El documento presenta una agenda para una sesión de capacitación sobre gestión de riesgos. La agenda incluye una introducción al tema y discute el proceso de gestión de riesgos, incluido el establecimiento del contexto, la identificación, análisis y evaluación de riesgos, y el tratamiento de riesgos. También menciona los resultados positivos que una organización puede obtener al implementar un modelo efectivo de gestión de riesgos.
2. AGENDA
Introducción
Definición y Resultados de la Implementación del
Modelo de Gestión del Riesgo
Proceso de Gestión de Riesgos:
- Establecer el contexto
- Identificación del Riesgo
- Análisis del Riesgo
- Evaluación del Riesgo
- Tratamiento del Riesgo
3.
4. La Gestión Integral de Riesgos (ERM) ha estado presente en el mundo
empresarial por lo menos en la última década. En algunas industrias,
principalmente de servicios financieros y energía, los riesgos
específicos son administrados cuidadosamente, usando modelos
complejos de probabilidades y análisis sofisticados. En otros sectores
como los de servicios y consumo masivo, hay enfoques menos
elaborados para la administración del riesgo y día a día crece la
necesidad de generar prácticas más sistemáticas.
Son pocas las compañías que administran y valoran de manera inteligente
todo el espectro del riesgo al cual están expuestas, abordando todas sus
perspectivas de forma continua. No muchas están preparadas previamente
para afrontar dichas problemáticas, en caso de que sean vulneradas. Por esto,
cuando se aplica correctamente la Gestión Integral de Riesgos, muchas
organizaciones se convierten en ‘Empresas inteligentes frente al riesgo’.
5.
6.
7. ISO 31000-2009
Gestión de Riesgos - Principios y Guías
Risk Management - Principles and
guides
GESTIÓN DEL RIESGO
“Las organizaciones, no importa cual sea su actividad y tamaño,
afrontan una serie de riesgos que pueden afectar a la
consecución de sus objetivos.”
Todas las actividades de una organización están sometidas de forma
permanente a una serie de amenazas, lo cual las hace altamente
vulnerables, comprometiendo su estabilidad. Accidentes operacionales,
enfermedades, incendios u otras catástrofes naturales, son una muestra de
este panorama, sin olvidar las amenazas propias de su negocio.
La gestión integral de riesgos ha ganado impulso en los últimos años,
especialmenteseriepartirvoluntarias, establecidaspara Sistemas de Unidos , Ambiental entidadSistemas
COSO: Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) es una
ISO 22000 son organizaciones de la y especifica de losel Estados Gestión dedicada que han estado
sector de es una norma ISO estándares internacionales requerimientos paralo que ha implantar
14000 las una a de que define década los en noventa, desarrollar e conllevado la
privada-
a proporcionar
aparicióna de “Modelos y de Son estándaresde un armonización internacional a organizaciones
orientación delaSeguridadejecutivalos las entidadesde lograr Riesgos”, algunosdel gobierno dede
de Gestión gestión Alimentaria, con el fin de gobierno en los aspectos críticos de permita una
desarrollándose desde finales de 80. Gestión voluntarios diseñados para ayudar que ellos la
mejora de gubernamentales a establecer y el transcurso de gestión del riesgo, el fraude Ambiental.
privadas y la la ética empresarial, duranteevaluar objetivamente la Sistemas suministro. la primera edición
organización,seguridad alimentariacontrol interno, la empresatodasuscadena de de Gestión y La presentación de
carácter másde septiembre de 2005. por modelo común de control interno en contra de22000,
fue publicada el 1 específico, como
informes financieros. COSO ha establecido un ejemplo: COSO, ISO 14000, ISO que las
OHSAS, organizaciones puedencarácter sistemas de control.
empresas y etc. y otros de evaluar sus más global como la norma AS/NZS 4630 o
la norma ISO 31000.
8. ISO 31000-2009
Gestión de Riesgos - Principios y Guías
Risk Management - Principles and
guides
GESTIÓN DEL RIESGO
RESULTADOS A OBTENER:
El diseño e implantación de un modelo de gestión del riesgo, permitirá a la organización:
1. Fomenta la gestión proactiva en lugar de la reactiva.
2. Ser consciente de la necesidad de identificar y tratar el riesgo en todos los niveles de la
organización.
