presentacion iso 31000 2009 20horas.pptx

1© SGS SA 2012 ALL RIGHTS RESERVED

INTERPRETACION E IMPLEMENTACION DE LA NORMA ISO 31000:2009

PRINCIPIOS Y DIRECTRICES PARA LA ADMINISTRACIÓN Y GESTIÓN DEL RIESGO


Proporcionar a los participantes los conocimientos para la interpretación, implementación, análisis y manejo de la norma ISO 31000:2009, para la eficaz administración y gestión del riesgo.

OBJETIVO GENERAL


Todas las actividades de una organización implican riesgos, que las empresas gestionan; y que además son consultadas y comunicadas a las partes interesadas del negocio.

Las organizaciones se enfrentan a factores externos/internos que hacen incierto saber si se conseguirán sus objetivos.

Alcance de la gestión de riesgos:

La gestión de riesgos se puede aplicar a toda la organización, a sus áreas principales, o a sus proyectos y actividades específicas.

INTRODUCCION A LA GESTION DE RIESGOS


TODO SISTEMA INTEGRADO DE GESTION (SIG), CONLLEVA

INMERSO UNA GESTION DE LOS RIESGOS!!


ISO 9001:20154.4 Sistema de gestión de la calidad y sus procesos

La organización debe establecer, implementar, mantener y mejorar continuamente un sistema de gestión de la calidad, incluidos los procesos necesarios y sus interacciones, de acuerdo con los requisitos de esta Norma Internacional.

La organización debe determinar los procesos necesarios para el sistema de gestión de la calidad y su aplicación a través de la organización, y debe determinar:a) los elementos de entrada requeridos y los elementos de salida esperados de estos procesos;b) la secuencia e interacción de estos procesos;c) los criterios, métodos, incluyendo las mediciones y los indicadores del desempeño relacionados, necesarios para asegurarse la operación eficaz y el control de estos procesos;d) los recursos necesarios y asegurarse de su disponibilidad;e) la asignación de las responsabilidades y autoridades para estos procesos;


f) los riesgos y oportunidades de acuerdo con los requisitos del apartado 6.1, y planificar e implementar las acciones adecuadas para tratarlos;g) los métodos para realizar el seguimiento, mediciones, cuando sea apropiado, y evaluación de los procesos y, si es necesario, los cambios en los procesos para asegurarse de que se logran los resultados previstos;h) oportunidades de mejora de los procesos y del sistema de gestión de la calidad.

La organización debe mantener información documentada en la medida necesaria para apoyar la operación de los procesos y retener la información documentada en la medida necesaria para tener la confianza de que los procesos se realizan según lo planificado.


5.1.2 Enfoque al cliente

La alta dirección debe demostrar liderazgo y compromiso con respecto al enfoque al cliente asegurándose de que:a) se determinan y se cumplen los requisitos del cliente y los legales y reglamentarios aplicables;b) se determinan y se tratan los riesgos y oportunidades que pueden afectar a la conformidad de los productos y los servicios y a la capacidad de aumentar la satisfacción del cliente;c) se mantiene la atención puesta en proporcionar de manera coherente productos y servicios que cumplen los requisitos del cliente y los legales y reglamentarios aplicables;d) se mantiene la atención puesta en aumentar la satisfacción del cliente.


6 Planificación para el sistema de gestión de la calidad

6.1 Acciones para tratar riesgos y oportunidades6.1.1 Al planificar el sistema de gestión de la calidad, la organización debe considerar las cuestiones referidas en el apartado 4.1 y los requisitos referidos en el apartado 4.2, y determinar los riesgos y oportunidades que es necesario tratar con el fin de:a) asegurar que el sistema de gestión de la calidad pueda lograr sus resultados previstos;b) prevenir o reducir efectos indeseadosc) lograr la mejora continua. 6.1.2 La organización debe planificar:a) las acciones para tratar estos riesgos y oportunidades;b) la manera de:1) integrar e implementar las acciones en sus procesos del sistema de gestión de la calidad;


2) evaluar la eficacia de estas acciones.

Las acciones tomadas para tratar los riesgos y oportunidades deben ser proporcionales al impacto potencial en la conformidad de los productos y los servicios.

NOTA Las opciones para tratar los riesgos y oportunidades pueden incluir: evitar riesgos, asumir riesgos para perseguir una oportunidad, eliminar la fuente de riesgo, cambiar la probabilidad o las consecuencias, compartir el riesgo o mantener riesgos mediante decisiones informadas.


8.5.5 Actividades posteriores a la entrega

Cuando sea aplicable, la organización debe cumplir los requisitos para las actividades posteriores a la entrega asociadas con los productos y servicios.Al determinar el alcance de las actividades posteriores a la entrega que se requieren, la organización debe considerar:a) los riesgos asociados con los productos y servicios;b) la naturaleza, el uso y la vida prevista de los productos y servicios;c) retroalimentación del cliente;d) requisitos legales y reglamentarios.

NOTA Las actividades posteriores a la entrega pueden incluir acciones cubiertas por la garantía, obligaciones contractuales como servicios de mantenimiento, y servicios suplementarios como el reciclaje o la disposición final.


6 Planificación6.1 Acciones para tratar riesgos asociados con amenazas y oportunidades

6.1.2 Aspectos ambientales significativosDentro del alcance definido del sistema de gestión ambiental, la organización debe:a) identificar los aspectos ambientales y los impactos ambientales asociados de sus actividades, productos y servicios que puede controlar y de aquellos en los que puede influir, desde una perspectiva de ciclo de vida;b) tener en cuenta:1) los cambios, incluidos los desarrollos nuevos o planificados, y las actividades, productos y servicios nuevos o modificados;2) las situaciones anormales y de emergencia potencial identificadas.

