ADMINISTRACION DEL RIESGO

ESTANDAR AS/NZ 4360:1999

1. Alcance, aplicación y definiciones.

1.1. Alcance.

Este estándar provee una guía general para el establecimiento y la implantación de

procesos de administración del riesgo, que dentro de su contexto involucran
identificación, análisis, evaluación, tratamiento, comunicación y monitoreo sobre el
terreno de los riesgos.

1.2 Aplicación.

La administración del riesgo es reconocida como práctica integral de una buena

gerencia. Se trata de un proceso interactivo que contiene pasos, que corresponden a
una secuencia de desarrollo continuo, capacitación e implantación de toma de
decisiones.

Administración del riesgo es un término aplicado a un método lógico y sistemático que

establece el contexto, identificación, análisis, evaluación, tratamiento, monitoreo y
comunicación sobre los riesgos asociados con una determinada actividad, función o
proceso, con el fin de capacitar a las organizaciones para minimizar sus pérdidas y
maximizar sus ventajas. Administración del riesgo es algo como identificar
oportunidades y reducir pérdidas.

Este estándar puede ser aplicado a la totalidad de escenarios en el ciclo de vida de

una actividad, funciones, proyectos, productos o ventajas El mayor beneficio es
generalmente obtenido por los procesos de administración del riesgo en sus
comienzos. Frecuentemente un número de diferentes estudios están fuera de curso
sobre diferentes escenarios de un proyecto.

NOTA: Este estándar puede ser aplicado a un amplio rango de actividades u

operaciones bien del sector público o del sector privado, en empresas comunitarias o
grupos. Ejemplos están dados en el apéndice A.

1.3 Definiciones.

Para el propósito de estándar se aplican las siguientes definiciones.

1.3.1 Consecuencia

El resultado de un evento expresado en forma cualitativa o cuantitativa, que

genera pérdida, daño, desventaja o ganancia. Estos pueden ser un rango de
posibles resultados asociados con el evento.

1.3.2 Costo
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

De una actividad, tanto directos como indirectos, involucran un impacto negativo,

esto se refiere a dinero, tiempo, trabajo, desorganización, renombre, políticas y
pérdidas intangibles.

1.3.3 Evento

Un incidente o suceso, el cual ocurre en un determinado lugar durante un

determinado intervalo de tiempo.

1.3.4 Árbol de análisis de causas.

Es una técnica que describe en forma ordenada y secuencial los resultados que
pueden originarse de un suceso inicial.

1.3.5 Método de error y análisis de efectos (FMEA)

Es un procedimiento mediante el cual los errores en un sistema técnico son

analizados.
El FMEA puede ser entendido como una manera de identificar los errores, efectos
y análisis crítico (FMECA) En este sistema cada falla identificada es clasificada
según su posibilidad de ocurrencia y la gravedad de sus consecuencias.

1.3.6 Árbol de análisis de fallas

Es un método de ingeniería de sistemas que representa la combinación lógica de

varios estados sistematizados y posibles causas que pueden contribuir a un hecho
específico. (Busca el evento mayor).

1.3.7 Frecuencia

Es una medida sobre el porcentaje de ocurrencia de un evento expresado en

número de ocurrencias o veces que se da un evento. Ver también posibilidad y
probabilidad.

1.3.8 Causa/Amenaza

El origen de un daño potencial o una situación que potencialmente cause pérdidas.

1.3.9 Posibilidad

Se usa como una descripción cualitativa de la probabilidad o la frecuencia.

1.3.10 Pérdida

Una consecuencia negativa, financiera o de cualquier otra índole.

1.3.11 Monitoreo

Para el chequeo, supervisión, observación crítica o el registro del desarrollo de una

actividad, acción o sistema sobre una base regular en orden a identificar cambios.

Página 2/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

1.3.12 Organización

Una compañía, firma, empresa o asociación, o entidad de tipo legal o de cualquier

índole, esto es incorporada o no al sector público o privado, que tiene su propia
función y administración.

1.3.13 Probabilidad

La posibilidad que un evento específico o resultado se dé, medido por el

porcentaje de eventos específicos o resultados dentro de un número total de
posibles eventos. Probabilidad expresada entre los números 0 y 1, en donde cero
indica que es imposible que el hecho ocurra y 1 indica que el evento es cierto, que
se va a dar.

1.3.14 Riesgo residual

Se refiere al margen o residuo de riesgo que puede darse a pesar de las medidas
(controles) tomadas para el manejo del riesgo.

1.3.15 Riesgo

La posibilidad que algo suceda y que tenga un impacto sobre los objetivos. Esto
está medido en términos de consecuencias y posibilidad de ocurrencia.

1.3.16 Aceptación del riesgo

Es la decisión informada de aceptar las consecuencias y la posibilidad de un

riesgo en particular.

1.3.17 Análisis del riesgo

El uso sistemático de evaluar la información para determinar con qué frecuencia

un determinado evento puede ocurrir y la magnitud de sus consecuencias.

1.3.18 Valoración del riesgo.

El conjunto de procesos para analizar el riesgo y evaluar su riesgo, ver Figura

3.1.

1.3.19 Evitar el riesgo.

Decisión informada de no involucrarse en una situación de riesgo.

1.3.20 Control

Se refiere a la parte de la administración de riesgo, que involucra la implantación

de políticas, estándar, procedimientos y cambios físicos para eliminar o minimizar
los riesgos adversos.

1.3.21 Ingeniería de riesgos

Página 3/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

Es la aplicación de principios de ingeniería y métodos para la administración del

riesgo.

1.3.22 Evaluación del riesgo

Los procesos utilizados para determinar prioridades en la administración del riesgo

por la comparación de niveles de riesgo frente a estándares determinados, niveles
objeto del riesgo u aplicación de otro criterio.

1.3.23 Financiando el riesgo

Los métodos aplicados para fondear el manejo del riesgo y las consecuencias
financieras del riesgo.
NOTA: En algunas industrias riesgo financiero solamente hace relación a las
consecuencias económicas del riesgo.

1.3.24 Identificación del riesgo.

Proceso para determinar que está sucediendo, por qué y cómo.

1.3.25 Administración del riesgo

La cultura, los procesos y las estructuras que están dirigidas hacia una efectiva
administración de oportunidades potenciales y efectos adversos.

1.3.26 Procesos de administración del riesgo

La aplicación sistemática de políticas de administración, procedimientos y práctica

para las actividades de establecer el contexto, identificarlo, analizarlo, evaluarlo,
tratarlo, monitorearlo y comunicarlo el riesgo.

1.3.27 Reducción del riesgo

La aplicación selectiva de técnicas apropiadas y principios gerenciales para reducir

cada posibilidad de ocurrencia de un evento o de sus consecuencias o de ambos.

1.3.28 Conservación (retención) del riesgo

Intencionalmente o no conservar la responsabilidad por pérdidas o carga financiera

por pérdidas al interior de la empresa.

1.3.29 Transferir el riesgo

Transferir total o parcialmente la responsabilidad o el peso de la pérdida a otro

lugar a través de legislación. Contratos u otra forma de seguro. Transferir el riesgo
puede también hacer referencia a mover físicamente el riesgo o parte del mismo a
otro sitio.

1.3.30 Tratamiento del riesgo (Administración del riesgo)

Página 4/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

Seleccionar e implantar las opciones apropiadas para tratar con el riesgo.

1.3.31 Análisis de sensibilidad

Examinar cómo los resultados del cálculo de un modelo varían cuando los
supuestos individuales son modificados.

1.3.32 Stakeholders (Objetos del riesgo, los que toman el riesgo)

Son las personas y las organizaciones quienes pueden ser afectadas, son
afectadas por, o perciben que ellos mismos pueden ser afectados por una decisión
o actividad.

