GESTION DE RIESGOS

Riesgo

Es el grado de probabilidad de que el Daño se materialice o una Amenaza se cumple. La

vulnerabilidad o las amenazas, por separado, no representan un peligro. Pero si se juntan, se convierten
en un riesgo, o sea, en la probabilidad de que ocurra un desastre.

El daño potencial que puede surgir por un proceso presente o suceso futuro. Diariamente en
ocasiones se lo utiliza como sinónimo de probabilidad, pero en el asesoramiento profesional de riesgo,
el riesgo combina la probabilidad de que ocurra un evento negativo con cuanto daño dicho evento
causaría. Es decir, en palabras claras, el riesgo es la posibilidad de que un peligro pueda llegar a
materializarse.

Sin embargo los riesgos pueden reducirse o manejarse. Si somos cuidadosos en nuestra relación
con el ambiente, y si estamos conscientes de nuestras debilidades y vulnerabilidades frente a las
amenazas existentes, podemos tomar medidas para asegurarnos de que las amenazas no se conviertan
en desastres.

También es la probabilidad de que un resultado esperado no ocurra.

Hay varios tipos de riesgos:

• Geológicos: Erupciones, Sismos, Hundimientos, Deslaves.

• Hídro-Meteorológicos: Inundaciones, Huracanes.
• Sanitario-Ecologicos: Epidemias, Contaminación.Químicos: Incendios, Explosiones, Gases.
• Socio-Organizativos: Delincuencia, Huelgas, Terrorismo.

La Gestión del Riesgo

No solo nos permite prevenir desastres. También nos ayuda a practicar lo que se conoce como
desarrollo sostenible. El desarrollo es sostenible cuando la gente puede vivir bien, con salud y felicidad,
sin dañar el ambiente o a otras personas a largo plazo. Por ejemplo, se puede ganar la vida por un
tiempo cortando árboles y vendiendo la madera, pero si no se siembran más árboles de los que se corta,
pronto ya no habrá árboles y el sustento se habrá acabado. Entonces no es sostenible.

La gestión del riesgo se define como el proceso de identificar, analizar y cuantificar las
probabilidades de pérdidas y efectos secundarios que se desprenden de los desastres, así como de las
acciones preventivas, correctivas y deductivas correspondientes que deben emprenderse. El riesgo es
una función de dos variables: la amenaza y la vulnerabilidad. Ambas son condiciones necesarias para
expresar al riesgo, el cual se define como la probabilidad de pérdidas, en un punto geográfico definido
y dentro de un tiempo específico. Mientras que los sucesos naturales no son siempre controlables, la
vulnerabilidad sí lo es. El enfoque integral de la gestión del riesgo pone énfasis en las medidas ex-ante
y ex-post y depende esencialmente de: la identificación y análisis del riesgo; la concepción y aplicación
de medidas de prevención y mitigación; la protección financiera mediante la transferencia o retención
del riesgo; y los preparativos y acciones para las fases posteriores de atención, rehabilitación y
reconstrucción.
Objetivos de la gestión de riesgo

Los métodos para la identificación, análisis y evaluación de riesgos son una herramienta muy valiosa
para abordar con decisión su detección, causa y consecuencias que puedan acarrear, con la finalidad de
eliminar o atenuar los propios riesgos así como limitar sus consecuencias, en el caso de no poder
eliminarlos.
Los objetivos principales son:

1. Identificar y medir los riesgos que representa una instalación industrial para las personas, el
medio ambiente y los bienes materiales.
2. Deducir los posibles accidentes graves que pudieran producirse.
3. Determinar las consecuencias en el espacio y el tiempo de los accidentes, aplicando
determinados criterios de vulnerabilidad.
4. Analizar las causas de dichos accidentes.
5. Discernir sobre la aceptabilidad o no de las propias instalaciones y operaciones realizadas en
el establecimiento industrial.
6. Definir medidas y procedimientos de prevención y protección para evitar la ocurrencia y/o
limitar las consecuencias de los accidentes.
7. Cumplir los requisitos legales de las normativas nacionales e internacionales que persiguen
los mismos objetivos.

