Modulo 9c Gestion de Riesgos

GESTION DE RIESGOS

GESTION DE RIESGOS OBJETIVO 1. Presentar los fundamentos conceptuales y lineamientos para la gestión del riesgo conforme a la NTC-ISO 31000.

DURACION 4 HORAS.

NORMAS APLICADAS ISO 31000:2005

2. Identificar la metodología de planificación, ejecución, verificación y control de la gestión del riesgo, tomando como referencia la NTC-ISO 31000.

EVALUACION Entrega de Talleres. Evaluación sobre el tema.

INTRODUCCION Las organizaciones de todo tipo y tamaño se enfrentan a factores e influencias internas y externas que generan incertidumbre a cerca del logro o no de sus objetivos. El efecto que esta incertidumbre tiene en los objetivos de una organización es el “riesgo”. Todas las actividades de una organización implican riesgo, la única manera de no tener riesgos es no tener actividades. De igual manera cuando hablamos de “efectos” (a la luz de la NTC ISO 31000), hacemos referencia a situaciones de impacto positivo o negativo, a diferencia del concepto tradicional que sólo consideraba situaciones con consecuencias negativas. Por lo general el riesgo se encuentra expresado en términos de probabilidad e impacto.

INTRODUCCION La NTC ISO 31000 es aplicable a organizaciones de todo tipo y tamaño, pública o privada, de bienes o servicios, pequeña, mediana o grande y proporciona las directrices para la gestión de todo tipo de riesgos de manera sistemática, estandarizada, transparente y confiable, pues brinda una estructura metodológica. Ésta Norma se convierte en un excelente documento de referencia para que las organizaciones desarrollen su propia estrategia para la gestión del riesgo. Su estructura no está orientada a establecer un sistema de gestión, sino más bien a facilitar a la organización a integrar la gestión de riesgos en su sistema de gestión. Otro elemento importante es que no se trata de una Norma certificable

CASOS La ola invernal acaecida en Colombia durante e año 2010 impactó en el 80% del territorio nacional y dejó más de 3 millones de personas afectadas directamente, ha representado perdidas incalculables para la economía y empresas ubicadas en nuestro país. Foto tomada por satélite de la NASA.

CASOS Entre 30 mil y 40 mil litros contaminados; de momento ha afectado a seis personas con irritaciones en la boca y en la garganta.

BOGOTÁ, COLOMBIA.Una planta de la multinacional Parmalat en Colombia detectó la contaminación con desinfectante en dos lotes de leche líquida.

AUDIOVISUAL

GESTION DEL RIESGO “Un proceso efectuado por la Alta Dirección de la entidad y por todo el personal para proporcionar un aseguramiento razonable con respecto al logro de los objetivos. El enfoque de riesgos no se determina solamente con el uso de la metodología, sino logrando que la evaluación de los riesgos se convierta en una parte natural del proceso de planeación”. Riesgo es la posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos institucionales o del proceso. Se expresa en términos de probabilidad y consecuencias.

GESTION DEL RIESGO 2.2 Gestión del riesgo. Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.

RIESGO 2.1 Riesgo Efecto de la incertidumbre sobre los objetivos. Nota 1. Un efecto es una desviación respecto a lo esperado. Puede ser positivo, negativo o ambos. Nota 2.Los objetivos pueden tener diferentes aspectos (metas ambientales, de seguridad, o financieras) y aplicar a diferentes niveles (a toda la organización, a procesos, a proyectos, entre otros).

Nota 3. Riesgo es frecuentemente caracterizado por la referencia de un evento potencial y una consecuencia o una combinación de estos.

BENEFICIOS GESTIÓN DEL RIESGO  Aumenta la probabilidad de alcanzar los objetivos de la organización.  Fomenta proactividad.

 Conciencia para la identificación y tratamiento de los riesgos.  Cumplimiento de requisitos.

 Genera confianza

BENEFICIOS GESTIÓN DEL RIESGO  Base para la toma de decisiones (planificación).  Mejora controles en procesos críticos.

 Eficacia en la asignación y uso de los recursos.  Eficacia y eficiencia operativa.

