curso iso_31000.pdf

Share Embed Donate


Short Description

Download curso iso_31000.pdf...

Description

GESTIÓN DE RIESGOS: ISO 31000:201 31000:2018 8

Nueva versión de la norma de gestión de riesgos: ISO 31000:20 31000:2018 18

La norma ISO 31000 Gestión del riesgo: principios y directrices. Es la norma de referencia aceptada mundialmente sobre gestión del riesgo, es utilizada como guía en diversoss modelos de seguridad o de gestión y aporta las directrices que sirven de guía diverso para la gestión de los riesgos en cualquier organización.

¿QUÉ VEREMOS?     

Importancia de la gestión de riesgos Novedades ISO 31000:2018 vs. 2009 Marco de trabajo ( framework   framework ) de la gestión de riesgos Sistemas de gestión & ISO 31000 Metodologías para la apreciación de riesgos (ISO 31010)

Importancia de la gestión de riesgos

Nueva versión de la norma de gestión de riesgos: ISO 31000:2018

La norma ISO 31000:2018 Gestión del riesgo-Directrices es la norma de referencia aceptada mundialmente sobre gestión del riesgo, es utilizada como guía en diversos modelos de seguridad o de gestión y aporta las directrices que sirven de guía para la gestión de los riesgos en cualquier organización.

¿DÓNDE APLICA?  Durante toda la vida

de la organización.

 A todas las actividades, incluyendo la

toma de decisiones.

Importancia de la gestión de riesgos

ETIMOLOGÍA DEL RIESGO

“Riesgo”, “Risque”, “Rischio”, “Risiko”, “Risk”,…. TODOS PROVIENEN DEL: 

Latín risicare: la capacidad de navegar alrededor de un arrecife o roca.



Árabe “rizq”: “lo que depara la provincia”.

Importancia de la gestión de riesgos

Pero… ¿qué se entiende por riesgos?

“Efecto de la incertidumbre sobre la consecución de los objetivos” Dos dimensiones del Riesgo: La posibilidad de que un evento se produzca. Las consecuencias que se podrían generar como consecuencia de ese evento. Es parte inevitable de los procesos de toma de decisiones en general y en los procesos de inversión en particular.

Importancia de la gestión de riesgos

Carácter subjetivo del riesgo

Riesgo u oportunidad ¿Es un riesgo? ¿Es una oportunidad?

Pues… DEPENDE de la perspectiva

“No vemos las cosas como son. Vemos las cosas como somos”

Importancia de la gestión de riesgos

Carácter subjetivo del riesgo Preparación física

RIESGOS

Bajo nivel de entrenamiento Factores externos Equipamiento inadecuado

Nuevo patrocinio Superación personal Reconocimiento

OPORTUNIDADES

Importancia de la gestión de riesgos

Riesgos del equipamiento e infraestructura

Riesgos legales

Riesgos Financieros

Sabotajes

Riesgos de Seguridad y Salud

Errores de cálculo

Riesgos Ambientales

Errores humanos

Importancia de la gestión de riesgos

La clave: La gestión de riesgos

“La mayoría de personas gastan más tiempo y energía en hablar de los problemas que en afrontarlos” Henry Ford La seguridad absoluta no existe. La gestión de riesgos debe ser inherente a los procesos del negocio. La gestión de riesgos no es un proyecto, es una actividad continua y requiere el soporte de la organización para tener éxito. Buscan proteger y crear valor dentro de la compañía.

Importancia de la gestión de riesgos

Beneficios de la gestión de riesgos 

Permite la toma de decisiones conociendo los riesgos inherentes a las actividades y no en factores aleatorios.



Mejora la evaluación de rentabilidad de los negocios pues considera costos de eventualidades que no son analizadas comúnmente.



Protege los bienes y recursos de las organizaciones y su capacidad productiva , al desarrollar estrategias de administración del riesgo y disminución de sus impactos.



Mejora el uso de los recursos asignándolos en forma racional . Teniendo en cuenta la relación costo-beneficio de las mejores alternativas disponibles para minimizar los impactos o asumiéndolos cuando es posible.



