ISO 31000:2009

P t A l E i l B t Ri ki Ponente: Angel Escorial Bonet Riskia

Moderador: Mariano Blanco Gema Chartis
Madrid, Sede de AGERS 22 de Febrero de 2010
NDICE
Antecedentes
Alcance
Trminos y definiciones Trminos y definiciones
Gua ISO 73:2009 Vocabulario
Principios
Estructura
Proceso
Relaciones entre los principios estructura y proceso Relaciones entre los principios, estructura y proceso
Atributos para una mejor gestin de riesgos
ISO 31010:2009 Evaluacin de riesgos
ANTECEDENTES
Hasta la aprobacin de la ISO 31000 hemos dispuesto de
modelos ad-hoc de uso especfico para ciertas actividades:
COSO
BASILEA BASILEA
SOLVENCIA
UNE150008, UNE150008,
as como algn otro modelo de carcter INTEGRAL de Risk
Management entre los que destacamos: g q
Modelo FERMA 2003
la Norma Australiana-Neo Zelandesa AS/NZS 4360:2004
La ISO 31000:2009 se desarrolla en un documento de cinco
clusulas y un anexo y se complementa con:
G 73 2009 V b l i Gua 73:2009 Vocabulario
ISO 31010:2009 Lneas directrices para la evaluacin de riesgos
1 ALCANCE
Tiene como objetivo ayudar a las organizaciones de todo
tipo y tamao a gestionar sus riesgos con efectividad.
El nuevo standard ISO proporciona los principios, el marco y ue o s a da d SO p opo c o a os p c pos, e a co y
un proceso destinado a gestionar cualquier tipo de riesgo
en una manera transparente, sistemtica y creble dentro de
cualquier alcance o contexto.
El standard recomienda que las organizaciones desarrollen, q g ,
implementen y mejoren en forma continua el marco de
gestin de riesgos como un componente del sistema
i l d i d l i i integral de gestin de la organizacin.
ISO 31000 es un documento prctico que busca ayudar a las p q y
organizaciones en el desarrollo de su propia estrategia para
gestionar sus riesgos, pero no es un estndar certificable.
1 ALCANCE (2)
ISO 31000 est diseada para ayudar a las organizaciones a:
( )
Aumentar la probabilidad de lograr sus objetivos
Fomentar la gestin proactiva
S i t d l id dd id tifi t t l i t d l i i Ser conscientes de la necesidad de identificar y tratar el riesgo en toda la organizacin
Mejorar la identificacin de las oportunidades y amenazas
Cumplir con las exigencias legales y reglamentarias y las normas internacionales
f f Mejorar la informacin financiera
Mejorar el gobierno de la organizacin
Incrementar la confianza de los grupos de inters (stakeholders)
Establecer una base fiable para la toma de decisiones y planificacin.
Mejorar los controles
Asignar y utilizar de manera efectiva los recursos para el tratamiento del riesgo
Mejorar la eficacia y la eficiencia operacional.
Aumentar la seguridad y salud as como la proteccin al medio ambiente
Mejorar la prevencin y la gestin de incidentes.
Minimizar las prdidas.
Mejorar el aprendizaje y la resiliencia de la organizacin
2 TRMINOS Y DEFINICIONES
2.1 Riesgo: efecto de la incertidumbre sobre los objetivos.
2.2 Gestin de riesgos: coordinacin de actividades para
dirigir y controlar una organizacin en relacin con el riesgo.

