Admin_integral Del Riesgo_empresarial y Proyectos
Short Description
Descripción: Administración integral del Riesgo en empresas y productos en general...
Description
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
ADMINISTRACIÓN DEL RIESGO EN EL CONTEXTO EMPRESARIAL Y DE PROYECTOS Ing. Mauricio Penagos Acosta – AIRM Consultor en proyectos International Risk Manager Bogotá, D. C. - Colombia, abril de 2012
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
AGENDA 1. ADMINISTRACIÓN DEL RIESGO 2. CONCEPTOS BÁSICOS DEL RIESGO • • • • •
3. 4. 5. 6. 7.
Riesgo e incertidumbre Definición de riesgo Visión clásica del riesgo Visión estratégica del riesgo Tipos de riesgo
ALGUNAS NORMAS PARA LA GESTION DEL RIESGO ADMINISTRACIÓN INTEGRAL DEL RIESGO MÉTODOS PARA IDENTIFICAR EL RIESGO MÉTODOS PARA VALORAR EL RIESGO TÉCNICAS DE TRATAMIENTO DEL RIESGO • Técnicas de control • Técnicas de mitigación
8. ANÁLISIS DEL RIESGO FINANCIERO 9. SISTEMA DE ADMINISTRACIÓN INTEGRAL DEL RIESGO 10. COSTOS DE LA ADMINISTRACIÓN DEL RIESGO
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
1. ADMINISTRACIÓN DEL RIESGO
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
La administración del riesgo es la identificación, evaluación y priorización del riesgo junto con las gestiones para transformar el riesgo, controlando la probabilidad y mitigando el impacto de los eventos generadores de riesgo
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Una gestión del riesgo eficiente se puede traducir en beneficios económicos para la organización, constituyéndose en una herramienta clave para la toma de decisiones La gestión del riesgo ocupa un importante papel en la empresa moderna, contribuyendo al cumplimiento de los objetivos estratégicos y metas previstas No se concibe una empresa que pretenda avanzar con pasos firmes hacia el éxito sin contar con actividades de gestión el riesgo bien organizadas.
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
La mayoría de metodologías de gestión del riesgo incluyen como mínimo los siguientes elementos: 1. Identificar, caracterizar y evaluar eventos generadores de riesgo. 2. Evaluar la vulnerabilidad de los activos críticos ante amenazas específicas. 3. Determinar el riesgo: la probabilidad de ocurrencia y la consecuencia de eventos 4. Identificar maneras de evitar, transferir, reducir o asumir los riesgos. 5. Priorizar las acciones basadas en una estrategia de principios y políticas de la gestión del riesgo.
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
ARTICULACIÓN: ADMINISTRACION Y EVALUACION DEL RIESGO
www.google.com – esquemas de riesgo
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
LA METODOLOGÍA PMI* PARA PROYECTOS PROVEE LOS SIGUIENTES 6 PASOS: 1. PLAN RISK MANAGEMENT 2. INDENTIFY RISK 3. PERFORM QUALITIVE ANALYSIS 4. PERFORM QUANTITATIVE ANALYSIS 5. PLAN RISK RESPONSES 6. MONITOR AND CONTROL RISK RESPONSES * Project Management Institute, Inc
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
1. PLAN RISK MANAGEMENT Este proceso se enfoca en determinar cómo se realizará la administración del riesgo en el proyecto, quienes, cuando y que políticas y procedimientos se utilizarán. Incluye también: • Categorías para la clasificación del riesgo • RBS (Risk Breakdown Structure) • Guías para la estimación de la Probabilidad e Impacto • Reservas requeridas • Planes de respaldo (fallback plans)
Rita Mulcahy´s – Risk Management. Tricks of the trade for project managers. 2° Edition.
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
RBS- Risk Breakdown Structure RIESGOS DEL PROYECTO
RIESGOS TECNICOS
Calidad de los insumos Especificaciones técnicas no adecuadas
RIESGOS EXTERNOS
RIESGOS ORGANIZACIONALES
Condiciones climáticas
Deserción laboral
Proveedores no óptimos
Recorte en presupuesto
Cambios en normas o regulaciones
Cambios en prioridades
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
1. PLAN RISK MANAGEMENT Entradas: • • • • • •
Activos de los procesos de la organización Factores ambientales de la organización Declaración del alcance del proyecto Plan de administración de costos Plan de administración de comunicaciones Plan de administración del tiempo
Rita Mulcahy´s – Risk Management. Tricks of the trade for project managers. 2° Edition.
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
2. INDENTIFY RISK En este proceso los involucrados en el proyecto elaboran lista largas de amenazas y oportunidades por paquetes de trabajo. Incluye : • Determinación de causa – riesgo – efecto • Entendimiento del riesgo Entradas para la identificación del riesgo: • Acta del proyecto • Plan de gestión del riesgo • Lista de categorías de riegos • Información histórica • Registro de involucrados Rita Mulcahy´s – Risk Management. Tricks of the trade for project managers. 2° Edition.
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
2. INDENTIFY RISK Salidas de la identificación del riesgo: • Registro de riesgos • Listas de riesgos • Causa raíz de los riesgos • Propietarios potenciales de los riesgos • Lista de opciones de tratamiento • Disparadores del riesgo • Actualización de categorías de riesgos
Rita Mulcahy´s – Risk Management. Tricks of the trade for project managers. 2° Edition.
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
3. PERFORM QUALITIVE ANALYSIS Este proceso incluye un análisis subjetivo de los riesgos identificados; determina cuales requerirán tratamiento, creando una lista corta y determina cuales requerirán análisis cuantitativo. Entradas para el análisis cualitativo del riesgo: • Plan de gestión del riesgo • Registro de riesgos (lista de riesgos potenciales) • Declaración del alcance del proyecto • Tipo de proyecto y entendimiento del trabajo requerido • Datos acerca del riesgo para ser usados durante la medición • Supuestos a verificar • Escala de probabilidad e impacto • Información histórica Rita Mulcahy´s – Risk Management. Tricks of the trade for project managers. 2° Edition.
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
3. PERFORM QUALITIVE ANALYSIS Salidas del análisis cualitativo del riesgo: • Actualización del registro del riesgos • Ranking de riesgos • Lista de riesgos priorizados • Riesgos agrupados por categorías • Lista de riesgos que requieren de un pronto análisis adicional • Lista de riesgos para análisis adicional y tratamiento • Watchlist: lista de riesgos bajos • Tendencias • Decisión de hacer o no hacer en el proyecto (go/no-go decision) Rita Mulcahy´s – Risk Management. Tricks of the trade for project managers. 2° Edition.
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
4. PERFORM QUANTITATIVE ANALYSIS Este proceso desarrolla un análisis numérico de la P e I de un riesgo específico y de los riesgos en general. Entradas para el análisis cuantitativo del riesgo: • Actualización del registro del riesgos • Lista de riesgos priorizados • Riesgos agrupados por categorías • Lista de riesgos que requieren de un pronto análisis adicional • Lista de riesgos para análisis adicional y tratamiento
Rita Mulcahy´s – Risk Management. Tricks of the trade for project managers. 2° Edition.
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
4. PERFORM QUANTITATIVE ANALYSIS Salidas del análisis cuantitativo del riesgo: • Lista priorizada de riesgos cuantificados • Tiempo contingente y reservas en costos necesarios • Fechas y costos realistas, en un grado de precisión, versus fechas y costos definidos en el proyecto • Probabilidad de logro de los objetivos del proyecto • Tendencias
Rita Mulcahy´s – Risk Management. Tricks of the trade for project managers. 2° Edition.
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
5. PLAN RISK RESPONSES Este proceso consiste en determinar qué se puede hacer para reducir el riesgo en general del proyecto, disminuyendo la probabilidad y/o el impacto de una lista corta de amenazas e incrementando la probabilidad y/o el impacto de una lista de oportunidades. Se fundamenta en la información del registro de riesgos, incluyendo también: • Información sobre análisis de actividades con los riesgo más altos, las causas más comunes y cualquier actividad individual de altos niveles de riesgo • Propietarios de los riesgos en los procesos
Rita Mulcahy´s – Risk Management. Tricks of the trade for project managers. 2° Edition.
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
5. PLAN RISK RESPONSES Las estrategias para las amenazas incluyen: Evitar: Elimina la amenaza, eliminando la causa Mitigar: Reduce el valor monetario esperado del riesgo, reduciendo la P o I Transferir: Traslada a un tercero el riesgo a través de un subcontrato o una póliza de seguros Aceptar: No hacer nada
Rita Mulcahy´s – Risk Management. Tricks of the trade for project managers. 2° Edition.
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
5. PLAN RISK RESPONSES Las estrategias para las oportunidades incluyen: Explotar: incrementa la oportunidad, haciendo la causa más probable Aumentar: Incrementa el tiempo esperado, cualidad o valor monetario del riesgo, incrementando la P o el I de ocurrencia Compartir: Retener apropiadamente oportunidades o parte de ellas en lugar de intentar transferirlas a otros Aceptar: No hacer nada
Rita Mulcahy´s – Risk Management. Tricks of the trade for project managers. 2° Edition.
