gestiÓn del riesgo iso 31000:2009
TRANSCRIPT
12P01-V2
1
GESTIÓN DEL RIESGO
ISO 31000:2009
12P01-V2
2
12P01-V2
3
Procesos
operacionales
PLANEACIÓN ESTRATEGICA
Objetivos
sociales
Objetivos
cliente
Objetivos
procesos
Objetivos
innovación
Objetivos
financieros
Procesos
soporte
Procesos
dirección
Gestión
Riesgo
12P01-V2
4 4
Gestión Prospectiva
•Proyección y ordenamiento a futuro •Prevención
Gestión Correctiva
• Acciones de reducción de vulnerabilidades y amenazas
• Mitigación
Gestión Reactiva
• Planes de Contingencia
• Preparación
• Planes de continuidad del negocio
12P01-V2
5
NTC ISO 31000:2011
5
12P01-V2
6
1. Estructura General de la ISO 31000
12P01-V2
7
Introducción
1. Objeto
2. Términos y definiciones
3. Principios
4. Marco de Referencia
5. Proceso
Anexo A: Atributos de la Gestión Mejorada del
Riesgo
7
12P01-V2
8
2. Principios de la gestión del riesgo
12P01-V2
9
Principios de la gestión del riesgo
• Crea y protege el valor.
• Es una parte integral de todos los procesos de la organización.
• Es parte de la toma de decisiones.
• Aborda explícitamente la incertidumbre.
• Sistemática, estructurada y oportuna.
• Se basa en la mejor información disponible.
• Está adaptada a la organización.
• Toma en consideración los factores humanos y culturales.
• Transparente e inclusiva.
• Dinámica, reiterativa y receptiva al cambio.
• Facilita la mejora continua de la organización.
9
12P01-V2
10
3. Términos y definiciones
12P01-V2
11
Términos y definiciones
2.1. Riesgo: efecto de la incertidumbre sobre los objetivos
Nota 1: Un efecto es una desviación de aquello que se espera, sea positivo, negativo o ambos.
Nota 2: Los objetivos pueden tener aspectos diferentes (por ejemplo financieros, salud y seguridad, y metas ambientales) y se pueden aplicar en niveles diferentes (estratégico, en toda la organización, en proyectos, productos y procesos).
Nota 3: A menudo el riesgo está caracterizado por la referencia a los eventos potenciales y las consecuencias o a una combinación de ellos.
Nota 4: Con frecuencia, el riesgo se expresa en términos de una combinación de las consecuencias de un evento (incluyendo los cambios en las circunstancias) y en la posibilidad de que suceda.
Nota 5: Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o el conocimiento de un evento, su consecuencia o posibilidad
12P01-V2
13 13
12P01-V2
14
Términos y definiciones
2.2 Gestión del riesgo. Actividades coordinadas para dirigir y
controlar una organización con respecto al riesgo
2.8 Proceso para la gestión del riesgo. Aplicación sistemática de
las políticas, los procedimientos y las prácticas de gestión a las
actividades de comunicación, consulta, establecimiento del
contexto, y de identificación, análisis, evaluación, tratamiento,
monitoreo y revisión del riesgo.
12P01-V2
15 15
a) Crear valor
b) Es parte integral de los
procesos de la organización
c) Es parte de la toma de
decisiones
d) Aborda explícitamnete la
incertidumbre
e) Es sistemática, estructurada
y oportuna
f) Se basa en la mejor
información disponible
g) Está adaptado
h) Toma en consideración a los
factores humanos y culturales
i) Es tranasparente e in clusiva
j) Es dinámica, reiterativa y
receptiva al cambio
k) Facilita la mejora y realza
a la organización
Marco de referencia
(numeral 4)
Comando y
compromiso
(4.2)
Diseño del marco
de referencia para
la gestión del riesgo
(4.3)
Mejora continua
del marco
de referencia
(4.6)
Implementación
de la gestión
del riesgo
(4.4)
Diseño del marco
de referencia para
la gestión del riesgo
(4.3)
Principios
(numeral 3)
Proceso
(numeral 5)
Establecimiento del contexto (5.3)
Valoración del riesgo (5.4)
Identificación del riesgo (5.4.2)
Análisis del riesgo (5.4.3)
Evaluación del riesgo (5.4.4)
Tratamiento del riesgo (5.5)
Co
mu
nic
ació
n y
consulta (
5.2
)
Mo
nitore
o y
revis
ión (
5.6
)
12P01-V2
16
Términos y definiciones
2.3 Marco de referencia para la gestión del riesgo.
Conjunto de componentes que brindan las bases y las
disposiciones de la organización para diseñar,
implementar, monitorear, revisar y mejorar
continuamente la gestión del riesgo a través de toda la
organización.
