identificación y evaluación de riesgos. conceptos fundamentales de riesgo amenaza: evento...

Identificación y Identificación y evaluación de evaluación de

riesgosriesgos

Conceptos fundamentales Conceptos fundamentales de riesgode riesgo

Amenaza:Amenaza: Evento considerado como una Evento considerado como una posible fuente de materialización del riesgo.posible fuente de materialización del riesgo.

Exposición:Exposición: Nivel o grado de disponibilidad Nivel o grado de disponibilidad o exhibición de un objeto o recurso, a la o exhibición de un objeto o recurso, a la materialización del riesgo, por falta de un materialización del riesgo, por falta de un ambiente de control adecuado.ambiente de control adecuado.

Vulnerabilidad:Vulnerabilidad: Es el grado de impacto que Es el grado de impacto que puede sufrir un determinado objeto por la puede sufrir un determinado objeto por la exposición de éste a los riesgos.exposición de éste a los riesgos.

Riesgo:Riesgo: Identificación de una Identificación de una contingencia o proximidad de daño. La contingencia o proximidad de daño. La probabilidad de que una amenaza probabilidad de que una amenaza llegue a ocurrir por una vulnerabilidad.llegue a ocurrir por una vulnerabilidad.

Ocurrencia:Ocurrencia: Nivel cuantitativo de Nivel cuantitativo de efecto relativo o probabilistico de efecto relativo o probabilistico de materialización del riesgo, de acuerdo materialización del riesgo, de acuerdo a hechos estadísticos o históricos.a hechos estadísticos o históricos.

Tipos de riesgosTipos de riesgos

Riesgos operacionales

Riesgos del entorno

Riesgos de la información emanada

-Gestión estratégica- Gestión operativa- Gestión financiera

-Riesgos de integridad-Riesgos de fraude

-Riesgos tecnológicos-Riesgos financieros, etc.

-Cambios en la economía- Disminución en la

participación de mercado-Ingreso de nuevos

competidores

Clasificación del RiesgoClasificación del Riesgo

Los riesgos podemos…Los riesgos podemos…

RiesgoRiesgo

EvitarlosEvitarlos TransferirlosTransferirlos

ReducirlosReducirlos AsumirlosAsumirlos

Determinación de los Determinación de los niveles de Riesgo niveles de Riesgo

Cómo construir una Cómo construir una

““Matriz de Riesgos”Matriz de Riesgos”

Método CuantitativoMétodo Cuantitativo

¿Cómo construir una ¿Cómo construir una “Matriz de Riesgos”?“Matriz de Riesgos”?

1º paso: Determinar Importancia (Eje 1º paso: Determinar Importancia (Eje Y).Y).

Valuación del Activo

Valuación del Activo

Objetivo del negocio

Definir importancia del objeto

Realizar inventario de activos

Clasificar de mayor a menorsegún importancia (0-100)

2º paso: Determinación de 2º paso: Determinación de Probabilidad de Ocurrencia.Probabilidad de Ocurrencia.

Pondera:Pondera:

Evaluación de acontecimientosEvaluación de acontecimientos Evaluación del Evaluación del ambiente ambiente

dentro de un lapso de tiempo.dentro de un lapso de tiempo. de Control. de Control.

Amenaza deRiesgo * Exposición al

Riesgo

Probabilidad de Riesgo

Vulnerabilidad, Aceptación Vulnerabilidad, Aceptación de riesgode riesgo

100100

5050

00

Imp

ort

an

cia

Probabilidad50 100

Peligroso Catastrófico

Insignificante

Rutinario

Las áreas achuradas son las áreas de Las áreas achuradas son las áreas de aceptación de riesgo que cada aceptación de riesgo que cada empresa define para cada cuadrante.empresa define para cada cuadrante.

Cuando un riesgo se encuentra dentro Cuando un riesgo se encuentra dentro del área de aceptación, los riesgos del área de aceptación, los riesgos deben ser monitoreados. Por otro lado deben ser monitoreados. Por otro lado los que estén fuera de dicha área, los que estén fuera de dicha área, deben ser controlados por la deben ser controlados por la empresa, tratando de evitar que el empresa, tratando de evitar que el riesgo se materialice.riesgo se materialice.

