establecer el contexto - sdr...[type text] [type text] [type text] 6 taller de análisis de riesgos...

[Type text] [Type text] [Type text]

6

Taller de Análisis de Riesgos

Establecer el contexto

Todo análisis, estudio o proyecto en una organización debe estar enmarcado por el conocimiento, previo del entorno, las necesidades y el ambiente en general, de modo que se garantice el éxito del proyecto que se emprende.

Este conocimiento marcará las pautas para la toma de decisiones basadas en los resultados obtenidos, así como especificará el objetivo a realizar, en este caso, una evaluación de riesgos.

En la primera fase, el objetivo principal es que la organización tenga un visión global de los factores que tienen influencia en la capacidad de conseguir sus metas y objetivos establecidos, es decir, conoceremos en donde estamos parados.

Esta fase se compone por las siguientes actividades:

Establecer el contexto externo Establecer el contexto interno Establecer el contexto administración de riesgos Desarrollar criterios Decidir la estructura para aplicar la evaluación


7


La primera actividad, consiste en conocer la interacción que tiene la organización con el ambiente externo.

Como individuos y como organización estamos inmersos en la vida social, cultural, económica y política de la región donde nos encontramos. Adicionalmente nos afectan determinadas regulaciones dependiendo del sector al que pertenecemos y no podemos dejar de lado el ambiente competitivo al que estamos sometidos.

Al estar inmerso en este complejo ambiente, también es importante conocer a los principales grupos de interés que nos tienen en la mira tales como el gobierno, ONG’s y sociedad en general.

Es de suma importancia que la organización sea consciente de sus fortalezas, debilidades, oportunidades y amenazas; así como la percepción de ella, desde el exterior, ya que esto le ayudará a desarrollar criterios acertados para la administración y evaluación de riesgos.

Establecer el contexto interno:

Después de conocer en donde se encuentra la organización, es tiempo de mirar al interior y entenderla al mayor nivel posible.

Los aspectos clave a examinar son:

La cultura organizacional Las políticas internas Los grupos de interés internos como colaboradores, accionistas, sindicatos,

entre otros La estructura organizacional La capacidad, en términos de recursos como personas, procesos, sistemas y

capitales Las metas y objetivos, así como las estrategias implementadas para

lograrlos

El contexto interno es importante, ya que la administración de riesgos regirá el diseño y establecimiento de una política de gestión de riesgos que apoye de forma integral la consecución de las metas y objetivos organizacionales.


8


Establecer el contexto de la administración de riesgos.

Una vez que sabemos de forma global donde estamos parados, es tiempo de establecer los límites y reglas bajo los cuáles realizaremos la evaluación de riesgos. Es importante establecer los objetivos, metas, estrategias, alcances y límites, bajo los cuáles la evaluación, y en general la gestión de riesgos, operará.

Establecer el alcance y los límites involucra:

Definir las partes de la organización, procesos, proyectos o actividades serán sujetos a la evaluación junto con sus metas y objetivos

Definir la naturaleza de las decisiones que se deban tomar producto de la evaluación

Establecer la duración y los lugares de ejecución Identificar si existe la necesidad de realizar otros estudios complementarios y

el alcance, objetivos y recursos involucrados Determinar la existencia de excepciones o inclusiones, así como definir el

nivel de profundidad del análisis

Otro punto importante en este paso, es establecer los roles y responsabilidades de los participantes en la evaluación de riesgos. También, no se debe olvidar las relaciones existentes entre la evaluación y los demás proyectos, así como las actividades de la organización.

Desarrollo de los criterios de evaluación:

Los criterios o pautas a seguir para evaluar los riesgos y decidir aceptarlos, tolerarlos, transferirlos o mitigarlos. Estos criterios deben considerar aspectos operativos, factibilidad técnica, costo-beneficio, medio ambiente, aspectos socioculturales, y el aspecto regulatorio que pesa sobre la organización entre otros.

Recuerde que los criterios deben considerar todo el contexto establecido en los pasos anteriores.


9


Definir la estructura:

Este paso, involucra subdividir la actividad, proceso o proyecto en una serie de elementos que proporcionen una estructura lógica que impida ´pasar por alto riesgos significativos. Esta estructura depende de la naturaleza de los riesgos, y del alcance de la evaluación.

Es de vital importancia, cuidar la forma en que llevaremos a cabo esta fase, ya que los riesgos que no sean identificados, es muy probable que sean omitidos, pues será difícil que salgan a relucir en fases posteriores.

¿Qué puede suceder, cuándo y cómo?

El primer paso, consiste en generar una lista lo suficientemente amplia de fuentes de riesgo y de eventos que tengan algún tipo de impacto en los objetivos y metas de la organización, o que afecten algún elemento de la misma. Para realizar este paso, nos vamos a auxiliar de catálogos de fuentes o clasificaciones de eventos, los cuales más adelante examinaremos a detalle.

Identificar Riesgos


10


Una vez que conocemos los eventos que afectan la consecución de las metas y objetivos, lo siguiente es identificar las causas y los posibles escenarios que se pueden materializar.

