curso iso_31000.pdf
Short Description
Download curso iso_31000.pdf...
Description
GESTIÓN DE RIESGOS: ISO 31000:201 31000:2018 8
Nueva versión de la norma de gestión de riesgos: ISO 31000:20 31000:2018 18
La norma ISO 31000 Gestión del riesgo: principios y directrices. Es la norma de referencia aceptada mundialmente sobre gestión del riesgo, es utilizada como guía en diversoss modelos de seguridad o de gestión y aporta las directrices que sirven de guía diverso para la gestión de los riesgos en cualquier organización.
¿QUÉ VEREMOS?
Importancia de la gestión de riesgos Novedades ISO 31000:2018 vs. 2009 Marco de trabajo ( framework framework ) de la gestión de riesgos Sistemas de gestión & ISO 31000 Metodologías para la apreciación de riesgos (ISO 31010)
Importancia de la gestión de riesgos
Nueva versión de la norma de gestión de riesgos: ISO 31000:2018
La norma ISO 31000:2018 Gestión del riesgo-Directrices es la norma de referencia aceptada mundialmente sobre gestión del riesgo, es utilizada como guía en diversos modelos de seguridad o de gestión y aporta las directrices que sirven de guía para la gestión de los riesgos en cualquier organización.
¿DÓNDE APLICA? Durante toda la vida
de la organización.
A todas las actividades, incluyendo la
toma de decisiones.
Importancia de la gestión de riesgos
ETIMOLOGÍA DEL RIESGO
“Riesgo”, “Risque”, “Rischio”, “Risiko”, “Risk”,…. TODOS PROVIENEN DEL:
Latín risicare: la capacidad de navegar alrededor de un arrecife o roca.
Árabe “rizq”: “lo que depara la provincia”.
Importancia de la gestión de riesgos
Pero… ¿qué se entiende por riesgos?
“Efecto de la incertidumbre sobre la consecución de los objetivos” Dos dimensiones del Riesgo: La posibilidad de que un evento se produzca. Las consecuencias que se podrían generar como consecuencia de ese evento. Es parte inevitable de los procesos de toma de decisiones en general y en los procesos de inversión en particular.
Importancia de la gestión de riesgos
Carácter subjetivo del riesgo
Riesgo u oportunidad ¿Es un riesgo? ¿Es una oportunidad?
Pues… DEPENDE de la perspectiva
“No vemos las cosas como son. Vemos las cosas como somos”
Importancia de la gestión de riesgos
Carácter subjetivo del riesgo Preparación física
RIESGOS
Bajo nivel de entrenamiento Factores externos Equipamiento inadecuado
Nuevo patrocinio Superación personal Reconocimiento
OPORTUNIDADES
Importancia de la gestión de riesgos
Riesgos del equipamiento e infraestructura
Riesgos legales
Riesgos Financieros
Sabotajes
Riesgos de Seguridad y Salud
Errores de cálculo
Riesgos Ambientales
Errores humanos
Importancia de la gestión de riesgos
La clave: La gestión de riesgos
“La mayoría de personas gastan más tiempo y energía en hablar de los problemas que en afrontarlos” Henry Ford La seguridad absoluta no existe. La gestión de riesgos debe ser inherente a los procesos del negocio. La gestión de riesgos no es un proyecto, es una actividad continua y requiere el soporte de la organización para tener éxito. Buscan proteger y crear valor dentro de la compañía.
Importancia de la gestión de riesgos
Beneficios de la gestión de riesgos
Permite la toma de decisiones conociendo los riesgos inherentes a las actividades y no en factores aleatorios.
Mejora la evaluación de rentabilidad de los negocios pues considera costos de eventualidades que no son analizadas comúnmente.
Protege los bienes y recursos de las organizaciones y su capacidad productiva , al desarrollar estrategias de administración del riesgo y disminución de sus impactos.
Mejora el uso de los recursos asignándolos en forma racional . Teniendo en cuenta la relación costo-beneficio de las mejores alternativas disponibles para minimizar los impactos o asumiéndolos cuando es posible.
