gestiÓn del riesgo iso 31000:2009

12P01-V2

1

GESTIÓN DEL RIESGO

ISO 31000:2009

12P01-V2

2

12P01-V2

3

Procesos

operacionales

PLANEACIÓN ESTRATEGICA

Objetivos

sociales

Objetivos

cliente

Objetivos

procesos

Objetivos

innovación

Objetivos

financieros

Procesos

soporte

Procesos

dirección

Gestión

Riesgo

12P01-V2

4 4

Gestión Prospectiva

•Proyección y ordenamiento a futuro •Prevención

Gestión Correctiva

• Acciones de reducción de vulnerabilidades y amenazas

• Mitigación

Gestión Reactiva

• Planes de Contingencia

• Preparación

• Planes de continuidad del negocio

12P01-V2

5

NTC ISO 31000:2011

5

12P01-V2

6

1. Estructura General de la ISO 31000

12P01-V2

7

Introducción

1. Objeto

2. Términos y definiciones

3. Principios

4. Marco de Referencia

5. Proceso

Anexo A: Atributos de la Gestión Mejorada del

Riesgo

7

12P01-V2

8

2. Principios de la gestión del riesgo

12P01-V2

9

Principios de la gestión del riesgo

• Crea y protege el valor.

• Es una parte integral de todos los procesos de la organización.

• Es parte de la toma de decisiones.

• Aborda explícitamente la incertidumbre.

• Sistemática, estructurada y oportuna.

• Se basa en la mejor información disponible.

• Está adaptada a la organización.

• Toma en consideración los factores humanos y culturales.

• Transparente e inclusiva.

• Dinámica, reiterativa y receptiva al cambio.

• Facilita la mejora continua de la organización.

9

12P01-V2

10

3. Términos y definiciones

12P01-V2

11

Términos y definiciones

2.1. Riesgo: efecto de la incertidumbre sobre los objetivos

Nota 1: Un efecto es una desviación de aquello que se espera, sea positivo, negativo o ambos.

Nota 2: Los objetivos pueden tener aspectos diferentes (por ejemplo financieros, salud y seguridad, y metas ambientales) y se pueden aplicar en niveles diferentes (estratégico, en toda la organización, en proyectos, productos y procesos).

Nota 3: A menudo el riesgo está caracterizado por la referencia a los eventos potenciales y las consecuencias o a una combinación de ellos.

Nota 4: Con frecuencia, el riesgo se expresa en términos de una combinación de las consecuencias de un evento (incluyendo los cambios en las circunstancias) y en la posibilidad de que suceda.

Nota 5: Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o el conocimiento de un evento, su consecuencia o posibilidad

12P01-V2

13 13

12P01-V2

14


2.2 Gestión del riesgo. Actividades coordinadas para dirigir y

controlar una organización con respecto al riesgo

2.8 Proceso para la gestión del riesgo. Aplicación sistemática de

las políticas, los procedimientos y las prácticas de gestión a las

actividades de comunicación, consulta, establecimiento del

contexto, y de identificación, análisis, evaluación, tratamiento,

monitoreo y revisión del riesgo.

12P01-V2

15 15

a) Crear valor

b) Es parte integral de los

procesos de la organización

c) Es parte de la toma de

decisiones

d) Aborda explícitamnete la

incertidumbre

e) Es sistemática, estructurada

y oportuna

f) Se basa en la mejor

información disponible

g) Está adaptado

h) Toma en consideración a los

factores humanos y culturales

i) Es tranasparente e in clusiva

j) Es dinámica, reiterativa y

receptiva al cambio

k) Facilita la mejora y realza

a la organización

Marco de referencia

(numeral 4)

Comando y

compromiso

(4.2)

Diseño del marco

de referencia para

la gestión del riesgo

(4.3)

Mejora continua

del marco

de referencia

(4.6)

Implementación

de la gestión

del riesgo

(4.4)

Diseño del marco

de referencia para

la gestión del riesgo

(4.3)

Principios

(numeral 3)

Proceso

(numeral 5)

Establecimiento del contexto (5.3)

Valoración del riesgo (5.4)

Identificación del riesgo (5.4.2)

Análisis del riesgo (5.4.3)

Evaluación del riesgo (5.4.4)

Tratamiento del riesgo (5.5)

Co

mu

nic

ació

n y

consulta (

5.2

)

Mo

nitore

o y

revis

ión (

5.6

)

12P01-V2

16


2.3 Marco de referencia para la gestión del riesgo.

Conjunto de componentes que brindan las bases y las

disposiciones de la organización para diseñar,

implementar, monitorear, revisar y mejorar

continuamente la gestión del riesgo a través de toda la

organización.