Recuerde, que un evento dañino puede ser desencadenado por más de una causa, así que preste especial atención para así tomar en cuenta hasta los más insignificantes detalles.

Herramientas y técnicas.

Entre los métodos más empleados para identificar los riesgos se encuentran:

Listas de chequeo Juicios basados en experiencia y registros Diagramas de flujo Lluvia de ideas Análisis de sistemas Análisis de escenarios

Recuerde que los elementos que resulten en esta fase, pueden o no estar bajo el control de la organización.

¿Cómo y porqué pueden suceder?


11


Esta fase, está orientada a entender el riesgo para proveer pautas y tomar decisiones sobre las acciones que se requieren para enfrentar el riesgo, como es su tratamiento, prioridad y sobre todo evaluar el costo beneficio de las soluciones propuestas.

Analizar un riesgo, implica considerar las fuentes de riesgo, sus consecuencias positivas y negativas y la probabilidad de que dichas consecuencias se materialicen. El riesgo se analiza en sí, al combinar las consecuencias o impactos, y su probabilidad de ocurrencia.

Determinar los controles existentes.

El primer paso de esta fase, es determinar la existencia de procesos, dispositivos, prácticas o actividades que actúen en forma tal que se minimice la probabilidad de ocurrencia del riesgo o el impacto que éste pueda tener. Por cada control, se debe

Analizar riesgos


12


identificar sus fortalezas y debilidades. La presencia de controles demuestra la existencia de actividades de tratamiento de riesgos.

Determinar consecuencias y probabilidades.

Cuando un evento se llega a materializar, trae consigo consecuencias con determinada magnitud, y a la vez el evento tiene una probabilidad de ocurrencia. Ambos aspectos deben evaluarse tomando en cuenta los controles detectados en el paso anterior.

Recuerde que un mismo evento puede tener múltiples consecuencias y dañar a diferentes objetivos.

La obtención de las consecuencias y probabilidades se realiza mediante el uso de análisis y cálculos estadísticos, o se usan fuentes de información como son: registros anteriores, experiencia relevante, prácticas y experiencia de la industria, literatura relevante publicada, comprobaciones de marketing e investigaciones de mercado, experimentos y prototipos, modelos económicos y de ingeniería, opiniones y juicios de especialistas y expertos.

Establecer el nivel del riesgo.

La combinación del nivel de consecuencias, y la probabilidad es la que nos va a arrojar el nivel de riesgo. El análisis de riesgo implica diversos grados de profundidad, dependiendo de los requerimientos de la organización, los datos disponibles, así como del alcance y los objetivos planteados en el contexto.

El análisis puede ser cualitativo, cuantitativo o una combinación dependiendo de las circunstancias. En la práctica, el análisis cualitativo es el primero que se aplica para obtener los niveles de riesgo y revela los mayores temas de riesgo. Posteriormente, se aplica el análisis cuantitativo para obtener más información. Recuerde, que el detalle de análisis va en base a las necesidades y expectativas de la organización.

Análisis cualitativo.

Este análisis, se basa en la experiencia de un grupo con amplio conocimiento en la organización.


13


Este tipo de análisis se compone básicamente de palabras que conforman escalas que describen la magnitud de las consecuencias, y la probabilidad de ocurrencia de los eventos. Estas escalas son adaptadas a la organización y sus circunstancias.

El análisis cualitativo se utiliza como un modo de escaneo general de los riesgos, para posteriormente, someterlos a un análisis más detallado. También se utiliza cuando este tipo de análisis arroja resultados apropiados para la toma de decisiones; y sobre todo, se utilizan cuando los datos numéricos o los recursos de información son inapropiados para realizar un análisis cuantitativo. El resultado de este análisis, es un mapa de riesgos.

Análisis cuantitativo.

Este análisis cuantifica la probabilidad esperada de ciertos eventos, así como las consecuencias dañinas, por ejemplo, de costo financiero, o heridos. También asigna valores al costo de las medidas de control.

Tome en cuenta que la calidad de este tipo de análisis, depende de la precisión y completitud de los recursos de información y de la validez de los modelos utilizados.


14


El propósito de la evaluación de riesgos es plantear la base para la toma de acciones futuras, relativas a los riesgos identificados.

Los pasos en esta fase son:

Comparar contra los criterios Establecer prioridades ¿Se acepta el riesgo?

Evaluar los riesgos, significa realizar una comparación entre el nivel de riesgo detectado durante el análisis y los criterios previamente establecidos.

La evaluación, debe arrojar una serie de decisiones basadas en las salidas del análisis de riesgos relativas a que deben abordar la necesidad de algún tratamiento que requiera el riesgo, y para aquellos tratamientos identificados se les debe asignar una prioridad, es decir arroja una lista con prioridades para una acción posterior.

Al momento de tomar las decisiones, se debe considerar los objetivos de la organización y el grado de oportunidad que resulta de tomar o no el riesgo.

