norma iso 31000 vocabulario

16
ISO 31000:2009 P t A lE i lB t Ri ki Ponente: Angel Escorial BonetRiskia Moderador: Mariano Blanco Gema – Chartis Madrid, Sede de AGERS 22 de Febrero de 2010

Upload: maupri

Post on 22-Oct-2015

138 views

Category:

Documents


5 download

TRANSCRIPT

Page 1: Norma ISO 31000 Vocabulario

ISO 31000:2009

P t A l E i l B t Ri kiPonente: Angel Escorial Bonet– RiskiaModerador: Mariano Blanco Gema – ChartisMadrid, Sede de AGERS 22 de Febrero de 2010

Page 2: Norma ISO 31000 Vocabulario

ÍNDICE

• Antecedentes

• Alcance

• Términos y definiciones• Términos y definiciones

• Guía ISO 73:2009 Vocabulario

• Principios

• Estructura

• Proceso

• Relaciones entre los principios estructura y proceso• Relaciones entre los principios, estructura y proceso

• Atributos para una mejor gestión de riesgos

• ISO 31010:2009 Evaluación de riesgos

Page 3: Norma ISO 31000 Vocabulario

ANTECEDENTES

Hasta la aprobación de la ISO 31000 hemos dispuesto demodelos ‘ad-hoc’ de uso específico para ciertas actividades:

• COSOBASILEA• BASILEA

• SOLVENCIA• UNE150008, …UNE150008, …

así como algún otro modelo de carácter INTEGRAL de ‘RiskManagement’ entre los que destacamos:g q

• Modelo FERMA 2003• la Norma Australiana-Neo Zelandesa AS/NZS 4360:2004

La ISO 31000:2009 se desarrolla en un documento de cincocláusulas y un anexo y se complementa con:

G í 73 2009 V b l i• Guía 73:2009 Vocabulario

• ISO 31010:2009 Líneas directrices para la evaluación de riesgos

Page 4: Norma ISO 31000 Vocabulario

1 ALCANCE

• Tiene como objetivo ayudar a las organizaciones de todotipo y tamaño a gestionar sus riesgos con efectividad.

• El nuevo standard ISO proporciona los principios, el marco yue o s a da d SO p opo c o a os p c p os, e a co yun proceso destinado a gestionar cualquier tipo de riesgoen una manera transparente, sistemática y creíble dentro decualquier alcance o contexto.

• El standard recomienda que las organizaciones desarrollen,q g ,implementen y mejoren en forma continua el marco degestión de riesgos como un componente del sistemai l d ió d l i ióintegral de gestión de la organización.

• ISO 31000 es un documento práctico que busca ayudar a lasp q yorganizaciones en el desarrollo de su propia estrategia paragestionar sus riesgos, pero no es un estándar certificable.

Page 5: Norma ISO 31000 Vocabulario

1 ALCANCE (2)

ISO 31000 está diseñada para ayudar a las organizaciones a:

( )

• Aumentar la probabilidad de lograr sus objetivos• Fomentar la gestión proactiva

S i t d l id d d id tifi t t l i t d l i ió• Ser conscientes de la necesidad de identificar y tratar el riesgo en toda la organización• Mejorar la identificación de las oportunidades y amenazas• Cumplir con las exigencias legales y reglamentarias y las normas internacionales

f ó f• Mejorar la información financiera• Mejorar el gobierno de la organización• Incrementar la confianza de los grupos de interés (‘stakeholders’)• Establecer una base fiable para la toma de decisiones y planificación.• Mejorar los controles• Asignar y utilizar de manera efectiva los recursos para el tratamiento del riesgo• Mejorar la eficacia y la eficiencia operacional.• Aumentar la seguridad y salud así como la protección al medio ambiente• Mejorar la prevención y la gestión de incidentes.• Minimizar las pérdidas.• Mejorar el aprendizaje y la ‘resiliencia’ de la organización

Page 6: Norma ISO 31000 Vocabulario

2 TÉRMINOS Y DEFINICIONES

2.1 Riesgo: efecto de la incertidumbre sobre los objetivos.2.2 Gestión de riesgos: coordinación de actividades paradirigir y controlar una organización en relación con el riesgo.…La guía 73 es genérica y se compila para abarcar el ámbito dela gestión de riesgos ampliando esta cláusula 2:

• Stakeholder: Persona u organización que puede afectar, ser afectada o percibir ser afectada por una decisión o actividado percibir ser afectada por una decisión o actividad.