• Nota 1: Las bases incluyen la política, los objetivos, el comando y el

compromiso para gestionar el riesgo.

• Nota 2: Las disposiciones de la organización incluyen planes,

relaciones, rendición de cuentas (Accountability), recursos, procesos y

actividades.

• Nota 3: El marco de referencia para la gestión del riesgo está incluido

en las políticas y prácticas estratégicas y operacionales globales de la

organización.

16

12P01-V2

17

Términos y definiciones (ISO 31000)

• Actitud hacia el Riesgo

• Propietario del Riesgo

• Parte interesada

• Proceso para la gestión

del riesgo

• Plan para la gestión del

riesgo

• Evento

• Consecuencia

• Probabilidad

• Riesgo residual

• Contexto

interno/externo

• Valoración del riesgo

• Identificación del

Riesgo

• Fuente del riesgo

• Análisis del riesgo

• Criterios del riesgo

• Nivel del riesgo

• Evaluación del Riesgo

• Tratamiento del riesgo

17

12P01-V2

18

4. MARCO DE REFERENCIA PARA LA

GESTION DEL RIESGO

12P01-V2

19

Marco de Referencia

19

12P01-V2

20

Establecimiento del contexto

20

FORTALEZAS / DEBILIDADES

OPORTUNIDADES / AMENAZAS

Percepción y

Objetivos

Partes

interesadas

Misión / Visión

Objetivos

estratégicos

Políticas de

comunicación

Partes

interesadas

ORGANIZACIÓN

Contexto: Aspectos financieros, operacionales, competitivos, percepción /

imagen ante el publico, responsabilidad social, del cliente, culturales, legales

12P01-V2

21

1) Análisis del entorno

•Análisis PESTA

•Diamante de Porter.

•Análisis de Industria

2) Análisis Interno

•Recuursos

•Capacidades

3) Matriz DOFA

4) Realizar entrevistas a los grupos de interés Identificación de necesidades.

5) Establecimiento de la estrategia

•Definición de ventajas competitivas.

• Identificación de Factores Claves de éxito.

•Determinación de objetivos y metas.

6) Declaración de la misión y visión

ESTRATEGIA DE NEGOCIOS

12P01-V2

22

3. MATRIZ DOFA

• Internas DEBILIDADES

• Externas OPORTUNIDADES

• Internas FORTALEZAS

• Externas AMENAZAS

12P01-V2

23 23

“La Empresa Social del Estado Hospital XXXXX, coherente con su

política de calidad, con los componentes y elementos que define el

MECI 1000:2005 y con los objetivos del Sistema Obligatorio de

Garantía de la Calidad para la Atención en Salud, busca proteger a

sus usuarios de los potenciales riesgos asociados a la prestación

del servicio, así mismo se compromete a establecer los

mecanismos necesarios para evitar, reducir, compartir y asumir los

riesgos relacionados con el desarrollo de sus procesos y que

pudieran afectar negativamente a las personas, las instalaciones,

los bienes y los equipos; para tal efecto realizará la identificación,

análisis, valoración e intervención de los riesgos inherentes al

quehacer institucional, contribuyendo de esta forma al logro de los

objetivos y a la Misión de la Empresa”.

12P01-V2

24

Proceso de gestión del riesgo

P H

V A

12P01-V2

25

Principales elementos del proceso de

gestión del riesgo C

OM

UN

ICA

CIÓ

N Y

CO

NS

ULTA

MO

NIT

OR

EO

Y R

EV

ISIO

N

Tratar el riesgo EV

AL

UA

CIO

N D

EL

RIE

SG

O

Evaluar los riesgos

Identificar los riesgos

Analizar los riesgos

Establecer el contexto

12P01-V2

27


Comunicación y

consulta

12P01-V2

28


2.12. Comunicación y consulta: Procesos continuos y reiterativos

que una organización lleva a cabo para suministrar, compartir u

obtener información e involucrarse en un diálogo con las partes

involucradas con respecto a la gestión del riesgo

La consulta es :

• un proceso que tiene impacto en la decisión a través de la

influencia más que del poder; y

• una entrada para la toma de decisiones, no para la toma

conjunta de decisiones

12P01-V2

29


Nota 1: La información se puede relacionar con la existencia, la

naturaleza, la forma, la probabilidad (likelihood), el significado, la

evaluación, la aceptabilidad y el tratamiento de la gestión del riesgo.