Si los riesgos caen dentro de las categorías de niveles bajos o aceptables, éstos pueden ser atacados con un tratamiento mínimo a largo plazo. Este tipo de riesgos deben ser monitoreados periódicamente para asegurar que se mantienen aceptables.

Si por el contrario, los riesgos caen en categorías superiores, entonces deben ser tratados dependiendo su criticidad, tal como veremos en la siguiente fase.

Evaluar riesgos

Comparar contra los criterios.

Establecer prioridades.

¿Se acepta el riesgo?


15


Tratar un riesgo significa identificar, evaluar y seleccionar de entre un rango de soluciones, aquellas que se adapten a las necesidades de la organización; también implica el preparar los planes e implementar las estrategias seleccionadas que tiene por objetivo impedir, reducir y controlar riesgos.

Los pasos de esta fase son:

El modelo de las 4 T’s proporciona las opciones más comunes para responder ante los riesgos presentes.

Tratar: esta opción explota la continuidad de negocios completamente, pues propone acciones para reducir o cambiar:

la probabilidad de ocurrencia, y las consecuencias o posibles impactos

Tolerar: es aceptar el riesgo, junto con el costo del impacto.

Tratar riesgos

Identificar opciones de tratamiento.


16


Transferir: involucra a una tercera parte para soportar o compartir el riesgo. Este mecanismo incluye contratos, compra de seguros entre otros. Es importante notar que al transferir el riesgo se adquiere uno nuevo: el del que el tercero no logre administrar efectivamente el riesgo.

Terminar: se decide no continuar con la actividad que genera el riesgo.

El paso de evaluar y seleccionar la opción más apropiada, involucra realizar un balance de costo – beneficio al realizar dicha implementación.

La regla general, es que el costo de administrar el riesgo sea menor al beneficio que se obtendrá. Para la selección también se deberá tomar en cuenta el contexto en el que se mueve la organización, sin dejar de lado las opiniones y percepciones de los grupos de interés. Recuerde que puede aplicar una acción o varias acciones sobre el mismo riesgo.

Después de implementar cualquier acción de salvaguarda, siempre quedará un riesgo residual, recuerde que es imposible eliminar el riesgo al cien por ciento, por lo que la organización debe considerar asumirlo y monitorearlo continuamente.

El propósito de este paso, es documentar las acciones de tratamiento que serán implementadas, entre las que destacan:

Las actividades posteriores a ejecutar Los recursos requeridos Las responsabilidades El tiempo requerido Las métricas de control Y los requerimientos para monitorear, tanto el desempeño de la acción

como el riesgo residual

Recuerde, que los planes deben considerar el presupuesto con el que cuenta la organización, así como con el respaldo de la Alta Dirección.

Evaluar y seleccionar opciones de tratamiento.

Preparar e implementar planes de tratamiento.


17


Sin duda alguna, el entorno donde una organización se desenvuelve no es estático, por lo tanto, los riesgos pertenecientes a ésta, junto con las medidas de control, son susceptibles a sufrir cambios, ya sea alterando las probabilidades de ocurrencia o los impactos que podría acarrear la materialización de un evento. Por lo que es importante realizar revisiones periódicas en la administración de riesgos.

Recuerde que la administración de riesgos debe cambiar junto con la organización.

Siempre debe tener en la mira, los cambios en el contexto, tanto interno como externo así como en los objetivos, metas y estrategias implementadas para lograrlos. Todos estos factores afectaran desde la aparición de nuevos riesgos hasta los niveles y controles de los ya existentes.

La comunicación y la consulta buscan establecer canales de comunicación efectiva y bidireccional entre los interesados, las partes encargadas de tomar las decisiones y aquellas encargadas de la implementación de la administración de riesgos.

Comunicar y consultar, más que una fase, es un elemento que debe estar presente durante todo el proceso de evaluación de riesgos, ya que permitirá contar con diferentes puntos de vista para enriquecer al contexto de una forma notable y valiosa.

Además establecer un adecuado plan de comunicaciones, tanto interno como externo, permitirá incrustar en la cultura organizacional la conciencia hacia el riesgo y el valor de administrarlo correctamente.

Hacia el exterior, contar con un plan de comunicaciones, aún en un nivel muy elemental, dará la impresión de responsabilidad y posiblemente impactará positivamente en la percepción y reputación de la organización.

Es importante tener presente todas las percepciones de los interesados relativas a los riesgos, ya que cada grupo de interés puede tener preocupaciones y suposiciones que pueden impactar en la calificación de los riesgos y en las acciones que se tomen. También pueden percibir de diferentes formas los beneficios que guiarán la

Monitorear y revisar

Comunicar y consultar.


18


implementación de las soluciones, así como las bases sobre las cuales se toma una decisión en particular.

Al final, se busca integrar todas las percepciones y lograr que todas las partes involucradas comprendan a la administración de riesgos y participen activamente en ella.

establecer el contexto - sdr...[type text] [type text] [type text] 6 taller de análisis de riesgos...

Documents