Elementos de la gestión de riesgos

Evaluación de riesgos

• Trazado de un perfil de riesgos.

• Clasificación del peligro a efectos de la evaluación de riesgos y la determinación de prioridades
para la gestión de riesgos.
• Establecimiento de una política para la realización de la evaluación de riesgos.
• Puesta en servicio de la evaluación de riesgos.
• Examen del resultado de la evaluación de riesgos.
• Evaluación de opciones para la gestión de riesgos
• Identificación de las opciones disponibles para la gestión de riesgos.
• Decisión final en "materia de gestión.
• Aplicación de la decisión sobre gestión
• Seguimiento y examen
• Evaluación de la eficacia de las medidas adoptadas.
• Revisión de la gestión y/o evaluación de riesgos, cuando proceda.
El resultado del proceso de evaluación de riesgos se debe combinar con la evaluación de las
opciones disponibles en materia de gestión de riesgos, a fin de llegar a una decisión sobre la gestión del
riesgo en cuestión. En la adopción de esta decisión se tendrá en cuenta antes que nada la protección de
la salud humana, pero también otros factores que se consideren apropiados (por ej., costos económicos,
beneficios, viabilidad técnica, percepción del riesgo, etc.). Una vez puesta en práctica de la decisión
relativa a la gestión, se deberá seguir de cerca tanto la eficacia de las medidas de control adoptadas
como sus efectos en el riesgo a que está expuesta la población de consumidores, a fin de garantizar que
se alcance el objetivo de inocuidad establecido.
Procesos para manejar los riesgos

La metodología de la gerencia de proyectos identifica el área de manejo de los riesgos incluyendo los
siguientes procesos:

• PLANIFICACIÓN DEL RIESGO. Implica decidir y planificar la manera de cómo se piensa

gerenciar los riesgos durante el proyecto.
• IDENTIFICACIÓN DE RIESGOS. Implica identificar los riesgos que pueden afectar el
proyecto y sus características.
• CALIFICACIÓN DE RIESGOS. Implica hacer un análisis cualitativo de los riesgos y sus
condiciones, para priorizar sus efectos.
• CUANTIFICACIÓN DE RIESGOS. Midiendo las consecuencias y las probabilidades de
ocurrencia de los riesgos para cuantificar sus implicaciones.
• DESARROLLO DE PLANES DE REPUESTAS Implica tomar acciones para aprovechar
las oportunidades y reducir las amenazas al proyecto.
• CONTROL DE LOS PLANES DE REPUESTAS. Implica hacer seguimiento a los riesgos,
detectando nuevas amenazas y revisando la efectividad de las repuestas emitidas.

Métodos de identificación de riesgos:

Básicamente, existen dos tipos de métodos para la realización de análisis de riesgos, si atendemos a los
aspectos de cuantificación:

1. Métodos cualitativos: se caracterizan por no recurrir a cálculos numéricos. Pueden ser

métodos comparativos y métodos generalizados.
2. Métodos semicualitativos: los hay que introducen una valoración cuantitativa respecto a las
frecuencias de ocurrencia de un determinado suceso y se denominan métodos para la
determinación de frecuencias, o bien se caracterizan por recurrir a una clasificación de las
áreas de una instalación en base a una serie de índices que cuantifican daños: índices de
riesgo.
3. Métodos comparativos: Se basan en la utilización de técnicas obtenidas de la experiencia
adquirida en equipos e instalaciones similares existentes, así como en el análisis de sucesos
que hayan ocurrido en establecimientos parecidos al que se analiza. Principalmente son
cuatro métodos los existentes: A. Manuales técnicos o códigos y normas de diseño; B. Listas
de comprobación o "Safety check lists"; C. Análisis histórico de accidentes; D. Análisis
preliminar de riesgos o PHA
4. Métodos generalizados: Los métodos generalizados de análisis de riesgos, se basan en
estudios de las instalaciones y procesos mucho más estructurados desde el punto de vista
lógico-deductivo que los métodos comparativos. Normalmente siguen un procedimiento
lógico de deducción de fallos, errores, desviaciones en equipos, instalaciones, procesos,
operaciones, etc. que trae como consecuencia la obtención de determinadas soluciones para
este tipo de eventos.
Existen varios métodos generalizados. Los más importantes son:
Análisis "What if ...?"
Análisis funcional de operabilidad, HAZOP
 Análisis de árbol de fallos, FTA
Análisis de árbol de sucesos, ETA
Análisis de modo y efecto de los fallos, FMEA
Análisis de riesgo
En su forma más simple es el postulado de que el riesgo es el resultado de relacionar la amenaza y la
vulnerabilidad de los elementos expuestos, con el fin de determinar los posibles efectos y
consecuencias sociales, económicas y ambientales asociadas a uno o varios fenómenos peligrosos.
Cambios en uno o más de estos parámetros modifican el riesgo en sí mismo, es decir, el total de
pérdidas esperadas y consecuencias en un área determinada.

En los últimos años han ocurrido muchos accidentes de origen industrial, debido a que personas, bienes
materiales y el medio ambiente se encuentran próximos a un establecimiento industrial en el que se
encuentran sustancias peligrosas, están sometidos a unos riesgos por la sola presencia de ducha
instalación industrial y de las sustancias que utilizan.

En un análisis de riesgos es relevante estimar su magnitud, por lo que es necesario realizar un análisis
sistemático y de lo mas completo posible de todos los aspectos que implica para la población, el medio
ambiente y los bienes materiales, la presencia de un determinado establecimiento, las sustancias que
utiliza, los equipos, los procedimientos, etc. Se trata de estimar el nivel de peligro potencial de una
actividad industrial para las personas, el medio ambiente y los bienes materiales, en términos de
cuantificar la magnitud del daño y de la probabilidad de ocurrencia.

Los análisis de riesgos, por tanto, tratan de estudiar, evaluar, medir y prevenir los fallos y las averías de
los sistemas técnicos y de los procedimientos operativos que pueden iniciar y desencadenar sucesos no
deseados (accidentes) que afecten a las personas, los bienes y el medio ambiente.
 Secuencia de pasos a realizar a la hora de analizar los riesgos
¨ Evalúe los riesgos. Lo primero que hay que hacer es ver si existen riesgos, esto es, si es posible sufrir
algún perjuicio optando por cierta alternativa.

¨ Tome en consideración las políticas y objetivos de la empresa. Su paso siguiente consiste en tomar en
consideración las políticas, valores y objetivos de la empresa, o los suyos propios de tratarse de una
decisión individual o profesional. Así pues una empresa puede seguir una política de crecer lentamente,
o de crecer a ritmo normal, o de no crecer en absoluto, o de expandirse sólo en el sector de nuevos
productos. Al profesional o empresario corresponde decidir si asumir el riesgo en cuestión estaría o no
en consonancia con los objetivos establecidos.

¨ Defina claramente cada alternativa. Efectuados los pasos anteriores es menester que proceda a
examinar cada alternativa de manera tal de evaluar sus costos con objetividad. El costo principal es de
carácter financiero, pero siempre que proceda deberá también incluirse los costos personales, sociales y
de otra índole. Así por ejemplo, cierta alternativa puede exigir del profesional un esfuerzo excesivo, o
un posible fracaso podría menoscabar su prestigio. Es por lo tanto fundamental, determinar tanto los
costos financieros, como de otra índole.