Nota 2: La consulta es un proceso de doble vía de la comunicación

informada entre una organización y sus partes involucradas, acerca de

algún tema, antes de tomar una decisión o determinar una dirección para

dicho tema

12P01-V2

30

Comunicación y consulta

La comunicación y consulta son importantes en el proceso de

gestión del riesgo por que:

• Hace la gestión explicita y relevante

• Agrega valor a la organización

• Integración de perspectivas

• Desarrollo de la confianza

• Mejora de la determinación del riesgo

• Tratamiento efectivo de riesgo

12P01-V2

31

Comunicación y consulta

Proceso de comunicación

• Identificación de las partes interesadas

• Plan de comunicación y consulta

– Los objetivos de la comunicación

– Los participantes que deben estar incluidos

– Perspectivas de los participantes

– Los métodos de comunicación por usar

– El proceso de evaluación por usar

12P01-V2

32


Establecer el

contexto

12P01-V2

33


2.9. Establecimiento del contexto: Definición de los parámetros

internos y externos que se han de tomar en consideración cuando

se gestiona el riesgo, y establecimiento del alcance y los criterios

del riesgo para la política para la gestión del riesgo

12P01-V2

34

Establecimiento del contexto

Al establecer el contexto, la organización articula sus objetivos,

define los parámetros externos e internos que se van a considerar

al gestionar el riesgo y establece el alcance y los criterios del

riesgo para el resto del proceso. Aunque muchos de estos

parámetros son similares a aquellos que se consideran en el

diseño del marco de referencia para la gestión del riesgo, al

establecer el contexto del proceso para la gestión del riesgo, es

necesario que estos parámetros se consideren en mayor detalle y,

en particular, la manera como se relacionan con el alcance del

proceso para la gestión del riesgo particular.

12P01-V2

35

Entender la Organización y su contexto

35

12P01-V2

36

Establecimiento del contexto C

ON

TE

XT

O

EX

TE

RN

O

El contexto externo puede incluir, entre otros:

• Partes involucradas externas / partes interesadas

• Requisitos legales y reglamentarios

• El ambiente social y cultural, político,

• El ambiente financiero, económico, natural y competitivo

• El contexto internacional, nacional, regional o local;

• Los factores tecnológicos

• Los impulsores clave y las tendencias que tienen

impacto en los objetivos de la organización; y

• Las relaciones con las partes involucradas externas y

sus percepciones y valores

12P01-V2

37

Establecimiento del contexto C

ON

TE

XT

O

INT

ER

NO

El contexto interno que puede incluir, entre otros:

• El gobierno, estructura de la organización, funciones y responsabilidades;

• La cultura de la organización y sus procesos

• Las políticas, objetivos y las estrategias implementadas para lograrlos;

• Los factores productivos

• Las relaciones con las partes involucradas internas y sus percepciones y valores;

• Los sistemas de información, flujos de información y procesos de toma de decisiones (tanto formales como informales);

• Las normas, directrices y modelos adoptados por la organización; y forma y extensión de las relaciones contractuales.

12P01-V2

38


Identificación del

riesgo

38

12P01-V2

39

ESTE ES UN EVENTO DE RIESGO MUY SIMPLE !!

QUE VEMOS ?

CUAL ES LA FUENTE ?

CUAL ES LA PROBABILIDAD?

CUAL ES LA CONSECUENCIA?

39

12P01-V2

40


2.15. Identificación del riesgo:

Proceso para encontrar,

reconocer y describir el riesgo.

.

Nota 1: La identificación del riesgo implica la identificación de las fuentes de riesgo,

los eventos, sus causas y sus consecuencias potenciales.

Nota 2: La identificación del riesgo puede involucrar datos históricos, análisis teóricos,

opiniones informadas y expertas, y las necesidades de las partes involucradas

12P01-V2

41

Identificación del riesgo Recomendaciones!!!!

Es importante identificar los riesgos asociados a la no búsqueda de una oportunidad.

La identificación debería incluir los riesgos independientemente de si su origen está o no bajo control de la organización, aún cuando el origen del riesgo o su causa pueden no ser evidentes.

La identificación del riesgo debería incluir el examen de los efectos colaterales de las consecuencias particulares, incluyendo los efectos en cascada y acumulativos.

