Líderes en Continuidad de Negocio

UNIDAD III

Análisis de Riesgos

www.sdr.com.mx
 Conceptos básicos sobre Riesgo

Metodología RA

Introducción y Objetivos
Gracias al ambiente en el que nos desenvolvemos como individuos, sociedad, y por consi-
guiente como organización, estamos constantemente expuestos a la ocurrencia de percances
o eventos que nos pueden impactar de forma negativa o positiva. Después de realizar un BIA,
la organización conoce la magnitud y evolución de los impactos que puede sufrir. Lo siguiente
es conocer los eventos que pueden causarlos, así como los elementos que pueden potenciali-
zar el daño. Esto se logra mediante un análisis de riesgo.

Al finalizar esta unidad, usted conocerá:

Lo que es un riesgo y sus elementos que lo componen.

La metodología de RA.

Unidad III Análisis de Riesgo 01

 Conceptos básicos
sobre el Riesgo

El riesgo es un concepto "común" por el vínculo que tiene con todo el quehacer, pues es posible
afirmar que no hay actividad que no incluya la palabra riesgo.

Debido a su naturaleza, las sociedades continuamente buscan la manera de conocer aquellos

eventos que pueden dañarlas y tomar acciones para evitarlos, para minimizar su ocurrencia, o
tomar acciones preventivas y reactivas, en caso de que se lleguen a presentar, esto es, asumir
un riesgo.

Entonces... ¿Qué es un riesgo?

Desde el punto de vista de BCM un riesgo es:

"La amenaza de que un evento o acción afecte de manera adversa la habilidad de una organiza-
ción para maximizar el valor que ofrece a sus accionistas y alcanzar los objetivos del negocio."

Anatomía de un riesgo

Un riesgo, podría representarse como una ecuación compuesta por cinco elementos básicos.

Amenaza
+ Vulnerabilidad
+ Probabilidad

RIESGO + IMPACTO

Unidad III Análisis de Riesgo 02

Amenaza

Una amenaza, es un evento que puede desencadenar un incidente en la organización, produ-

ciendo daños materiales o pérdidas intangibles en sus activos.

Las amenazas, son elementos fortuitos y que no están bajo el control de la organización, tales
como desastres naturales, accidentes industriales o situaciones sociales y políticas tales
como: huelgas, inestabilidad gubernamental, o crisis financiera.

Vulnerabilidad

Una vulnerabilidad, es la relación que existe entre un activo y una amenaza.

Una vez que se materializa una amenaza, ésta cuenta con ciertos elementos que le ayudan a
potencializar el daño sobre un activo específico. Las vulnerabilidades se encuentran bajo el
control de la organización.

Ejemplo de ellas son: malas condiciones de las instalaciones, sistema anti incendio ineficaz,
entre otros.

Probabilidad

La probabilidad es la posibilidad de que ocurra una amenaza.

Igual que las amenazas, se encuentran fuera del control de la organización, como ejemplo
podemos citar un edificio localizado en una zona de alta sismicidad y ubicada a 283 km de la
costa. La probabilidad de ocurrencia de un sismo es extremadamente alta, en comparación a
la nula probabilidad de verse afectado por un huracán.

Riesgo

El riesgo, es el potencial de pérdida para la empresa y un resultado no deseado que afecta en

diversos modos a una organización.

Impacto

El impacto, es el daño producido a la organización por un posible incidente, y es la última con-

secuencia de un riesgo.

Unidad III Análisis de Riesgo 03

 ¿Qué es RA?

Una vez conociendo lo que es un riesgo, así como sus elementos, pueden surgir las siguientes
preguntas:

Una organización ¿cómo puede detectar los eventos dañinos?

¿Cómo se relacionan estos con la organización?
¿Cómo me pueden afectar?
¿Cuándo sucederán?

Para resolver estas cuestiones, existe un estudio llamado Risk Assesment, o análisis de ries-
gos, en adelante RA.

El BS25999 define al RA como:

“El proceso global de identificación, análisis y evaluación de riesgos”.

