Análisis de Riesgos

Metodología ISO 31010

20 de Marzo, 2014
 ¿Qué pierde su Empresa?

• Mercancía
• Clientes
• Tiempo = DINERO
• Prestigio
• Multas
Análisis de Riesgos
Metodología ISO 31010
 Definiciones
Riesgo:
Es un evento que si ocurre puede tener un efecto Causa 1 Consecuencia 1

positivo (Oportunidad) o negativo (Amenaza) sobre

el proyecto. Es el efecto de la incertidumbre sobre
los objetivos. Causa Consecuencia
Riesgo
(Probabilidad) (Impacto)

Causa 2 Consecuencia 2

Identificación

Gestión de Riesgos:
El proceso de ponderación de las distintas opciones Análisis y
Priorización
en base a los resultados de la valoración de riesgos.
Procesos para aumentar la probabilidad e impacto Establecer
Planes de
de las oportunidades y reducir la probabilidad e Respuesta

impacto de las amenazas.

Monitoreo y
Control
 Definiciones
Acciones Mitigadoras:
Antes de que el Riesgo suceda. Desencadenador

Acciones de Contingencia:
Acciones Mitigadoras Acciones de Contingencia
Cuando el Riesgo ya sucede.

Riesgos Individuales:
Afectan a los objetivos del Proyecto.
CICLO DE VIDA DE UN RIESGO
Riesgos Globales:
Afectan de manera global la operación
de la compañía. LECCIÓN
RIESGO PROBLEMA APRENDIDA
(?)

Reservas:
Provisión de fondos para mitigar
riesgos del cronograma y/o costos
(Gestión y Contingencias).
 Ejemplos de Tipo de Riesgo

Falta de Estabilidad o
LABORAL Seguridad en un Trabajo

Posibilidad de contagio por el

RIESGO BIOLÓGICO contacto con materiales que son
potencialmente peligrosos.

Está relacionado a la solvencia

FINANCIERO monetaria de una persona, una
empresa o un país.

Contaminación de Embarque:
Introducción de mercancías ilegales y/o prohibidas, tales como drogas, precursores químicos,
armas de destrucción masiva, armas químicas y biológicas, dentro de embarques legítimos de las
empresas que realizan operaciones de comercio.
Introducción

ISO 28000
ISO 31000
Sistema de Gestión
de Seguridad en la Principios y ISO 31010
Cadena de Directrices para la Técnicas y
Suministros implementación de Evaluación de
la Gestión de Riesgos
Riesgos

Estructura de la Norma

Principios Framework Procesos

Gestión del Riesgo
 Comunicación y Consulta

1. Establecer el contexto.

2. Intereses de las partes (entendidos y Creación de un Comité

considerados). Interno

3. Riesgos adecuadamente identificados.

Análisis y Evaluación
4. Diferentes áreas de especialización. de Riesgos

5. Diferentes puntos de vista en la definición de

criterios de riesgo y en la evaluación.
Plan de Tratamiento
6. Respaldo y apoyo al plan de tratamiento.

7. Adecuada comunicación interna y externa y un

plan de consulta.
 Establecimiento del Contexto

1. Define parámetros básicos para la gestión

2. Establece el Alcance y Criterios
3. Definición de Contexto Externo e Interno y de
Gestión

Los parámetros básicos, el Alcance y los criterios

son los Estándares de Seguridad del Programa
NEEC
Establecimiento del Contexto
Contexto Externo:
Entendimiento sobre el ambiente en el que la organización y el sistema opera:
1. Factores Ambientales, culturales, políticos, legales, regulatorios,
financieros, económicos (internacional, nacional, regional o local).
2. Factores claves y tendencias que tienen impactos en los objetivos de la
organización.
3. Percepciones y valores de las partes interesadas.

Contexto Interno:
Entendimiento de:
1. Capacidades en términos de recursos y conocimientos
2. Partes interesadas (Flujo de Información, Toma de decisiones
Responsabilidades)
3. Políticas, Procesos, Normas y Modelos adoptados por la organización
Establecimiento del Contexto
Contexto Proceso de Gestión:
Definir:
• Responsabilidades y actividades
• Relación entre proyectos particulares
• Metodologías de Valoración de riesgos
• Criterios de Riesgo
• Cómo evaluar el desempeño de la Gestión de riesgos
• Decisiones y acciones que deben realizarse
• Alcance, estudios necesarios y recursos requeridos

• Naturaleza y Tipos de Consecuencias a incluirse

• Forma en la que se expresarán las probabilidades
• Cómo se determinará el nivel de riesgo
• Criterios para decidir cuando un riesgo merece tratamiento
• Criterios para decidir si un riesgo es aceptable y/o tolerable
Establecimiento del Contexto
Estándares y Sub estándares NEEC:
Valoración del Riesgo

Es el proceso global
de Identificar,
Analizar y Evaluar el
Riesgo
Identificación del Riesgo

Método Sugerido:
Integración de Comité Interno formado
por expertos de las áreas críticas para
identificar los riesgos (Técnica “Lluvia de
Ideas” o “Metodología Delphi”)
Análisis del Riesgo
¿Para qué sirve?
• Tratar de desarrollar un entendimiento global del Riesgo
• Proporcionar elementos para valorar y decidir sobre los riesgos
• Desarrollar estrategias y métodos adecuados para tratar el riesgo
• Determinar consecuencias y probabilidades de eventos riesgosos
Análisis del Riesgo

Valoración de Controles

Análisis de Consecuencias

Estimación de Probabilidad
 Análisis del Riesgo
Valoración de Controles

• El nivel de riesgos depende directamente de la

adecuación y eficacia de controles existentes

• ¿Cuáles son los controles existentes para el riesgo?