También se debería considerar un rango amplio de consecuencias incluso si el origen del riesgo o su causa pueden no ser evidentes. Al igual que la identificación de lo que podría suceder, es necesario considerar las causas y los escenarios posibles que muestran que las consecuencias se podrían presentar

12P01-V2

42

Identificación del riesgo: Componentes

42

• Aquello que tiene el potencial intrínseco para hacer daño o generar oportunidades

Fuente

• Aquello que ocurre, de manera que la fuente de riesgo genera un impacto

Evento / Incidente

• Un resultado o impacto sobre un grupo de partes involucradas y recursos

Consecuencia

• El qué y por qué de la presencia del peligro o evento que ocurre

Causa

• Controles establecidos y su nivel de eficacia Controles

• Cuando puede ocurrir el riesgo y dónde puede ocurrir

Cuando / Donde

12P01-V2

43

Fuente

43

•Infraestructura

•Talento Humano

•Tecnología

•Información

•Marco legal

•Recursos monetarios

12P01-V2

44

• Estratégicos. Atienden la relación de la entidad con su misión

constitucional, los ciudadanos y la comunidad.

• Financieros. Atienden la relación de la entidad con el manejo del

presupuesto asignado.

• De proyectos. Atienden los riesgos relacionados con alcance, cronograma y

costos del proyecto.

• Operacionales. Son los típicos derivados de fallas de tecnología, procesos,

recursos humanos, fraude interno o externo, eventos de la naturaleza.

• De seguridad de la información. Relacionados con activos de información.

• Reputacionales. Derivados de otros riesgos o mediáticos.

• Corrupción: relacionados con el soborno, extorsión, lavado de activos,

• Legales. Derivados de otro riesgos o puros.

44

Fuente

12P01-V2

45 45

12P01-V2

46

Evento / Incidente

46

Eventos que podrían crear, aumentar,

prevenir, degradar, acelerar o retrasar el

logro de los objetivos

12P01-V2

47 47

Consecuencia: Un resultado o

impacto sobre un grupo de partes involucradas

y recursos

12P01-V2

48

OBJETIVOS METAS FUENTE O

FACTOR EVENTOS CAUSA CONSECUENCIA Disminuir el riesgo de accidente o enfermedades profesionales

0 Enfermedades 0 Accidente Talento humano

Tecnología

Medio Ambiente

Método

Capacitación constante en salud ocupacional orientadas a la prevención. Conocimiento de los riegos de cada puestos de trabajo

Maquinaria

Materiales

No se cuenta con los elementos de protección personal requeridos

48

12P01-V2

49


Análisis del riesgo

49

12P01-V2

50


2.21. Análisis del riesgo:

Proceso para

comprender la naturaleza

del riesgo y determinar el

nivel de riesgo.

.

50

Nota 1: El análisis del riesgo proporciona las bases para la evaluación del

riesgo y las decisiones sobre el tratamiento del riesgo

Nota 2: El análisis del riesgo incluye la estimación del riesgo

12P01-V2

51


Suministra una entrada para las

decisiones sobre si es necesario

tratar los riesgos y las estrategias del

tratamiento del riesgo más

adecuadas y eficaces en términos de

costo.

El análisis del riesgo incluye

considerar las fuentes de riesgo, sus

consecuencias positivas y negativas

y la probabilidad de que dichas

consecuencias puedan ocurrir.

51

12P01-V2

52


52

12P01-V2

53


A fin de evitar ser subjetivos, al analizar las consecuencias y la

probabilidad, se recomienda emplear los mejores recursos y

técnicas de información disponibles:

a) registros pasados;

b) experiencia pertinente;

c) práctica y experiencia industrial;

d) literatura publicada pertinente;

e) marketing de ensayo e investigación de mercado;

f) experimentos y prototipos;

g) modelos económicos, de ingeniería y otros;

h) juicios de especialistas y expertos (Modelos).

53

12P01-V2

54

Análisis del riesgo Recomendaciones!!!

• No deje de considerar ningún riesgo significativo ni ninguna mejora viable.

• Tenga en cuenta en forma coordinada factores de la condición de trabajo y

del acto humano.

• Establezca si los equipos y su operación tienen riesgos aceptables o

tolerables. Reduzca los riesgos en orden de importancia y viabilidad.

• Que el estudio sea completo y no se pase nada por alto (causas y efectos).

• Que el estudio sea consistente con el método elegido.

• Disciplina en la identificación y análisis.

