprevistos.
Los procedimientos de mitigación deben describir cómo tomará la organización los pasos proactivos para
proteger sus activos al establecer enfoques inmediatos, provisionales y a largo plazo para reducir las
112

consecuencias de riesgos antes de que se materialicen, incluyendo la protección de activos de amenazas y
peligros imprevistos.
Las organizaciones podrían escoger tener un solo procedimiento con secciones y/o anexos tratando con
diferentes tipos de incidentes. Como alternativa, se podría escribir procedimientos separados para cada tipo de
incidente.
Cada procedimiento debe especificar como mínimo:
a) El propósito y alcance del procedimiento;
b) Los activos a proteger del evento perturbador;
c) Los objetivos y medidas de éxito;
d) Los pasos implementados y la frecuencia con la que el procedimiento se llevará a cabo;
e) Roles, responsabilidades y autoridades;
f) Requisitos y procedimientos de comunicación;
g) Interdependencias e interacciones internas y externas;
h) Requisitos de recursos, competencia y entrenamiento; y
i) Procesos de flujo de información y documentación.
La organización debe designar un “dueño” primario para cada procedimiento de prevención y mitigación y debe
estipular quién es el responsable de revisar, enmendar y actualizar el procedimiento. El proceso de revisar,
enmendar, actualizar y distribuir los procedimientos debe ser controlado.
Algunos ejemplos de procedimientos de prevención y mitigación incluyen lo siguiente:
a) Eliminar el riesgo al remover por completo la amenaza o exposición al riesgo;
b) Reducir el riesgo por modificar las actividades, procesos, equipo o materiales;
c) Aislar o separar el riesgo de los activos (humanos y físicos);
d) Controles de ingeniería para detectar, frenar y retrasar una amenaza potencial;
e) Controles administrativos, tales como prácticas o procedimientos laborales que reduzcan el riesgo; y
f) Protección del activo, si el riesgo no se puede eliminar o reducir.
F.3 Procedimientos de Respuesta

El propósito de un procedimiento de respuesta es de definir las medidas iniciales a ser tomadas por la
organización en respuesta a un evento perturbador.
113

Los procedimientos de respuesta deben describir cómo responderá la organización a uno o más tipos de eventos
perturbadores. Las organizaciones podrían escoger tener un solo procedimiento con secciones y/o anexos
tratando con diferentes tipos de incidentes. Como alternativa, se podría escribir procedimientos separados para
cada tipo de incidente.
Algunos procedimientos de respuesta podrían ser implementados con antelación del evento perturbador; por
ejemplo, a la espera de un daño de un cercano ciclón tropical, incendio forestal o ataque malicioso sobre la
organización o un socio de la cadena de suministro. En estas circunstancias, se le dará énfasis a proteger y/o
remover los activos prioritarios y de comunicar sobre riesgo del daño al personal, organizaciones externas y a las
autoridades.
b) Los activos a proteger del evento perturbador;
c) Actividades prioritarias a mantenerse durante el evento perturbador;
d) Medidas para limitar la forma y extensión del daño ambiental causado por el evento perturbador;
e) Situaciones/condiciones en las cuales cada procedimiento será implementado;
f) Criterio que determinará si el evento perturbador se clasificará como incidente, accidente, emergencia,
crisis y/o un desastre;
g) Criterio que indicará el final de la fase de respuesta;
h) Roles y responsabilidades de los individuos y grupos requeridos para implementar el procedimiento;
i) La estructura organizacional que se utilizará, incluyendo el establecimiento de un centro de comando de

incidentes y enlaces con agencias externas como los servicios de emergencia y los cuerpos de salud y
seguridad ocupacional;
j) Procedimientos de comunicación dentro de la organización hacia los principales partes interesadas

externos, incluyendo los socios de la cadena de suministro, los servicios de emergencia, autoridades
locales y los medios; y
k) Detalles de contacto de todos los individuos responsables de implementar el procedimiento y otros que
necesiten ser notificados que el procedimiento está siendo o ha sido implementado.
NOTA: A veces se le refiere a los procedimientos de respuesta como procedimientos de respuesta de