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
6. MONITOR AND CONTROL RISK RESPONSES Dado que el plan de respuesta o tratamiento del riesgo se implementa cuando un riesgo puede ocurrir, es necesario monitorear los disparadores del riesgo, identificar nuevos riesgos y evaluar la efectividad del plan. Objetivos del proceso: • • • • • • • • • •
Implementar plan de respuesta, asegurando su cumplimiento Gestionar contingencias y administrar reservas Crear soluciones Refinar y actualizar el registro de riesgos Monitorear supuestos y el riesgo residual Identificar nuevos riesgos, incluyendo análisis y tratamiento Reestimar el proyecto Mantener informados a los involucrados sobre el estado de los riesgos Crear lecciones aprendidas Evaluar el impacto del riesgo en el costo, tiempo, alcance y demás.
Rita Mulcahy´s – Risk Management. Tricks of the trade for project managers. 2° Edition.
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
6. MONITOR AND CONTROL RISK RESPONSES Entradas del proceso: • Plan de gestión del riesgo • Registro de riesgos • Información de desempeño de los trabajos
Salidas: • • • • • •
Registro de riesgos actualizado Requerimientos de ajustes Plan de gestión del riesgo actualizado Documentos del proyecto actualizados Activos de los procesos de la organización actualizados Lecciones aprendidas
Rita Mulcahy´s – Risk Management. Tricks of the trade for project managers. 2° Edition.
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
2. CONCEPTOS BÁSICOS DEL RIESGO
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
DEFINICIONES DE RIESGO AS/NZ 4360: “La Posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance de los objetivos. El riesgo en términos de una combinación de un evento o circunstancia y su probabilidad” NTC 5254: “La posibilidad de que suceda algo que tendrá impacto en los objetivos. Se mide en términos de consecuencias y posibilidad de ocurrencia” ISO*: “Combinación de la Probabilidad de un Evento y su Consecuencia siempre y cuando exista la posibilidad de pérdidas” *Definición anterior a la ISO 31000
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
RIESGO e INCERTIDUMBRE • La incertidumbre se puede interpretar como la desviación media absoluta de un valor esperado • El riesgo es la desviación media absoluta de una meta específica, un objetivo o un umbral • El riesgo tiene un impacto y es más subjetivo • El riesgo no existe sin un objetivo
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
¿Qué es RIESGO? “Efecto de la incertidumbre en los objetivos*” • Un efecto es una desviación de lo esperado – positivo y/o negativo. • La incertidumbre es el estado (total o parcial) de deficiencia de información en relación al entendimiento o conocimiento de un evento, su consecuencia o su probabilidad. • El riesgo es casi siempre caracterizado en referencia a potenciales eventos y sus consecuencias o por una combinación de éstas. • El riesgo es casi siempre expresado en términos de una combinación de las consecuencias de un evento (incluyendo cambio en circunstancias) y probabilidad asociada de ocurrencia. *ISO-GUIDE 73:2009, Risk Management - Vocabulary
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Valoración del Riesgo RIESGO(E) = Probabilidad(E) x Consecuencia(E) E = Evento* Un evento es una ocurrencia o un cambio de un grupo particular de circunstancias NOTA 1. Un evento puede tener una o más ocurrencias y puede tener varias causas NOTA 2. Un evento consistir en algo que no pasa NOTA 3. Un evento algunas veces puede ser referido como “incidente” o “accidente” *ISO-GUIDE
73:2009, Risk Management - Vocabulary
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
RIESGO(E) Valoración del=Riesgo Probabilidad(E) x Consecuencia(E) x Nivel de exposición(E) Nivel de exposición: grado de repetición del evento
RIESGO(E) = Probabilidad(E) x Consecuencia(E) x Nivel de exposición(E) / Nivel de seguridad(E)
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Visión clásica del riesgo
Riesgo
Desviación negativa* Debilidades, amenazas, etc.
* La desviación negativa es la desmejora del resultado esperado, producto de la materialización u ocurrencia de un evento o un grupo de estos y que afecta negativamente el logro de uno o varios objetivos. Fuente: Fundación Latinoamericana de Administración de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Visión estratégica del riesgo (Risk & Reward)
Desviación Positiva*
(fortalezas, oportunidades, etc.)
Riesgo
Desviación Negativa (Debilidades, amenazas, etc.) * La Desviación Positiva es la mejora del resultado esperado, producto de la materialización u ocurrencia de un evento o un grupo de estos y que afecta positivamente el logro de uno o varios objetivos Fuente: Fundación Latinoamericana de Administración de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
CAPACIDAD DE RETENCIÓN DEL RIESGO APETITO DE RIESGO
Es la máxima cantidad de riesgo que una organización está en Cantidad total de riesgo capacidad de absorber que una organización o cualquier otra entidad esta dispuesta a aceptar para alcanzar su misión (o visión)
TOLERANCIA DE RIESGO La variación relativa aceptable para el cumplimiento de un objetivo.
Fuente: Fundación Latinoamericana de Administración de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
CLASIFICACIÓN DEL RIESGO SEGÚN EVENTOS SEGÚN SU NATURALEZA • Riesgos Accidentales • Riesgos Operativos • Riesgos Financieros • Otros tipos de Riesgos
SEGÚN EL TIPO DE OBJETIVO • Nivel Estratégico • Nivel Táctico SEGÚN EL ORIGEN
• Nivel Operativo • Otros Niveles
• Origen Interno • Origen Externo
Fuente: Fundación Latinoamericana de Administración de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
CRITERIOS DE CLASIFICACIÓN DEL RIESGO Riesgo según su naturaleza Accidentales
Estratégicos
Riesgo según tipo de objetivo
Externos
Tácticos
Internos
Operativos
Riesgo según su origen
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
MATRIZ DE RELACIÓN ENTRE LOS DIFERENTES CRITERIOS DE CLASIFICACIÓN DEL RIESGO NIVELES (OBJETIVOS)
NATURALEZA
ORIGEN
RIESGO ACCIDENTAL
RIESGO OPERATIVO
RIESGO FINANCIERO
OTROS TIPOS DE RIESGOS
ESTRATEGICO
TÁCTICO
INTERNO
EXTERNO
Fuente: Fundación Latinoamericana de Administración de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo
OPERACIONA L
OTROS NIVELES
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
TIPOS DE RIESGOS RIESGO ACCIDENTAL Es el asociado a los eventos súbitos e imprevistos no predecibles (accidentes) a los que está expuesta la empresa.
RIESGO OPERATIVO Es el asociado a eventos no accidentales originados por el no funcionamiento o el funcionamiento inadecuado de procesos internos, del personal y/o de los sistemas de la empresa.
RIESGO FINANCIERO Es el asociado al impacto en los resultados financieros debido a cambios en las condiciones del mercado y por el no cumplimiento por parte de terceros de las obligaciones financieras para con la empresa o debido al no cumplimiento de las obligaciones financieras con terceros.
Fuente: Fundación Latinoamericana de Administración de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
RIESGO ACCIDENTAL • PROPIEDADES • Bienes Inmuebles • Bienes Muebles • Bienes Monetarios
• PERSONAS • Enfermedad • Muerte • Lesión • Incapacidad
• RESPONSABILIDADES • penal • Civil • Extracontractual • Contractual • BENEFICIO BRUTO • Disminución de los ingresos • Incremento de los gastos
Fuente: Fundación Latinoamericana de Administración de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
RIESGO OPERATIVO EVENTOS OPERATIVOS
FACTORES DE RIESGO OPERATIVO
• Fallas de control • No funcionamiento o falta de procesos internos • Errores del personal • Sistemas Inadecuados (tecnología)
PROCESOS
PERSONAL
TECNOLOGIA NO ADECUADA NO FUNCIONAMIEN TO
• Problemas asociados a la cultura de la organización • Políticas internas mal diseñadas • Otros
Fuente: Fundación Latinoamericana de Administración de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo
SISTEMAS
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
RIESGO FINANCIERO TIPOS • Mercado Es el asociado al impacto en los resultados financieros de una organización debido a cambios en las condiciones del mercado • Crédito Es el asociado al impacto en los resultados financieros de una organización por el no cumplimiento por parte de terceros de las obligaciones financieras para con la misma • Liquidez Es el asociado al impacto en los resultados financieros de una organización que se origina debido al no cumplimiento de las obligaciones financieras para con terceros.
• Tasas de Cambio • Tasas de interés • Precios de los commodities • Precios de los instrumentos financieros
FACTORES • Perfil del deudor • Probabilidad de incumplimiento • Tasa de recuperación
FACTORES • Altos egresos • Ventas bajas • Otros
Fuente: Fundación Latinoamericana de Administración de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
RAROC Risk Adjusted Return On Capital
Ingresos – Egresos – PE + CO(CaR) RAROC = ---------------------------------------------------CaR
CaR: Capital en Riesgo CO(CaR): Costo de oportunidad del Capital en Riesgo PE: Perdida Esperada = P*S*E P: Probabilidad de incumplimiento S: Severidad de la pérdida E: Capital en exposición al momento del incumplimiento
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Distribución de Probabilidad
PROBABILIDAD
Se financia con presupuesto
Se financia con capital
Pérdida Esperada
Pérdida No esperada
PERDIDAS NEGOCIO
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Riesgos del Entorno Riesgos del entorno de la organización o contexto del proyecto: • Ambiente y naturaleza circundante • Condiciones sociales, legales, políticas, culturales y económicas donde opera • Ubicación • Tamaño • Sector industrial
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Riesgos Tecnológicos • Riesgos que genera la Tecnología: virus, hackers, daños o perdidas de información • Constante evolución de la tecnología: Implica constantes cambios, dinero y dependencia a proveedores, entre otros.