• Resiliencia: Capacidad de adaptación de una organización en un entorno complejo y cambiante. ‘resistencia, flexibilidad,…’

Page 7: Norma ISO 31000 Vocabulario

2 TÉRMINOS Y DEFINICIONES (2)( )Risk management refers to the architecture(principles, framework and process) for

Risk managementManaging risks

(p p , p )managing risks.

Managing risks refers to applying thatarchitecture to particular risks.

Le management du risque se réfère a la structure(principe cadre organisationnel et processus)

Management du risqueGérer le risque

(principe, cadre organisationnel et processus)permettant de gérer le risque avec efficacité.

Gérer le risque se réfère à l’application de cetteGérer le risque se réfère à l application de cettestructure aux risques particuliers.

• Gerencia de riesgos vs Gestión de riesgos

Gerencia de riesgosGestión de riesgos

• Gerencia de riesgos vs. Gestión de riesgos

• ¿Desarrollo en español de la ISO 31000?

• ¿España: AENOR-AGERS?g ¿España: AENOR-AGERS?

• ¿Español en América?

Page 8: Norma ISO 31000 Vocabulario

3 PRINCIPIOS

a) Crea valor en la organización y lo preserva.

b) Esta integrada en los procesos de la organización.

c) Forma parte de la toma de decisionesc) Forma parte de la toma de decisiones.

d) Trata explícitamente la incertidumbre.

e) Es sistemática, estructurada y oportuna.

f) Está basada en la mejor información disponible.

g) Está hecha a medida.

h) Tiene en cuenta factores humanos y culturalesh) Tiene en cuenta factores humanos y culturales.

i) Es transparente e inclusiva.

j) Es dinámica, iterativa y sensible al cambio.

k) Facilita la mejora continua de la organización.

Page 9: Norma ISO 31000 Vocabulario

4 ESTRUCTURA (1)( )

• El éxito de la Gestión de Riesgos dependerá de laefectividad de la estructura de gestión que proporcione labase y las disposiciones que permitan su integración entodos los niveles de la organizacióntodos los niveles de la organización.

• Esta estructura no está destinada a prescribir un sistemad tió i á bi d l i ióde gestión, sino más bien a ayudar a la organización aintegrar la Gestión de riesgos en su sistema de gestión.

P t t l i i d b d t l• Por tanto, las organizaciones deben adaptar loscomponentes de esta estructura a sus necesidades.

L i i d ió d• Las organizaciones con componentes de gestión deriesgos ya implantados o que ya hayan adoptado unproceso de gestión de riesgos formal disponen en elproceso de gestión de riesgos formal, disponen en elanexo A los atributos necesarios para su revisión.

Page 10: Norma ISO 31000 Vocabulario

4 ESTRUCTURA (2)( )

Compromiso de la dirección (4.2)

( )Diseño de la estructura para gestionar los riesgos (4.3)• Comprender la organización y su contexto (4.3.1)• Establecimiento de la política de gestión  de riesgos (4.3.2)• Responsabilidad (4.3.3)

ó l d l ó ( )• Integración en los procesos de la organización (4.3.4)• Recursos (4.3.5)• Establecimiento de mecanismos de comunicación interna e información (4.3.6)• Establecimiento de mecanismos de comunicación externa e información(4.3.7)

Mejora continua de la estructura (4.6) Implantación de la Gestión de Riesgos(4.4)• Implantación de la estructura para gestionar los  

riesgos (4.4.1)• Implantación del proceso de gestión de riesgos• Implantación del proceso de gestión de riesgos 

(4.4.2)

Seguimiento y revisión de la estructura (4.5)

Page 11: Norma ISO 31000 Vocabulario

5 PROCESO

Establecer el contexto (5.3)

Evaluación de riesgos (5.4)

Identificar los riesgos (5 4 2)

Comunicación y consulta

Seguimiento y revisión

A li l i (5 4 3)

Identificar los riesgos (5.4.2)