ISO 14001:2015


La organización debe determinar aquellos aspectos que tengan o puedan tener un impacto significativo sobre el medio ambiente, es decir, aspectos ambientales significativos.La organización debe comunicar sus aspectos ambientales significativos entre los diferentes niveles y funciones de la organización.La organización debe mantener información documentada adecuada de: los criterios usados para determinar sus aspectos ambientales significativos; sus aspectos ambientales e impactos ambientales asociados; sus aspectos ambientales significativos.NOTA Los aspectos ambientales significativos pueden dar como resultado el riesgo asociado con los impactos ambientales adversos (amenazas) o los impactos ambientales beneficiosos (oportunidades).


6.1.4 Riesgo asociado con amenazas y oportunidadesLa organización debe determinar el riesgo asociado con amenazas y oportunidades que es necesario tratar con el fin de: asegurar que el sistema de gestión ambiental pueda lograr sus resultados previstos; prevenir o reducir efectos indeseados, incluyendo el potencial de que las condiciones ambientales externas afecten a la organización; lograr la mejora continua.

La organización debe mantener información documentada del riesgo asociado con amenazas y oportunidades que es necesario tratar.


8 Operación8.1 Planificación y control operacional

La organización debe planificar, implementar y controlar los procesos necesarios para cumplir los requisitos del sistema de gestión ambiental y para implementar las acciones determinadas en los apartados 6.1 Acciones para tratar riesgos asociados con amenazas y oportunidades y 6.2 Objetivos ambientales y planificación para lograrlos, mediante: el establecimiento de criterios para los procesos; la implementación del control de los procesos de acuerdo con los criterios y prevenir desviaciones de la política ambiental, de los objetivos ambientales y de las obligaciones de cumplimiento.

NOTA Los controles pueden incluir controles de ingeniería, procedimientos, procedimientos documentados, etc. Se pueden implementar siguiendo una jerarquía (por ejemplo, de eliminación, de sustitución, administrativa) y se pueden usar solos o combinados.


La organización debe controlar los cambios planificados y revisar las consecuencias de los cambios no previstos, tomando acciones para mitigar los efectos adversos, cuando sea necesario.La organización debe asegurarse de que los procesos contratados externamente estén controlados o que se tenga influencia sobre ellos. Dentro del sistema de gestión ambiental se debe definir el tipo y grado de control o influencia que se va a aplicar a estos procesos.De manera coherente con la perspectiva del ciclo de vida, la organización debe:a) determinar los requisitos ambientales para la compra de productos y servicios, según corresponda;b) establecer controles para asegurar que los requisitos ambientales se consideren en el proceso de diseño para el desarrollo, entrega, uso y tratamiento al finalizar la vida de sus productos y servicios, según corresponda;c) comunicar los requisitos ambientales pertinentes a los proveedores externos, incluidos los contratistas;d) durante la entrega de productos y servicios y durante el uso y tratamiento al finalizar la vida del producto, considerar la necesidad de suministrar información acerca de los impactos ambientales significativos potenciales.


OHSAS 18001:20074.3.1 Identificación de peligros, evaluación de riesgos y determinación de controles Se debe establecer, implementar y mantener procedimiento(s) para identificar continuamente los peligros, evaluar los riesgos y determinar los controles necesarios. Estos procedimientos deben tomar en cuenta:

a)Actividades rutinarias, no rutinarias y de emergencia.b)Actividades de todo el personal en el lugar de trabajo (incluyendo contratistas y visitantes)c)Peligros originados fuera del lugar o en la proximidad del lugar de trabajo, capaz de afectar adversamente la salud o seguridad de las personas bajo el control de la organización.e)Infraestructura, equipos y materiales en el lugar de trabajo, provistos por la

organización u otros.f) Requisitos legales aplicables.


Para determinar los controles, se debe considerar la reducción de los riesgos de acuerdo a la siguiente priorización:

a) Eliminaciónb) Sustituciónc) Controles de ingenieríad) Señalización, alertas y/o controles administrativose) Equipos de protección personal

La organización debe asegurar que los riesgos de SYSO y la determinación de controles son tomados en cuenta en el establecimiento, implementación y mantenimiento del sistema de gestión de SYSO.


NORMAS CARACTERÍSTICAS DAÑOS A EVITAR

FUENTE O SITUACIÓN

(DESEADA / NO DESEADA)

¿Aparecerá el daño? ¿Qué

pasaría si sucede?

METODO DE

CONTROL

ISO 9001 Calidad No conformidad Se IDENTIFICAN los Peligros

Se EVALUAN los Riesgos

Tratamiento del Riesgo (programas)

ISO 14001 Ambiente Contaminación

OHSAS 18001 S y So Accidente

ISO 26000 Responsabilidad Social Conflicto

ISO 28000Seguridad Cadena de Suministros

Sabotaje

ISO 22000 Inocuidad Enfermedad


7 PRINCIPIOS DE LA GESTIÓN

Orientación al cliente

Liderazgo

Participación del personal

Enfoque por Procesos

Mejora

Toma de decisiones basada en la evidencia

Gestión de las relaciones

Nota: el principio relacionado a Enfoque de Sistema para la Gestión fue retirado.