3. Mejora la identificación de oportunidades y amenazas.
4. Cumple con los requisitos legales y normativos aplicables así como las normas internacionales.
5. Mejora la información financiera.
6. Mejora la gestión empresarial.
7. Mejora la confianza de los grupos de interés (stakeholders).
8. Establece una base fiable para la toma de decisiones y planificación.
9. Mejora los controles.
10. Reparte y utiliza de forma efectiva los recursos para la gestión de riesgos.
11. Mejora la eficacia y la eficiencia operacional.
12. Aumenta la seguridad y salud.
13. Mejora la prevención así como la gestión de incidentes.
14. Minimiza las pérdidas.
15. Mejora el aprendizaje organizativo.
16. Mejora la resistencia organizativa.
9. Relación entre los Principios,
Estructura de Soporte y Proceso
de Gestión de Riesgos
10. PROCESO DE
GESTIÓN DEL
RIESGO
Establecer el contexto
Evaluación de riesgos
Identificar los riesgos
Comunicación Seguimiento
y consulta
Analizar los riesgos y revisión
Evaluar los riesgos
Evaluación de riesgos es el proceso
general de identificación de
Tratar de riesgos y evaluación
riesgos, análisis los riesgos
de riesgos (ISO 31000-2009)
11. ESTABLECER EL
CONTEXTO
CONTEXTO INTERNO
Ambiente interno en el que la organización busca alcanzar sus objetivos
1. Gobernanza, la estructura organizativa, las funciones y responsabilidades;
2. Las políticas, los objetivos y las estrategias que están en marcha para alcanzarlos;
3. La capacidad, entendida en términos de recursos y conocimientos (capital, por ejemplo,
tiempo, Personas, procesos, sistemas y tecnologías);
4. Los sistemas de información, flujos de información y la toma de decisiones (tanto formales
como informales);
5. Relaciones con, y las percepciones y los valores de, grupos de interés internos;
6. Cultura de la organización;
7. Normas, directrices y modelos adoptados por la organización, y
8. La forma y el alcance de las relaciones contractuales.
12. ESTABLECER EL
CONTEXTO
Planteamiento estratégico
(mando de control, administración por objetivos)
Misión
Visión La misión de una empresa es lo que hacemos o creamos con el fin de realizar
nuestra visión o empresario es simplemente lo que pretendemos ser y nuestro medio
Una visión de nuestro objetivo, que es sin final .
Operación Todasnuestra misión. proceso de operación deben estar claramente definidas con
será
las etapas del MISIÓN = HACER
Valores y principios es una consecuencia=natural de un método de fabricación,
VISIÓN SER
el fin de ver y atribuir las responsabilidades para cada sector, departamentos o
campos. El proceso
Políticas operación, de creación o toda otra actividad de empresa.
13. ESTABLECER EL
CONTEXTO
CONTEXTO EXTERNO
Entorno externo en el que la organización busca alcanzar sus objetivos
1. La cultural, social, político, jurídico, reglamentario, financiero, tecnológico,
económico, natural y competitivo, ya sea internacional, nacional, regional o local;
2. Factores clave y las tendencias con repercusiones en los objetivos de la
organización, y la relaciones con, y las percepciones.
14. IDENTIFICAR RIESGOS
ISO 31000-2009
Gestión de Riesgos - Principios y Guías
Risk Management - Principles and guides
NTC-ISO/IEC 27005-2009
NTC-ISO/IEC 27005-2009
RiesgoNTC-5254-2006
Tecnología de la información
Efecto de la incertidumbre información
Tecnología de la sobre los objetivos de
Técnicas deTécnica Colombiana – Gestión de Riesgo
Norma seguridad.
NOTA 1: Un efecto deuna desviación de lo esperado - positivos y / o negativos. En los Objetivos
Técnicas
Gestión deles
seguridad.
riesgo en la seguridad de la información
Gestión del riesgo en la seguridad de la información
Riesgo
NOTA 2: puede tener diferentes aspectos (como la salud financiera, y la seguridad, y los objetivos
medioambientales)la y puede aplicar la información.
Riesgo en seguridad de en diferentes niveles (como estratégica, en toda la
organización, proyecto, producto y proceso). la información.
