144

Academia
9: Auditora y Seguridad I/TIC

Riesgo (Risk): Gestin

EVALUACIN: RIESGO INHERENTE /y2
TERMINAREMOS DE EVALUAR EL MAPA DE RIESGO INHERENTE DEL CASO PRCTICO,
DESRIBIENDO EL MTODO DELPHI PARA CONSENSUADO DE PROBABILIDAD E IMPACTO

Carlos
Bachmaier
Johanning
GESTIN DE RIESGO
CORPORATIVO
Sistemas Tcnicos de
Loteras

caso prctico (BDPI) y el mapa de

consenso, en general lo que se

riesgo, aplicado al caso prctico.

persigue y produce es una

Y ahora, a ms. Vamos con el

riesgo!

conjugacin de opiniones de
expertos, decantndose el
conocimiento del grupo.
La operatividad del mtodo se basa

Mtodo Delphi

en el esquema tesis-anttesis-sntesis;
sntesis que se convierte en la nueva

Este mtodo surge de un estudio de

Situacin

tesis. Las iteraciones continan hasta

investigacin realizado por la Rand

la estabilizacin de los resultados. Las

Corporation a comienzo de los aos

valoraciones obtenidas son,

cincuenta, patrocinado por la fuerza

obviamente, cualitativas.
La metodologa es especialmente

a sabes. Nmero impar, toca

area de EEUU. El objetivo del estudio:

Auditora y Seguridad I/TIC.

encontrar el acuerdo de opinin ms

indicada cuando no existen datos

Estamos en plena etapa de

fiable de un grupo de expertos.

suficientes, con alto grado de

evaluacin del proceso de gestin de

El mtodo se basa en la forma de

incertidumbre y complejidad.

riesgo. Como ya hemos revisado los

actuacin del Orculo de Delfos:

Asimismo, cuando no se dispone de

conceptos bsicos requeridos -te

establecimiento de una tesis,

informacin objetiva ni mediciones, o

remito a los nmeros impares

realimentacin controlada de opinin y

cuando la situacin no es semejante a

anteriores para informacin o revisin

formacin de promedio de visin.

otras de las que proyectar similitudes.

de los mismos- centro la exposicin

Se sustenta en la idea de que

Permite, en suma, cerrar la brecha

en la pura gestin de riesgo:

cuando no hay informacin

entre un elevado desconocimiento y

evaluacin, mapas de riesgo,

objetiva es legtimo acudir al

una apreciacin cualificada, tratando de

mitigacin y planes de accin,

testimonio de expertos, que si bien

obtener lo mximo de una informacin

indicadores, revisin y reporte, etc.

sern subjetivos no sern arbitrarios,

disponible imperfecta y pobre.

En un nmero (impar) anterior

teniendo en cuenta la utilidad del buen

El desarrollo y uso principal del

vimos la preparacin de la estrategia

juicio y criterio del ser humano; y

mtodo pronto deriv a la generacin

de gestin de riesgo, la lista de

mejor de un grupo que de un

de predicciones (visiones de futuro). Se

elementos de riesgo, y una visin

individuo. Algunos autores hablan de

ha empleado para otras estimaciones

general de las tcnicas y metodologas

generacin de consenso entre los

no relacionadas con la prediccin, pero

de valoracin del riesgo inherente.

expertos, pero esta denominacin

que comparten la misma problemtica.

Hoy veremos el mtodo Delphi

personalmente me parece inadecuada.

