Está en la página 1de 45

ISO 31000:2009.

Herramienta para evaluar la


gestin de riesgos
Cr Carlos Serra CISA CGEIT
Datasec Uruguay

www.isaca.org.uy

Agenda
Qu es el riesgo?
Qu riesgo asume al no
pensar en sus riesgos
organizacionales?
Cmo lo ayuda la ISO
31000:2009 para evaluar su
gestin de riesgos?
Algunos temas del da a da

www.isaca.org.uy

4.2

Mandato y compromiso

La introduccin de la gestin del riesgo y el


aseguramiento de su eficacia continua requieren un
compromiso fuerte y sostenido de la direccin de la
organizacin, as como el establecimiento de una
planificacin estratgica y rigurosa para conseguir el
compromiso a todos los niveles
ISO 31000:2009

www.isaca.org.uy

www.isaca.org.uy

Sorprendentemente ese caso no parece haber


figurado como un riesgo de que las lneas
areas y muchas otras compaas para
garantizar la gestin. Aparte de las compaas
areas, el cierre del espacio areo europeo ha
dejado huella en todo, desde el turismo a la flor
y los productores de verduras frescas en frica,
los fabricantes de prendas de vestir en
Bangladesh y los fabricantes de componentes
electrnicos en el Lejano Oriente Kevin W. Knight
www.isaca.org.uy

Objetivo: Vender, producir, hacer

www.isaca.org.uy

A veces los eventos ocurren

www.isaca.org.uy

Riesgo crediticio
Riesgo operacional
Riesgo tecnolgico
Riesgo estratgico
Riesgo legal
Riesgo de mercado
Riesgo de liquidez
Riesgo de cumplimiento
No satisfacer los requisitos del cliente
Peligros Ambientales
Riesgo de Seguridad Alimenticia
Peligro para el ser humano
Riesgo reputacional

www.isaca.org.uy

Por qu no analizar sus riesgos?

No aporta valor
Si pensamos en todo lo malo, no hacemos nada
Hay suficientes controles.
Ac pensamos en metas, no en riesgos.
Aceptamos que es comn que fallen los sistemas
tecnolgicos.
!No hay tiempo para evaluar los riesgos, necesito
vender!
Ac nunca pas nada.
No tenemos los procesos definidos.
Gestionar los riesgos no me va a ayudar a vender ms.
Si ocurre algo ,ya lo arreglaremos.

www.isaca.org.uy

Conceptos de la Norma ISO


31000:2009
(Y de la ISO GUIA 73 y la ISO
31010:2009)

www.isaca.org.uy

INTRODUCCION
Mientras todas las organizaciones gestionan el
riesgo a diferentes niveles, esta norma internacional
establece un conjunto de principios que se deben
satisfacer para que la gestin del riesgo sea eficaz. ..
recomienda que las organizaciones desarrollen,
implementen y mejoren de manera continuada un
marco de trabajo cuyo objetivo sea integrar el proceso
de gestin del riesgo en los procesos de gobierno, de
estrategia y de planificacin, de gestin, y de
elaboracin de informes, as como en las polticas,
los valores y en la cultura de toda la organizacin.

www.isaca.org.uy

1. OBJETO Y CAMPO DE APLICACIN

Esta norma internacional proporciona los


principios y las directrices genricas sobre
la gestin del riesgo.
Puede utilizarse por cualquier empresa
pblica, privada o social, asociacin,
grupo o individuo. Por tanto, no es
especfica de una industria o sector
concreto.
www.isaca.org.uy

Interesados:
a) Responsables de desarrollar la poltica de gestin del
riesgo dentro de su organizacin;
b) Encargados de asegurar que el riesgo se gestiona de
manera eficaz dentro de la organizacin, considerada en
su totalidad o en un rea, un proyecto o una actividad
especficos;
c) Los que necesitan evaluar la eficacia de una
organizacin en materia de gestin del riesgo; y
d) Los que desarrollan normas, guas, procedimientos y
cdigos de buenas prcticas que, en su totalidad o en
parte, establecen cmo se debe tratar el riesgo dentro
del contexto especfico de estos documentos.
www.isaca.org.uy

Qu es riesgo?
Es el efecto de la incertidumbre en la
consecucin de los objetivos ISO 31000:2009
1. Incertidumbre (puede que nunca ocurra).
2. El riesgo importa y debe gestionarse porque
tiene un efecto (positivo y negativo).
3. Ese efecto es sobre los objetivos fijados.

www.isaca.org.uy

www.isaca.org.uy

Estructura para la gestin de


riesgos

www.isaca.org.uy

ISO 31000 ANEXO A (INFORMATIVO)

ATRIBUTOS DE UNA GESTIN DEL RIESGO


OPTIMIZADA

A.3.1
Mejora continua
A.3.2
Responsabilidad completa de los
riesgos
A.3.3
Aplicacin de la gestin del riesgo
en todas las tomas de decisiones
A.3.4
Comunicacin continua
A.3.5
Integracin completa en la
estructura de gobierno de la organizacin
www.isaca.org.uy