Nota: El término stakeholder está incluido en la parte correspondiente definida en

ISO 14050:1998 y en ISO 14004:1996.

2 REQUERIMIENTOS PARA LA ADMINISTRACIÓN DEL RIESGO

2.1 Propósito

El propósito de esta sección es describir el proceso formal para establecer un

sistemático programa de administración del riesgo.

El desarrollo de una política organizacional de administración del riesgo y

mecanismos de soporte es necesario para proveer una estructura que lleve
acabo un programa detallado de administración del riesgo a los niveles de la
organización.

2.2 Política de administración del riesgo.

Los ejecutivos de la compañía deben definir y documentar las políticas de

administración del riesgo, incluyendo sus objetivos, y su compromiso para ello. La
política de administración del riesgo debe ser una estrategia relevante dentro del
contexto de metas de la empresa, un objetivo y la naturaleza del negocio. La alta
gerencia debe asegurarse que esta política es entendida, implantada y mantenida
por todos los niveles de la organización.

2.3 Planeación y Recursos.

2.3.1 Compromiso de la Gerencia

La organización debe asegurar que:

Página 5/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

a) El sistema de administración del riesgo se establece, implanta y mantiene

de acuerdo con estos estándares; y
b) El desempeño del sistema de administración del riesgo es reportada a la
gerencia de la organización para su revisión y como base de su desarrollo.

2.3.2 Responsabilidad y autoridad

La responsabilidad, autoridad y las interrelaciones del personal que ejecuta y

verifica el manejo del riesgo debe estar definido y documentado, especialmente
para aquellas personas que necesitan autonomía y autoridad para atender uno o
más de los siguientes asuntos:

a) Iniciar acción para prevenir o reducir los efectos negativos del riesgo;
b) Tratamiento futuro de los controles sobre el riesgo, hasta que este se
considere aceptable.
c) Identificar y registrar cualquier problema relacionado con el tratamiento del
riesgo.
d) Iniciar, recomendar o proveer soluciones a través de los canales
designados;
e) Verificar la implantación de soluciones; y
f) Comunicar y efectuar consultas tanto internas como externas cuando esto
sea apropiado.

2.3.3 Recursos

La organización debe identificar y proveer los recursos adecuados, incluyendo la

asignación de personal calificado para el manejo, atención del trabajo, y
verificación de las actividades que incluyen revisión interna.

2.4 Programa de implantación

Se requiere un número de pasos para la implementación de un sistema efectivo de

administración del riesgo dentro de la organización. Se muestran unos ejemplos en
el apéndice B(No está dentro de las fotocopias). Depende de administración del
riesgo en conjunto, de la filosofía global, su cultura y estructura, requerirá de
combinar u omitir ciertos pasos. No obstante, todos los pasos deberán ser
considerados.

2.5 Revisión gerencial

Los ejecutivos de la organización deberán asegurar que una revisión del sistema
de administración del riesgo se lleva a cabo en específicos intervalos de tiempo,
suficientes para asegurar que este continua siendo conveniente y efectivo y
satisface los requerimientos de estos estándares, y las políticas y objetivos
establecidos de la empresa. (Ver cláusula 2.2.). Se deben dejar registros de cada
una de estas revisiones.

3. VISION GENERAL DE LA ADMINISTRACION DEL RIESGO

Página 6/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

3.1 General

La administración del riesgo hace parte integral de los procesos gerenciales. La

administración del riesgo es un proceso multifacético, sus aspectos para ser bien
atendidos requieren la conformación de un equipo multidisciplinario. Es un proceso
interactivo en continuo desarrollo.

3.2 Elementos principales.

Los elementos principales que conforman el proceso de administración del riesgo,

que se muestran en la figura 3.1, son los siguientes:

a) Establecer el Contexto

Establecimiento de la estrategia, la administración del riesgo organizacional

dentro de la cual el resto de procesos tienen lugar. Debe establecerse el
criterio contra el cual el riesgo debe ser evaluado y definir la estructura del
análisis.

b) Identificación del riesgo

Identificar que, como y porqué se pueden originar hechos como base para
posterior análisis.

c) Análisis de los riesgos

Determinar la existencia de controles y analizar los riesgos en términos de

consecuencia y probabilidad en el contexto de dichos controles. En el
análisis se debe considerar el grado de la potencial consecuencia y que
tan probable es que tal consecuencia se dé. Consecuencia y probabilidad
deben ser combinados para lograr un estimado del nivel del riesgo.

d) Evaluación del riesgo

Comparar el nivel estimado del riesgo contra un criterio preestablecido.

Estos riesgos permitidos deben ser clasificados así como también se
identifican las prioridades de la gerencia. Si el nivel establecido del riesgo
es bajo, entonces el riesgo se puede considerar dentro de una categoría
aceptable y tratarlo puede ser no necesario.

e) Tratamiento del riesgo

Aceptar y monitorear los riesgos de bajas prioridades. Para otros riesgos,

desarrollar e implantar un plan específico de administración el cual
involucra consideraciones sobre la inversión requerida.

f) Monitoreo y revisión

Monitorear y revisar la aplicación del sistema de administración del riesgo y

los cambios que pueden de manera considerable afectarlo.

Página 7/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

g) Comunicación y consulta.

Comunicarse y consultar tanto con los stakeholder internos como externos

lo apropiado de los procesos de administración del riesgo en cada
escenario, y lo concernientes a estos procesos como un todo.

La administración del riesgo puede ser aplicada en los diferentes niveles en la

organización. Esta puede ser aplicada tanto en el nivel estratégico como en el nivel
operacional. Puede ser aplicada a proyectos específicos, para asesorar en la toma
de decisiones sobre determinadas áreas de riesgo.

La administración del riesgo es un proceso interactivo que contribuye al

desarrollo organizacional. Con cada ciclo, los criterios de riesgo pueden ser
fortalecidos para lograr progresivamente un mejor nivel de administración
del riesgo.

Para cada escenario deben mantenerse registros adecuados, suficientes para

satisfacer una auditoría independiente.

Establecer el contexto
Comunicar y consultar

Identificar riesgos
Monitoreo y revisión

Analizar riesgos

Evaluar riesgos

Tratar los riesgos

Figura 3.1 Vista general de la Administración del riesgo

4. Procesos de la Administración del Riesgo

4.1 Establecer el contexto.

Los detalles sobre los procesos de la Administración del riesgo se muestran en la

figura 4.1. Los procesos se suceden dentro de la estructura de la estrategia de la
organización, organizacional y contexto de administración del riesgo. Estas
necesidades deben ser establecidas para definir los parámetros dentro de los
cuales los riesgos deben ser administrados y para proveer lineamientos para tomar
decisiones dentro de los estudios de administración del riesgo mas detallados.
Esto fija el ámbito para el resto de procesos de administración del riesgo.

Página 8/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

4.1.2 Establecimiento del contexto estratégico

Define las relaciones entre la organización y su medio ambiente,

identificando las fortalezas, debilidades, oportunidades y comportamiento
de la organización. Este contexto incluye los aspectos financieros,
operativos, competitivos, políticas (percepción imagen ante el público),
sociedad, clientes, cultura y aspectos legales del funcionamiento de la
organización.

Identificar a los stakeholder internos y externos, considerar sus objetivos,

tener en cuenta sus percepciones u establecer unas políticas de
comunicación con estas partes.

Nota: El apéndice C contiene una lista de estos potenciales stakeholder.

Este paso esta enfocado al medio ambiente de las operaciones de la

organización. Las empresas deben buscar los elementos cruciales y
determinantes que soportan o afectan estas habilidades para manejar las
etapas del riesgo.

