1. No category

1
Gestión de riesgos para
sistemas integrados de
gestión ISO
2
Agenda
1.
2.
3.
4.
5.
6.
7.
8.
Introducción.
Caso de estudio (Ansiedad, visión reducida...)
Algunos tipos de riesgo.
Conceptos ISO 31000:2009.
¿
es el riesgo?
Diferentes modelos de riesgos – estructuras semejantes.
Enfoques para los modelos de riesgo.
¿Cómo ISO 31000:2009, ayuda para llevar a cabo la gestión
de riesgos?
9. Evaluando la efectividad de un modelo de riesgos en la
organización.
3
Introducción
“Todas las actividades de una organización
implican riesgos. Las organizaciones gestionan el
riesgo identificándolo, analizándolo y evaluando
después si el riesgo se debería modificar
mediante un tratamiento que satisfaga sus
criterios de riesgo”
ISO 31000:2009
4
Introducción (cont.)
“A lo largo de todo este proceso, las
organizaciones comunican y consultan a las
partes interesadas y realizan seguimiento y
revisan el riesgo y los controles que lo modifican
para asegurar que no es necesario un
tratamiento adicional”
ISO 31000:2009
5
Introducción (cont.)
“La introducción de la gestión del riesgo y el
aseguramiento de su eficacia continua requieren
un compromiso fuerte y sostenido de la
dirección de la organización, así como el
establecimiento de una planificación estratégica
y rigurosa para conseguir el compromiso a todos
los niveles ...”
4.2 Mandato y compromiso
ISO 31000:2009
6
7
Ansiedad, visión reducida...
“La investigación alemana de la tragedia aérea
de los Alpes, en la que murieron hace una
semana 150 personas, trabaja con la hipótesis
de que Andreas Lubitz estrelló el avión
desesperado ante la posibilidad de perder su
licencia de piloto debido a sus problemas
médicos”
8
Algunos tipos de riesgo
•
•
•
•
•
•
•
•
•
•
Riesgo tecnológico.
Riesgo operacional
Riesgo crediticio.
Riesgo legal.
Riesgo de mercado.
Riesgo de liquidez.
Riesgo de cumplimiento.
No satisfacer los requisitos del cliente.
Peligros ambientales.
Riesgo a la reputación.
9
¡Pretextos para no gestionar
riesgos!
•
•
•
•
•
•
•
•
•
•
Nunca ha pasado nada.
Hay suficientes controles.
Si ocurre algo, lo tendremos que corregir.
No vemos la aportación al negocio.
Aceptamos que es común que fallen los sistemas
tecnológicos.
Si pensamos en todo lo malo, no hacemos nada
Nuestro enfoque es en alcanzar las metas, no en riesgos.
!No hay tiempo para evaluar los riesgos!
No tenemos los procesos definidos.
Gestionar los riesgos no me va a ayudar a vender más.
10
Conceptos de la norma ISO
31000:2009
11
Conceptos ISO 31000:2009
“Mientras todas las organizaciones gestionan el
riesgo a diferentes niveles, esta norma
internacional establece un conjunto de
principios que se deben satisfacer para que la
gestión del riesgo sea eficaz”
12
Conceptos ISO 31000:2009 (cont.)
“La norma recomienda que las organizaciones
desarrollen, implementen y mejoren de manera
continuada un marco de trabajo cuyo objetivo
sea integrar el proceso de gestión del riesgo en
los procesos de gobierno, de estrategia y de
planificación, de gestión, y de elaboración de
informes, así como en las políticas, los valores y
en la cultura de toda la organización”
13
Objeto y campo de aplicación
• “Esta norma internacional proporciona los
principios y las directrices genéricas sobre la
gestión del riesgo.
• Puede utilizarse por cualquier empresa
pública, privada o social, asociación, grupo o
individuo. Por tanto, no es específica de una
industria o sector concreto.”
14
Partes interesadas
a) “Responsables de desarrollar la política de gestión del
riesgo dentro de su organización;
b) Encargados de asegurar que el riesgo se gestiona de
manera eficaz dentro de la organización, considerada
en su totalidad o en un área, un proyecto o una
actividad específicos;
c) Los que necesitan evaluar la eficacia de una
organización en materia de gestión del riesgo; y
d) Los que desarrollan normas, guías, procedimientos y
códigos de buenas practicas que, en su totalidad o en
parte, establecen cómo se debe tratar el riesgo dentro
del contexto específico de estos documentos.”
15
es el riesgo?
“Efecto de la incertidumbre sobre la
consecución de los objetivos”
ISO 31000:2009
1. Incertidumbre (es posible su ocurrencia).
2. El riesgo importa y debe gestionarse porque
tiene un efecto (positivo y/o negativo).
3. Ese efecto es sobre los objetivos fijados.
16
Relaciones de cláusulas ISO 31000
a)
Crear valor.
b)
Es parte integral de los
Comando y
compromiso
(4.2)
procesos de la organización.