• Nota 1: Las bases incluyen la política, los objetivos, el comando y el
compromiso para gestionar el riesgo.
• Nota 2: Las disposiciones de la organización incluyen planes,
relaciones, rendición de cuentas (Accountability), recursos, procesos y
actividades.
• Nota 3: El marco de referencia para la gestión del riesgo está incluido
en las políticas y prácticas estratégicas y operacionales globales de la
organización.
16
12P01-V2
17
Términos y definiciones (ISO 31000)
• Actitud hacia el Riesgo
• Propietario del Riesgo
• Parte interesada
• Proceso para la gestión
del riesgo
• Plan para la gestión del
riesgo
• Evento
• Consecuencia
• Probabilidad
• Riesgo residual
• Contexto
interno/externo
• Valoración del riesgo
• Identificación del
Riesgo
• Fuente del riesgo
• Análisis del riesgo
• Criterios del riesgo
• Nivel del riesgo
• Evaluación del Riesgo
• Tratamiento del riesgo
17
12P01-V2
18
4. MARCO DE REFERENCIA PARA LA
GESTION DEL RIESGO
12P01-V2
19
Marco de Referencia
19
12P01-V2
20
Establecimiento del contexto
20
FORTALEZAS / DEBILIDADES
OPORTUNIDADES / AMENAZAS
Percepción y
Objetivos
Partes
interesadas
Misión / Visión
Objetivos
estratégicos
Políticas de
comunicación
Partes
interesadas
ORGANIZACIÓN
Contexto: Aspectos financieros, operacionales, competitivos, percepción /
imagen ante el publico, responsabilidad social, del cliente, culturales, legales
12P01-V2
21
1) Análisis del entorno
•Análisis PESTA
•Diamante de Porter.
•Análisis de Industria
2) Análisis Interno
•Recuursos
•Capacidades
3) Matriz DOFA
4) Realizar entrevistas a los grupos de interés Identificación de necesidades.
5) Establecimiento de la estrategia
•Definición de ventajas competitivas.
• Identificación de Factores Claves de éxito.
•Determinación de objetivos y metas.
6) Declaración de la misión y visión
ESTRATEGIA DE NEGOCIOS
12P01-V2
22
3. MATRIZ DOFA
• Internas DEBILIDADES
• Externas OPORTUNIDADES
• Internas FORTALEZAS
• Externas AMENAZAS
12P01-V2
23 23
“La Empresa Social del Estado Hospital XXXXX, coherente con su
política de calidad, con los componentes y elementos que define el
MECI 1000:2005 y con los objetivos del Sistema Obligatorio de
Garantía de la Calidad para la Atención en Salud, busca proteger a
sus usuarios de los potenciales riesgos asociados a la prestación
del servicio, así mismo se compromete a establecer los
mecanismos necesarios para evitar, reducir, compartir y asumir los
riesgos relacionados con el desarrollo de sus procesos y que
pudieran afectar negativamente a las personas, las instalaciones,
los bienes y los equipos; para tal efecto realizará la identificación,
análisis, valoración e intervención de los riesgos inherentes al
quehacer institucional, contribuyendo de esta forma al logro de los
objetivos y a la Misión de la Empresa”.
12P01-V2
24
Proceso de gestión del riesgo
P H
V A
12P01-V2
25
Principales elementos del proceso de
gestión del riesgo C
OM
UN
ICA
CIÓ
N Y
CO
NS
ULTA
MO
NIT
OR
EO
Y R
EV
ISIO
N
Tratar el riesgo EV
AL
UA
CIO
N D
EL
RIE
SG
O
Evaluar los riesgos
Identificar los riesgos
Analizar los riesgos
Establecer el contexto
12P01-V2
27
Proceso de gestión del riesgo
Comunicación y
consulta
12P01-V2
28
Términos y definiciones
2.12. Comunicación y consulta: Procesos continuos y reiterativos
que una organización lleva a cabo para suministrar, compartir u
obtener información e involucrarse en un diálogo con las partes
involucradas con respecto a la gestión del riesgo
La consulta es :
• un proceso que tiene impacto en la decisión a través de la
influencia más que del poder; y
• una entrada para la toma de decisiones, no para la toma
conjunta de decisiones
12P01-V2
29
Términos y definiciones
Nota 1: La información se puede relacionar con la existencia, la
naturaleza, la forma, la probabilidad (likelihood), el significado, la
evaluación, la aceptabilidad y el tratamiento de la gestión del riesgo.