Para realizar un RA existen diversas metodologías, algunas de uso gratuito, que auxilian a la
organización en el proceso de análisis, sin embargo su aplicación siempre requiere un profun-
do conocimiento de ésta y del ambiente en el que se desenvuelve.

Unidad III Análisis de Riesgo 04

 Actividades

Actividad 1: Conceptos sobre el riesgo

Instrucciones: De la nube de palabras, ubicada en la parte superior, seleccione y escriba en el

espacio aquel que mejor complemente las definiciones siguientes. Algunas palabras se pueden
repetir.

Riesgo, Amenaza, Análisis de Riesgo, Vulnerabilidad, Probabilidad, Impacto.

1. “La amenaza de que un evento o acción afecte de manera adversa la habilidad de una organi-
zación para maximizar el valor que ofrece a sus accionistas y alcanzar los objetivos del negocio"
es la definición de__________________ según BCM.

2. Las ______________ son eventos que pueden desencadenar un incidente en la organización,

produciendo daños materiales o pérdidas intangibles en sus activos.

3. La ______________ es la relación que existe entre un activo y una amenaza.

4. La ______________ es la posibilidad de que ocurra una amenaza.

5. El ______________ es el potencial de pérdida para la empresa.

6. La ______________ es el daño producido a la organización por un posible incidente; consecuen-

cia última del riesgo.

7. “El proceso global de identificación, análisis y evaluación de riesgos” es la definición de

__________________ según BCM.

Unidad III Análisis de Riesgo 05

 Metodología RA

Proceso de Gestión de Riesgos ANZ 4360

En el mercado existen diversas metodologías y guías dedicadas a la administración de riesgos

empresariales, los cuales marcan pautas para realizar análisis de riesgos.

Por ejemplo:

En el ámbito industrial existe HAZOP, el cual es un estudio de las desviaciones de los proce-
sos y los daños que pueden causar al personal, equipo, instalaciones, operación del proceso,
calidad del producto, ambiente, entre otros.

En el ámbito medioambiental, existe la norma UNE 150008:2008 Análisis del riesgo ambiental
que busca identificar riesgos derivados de la situación de una empresa en determinado lugar.

En el ambiente de TI, existen múltiples metodologías de libre uso como son OCTAVE, desarro-
llada por Carnegie Mellon University, Magerit desarrollada por el Ministerio de Administracio-
nes Publicas de España, Mehari desarrollada por el Club de seguridad de sistemas de infor-
mación de Francia, por mencionar algunas. Estas metodologías están orientadas a la admi-
nistración de riesgos desde el punto de vista informático y de comunicaciones.

Para este curso, utilizaremos el estándar australiano para la administración de riesgos ANZ
4360, el cual proporciona orientaciones para la gestión de riesgos y puede aplicarse en un con-
texto amplio de actividades y en cualquier tipo de entidad, ya sea pública, privada o comunitaria.
Este estándar es suficientemente flexible como para definir objetivos específicos de acorde a las
necesidades de la organización.

A continuación, se explicará cada parte de la metodología.

Unidad III Análisis de Riesgo 06

 Comunicar y Consultar

Establecer el conntexto

Identificar riesgos

Monitorear
Analizar Riesgos
y Revisar

Evaluar Riesgos

Comunicar y Consultar

Establecer el contexto

Todo análisis, estudio o proyecto de una organización, debe estar enmarcado por el conocimien-
to previo del entorno, las necesidades y el ambiente en general de modo que garantice el éxito
del mismo. Este conocimiento marcará las pautas para la toma de decisiones, basadas en los
resultados obtenidos, así como especificar el objetivo que se pretende alcanzar, para este caso,
un análisis de riesgos.

El contexto debe incluir:

1. La descripción del entorno en que se desenvuelve la organización y como se relacionan

entre sí. Debe incluir aspectos económicos, políticos, socioculturales, legales, regulatorios e
incluso ambientales.

2. La identificación de las metas, objetivos y estrategias de la organización, de modo que la

administración de riesgos apoye su consecución.