(5.2) (5.6)Analizar los riesgos (5.4.3)

Evaluar los riesgos (5.4.4)

Tratar los riesgos (5.5)

Page 12: Norma ISO 31000 Vocabulario

RELACIONES 3 - 4 - 5

Compromisoa) Crea valor.b) Esta integrada en los

procesos de la organización.

c) Forma parte de la toma de

Compromiso de la Dirección

(4.2) Establecer el contexto(5.3)

c) Forma parte de la toma de decisiones.

d) Trata explícitamente la incertidumbre.

e) Es sistemática,

Diseño de la estructura de soporte (4.3)

a (5

.2)

(5.6

)

Evaluación de riesgos (5.4)

estructurada y adecuadaf) Está basada en la mejor

información disponible.g) Está hecha a medida.h) Tiene en cuenta factores Mejora Implantación ón

y c

onsu

lta

nto

y re

visi

ón

A li l

Identificar los riesgos (5.4.2)

h) Tiene en cuenta factores humanos y culturales.

i) Es transparente e inclusiva.j) Es dinámica, iterativa y

sensible al cambio.k) Facilita la mejora continua

Mejora continua de la

estructura (4.6)

pde la gestión de riesgos

(4.4)

Com

unic

ació

Seg

uim

ienAnalizar los

riesgos(5.4.3)

Evaluar losk) Facilita la mejora continua de la organización.

Seguimiento y revisión de la

estructura

Evaluar los riesgos(5.4.4)

Tratar los riesgos

Principios (Cláusula 3)

estructura (4.5)

Estructura (Cláusula 4)

(5.5)

Proceso (Cláusula 5)

Page 13: Norma ISO 31000 Vocabulario

A ATRIBUTOS PARA LA MEJORA DE LA GERENCIA DE RIESGOS

1. Establecimiento de metas de desempeño organizacional,1. Establecimiento de metas de desempeño organizacional,medición, revisión y posterior modificación de procesos,sistemas, recursos, capacidad y habilidades.

2. Controles y tratamiento del riesgo exhaustivos3. Toda toma de decisiones dentro de la organización, cualquiera

que sea el nivel de importancia y trascendencia implica laque sea el nivel de importancia y trascendencia, implica laconsideración explícita de los riesgos y la aplicación de lagestión de riesgos en la medida adecuada.

4. Comunicación continua con los ‘stakeholder’ internos yexternos, incluida la elaboración de informes completos yfrecuentes del desempeño de la gestión de riesgos como partefrecuentes del desempeño de la gestión de riesgos como partedel buen gobierno corporativo.

5. La efectividad de la gestión de riesgos es esencial para el logro5. La efectividad de la gestión de riesgos es esencial para el logrode los objetivos de la organización.

Page 14: Norma ISO 31000 Vocabulario

ISO/IEC 31010:2009

• ISO / IEC 31010:2009 es una norma de apoyo para la ISO31000 y ofrece orientación sobre la selección y aplicaciónd é i i á i l l ió d ide técnicas sistemáticas para la evaluación de riesgos.

• La aplicación de una serie de técnicas se introduce, conreferencias específicas a otras normas internacionales,donde el concepto y la aplicación de las técnicas sedonde el concepto y la aplicación de las técnicas sedescriben en mayor detalle.

• Esta norma no establece criterios específicos paradeterminar la necesidad de análisis de riesgos, ni tampocoespecifica el tipo de método de análisis de riesgos que serequiere para una aplicación particular.

Page 15: Norma ISO 31000 Vocabulario

ISO 31010:2009 (2)( )

• La ISO 31010 no se refiere a todas las técnicas, y laomisión de una técnica de esta norma no significa que no

álidsea válida.

El h h d ét d li bl• El hecho de que un método sea aplicable a unacircunstancia particular no significa necesariamente que elmétodo deba ser aplicadométodo deba ser aplicado.

• Esta norma no se ocupa específicamente de la seguridad.Se trata de una norma genérica de gestión de riesgos ycualquier referencia a la seguridad es de carácterpuramente informativopuramente informativo.

Page 16: Norma ISO 31000 Vocabulario

ISO 31000:2009

Angel Escorial – Riskia [email protected]