presentacion iso 31000 2009 20horas.pptx
Post on 15-Dec-2015
80 Views
Preview:
TRANSCRIPT
1© SGS SA 2012 ALL RIGHTS RESERVED
INTERPRETACION E IMPLEMENTACION DE LA NORMA ISO 31000:2009
PRINCIPIOS Y DIRECTRICES PARA LA ADMINISTRACIÓN Y GESTIÓN DEL RIESGO
2© SGS SA 2012 ALL RIGHTS RESERVED
Proporcionar a los participantes los conocimientos para la interpretación, implementación, análisis y manejo de la norma ISO 31000:2009, para la eficaz administración y gestión del riesgo.
OBJETIVO GENERAL
3© SGS SA 2012 ALL RIGHTS RESERVED
Todas las actividades de una organización implican riesgos, que las empresas gestionan; y que además son consultadas y comunicadas a las partes interesadas del negocio.
Las organizaciones se enfrentan a factores externos/internos que hacen incierto saber si se conseguirán sus objetivos.
Alcance de la gestión de riesgos:
La gestión de riesgos se puede aplicar a toda la organización, a sus áreas principales, o a sus proyectos y actividades específicas.
INTRODUCCION A LA GESTION DE RIESGOS
4© SGS SA 2012 ALL RIGHTS RESERVED
TODO SISTEMA INTEGRADO DE GESTION (SIG), CONLLEVA
INMERSO UNA GESTION DE LOS RIESGOS!!
5© SGS SA 2012 ALL RIGHTS RESERVED
ISO 9001:20154.4 Sistema de gestión de la calidad y sus procesos
La organización debe establecer, implementar, mantener y mejorar continuamente un sistema de gestión de la calidad, incluidos los procesos necesarios y sus interacciones, de acuerdo con los requisitos de esta Norma Internacional.
La organización debe determinar los procesos necesarios para el sistema de gestión de la calidad y su aplicación a través de la organización, y debe determinar:a) los elementos de entrada requeridos y los elementos de salida esperados de estos procesos;b) la secuencia e interacción de estos procesos;c) los criterios, métodos, incluyendo las mediciones y los indicadores del desempeño relacionados, necesarios para asegurarse la operación eficaz y el control de estos procesos;d) los recursos necesarios y asegurarse de su disponibilidad;e) la asignación de las responsabilidades y autoridades para estos procesos;
6© SGS SA 2012 ALL RIGHTS RESERVED
f) los riesgos y oportunidades de acuerdo con los requisitos del apartado 6.1, y planificar e implementar las acciones adecuadas para tratarlos;g) los métodos para realizar el seguimiento, mediciones, cuando sea apropiado, y evaluación de los procesos y, si es necesario, los cambios en los procesos para asegurarse de que se logran los resultados previstos;h) oportunidades de mejora de los procesos y del sistema de gestión de la calidad.
La organización debe mantener información documentada en la medida necesaria para apoyar la operación de los procesos y retener la información documentada en la medida necesaria para tener la confianza de que los procesos se realizan según lo planificado.
7© SGS SA 2012 ALL RIGHTS RESERVED
5.1.2 Enfoque al cliente
La alta dirección debe demostrar liderazgo y compromiso con respecto al enfoque al cliente asegurándose de que:a) se determinan y se cumplen los requisitos del cliente y los legales y reglamentarios aplicables;b) se determinan y se tratan los riesgos y oportunidades que pueden afectar a la conformidad de los productos y los servicios y a la capacidad de aumentar la satisfacción del cliente;c) se mantiene la atención puesta en proporcionar de manera coherente productos y servicios que cumplen los requisitos del cliente y los legales y reglamentarios aplicables;d) se mantiene la atención puesta en aumentar la satisfacción del cliente.
8© SGS SA 2012 ALL RIGHTS RESERVED
6 Planificación para el sistema de gestión de la calidad
6.1 Acciones para tratar riesgos y oportunidades6.1.1 Al planificar el sistema de gestión de la calidad, la organización debe considerar las cuestiones referidas en el apartado 4.1 y los requisitos referidos en el apartado 4.2, y determinar los riesgos y oportunidades que es necesario tratar con el fin de:a) asegurar que el sistema de gestión de la calidad pueda lograr sus resultados previstos;b) prevenir o reducir efectos indeseadosc) lograr la mejora continua. 6.1.2 La organización debe planificar:a) las acciones para tratar estos riesgos y oportunidades;b) la manera de:1) integrar e implementar las acciones en sus procesos del sistema de gestión de la calidad;
9© SGS SA 2012 ALL RIGHTS RESERVED
2) evaluar la eficacia de estas acciones.
Las acciones tomadas para tratar los riesgos y oportunidades deben ser proporcionales al impacto potencial en la conformidad de los productos y los servicios.
NOTA Las opciones para tratar los riesgos y oportunidades pueden incluir: evitar riesgos, asumir riesgos para perseguir una oportunidad, eliminar la fuente de riesgo, cambiar la probabilidad o las consecuencias, compartir el riesgo o mantener riesgos mediante decisiones informadas.
10© SGS SA 2012 ALL RIGHTS RESERVED
8.5.5 Actividades posteriores a la entrega
Cuando sea aplicable, la organización debe cumplir los requisitos para las actividades posteriores a la entrega asociadas con los productos y servicios.Al determinar el alcance de las actividades posteriores a la entrega que se requieren, la organización debe considerar:a) los riesgos asociados con los productos y servicios;b) la naturaleza, el uso y la vida prevista de los productos y servicios;c) retroalimentación del cliente;d) requisitos legales y reglamentarios.
NOTA Las actividades posteriores a la entrega pueden incluir acciones cubiertas por la garantía, obligaciones contractuales como servicios de mantenimiento, y servicios suplementarios como el reciclaje o la disposición final.
11© SGS SA 2012 ALL RIGHTS RESERVED
6 Planificación6.1 Acciones para tratar riesgos asociados con amenazas y oportunidades
6.1.2 Aspectos ambientales significativosDentro del alcance definido del sistema de gestión ambiental, la organización debe:a) identificar los aspectos ambientales y los impactos ambientales asociados de sus actividades, productos y servicios que puede controlar y de aquellos en los que puede influir, desde una perspectiva de ciclo de vida;b) tener en cuenta:1) los cambios, incluidos los desarrollos nuevos o planificados, y las actividades, productos y servicios nuevos o modificados;2) las situaciones anormales y de emergencia potencial identificadas.
