Contexto externo interno

[Type text] [Type text] [Type text]
6
Taller de Análisis de Riesgos
Establecer el contexto
Todo análisis, estudio o proyecto en una organización debe estar enmarcado por el conocimiento, previo del
entorno, las necesidades y el ambiente en general, de modo que se garantice el éxito del proyecto que se
emprende.
Este conocimiento marcará las pautas para la toma de decisiones basadas en los resultados obtenidos, así
como especificará el objetivo a realizar, en este caso, una evaluación de riesgos.
En la primera fase, el objetivo principal es que la organización tenga un visión global de los factores que
tienen influencia en la capacidad de conseguir sus metas y objetivos establecidos, es decir, conoceremos en
donde estamos parados.
Esta fase se compone por las siguientes actividades:
 Establecer el contexto externo
 Establecer el contexto interno
 Establecer el contexto administración de riesgos
 Desarrollar criterios
 Decidir la estructura para aplicar la evaluación

7
La primera actividad, consiste en conocer la interacción que tiene la organización con el
ambiente externo.
Como individuos y como organización estamos inmersos en la vida social, cultural,
económica y política de la región donde nos encontramos. Adicionalmente nos afectan
determinadas regulaciones dependiendo del sector al que pertenecemos y no podemos
dejar de lado el ambiente competitivo al que estamos sometidos.
Al estar inmerso en este complejo ambiente, también es importante conocer a los
principales grupos de interés que nos tienen en la mira tales como el gobierno, ONG’s y
sociedad en general.
Es de suma importancia que la organización sea consciente de sus fortalezas,
debilidades, oportunidades y amenazas; así como la percepción de ella, desde el
exterior, ya que esto le ayudará a desarrollar criterios acertados para la administración y
evaluación de riesgos.
Establecer el contexto interno:
Después de conocer en donde se encuentra la organización, es tiempo de mirar al
interior y entenderla al mayor nivel posible.
Los aspectos clave a examinar son:
 La cultura organizacional
 Las políticas internas
 Los grupos de interés internos como colaboradores, accionistas, sindicatos,
entre otros
 La estructura organizacional
 La capacidad, en términos de recursos como personas, procesos, sistemas y
capitales
 Las metas y objetivos, así como las estrategias implementadas para
lograrlos
El contexto interno es importante, ya que la administración de riesgos regirá el diseño y
establecimiento de una política de gestión de riesgos que apoye de forma integral la
consecución de las metas y objetivos organizacionales.

8
Establecer el contexto de la administración de riesgos.
Una vez que sabemos de forma global donde estamos parados, es tiempo de
establecer los límites y reglas bajo los cuáles realizaremos la evaluación de riesgos. Es
importante establecer los objetivos, metas, estrategias, alcances y límites, bajo los
cuáles la evaluación, y en general la gestión de riesgos, operará.
Establecer el alcance y los límites involucra:
 Definir las partes de la organización, procesos, proyectos o actividades serán
sujetos a la evaluación junto con sus metas y objetivos
 Definir la naturaleza de las decisiones que se deban tomar producto de la
evaluación
 Establecer la duración y los lugares de ejecución
 Identificar si existe la necesidad de realizar otros estudios complementarios y
el alcance, objetivos y recursos involucrados
 Determinar la existencia de excepciones o inclusiones, así como definir el
nivel de profundidad del análisis
Otro punto importante en este paso, es establecer los roles y responsabilidades de los
participantes en la evaluación de riesgos. También, no se debe olvidar las relaciones
existentes entre la evaluación y los demás proyectos, así como las actividades de la
organización.
Desarrollo de los criterios de evaluación:
Los criterios o pautas a seguir para evaluar los riesgos y decidir aceptarlos, tolerarlos,
transferirlos o mitigarlos. Estos criterios deben considerar aspectos operativos,
factibilidad técnica, costo-beneficio, medio ambiente, aspectos socioculturales, y el
aspecto regulatorio que pesa sobre la organización entre otros.
Recuerde que los criterios deben considerar todo el contexto establecido en los pasos
anteriores.

9
Definir la estructura:
Este paso, involucra subdividir la actividad, proceso o proyecto en una serie de
elementos que proporcionen una estructura lógica que impida ´pasar por alto riesgos
significativos. Esta estructura depende de la naturaleza de los riesgos, y del alcance de
la evaluación.
Es de vital importancia, cuidar la forma en que llevaremos a cabo esta fase, ya que los
riesgos que no sean identificados, es muy probable que sean omitidos, pues será difícil
que salgan a relucir en fases posteriores.
¿Qué puede suceder, cuándo y cómo?
El primer paso, consiste en generar una lista lo suficientemente amplia de fuentes de
riesgo y de eventos que tengan algún tipo de impacto en los objetivos y metas de la
organización, o que afecten algún elemento de la misma. Para realizar este paso, nos
vamos a auxiliar de catálogos de fuentes o clasificaciones de eventos, los cuales más
adelante examinaremos a detalle.
Identificar Riesgos

10
Una vez que conocemos los eventos que afectan la consecución de las metas y
objetivos, lo siguiente es identificar las causas y los posibles escenarios que se
pueden materializar.
Recuerde, que un evento dañino puede ser desencadenado por más de una causa, así
que preste especial atención para así tomar en cuenta hasta los más insignificantes
detalles.
Herramientas y técnicas.
Entre los métodos más empleados para identificar los riesgos se encuentran:
 Listas de chequeo
 Juicios basados en experiencia y registros
 Diagramas de flujo
 Lluvia de ideas
 Análisis de sistemas
 Análisis de escenarios
Recuerde que los elementos que resulten en esta fase, pueden o no estar bajo el
control de la organización.
¿Cómo y porqué pueden suceder?