• Grupos de 3 a 6 personas: Especialistas adicionales solo cuando se

requieran. Visita detallada a la planta.

• Conocimientos suficientes para formular y contestar las preguntas que se

realicen.

54

12P01-V2

55

Análisis del riesgo: Probabilidad

55

Nivel Probabilidad Descripción

A Casi cierto Se espera que ocurra en la mayoría de las

circunstancias.

B Probable Puede probablemente ocurrir en la mayoría

de las circunstancias.

C Posible Es posible que ocurra algunas veces.

D Improbable Podría ocurrir algunas veces.

E Raro Puede ocurrir solamente en circunstancias

excepcionales.

Nota: los criterios deben darle capacidad de gestión del riesgo a la

organización.

12P01-V2

56

Análisis del riesgo: Consecuencia

56

Nivel Consecuencia Descripción

1 Insignificante Nivel de daño y pérdidas financieras pequeñas.

2 Menor

Pérdida financiera media; tratamiento de primeros

auxilios en el sitio; efectos ambientales detenidos en

el sitio.

3 Moderada Pérdida financiera alta; requiere tratamiento médico;

descargas se detienen en el sitio con ayuda externa.

4 Mayor

Pérdidas financieras considerables; lesiones grandes;

pérdidas de capacidad de producción; descargas

fuera del sitio sin efectos perjudiciales.

5 Catastrófica Pérdida financiera enorme; muerte; liberación de

tóxicos fuera del sitio con efecto perjudicial.

Nota: los criterios deben darle capacidad de gestión del riesgo a la

organización.

12P01-V2

57

Determinación de PROBABILIDAD (DAFP)

57

12P01-V2

58

Determinación de IMPACTO (DAFP)

58

12P01-V2

59 59

NIVEL DE

SEVERIDAD

REDUCCION

DE

UTILIDADES

SEGURIDAD Y

SALUD

MEDIO AMBIENTE HERENCIA SOCIAL

Y CULTURAL

COMUNIDAD,

GOBIERNO,

REPUTACION, MEDIOS

LEGAL

Muy alto

> 500

millones

Muchas

muertes o

efectos

significativos

irreversibles

>50 personas

Daño ambiental

muy grave y a

largo plazo, de

las funciones del

ecosistema

Enjuiciamientos y

multas

significativas

Alto

> 400

millones

Una sola

muerte y/o

discapacidad

severa

irreversible

(>30%) a una

ó más

personas

Problemas

sociales en curso.

Daño significativo

a elementos de

importancia

cultural

Protestas graves al

público o de los

medios (cobertura

internacional)

Violación mayor

de los

reglamentos.

Litigios mayores

Medio

> 300

millones

Discapacidad

o daño

irreversible

moderado

(<30%) a una

ó más

personas

Efectos

ambientales

graves a término

medio

Atención significativa

adversa a los medios,

público, ONG

Violación grave

de los

reglamentos, con

investigación o

informe a la

autoridad, con

enjuiciamiento

y/o posibles

hallazgos

moderados

Bajo

> 200

millones

Discapacidad

objetiva pero

reversible que

requiere

hospitalizació

n

Efectos

moderados a

corto plazo, que

no afectan las

funciones del

ecosistema

Problemas

sociales en curso.

Daño permanente

a elementos de

importancia

cultural

Atención de los

medios, preocupación

intensificada por la

comunidad local.