- Aumentar la probabilidad de alcanzar los objetivos- Estimular una gestión proactiva- Mejorar la identificación de oportunidades y de amenazas- Cumplir los requisitos legales y las normas internacionales- Establecer una base fiable para tomar decisiones y mejorar los controles- Asignar y utilizar de manera eficaz los recursos (tratamientos).- Mejorar la eficacia y la eficiencia operacional- Aumentar la protección ambiental y en seguridad/salud- Mejorar la prevención de pérdidas.

BENEFICIOS DE LA NORNA ISO 31000:2009


Actividades coordinadas para dirigir y controlar una organización en lo relativo al riesgo

(Definición ISO 31000)

GESTION DEL RIESGO

CONCEPTOS Y FUNDAMENTOS


Combinación de la probabilidad de un suceso y de su consecuencia

Nota 1.- El término "riesgo" suele utilizarse sólo en el caso de que exista, al menos, una posibilidad de consecuencia negativa.

Nota 2.- En algunas situaciones, el riesgo surge de la posibilidad de desviación con respecto al resultado o suceso previsto.

Guía ISO 73:2009

RIESGO


Efecto de la incertidumbre sobre la consecución de los objetivos.

NOTA 1 : Un efecto es la desviación, positiva y/o negativa, respecto a lo previsto.

NOTA 2: Los objetivos pueden tener diferentes aspectos (tales como financieros, de salud y seguridad, o ambientales) y se pueden aplicar al nivel estratégico, de un proyecto, de un producto, de un proceso o de una organización completa).

NOTA 3: El riesgo se caracteriza por referencia a sucesos potenciales (probabilidad) y a sus consecuencias.

(Definición ISO 31000:2009)

RIESGO


Posibilidad de que algún hecho se produzca.

NOTA 1.- En la terminología de la gestión del riesgo, la palabra "probabilidad" se utiliza para indicar la posibilidad de que algún hecho se produzca, que esta posibilidad está definida, medida o determinada objetiva o subjetivamente, cualitativa o cuantitativamente, y descrita de forma general o de forma matemática (tales como una probabilidad o una frecuencia sobre un periodo de tiempo dado).

(Definición ISO 31000)

PROBABILIDAD


Resultado de un suceso que afecta a los objetivos.

NOTA 1.- Un mismo suceso puede conducir a una serie de consecuencias.

NOTA 2.- Una consecuencia puede tener efectos positivos o negativos sobre la consecución de los objetivos.

NOTA 3.- Las consecuencias se pueden expresar de forma cualitativa o cuantitativa.

(Definición 31000)

CONSECUENCIA


Elemento que por sí solo o en combinación con otros, presenta el potencial intrínseco de engendrar un riesgo.

(Definición 31000)

FUENTE DE RIESGO (Ó PELIGRO)


Declaración de las intenciones y orientaciones generales de una organización en relación con la gestión del riesgo.

(Definición 31000)

POLITICA DE GESTION DEL RIESGO


NORMA ISO 31000:2009

PRINCIPIOS Y DIRECTRICES PARA LA ADMINISTRACIÓN Y GESTIÓN DEL RIESGO


a) Crea y protege el valor.

b) Es una parte integral de todos los procesos de la organización.

c) Es parte de la toma de decisiones.

d) Aborda explícitamente la incertidumbre.

e) Sistemática, estructurada y oportuna.

f) Se basa en la mejor información disponible.

g) Está adaptada a la organización.

h) Toma en consideración los factores humanos y culturales.

i) Transparente e inclusiva.

j) Dinámica, reiterativa y receptiva al cambio.

k) Facilita la mejora continua de la organización.

PRINCIPIOS DE LA GESTIÓNDEL RIESGO


a. Crear Valor.

b. Es parte integral de los procesos de la organización.

c. Es parte de la toma decisión.

d. Aborda explícitamente la incertidumbre.

e. Es sistemática estructurada y oportuna.

f. Se basa en la mejor información disponible.

g. Está adaptada.

h. Toma en consideración a los factores humanos y culturales.

i. Es trasparente e inclusiva.

j. Es dinámica, reiterativa, y receptiva al cambio.

k. Facilita la mejora y realza a la organización.

Principios (numeral 3)

Comando y compromiso (4.2)

Diseño del marco de referencia para

la gestión del riesgo(4.3)

Implementación de la gestión del

riesgo(4.4)

Mejora continua del marco de

referencia(4.6)

Seguimiento y revisión del marco de referencia (4.5)

Marco de referencia (numeral 4)

Proceso (numeral 5)

Identificación del riesgo ( 5.4.2)

Co

mu

nic

aci

ón

y c

on

sulta

(5

.2)

Análisis del riesgo (5.4.3)

Evaluación del riesgo (5.4.4)

Tratamiento del riesgo (5.5)

Mo

nito

reo

y r

evi

sió

n (

5.6

)

Establecimiento del contexto ( 5.3 )

Valoración del Riesgo (5.4)

PROCESO GENERAL PARA LA GESTIÓN DEL RIESGO


MARCO DE TRABAJO DE LA GESTION DE RIESGOS

4.2 Mandato y compromiso - Definir y aprobar la política de gestión de riesgos.- Cultura de la organización y política de gestión alineadas.- Indicadores de desempeño de la gestión de riesgos, coherente con los

de la organización.- Objetivos de la gestión de riesgos, coherente con los objetivos de la

organización.- Cumplimiento legal y reglamentario.- Rendir cuentas y responsabilidades en los diferentes niveles.- Asignar recursos necesarios.- Comunicar los beneficios de la gestión de riesgos.- Marco de trabajo sea el adecuado.