Riesgos de Cumplimiento Riesgos por incumplimiento de leyes, regulaciones, políticas, códigos o procedimientos que sean aplicables a la actividad y al entorno de la organización Incumplimiento de impuestos, medio ambiente, salud y seguridad… GOBIERNO CORPORATIVO
GRC
Comportamiento ético ESTRATEGIA PROCESOS
PERSONAS
TECNOLOGIA
ADMÓN DEL RIESGO http://es.wikipedia.org/wiki/GRC
CUMPLIMIENTO
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Riesgos Estratégicos Generan pérdidas por definiciones estratégicas inadecuadas, errores en el diseño de planes, programas, integración del plan estratégico con la operación y asignación de recursos, entre otros: • • • • •
VISIÓN MISIÓN OBJETIVOS ESTRATÉGICOS ANALISIS DOFA PLAN DE ACCIÓN La Gestión de Riesgos debe basarse en el cumplimiento de los objetivos estratégicos de la Organización.
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Taller ¿Su empresa o proyecto cómo administra los riesgos? ¿Qué proceso utiliza? ¿Quiénes intervienen? ¿Cuándo lo hacen?
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
3. ALGUNAS NORMAS PARA LA GESTION DEL RIESGO
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Estándares Internacionales de Administración del Riesgo • Norma australiana neozelandesa AS/NZ 4360: 2004 • NTC ISO 31000: 2009 - Risk Management • NTC ISO 31010: 2009 - Risk assessment techniques • ISO GUIDE 73: 2009 - Risk management - Vocabulary • COSO-Enterprise Risk Management Integrated Framework (The Committee Of Sponsoring Organizations of the Treadway Commission) • COCO (Canadian Criteria of Control Committee) • Turnbull: Guidance for Directors on the Combined Code - FRC • Comité de Basilea • Ley Sarbanes Oxley • IFRIMA (International Federation of Risk and Insurance Management Associations) • FERMA (Federation of European Risk Management Associations)
ALGUNA NORMATIVIDAD COLOMBIANA Y GUIAS DE REFERENCIA • NTC 5254 • GTC 45 • Artículo 4 de la ley 1150 de 2007: Distribución de riesgos en los procesos de contratación estatal. • Ley 87 de 1993, Ley 489 de 1998 y Decreto 1599 de 2005 : Obligatoria implementación del Modelo Estándar de Control Interno (MECI 1000) en lo referente al subsistema de control estratégico, componente de la administración de riesgos. • Ley 448 de 1998 y Dec. 423 de 2001: Manejo de obligaciones contingentes en entidades estatales. Identificación matrices de riesgo. • Ley 872 de 2003, Dec. 4110 de 2004 y 4485 de 2009: Obligatoria implementación del sistema de gestión de la calidad y controles sobre los riesgos que puedan afectar al cliente y el logro de los objetivos de entidades estatales. (NTCGP 1000:2009). • CONPES 3107 y 3133 de 2001 Política de Manejo de Riesgo Contractual del Estado para Procesos de Participación Privada en Infraestructura
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
MODELO DE GESTIÓN DE RIESGOS NTC 5254 PRINCIPIOS Importancia estratégica de la gestión del riesgo: Es una parte integral del proceso de gestión; es un proceso multifacético, interactivo e iterativo de mejora continua. Interactiva porque requiere la participación de diferentes áreas de la empresa y de diferentes disciplinas e iterativa porque se repite en ciclos continuos de retroalimentación, ya que el riesgo nunca desaparece: se mitiga, se reduce, pero siempre estará presente. Compromiso de la dirección: Debe garantizar que se realice una revisión del SGR a intervalos especificados, para asegurar su continua conveniencia y eficacia para cumplir los requisitos de la norma, la política y objetivos de gestión del riesgo establecidos. La dirección define una política y objetivos de la gestión del riesgo y revisa periódicamente su estado para tomar las decisiones pertinentes. Flexibilidad en la aplicación: Se aplica en los niveles: Estratégicos y operacionales y en proyectos específicos. Ayuda en decisiones específicas y a manejar áreas de riesgo específicas reconocidas. La aplicación de esta norma debe ser tan flexible que permita aplicarla en diferentes contextos.
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
NTC 5254 - CONCEPTOS BÁSICOS Riesgo “la posibilidad de que suceda algo que tendrá impacto en los objetivos. Se mide en términos de consecuencias y posibilidad de ocurrencia” Según esta norma, el riesgo no es necesariamente una afectación negativa; puede ser también la potenciación de las capacidades de la empresa para cumplir con sus objetivos.
Gestión del Riesgo “cultura, procesos y estructuras que se dirigen hacia la gestión eficaz de las oportunidades potenciales y los efectos adversos” La GR consiste en identificar los eventos que puedan suceder y que afecten a la empresa en el logro de sus objetivos y posteriormente valorar esa afectación en términos de la posibilidad de que el evento ocurra y del impacto y sus consecuencias, tanto para la empresa como para las partes interesadas.
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
NTC 5254 - ESTRUCTURA DEL MODELO Planear Análisis del contexto: interno (debilidades y fortalezas) y externo (oportunidades y amenazas) para la GR Formulación política de GR: Establece orientaciones generales a seguir Identificación y análisis del riesgo: Utiliza como criterios de calificación la posibilidad de ocurrencia del riesgo o de sus causas y el impacto de las consecuencias Acciones de tratamiento del riesgo: Descripción de la acción y la asignación de responsables, plazos y recursos
Hacer Fase de implementación: Aplicación de acciones de tratamiento, en los plazos establecidos en la fase de planificación Verificar Monitoreo de riesgos, de la eficacia del plan de tratamiento, de las estrategias y del SGR para controlar la implementación y garantizar que las circunstancias cambiantes no alteren las prioridades del riesgo Actuar En la verificación surgen ajustes a la política de GR, una nueva calificación y análisis del riesgo o el planteamiento de nuevas acciones de tratamiento
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
NTC 5254 - ESTRUCTURA DEL MODELO
Identificar los riesgos
Analizar los riesgos
Evaluar los riesgos
Tratar los riesgos NTC 5254: Gestión del riesgo, Pág. 8
Monitoreo y Revisión
Comunicación y Consulta
Establecer el contexto
AS/NZ 4360 Figura 4.2 Proceso de Tratamiento de Riesgos (pág. 17)
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
GESTIÓN DEL RIESGO
P CONTEXTO IDENTIFICACIÓN
H TRATAMIENTO
ANÁLISIS EVALUACIÓN
COMUNICACIÓN Y CONSULTA
A
MONITOREO Y REVISIÓN
V
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
NTC ISO 31000 – Gestión del Riesgo Principios y Directrices INTRODUCCIÓN 1 OBJETO 2 TÉRMINOS Y DEFINICIONES 3. PRINCIPIOS 4. MARCO DE REFERENCIA 4.1 GENERALIDADES 4.2 DIRECCIÓN Y COMPROMISO 4.3 DISEÑO DEL MARCO DE REFERENCIA PARA LA GR 4.4 IMPLEMENTAR LA GESTIÓN DEL RIESGO 4.5 MONITOREAR Y REVISAR EL MARCO DE REFERENCIA 4.6 MEJORA CONTINUA DEL MARCO DE REFERENCIA 5. PROCESO 5.1 GENERALIDADES 5.2 COMUNICACIÓN Y CONSULTA
NTC ISO 31000 – Gestión del Riesgo Principios y Directrices 5.3 ESTABLECIMIENTO DEL CONTEXTO 5.4 VALORACIÓN DEL RIESGO 5.5 TRATAMIENTO DEL RIESGO 5.6 MONITOREO Y REVISIÓN 5.7 REGISTRO DEL PROCESO PARA LA GR ANEXO A (Informativo) Atributos de la gestión mejorada del riesgo BIBLIOGRAFÍA DOCUMENTO DE REFERENCIA FIGURAS Figura 1. Relaciones entre los principios, el marco de referencia y los procesos para la gestión del riesgo Figura 2. Relación entre los componentes del marco de referencia para la gestión del riesgo Figura 3. Proceso para la gestión del riesgo
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
NTC ISO 31000 - INTRODUCCIÓN • • • • • • • • • • • • • • • •
Aumentar la probabilidad de lograr sus objetivos Fomentar la gestión proactiva Ser conscientes de la necesidad de identificar y tratar el riesgo Cumplir con las exigencias legales, reglamentarias y las normas internacionales Mejorar la presentación de informes obligatorios y voluntarios Mejorar el gobierno de la organización Mejorar la confianza y honestidad de los involucrados Establecer una base confiable para la toma de decisiones y planificación Mejorar los controles Asignar y utilizar eficazmente los recursos para el tratamiento del riesgo Mejorar la eficacia y la eficiencia operacional Incrementar el desempeño de la salud, la seguridad y la protección ambiental Mejorar la prevención de pérdidas y la gestión de incidentes Minimizar las pérdidas Mejorar el aprendizaje de la organización Mejorar la flexibilidad de la organización
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
NTC ISO 31000 - 1. OBJETO • El objeto es ayudar a empresas públicas, privadas, comunitarias, asociaciones, grupos o individuos a gestionar sus riesgos a través de 11 principios, un marco de referencia y 7 procesos • Se aplica durante toda la duración de una organización y un amplio rango de actividades, procesos, funciones, proyectos, productos, servicios y activos • Brinda un enfoque común de apoyo con normas de riesgos, sectores específicos pero no reemplaza a tales normas • Busca ayudar a las empresas en el desarrollo de su propia estrategia para gestionar sus riesgos • Se recomienda que la gestión de riesgos sea un componente del sistema integral de gestión de la organización • No es un estándar certificable
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
NTC ISO 31000 – 2. TÉRMINOS Y DEFINICIONES Riesgo: Efecto de la incertidumbre en los objetivos Gestión del Riesgo: Actividades coordinadas para dirigir y controlar una organización en relación con el riesgo Marco de referencia para la GR: Componentes que brindan bases y disposiciones para diseñar, implementar, monitorear, revisar y mejorar la GR Plan para la GR: Esquema dentro del MR que especifica el enfoque, componentes y recursos Proceso para la GR: Aplicación sistemática de políticas, procedimientos y prácticas Parte involucrada: Persona u organización que puede afectar, verse afectada o percibirse afectada por una decisión o actividad Tratamiento del riesgo: Proceso para modificar el riesgo Resilencia: Capacidad de adaptación de una organización en un entorno complejo y cambiante
GTC 137 (ISO Guía 73:2009)
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
NTC ISO 31000 – 3. PRINCIPIOS DE LA GR 1.