Caso prácticoCaso práctico

““Servicio de Registro Civil Servicio de Registro Civil e Identificacióne Identificación

En línea”En línea”

Desarrollo del Desarrollo del casocaso

Valuación de los activos Valuación de los activos Evaluación de riesgosEvaluación de riesgos

Evaluación de la vulnerabilidadEvaluación de la vulnerabilidadDefinición del nivel de aceptación de los Definición del nivel de aceptación de los

riesgosriesgosMatriz de riesgosMatriz de riesgos

Análisis de riesgosAnálisis de riesgos

Importancia del objetoImportancia del objeto Valuación de activosValuación de activos

o Elementos necesarios para el soporte de la Elementos necesarios para el soporte de la página Web del Servicio de Registro Civil e página Web del Servicio de Registro Civil e Identificación en línea.Identificación en línea.

Grado de Grado de importanciimportanci

aa

ElementoElemento ObjetivoObjetivo

1°1°

RedesRedes Otorgar la conectividad entre Otorgar la conectividad entre los computadores del los computadores del departamento.departamento.

ServidorServidor Permitir el acceso a Internet, y Permitir el acceso a Internet, y sostener la página Web.sostener la página Web.

Soporte Soporte TécnicoTécnico

Efectuar la mantención del Efectuar la mantención del servidor, y de los equipos servidor, y de los equipos computacionales, así como computacionales, así como también actualizar la base de también actualizar la base de datos.datos.

InstalacionesInstalaciones Disponer de un lugar físico Disponer de un lugar físico para realizar las operaciones y para realizar las operaciones y almacenar los equipos.almacenar los equipos.

Bases de Bases de datosdatos

Información actualizada de Información actualizada de todos los habitantes del país.todos los habitantes del país.

Grado de Grado de importanimportan

ciacia


2°2°

HardwareHardware Equipos computacionales que Equipos computacionales que permitan almacenar la base de permitan almacenar la base de datos.datos.

Software Software especializadosespecializados

Generar certificados de Generar certificados de matrimonio, nacimiento, matrimonio, nacimiento, defunción y vehículos defunción y vehículos motorizados.motorizados.

Personal Personal (planta, (planta, programadoresprogramadores, analistas de , analistas de sistema)sistema)

Efectuar las operaciones Efectuar las operaciones administrativas, así como velar administrativas, así como velar por el buen funcionamiento del por el buen funcionamiento del sistema y la operación de la sistema y la operación de la página Web.página Web.

Conocimiento Conocimiento informáticoinformático

Permitir al personal realizar Permitir al personal realizar eficazmente sus tareas.eficazmente sus tareas.

Grado de Grado de importanimportan

ciacia


3°3°

CortafuegosCortafuegos Crear una muralla virtual que Crear una muralla virtual que impida el acceso a usuarios mal impida el acceso a usuarios mal intencionados al sistema.intencionados al sistema.

AntiespíasAntiespías Impedir el acceso de hackers al Impedir el acceso de hackers al sistema.sistema.

AntivirusAntivirus Impedir el acceso de virus Impedir el acceso de virus informáticos al sistema.informáticos al sistema.

4°4°

Convenios con Convenios con instituciones instituciones “puentes” de “puentes” de pagopago

Permitir que el pago de los Permitir que el pago de los certificados se realice mediante certificados se realice mediante estas instituciones. estas instituciones.

Outsourcing Outsourcing diseño y diseño y creación creación página Web.página Web.

Desarrollar el portal del Desarrollar el portal del Servicio de Registro Civil e Servicio de Registro Civil e Identificación en línea.Identificación en línea.

