AS/NZS 4360:1999

El propósito de esta Sección es describir un proceso formal para establecer un programa sistemático de administración de riesgos.

Se necesita el desarrollo de una política organizacional de administración de riesgos y un mecanismo de soporte con objeto de proveer una estructura para llevar a cabo un programa de administración de riesgos más detallado a nivel sub-organizacional o de proyecto.

Se requiere seguir una cantidad de pasos para implementar un sistema efectivo de administración de riesgos dentro de una organización. En el Apéndice B se proveen ejemplos. Dependiendo de la filosofía, cultura y estructura general de administración de riesgos de la organización, debería ser posible combinar u omitir ciertos pasos. Sin embargo, deberían considerarse todos los pasos.

La organización debería asegurar que:

La administración de riesgos es una parte integral del proceso de administración. La administración de riesgos es un proceso multifacético, aspectos apropiados del cual son a menudo llevados a cabo mejor por un equipo multidisciplinario. Es un proceso iterativo de mejora continua.

Los elementos principales del proceso de administración de riesgos, como se muestra en la Figura 3.1, son los siguientes:

La administración de riesgos se puede aplicar en una organización a muchos niveles. Se lo puede aplicar a nivel estratégico y a niveles operativos. Se lo puede aplicar a proyectos específicos, para asistir con decisiones específicas o para administrar áreas específicas reconocidas de riesgo.

La administración de riesgos es un proceso iterativo que puede contribuir a la mejora organizacional. Con cada ciclo, los criterios de riesgos se pueden fortalecer para alcanzar progresivamente mejores niveles de administración de riesgos.

Para cada etapa del proceso deberían llevarse registros adecuados, suficientes como para satisfacer a una auditoria independiente.

La evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecidos previamente.

El análisis de riesgo y los criterios contra los cuales se comparan los riesgos en la evaluación de riesgos deberían considerarse sobre la misma base. En consecuencia, la evaluación cualitativa involucra la comparación de un nivel cualitativo de riesgo contra criterios cualitativos, y la evaluación cuantitativa involucra la comparación de un nivel numérico de riesgo contra criterios que pueden ser expresados como un número específico, tal como, un valor de fatalidad, frecuencia o monetario.

El producto de una evaluación de riesgo es una lista de riesgos con prioridades para una acción posterior.

Deberían considerarse los objetivos de la organización y el grado de oportunidad que podrían resultar de tomar el riesgo.

Si los riesgos resultantes caen dentro de las categorías de riesgos bajos o aceptables, pueden ser aceptados con un tratamiento futuro mínimo. Los riesgos bajos y aceptados deberían ser monitoreados y revisados periódicamente para asegurar que se mantienen aceptables.

Si los riesgos no caen dentro de la categoría de riesgos bajos o aceptables, deberían ser tratados utilizando una o más de las opciones consideradas en la Cláusula 4.5.

El tratamiento de los riesgos involucra identificar el rango de opciones para tratar los riesgos, evaluar esas opciones, preparar planes para tratamiento de los riesgos e implementarlos.

Es necesario monitorear los riesgos, la efectividad del plan de tratamiento de los riesgos, las estrategias y el sistema de administración que se establece para controlar la implementación. Los riesgos y la efectividad de las medidas de control necesitan ser monitoreadas para asegurar que las circunstancias cambiantes no alteren las prioridades de los riesgos. Pocos riesgos permanecen estáticos.

Es esencial una revisión sobre la marcha para asegurar que el plan de administración se mantiene relevante. Pueden cambiar los factores que podrían afectar las probabilidades y consecuencias de un resultado, como también los factores que afectan la conveniencia o costos de las distintas opciones de tratamiento. En consecuencia, es necesario repetir regularmente el ciclo de administración de riesgos. La revisión es una parte integral del plan de tratamiento de la administración de riesgos.

La comunicación y consulta son una consideración importante en cada paso del proceso de administración de riesgos. Es importante desarrollar un plan de comunicación para los interesados internos y externos en la etapa más temprana del proceso. Este plan debería encarar aspectos relativos al riesgo en si mismo y al proceso para administrarlo.