Crea y protege el valor
2.
Es parte integral en los procesos de la organización
3.
Es parte de la toma de decisiones
4.
Trata explícitamente la incertidumbre
5.
Es sistemática, estructurada y oportuna
6.
Esta basada en la mejor información posible
7.
Esta adaptada
8.
Tiene en cuenta factores humanos y culturales
9.
Es transparente e inclusiva
10. Es dinámica, iterativa y receptiva al cambio 11. Facilita la mejora continua de la organización (Anexo A) Anexo A: Atributos de la gestión mejorada del riesgo
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
NTC ISO 31000 – 4. MARCO DE REFERENCIA 4.1 GENERALIDADES El éxito de la GR dependerá de la eficacia del MR que brinde las bases y las disposiciones que permitan su integración en todos los niveles de la organización a través del proceso para la GR. Este MR no está destinado a prescribir un sistema de gestión, sino más bien a ayudar a la organización a integrar la GR en su sistema de gestión. Las empresas deben adaptar los componentes de esta estructura a sus necesidades.
ISO/DIS 31000. Gestión de Riesgos
NTC ISO 31000 – Relación entre componentes del MR para la GR (Figura 2) Dirección y Compromiso (4.2) Diseño del MR para GR (4.3) • Entender
la organización y su contexto (4.3.1) • Establecer la política para la GR (4.3.2) • Rendición de cuentas (4.3.3) • Integrar los procesos de la organización (4.3.4) • Recursos (4.3.5) • Establecer mecanismos de comunicación interna e información (4.3.6) • Establecer mecanismos de comunicación externa e información (4.3.7)
Mejora Continua del MR (4.6)
Implementar la gestión del riesgo (4.4) Implantación del MR para gestionar el riesgo (4.4.1) Implantación del proceso para gestionar el riesgo(4.4.2)
Monitoreo y revisión del MR (4.5)
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
4. MARCO DE REFERENCIA – 4.2 DIRECCIÓN Y COMPROMISO • definir y apoyar la política para la GR • garantizar que la cultura y la política estén alineadas • determinar indicadores del desempeño de la GR acordes con los indicadores del desempeño de la organización • alinear los objetivos de la GR con los objetivos y estrategias de la organización • garantizar el cumplimiento legal y reglamentario • asignar obligaciones y responsabilidades en los niveles respectivos en la organización • garantizar la asignación de recursos necesarios para la GR • comunicar los beneficios a todas las partes involucradas • garantizar que el MR siga siendo adecuado
4.3 Diseño del MR – (4.3.1) Entender la organización y su contexto CONTEXTO EXTERNO: a) Evaluación PESTA internacional, nacional, regional o local; b) impulsores clave y tendencias de impacto en los objetivos; y c) relaciones con los involucrados externos, percepciones y valores. CONTEXTO INTERNO: • Gobierno, estructura organizacional, funciones y obligaciones; • políticas, objetivos y estrategias; • capacidades en recursos y conocimiento; • sistemas y flujos de información y procesos de toma de decisión; • relaciones con los involucrados internos, percepciones y valores; • cultura de la organización; • normas, directrices y modelos adoptados; y • forma y extensión de las relaciones contractuales
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
4.3 Diseño del MR – (4.3.2) Establecer la política para GR • justificación de la organización para gestionar el riesgo; • vínculos entre los objetivos y las políticas de la organización y la política para la GR; • obligaciones y responsabilidades para GR; • forma de tratar los conflictos de intereses; • compromiso para disponer de los recursos necesarios para ayudar a los responsables de la GR y de rendir cuentas; • forma en que se va a medir y reportar el desempeño de GR; • compromiso para revisar y mejorar periódicamente la política y el marco de la GR y en respuesta a un evento o un cambio en las circunstancias.
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
4.3 Diseño del MR – (4.3.3) Rendición de cuentas Garantizar la responsabilidad, autoridad y competencia adecuada para gestionar el riesgo, incluyendo la implementación y mantenimiento del proceso, garantizando la idoneidad y efectividad de todos los controles, mediante: • la identificación de los propietarios del riesgo; • la identificación de quién debe dar cuentas por el desarrollo, la implementación y el mantenimiento del MR para la GR; • la identificación de otras responsabilidades en el proceso para la GR de los individuos en todos los niveles de la organización; • estableciendo la medición del desempeño y procesos de escalamiento y reporte externo, interno, o ambos; y • garantizando niveles adecuados de reconocimiento.
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
4.3 Diseño del MR – (4.3.4) Integrar los procesos de la organización La GR debería estar incluida en todas las prácticas y procesos de la organización en una manera que sea pertinente y efectiva. El proceso para la GR debería convertirse en parte no independiente de los procesos de la organización. La GR se debería incluir en el desarrollo de la política, la planeación estratégica, la revisión y en los procesos de gestión del cambio. Debería existir un plan para la GR a todo lo ancho de la organización para garantizar que se implemente la política para la GR y que este incluida en todas las prácticas y procesos de la organización. El plan para la GR se podría integrar en otros planes de la organización.
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
4.3 Diseño del MR – (4.3.5) Recursos Se recomienda considerar los siguientes aspectos: • personas, habilidades, experiencia y competencia; • recursos necesarios para cada paso del proceso para la GR; • los procesos, métodos y herramientas de la organización que se van a utilizar para gestionar el riesgo; • procesos y procedimientos documentados; • sistemas de gestión de la información y el conocimiento; y • programas de entrenamiento
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
4.3 Diseño del MR – (4.3.6) Establecer mecanismos de comunicación interna y la presentación de informes Esto con el fin de ayudar y fomentar la rendición de cuentas y la pertenencia del riesgo. Estos mecanismos deberían garantizar que: • los componentes clave del MR para la GR y todas las modificaciones posteriores se comunican de manera correcta; • existe un reporte interno adecuado acerca del MR, su eficacia y resultados; • la información pertinente derivada de la aplicación de la GR está disponible en los niveles y los momentos convenientes; y • existen procesos para la consulta con las partes involucradas internas.
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
4.3 Diseño del MR – (4.3.7) Establecer mecanismos de comunicación externa y la presentación de informes La organización debería desarrollar e implementar un plan sobre la forma como se comunicará con los involucrados externos. El plan debería incluir: • involucrar las partes interesadas externas y garantizar un intercambio efectivo de la información; • reporte externo para cumplir con los requisitos legales, reglamentarios y del gobierno; • brindar retroalimentación e informes sobre la comunicación y las consultas; • usar la comunicación para crear confianza en la organización; • comunicarse con las partes involucradas en el evento de una crisis o contingencia.
NTC ISO 31000 – Relación entre componentes del MR para la GR (Figura 2) Dirección y Compromiso (4.2) Diseño del MR para GR (4.3) • Entender
la organización y su contexto (4.3.1) • Establecer la política para la GR (4.3.2) • Rendición de cuentas (4.3.3) • Integrar los procesos de la organización (4.3.4) • Recursos (4.3.5) • Establecer mecanismos de comunicación interna e información (4.3.6) • Establecer mecanismos de comunicación externa e información (4.3.7)
Mejora Continua del MR (4.6)
Implementar la gestión del riesgo (4.4) Implantación del MR para gestionar el riesgo (4.4.1) Implantación del proceso para gestionar el riesgo(4.4.2)
Monitoreo y revisión del MR (4.5)
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
4.4 Implementar la GR – (4.4.1) Implantación del MR para gestionar el riesgo Definir el tiempo y la estrategia Aplicar el proceso y la política de la GR a los procesos de la organización Cumplir los requisitos legales y reglamentarios Garantizar que la toma de decisiones, incluyendo el desarrollo y establecimiento de objetivos, está en línea con los resultados de los procesos para la GR Llevar a cabo sesiones de información y entrenamiento Comunicarse y consultar con las partes involucradas para garantizar que el MR siga siendo adecuado
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
4. MARCO DE REFERENCIA – (4.5) Monitoreo y revisión
• medir el desempeño de la GR frente a los indicadores, que se revisan periódicamente para determinar su idoneidad; • medir periódicamente el progreso frente al plan para la GR y las desviaciones con respecto a éste; • revisar periódicamente si el MR, la política y el plan para la GR siguen siendo adecuados, según el contexto externo e interno de la organización; • presentar informes sobre el riesgo, el progreso con el plan para la GR y que tanto se cumple la política para la GR; y • revisar la eficacia del MR para la GR.