ISO 14001:2015
12© SGS SA 2012 ALL RIGHTS RESERVED
La organización debe determinar aquellos aspectos que tengan o puedan tener un impacto significativo sobre el medio ambiente, es decir, aspectos ambientales significativos.La organización debe comunicar sus aspectos ambientales significativos entre los diferentes niveles y funciones de la organización.La organización debe mantener información documentada adecuada de: los criterios usados para determinar sus aspectos ambientales significativos; sus aspectos ambientales e impactos ambientales asociados; sus aspectos ambientales significativos.NOTA Los aspectos ambientales significativos pueden dar como resultado el riesgo asociado con los impactos ambientales adversos (amenazas) o los impactos ambientales beneficiosos (oportunidades).
13© SGS SA 2012 ALL RIGHTS RESERVED
6.1.4 Riesgo asociado con amenazas y oportunidadesLa organización debe determinar el riesgo asociado con amenazas y oportunidades que es necesario tratar con el fin de: asegurar que el sistema de gestión ambiental pueda lograr sus resultados previstos; prevenir o reducir efectos indeseados, incluyendo el potencial de que las condiciones ambientales externas afecten a la organización; lograr la mejora continua.
La organización debe mantener información documentada del riesgo asociado con amenazas y oportunidades que es necesario tratar.
14© SGS SA 2012 ALL RIGHTS RESERVED
8 Operación8.1 Planificación y control operacional
La organización debe planificar, implementar y controlar los procesos necesarios para cumplir los requisitos del sistema de gestión ambiental y para implementar las acciones determinadas en los apartados 6.1 Acciones para tratar riesgos asociados con amenazas y oportunidades y 6.2 Objetivos ambientales y planificación para lograrlos, mediante: el establecimiento de criterios para los procesos; la implementación del control de los procesos de acuerdo con los criterios y prevenir desviaciones de la política ambiental, de los objetivos ambientales y de las obligaciones de cumplimiento.
NOTA Los controles pueden incluir controles de ingeniería, procedimientos, procedimientos documentados, etc. Se pueden implementar siguiendo una jerarquía (por ejemplo, de eliminación, de sustitución, administrativa) y se pueden usar solos o combinados.
15© SGS SA 2012 ALL RIGHTS RESERVED
La organización debe controlar los cambios planificados y revisar las consecuencias de los cambios no previstos, tomando acciones para mitigar los efectos adversos, cuando sea necesario.La organización debe asegurarse de que los procesos contratados externamente estén controlados o que se tenga influencia sobre ellos. Dentro del sistema de gestión ambiental se debe definir el tipo y grado de control o influencia que se va a aplicar a estos procesos.De manera coherente con la perspectiva del ciclo de vida, la organización debe:a) determinar los requisitos ambientales para la compra de productos y servicios, según corresponda;b) establecer controles para asegurar que los requisitos ambientales se consideren en el proceso de diseño para el desarrollo, entrega, uso y tratamiento al finalizar la vida de sus productos y servicios, según corresponda;c) comunicar los requisitos ambientales pertinentes a los proveedores externos, incluidos los contratistas;d) durante la entrega de productos y servicios y durante el uso y tratamiento al finalizar la vida del producto, considerar la necesidad de suministrar información acerca de los impactos ambientales significativos potenciales.
16© SGS SA 2012 ALL RIGHTS RESERVED
OHSAS 18001:20074.3.1 Identificación de peligros, evaluación de riesgos y determinación de controles Se debe establecer, implementar y mantener procedimiento(s) para identificar continuamente los peligros, evaluar los riesgos y determinar los controles necesarios. Estos procedimientos deben tomar en cuenta:
a)Actividades rutinarias, no rutinarias y de emergencia.b)Actividades de todo el personal en el lugar de trabajo (incluyendo contratistas y visitantes)c)Peligros originados fuera del lugar o en la proximidad del lugar de trabajo, capaz de afectar adversamente la salud o seguridad de las personas bajo el control de la organización.e)Infraestructura, equipos y materiales en el lugar de trabajo, provistos por la
organización u otros.f) Requisitos legales aplicables.
17© SGS SA 2012 ALL RIGHTS RESERVED
Para determinar los controles, se debe considerar la reducción de los riesgos de acuerdo a la siguiente priorización:
a) Eliminaciónb) Sustituciónc) Controles de ingenieríad) Señalización, alertas y/o controles administrativose) Equipos de protección personal
La organización debe asegurar que los riesgos de SYSO y la determinación de controles son tomados en cuenta en el establecimiento, implementación y mantenimiento del sistema de gestión de SYSO.
18© SGS SA 2012 ALL RIGHTS RESERVED
NORMAS CARACTERÍSTICAS DAÑOS A EVITAR
FUENTE O SITUACIÓN
(DESEADA / NO DESEADA)
¿Aparecerá el daño? ¿Qué
pasaría si sucede?
METODO DE
CONTROL
ISO 9001 Calidad No conformidad Se IDENTIFICAN los Peligros
Se EVALUAN los Riesgos
Tratamiento del Riesgo (programas)
ISO 14001 Ambiente Contaminación
OHSAS 18001 S y So Accidente
ISO 26000 Responsabilidad Social Conflicto
ISO 28000Seguridad Cadena de Suministros
Sabotaje
ISO 22000 Inocuidad Enfermedad
19© SGS SA 2012 ALL RIGHTS RESERVED
7 PRINCIPIOS DE LA GESTIÓN
Orientación al cliente
Liderazgo
Participación del personal
Enfoque por Procesos
Mejora
Toma de decisiones basada en la evidencia
Gestión de las relaciones
Nota: el principio relacionado a Enfoque de Sistema para la Gestión fue retirado.
20© SGS SA 2012 ALL RIGHTS RESERVED
- Aumentar la probabilidad de alcanzar los objetivos- Estimular una gestión proactiva- Mejorar la identificación de oportunidades y de amenazas- Cumplir los requisitos legales y las normas internacionales- Establecer una base fiable para tomar decisiones y mejorar los controles- Asignar y utilizar de manera eficaz los recursos (tratamientos).- Mejorar la eficacia y la eficiencia operacional- Aumentar la protección ambiental y en seguridad/salud- Mejorar la prevención de pérdidas.