Ejemplos de ello son la creacin de

para la valoracin de riesgo

Si bien en algunos casos se puede

rankings de reputacin y,

inherente, los resultados para el

emplear el mtodo para generar

naturalmente, el anlisis de riesgo.

n 9
abril 2007

145

Academia
El mtodo, contado en pocas
palabras, se plasma en que cada
experto emite una opinin y luego la
contrasta sucesivas veces con el
conjunto de respuestas, modificndola
o confirmndola. Se mecaniza
mediante el empleo de cuestionarios.
Ms en detalle: el proceso,
asncrono, se basa en la
cumplimentacin de rondas de
cuestionarios por el conjunto de
expertos en el rea (que deben estar
dispuestos a dedicar el tiempo
necesario), sin interrelacin entre
ellos. Los participantes desconocen las
opiniones individuales emitidas. Es
importante que en cada ronda no
haya interaccin entre los expertos -a
fin de que sus opiniones no se
contaminen entre s- y que opinen con
libertad de expresin; por tanto, se
debe garantizar el anonimato de las

discrepancias; se logra con cierta

cada pregunta una autovaloracin de

respuestas. Los participantes pueden

rapidez la conjugacin de visiones

competencia en el rea; debe

mantener o modificar su opinin

(consenso); los participantes trabajan

reducirse al mximo la ambigedad e

ronda a ronda.

por separado (donde y cuando

imprecisiones en las preguntas; el

quieren, en cualquier parte del

nmero inicial de participantes debe

mundo); se evita el pensamiento

ser alto si estos pueden descolgarse

El nmero de rondas mnimo se

define al inicio, siendo normalmente
dos o tres. Todas las rondas tienen

del estudio, ya que el conjunto final

una estructura semejante: elaboracin

debe ser representativo, y,

del cuestionario, remisin del mismo,

respuesta, procesado y medidas. En la
primera ronda debe proveerse la
informacin de contexto adecuada y
cada experto responde al formulario.
En las siguientes, cada experto recibe
los resultados estadsticos de lo que
respondieron todos los miembros del
panel en la ronda anterior as como

Cuando no hay informacin

objetiva es legtimo acudir
al testimonio de expertos,
que si bien sern subjetivos
no sern arbitrarios

un recordatorio de su opinin. A la

tpicamente, slo un tercio de los que

empiezan llegan al final.
Desventajas del mtodo: adolece
de la problemtica tradicional de los
cuestionarios -que debe remediarse
mediante las correspondientes
medidas: inters marginal de los
participantes, que conduce a tasas de
participacin bajas con calidad
deficiente de respuestas. Los

vista de ello, puede mantener su

elementos de motivacin clsicos

opinin o modificarla. En caso de que

grupal (efecto de seguir al lder o la

pivotan alrededor de incentivos a los

un experto mantenga una opinin que

mayora) y la espiral de silencio

participantes, que pueden ser

se aparte de la media (o las modas si

(presin del grupo frente a la libre

econmicos, reputacionales, de

la distribucin es fuertemente

opinin y trabas al cambio de

compromiso, etc. Ayudan a mejorar los

multimodal) debe expresar el porqu.

posiciones). La eliminacin de los

resultados buenas cartas de

Tambin cuando modifica su opinin

efectos de pensamiento grupal y de

presentacin que expliquen el objetivo

para acercarla a la media. Las

espiral de silencio es esencial para

y la importancia, tiempos suficientes

conclusiones pueden no ser nicas ni

una buena evaluacin de riesgo.

pero no excesivos, recordatorios a ser

uniformes (distribuciones
multimodales).
Fortalezas del mtodo: revela
informacin razonada sobre las

En cuanto a requisitos: los

participantes deben ser expertos en la
materia -idealmente, en los
cuestionarios debera incluirse para

posible mediante peticiones verbales

personales, reconocimiento, etc.
Otras desventajas: tiende a ser o
muy conservador (poco atento a los

n 9
abril 2007

146

Academia
Opiniones de expertos, s, pero

Algunas referencias
ara ms informacin te
recomiendo partir de la
wikipedia
http://en.wikipedia.org/wiki/Delphi_
method
http://en.wikipedia.org/wiki/Delphi_
method). Interesante, aunque espeso,
es el sugestivo libro de
Linstone&Turoff (descarga gratuita en
http://is.njit.edu/pubs/delphibook/
http://is.njit.edu/pubs/delphibook/)
, que presenta las bases de los
Inquiry Systems (Teora General de
los Sistemas).
En cuanto a herramientas, puedes
emplear gratuitamente la aplicacin
Delphi en
http://armstrong.wharton.upenn.edu
/delphi2/
http://armstrong.wharton.upenn.edu
/delphi2/ Tambin puedes desplegar,
en Internet o Intranet, un proyecto

opiniones.