Unidad III Análisis de Riesgo 07

 3. Las características bajo las que se llevará a cabo la administración de riesgos, aquí se debe
tomar en cuenta los siguientes elementos:

a. Los recursos económicos, materiales y financieros con los que se contarán.

b. Los objetivos, metas y alcance de las actividades de la administración de riesgos.
c. El respaldo de la Alta Dirección.

4. Los criterios o pautas a seguir para evaluar los riesgos, así como para decidir aceptarlos,
tolerarlos, transferirlos o mitigarlos. Estos criterios deben considerar aspectos operativos,
factibilidad técnica, costobeneficio y el aspecto regulatorio que pesa sobre la organización.

En resumen: El contexto de una organización ayuda a decidir la gravedad de los riesgos detecta-
dos, y el modo en que se procederá para hacerles frente sin afectar los intereses de la organiza-
ción.

Identificar riesgos

Esta etapa debe responder a dos interrogantes principales:

1. ¿Qué puede suceder?

2. ¿Cómo y porqué pueden suceder?

Para responder ambas interrogantes, primero se debe realizar un listado con todos aquellos
eventos que pueden afectar a la organización. Posteriormente, se debe identificar las causas
que detonen dichos eventos y los elementos o vulnerabilidades que pueden potenciar el posible
daño.

Para facilitar la identificación de los riesgos correspondiente a esta etapa, la metodología pro-
porciona diferentes categorías de riesgo, a partir de las cuales se pueden identificar los eventos.

Herramientas y técnicas.

Unidad III Análisis de Riesgo 08

Entre los métodos más empleados para identificar los riesgos se encuentran:

Listas de chequeo.
Juicios basados en experiencia y registros.
Diagramas de flujo.
Lluvia de ideas.
Análisis de sistemas.
Análisis de escenarios.

Analizar riesgos

Una vez teniendo la relación de los eventos y sus causas, viene el momento de asignarle un nivel,
así como de proveer los datos para asistir en la evaluación y tratamiento de los riesgos.

Analizar un riesgo, implica combinar los siguientes elementos:

I. Controles existentes de carácter administrativo, técnico y de procedimientos, previamente

implementados. Se deben evaluar las fortalezas y debilidades de la organización.

II. La magnitud de las consecuencias si un evento llega a ocurrir.

III. La probabilidad de que un evento llegase a ocurrir.

Al combinar las consecuencias y probabilidades, se obtiene un nivel de riesgo, el cual debe ser
afectado por los controles existentes.

La obtención de las consecuencias y probabilidades se realiza mediante el uso de análisis y

cálculos estadísticos, o se usan fuentes de información como son: registros anteriores, expe-
riencia relevante, prácticas y experiencia de la industria, literatura relevante publicada, compro-
baciones de marketing e investigaciones de mercado, experimentos y prototipos, modelos eco-
nómicos y de ingeniería, opiniones y juicios de especialistas y expertos.

El análisis de riesgo, implica diversos grados de profundidad dependiendo de los requerimientos

de la organización y los datos disponibles.

Unidad III Análisis de Riesgo 09

El análisis puede ser:

Cualitativo:

Este análisis se basa en la experiencia de un grupo con amplio conocimiento de la organización.

Este tipo de análisis, se compone básicamente de palabras que conforman escalas que descri-
ben la magnitud de las consecuencias y la probabilidad de ocurrencia de los eventos. Dichas
escalas son adaptadas de acuerdo a la organización y a sus circunstancias.

Cuantitativo:

Este análisis cuantifica la probabilidad esperada de ciertos eventos, así como las consecuencias
dañinas en términos, por ejemplo, de costo financiero, o heridos. También asigna valores al
costo de las medidas de control.

Evaluar riesgos

Evaluar los riesgos significa realizar una comparación entre el nivel de riesgo detectado durante
el análisis, y los criterios previamente establecidos.

El entregable de esta etapa es una lista de riesgos priorizados y clasificados, propiamente dicho,
un mapa de riesgos.

Este mapa, en conjunto con el contexto organizacional, son la base para la toma de decisiones
sobre acciones posteriores.

Si los riesgos se encuentran dentro de las categorías de riesgos bajos o aceptables, éstos
pueden ser atacados con un tratamiento mínimo a largo plazo. Este tipo de riesgos deben ser
monitoreados periódicamente para asegurar que se mantienen aceptables.