Riesgo en la seguridad de
Posibilidad de que suceda algo que tendrá impacto en los
NOTA 3:objetivos. Se mide en determinada explote las vulnerabilidades de
Potencial de que una amenaza referencia a los eventos potenciales (2,17) y Consecuencias
El riesgo se caracteriza a menudo por términos de consecuencias y
(2,18), o un combinación de estos. amenaza determinada explote las vulnerabilidades de
Potencial de que una
los activos o gruposocurrencias
posibilidad de de activos causando daño a la organización.
los activos o grupos de activos causando daño a la organización.
NOTA 4 El riesgo se expresa a menudo en términos de una combinación de las consecuencias de un evento
(incluidos los cambios en las circunstancias) y la probabilidad asociada (2,19) de ocurrencia.
Nota: Se mide en términos de una combinación de la probabilidad de que
Nota: Se mide en términos de una combinación de la probabilidad de que
NOTA 5 La incertidumbre esy sus consecuencias. deficiencia de la información relacionada con la
suceda un evento el estado, incluso parcial, de la
suceda un evento y sus consecuencias.
comprensión o conocimiento de una caso, su consecuencia, o la probabilidad.
15. IDENTIFICAR RIESGOS
La etapa de mayor relevancia en la administración de riesgos
Definir que tipos de herramientas se utiliza para la
identificación de riesgos
¿Qué puede ocurrir?
¿Cómo puede suceder?
1.- Cuestionario de análisis
2.- Inspecciones físicas
¿Quién puede generarlo?
3.- Listas de chequeo
¿Por qué se puede presentar?
4.- Gráfica de flujos de procesos o flujogramas
5.- Análisis de estados financieros y otra información de la empresa.
¿Cuándo puede ocurrir?
6.- Combinación de las anteriores
16. IDENTIFICAR RIESGOS
La etapa de mayor relevancia en la administración de riesgos
Definir el alcance de la identificación de riesgos (objetivo)
• Riesgos asociados al entorno
- Riesgos asociados a la naturaleza.
- Riesgos asociados al país, la región y la ciudad
de ubicación.
- Riesgos asociados al sector económico y la
industria
• Riesgos generados en la empresa
• Riesgo empresarial
17. IDENTIFICAR RIESGOS
La etapa de mayor relevancia en la administración de riesgos
Definir el alcance de la identificación de riesgos (objetivo)
18. IDENTIFICAR RIESGOS
La etapa de mayor relevancia en la administración de riesgos
Definir el enfoque de administración del riesgo (no eventos aislados)
19. ANALISIS DE RIESGOS
El análisis de riesgos implica:
1. Desarrollo de la comprensión de los riesgos.
2. Proporciona una entrada a los riesgos la evaluación y las decisiones sobre si
los riesgos necesitan ser tratados, y en el tratamiento del riesgo más
adecuadas estrategias y métodos.
3. Consideración de las causas y las fuentes de riesgo, sus positivos y negativos
de consecuencias y la probabilidad de que esas consecuencias pueden
ocurrir.
4. Factores que afectan.
5. La forma en que las consecuencias y la probabilidad se expresan y la forma en
que se combinan para determinar un nivel de riesgo debe reflejar el tipo de
riesgo.
6. Criterios de aceptabilidad.
7. Apetito de riesgo.
El análisis de riesgos puede llevarse a cabo con diferentes grados de detalle, dependiendo del
riesgo, el objetivo de la el análisis y la información, datos y recursos disponibles. Análisis pueden ser
cualitativos, cuantitativos o semi - cuantitativos, o una combinación de estos, dependiendo de las
circunstancias.
20. ANALISIS DE RIESGOS
CRITERIOS DE ACPTABILIDAD
INADMISIBLE 4,25 ROJO
INACEPTABLE Desde 2,55 hasta 3,40 NARANJA
TOLERABLE Desde 1,05 hasta 1,95 AMARILLO
ACEPTABLE Desde 0,20 hasta 1,0 VERDE
21. EVALUACION DE RIESGOS
El propósito de la evaluación de riesgos es ayudar en la toma de decisiones,
basada en los resultados de análisis de riesgos, sobre riesgos que necesitan
tratamiento y la prioridad para la aplicación del tratamiento.