Promueve el desarrollo de una cultura preventiva en la organización en lugar de un manejo reactivo y tardío de los problemas.

Importancia de la gestión de riesgos

¿POR QUÉ ES IMPORTANTE?

La gestión de riesgos aporta elementos clave que permiten a las organizaciones administrar su incertidumbre y tomar decisiones considerando aspectos que no son visibles.

Novedades ISO 31000:2018 vs. 2009

ISO 31000:2018 Revisión de los principios de la gestión de riesgos Resaltado de la figura de la alta dirección y la integración en la gestión de riesgos Mayor énfasis en el carácter iterativo de gestión de riesgos Modelo de sistemas abiertos para adaptarse a múltiples necesidades y contextos

ITERACIÓN significa el acto de repetir un proceso con el objetivo de alcanzar una meta deseada, objetivo o resultado. Cada repetición del proceso también se le denomina una "iteración", y los resultados de una iteración se utilizan como punto de partida para la siguiente iteración.

Marco de trabajo de la gestión de riesgos

ISO 31000

“Gestionar el riesgo es parte

IMPRESCINDIBLE de la gestión y el liderazgo y es fundamental para la forma en que la organización se dirige a todos los niveles”

Marco de trabajo de la gestión de riesgos

FAMILIA DE NORMAS La serie de normas ISO 31000 es un conjunto de estándares desarrollados por la Organización Internacional de Normalización (ISO), que proporcionan un marco de para la gestión de riesgos. Proporciona los principios y las directrices para gestionar cualquier forma de riesgo de forma

sistemática, transparente y fiable, dentro de cualquier alcance y contexto.

ISO Guide 73:2009 ISO/IEC 31010

ISO 31000

Marco de trabajo de la gestión de riesgos

ISO 31000

Gestión del riesgo de manera sistemática, transparente y creíble y dentro de cualquier ámbito y contexto. Aplicada a lo largo del ciclo de vida de una organización.

NO ESTÁ DESTINADA A FINES DE CERTIFICACIÓN, ES DECIR, NO ES CERTIFICABLE: ES UNA GUÍA DE GESTIÓN DEL RIESGO APLICABLE A CUALQUIER TIPO DE ORGANIZACIÓN. “No establece directrices, solo orientaciones para el tratamiento de riesgos”

Marco de trabajo de la gestión de riesgos

Gestión de la empresa a través del riesgo

La gestión del riesgo debe pasar a formar parte de la filosofía de la organización, siendo primordial la sensibilización y formación para conseguir la total participación y la permanencia del sistema.

Disciplina transversal

Marco de trabajo de la gestión de riesgos

Conceptos

Gestión del riesgo vs Gestionar el riesgo

Marco de trabajo de la gestión de riesgos

Estructura de la norma

ISO 31000:2018 Estructurada en 6 apartados (en lugar de los 9 de la versión anterior):     

1. Objeto y campo de aplicación. 2. Referencias normativa. 3. Términos y definiciones. 4. Principios. 5. Marco de trabajo.  5.1 Generalidades.  5.2 Liderazgo y compromiso.  5.3 Integración.  5.4 Diseño.  5.5 Implementación.  5.6 Evaluación.  5.7 Mejora.



6. Proceso.  6.1 Generalidades.  6.2 Comunicación y consulta.  6.3 Alcance, contexto y criterios.  6.4 Apreciación del riesgo.  6.5 Tratamiento del riesgo.  6.6 Seguimiento y revisión.  6.7 Registro y presentación de informes.

Marco de trabajo de la gestión de riesgos

DIRECTRICES GENERALES 

Se debe implementar un Marco de trabajo, cuyo objetivo es que se integre la gestión de riesgos en la dirección, planificación, cultura, política y valores de la organización.



Asegurarse que los intereses de las partes involucradas son considerados y entendidos.



Identificar, realizar el análisis y la evaluación de riesgos.



Definir los niveles de riesgo tolerables y los planes de mejora necesarios.



Analizar y aprender las lecciones sucedidas, los cambios, tendencias, éxitos y fracasos. Tener en cuenta los riesgos emergentes.