BENEFICIOS DE LA NORNA ISO 31000:2009
21© SGS SA 2012 ALL RIGHTS RESERVED
Actividades coordinadas para dirigir y controlar una organización en lo relativo al riesgo
(Definición ISO 31000)
GESTION DEL RIESGO
CONCEPTOS Y FUNDAMENTOS
22© SGS SA 2012 ALL RIGHTS RESERVED
Combinación de la probabilidad de un suceso y de su consecuencia
Nota 1.- El término "riesgo" suele utilizarse sólo en el caso de que exista, al menos, una posibilidad de consecuencia negativa.
Nota 2.- En algunas situaciones, el riesgo surge de la posibilidad de desviación con respecto al resultado o suceso previsto.
Guía ISO 73:2009
RIESGO
23© SGS SA 2012 ALL RIGHTS RESERVED
Efecto de la incertidumbre sobre la consecución de los objetivos.
NOTA 1 : Un efecto es la desviación, positiva y/o negativa, respecto a lo previsto.
NOTA 2: Los objetivos pueden tener diferentes aspectos (tales como financieros, de salud y seguridad, o ambientales) y se pueden aplicar al nivel estratégico, de un proyecto, de un producto, de un proceso o de una organización completa).
NOTA 3: El riesgo se caracteriza por referencia a sucesos potenciales (probabilidad) y a sus consecuencias.
(Definición ISO 31000:2009)
RIESGO
24© SGS SA 2012 ALL RIGHTS RESERVED
Posibilidad de que algún hecho se produzca.
NOTA 1.- En la terminología de la gestión del riesgo, la palabra "probabilidad" se utiliza para indicar la posibilidad de que algún hecho se produzca, que esta posibilidad está definida, medida o determinada objetiva o subjetivamente, cualitativa o cuantitativamente, y descrita de forma general o de forma matemática (tales como una probabilidad o una frecuencia sobre un periodo de tiempo dado).
(Definición ISO 31000)
PROBABILIDAD
25© SGS SA 2012 ALL RIGHTS RESERVED
Resultado de un suceso que afecta a los objetivos.
NOTA 1.- Un mismo suceso puede conducir a una serie de consecuencias.
NOTA 2.- Una consecuencia puede tener efectos positivos o negativos sobre la consecución de los objetivos.
NOTA 3.- Las consecuencias se pueden expresar de forma cualitativa o cuantitativa.
(Definición 31000)
CONSECUENCIA
26© SGS SA 2012 ALL RIGHTS RESERVED
Elemento que por sí solo o en combinación con otros, presenta el potencial intrínseco de engendrar un riesgo.
(Definición 31000)
FUENTE DE RIESGO (Ó PELIGRO)
27© SGS SA 2012 ALL RIGHTS RESERVED
Declaración de las intenciones y orientaciones generales de una organización en relación con la gestión del riesgo.
(Definición 31000)
POLITICA DE GESTION DEL RIESGO
28© SGS SA 2012 ALL RIGHTS RESERVED
NORMA ISO 31000:2009
PRINCIPIOS Y DIRECTRICES PARA LA ADMINISTRACIÓN Y GESTIÓN DEL RIESGO
29© SGS SA 2012 ALL RIGHTS RESERVED
a) Crea y protege el valor.
b) Es una parte integral de todos los procesos de la organización.
c) Es parte de la toma de decisiones.
d) Aborda explícitamente la incertidumbre.
e) Sistemática, estructurada y oportuna.
f) Se basa en la mejor información disponible.
g) Está adaptada a la organización.
h) Toma en consideración los factores humanos y culturales.
i) Transparente e inclusiva.
j) Dinámica, reiterativa y receptiva al cambio.
k) Facilita la mejora continua de la organización.
PRINCIPIOS DE LA GESTIÓNDEL RIESGO
30© SGS SA 2012 ALL RIGHTS RESERVED
a. Crear Valor.
b. Es parte integral de los procesos de la organización.
c. Es parte de la toma decisión.
d. Aborda explícitamente la incertidumbre.
e. Es sistemática estructurada y oportuna.
f. Se basa en la mejor información disponible.
g. Está adaptada.
h. Toma en consideración a los factores humanos y culturales.
i. Es trasparente e inclusiva.
j. Es dinámica, reiterativa, y receptiva al cambio.
k. Facilita la mejora y realza a la organización.
Principios (numeral 3)
Comando y compromiso (4.2)
Diseño del marco de referencia para
la gestión del riesgo(4.3)
Implementación de la gestión del
riesgo(4.4)
Mejora continua del marco de
referencia(4.6)
Seguimiento y revisión del marco de referencia (4.5)
Marco de referencia (numeral 4)
Proceso (numeral 5)
Identificación del riesgo ( 5.4.2)
Co
mu
nic
aci
ón
y c
on
sulta
(5
.2)
Análisis del riesgo (5.4.3)
Evaluación del riesgo (5.4.4)
Tratamiento del riesgo (5.5)
Mo
nito
reo
y r
evi
sió
n (
5.6
)
Establecimiento del contexto ( 5.3 )
Valoración del Riesgo (5.4)
PROCESO GENERAL PARA LA GESTIÓN DEL RIESGO
31© SGS SA 2012 ALL RIGHTS RESERVED
MARCO DE TRABAJO DE LA GESTION DE RIESGOS
4.2 Mandato y compromiso - Definir y aprobar la política de gestión de riesgos.- Cultura de la organización y política de gestión alineadas.- Indicadores de desempeño de la gestión de riesgos, coherente con los
de la organización.- Objetivos de la gestión de riesgos, coherente con los objetivos de la
organización.- Cumplimiento legal y reglamentario.- Rendir cuentas y responsabilidades en los diferentes niveles.- Asignar recursos necesarios.- Comunicar los beneficios de la gestión de riesgos.- Marco de trabajo sea el adecuado.
