Por: CP Iván Rodríguez. Colaborador de Auditool.

Una de las principales tareas que deben abordar tanto las organizaciones como los auditores es la evaluación de riesgos. Bien sea en el contexto de la ciberseguridad, la gestión de proyectos, la seguridad laboral o la protección del medio ambiente, una adecuada evaluación de riesgos, además de contribuir en la prevención de pérdidas económicas y daños a la reputación, ayuda en la toma de mejores decisiones estratégicas.

La evaluación de riesgos se ha constituido en un componente esencial en la gestión de cualquier organización, puesto que permite identificar, analizar y mitigar los posibles peligros que podrían afectar sus objetivos, operaciones y activos. Ahora bien, para realizar esta evaluación, existen diferentes modelos y enfoques que se han pensado, definido y empleado en diferentes contextos y para atender diferentes necesidades organizacionales (algunos de los principales campos en que se han elaborado modelos de riesgos son la gestión de proyectos, la ciberseguridad, la salud y la seguridad ocupacional). Cada modelo de evaluación de riesgos tiene sus propias características, ventajas y se ha aplicado eficazmente en la protección de los recursos críticos de las organizaciones frente a las amenazas y vulnerabilidades que puedan enfrentar. Algunos de los modelos más conocidos son los siguientes:

 Modelo de evaluación cuantitativa de riesgos

Este modelo permite medir y analizar los riesgos de una organización en términos numéricos para estimar la probabilidad y el impacto de los riesgos y facilitar la toma de decisiones basadas en datos objetivos. Emplea datos estadísticos, distribuciones de probabilidad y simulaciones para cuantificar riesgos. Un ejemplo:

Industria de Construcción: Alquiler de formaletas y andamios

  • Riesgo: Daños a formaletas o andamios durante el uso por los clientes.
  • Impacto: Costo promedio de reparación o reemplazo: $5,000.
  • Probabilidad: Basada en incidentes previos: 15% (0.15).
  • Nivel de Riesgo: 0.15 × 5.000 = 750; 0.15×5,000=750.
  • Mitigación: Capacitar a los clientes en el uso adecuado y realizar inspecciones previas y posteriores al alquiler.
  • Riesgo Residual (tras la mitigación): 10 × 4,000 = 400
 Modelo de evaluación cualitativa de riesgos

Este modelo se enfoca en describir y clasificar los riesgos en términos cualitativos (es decir, no numéricos). Este enfoque es útil cuando no se tienen datos suficientes para una evaluación cuantitativa o cuando se busca un análisis inicial rápido. Los riesgos se clasifican de acuerdo con su gravedad y probabilidad sin usar números exactos, generalmente mediante categorías como "alto", "medio" o "bajo". Si bien es subjetivo y menos preciso, es útil para obtener una visión general rápida del riesgo. Un ejemplo:

  • Riesgo: Retraso en pagos de clientes.
  • Probabilidad: Media.
  • Impacto: Crítico (afecta flujo de caja).
  • Clasificación: Riesgo crítico.
  • Acciones: Ofrecer descuentos por pagos anticipados e Implementar sistemas de cobranza automatizados.
 Modelo de análisis de árbol de fallos (FTA)

El Análisis de Árbol de Fallos (FTA) es un modelo empleado para identificar las causas potenciales de fallas en sistemas complejos. Se representa gráficamente mediante un árbol que comienza con un evento indeseado principal (la raíz) y se ramifica hacia abajo en eventos más específicos que podrían contribuir al fallo. Este enfoque permite a los equipos evaluar y mitigar riesgos. Ejemplo:

Falla estructural de un andamio durante su uso

  • Identificar las causas inmediatas: Causa 1: materiales defectuosos. (Hay otras causas, para el ejemplo solo se toma una)
  • Desglosar las causas inmediatas en causas básicas: Causa 1: materiales defectuosos (Cada causa tiene causas básicas)
  • 1: Daño acumulado en componentes por uso repetido.
  • 2: Falta de inspección y mantenimiento preventivo.
  • 3: Materiales defectuosos entregados por el proveedor.
  • Propuesta de medidas preventivas: Para materiales defectuosos (cada causa tiene medidas preventivas)
    • Implementar inspecciones regulares con checklists.
    • Auditar proveedores de componentes.
    • Establecer un plan de mantenimiento preventivo.
 Modelo de evaluación de riesgos en ciberseguridad

Estos modelos corresponden a una metodología estructurada para identificar, analizar y mitigar amenazas potenciales a los sistemas, datos y operaciones de una organización, de manera que sea posible priorizar recursos y definir estrategias basadas en el nivel de riesgo. Normalmente involucran análisis de vulnerabilidades, amenazas, impacto y probabilidad de ataques informáticos. Algunos ejemplos son: NIST (National Institute of Standards and Technology) y OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation).

El modelo NIST de evaluación de riesgos está establecido en la guía especial NIST SP 800-30 Revisión 1, titulada Guide for Conducting Risk Assessments. Este documento proporciona un enfoque estructurado para identificar, estimar y priorizar los riesgos relacionados con los sistemas de información y las operaciones empresariales. El modelo se divide en cuatro pasos principales:

  • Preparación para la evaluación
  • Realización de la evaluación
  • Comunicación de los resultados
  • Monitoreo continuo

En el caso del modelo OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), su principal objetivo es identificar los riesgos que amenazan los activos críticos de una organización, considerando las amenazas, las vulnerabilidades y los impactos potenciales en la infraestructura tecnológica y en la operación de la organización.

Modelos de evaluación de riesgos en salud y seguridad ocupacional

Son aquellos modelos que permiten evaluar los riesgos asociados con la seguridad laboral, la salud y el bienestar de los empleados. Se centran en identificar peligros en el lugar de trabajo y evaluar su potencial de causar daños a la salud. Entre ellos se encuentran OHSAS 18001 y la norma ISO 45001.

Como se aprecia, existe una diversidad de modelos para diferentes propósitos. Es importante que el auditor conozca los principales modelos y los emplee de manera apropiada en la ejecución de su trabajo, toda vez que se facilita la sistematización y organización de las actividades y así lograr mejores resultados.


CP Iván Rodríguez - CIE AF

Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Bogotá D.C., Colombia.

Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado