Este documento presenta la metodología para implementar la gestión de riesgos en una organización. Explica que primero se debe establecer un marco de referencia y luego seguir 5 pasos: 1) establecer el contexto, 2) definir criterios de riesgo, 3) valorar los riesgos mediante identificación, análisis y evaluación, 4) tratar los riesgos, y 5) monitorear y revisar. Usa el Análisis de Modos y Efectos de Falla (AMEF) para guiar la valoración de riesgos
1. Proceso para la implementación delProceso para la implementación del
riesgoriesgo
Metodología para la valoración del riesgoMetodología para la valoración del riesgo
Elaborado por:Elaborado por:
María Daniela Pérez HernándezMaría Daniela Pérez Hernández
Licenciada en Química y Auditor Interno ISO 9001:2008Licenciada en Química y Auditor Interno ISO 9001:2008
2. ¿Qué debemos hacer para implementar el Proceso de Gestión de Riesgos?
Valoración del Riesgo
Elaborado por: María Daniela Pérez HElaborado por: María Daniela Pérez H
Para la implementación de la gestión del riesgo es necesario haber establecido
previamente un marco de referencia, a través del cual, se construyan las bases y se
designen las funciones y los recursos a partir de las cuales se construirá dicha gestión.
Una vez diseñado el marco de referencia, se procede a la implementación del Proceso
de Gestión de Riesgos, siendo necesario el desarrollo de los puntos que se exponen en la
siguiente lámina.
3. Proceso para la implementación de la gestión del riesgo
1. Establecer contexto:
1.1 Contexto Interno
1.2 Contexto Externo
Semejante al marco
de referencia
descrito con más
detalle para cada
riesgo
1.3Proceso: Definir alcance y
responsabilidades. Definir metodología
para la valoración de riesgo. Registros
que se deben conservar
2. Definir criterio del riesgo
Deben ser :
•Consistentes con la política
•Considerar requisitos legales y
reglamentarios
•Estar definidos al inicio
•Ser revisados continuamente
Aspectos a definir:
•Cuando el nivel es aceptable o tolerable
•La forma en que se van a medir las
consecuencias
•¿Cómo se va a determinar el nivel de
riesgo?
2. Definir criterio del riesgo
Deben ser :
•Consistentes con la política
•Considerar requisitos legales y
reglamentarios
•Estar definidos al inicio
•Ser revisados continuamente
Aspectos a definir:
•Cuando el nivel es aceptable o tolerable
•La forma en que se van a medir las
consecuencias
•¿Cómo se va a determinar el nivel de
riesgo?
3. Valoración del riesgo (norma de
referencia ISO/IEC 31010)
Etapas que la conforman:
•Identificación
•Análisis
•Evaluación
3. Valoración del riesgo (norma de
referencia ISO/IEC 31010)
Etapas que la conforman:
•Identificación
•Análisis
•Evaluación
4. Tratamiento de riesgo:
Selección de una o más opciones para
tratar el riesgo.
Aplicar un proceso cíclico en donde se
valorice la eficacia del tratamiento del
riesgo.
Selección de la opción
Planificación e implementación de planes
para el tratamiento del riesgo
4. Tratamiento de riesgo:
Selección de una o más opciones para
tratar el riesgo.
Aplicar un proceso cíclico en donde se
valorice la eficacia del tratamiento del
riesgo.
Selección de la opción
Planificación e implementación de planes
para el tratamiento del riesgo
5. Monitoreo y Revisión:
El monitoreo y revisión permite:
•Detectar cambios en el contexto interno y
externo
•Identificar riesgos emergentes
•Obtener información adicional para
mejorar la valoración del riesgo
Los resultados del monitoreo y revisión se
deben:
•Registrar y reportar interna y
externamente, según corresponda
•Utilizar como entrada para la revisión del
marco de referencia de la gestión del
riesgo.
