NORMA TCNICA COLOMBIANA 5254 GESTIN DERIESGOS

Esta norma tiene como objetivo proporcionar un marco genrico para establecer el contexto, la identificacin, el anlisis, la evaluacin, el tratamiento, el seguimiento y la comunicacin del riesgo.

Especifica los elementos del proceso de gestin del riesgo, pero no es su propsito obligar a la uniformidad de los sistemas de gestin del riesgo.

Es genrica e independiente de cualquier sector industrial o econmico especfico.

El diseo e implementacin del sistema de gestin del riesgo se ver influenciado por las necesidades variables de una organizacin, sus objetivos particulares, sus productos y servicios y los procesos y prcticas especficas empleadas.

La gestin del riesgo es un proceso iterativo que consta de pasos bien definidos que, tomados en secuencia, apoyan una mejor toma de decisiones mediante su contribucin a una mayor profundizacin en los riesgos y sus impactos. El proceso de gestin del riesgo puede aplicarse a cualquier situacin donde un resultado indeseado o inesperado podra ser importante o donde se identifiquen oportunidades. Quienes toman decisiones deben conocer los posibles resultados y tomar medidas para controlar su impacto. La gestin del riesgo se reconoce como parte integral de la buena prctica de gestin. A fin de ser lo ms efectiva posible, la gestin del riesgo debe volverse parte de la cultura de una organizacin. Debe integrarse en las filosofas de la organizacin, las prcticas y planes empresariales en vez de verse o practicarse como un programa separado. Cuando esto se logra, la gestin del riesgo se vuelve asunto de cada una de las personas de la organizacin.

Consecuencia: resultado de un evento expresado cualitativa o cuantitativamente, como por ejemplo una prdida, lesin, desventaja o ganancia. Puede haber una serie de resultados posibles asociados con un evento. Costo: actividades, tanto directas como indirectas, que involucran cualquier impacto negativo, incluyendo prdidas de dinero, tiempo, mano de obra, interrupcin del trabajo, buen nombre, prdidas polticas e intangibles. Evento: incidente o situacin que ocurre en un lugar particular durante un intervalo de tiempo particular. Anlisis de rbol de eventos: tcnica que describe la posible gama y secuencia de los resultados que pueden provenir del inicio de un evento. Anlisis de efectos y modo de falla (AEMF): procedimiento mediante el cual se analizan los modos de falla potencial en un sistema tcnico. Un AEMF se puede ampliar para realizar lo que se denomina anlisis de modos de falla, efectos y grado de severidad (FMECA). En un FMECA, cada modo de falla identificado se clasifica de acuerdo con la influencia combinada de su probabilidad de ocurrencia y la severidad de sus consecuencias.

Anlisis de rbol de fallas: mtodo de ingeniera de sistemas usado para representar las combinaciones lgicas de varios estados del sistema y las posibles causas que pueden contribuir a un evento especfico (llamado el evento superior). Frecuencia: medida de la tasa de ocurrencia de un evento, expresada como el nmero de ocurrencias de un evento en un tiempo determinado. Vase tambin Posibilidad y Probabilidad. Peligro: fuente de dao potencial o situacin con potencial para causar prdida. Posibilidad: se emplea como una descripcin cualitativa de la probabilidad o frecuencia. Prdida: cualquier consecuencia negativa, financiera u otra. Monitorear: verificar, supervisar, observar de forma crtica, o registrar el progreso de una actividad, accin o sistema, en forma regular, a fin de identificar cambios. Organizacin : empresa, firma, compaa o asociacin, u otra entidad legal o parte de la misma, ya sea constituida o no, pblica o privada, que tiene sus propias funciones y administracin.

GLOSARIO DE TERMINOS
Probabilidad: posibilidad de que ocurra un evento o resultado especfico, medida por la relacin entre los eventos o resultados especficos y el nmero total de eventos o resultados posibles. La probabilidad se expresa como un nmero entre 0 y 1, en donde 0 indica un evento o resultado imposible y 1 un evento o resultado seguro. Riesgo residual: nivel restante de riesgo despus de que se han tomado medidas de tratamiento del riesgo. Riesgo :posibilidad de que suceda algo que tendr impacto en los objetivos. Se mide en trminos de consecuencias y posibilidad de ocurrencia. Aceptacin del riesgo: decisin informada de aceptar las consecuencias y posibilidad de un riesgo particular. Anlisis del riesgo: uso sistemtico de la informacin disponible, para determinar la frecuencia con la que pueden ocurrir eventos especificados y la magnitud de sus consecuencias. Valoracin del riesgo: proceso general de anlisis del riesgo y evaluacin del riesgo. Evitar el riesgo: decisin informada de no involucrarse en una situacin de riesgo.