 Prevención de perdidas y gestión ante incidentes

TERMINOS RELACIONADOS CON EL RIESGO 2.13 Parte involucrada. Persona u organización que puede afectar, verse afectada o percibirse a si misma como afectada por una decisión o una actividad. NOTA una persona que toma decisiones puede ser una parte involucrada

2.14 Valoración del riesgo. Proceso global de identificación del riesgo, análisis del riesgo y evaluación del riesgo.

TERMINOS RELACIONADOS CON EL RIESGO 2.15 Identificación del riesgo. Proceso para encontrar, reconocer y describir el riesgo (véase el numeral 2.1).

NOTA 1 La identificación del riesgo implica la identificación de las fuentes de riesgo (numeral 2.16), los eventos (numeral 2.17), sus causas y sus consecuencias ( numeral 2.18), potenciales. NOTA 2 La identificación del riesgo puede involucrar datos históricos, análisis teóricos, opiniones informadas y expertas, y las necesidades de las partes involucradas (véase el numeral 2.13).

TERMINOS RELACIONADOS CON EL RIESGO 2.21 Análisis del riesgo. Proceso para comprender la naturaleza del riesgo (véase el numeral 2.1) y determinar el nivel de riesgo (véase el numeral 2.23). NOTA 1 El análisis de riesgo proporciona las bases para la evaluación del riesgo (véase el numeral 2.24) y las decisiones sobre el tratamiento del riesgo (véase el numeral 2.25). NOTA 2 El análisis de riesgo incluye la estimación del riesgo.

TERMINOS RELACIONADOS CON EL RIESGO 2.23 Nivel de riesgo. Magnitud de un riesgo (véase el numeral 2.1) o de combinación riesgos expresada en términos de combinación de las consecuencias (véase el numeral 2.18) y su probabilidad (véase el numeral 2.19).

TERMINOS RELACIONADOS CON EL RIESGO 2.24 Evaluación del riesgo. Procesos de comparación de los resultados del análisis del riesgo (véase el numeral 2.21), con los criterios de riesgo (véase numeral 2.22) para determinar si el riesgo(véase numeral 2.1), su magnitud o ambos son aceptables o tolerables. NOTA La evaluación del riesgo ayuda en la decisión acerca del tratamiento del riesgo (véase el numeral 2.25).

GESTION DEL RIESGO P

Comunicación y Consulta (5.2)

H

Valoración del Riesgo (5.4) Identificación del Riesgo (5.4.2.) Análisis del Riesgo (5.4.2.)

Evaluación del Riesgo (5.4.2.)

Tratamiento del Riesgo (5.4.2.)

P

H

Monitoreo y revisión (5.6)

Establecimiento del contexto (5.3)

A

V

VALORACION DEL RIESGO «ESTO NO ME PASARÁ A MI» NO ES UNA BUENA ESTRATEGIA PARA CONSTRUIR FUTURO Y CONSTRUIR CONTINUIDAD. EL RIESGO SIEMPRE EXISTE. LA CLAVE ES ENTENDERLO, PREPARARSE Y NO DEJARSE PARALIZAR POR EL. LA EFECTIVIDAD DE LA GESTION DE SEGURIDAD DEL NEGOCIO DEPENDE DEL COMPROMISO DE TODOS LOS NIVELES ORGANIZACIONALES.

CADA INSTITUCIÓN DEBE EVALUAR SUS PROPIAS CIRCUNSTANCIAS Y SU PROPIO AMBIENTE PARA DESARROLLARLO.

5.4 Valoración del Riesgo 5.4.2 Identificación del Riesgo La organización debería identificar las fuentes de riesgo, las áreas de impacto, los eventos (incluyendo los cambios en las circunstancias) y sus causas y consecuencias potenciales. El objeto de ésta actividad es generar una lista exhaustiva de riesgos con base en aquellos eventos que podrían crear, aumentar, prevenir, degradar, acelerar o retrasar el logro de los objetivos de la organización. Es importante identificar los riesgos asociados a la no búsqueda de una oportunidad. La identificación exhaustiva es crítica porque un riesgo que no se identifique no será analizado posteriormente.