La comunicación y consulta involucra un diálogo en ambas direcciones entre los interesados, con el esfuerzo focalizado en la consulta más que un flujo de información en un sólo sentido del tomador de decisión hacia los interesados.

Es importante la comunicación efectiva interna y externa para asegurar que aquellos responsables por implementar la administración de riesgos, y aquellos con intereses creados comprenden la base sobre la cual se toman las decisiones y por qué se requieren ciertas acciones en particular.

Las percepciones de los riesgos pueden variar debido a diferencias en los supuestos, conceptos, las necesidades, aspectos y preocupaciones de los interesados, según se relacionen con el riesgo o los aspectos bajo discusión. Los interesados probablemente harán juicios de aceptabilidad de los riesgos basados en su percepción de los mismos.

Dado que los interesados pueden tener un impacto significativo en las decisiones tomadas, es importante que sus percepciones de los riesgos, así como, sus percepciones de los beneficios, sean identificadas y documentadas y las razones subyacentes para las mismas comprendidas y tenidas en cuenta.

En la Figura 4.1 se muestran los detalles del proceso de administración de riesgos. El proceso ocurre dentro de la estructura del contexto estratégico, organizacional y de administración de riesgos de una organización. Esto necesita ser establecido para definir los parámetros básicos dentro de los cuales deben administrarse los riesgos y para proveer una guía para las decisiones dentro de estudios de administración de riesgos más detallados. Esto establece el alcance para el resto del proceso de administración de riesgos.

Definir la relación entre la organización y su entorno, identificando las fortalezas, debilidades, oportunidades y amenazas de la organización. El contexto incluye los aspectos financieros, operativos, competitivos, políticos (percepciones públicas / imagen), sociales, de clientes, culturales y legales de las funciones de la organización.

Identificar los interesados internos y externos, y considerar sus objetivos, tomar en cuenta sus percepciones, y establecer políticas de comunicación con estas partes.

Antes de comenzar un estudio de administración de riesgos, es necesario comprender la organización y sus capacidades, así como sus metas y objetivos y las estrategias que están vigentes para lograrlos.

Esto es importante por las siguientes razones:

Deberían establecerse las metas, objetivos, estrategias, alcance y parámetros de la actividad, o parte de la organización a la cual se está aplicando el proceso de administración de riesgos. El proceso debería ser llevado a cabo con plena consideración de la necesidad de balancear costos, beneficios y oportunidades.

También deberían especificarse los recursos requeridos y los registros que se van a llevar.

Establecer el alcance y los límites de una aplicación del proceso de administración de riesgos involucra:

Los aspectos específicos que también podrían ser discutidos incluyen lo siguiente:

. Las relac nes entre el proyecto y otros proyectos o partes de la organ ac n.

Decidir los criterios contra los cuales se va a evaluar el riesgo. Las decisiones concernientes a aceptabilidad de riesgos y tratamiento de riesgos pueden basarse en criterios operativos, técnicos, financieros, legales, sociales, humanitarios u otros. Esto a menudo depende de las políticas, metas y objetivos internos de la organización y de los intereses de las demás partes interesadas.

Los criterios pueden estar afectados por percepciones internas y externas y por requerimientos legales. Es importante que los criterios apropiados sean determinados al comienzo.

Esto involucra separar la actividad o proyecto en un conjunto de elementos.

Estos elementos proveen una estructura lógica para identificación y análisis lo cual ayuda a asegurar que no se pasen por alto riesgos significativos. La estructura seleccionada depende de la naturaleza de los riesgos y del alcance del proyecto o actividad.

Este paso busca identificar los riesgos a administrar. Es crítica una identificación amplia utilizando un proceso sistemático bien estructurado, porque los riesgos potenciales que no se identifican en esta etapa son excluidos de un análisis posterior. La identificación debería incluir todos los riesgos, estén o no bajo control de la organización.

La intención es generar una lista amplia de eventos que podrían afectar a cada elemento de la estructura referida en la Cláusula 4.1.6. Estos son luego considerados en mayor detalle para identificar lo que puede suceder.

Habiendo identificado una lista de eventos, es necesario considerar causas y escenarios posibles. Hay muchas formas en que se puede iniciar un evento. Es importante que no se omitan las causas significativas.