NTC ISO 31000 – 5. Proceso de Gestión del Riesgo 5.1 GENERALIDADES • Parte integral de la gestión • Incluido en la cultura y prácticas • Adaptado a los procesos de negocio de la O
Establecer el contexto (5.3)
Identificar los riesgos (5.4.2)
Analizar los riesgos (5.4.3)
Evaluar los riesgos (5.4.4)
Tratar los riesgos (5.5)
NTC ISO 31000 Figura 3 Proceso de Gestión del Riesgo. Pág. 17
Monitoreo y Revisión (5.6)
Comunicación y Consulta (5.2)
Valoración de Riesgos (5.4)
Dónde, qué, quien, cuándo, cómo, porqué
Matriz de riesgos - Nivel de seguridad actual
Resultados Matriz vs criterios Priorizar
Controlar Probabilidad Mitigar Consecuencia
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
5. PROCESO - (5.2) Comunicación y Consulta Desarrollo temprano de planes para la comunicación y la consulta con causas y consecuencias de los riesgos y medidas de tratamiento Comunicación y consultas que garanticen entender las bases en que se toman las decisiones y razones por las que se requieren acciones particulares. Un enfoque de equipo consultor puede: • ayudar a establecer correctamente el contexto; • entender y tener en cuenta los intereses de los involucrados; • garantizar que los riesgos estén bien identificados; • reunir diferentes áreas de experticia para analizar los riesgos; • contar con diversos puntos de vista al definir criterios al evaluar los R; • asegurar la aprobación y el soporte para el plan de tratamiento; • fomentar la gestión del cambio durante el proceso para la GR; y • desarrollar un plan adecuado de comunicación y consulta externo e interno.
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
5. PROCESO - (5.3) Establecer el contexto (4.3.1) (5.3.4) Contexto del proceso para la GR incluye: • definición de metas y objetivos de las actividades de GR; • definición de las responsabilidades del proceso; • definición del alcance, profundidad y extensión de las actividades de GR, incluyendo exclusiones e inclusiones específicas; • definir actividad, proceso, función, proyecto, producto, servicio o activo en términos de tiempo y ubicación; • definición de las relaciones entre el proyecto, el proceso o actividades particulares y otros proyectos, procesos o actividades de la organización; • definición de las metodologías para la valoración del riesgo; • definición de la forma de evaluar el desempeño y la eficacia en la GR; • identificación y especificación de las decisiones a tomar; y • identificación, establecimiento del alcance o el marco de los estudios necesarios, su extensión y objetivos, y los recursos necesarios.
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
5. PROCESO - (5.3) Establecer el contexto (4.3.1)
(5.3.5) Definir los criterios del riesgo, los factores a considerar : • la naturaleza y los tipos de causas y consecuencias que se pueden presentar y la forma en que se van a medir; • cómo se va a definir la posibilidad; • los marcos temporales de la probabilidad, las consecuencias, o ambas; • cómo se va a determinar el nivel de riesgo; • los puntos de vista de las partes involucradas; • el nivel en el cual el riesgo se torna aceptable o tolerable; y • si se debería o no tener en cuenta combinaciones de riesgos múltiples y, si es así, cómo y cuáles combinaciones considerar
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
5. PROCESO - (5.4) Valoración del riesgo (5.4.2) Identificación del riesgo • Identificación exhaustiva es crítica, un riesgo que no se identifique en esta fase no será incluido en el análisis posterior • Aplicar herramientas y técnicas para la identificación
(5.4.3) Análisis del riesgo • Determinación consecuencias, probabilidad y otros atributos • Considerar controles existentes y su eficacia y eficiencia • Análisis cualitativo, semicuantitativo o cuantitativo o combinación de ellos
(5.4.4) Evaluación del riesgo • Comparación del nivel de riesgo observado durante el proceso de análisis y de los criterios del riesgo establecidos al considerar el contexto • Toma de decisiones en cuanto a necesidad de tratamiento y de prioridad ISO/IEC 31010: Técnicas de valoración del riesgo
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
5. PROCESO - (5.5) Tratamiento del riesgo (5.5.1) Implica un proceso cíclico de • valoración del tratamiento; • decisión sobre si los niveles de riesgo residual son tolerables; • si no son tolerables, generación de un nuevo tratamiento; y • valoración de la eficacia de dicho tratamiento (5.5.2) Selección de las opciones para el tratamiento • Equilibrar costos y esfuerzos de la implementación vs beneficios derivados • Considerar y aplicar una cantidad de opciones ya sea individualmente o en combinación • El tratamiento en si mismo puede introducir riesgos
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
5. PROCESO - (5.5) Tratamiento del riesgo (5.5.3) Preparación e implementación de los planes para el tratamiento • Documentación de la forma en que se van a implementar las opciones seleccionadas y que debería incluir: • razones para la selección de las opciones de tratamiento, que incluyan los beneficios que se espera obtener; • responsables de aprobar el plan y los responsables de implementarlo; • acciones propuestas; • requisitos de recursos, incluyendo las contingencias; • medidas y restricciones de desempeño; • requisitos de monitoreo y reporte; y • tiempo y cronograma
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
5. PROCESO - (5.6) Monitoreo y revisión La responsabilidad y revisión deberían estar claramente definidas Debería comprender todos los aspectos del proceso GR para: • garantizar controles efectivos en el diseño y en la operación; • obtener información adicional para mejorar la valoración del R; • analizar y aprender lecciones a partir de los eventos (incluyendo los cuasi accidentes), cambios, tendencias, éxitos y fracasos; • detectar cambios en el contexto externo e interno, en los criterios y en el riesgo mismo que puedan exigir revisión de tratamientos del riesgo y las prioridades; e • identificar los riesgos emergentes. Los resultados del M y R se deberían registrar y reportar interna y externamente según corresponda y se debería utilizar de entrada para la revisión del MR (ver numeral 4.5)
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
5. PROCESO - (5.7) Registro del proceso GR Las actividades para la GR deberían tener trazabilidad. La creación de registros debería tener en cuenta: • las necesidades de la organización con respecto al aprendizaje continuo; • los beneficios de reutilizar la información con propósitos de gestión; • los costos y esfuerzos involucrados en la creación y el mantenimiento de los registros; • las necesidades legales, reglamentarias y operativas para los registros; • los métodos de acceso, la facilidad de recuperación y los medios de almacenamiento; • el periodo de retención; y • la sensibilidad de la información
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
NTC ISO 31000 – ANEXO A: ATRIBUTOS DE LA GESTIÓN MEJORADA DEL RIESGO La O debería tener como meta el nivel adecuado de desempeño de su MR en concordancia con la importancia crítica de las decisiones que se deben tomar La O tiene una comprensión actual, correcta y exhaustiva de sus riesgos Los riesgos de la O se encuentra dentro de sus criterios del riesgo ATRIBUTOS • Mejora continua • Rendición total de cuentas con respecto a los riesgos • Aplicación de la GR en la toma de decisiones • Comunicaciones continuas • Integración completa en la estructura de gobierno de la Organización
ISO 27001
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
MODELO DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) PRINCIPIOS Importancia de la información. El aseguramiento de la información y de los sistemas que la procesan es un objetivo de primer nivel para una empresa ya que la información es un activo vital para el éxito y la continuidad en el mercado de la misma. Enfoque de sistemas. Una empresa debe implantar un SGSI de forma metódica, documentada y basada en unos objetivos claros de seguridad y en evaluación del riesgo a que está sometida su información.
CONCEPTOS BÁSICOS Confidencialidad: Asegurar que la información es accesible solo a las personas que están autorizadas para tener acceso. Integridad: Salvaguarda de la precisión y totalidad de la información y los métodos de procesamiento Disponibilidad: Asegurar que los usuarios autorizados tienen acceso a la información y a los activos asociados.
ISO 27001 - ESTRUCTURA DEL MODELO Planear. definición del alcance del SGSI determinando áreas o procesos, en los que se va a aplicar el sistema. Formulación y divulgación de la política GSI que establezca los lineamientos a tener en cuenta frente a los riesgos de la información (requisitos legales, requisitos contractuales, requisitos propios de la empresa, etc.). Definición de planes de control o tratamiento del riesgo, a partir de la identificación de los riesgos, su análisis y valoración.
Hacer. Implementación de planes de control o tratamiento del riesgo. Documentación y aplicación de procedimientos necesarios para aplicación de los controles. Formación y concientización respecto a la seguridad de la información y los controles por aplicar.
Actuar.
Mejoramiento y actualización de los planes de seguridad. Definición e implementación de Acciones Correctivas y Preventivas necesarias.
Verificar.
Medición del desempeño del SGSI, de la evaluación de los riesgos y la eficacia de los controles implementados. Realización de auditorías internas al sistema y la revisión del mismo por parte de la dirección.