5. Monitoreo y Revisión:
El monitoreo y revisión permite:
•Detectar cambios en el contexto interno y
externo
•Identificar riesgos emergentes
•Obtener información adicional para
mejorar la valoración del riesgo
Los resultados del monitoreo y revisión se
deben:
•Registrar y reportar interna y
externamente, según corresponda
•Utilizar como entrada para la revisión del
marco de referencia de la gestión del
riesgo.
6.Registro:
Las actividades para la gestión del riesgo
deberían tener trazabilidad
6.Registro:
Las actividades para la gestión del riesgo
deberían tener trazabilidad
Elaborado por: María DanielaElaborado por: María Daniela
Pérez HPérez H
4. Valoración del Riesgo
Elaborado por: María Daniela Pérez HElaborado por: María Daniela Pérez H
Tal como se indicó en la lámina anterior, la valoración del riesgo está conformada por
tres etapas:
ETAPA 1 : Identificación del riesgo
ETAPA 2 : Análisis del riesgo
ETAPA 3 : Evaluación del riesgo
5. Desarrollo de las etapas requeridas para la valoración del riesgo
Elaborado por: María Daniela Pérez HElaborado por: María Daniela Pérez H
6. ¿Qué debemos conocer para realizar la Valoración del riesgo?
Valoración del Riesgo
Elaborado por: María Daniela Pérez HElaborado por: María Daniela Pérez H
Se requiere del establecimiento del contexto de la organización y la definición de los
criterios.
Suponiendo que, como resultado de un análisis previo, se tiene establecido lo siguiente:
La forma que se mide la ocurrencia (probabilidad) y severidad
(consecuencia) es a través de la asignación de valores a categorías (análisis
semi-cuantitativo)
El nivel de riesgo se determina a partir del Número de Prioridad del Riesgo
Los niveles de riesgos se define como: Intolerable. Intermedio o Insignificante
7. AMEF como metodología para la valoración del riesgo
Valoración del Riesgo: Uso del AMEF
Elaborado por: María Daniela Pérez HElaborado por: María Daniela Pérez H
La herramienta denominada Análisis de Modo y Efecto de Falla (AMEF), es una
técnica analítica que ayuda a identificar el modo, efecto y la causa de la falla
potencial antes que se presente en los procesos o en el diseño de un producto.
Definición:
Para la aplicación del AMEF es necesario la participación de un equipo multifuncional
que tenga los conocimientos especializados pertinentes, tiempo disponible y autoridad
establecida por la dirección.
El tamaño del equipo dependerá tanto de la complejidad del diseño/proceso como del
tamaño de la organización.
8. Valoración del Riesgo
Elaborado por: María Daniela Pérez HElaborado por: María Daniela Pérez H
Tabla N° 2
Tabla N° 1
Tabla N° 3
NPR = Ocurrencia x Severidad x Detección.
Evaluación del Riesgo
Elementos que conforman al AMEF
9. Desarrollo de las etapas de la valoración del riesgo
Valoración del Riesgo: Identificación
Elaborado por: María Daniela Pérez HElaborado por: María Daniela Pérez H
Para conocer las fuentes de riesgos, áreas de impacto, causas y consecuencias, el AMEF
se complementa con la aplicación de la técnica “Tormenta de Ideas”, en donde se
recopilan juicios basados en experiencias y registros, así como también de las respuestas
obtenidas de la aplicación de las siguientes preguntas:
ETAPA 1: Identificación
¿Qué puede ocurrir? ¿Cómo puede suceder? ¿Por qué se puede presentar?
¿Cuándo puede ocurrir? ¿Qué consecuencias traería su ocurrencia ?
La información recopilada en esta etapa, se registra en los campos del AMEF
identificados con el color azul (Fuente, Evento, Consecuencia y Causa)
10. Valoración del Riesgo: Análisis
Elaborado por: María Daniela Pérez HElaborado por: María Daniela Pérez H
Durante el desarrollo de esta etapa es necesario:
ETAPA 2: Análisis del riesgo
Determinación de los controles existentes: viene dado por los mecanismos
implementados para avisar o detener los procesos frente a la presencia de
un evento.
Determinación de la ocurrencia: viene dado por probabilidad de que el
evento ocurra.