Promueve el desarrollo de una cultura preventiva en la organización en lugar de un manejo reactivo y tardío de los problemas.
Importancia de la gestión de riesgos
¿POR QUÉ ES IMPORTANTE?
La gestión de riesgos aporta elementos clave que permiten a las organizaciones administrar su incertidumbre y tomar decisiones considerando aspectos que no son visibles.
Novedades ISO 31000:2018 vs. 2009
ISO 31000:2018 Revisión de los principios de la gestión de riesgos Resaltado de la figura de la alta dirección y la integración en la gestión de riesgos Mayor énfasis en el carácter iterativo de gestión de riesgos Modelo de sistemas abiertos para adaptarse a múltiples necesidades y contextos
ITERACIÓN significa el acto de repetir un proceso con el objetivo de alcanzar una meta deseada, objetivo o resultado. Cada repetición del proceso también se le denomina una "iteración", y los resultados de una iteración se utilizan como punto de partida para la siguiente iteración.
Marco de trabajo de la gestión de riesgos
ISO 31000
“Gestionar el riesgo es parte
IMPRESCINDIBLE de la gestión y el liderazgo y es fundamental para la forma en que la organización se dirige a todos los niveles”
Marco de trabajo de la gestión de riesgos
FAMILIA DE NORMAS La serie de normas ISO 31000 es un conjunto de estándares desarrollados por la Organización Internacional de Normalización (ISO), que proporcionan un marco de para la gestión de riesgos. Proporciona los principios y las directrices para gestionar cualquier forma de riesgo de forma
sistemática, transparente y fiable, dentro de cualquier alcance y contexto.
ISO Guide 73:2009 ISO/IEC 31010
ISO 31000
Marco de trabajo de la gestión de riesgos
ISO 31000
Gestión del riesgo de manera sistemática, transparente y creíble y dentro de cualquier ámbito y contexto. Aplicada a lo largo del ciclo de vida de una organización.
NO ESTÁ DESTINADA A FINES DE CERTIFICACIÓN, ES DECIR, NO ES CERTIFICABLE: ES UNA GUÍA DE GESTIÓN DEL RIESGO APLICABLE A CUALQUIER TIPO DE ORGANIZACIÓN. “No establece directrices, solo orientaciones para el tratamiento de riesgos”
Marco de trabajo de la gestión de riesgos
Gestión de la empresa a través del riesgo
La gestión del riesgo debe pasar a formar parte de la filosofía de la organización, siendo primordial la sensibilización y formación para conseguir la total participación y la permanencia del sistema.
Disciplina transversal
Marco de trabajo de la gestión de riesgos
Conceptos
Gestión del riesgo vs Gestionar el riesgo
Marco de trabajo de la gestión de riesgos
Estructura de la norma
ISO 31000:2018 Estructurada en 6 apartados (en lugar de los 9 de la versión anterior):
1. Objeto y campo de aplicación. 2. Referencias normativa. 3. Términos y definiciones. 4. Principios. 5. Marco de trabajo. 5.1 Generalidades. 5.2 Liderazgo y compromiso. 5.3 Integración. 5.4 Diseño. 5.5 Implementación. 5.6 Evaluación. 5.7 Mejora.
6. Proceso. 6.1 Generalidades. 6.2 Comunicación y consulta. 6.3 Alcance, contexto y criterios. 6.4 Apreciación del riesgo. 6.5 Tratamiento del riesgo. 6.6 Seguimiento y revisión. 6.7 Registro y presentación de informes.
Marco de trabajo de la gestión de riesgos
DIRECTRICES GENERALES
Se debe implementar un Marco de trabajo, cuyo objetivo es que se integre la gestión de riesgos en la dirección, planificación, cultura, política y valores de la organización.
Asegurarse que los intereses de las partes involucradas son considerados y entendidos.
Identificar, realizar el análisis y la evaluación de riesgos.
Definir los niveles de riesgo tolerables y los planes de mejora necesarios.