Marco de trabajo de la gestión de riesgos

DIRECTRICES DOCUMENTALES 

Compromiso/Política de Gestión de Riesgos.



Indicadores de Gestión del Riesgo, alineados con los indicadores de desempeño de la organización.



Planes de Gestión del Riesgo.



Procedimientos de comunicación y formación en materia de Gestión del Riesgo.



Evaluación del Riesgo y metodología empleada.



Identificación de cambios externos e internos que afecten a los riesgos detectados.



Registros de monitoreo y revisión de los riesgos detectados y los planes.



Almacenamiento e identificación de la información.

Marco de trabajo de la gestión de riesgos

¿UNA ÚNICA METODOLOGÍA? 

Cada organización debe aprovechar su CONOCIMIENTO SOBRE LA ACTIVIDAD, PARA PLANIFICARLA CON UN ENFOQUE PREVENTIVO.



Opciones desde un análisis meramente cualitativo hasta la aplicación de técnicas para gestionar cuantitativamente los riesgos.



La clave es el resultado de este ejercicio, independientemente del método elegido, y la UTILIZACIÓN DE LA INFORMACIÓN PARA FORTALECER LOS PROCESOS.

Marco de trabajo de la gestión de riesgos

TÉRMINOS Y DEFINICIONES

RIESGO

FUENTE DE RIESGO

Marco de trabajo de la gestión de riesgos

TÉRMINOS Y DEFINICIONES 

Riesgo: efecto de la incertidumbre en los objetivos Un efecto es una desviación de la esperada. Puede ser positivo, negativo o ambos, y puede  abordar, crear o dar lugar a oportunidades y amenazas.  El riesgo se expresa generalmente en términos de fuentes de riesgo, eventos, sus consecuencias y su probabilidad.



Gestión del riesgo: actividades coordinadas para dirigir y controlar una organización con respecto al riesgo



Fuente de riesgo: elemento que solo o en combinación tiene el potencial de dar lugar a riesgo



Parte interesada: persona u organización que puede afectar, ser afectado por, o que crean que están afectadas por una decisión o actividad (grupos de interés).



Evento: ocurrencia o cambio de un conjunto particular de circunstancias



Consecuencia: resultado de un evento que afectan a objetivos



Probabilidad: posibilidad de que ocurra algo

   S    O    I    P    I    C    N    I    R    P

   O    J    O   A    C   B    R   A    A   R    T    M    E    D

Integrado

Dinámico

Estructurado y completo

Mejor información disponible

Personalizado

Factores humanos y culturales

Inclusivo

Mejora continua

Mejora continua MANDATO Y COMPROMISO

INTEGRACIÓN

DISEÑO

EVALUACIÓN

Implementación

Comunicación y consulta    O    S    E    C    O    R    P

Establecimiento del contexto

Identificación del riesgo

Análisis del riesgo

Seguimiento y revisión

Evaluación del riesgo

Tratamiento del riesgo

Marco de trabajo de la gestión de riesgos

DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Mandato y compromiso



La Alta Dirección, así como los órganos de control y supervisión, deben asegurar mediante sus actos y su actitud una “Cultura del Riesgo” en la empresa.



Emisión de una declaración o política de gestión de riesgos.



Asegurar que los recursos necesarios se asignan a la gestión del riesgo.



Asignación de autoridad, responsabilidad y rendición de cuentas en los niveles apropiados dentro de la organización.

Marco de trabajo de la gestión de riesgos

DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Mandato y compromiso

La Alta Dirección es RESPONSABLE de la GESTIÓN de los riesgos, mientras que los Órganos de Supervisión son RESPONSABLES de SUPERVISAR la gestión de riesgos. Se espera de estos: que los riesgos se consideran adecuadamente al establecer los objetivos de la organización.  Asegurar

 Comprender los riesgos a los

que se enfrenta en la consecución de sus objetivos.

 Asegurar que los sistemas se

implementan y funcionan con eficacia.

 Asegurar que los riesgos son

apropiados en el contexto de los objetivos de la organización.