¨ Reúna la información pertinente y pese las alternativas. Deberá reunirse toda la información necesaria
para estimar las posibilidades que ofrece cada alternativa. El empresario o directivo debe estudiar cada
posibilidad hasta sus últimas consecuencias, haciéndose preguntas como éstas:

1. si el mercado actual alcanza su punto de saturación, ¿sería posible estimular la demanda en otros
mercados modificando el producto?;
2. si la intensificación de la competencia reduce mi parte del mercado, ¿habrá posibilidades de penetrar
en otros mercados con el mismo producto?;
3. en caso de que me viera en necesidad de comenzar a fabricar otros productos con las nuevas
máquinas, ¿sería posible adaptarlas fácilmente para fabricarlos?;
4. si la demanda se incrementa, ¿es probable que mis proveedores y subcontratistas me aumenten sus
precios?

¨ Reduzca los riesgos cuanto pueda. La importancia de esta fase no puede exagerarse. Para disminuir
los riesgos es indispensable que el empresario valore con realismo la medida en que está en sus manos
aumentar las probabilidades de éxito. Para ello es menester que el empresario o profesional: a) tenga
una idea muy clara de su propia capacidad y de la de su empresa; b) demuestre su creatividad
encontrando maneras de influir en dichas probabilidades; c) sea capaz de planificar en general y en
detalle cómo procederá para influir en ellas; y d) tenga el empuje, la energía y el entusiasmo de llevar a
buen término sus planes.

¨ Planifique la ejecución de la alternativa elegida. Una vez seleccionada una de las alternativas, deberá
prepararse un plan para ponerla en práctica. Este plan debe fijar fechas, definir claramente los
objetivos, prever los diversos resultados a que puede llevar la decisión tomada, planificar en detalle
para cada resultado la conducta ulterior a seguir y establecer un procedimiento para vigilar la
aplicación del plan a fin de que se le pueda efectuar rápidamente todo cambio que resulte necesario.
Administración del riesgo

La administración del riesgo tiene varias actividades, algunas de las cuales se listan a continuación:
- Análisis de riesgo
- Identificación de riesgo
- Proyección del riesgo
- Evaluación del riesgo

• Análisis de Riesgo: En el contexto de los proyectos del software, el riesgo se refiere a los
problemas que pudieran afectar adversamente al costo, la calidad o el cronograma de un
desarrollo de software. Otros factores como el método de implementación y operación de un
programa o aplicación, el tipo de herramientas usadas, el número de personal involucrado, entre
otros, son tratados también con análisis de riesgo. Este análisis consiste en analizar cada riesgo
identificado, para determinar la probabilidad de que pueda ocurrir y el daño que este puede
causar si ocurre.
• Identificación del Riesgo: Los riesgos son usualmente agrupados bajo varias categorías:
◦ Los riesgos del proyecto: están relacionados a problemas: de cronograma, de personal, de
recursos, de requerimientos, etc.
◦ Los riesgos técnicos: están relacionados con la escogencia de tecnología, plataforma, y el
tiempo requerido para cubrir gastos.
◦ Los riesgos del negocio: involucran aspectos relacionados al retorno de la inversión, y el
tiempo requerido para cubrir gastos.
Agrupar riesgos bajo varias categorías ayuda a determinar los riesgos
específicos del proyecto. Otro método para identificar los diferentes tipos de riesgos
involucrados es hacer uso de un conjunto de preguntas para cada uno de estos riesgos. Obtener
las respuestas ayuda a un planificador de proyectos a entender el riesgo en términos técnicos.