emergencia.
114

F.4 Procedimientos de Continuidad
El propósito de un procedimiento de continuidad es de definir las medidas a ser tomadas por la organización para
mantener y/o re-establecer las actividades prioritarias de la organización y sus socios de la cadena de suministro.
Los procedimientos de continuidad deben describir cómo mantendrá y/o re-establecerá la organización las
actividades críticas en un periodo inmediato después de la fase de respuesta/emergencia. Las organizaciones
podrían escoger tener un solo procedimiento con secciones y/o anexos tratando con diferentes tipos de
incidentes. Como alternativa, se podría escribir procedimientos separados para cada tipo de incidente.
b) Activos prioritarios a ser protegidos durante e inmediatamente después del evento perturbador;
c) Actividades prioritarias a mantenerse durante e inmediatamente después del evento perturbador;
d) Actividades a restaurar como prioridad después del evento perturbador;
e) Medidas para limitar la forma y extensión del daño ambiental causado por el evento perturbador;
f) Situaciones/condiciones en las cuales cada procedimiento de continuidad será implementado;
g) Criterio que indicará el final de la fase de continuidad;
h) La estructura organizacional a utilizarse incluyendo enlaces con agencias externas tales como servicios
de emergencia y cuerpos de salud y seguridad ocupacional;
i) Roles y responsabilidades de los individuos y grupos requeridos para implementar el procedimiento;
j) Procedimientos de comunicación dentro de la organización, para las partes interesadas externos

principales incluyendo los socios de la cadena de suministro, servicios de emergencia, autoridades
locales, ajustadores/compañías de seguros y los medios; y
k) Detalles de contacto de todos los individuos responsables de implementar el procedimiento y otros que
requieran ser notificados que el procedimiento está siendo implementado.
NOTA: Los procedimientos de continuidad podrían ejecutar conjuntamente con los procedimientos de respuesta
y recuperación.
F.5 Procedimientos de Recuperación

El propósito del procedimiento de recuperación es de definir las medidas a tomarse por la organización para
recuperarse de un evento perturbador y así asegurar que será posible lograr sus objetivos estratégicos y
operacionales.
115

Los procedimientos de recuperación deben describir cómo re-establecerá la organización todas las actividades
operacionales y de soporte necesarias, reemplazará los activos e información dañados y/o destruidos,
reconstruirá la marca y reputación de la organización y asistirá al personal para recuperarse del evento. Las
organizaciones podrían escoger tener un solo procedimiento con secciones y/o anexos tratando con diferentes
tipos de incidentes. Como alternativa, se podría escribir procedimientos separados para cada tipo de incidente.
a) Propósito y alcance del procedimiento;
b) Actividades operacionales y de soporte a ser re-establecidas y/o restauradas y la prioridad para dicha
restauración;
c) Activos incluyendo propiedad, equipo, información, vehículos y tiendas a ser reparadas y/o
reemplazadas y la prioridad para dicha reparación y reemplazo;
d) Asistencia al personal afectado por el evento perturbador, ya sea física o psicológica;
e) Acciones a tomarse para reconstruir la marca y reputación de la organización;
f) Acciones a tomarse para mitigar cualquier daño ambiental;
g) Situaciones/condiciones en las que cada procedimiento de recuperación será implementado;
h) Criterio que indicará el final de la fase de recuperación;
i) Roles y responsabilidades de los individuos y grupos que requerirán implementar el procedimiento.

Podría ser necesario modificar los procedimientos normales de adquisición para restaurar rápidamente
las actividades y activos de la organización;
j) La estructura organizacional a utilizarse incluyendo enlaces con agencias externas tales como cuerpos de
salud y seguridad ocupacional y ajustadores/compañías de seguros; y
k) Procedimientos de comunicación dentro de la organización, para las partes interesadas externos

principales incluyendo los socios de la cadena de suministro, los servicios de emergencia, autoridades
locales y los medios.
NOTA 1: Los procedimientos de recuperación podrían ejecutar conjuntamente con los procedimientos de
continuidad.
NOTA 2: A veces se le refiere a los procedimientos de recuperación como procedimientos de recuperación y

restauración.
116

PLAN DE TRATAMIENTO DE PREVENCIÓN Y MITIGACIÓN

Función / Actividad:
Riesgo: Número de Referencia del Riesgo:

Procedimiento de Mitigación
El Propósito y Alcance del

Procedimiento
Los Activos a Proteger
Objetivos y Medidas de
Éxito
Pasos de Implementación
y Frecuencia
Roles, Responsabilidades
y Autoridades
Requisitos de
Comunicación
Interdependencias e
Interacciones Internas y
Externas
Requisitos de Recursos,
Competencia y
Entrenamiento
Flujo de Información y
Documentación
Recibido por: Fecha: Revisado / Aprobado por: Fecha:
117