Nota 2: La consulta es un proceso de doble vía de la comunicación
informada entre una organización y sus partes involucradas, acerca de
algún tema, antes de tomar una decisión o determinar una dirección para
dicho tema
12P01-V2
30
Comunicación y consulta
La comunicación y consulta son importantes en el proceso de
gestión del riesgo por que:
• Hace la gestión explicita y relevante
• Agrega valor a la organización
• Integración de perspectivas
• Desarrollo de la confianza
• Mejora de la determinación del riesgo
• Tratamiento efectivo de riesgo
12P01-V2
31
Comunicación y consulta
Proceso de comunicación
• Identificación de las partes interesadas
• Plan de comunicación y consulta
– Los objetivos de la comunicación
– Los participantes que deben estar incluidos
– Perspectivas de los participantes
– Los métodos de comunicación por usar
– El proceso de evaluación por usar
12P01-V2
32
Proceso de gestión del riesgo
Establecer el
contexto
12P01-V2
33
Términos y definiciones
2.9. Establecimiento del contexto: Definición de los parámetros
internos y externos que se han de tomar en consideración cuando
se gestiona el riesgo, y establecimiento del alcance y los criterios
del riesgo para la política para la gestión del riesgo
12P01-V2
34
Establecimiento del contexto
Al establecer el contexto, la organización articula sus objetivos,
define los parámetros externos e internos que se van a considerar
al gestionar el riesgo y establece el alcance y los criterios del
riesgo para el resto del proceso. Aunque muchos de estos
parámetros son similares a aquellos que se consideran en el
diseño del marco de referencia para la gestión del riesgo, al
establecer el contexto del proceso para la gestión del riesgo, es
necesario que estos parámetros se consideren en mayor detalle y,
en particular, la manera como se relacionan con el alcance del
proceso para la gestión del riesgo particular.
12P01-V2
35
Entender la Organización y su contexto
35
12P01-V2
36
Establecimiento del contexto C
ON
TE
XT
O
EX
TE
RN
O
El contexto externo puede incluir, entre otros:
• Partes involucradas externas / partes interesadas
• Requisitos legales y reglamentarios
• El ambiente social y cultural, político,
• El ambiente financiero, económico, natural y competitivo
• El contexto internacional, nacional, regional o local;
• Los factores tecnológicos
• Los impulsores clave y las tendencias que tienen
impacto en los objetivos de la organización; y
• Las relaciones con las partes involucradas externas y
sus percepciones y valores
12P01-V2
37
Establecimiento del contexto C
ON
TE
XT
O
INT
ER
NO
El contexto interno que puede incluir, entre otros:
• El gobierno, estructura de la organización, funciones y responsabilidades;
• La cultura de la organización y sus procesos
• Las políticas, objetivos y las estrategias implementadas para lograrlos;
• Los factores productivos
• Las relaciones con las partes involucradas internas y sus percepciones y valores;
• Los sistemas de información, flujos de información y procesos de toma de decisiones (tanto formales como informales);
• Las normas, directrices y modelos adoptados por la organización; y forma y extensión de las relaciones contractuales.
12P01-V2
38
Proceso de gestión del riesgo
Identificación del
riesgo
38
12P01-V2
39
ESTE ES UN EVENTO DE RIESGO MUY SIMPLE !!
QUE VEMOS ?
CUAL ES LA FUENTE ?
CUAL ES LA PROBABILIDAD?
CUAL ES LA CONSECUENCIA?
39
12P01-V2
40
Términos y definiciones
2.15. Identificación del riesgo:
Proceso para encontrar,
reconocer y describir el riesgo.
.
Nota 1: La identificación del riesgo implica la identificación de las fuentes de riesgo,
los eventos, sus causas y sus consecuencias potenciales.
Nota 2: La identificación del riesgo puede involucrar datos históricos, análisis teóricos,
opiniones informadas y expertas, y las necesidades de las partes involucradas
12P01-V2
41
Identificación del riesgo Recomendaciones!!!!
Es importante identificar los riesgos asociados a la no búsqueda de una oportunidad.
La identificación debería incluir los riesgos independientemente de si su origen está o no bajo control de la organización, aún cuando el origen del riesgo o su causa pueden no ser evidentes.
La identificación del riesgo debería incluir el examen de los efectos colaterales de las consecuencias particulares, incluyendo los efectos en cascada y acumulativos.