Evaluación de riesgosEvaluación de riesgos Identificación de riesgosIdentificación de riesgos1.1. Caída del sistema, que impida otorgar los Caída del sistema, que impida otorgar los

certificados en líneacertificados en línea1.1 Causas externas1.1 Causas externas1.2 Causas internas1.2 Causas internas

2.2. Ingreso de hackers a las bases de datosIngreso de hackers a las bases de datos3.3. Ataque de virus al sistema operativoAtaque de virus al sistema operativo4.4. Personal no capacitado para desempeñar las Personal no capacitado para desempeñar las

funciones requeridas.funciones requeridas.5.5. Obsolescencia de los equipos y redes Obsolescencia de los equipos y redes

computacionalescomputacionales6.6. No tener bien configurado un servidor para tener No tener bien configurado un servidor para tener

password seguras.password seguras.7.7. Cruce de datos, que generen certificados erróneos, Cruce de datos, que generen certificados erróneos,

por ejemplo, que una persona ingrese su RUN para por ejemplo, que una persona ingrese su RUN para obtener un certificado de nacimiento, y obtenga un obtener un certificado de nacimiento, y obtenga un documento con datos que no le correspondadocumento con datos que no le corresponda

Medición de amenaza y exposiciónMedición de amenaza y exposición

N ° de N ° de riesgoriesgo

AmenazAmenazaa

(0-1)(0-1)

ExposiciónExposición

(amb.Cont(amb.Control)rol)

ProbabiliProbabilidaddad

ObservacionesObservaciones

1.11.1 0.30.3 0.10.1 0.030.03 Existen medidas de control Existen medidas de control frente a la situación, p.e, caída frente a la situación, p.e, caída general en el servicio eléctricogeneral en el servicio eléctrico

1.21.2 0.20.2 11 0.20.2

22 0.80.8 0.40.4 0.320.32

33 0.80.8 0.20.2 0.160.16 La entidad toma medidas La entidad toma medidas utilizando SW antivirus.utilizando SW antivirus.

44 0.30.3 0.30.3 0.090.09 Cuando la organización Cuando la organización implantó el nuevo portal implantó el nuevo portal electrónico, capacitó a sus electrónico, capacitó a sus empleados.empleados.

55 0.20.2 0.20.2 0.040.04

66 0.60.6 0.20.2 0.120.12

77 0.80.8 0.60.6 0.480.48

Evaluación de la vulnerabilidadEvaluación de la vulnerabilidad Medición del impactoMedición del impacto

N° de riesgoN° de riesgo ImpactoImpacto

1.11.1 0.550.55

1.21.2 0.550.55

22 0.80.8

33 0.80.8

44 0.30.3

55 0.350.35

66 0.750.75

77 0.950.95

Definición del nivel de aceptación de Definición del nivel de aceptación de riesgosriesgos

Considerando que: Considerando que: • SRCeI es un organismo públicoSRCeI es un organismo público• Trabaja con los datos de todo el paísTrabaja con los datos de todo el país• No puede asumir grandes riesgos, pues No puede asumir grandes riesgos, pues

su labor no está orientada a buscar altas su labor no está orientada a buscar altas rentabilidades, sino a prestarle un rentabilidades, sino a prestarle un servicio a la sociedadservicio a la sociedad-Cuadrante catastrófico: 0.55

-Cuadrante peligroso: 0.65-Cuadrante rutinario: 0.25

-Cuadrante insignificante: 0.35

Matriz de RiesgosMatriz de RiesgosIm

pacto

Probabilidad0.50 1

0.5

1

0.65

0.250.35

3 21.2

1.1

45

6

7

Análisis de Riesgos.Análisis de Riesgos.

Riesgos a Riesgos a MonitorearMonitorear

Riesgos a Riesgos a ControlarControlar

66

771.11.1

1.21.2

33

44

55

Determinación de los Determinación de los niveles de Riesgo niveles de Riesgo

Cómo construir una Cómo construir una

““Matriz de Riesgos”Matriz de Riesgos”

Método CualitativoMétodo Cualitativo

Método CualitativoMétodo Cualitativo

Este método utiliza formatos de palabras o Este método utiliza formatos de palabras o escalas descriptivas para describir la magnitud de escalas descriptivas para describir la magnitud de las consecuencias potenciales y la probabilidad de las consecuencias potenciales y la probabilidad de que estas consecuencias ocurran. Estas escalas que estas consecuencias ocurran. Estas escalas se pueden modificar o ajustar para adaptarlas a se pueden modificar o ajustar para adaptarlas a las circunstancias y se pueden utilizar distintas las circunstancias y se pueden utilizar distintas descripciones para riesgos diferentes. descripciones para riesgos diferentes.

