Recibe la bienvenida a la materia Desarrollo de una agenda de Seguridad Pública de

la Maestría en Seguridad Pública y Políticas Públicas.

1
La presente lección pretende complementar los conceptos estudiados en las sesiones
anteriores, marcando la pauta de aprendizaje para las siguientes sesiones.

2
El objetivo es Adquirir los conocimientos y herramientas necesarias para la
recolección de información, detección de riesgos y técnicas de análisis,
mediante la distinción de los tipos de riesgo, así como los métodos de
recolección y análisis de información con la finalidad de elaborar
herramientas propias para una agenda de seguridad pública.

3
Nuestra lección se estructura de la siguiente manera:

1. Tipología de riesgos
2. Detección de riesgos
3. Recolección de información
4. Técnicas de análisis

4
¡Comencemos!

En las sesiones anteriores se definió el riesgo como el resultado potencial de

cualquier incidente asociado a la probabilidad y consecuencias de su ocurrencia. Es
decir, la combinación de la probabilidad de un evento y sus consecuencias negativas
como resultado de interacciones entre amenazas y condiciones de vulnerabilidad.

Sabemos que el riesgo es el resultado del análisis de las probabilidades del riesgo
objetivo (aquel relacionado con sucesos mesurables) como contraposición al riesgo
subjetivo (relacionado a aquello que no puede ser medido).

En esta lección, ahondaremos en otros conceptos asociados.

5
Iniciaremos analizando la clasificación de los riesgos, ya que para el correcto diseño
de un modelo de gestión y su presentación en una agenda de riesgos, tiene que
identificarse primero el origen de cada amenaza. De ello dependerá cómo se
abordarán las soluciones en cada caso.

Debe tenerse en cuenta que no existe una sola clasificación, por lo que enlistaremos
sólo aquellos riesgos que resultan más relevantes para efecto de una agenda de
riesgos y de seguridad.

6
Existen diversas clasificaciones de riesgos, ya sea por sus características, su origen,
grupos de pertenencia:
1. Según su tipo:
• Estratégicos
• Operativos
• Reputacionales
• Financieros
• De mercado
• Comerciales
• Institucionales o de cumplimiento
• Tecnológicos
2. Según la organización
• Estratégicos
• Operacionales
• Institucionales
3. Según su origen
• Interno: estructura organizacional, condiciones físicas, operativos, capital
humano, reputacional.
• Externo: políticos, legales, naturales, medioambientales, financieros,

7
 cibernéticos, macroeconómicos.
4. Según su grupo de pertenencia
• Catastróficos, extraordinarios o de azar
• Políticos
• Legales y contractuales
• De proyecto e inversiones
• Financieros y comerciales

7
A razón de su relación con asuntos de inteligencia y seguridad, ahondaremos en las
subclasificaciones, ahondando en ello; eso no significa que tenga que considerarse
esta tipología, ya que dependen del propio proyecto, sus metas y objetivos.

8
1. Riesgos estratégicos
Están relacionados con el cumplimiento de los objetivos estratégicos y la definición
de políticas, ya sea por amenazas externas o aquellas que derivan de la débil
implementación de la estrategia.
Estos riesgos amenazan la habilidad de una organización de lograr su estrategia.

2. Riesgos operativos
Son riesgos asociados a los procesos y a la estructura de la organización. Son aquellos
que impeden la correcta ejecución de las operaciones con los recursos, capacidades y
estrategias existentes.
Incluyen aquellos que impactan al personal, tiempo, materiales, equipo, tácticas,
técnicas, información, tecnología y procedimientos que permiten los objetivos
organizacionales.

9
3. Riesgos institucionales
Riesgos asociados con la habilidad de una organización para desarrollar y mantener
efectivas prácticas de administración, sistemas de control y flexibilidad, así como
adaptarse a alcanzar los requerimientos organizacionales.
Son menos obvios y típicamente cohabitan con la organización e incluyen factores
que amenazan la habilidad de organizar, reclutar, entrenar, apoyar e integral a la
organización para alcanzar los requerimientos operacionales y administrativos.

4. Riesgos financieros
Están vinculados con el manejo de los recursos de la organización.

10
5. Riesgos de cumplimiento
Se asocian a la capacidad de una organización para cumplir requisitos legales y
contractuales o, visto desde otro modo, el riesgo de sufrir sanciones legales o
regulatorias, pérdidas financieras, materiales o reputacionales, como consecuencia
del incumplimiento de leyes, regulaciones o normas, estándares adoptados por la
organización y códigos de conducta.