El análisis estratégico de ser atendido. Esta labor debe ser asignada a

ejecutivos de nivel, fijar los parámetros básicos y suministrar la asesoría
mas detallada en los procesos de manejo del riesgo. Aquí se debe cerrar
la relación entre la misión o los objetivos estratégicos de la organización y
el manejo de los riesgos a los cuales está expuesta.

4.1.3 Establecimiento del contexto organizacional.

Antes de comenzar el estudio del manejo del riesgo, es necesario entender

la organización y sus capacidades, así como también sus metas y objetivos
y las estrategias que tiene para lograrlos.

Es importante por las siguientes razones:

a) El manejo del riesgo esta ubicado dentro del contexto completo de

las metas, objetivos y estrategias de la organización.
b) Fallas que afectan los objetivos de la organización o una actividad
específica, un proyecto que ha sido considerado es una situación de
riesgo que debe ser manejada.
c) La política organizacional y metas ayudan a definir el criterio con el
cual se decide que riesgo es aceptable o no y forma las bases de
opciones para tratarlo.

4.1.4 Establecimiento de contexto de la administración del riesgo.

Deben establecerse las metas, objetivos, estrategias, ámbito y parámetros

de una actividad, o parte de la organización que aplica procesos de
administración del riesgo. Los procesos deben corresponder
completamente a las necesidades del balance de costos, utilidades y

Página 9/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

oportunidades. Los recursos requeridos y los registros que deben

mantenerse también deben ser especificados.

Determinar el ámbito y los límites en los cuales se aplican los procesos

para el manejo del riesgo incluye:

a) Definir el proyecto o actividad y establecer sus metas y objetivos.

b) Definir el alcance del proyecto el tiempo asociado y su ubicación.
c) Identificar los estudios necesarios y su alcance, objetivos y recursos
requeridos. Las fuentes genéricas del riesgo y las áreas de impacto
puede servir de guía para esto.
Nota: Para ver fuentes genéricos del riesgo y las áreas de impacto,
referirse al Apéndice D.
d) Definir la extensión y comprensión de las actividades de riesgo a ser
manejadas.

Asuntos específicos que deben ser discutidos aquí, incluyen lo

siguiente:

i.) Los roles y responsabilidades de las diferentes partes de la

organización que intervienen en el tratamiento del riesgo.
ii.) Relación entre el proyecto y los demás proyectos o partes de
la organización.

4.1.5 Desarrollo del criterio para la evaluación del riesgo.

En este punto se decide el criterio contra el cual el riesgo debe ser

evaluado. Decisiones concernientes a la aceptación del riesgo y su manejo
pueden estar basadas en aspectos operativos, técnicos, financieros,
legales, sociales, humanos u otro tipo de criterio. Esto frecuentemente
depende de la política interna de la organización, metas, objetivos y el
interés de los stakeholder.

Aunque el criterio de riesgo es desarrollado como parte de establecer el

contexto de administración del riesgo, estos deben a futuro desarrollarse y
en la medida en que los riesgos particulares son identificados y las técnicas
de análisis de riesgo son seleccionados, por ejemplo: el criterio de riesgo
debe corresponder a un tipo de riesgo y la forma con la cual el nivel del
riesgo es expresado.

Página 10/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

Establecer el contexto
• El contexto estratégico
• El contexto organizacional
• El contexto de la administración
del riesgo.
• Desarrollo del criterio
• Decidir la estructura

Identificar el riesgo
• Qué está sucediendo?
• Cómo está sucediendo?

Análisis del riesgo

Determinar la existencia de controles

Determinar Determinar
probabilidad consecuencia
Comunicación y consulta

Estimar nivel del riesgo

Monitoreo y Revisión

Evaluación del riesgo

• Criterio contra el que se compara
• Fijar prioridades de riesgo

Tomar Si
Riesgos

Riesgos Evaluados
No

Tratamiento del riesgo

• Identificar opciones de tratamiento
• Evaluar opciones de tratamiento
• FSeleccionar opción
• Preparar plan de tratamiento
• Implantar plan

Página 11/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

Figura 4.1 Procesos de Administración del riesgo

4.1.6 Definir la estructura

Esto incluye descomponer la actividad o proyecto en sus elementos. Estos

elementos proveen una estructura lógica para ser identificada y analizada
lo que ayuda a asegurar que los riesgos significativos no son ignorados. La
estructura escogida depende de la naturaleza del riesgo y del alcance
del proyecto o actividad.

4.2 Identificación del Riesgo.

4.2.1 General

Este paso busca identificar el riesgo ha ser administrado. Comprender,

identificar y usar un buen sistema estructurado de los procesos es crítico,
porque un riesgo potencial no identificado en este escenario quedará
excluido de análisis futuros. La identificación debe incluir todos los riesgos
estén estos o no bajo el control de la organización.

4.2.2 Qué puede estar sucediendo

El propósito es generar una lista que contenga todos los eventos que
puedan afectar cada elemento de la estructura mencionada en la cláusula
4.1.6. Se considera entonces aquí con mas detalle identificar qué puede
estar sucediendo.

Nota: El apéndice D provee información sobre las fuentes en general de los

riesgos y sus áreas de impacto.

4.2.3 Cómo y por qué puede estar sucediendo

Estamos identificando una lista de eventos, esto es necesario para

considerar las posibles causas y escenarios. Hay varia maneras para que
los eventos puedan iniciarse. Esto es importante para que ninguna causa
no significativas sean omitidas.

4.2.4 Herramientas y técnicas

Aproximaciones usadas para identificar riesgos incluyen listas de chequeo,

juicios basados en la experiencia y registros, flujogramas, ingenio (malicia)
análisis sistemático, análisis del escenario y técnicas de ingeniería de
sistemas.

El acercamiento utilizado dependerá de la naturaleza de la actividad bajo

revisión y de los tipos de riesgo.

Página 12/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

4.3 Análisis del riesgo.

4.3.1 General.

El objetivo del análisis es separar los riesgos menores aceptados de los

riesgos mas representativos, y proveer información para asesorar en la
evaluación y tratamiento del riesgo. El análisis de riesgo involucra la
consideración del origen del riesgo, sus consecuencias y la probabilidad de
que estas consecuencias puedan ocurrir. Factores tales como el efecto de
las consecuencias y la probabilidad de ocurrencia deben ser identificados.
El riesgo es analizado por la mezcla de estimar consecuencia y
probabilidad en el contexto de medición de los controles existentes.

Un Análisis preliminar puede llevarse a cabo en forma similar para

impactos bajos de los riesgos que están excluidos del estudio detallado.
Podrán excluirse riesgos cuando sea posible, deben sin embargo ser
listados para demostrar lo completo del análisis de riesgos.

4.3.2 Determinando los controles existentes.

Identificar el manejo existente, la técnica y el procedimiento utilizado para

controlar el riesgo y evaluar sus fortalezas y debilidades. Herramientas
usadas en 4.2.4 pueden resultar apropiadas, así como enfoques tales
como la inspecciones y técnicas de autoevaluación del control (CSA).

4.3.3 Consecuencia y probabilidad

La magnitud de la consecuencia de un hecho, si puede este ocurrir, y la

probabilidad que el hecho esté asociado a consecuencias, son evaluadas
en el contexto de los controles existentes. Consecuencias y probabilidad
son evaluadas para determinar el nivel del riesgo. Las consecuencias y la
probabilidad pueden ser determinadas mediante análisis estadísticos y
cálculos. Se evalúan alternativamente hechos históricos, estimativos
subjetivos pueden resultar de opiniones individuales o de grupo sobre la
credibilidad de que un posible hecho tenga ocurrencia.