La tabla N° 1 que se muestra en la siguiente lámina, indica la cuantificación
de la ocurrencia del evento.
11. Elaborado por: María Daniela Pérez HElaborado por: María Daniela Pérez H
Tabla N° 1 Cuantificación de la ocurrencia del evento
Nivel del Evento Ocurrencia del Evento Rango
Muy Alta
El evento es casi inevitable. Se desarrolla un proceso paralelo que permita
arreglar el daño causado por la falla.
9-10
Alta
En procesos similares se presentan las mismas fallas todo el tiempo. El
proceso no se encuentra estadísticamente controlado.
7-8
Moderada
Procesos similares presentan los mismos eventos ocasionalmente, pero en
una gran proporción. El proceso se encuentra controlado de manera
estadística.
4-6
Baja
Procesos similares presentan los mismos eventos, pero no frecuentemente ni
en grandes proporciones.
3
Muy Baja
Algunos procesos tienen identificada el evento y ocurren en largos intervalos
de tiempo.
2
Despreciable
El evento casi no se da. No existe defecto asociado al evento. El procesos se
encuentra controlado estadísticamente,
1
Valoración del Riesgo: Análisis
12. Elaborado por: María Daniela Pérez HElaborado por: María Daniela Pérez H
Determinación de la Severidad: viene dado por el impacto o severidad que
tiene el evento sobre el proceso.
Tabla N° 2 La clasificación y cuantificación de la Severidad
Nivel de Evento Severidad del Evento sobre Proceso Rango
Muy alta
El evento constituye una gran parte del proceso (9), o el evento incide
prácticamente en la totalidad del proceso (10).
9-10
Alta
El evento produce un alto grado de insatisfacción en el cliente. Muchas de
las etapas del proceso son interrumpidas por el evento. Como resultado
del evento el cliente devuelve el producto (7). La falla sólo puede ser
detectada en la etapa final del proceso (8).
7-8
Moderada
El evento causa cierta insatisfacción en el cliente y algunos resultados del
proceso se encuentran en los límites de las exigencias del cliente. El
proveedor se ve en la necesidad de hacer ajustes en el proceso para
modificar el resultado final, por causa del evento. El problema es
detectado durante el proceso, pero su solución es engorrosa (4). El
problema es detectado siempre durante el proceso (5). El problema es
detectado siempre en una misma etapa del proceso (6).
4-6
Baja
El evento es causa por modificaciones realizadas durante el proceso o
adición de algún material. El cliente siempre notifica la detección de la
falla al tener algún tipo de inconveniente en su proceso.
2-3
Despreciable
Razonablemente, el experto nota la naturaleza del evento y notifica que la
falla afecta una parte muy pequeña del proceso y aun así no representa
una causa de defecto en el producto. Probablemente, el cliente no perciba
la falla y no lo notifique.
1
Valoración del Riesgo: Análisis
13. Elaborado por: María Daniela Pérez HElaborado por: María Daniela Pérez H
Determinación de la Detección: mientras más bajo sea el valor más efectivo es el
control aplicado
Tabla N° 3 La clasificación y cuantificación de la Detección de la Falla o
Evento sobre el Proceso
Valoración del Riesgo: Análisis
Nivel del
Evento
Detección de la Falla Rango
Pasa
desapercibido
Los controles del proceso no pueden detectar la falla
existente, ni la causa que la produce.
10
Muy poca
detección
Controles adicionales probablemente no detecten la
falla, pero el cliente si la detecta.
9
Poca
Muchos controles detectan la falla, pero la detección no
ocurre a tiempo para detenerla ni corregirla.
7-8
Moderada
Algunos controles detectan la falla, pero no emplean las
pruebas necesarias para su control. Los controles
tienen un alto grado de variabilidad.
5-6
Alta
Los controles tienen un alto grado de posibilidad de
detectar la falla, luego de ser completado el proceso.
Durante el proceso, las pruebas realizadas se emplean
como monitor para la manufacturación del producto.