Si por el contrario, los riesgos caen en categorías superiores, entonces deben ser tratados
dependiendo su criticidad.

Unidad III Análisis de Riesgo 10

Tratar riesgos

Tratar un riesgo significa identificar, evaluar y seleccionar de entre un rango de soluciones aque-
llas que se adapten a las necesidades de la organización; también implica el preparar los planes
e implementarlas estrategias seleccionadas
.
Al definir las alternativas para administrar y mitigar los riesgos, la empresa debe tomar en
cuenta aspectos como:

1. Las opciones deben balancear el costo que implican con el beneficio que se alcanzará, en
caso de ser implementadas;

2. El esfuerzo que tomará, la implementación de las soluciones;

3. El tiempo para impactar la gestión del proceso, a través de la implementación del trata-
miento de riesgo.

Todas las opciones deben considerar el alcance de la reducción del riesgo, así como apegarse
al contexto y criterios que se establecieron en la primera etapa.

Integración con el BIA:

Basados en los resultados del BIA y RA, la organización debe identificar medidas que reduzcan
las posibilidades de una interrupción, o bien, que minimicen la duración y los impactos a los pro-
ductos y servicios, en caso de que llegara a materializarse.

Modelo de las 4 T’s.

El modelo de las 4 T’s, proporciona las cuatro opciones más comunes para responder ante los
riesgos presentes.

Tratar: esta opción explota la continuidad de negocio, pues propone acciones para reducir la
probabilidad de ocurrencia, así como reducir las consecuencias o posibles impactos.

Unidad III Análisis de Riesgo 11

 Tolerar: es aceptar el riesgo junto con el costo del impacto.

Transferir: involucra a una tercera parte para soportar o compartir el riesgo. Este mecanismo
incluye contratos, compra de seguros entre otros. Es importante notar que al transferir el
riesgo se adquiere uno nuevo: el de que el tercero no logre administrar efectivamente el
riesgo.

Terminar: Se decide no continuar con la actividad que genera el riesgo.

Como cualquier decisión, se debe tener especial cuidado para no afectar los intereses ni las obli-
gaciones de la organización.

Comunicar y consultar

La comunicación y consulta busca establecer canales de comunicación efectiva y bidireccional

entre los interesados, las partes encargadas de tomar las decisiones y aquellas encargadas de
la implementación de la administración de riesgos.

Es importante tener presente todas las percepciones de los interesados relativas a los riesgos,
y a los beneficios que acarrearán la implementación de las soluciones, así como las bases sobre
las cuales se toma una decisión en particular, con la finalidad de que todas las partes involucra-
das comprendan la administración de riesgos.

Monitorear y revisar

Sin duda alguna, el entorno donde una organización se desenvuelve no es estático, por tanto los
riesgos pertenecientes a ésta, junto con las medidas de control, son susceptibles de sufrir cam-
bios, ya sea alterándose las probabilidades de ocurrencia o los impactos que podría acarrear la
materialización de un evento. Por lo que es importante realizar revisiones periódicas en la admi-
nistración de riesgos.

Unidad III Análisis de Riesgo 12

 Actividades

Actividad 1: Metodología RA

Instrucciones: Coloque el nombre de la fase de Metodología ANZ 4360 según corresponda a la

descripción dada.

Fase: __________________________.
Esta fase se encarga de describir el entorno de la organización y las condiciones bajo las cuales
se realizará la administración de riesgo.

Fase: __________________________.
Esta fase se encarga de detectar los eventos que pueden o no suceder, y porque.

Fase: __________________________.
En esta fase, mediante el uso de métodos cualitativos o cuantitativos, se asigna un nivel a los
riesgos detectados en la organización.

Fase: __________________________.
Esta fase arroja una lista priorizada y clasificada de los riesgos, propiamente dicho, un mapa de
riesgos.

Fase: __________________________.
Esta fase hace uso del modelo de las 4 T's para identificar, evaluar y seleccionar las mejores
opciones para hacer frente a los riesgos existentes.

Unidad III Análisis de Riesgo 13