• Proyección del Riesgo: Apunta a medir cada elemento de riesgo realizando las siguientes
preguntas:
- ¿Cuál es la probabilidad de que el riesgo sea real y que pueda ocurrir?
- Si este ocurre, ¿Cuáles son los problemas que se tendrán que manejar?
Cada pregunta en la lista de elementos de riesgo puede ser respondida con un SI o un NO
pero esto no es practico. Seria mucho más realista responder tales preguntas con una escala
de probabilidad en el otro extremo.
Un tercer método de proyectar los riesgos es percibiendo el impacto del riesgo en el
proyecto y luego darle prioridad. Los tres factores que influyen el impacto del riesgo son:
• La naturaleza del riesgo: este da una idea acerca de los tipos de problemas que pueden
darse si el riesgo ocurre. Código incorrecto, por ejemplo, resulta en errores durante la
compilación o la ejecución de una aplicación de software.
• Alcance del riesgo: este tiene que ver con la extensión del daño que el riesgo puede
causar en realidad, junto con la distribución global. En otras palabras es un indicativo de
cuanto se afectara al proyecto.
• Tiempo del riesgo: este analizara el tiempo y la duración para el cual el impacto se
sentirá.
Las cuatro actividades que se dan en la proyección del riesgo son:
- Medir la probabilidad de ocurrencia del riesgo.
 - Listar un conjunto de problemas que se necesita manejar si el riesgo ocurre.
- Hacer un estimado del impacto del riesgo en el proyecto en cuestión.
- Evaluar el nivel de confiabilidad con el cual se ha proyectado el riesgo.

Cualquier administración estará más preocupada con el impacto del riesgo y la probabilidad y
no excesivamente preocupada con un factor de riesgo con un peso de impacto alto pero con
poca probabilidad de ocurrencia. Ellos se enfocaran en aquellos factores de riesgo que son de
alto impacto con una mediana probabilidad de ocurrencia o riesgos de bajo impacto con alta
probabilidad de ocurrencia “estos puntos deben ser tratados apropiadamente y los pasos
adecuados deben ser tomados para resolverlos eficientemente”.

• Evaluación del Riesgo: Los tres factores tomados en consideración durante la evaluación del
riesgo son riesgo proyectado, probabilidad del riesgo e impacto del riesgo.
Durante la fase de evaluación del riesgo, la exactitud de los cálculos hechos durante la
proyección del riesgo es cuidadosamente examinada, y se les da prioridad a los riesgos. Las
formas y medios para controlar estos riesgos también son estudiados.
Un nivel de referencia de riesgo tiene que ser definido por este análisis para que sea efectivo.
El costo, cronograma y rendimiento son los tres niveles de referencia de riesgo para proyectos
de software o desarrollo de procesos.
Cada uno de estos tres niveles: excederse en los costos, demora de los cronogramas o pobre
rendimiento, tienen un cierto nivel alto. El trabajo en un proyecto determinara si un riesgo o una
combinación de estos niveles de referencia. En el análisis de riesgo de software, un nivel de referencia
de riesgo tiene un solo punto, llamado punto de referencia o punto de quiebre. Es el punto donde la
decisión de seguir adelante un proyecto o termínalo, es aceptable. La cancelación puede ocurrir como
resultado de muchos problemas en el proceso de desarrollo de software.
Los siguientes pasos son iniciados en al fase de evaluación de riesgo:
- Definir niveles de referencia de riesgo para un proyecto.
- Construir una relación entre los factores individuales, es decir, riesgo, probabilidad de riesgo e
impacto de riesgo y niveles de referencia individuales.
- Llegar a un conjunto de puntos de quiebre que definirá la región de culminación.
- Entender la manera en la que las combinaciones compuestas de riesgos afectaran posiblemente un
novel de referencia
Administración y Monitoreo de Riesgo

Las actividades que ayudan a administrar los riesgos se muestran en el siguiente esquema.