11
Esta fase, está orientada a entender el riesgo para proveer pautas y tomar decisiones
sobre las acciones que se requieren para enfrentar el riesgo, como es su tratamiento,
prioridad y sobre todo evaluar el costo beneficio de las soluciones propuestas.
Analizar un riesgo, implica considerar las fuentes de riesgo, sus consecuencias
positivas y negativas y la probabilidad de que dichas consecuencias se materialicen. El
riesgo se analiza en sí, al combinar las consecuencias o impactos, y su probabilidad de
ocurrencia.
Determinar los controles existentes.
El primer paso de esta fase, es determinar la existencia de procesos, dispositivos,
prácticas o actividades que actúen en forma tal que se minimice la probabilidad de
ocurrencia del riesgo o el impacto que éste pueda tener. Por cada control, se debe
Analizar riesgos

12
identificar sus fortalezas y debilidades. La presencia de controles demuestra la
existencia de actividades de tratamiento de riesgos.
Determinar consecuencias y probabilidades.
Cuando un evento se llega a materializar, trae consigo consecuencias con determinada
magnitud, y a la vez el evento tiene una probabilidad de ocurrencia. Ambos aspectos
deben evaluarse tomando en cuenta los controles detectados en el paso anterior.
Recuerde que un mismo evento puede tener múltiples consecuencias y dañar a
diferentes objetivos.
La obtención de las consecuencias y probabilidades se realiza mediante el uso de
análisis y cálculos estadísticos, o se usan fuentes de información como son: registros
anteriores, experiencia relevante, prácticas y experiencia de la industria, literatura
relevante publicada, comprobaciones de marketing e investigaciones de mercado,
experimentos y prototipos, modelos económicos y de ingeniería, opiniones y juicios de
especialistas y expertos.
Establecer el nivel del riesgo.
La combinación del nivel de consecuencias, y la probabilidad es la que nos va a arrojar
el nivel de riesgo. El análisis de riesgo implica diversos grados de profundidad,
dependiendo de los requerimientos de la organización, los datos disponibles, así como
del alcance y los objetivos planteados en el contexto.
El análisis puede ser cualitativo, cuantitativo o una combinación dependiendo de las
circunstancias. En la práctica, el análisis cualitativo es el primero que se aplica para
obtener los niveles de riesgo y revela los mayores temas de riesgo. Posteriormente, se
aplica el análisis cuantitativo para obtener más información. Recuerde, que el detalle de
análisis va en base a las necesidades y expectativas de la organización.
Análisis cualitativo.
Este análisis, se basa en la experiencia de un grupo con amplio conocimiento en la
organización.

13
Este tipo de análisis se compone básicamente de palabras que conforman escalas que
describen la magnitud de las consecuencias, y la probabilidad de ocurrencia de los
eventos. Estas escalas son adaptadas a la organización y sus circunstancias.
El análisis cualitativo se utiliza como un modo de escaneo general de los riesgos, para
posteriormente, someterlos a un análisis más detallado. También se utiliza cuando este
tipo de análisis arroja resultados apropiados para la toma de decisiones; y sobre todo,
se utilizan cuando los datos numéricos o los recursos de información son inapropiados
para realizar un análisis cuantitativo. El resultado de este análisis, es un mapa de
riesgos.
Análisis cuantitativo.
Este análisis cuantifica la probabilidad esperada de ciertos eventos, así como las
consecuencias dañinas, por ejemplo, de costo financiero, o heridos. También asigna
valores al costo de las medidas de control.
Tome en cuenta que la calidad de este tipo de análisis, depende de la precisión y
completitud de los recursos de información y de la validez de los modelos utilizados.

14
El propósito de la evaluación de riesgos es plantear la base para la toma de acciones
futuras, relativas a los riesgos identificados.
Los pasos en esta fase son:
 Comparar contra los criterios
 Establecer prioridades
 ¿Se acepta el riesgo?
Evaluar los riesgos, significa realizar una comparación entre el nivel de riesgo detectado
durante el análisis y los criterios previamente establecidos.
La evaluación, debe arrojar una serie de decisiones basadas en las salidas del análisis
de riesgos relativas a que deben abordar la necesidad de algún tratamiento que
requiera el riesgo, y para aquellos tratamientos identificados se les debe asignar una
prioridad, es decir arroja una lista con prioridades para una acción posterior.
Al momento de tomar las decisiones, se debe considerar los objetivos de la
organización y el grado de oportunidad que resulta de tomar o no el riesgo.
Si los riesgos caen dentro de las categorías de niveles bajos o aceptables, éstos
pueden ser atacados con un tratamiento mínimo a largo plazo. Este tipo de riesgos
deben ser monitoreados periódicamente para asegurar que se mantienen aceptables.
Si por el contrario, los riesgos caen en categorías superiores, entonces deben ser
tratados dependiendo su criticidad, tal como veremos en la siguiente fase.
Evaluar riesgos
Comparar contra los criterios.
Establecer prioridades.
¿Se acepta el riesgo?