 Garantizar que la información sobre estos riesgos y

su gestión se comunica  correctamente.

Marco de trabajo de la gestión de riesgos

DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Integración

“ La

gestión del riesgo debe

ser

UNA PARTE DE, Y NO SEPARADA DE, el propósito de la organización, la gestión, el liderazgo y el compromiso, la estrategia, los objetivos y las operaciones”. La integración de la gestión de riesgos SE BASA en una compresión de las estructuras organizativas y contexto.

Marco de trabajo de la gestión de riesgos

DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Compresión de la organización y su contexto

Entender dónde estamos operando… El contexto de la organización es (también llamado entorno de negocios) es una combinación de factores internos y externos y condiciones que pueden tener efectos en la organización, productos, servicios, inversiones …

Entender de este modo nuestra organización nos ayuda a identificar Riesgos, a captar los objetivos de la organización. POR EJEMPLO: si estamos en una zona geográfica de difícil acceso, uno de nuestros riesgos puede ser los problemas de abastecimiento, el cual tendremos que intentar mitigar con stocks de productos que implique tener material para trabajar de manera continuada.

Marco de trabajo de la gestión de riesgos

DISEÑO DEL MARCO DE TRABAJO Compresión PARA LA GESTIÓN DEL RIESGO de la organización y su contexto Compresión de la organización y su contexto SOCIOCULTURALES

ECOLÓGICOS

POLÍTICOS COMPETIDORES

PRODUCTOS

Entender dónde estamos operando…

EMPRESA

CLIENTES

PROVEEDORES

TECNOLÓGICOS

JURÍDICOS MACROECONÓMICOS

Todo lo que rodea una organización le afecta: las organizaciones influyen en el entorno y

Marco de trabajo de la gestión de riesgos

DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Compresión de la organización y su contexto

EJEMPLO DEBILIDADES 

FACTORES INTERNOS

 

Alta rotación del personal Falta de capacitación de los colaboradores Regularizar situación fiscal y de la seguridad social

FORTALEZAS     

AMENAZAS FACTORES EXTERNOS

 

Entrada de nuevos competidores Cambios en las políticas económicas del país

Compromiso de la Dirección La calidad de los productos El atendimiento personalizado Organización e identificación de la documentación Volumen de trabajo y clientes

OPORTUNIDADES  

Creación de un parque empresarial próximo a la empresa Mejoría en la gestión de sus procesos

Empresa dedicada a la venta de materiales

Marco de trabajo de la gestión de riesgos

DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Partes interesadas

“ PARTE INTERESADA: persona u

organización que puede afectar, verse afectada, o percibirse como afectada por una decisión o actividad” 

ISO GUÍA 73

“¿Quién se preocupa por mi proyecto?”

Marco de trabajo de la gestión de riesgos

DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Compromiso de gestión del riesgo

Los ÓRGANOS DE GESTIÓN Y DE CONTROL principales deben demostrar y articular su compromiso continuo para la gestión de riesgos

Es comunicada, revisada y por el personal

Evidencia

entendida

Marco de trabajo de la gestión de riesgos

DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Compromiso de gestión de riesgos PUEDE ABORDAR: 

El propósito de la organización para la gestión de riesgos



El refuerzo de la necesidad de integrar la gestión de riesgos en la cultura general de la organización



La integración de la gestión de riesgos en las actividades propias del negocio y toma de decisiones



Autoridades, responsabilidades y deberes



La dotación de los recursos necesarios



La forma en que los conflictos se tratan



Medición y presentación de informes en los indicadores de desempeño de la organización



Revisión y mejora

El compromiso de la gestión de riesgos debe ser COMUNICADO dentro de la organización y para las partes interesadas, según corresponda.