Analizar y aprender las lecciones sucedidas, los cambios, tendencias, éxitos y fracasos. Tener en cuenta los riesgos emergentes.
Marco de trabajo de la gestión de riesgos
DIRECTRICES DOCUMENTALES
Compromiso/Política de Gestión de Riesgos.
Indicadores de Gestión del Riesgo, alineados con los indicadores de desempeño de la organización.
Planes de Gestión del Riesgo.
Procedimientos de comunicación y formación en materia de Gestión del Riesgo.
Evaluación del Riesgo y metodología empleada.
Identificación de cambios externos e internos que afecten a los riesgos detectados.
Registros de monitoreo y revisión de los riesgos detectados y los planes.
Almacenamiento e identificación de la información.
Marco de trabajo de la gestión de riesgos
¿UNA ÚNICA METODOLOGÍA?
Cada organización debe aprovechar su CONOCIMIENTO SOBRE LA ACTIVIDAD, PARA PLANIFICARLA CON UN ENFOQUE PREVENTIVO.
Opciones desde un análisis meramente cualitativo hasta la aplicación de técnicas para gestionar cuantitativamente los riesgos.
La clave es el resultado de este ejercicio, independientemente del método elegido, y la UTILIZACIÓN DE LA INFORMACIÓN PARA FORTALECER LOS PROCESOS.
Marco de trabajo de la gestión de riesgos
TÉRMINOS Y DEFINICIONES
RIESGO
FUENTE DE RIESGO
Marco de trabajo de la gestión de riesgos
TÉRMINOS Y DEFINICIONES
Riesgo: efecto de la incertidumbre en los objetivos Un efecto es una desviación de la esperada. Puede ser positivo, negativo o ambos, y puede abordar, crear o dar lugar a oportunidades y amenazas. El riesgo se expresa generalmente en términos de fuentes de riesgo, eventos, sus consecuencias y su probabilidad.
Gestión del riesgo: actividades coordinadas para dirigir y controlar una organización con respecto al riesgo
Fuente de riesgo: elemento que solo o en combinación tiene el potencial de dar lugar a riesgo
Parte interesada: persona u organización que puede afectar, ser afectado por, o que crean que están afectadas por una decisión o actividad (grupos de interés).
Evento: ocurrencia o cambio de un conjunto particular de circunstancias
Consecuencia: resultado de un evento que afectan a objetivos
Probabilidad: posibilidad de que ocurra algo
S O I P I C N I R P
O J O A C B R A A R T M E D
Integrado
Dinámico
Estructurado y completo
Mejor información disponible
Personalizado
Factores humanos y culturales
Inclusivo
Mejora continua
Mejora continua MANDATO Y COMPROMISO
INTEGRACIÓN
DISEÑO
EVALUACIÓN
Implementación
Comunicación y consulta O S E C O R P
Establecimiento del contexto
Identificación del riesgo
Análisis del riesgo
Seguimiento y revisión
Evaluación del riesgo
Tratamiento del riesgo
Marco de trabajo de la gestión de riesgos
DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Mandato y compromiso
La Alta Dirección, así como los órganos de control y supervisión, deben asegurar mediante sus actos y su actitud una “Cultura del Riesgo” en la empresa.
Emisión de una declaración o política de gestión de riesgos.
Asegurar que los recursos necesarios se asignan a la gestión del riesgo.
Asignación de autoridad, responsabilidad y rendición de cuentas en los niveles apropiados dentro de la organización.
Marco de trabajo de la gestión de riesgos
DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Mandato y compromiso
La Alta Dirección es RESPONSABLE de la GESTIÓN de los riesgos, mientras que los Órganos de Supervisión son RESPONSABLES de SUPERVISAR la gestión de riesgos. Se espera de estos: que los riesgos se consideran adecuadamente al establecer los objetivos de la organización. Asegurar
Comprender los riesgos a los
que se enfrenta en la consecución de sus objetivos.
Asegurar que los sistemas se
implementan y funcionan con eficacia.
Asegurar que los riesgos son
apropiados en el contexto de los objetivos de la organización.