La gua 73 es genrica y se compila para abarcar el mbito de

la gestin de riesgos ampliando esta clusula 2:
Stakeholder: Persona u organizacin que puede afectar, ser afectada
o percibir ser afectada por una decisin o actividad o percibir ser afectada por una decisin o actividad.
Resiliencia: Capacidad de adaptacin de una organizacin en un
entorno complejo y cambiante. resistencia, flexibilidad,
2 TRMINOS Y DEFINICIONES (2) ( )
Risk management refers to the architecture
(principles, framework and process) for
Risk management
Managing risks
(p p , p )
managing risks.
Managing risks refers to applying that
architecture to particular risks.
Le management du risque se rfre a la structure
(principe cadre organisationnel et processus)
Management du risque
Grer le risque
(principe, cadre organisationnel et processus)
permettant de grer le risque avec efficacit.
Grer le risque se rfre lapplication de cette Grer le risque se rfre l application de cette
structure aux risques particuliers.
Gerencia de riesgos vs Gestin de riesgos
Gerencia de riesgos
Gestin de riesgos
Gerencia de riesgos vs. Gestin de riesgos
Desarrollo en espaol de la ISO 31000?
Espaa: AENOR-AGERS?
g
Espaa: AENOR-AGERS?
Espaol en Amrica?
3 PRINCIPIOS
a) Crea valor en la organizacin y lo preserva.
b) Esta integrada en los procesos de la organizacin.
c) Forma parte de la toma de decisiones c) Forma parte de la toma de decisiones.
d) Trata explcitamente la incertidumbre.
e) Es sistemtica, estructurada y oportuna.
f) Est basada en la mejor informacin disponible.
g) Est hecha a medida.
h) Tiene en cuenta factores humanos y culturales h) Tiene en cuenta factores humanos y culturales.
i) Es transparente e inclusiva.
j) Es dinmica, iterativa y sensible al cambio.
k) Facilita la mejora continua de la organizacin.
4 ESTRUCTURA (1) ( )
El xito de la Gestin de Riesgos depender de la
efectividad de la estructura de gestin que proporcione la
base y las disposiciones que permitan su integracin en
todos los niveles de la organizacin todos los niveles de la organizacin.
Esta estructura no est destinada a prescribir un sistema
d ti i bi d l i i de gestin, sino ms bien a ayudar a la organizacin a
integrar la Gestin de riesgos en su sistema de gestin.
P t t l i i d b d t l Por tanto, las organizaciones deben adaptar los
componentes de esta estructura a sus necesidades.
L i i d i d Las organizaciones con componentes de gestin de
riesgos ya implantados o que ya hayan adoptado un
proceso de gestin de riesgos formal disponen en el proceso de gestin de riesgos formal, disponen en el
anexo A los atributos necesarios para su revisin.
4 ESTRUCTURA (2) ( )
Compromisodeladireccin(4.2)
( ) Diseodelaestructuraparagestionarlosriesgos(4.3)
Comprenderlaorganizacinysucontexto(4.3.1)
Establecimientodelapolticadegestinderiesgos(4.3.2)
Responsabilidad(4.3.3)
l d l ( ) Integracinenlosprocesosdelaorganizacin(4.3.4)
Recursos(4.3.5)
Establecimientodemecanismosdecomunicacininternaeinformacin(4.3.6)
Establecimientodemecanismosdecomunicacinexternaeinformacin(4.3.7)
Mejoracontinuadelaestructura(4.6)
ImplantacindelaGestindeRiesgos(4.4)
Implantacindelaestructuraparagestionarlos
riesgos(4.4.1)
Implantacin del proceso de gestin de riesgos Implantacindelprocesodegestinderiesgos
(4.4.2)
Seguimientoyrevisindelaestructura(4.5)
5 PROCESO
Establecer el contexto (5.3)
Evaluacin de riesgos (5.4)
Identificar los riesgos (5 4 2)
Comunicacin y
consulta
Seguimiento y
revisin
A li l i (5 4 3)
Identificar los riesgos (5.4.2)
(5.2) (5.6)
Analizar los riesgos (5.4.3)
Evaluar los riesgos (5.4.4)
Tratar los riesgos (5.5)
RELACIONES 3 - 4 - 5
Compromiso
a) Crea valor.
b) Esta integrada en los
procesos de la
organizacin.
c) Forma parte de la toma de
Compromiso
de la Direccin
(4.2)
Establecer el contexto
(5.3)
c) Forma parte de la toma de
decisiones.
d) Trata explcitamente la
incertidumbre.
e) Es sistemtica,
Diseo de la
estructura de
soporte (4.3)
a