Críticas de las ONG

Muy bajo

> 100

millones

No se

requiere

tratamiento

médico

Efectos menores

sobre el medio

ambiente

Impactos

ambientales

sociales menores

a mediano plazo,

sobre la población

local. En su

mayoría es

subsanable

Atención médica o

quejas adversas

menores del público

local

Aspectos legales,

no

conformidades y

violaciones

menores

12P01-V2

60

Análisis del riesgo: Nivel de posibilidad

DESCRIPCION DESCRIPCION FRECUENCIA DE APARICION

Casi seguro El evento ocurrirá anualmente Una vez al año o con más frecuencia

Muy posible El evento ha ocurrido varias veces o más

durante su carrera

Una vez cada tres años

Posible El evento podría ocurrir una vez durante su

carrera

Una vez cada diez años

Improbable El evento ocurre en algún lugar, de vez en

cuando

Una vez cada treinta años

Raro Ha oído de que algo similar ocurre en otro

lado

Una vez cada 100 años

Muy raro Nunca ha oído que esto ocurra Una vez cada 1000 años

Casi increíble Teóricamente posible, pero no se espera que

ocurra

Una vez cada 10000 años

12P01-V2

61

Análisis del riesgo: Nivel de posibilidad

DESCRIPTIVO DEFINICION

Severa La mayoría de los objetivos no se pueden lograr

Mayor Algunos objetivos importantes no se pueden lograr

Moderada Algunos objetivos afectados

Menor Efectos menores que se remedian fácilmente

Insignificante Impacto insignificante sobre los objetivos

DESCRIPCION DESCRIPCION DERSCRIPCION ALTERNATIVO

Probable Se puede esperar que ocurra durante el

proyecto

Buenas oportunidades

Posible No se espera que ocurra durante el proyecto Oportunidades bajas o constantes

Improbable Imaginable pero extremadamente improbable

que ocurra durante el proyecto

Oportunidades pobres

12P01-V2

62

Análisis del riesgo: Nivel de riesgo

Riesgo alto o muy alto: se necesita atención de la alta dirección,

especificar planes de acción y responsabilidad de la dirección.

Riesgo medio: Gestionar mediante procedimientos de monitoreo o

respuesta específicos, con responsabilidad especificada de la alta

dirección.

Bajo riesgo: Gestionar mediante procedimientos de rutina, es poco

probable que se necesite la aplicación específica de recursos.

Clase de

posibilidad

Clase de consecuencias

1 2 3 4 5

A Media Alta Alta Muy alta Muy alta

B Media Media Alta Alta Muy alta

C Baja Media Alta Alta Alta

D Baja Baja Media Media Alta

E Baja Baja Media Media Alta

12P01-V2

63


RIESGO MEDIO RIESGO ALTO

RIESGO BAJO RIESGO MEDIO

MENOR MAYOR

PR

OB

AB

LE

IM

PR

OB

AB

LE

CONSECUENCIA

Valores de las celdas=unidades de riesgo para clasificación únicamente

PR

OB

AB

ILID

AD

12P01-V2

64


IMPROBABLE BAJO

POSIBLE

PR

OB

AB

ILID

AD

MEDIO ALTO

MODERADA MAYOR

BAJO

MENOR

CONSECUENCIAS

MEDIO ALTO PROBABLE ALTO

MEDIO

BAJO

Acción inmediata, especificar planes de acción y atención de la alta dirección

Gestionar mediante procedimientos de monitoreo o respuesta específicos

Gestionar mediante procedimientos de rutina, es improbable que se necesite

la aplicación específica de recursos

12P01-V2

65 65

12P01-V2

66 66

12P01-V2

67


Evaluación del

riesgo

12P01-V2

68


2.24 Evaluación del riesgo.

Proceso de comparación de los

resultados del análisis del riesgo

con los criterios del riesgo, para

determinar si el riesgo, su

magnitud o ambos son

aceptables o tolerables.

Nota: La evaluación del riesgo ayuda en la

decisión acerca del tratamiento del riesgo.

12P01-V2

69

Evaluación del riesgo

El propósito de la evaluación del riesgo es tomar decisiones,

basadas en los resultados del análisis del riesgo, sobre los riesgos

que necesitan tratamiento y las prioridades del tratamiento.

Los criterios utilizados para la toma de decisiones deben ser

consistentes con:

• El contexto de gestión del riesgo definido (interno y externo)

• Objetivos de la organización

• Puntos de vista de las partes interesadas

12P01-V2

70


Las decisiones pueden estar basadas

en el nivel del riesgo, pero también

pueden estar basadas en:

• Consecuencias específicas.

• La posibilidad de eventos o

resultados especificados.

• El efecto acumulativo de muchos

eventos.

• El rango de incertidumbre para los

niveles de riesgo.

12P01-V2

71


Prob. Consecuencias

1 2 3 4 5

A H H E E E

B M H H E E

C L M H E E

D L L M H E

E L L M H H

Nota: los criterios y categorías deben darle

capacidad de gestión del riesgo a la

organización.

E Riesgo extremo. M Riesgo moderado.

H Alto riesgo. L Riesgo inferior.

12P01-V2

72 72

12P01-V2

73 73

12P01-V2

74 74

12P01-V2

75


Tratamiento del riesgo

12P01-V2

76


2.25. Tratamiento del riesgo. Proceso para modificar el

riesgo.