Garantizar que la información sobre estos riesgos y
su gestión se comunica correctamente.
Marco de trabajo de la gestión de riesgos
DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Integración
“ La
gestión del riesgo debe
ser
UNA PARTE DE, Y NO SEPARADA DE, el propósito de la organización, la gestión, el liderazgo y el compromiso, la estrategia, los objetivos y las operaciones”. La integración de la gestión de riesgos SE BASA en una compresión de las estructuras organizativas y contexto.
Marco de trabajo de la gestión de riesgos
DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Compresión de la organización y su contexto
Entender dónde estamos operando… El contexto de la organización es (también llamado entorno de negocios) es una combinación de factores internos y externos y condiciones que pueden tener efectos en la organización, productos, servicios, inversiones …
Entender de este modo nuestra organización nos ayuda a identificar Riesgos, a captar los objetivos de la organización. POR EJEMPLO: si estamos en una zona geográfica de difícil acceso, uno de nuestros riesgos puede ser los problemas de abastecimiento, el cual tendremos que intentar mitigar con stocks de productos que implique tener material para trabajar de manera continuada.
Marco de trabajo de la gestión de riesgos
DISEÑO DEL MARCO DE TRABAJO Compresión PARA LA GESTIÓN DEL RIESGO de la organización y su contexto Compresión de la organización y su contexto SOCIOCULTURALES
ECOLÓGICOS
POLÍTICOS COMPETIDORES
PRODUCTOS
Entender dónde estamos operando…
EMPRESA
CLIENTES
PROVEEDORES
TECNOLÓGICOS
JURÍDICOS MACROECONÓMICOS
Todo lo que rodea una organización le afecta: las organizaciones influyen en el entorno y
Marco de trabajo de la gestión de riesgos
DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Compresión de la organización y su contexto
EJEMPLO DEBILIDADES
FACTORES INTERNOS
Alta rotación del personal Falta de capacitación de los colaboradores Regularizar situación fiscal y de la seguridad social
FORTALEZAS
AMENAZAS FACTORES EXTERNOS
Entrada de nuevos competidores Cambios en las políticas económicas del país
Compromiso de la Dirección La calidad de los productos El atendimiento personalizado Organización e identificación de la documentación Volumen de trabajo y clientes
OPORTUNIDADES
Creación de un parque empresarial próximo a la empresa Mejoría en la gestión de sus procesos
Empresa dedicada a la venta de materiales
Marco de trabajo de la gestión de riesgos
DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Partes interesadas
“ PARTE INTERESADA: persona u
organización que puede afectar, verse afectada, o percibirse como afectada por una decisión o actividad”
ISO GUÍA 73
“¿Quién se preocupa por mi proyecto?”
Marco de trabajo de la gestión de riesgos
DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Compromiso de gestión del riesgo
Los ÓRGANOS DE GESTIÓN Y DE CONTROL principales deben demostrar y articular su compromiso continuo para la gestión de riesgos
Es comunicada, revisada y por el personal
Evidencia
entendida
Marco de trabajo de la gestión de riesgos
DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Compromiso de gestión de riesgos PUEDE ABORDAR:
El propósito de la organización para la gestión de riesgos
El refuerzo de la necesidad de integrar la gestión de riesgos en la cultura general de la organización
La integración de la gestión de riesgos en las actividades propias del negocio y toma de decisiones
Autoridades, responsabilidades y deberes
La dotación de los recursos necesarios
La forma en que los conflictos se tratan
Medición y presentación de informes en los indicadores de desempeño de la organización
Revisión y mejora
El compromiso de la gestión de riesgos debe ser COMUNICADO dentro de la organización y para las partes interesadas, según corresponda.