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
ISO 27001 - MODELO DEL SGSI Planificar Establecer el SGSI
Partes Interesadas
Requisitos y expectativas de seguridad de la información
Partes Interesadas
Hacer
Actuar
Implementar y operar el SGSI
Mantener y mejorar el SGSI
Hacer seguimiento y revisar el SGSI
Verificar
Seguridad de la Información gestionada
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
COSO-Enterprise Risk Management Integrated Framework (The Committee Of Sponsoring Organizations of the Treadway Commission)
Dispone de tres dimensiones: 1. Tipos de objetivos que aplica 2. Nivel de aplicación en la organización 3. Proceso de administración del riesgo • Ambiente interno • Establecimiento de objetivos • Identificación de eventos • Evaluación del riesgo • Respuesta al riesgo • Actividades de control • Información y comunicación • Monitoreo www.coso.org
• • • •
Estratégicos Operativos De Reporte De Cumplimiento
• • • •
Subsidiaria Unidad de negocio División Nivel Institucional
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
IFRIMA (International Federation of Risk and Insurance Management Associations)
• • • • •
Identificación y evaluación del riesgo Mitigación del riesgo Tratamiento del riesgo residual Comunicación y reporte Monitoreo
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
FERMA (Federation of European Risk Management Associations) • Objetivos Estratégicos de la Organización • Valoración del riesgo • Identificación del riesgo • Descripción del riesgo • Estimación del riesgo (P, I) • Métodos y técnicas de análisis • Evaluación del riesgo • Tratamiento del riesgo • Informe y comunicación del riesgo (residual) • Supervisión y revisión del proceso de gestión del riesgo
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
4. ADMINISTRACIÓN INTEGRAL DEL RIESGO
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Administración Integral del Riesgo Visión de Silos vs Visión Integral Visión de Silos Cada administración de riesgo posee su propia política, proceso, programas y función organizacional. No responde a criterios uniformes en la toma de decisiones respecto al tratamiento y al criterio de apetito de riesgo. Visión Integrada: Una única filosofía de AR genera políticas, procesos, programas y responsabilidades entre y en las áreas funcionales. Responde a criterios uniformes en relación a la toma de decisiones respecto al tratamiento y al criterio de apetito de riesgo.
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Ventajas de la Administración Integral del Riesgo • Se aumenta el valor de la organización. • Se asegura que todos los riesgos estén manejados en línea con la estrategia de la organización. • Se evita duplicidad de costos: Optimización del costo de riesgo • Se optimiza el capital al existir un solo proceso de distribución del capital en riesgo (capital-at-risk allocation). • Se optimiza el flujo de caja en relación a las pérdidas esperadas • Se generan potenciales fuentes alternas de financiamiento de pérdidas por el efecto “balance” entre diferentes tipos de riesgos (visión de portafolio) • Se asegura que se estén manejando todas las fuentes de riesgo al eliminarse el efecto “borde” (separación entre silos)
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Administración Integral del Riesgo Objetivo: “Hacer del riesgo parte de la mentalidad y de la responsabilidad de cada empleado de la organización” James Lam Enterprise Risk Management From Incentives to Controls
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Desafortunadamente la gerencia de riesgos se valora como un costo para la empresa. Lo correcto es considerarse como una inversión que previene muchos riesgos y garantiza la continuidad de la empresa
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Taller ¿En su empresa o proyecto cómo identifican los riesgos? ¿Qué técnicas utilizan? ¿Quiénes intervienen? ¿Cuándo lo hacen?
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
5. MÉTODOS PARA IDENTIFICAR EL RIESGO
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
MÉTODOS PARA IDENTIFICAR RIESGOS • Lista de chequeo • Lista por categorías • Análisis PESTA (entorno) • Diamante de Porter • Revise hechos históricos y documentación de soporte • Tormenta de ideas • Qué pasa si • The Crawford Blue Slip • Análisis de supuestos del proyecto • Análisis DOFA • Realice un “pre-mortem” • Ingeniería inversa
• • • • • • •
Diagramas de Afinidad Entrevistas de Expertos Técnica Delphi Diagramas Causa-Efecto Diagramas de flujo Análisis de efectos y fallas Árboles de decisión
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Áreas críticas de una empresa o proyecto • Daños en propiedades e inventarios (inmuebles y muebles) • Pérdidas por delitos de terceros • Contingencias comerciales y financieras • Proveedores no adecuados • Reclamos por responsabilidad civil • Contingencias tecnológicas • Contingencias operativas • Riesgos profesionales • Contingencias en logística • Daños en vehículos
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Gobierno
Estrategia, Estructura y Rivalidad
DIAMANTE DE PORTER
Condiciones de Demanda: Estudio del mercado
Factores internos de oferta: Producción, Admón., RRHH, Tec.
Industrias relacionadas y de apoyo: Integración
Azar
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
CAUSA – EFECTO: ESPINA DE PESCADO Maquinaria
Materiales
Productos Baja calidad
Saturación de la ejecución de las tareas
Mal estado de las máquinas
Ingredientes erróneos Mal estado Fallas Producto final Actitud del personal
Omitir pasos en la secuencia de producción Procedimientos
Cambio inadecuado e imprevisto de la preparación
Personal poco calificado Distracción Mano de obra
Tomado del libro: Gestión Integral de Riesgos – Oscar Bravo Mendoza –Marleny Sánchez Celis Tomo 1 3ª Edición, 2009, Colombia
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
ARBOL CAUSA - EFECTO Efectos
RIESGO
Causas
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
MATRIZ DE PLANIFICACIÓN DEL PROYECTO DESCRICION JERARQUICA
INDICADORES VERIFICABLES
FIN / FINALIDAD / OBJETIVO SUPERIOR PROPÓSITO / OBJETIVO GENERAL COMPONENTES / RESULTADOS / PRODUCTOS / OBJETIVOS ESPECÍFICOS ACTIVIDADES
Matriz Marco Lógico desarrollada para la USAID
MEDIOS DE VERIFICACIÓN
SUPUESTOS / RIESGOS
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
SECUENCIA PARA LA ESTRUCTURACIÓN DE UN PROYECTO METODOLOGÍA DEL MARCO LÓGICO (ZOPP) 1. ANALISIS DEL CONTEXTO DEL PROYECTO 2. ANÁLISIS DE ACTORES 3. ANÁLISIS DE PROBLEMAS 4. ANÁLISIS DE OBJETIVOS 5. ANÁLISIS DE ALTERNATIVAS DE SOLUCIÓN 6. DESARROLLO MATRIZ DE PLANIFICACIÓN 7. DESARROLLO PLAN OPERATIVO
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Estructura del Árbol de Problemas
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Análisis de la problemática (visión panorámica)
Identificación Problema Central
Identificación de factores
Selección y descripción factores claves
Escogencia del factor a tratar (intereses de conocimiento)
Definición del problema central © 2011. Mauricio Penagos Acosta – Consultor de proyectos
Análisis de Alternativas
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
FINES
Propósito (Objetivo General)
MEDIOS
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Asociación Colombiana de Ingenieros ÁRBOL DE DECISIÓN Capítulo Cundinamarca
35%
Si
-$350
65%
Vientos fuertes
VME: 35%x-50= -17.50
-$50
CT = -367.50
Vientos bajos
VME: 65%x-10= -6.50
-$10
CT =- 356.50
¿Compro la carpa más pesada ?
No
-$130
35%
Vientos fuertes -$950
65%
Vientos bajos -$15
VME: 35%x-950 = -332.50 CT = -462.50
VME: 65%x-15= -9.75 CT = -139.75
Ajustado por M. Penagos a partir de ejemplo en A BRAIN-FRIENDLY GUIDE, HEAD FIRST PMP, 2nd EDITION, JENNIFER GREENE, PMP & ANDREW STELLMAN, PMP
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
INDICADORES CLAVES DE RIESGO KRI
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
INDICADORES CLAVES DE RIESGO - KRI • Los indicadores son las medidas utilizadas para monitorear y predecir eventos • Complementan el proceso de auto evaluación para monitorear la efectividad de los controles • Los indicadores de riesgo ayudan a mantener el proceso GR dinámico y los perfiles de riesgo actualizados • Dan información precisa del riesgo de un área de negocio o proceso • No se deben confundir con indicadores de desempeño (KPI) • Son una herramienta para proporcionar transparencia y comunicar el apetito de riesgo • Un tablero eficaz de indicadores de riesgo combina medidas ex ante, durante y ex post
Características de los indicadores cantidad, calidad y tiempo
• Objetivo • Cuantificable
Indicadores Verificables
• Clave • Específico • Práctico y fácil de medir • Plazo claro de definir E.J. Mishan, "es mejor tener una medida bruta del concepto adecuado, que una medida perfecta del concepto erróneo."
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
ALGUNAS GUIAS PARA DISEÑAR KRI • Estudie detenidamente los riesgos y diseñe KRI simples • Seleccione KRI prospectivos para cada categoría de riesgo • Independientemente de la disponibilidad de datos diseñe los mejores KRI • Desarrolle KRI para los tipos de riesgo que consideran a todos los involucrados • Las medidas Ex Ante tiene el mayor valor para dar señales sobre futuros acontecimientos • Equilibre las medidas ex post objetivo con las medidas ex ante más predictivas. • Vincule los KRI con el Balance Scorecard de desempeño • Invierta en tecnología para extraer y presentar información • Use criterios de priorización • Los niveles esperados de los KRI son establecidos a partir de una línea base, utilizando el historial disponible
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Taller ¿ En su empresa o proyecto cómo hacen un análisis cualitativo o semicuantitativo para valorar sus riesgos? ¿Qué técnicas utilizan? ¿Quiénes intervienen? ¿Cuándo lo hacen?