Nota 1: El tratamiento del riesgo puede implicar:

− evitar el riesgo decidiendo no iniciar o continuar la actividad que lo originó

− tomar o incrementar el riesgo con el fin de perseguir una oportunidad

− retirar la fuente del riesgo

− cambiar la probabilidad

− cambiar las consecuencias

− compartir el riesgo con una o varias de las partes (incluyendo los contratos y la financiación

del riesgo)

− retener el riesgo a través de la decisión informada.

Nota 2: En ocasiones se hace referencia a los tratamientos del riesgo relacionados con

consecuencias negativas como "mitigación del riesgo", "eliminación del riesgo", "prevención del

riesgo" y "reducción del riesgo".

Nota 3: El tratamiento del riesgo puede crear riesgos nuevos o modificar los existentes

12P01-V2

77


El tratamiento del riesgo involucra la selección de una o más

opciones para modificar los riesgos y la implementación de tales

opciones. Una vez implementado, el tratamiento suministra

controles o los modifica.

El tratamiento del riesgo implica un proceso cíclico de:

• valoración del tratamiento del riesgo;

• decisión sobre si los niveles de riesgo residual son tolerables;

• si no son tolerables, generación de un nuevo tratamiento para el

riesgo; y

• valoración de la eficacia de dicho tratamiento.

12P01-V2

78


Las opciones para el tratamiento del riesgo no necesariamente son

mutuamente excluyentes ni adecuadas en todas las

circunstancias.

Las opciones pueden incluir las siguientes:

• Evitar el riesgo al decidir no iniciar o continuar la actividad que lo

originó;

• Tomar o incrementar el riesgo para perseguir una oportunidad;

• Retirar la fuente de riesgo;

• Cambiar la probabilidad;

• Cambiar las consecuencias;

• Compartir el riesgo con una o varias de las partes, (incluyendo

los contratos y la financiación del riesgo); y

• Retener el riesgo mediante una decisión informada

12P01-V2

79

El tratamiento

SOLUCIONE

S COSTO TIEMPO EFICACIA IMPACTO PUNTAJE

SOLUCIÓN 1 3 1 2 3 18

SOLUCIÓN 2 2 2 2 2 16

SOLUCIÓN 3 3 3 2 3 54

3 = ALTO

2 = MEDIO

1 = BAJO

Po

sib

les s

olu

cio

nes

12P01-V2

80

Formato Mapa de Riesgos

80

12P01-V2

81


Monitoreo y revisión

12P01-V2

82


La información suministrada en los planes de tratamiento debería

incluir:

• La evaluación del costo / beneficio que se espera obtener

• Responsables de aprobar el plan

• Responsables de implementarlo

• Acciones propuestas

• Requisitos de recursos, incluyendo las contingencias;

• Medidas y restricciones de desempeño;

• Requisitos de monitoreo y reporte

• Tiempo y cronograma.

12P01-V2

83


2.28 Monitoreo. Verificación, supervisión, observación crítica o

determinación continuas del estado con el fin de identificar

cambios con respecto al nivel de desempeño exigido o esperado.

Nota 1: El monitoreo se puede aplicar al marco de referencia para

la gestión del riesgo, al proceso para la gestión del riesgo, al riesgo

o al control.

2.29 Revisión. Acción que se emprende para determinar la

idoneidad, conveniencia y eficacia de la materia en cuestión para

lograr los objetivos establecidos.

Nota 1: La revisión se puede aplicar al marco de referencia para la

gestión del riesgo, al proceso para la gestión del riesgo, al riesgo o

al control

12P01-V2

84


El monitoreo y la revisión son parte esencial e integral de la

gestión del riesgo y son uno de los pasos más importantes del

proceso de la gestión del riesgo en el ámbito organizacional. Es

necesario monitorear la eficacia y la conveniencia de las

estrategias para implementar los tratamientos de riesgos y el plan

de gestión el mismo.

12P01-V2

85


12P01-V2

86


Considerar los riesgos más significativos en la organización y a partir de estos definir indicadores asociados a las causas que los generan.

Monitorear los riesgos y la eficacia de las medidas de control.

12P01-V2

87

COMPORTAMIENTO AGOSTO 2011 - COMPARADO CON EL MISMO PERIODO PARA LOS AÑOS 2007, 2008 , 2009, 2010 y 2011.

El factor de riesgo de tecnología presenta un crecimiento del 8% en el año 2011 con respecto al 2010. Actualmente se están elaborando planes de acción especialmente para mitigar los riesgos relacionados con pagarés. En lo que respecta a reportes, existe un plan piloto.