4.3 Diseño del marco de trabajo de la gestión de riesgos

4.3.1 Comprensión de la organización y su contexto

(Antes de iniciar el diseño e implementación) Evaluar y entender el contexto interno y externo de la organización.

El entorno externo puede incluir:

− El entorno cultural, social, político, legal, reglamentario, financiero, tecnológico, económico, natural y competitivo, a nivel internacional, nacional, regional o local;

− Los factores y las tendencias que tengan impacto sobre los objetivos de la organización; y

− Las relaciones con las partes interesadas externas, sus percepciones y sus valores.


El contexto interno puede incluir:

− El gobierno, la estructura de la organización, las funciones y la obligación de rendir cuentas;

− Las políticas, los objetivos y las estrategias que se establecen para conseguirlo;

− Las capacidades: recursos y conocimientos (Ej. capital, tiempo, personas, tecnología, procesos)

− Los sistemas de información, los flujos de información y los procesos de toma de decisiones;

− Las relaciones con las partes interesadas internas; La cultura de la organización;

− Las normas, las directrices y los modelos adoptados por la organización;

− La forma y amplitud de las relaciones contractuales.


4.3.2 Establecimiento de la política de la gestión de riesgos.

Debería indicar los objetivos y compromisos de la organización en materia de la gestión del riesgo.

- Razones en materia de gestión del riesgo.

- Relación entre los objetivos y políticas de la organización y las de gestión del riesgo.

- Obligación de rendir cuentas y responsabilidades en gestión de riesgos.

- Manera en que se tratan los intereses que entran en conflicto.

- Compromiso de tener los recursos disponibles.

- Manera que mide e informa sobre el desempeño de la gestión de riesgos.

- Revisar y mejorar la política y el marco de trabajo.


4.3.3 Obligación de rendir cuentas.

Establecer la obligación de rendir cuentas, la autoridad y competencias para gestionar los riesgos, incluyendo implementación, mantenimiento e idoneidad de los controles.

• Identificación de dueños de riesgos.

• Identificación quienes tienen obligación de rendir cuentas del desempeño, implementación y mantenimiento.

• Identificación de responsabilidades de todas las personas de la organización con respecto a la gestión de riesgos.

• Establecimiento procesos de medición de desempeño y de información externa y/o interna

• Establecimiento de niveles de reconocimiento adecuados.


4.3.4 Integración en los procesos de la organización

El proceso de gestión de riesgos debería formar parte de los proceso de la organización, y no ser independiente de ellos.

La gestión de riesgos debería estar integrada en el desarrollo de la política, en la planificación y la revisión de la actividad y la estrategia, y en los proceso de la gestión de cambios.

El plan de gestión de riesgos se puede integrar en otros planes de la organización como un plan estratégico.


4.3.5 Recursos

Tener en consideración:

Personas, habilidades, experiencia y competencias.

Recursos

Procesos, métodos y herramientas.

Procesos y procedimientos documentados.

Sistema de gestión de la información.

Programa de formación.


4.3.6 Establecimiento de los mecanismos internos de comunicación y de información. Comunicación de los componentes claves del marco de trabajo y sus

modificaciones.

Informes internos sobre el marco de trabajo, su eficacia y resultados.

Disponibilidad de la información obtenida en los niveles y tiempos apropiados.

Existencia de procesos para realizar consultas a la partes interesadas internas.


4.3.7 Establecimiento de los mecanismos externos de comunicación y de información. Participación de las partes interesadas externas, asegurándose un

intercambio eficaz de la información.

Establecimiento de informes externos conforme con los requisitos legales y reglamentarios y de gobiernos de la organización.

Disponibilidad de retroalimentación y de informes de comunicación y consulta.

Comunicaciones para generar confianza en la organización.

Comunicación con las partes interesadas en caso de crisis o contingencias.


4.4 Implementación de la Gestión de Riesgos.

4.4.1. Implementación del marco de trabajo de la gestión de riesgos.

Definir calendario y estrategia para la implementación.

Aplicar política y el proceso de gestión de riesgos en la organización.

Cumplir requisitos legales y reglamentarios.

Garantizar que el desarrollo y el establecimiento de los objetivos, se alinean con los resultados de los procesos de gestión del riesgo.

Organizar sesiones de información y formación.

Comunicar y consultar a las partes interesadas.


4.4.2 Implementación del procesos de gestión del riesgo.

Se debe implementar de manera que asegure el proceso de gestión del riesgo.

Se aplica mediante un plan de gestión de riesgos (especifica el enfoque, los componentes de gestión (procedimientos, prácticas, responsabilidades, secuencia de actividades) y los recursos en todos los niveles y funciones pertinentes de la organización, como parte de sus prácticas y procesos.


4.5 Seguimiento y revisión del marco de trabajo. Medir el desempeño de la gestión de riesgos respecto a los indicadores.

Medir periódicamente el progreso y desviaciones respecto al Plan de gestión de riesgos.

Revisar periódicamente si el marco de trabajo, la política y el plan de gestión de riesgos son adecuados, a la vista del contexto interno y externo de la organización.

Revisar la eficacia del marco de trabajo de la gestión del riesgo.


4.6 Mejora continua del marco de trabajo.

Se debería conducir a mejoras en la gestión de riesgos por parte de la organización, así como mejoras de su cultura de gestión del riesgo.