32© SGS SA 2012 ALL RIGHTS RESERVED
4.3 Diseño del marco de trabajo de la gestión de riesgos
4.3.1 Comprensión de la organización y su contexto
(Antes de iniciar el diseño e implementación) Evaluar y entender el contexto interno y externo de la organización.
El entorno externo puede incluir:
− El entorno cultural, social, político, legal, reglamentario, financiero, tecnológico, económico, natural y competitivo, a nivel internacional, nacional, regional o local;
− Los factores y las tendencias que tengan impacto sobre los objetivos de la organización; y
− Las relaciones con las partes interesadas externas, sus percepciones y sus valores.
33© SGS SA 2012 ALL RIGHTS RESERVED
El contexto interno puede incluir:
− El gobierno, la estructura de la organización, las funciones y la obligación de rendir cuentas;
− Las políticas, los objetivos y las estrategias que se establecen para conseguirlo;
− Las capacidades: recursos y conocimientos (Ej. capital, tiempo, personas, tecnología, procesos)
− Los sistemas de información, los flujos de información y los procesos de toma de decisiones;
− Las relaciones con las partes interesadas internas; La cultura de la organización;
− Las normas, las directrices y los modelos adoptados por la organización;
− La forma y amplitud de las relaciones contractuales.
34© SGS SA 2012 ALL RIGHTS RESERVED
4.3.2 Establecimiento de la política de la gestión de riesgos.
Debería indicar los objetivos y compromisos de la organización en materia de la gestión del riesgo.
- Razones en materia de gestión del riesgo.
- Relación entre los objetivos y políticas de la organización y las de gestión del riesgo.
- Obligación de rendir cuentas y responsabilidades en gestión de riesgos.
- Manera en que se tratan los intereses que entran en conflicto.
- Compromiso de tener los recursos disponibles.
- Manera que mide e informa sobre el desempeño de la gestión de riesgos.
- Revisar y mejorar la política y el marco de trabajo.
35© SGS SA 2012 ALL RIGHTS RESERVED
4.3.3 Obligación de rendir cuentas.
Establecer la obligación de rendir cuentas, la autoridad y competencias para gestionar los riesgos, incluyendo implementación, mantenimiento e idoneidad de los controles.
• Identificación de dueños de riesgos.
• Identificación quienes tienen obligación de rendir cuentas del desempeño, implementación y mantenimiento.
• Identificación de responsabilidades de todas las personas de la organización con respecto a la gestión de riesgos.
• Establecimiento procesos de medición de desempeño y de información externa y/o interna
• Establecimiento de niveles de reconocimiento adecuados.
36© SGS SA 2012 ALL RIGHTS RESERVED
4.3.4 Integración en los procesos de la organización
El proceso de gestión de riesgos debería formar parte de los proceso de la organización, y no ser independiente de ellos.
La gestión de riesgos debería estar integrada en el desarrollo de la política, en la planificación y la revisión de la actividad y la estrategia, y en los proceso de la gestión de cambios.
El plan de gestión de riesgos se puede integrar en otros planes de la organización como un plan estratégico.
37© SGS SA 2012 ALL RIGHTS RESERVED
4.3.5 Recursos
Tener en consideración:
Personas, habilidades, experiencia y competencias.
Recursos
Procesos, métodos y herramientas.
Procesos y procedimientos documentados.
Sistema de gestión de la información.
Programa de formación.
38© SGS SA 2012 ALL RIGHTS RESERVED
4.3.6 Establecimiento de los mecanismos internos de comunicación y de información. Comunicación de los componentes claves del marco de trabajo y sus
modificaciones.
Informes internos sobre el marco de trabajo, su eficacia y resultados.
Disponibilidad de la información obtenida en los niveles y tiempos apropiados.
Existencia de procesos para realizar consultas a la partes interesadas internas.
39© SGS SA 2012 ALL RIGHTS RESERVED
4.3.7 Establecimiento de los mecanismos externos de comunicación y de información. Participación de las partes interesadas externas, asegurándose un
intercambio eficaz de la información.
Establecimiento de informes externos conforme con los requisitos legales y reglamentarios y de gobiernos de la organización.
Disponibilidad de retroalimentación y de informes de comunicación y consulta.
Comunicaciones para generar confianza en la organización.
Comunicación con las partes interesadas en caso de crisis o contingencias.
40© SGS SA 2012 ALL RIGHTS RESERVED
4.4 Implementación de la Gestión de Riesgos.
4.4.1. Implementación del marco de trabajo de la gestión de riesgos.
Definir calendario y estrategia para la implementación.
Aplicar política y el proceso de gestión de riesgos en la organización.
Cumplir requisitos legales y reglamentarios.
Garantizar que el desarrollo y el establecimiento de los objetivos, se alinean con los resultados de los procesos de gestión del riesgo.
Organizar sesiones de información y formación.
Comunicar y consultar a las partes interesadas.
41© SGS SA 2012 ALL RIGHTS RESERVED
4.4.2 Implementación del procesos de gestión del riesgo.
Se debe implementar de manera que asegure el proceso de gestión del riesgo.
Se aplica mediante un plan de gestión de riesgos (especifica el enfoque, los componentes de gestión (procedimientos, prácticas, responsabilidades, secuencia de actividades) y los recursos en todos los niveles y funciones pertinentes de la organización, como parte de sus prácticas y procesos.
42© SGS SA 2012 ALL RIGHTS RESERVED
4.5 Seguimiento y revisión del marco de trabajo. Medir el desempeño de la gestión de riesgos respecto a los indicadores.
Medir periódicamente el progreso y desviaciones respecto al Plan de gestión de riesgos.
Revisar periódicamente si el marco de trabajo, la política y el plan de gestión de riesgos son adecuados, a la vista del contexto interno y externo de la organización.
Revisar la eficacia del marco de trabajo de la gestión del riesgo.
43© SGS SA 2012 ALL RIGHTS RESERVED
4.6 Mejora continua del marco de trabajo.
Se debería conducir a mejoras en la gestión de riesgos por parte de la organización, así como mejoras de su cultura de gestión del riesgo.