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
6. MÉTODOS PARA VALORAR EL RIESGO Mapas de Riesgo
MATRIZ DE RIESGOS PROBABILIDAD
VALOR
ZONAS DE RIESGO
5
5 Zona de Riesgo Alta Reducir, evitar, compartir o transferir el riesgo
10 Zona de Riesgo Alta Reducir, evitar, compartir o transferir el riesgo
15 Zona de Riesgo Extrema Evitar, reducir, compartir o transferir el riesgo
20 Zona de Riesgo Extrema Evitar, reducir, compartir o transferir el riesgo
25 Zona de Riesgo Extrema Evitar, reducir, compartir o transferir el riesgo
4
4 Zona de Riesgo Moderado Asumir o reducir el riesgo
8 Zona de Riesgo Alta Reducir, evitar, compartir o transferir el riesgo
12 Zona de Riesgo Alta Reducir, evitar, compartir o transferir el riesgo
16 Zona de Riesgo Extrema Evitar, reducir, compartir o transferir el riesgo
20 Zona de Riesgo Extrema Evitar, reducir, compartir o transferir el riesgo
Posible
3
3 Zona de Riesgo Baja Asumir el riesgo
6 Zona de Riesgo Moderado Asumir o reducir el riesgo
9 Zona de Riesgo Alta Reducir, evitar, compartir o transferir el riesgo
12 Zona de Riesgo Extrema Evitar, reducir, compartir o transferir el riesgo
15 Zona de Riesgo Extrema Evitar, reducir, compartir o transferir el riesgo
Improbable
2
2 Zona de Riesgo Baja Asumir el riesgo
4 Zona de Riesgo Baja Asumir el riesgo
6 Zona de Riesgo Moderado Asumir o reducir el riesgo
8 Zona de Riesgo Alta Reducir, evitar, compartir o transferir el riesgo
10 Zona de Riesgo Extrema Evitar, reducir, compartir o transferir el riesgo
Raro
1
1 Zona de Riesgo Baja Asumir el riesgo
2 Zona de Riesgo Baja Asumir el riesgo
3 Zona de Riesgo Moderado Asumir o reducir el riesgo
4 Zona de Riesgo Alta Reducir, evitar, compartir o transferir el riesgo
5 Zona de Riesgo Alta Reducir, evitar, compartir o transferir el riesgo
Casi Certeza
Muy Probable
IMPACTO
INSIGNIFICANTE
MENOR
MODERADO
MAYOR
CATASTRÓFICO
Valor
1
2
3
4
5
Planeación para riesgos extremos
Alto Apetito de Riesgo
Impacto
Impacto
CEO Gerente Subgerente Jefe dpto Probabilidad
Probabilidad
Estándar
Impacto
Impacto
Adverso al riesgo
Probabilidad
Probabilidad
Fuente: Presentación “ISO 31000 AND INTEGRATED RISK MANAGEMENT “ RIMS Breakfast John Lark, Stratos Inc. 2008
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
VALORACIÓN DEL RIESGO Y ACCION A TOMAR Probabilidad
Impacto
Acción
Baja
Baja
Retener
Baja
Alta
Transferir-Financiar
Alta
Baja
Prevenir-Retener
Alta
Alta
Evitar
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
MATRIZ DE RIESGO DE LA OSFI Junta Directiva
Alta Gerencia
Auditoria Interna
Administración de Riesgos
Actuarial
Cumplimiento
Financiero
Gestión Operativa
3. Administración de Riesgos Estratégico
Cumplimiento de la Norma
Operativo
Tecnológico
Mercado
1. Actividades Significativas
Crédito
2. Riesgo Inherente
4. Riesgo Neto
Calificación General
Clasificación
Dirección
Rentabilidad Capital Liquidez Composición del riesgo
Fuente: OSFI Oficina del Superintendente de Instituciones Financiera de Canadá
Tiempos Calificación de Intervención
5. Dirección 6. Importancia del Riesgo
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
RIESGO NETO Agregado de riesgos por Actividad Significativa
Nivel de Riesgo Inherente por Actividad Significativa Encima del Bajo Moderado Alto Promedio Evaluación de Riesgo Neto
Fuerte
Bajo
Bajo
Moderado
Encima del Promedio
Aceptable
Bajo
Moderado
Encima del Promedio
Alto
Necesita Mejoras
Moderado
Encima del Promedio
Alto
Alto
Débil
Encima del Promedio
Alto
Alto
Alto
Relación entre calificación de Riesgo e Intervención Calificación de Riesgo Bajo
0 0 Moderado 1 1 Por Encima del Promedio 2 2 Alto 3 4
Fuente: OSFI Oficina del Superintendente de Instituciones Financiera de Canadá
Calificación de Intervención Normal Normal Alarmas Tempranas Alarmas Tempranas En riesgo la viabilidad financiera y la solvencia En riesgo la viabilidad financiera y la solvencia Viabilidad financiera futura está en duda No viable / Insolvencia enminente
Overall Project Threats Threat Cause
Fuente: www.rmcproject.com
Risk
Effect
Risks per Activity Activity
Fuente: www.rmcproject.com
Cause
Risk
Effect
Risk Cause
Risk
Effect
Fuente: www.rmcproject.com
Activity
Risk Rating Probability
Impact
Risk Score PxI
Ranking
Source
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Taller ¿ En su empresa o proyecto cómo tratan sus riesgos? ¿Qué técnicas utilizan? ¿Quiénes intervienen? ¿Cuándo lo hacen?
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
7. TÉCNICAS DE TRATAMIENTO DEL RIESGO
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Tratamiento del Riesgo (Proceso para modificarlo o transformarlo)
Riesgo Inherente
Tratamiento de Riesgo (criterio: Apetito de Riesgo)
(COSO ERM –Integrated Framework) Riesgo expuesto en ausencia de cualquier acción (sin alterar probabilidad o consecuencia)
Riesgo Residual (COSO ERM –Integrated Framework) Riesgo “remanente” después de tomadas acciones
Fuente: Fundación Latinoamericana de Administración de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Control del Riesgo (Intervención de la Probabilidad) Riesgo (E) = Probabilidad (E) x Consecuencia (E)
Actividades para disminuir la probabilidad de ocurrencia de un evento, mejorando el perfil del riesgo asociado a dicho evento
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
TECNICAS DE CONTROL • • • • • • • • • • •
Sistema de Control Interno Auditoria Interna Sistemas de información y registro Normas y procedimientos por línea de negocios Adiestramiento Marketing en cultura preventiva Sistemas de Prevención y monitoreo Sistemas de Seguridad Herramientas tecnológicas Soluciones a partir de Hazop Soluciones BPM, etc.
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Mitigación del Riesgo (Intervención de la Consecuencia) Riesgo (E) = Probabilidad (E) x Consecuencia (E)
Actividades para reducir la consecuencia una vez ocurrido un evento, mejorando el perfil del riesgo asociado a dicho evento
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
TECNICAS DE MITIGACIÓN Técnicas de Mitigación Técnica: • Plan de Recuperación de Desastres (DRP). • Plan de Continuidad del Negocio (BCP): • BS 25999: Parte 1 Código de buenas prácticas. Parte 2 Requisitos para implementar un sistema de gestión de continuidad del negocio. • ISO 23301 • ISO 27001 - ISO 27031:2011 • Otros Técnicas de Mitigación Financiera: Procesos e instrumentos para generar los recursos necesarios para provisionar, indemnizar y/o compensar las pérdidas asociadas a los riesgos. Contratos - Pólizas de Seguros – ART (Transferencia Alternativa de Riesgos)
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Planes de Tratamiento del Riesgo Preparación e implementación de los planes de tratamiento
Identificación de medidas para tratar oportunidades
RIESGOS IDENTIFICADOS, ANALIZADOS Y EVALUADOS Valoración de las medidas para tratar el riesgo
Análisis B/C
Identificación de medidas para tratar peligros
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Medidas de Tratamiento 1. Evitar 2. Prevenir • Gestión de activos • Inspecciones y pruebas de seguridad • Entrenamiento • Inversión en información • Diversificación • Disminución del nivel de exposición • Segregación o dispersión • Mantenimiento Preventivo • Medicina Preventiva • Políticas de Seguridad Fuente: Administración de riesgos – Un enfoque empresarial, Rubi Consuelo Mejía Quijano. Fondo Editorial Universidad Eafit, 2011
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Medidas de Tratamiento 3. Proteger o Mitigar • • • • •
Sistemas automáticos de protección Equipo de protección personal Plan de emergencia Plan de contingencia Otras medidas de protección
4. Aceptar
Fuente: Administración de riesgos – Un enfoque empresarial, Rubi Consuelo Mejía Quijano. Fondo Editorial Universidad Eafit, 2011
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Medidas de Tratamiento 5. Retener • Retención a través de la creación de un fondo • Retención a través de presupuestar el gasto • Retención a través de la creación de una provisión contable • Retención a través de una línea de crédito preestablecida • Retención estructurada en contrato de seguros • Empresas de seguros "cautivas"
Fuente: Administración de riesgos – Un enfoque empresarial, Rubi Consuelo Mejía Quijano. Fondo Editorial Universidad Eafit, 2011
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Medidas de Tratamiento 6. Transferir • Transferencia a través de clausulas en los contratos • Transferencia a través de contratos de seguros • Seguro personal • Seguro patrimonial • Seguro de transporte • Seguro de automóvil • Seguro de responsabilidad civil • Seguro de crédito • Transferencia alternativa de riesgos (ART) Fuente: Administración de riesgos – Un enfoque empresarial, Rubi Consuelo Mejía Quijano. Fondo Editorial Universidad Eafit, 2011
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Medidas de Tratamiento 6. Transferir • Otras formas de transferir el riesgo • Derivados financieros • Contratos de futuros y de forward
• •
• Contratos de opciones • Operaciones swap Alianzas estratégicas - Joint Ventures Pool especializado
Fuente: Administración de riesgos – Un enfoque empresarial, Rubi Consuelo Mejía Quijano. Fondo Editorial Universidad Eafit, 2011
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Medidas de Tratamiento para oportunidades 1. Explotar 2. Aumentar 3. Compartir 4. Aceptar
Risk Register Threats and opportunities
cause
risk
Overall Project Risks Risks per activity A B C D
Fuente: www.rmcproject.com
effect
Root Potential Potential triggers category cause risk owner responses
Risk Response Form for Threats Cause
Threats Risk
Effect
Activity
Fuente: www.rmcproject.com
Rating P
I
Score PxI
Ranking
Trigger
Fallback Plan
Risk Owner
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Mitigación Técnica: Plan de Continuidad del Negocio (BCP) Asegurar la continuidad de su negocio • Vulnerabilidad de la empresa • Las aéreas críticas de la organización • Los planes de contingencia Aéreas Críticas de la organización • Plan de administración del riesgo • Plan de contingencias que comprende el antes, el durante y el después, con sus planes de emergencia, manejo de crisis y recuperación. • Programa de seguros con pautas precisas para la presentación y manejo de los reclamos por siniestros que se presenten Fuente: Gestión integral de riesgos y seguros. Para empresas de servicios, comercio e industria, 2da edición, Hernán Mejía Delgado. ECOE Ediciones, 2011
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Mitigación Técnica: Plan de Contingencia MANEJO DE LA EMERGENCIA
PLAN DE CONTINGENCIA
ADMINISTRACIÓN DE LA CRISIS
RECUPERACIÓN DEL NEGOCIO
Fuente: Gestión integral de riesgos y seguros. Para empresas de servicios, comercio e industria, 2da edición, Hernán Mejía Delgado. ECOE Ediciones, 2011
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Mitigación Técnica: Estructura del plan de emergencia • Evaluación del riesgo • Medios de protección • Plan de evacuación • Programa de implementación • Consideraciones especiales
Fuente: Gestión integral de riesgos y seguros. Para empresas de servicios, comercio e industria, 2da edición, Hernán Mejía Delgado. ECOE Ediciones, 2011
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Mitigación Técnica: Finalidades - Plan de recuperación •
Definición de RTO Tiempo de Recuperación Objetivo y RPO Punto de Recuperación Objetivo.