El análisis cualitativo se utiliza:El análisis cualitativo se utiliza:+ Como una actividad inicial, para identificar los riesgos + Como una actividad inicial, para identificar los riesgos

que requieren un análisis más detallado.que requieren un análisis más detallado.

+ Cuando el nivel de riesgo no justifica el tiempo y + Cuando el nivel de riesgo no justifica el tiempo y esfuerzo para un análisis más completo.esfuerzo para un análisis más completo.

+ Cuando los datos numéricos son inadecuados para un + Cuando los datos numéricos son inadecuados para un análisis cuantitativo.análisis cuantitativo.

Determinar medidas Cualitativas de Determinar medidas Cualitativas de consecuencia o impactoconsecuencia o impacto

NIVEL DESCRIPTOR Ejemplo de descriptor detallado

1 INSIGNIFICANTE Sin perjuicios, baja pérdida financiera

2 MENOR Tratamiento de primeros auxilios, pérdida financiera media

3 MODERADO Requiere tratamiento médico. Pérdida financiera alta.

4 MAYOR Perjuicios extensivos, pérdida de capacidad de producción. Pérdida financiera mayor.

5 CATASTROFICO Muerte. Enorme pérdida financiera.

Determinar Medidas Cualitativas de Determinar Medidas Cualitativas de probabilidadprobabilidad

NIVEL DESCRIPTOR Ejemplo de descriptor detallado

A CASI CERTEZA Se espera que ocurra en la mayoría de la circunstancias.

B PROBABLE Probablemente ocurrirá en la mayoría de las circunstancias

C POSIBLE Podría ocurrir en algún momento

D IMPROBABLE Pudo ocurrir en algún momento

E RARO Puede ocurrir sólo en circunstancias excepcionales

Matriz de análisis de Matriz de análisis de riesgo cualitativo – riesgo cualitativo –

nivel de riesgonivel de riesgo

Evaluación de RiesgosEvaluación de Riesgos El producto de una evaluación de riesgos El producto de una evaluación de riesgos

es una lista de riesgos con prioridades es una lista de riesgos con prioridades para una acción posterior.para una acción posterior.

Deberían considerarse los objetivos de la Deberían considerarse los objetivos de la organización y el grado de oportunidad organización y el grado de oportunidad que podrían resultar de tomar el riesgo.que podrían resultar de tomar el riesgo.

Las decisiones deben tener en cuenta el Las decisiones deben tener en cuenta el amplio contexto del riesgo e incluir amplio contexto del riesgo e incluir consideración de la tolerancia de los consideración de la tolerancia de los riesgos sostenidos por las partes fuera de riesgos sostenidos por las partes fuera de la organización que se benefician de ellos.la organización que se benefician de ellos.

Evaluación de RiesgosEvaluación de Riesgos Si los riesgos resultantes caen dentro de Si los riesgos resultantes caen dentro de

las categorías de riesgos bajos o las categorías de riesgos bajos o aceptables, pueden ser aceptados con un aceptables, pueden ser aceptados con un tratamiento futuro mínimo. tratamiento futuro mínimo.

Los riesgos bajos y aceptados deberían Los riesgos bajos y aceptados deberían ser monitoreados y revisados ser monitoreados y revisados periódicamente para asegurar que se periódicamente para asegurar que se mantiene aceptables.mantiene aceptables.

Si los riesgos no caen dentro de la Si los riesgos no caen dentro de la categoria de riesgos bajos o aceptables, categoria de riesgos bajos o aceptables, deberían ser tratados utilizando una o deberían ser tratados utilizando una o más de las opciones mencionadas a más de las opciones mencionadas a continuación.continuación.

Tratamiento de los Tratamiento de los RiesgosRiesgos

El tratamiento de los riesgos involucra El tratamiento de los riesgos involucra identificar el rango de opciones para identificar el rango de opciones para tratar los riesgos, evaluar esas opciones, tratar los riesgos, evaluar esas opciones, preparar planes para tratamientos de los preparar planes para tratamientos de los riesgos e implementarlos.riesgos e implementarlos.