IMPLEMENTACIÓN DE LA GESTIÓN DEL RIESGO


ELEMENTOS DE CONTROL PARA LA IMPLEMENTACION

1. CONTEXTO ESTRATEGICO

2. IDENTIFICACION DEL RIESGO

3. ANALISIS DE RIESGOS

4. VALORACION DE RIESGOS

5. POLITICAS DE ADMINISTRACION DE RIESGOS


Establecimiento del contexto (5.3)

Identificación del riesgo (5.4.2)

Análisis del riego (5.4.3)

Evaluación del riesgo (5.4.4)

Tratamiento del riesgo (5.5)CO

MU

NIC

AC

IÓN

Y C

ON

SU

LTA

(5.2

)

MO

NIT

OR

EO

Y R

EV

ISIO

N (

5.6

)

Valoración del riesgo (5.4)

ELEMENTOS DEL PROCESO DE GESTIÓN DEL RIESGO


(5.2) COMUNICACIÓN Y CONSULTA

Procesos continuos y reiterativos que una organización lleva a cabo para suministrar, compartir u obtener información e involucrarse en un diálogo con las partes involucradas con respecto a la gestión del riesgo.

Que permite lograr:

- Evidenciar la gestión del riesgo.

- Agregar valor a la organización

- Integración de perspectivas

- Mejora de la determinación del riesgo

- Tratamiento efectivo de riesgo


1. CONTEXTO ESTRATÉGICO (5.3)

Definición de los parámetros internos y externos que se han de tomar en consideración cuando se gestiona el riesgo, y establecimiento del alcance y los criterios del riesgo para la política para la gestión del riesgo.

Ambiente externo en el cual la organización busca alcanzar sus objetivos. Son situaciones del entorno o externas pueden ser de carácter:

- Social- Cultural- Económico - Tecnológico - Político y legal - Internacional, nacional o regional según sea el caso de análisis.

Ambiente interno en el cual la organización busca alcanzar sus objetivos. Las situaciones internas están relacionadas con:

- La estructura- Cultura organizacional- El modelo de operación- El cumplimiento de los planes y programas- Los sistemas de información- Los procesos y procedimientos - Los recursos humanos - Y los económicos con los quecuenta una entidad.


FORTALEZAS / DEBILIDADES

OPORTUNIDADES / AMENAZAS

Percepción y ObjetivosPartes interesadas

Misión / VisiónObjetivos estratégicosPolíticas de comunicaciónPartes interesadas

ORGANIZACION

Contexto: Aspectos financieros, operacionales, competitivos, percepción / imagen ante el publico, responsabilidad social, del cliente, culturales, legales

ASPECTOS DEL CONTEXTO ESTRATÉGICO


HERRAMIENTAS A UTILIZAR EN ESTA FASE

• Entrevistas Estructuradas con los Responsables de Procesos

• Evaluaciones Individuales del Proceso

• Lluvia de Ideas

• Personal ajeno a la institución

• Diagramas de Flujo

• Análisis de Escenarios

• Registros Históricos

• Opiniones de Expertos

SE DEBE PRIORIZAR LOS RIESGOS PARA SU ANALISIS Y MANEJO


2. IDENTIFICACIÓN DEL RIESGO (5.4.2)

La identificación del riesgo se realiza determinando las fuentes, causas y consecuencias potenciales, con base en los factores internos y/o externos analizados para la organización, y que pueden afectar el logro de los objetivos.

Es importante centrarse en los riesgos más significativos para la organización, relacionados con los objetivos de los procesos y los organizacionales generales.

VALORACIÓN DEL RIESGO


IDENTIFICACIÓN DEL RIESGO

DEFINICIONES CLAVE

DESCRIPCIÓN DEL RIESGOComponentes básicos del riesgo: fuentes, evento, causas y consecuencias.

FUENTE DE RIESGOElemento que solo o en combinación tiene el potencial de originar un riesgo.

EVENTOPresencia o cambio de un conjunto particular de circunstancias.

PELIGRO Fuente de daño potencial.

PROPIETARIO DEL RIESGO Persona o entidad con la responsabilidad de rendir cuentas y la autoridad para gestionar un riesgo.


TIPIFICACIÓN BÁSICA DE LAS CLASES DE RIESGO

RIESGO ESTRATÉGICOSe asocia con la forma en que se administra la organización. El manejo del riesgo estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la organización por parte de la alta gerencia.

RIESGOS DE IMAGEN - REPUTACIONALESEstán relacionados con la percepción y la confianza por parte de los clientes, la comunidad y diferentes grupos sociales hacia la organización.

RIESGOS OPERATIVOSComprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de información organizacional, de la definición de los procesos, de la estructura de la organización, de la articulación entre dependencias y procesos.


RIESGOS FINANCIEROSSe relacionan con el manejo de los recursos de la organización que incluyen: la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes.

RIESGOS DE CUMPLIMIENTOSe asocian con la capacidad de la organización para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la sociedad y comunidad.

RIESGOS DE TECNOLOGÍAEstán relacionados con la capacidad tecnológica de la organización para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión.

TIPIFICACIÓN BÁSICA DE LAS CLASES DE RIESGO


• Aquello que tiene el potencial intrínseco para hacer daño o generar oportunidadesFuente

• Aquello que ocurre, de manera que la fuente de riesgo genera un impactoEvento / Incidente

• Un resultado o impacto sobre un grupo de partes involucradas y recursosConsecuencia

• El qué y por qué de la presencia del peligro o evento que ocurreCausa

• Controles establecidos y su nivel de eficaciaControles

• Cuando puede ocurrir el riesgo y dónde puede ocurrirCuando / Donde

COMPONENTES DE LA IDENTIFICACIÓN DEL RIESGO


MODELO BÁSICO DE IDENTIFICACIÓN DEL RIESGO

OBJETIVO DEL CAUSA RIESGO DESCRIPCIÓN CONSECUENCIAS

PROCESO POTENCIALES

PROCESO:

Preguntas claves para la identificación del riesgo.¿Qué puede suceder?