También se debería considerar un rango amplio de consecuencias incluso si el origen del riesgo o su causa pueden no ser evidentes. Al igual que la identificación de lo que podría suceder, es necesario considerar las causas y los escenarios posibles que muestran que las consecuencias se podrían presentar
12P01-V2
42
Identificación del riesgo: Componentes
42
• Aquello que tiene el potencial intrínseco para hacer daño o generar oportunidades
Fuente
• Aquello que ocurre, de manera que la fuente de riesgo genera un impacto
Evento / Incidente
• Un resultado o impacto sobre un grupo de partes involucradas y recursos
Consecuencia
• El qué y por qué de la presencia del peligro o evento que ocurre
Causa
• Controles establecidos y su nivel de eficacia Controles
• Cuando puede ocurrir el riesgo y dónde puede ocurrir
Cuando / Donde
12P01-V2
43
Fuente
43
•Infraestructura
•Talento Humano
•Tecnología
•Información
•Marco legal
•Recursos monetarios
12P01-V2
44
• Estratégicos. Atienden la relación de la entidad con su misión
constitucional, los ciudadanos y la comunidad.
• Financieros. Atienden la relación de la entidad con el manejo del
presupuesto asignado.
• De proyectos. Atienden los riesgos relacionados con alcance, cronograma y
costos del proyecto.
• Operacionales. Son los típicos derivados de fallas de tecnología, procesos,
recursos humanos, fraude interno o externo, eventos de la naturaleza.
• De seguridad de la información. Relacionados con activos de información.
• Reputacionales. Derivados de otros riesgos o mediáticos.
• Corrupción: relacionados con el soborno, extorsión, lavado de activos,
• Legales. Derivados de otro riesgos o puros.
44
Fuente
12P01-V2
45 45
12P01-V2
46
Evento / Incidente
46
Eventos que podrían crear, aumentar,
prevenir, degradar, acelerar o retrasar el
logro de los objetivos
12P01-V2
47 47
Consecuencia: Un resultado o
impacto sobre un grupo de partes involucradas
y recursos
12P01-V2
48
OBJETIVOS METAS FUENTE O
FACTOR EVENTOS CAUSA CONSECUENCIA Disminuir el riesgo de accidente o enfermedades profesionales
0 Enfermedades 0 Accidente Talento humano
Tecnología
Medio Ambiente
Método
Capacitación constante en salud ocupacional orientadas a la prevención. Conocimiento de los riegos de cada puestos de trabajo
Maquinaria
Materiales
No se cuenta con los elementos de protección personal requeridos
48
12P01-V2
49
Proceso de gestión del riesgo
Análisis del riesgo
49
12P01-V2
50
Términos y definiciones
2.21. Análisis del riesgo:
Proceso para
comprender la naturaleza
del riesgo y determinar el
nivel de riesgo.
.
50
Nota 1: El análisis del riesgo proporciona las bases para la evaluación del
riesgo y las decisiones sobre el tratamiento del riesgo
Nota 2: El análisis del riesgo incluye la estimación del riesgo
12P01-V2
51
Análisis del riesgo
Suministra una entrada para las
decisiones sobre si es necesario
tratar los riesgos y las estrategias del
tratamiento del riesgo más
adecuadas y eficaces en términos de
costo.
El análisis del riesgo incluye
considerar las fuentes de riesgo, sus
consecuencias positivas y negativas
y la probabilidad de que dichas
consecuencias puedan ocurrir.
51
12P01-V2
52
Análisis del riesgo
52
12P01-V2
53
Análisis del riesgo
A fin de evitar ser subjetivos, al analizar las consecuencias y la
probabilidad, se recomienda emplear los mejores recursos y
técnicas de información disponibles:
a) registros pasados;
b) experiencia pertinente;
c) práctica y experiencia industrial;
d) literatura publicada pertinente;
e) marketing de ensayo e investigación de mercado;
f) experimentos y prototipos;
g) modelos económicos, de ingeniería y otros;
h) juicios de especialistas y expertos (Modelos).
53
12P01-V2
54
Análisis del riesgo Recomendaciones!!!
• No deje de considerar ningún riesgo significativo ni ninguna mejora viable.
• Tenga en cuenta en forma coordinada factores de la condición de trabajo y
del acto humano.
• Establezca si los equipos y su operación tienen riesgos aceptables o
tolerables. Reduzca los riesgos en orden de importancia y viabilidad.
• Que el estudio sea completo y no se pase nada por alto (causas y efectos).
• Que el estudio sea consistente con el método elegido.
• Disciplina en la identificación y análisis.
• Grupos de 3 a 6 personas: Especialistas adicionales solo cuando se
requieran. Visita detallada a la planta.
