ANÁLISIS DEL RIESGO

[CÓDIGO Y NOMBRE DEL PROYECTO]

[NOMBRE DE QUIEN ELABORÓ EL ANÁLISIS] [VERSIÓN] [FECHA]

Vulnerabilidad Prioridad
Riesgo Amenaza
Impacto (%) (¿por qué está Amenaza Control Probabilidad Nivel de riesgo (impacto x Manejo del riesgo
(¿a qué está expuesto?)
expuesto?) probabilidad)

I. Sinestros Esta clasificación de categorías de riesgo es Es importante definir 2 factores que En las pestañas de "Probabilidad", "Prioridad" y
1 tan solo una propuesta. Es probable que no "Manejo del0 riesgo", se definen
0 algunos términos y
conforman a un riesgo: la amenaza, que es
2 todas las categorías y/o riesgos apliquen a el evento al que se está expuesto y la se proponen0 algunos factores0 cuantitativos para
3 todos los proyectos. El juicio de personas vulnerabilidad, que es el porqué se está evaluar el 0riesgo y con ello,0 poder establecer un plan
4 expertas nos permite ir refinando este expuesto a esa amenaza. Estos factores son de respuesta
0 al riesgo. 0
listado. la causa de un riesgo para el proyecto.
5 0 0
II. Fallas en infraestructura
6 0 0
7 0 0
8 0 0
9 0 0
10 0 0
III. Ataques
11 0 0
12 0 0
13 0 0
14 0 0
15 0 0
IV.- Recursos humanos
16 0 0
17 0 0
18 0 0
19 0 0
20 0 0
V. Otros recursos
21 0 0
22 0 0
23 0 0
24 0 0
25 0 0
VI. Administración de la empresa
26 0 0
27 0 0
28 0 0
29 0 0
30 0 0
VII. Tecnología
31 0 0
32 0 0
33 0 0
34 0 0
 35 0 0
VIII. Administración del proyecto
36 0 0
37 0 0
38 0 0
39 0 0
40 0 0
IX. Información y documentación
41 0 0
42 0 0
43 0 0
44 0 0
45 0 0
X. Pruebas
46 0 0
47 0 0
48 0 0
49 0 0
50 0 0
 Planificar la respuesta al riesgo

Eliminar el riesgo Minimizar el riesgo Enfrentar el riesgo

 Criterios de probabilidad
Probabilidad = Amenaza + Control Actual
Amenaza Definición
5 Cuando la amenaza puede presentarse
varias veces a la semana o al día
4 Cuando la amenaza puede presentarse en
períodos de una o más veces al mes
3 Cuando la amenaza puede presentarse de
una o más veces al año
2 Cuando la amenaza puede presentarse de
dos a tres veces cada 5 años

1 Cuando la amenaza es improbable que

suceda

+
0 Control implementado
2 Ausencia de control

Impacto del riesgo (%)

100
80
60
40
20
0
 Criterios de Prioridad
Impacto * Probabilidad Prioridad
561 < Impacto*Probabilidad <=700 A
421 < Impacto*Probabilidad <=560 B
281 < Impacto*Probabilidad <=420 C
141 < Impacto*Probabilidad <=280 D
1< Impacto*Probabilidad <=140 E

Prioridad Descripción
Es imperativo aplicar de forma extremadamente urgente un proceso de identificación e
implantación de controles preventivos y reactivos. Este proceso, hasta su conclusión, debe
A (Muy Alta) ser considerado como el proceso de máxima prioridad para la organización, aún cuando
pueda interferir temporalmente con procesos clave o pueda interrumpir temporalmente su
operatividad. Este riesgo nunca se puede aceptar.
Es necesario aplicar tan pronto como sea posible un proceso de identificación e
implantación de controles preventivos y reactivos. Este proceso, hasta su conclusión, debe
ser considerado como un proceso de alta prioridad para la organización. El retraso o
B (Alta)
interrupción temporal de este proceso solo debe estar justificado por motivos de
continuidad de la operatividad de la organización o de alguno de sus procesos clave. Este
riesgo nunca se debe aceptar.
 Es necesario aplicar en un período razonable de tiempo un proceso de identificación e
implantación de controles preventivos y reactivos. Este proceso debe ser considerado
como un proceso de prioridad estándar y su ejecución puede ser interrumpida
C (Media) temporalmente cuando interfiera con los procesos clave de la organización. No es
recomendable aceptar este riesgo y solo se debería hacer en circunstancias
excepcionales. Es factible demorar la implantación de controles, pero sin dejar pasar más
de 1 año desde la finalización del presente análisis.
El responsable de los activos deberá ponderar si es necesario implantar controles o si, por
D (Baja) el contrario, se acepta el riesgo. En caso de que tome la decisión de aplicar controles pero
demorando su implantación, no debería dejar pasar más de 1 año desde la finalización del
presente análisis. El proceso de implantación de controles debe ser considerado como un
E (Muy Baja) proceso de prioridad estándar y su ejecución puede ser interrumpida temporalmente
cuando interfiera con procesos de la organización (no necesariamente claves).
 Manejo del Riesgo

Evitar el riesgo implica cambiar el plan para la dirección del proyecto, a fin de eliminar por comp
Evitar La persona directora del proyecto también puede aislar los objetivos del proyecto del impacto de
cambiar el objetivo que se encuentra amenazado.

Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una ame
propiedad de la respuesta. La transferencia de un riesgo simplemente confiere a una tercera pe
Transferir responsabilidad de su gestión; no lo elimina. La transferencia de la responsabilidad de un riesgo
cuando se trata de la exposición a riesgos financieros. Transferir el riesgo casi siempre implica e
prima de riesgo a la parte que asume el riesgo.

Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad y/o el impacto de un even
Mitigar Adoptar acciones tempranas para reducir la probabilidad de ocurrencia de un riesgo y/o su impa
proyecto, a menudo es más efectivo que tratar de reparar el daño después de ocurrido el riesgo

Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un p
estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la dirección del
Aceptar
hacer frente a un riesgo, o no ha podido identificar ninguna otra estrategia de respuesta adecua
puede ser pasiva o activa.
 cto, a fin de eliminar por completo la amenaza.
vos del proyecto del impacto de los riesgos o

l impacto negativo de una amenaza, junto con la

ente confiere a una tercera persona la
a responsabilidad de un riesgo es más efectiva
el riesgo casi siempre implica el pago de una

dad y/o el impacto de un evento adverso.

encia de un riesgo y/o su impacto sobre el
después de ocurrido el riesgo.

ar todas las amenazas de un proyecto. Esta

ar el plan para la dirección del proyecto para
strategia de respuesta adecuada. Esta estrategia