Como crear una Matriz de Riesgos en tan solo 3 Pasos

 La importancia de una buena gestión de los riesgos

 

Recordad que un riesgo no tiene por qué ser algo «malo», tendemos inconscientemente a asociar la palabra riesgo con problema, pero no es una asociación certera.

Por definición, un riesgo es un evento incierto que en el caso de ocurrir tendrá un impacto. Los riesgos negativos se consideran amenazas.


MATRIZ DE RIESGOS PASO A PASO

Dentro de la Gestión de Riesgos hoy en día es casi imprescindible el uso de una herramienta que nos permita identificar, cuantificar y valorar los riesgos a los que tenemos que hacer frente, así como trazar un mapa que nos guíe en una ruta de éxito para nuestra empresa.

Por esto a nivel global es muy aceptada la práctica de elaborar Matrices de Riesgos, que nos permitan la identificación y valoración de los mismos, considerando también el impacto que podrían generar la ocurrencia de tales o cuales variables.

Pero aunque su elaboración precisa de conocimientos técnicos y de una metodología adecuada, no debemos considerar que deba ser demasiado complicada, sino más bien su naturaleza misma es la simplicidad.

Para la elaboración de una matriz de riesgos podemos considerar tres pasos que a continuación desarrollaremos:

1. IDENTIFICACIÓN DE RIESGOS

En esta etapa debemos listar todos los eventos de riesgo posibles que puedan ocurrir y afectar las actividades normales de nuestra empresa o proyecto. Algunos ejemplos de estos eventos de riesgo podrían ser:

  • Riesgo de secuestro
  • De atentado terrorista 
  • Robos y daños
  • Delitos informáticos, ataques de hackers y virus,
  • Accidentes laborales,
  • Siniestros o catástrofes naturales, etc.

2. EVALUACIÓN DE PROBABILIDAD E IMPACTO

Luego de tener bien definidos todos los eventos probables de riesgos, a los que puede estar sujeta nuestra empresa, debemos continuar asignando dos valores a cada uno, por ejemplo del (1 al 5) y de (A hasta E), como sigue: 

Esto lo haremos tanto para su Probabilidad (En donde 1 es Improbable, 2 Posible, 3 Ocasional, 4 Probable y 5 Frecuente), tal como mostramos a continuación:

Así como para su impacto que este implicaría (En donde A sería Insignificante, B Menor, C Moderado, D Peligroso, y E Catastrófico) de la siguiente manera:

Por ejemplo si tomamos el riesgo de Falta de Mano de Obra Calificada*, haremos dos preguntas:

  • ¿Qué tan probable es que esto suceda? y asignamos un número 3, pues consideramos que es ¨Ocasional¨.
  • ¿Qué tanto nos impactaría en caso de suceder? y por ejemplo definimos un C, ya que su efecto de llegar a suceder, sería ¨Moderado¨. Por lo que este riesgo tendría una ponderación de: ¨3D¨

3. ELABORACION DE LA MATRIZ DE RIESGOS

Para finalizar nuestra Matriz de Riesgos no nos queda más que graficar todos lo eventos de riesgos ya debidamente valorados y ubicados de acuerdo a sus ponderaciones de Impacto y ocurrencia de forma que los de mayor puntaje serían los más críticos y por tanto los que necesitan una acción inmediata, los de la franja media podrían ser considerados en un plan a mediano plazo y sobre los de riesgo más bajo deberíamos mantener una vigilancia prudencial.

La utilidad de la Matriz de Riesgos, su versatilidad, tamaño y complejidad pueden ser muy diversas, sin embargo todos los expertos afirman que se ha constituido en una herramienta útil y dinámica que facilita la identificación, así como el control y análisis de los riesgos a los que podemos estar expuestos.

 

 2 FORMA

Descargar la Matriz

El formato (vacío) de la Matriz en versión OpenOffice y Microsoft Excel, más algunos documentos de apoyo, se puede obtener en la sección Descargas.