GLOSARIO DE TERMINOS
Control del riesgo : parte de la gestin del riesgo que involucra la implementacin de polticas, normas, procedimientos y cambios fsicos a fin de eliminar o minimizar los riesgos adversos. ingeniera del riesgo :aplicacin de principios de ingeniera y mtodos para la gestin del riesgo. evaluacin del riesgo: proceso usado para determinar las prioridades de gestin del riesgo mediante la comparacin del nivel de riesgo contra normas predeterminadas, niveles de riesgo objeto u otros criterios. financiacin del riesgo: mtodos aplicados para suministrar fondos para el tratamiento del riesgo y las consecuencias financieras del riesgo. En algunas industrias, la financiacin del riesgo slo se relaciona con el suministro de fondos para afrontar las consecuencias financieras del riesgo. identificacin del riesgo: proceso para determinar lo que puede suceder, por qu y cmo.

GLOSARIO DE TERMINOS
Gestin del riesgo: cultura, procesos y estructuras que se dirigen hacia la gestin eficaz de las oportunidades potenciales y los efectos adversos. Proceso de gestin del riesgo :aplicacin sistemtica de polticas de gestin, procedimientos y prcticas, a las tareas de establecimiento del contexto, identificacin, anlisis, evaluacin, tratamiento, monitoreo y comunicacin del riesgo. Reduccin del riesgo : aplicacin selectiva de tcnicas apropiadas y principios de gestin a fin de reducir la posibilidad de una ocurrencia o sus consecuencias, o ambas. Retencin del riesgo: retencin, intencional o no, de la responsabilidad por prdida, o carga por la prdida financiera dentro de la organizacin. Transferencia del riesgo: traslado de la responsabilidad o carga por la prdida a otra parte, por medio de la legislacin, contratos, seguros u otros medios. La transferencia del riesgo tambin se puede referir al traslado de un riesgo fsico o parte del mismo a cualquier otra parte.

GLOSARIO DE TERMINOS
Tratamiento del riesgo: seleccin e implementacin de las opciones apropiadas para ocuparse del riesgo. Anlisis de sensibilidad: anlisis que examina la forma como los resultados de un clculo o modelo varan a medida que cambian las suposiciones de los individuos. Partes interesadas: personas y organizaciones que pueden afectar, verse afectadas, o percibirse ellas mismas como afectadas por una decisin o actividad.

PROPSITO: El propsito de esta seccin es describir un proceso formal para el establecimiento de un programa sistemtico de gestin del riesgo. Para llevar a cabo un programa de gestin del riesgo, detallado, a nivel de proyectos o suborganizacional, es necesario desarrollar una poltica de gestin del riesgo organizacional y un mecanismo de soporte.

POLTICA DE GESTIN DEL RIESGO : La alta direccin de la organizacin debe definir y documentar su poltica para gestin del riesgo, incluidos los objetivos para la gestin del riesgo y su compromiso con ella. La poltica de gestin del riesgo debe ser pertinente para el contexto estratgico de la organizacin y sus metas, objetivos y la naturaleza de sus negocios. La direccin debe asegurar que su poltica sea entendida, implementada y mantenida en todos los niveles de la organizacin.

Compromiso de la direccin a)Se establezca, implemente y mantenga un sistema de gestin del riesgo de acuerdo con esta norma, y b)Se reporte el desempeo del sistema de gestin del riesgo a la direccin de la organizacin para revisin y como base para mejora. Responsabilidad y autoridad Debe definirse y documentarse la responsabilidad, autoridad y la interrelacin del personal que realiza y verifica la gestin del riesgo, en especial para las personas que requieren autonoma y autoridad organizacional para efectuar una o ms de las siguientes actividades: a) iniciar acciones a fin de evitar o reducir los efectos adversos del riesgo; b) controlar el tratamiento posterior de los riesgos hasta que el nivel de riesgo se vuelva aceptable; c) identificar y registrar cualquier problema relacionado con la gestin del riesgo; d) iniciar, recomendar o proporcionar soluciones por medio de los canales designados; e) verificar la implementacin de soluciones; y f) comunicar y consultar interna y externamente, segn sea apropiado.

PLANEACIN Y SUMINISTRO DE RECURSOS

Recursos La organizacin debe identificar los requerimientos en cuanto a recursos y brindar los recursos adecuados, que incluyen la asignacin de personal entrenado para actividades de gestin, realizacin del trabajo y de verificacin, incluida la verificacin interna. PROGRAMA DE IMPLEMENTACIN Se requieren varios pasos para implementar un sistema eficaz de gestin del riesgo dentro de una organizacin. En el Anexo B se presentan algunos ejemplos. Dependiendo de la filosofa, cultura y estructura generales de la organizacin en cuanto a gestin del riesgo, debe ser posible combinar u omitir algunos pasos. No obstante, cuando sea aplicable s e deben tener todos en cuenta. REVISIN POR LA DIRECCIN La alta direccin de la organizacin debe garantizar que se realice una revisin del sistema de gestin del riesgo a intervalos especificados, suficiente para asegurar su continua conveniencia y eficacia para cumplir los requisitos de la presente norma y la poltica y objetivos de gestin del riesgo establecidos por la organizacin (vase el numeral 2.2). Se deben mantener registros de dichas revisiones.