Los enfoques utilizados para identificar riesgos incluyen “checklists”, juicios basados en la experiencia y en los registros, diagramas de flujo, “brainstorming”, análisis de sistemas, análisis de escenarios y técnicas de ingeniería de sistemas.

El enfoque utilizado dependerá de la naturaleza de las actividades bajo revisión y los tipos de riesgos.

Los objetivos de análisis son separar los riesgos menores aceptables de los riesgos mayores, y proveer datos para asistir en la evaluación y tratamiento de los riesgos. El análisis de riesgos involucra prestar consideración a las fuentes de riesgos, sus consecuencias y las probabilidades de que puedan ocurrir esas consecuencias. Pueden identificarse los factores que afectan a las consecuencias y probabilidades. Se analiza el riesgo combinando estimaciones de consecuencias y probabilidades en el contexto de las medidas de control existentes.

Se puede llevar a cabo un análisis preliminar para excluir del estudio detallado los riesgos similares o de bajo impacto. De ser posible los riesgos excluidos deberían listarse para demostrar que se realizó un análisis de riesgos completo.

Identificar la administración, sistemas técnicos y procedimientos existentes para controlar los riesgos y evaluar sus fortalezas y debilidades. Pueden ser apropiadas las herramientas utilizadas en 4.2.4, como asimismo los enfoques tales como inspecciones y técnicas de auto-evaluación de controles (‘CSA’).

La magnitud de las consecuencias de un evento, si el mismo ocurriera, y la probabilidad del evento y sus consecuencias asociadas, se evalúan en el contexto de los controles existentes. Las consecuencias y probabilidades se combinan para producir un nivel de riesgo. Se pueden determinar las consecuencias y probabilidades utilizando análisis y cálculos estadísticos.

Alternativamente cuando no se dispone de datos anteriores, se pueden realizar estimaciones subjetivas que reflejan el grado de convicción de un individuo o grupo de que podrá ocurrir un evento o resultado particular.

Para evitar prejuicios subjetivos cuando se analizan consecuencias y probabilidades, deberían utilizarse las mejores técnicas y fuentes de información disponibles.

Se pueden incluir las siguientes fuentes de información:

Las técnicas incluyen:

Siempre que sea posible, debería incluirse el nivel de confianza asignado a las estimaciones de los niveles de riesgo.

El análisis de riesgos pueden ser llevado con distintos grados de refinamiento dependiendo de la información de riesgos y datos disponibles. Dependiendo de las circunstancias, el análisis puede ser cualitativo, semi-cuantitativo o cuantitativo o una combinación de estos. El orden de complejidad y costos de estos análisis en orden ascendente, es cualitativo, semi-cuantitativo y cuantitativo. En la práctica, a menudo se utiliza primero el análisis cualitativo para obtener una indicación general del nivel de riesgo. Luego puede ser necesario llevar a cabo un análisis cuantitativo más específico. El detalle de los tipos de análisis es el siguiente:

Análisis cuantitativo. El análisis cuantitativo utiliza valores numéricos para las consecuencias y probabilidades (en lugar de las escalas descriptivas utilizadas en los análisis cualitativos y semi-cuantitativos) utilizando datos de distintas fuentes (tales como las mencionadas en los sub-párrafos ( a (h) de la Cláusula 4.3.3). La calidad del análisis depende de la precisión e integridad de los valores numéricos utilizados. Las consecuencias pueden ser estimadas modelando los resultados de un evento o conjunto de eventos, o extrapolando a partir de estudios experimentales o datos del pasado. Las consecuencias pueden ser expresadas en términos de criterios monetarios, técnicos o humanos, o cualquier otro criterio referido en la Cláusula 4.1.5. En algunos casos se requiere más de un valor numérico para especificar las consecuencias para distintos momentos, lugares, grupos o situaciones. La probabilidad es expresada generalmente como una probabilidad, una frecuencia, o una combinación de exposición y probabilidad. La forma en que se expresan las probabilidades y las consecuencias y las formas en que las mismas son combinadas para proveer un nivel de riesgo variarán de acuerdo con el tipo de riesgo y el contexto en el cual se va a utilizar el nivel de riesgo.