•
Organización y gestión para minimizar los daños del siniestro.
•
Reconstrucción de las propiedades dañadas, lo más rápidamente posible.
•
Reanudación, por etapas, de las actividades propias de la empresa.
•
La continuación de la prestación de los servicios de la empresa.
•
Conseguir que la imagen de la empresa no se deteriore por el siniestro
•
Obtener anticipadamente la adhesión de toda la comunidad y de profesionales idóneos en la nueva etapa de recuperación.
•
Planificar toda la estructura de la empresa ante los cambios necesarios que deben efectuarse por el siniestro
Fuente: Gestión integral de riesgos y seguros. Para empresas de servicios, comercio e industria, 2da edición, Hernán Mejía Delgado. ECOE Ediciones, 2011
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
8. ANÁLISIS DEL RIESGO FINANCIERO
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Control y Mitigación del riesgo Financiero Las decisiones financieras requirieren de 3 factores básicos:
dinero, tiempo y riesgo
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Control y Mitigación del riesgo Financiero “No coloque todos lo huevos en una canasta” La tasa interés que determina el valor de un activo con riesgo depende del nivel general de las tasa de interés (medido por la tasa de interés sobre los bonos del tesoro del gobierno de los EEUU) más una prima que depende del riesgo del ingreso del activo. Cuanto más riesgo más alta será la prima. Tasa de retorno esperada = tasa libre de riesgo + prima de riesgo ESTO SIGNIFICA REALIZAR UN AJUSTE EN LA TASA DE DESCUENTO (WACC) UTILIZADA PARA LA EVALUACION DEL VPN
Prima de riesgo MODELO CAPM:
Prima de riesgo = β *(Rm – Rlr)
β = Factor que mide el riesgo del mercado: Pendiente de la línea de regresión entre variaciones de la tasa de retorno del mercado y la tasa de retorno del activo en particular
Re = Rlr + β*(Rm – Rlr) Re = Tasa de Retorno Esperada Rlr = Tasa libre de riesgo Rm = Tasa de retorno del mercado
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
OTRO MÉTODO PARA INCORPORAR EL RIESGO EL METODO DE LOS INDICADORES DE CERTEZA
FLUJO DE CAJA ESPERADO
tiempo (t) AÑO O AÑO 1 AÑO 2 AÑO 3
´(1) (300.000) 100.000 180.000 150.000
FLUJO EQUIVALENTE CON RIESGO
FACTOR EQUIVALENTE DE CERTEZA α
´(2) ´(3)=(2)/(1) (300.000) 1,00 96.000 0,96 165.000 0,92 130.000 0,87
VPNt= ∑αt*Flujo de caja esperado t / (1+i)t
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Simulación de Montecarlo Y1 = f (x1, x2, x3…xn) Variables independientes que introducen riesgo
Procedimiento de la simulación: 1. Se seleccionan las variables a estudiar 2. Se asigna una distribución de probabilidades a los valores que tomarán las variables seleccionadas 3. Generación de un número aleatorio entre 0 y 1 4. Se le asigna a la variable el valor que corresponda al número aleatorio generado 5. Se resuelve el modelo una cantidad elevada de veces
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
PROBABILIDAD
Distribución de Probabilidad
RIESGO Probabilidad < 1
Resultado Esperado
Resultado No esperado
RESULTADO DEL PROYECTO
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Taller El caso de eficiencia energética en un sistema de aire comprimido
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
9. SISTEMA DE ADMINISTRACIÓN INTEGRAL DEL RIESGO
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Sistema de Administración del Riesgo Principios y Políticas frente al riesgo
Coherencia y funcionalidad orgánica
SAR
Programa de Administración
Proceso de Administración
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Política de Administración del Riesgo • Fija criterios para el diseño del programa de manejo de los riesgos (apetito de riesgo, etc.) • Incluye niveles de responsabilidad y deberes. • Establece la cultura de control interno con base al riesgo • Establece el rol de la auditoria interna. • Establece un proceso efectivo de información y reporte interno. Principios y Políticas frente al riesgo
Coherencia y funcionalidad orgánica
SAR
Programa de Administración
Proceso de Administración
Proceso de Administración del Riesgo
ESTABLECIMIENTO DEL CONTEXTO
IDENTIFICACIÓN DE RIESGOS (Eventos) •Peligros •Oportunidades
ANÁLISIS DE RIESGOS (P x I) DETERMINACIÓN DE TÉCNICAS PARA EL TRATAMIENTO DE LOS RIESGOS • Control/mitigación • Aprovechamiento
EVALUACIÓN DE RIESGOS (Resultados vs Criterios) Principios y Políticas frente al riesgo
Coherencia y funcionalidad orgánica
SAR
Programa de Administración
Proceso de Administración
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Programa de Administración del Riesgo Conjunto de actividades para ejecución de las técnicas de tratamiento del riesgo previamente definidas en el PAR. Los programas pueden clasificarse por tipos de riesgo, por objetivos, por líneas de negocio, por proceso, por producto, etc. Principios y Políticas frente al riesgo
Coherencia y funcionalidad orgánica
SAR
Programa de Administración
Proceso de Administración
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
Coherencia y funcionalidad orgánica Con el fin de que las empresas puedan lograr los objetivos en relación con la administración del riesgo, los esquemas organizacionales de las mismas se dividen en dos grandes estructuras de responsabilidad según su gobierno corporativo: • Estructura estratégica • Estructura ejecutiva Principios y Políticas frente al riesgo
Coherencia y funcionalidad orgánica
SAR
Programa de Administración
Proceso de Administración
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
GERENCIA GENERAL Comité Adm Riesgo Int
GERENCIA ADMON Y FINANZAS
GERENCIA TECNICA U.A.R.I
Gestión Humana
Servicios Grales
GERENCIA COMERCIAL U.A.R.I
Finanzas
Jefe S.O
U.A.R.I © 2010. Mauricio Penagos Acosta.
=
UNIDAD DE ADMINISTRACION DEL RESGO INTEGRAL
U.A.R.I
Pasos a seguir para la gestión del riesgo en proyectos 1. Sensibilización al personal (Comunicación y consulta) 2. Establezca el contexto 3. Definición de principios y políticas 4. Análisis de los procesos según objetivos específicos 5. Identificación de eventos por proceso o actividad 6. Análisis de eventos vs objetivos específicos 7. Determinación de la Probabilidad y Consecuencia de los eventos 8. Revise si hay controles existentes (eficacia y eficiencia) 9. Valoración del Riesgo Inherente (priorice) 10. Definición de opciones de control y mitigación 11. Desarrollo del Programa de Administración Integral del Riesgo 12. Implementación planes de tratamiento 13. Evaluación y Valoración del Riesgo Residual (priorice) 14. Coherencia y funcionalidad orgánica Desarrolló Mauricio Penagos Acosta - AIRM, de acuerdo con la NTC 5254 y la ISO 31000
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
10. COSTO DEL RIESGO
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
COSTO ($)
COSTO DEL RIESGO Costo Total
Costo control del riesgo
Pérdidas debidas al riesgo
GESTIÓN DEL RIESGO
Asociación Colombiana de Ingenieros Capítulo Cundinamarca
COSTO DE TRANSFERIR VS RETENER EL RIESGO
View more...
Comments