¿Cómo puede suceder?Es importante observar que el proceso de identificacióndel riesgo es posible realizarlo a partir de varias causas

que pueden estar relacionadas.


3. ANÁLISIS DEL RIESGO

DEFINICIONES CLAVE

ANÁLISIS DEL RIESGOProceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo.

EXPOSICIÓNExtensión hasta la cual una organización, una parte involucrada o ambas están sujetas a un evento.

CONSECUENCIA Resultado de un evento que afecta a los objetivos.

PROBABILIDADMedida de la oportunidad de la ocurrencia.

NIVEL DE RIESGOMagnitud de un riesgo o de una combinación de riesgos, expresada en términos de la combinación de las consecuencias y su posibilidad


3. ANÁLISIS DEL RIESGO

Busca establecer:

Probabilidad Frecuencia Impacto de sus

De ocurrencia Factibilidad consecuencias

El análisis del riesgo busca establecer la probabilidad de ocurrencia del mismo y sus consecuencias, éste último aspecto puede orientar la clasificación del riesgo, con el fin de obtener información para establecer el nivel de riesgo y las acciones que se van a implementar.

Pasos claves en el análisis de riesgos

- Determinar probabilidad- Determinar consecuencias- Clasificación del Riesgo- Estimar el nivel del riesgo


TABLA DE PROBABILIDAD

NIVEL DESCRIPTOR DESCRIPCIÓN FRECUENCIA

1 RaroEl evento puede ocurrir solo en circunstancias excepcionales.

No se ha presentado en los últimos 5 años.

2 Improbable El evento puede ocurrir en algún momento.Al menos de 1 vez en los últimos 5 años.

3 Posible El evento podría ocurrir en algún momento.Al menos de 1 vez en los últimos 2 años.

4 ProbableEl evento probablemente ocurrirá en la mayoría de las circunstancias.

Al menos de 1 vez en el último año.

5 Casi SeguroSe espera que el evento ocurra en la mayoría de las circunstancias. Más de una vez al año.

TABLA MODELO PARA EL ANÁLISIS DEL RIESGO


Nivel Probabilidad Descripción

A Casi ciertoSe espera que ocurra en la mayoría de las circunstancias.

B ProbablePuede probablemente ocurrir en la mayoría de las circunstancias.

C Posible Es posible que ocurra algunas veces.

D Improbable Podría ocurrir algunas veces.

E RaroPuede ocurrir solamente en circunstancias excepcionales.

Nota.- Todos los criterios de evaluación deben estar claramente definidos para darle a la evaluación del riesgo las características de repetibilidad y reproducibilidad.

CRITERIOS DE EVALUACION: PROBABILIDAD


PROBABILIDAD DESCRIPCION FRECUENCIA DE APARICION

Casi seguro El evento ocurrirá anualmente Una vez al año o con más frecuencia

Muy posible El evento ha ocurrido varias veces o más durante su carrera

Una vez cada tres años

Posible El evento podría ocurrir una vez durante su carrera

Una vez cada diez años

Improbable El evento ocurre en algún lugar, de vez en cuando

Una vez cada treinta años

Raro Ha oído de que algo similar ocurre en otro lado

Una vez cada 100 años

Muy raro Nunca ha oído que esto ocurra Una vez cada 1000 años

Casi increíble Teóricamente posible, pero no se espera que ocurra

Una vez cada 10000 años

CRITERIOS DE EVALUACIÓN: PROBABILIDAD


TABLA DE IMPACTO

NIVEL DESCRIPTOR DESCRIPCIÓN

1 InsignificanteSi el hecho llegara a presentarse, tendría consecuencias o efectos mínimos sobre la entidad.

2 Menor Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la entidad.

3 ModeradoSi el hecho llegara a presentarse, tendría medianas consecuencias o efectos sobre la entidad.

4 MayorSi el hecho llegara a presentarse, tendría altas consecuencias o efectos sobre la entidad.

5 CatastróficoSi el hecho llegara a presentarse, tendría desastrosas consecuencias o efectos sobre la entidad.

TABLA MODELO PARA EL ANÁLISIS DEL RIESGO


DESCRIPTIVO DEFINICION

Severa La mayoría de los objetivos no se pueden lograr

Mayor Algunos objetivos importantes no se pueden lograr

Moderada Algunos objetivos afectados

Menor Efectos menores que se remedian fácilmente

Insignificante Impacto insignificante sobre los objetivos

CRITERIOS DE EVALUACIÓN: CONSECUENCIA


Nivel Consecuencia Descripción

1 Insignificante Nivel de daño y pérdidas financieras pequeñas.

2 MenorPérdida financiera media; tratamiento de primeros auxilios en el sitio; efectos ambientales detenidos en el sitio.

3 ModeradaPérdida financiera alta; requiere tratamiento médico; descargas se detienen en el sitio con ayuda externa.

4 MayorPérdidas financieras considerables; lesiones grandes; pérdidas de capacidad de producción; descargas fuera del sitio sin efectos perjudiciales.

5 CatastróficaPérdida financiera enorme; muerte; liberación de tóxicos fuera del sitio con efecto perjudicial.

Nota.- Los criterios descritos, ya sean de probabilidad o severidad, pueden determinarse para uno o más sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001, etc.); es decir puede o no encontrarse de manera integrada.