Marco de trabajo de la gestión de riesgos

DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Asignación de roles La Alta

Dirección y los Órganos de control y supervisión deben:  Hacer hincapié en que la

gestión de riesgos es una

responsabilidad fundamental.  Identificar

a las personas que tienen la

responsabilidad y autoridad  para gestionar los riesgos. Deben garantizar que las autoridades, responsabilidades y compromisos para las funciones relevantes respecto a la gestión de riesgos SE ASIGNAN Y SE COMUNICAN a todos los niveles de la organización

Marco de trabajo de la gestión de riesgos

DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Recursos

Los Órganos de gestión y de control superior deben garantizar la asignación de recursos adecuados para la gestión de riesgo, que puede incluir: 

Las personas, habilidades, experiencia y competencia



Procesos, métodos y herramientas de la organización



Procesos y procedimientos documentados



Sistemas de información y gestión del conocimiento



Desarrollo y formación profesional



Etc.

Marco de trabajo de la gestión de riesgos

DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Establecimiento de la comunicación y la consulta

La comunicación y consulta deben ser oportunas y garantizar que la información pertinente se recoge, coteja, sintetiza y comparte, según proceda, y se prevé la retroalimentación y se hacen mejoras.

Los canales de comunicación deben ser sencillos, pero bien estructurados.

Marco de trabajo de la gestión de riesgos

DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Establecimiento de la comunicación y la consulta Actas de reuniones Tablones de anuncios con información sobre seguridad Boletines internos

Procedimientos de comunicación para asegurar que se intercambia información con el «público objetivo»

Buzones / programas de sugerencias Sitios web y correo electrónico Reuniones Acceso a participación en investigaciones sobre incidentes e inspecciones de seguridad

Marco de trabajo de la gestión de riesgos

DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Implementación de la gestión del riesgo

Desarrollo de un Plan adecuado, incluyendo tiempo y recursos

Identificar dónde, cuándo y cómo los diferentes tipos de decisiones se hacen en la organización y por quién

Modificación de los procesos de toma de decisiones aplicables cuando sea necesario

Asegurar que los acuerdos de la organización para la gestión de riesgos se entienden y se practican

Marco de trabajo de la gestión de riesgos

DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Evaluación

Medir periódicamente el desempeño del marco de gestión de riesgos contra su propósito, planes e implementación, indicadores y comportamiento esperado

Determinar si sigue siendo adecuada para soportar la consecución de los objetivos de la organización

Marco de trabajo de la gestión de riesgos

Directrices de la norma ISO 31000

¿Qué puede suceder y por qué? ¿Cuáles son las consecuencias? ¿Cuál es la probabilidad de su ocurrencia futura?

¿Existen factores que mitiguen las consecuencias del riesgo o reduzcan la probabilidad del riesgo? ¿Es el nivel de riesgo tolerable o aceptable y requiere tratamiento adicional?

Directrices de la norma ISO 31000

Comunicación y consulta    O    S    E    C    O    R    P

Establecimiento del contexto

Identificación del riesgo

Análisis del riesgo

Seguimiento y revisión

Evaluación del riesgo

Tratamiento del riesgo

Marco de trabajo de la gestión de riesgos

Directrices de la norma ISO 31000 Identificación de riesgos

En general, un riesgo opera en un espacio de dos dimensiones:  la probabilidad de que suceda;  la gravedad de sus efectos. Esto permite definir su criticidad, que resulta de multiplicar la probabilidad por la gravedad. Estos son los tres parámetros básicos que definen un riesgo, o mejor dicho, que sirven para caracterizarlo. La “caracterización”   de los riesgos y su posterior “jerarquización” dependen siempre de una cartografía que toma la forma del siguiente esquema.

   R    E    M    R    A    F    E    D    A    M    A    R    G    A    I    D

Mientras más crítico sea el riesgo, menos aceptable será.

Marco de trabajo de la gestión de riesgos

Proceso para la apreciación del riesgo. ISO 31000 Identificación de riesgos

Incluye la identificación de las causas y el origen del riesgos, sucesos, situaciones…

Lista todos los elementos de riesgo identificados

EVENTOS ¿Qué?

FUENTES ¿Dónde?

CONSECUENCIAS

CAUSAS ¿Porqué?

La identificación es fundamental, porque el riesgo que no se identifica en esta etapa no pasa a la evaluación siguiente y no es considerado.