Marco de trabajo de la gestión de riesgos
DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Asignación de roles La Alta
Dirección y los Órganos de control y supervisión deben: Hacer hincapié en que la
gestión de riesgos es una
responsabilidad fundamental. Identificar
a las personas que tienen la
responsabilidad y autoridad para gestionar los riesgos. Deben garantizar que las autoridades, responsabilidades y compromisos para las funciones relevantes respecto a la gestión de riesgos SE ASIGNAN Y SE COMUNICAN a todos los niveles de la organización
Marco de trabajo de la gestión de riesgos
DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Recursos
Los Órganos de gestión y de control superior deben garantizar la asignación de recursos adecuados para la gestión de riesgo, que puede incluir:
Las personas, habilidades, experiencia y competencia
Procesos, métodos y herramientas de la organización
Procesos y procedimientos documentados
Sistemas de información y gestión del conocimiento
Desarrollo y formación profesional
Etc.
Marco de trabajo de la gestión de riesgos
DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Establecimiento de la comunicación y la consulta
La comunicación y consulta deben ser oportunas y garantizar que la información pertinente se recoge, coteja, sintetiza y comparte, según proceda, y se prevé la retroalimentación y se hacen mejoras.
Los canales de comunicación deben ser sencillos, pero bien estructurados.
Marco de trabajo de la gestión de riesgos
DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Establecimiento de la comunicación y la consulta Actas de reuniones Tablones de anuncios con información sobre seguridad Boletines internos
Procedimientos de comunicación para asegurar que se intercambia información con el «público objetivo»
Buzones / programas de sugerencias Sitios web y correo electrónico Reuniones Acceso a participación en investigaciones sobre incidentes e inspecciones de seguridad
Marco de trabajo de la gestión de riesgos
DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Implementación de la gestión del riesgo
Desarrollo de un Plan adecuado, incluyendo tiempo y recursos
Identificar dónde, cuándo y cómo los diferentes tipos de decisiones se hacen en la organización y por quién
Modificación de los procesos de toma de decisiones aplicables cuando sea necesario
Asegurar que los acuerdos de la organización para la gestión de riesgos se entienden y se practican
Marco de trabajo de la gestión de riesgos
DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Evaluación
Medir periódicamente el desempeño del marco de gestión de riesgos contra su propósito, planes e implementación, indicadores y comportamiento esperado
Determinar si sigue siendo adecuada para soportar la consecución de los objetivos de la organización
Marco de trabajo de la gestión de riesgos
Directrices de la norma ISO 31000
¿Qué puede suceder y por qué? ¿Cuáles son las consecuencias? ¿Cuál es la probabilidad de su ocurrencia futura?
¿Existen factores que mitiguen las consecuencias del riesgo o reduzcan la probabilidad del riesgo? ¿Es el nivel de riesgo tolerable o aceptable y requiere tratamiento adicional?
Directrices de la norma ISO 31000
Comunicación y consulta O S E C O R P
Establecimiento del contexto
Identificación del riesgo
Análisis del riesgo
Seguimiento y revisión
Evaluación del riesgo
Tratamiento del riesgo
Marco de trabajo de la gestión de riesgos
Directrices de la norma ISO 31000 Identificación de riesgos
En general, un riesgo opera en un espacio de dos dimensiones: la probabilidad de que suceda; la gravedad de sus efectos. Esto permite definir su criticidad, que resulta de multiplicar la probabilidad por la gravedad. Estos son los tres parámetros básicos que definen un riesgo, o mejor dicho, que sirven para caracterizarlo. La “caracterización” de los riesgos y su posterior “jerarquización” dependen siempre de una cartografía que toma la forma del siguiente esquema.
R E M R A F E D A M A R G A I D
Mientras más crítico sea el riesgo, menos aceptable será.
Marco de trabajo de la gestión de riesgos
Proceso para la apreciación del riesgo. ISO 31000 Identificación de riesgos
Incluye la identificación de las causas y el origen del riesgos, sucesos, situaciones…
Lista todos los elementos de riesgo identificados
EVENTOS ¿Qué?
FUENTES ¿Dónde?
CONSECUENCIAS
CAUSAS ¿Porqué?
La identificación es fundamental, porque el riesgo que no se identifica en esta etapa no pasa a la evaluación siguiente y no es considerado.