La gestin del riesgo es una parte integral del proceso de gestin. La gestin del riesgo es un proceso multifactico, cuyos aspectos apropiados los realiza, con frecuencia, un equipo multi-disciplinario. Es un proceso iterativo de mejora continua. ELEMENTOS PRINCIPALES a)Establecer el contexto Establecer el contexto estratgico, organizacional y de gestin del riesgo en el cual ocurrir el resto del proceso. Es conveniente que se establezcan criterios contra los cuales va a de evaluar el riesgo, y se debe definir la estructura del anlisis. b) Identificar riesgos: Identificar qu, por qu y cmo pueden surgir elementos como base para anlisis posterior. c) Analizar riesgos: Determinar los controles existentes y analizar los riesgos en trminos de consecuencia y posibilidad en el contexto de estos controles. El anlisis debe considerar la gama de consecuencias potenciales y la posibilidad de que stas ocurran. Se pueden combinar la consecuencia y la posibilidad para producir un nivel estimado de riesgo. d) Evaluar los riesgos: Comparar los niveles estimados de riesgo, contra los criterios pre-establecidos. Esto posibilita que los riesgos sean clasificados de modo que se identifiquen prioridades de gestin. Si los niveles de riesgo establecido son bajos, entonces los riesgos pueden encajar en una categora aceptable, y es posible que no se requiera tratamiento.

PANORAMA DE LA GESTION DE RIESGOS

e) Tratar los riesgos: Aceptar y monitorear los riesgos de baja prioridad. Para los dems riesgos, desarrollar e implementar un plan de gestin especfico que incluya considerar el suministro de recursos. f) Monitorear y revisar: Monitorear y revisar el desempeo del sistema de gestin del riesgo y los cambios que pudieran afectarlo. g) Comunicar y consultar Comunicar y consultar con las partes interesadas, internas y externas, segn sea apropiado, en cada etapa del proceso de gestin del riesgo y con relacin al proceso en conjunto. La gestin del riesgo puede aplicarse en muchos niveles de una organizacin. Puede aplicarse en el nivel estratgico y en niveles operacionales; puede aplicarse a proyectos especficos, para servir de ayuda en decisiones especficas o manejar reas de riesgo especficas reconocidas. La gestin del riesgo es un proceso iterativo que puede contribuir a la mejora organizacional. Con cada ciclo, los criterios de riesgo pueden fortalecerse para lograr progresivamente mejores niveles de gestin del riesgo.

ESTABLECER EL CO NTEXTO

Comunicacin y consulta

A N A L IZ A R D E R IE S G O S

E V A L U A R L O S R IE S G O

T R A T A R E L R IE S G O

Monitoreo y revisin

ID E N T IF IC A R L O S R IE S G O S

ESTABLECER EL CONTEXTO El contexto estrategico El contexto organizacional El contexto de gestin de riesgos Criterio desarrollado Definir la estructura

IDENTIFICAR RIESGOS - Qu puede suceder? - Cmo puede suceder?

ANALIZAR LOS RIESGOS Determinar los controles existentes

PROCESO DE GESTION DE RIESGO

Comunicar y consultar

Calcular nivel de riesgo

EVALUAR LOS RIESGOS - Comparar contra criterios - Establecer prioridades de riesgo

Aceptar riesgos Evaluar los riesgos No

Si

TRATAR LOS RIESGOS Identificar opciones de tratamiento Evaluar las opciones de tratamiento Seleccionar las opciones de tratamiento Preparar planes de tratamiento Implementar planes

Monitorear y revisar

Determinar la probabilidad

Determinar las consecuencias

IDENTIFICACIN DEL RIESGO En este paso se busca identificar los riesgos que se van a gestionar. Es esencial realizar una identificacin de conjunto usando un proceso sistemtico bien estructurado, debido a que un riesgo potencial no identificado durante esta etapa ser excluido del anlisis posterior. La identificacin debe incluir todos los riesgos, sea que estn o no bajo el control de la organizacin. Qu puede suceder? El objetivo es generar una lista global de eventos que podran afectar cada elemento de la estructura a la que se hace referencia en el numeral 4.1.6. Estos eventos se consideran entonces con mayor detalle, para identificar lo que puede ocurrir.(Ver Anexo de la norma) Cmo y por qu puede suceder? Una vez que se haya identificado una lista global de eventos, es necesario considerar sus posibles causas y escenarios. Existen muchas formas en las que se puede iniciar un evento. Es importante que no se omitan causas significativas. Herramientas y tcnicas Entre los mtodos empleados para identificar riesgos se encuentran las listas de chequeo, juicios basados en experiencia y registros, diagramas de flujo, lluvia de ideas, anlisis de sistemas, anlisis de escenarios y tcnicas de ingeniera de sistemas. El mtodo empleado depender de la naturaleza de las actividades bajo revisin y los tipos de riesgo.

