ANALISIS DE RIESGO

INTRODUCCION

Se establece que la administración del riesgo del proyecto es el arte y la ciencia de identificar, analizar, y responder a los riesgos a lo largo de la vida de un proyecto, con el propósito de lograr los objetivos del proyecto. La administración de riesgo del proyecto puede tener un impacto positivo en la selección de proyectos, en la determinación del alcance de los proyectos, y desarrollar estimados más reales de costos y plazos.

Una buena administración del riesgo de proyectos a menudo pasa desapercibida. Cuando la administración de riesgos es efectiva, los resultados se reflejan en el menor número de problemas. En algunas ocasiones es difícil determinar si la administración de riesgos o la buena suerte fue la responsable de un adecuado desarrollo de un proyecto de tecnología de información. Pero los integrantes de un proyecto saben que sus proyectos trabajaron mejor debido a la buena administración de riesgos.

La justificación económica de la Información Tecnológica manifestó que las proyecciones del mercado de TI en Latinoamérica alcanzarían los 134 mil millones de dólares en el año 2005. Este indicador nos señala que los países que quieren lograr ser competitivos en el proceso de globalización, tendrán que realizar esfuerzos e inversiones significativas en proyectos relacionados con la tecnología de la información.

OBJETIVOS

Los métodos para la identificación, análisis y evaluación de riesgos son una herramienta muy valiosa para abordar con decisión su detección, causa y consecuencias que puedan acarrear, con la finalidad de eliminar o atenuar los propios riesgos así como limitar sus consecuencias, en el caso de no poder eliminarlos.

Los objetivos principales son:

• Deducir los posibles accidentes graves que pudieran producirse del mal manejo de la información.

• Determinar las consecuencias en el espacio y el tiempo de los accidentes, aplicando determinados criterios de vulnerabilidad de los sistemas inteligentes.

• Analizar las causas de dichos accidentes; agentes externos, vulnerabilidades, virus, malos manejos, etc.

• Discernir sobre la aceptabilidad o no de las propias instalaciones y operaciones realizadas en el establecimiento industrial.

• Definir medidas y procedimientos de prevención y protección para evitar la ocurrencia y/o limitar las consecuencias de los accidentes.

• Cumplir los requisitos legales de las normativas nacionales e internacionales que persiguen los mismos objetivos: Directiva 96/82/CE y Real Decreto 1254/99.

ASPECTOS A TRATAR EN LOS ANÁLISIS DE RIESGOS

Los aspectos de un análisis sistemático de los riesgos que implica un determinado establecimiento industrial, desde el punto de vista de la prevención de accidentes, están íntimamente relacionados con los objetivos que se persiguen. Son los siguientes:

1. Identificación de sucesos no deseados, que pueden conducir a la materialización de un peligro.

2. Análisis de las causas por las que estos sucesos tienen lugar.

3. Valoración de las consecuencias y de la frecuencia con que estos sucesos pueden producirse.

En la figura siguiente, se representan estos aspectos, lo que implica acciones diferentes en cada caso.

Cada uno de estos aspectos fija su atención en cuestiones importantes sobre los análisis de los peligros de un determinado establecimiento.

El primer aspecto trata de contestar a la pregunta siguiente: ¿Qué puede ocurrir? Es propiamente la identificación de los riesgos mediante técnicas adecuadas.

La siguiente cuestión trata de contestar a la siguiente pregunta: ¿Cuáles son las consecuencias? Se trata de aplicar métodos matemáticos de análisis de consecuencias.

Por último, otra de las cuestiones a resolver es: ¿Cuál es la frecuencia de que ocurra? Se trata de aplicar métodos que puedan determinar la frecuencia de ocurrencia mediante métodos semicualitativos o bien mediante análisis cuantitativos de riesgo (ACR) que implican aspectos cualitativos y cuantitativos junto con análisis de consecuencias.

En la práctica, cuando se analiza desde el punto de vista de la seguridad una determinada instalación lo que se hace es combinar un conjunto de métodos, desde los análisis históricos, combinados con listas de comprobación para después realizar un análisis sistemático mediante HAZOP. En determinados casos también se realizan métodos de estimación de frecuencias.