Es parte de la toma de
decisiones.
d)
Establecimiento del contexto
(5.3)
Abordar explícitamente la
Valoración del riesgo (5.4)
e)
Es sistemática, estructurada
Diseño del marco de
referencia para la
gestión del riesgo
(4.3)
y oportuna.
f)
Se basa en la mejor
información disponible.
g)
Esta adaptado.
h)
Toma en consideración a los
factores humanos y
culturales.
i)
Es transparente e inclusiva.
j)
Es dinámica, reiterativa y
receptiva al cambio.
k)
Facilita la mejora y realza a la
Mejora continua del
marco de referencia
(4.6)
Implementación de la
gestión del riesgo
(4.4)
Comunicación y consulta (5.2)
incertidumbre.
Identificación del riesgo
(5.4.2)
Análisis del riesgo (5.4.3)
Evaluación del riesgo
(5.4.4)
Tratamiento del riesgo
(5.5)
Monitoreo y revisión
del marco
(4.5)
organización.
Principios (Numeral 3)
17
Marco de referencia (numeral
4)
Proceso (Numeral 5)
Monitoreo y revisión (5.6)
c)
Principios de la Gestión de Riesgos
a.
b.
c.
d.
e.
f.
g.
h.
i.
j.
k.
Crea y protege el valor,
Es una parte integral de todos los procesos de la organización,
Es parte de la toma de decisiones,
Trata explícitamente la incertidumbre,
Es sistemática, estructurada y oportuna,
Se basa en la mejor información disponible,
Se adapta a la realidad de la organización,
Integra los factores humanos y culturales,
Es transparente y participativa,
Es dinámica, iterativa, y responde a los cambios,
Facilita la mejora continua de la organización.
18
Estructura de la gestión de riesgos
Mandato y compromiso (4.2)
Diseño del marco de trabajo de la gestión del riesgo (4.3)
Compromiso de la organización y de su contexto (4.3.1)
Establecimiento de la política de la política de gestión del riesgo (4.3.2)
Obligación de rendir cuentas (4.3.3)
Integración en los procesos de la organización (4.3.4)
Recursos (4.3.5)
Establecimiento de los mecanismos internos de comunicación y de información (4.3.6)
Establecimiento de los mexicanos externos do comunicación y de información (4.3.7)
Mejora continua del marco de
trabajo (4.6)
Implementación del proceso de gestión del
riesgo (4.4)
Implementación del marco de trabajo de la gestión del riesgo (4.4.1)
Implementación del proceso de gestión del riesgo (4.4.2)
Seguimiento y revisión del marco de trabajo
(4.5)
Fuente: ISO 31000
19
ISO 31000 Anexo A (Informativo)
Atributos de una gestión de riesgos optimizada
• A.3.1 Mejora continua,
• A.3.2 Responsabilidad completa de los riesgos,
• A.3.3 Aplicación de la gestión del riesgo en
todas las tomas de decisiones,
• A.3.4 Comunicación continua,
• A.3.5 Integración completa en la estructura de
gobierno de la organización.
20
Normas Complementarias
a 73:2009
ISO 31010:2009
21
ISO GUIA 73:2009
• “...proporciona el vocabulario básico para desarrollar
una comprensión de los conceptos y términos que se
utilizan en la gestión del riesgo que son comunes a
diferentes organizaciones y funciones, ...”
• 3.6.1.7 matriz de riesgo:
Herramienta que permite clasificar y visualizar los
riesgos (1.1), mediante la definición de categorías de
consecuencias (3.6.1.3) y de su probabilidad (3.6.1.1).
22
ISO 31010:2009
Herramientas y técnicas
Herramientas y técnicas
Herramientas y técnicas
1.Tormenta de ideas.
11.Analsis de impacto económico.
21.Analisis de pajarita.
2.Entrevistas estructurada s o
semiestructuradas.
12.Analisis causa primordial.
22.Mantenimiento centrado de
fiabilidad.
3.Delphi.
13.Analisis de los modos de fallo y de
los efectos.
23.Analisis de circuito de fuga.
4.Lista de verificación.
14.Analisis de árbol de fallos.
24.Analisis Markov.
15.Analisis de árbol de sucesos.
25.Simulacion Mote-Carlo.
6.Estudios de peligros y de
operatividad (HAZOP).
16.Analisis de causa consecuencia.
26.Estadisticas Bayesian y redes
Bayes.
7.Análisis de peligro y puntos de
control críticos (HACCP).
17.Analisis de causa efecto.
27.Curba Fn.
8.Apreciacion de riesgos
ambientales.
18.Analisis de capas de protección.
28.Indices de riesgo.
5.Analista preliminar de peligros.
9.Estructura (SWIFT).
10.Analisis de escenario.
19.Diagrama de decisiones.
20.Analisis de fiabilidad humana.
23
29.Matriz de consecuencia.
30.Analisis de costes/beneficio.
Gestión de riesgos como requisito
de diferentes normas ISO…
¿Cómo lograr su convivencia?