• Conocimientos suficientes para formular y contestar las preguntas que se
realicen.
54
12P01-V2
55
Análisis del riesgo: Probabilidad
55
Nivel Probabilidad Descripción
A Casi cierto Se espera que ocurra en la mayoría de las
circunstancias.
B Probable Puede probablemente ocurrir en la mayoría
de las circunstancias.
C Posible Es posible que ocurra algunas veces.
D Improbable Podría ocurrir algunas veces.
E Raro Puede ocurrir solamente en circunstancias
excepcionales.
Nota: los criterios deben darle capacidad de gestión del riesgo a la
organización.
12P01-V2
56
Análisis del riesgo: Consecuencia
56
Nivel Consecuencia Descripción
1 Insignificante Nivel de daño y pérdidas financieras pequeñas.
2 Menor
Pérdida financiera media; tratamiento de primeros
auxilios en el sitio; efectos ambientales detenidos en
el sitio.
3 Moderada Pérdida financiera alta; requiere tratamiento médico;
descargas se detienen en el sitio con ayuda externa.
4 Mayor
Pérdidas financieras considerables; lesiones grandes;
pérdidas de capacidad de producción; descargas
fuera del sitio sin efectos perjudiciales.
5 Catastrófica Pérdida financiera enorme; muerte; liberación de
tóxicos fuera del sitio con efecto perjudicial.
Nota: los criterios deben darle capacidad de gestión del riesgo a la
organización.
12P01-V2
57
Determinación de PROBABILIDAD (DAFP)
57
12P01-V2
58
Determinación de IMPACTO (DAFP)
58
12P01-V2
59 59
NIVEL DE
SEVERIDAD
REDUCCION
DE
UTILIDADES
SEGURIDAD Y
SALUD
MEDIO AMBIENTE HERENCIA SOCIAL
Y CULTURAL
COMUNIDAD,
GOBIERNO,
REPUTACION, MEDIOS
LEGAL
Muy alto
> 500
millones
Muchas
muertes o
efectos
significativos
irreversibles
>50 personas
Daño ambiental
muy grave y a
largo plazo, de
las funciones del
ecosistema
Enjuiciamientos y
multas
significativas
Alto
> 400
millones
Una sola
muerte y/o
discapacidad
severa
irreversible
(>30%) a una
ó más
personas
Problemas
sociales en curso.
Daño significativo
a elementos de
importancia
cultural
Protestas graves al
público o de los
medios (cobertura
internacional)
Violación mayor
de los
reglamentos.
Litigios mayores
Medio
> 300
millones
Discapacidad
o daño
irreversible
moderado
(<30%) a una
ó más
personas
Efectos
ambientales
graves a término
medio
Atención significativa
adversa a los medios,
público, ONG
Violación grave
de los
reglamentos, con
investigación o
informe a la
autoridad, con
enjuiciamiento
y/o posibles
hallazgos
moderados
Bajo
> 200
millones
Discapacidad
objetiva pero
reversible que
requiere
hospitalizació
n
Efectos
moderados a
corto plazo, que
no afectan las
funciones del
ecosistema
Problemas
sociales en curso.
Daño permanente
a elementos de
importancia
cultural
Atención de los
medios, preocupación
intensificada por la
comunidad local.
Críticas de las ONG
Muy bajo
> 100
millones
No se
requiere
tratamiento
médico
Efectos menores
sobre el medio
ambiente
Impactos
ambientales
sociales menores
a mediano plazo,
sobre la población
local. En su
mayoría es
subsanable
Atención médica o
quejas adversas
menores del público
local
Aspectos legales,
no
conformidades y
violaciones
menores
12P01-V2
60
Análisis del riesgo: Nivel de posibilidad
DESCRIPCION DESCRIPCION FRECUENCIA DE APARICION
Casi seguro El evento ocurrirá anualmente Una vez al año o con más frecuencia
Muy posible El evento ha ocurrido varias veces o más
durante su carrera
Una vez cada tres años
Posible El evento podría ocurrir una vez durante su
carrera
Una vez cada diez años
Improbable El evento ocurre en algún lugar, de vez en
cuando
Una vez cada treinta años
Raro Ha oído de que algo similar ocurre en otro
lado
Una vez cada 100 años
Muy raro Nunca ha oído que esto ocurra Una vez cada 1000 años
Casi increíble Teóricamente posible, pero no se espera que
ocurra
Una vez cada 10000 años
12P01-V2
61
Análisis del riesgo: Nivel de posibilidad
DESCRIPTIVO DEFINICION
Severa La mayoría de los objetivos no se pueden lograr
Mayor Algunos objetivos importantes no se pueden lograr
Moderada Algunos objetivos afectados
Menor Efectos menores que se remedian fácilmente
Insignificante Impacto insignificante sobre los objetivos
DESCRIPCION DESCRIPCION DERSCRIPCION ALTERNATIVO
Probable Se puede esperar que ocurra durante el
proyecto
Buenas oportunidades
Posible No se espera que ocurra durante el proyecto Oportunidades bajas o constantes
Improbable Imaginable pero extremadamente improbable
que ocurra durante el proyecto
Oportunidades pobres
12P01-V2
62
Análisis del riesgo: Nivel de riesgo
Riesgo alto o muy alto: se necesita atención de la alta dirección,
especificar planes de acción y responsabilidad de la dirección.