Marco de trabajo de la gestión de riesgos
Proceso para la apreciación del riesgo. ISO 31000
Existen una serie de Riesgos que, independientemente del Sector en el que nos movamos, acecha a todas las organización y deben ser valorados a la hora de realizar las Evaluaciones de Riesgos: LEGALES RIESGOS
TECNOLÓGICOS FALTA DE CRÉDITO FUGA DE TALENTO MERCADOS EMERGENTES SABOTAJES EN INFORMACIÓN RELEVANTE CATÁSTROFES AMBIENTALES ALIANZAS Y TRANSACCIONES
Tipos de riesgos
Marco de trabajo de la gestión de riesgos
Tipos de riesgos
INFORMES/ESTADISTICAS SOBRE MAYORES FUENTES DE RIEGOS PARA LAS ORGANIZACIONES A NIVEL MUNDIAL
Marco de trabajo de la gestión de riesgos
Proceso para la apreciación del riesgo. ISO 31000 Incumplimiento legal y continuidad
Incumplimiento de requisitos reglamentarios o deterioro de la reputación o la marca y factores que puedan afecta a la continuidad de las operaciones.
No se proporcionan fichas de seguridad Controles aduaneros incompletos Conductores que transportan material peligroso sin la correspondiente acreditación Incumplimiento del código marítimo, terrestres aplicables
CÓMO EVITARLO: Revisión periódica de los requisitos legales y de su cumplimiento. Muchas compañías recurren a consultoras que les ayudan a mantenerse al día en temas legales.
Marco de trabajo de la gestión de riesgos
Proceso para la apreciación del riesgo. ISO 31000 PERSONAL
Riesgos
LEGALES
Incumplimientos del código de conducta, discriminación en la contratación, explotación de datos personales sin consentimiento...
ADMINISTRACIÓN
ACCIONISTAS
Contaminación, atentados contra la seguridad pública,
Litigios jurídicos entre los dirigentes de la empresa y los accionistas…
corrupción, grupos de presión…
CLIENTES Incumplimiento de los reglamentos en relación con el producto fabricado, de los contratos de venta, de las cláusulas de confidencialidad, falsificación…
PROVEEDORES Ruptura de contratos, mala gestión y utilización de los programas informáticos, de las bases de datos, de las marcas y
“El desconocimiento de la ley no exime de su cumplimiento”
patentes…
Marco de trabajo de la gestión de riesgos
Proceso para la apreciación del riesgo. ISO 31000
Administración del personal
La “fuga” de personal cualificado puede poner en riesgo la continuidad de la organización o alguno de sus procesos. CÓMO EVITARLO: Las Políticas Laborales donde se valore al personal profesional y su aportación a la organización son la mejor manera de prevenir estos riesgos.
Marco de trabajo de la gestión de riesgos
Proceso para la apreciación del riesgo. ISO 31000 Sabotajes de información
Estos riesgos son sabotajes intencionados, copia de información relevante, filtración de información de clientes y datos personales… CÓMO EVIT E VITARLO ARLO:: Implantar barreras barreras que dificulten el acceso acceso a la información o lo restrinjan restrinjan solo al personal autorizado. Para ello, debe existir un control absoluto de todos los equipos de la organización e implantar claves de acceso.
Marco de trabajo de la gestión de riesgos
Proceso para la apreciación del riesgo. ISO 31000 MERCADOS EMERGENTES
La problemática viene por los férreos competidores que ocasionan una fuga de capital y de inversión a estos países. En general, son empresas con precios asequibles y facilidades de compra que atraen al consumidor.
CÓMO EVITARLO: EVITARLO: la única manera es ofrecer un plus en nuestros servicios/productos, generalmente centrado en mejora de la calidad o innovaciones tecnológicas.
Marco de trabajo de la gestión de riesgos
Proceso para la apreciación del riesgo. ISO 31000
Catástrofes Parece difícil luchar contra la naturaleza o contra incidentes que, no tan raras veces, ocurren en las organizaciones, como incendios o inundaciones.