MÉTODOS DE IDENTIFICACIÓN DE RIESGOS

Básicamente, existen dos tipos de métodos para la realización de análisis de riesgos, si atendemos a los aspectos de cuantificación:

i. Métodos cualitativos: se caracterizan por no recurrir a cálculos numéricos. Pueden ser métodos comparativos y métodos generalizados.

ii. Métodos semicualitativos: los hay que introducen una valoración cuantitativa respecto a las frecuencias de ocurrencia de un determinado suceso y se denominan métodos para la determinación de frecuencias, o bien se caracterizan por recurrir a una clasificación de las áreas de una instalación en base a una serie de índices que cuantifican daños: índices de riesgo.

Métodos comparativos

Se basan en la utilización de técnicas obtenidas de la experiencia adquirida en equipos e instalaciones similares existentes, así como en el análisis de sucesos que hayan ocurrido en establecimientos parecidos al que se analiza. Principalmente son cuatro métodos los existentes:

1. Manuales técnicos o códigos y normas de diseño

2. Listas de comprobación o "Safety check lists"

3. Análisis histórico de accidentes

4. Análisis preliminar de riesgos o PHA

Métodos generalizados

Los métodos generalizados de análisis de riesgos, se basan en estudios de las instalaciones y procesos mucho más estructurados desde el punto de vista lógico-deductivo que los métodos comparativos. Normalmente siguen un procedimiento lógico de deducción de fallos, errores, desviaciones en equipos, instalaciones, procesos, operaciones, etc. que trae como consecuencia la obtención de determinadas soluciones para este tipo de eventos.

Existen varios métodos generalizados. Los más importantes son:

1. Análisis "What if?"

2. Análisis funcional de operabilidad, HAZOP

3. Análisis de árbol de fallos, FTA

4. Análisis de árbol de sucesos, ETA

5. Análisis de modo y efecto de los fallos, FMEA

DEFINICIONES Y PRINCIPIOS

DEFINICIONES

Definiremos algunos términos claves que serán utilizados en la presente monografía. Un riesgo es un evento, el cual es incierto y tiene un impacto negativo. Análisis de riesgo es el proceso cuantitativo o cualitativo que permite evaluar los riesgos. Esto involucra una estimación de incertidumbre del riesgo y su impacto.

Administración de riesgo es la práctica de usar el análisis de riesgo para diseñar estrategias que permitan reducir o mitigar los riesgos.

En la administración de los proyectos de tecnología de información los gerentes de proyectos se plantean preguntas tales como:

• ¿Cuánto tiempo tomará el proyecto?

• ¿Cuál será el costo total del proyecto?

• ¿La ejecución del proyecto permitirá obtener los productos o entregables de acuerdo a las especificaciones requeridas?

Antes que un proyecto comience y mientras se está desarrollando ninguna de las preguntas anteriores puede ser respondida con certidumbre, y los gerentes de proyectos y los clientes están preocupados con la incertidumbre de las respuestas y el impactos de las posibles desviaciones. Las herramientas del análisis de riesgo y administración de riesgo están diseñadas para responder estas preguntas.

PROCESO DE LA ADMINISTRACIÓN DE RIESGOS

1. Planificación de la administración de riesgos

Se considera que “la planificación de la administración de los riesgos es el proceso de decidir como enfocar y planear las actividades de la administración de riesgos para un proyecto, y su principal resultado es el plan de administración de riesgo. Un plan de administración de riesgos documenta los procedimientos para administrar los riesgos de un proyecto”.

Un plan de administración de riesgos resume cómo la administración de riesgos será ejecutada en un proyecto en particular. Los elementos que se deben incluir en un plan de administración de riesgos son:

• Metodología: Se debe establecer cómo la administración de riesgo que será ejecutada en el proyecto. Determinar qué herramientas y fuentes de información están disponibles y aplicables.

• Roles y responsabilidades: Determinar quiénes son las personas responsables de implementar las tareas específicas y proporcionar los informes relacionados a la administración de riesgo.

• Presupuesto y plazos: Determinar cuáles son los costos y plazos estimados para ejecutar las tareas relacionadas con los riesgos.

• Categoría de riesgos: Determinar cuáles son las categorías de los riesgos que serán identificados.

• Probabilidad de riesgo e impacto: Cuáles son las probabilidades y los impactos de los riesgos que serán evaluados. Cuáles son las técnicas cualitativas o cuantitativas que serán utilizadas para evaluar los riesgos.

• Documentación de los riesgos: Determinar los formatos de

...