Riesgo medio: Gestionar mediante procedimientos de monitoreo o
respuesta específicos, con responsabilidad especificada de la alta
dirección.
Bajo riesgo: Gestionar mediante procedimientos de rutina, es poco
probable que se necesite la aplicación específica de recursos.
Clase de
posibilidad
Clase de consecuencias
1 2 3 4 5
A Media Alta Alta Muy alta Muy alta
B Media Media Alta Alta Muy alta
C Baja Media Alta Alta Alta
D Baja Baja Media Media Alta
E Baja Baja Media Media Alta
12P01-V2
63
Análisis del riesgo: Nivel de riesgo
RIESGO MEDIO RIESGO ALTO
RIESGO BAJO RIESGO MEDIO
MENOR MAYOR
PR
OB
AB
LE
IM
PR
OB
AB
LE
CONSECUENCIA
Valores de las celdas=unidades de riesgo para clasificación únicamente
PR
OB
AB
ILID
AD
12P01-V2
64
Análisis del riesgo: Nivel de riesgo
IMPROBABLE BAJO
POSIBLE
PR
OB
AB
ILID
AD
MEDIO ALTO
MODERADA MAYOR
BAJO
MENOR
CONSECUENCIAS
MEDIO ALTO PROBABLE ALTO
MEDIO
BAJO
Acción inmediata, especificar planes de acción y atención de la alta dirección
Gestionar mediante procedimientos de monitoreo o respuesta específicos
Gestionar mediante procedimientos de rutina, es improbable que se necesite
la aplicación específica de recursos
12P01-V2
65 65
12P01-V2
66 66
12P01-V2
67
Proceso de gestión del riesgo
Evaluación del
riesgo
12P01-V2
68
Términos y definiciones
2.24 Evaluación del riesgo.
Proceso de comparación de los
resultados del análisis del riesgo
con los criterios del riesgo, para
determinar si el riesgo, su
magnitud o ambos son
aceptables o tolerables.
Nota: La evaluación del riesgo ayuda en la
decisión acerca del tratamiento del riesgo.
12P01-V2
69
Evaluación del riesgo
El propósito de la evaluación del riesgo es tomar decisiones,
basadas en los resultados del análisis del riesgo, sobre los riesgos
que necesitan tratamiento y las prioridades del tratamiento.
Los criterios utilizados para la toma de decisiones deben ser
consistentes con:
• El contexto de gestión del riesgo definido (interno y externo)
• Objetivos de la organización
• Puntos de vista de las partes interesadas
12P01-V2
70
Evaluación del riesgo
Las decisiones pueden estar basadas
en el nivel del riesgo, pero también
pueden estar basadas en:
• Consecuencias específicas.
• La posibilidad de eventos o
resultados especificados.
• El efecto acumulativo de muchos
eventos.
• El rango de incertidumbre para los
niveles de riesgo.
12P01-V2
71
Evaluación del riesgo
Prob. Consecuencias
1 2 3 4 5
A H H E E E
B M H H E E
C L M H E E
D L L M H E
E L L M H H
Nota: los criterios y categorías deben darle
capacidad de gestión del riesgo a la
organización.
E Riesgo extremo. M Riesgo moderado.
H Alto riesgo. L Riesgo inferior.
12P01-V2
72 72
12P01-V2
73 73
12P01-V2
74 74
12P01-V2
75
Proceso de gestión del riesgo
Tratamiento del riesgo
12P01-V2
76
Términos y definiciones
2.25. Tratamiento del riesgo. Proceso para modificar el
riesgo.