15
Tratar un riesgo significa identificar, evaluar y seleccionar de entre un rango de
soluciones, aquellas que se adapten a las necesidades de la organización; también
implica el preparar los planes e implementar las estrategias seleccionadas que tiene por
objetivo impedir, reducir y controlar riesgos.
Los pasos de esta fase son:
El modelo de las 4 T’s proporciona las opciones más comunes para responder ante los
riesgos presentes.
 Tratar: esta opción explota la continuidad de negocios completamente, pues
propone acciones para reducir o cambiar:
 la probabilidad de ocurrencia, y
 las consecuencias o posibles impactos
 Tolerar: es aceptar el riesgo, junto con el costo del impacto.
Tratar riesgos
Identificar opciones de tratamiento.

16
 Transferir: involucra a una tercera parte para soportar o compartir el riesgo.
Este mecanismo incluye contratos, compra de seguros entre otros. Es
importante notar que al transferir el riesgo se adquiere uno nuevo: el del que
el tercero no logre administrar efectivamente el riesgo.
 Terminar: se decide no continuar con la actividad que genera el riesgo.
El paso de evaluar y seleccionar la opción más apropiada, involucra realizar un balance
de costo – beneficio al realizar dicha implementación.
La regla general, es que el costo de administrar el riesgo sea menor al beneficio que se
obtendrá. Para la selección también se deberá tomar en cuenta el contexto en el que se
mueve la organización, sin dejar de lado las opiniones y percepciones de los grupos de
interés. Recuerde que puede aplicar una acción o varias acciones sobre el mismo
riesgo.
Después de implementar cualquier acción de salvaguarda, siempre quedará un riesgo
residual, recuerde que es imposible eliminar el riesgo al cien por ciento, por lo que la
organización debe considerar asumirlo y monitorearlo continuamente.
El propósito de este paso, es documentar las acciones de tratamiento que serán
implementadas, entre las que destacan:
 Las actividades posteriores a ejecutar
 Los recursos requeridos
 Las responsabilidades
 El tiempo requerido
 Las métricas de control
 Y los requerimientos para monitorear, tanto el desempeño de la acción
como el riesgo residual
Recuerde, que los planes deben considerar el presupuesto con el que cuenta la
organización, así como con el respaldo de la Alta Dirección.
Evaluar y seleccionar opciones de tratamiento.
Preparar e implementar planes de tratamiento.

17
Sin duda alguna, el entorno donde una organización se desenvuelve no es estático, por
lo tanto, los riesgos pertenecientes a ésta, junto con las medidas de control, son
susceptibles a sufrir cambios, ya sea alterando las probabilidades de ocurrencia o los
impactos que podría acarrear la materialización de un evento. Por lo que es importante
realizar revisiones periódicas en la administración de riesgos.
Recuerde que la administración de riesgos debe cambiar junto con la organización.
Siempre debe tener en la mira, los cambios en el contexto, tanto interno como externo
así como en los objetivos, metas y estrategias implementadas para lograrlos. Todos
estos factores afectaran desde la aparición de nuevos riesgos hasta los niveles y
controles de los ya existentes.
La comunicación y la consulta buscan establecer canales de comunicación efectiva y
bidireccional entre los interesados, las partes encargadas de tomar las decisiones y
aquellas encargadas de la implementación de la administración de riesgos.
Comunicar y consultar, más que una fase, es un elemento que debe estar presente
durante todo el proceso de evaluación de riesgos, ya que permitirá contar con
diferentes puntos de vista para enriquecer al contexto de una forma notable y valiosa.
Además establecer un adecuado plan de comunicaciones, tanto interno como externo,
permitirá incrustar en la cultura organizacional la conciencia hacia el riesgo y el valor de
administrarlo correctamente.
Hacia el exterior, contar con un plan de comunicaciones, aún en un nivel muy elemental,
dará la impresión de responsabilidad y posiblemente impactará positivamente en la
percepción y reputación de la organización.
Es importante tener presente todas las percepciones de los interesados relativas a los
riesgos, ya que cada grupo de interés puede tener preocupaciones y suposiciones que
pueden impactar en la calificación de los riesgos y en las acciones que se tomen.
También pueden percibir de diferentes formas los beneficios que guiarán la
Monitorear y revisar
Comunicar y consultar.

18
implementación de las soluciones, así como las bases sobre las cuales se toma una
decisión en particular.
Al final, se busca integrar todas las percepciones y lograr que todas las partes
involucradas comprendan a la administración de riesgos y participen activamente en
ella.

Contexto externo interno

Más contenido relacionado

La actualidad más candente (20)

Similar a Contexto externo interno (20)

Último (20)

Contexto externo interno