Marco de trabajo de la gestión de riesgos
Proceso para la apreciación del riesgo. ISO 31000
Sistemas
Fallos Operacionales Suponen amenazas derivadas de pérdidas directas o indirectas de seguridad asociadas a:
Factores humanos
Fallos
en sistema de control de seguridad Fallos en los sistemas de comunicación Fallos en controles de acceso
Riesgos
operativos relativos a fraudes internos/ externos Errores humanos en el manejo maquinaria, vehículos... Incumplimiento
Política y procesos
de prácticas laborales o del cliente e instrucciones de trabajo Incumplimiento de requisitos de transporte del producto Prácticas comerciales inapropiadas Ejecución y gestión de procesos
Marco de trabajo de la gestión de riesgos
Proceso para la apreciación del riesgo. ISO 31000
01
02
METODOS BÁSADOS EN EVIDENCIAS, es decir,
REUNIÓN DE GRUPO DE EXPERTOS que analizan y revisan
revisiones de datos históricos o sucesos pasados.
posibles riesgos de la organización con alguna metodología sistemática (lluvia de ideas)
03 TÉCNICAS DE RAZONAMIENTO INDUCTIVO HAZOP
Tormenta de ideas, Entrevistas estructuradas, Delphi, Listas de Verificación, Análisis preliminar de peligros, Estudios de peligros...
Marco de trabajo de la gestión de riesgos
Proceso para la apreciación del riesgo. ISO 31000 Análisis de riesgos
Compresión del riesgo ¿Cuál es la probabilidad de ocurrencia del riesgo? ¿Qué pérdidas se producirían, en cuanto a coste del proyecto, en mi negocio… en caso de que el riesgo ocurriese?
VALORACIÓN DE RIESGOS
ANÁLISIS DE CONSECUENCIAS
ESTIMACIÓN DE PROBABILIDAD
La fórmula que decidamos emplear debe quedar claramente establecida en el proceso de Análisis de Riesgos.
Marco de trabajo de la gestión de riesgos
Proceso para la apreciación del riesgo. ISO 31000 Análisis de riesgos
No existe una “fórmula universal”. Cada organización aplica la que considera que se adapta más a su realidad, por ejemplo:
SEMICUANTITATIVOS
.
Significancia = Consecuencia x Probabilidad Significancia = ( 2 x consecuencia) + Probabilidad Significancia = Consecuencia + ( 2 Probabilidad) …
MÉTODOS
.
CUALITATIVOS
.
CUANTITATIVOS
Marco de trabajo de la gestión de riesgos
Proceso para la apreciación del riesgo. ISO 31000 Análisis de riesgos
Para estimar la probabilidad se emplean normalmente tres enfoques:
Utilización de datos históricos, importante para identificar sucesos ocurridos Pronósticos de probabilidad utilizando técnicas como el Árbol de sucesos Opinión de un experto
(La construcción del árbol comienza por la identificación de los N factores condicionantes de la evolución del suceso iniciador. A continuación, se colocan estos como cabezales de la estructura gráfica. Partiendo del iniciador se plantean sistemáticamente dos bifurcaciones: en la parte superior se refleja el éxito o la ocurrencia del suceso condicionante y en la parte inferior se representa el fallo o no ocurrencia del mismo)
Marco de trabajo de la gestión de riesgos
Proceso para la apreciación del riesgo. ISO 31000 Análisis de riesgos. EJEMPLO CRITERIO VALORACIÓN
Análisis: EMPRESA que clasifica el componente de Probabilidad de acuerdo a 5 categorías: PROBABILIDAD DE MATERIALIZACIÓN Criterio de la organización
Muy improbable Improbable Posible Probable
Casi seguro
Descripción
Ocurre en casos excepcionales Puede ocurrir Ocurre en la mayoría de los casos Es probable. Ocurre en la mayoría de los casos Es muy seguro
Frecuencia
Nivel
No se ha presentado en los últimos 5 años
1
Se presentó una vez en los últimos 5 años
2
Se presentó una vez en los últimos 2 años
3
Se presentó una vez en el último año
4
El evento ocurre en la mayoría de las circunstancias. Es muy seguro que se presente. Se ha presentado más de una vez al año
5
Marco de trabajo de la gestión de riesgos
Proceso para la apreciación del riesgo. ISO 31000 Análisis de riesgos. EJEMPLO CRITERIO VALORACIÓN
GUÍA DE VALORACIÓN DE LA CONSECUENCIA Insignificante
No tiene ningún efecto sobre los clientes y el proceso de negocio ni consecuencias a nivel interno. Ninguna prioridad.