6. Riesgos tecnológicos
Están relacionados con la capacidad tecnológica de las organizaciones para satisfacer
sus necesidades actuales y futuras. Naturalmente, no son los únicos riesgos que
pueden asociarse a activos e instituciones, pues también existen amenazas
ambientales, sanitarias, sociales, entre otras muchas.

11
Adicionalmente, debe considerarse la clasificación de los riesgos según el plazo de su
impacto: a corto, mediano o largo plazo.
• Corto plazo: tienen un impacto inmediato y alteran la operación de las
organizaciones.
• Mediano plazo: sus efectos se reflejan en uno o dos años. Se asocian a programas
y proyectos.
• Largo plazo: Se resienten durante varios años. Se relacionan a la estrategia

Esta clasificación también puede dotar de ciertas características a las otras, por lo
que un mismo riesgo o amenaza podría clasificarse en más de una categoría. Esta
visión de plazos influye también en la medición y priorización para la toma de
decisiones.

12
En resumen, los riesgos no sólo se clasifican según sus características y factores que
los puedan generar, sino también en función de:
La amenaza y peligro que representen, el control o manejo, así como la oportunidad
de ocurrencia.
Según su impacto: catastrófico, alto, medio o bajo
Su probabilidad de ocurrencia que puede indicarse de manera cualitativa (alta,
media, baja, improbable) o estadística.

13
Una vez conocida la distinción de cada riesgo, así cómo los determinantes que se
requieren para su definición puntual (impacto y probabilidad), es momento de entrar
en la fase de distinción o detección.
Lo que debe hacerse es:
1. Definir activos,
2. Identificar amenazas
3. Plantear vulnerabilidades
4. Analizar y evaluar riesgos

14
Lo primero que debe hacerse para la acertada identificación de riesgos es mapear los
activos a proteger, así como conocer las regulaciones nacionales e internacionales
que identifican las obligaciones y requerimientos que impactan negativamente, los
actores involucrados, estudiar el contexto, entre otros.
Para esta valoración se puede responder a las preguntas qué, cómo, cuándo y por
qué debe cumplirse con ellas, además de indicar la prioridad o importancia relativa
de cada activo.

15
Posteriormente, se analiza qué es lo que podría afectar (amenazas) y cómo (impacto
y probabilidad), para que se pueda priorizar cada riesgo. Aquí se evalúa, de forma
general, la normatividad que aplica, así ́ como las pérdidas financieras por
incumplimiento y su impacto.

Con esta información, se categoriza cada amenaza y riesgo: catastrófico, alto, medio
alto, medio o bajo. También se procura establecer su probabilidad de ocurrencia. Esto
permitirá́ decidir más adelante los recursos que se asignarán a la administración de
cada uno, así como la definición de planes y estrategias para su prevención,
mitigación o eliminación.

Posteriormente, se estudia cada activo y sus vulnerabilidades, pensando qué

defectos tienen, su grado de exposición, fallas, omisiones o deficiencias de seguridad
que pueden ser aprovechadas.

16
Esta medición puede hacerse de manera cualitativa (combinación de las amenazas,
exposición y otros factores –construcción de escenarios–) o cuantitativa
(probabilidad de los efectos adversos).
Se mide el nivel de riesgo de acuerdo a la siguiente fórmula: Riesgo = Impacto x
Probabilidad, valorando las consecuencias y la probabilidad de cada riesgo.

17
En esta etapa, no sólo se calcula el riesgo sino que también se evalúa, de manera que
se pueda plantear dentro de una agenda y se determinen prioridades en el uso de los
recursos durante la gestión de riesgos.

Además, se amplía la calificación del análisis realizado y se incluyen valoraciones en

términos de estrategia para establecer los riesgos aceptables y los que no lo son. Así,
como las medidas que se deberían tomar. Para ello, la recolección de información y
la selección de la técnica de análisis apropiada es esencial.