PLAN DE TRATAMIENTO DE RESPUESTA

Procedimiento de Respuesta Dueño

El Propósito y Alcance
Los Activos prioritarios a

Proteger
Actividades Prioritarias a
Mantener
Medidas para Limitar el

Daño
Situación /Condición en la
Cual el Plan Será
Implementado
Criterio para Clasificar un

Evento
Criterio para Indicar el

Final del Plan de
Respuesta
Roles y Responsabilidades
de los Individuos y
Grupos
118

PLAN DE TRATAMIENTO DE RESPUESTA
Estructura de la
Organización a Utilizar,
Incluyendo Mando de
Incidentes y Enlaces
Externos
Detalles de Contacto de
Todos los Individuos
119

PLAN DE TRATAMIENTO DE CONTINUIDAD

Procedimiento de Continuidad Dueño

El Propósito y Alcance
Los Activos prioritarios a

Proteger
Actividades Prioritarias a
Mantener
Actividades a Restaurar
como Prioridad Después
de un Evento
Medidas para Limitar los

Daños Causados por el
Evento
Situación /Condiciones en
la Cual el Plan Será
Implementado
Criterio para Indicar el

Final del Plan de
Continuidad
Roles y Responsabilidades
de los Individuos y
Grupos
120

PLAN DE TRATAMIENTO DE CONTINUIDAD
Estructura de la
Organización a Utilizar,
Incluyendo Mando de
Incidentes y Enlaces
Externos
Procedimientos de
Comunicación Dentro de
la Organización
Detalles de Contacto de
Todos los Individuos
121

Anexo G
(informativo)
G ANÁLISIS DE IMPACTO EN EL NEGOCIO
La eliminación de todos los riesgos no es posible. La evaluación de riesgos proporciona un análisis detallado de
los niveles de riesgo y los métodos de tratamiento requeridos para llevar al riesgo a un nivel tan bajo como sea
razonablemente práctico. Los costos y beneficios de tratar un riesgo y el potencial de explotar las oportunidades,
afectará la determinación de cuál método de tratamiento llevará al riesgo a un nivel tan bajo como sea
razonablemente práctico. Los riesgos residuales necesitan mayor consideración para desarrollar planes de
contingencia.
Un Análisis de Impacto en el Negocio (BIA por sus siglas en inglés), proporciona un enfoque estructurado para
obtener información sobre las actividades, funciones y procesos críticos de la organización y los recursos
asociados necesarios para la organización para mitigar los impactos de eventos indeseables y perturbadores. El
BIA:
a) Evalúa actividades, funciones y procesos críticos y su rol en el logro de los objetivos organizacionales;
b) Determina las actividades, funciones y procesos más críticos y los recursos (activos) que se requieren
para lograr el resultado deseado;
c) Prioriza las actividades, funciones y procesos más críticos que deben ser operacionales para mantener un
nivel aceptable de funcionalidad comercial durante e inmediatamente después de una interrupción
comercial inaceptable; y
d) Determina los márgenes de tiempo y requisitos de recursos para mantener las actividades, funciones y
procesos críticos después de un evento de riesgo para restaurar la operación al nivel requerido para
cumplir con los objetivos organizacionales.
La organización podría llevar a cabo un BIA sobre actividades, funciones y procesos críticos relacionados con su
riesgo residual y desarrollar planes de contingencia. El propósito del BIA debe ser para determinar:
a) Criticidad – Se identifica cada función crítica del negocio (con sus dependencias e interdependencias
relacionadas) y se determina el impacto de un evento indeseable y perturbador.
b) Máxima Inactividad – Se estima el máximo de inactividad que se pueda tolerar mientras aún se
mantenga la viabilidad. La gerencia debe determinar el periodo de tiempo más largo en que un proceso
crítico pueda ser interrumpido antes de que la recuperación se vuelva improbable.
c) Requisitos de Recursos – Los esfuerzos para recuperación realista requieren de una evaluación detallada
de los recursos requeridos para reanudar las operaciones críticas y las interdependencias relacionadas tan
pronto como sea posible.
122