Marco de trabajo de la gestión de riesgos

Proceso para la apreciación del riesgo. ISO 31000

Existen una serie de Riesgos que, independientemente del Sector en el que nos movamos, acecha a todas las organización y deben ser valorados a la hora de realizar las Evaluaciones de Riesgos:  LEGALES  RIESGOS

TECNOLÓGICOS  FALTA DE CRÉDITO  FUGA DE TALENTO  MERCADOS EMERGENTES  SABOTAJES EN INFORMACIÓN RELEVANTE  CATÁSTROFES AMBIENTALES  ALIANZAS Y TRANSACCIONES

Tipos de riesgos

Marco de trabajo de la gestión de riesgos

Tipos de riesgos

INFORMES/ESTADISTICAS SOBRE MAYORES FUENTES DE RIEGOS PARA LAS ORGANIZACIONES A NIVEL MUNDIAL

Marco de trabajo de la gestión de riesgos

Proceso para la apreciación del riesgo. ISO 31000 Incumplimiento legal y continuidad

Incumplimiento de requisitos reglamentarios o deterioro de la reputación o la marca y factores que puedan afecta a la continuidad de las operaciones.   



No se proporcionan fichas de seguridad Controles aduaneros incompletos Conductores que transportan material peligroso sin la correspondiente acreditación Incumplimiento del código marítimo, terrestres aplicables

CÓMO EVITARLO: Revisión periódica de los requisitos legales y de su cumplimiento. Muchas compañías recurren a consultoras que les ayudan a mantenerse al día en temas legales.

Marco de trabajo de la gestión de riesgos

Proceso para la apreciación del riesgo. ISO 31000 PERSONAL

Riesgos

LEGALES

Incumplimientos del código de conducta, discriminación en la contratación, explotación de datos personales sin consentimiento...

ADMINISTRACIÓN

ACCIONISTAS

Contaminación, atentados contra la seguridad pública,

Litigios jurídicos entre los dirigentes de la empresa y los accionistas…

corrupción, grupos de presión…

CLIENTES Incumplimiento de los reglamentos en relación con el producto fabricado, de los contratos de venta, de las cláusulas de confidencialidad, falsificación…

PROVEEDORES Ruptura de contratos, mala gestión y utilización de los programas informáticos, de las bases de datos, de las marcas y

“El desconocimiento de la ley no exime de su cumplimiento”

patentes…

Marco de trabajo de la gestión de riesgos

Proceso para la apreciación del riesgo. ISO 31000

Administración del personal

La “fuga” de personal cualificado puede poner en riesgo la continuidad de la organización o alguno de sus procesos. CÓMO EVITARLO: Las Políticas Laborales donde se valore al personal profesional y su aportación a la organización son la mejor manera de prevenir estos riesgos.

Marco de trabajo de la gestión de riesgos

Proceso para la apreciación del riesgo. ISO 31000 Sabotajes de información

Estos riesgos son sabotajes intencionados, copia de información relevante, filtración de información de clientes y datos  personales… CÓMO EVIT E VITARLO ARLO:: Implantar barreras barreras que dificulten el acceso acceso a la información o lo restrinjan restrinjan solo al personal autorizado. Para ello, debe existir un control absoluto de todos los equipos de la organización e implantar claves de acceso.

Marco de trabajo de la gestión de riesgos

Proceso para la apreciación del riesgo. ISO 31000 MERCADOS EMERGENTES

La problemática viene por los férreos competidores que ocasionan una fuga de capital y de inversión a estos países. En general, son empresas con precios asequibles y facilidades de compra que atraen al consumidor.

CÓMO EVITARLO: EVITARLO: la única manera es ofrecer un plus en nuestros servicios/productos, generalmente centrado en mejora de la calidad o innovaciones tecnológicas.

Marco de trabajo de la gestión de riesgos

Proceso para la apreciación del riesgo. ISO 31000

Catástrofes Parece difícil luchar contra la naturaleza o contra incidentes que, no tan raras veces, ocurren en las organizaciones, como incendios o inundaciones.