3-4
Muy Alta /
Rápida
Casi siempre los controles detectan el defecto antes
que el producto sea terminado o pase a otra etapa del
proceso. Un alto rango de materiales son controlados
según las especificaciones.
1-2
14. Elaborado por: María Daniela Pérez HElaborado por: María Daniela Pérez H
Determinación de Nivel de Prioridad del Riesgo (NPR): Surge del producto
de los valores reflejados en los campo de Ocurrencia, Severidad y Detección.
NPR = Ocurrencia x Severidad x Detección.
Valoración del Riesgo: Análisis
La información recopilada en esta etapa, se registra en los campos del AMEF
identificados con el color gris (Ocurrencia, Severidad, Control Actual, Detección y NPR)
15. Elaborado por: María Daniela Pérez HElaborado por: María Daniela Pérez H
Valoración del Riesgo: Evaluación
Esta etapa consiste en la comparación del nivel del riesgo encontrado durante el
análisis contra los criterios de nivel de riesgo previamente establecidos.
ETAPA 3: Evaluación del riesgo
Riesgo Intolerable: el tratamiento es esencial sin importar el costo. Nivel
de Prioridad del Riesgo de 8 a 10
Riesgo Intermedio: se toman en cuenta costos y beneficios contra las
consecuencias probables para decidir. Nivel de Prioridad del Riesgo de 4 a 7
Riesgo Insignificante: no son necesarias medidas de tratamiento. Nivel
de Prioridad del Riesgo de 1 a 3
16. Elaborado por: María Daniela Pérez HElaborado por: María Daniela Pérez H
Valoración del Riesgo: Evaluación
El resultado de una evaluación es un lista priorizada de riesgos para tomar acciones
posteriormente (tratamiento del riesgo).
A través del uso del AMEF es posible visualizar las actividades establecidas para el
tratamiento del riesgo, así como su seguimiento y revisión.
La efectividad del tratamiento es verificado a través de un nuevo cálculo del NPR y su
comparación contra los criterios del riesgo.
En una situación ideal el segundo NPR calculado debe reflejar la disminución o
eliminación del riesgo.
17. ¿Cómo aplicar el AMEF a diferentes procesos?
Valoración del Riesgo
Elaborado por: María Daniela Pérez HElaborado por: María Daniela Pérez H
La diferencia durante la aplicación del AMEF de un proceso a otro, varía en la etapa
de identificación, pues pueden presentarse diferentes eventos o incluso un mismo
evento puede afectar de forma distinta cada proceso. Además, de acuerdo a la
naturaleza de los procesos o de los eventos, pueden emplearse mecanismos de
detección distintos.
Todo esto conlleva a que, si bien, los criterios para la determinación de la ocurrencia,
severidad, detección y nivel de riesgos se mantienen, los resultados de la valoración del
riesgo para cada proceso serán diferentes, y por tanto se necesitará de un tratamiento
que se ajuste a cada caso.
18. Conclusiones
Valoración del Riesgo: Conclusiones
Elaborado por: María Daniela Pérez HElaborado por: María Daniela Pérez H
La selección de la metodología para la valoración del riesgo depende de la
naturaleza de las actividades bajo revisión y los tipos de riesgos identificados.
De las diferentes técnicas investigadas, se considera el AMEF como una
herramienta que es capaz de resumir no solo las etapas de la valoración,
sino también permite visualizar el tratamiento, seguimiento y revisión del
riesgo.
El análisis de riesgo y los criterios contra los cuales se comparan los riesgos en
la evaluación se deben considerar sobre la misma base, ya sean cualitativa,
semi cuantitativa o cuantitativa
19. Bibilografía
Valoración del Riesgo
Elaborado por: María Daniela Pérez HElaborado por: María Daniela Pérez H
AMEF Análisis de Modo y Efecto de Falla. Nueva Gerencia. com
Análisis de Riesgos. Metodología ISO 31010.COMCE NORESTE A.C.
Formación de Auditores Internos. K y M Consultores
Norma Técnica Colombiana Gestión de Riesgos NTC 5254:2004