El factor de riesgo de Recurso Humano, presenta en el año 2011 un crecimiento del 200% respecto al año 2010. La administración de operaciones desarrolló un estrategia de acercamiento al personal para informar de lo acontecido. En la reunión de metas del BSC con todo el personal, el Presidente recordó la importancia de mejorar en el desempeño de cada uno y en la necesidad de capacitarse adecuadamente. A todos los jefes de área se les ha recordado la necesidad de mejorar mediante capacitación en los procesos.

El factor de riesgo de Procesos, presenta en el año 2011 un crecimiento del 25% respecto al año 2010. La áreas de Operaciones, Riesgos, Tecnología y Jurídica ya han implementado planes de acción para mitigar este riesgo.

3

16

22

26

28

0 5 10 15 20 25 30

2007

2008

2009

2010

2011

Tecnologia

9

17

6

18

0 5 10 15 20

2008

2009

2010

2011

Recurso Humano

12

19

4

5

0 5 10 15 20

2008

2009

2010

2011

Procesos

87

12P01-V2

88

PERFIL DE RIESGO 2010 4.44

PERFIL DE RIESGO 2011 4.40

Categoría 2010 2011 Riesgos Calificación Riesgos Calificación

Muy alto 0 5.00 0 5.00 Alto 1 2.75 9 2.58

Medio 88 4.00 87 4.05 Bajo 174 4.68 176 4.67

Total 263 4.44 272 4.40

PERFIL DE RIESGO A JUNIO 30 DE 2011

Aumento en el nivel de riesgo.

Requiere de mayores acciones

de control.

88

12P01-V2

89

PARTICIPACIÓN EN EL TOTAL DE RIESGOS

CALIFICACIÓN INDIVIDUAL

PERFIL

DE

RIESGO:

Mejoró Empeoró Sin

cambio

Áreas que aumentaron su participación en el número de riesgos: Operaciones (4), riesgos (1), comercial (1),

financiera y administrativo (1) y auditoría (2).

Operaciones representa el 42% de los riesgos de Deceval. Lo que quiere decir que todas las demás áreas

debemos contribuir a su administración.

Áreas que mejoraron:

•Financiera y Administrativa

•Gestión Humana

Áreas que desmejoraron:

•Tecnología

•Operaciones

•Riesgos

•Comercial

Áreas que se mantuvieron:

•Jurídico

•Auditoría

0

20

40

60

80

100

120

Ju

ríd

ico

Te

cn

olo

gía

Op

era

cio

ne

s

Rie

sg

os

Co

me

rcia

l

Fin

. y A

dm

in

G. H

um

an

a

Au

dito

ría

12

26

11

0

23

12

61

12

7 1

2 2

6

11

4

24

13

62

12

9

2010

2011

3,80

3,90

4,00

4,10

4,20

4,30

4,40

4,50

4,60

4,70

Jurí

dic

o

Tecn

olo

gía

Op

erac

ion

es

Rie

sgo

s

Co

mer

cial

Fin

. y A

dm

in

G. H

um

ana

Au

dit

orí

a

2010

2011

89

12P01-V2

90

Monitoreo y revisión: Evaluación de madurez

1

Ni Junta Directiva ni gerencia enfatizan

administración del riesgo

No existen metodologías homologadas

para la administración de

riesgos

No existen mecanismos de

reportes formales

2

La Junta Directiva y la Gerencia

patrocinan la administración de

riesgo, pero no tienen mecanismos para ejecutarlas con

éxito.

Falta de enfoque y lenguaje común para

administrar los riesgo

Los riesgos son manejados por cada

área de manera intuitiva y

desintegrada.

La administración de riesgos es

responsabilidad del área de auditoría

3

Se reconoce necesidad de

administrar el riesgo en toda la empresa y se comienza un

proceso de sensibilización.

Existe una identificación de

riesgos en todos los procesos, pero no

es sistémica y frecuente.

Base de datos con datos históricos,

pero sin integración para la toma de

decisiones

4

La Junta Directiva y alta gerencia

respaldan con la definición de una política de riesgos

Existe un Comité de Riesgo.

La responsabilidad en la

administración de riesgos depende de

cada proceso

5

Comités de Riesgo a Nivel de la Junta

Directiva y Alta Gerencia

Administración y evaluación del

riesgo en toda la organización

Lenguaje y enfoque comunes

Evaluación adecuada del

riesgo en todos los procesos del

negocio

Tratamiento y Optimización del

riesgo

gestiÓn del riesgo iso 31000:2009

Documents