Delphi con cdigo libre para

desarrollo de encuestas. El mo
favorito es PHPSurveyor
http://www.phpsurveyor.org/index.php
http://www.phpsurveyor.org/index.php.
Otra alternativa es PHP Easy Survey
http://www.butterfat.net/wiki/Projects/
phpESP/
http://www.butterfat.net/wiki/Projects/
phpESP/, as como sitios de pago y
gratuitos en Internet que permiten
realizar las encuestas.
Un ejemplo real prctico, por
Landeta, Matey y otros, Instituto de
Economa Aplicada a la Empresa,
puedes leerlo en
http://www.idescat.net/cat/idescat/for
macioRecerca/formacio/Art.Landetae
tal.,Qvol26,1-2.pdf
http://www.idescat.net/cat/idescat/for
macioRecerca/formacio/Art.Landetae
tal.,Qvol26,1-2.pdf

El Mtodo Delphi y la
valoracin de riesgo
El mtodo permite obtener una
valoracin de riesgo, y adems
aporta dos enormes ventajas: la
valoracin responde a las
expectativas de los miembros del
panel decantado de conocimiento- y
el importante efecto de alineamiento
que la realizacin del ejercicio
produce normalmente: partiendo de
posiciones diferentes se alcanza un
cierto nivel de convergencia. Ambos
efectos son importantes ya que
permiten abordar de forma coherente
la fase de control de riesgos.
La mecnica especfica es:
Se define el equipo conductor
(suele ser el equipo de Seguridad) y
se designan los expertos, usualmente
los propietarios de los activos y de
los riesgos, y personas involucradas
en la direccin y gestin de la

cambios y divergencias, efecto de la

media) o muy radical, los resultados
deben ser matizados; el resultado
depende notablemente de la pericia
e inters de los participantes; es
sensible a que el equipo conductor
del mtodo imponga preconcepciones
o su propia opinin (atencin a los
cuestionarios); es tambin sensible a

Conviene recordar que los

resultados son slo
opiniones. Opiniones de
expertos, s, pero opiniones

organizacin.
El primer cuestionario contendr la
lista de elementos de riesgo.
Normalmente la identificacin de
activos y las amenazas sobre los
mismos se lleva a cabo por el equipo
de Seguridad, incluyendo consultas,
reuniones y focus groups, con los
miembros de la organizacin. Junto a

que no se investiguen suficientemente

cada elemento, las casillas donde

las divergencias. Por ltimo: no es

infrecuente que se subestime el

el panel de contraste para comprobar

cada miembro del panel marcar su

esfuerzo que requiere, que es,

el cuestionario. Ajustes al

valoracin para probabilidad e

normalmente, elevado.

cuestionario. Remisin del

impacto, as como la auto-declaracin

cuestionario al panel principal y

de competencia en el elemento y

pasos: Definicin del problema.

respuestas. Anlisis y evaluacin de

espacio para indicar posibles

Formacin del equipo conductor

las respuestas. Preparacin del

oportunidades ligadas al elemento. El

Delphi, que desarrolla el proyecto.

cuestionario de la siguiente ronda.

cuestionario debera tambin incluir

Seleccin del panel o paneles de

Iteraciones hasta la estabilizacin de

preguntas abiertas tales como: Qu

expertos (lo ideal son tres paneles: el

resultados, con convergencia o

activos/amenazas echa en falta?

grupo de contraste inicial de los

situacin multimodal. Preparacin de

Qu posibles oportunidades

cuestionarios, el grupo nominal o

informe de conclusiones. Presentacin

apuntara?

principal y el grupo evaluador).

de resultados.

El mtodo involucra los siguientes

Preparacin del cuestionario de la

primera ronda. Ronda de prueba sobre

n 9
abril 2007

Conviene recordar que los

resultados son slo opiniones.