Marco de trabajo de la gestión de riesgos

Proceso para la apreciación del riesgo. ISO 31000

Sistemas

Fallos Operacionales Suponen amenazas derivadas de pérdidas directas o indirectas de seguridad asociadas a:

Factores humanos

 Fallos

en sistema de control de seguridad  Fallos en los sistemas de comunicación  Fallos en controles de acceso

 Riesgos

operativos relativos a fraudes internos/ externos   Errores humanos en el manejo maquinaria, vehículos...   Incumplimiento

Política y procesos

de prácticas laborales o del cliente e instrucciones de trabajo   Incumplimiento de requisitos de transporte del producto  Prácticas comerciales inapropiadas  Ejecución y gestión de procesos

Marco de trabajo de la gestión de riesgos

Proceso para la apreciación del riesgo. ISO 31000

01

02

METODOS BÁSADOS EN EVIDENCIAS, es decir,

REUNIÓN DE GRUPO DE EXPERTOS que analizan y revisan

revisiones de datos históricos o sucesos pasados.

posibles riesgos de la organización con alguna metodología sistemática (lluvia de ideas)

03 TÉCNICAS DE RAZONAMIENTO INDUCTIVO HAZOP

Tormenta de ideas, Entrevistas estructuradas, Delphi, Listas de Verificación, Análisis preliminar de peligros, Estudios de peligros...

Marco de trabajo de la gestión de riesgos

Proceso para la apreciación del riesgo. ISO 31000 Análisis de riesgos

Compresión del riesgo ¿Cuál es la probabilidad de ocurrencia del riesgo? ¿Qué pérdidas se producirían, en cuanto a coste del proyecto, en mi negocio… en caso de que el riesgo ocurriese?

VALORACIÓN DE RIESGOS

ANÁLISIS DE CONSECUENCIAS

ESTIMACIÓN DE PROBABILIDAD

La fórmula que decidamos emplear debe quedar claramente establecida en el proceso de Análisis de Riesgos.

Marco de trabajo de la gestión de riesgos

Proceso para la apreciación del riesgo. ISO 31000 Análisis de riesgos

No existe una “fórmula universal”. Cada organización aplica la que considera que se adapta más a su realidad, por ejemplo:    

SEMICUANTITATIVOS

.

Significancia = Consecuencia x Probabilidad Significancia = ( 2 x consecuencia) + Probabilidad Significancia = Consecuencia + ( 2 Probabilidad) …

MÉTODOS

.

CUALITATIVOS

.

CUANTITATIVOS

Marco de trabajo de la gestión de riesgos

Proceso para la apreciación del riesgo. ISO 31000 Análisis de riesgos

Para estimar la probabilidad se emplean normalmente tres enfoques:   

Utilización de datos históricos, importante para identificar sucesos ocurridos Pronósticos de probabilidad utilizando técnicas como el Árbol de sucesos Opinión de un experto

(La construcción del árbol comienza por la identificación de los N factores condicionantes de la evolución del suceso iniciador. A continuación, se colocan estos como cabezales de la estructura gráfica. Partiendo del iniciador se plantean sistemáticamente dos bifurcaciones: en la parte superior se refleja el éxito o la ocurrencia del suceso condicionante y en la parte inferior se representa el fallo o no ocurrencia del mismo)

Marco de trabajo de la gestión de riesgos

Proceso para la apreciación del riesgo. ISO 31000 Análisis de riesgos. EJEMPLO CRITERIO VALORACIÓN

 Análisis: EMPRESA que clasifica el componente de Probabilidad de acuerdo a 5 categorías: PROBABILIDAD DE MATERIALIZACIÓN Criterio de la organización

Muy improbable Improbable Posible Probable

Casi seguro

Descripción

Ocurre en casos excepcionales Puede ocurrir Ocurre en la mayoría de los casos Es probable. Ocurre en la mayoría de los casos Es muy seguro

Frecuencia

Nivel

No se ha presentado en los últimos 5 años

1

Se presentó una vez en los últimos 5 años

2

Se presentó una vez en los últimos 2 años

3

Se presentó una vez en el último año

4

El evento ocurre en la mayoría de las circunstancias. Es muy seguro que se presente. Se ha presentado más de una vez al año

5

Marco de trabajo de la gestión de riesgos

Proceso para la apreciación del riesgo. ISO 31000 Análisis de riesgos. EJEMPLO CRITERIO VALORACIÓN

GUÍA DE VALORACIÓN DE LA CONSECUENCIA Insignificante

No tiene ningún efecto sobre los clientes y el proceso de negocio ni consecuencias a nivel interno. Ninguna prioridad.