24
ISO 9001, ISO 20000-1
ISO 22301, ISO 27001...
“La gestión del riesgo contribuye de manera
tangible al logro de los objetivos y a la mejora
del desempeño, por ejemplo, en lo referente a la
salud y seguridad de las personas, a la
conformidad con los requisitos legales y
reglamentos, a la aceptación por el público, a la
protección ambiental, a la calidad del producto,
a la gestión del proyecto, a la eficacia en las
operaciones, y a su gobierno y reputación”
25
ISO 27000, 9000 y el riesgo
• Acción preventiva: “acción tomada para
eliminar la causa de una no conformidad
potencial u otra situación potencialmente
inestable”
• No conformidad: “Es el incumplimiento de un
requisito”
26
Gestión de riesgos como requisito
de diferentes normas ISO…
¿Qué tienen en común?
27
Dirección (Alta Gerencia)
1. Tiene responsabilidad dentro del buen gobierno de
buscar el logro de los objetivos de la empresa.
2. Puede demostrar su debida diligencia.
3. Le ayuda a invertir los recursos en forma ordenada.
4. Le
expuesto
(incluso hoy)
Esto se traduce en: mensajes claros, coherentes y continuos a toda la
organización.
¿Qué tanto se habla del tema de riesgos en sus reuniones gerenciales?
28
El propietario del proceso
• Saber: Conocer en profundidad el proceso que lidera, sus
objetivos y riesgos.
• Poder: Debe tener capacidad para la toma de decisiones y
mejorar el proceso, en función del grado de
responsabilidad delegada a cada uno.
• Querer: Debe entender el valor de gestionar los riesgos y
asumir voluntariamente su responsabilidad contribuyendo
así al logro de los objetivos estratégicos de la organización.
¿La descripción de puesto gerencial incluye la tarea de gestionar sus riesgos?
¿Cuántas veces se trata el tema en sus reuniones gerenciales?
29
Actividades del análisis y
gestión del riesgo
Establecimiento del
contexto (5.3)
Identificación del riesgo
(5.4.2)
Comunicación
y consulta
(5.2)
Análisis del riesgo (5.4.3)
Evaluación del riesgo
(5.4.4)
Tratamiento del riesgo
(5.5)
Fuente: ISO 31000
30
Seguimiento y
revisión
(5.6)
Definiendo las prioridades
10
Intensidad del daño
9
8
7
6
5
4
3
2
1
1
2
4
5
6
7
Probabilidad de ocurrencia
Impacto
bajo
3
medio
critico
31
8
9
10
¿Cómo podemos evaluar los riesgos
tecnológicos?
Conocimiento del entorno
(Infraestructura Tecnológica)
Inventario de
Activos
Valoración de
Activos
Amenazas
Vulnerabilidades
Identificación de Riesgos
Riesgos
Posibilidad de Ccurrencia
Impacto Cualitativo
Estrategia para la Gestión de Riesgos
•
Asumir el impacto de los
riesgos.
Definición de medidas y
controles
Transferir los riesgos
Asumir los riesgos
•
•
Contratación de seguros.
Transferir responsabilidades.
32
•
Planes de acción.
Riesgos ISO 27005
Fuente: ISO/IEC 27005
33
COBIT 5 para Riesgos
Fuente: COBIT 5 para Riesgos
34
COBIT 5 para Riesgos (cont.)
Fuente: COBIT 5 para Riesgos
35
Enfoques para los modelos
de riesgo
No.
Modelo
Enfoque
1
ISO 31000
Todo el negocio.
Depende de la técnica que se
emplee para la identificación
basado en 31010, sin embargo
su enfoque es principalmente el
negocio.
2
ISO 27005
Seguridad de la
información.
Hacia la confidencialidad,
integridad y disponibilidad de la
información.
3
COBIT para riesgos
Todo el negocio.
Pueden asociarse a las
dimensiones del BSC (Control de
Mando Integral) Financiera,
Cliente, Interna, Aprendizaje y
Crecimiento y sus objetivos de
la empresa.
36
Impactos
debemos hacer con
ellos?
37
EMTA
• EVITAR. No proseguir con la actividad riesgosa (!No
siempre es posible!)
• MITIGAR. Tomar medidas tendientes a reducir la
probabilidad de ocurrencia y/o impacto, (No siempre
implica costos financieros adicionales, incluso puede
ahorrar dinero).
• TRANSFERIR. Que otra parte soporte parte del riesgo
(Pensar en que nuevos riesgos ocasiona este cambio).
• ACEPTAR. Aceptar
conociéndolo!)
el
riesgo
38
inherente
(!Pero
Preguntas
Daniel Gómez Ordóñez
Gerente de Normatividad
Socio Director General
CISA, CRISC, ITIL v3,
ISO 27001 LA, LI
ISO 20000 LA, LI
CBCP, COBIT 5 Fundamentos
[email protected]
[email protected]
39