Los objetivos del anlisis consisten en separar los riesgos aceptables menores de los mayores, y proporcionar datos que sirvan para la evaluacin y el tratamiento de riesgos. El anlisis del riesgo incluye considerar las fuentes de riesgo, sus consecuencias y la posibilidad de que estas consecuencias ocurran. Se pueden identificar los factores que afectan las consecuencias y la posibilidad. El riesgo se analiza mediante la combinacin de estimaciones de consecuencias y posibilidad en el contexto de las medidas de control existentes. Se puede realizar un anlisis preliminar de manera que se excluyan del estudio detallado los riesgos similares o de bajo impacto. Se deben enumerar los riesgos excluidos, siempre que sea posible, a fin de demostrar que el anlisis de riesgos es completo. Determinacin de los controles existentes: Se deben identificar la gestin, los sistemas tcnicos y procedimientos existentes para controlar el riesgo y evaluar sus fortalezas y debilidades. Las herramientas empleadas en el numeral 4.2.4 pueden resultar apropiadas, lo mismo que mtodos tales como inspecciones y tcnicas de control por auto-evaluacin ('CAE'). Consecuencias y posibilidad: Se evala la magnitud de las consecuencias de un evento, si ocurriera, y la posibilidad del evento y sus consecuencias asociadas, en el contexto de los controles existentes. Las consecuencias y la posibilidad se combinan para producir un nivel de riesgo.

Al analizar las consecuencias y la posibilidad, se recomienda emplear los mejores recursos y tcnicas de informacin disponibles Entre las fuentes de informacin se pueden incluir: registros pasados; experiencia pertinente; prctica y experiencia industrial; literatura publicada pertinente; marketing de ensayo e investigacin de mercado; experimentos y prototipos; modelos econmicos, de ingeniera y otros; juicios de especialistas y expertos.

Entre las tcnicas, se emplean: entrevistas estructuradas con expertos en el rea de inters; empleo de grupos de expertos multidisciplinarios; evaluaciones individuales empleando cuestionarios; uso del computador y otros modelos; uso de rboles de falla y rboles de eventos.

La evaluacin del riesgo involucra la comparacin del nivel de riesgo encontrado durante el proceso de anlisis contra los criterios de riesgo previamente establecidos. El anlisis del riesgo y los criterios contra los cuales se comparan los riesgos en la evaluacin del riesgo se deben considerar sobre la misma base. El resultado de una evaluacin del riesgo es una lista priorizada de riesgos, para tomar acciones posteriores. Se deben considerar los objetivos de la organizacin y el grado de oportunidad que pudiera resultar de asumir el riesgo. Las decisiones deben dar cuenta del contexto ms amplio del riesgo e incluir la consideracin de la tolerabilidad de los riesgos asumidos por partes diferentes de la organizacin que se beneficia de ella. Si los riesgos resultantes se encuentran en las categoras de riesgo bajo o aceptable, pueden aceptarse con mnimo tratamiento posterior. Los riesgos bajos y aceptados deben monitorearse y revisarse peridicamente para garantizar que siguen siendo aceptables. Si los riesgos no entran en la categora de riesgo bajo o aceptable, deben tratarse empleando una o ms de las opciones consideradas en el numeral 4.5..

EVALUAC I N Y RAN G O D EL RIESG O

Identificacin y tratam iento de opciones

R iesgo aceptable No

Si

Acepta

R educcin de probabilidad

Reduccin de consecuencias

Transferencia total o en partes

Evitar

C O N SIDER AC IO NES D E FAC TIBILID AD D E CO STO S Y BENEFICIO S COMUNICAR Y CONSULTAR

Calcular el tratam iento de las opciones

R ECO M EN D ACIO N ES D EL TRATAM IEN TO DE ESTR ATEG IAS

SELEC CI N D EL TR ATAM IEN TO DE ESTRATEG IAS

Preparar los planes de tratam iento

PR EPARAC I N D E PLANES DE TRATAM IENTO

R educcin de probabilidades

Reduccin de consecuencias

Transferencia total o en partes

Evitar

Parte retenida Im plem entar planes de tratam iento R iesgo aceptable No Si

Parte transferida R etener guardar

MONITOREO Y REVISIN

Esta presentacin debe complementarse con la lectura de : NTC- 5254 GESTION DE RIESGOS