Normas complementarias
ISO Gua 73:2009
ISO 31010 :2009

www.isaca.org.uy

ISO GUIA 73 :2009


proporciona el vocabulario bsico para
desarrollar una comprensin de los
conceptos y trminos que se utilizan en la
gestin del riesgo que son comunes a
diferentes organizaciones y funciones, ...
3.6.1.7
matriz de riesgo:
Herramienta que permite clasificar y visualizar los
riesgos (1.1), mediante la definicin de
categoras de consecuencias (3.6.1.3) y de su
probabilidad (3.6.1.1).

www.isaca.org.uy

ISO 31010 :2009

Tormenta de ideas
Entrevistas estructuradas o
semiestructuradas
Delphi
Listas de ejemplo
Anlisis de riesgos preliminar (PHA)
Estudio de Peligros y Operabilidad HAZOP
Anlisis de peligros y puntos
crticos de control (HACCP)
Evaluacin del riesgo ambiental
Anlisis Qu pasa si
Anlisis de escenarios
Anlisis de Impacto de negocio
(BIA)
Anlisis de Causa Raz (RCA)
Anlisis de modo y efecto de la falla
( FMEA )
Anlisis de rbol de fallos
Anlisis de rbol de eventos

www.isaca.org.uy

Anlisis de causas y consecuencias


Anlisis de casa y efecto
Anlisis de Capas de Proteccin (LOPA)
rboles de decisin
Anlisis de la fiabilidad humana
rbol de fallos y sucesos iniciadores
(bow tie)
Mantenimiento Centrado en la Fiabilidad
(RCM)
Anlisis de circuitos de fugas
Anlisis de cadenas de Markov
Simulacin de Monte Carlo
Anlisis Bayesiano
Curvas FN
ndices de riesgo
Matrices de probabilidad y
consecuencia
Anlisis costo beneficio
Anlisis de decisin multicriterio
(MCDA)

Qu pasa cuando coexisten


diversas evaluaciones de riesgo?

www.isaca.org.uy

ISO 14000, IS0 18000, ISO 22000, ISO 27000

La gestin del riesgo contribuye de manera


tangible al logro de los objetivos y a la mejora
del desempeo, por ejemplo, en lo referente a la
salud y seguridad de las personas, a la
conformidad con los requisitos legales y
reglamentos, a la aceptacin por el pblico, a la
proteccin ambiental, a la calidad del producto,
a la gestin del proyecto, a la eficacia en las
operaciones, y a su gobierno y reputacin.

REFERENCIA EN LA ISO 31000

www.isaca.org.uy

La ISO 9000 y el riesgo


Accin preventiva : accin tomada para
eliminar la causa de una no conformidad
potencial u otra situacin potencialmente
inestable
No conformidad es el incumplimiento de
un requisito.

www.isaca.org.uy

Entonces
Recuerde que esta Norma ISO
31000 no es certificable
Ignorar sus riesgos no es una
opcin

www.isaca.org.uy

La Alta Gerencia
Tiene responsabilidad dentro del Buen
Gobierno de buscar el logro de los objetivos
Le permite demostrar debida diligencia
Le ayuda a invertir los recursos en forma
ordenada
Le permite conocer los riesgos a que est
expuesto (incluso hoy)
Esto se traduce en : mensajes claros , coherentes y continuos a toda la
organizacin
Cunto se habla del tema riesgos en las reuniones gerenciales?

www.isaca.org.uy

El propietario del proceso


Saber: Conocer en profundidad el proceso que
lidera, sus objetivos y riesgos.
Poder: Debe tener capacidad para la toma de
decisiones y mejorar el proceso, en funcin del
grado de responsabilidad delegada a cada uno.
Querer: Debe entender el valor de gestionar los
riesgos y asumir voluntariamente su responsabilidad
contribuyendo as al logro de los objetivos
estratgicos de la organizacin.
La descripcin de puesto gerencial incluye la tarea de gestionar
sus riesgos? Cuntas veces se trata el tema en las reuniones
gerenciales?

www.isaca.org.uy

ACTIVIDADES DE ANLISIS Y
GESTIN DE RIESGO

www.isaca.org.uy

www.isaca.org.uy

Definiendo las prioridades


Riesgos a tener en cuenta y
monitorear. Costo-Beneficio.
Oportunidades-Consecuencias

Riesgos a estar alerta a


cambios en su severidad u
Ocurrencia. No asumir costos

www.isaca.org.uy

Riesgos intolerables
requieren acciones
urgentes

www.isaca.org.uy

Cmo podemos evaluar los riesgos tecnolgicos?

www.isaca.org.uy

Riesgos ISO 27005

www.isaca.org.uy

Qu dicen nuestros
Indicadores clave de riesgo
(KRI)?

www.isaca.org.uy

Algo cuantitativo: Modelo Monte Carlo

www.isaca.org.uy

Y ahora que medimos los


riesgos qu podemos hacer?