Nota 1: El tratamiento del riesgo puede implicar:
− evitar el riesgo decidiendo no iniciar o continuar la actividad que lo originó
− tomar o incrementar el riesgo con el fin de perseguir una oportunidad
− retirar la fuente del riesgo
− cambiar la probabilidad
− cambiar las consecuencias
− compartir el riesgo con una o varias de las partes (incluyendo los contratos y la financiación
del riesgo)
− retener el riesgo a través de la decisión informada.
Nota 2: En ocasiones se hace referencia a los tratamientos del riesgo relacionados con
consecuencias negativas como "mitigación del riesgo", "eliminación del riesgo", "prevención del
riesgo" y "reducción del riesgo".
Nota 3: El tratamiento del riesgo puede crear riesgos nuevos o modificar los existentes
12P01-V2
77
Tratamiento del riesgo
El tratamiento del riesgo involucra la selección de una o más
opciones para modificar los riesgos y la implementación de tales
opciones. Una vez implementado, el tratamiento suministra
controles o los modifica.
El tratamiento del riesgo implica un proceso cíclico de:
• valoración del tratamiento del riesgo;
• decisión sobre si los niveles de riesgo residual son tolerables;
• si no son tolerables, generación de un nuevo tratamiento para el
riesgo; y
• valoración de la eficacia de dicho tratamiento.
12P01-V2
78
Tratamiento del riesgo
Las opciones para el tratamiento del riesgo no necesariamente son
mutuamente excluyentes ni adecuadas en todas las
circunstancias.
Las opciones pueden incluir las siguientes:
• Evitar el riesgo al decidir no iniciar o continuar la actividad que lo
originó;
• Tomar o incrementar el riesgo para perseguir una oportunidad;
• Retirar la fuente de riesgo;
• Cambiar la probabilidad;
• Cambiar las consecuencias;
• Compartir el riesgo con una o varias de las partes, (incluyendo
los contratos y la financiación del riesgo); y
• Retener el riesgo mediante una decisión informada
12P01-V2
79
El tratamiento
SOLUCIONE
S COSTO TIEMPO EFICACIA IMPACTO PUNTAJE
SOLUCIÓN 1 3 1 2 3 18
SOLUCIÓN 2 2 2 2 2 16
SOLUCIÓN 3 3 3 2 3 54
3 = ALTO
2 = MEDIO
1 = BAJO
Po
sib
les s
olu
cio
nes
12P01-V2
80
Formato Mapa de Riesgos
80
12P01-V2
81
Proceso de gestión del riesgo
Monitoreo y revisión
12P01-V2
82
Tratamiento del riesgo
La información suministrada en los planes de tratamiento debería
incluir:
• La evaluación del costo / beneficio que se espera obtener
• Responsables de aprobar el plan
• Responsables de implementarlo
• Acciones propuestas
• Requisitos de recursos, incluyendo las contingencias;
• Medidas y restricciones de desempeño;
• Requisitos de monitoreo y reporte
• Tiempo y cronograma.
12P01-V2
83
Términos y definiciones
2.28 Monitoreo. Verificación, supervisión, observación crítica o
determinación continuas del estado con el fin de identificar
cambios con respecto al nivel de desempeño exigido o esperado.
Nota 1: El monitoreo se puede aplicar al marco de referencia para
la gestión del riesgo, al proceso para la gestión del riesgo, al riesgo
o al control.
2.29 Revisión. Acción que se emprende para determinar la
idoneidad, conveniencia y eficacia de la materia en cuestión para
lograr los objetivos establecidos.
Nota 1: La revisión se puede aplicar al marco de referencia para la
gestión del riesgo, al proceso para la gestión del riesgo, al riesgo o
al control
12P01-V2
84
Monitoreo y revisión
El monitoreo y la revisión son parte esencial e integral de la
gestión del riesgo y son uno de los pasos más importantes del
proceso de la gestión del riesgo en el ámbito organizacional. Es
necesario monitorear la eficacia y la conveniencia de las
estrategias para implementar los tratamientos de riesgos y el plan
de gestión el mismo.
12P01-V2
85
Monitoreo y revisión
12P01-V2
86
Monitoreo y revisión
Considerar los riesgos más significativos en la organización y a partir de estos definir indicadores asociados a las causas que los generan.
Monitorear los riesgos y la eficacia de las medidas de control.
12P01-V2
87
COMPORTAMIENTO AGOSTO 2011 - COMPARADO CON EL MISMO PERIODO PARA LOS AÑOS 2007, 2008 , 2009, 2010 y 2011.
El factor de riesgo de tecnología presenta un crecimiento del 8% en el año 2011 con respecto al 2010. Actualmente se están elaborando planes de acción especialmente para mitigar los riesgos relacionados con pagarés. En lo que respecta a reportes, existe un plan piloto.