18
Existen herramientas para la identificación de riesgos que pueden ayudar a evaluar el
impacto y aceptabilidad de los mismos.
• Estructura de descomposición del trabajo (EDT)(WBS)
• Brainstorming o lluvia de ideas
• Árbol de decisión
• Revisión de experiencias anteriores
• Conocimiento experto
• Diagramas de flujo
• Análisis histórico de fallos
• Entrevistas/Dinámicas de grupo
• Análisis de escenarios
• Análisis de fortalezas/debilidades/amenazas/oportunidades
• Encuestas o cuestionarios
• Técnicas de ingeniería de sistemas, como estudios de operabilidad y riesgo
(HAZOP)
• Análisis de barreras de energía
• Árboles de fallo
• Árboles de eventos
• Análisis de nivel de protección (LOPA)
• Análisis de errores humanos

19
Las consultas a expertos constituyen un elemento de alta relevancia para entender el
contexto y las circunstancias bajo las cuales una amenazas puede materializarse. Este
proceso involucra preguntas estructuradas para obtener información de particulares
expertos con conocimiento profundo sobre ciertas áreas; Usualmente se utilizan
cuando no existe información histórica o ésta no es apropiada para obtener
información adecuada.

Dado que muchos datos no se conocen con precisión y en ocasiones se realizan sólo
estimaciones, algunas valoraciones resultan ser más probables que otras. En ese
sentido, las suposiciones y la incertidumbre en las entradas deben considerarse en
cada paso de la metodología de evaluación para determinar cómo afectan las salidas.
La incertidumbre en los resultados debe comunicarse al tomador de decisiones, así
como los supuestos que sustentan el análisis. Es útil considerar el impacto de la
incertidumbre y cuán sensible es la evaluación del riesgo a piezas particulares de
datos inciertos.

20
El análisis y la evaluación del riesgo nos debe llevar, además de la valoración y
medición pertinente, a definir las estrategias para el curso de acción en la gestión del
riesgo:
• Aceptación del riesgo: decisión explícita o implítica sobre no tomar acción que
pueda afectar a algún riesgo.
• Evitar el riesgo: tomar medidas que remuevan efectivamente la exposición a un
riesgo determinado.
• Control o mitigación del riesgo: acciones deliberadas que buscan reducir el daño
potencial de un riesgo o mantenerlo en un nivel aceptable o controlable.
• Transferencia o desviación de riesgo: transferir todo o parte del riesgo a algún otro
activo o entidad, sistema o red.

21
A continuación, abordaremos un tema complementario en el proceso de detección y
análisis de riesgos: la recolección de información. Se trata de una fase que debe
cuidarse, sobre todo para asegurar los datos y la información fidedignos y precisos
para el correcto diseño de la gestión de riesgos.

22
La información y su análisis puede ser cualitativa o cuantitativa.
• El análisis cualitativo considera amenazas, vulnerabilidades, impacto y,
ocasionalmente, los controles
• El análisis cuantitativo utiliza técnicas matemáticas y estadísticas para recopilar
información relevante. Con base en esos datos se asigna una valoración numérica
a la materialización de un evento. Este es es el método que permite asociar una
probabilidad y su correspondiente distribución al evento de riesgo y a sus
consecuencias.

23
Ningún tipo de información es mejor que otro. De hecho, una agenda de riesgo
integral incluirá información tanto cualitativa como cuantitativa para abarcar todo el
espectro posible, considerando que para precisar ciertos aspectos del análisis
cualitativo deben, utilizarse técnicas propias del análisis cuantitativo.

Una vez que se ha determinado la metodología, ya sea cualitativa o cuantitativa, para

evaluar y analizar el riesgo, se debe obtener información para realizar la evaluación
pertinente.

Considerando lo anterior, existen muchas fuentes potenciales para hacerlo:

información histórica, bases de datos, modelos, simulaciones y consultas a expertos.

24
Ya sea que la información sea cualitativo o cuantitativa, debe tenerse en cuenta que
ésta debe ser:
• Suficiente
• Segura/Fidedigna
• Relevante
• Útill
De lo contrario, la estimación y medición del riesgo, como su estrategia de atención,
no podría ser eficiente o contener deficiencias.

Para ello, también deben cuidarse las fuentes y discriminarse aquellas que no
provean datos relevantes para el análisis.

25
Finalmente, llegamos al último apartado de esta sesión.

Recordemos que la administración del riesgo es el manejo sistemático de métodos

analíticos y, por tanto, de la información relacionada a ellos, por lo que recurrir a las
técnicas más adecuadas, según lo que se estudie derivarán en un modelo de gestión
de riesgos lo más eficiente posible.