2
Menor
Fugas de información poco importantes y que hay que solucionar, pero no se considera importante y tiene poca prioridad. Pérdida de la buena imagen de la empresa menor y que impacta de forma menor en las relaciones con los clientes ni a nivel interno.
3
Mayor
Pérdida de la buena imagen de la empresa ante algún cliente o internamente, debido a fugas de información de nivel medio. Afecta a los intereses económicos, comerciales y financieros.
Catastrófico
Pérdida de clientes, con la consiguiente pérdida de contratos. Pérdida muy grave de la buena imagen de la empresa. Internamente, mala impresión entre el personal de la empresa debido a filtraciones indebidas muy graves. Posibles sanciones legales muy graves que pudieran impedir la continuidad de la empresa. Afecta gravemente a los aspectos económicos, comerciales y financieros.
1
4
Marco de trabajo de la gestión de riesgos
Proceso para la apreciación del riesgo. ISO 31000 Análisis de riesgos EJEMPLO DE MATRIZ DE RIESGOS Casi seguro (5) Probable (4) Posible (3) Improbable (2) Rara vez (1) Probabilidad /Impacto
Moderado(25)
Alto (50)
Extremo (75)
Extremo (100)
Moderado (20)
Alto (40)
Extremo (60)
Extremo (80)
Moderado (15)
Moderado (30)
Alto (45)
Extremo (60)
Bajo (10)
Moderado (20)
Moderado (30)
Alto (40)
Bajo (5)
Bajo (10)
Bajo (15)
Moderado (20)
Insignificante (5)
Menor (10)
Mayor (15)
Catastrófico (20)
Marco de trabajo de la gestión de riesgos
Proceso para la apreciación del riesgo. ISO 31000 Evaluación de riesgos
Permite que una entidad entienda el grado en el cual los eventos potenciales pudieran afectar los objetivos del negocio.
Este Riesgo se Materializa…
¿¿Qué pasa??? ¿Es necesario tratar el riesgo? ¿Cómo lo priorizamos? ¿Emprendemos la actividad? ¿Qué camino seguimos? Tan bajo como sea posible
BANDA SUPERIOR INTOLERABLE BANDA MEDIA TOLERABLES
BANDA INFERIOR INSIGNIFICANTES
Marco de trabajo de la gestión de riesgos
Proceso para la apreciación del riesgo. ISO 31000 Evaluación de riesgos. EJEMPLO Nivel de Riesgo
DESCRIPCIÓN No se van a tomar acciones para atajarlo.
VALOR < 20 BAJO
No se necesitan mejorar las medidas de seguridad establecidas. Podría valorar soluciones más rentables o mejoras que no supongan una carga económica importante (inferior a 500 €) y contando con los recursos propios de la empresa siempre y cuando ello no interfiera con el desarrollo normal de las actividades de negocio. Se requieren comprobaciones periódicas, frecuencia máxima anual, para asegurar que se mantiene la eficacia de las medidas de seguridad. Las medidas de seguridad establecidas se consideran suficientes. Puede ser objeto de estudio para su tratamiento soluciones más
20 ≤ VALOR < 40 rentables o mejoras que no supongan una carga económica razonable (inferior a 1000 €) y contando con los recursos propios de la MODERADO
empresa compatibilizado con las necesidades de las actividades de negocio que tendrán prioridad. Se requieren comprobaciones periódicas, frecuencia máxima anual, para asegurar que se mantiene l a eficacia de las medidas de seguridad. Requiere atención.
40 ≤ VALOR
View more...
Comments