• Estos controles son capaces de tratar adecuadamente el
riesgo en un nivel tolerable?
• En la práctica ¿ Están operando los controles en la manera
planeada y puede demostrarse que son eficaces cuando se
requiera?
• En la mayoría de los casos, un nivel alto de exactitud no
se garantiza

• Es de valor registrar mediciones de la eficacia para emitir

juicios si el esfuerzo es mejor al asignarle recursos o
tratándolo de manera diferente.
Análisis del Riesgo
Análisis de Consecuencias

• Determina la naturaleza y el tipo de impacto si ocurre un

evento

• Los impactos pueden ser de consecuencias bajas pero con

altas probabilidades, o altas consecuencias y baja
probabilidad, o algún resultado intermedio.

• El análisis de consecuencias puede involucrar:

• Tomar en consideración controles existentes para tratar las

consecuencias
• Relacionar las consecuencias a los objetivos originales
• Considerar consecuencias inmediatas y futuras (si el alcance
lo permite)
• Considerar consecuencias secundarias (impacto a sistemas
asociados, actividades, equipo u organizaciones)
Análisis del Riesgo

Estimación de la Probabilidad

Tres enfoques generales se emplean comúnmente para estimar la

probabilidad:

• El uso de datos históricos relevantes de eventos que han

ocurrido. Si hay una muy baja frecuencia de ocurrencia,
cualquier estimación de la probabilidad será muy incierta.

• Pronósticos de probabilidad empleando técnicas predictivas

como el árbol de falla y el análisis de árbol de eventos.

• La opinión experta puede utilizarse en un proceso sistemático y

estructurado para estimar la probabilidad.
Análisis del Riesgo
Medición del Riesgo (NPR)

Matriz Cruzada:
1 - 50 51 – 100 101 – 300 301 – 500 501 – 750 750 - 1000

Frecuente
Probabilidad

Moderado

Ocasional

Remoto

Improbable

Insignificante Menor Medio Crítico Muy Crítico Catastrófico

Consecuencia
Evaluación del Riesgo
La evaluación del riesgo involucra comparar niveles de riesgo con criterios definidos
cuando el contexto fue establecido.

Es necesario el entendimiento del riesgo obtenido durante el análisis para tomar

decisiones de las acciones futuras.

Consideraciones éticas legales, financieras, entre otras, son elementos de entrada para la
decisión.
Un enfoque común es dividirlos en 3:
Las decisiones pueden incluir: Riesgo Intolerable: El tratamiento es
esencial sin importar el costo.

• Si un riesgo necesita tratamiento Riesgo Intermedio: Se toman en cuenta

• Prioridades para el tratamiento
• Si una actividad debería emprenderse
• Cuál de los diferentes caminos debería seguirse
costos y beneficios contra las consecuencias
probables para decidir
Riesgo Insignificante: No son necesarias
medidas de tratamiento
Tratamiento

Situación Estado de
Evento Consecuencia
Potencial Resultados

Prevención Reducción Transferencia

Documentación
El proceso de valoración del riesgo debe documentarse junto con los resultados de la valoración.

La extensión del informe dependerá de los objetivos y el alcance. Los reportes pueden incluir:

• Objetivos y Alcance
• Descripción de las partes relevantes del sistema y sus funciones
• Resumen del contexto externo e interno
• Criterios de riesgo aplicados y su justificación
• Limitaciones, supuestos y justificación de hipótesis
• Metodología de valoración
• Resultados de la identificación del riesgo
• Datos, supuestos y sus fuentes y su validación
• Resultado del análisis de riesgos y su evaluación
• Análisis de sensibilidad e incertidumbre
• Supuestos críticos y factores a dar seguimiento
• Discusión de resultados
• Conclusiones y Recomendaciones
• Referencias
Seguimiento y Revisión
El contexto y otros factores pueden variar a lo largo del tiempo y podrían cambiar o
invalidar la valoración del riesgo.

Debe darse un seguimiento continuo y revisión, para que la valoración del riesgo pueda
actualizarse cuando sea necesario.

Las responsabilidades para la creación y revisión de la evidencia y documentación debe

definirse y documentarse.
Seguimiento y Revisión
Selección de técnicas de valoración de riesgos

La valoración de riesgos puede realizarse en varios grados de profundidad y detalle y

utilizando uno o más métodos que varían de simples a complejos.

Las técnicas adecuadas deben mostrar las siguientes características:

• Debe ser justificable y apropiada para la situación u organización

• Debe proporcionar resultados en una forma entendible
• Debe ser capaz de utilizarse en una manera trazable, repetible y verificable

“Un método simple bien hecho, puede proporcionar mejores resultados que un
procedimiento más sofisticado pobremente realizado”
Aplicabilidad de las herramientas
Aplicabilidad de las herramientas
Aplicabilidad de las herramientas
Análisis del Modo y Efecto de la Falla (AMEF)
Análisis de Corbata de Lazo
Análisis de Árbol de Fallas
(Control de Acceso)

Acceso Hostil Conspiración Interna

Confianza de
Empleado
Ejemplo de un Reporte de Análisis de Riesgo CASCEM
 SIMULACROS DE SEGURIDAD
Pruebas a los controles en la cadena logística
4 PREGUNTAS:
COMCE Noreste, A.C.

+52 (81) 8130 5360

01 800 01 COMCE
mail@comcenoreste.org.mx