Fundamento de la Matriz

La Matriz la basé en el método de Análisis de Riesgo con un grafo de riesgo, usando la formula Riesgo = Probabilidad de Amenaza x Magnitud de Daño

La Probabilidad de Amenaza y Magnitud de Daño pueden tomar los valores y condiciones respectivamente

  • 1 = Insignificante (incluido Ninguna)
  • 2 = Baja
  • 3 = Mediana
  • 4 = Alta

matriz_1_grafo_riesgo

El Riesgo, que es el producto de la multiplicación Probabilidad de Amenaza por Magnitud de Daño, está agrupado en tres rangos, y para su mejor visualización, se aplica diferentes colores.

  • Bajo Riesgo = 1 – 6 (verde)
  • Medio Riesgo = 8 – 9 (amarillo)
  • Alto Riesgo = 12 – 16 (rojo)

Uso de la Matriz

La Matriz verdadera la basé en un archivo con varias hojas de calculo que superan el tamaño de una simple pantalla de un monitor. Entonces por razones demostrativas, en las siguientes imágenes solo se muestra una fracción de ella.

La Matriz contiene una colección de diferentes Amenazas (campos verdes) y Elementos de información (campos rojos). Para llenar la Matriz, tenemos que estimar los valores de la Probabilidad de Amenaza (campos azules) por cada Amenaza y la Magnitud de Daño (campos amarillas) por cada Elemento de Información.

matriz_2_tabla_vacia

Para la estimación de la Probabilidad de amenazas, se trabaja con un valor generalizado, que (solamente) está relacionado con el recurso más vulnerable de los elementos de información, sin embargo usado para todos los elementos. Si por ejemplo existe una gran probabilidad de que nos pueden robar documentos y equipos en la oficina, porque ya entraron varias veces y no contamos todavía con una buena vigilancia nocturna de la oficina, no se distingue en este momento entre la probabilidad si robarán una portátil, que está en la oficina (con gran probabilidad se van a llevarla), o si robarán un documento que está encerrado en una caja fuerte escondido (es menos probable que se van a llevar este documento).

Este proceder obviamente introduce algunos resultados falsos respecto al grado de riesgo (algunos riesgos saldrán demasiado altos), algo que posteriormente tendremos que corregirlo. Sin embargo, excluir algunos resultados falsos todavía es mucho más rápido y barato, que hacer un análisis de riesgo detallado, sobre todo cuando el enfoque solo es combatir los riesgos más graves.

En el caso de que se determine los valores para la Probabilidad de Amenaza y Magnitud de Daño a través de un proceso participativo de trabajo en grupo (grande), se recomienda primero llenar los fichas de apoyo (disponible en Descargas) para los Elementos de Información y Probabilidad de Amenaza, y una vez consolidado los datos, llenar la matriz.

Dependiendo de los valores de la Probabilidad de Amenaza y la Magnitud de Daño, la Matriz calcula el producto de ambos variables y visualiza el grado de riesgo.

matriz_3_tabla_llenada

Dependiendo del color de cada celda, podemos sacar conclusiones no solo sobre el nivel de riesgo que corre cada elemento de información de sufrir un daño significativo, causado por una amenaza, sino también sobre las medidas de protección necesarias

  • Proteger los datos de RR.HH, Finanzas contra virus
  • Proteger los datos de Finanzas y el Coordinador contra robo
  • Evitar que se compartan las contraseñas de los portátiles
  • Etc, etc

También, como se mencionó anteriormente, existen combinaciones que no necesariamente tienen mucho sentido y por tanto no se las considera para definir medidas de protección

  • Proteger el Personal (Coordinador y Personal técnico) contra Virus de computación
  • Evitar la falta de corriente para el Coordinador
  • Etc, etc

Elementos de la Matriz

La Matriz la basé en una hoja de calculo. Existe la versión en OpenOffice y Microsoft PowerPoint y se recomienda usar el formato que corresponde con el sistema operativo donde se la usa, debido a algunos problemas de compatibilidad entre ambos formatos.