44© SGS SA 2012 ALL RIGHTS RESERVED
IMPLEMENTACIÓN DE LA GESTIÓN DEL RIESGO
45© SGS SA 2012 ALL RIGHTS RESERVED
ELEMENTOS DE CONTROL PARA LA IMPLEMENTACION
1. CONTEXTO ESTRATEGICO
2. IDENTIFICACION DEL RIESGO
3. ANALISIS DE RIESGOS
4. VALORACION DE RIESGOS
5. POLITICAS DE ADMINISTRACION DE RIESGOS
46© SGS SA 2012 ALL RIGHTS RESERVED
Establecimiento del contexto (5.3)
Identificación del riesgo (5.4.2)
Análisis del riego (5.4.3)
Evaluación del riesgo (5.4.4)
Tratamiento del riesgo (5.5)CO
MU
NIC
AC
IÓN
Y C
ON
SU
LTA
(5.2
)
MO
NIT
OR
EO
Y R
EV
ISIO
N (
5.6
)
Valoración del riesgo (5.4)
ELEMENTOS DEL PROCESO DE GESTIÓN DEL RIESGO
47© SGS SA 2012 ALL RIGHTS RESERVED
(5.2) COMUNICACIÓN Y CONSULTA
Procesos continuos y reiterativos que una organización lleva a cabo para suministrar, compartir u obtener información e involucrarse en un diálogo con las partes involucradas con respecto a la gestión del riesgo.
Que permite lograr:
- Evidenciar la gestión del riesgo.
- Agregar valor a la organización
- Integración de perspectivas
- Mejora de la determinación del riesgo
- Tratamiento efectivo de riesgo
48© SGS SA 2012 ALL RIGHTS RESERVED
1. CONTEXTO ESTRATÉGICO (5.3)
Definición de los parámetros internos y externos que se han de tomar en consideración cuando se gestiona el riesgo, y establecimiento del alcance y los criterios del riesgo para la política para la gestión del riesgo.
Ambiente externo en el cual la organización busca alcanzar sus objetivos. Son situaciones del entorno o externas pueden ser de carácter:
- Social- Cultural- Económico - Tecnológico - Político y legal - Internacional, nacional o regional según sea el caso de análisis.
Ambiente interno en el cual la organización busca alcanzar sus objetivos. Las situaciones internas están relacionadas con:
- La estructura- Cultura organizacional- El modelo de operación- El cumplimiento de los planes y programas- Los sistemas de información- Los procesos y procedimientos - Los recursos humanos - Y los económicos con los quecuenta una entidad.
49© SGS SA 2012 ALL RIGHTS RESERVED
FORTALEZAS / DEBILIDADES
OPORTUNIDADES / AMENAZAS
Percepción y ObjetivosPartes interesadas
Misión / VisiónObjetivos estratégicosPolíticas de comunicaciónPartes interesadas
ORGANIZACION
Contexto: Aspectos financieros, operacionales, competitivos, percepción / imagen ante el publico, responsabilidad social, del cliente, culturales, legales
ASPECTOS DEL CONTEXTO ESTRATÉGICO
50© SGS SA 2012 ALL RIGHTS RESERVED
HERRAMIENTAS A UTILIZAR EN ESTA FASE
• Entrevistas Estructuradas con los Responsables de Procesos
• Evaluaciones Individuales del Proceso
• Lluvia de Ideas
• Personal ajeno a la institución
• Diagramas de Flujo
• Análisis de Escenarios
• Registros Históricos
• Opiniones de Expertos
SE DEBE PRIORIZAR LOS RIESGOS PARA SU ANALISIS Y MANEJO
51© SGS SA 2012 ALL RIGHTS RESERVED
2. IDENTIFICACIÓN DEL RIESGO (5.4.2)
La identificación del riesgo se realiza determinando las fuentes, causas y consecuencias potenciales, con base en los factores internos y/o externos analizados para la organización, y que pueden afectar el logro de los objetivos.
Es importante centrarse en los riesgos más significativos para la organización, relacionados con los objetivos de los procesos y los organizacionales generales.
VALORACIÓN DEL RIESGO
52© SGS SA 2012 ALL RIGHTS RESERVED
IDENTIFICACIÓN DEL RIESGO
DEFINICIONES CLAVE
DESCRIPCIÓN DEL RIESGOComponentes básicos del riesgo: fuentes, evento, causas y consecuencias.
FUENTE DE RIESGOElemento que solo o en combinación tiene el potencial de originar un riesgo.
EVENTOPresencia o cambio de un conjunto particular de circunstancias.
PELIGRO Fuente de daño potencial.
PROPIETARIO DEL RIESGO Persona o entidad con la responsabilidad de rendir cuentas y la autoridad para gestionar un riesgo.
53© SGS SA 2012 ALL RIGHTS RESERVED
TIPIFICACIÓN BÁSICA DE LAS CLASES DE RIESGO
RIESGO ESTRATÉGICOSe asocia con la forma en que se administra la organización. El manejo del riesgo estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la organización por parte de la alta gerencia.
RIESGOS DE IMAGEN - REPUTACIONALESEstán relacionados con la percepción y la confianza por parte de los clientes, la comunidad y diferentes grupos sociales hacia la organización.
RIESGOS OPERATIVOSComprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de información organizacional, de la definición de los procesos, de la estructura de la organización, de la articulación entre dependencias y procesos.
54© SGS SA 2012 ALL RIGHTS RESERVED
RIESGOS FINANCIEROSSe relacionan con el manejo de los recursos de la organización que incluyen: la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes.
RIESGOS DE CUMPLIMIENTOSe asocian con la capacidad de la organización para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la sociedad y comunidad.
RIESGOS DE TECNOLOGÍAEstán relacionados con la capacidad tecnológica de la organización para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión.
TIPIFICACIÓN BÁSICA DE LAS CLASES DE RIESGO
55© SGS SA 2012 ALL RIGHTS RESERVED
• Aquello que tiene el potencial intrínseco para hacer daño o generar oportunidadesFuente
• Aquello que ocurre, de manera que la fuente de riesgo genera un impactoEvento / Incidente
• Un resultado o impacto sobre un grupo de partes involucradas y recursosConsecuencia
• El qué y por qué de la presencia del peligro o evento que ocurreCausa
• Controles establecidos y su nivel de eficaciaControles
• Cuando puede ocurrir el riesgo y dónde puede ocurrirCuando / Donde
COMPONENTES DE LA IDENTIFICACIÓN DEL RIESGO
56© SGS SA 2012 ALL RIGHTS RESERVED
MODELO BÁSICO DE IDENTIFICACIÓN DEL RIESGO
OBJETIVO DEL CAUSA RIESGO DESCRIPCIÓN CONSECUENCIAS
PROCESO POTENCIALES
PROCESO:
Preguntas claves para la identificación del riesgo.¿Qué puede suceder?