Evaluación de los riesgos que supone la comparación del nivel de riesgo
identificado durante el proceso de análisis con criterios de riesgo establecida
cuando se considera el contexto. Basándose en esta comparación, la
necesidad de que el tratamiento puede ser considerado.
Las decisiones deben tener en cuenta el contexto más amplio del riesgo y de
incluir la consideración de la tolerancia de los riesgos asumidos por otras partes
de la organización que se beneficia de los riesgos. Las decisiones deben
tomarse en de conformidad con los requisitos legales, reglamentarios y otros.
En algunas circunstancias, la evaluación del riesgo puede llevar a una decisión
de proceder a su posterior análisis. El riesgo de evaluación también puede dar
lugar no a una decisión de tratar el riesgo de cualquier otra forma de mantener
los controles existentes. Esta decisión se verá influida por la actitud de riesgo
de la organización y los criterios de riesgo que han sido.
24. TRATAMIENTO DE LOS RIESGOS
El tratamiento del riesgo consiste en seleccionar una o más opciones
de modificación de los riesgos, y la aplicación de esas opciones.
Una vez en marcha, los tratamientos de proporcionar o modificar los
controles.
El tratamiento del riesgo implica un proceso cíclico de:
la evaluación de un tratamiento del riesgo;
decidir si los niveles de riesgo residual son tolerables;
si no tolerables, generando un nuevo tratamiento del riesgo,
la evaluación de la eficacia de ese tratamiento.
25. TRATAMIENTO DE LOS RIESGOS
Las opciones de tratamiento de los riesgos no son necesariamente
excluyentes o apropiadas en todas las circunstancias.
Las opciones pueden incluir los siguientes:
a) evitar el riesgo al decidir no iniciar o continuar con la actividad que da
lugar al riesgo;
b) tomar o aumentar el riesgo con el fin de perseguir una oportunidad;
c) eliminar la fuente de riesgo;
d) los cambios en la probabilidad;
e) cambiar las consecuencias;
f) la distribución del riesgo con la otra parte o partes (incluidos los
contratos y la financiación de riesgo), y
g) mantener el riesgo por decisión informada.
28. TRATAMIENTO DE LOS RIESGOS
EVITAR PREVENIR PROTEGER FINANCIAR ASUMIR
Victimas Humanos
Factor Financieros
Daño material
humano Operacionales
Daño ambiental
Siniestro Pérdida personal Ambientales
Pérdida de valores Comerciales
Factor Pérdida de información Sociales
material Conflictos legales Reputacionales
Causas Evento Consecuencias Impactos
Las estrategias de los extremos son “excluyentes” las demás son complementarias y puede
combinarse
29. COMUNICACIÓN Y CONSULTA
La comunicación y consulta con las partes interesadas externas e internas deberá
tener lugar durante todas las etapas del proceso de gestión de riesgos.
Por lo tanto, los planes de comunicación y consulta debe desarrollarse en una
etapa temprana. Estos deben abordar las cuestiones relacionadas con el riesgo en
sí mismo, sus causas, sus consecuencias (si se conoce), y las medidas que se
adoptadas para tratarla. La comunicación interna y externa efectiva y la consulta
debe llevarse a cabo para garantizar la que los responsables de la aplicación del
proceso de gestión del riesgo y las partes interesadas a entender la base en la que
se toman las decisiones, y las razones por las medidas son necesarias en
particular.
30. SEGUIMIENTO Y REVISION
El seguimiento y la revisión debería ser una parte planificada del proceso de gestión del
riesgo y la participación regular control o vigilancia. Puede ser periódica o ad hoc.
Responsabilidades de supervisión y revisión debe estar claramente definida.
Registro del proceso de gestión de riesgos
Las actividades de gestión de riesgos debe ser rastreable. En el proceso de gestión de
riesgos, proporcionar los registros de Fundación para la Mejora de los métodos y
herramientas, así como en el proceso global.
Las decisiones relativas a la creación de registros deben tener en cuenta:
• Necesidades de la organización para el aprendizaje continuo;
• Los beneficios de la reutilización de la información a efectos de gestión;
• Costes y esfuerzos involucrados en la creación y el mantenimiento de registros;
• Necesidades legales, reglamentarios y operativos de los registros;
• Método de acceso, la facilidad de recuperabilidad y medios de almacenamiento;
• Período de retención, y La sensibilidad de la información.