Dado que algunas de las estimaciones realizadas en el análisis cuantitativo son imprecisas, deberá llevarse a cabo un análisis de sensibilidad para comprobar el efecto de los cambios en los supuestos y en los datos.

La Figura 4.2 ilustra el proceso de tratamiento de los riesgos. Las opciones, que no son necesariamente mutuamente exclusivas y apropiadas en todas las circunstancias, incluyen lo siguiente:

A la reducción de las consecuencias y probabilidades se las puede referir como control de riesgos. El control de riesgos involucra determinar el beneficio relativo de nuevos controles a la luz de la efectividad de los controles existentes. Los controles pueden involucrar políticas de efectividad, procedimientos o cambios físicos.

Las opciones deberían ser evaluadas sobre la base del alcance de la reducción del riesgo, y el alcance de cualquier beneficio u oportunidad adicional creadas, tomando en cuenta los criterios desarrollados en la Cláusula 4.1.5. Pueden considerarse y aplicarse una cantidad de opciones ya sea individualmente o combinadas.

La selección de la opción más apropiada involucra balancear el costo de implementar cada opción contra los beneficios derivados de la misma. En general, el costo de administrar los riesgos necesita ser conmensurada con los beneficios obtenidos.

Cuando se pueden obtener grandes reducciones en el riesgo con un gasto relativamente bajo, tales opciones deberían implementarse. Otras opciones de mejoras pueden ser no económicas y necesita ejercerse el juicio para establecer si son justificables. Esto se ilustra en la Figura 4.3.

Las decisiones deberían tener en cuenta la necesidad de considerar cuidadosamente los riesgos raros pero severos, que podrían justificar medidas de seguridad que no son justificables por fundamentos estrictamente económicos.

En general el impacto adverso de los riesgos debería hacerse tan bajo como sea razonablemente practicable, independientemente de cualquier criterio absoluto.

Si el nivel de riesgo es alto, pero podrían resultar oportunidades considerables si se lo asume, tal como el uso de una nueva tecnología, entonces la aceptación del riesgo necesita estar basada en una evaluación de los costos de tratamiento y los costos de rectificar las consecuencias potenciales versus las oportunidades que podrían depararse de tomar el riesgo.

En muchos casos, es improbable que cualquier opción de tratamiento del riesgo sea una solución completa para un problema particular. A menudo la organización se beneficiará sustancialmente mediante una combinación de opciones tales como reducir la probabilidad de los riesgos, reducir sus consecuencias, y transferir o retener algunos riesgos residuales. Un ejemplo es el uso efectivo de contratos y la financiación de riesgos sustentados por un programa de reducción de riesgos.

Las opciones de tratamiento de los riesgos deberían considerar cómo es percibido el riesgo por las partes afectadas y las formas más apropiadas de comunicárselo a dichas partes.

El plan de tratamiento debería identificar las responsabilidades, el programa, los resultados esperados de los tratamientos, el presupuesto, las medidas de desempeño y el proceso de revisión a establecer.

El plan también debería incluir un mecanismo para evaluar la implementación de las opciones contra criterios de desempeño, las responsabilidades individuales y otros objetivos, y para monitorear los mojones críticos de implementación.

Idealmente, la responsabilidad por el tratamiento del riesgo debería ser llevada a cabo por aquellos con mejor posibilidad de controlar el riesgo. Las responsabilidades deberían ser acordadas entre las partes en el momento más temprano posible.

La implementación exitosa del plan de tratamiento del riesgo requiere un sistema efectivo de administración que especifique los métodos seleccionados, asigne responsabilidades y compromisos individuales por las acciones, y los monitoree respecto de criterios especificados.

Si luego del tratamiento hay un riesgo residual, debería tomarse la decisión de si retener este riesgo o repetir el proceso de tratamiento.

Debería documentarse cada etapa del proceso de administración de riesgos.

La documentación debería incluir los supuestos, los métodos, las fuentes de datos y los resultados.

Las razones para la documentación son las siguientes:

Las decisiones concernientes al alcance de la documentación pueden involucrar costos y beneficios y deberían tomar en consideración los factores mencionados arriba.

Guía: Para asistir y dar alguna guía acerca de la documentación apropiada, se proveen ejemplos en el Apéndice H. Estos ejemplos son indicativos más que comprensivos.