Las opciones, que no son necesariamente Las opciones, que no son necesariamente exclusivas y apropiadas en todas en todas exclusivas y apropiadas en todas en todas las circunstancias incluyen:las circunstancias incluyen:

Identificar opciones para el Identificar opciones para el tratamiento de los riesgostratamiento de los riesgos

1.- Evitar el riesgo (aversion al riesgo)1.- Evitar el riesgo (aversion al riesgo)

Decidiendo no proceder con la actividad que Decidiendo no proceder con la actividad que probablemente generaría el riesgo (cuando probablemente generaría el riesgo (cuando esto es practicable). Evitar riesgos que esto es practicable). Evitar riesgos que pueden ocurrir inadecuadamente por una pueden ocurrir inadecuadamente por una actitud de aversión al riesgo, que es una actitud de aversión al riesgo, que es una tendencia en mucha gente (a menudo tendencia en mucha gente (a menudo influenciada por el sistema interno de una influenciada por el sistema interno de una organización). organización).

Evitar inadecuadamente algunos riesgos Evitar inadecuadamente algunos riesgos puede aumentar la significancia de otros.puede aumentar la significancia de otros.

La aversión al riesgo La aversión al riesgo tiene como resultado:tiene como resultado:

A.A. Decisiones de evitar o ignorar riesgos Decisiones de evitar o ignorar riesgos independientemente de la información independientemente de la información disponible y de los costos incurridos en el disponible y de los costos incurridos en el tratamiento de esos riesgos.tratamiento de esos riesgos.

B.B. Fallas en tratar los riesgos.Fallas en tratar los riesgos.C.C. Dejar las opciones críticas y/o decisiones en Dejar las opciones críticas y/o decisiones en

otras partes.otras partes.D.D. Diferir las decisiones que la organización no Diferir las decisiones que la organización no

puede evitar.puede evitar.E.E. Seleccionar una opción porque representa un Seleccionar una opción porque representa un

riesgo potencial más bajo, independiente de los riesgo potencial más bajo, independiente de los beneficios.beneficios.

2.2. Reducir la probabilidad de la ocurrencia. Reducir la probabilidad de la ocurrencia. Estas pueden incluir:Estas pueden incluir:

A.A. Programas de auditoria y cumplimiento.Programas de auditoria y cumplimiento.B.B. Condiciones contractuales.Condiciones contractuales.C.C. Revisiones formales de requerimientos, Revisiones formales de requerimientos,

especificaciones, diseño, ingeniería y especificaciones, diseño, ingeniería y operaciones.operaciones.

D.D. Inspecciones y controles de procesos.Inspecciones y controles de procesos.E.E. Administración de inversiones y de cartera.Administración de inversiones y de cartera.F.F. Mantenimiento preventivo.Mantenimiento preventivo.G.G. Aseguramiento de calidad, administración y Aseguramiento de calidad, administración y

estándares.estándares.H.H. Investigación y desarrollo.Investigación y desarrollo.I.I. Capacitación estructurada y otros programas.Capacitación estructurada y otros programas.J.J. Supervisión.Supervisión.K.K. Comprobaciones.Comprobaciones.L.L. Acuerdos organizacionales.Acuerdos organizacionales.M.M. Controles técnicos.Controles técnicos.

3.3. Reducir las consecuencias (Impacto). Reducir las consecuencias (Impacto). Estas pueden incluir:Estas pueden incluir:

A.A. Planeamiento de auditoria.Planeamiento de auditoria.B.B. Arreglos contractuales.Arreglos contractuales.C.C. Condiciones contractuales.Condiciones contractuales.D.D. Características de diseño.Características de diseño.E.E. Planes de recupero de desastres.Planes de recupero de desastres.F.F. Barreras de ingeniería y estructurales.Barreras de ingeniería y estructurales.G.G. Planeamiento de control de fraudes.Planeamiento de control de fraudes.H.H. Minimizar la exposición a fuentes de riesgo.Minimizar la exposición a fuentes de riesgo.I.I. Planeamiento de la cartera.Planeamiento de la cartera.J.J. Política y controles de precio.Política y controles de precio.K.K. Separación o reubicación de una actividad y Separación o reubicación de una actividad y

recursos.recursos.L.L. Relaciones públicas.Relaciones públicas.