Para evitar bases subjetivas lo mejor es basarse en la información

disponible sus Fuentes y deben utilizarse técnicas de análisis de las
consecuencias y probabilidad. Como fuentes de información pueden
incluirse las siguientes:

a) Registros históricos
b) Experiencias significativas
c) Práctica de la industria y experiencia
d) Literatura publicada relevante
e) Pruebas de mercadeo e investigación de maercados
f) Experimentos y prototipos
g) Economía, ingeniería y otros modelos
h) Opiniones de especialistas y expertos

Página 13/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

Técnicas incluidas

i) Entrevistas estructuradas con expertos en el área de interés

ii) Conformar equipos multidisciplinarios de expertos
iii) Evaluaciones individuales usando cuestionarios
iv) Usar el computador y otros modelos, y
v) Usar árboles de error y árboles de eventos

Cada vez que sea posible, la confianza requerida sobre estimativos de

niveles de riesgo deben ser incluidos.

4.3.4 Tipos de análisis.

El análisis del riesgo corresponderá a diferentes grados de exactitud,

dependiendo de la información del riesgo y la disponibilidad de datos, El
análisis puede ser cualitativo, semi-cuantitativo, cuantitativo o una
combinación de estos, dependiendo de las circunstancias. El orden de
complejidad y el costo de estos análisis irá ascendiendo en este orden.
Cualitativo, semi-cuantitativo y cuantitativo. En la práctica, el análisis
cualitativo es frecuentemente utilizado inicialmente para obtener un
indicador general del nivel del riesgo. Mas tarde se hace necesario un
análisis que corresponda mas a una verificación cuantitativa. En detalle, los
tipos de análisis son los siguientes:

a) Análisis cualitativo

Este análisis utiliza formas descriptivas para presentar la

magnitud de consecuencias potenciales y la posibilidad de
que estas se presenten. Estas escalas pueden ser
adaptadas o ajustadas a las circunstancias, y diferentes
descripciones se pueden usar para diferentes riesgos.

Nota: Las tablas E1 y E2 del apéndice E muestran unos

ejemplos simples de escalas cualitativas o descriptivas por
probabilidad y consecuencias. La tabla E3 es un ejemplo de
una matriz en la cual los riesgos han sido designados según
prioridad y combinando su probabilidad y consecuencias.
Estas tablas deben elaborarse según las necesidades
particulares de cada organización o el concepto particular del
riesgo evaluado.

Análisis cualitativos usados:

1) Como una actividad de preselección inicial para identificar

riesgos que requieren un análisis mas detallado.

2) Cuando el nivel del riesgo no justifica el tiempo y el esfuerzo

requerido para un análisis mas completo.

3) Cuando los datos numéricos disponibles son inadecuados

para un análisis cuantitativo.

Página 14/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

b) Análisis semi-cuantitativo

En este análisis a las escalas cualitativas como las descritas

anteriormente le son asignados valores. Los números u
ordenamiento dado a los niveles de riesgo no soportan no
son tomados de manera exacta frente a la magnitud real,
consecuencias o probabilidad. El ordenamiento admite que
existan posibles cambios dependiendo del sistema de
evaluación utilizado y la forma de asignar el orden a los
mismos. El objetivo es producir una lista mas detallada y
mejorada llevando a cabo un análisis cuantitativo no se
sugiere una evaluación real hasta intentar un análisis
cuantitativo.

Debe tenerse mucho cuidado con este análisis semi-

cuantitativo, por cuanto las cifras escogidas pueden ser
inapropiadas y llevar a errores e inconsistencias. Este
análisis puede no diferenciar apropiadamente entre los
diferentes riesgos particularmente cuando cada
consecuencia o probabilidad es extrema.

Algunas veces es apropiado considerar que la posibilidad

esta compuesta de dos elementos, generalmente referida a
la FRECUENCIA DE EXPOSICIÓN y la PROBABILIDAD.

Frecuencia de exposición es la extensión en la cual una

fuente de riesgo existe y probabilidad ees la operación que
cuando esa fuente de riesgo existe, se den las
consecuencias. Debe tenerse cuidado al realizar este
ejercicio en situaciones en donde la relación entre estos dos
elementos no es completamente independiente por ejemplo
cuando existe una fuerte relación entres frecuencia de
exposición y probabilidad.

Este acercamiento puede ser aplicado en análisis

semicuantitativos y cuantitativos.

c) Análisis Cuantitativo

El análisis cuantitativo utiliza valores numéricos (Porcentaje

que se utilizan en análisis cualitativos, semicuantitativos) en
ambos casos consecuencias y probabilidad se usan datos de
diversos orígenes. (Tal como se describe en los literales a
hasta h del numeral 4.3.3. La calidad del análisis cuantitativo
depende de lo exactas y completas que estén las cifras
utilizadas.

Las consecuencias pueden ser estimadas mediante modelos

con resultados de eventos o grupo de eventos, o por
extrapolación de estudios experimentales o datos históricos.

Página 15/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

Las consecuencias pueden ser presentadas en términos

monetarios, tecnológicos o criterios humanos, o cualquier
otro criterio mencionado en el punto 4.1.5 En algunos casos
mas de un valor numérico es necesario para presentar
consecuencias en diferentes momentos, lugares, grupos o
situaciones.

La posibilidad es generalmente expresada como una

probabilidad, una frecuencia o la combinación de exposición
y probabilidad.

La forma en la cual la posibilidad y consecuencias son

expresadas y las formas por las cuales ellos se combinan
para proveer el nivel de riesgo, puede variar de acuerdo al
tipo de riesgo y del contexto a nivel del riesgo es utilizado.

Nota: Algunos ejemplos de riesgos expresados

cuantitativamente se dan en el Apéndice F.

4.3.5 Análisis de sensibilidad

Así las cosas algunos de los estimativos efectuados en un análisis

cuantitativo son imprecisos, debiéndose efectuar un análisis de
sensibilidad, probando los efectos ante cambios en supuestos o premisas y
datos.

4.4 Evaluación del riesgo

La evaluación del riesgo incluye comparar los niveles de riesgo encontrado

durante los procesos de análisis con los criterios de riesgo previamente
establecidos.
El análisis del riesgo y los criterios contra el cual es comparado en una evaluación
de riesgo debe ser considerado sobre las mismas bases. De esta forma la
evaluación cualitativa involucra comparaciones de niveles cualitativos del riesgo
contra criterios cualitativos y evaluaciones cuantitativas involucra comparaciones
de niveles numéricos contra criterios de riesgo los cuales deben estar expresados
en números específicos, tales como fallas, frecuencia de valores monetarios.

La fuerza de la evaluación del riesgo esta en la lista de priorización de riesgos para

futuras acciones.

El objetivo de la organización y la cantidad de oportunidades pueden resultar de

tomar el riesgo que debía ser considerado.

Las decisiones deberán tomarse tomando en cuenta todo el contexto del riesgo e
incluyendo consideraciones de la tolerabilidad del riesgo soportado por las partes
de la organización y los beneficios que ella pretende.

Si el resultado es tomar un riesgo considerado bajo o el riesgo es aceptado ellos

aceptan que el tratamiento futuro será mínimo. Riesgos bajos y aceptados deben

Página 16/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

ser monitoreados y periódicamente revisados para asegurar que ellos se

mantienen en niveles aceptables,

Si el riesgo no es considerado bajo o no está en la categoría de aceptable ,

deberán usar uno o mas de los tratamientos indicados en el punto 4.5.

4.4 Tratamiento del riesgo

El tratamiento del riesgo implica identificar el rango de opciones para

tratamiento del riesgo, valorando esas opciones, preparando panes de
tratamiento del riesgo e implantándolos.

4.5.1 Identificando opciones para el tratamiento del riesgo

La figura 4.2 ilustra el proceso para el tratamiento del riesgo.