VALORACION DE RIESGO Identificación de Riesgos

.

¿Qué puede suceder? El objetivo es generar una lista global de eventos que podrían afectar cada elemento del Sistema. Estos eventos se consideran entonces con mayor detalle, para identificar lo que puede ocurrir.

VALORACION DEL RIESGO ¿Cómo y por qué puede suceder? Una vez que se haya identificado una lista global de eventos, es necesario considerar sus posibles causas y escenarios. Existen muchas formas en las que se pueden iniciar un evento. Es importante que no se omitan causas significativas.

Herramientas y técnicas Entre los métodos empleados para identificar riesgos se encuentran las listas de chequeo, juicios basados en experiencia y registros, diagramas de flujo, lluvia de ideas, análisis de sistemas, análisis de escenarios con expertos, monitoreo y técnicas de ingeniería de sistemas.

VALORACION DEL RIESGO Es necesario monitorear periódicamente el entorno para identificar los riesgos. Son las acciones que permiten mantener la continuidad del proceso, producto o servicio, procurando conservar características de calidad y oportunidad a los clientes bajo condiciones normales de operación. Podemos identificar los riesgos en relación con:

PERSONAS

PROCESOS INFRAESTRUCTURA TECNOLOGÍA

5.4 Valoración del Riesgo 5.4.3 Análisis del Riesgo

El análisis del riesgo implica el desarrollo y la comprensión del riesgo. Dicho análisis se constituye en una entrada para:  La evaluación del riesgo.  Las decisiones sobre si es necesario o no tratar el riesgo.

 Las estrategias y métodos más adecuados para su tratamiento.

5.4 Valoración del Riesgo 5.4.3 Análisis del Riesgo El análisis de riesgo involucra :  La consideración de las causas y las fuentes de riesgo.

 Las consecuencias positivas y negativas del riesgo.  La probabilidad de que dichas consecuencias puedan ocurrir.

Se deberían identificar los factores que afectan a las consecuencias y a la probabilidad. También se deberían considerar los controles existentes, su eficacia y eficiencia.

5.4 Valoración del Riesgo 5.4.3 Análisis del Riesgo El análisis del riesgo se puede realizar con diversos grados de detalle, dependiendo del riesgo, el propósito del análisis y la información, datos y recursos disponibles.

El análisis puede ser cualitativo, cuantitativo o una combinación de ellos, dependiendo de las

.

circunstancias

5.4 Valoración del Riesgo 5.4.3 Análisis del Riesgo

Las consecuencias y su probabilidad se pueden determinar modelando los resultados de un evento o grupo de eventos, o mediante la extrapolación a partir de estudios experimentales o de datos disponibles. Las consecuencias se pueden expresar en términos de impactos tangibles e intangibles.

5.4 Valoración del Riesgo 5.4.4 Evaluación del Riesgo El propósito de la evaluación del riesgo es facilitar la toma de decisiones, basada en los resultados de dicho análisis, a cerca de cuales riesgos necesitan tratamiento y la prioridad para la implementación de dicho tratamiento. La evaluación del riesgo implica la comparación del nivel de riesgo observado durante el proceso de análisis y de los criterios del riesgo establecidos al considerar el contexto. Con base en esta comparación se puede considerar la necesidad de tratamiento.

5.4 Valoración del Riesgo 5.4.4 Evaluación del Riesgo Las decisiones se deberían tomar de acuerdo con los requisitos legales, reglamentarios y otros.

La evaluación del riesgo también puede tener como resultado la decisión de no tratar el riesgo de ninguna manera diferente del mantenimiento de los controles existentes. Esta decisión estará influida por la actitud de la organización hacia el riesgo y por los criterios del riesgo que se han establecido.

TALLER CALIFICACION DEL RIESGO

5.5 Tratamiento del Riesgo 5.5.1 Generalidades Las opciones para el tratamiento no son necesariamente mutuamente excluyentes ni adecuadas en todas las circunstancias. Las opciones pueden incluir las siguientes:  Evitar el riesgo la decidir no evitar o continuar la actividad que lo originó.  Tomar o incrementar el riesgo para perseguir una oportunidad.  Retirar la fuente de riesgo.  Cambiar la probabilidad.  Cambiar las consecuencias.  Compartir el riesgo con una o varias de las partes, (incluyendo los contratos y la financiación del riesgo).  Retener el riesgo mediante decisión informada.