26
Según la ONU: “El análisis de riesgos es el uso sistemático de la información y
material disponible para determinar la frecuencia y probabilidad de un posible hecho
o circunstancia de riesgo de corrupción, la magnitud de sus posibles consecuencias y
la vulneración que se tiene ante ciertas circunstancias. Dicho análisis debe ser
constante y continuo, tomando en cuenta el contexto en el cual existe la
organización, de evaluación y tratamiento de los riesgos, y de monitoreo de
resultados y condiciones de desempeño”.

De esta definición vale recuperar que se trata del uso sistemático de información, lo
que implica continuidad y, por tanto, un monitoreo permanente. De ahí la relevancia
de las técnicas que se seleccionen para procesar la información.

27
La selección de la metodología será en función del tipo de información que se esté
analizando, es decir, si es cualitativa o cuantitativa. A continuación algunos ejemplos
de metodologías, según el tipo de análisis que corresponda:

1. Técnicas de análisis cualitativo:

• Matrices de riesgo
• Diagramas de causa y efecto, Fishbone, Diagrama de Ishikawa
• Árboles de eventos
• Diagramas de Flujo
• Análisis Modal de Fallos y Efectos (AMFE)
• Análisis FODA (Fortalezas, Debilidades, Oportunidades, Amenazas)
• Matriz de Análisis de Riesgos.

2. Métodos de análisis cuantitativo:

• Métodos determinísticos
• Análisis probabilístico
• Modelado computacional
• Análisis de árbol de fallos
• Diagramas de bloques de fiabilidad

28
• Análisis de errores humanos
• Análisis de árbol de eventos
• Análisis de nivel de protección
• Estudios de Operabilidad y Riesgo (HAZOP)
• Mapas Auto-organizados

28
Adicional a la elaboración de estudios, utilizando las técnicas anteriores, la
evaluación para manejo del riesgo debe involucrar información generada en el
análisis de contexto y en la evaluación inicial del riesgo. Esta información se genera a
través del análisis de costos y otros impactos, así como de la contemplación de los
impactos positivos estimados.

En concreto: mantener ambas perspectivas es crucial en la identificación de acciones

lo más efectivas posible.

29
• Baas, S., Ramasamy, S., Dey de Pryck, J. y Battista, F. (2009). Análisis de Sistemas
de Gestión del Riesgo de Desastres. Una Guía. Roma, Italia: FAO. Recuperado de
http://www.fao.org/3/i0304s/i0304s.pdf

• Echemendía, B. (2011). Definiciones acerca del riesgo y sus implicaciones.

Revista Cubana de Higiene y Epidemiología, 49(3), 470-481. Recuperado de
http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S1561-
30032011000300014&lng=es&tlng=es

• Homeland Security (2011). Risk Management Fundamentals. Recuperado de

https://www.dhs.gov/sites/default/files/publications/rma-risk-management-
fundamentals.pdf

• Pirani (s.f.). 14 métodos y herramientas para gestionar el riesgo. PiraniRisk.

(Página Web). Recuperado de
https://www.piranirisk.com/es/academia/especiales/14-metodos-y-
herramientas-para-gestionar-el-riesgo

• Protocolo de las Naciones Unidas para el Desarrollo en México (PNUD) y Oficina

de las Naciones Unidas contra la Droga y el Delito (UNODC). (2018). Protocolo de
análisis de riesgos.
• Renn, O. (2006) Risk Governance Towards an Integrative Approach. International
Risk Governance Council, Documento de trabajo No. 1. Recuperado de
https://irgc.org/wpcontent/uploads/2018/09/IRGC_WP_No_1_Risk_Governance
__reprinted_version_3.pdf

• Rivera, J. La Borrosa Distinción Riesgo-Incertidumbre. Tecno Lógicas, (1)

Medellín, Colombia: Instituto Tecnológico Metropolitano. Recuperado de
https://www.redalyc.org/pdf/3442/344234312002.pdf

• Roqueñí, N., Alba, C., Martínez, G. y Lobato, V. (2005). Revisión y clasificación de

las técnicas de análisis de riesgos aplicadas a proyectos de ingeniería. Oviedo,
España: Universidad de Oviedo. Recuperado de
https://www.aeipro.com/files/congresos/2005malaga/ciip05_1755_1765.217.p
df