Opciones que no son necesariamente excluyentes o apropiadas
para todas las circunstancias, se incluye lo siguiente.

a) Evitar que el riesgo por una determinación no sea atendido

para un determinado proceso cuando el riesgo es probable
que se presente en tal actividad. (Cuando esto es
practicable).

Puede ocurrir que evitar el riesgo se efectúe de una manera

inapropiada porque exista una actitud de aversión al riesgo,
lo cual esta una tendencia de muchas personas
(frecuentemente por el sistema interno de la organización)
Evitar de manera inadecuada un riesgo puede incrementar la
importancia de otros riesgos.

Aversión al riesgo resulta en:

1) Decisiones de evitar o ignorar riesgos indiferentes por la

información disponible y los costos incurridos en el
tratamiento de dicho riesgo

2) Error en el tratamiento del riesgo

3) Escoger una salida crítica y/o decisiones superiores de

otras partes

4) Aplazar decisiones las cuales la organización no puede

evitar, o

5) Seleccionar una opción porque esta representa una

pérdida potencial indiferente o beneficios.

b) Reducir la probabilidad de la ocurrencia.

Nota: Ejemplos son mostrados en el apéndice G
c) Reducir las consecuencias.
d) Nota: Ejemplos mostrados en el apéndice G

Página 17/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

Evaluar y clasificar el riesgo

Riesgo
aceptable Aceptado

No
Identificar
Opciones
Comunicar y consultar (Numeral 4.7)

Monitoreo y revisión (Numeral 4.6)

tratamiento Reduce Reduce Transfiere total o Evita
Probabilidad consecuencias parcialmente

Considerar viabilidad costos y beneficios

Recomendar estrategias de tratamiento

Valorar
Opciones Seleccionar estrategia de tratamiento
Tratamiento

Preparar
Planes Preparar plan de tratamiento
Tratamiento

Implantar
Planes Reduce Reduce Transfiere total o Evita
Probabilidad consecuencias parcialmente
Tratamiento

Riesgo
aceptable
Residual

e) Transferir el riesgo

Página 18/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

Hace referencia a buscar respaldo y compartir con otro parte

del riesgo. Se utilizan mecanismos tales como contratos,
pólizas de seguros y estructuras organizacionales cuyos
equipos toman el riesgo o parte del mismo.

Se traslada el riesgo a otra parte, o físicamente se traslada a

otro lugar, se reducirá el riesgo para la organización original,
pero puede que no disminuya el nivel total del riesgo para la
sociedad.

Cuando el riesgo es trasladado total o parcialmente, la

organización que transfiere el riesgo adquiere un nuevo
riesgo, esto es que la organización a la cual se ha transferido
el riesgo no lo maneje efectivamente.

f) Mantener el riesgo (Retener)

Luego de que el riesgo ha sido reducido o transferido,

entonces puede quedar un riesgo residual el cual se
mantiene. Se deben elaborar planes para manejar en el lugar
las consecuencias de estos riesgos que pueden ocurrir, esto
incluye identificar el medio de financiamiento del riesgo. Los
riesgos también pueden mantenerse por defecto, por
ejemplo cuando una falla es identificada y/o transferida
apropiadamente o manejado de otra manera el riesgo.

Reducir las consecuencias y posibilidad puede hacer

referencia también a lo indicado por el control. Los controles
incluyen determinar el beneficio relativo o nuevo control que
avisa sobre la efectividad de un control existente. Los
controles pueden incluir políticas de eficiencia,
procedimientos o cambios físicos.

4.5.2 Valorando las opciones para tratamiento del riesgo.

Las opciones deben ser valoradas teniendo en cuenta que tanto

logran la reducción del riesgo, y lo extenso de beneficios adicionales
o crear oportunidades, teniendo en cuenta los criterios desarrollados
en el numeral 4.1.5. Un número de opciones puede ser considerado
y aplicado individualmente o en forma combinada.

Seleccionar la opción mas apropiada involucra balancear el costo

de implantación de cada opción contra el benefició derivado de la
misma. En general, el costo de manejo de un riesgo necesita ser
medido con el beneficio obtenido.

Cuando se puede obtener una gran reducción del riesgo con relativo
bajo costo, tal opción debe ser implantada. La implantación de una
futura opción puede resultar no económica y se hace necesario

Página 19/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

hacer el ejercicio de determinar si tal opción es justificable. Esto es

ilustrado en la figura 4.3

Las decisiones deben tomarse teniendo en cuenta el necesario

cuidado considerando lo poco frecuente pero severo del riesgo, que
garantice una medida de reducción del riesgo que no sea
justificable o fundamental desde un punto estrictamente económico.

n general si el impacto de tomar un riesgo es bajo, este se debe

tomar independientemente de cualquier otra consideración.

Si el nivel del riesgo es alto, entonces es necesario aceptar el riesgo

sobre la base de una valoración del costo de tratar el riesgo, y los
costos de corregir las potenciales consecuencias frente a las
oportunidades que ofrece tomar el riesgo.
Nivel del riesgo(Valor del riesgo)

Implementar
Medidas
De reducción

Usar criterio
Antieconómico

0 Costo de reducir el riesgo($)

Figura 4.3 Costo de las medidas de reducción del

riesgo

En muchos casos es improbable que una sola opción para tratar el

riesgo sea la completa solución a un problema en particular.
Frecuentemente la organización se beneficiará sustancialmente por
la combinación de opciones tales que reduzcan la posibilidad del
riesgo, reduciendo sus consecuencias, y trasladando o manteniendo
un riesgo residual. Un ejemplo es el efectivo uso de contratos y
soportar el financiamiento del riesgo mediante un programa de
reducción de riesgo.

Página 20/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

Cuando el costo acumulado para implementar el tratamiento de

todos los riesgos excede los presupuestos determinados, el plan
deberá identificar claramente el orden de prioridades con cual los
tratamientos a los riesgos deben ser aplicados. El orden de
prioridades puede establecerse mediante el uso de varias técnicas,
incluido Risk Rankin (clasificación de riesgos) y el análisis de costo
beneficio. Tratamientos de los riesgos los cuales no pueden ser
implantados dentro de los limites del presupuesto determinado,
debe evaluarse la posibilidad de recursos financieros futuros o, si
por alguna razón uno o todos los tratamientos remanentes se
consideran importante, en ese caso debe asegurarse financiamiento
adicional.

El tratamiento del riesgo debe considerar cómo el riesgo es

percibido por las partes afectadas y cual es la forma mas apropiada
comunicar tales circunstancias a todas las partes.

4.5.3 Preparando planes de tratamiento.

Los planes deben documentarse sobre como se escogió la opción

que va a ser implantada.

El plan de tratamiento debe identificar responsabilidades,

programas, resultados esperados del tratamiento, presupuesto,
medidas para verificar el cumplimiento y procesos de revisión a
fijarse en el lugar.

Nota: Para detalles referirse a la parte H5, apéndice H.

El plan debe contener también el mecanismo de implantación de la

opción frente a al criterio de cumplimiento, responsables individuales
y otros objetivos, y como monitorear las partes críticas de la
implantación (señales o indicadores).

4.5.3 Implementando planes de tratamiento.

Ideal, responsabilizar por el tratamiento del riesgo en donde este

nace por los mas capaces para aplicar el control. Las
responsabilidades deben ser acordadas por las partes en menor
tiempo posible.

El éxito de la implantación de un plan de tratamiento requiere un

sistema gerencial efectivo el cual especifique el método elegido,
asignación de responsabilidades y actividades individuales a
ejecutar, y monitores frente al criterio especificado.