Los objetivos de márgenes de tiempo y de recuperación normalmente se definen en términos de:
• Interrupción Máxima Permisible: Representa el periodo de tiempo máximo que una organización puede
tolerar la pérdida de la capacidad de una función, proceso o bien crítico del negocio.
• Objetivo de Tiempo de Recuperación: Periodo de tiempo, generalmente definido en horas o días, en el

que las actividades de recursos del negocio deben recuperarse a una capacidad aceptable después de un
evento perturbador.
• Objetivo de Punto de Recuperación: Punto en el tiempo en el cual los productos, actividades

organizacionales o datos en un estado conocido, válido o integral se puedan restaurar. Generalmente
visto como la cantidad máxima de pérdida tolerable y se define en horas o días.
El resultado de un análisis de impacto en el negocio generalmente incluye:
a) Objetivos de tiempo de recuperación y la justificación correspondiente
b) Objetivos de punto de recuperación y la justificación correspondiente
c) Capacidad de recuperación o desempeño en el objetivo de tiempo de recuperación
d) Margen de tiempo cuando la organización requiere una capacidad operacional del 100%
e) Priorización de recuperación de recursos
f) Contenido para la respuesta y estrategias de recuperación
g) Periodos aceptables de reinicio del producto/servicio por la interrupción, si son necesarios
Existen muchas metodologías para llevar a cabo el BIA. La metodología debe adaptarse a las necesidades de la
toma de decisiones de la organización y el logro de los objetivos organizacionales. Las tres siguientes figuras
representan un enfoque generalizado de la realización de un análisis de impacto en el negocio.
123

• Identificar y determinar la criticidad (prioridad) de los activos,

actividades y función para el logro de los objetivos y el impacto
Confirmar los activos,
actividades y funciones
críticas
de un evento de riesgo
• Estimar el máximo tiempo de paro que la organización puede

tolerar mientras que aún se mantenga viable – habilitándola a
Identificar resultados y
tiempos de recuperación establecer los objetivos de tiempo de recuperación.
• Evaluar el requerimiento de recursos, actividad e

interdependencias externas para reanudar la operación dentro
Identificar
interdependencias y de la escala de tiempo de recuperación identificada.
recursos
• Proporcionar parámetros para la selección de estrategias de

control de riesgo apropiadas que puedan satisfacer la escala de
Determinar
estrategias tiempo de recuperación identificada.
Figura 16: Análisis de Impacto en el Negocio (BIA por sus siglas en inglés)
124

Determina las
Determina el Determina las
Operaciones Interdependencias
Alcance del BIA
Críticas
Determina el Determina los

Determina las
Resultado y los Impactos
Medidas de
Tiempos de (Tangibles e
Control Existentes
Recuperación Intangibles)
Determina los Establece Desarrollar Planes

Objetivos de de Respuesta,
Requisitos de
Continuidad y Continuidad y de
Recursos Restauración Recuperación
Figura 17: Ejemplo de Metodología BIA
Revisar la Evaluar la información

Realizar la recolectada para cada
documentación del producto y servicio para
recolección de identificar los impactos
proceso, actividad y
recursos existente
datos potenciales y sus respectivos
eventos perturbadores
Asignar un OTR y OPR Evaluar el impacto

potencial de una Evaluar las
basado en la dirección
interrupción sobre los dependencias de
de la perturbación empleados y consumidores, actividad y recurso para
específica del propiedad y operaciones priorizar la recuperación
producto/servicio del negocio;
Evaluar los recursos Presentar las Preparar otra

internos y externos recomendaciones de
objetivo de recuperación y información para el
disponibles para la justificación a la gerencia
manejar las
uso en desarrollo
para su valoración y
interrupciones determinación estratégica estratégico
Figura 18: Ejemplo del Proceso BIA
125

Anexo H
(informativo)
H BIBLIOGRAFÍA
H.1 Publicaciones de ASIS International

ANSI/ASIS SPC.1-2009, Resiliencia Organizacional: Seguridad, Preparación y Sistemas de Administración
Continua – Requisitos con Guía de Uso
H.2 Publicaciones de Estándares ISO

Guía ISO 72:2001, Lineamientos para la justificación y desarrollo de estándares del sistema de gestión
Guía ISO 73:2009, Administración de Riesgo – Vocabulario
ISO 9000:2009, Sistemas de calidad administrativa – Fundamentos y vocabulario
ISO/IEC 13335-1:2004, Información tecnológica – Técnicas de Seguridad – Administración de seguridad de la

información y comunicaciones tecnológicas – Parte 1: Conceptos y modelos para la administración de
seguridad de la información y comunicaciones tecnológicas
ISO 19011:2011, Lineamientos para la calidad y/o auditorias de sistemas de administración ambiental
ISO 31000:2009, Administración de Riesgo – Principios y lineamientos
ISO/IEC 31010:2009, Administración de Riesgo – Técnicas de evaluación de riesgos
126

Estandar-Evaluacion de Riesgos

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Estandar-Evaluacion de Riesgos

Încărcat de

Drepturi de autor:

Formate disponibile

ANSI

/ ASIS / RIMS RA.1-2015

Estándar Nacional Americano

Aprobado Agosto 3, 2015

ASIS International and Risk and Insurance Management Society, Inc.