El factor de riesgo de Recurso Humano, presenta en el año 2011 un crecimiento del 200% respecto al año 2010. La administración de operaciones desarrolló un estrategia de acercamiento al personal para informar de lo acontecido. En la reunión de metas del BSC con todo el personal, el Presidente recordó la importancia de mejorar en el desempeño de cada uno y en la necesidad de capacitarse adecuadamente. A todos los jefes de área se les ha recordado la necesidad de mejorar mediante capacitación en los procesos.
El factor de riesgo de Procesos, presenta en el año 2011 un crecimiento del 25% respecto al año 2010. La áreas de Operaciones, Riesgos, Tecnología y Jurídica ya han implementado planes de acción para mitigar este riesgo.
3
16
22
26
28
0 5 10 15 20 25 30
2007
2008
2009
2010
2011
Tecnologia
9
17
6
18
0 5 10 15 20
2008
2009
2010
2011
Recurso Humano
12
19
4
5
0 5 10 15 20
2008
2009
2010
2011
Procesos
87
12P01-V2
88
PERFIL DE RIESGO 2010 4.44
PERFIL DE RIESGO 2011 4.40
Categoría 2010 2011 Riesgos Calificación Riesgos Calificación
Muy alto 0 5.00 0 5.00 Alto 1 2.75 9 2.58
Medio 88 4.00 87 4.05 Bajo 174 4.68 176 4.67
Total 263 4.44 272 4.40
PERFIL DE RIESGO A JUNIO 30 DE 2011
Aumento en el nivel de riesgo.
Requiere de mayores acciones
de control.
88
12P01-V2
89
PARTICIPACIÓN EN EL TOTAL DE RIESGOS
CALIFICACIÓN INDIVIDUAL
PERFIL
DE
RIESGO:
Mejoró Empeoró Sin
cambio
Áreas que aumentaron su participación en el número de riesgos: Operaciones (4), riesgos (1), comercial (1),
financiera y administrativo (1) y auditoría (2).
Operaciones representa el 42% de los riesgos de Deceval. Lo que quiere decir que todas las demás áreas
debemos contribuir a su administración.
Áreas que mejoraron:
•Financiera y Administrativa
•Gestión Humana
Áreas que desmejoraron:
•Tecnología
•Operaciones
•Riesgos
•Comercial
Áreas que se mantuvieron:
•Jurídico
•Auditoría
0
20
40
60
80
100
120
Ju
ríd
ico
Te
cn
olo
gía
Op
era
cio
ne
s
Rie
sg
os
Co
me
rcia
l
Fin
. y A
dm
in
G. H
um
an
a
Au
dito
ría
12
26
11
0
23
12
61
12
7 1
2 2
6
11
4
24
13
62
12
9
2010
2011
3,80
3,90
4,00
4,10
4,20
4,30
4,40
4,50
4,60
4,70
Jurí
dic
o
Tecn
olo
gía
Op
erac
ion
es
Rie
sgo
s
Co
mer
cial
Fin
. y A
dm
in
G. H
um
ana
Au
dit
orí
a
2010
2011
89
12P01-V2
90
Monitoreo y revisión: Evaluación de madurez
1
Ni Junta Directiva ni gerencia enfatizan
administración del riesgo
No existen metodologías homologadas
para la administración de
riesgos
No existen mecanismos de
reportes formales
2
La Junta Directiva y la Gerencia
patrocinan la administración de
riesgo, pero no tienen mecanismos para ejecutarlas con
éxito.
Falta de enfoque y lenguaje común para
administrar los riesgo
Los riesgos son manejados por cada
área de manera intuitiva y
desintegrada.
La administración de riesgos es
responsabilidad del área de auditoría
3
Se reconoce necesidad de
administrar el riesgo en toda la empresa y se comienza un
proceso de sensibilización.
Existe una identificación de
riesgos en todos los procesos, pero no
es sistémica y frecuente.
Base de datos con datos históricos,
pero sin integración para la toma de
decisiones
4
La Junta Directiva y alta gerencia
respaldan con la definición de una política de riesgos
Existe un Comité de Riesgo.
La responsabilidad en la
administración de riesgos depende de
cada proceso
5
Comités de Riesgo a Nivel de la Junta
Directiva y Alta Gerencia
Administración y evaluación del
riesgo en toda la organización
Lenguaje y enfoque comunes
Evaluación adecuada del
riesgo en todos los procesos del
negocio
Tratamiento y Optimización del
riesgo