Si después del tratamiento existe un riesgo residual, debe tomarse

una decisión sobre de qué manera se retiene el riesgo o se si repite
el proceso de tratamiento del riesgo.

4.6 Monitoreo y revisión.

Página 21/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

Es necesario monitorear los riesgos, la efectividad del plan de tratamiento,

estrategias y sistemas de administración los cuales coloquen por encima la
implantación del control. Riesgos y eficiencia de las medidas de control son
necesarias para monitorear que cambios en las circunstancias no alteren
las prioridades del riesgo. Pocos riesgos se mantienen estáticos.

Revisiones sobre la marcha son esenciales para asegurar que el plan de

tratamiento permanece relevante. Factores tales que puedan afectar la
posibilidad y consecuencias de un resultado pueden cambiar, tanto como
cambian los factores que afectan las conveniencias o el costo de varias
opciones de tratamiento. La revisión hace parte integral del plan gerencias
para tratamiento del riesgo.

4.7 Comunicación y consulta.

Comunicar y consultar es una tema importante a considerar en cada paso

del proceso de administración del riesgo. Es importante desarrollar un plan
de comunicación tanto para la parte interna como externa de los clientes en
los escenarios del proceso. Este plan debe dirigirse a temas relacionados
con el mismo riesgo y el proceso para tratarlo.

Comunicar y consultar involucra dos vías de dialogo entre los tomadores

del riesgo con fortalezas enfocadas a consultar lo mas importante en un
sentido del flujo de información sobre las decisiones tomadas por otros
sujetos de riesgo.

Una comunicación interna y externa efectiva, es importante para asegurar

que los responsables por implantar el manejo del riesgo han entendido el
interés concedido, las bases con las cuáles las decisiones se han tomado y
en particular el por qué de las acciones requeridas.

Percepciones sobre el riesgo pueden variar debido a la diferencia de

supuestos y conceptos y las necesidades, temas e importancia de cómo las
diferentes partes sujetas al riesgo relatan el riesgo y los asuntos bajo
discusión. Los funcionarios probablemente hacen juicios de la aceptabilidad
del riesgo basados en sus propias percepciones del riesgo.

Entonces los funcionarios pueden tener un impacto significativo en la

decisión tomada, esto es importante para su percepción del riesgo, como
es que ellos perciben los beneficios, efectúan la identificación y
documentación y las razones entendidas por ellos para entenderlo y
dirigirlo.

5. DOCUMENTACION

5.1 General

Página 22/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

Cada escenario del proceso de administración del riesgo debe ser

documentado. La documentación deberá incluir presunciones, métodos,
datos de origen y resultados.

5.2 Razones para documentar.

Las siguientes son las razones para documentar:

a) Para demostrar que los procedimientos se condujeron

apropiadamente.
b) Para proveer evidencia de una aproximación sistemática a la
identificación del riesgo y su análisis.
c) Para mantener un registro de riesgos y para el desarrollo de la base
de datos de conocimientos de la organización.
d) Para demostrar que las decisiones tomadas sobre la administración
del riesgo son apropiadas y por ende su subsecuente implantación.
e) Para suministrar un mecanismo y herramienta contable.
f) Para facilitar las labores de revisión y monitoreo
g) Para proveer un entrenamiento de auditoría: y
h) Para compartir y comunicar información.

Decisiones relacionadas con la extensión de los documentos

involucran costos y beneficios y deben tomarse teniendo en cuenta
estos factores.

Guía: Para asistir y dar alguna guía sobre la documentación

apropiada, se proveen ejemplos en el apéndice H, Estos ejemplos
están indicados cono los mas importantes para comprender.

..........................

Página 23/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

APENDICE A:

.........................
xii) detección del fuego/ prevención del fuego
xiii) Operaciones cambio extranjero
xiv) Prevención fraude, detección y manejo.
xv) Salud humanos, animales y plantas
xvi) Sistemas de información / redes de cómputo.
xvii) Inversiones;
xviii) Compendio legal.
xix) Salud ocupacional y seguridad
xx) Operaciones y sistemas de mantenimiento
xxi) Proyectos de la gerencia
xxii) Riesgos públicos y posibilidad general
xxiii) Administración contratos proveedores
xxiv) Asesoramientos profesionales
xxv) Reputación y asuntos de imagen
xxvi) Seguridad
xxvii) Transporte incluye, aire, mar, carretera, ferrocarril
xxviii) Impuestos y financiación.

Página 24/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

APENDICE B

PASOS EN EL DESARROLLO E IMPLANTACIÓN DEL PROGRAMA DE

ADMINISTRACIÓN DEL RIESGO.

PASO 1: Soporte a Gerencia Senior

Desarrollar una filosofía gerencias de la organización sobre el riesgo y una

conciencia de riesgo en el ámbito de la gerencia senior. Esto permite
facilitar el entrenamiento, educación e información de los ejecutivos.

• El soporte sobre el terreno en las organizaciones por parte del

presidente es necesario.
• Un ejecutivo senior o campeón similar (en un equipo) necesita
patrocinar la iniciativa
• Todos los ejecutivos deben dar completo soporte.

PASO 2 DESARROLLO DE UNA POLITICA ORGANIZACIONAL.

Desarrollar y documentar una política corporativa y una estructura para el

manejo del riesgo debe asignarse a los ejecutivos de la organización e
implantarse a través de la organización. L apolítica debe incluir información
tal como:

• Objetivos de la política y razonabilidad del manejo del riesgo.

• El campo entre la política y la estrategia de la organización / plan
corporativo.
• La extensión, o rango de asuntos para los cuales aplica la política.
• Guía de qué puede ser considera cono riesgo aceptable.
• Quién es el responsable del manejo del riesgo.
• El soporte / la experiencia disponible para asistir esta responsabilidad
para manejo de riesgos.
• El nivel de documentación requerida; y
• El plan de revisión organizacional en atención a la ejecución de la
política.

PASO 3: COMUNICAR LA POLÍTICA

Desarrollar, establecer e implantar una infraestructura de ajustes (arreglos

– acciones) para asegurar que el manejo del riesgo se convierta en parte
integral de la planeación, procesos gerenciales y en general cultura de la
organización. Esto puede incluir:

• Establecer un equipo compuesto por personal de gerentes senior para

que sean responsables de la comunicación interna sobre las políticas.
• Aumentar la conciencia acerca del manejo del riesgo
• Comunicar/ diálogos a través de la organización acerca de la
administración del riesgo y las políticas de la organización.

Página 25/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

• Adquirir habilidades para el manejo del riesgo, por ejemplo controles, y

desarrollo de habilidades del staff a través de educación y
entrenamiento.
• Asegurar niveles apropiados de reconocimiento, recompensas y
sanciones; y
• Establecimiento de procedimientos de ejecución gerencial.

PASO 4: MANEJO DE RIESGOS A NIVEL ORGANIZACIONAL

Desarrollar y establecer un programa de manejo de riesgos a nivel

organizacional a través de la aplicación de sistemas de administración del
riesgo delineados en la sección 2. El proceso de manejo del riesgo debe
estar integrado con la planeación estratégica y los procesos gerenciales de
la organización. Esto implica documentar:

• La organización y el contexto del riesgo

• Los riesgos identificados por la organización.
• El análisis y evaluación de estos riesgos
• Las estrategias para su tratamiento
• Los mecanismos para revisión del plan; y
• Las estrategias para aumentar la conciencia adquirir habilidades,
entrenar y educar.

PASO 5: MANEJO PROGRAMA DE RIESGOS, PROYECTO Y NIVEL

DEL EQUIPO

Desarrollar y establecer un programa para el manejo de riesgos por cada

sub-área de la organización, programas, proyectos o equipo activo a través
de aplicación procesos de administración del riesgo delineados en la
sección 4. El proceso de manejo del riesgo debe estar integrado con los
otros planes y actividades gerenciales. Los procesos seguidos, las
decisiones tomadas y los planes de acción deben ser documentados.