Miembros del Comité:

Kaleen Ahmed, Independiente

Miembros del Grupo Laboral

Shayne Bates, CPP, LMC Consulting Group

Esta página se dejó intencionalmente en blanco.

2 REFERENCIAS NORMATIVAS ....................................................................................... 1

3 TÉRMINOS Y DEFINICIONES ........................................................................................ 2

5 ADMINISTRANDO UN PROGRAMA DE EVALUACIÓN DE RIESGOS .................... 11

6 EJECUTANDO EVALUACIONES DE RIESGO INDIVIDUALES .............................. 44

7 CONFIRMANDO LAS COMPETENCIAES DE LOS ASESORES DE RIESGO ........... 90

A MÉTODOS DE EVALUACIÓN DE RIESGOS, RECOPILACIÓN DE DATOS Y

B ANÁLISIS DE CAUSA RAÍZ ...................................................................................... 102

C VERIFICACIÓN DE ANTECEDENTES Y ACREDITACIÓN DE SEGURIDAD ........................... 106

D CONTENIDO DEL REPORTE DE EVALUACIÓN DE RIESGOS ........................................... 109

E CONFIDENCIALIDAD Y PROTECCIÓN DE DOCUMENTOS................................................ 111

F EJEMPLOS DE PROCEDIMIENTOS DE TRATAMIENTO DE RIESGO QUE AUMENTAN LA

G ANÁLISIS DE IMPACTO EN EL NEGOCIO .................................................................... 122

H BIBLIOGRAFÍA ...................................................................................................... 126

Identificar Controles Existentes

Comparar el Criterio – Asignar Prioridades

Figura 1: Proceso de Administración de Riesgos (Basado en el ISO 31000)

0.2 Definición de Evaluación de Riesgos

0.3 Análisis Cualitativo y Cuantitativo

0.3.1 Análisis Cualitativo

0.3.2 Análisis Cuantitativo

El análisis cuantitativo utiliza comparaciones numéricas para describir probabilidades y consecuencias

0.4 Administrando Evaluaciones Organizacionales y los Riesgos

0.5 Ciclo Planificar-Hacer-Verificar-Actuar

Figura 2: Ciclo Planificar-Hacer-Verificar-Actuar

El ciclo PDCA es un enfoque documentado, claro y sistemático para:

a) ISO 31000:2009, Administración de Riesgos - Principios y lineamientos;

3.9 consecuencia Consecuencia o efecto de una acción, condición o decisión al lograr

3.35 resiliencia Capacidad de adaptación de una organización en un ambiente complejo y

3.52 tratamiento de riesgo Proceso de selección e implementación de medidas para modificar el

3.56 análisis de amenazas Proceso de identificación y cuantificación de la causa potencial de un

4.2 Imparcialidad, Independencia y Objetividad

4.3 Confianza, Competencia y la Debida Atención Profesional

4.5 Responsabilidad y Autoridad

4.6 Enfoque consultivo

4.7 Enfoque basado en los Evidencias

4.9 Gestión del Cambio

4.10 Mejora Continua

5 ADMINISTRANDO UN PROGRAMA DE EVALUACIÓN DE

El programa de evaluación de riesgos debe definir:

a) Objetivos y propósito de la evaluación de riesgos;

b) Alcance, actividades, áreas y ubicaciones cubiertas por la evaluación de riesgos;

c) Duración, cantidad, horario y frecuencia de la evaluación de riesgos;

d) Responsabilidades y autoridades asociadas con la administración y manejo de las evaluaciones de riesgo;

e) Criterio de evaluación de riesgo (estándares, políticas, métricas de evaluación y otros criterios);

f) Aptitud del asesor y selección de equipos;

g) Asuntos de administración de negocios relacionados con el criterio de la evaluación de riesgos y la

h) Recursos (humanos, de tiempo y horario, financieros, tecnológicos, equipo, viaje, etc.);

i) Asuntos de confidencialidad, seguridad y protección;

j) Métodos de cómo se llevará a cabo la evaluación de riesgos;

k) Comunicación de los hallazgos de la evaluación de riesgos;

l) Monitoreo de actividades de la evaluación de riesgos;

m) Documentación, registros y procedimientos de documentación; y

n) Valoración de la evaluación de riesgos y mejora continua.