4.4. Transferir los riesgos.Transferir los riesgos.Esto involucra que otra parte soporte o Esto involucra que otra parte soporte o comparta parte del riesgo. Los mecanismos comparta parte del riesgo. Los mecanismos incluyen el uso de contratos, arreglos de incluyen el uso de contratos, arreglos de seguros y estructuras organizacionales, tales seguros y estructuras organizacionales, tales como sociedades y como sociedades y “joint ventures”“joint ventures”

La transferencia de un riesgo a otras La transferencia de un riesgo a otras partes, o la transferencia física a otros lugares, partes, o la transferencia física a otros lugares, reducirá el riesgo para la organización reducirá el riesgo para la organización original, pero puede no disminuir el nivel original, pero puede no disminuir el nivel general del riesgo para la Sociedad.general del riesgo para la Sociedad.

Cuando los riesgos son total o Cuando los riesgos son total o parcialmente transferidos, la organización que parcialmente transferidos, la organización que los transfiere ha adquirido un nuevo riesgo, los transfiere ha adquirido un nuevo riesgo, que la organización a la cual ha transferido el que la organización a la cual ha transferido el riesgo no pueda administrarlo efectivamente.riesgo no pueda administrarlo efectivamente.

5.5. Retener los Riesgos.Retener los Riesgos.

Luego de que los riesgos Luego de que los riesgos hayan sido reducidos o transferidos, hayan sido reducidos o transferidos, podría haber riesgos residuales que podría haber riesgos residuales que sean retenidos. Deberían ponerse en sean retenidos. Deberían ponerse en practica planes para administrar las practica planes para administrar las consecuencias de esos riesgos si los consecuencias de esos riesgos si los mismos ocurrieran, incluyendo mismos ocurrieran, incluyendo identificar medios de financiar identificar medios de financiar dichos riesgos.dichos riesgos.

Los riesgos también pueden ser Los riesgos también pueden ser retenidos en forma predeterminada.retenidos en forma predeterminada.

Evaluar opciones de Evaluar opciones de tratamiento de riesgostratamiento de riesgos

Las opciones deberían ser Las opciones deberían ser evaluadas sobre la base del alcance de evaluadas sobre la base del alcance de la reducción del riesgo, y el alcance la reducción del riesgo, y el alcance de cualquier beneficio u oportunidad de cualquier beneficio u oportunidad adicional creadas, tomando en cuenta adicional creadas, tomando en cuenta los criterios mencionados con los criterios mencionados con anterioridad. Pueden considerarse y anterioridad. Pueden considerarse y aplicarse una cantidad de opciones ya aplicarse una cantidad de opciones ya sea individualmente o combinadas.sea individualmente o combinadas.


La selección de la opción más La selección de la opción más apropiada involucra balancear el apropiada involucra balancear el costo de implementar cada opción costo de implementar cada opción contra los beneficios derivados de contra los beneficios derivados de la misma. En general, el costo de la misma. En general, el costo de administrar los riesgos necesita administrar los riesgos necesita ser con relación con los beneficios ser con relación con los beneficios obtenidos.obtenidos.


Cuando se pueden obtener Cuando se pueden obtener grandes reducciones en el riesgo grandes reducciones en el riesgo con un gasto relativamente bajo, con un gasto relativamente bajo, tales opciones deberían tales opciones deberían implementarse. Otras opciones de implementarse. Otras opciones de mejoras pueden ser no económicas mejoras pueden ser no económicas y necesita ejercerse el juicio para y necesita ejercerse el juicio para establecer si son justificables.establecer si son justificables.


Las decisiones deberían tener Las decisiones deberían tener en cuenta la necesidad de en cuenta la necesidad de considerar cuidadosamente los considerar cuidadosamente los riesgos raros, pero severos, que riesgos raros, pero severos, que podrían justificar medidas de podrían justificar medidas de seguridad que no son justificadas seguridad que no son justificadas por fundamentos estrictamente por fundamentos estrictamente económicoseconómicos

Preparar planes de Preparar planes de tratamiento.tratamiento.