¿Cómo puede suceder?Es importante observar que el proceso de identificacióndel riesgo es posible realizarlo a partir de varias causas
que pueden estar relacionadas.
57© SGS SA 2012 ALL RIGHTS RESERVED
3. ANÁLISIS DEL RIESGO
DEFINICIONES CLAVE
ANÁLISIS DEL RIESGOProceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo.
EXPOSICIÓNExtensión hasta la cual una organización, una parte involucrada o ambas están sujetas a un evento.
CONSECUENCIA Resultado de un evento que afecta a los objetivos.
PROBABILIDADMedida de la oportunidad de la ocurrencia.
NIVEL DE RIESGOMagnitud de un riesgo o de una combinación de riesgos, expresada en términos de la combinación de las consecuencias y su posibilidad
58© SGS SA 2012 ALL RIGHTS RESERVED
3. ANÁLISIS DEL RIESGO
Busca establecer:
Probabilidad Frecuencia Impacto de sus
De ocurrencia Factibilidad consecuencias
El análisis del riesgo busca establecer la probabilidad de ocurrencia del mismo y sus consecuencias, éste último aspecto puede orientar la clasificación del riesgo, con el fin de obtener información para establecer el nivel de riesgo y las acciones que se van a implementar.
Pasos claves en el análisis de riesgos
- Determinar probabilidad- Determinar consecuencias- Clasificación del Riesgo- Estimar el nivel del riesgo
59© SGS SA 2012 ALL RIGHTS RESERVED
TABLA DE PROBABILIDAD
NIVEL DESCRIPTOR DESCRIPCIÓN FRECUENCIA
1 RaroEl evento puede ocurrir solo en circunstancias excepcionales.
No se ha presentado en los últimos 5 años.
2 Improbable El evento puede ocurrir en algún momento.Al menos de 1 vez en los últimos 5 años.
3 Posible El evento podría ocurrir en algún momento.Al menos de 1 vez en los últimos 2 años.
4 ProbableEl evento probablemente ocurrirá en la mayoría de las circunstancias.
Al menos de 1 vez en el último año.
5 Casi SeguroSe espera que el evento ocurra en la mayoría de las circunstancias. Más de una vez al año.
TABLA MODELO PARA EL ANÁLISIS DEL RIESGO
60© SGS SA 2012 ALL RIGHTS RESERVED
Nivel Probabilidad Descripción
A Casi ciertoSe espera que ocurra en la mayoría de las circunstancias.
B ProbablePuede probablemente ocurrir en la mayoría de las circunstancias.
C Posible Es posible que ocurra algunas veces.
D Improbable Podría ocurrir algunas veces.
E RaroPuede ocurrir solamente en circunstancias excepcionales.
Nota.- Todos los criterios de evaluación deben estar claramente definidos para darle a la evaluación del riesgo las características de repetibilidad y reproducibilidad.
CRITERIOS DE EVALUACION: PROBABILIDAD
61© SGS SA 2012 ALL RIGHTS RESERVED
PROBABILIDAD DESCRIPCION FRECUENCIA DE APARICION
Casi seguro El evento ocurrirá anualmente Una vez al año o con más frecuencia
Muy posible El evento ha ocurrido varias veces o más durante su carrera
Una vez cada tres años
Posible El evento podría ocurrir una vez durante su carrera
Una vez cada diez años
Improbable El evento ocurre en algún lugar, de vez en cuando
Una vez cada treinta años
Raro Ha oído de que algo similar ocurre en otro lado
Una vez cada 100 años
Muy raro Nunca ha oído que esto ocurra Una vez cada 1000 años
Casi increíble Teóricamente posible, pero no se espera que ocurra
Una vez cada 10000 años
CRITERIOS DE EVALUACIÓN: PROBABILIDAD
62© SGS SA 2012 ALL RIGHTS RESERVED
TABLA DE IMPACTO
NIVEL DESCRIPTOR DESCRIPCIÓN
1 InsignificanteSi el hecho llegara a presentarse, tendría consecuencias o efectos mínimos sobre la entidad.
2 Menor Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la entidad.
3 ModeradoSi el hecho llegara a presentarse, tendría medianas consecuencias o efectos sobre la entidad.
4 MayorSi el hecho llegara a presentarse, tendría altas consecuencias o efectos sobre la entidad.
5 CatastróficoSi el hecho llegara a presentarse, tendría desastrosas consecuencias o efectos sobre la entidad.
TABLA MODELO PARA EL ANÁLISIS DEL RIESGO
63© SGS SA 2012 ALL RIGHTS RESERVED
DESCRIPTIVO DEFINICION
Severa La mayoría de los objetivos no se pueden lograr
Mayor Algunos objetivos importantes no se pueden lograr
Moderada Algunos objetivos afectados
Menor Efectos menores que se remedian fácilmente
Insignificante Impacto insignificante sobre los objetivos
CRITERIOS DE EVALUACIÓN: CONSECUENCIA
64© SGS SA 2012 ALL RIGHTS RESERVED
Nivel Consecuencia Descripción
1 Insignificante Nivel de daño y pérdidas financieras pequeñas.
2 MenorPérdida financiera media; tratamiento de primeros auxilios en el sitio; efectos ambientales detenidos en el sitio.
3 ModeradaPérdida financiera alta; requiere tratamiento médico; descargas se detienen en el sitio con ayuda externa.
4 MayorPérdidas financieras considerables; lesiones grandes; pérdidas de capacidad de producción; descargas fuera del sitio sin efectos perjudiciales.
5 CatastróficaPérdida financiera enorme; muerte; liberación de tóxicos fuera del sitio con efecto perjudicial.
Nota.- Los criterios descritos, ya sean de probabilidad o severidad, pueden determinarse para uno o más sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001, etc.); es decir puede o no encontrarse de manera integrada.