PASO 6: MONITOR Y REVISIÓN

Desarrollar y aplicar mecanismos para asegurar revisiones sobre el terreno

de los riesgos. Esto asegurará que la implantación y la política de
administración del riesgo permanezcan relevantes, así las circunstancias
estén cambiadas todo el tiempo y la revisión de decisiones previas es
fundamental. Los riesgos no son estáticos. La efectividad del proceso de
manejo del riesgo deberá ser también monitoreado y revisado.

Página 26/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

APENDICE C. TOMADORES DEL RIESGO (STAKEHOLDERS)

Stakeholder son los individuos quienes están, o perciben por si mismos, los
efectos por las decisiones o actividades. En ellos se pueden incluir:

• Los individuos dentro de la organización, tales como empleados,

gerentes, ejecutivos y voluntarios.
• Quienes toman decisiones
• La Competencia
• Grupos de empleados
• Sindicato
• Instituciones financieras
• Compañías de seguros
• Organizaciones reguladoras estatales que tienen autoridad sobre
las actividades.
• Políticos ( a todo nivel del gobierno) quienes pueden un electorado
o portafolio interesante.
• Organizaciones no gubernamentales tales cono grupos
ambientales y grupos de interés público
• Clientes
• Suministradores, proveedores de servicios y contratistas de la
actividad.
• El medio, quienes son potenciales stkeholders como un buen
conductor de información para otros stakeholders.
• Individuos o grupos quienes están interesados en asuntos
relacionado con el objetivo
• Comunidades locales; y
• Sociedad en general.

Pasado el tiempo, la mezcla de stakeholders puede cambiar,

Nuevos stakeholder pueden aparecer y esto incluye nuevas
consideraciones, también otros pueden omitirse, a través de no
estar involucrados en los procesos, Consecuentemente, el proceso
de análisis de stakeholder debe ser continuo y, también deberá
ser parte integral del proceso de administración del riesgo.

El nivel asignado a un stakeholder puede cambian en respuesta a

nueva información, a cambios de cada stakeholder o por que
nueva información crece para nuevas necesidades asuntos o
relaciones. Nótese también que diferentes stakeholders pueden
tener diferente opinión y diferentes nivel de conocimiento en
relación con determinado asunto.

Página 27/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

APÉNDICE D

ORIGENES GENÉRICOS DEL RIESGO Y SUS ÁREAS DE IMPACTO

D1 GENERAL

Identificando los orígenes de los riesgos y sus áreas de impacto se proporciona

una estructura para identificación de riesgos y análisis. Porque potencialmente son
muchos los orígenes e impactos, desarrollando una lista general enfocada a las
actividades de riesgo se contribuye a una gerencia efectiva.

Orígenes generales de riesgo y área de impacto sol seleccionada de acuerdo con

su importancia en relación con la actividad estudiada. (Ver numeral 4.1.4 y 4.2.2.)
Componentes de cada categoría general se puede conformar a través del estudio
del riesgo.

D2 ORIGENES DEL RIESGO

Cada origen del riesgo tiene un número de componentes, uno de los cuales
determina el nivel del riesgo. Algunos componentes pueden esta bajo el control de
la organización siendo estudiado, alguno otros pueden estar por fuera de control.
Ambos tipos necesitan ser considerados cuando estamos identificando el riesgo.
Orígenes generales del riesgo incluyen:

a) Relaciones comerciales y legales

Entre la organización y otras organizaciones, por ejemplo proveedores,
subcontratistas, comisionistas.

b) Circunstancias económicas
De la organización, del país, internacionales o también factores que
contribuyen a estas circunstancias ejemplo cambio en tasas de interés.

c) Comportamiento humano
Tanto del personal involucrado en la empresa como del que no lo está.

d) Eventos naturales.

e) Circunstancias políticas

Incluye cambios legislativos y factores que pueden influenciar en otros

orígenes del riesgo.

f) Tecnología y temas técnicos.

Tanto internos como externos a la organización

g) Actividades de gerencia y control

h) Actividades individuales

Página 28/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

D3 ÁREAS DE IMPACTO

El análisis del riesgo puede concentrarse en los impactos de un área solamente o

en una variedad posible de áreas de impacto.

Areas de impacto incluyen las siguientes:

a) Ventajas base de recursos

De la organización, incluyendo el personal

b) Fuentes y derechos

c) Costos

De las actividades, tanto directos como indirectos.

d) Gente

e) Comunidad

f) Marca

g) Cronograma y programación de actividades

h) Medio ambiente

i) Intangibles

Tales como la reputación, prestigio, calidad de vida

j) Desempeño organizacional.

D4 IDENTIFICACION DEL RIESGO

Un método de sintetizar la forma como se originan los riesgos en una

organización en mediante el uso de una plantilla de identificación de riesgos
como la clase mostrada en la tabla D1. Las entradas pueden hacerse con
cada marca que muestre en dónde ocurre el riesgo, o con notas
descriptivas mas detalladas.

D5 OTRAS CLASIFICACIONES DEL RIESGO

Diferentes disciplinas frecuentemente categorizan los origines de los

riesgos de otras formas, usando sus términos de riesgo o exposición al
riesgo. Estas clasificaciones pueden estar incluidas en los orígenes del
riesgo listados en D2. Ejemplo son los siguientes:

a) Enfermedad profesional

Página 29/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

Por ejemplo que afectan a los seres humanos, a los animales o a las
plantas

b) Económicos

Ejemplo fluctuación del cambio, tasas de interés, parte del mercado

c) Medio ambiente

Ruido, contaminación, polución.

d) Financieros

Riesgos contractuales, robo de fondos, fraude, multas.

e) Humanos
Disturbios, despilfarros, huelgas, sabotajes, errores.

f) Riesgos naturales

Condiciones climatológicas, terremotos, incendios, plagas, actividad

volcánica.

g) Salud ocupacional y seguridad

Medidas de seguridad inadecuadas, administración de seguridad

pobre.

h) Responsabilidad del producto

Errores de diseño, bajos controles de calidad, inadecuadas pruebas.

i) Responsabilidad profesional

Asesorías erradas, negligencia, errores de diseño.

j) Daños a la propiedad.

Fuego, inundaciones, terremotos, contaminación, error humano

k) Responsabilidad pública

Acceso del público, salidas y seguridad

l) Seguridad

Medidas para el efectivo, vandalismo, robo, hurto de información,

accesos ilegales.

m) Tecnología

Página 30/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

Innovación, obsolescencia, fortaleza de sistema y seguridad.

(explosions se emplea como posibilidad de caídas del
sistema o daños graves).

Tabla D1 Ejemplo de una plantilla de identificación del riesgo.

Area de impacto
Orígenes del riesgo Seleccionar lo que sea aplicable del parágrafo D3

Relaciones comerciales y legales

Económicos
Desempeño humano
Eventos Naturales
Circunstancias políticas
Tecnología/ Asuntos técnicos
Manejo de actividades y control
Actividades individuales

Nota: Los orígenes de los riesgos y las áreas de impacto deben ser adaptadas de
acuerdo con cada organización o actividad.

Página 31/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

APENDICE E
EJEMPLOS DE DEFINICIÓN DE RIESGO Y CLASIFICACIÓN

Tabla E1 Medidas cualitativas de las consecuencias o impacto

Nivel Descripción Ejemplo detallado de la

descripción
1 Insignificante No hay daño, pérdida financiera baja

2 Menor Primer tratamiento de ayuda, se realiza

3 Moderado
4 Mayor
5 Catastrófico
inmediatamente, genera perdidas financiera
bajas.
Requiere tratamiento médico en el sitio, con
asistencia fuera del sitio, perdidas financieras
medias.
Daños mayores, pérdidas de capacidad de
producción, alivio fuera del sitio sin efectos
perjudiciales, pérdidas financieras mayores.
Muerte, liberación fuera del sitio con efectos
perjudiciales, pérdidas financieras enormes.