Los planes deberían documentar cómo deben Los planes deberían documentar cómo deben ser implementadas las opciones seleccionadas.ser implementadas las opciones seleccionadas.

El plan de tratamiento debería identificar las El plan de tratamiento debería identificar las responsabilidades, el programa, los resultados responsabilidades, el programa, los resultados esperados de los tratamientos, el presupuesto, esperados de los tratamientos, el presupuesto, las medidas de desempeño y el proceso de las medidas de desempeño y el proceso de revisión a establecer. revisión a establecer.

El plan también debería incluir un mecanismo El plan también debería incluir un mecanismo para evaluar la implementación de las opciones para evaluar la implementación de las opciones contra criterios de desempeño, las contra criterios de desempeño, las responsabilidades individuales y otros responsabilidades individuales y otros objetivos.objetivos.

Implementar planes de Implementar planes de tratamiento.tratamiento.

Idealmente la responsabilidad por el tratamiento Idealmente la responsabilidad por el tratamiento del riesgo debería ser llevada a cabo por del riesgo debería ser llevada a cabo por aquellos con mejor posibilidad de controlar el aquellos con mejor posibilidad de controlar el riesgo. Las responsabilidades deberían ser riesgo. Las responsabilidades deberían ser acordadas entre las partes en el momento más acordadas entre las partes en el momento más temprano posible.temprano posible.

La implementación exitosa del plan de La implementación exitosa del plan de tratamiento del riesgo requiere un sistema tratamiento del riesgo requiere un sistema efectivo de administración que especifique los efectivo de administración que especifique los métodos seleccionados, asigne responsabilidades métodos seleccionados, asigne responsabilidades y compromisos individuales por las acciones, y y compromisos individuales por las acciones, y los monitoree respecto de criterios especificados.los monitoree respecto de criterios especificados.

Si luego del tratamiento hay un riesgo residual, Si luego del tratamiento hay un riesgo residual, debería tomarse la decisión de si retener este debería tomarse la decisión de si retener este riesgo o repetir el proceso de tratamiento.riesgo o repetir el proceso de tratamiento.

Monitoreo y revisión.Monitoreo y revisión.

Es necesario monitorear los riesgos, la Es necesario monitorear los riesgos, la efectividad del plan de tratamiento de los efectividad del plan de tratamiento de los riesgos, las estrategias, y el sistema de riesgos, las estrategias, y el sistema de administración que se establece para administración que se establece para controlar la implementación. Los riesgos y controlar la implementación. Los riesgos y la efectividad de las medidas de control la efectividad de las medidas de control necesitan ser monitoreados para asegurar necesitan ser monitoreados para asegurar que las circunstancias cambiantes no que las circunstancias cambiantes no alteren las prioridades de los riesgos. alteren las prioridades de los riesgos. Pocos riesgos permanecen estáticos.Pocos riesgos permanecen estáticos.

Monitoreo y revisión.Monitoreo y revisión.

Es esencial una revisión sobre la marcha Es esencial una revisión sobre la marcha para asegurar que el plan de administración se para asegurar que el plan de administración se mantiene relevante. Pueden cambiar los mantiene relevante. Pueden cambiar los factores que podrían afectar las probabilidades factores que podrían afectar las probabilidades y consecuencias de un resultado, como y consecuencias de un resultado, como también los factores que afecten la también los factores que afecten la conveniencia o costos de las distintas opciones conveniencia o costos de las distintas opciones de tratamiento. En consecuencia, es necesario de tratamiento. En consecuencia, es necesario repetir regularmente el ciclo de administración repetir regularmente el ciclo de administración de riesgos. La revisión es una parte integral de riesgos. La revisión es una parte integral del plan de tratamiento de la administración del plan de tratamiento de la administración de riesgos.de riesgos.

Comunicación y ConsultaComunicación y Consulta

||La comunicación y consulta son una ||La comunicación y consulta son una consideración importante en cada paso del consideración importante en cada paso del proceso de administración de riesgos. Es proceso de administración de riesgos. Es importante desarrollar un plan de importante desarrollar un plan de comunicación para los interesados internos comunicación para los interesados internos y externos en la etapa más temprana del y externos en la etapa más temprana del proceso. Este plan debería encarar proceso. Este plan debería encarar aspectos relativos al riesgo en si mismo y al aspectos relativos al riesgo en si mismo y al proceso para administrarlo.proceso para administrarlo.