(
5
.
2
)

(
5
.
6
)
Evaluacin de
riesgos (5.4)
estructurada y adecuada
f) Est basada en la mejor
informacin disponible.
g) Est hecha a medida.
h) Tiene en cuenta factores Mejora
Implantacin

n

y

c
o
n
s
u
l
t
a
n
t
o

y

r
e
v
i
s
i

n
A li l
Identificar los riesgos
(5.4.2)
h) Tiene en cuenta factores
humanos y culturales.
i) Es transparente e inclusiva.
j) Es dinmica, iterativa y
sensible al cambio.
k) Facilita la mejora continua
Mejora
continua de la
estructura (4.6)
p
de la gestin
de riesgos
(4.4)
C
o
m
u
n
i
c
a
c
i

S
e
g
u
i
m
i
e
n
Analizar los
riesgos(5.4.3)
Evaluar los
k) Facilita la mejora continua
de la organizacin.
Seguimiento y
revisin de la
estructura
Evaluar los
riesgos(5.4.4)
Tratar los riesgos
Principios (Clusula 3)
estructura
(4.5)
Estructura (Clusula 4)
(5.5)
Proceso (Clusula 5)
A ATRIBUTOS PARA LA MEJORA
DE LA GERENCIA DE RIESGOS
1. Establecimiento de metas de desempeo organizacional, 1. Establecimiento de metas de desempeo organizacional,
medicin, revisin y posterior modificacin de procesos,
sistemas, recursos, capacidad y habilidades.
2. Controles y tratamiento del riesgo exhaustivos
3. Toda toma de decisiones dentro de la organizacin, cualquiera
que sea el nivel de importancia y trascendencia implica la que sea el nivel de importancia y trascendencia, implica la
consideracin explcita de los riesgos y la aplicacin de la
gestin de riesgos en la medida adecuada.
4. Comunicacin continua con los stakeholder internos y
externos, incluida la elaboracin de informes completos y
frecuentes del desempeo de la gestin de riesgos como parte frecuentes del desempeo de la gestin de riesgos como parte
del buen gobierno corporativo.
5. La efectividad de la gestin de riesgos es esencial para el logro 5. La efectividad de la gestin de riesgos es esencial para el logro
de los objetivos de la organizacin.
ISO/IEC 31010:2009
ISO / IEC 31010:2009 es una norma de apoyo para la ISO
31000 y ofrece orientacin sobre la seleccin y aplicacin
d i i i l l i d i de tcnicas sistemticas para la evaluacin de riesgos.
La aplicacin de una serie de tcnicas se introduce, con
referencias especficas a otras normas internacionales,
donde el concepto y la aplicacin de las tcnicas se donde el concepto y la aplicacin de las tcnicas se
describen en mayor detalle.
Esta norma no establece criterios especficos para
determinar la necesidad de anlisis de riesgos, ni tampoco
especifica el tipo de mtodo de anlisis de riesgos que se
requiere para una aplicacin particular.
ISO 31010:2009 (2) ( )
La ISO 31010 no se refiere a todas las tcnicas, y la
omisin de una tcnica de esta norma no significa que no
lid sea vlida.
El h h d t d li bl El hecho de que un mtodo sea aplicable a una
circunstancia particular no significa necesariamente que el
mtodo deba ser aplicado mtodo deba ser aplicado.
Esta norma no se ocupa especficamente de la seguridad.
Se trata de una norma genrica de gestin de riesgos y
cualquier referencia a la seguridad es de carcter
puramente informativo puramente informativo.
ISO 31000:2009
Angel Escorial Riskia
angel.escorial@riskia.com