5.5 Tratamiento del Riesgo 5.5.2 Selección de las Opciones para el tratamiento del riesgo. La selección de las opciones más adecuadas para el tratamiento del riesgo implica equilibrar los costos y los esfuerzos de la implementación frente a los beneficios derivados con respecto a:  Requisitos legales  Requisitos reglamentarios  Requisitos de los clientes  y otros Requisitos de responsabilidad social Requisitos ambientales

5.5 Tratamiento del Riesgo 5.5.2 Selección de las Opciones para el tratamiento del riesgo. El plan de tratamiento debería identificar claramente el orden de prioridad en el cual se deberían implementar los tratamientos individuales para el riesgo. El tratamiento en si mismo podría inducir riesgos. Un riesgo significativo puede ser la falla o ineficacia de las medidas de tratamiento. Es necesario que el monitoreo sea parte integral del plan de tratamiento del riesgo para garantizar que las medidas sigan siendo eficaces.

5.5 Tratamiento del Riesgo 5.5.3 Preparación e implementación de los planes para el tratamiento del riesgo. El propósito de los planes para el tratamiento del riesgo es documentar la forma en que se van a implementar las opciones de tratamiento seleccionadas. Los planes de tratamiento se deberían integrar con los procesos de gestión de la organización y se deberían discutir con las partes involucradas pertinentes. Los encargados de tomar las decisiones y otras partes involucradas deberían conocer la naturaleza y la extensión del riesgo residual después del tratamiento del riesgo.

5.5 Tratamiento del Riesgo 5.5.3 Preparación e implementación de los planes para el tratamiento del riesgo. La información suministrada en los planes de tratamiento deberían incluir:  Las razones para la selección de las opciones de tratamiento, que incluyan los beneficios que se desean obtener.  Aquellos que son responsables de aprobar el plan y los responsables de implementarlo.  Acciones propuestas  Requisitos de recursos incluyendo las contingencias.  Medidas y restricciones de desempeño.  Requisitos de monitoreo y reporte.  Tiempo y cronograma.

5.6 Monitoreo y Revisión Tanto el monitoreo como la revisión deberían ser una parte planificada del proceso para la gestión del riesgo e incluir verificación o vigilancia regulares. Pueden ser periódicos o según convenga.

Las actividades del monitoreo y la revisión deberían estar claramente definidas. El avance en la implementación de los planes para tratamiento del riesgo suministra una medida de desempeño.

Tipos de controles La organización puede establecer tres tipos de controles: Controles Preventivos. Controles Detectivos. Controles Correctivos.

Controles Preventivos. Controles Preventivos: Anticipan eventos no deseados antes de que sucedan. Evitan costos de corrección o reproceso

Controles Detectivos. Controles Detectivos: Identifican los eventos en el momento en que se presentan. • Son más costosos que los preventivos. • Miden la efectividad de los preventivos. • Algunos errores no pueden ser evitados en la etapa preventiva

Detector de humo

Controles Correctivos. Controles Correctivos: Aseguran que las acciones correctivas sean tomadas para revertir un evento no deseado.

Red contra incendio

Direccionamiento de los Controles. Los controles preventivos están orientados a reducir la probabilidad. Reducir la probabilidad de ocurrencia: Las acciones para reducir o controlar la posibilidad incluye la planificación inicial de las actividades o el diseño de procesos y controles, el seguimiento continuo del cumplimiento a las actividades de mantenimiento preventivo, el entrenamiento, las evaluaciones o revisiones ambientales por supervisión y las auditorias

Direccionamiento de los Controles. Los controles detectivos y correctivos están orientados a reducir la consecuencia o impacto. Reducir la consecuencia o impacto: El impacto se puede reducir con medidas como: Minimizar la exposición a las fuentes de riesgo. Planificación y preparación de respuestas ante contingencias y emergencias.

TALLER NIVEL DE RIESGO Y CONTROLES