La Matriz está compuesto por 6 hojas

  • 1_Datos: Es la hoja para valorar el riesgo para los Elementos de Información «Datos e Informaciones», llenando los campos «Magnitud de Daño» y «Probabilidad de Amenaza» conforme a sus valores estimados (solo están permitidos valores entre 1 y 4). Los valores de Probabilidad de Amenaza solo se aplica en está hoja, porque las demás hojas, hacen referencia a estos. Los tres campos de «Clasificación» (Confidencial…, Obligación por ley…, Costo de recuperación…) no tienen ningún efecto sobre el resultado de riesgo y no necesariamente tiene que ser llenados. Sin embargo pueden ser usados como campos de apoyo, para justificar o subrayar el valor de Magnitud de Daño estimado. En caso de usarlo, hay que marcar los campos respectivos con una «x» (cualquier combinación de los campos está permitido, todos marcados, todos vacíos etc.).
  • 2_Sistemas: Es la hoja para valorar el riesgo para los Elementos de Información «Sistemas e Infraestructura». Hay que llenar solo los valores de Magnitud de Daño, debido a que los valores de Probabilidad de Amenaza están copiados automáticamente desde la hoja «1_Datos». Igual como en «1_Datos», los tres campos de «Clasificación» (Acceso exclusivo, Acceso ilimitado, Costo de recuperación…) otra vez no tienen ningún efecto sobre el resultado de riesgo y solo sirven como campo de apoyo.
  • 3_Personal: Es la hoja para valorar el riesgo para los Elementos de Información «Personal». Igual como en «2_Sistemas», solo hay que llenar los valores de Magnitud de Daño. Otra vez, los tres campos de «Clasificación» (Imagen pública…, Perfil medio…, Perfil bajo…) solo sirven como campo de apoyo.
  • Análisis_Promedio: Esta hoja muestra el promedio aritmético de los diferentes riesgos, en relación con los diferentes grupos de amenazas y daños. La idea de esta hoja es ilustrar, en que grupo (combinación de Probabilidad de Amenaza y Magnitud de Daño) hay mayor o menor peligro. No hay nada que llenar en esta hoja.
  • Análisis_Factores: Esta hoja tiene el mismo propósito como la hoja «Análisis_Promedio», con la diferencia que esta vez el promedio aritmético de los grupos está mostrado en un grafo, dependiendo de la Probabilidad de Amenaza y Magnitud de Daño. La linea amarilla muestra el traspaso de la zona Bajo Riesgo a Mediano Riesgo y la linea roja, el traspaso de Mediano riesgo a Alto Riesgo. La idea de esta hoja es ilustrar el nivel de peligro por grupo y la influencia de cada factor (Probabilidad de amenaza, Magnitud de Daño).
  • Fuente: Esta hoja se usa solo para la definición de algunos valores generales de la matriz.

Adaptación de la Matriz a las necesidades individuales

La Matriz trabaja con una colección de diferentes Amenazas y Elementos de información. Ambas colecciones solo representan una aproximación a la situación común de una organización, pero no necesariamente reflejan la realidad de una organización especifica. Entonces si hay necesidad de adaptar la Matriz a la situación real de una organización, solo hay que ajustar los valores de las Amenazas en la hoja «1_Datos» (solo en esta) y los Elementos de información en su hoja correspondiente. Pero ojo, si hay que insertar, quitar filas o columnas, se recomienda hacerlo con mucho cuidado, debido a que se corre el peligro de introducir errores en la presentación y el calculo de los resultados.

Comentarios

Publicar un comentario

Entradas populares de este blog

CÓMO RESPONDER CUANDO UN TIRADOR ACTIVO ESTÁ EN LOS ALREDEDORES

Imagen
 Es un escenario de pesadilla: estás en un centro comercial, de compras con algunos amigos, o tal vez consiguiendo algunos alimentos de última hora para la cena. De repente, escuchas disparos. ¿Qué haces? Es una realidad que a muchos de nosotros nos cuesta aceptar, pero dada la frecuencia de tiroteos masivos en Estados Unidos, los expertos dicen que es algo que se debe considerar. De hecho, el FBI acuñó un mantra para ayudar a las personas a recordar qué hacer en caso de una situación con un tirador activo: «Corre. Escóndete. Pelea». (A los menores en edad escolar se les enseña una lección diferente ). En estos tiempos de tiradores activos, es tan importante como las instrucciones de «detenerse, caer y rodar» que los bomberos han enseñado durante décadas. «Te preparas para momentos difíciles y peligrosos con un qué hacer durante un tornado o incendio, así que debes estar igual de preparado para una situación de tirador activo», dijo a CNN el sheriff Michael Bouchard
Leer más