En cada una de estas actividades se estudian diferentes aspectos del riesgo. En la identificación del
riesgo se establece si es un riesgo de proyecto, de producto o de negocio. En el análisis del riesgo se
determina la probabilidad del riesgo y sus consecuencias. En la planificación se establece un plan para
evitar o minimizar los efectos del riesgo y e monitoreo del riesgo se hace un seguimiento del riesgo a
través de todo el proceso de desarrollo.
Los factores asociados con los riesgos individuales se toman como la base para generar los pasos de
administración del riesgo. Se presenta un ejemplo para ilustrar este punto. Considere una compañía de
software presenciando una alta pérdida de personal, la cual se toma como un riesgo proyectado. Basado
en ocurrencias pasadas, digamos que la probabilidad de que la gente se vaya (probabilidad de riesgo) es
cerca de 60%, un numero alto, y el impacto s probable que incremente el tiempo del proyecto en un
10%, incrementando el costo total en 15%. A continuación se presentan los pasos de administración del
riesgo que la compañía debe tomar:
- Tener una reunión con el staff existente y determinar la razón por la cual se están retirando.
- Superar esas causas que están dentro del control de la compañía antes del comienzo del proyecto.
- Actuar asumiendo que las personas se retiraran aun después del comienzo del proyecto, además de
tomar medidas para asegurar que el trabajo progrese aun cuando el personal se retire.
- Preparar equipos del proyecto y asegurar que la información acerca de cada proyecto circule
ampliamente entre los trabajadores.
- Iniciar procesos de documentación estándar y usar mecanismos para asegurar que los documentos
sean desarrollados a tiempo.
- Realizar revisiones de grupo de todo el trabajo que se esta realizando.
- Implementar un plan de respaldo para cada trabajador que es crítico para un proyecto.

Los pasos para administrar el riesgo incrementan el costo del proyecto. Es por esto, que la
administración tiene que asegurar que el gasto extra del dinero esta bien gastado. Esto implica que la
administración del riesgo también involucre evaluar si los beneficios del proceso de administración del
riesgo sobrepasan los costos incurridos cuando se implementan, por ejemplo, un análisis de costo-
beneficio. Es deber del planificar del proyecto analizar si el proceso de administración del riesgo vale
el costo involucrado en implementarlo.

El numero de riesgos involucrados varia de proyecto a proyecto, normalmente depende del tamaño del
proyecto. Para un proyecto grande, cerca de 40 a 45 riesgos pueden ser identificados, mientras que para
un proyecto pequeño, podría haber menos de 7 o 9. Si para un proyecto grande, 4 a 6 pasos se
identifican para cada riesgo, la administración del riesgo podría volverse por si misma un proyecto
independiente. Para evitar tales posibilidades, se hace uso de la regla de Pareto 80/20 para enumerar los
riesgos de software. De acuerdo a esta regla, el 80% de todos los riesgos del proyecto, puede ser
ocasionado por el 20% de los riesgos identificados. Los planificadores de proyecto tendrán que
identificar los riesgos que caen en ese 20%, observando el trabajo hecho en pasos previos del análisis
de riesgo. De ser este el caso, algunos de los riesgos que han sido identificados, evaluados y
proyectados podrían no figurar en el plan de administración del riesgo.

Los pasos de administración del riesgo están clasificados en Mitigación del riesgo, Monitoreo y Pan de
Administración (RMMMP). Este documenta todo el trabajo realizado como parte del proceso de
análisis del riesgo. El gerente de proyecto entonces usa este documento como parte de un plan global
del proyecto.

El siguiente paso es el monitoreo del riesgo, el cual es principalmente una actividad de rastreo con tres
objetivos principales. Estos son:
- Evaluar si un riesgo que ha sido pronosticado realmente ocurre.
- Asegurar que los pasos de administración del riesgo han sido correctamente aplicados.
- Recolectar datos e información que puedan ser útiles en futuros análisis de riesgo.
Otra importante función del proceso de monitoreo de riesgo es determinar cual riesgo causa un
problema en particular en el proceso de desarrollo.

El análisis de riesgo puede tomar cantidad de tiempo significativa del planteamiento del proyecto, pero
vale el esfuerzo ya que resultara en procesos de desarrollo mejores, más rápidos y más eficientes, así
como, productos o aplicaciones de una alta calidad.