CRITERIOS DE EVALUACIÓN: SEVERIDAD


NIVEL DE SEVERIDAD

REDUCCION DE

UTILIDADES

SEGURIDAD Y SALUD

MEDIO AMBIENTE HERENCIA SOCIAL Y CULTURAL

COMUNIDAD, GOBIERNO, REPUTACION, MEDIOS

LEGAL

Muy alto> 500 millones

Muchas muertes o efectos significativos irreversibles >50 personas Daño ambiental

muy grave y a largo plazo, de las funciones del ecosistema

Enjuiciamientos y multas significativas

Alto > 400 millones

Una sola muerte y/o discapacidad severa irreversible (>30%) a una ó más personas

Problemas sociales en curso. Daño significativo a elementos de importancia cultural

Protestas graves al público o de los medios (cobertura internacional)

Violación mayor de los reglamentos. Litigios mayores

Medio> 300 millones

Discapacidad o daño irreversible moderado (<30%) a una ó más personas

Efectos ambientales graves a término medio

Atención significativa adversa a los medios, público, ONG

Violación grave de los reglamentos, con investigación o informe a la autoridad, con enjuiciamiento y/o posibles hallazgos moderados

Bajo> 200 millones

Discapacidad objetiva pero reversible que requiere hospitalización

Efectos moderados a corto plazo, que no afectan las funciones del ecosistema

Problemas sociales en curso. Daño permanente a elementos de importancia cultural

Atención de los medios, preocupación intensificada por la comunidad local. Críticas de las ONG

Muy bajo > 100 millones

No se requiere tratamiento médico

Efectos menores sobre el medio ambiente

Impactos ambientales sociales menores a mediano plazo, sobre la población local. En su mayoría es subsanable

Atención médica o quejas adversas menores del público local

Aspectos legales, no conformidades y violaciones menores

CRITERIOS DE EVALUACIÓN: SEVERIDAD (Integrados)


CALIFICACIÓN DEL RIESGO

Se logra a través de la estimación de la probabilidad de su ocurrencia y el impacto que puede causar la materialización del riesgo.

Para determinar el impacto se pueden utilizar los siguientes conceptos:

- Impacto de confidencialidad de la información

- Impacto de credibilidad o imagen

- Impacto legal

- Impacto operativo


EVALUACIÓN DEL RIESGO

Permite comparar los resultados de la calificación del riesgo, con los criterios definidos para establecer el grado de exposición de la organización al mismo; de esta forma es posible distinguir entre los riesgos:

- Aceptables

- Tolerables

- Moderados

- Importantes o inaceptables

- Fijar las prioridades de las acciones requeridas para su tratamiento.


MATRIZ MODELO DE CALIFICACIÓN, EVALUACIÓN Y RESPUESTA A LOS RIESGOS

PROBABILIDAD IMPACTO

Insignificante (1) Menor (2) Moderado (3) Mayor (4) Catastrofico (5)

Raro (1) B B M A A

Improbable (2) B B M A E

Posible (3) B M A E E

Probable (4) M A A E E

Casi Seguro (5) A A E E E

B: Zona de riesgo Baja: Asumir el riesgoM: Zona de riesgo Moderada: Asumir el riesgo, Reducir el riesgoA: Zona de riesgo Alta: Reducir el riesgo, Evitar, Compartir o TransferirE: Zona de riesgo Extrema: Reducir el riesgo, Evitar, Compartir o Transferir


4. VALORACIÓN DEL RIESGO

La valoración del riesgo es el producto de confrontar los resultados de la evaluación del riesgo con los controles identificados, esto se hace con el objetivo de establecer prioridades para su manejo y para la fijación de políticas.

Para adelantar esta etapa se hace necesario tener claridad sobre los puntos de control existentes en los diferentes procesos, los cuales permiten obtener información para efectos de tomar decisiones.

Acciones fundamentales para valorar el riesgo.

- Identificar controles existentes

- Verificar efectividad de los controles

- Establecer prioridades de tratamiento


4. VALORACIÓN DEL RIESGO

DEFINICIONES CLAVEEVALUACIÓN DEL RIESGOProceso de comparación de los resultados del análisis del riesgo con los criterios del riesgo, para determinar si el riesgo, su magnitud o ambos son aceptables o tolerables.

ACTITUD HACIA EL RIESGOEnfoque de la organización para evaluar y eventualmente buscar, retener, tomar o alejarse del riesgo.

TOLERANCIA AL RIESGOPreparación de la organización o de la parte involucrada para soportar el riesgo después del tratamiento del riesgo con el fin de lograr sus objetivos.

AGRUPACIÓN DE RIESGOCombinación de un número de riesgos en un solo riesgo para desarrollar una comprensión más completa del riesgo global.

ACEPTACIÓN DEL RIESGODecisión informada de tomar un riesgo particular.


VALORACIÓN DEL RIESGO - CONTROLES

Para realizar la valoración de los controles existentes es necesario recordar que éstos se clasifican en:

Preventivos:

Aquellos que actúan para eliminar las causas del riesgo para prevenir su ocurrencia o materialización.

Correctivos:

Aquellos que permiten el restablecimiento de la actividad, después de ser detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia.