CRITERIOS DE EVALUACIÓN: SEVERIDAD
65© SGS SA 2012 ALL RIGHTS RESERVED
NIVEL DE SEVERIDAD
REDUCCION DE
UTILIDADES
SEGURIDAD Y SALUD
MEDIO AMBIENTE HERENCIA SOCIAL Y CULTURAL
COMUNIDAD, GOBIERNO, REPUTACION, MEDIOS
LEGAL
Muy alto> 500 millones
Muchas muertes o efectos significativos irreversibles >50 personas Daño ambiental
muy grave y a largo plazo, de las funciones del ecosistema
Enjuiciamientos y multas significativas
Alto > 400 millones
Una sola muerte y/o discapacidad severa irreversible (>30%) a una ó más personas
Problemas sociales en curso. Daño significativo a elementos de importancia cultural
Protestas graves al público o de los medios (cobertura internacional)
Violación mayor de los reglamentos. Litigios mayores
Medio> 300 millones
Discapacidad o daño irreversible moderado (<30%) a una ó más personas
Efectos ambientales graves a término medio
Atención significativa adversa a los medios, público, ONG
Violación grave de los reglamentos, con investigación o informe a la autoridad, con enjuiciamiento y/o posibles hallazgos moderados
Bajo> 200 millones
Discapacidad objetiva pero reversible que requiere hospitalización
Efectos moderados a corto plazo, que no afectan las funciones del ecosistema
Problemas sociales en curso. Daño permanente a elementos de importancia cultural
Atención de los medios, preocupación intensificada por la comunidad local. Críticas de las ONG
Muy bajo > 100 millones
No se requiere tratamiento médico
Efectos menores sobre el medio ambiente
Impactos ambientales sociales menores a mediano plazo, sobre la población local. En su mayoría es subsanable
Atención médica o quejas adversas menores del público local
Aspectos legales, no conformidades y violaciones menores
CRITERIOS DE EVALUACIÓN: SEVERIDAD (Integrados)
66© SGS SA 2012 ALL RIGHTS RESERVED
CALIFICACIÓN DEL RIESGO
Se logra a través de la estimación de la probabilidad de su ocurrencia y el impacto que puede causar la materialización del riesgo.
Para determinar el impacto se pueden utilizar los siguientes conceptos:
- Impacto de confidencialidad de la información
- Impacto de credibilidad o imagen
- Impacto legal
- Impacto operativo
67© SGS SA 2012 ALL RIGHTS RESERVED
EVALUACIÓN DEL RIESGO
Permite comparar los resultados de la calificación del riesgo, con los criterios definidos para establecer el grado de exposición de la organización al mismo; de esta forma es posible distinguir entre los riesgos:
- Aceptables
- Tolerables
- Moderados
- Importantes o inaceptables
- Fijar las prioridades de las acciones requeridas para su tratamiento.
68© SGS SA 2012 ALL RIGHTS RESERVED
MATRIZ MODELO DE CALIFICACIÓN, EVALUACIÓN Y RESPUESTA A LOS RIESGOS
PROBABILIDAD IMPACTO
Insignificante (1) Menor (2) Moderado (3) Mayor (4) Catastrofico (5)
Raro (1) B B M A A
Improbable (2) B B M A E
Posible (3) B M A E E
Probable (4) M A A E E
Casi Seguro (5) A A E E E
B: Zona de riesgo Baja: Asumir el riesgoM: Zona de riesgo Moderada: Asumir el riesgo, Reducir el riesgoA: Zona de riesgo Alta: Reducir el riesgo, Evitar, Compartir o TransferirE: Zona de riesgo Extrema: Reducir el riesgo, Evitar, Compartir o Transferir
69© SGS SA 2012 ALL RIGHTS RESERVED
4. VALORACIÓN DEL RIESGO
La valoración del riesgo es el producto de confrontar los resultados de la evaluación del riesgo con los controles identificados, esto se hace con el objetivo de establecer prioridades para su manejo y para la fijación de políticas.
Para adelantar esta etapa se hace necesario tener claridad sobre los puntos de control existentes en los diferentes procesos, los cuales permiten obtener información para efectos de tomar decisiones.
Acciones fundamentales para valorar el riesgo.
- Identificar controles existentes
- Verificar efectividad de los controles
- Establecer prioridades de tratamiento
70© SGS SA 2012 ALL RIGHTS RESERVED
4. VALORACIÓN DEL RIESGO
DEFINICIONES CLAVEEVALUACIÓN DEL RIESGOProceso de comparación de los resultados del análisis del riesgo con los criterios del riesgo, para determinar si el riesgo, su magnitud o ambos son aceptables o tolerables.
ACTITUD HACIA EL RIESGOEnfoque de la organización para evaluar y eventualmente buscar, retener, tomar o alejarse del riesgo.
TOLERANCIA AL RIESGOPreparación de la organización o de la parte involucrada para soportar el riesgo después del tratamiento del riesgo con el fin de lograr sus objetivos.
AGRUPACIÓN DE RIESGOCombinación de un número de riesgos en un solo riesgo para desarrollar una comprensión más completa del riesgo global.
ACEPTACIÓN DEL RIESGODecisión informada de tomar un riesgo particular.
71© SGS SA 2012 ALL RIGHTS RESERVED
VALORACIÓN DEL RIESGO - CONTROLES
Para realizar la valoración de los controles existentes es necesario recordar que éstos se clasifican en:
Preventivos:
Aquellos que actúan para eliminar las causas del riesgo para prevenir su ocurrencia o materialización.
Correctivos:
Aquellos que permiten el restablecimiento de la actividad, después de ser detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia.