La comunicación y consulta La comunicación y consulta involucra un dialogo en ambas involucra un dialogo en ambas direcciones entre los interesados, con direcciones entre los interesados, con el esfuerzo focalizado en la consulta el esfuerzo focalizado en la consulta más que un flujo de información en un más que un flujo de información en un solo sentido del tomador de decisión solo sentido del tomador de decisión hacia los interesados.hacia los interesados.


Es importante la comunicación Es importante la comunicación interna y externa para asegurar que interna y externa para asegurar que aquellos responsables por aquellos responsables por implementar la administración de implementar la administración de riesgos, y aquellos con intereses riesgos, y aquellos con intereses creados comprenden la base sobre la creados comprenden la base sobre la cual se toman las decisiones y por qué cual se toman las decisiones y por qué se requieren ciertas acciones en se requieren ciertas acciones en particular.particular.


Las percepciones de los riesgos Las percepciones de los riesgos pueden variar debido a diferencias en los pueden variar debido a diferencias en los supuestos, conceptos, las necesidades, supuestos, conceptos, las necesidades, aspectos y preocupaciones de los aspectos y preocupaciones de los interesados, según se relacionen con el interesados, según se relacionen con el riesgo o los aspectos bajo discusión. Los riesgo o los aspectos bajo discusión. Los interesados probablemente harán juicios de interesados probablemente harán juicios de aceptabilidad de los riesgos, basados en su aceptabilidad de los riesgos, basados en su percepción de los mismos.percepción de los mismos.


Dado que los interesados pueden Dado que los interesados pueden tener un impacto significativo en las tener un impacto significativo en las decisiones tomadas, es importante decisiones tomadas, es importante que sus percepciones de los riesgos, que sus percepciones de los riesgos, así como, sus percepciones de los así como, sus percepciones de los beneficios, sean identificadas y beneficios, sean identificadas y documentadas y las razones documentadas y las razones subyacentes para las mismas subyacentes para las mismas comprendidas y tomadas en cuenta.comprendidas y tomadas en cuenta.

DocumentaciónDocumentación

Debe documentarse cada etapa del Debe documentarse cada etapa del proceso de administración de proceso de administración de riesgos.riesgos.

La documentación debería incluir los La documentación debería incluir los supuestos, los métodos, las fuentes supuestos, los métodos, las fuentes de datos y los resultados.de datos y los resultados.

Razones para la Razones para la documentacióndocumentación

Demostrar que el proceso es conducido Demostrar que el proceso es conducido apropiadamente.apropiadamente.

Proveer evidencia de un enfoque sistemático de Proveer evidencia de un enfoque sistemático de identificación y análisis de riesgos.identificación y análisis de riesgos.

Proveer un registro de los riesgos y desarrollar la Proveer un registro de los riesgos y desarrollar la base de datos de conocimientos de la organización.base de datos de conocimientos de la organización.

Proveer a los tomadores de decisión relevantes de Proveer a los tomadores de decisión relevantes de un plan de administración de riesgos para un plan de administración de riesgos para aprobación y subsiguiente implementación.aprobación y subsiguiente implementación.

Proveer un mecanismo y herramienta de Proveer un mecanismo y herramienta de responsabilidad.responsabilidad.

Facilitar el continuo monitoreo y revisiónFacilitar el continuo monitoreo y revisión Proveer una pista de auditoriaProveer una pista de auditoria Compartir y comunicar informaciónCompartir y comunicar información

Razones para la Razones para la DocumentaciónDocumentación

Las decisiones concernientes al Las decisiones concernientes al alcance de la documentación pueden alcance de la documentación pueden involucrar costos y beneficios y involucrar costos y beneficios y deberían tomar en consideración los deberían tomar en consideración los factores mencionados con factores mencionados con anterioridad.anterioridad.

identificación y evaluación de riesgos. conceptos fundamentales de riesgo amenaza: evento...

Documents