2

Menor

Fugas de información poco importantes y que hay que solucionar, pero no se considera importante y tiene poca prioridad. Pérdida de la buena imagen de la empresa menor y que impacta de forma menor en las relaciones con los clientes ni a nivel interno.

3

Mayor

Pérdida de la buena imagen de la empresa ante algún cliente o internamente, debido a fugas de información de nivel medio. Afecta a los intereses económicos, comerciales y financieros.

Catastrófico

Pérdida de clientes, con la consiguiente pérdida de contratos. Pérdida muy grave de la buena imagen de la empresa. Internamente, mala impresión entre el personal de la empresa debido a filtraciones indebidas muy graves. Posibles sanciones legales muy graves que pudieran impedir la continuidad de la empresa. Afecta gravemente a los aspectos económicos, comerciales y financieros.

1

4

Marco de trabajo de la gestión de riesgos

Proceso para la apreciación del riesgo. ISO 31000 Análisis de riesgos EJEMPLO DE MATRIZ DE RIESGOS Casi seguro (5) Probable (4) Posible (3) Improbable (2) Rara vez (1) Probabilidad /Impacto

Moderado(25)

Alto (50)

Extremo (75)

Extremo (100)

Moderado (20)

Alto (40)

Extremo (60)

Extremo (80)

Moderado (15)

Moderado (30)

Alto (45)

Extremo (60)

Bajo (10)

Moderado (20)

Moderado (30)

Alto (40)

Bajo (5)

Bajo (10)

Bajo (15)

Moderado (20)

Insignificante (5)

Menor (10)

Mayor (15)

Catastrófico (20)

Marco de trabajo de la gestión de riesgos

Proceso para la apreciación del riesgo. ISO 31000 Evaluación de riesgos

Permite que una entidad entienda el grado en el cual los eventos potenciales pudieran afectar los objetivos del negocio.

Este Riesgo se Materializa…

¿¿Qué pasa??? ¿Es necesario tratar el riesgo? ¿Cómo lo priorizamos? ¿Emprendemos la actividad? ¿Qué camino seguimos? Tan bajo como sea posible

BANDA SUPERIOR INTOLERABLE BANDA MEDIA TOLERABLES

BANDA INFERIOR INSIGNIFICANTES

Marco de trabajo de la gestión de riesgos

Proceso para la apreciación del riesgo. ISO 31000 Evaluación de riesgos. EJEMPLO Nivel de Riesgo

DESCRIPCIÓN No se van a tomar acciones para atajarlo.

VALOR < 20 BAJO

No se necesitan mejorar las medidas de seguridad establecidas. Podría valorar soluciones más rentables o mejoras que no supongan una carga económica importante (inferior a 500 €) y contando con los recursos propios de la empresa siempre y cuando ello no interfiera con el desarrollo normal de las actividades de negocio. Se requieren comprobaciones periódicas, frecuencia máxima anual, para asegurar que se mantiene la eficacia de las medidas de seguridad. Las medidas de seguridad establecidas se consideran suficientes. Puede ser objeto de estudio para su tratamiento soluciones más

20 ≤ VALOR < 40 rentables o mejoras que no supongan una carga económica razonable (inferior a 1000 €) y contando con los recursos propios de la MODERADO

empresa compatibilizado con las necesidades de las actividades de negocio que tendrán prioridad. Se requieren comprobaciones periódicas, frecuencia máxima anual, para asegurar que se mantiene l a eficacia de las medidas de seguridad. Requiere atención.

40 ≤ VALOR
View more...

Comments

Copyright ©2017 KUPDF Inc.
SUPPORT KUPDF