www.isaca.org.uy

ELUDIR no proseguir con la actividad riesgosa (!No siempre es posible


!)
TRANSFERIR que otra parte soporte parte del riesgo (Pensar en que
nuevos riesgos ocasiona este cambio)
REDUCIR tomar medidas tendientes a reducir la probabilidad de
ocurrencia y/o impacto, (No siempre implica costos financieros
adicionales, incluso puede ahorrar dinero)
ASUMIR aceptar el riesgo inherente (!Pero conocindolo!)
www.isaca.org.uy

El anlisis de riesgos del


anlisis de riesgos

www.isaca.org.uy

La Direccin entiende que


Conocer los Riesgos Operacionales es importante () Es
problema de la Unidad de Riesgos( ) No ha entendido que
son los RO ( )
Al Valuar los riesgos, la gente experta:
Es muy optimista o pesimista ( ) Es realista ( ) No tiene
tiempo para hacerlo ( )
Mapas de riesgo por proceso
No tiene ( ) Tiene para mostrar a la auditoria () Tiene y se
usa para decidir ()
En el registro de eventos, piensa que se registraran:
Menos del 25 % de los eventos ( ) entre un 25 y un 50 ( ) entre
50 y un 75% ( ) entre el 75 y el 100% ( )
Sobre los Indicadores
Hay tantos que no son manejables ( ) Se empieza con unos
pocos pero adecuados ( ) Elige los que sabe que dan bien
()
www.isaca.org.uy

Ejemplo de puntos a evaluar


Punto de Atencin

Se entiende
por parte de la
Direccin que la
incertidumbre
del futuro
implica
amenazas y
oportunidades
que deben ser
identificadas?

www.isaca.org.uy

Evalua
cin

Comentarios

Referencia

Normalmente, este
atributo se podra
verificar a travs
de las entrevistas
con la direccin y a
travs de la
evidencia de sus
acciones y
declaraciones. Si
no hay apoyo de la
Direccin no
habrn recursos
para este proceso

A.3.5 Integracin
completa en la
estructura de
gobierno de la
organizacin

Evide
ncia

Ejemplo de puntos a evaluar


Punto de Atencin

Tiene un
marco de
trabajo que
atiende los
aspectos
estructurales y
organizativos de
la gestin de
riesgos?

www.isaca.org.uy

eval.

Comentarios

Referencia

Esta etapa es bsica 4 Marco de


para un adecuado
Trabajo ISO
trabajo prctico
31000
posterior. El marco de
trabajo facilita una
gestin eficaz del
riesgo mediante la
aplicacin del
proceso de gestin
del riesgo a
diferentes niveles y
dentro de contextos
especficos de la
organizacin.

Evide
ncia

Ejemplo de puntos a evaluar


Punto de
Atencin

Se cuenta con
un plan de
tratamientos
razonable,
acorde a la
severidad de los
riesgos
asociados?

www.isaca.org.uy

eval. Comentarios

El plan debe
identificar con
claridad el orden de
prioridad en que se
deberan
implementar los
tratamientos de
riesgo individuales

Referencia

5.5.3
Preparaci
ne
implementa
cin de los
planes de
tratamiento
del riesgo

Evidencia

Anexo

(para despus)
Cul es el nivel de madurez de su
organizacin en gestin de riesgos ?
(origen del modelo :opinin del autor)

www.isaca.org.uy

Usted cmo est gestionando sus


riesgos?
0- No se piensa en ello.
1- Se habla de los riesgos a veces y para algunos proyectos en forma
inconsistente . Hay un responsable del monitoreo de riesgos con autoridad
limitada.
2- La administracin de riesgos se da por lo general a alto nivel y tpicamente se
aplica solo a proyectos grandes o como respuesta a problemas. Se han
identificado riesgos de algunos procesos en forma inicial, medidos en
forma cualitativa.
3- Hay una poltica de administracin del riesgo que define cundo y cmo llevar
a cabo las evaluaciones de riesgo. Todos los riesgos identificados tienen
un propietario asignado, si bien el mismo an acta en forma reactiva. Se
comienzan a registrar los eventos ocurridos pero no se analizan. Hay
capacitacin en la materia.
4- La alta gerencia ha determinado los niveles de riesgo tolerables para la
organizacin. Hay mediciones cuantitativas cuando aplica. Hay indicadores
clave definidos y se presentan a un comit que los usa para toma de
decisiones.
5- La administracin del riesgo est efectivamente integrada en todas las
operaciones , es bien aceptada e involucra extensamente a los empleados.
Los propietarios de procesos gestionan sus propios riesgos. La gerencia
evala en forma permanente las estrategias de mitigacin de riesgos. Hay
paneles que muestran la medicin del nivel de riesgo organizacional y por
rea.
www.isaca.org.uy

La norma ISO 31000 :


Si su nivel de madurez es 0,1,2
lo ayudar a ordenarse, a mejorar los
logros y demostrar debida diligencia
(piense que este esfuerzo NO CREA
RIESGOS NUEVOS),
Si su nivel de madurez es 3,4,5
lo ayudar a examinar crticamente si las
prcticas y procesos que est aplicando
son las ms adecuadas a su caso.
www.isaca.org.uy

Preguntas?
Muchas Gracias
Carlos R. Serra
serra@datasec-soft-com

www.isaca.org.uy

También podría gustarte