EJEMPLOS DE TIPOS DE CONTROL

Políticas claras aplicadas Seguimiento al plan estratégico y operativo

Controles Indicadores de gestiónde Tableros de control

Gestión Seguimiento a cronograma Evaluación del desempeño Informes de gestión Monitoreo de riesgos Conciliaciones Consecutivos Verificación de firmas

Controles Listas de chequeoOperativos Registro controlado

Segregación de funciones Niveles de autorización Custodia apropiada Personal capacitado Aseguramiento y calidad

Controles Normas claras y aplicadasLegales Control de términos


5. POLITICAS DE ADMINISTRACIÓN Y GESTIÓN DEL RIESGO

TRATAMIENTO DEL RIESGO


POLÍTICAS DE ADMINISTRACIÓN DEL RIESGO

Las políticas identifican las opciones para tratar y manejar los riesgos basadas en la valoración de los mismos, permiten tomar decisiones adecuadas y fijar los lineamientos, que van a transmitir la posición de la dirección y establecen las guías de acción necesarias a todos los colaboradores de la organización.

Debe contener:

- Los objetivos que se esperan lograr.

- Las estrategias para establecer cómo se va a desarrollar las políticas, a largo, mediano y corto plazo.

- Los riesgos que se van a controlar.

- Las acciones a desarrollar contemplando el tiempo, los recursos, los responsables y el talento humano requerido.

- El seguimiento y evaluación a la implementación y efectividad de las políticas.


DEFINICIONES CLAVE

TRATAMIENTO DEL RIESGO Proceso para modificar el riesgo.

Nota 1: El tratamiento del riesgo puede implicar: evitar el riesgo decidiendo no iniciar o continuar la actividad que lo originó tomar o incrementar el riesgo con el fin de perseguir una oportunidad retirar la fuente del riesgo cambiar la probabilidad cambiar las consecuencias compartir el riesgo con una o varias de las partes (incluyendo los contratos y la

financiación del riesgo) retener el riesgo a través de la decisión informada.

Nota 2: En ocasiones se hace referencia a los tratamientos del riesgo relacionados con consecuencias negativas como "mitigación del riesgo", "eliminación del riesgo", "prevención del riesgo" y "reducción del riesgo".

Nota 3: El tratamiento del riesgo puede crear riesgos nuevos o modificar los existentes


5. POLITICAS DE ADMINISTRACION

Y GESTIÓN DEL RIESGO

TRATAMIENTO DEL RIESGO

ESTRUCTURACION DE CRITERIOS PARA TOMA DE DECISIONES

Tratamiento de Riesgos Efectos al interior de la

Organización


TIPOLOGIA BÁSICA DE POLITICAS

DE ADMINISTRACION Y GESTIÓN DEL RIESGO

Se pueden manejar independientes, interrelacionadas o en conjunto

EVITAR EL RIESGO

Prevenir la materialización del Riesgo mediante

Mejoramiento Rediseño Eliminación Adecuados Controles


REDUCIR EL RIESGO

Disminuir la Probabilidad y el Impacto

Medidas de Prevención Medidas de Protección

Optimización de Procedimientos

Implementación y/o cambio de los controles existentes.




COMPARTIR O TRANSFERIR EL RIESGO

Reducir el efecto a partir de la transferencia de las perdidas a otra entidad u organización.

ASUMIR EL RIESGO

El riesgo ha sido manejado (reducido o transferido) pero han quedado vestigios del riesgo, se establecen planes de contingencia para su manejo y seguimiento.




Opciones de tratamiento

Evitar el riesgo al

decidir no iniciar o

continuar la actividad que

lo originóTomar o

incrementar el riesgo para

perseguir una oportunidad

Retirar la fuente

de riesgo

Cambiar la

probabilidad.

Cambiar las

consecuencias

Compartir el riesgo con una o

varias de las partes,

(incluyendo los contratos y la

financiación del riesgo); y

Retener el riesgo

mediante una

decisión informada.

OTRAS OPCIONES DE TRATAMIENTO DEL RIESGO


ASPECTOS A EVALUAR EN LA ELECCIÓN DE LAS POLÍTICAS

Viabilidad Jurídica

Se debe tener en cuenta Viabilidad Técnica

Viabilidad Organizacional

Viabilidad Financiera o Económica

Análisis de Costo - Beneficio


MONITOREO Y REVISIÓN

El monitoreo es esencial para asegurar que las acciones se están llevando a cabo y evaluar la eficiencia en su implementación adelantando revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicación de las acciones preventivas.

DEFINICIONES CLAVE

REPORTE DEL RIESGO Forma de comunicación destinada a informar a las partes involucradas internas y externas, proporcionando información relacionada con el estado del riesgo y su gestión.

REGISTRO DEL RIESGORegistro de la información acerca de los riesgos identificados.

PERFIL DEL RIESGODescripción de cualquier conjunto de riesgos.


MAPA DE RIESGOS POR PROCESO

Facilita la elaboración del mapa institucional, que se alimenta de éstos, teniendo en cuenta que solamente de trasladan al institucional aquellos riesgos que permanecieron en las zonas más altas de riesgo y que afecten el cumplimiento de la misión institucional y objetivos de la entidad.


MODELO MAPA DE RIESGOS

MAPA DE RIESGOS

PROCESO:

OBJETIVO DEL PROCESO:

CALIFICACIÓN EVALUACIÓN CONTROLES NUEVA CALIFICACION NUEVA POLÍTICAS

RIESGO PROBABILIDAD IMPACTO RIESGO PROBABILIDAD IMPACTO CALIFICACIÓN DE MANEJO ACCIONES RESPONSABLE INDICADOR


GRACIAS

presentacion iso 31000 2009 20horas.pptx

Documents