Tambin debe incluir un resumen

de los elementos aplicables de la
Estrategia de Gestin de Riesgo, en

147

Academia
concreto la definicin de las escalas
de valoracin de probabilidad e
impacto. A titulo de ejemplo, las
escalas de valoracin pueden ser
bajo-moderado-alto (llevando a un
mapa de riesgo de 3x3) aunque
normalmente se sucumbe al muy
bajo-bajo-moderado-alto-muy alto
(llevando a un mapa de riesgo de
5x5). En este punto y en muchas
organizaciones, el mtodo cualitativo
derivar en pseudo-cuantitativo al
asignar valores 1-2-3 al rango bajomoderado-alto a fin de asignar un
nivel (score) al riesgo. Insisto de
nuevo, los significados de bajomoderado-alto, fijados en la
estrategia, deben incluirse en el
cuestionario.
Si la valoracin de riesgo deseamos
hacerla en trminos de ALE

como un conjunto de oportunidades.

(Annualized Loss Expectancy), los

Ahora corresponde a la Direccin

intervalos de probabilidad deben

validar y valorar la percepcin del

responder a probabilidad de

panel o matizarla.

ocurrencia anual y los de impacto a

Finalmente, se produce la tabla de

Prxima etapa: actividades de

control o tratamiento de riesgo
(Risk Control)
En este Academia hemos terminado

rangos de valor econmico. As,

riesgo inherente: la lista de elementos

el tercer y ltimo paso de la etapa de

probabilidad en rango bajo podra ser

de riesgo valorada, y el mapa de

anlisis de riesgo: valoracin del

una vez cada 50 o ms aos,

riesgo.

riesgo inherente y construccin del

moderado podra ser una vez cada 10

mapa de riesgo. Una vez valorado

a 50 aos, y alto una vez cada 10 o

cada elemento de riesgo inherente,

Tabla de riesgo inherente y

mapa de riesgo de BDPI

menos aos. O una vez cada 5 o ms

aos, una cada uno a 5 aos y alta

podremos identificar riesgos no

asumibles y valorar las posibles

ms de una vez por ao. Depende de

contramedidas y riesgos residuales.

la organizacin y el tipo de riesgo.

Pero eso ser en el prximo numero

Como ejemplo, se adjuntan los

Impacto bajo podra ser inferior a

resultados producidos del Delphi

impar de a+ Mientras tanto, te

100.000 euros, moderado de 100.000

realizado por el panel de expertos (el

propongo dos ejercicios prcticos

a un milln, y alto, mayor de 1 milln.

autor del articulo ;-) en referencia al

personales, trasladando lo presentado

caso prctico: tabla de riesgo

a la realidad de tu trabajo, basados en

visin conjunta decantada (la

inherente (por ahorro de espacio, una

la lista simplificada de elementos de

percepcin del panel de expertos)

tabla resumida que solo incluye la

riesgo de tu organizacin que espero

junto con sus divergencias y la

identificacin del elemento de riesgo y

hayas ya construido: el primero, que

descripcin de sus motivaciones, as

las valoraciones) y mapa de riesgo.

organices un mini-delphi para evaluar

Tras varias rondas, se tendr la

el riesgo inherente. El segundo, que

generes el mapa simplificado de
ID

M
M
II

1b

Probabilidad
M
A
B
6
9
II
I+

1c

1d

B
A
Impacto
A
2
6
I+
I+

M
A
Score
III

B
M
A
A
3
9
Prioridad
I

M
A
6
II

M
M
3
I

A
M
4
I

A
A
4
II

riesgos de tu organizacin. Si quieres

comentar sobre ello conmigo,
mndame un correo electrnico!
6

Nota: B=Bajo=1, M=Medio=2, A=Alto=3; Score=PxI; Prioridad: III = score

<3, II = 3<score<6, I = score > 6

Hasta pronto. Espero

vuestros comentarios por
correo electrnico en:
akademia.peripatetika@gmail.com

n 9
abril 2007