Nota: Las medidas deben reflejar las necesidades y naturaleza de la organización y de la

actividad bajo estudio.

Tabla E2 Medidas cualitativas de probabilidad

Nivel Descriptor Descripción

A Casi seguro La expectativa de ocurrencia se da en la mayoría de
circunstancias
B Probable Probabilidad de ocurrencia en la mayoría de las
circunstancias
C Posible Ocurre en la mitad de los casos
D Improbable Puede ocurrir algunas veces
E Raro Puede ocurrir solo bajo circunstancias excepcionales

Nota: Esta tabla debe elaborarse a la medida de las necesidades de la organización

individual.

Página 32/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

Tabla E3 Riesgo cualitativo Análisis de matriz - nivel de riesgo

Consecuencias
Posibilidad Insignificante Menor Moderado Mayor Catastrófico
1 2 3 4 5
A Casi seguro H H E E E
B Probable M H H E E
C Moderado L M H E E
D Improbable L L M H E
E Raro L L M H H

Nota: El número de categorías debe reflejar las necesidades del estudio.

Convenciones

E: Riesgo extremo, se requiere acción inmediata

H: Riesgo alto requiere atención de la gerencia senior
M: Riesgo moderado, la gerencia responsable debe efectuar especificaciones
L: Riesgo bajo, se maneja según procedimientos de rutina

Página 33/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

APÉNDICE F. EJEMPLOS DE EXPRESIONES CUANTITATIVAS DEL

RIESGO

F1 Riesgo de pérdida financiera o ganancia.

Las pérdidas financieras (o ganancias) multiplicadas por la frecuencia anual de las

pérdidas (o ganancias) dado el valor esperado en dólares por año.
F2 Riesgo por fatalidades

El riesgo por fatalidades de una actividad puede ser calculado como:

Número de muertes por año en la actividad

Exposición de la población

F3 Desastres naturales o humanos

Las consecuencias pueden ser especificadas utilizando simulaciones

computarizadas y estimados de probabilidades de datos históricos, árboles
de error u otro sistema técnico de ingeniería.

F4 Riesgos de salud

Los riesgos que afectan la salud son generalmente expresados en la

siguiente forma:

a) El número de casos de afecciones a la salud en una población

expuesta comparado con el total de la población. Por ejemplo cinco
nuevos casos en una población expuesta de 100.000 persona es un
-5
riesgo de 5 x 10 por persona expuesta, por año.

b) La rata o probabilidades de muerte antes de un año determinado, con y

sin la exposición al riesgo.

c) El número de fatalidades para el año 70 que son esperadas por el

resultado de una exposición, dividida por el numero de personas
expuestas.

Riesgos de salud pueden ser derivados de datos epidemiológicos(encuesta

poblacionales o fatalidades por enfermedad) o de información experimental
basada en estudios de animales.

Nota: Mejor que calcular el valor promedio de un riesgo, la distribución de

posibles valores puede ser calculada reemplazando el valor promedio de
las variables en los resultados dependan por la distribución apropiada de
valores

Página 34/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

APÉNDICE G. IDENTIFICANDO OPCIONES PARA EL TRATAMIENTO

DEL RIESGO.

G1 Acciones para reducir o controlar la posibilidad

Estas pueden ser:

i) Auditoría y correspondientes programas.

ii) Condiciones contractuales.
iii) Revisiones formales de requerimientos, especificaciones, diseños,
ingeniería y operaciones.
iv) Inspecciones y procedimientos de control.
v) Inversiones y manejo de portafolio.
vi) Manejo de proyectos.
vii) Mantenimiento preventivo
viii) Control de calidad, manejo y standards.
ix) Recursos y desarrollo, desarrollo tecnológico.
x) Entrenamiento estructurado y otros programas.
xi) Supervisión.
xii) Pruebas – testeo.
xiii) Acuerdos organizacionales; y
xiv) Controles técnicos.

G2 Procedimientos para reducir o controlar consecuencias

Estos incluyen:

j) Planes de contingencia
ii) Acuerdos contractuales
iii) Condiciones de contratos
iv) Futuros diseños
v) Planes de recuperación de desastres
vi) Ingeniería y barreras estructurales
vii) Planes para control del fraude
viii) Minimización de exposición a orígenes del riesgo
ix) Planeamiento del portafolio
x) Políticas de precios y controles
xi) Separación o relocalización de una actividad y recursos
xii) Relaciones públicas; y
xiii) Ex gratia payments.

Página 35/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

APÉNDICE H. DOCUMENTACION DE LA ADMINISTRACIÓN DEL

RIESGO.

H1 GENERAL

Para un manejo adecuado del riesgo, se requiere documentación

apropiada. Esto puede ser suficiente para satisfacer una auditoría
independiente. Decisiones relacionadas con la extensión de la
documentación pueden incluir costos y beneficios y deben tomarse
teniendo en cuenta los factores indicados en el numeral 5.2. La política
para el manejo del riesgo debe establecer definiciones sobre las
necesidades de documentación.

Para cada escenario del proceso, la documentación debe incluir:

a) Objetivos
b) Origen de la información
c) Premisas, presunciones y
d) Decisiones

Este apéndice H incluye un ejemplo de registro del riesgo, y un

programa de manejo y plan de acción. Planes para áreas de alto riesgo
deben requerir de mas detalle y especificaciones.

H2 POLÍTICA

En el apéndice B se presentan ejemplo de políticas que pueden ser

establecidas por la organización.

H3 CUMPLIMIENTO Y ESTADO DE LA DEBIDA DILIGENCIA

En algunas circunstancias el cumplimiento y estado de la debida diligencia

puede ser requerida, tal como para formalizar el reconocimiento formal de
responsabilidades por parte de los ejecutivos para cumplir con las políticas
de administración del riesgo y procedimientos.

H4 REGISTRO DEL RIESGO. (Estos ejemplos están solamente indicados).

Para cada riesgo identificado, el registro del riesgo debe indicar:

a) Origen
b) Naturaleza
c) Controles existentes;
d) Consecuencias y probabilidad
e) Valoración del riesgo inicial; y
f) Vulnerabilidad a factores internos y externos

Referirse al siguiente ejemplo proforma como una guía.

Página 36/37
 ADMINISTRACION DEL RIESGO
ESTANDAR AS/NZ 4360:1999

H5 PROGRAMA DE MANEJO DEL RIESGO Y PLAN DE ACCIÓN

Una administración del riesgo y la documentación del plan de acción con el

manejo con controles a ser adoptados debe listar y contener la siguiente
información:
a) Quién es el responsable por la implantación del plan
b) Qué recursos son utilizados
c) Asignación de presupuesto
d) Cronograma de implantación
e) Detalles de los mecanismos y frecuencias de la revisión del
cumplimiento con el plan de manejo.

H6 Monitores y documentos de auditoria

Los monitores y los registros de auditoría deben documentar:

a) Detalles sobre los mecanismos y frecuencia de las revisiones del

riesgo y procesos manejo del riesgo como un todo.
b) Los resultados de la auditoría y procedimientos de auditoría
c) Detalles de cómo las recomendaciones de la revisión han sido
atendidas e implantadas.

Nota: (Traducción libre de GIT Ltda. con la colaboración del Doctor Pedro Orlando Gil Gallo)

Marzo de 2001.

Página 37/37