72© SGS SA 2012 ALL RIGHTS RESERVED
EJEMPLOS DE TIPOS DE CONTROL
Políticas claras aplicadas Seguimiento al plan estratégico y operativo
Controles Indicadores de gestiónde Tableros de control
Gestión Seguimiento a cronograma Evaluación del desempeño Informes de gestión Monitoreo de riesgos Conciliaciones Consecutivos Verificación de firmas
Controles Listas de chequeoOperativos Registro controlado
Segregación de funciones Niveles de autorización Custodia apropiada Personal capacitado Aseguramiento y calidad
Controles Normas claras y aplicadasLegales Control de términos
73© SGS SA 2012 ALL RIGHTS RESERVED
5. POLITICAS DE ADMINISTRACIÓN Y GESTIÓN DEL RIESGO
TRATAMIENTO DEL RIESGO
74© SGS SA 2012 ALL RIGHTS RESERVED
POLÍTICAS DE ADMINISTRACIÓN DEL RIESGO
Las políticas identifican las opciones para tratar y manejar los riesgos basadas en la valoración de los mismos, permiten tomar decisiones adecuadas y fijar los lineamientos, que van a transmitir la posición de la dirección y establecen las guías de acción necesarias a todos los colaboradores de la organización.
Debe contener:
- Los objetivos que se esperan lograr.
- Las estrategias para establecer cómo se va a desarrollar las políticas, a largo, mediano y corto plazo.
- Los riesgos que se van a controlar.
- Las acciones a desarrollar contemplando el tiempo, los recursos, los responsables y el talento humano requerido.
- El seguimiento y evaluación a la implementación y efectividad de las políticas.
75© SGS SA 2012 ALL RIGHTS RESERVED
DEFINICIONES CLAVE
TRATAMIENTO DEL RIESGO Proceso para modificar el riesgo.
Nota 1: El tratamiento del riesgo puede implicar: evitar el riesgo decidiendo no iniciar o continuar la actividad que lo originó tomar o incrementar el riesgo con el fin de perseguir una oportunidad retirar la fuente del riesgo cambiar la probabilidad cambiar las consecuencias compartir el riesgo con una o varias de las partes (incluyendo los contratos y la
financiación del riesgo) retener el riesgo a través de la decisión informada.
Nota 2: En ocasiones se hace referencia a los tratamientos del riesgo relacionados con consecuencias negativas como "mitigación del riesgo", "eliminación del riesgo", "prevención del riesgo" y "reducción del riesgo".
Nota 3: El tratamiento del riesgo puede crear riesgos nuevos o modificar los existentes
76© SGS SA 2012 ALL RIGHTS RESERVED
5. POLITICAS DE ADMINISTRACION
Y GESTIÓN DEL RIESGO
TRATAMIENTO DEL RIESGO
ESTRUCTURACION DE CRITERIOS PARA TOMA DE DECISIONES
Tratamiento de Riesgos Efectos al interior de la
Organización
77© SGS SA 2012 ALL RIGHTS RESERVED
TIPOLOGIA BÁSICA DE POLITICAS
DE ADMINISTRACION Y GESTIÓN DEL RIESGO
Se pueden manejar independientes, interrelacionadas o en conjunto
EVITAR EL RIESGO
Prevenir la materialización del Riesgo mediante
Mejoramiento Rediseño Eliminación Adecuados Controles
78© SGS SA 2012 ALL RIGHTS RESERVED
REDUCIR EL RIESGO
Disminuir la Probabilidad y el Impacto
Medidas de Prevención Medidas de Protección
Optimización de Procedimientos
Implementación y/o cambio de los controles existentes.
TIPOLOGIA BÁSICA DE POLITICAS
DE ADMINISTRACION Y GESTIÓN DEL RIESGO
79© SGS SA 2012 ALL RIGHTS RESERVED
COMPARTIR O TRANSFERIR EL RIESGO
Reducir el efecto a partir de la transferencia de las perdidas a otra entidad u organización.
ASUMIR EL RIESGO
El riesgo ha sido manejado (reducido o transferido) pero han quedado vestigios del riesgo, se establecen planes de contingencia para su manejo y seguimiento.
TIPOLOGIA BÁSICA DE POLITICAS
DE ADMINISTRACION Y GESTIÓN DEL RIESGO
80© SGS SA 2012 ALL RIGHTS RESERVED
Opciones de tratamiento
Evitar el riesgo al
decidir no iniciar o
continuar la actividad que
lo originóTomar o
incrementar el riesgo para
perseguir una oportunidad
Retirar la fuente
de riesgo
Cambiar la
probabilidad.
Cambiar las
consecuencias
Compartir el riesgo con una o
varias de las partes,
(incluyendo los contratos y la
financiación del riesgo); y
Retener el riesgo
mediante una
decisión informada.
OTRAS OPCIONES DE TRATAMIENTO DEL RIESGO
81© SGS SA 2012 ALL RIGHTS RESERVED
ASPECTOS A EVALUAR EN LA ELECCIÓN DE LAS POLÍTICAS
Viabilidad Jurídica
Se debe tener en cuenta Viabilidad Técnica
Viabilidad Organizacional
Viabilidad Financiera o Económica
Análisis de Costo - Beneficio
82© SGS SA 2012 ALL RIGHTS RESERVED
MONITOREO Y REVISIÓN
El monitoreo es esencial para asegurar que las acciones se están llevando a cabo y evaluar la eficiencia en su implementación adelantando revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicación de las acciones preventivas.
DEFINICIONES CLAVE
REPORTE DEL RIESGO Forma de comunicación destinada a informar a las partes involucradas internas y externas, proporcionando información relacionada con el estado del riesgo y su gestión.
REGISTRO DEL RIESGORegistro de la información acerca de los riesgos identificados.
PERFIL DEL RIESGODescripción de cualquier conjunto de riesgos.
83© SGS SA 2012 ALL RIGHTS RESERVED
MAPA DE RIESGOS POR PROCESO
Facilita la elaboración del mapa institucional, que se alimenta de éstos, teniendo en cuenta que solamente de trasladan al institucional aquellos riesgos que permanecieron en las zonas más altas de riesgo y que afecten el cumplimiento de la misión institucional y objetivos de la entidad.
84© SGS SA 2012 ALL RIGHTS RESERVED
MODELO MAPA DE RIESGOS
MAPA DE RIESGOS
PROCESO:
OBJETIVO DEL PROCESO:
CALIFICACIÓN EVALUACIÓN CONTROLES NUEVA CALIFICACION NUEVA POLÍTICAS
RIESGO PROBABILIDAD IMPACTO RIESGO PROBABILIDAD IMPACTO CALIFICACIÓN DE MANEJO ACCIONES RESPONSABLE INDICADOR
85© SGS SA 2012 ALL RIGHTS RESERVED
GRACIAS
top related