Documentos de Académico
Documentos de Profesional
Documentos de Cultura
www.isaca.org.uy
Agenda
Qu es el riesgo?
Qu riesgo asume al no
pensar en sus riesgos
organizacionales?
Cmo lo ayuda la ISO
31000:2009 para evaluar su
gestin de riesgos?
Algunos temas del da a da
www.isaca.org.uy
4.2
Mandato y compromiso
www.isaca.org.uy
www.isaca.org.uy
www.isaca.org.uy
www.isaca.org.uy
Riesgo crediticio
Riesgo operacional
Riesgo tecnolgico
Riesgo estratgico
Riesgo legal
Riesgo de mercado
Riesgo de liquidez
Riesgo de cumplimiento
No satisfacer los requisitos del cliente
Peligros Ambientales
Riesgo de Seguridad Alimenticia
Peligro para el ser humano
Riesgo reputacional
www.isaca.org.uy
No aporta valor
Si pensamos en todo lo malo, no hacemos nada
Hay suficientes controles.
Ac pensamos en metas, no en riesgos.
Aceptamos que es comn que fallen los sistemas
tecnolgicos.
!No hay tiempo para evaluar los riesgos, necesito
vender!
Ac nunca pas nada.
No tenemos los procesos definidos.
Gestionar los riesgos no me va a ayudar a vender ms.
Si ocurre algo ,ya lo arreglaremos.
www.isaca.org.uy
www.isaca.org.uy
INTRODUCCION
Mientras todas las organizaciones gestionan el
riesgo a diferentes niveles, esta norma internacional
establece un conjunto de principios que se deben
satisfacer para que la gestin del riesgo sea eficaz. ..
recomienda que las organizaciones desarrollen,
implementen y mejoren de manera continuada un
marco de trabajo cuyo objetivo sea integrar el proceso
de gestin del riesgo en los procesos de gobierno, de
estrategia y de planificacin, de gestin, y de
elaboracin de informes, as como en las polticas,
los valores y en la cultura de toda la organizacin.
www.isaca.org.uy
Interesados:
a) Responsables de desarrollar la poltica de gestin del
riesgo dentro de su organizacin;
b) Encargados de asegurar que el riesgo se gestiona de
manera eficaz dentro de la organizacin, considerada en
su totalidad o en un rea, un proyecto o una actividad
especficos;
c) Los que necesitan evaluar la eficacia de una
organizacin en materia de gestin del riesgo; y
d) Los que desarrollan normas, guas, procedimientos y
cdigos de buenas prcticas que, en su totalidad o en
parte, establecen cmo se debe tratar el riesgo dentro
del contexto especfico de estos documentos.
www.isaca.org.uy
Qu es riesgo?
Es el efecto de la incertidumbre en la
consecucin de los objetivos ISO 31000:2009
1. Incertidumbre (puede que nunca ocurra).
2. El riesgo importa y debe gestionarse porque
tiene un efecto (positivo y negativo).
3. Ese efecto es sobre los objetivos fijados.
www.isaca.org.uy
www.isaca.org.uy
www.isaca.org.uy
A.3.1
Mejora continua
A.3.2
Responsabilidad completa de los
riesgos
A.3.3
Aplicacin de la gestin del riesgo
en todas las tomas de decisiones
A.3.4
Comunicacin continua
A.3.5
Integracin completa en la
estructura de gobierno de la organizacin
www.isaca.org.uy
Normas complementarias
ISO Gua 73:2009
ISO 31010 :2009
www.isaca.org.uy
www.isaca.org.uy
Tormenta de ideas
Entrevistas estructuradas o
semiestructuradas
Delphi
Listas de ejemplo
Anlisis de riesgos preliminar (PHA)
Estudio de Peligros y Operabilidad HAZOP
Anlisis de peligros y puntos
crticos de control (HACCP)
Evaluacin del riesgo ambiental
Anlisis Qu pasa si
Anlisis de escenarios
Anlisis de Impacto de negocio
(BIA)
Anlisis de Causa Raz (RCA)
Anlisis de modo y efecto de la falla
( FMEA )
Anlisis de rbol de fallos
Anlisis de rbol de eventos
www.isaca.org.uy
www.isaca.org.uy
www.isaca.org.uy
www.isaca.org.uy
Entonces
Recuerde que esta Norma ISO
31000 no es certificable
Ignorar sus riesgos no es una
opcin
www.isaca.org.uy
La Alta Gerencia
Tiene responsabilidad dentro del Buen
Gobierno de buscar el logro de los objetivos
Le permite demostrar debida diligencia
Le ayuda a invertir los recursos en forma
ordenada
Le permite conocer los riesgos a que est
expuesto (incluso hoy)
Esto se traduce en : mensajes claros , coherentes y continuos a toda la
organizacin
Cunto se habla del tema riesgos en las reuniones gerenciales?
www.isaca.org.uy
www.isaca.org.uy
ACTIVIDADES DE ANLISIS Y
GESTIN DE RIESGO
www.isaca.org.uy
www.isaca.org.uy
www.isaca.org.uy
Riesgos intolerables
requieren acciones
urgentes
www.isaca.org.uy
www.isaca.org.uy
www.isaca.org.uy
Qu dicen nuestros
Indicadores clave de riesgo
(KRI)?
www.isaca.org.uy
www.isaca.org.uy
www.isaca.org.uy
www.isaca.org.uy
Se entiende
por parte de la
Direccin que la
incertidumbre
del futuro
implica
amenazas y
oportunidades
que deben ser
identificadas?
www.isaca.org.uy
Evalua
cin
Comentarios
Referencia
Normalmente, este
atributo se podra
verificar a travs
de las entrevistas
con la direccin y a
travs de la
evidencia de sus
acciones y
declaraciones. Si
no hay apoyo de la
Direccin no
habrn recursos
para este proceso
A.3.5 Integracin
completa en la
estructura de
gobierno de la
organizacin
Evide
ncia
Tiene un
marco de
trabajo que
atiende los
aspectos
estructurales y
organizativos de
la gestin de
riesgos?
www.isaca.org.uy
eval.
Comentarios
Referencia
Evide
ncia
Se cuenta con
un plan de
tratamientos
razonable,
acorde a la
severidad de los
riesgos
asociados?
www.isaca.org.uy
eval. Comentarios
El plan debe
identificar con
claridad el orden de
prioridad en que se
deberan
implementar los
tratamientos de
riesgo individuales
Referencia
5.5.3
Preparaci
ne
implementa
cin de los
planes de
tratamiento
del riesgo
Evidencia
Anexo
(para despus)
Cul es el nivel de madurez de su
organizacin en gestin de riesgos ?
(origen del modelo :opinin del autor)
www.isaca.org.uy
Preguntas?
Muchas Gracias
Carlos R. Serra
serra@datasec-soft-com
www.isaca.org.uy