Fase 1: DEFINICIÓN E IDENTIFICACIÓN DEL RIESGO
Lo primero que tenemos que hacer es definir a que riesgos están expuestas las áreas de la empresa a proteger (riesgo de robo de la información, robo de valores, incendios, etc.), se realizará un listado de todos los riesgos que, tras haber hecho un estudio exhaustivo estudio de la empresa, creemos que se pueden presentar (estos son algunos ejemplos):
Una vez definidos los riesgos que debemos tener en cuenta, tendremos que elaborar una ficha por cada riesgo en las que se deben plasmar lo siguiente:
Bienes a proteger, Posibles causas, Indicios de que se ha producido, Efectos del daño, Medidas a tomar, Puntos vulnerables.
Fase2: ANÁLISIS DE RIESGO,
Se utilizan para este análisis una serie de coeficientes (criterios):
Criterio de Función (F)
Que mide cuál es la consecuencia negativa o daño que pueda alterar la actividad y cuya consecuencia tiene un puntaje asociado, del 1 al 5, que va desde “Muy levemente grave” a “Muy grave”:
- Muy gravemente (5)
- Gravemente (4)
- Medianamente (3)
- Levemente (2)
- Muy levemente (1)
Criterio de Sustitución (S)
Que mide con qué facilidad pueden reponerse los bienes en caso que se produzcan alguno de los riesgos y cuya consecuencia tiene un puntaje asociado, del 1 al 5, que va desde “Muy fácilmente” a “Muy difícilmente”
- Muy difícilmente (5)
- Difícilmente (4)
- Sin muchas dificultades (3)
- Fácilmente (2)
- Muy fácilmente (1)
Criterio de Profundidad o Perturbación (P)
Que mide la perturbación y efectos psicológicos en función que alguno de los riesgos se haga presente (Mide la imagen de la firma) y cuya consecuencia tiene un puntaje asociado, del 1 al 5, que va desde “Muy leves” a “Muy graves”.
- Perturbaciones muy graves (5)
- Graves perturbaciones (4)
- Perturbaciones limitadas (3)
- Perturbaciones leves (2)
- Perturbaciones muy leves (1)
Criterio de extensión (E)
Que mide el alcance de los daños, en caso de que se produzca un riesgo a nivel geográfico y cuya consecuencia tiene un puntaje asociado, del 1 al 5, que va desde “Individual” a “Internacional”.
- De carácter internacional (5)
- De carácter nacional (4)
- De carácter regional (3)
- De carácter local (2)
- De carácter individual (1)
Criterio de agresión (A)
Que mide la probabilidad de que el riesgo se manifieste y cuya consecuencia tiene un puntaje asociado, del 1 al 5, que va desde “Muy reducida” a “Muy elevada”.
- Muy alta (5)
- Alta (4)
- Normal (3)
- Baja (2)
- Muy baja (1)
Criterio de vulnerabilidad (V)
Que mide y analiza la posibilidad de que, dado el riesgo, efectivamente tenga un daño y cuya consecuencia tiene un puntaje asociado, del 1 al 5, que va desde “Muy baja” a “Muy Alta”.
- Muy alta (5)
- Alta (4)
- Normal (3)
- Baja (2)
- Muy baja (1)
Fase 3: EVALUACIÓN DEL RIESGO
En función del análisis (fase 2) los resultados se calculan según las siguientes fórmulas:
Cálculo del carácter del riesgo “C”:
Se parte de los datos obtenidos, aplicando:
- Importancia del suceso
I= F x S
- Daños ocasionados
D= P x E
Riesgo C= I + D
Cálculo de la Probabilidad “PR”:
Se parte de los datos obtenidos en la 2ª fase, aplicando:
- Criterio de agresión
- Criterio de vulnerabilidad
Probabilidad PR= A x V
Cuantificación del riesgo considerado “ER”:
Se obtendrá multiplicando los valores de “C” y “PR”.
ER = C x PR
Fase 4: CÁLCULO Y CLASIFICACIÓN DEL RIESGO
Es importante comprender que, aunque el resultado es numérico, esta escala es CUALITATIVA.
Cálculo de Base de Riesgo:
Existen varias escalas, pero yo personalmente uso la siguiente:
| Puntaje | Riesgo |
| Entre 1 y 200 | Muy Bajo |
| 201 y 500 | Pequeño |
| 501 y 750 | Normal |
| 751 y 1000 | Grande |
| 1001 y 1250 | Elevado |
Una vez que ya sabes cuales son los criterios (F,S,P,E,A,V) del análisis y los valores de cada uno los extrapolamos a una tabla que nos dará la clase de riesgo según el cálculo final de C x PR.
Para realizar un buen análisis, evaluación y cálculo del riesgo, lo suyo es hacer una tabla para cada riesgo (una para robo, otra para amenaza de bomba, meteorología adversa, etc.) definiendo el valor de los criterios para cada área, como vemos en la imagen siguiente.
Este método, aunque es un poco engorroso, ya que hay que realizar una tabla para cada riesgo, creo que es el más eficaz, ya que vas a conocer el nivel del riesgo para cada área de la empresa.
En la zona de descargas podreis descargar una tabla automática de análisis de riesgo por método Mosler.