Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Iso 31000 - Gestion Del Riesgo PDF
Iso 31000 - Gestion Del Riesgo PDF
www.isaca.org.uy
Agenda
Qu es el riesgo?
Qu riesgo asume al no
pensar en sus riesgos
organizacionales?
Cmo lo ayuda la ISO
31000:2009 para evaluar su
gestin de riesgos?
Algunos temas del da a da
www.isaca.org.uy
4.2 Mandato y compromiso
www.isaca.org.uy
www.isaca.org.uy
Sorprendentemente ese caso no parece haber
figurado como un riesgo de que las lneas
areas y muchas otras compaas para
garantizar la gestin. Aparte de las compaas
areas, el cierre del espacio areo europeo ha
dejado huella en todo, desde el turismo a la flor
y los productores de verduras frescas en frica,
los fabricantes de prendas de vestir en
Bangladesh y los fabricantes de componentes
electrnicos en el Lejano Oriente Kevin W. Knight
www.isaca.org.uy
Objetivo: Vender, producir, hacer
www.isaca.org.uy
A veces los eventos ocurren
www.isaca.org.uy
Riesgo crediticio
Riesgo operacional
Riesgo tecnolgico
Riesgo estratgico
Riesgo legal
Riesgo de mercado
Riesgo de liquidez
Riesgo de cumplimiento
No satisfacer los requisitos del cliente
Peligros Ambientales
Riesgo de Seguridad Alimenticia
Peligro para el ser humano
Riesgo reputacional
www.isaca.org.uy
Por qu no analizar sus riesgos?
No aporta valor
Si pensamos en todo lo malo, no hacemos nada
Hay suficientes controles.
Ac pensamos en metas, no en riesgos.
Aceptamos que es comn que fallen los sistemas
tecnolgicos.
!No hay tiempo para evaluar los riesgos, necesito
vender!
Ac nunca pas nada.
No tenemos los procesos definidos.
Gestionar los riesgos no me va a ayudar a vender ms.
Si ocurre algo ,ya lo arreglaremos.
www.isaca.org.uy
Conceptos de la Norma ISO
31000:2009
(Y de la ISO GUIA 73 y la ISO
31010:2009)
www.isaca.org.uy
INTRODUCCION
www.isaca.org.uy
1. OBJETO Y CAMPO DE APLICACIN
www.isaca.org.uy
Interesados:
a) Responsables de desarrollar la poltica de gestin del
riesgo dentro de su organizacin;
b) Encargados de asegurar que el riesgo se gestiona de
manera eficaz dentro de la organizacin, considerada en
su totalidad o en un rea, un proyecto o una actividad
especficos;
c) Los que necesitan evaluar la eficacia de una
organizacin en materia de gestin del riesgo; y
d) Los que desarrollan normas, guas, procedimientos y
cdigos de buenas prcticas que, en su totalidad o en
parte, establecen cmo se debe tratar el riesgo dentro
del contexto especfico de estos documentos.
www.isaca.org.uy
Qu es riesgo?
Es el efecto de la incertidumbre en la
consecucin de los objetivos ISO 31000:2009
www.isaca.org.uy
www.isaca.org.uy
Estructura para la gestin de
riesgos
www.isaca.org.uy
ISO 31000 ANEXO A (INFORMATIVO)
ATRIBUTOS DE UNA GESTIN DEL RIESGO
OPTIMIZADA
www.isaca.org.uy
Normas complementarias
www.isaca.org.uy
ISO GUIA 73 :2009
proporciona el vocabulario bsico para
desarrollar una comprensin de los
conceptos y trminos que se utilizan en la
gestin del riesgo que son comunes a
diferentes organizaciones y funciones, ...
www.isaca.org.uy
ISO 31010 :2009
Tormenta de ideas Anlisis de causas y consecuencias
Entrevistas estructuradas o Anlisis de casa y efecto
semiestructuradas Anlisis de Capas de Proteccin (LOPA)
Delphi rboles de decisin
Listas de ejemplo Anlisis de la fiabilidad humana
Anlisis de riesgos preliminar (PHA) rbol de fallos y sucesos iniciadores
Estudio de Peligros y Operabilidad - (bow tie)
HAZOP Mantenimiento Centrado en la Fiabilidad
Anlisis de peligros y puntos (RCM)
crticos de control (HACCP) Anlisis de circuitos de fugas
Evaluacin del riesgo ambiental Anlisis de cadenas de Markov
Anlisis Qu pasa si Simulacin de Monte Carlo
Anlisis de escenarios Anlisis Bayesiano
Anlisis de Impacto de negocio Curvas FN
(BIA) ndices de riesgo
Anlisis de Causa Raz (RCA) Matrices de probabilidad y
Anlisis de modo y efecto de la falla consecuencia
( FMEA ) Anlisis costo beneficio
Anlisis de rbol de fallos Anlisis de decisin multicriterio
Anlisis de rbol de eventos (MCDA)
www.isaca.org.uy
Qu pasa cuando coexisten
diversas evaluaciones de riesgo?
www.isaca.org.uy
ISO 14000, IS0 18000, ISO 22000, ISO 27000
www.isaca.org.uy
La ISO 9000 y el riesgo
www.isaca.org.uy
Entonces
www.isaca.org.uy
La Alta Gerencia
www.isaca.org.uy
El propietario del proceso
Saber: Conocer en profundidad el proceso que
lidera, sus objetivos y riesgos.
Poder: Debe tener capacidad para la toma de
decisiones y mejorar el proceso, en funcin del
grado de responsabilidad delegada a cada uno.
Querer: Debe entender el valor de gestionar los
riesgos y asumir voluntariamente su responsabilidad
contribuyendo as al logro de los objetivos
estratgicos de la organizacin.
www.isaca.org.uy
ACTIVIDADES DE ANLISIS Y
GESTIN DE RIESGO
www.isaca.org.uy
www.isaca.org.uy
Definiendo las prioridades
www.isaca.org.uy
Riesgos ISO 27005
www.isaca.org.uy
Qu dicen nuestros
Indicadores clave de riesgo
(KRI)?
www.isaca.org.uy
Algo cuantitativo: Modelo Monte Carlo
www.isaca.org.uy
Y ahora que medimos los
riesgos qu podemos hacer?
www.isaca.org.uy
ELUDIR no proseguir con la actividad riesgosa (!No siempre es posible
!)
TRANSFERIR que otra parte soporte parte del riesgo (Pensar en que
nuevos riesgos ocasiona este cambio)
www.isaca.org.uy
El anlisis de riesgos del
anlisis de riesgos
www.isaca.org.uy
La Direccin entiende que
Conocer los Riesgos Operacionales es importante () Es
problema de la Unidad de Riesgos( ) No ha entendido que
son los RO ( )
Al Valuar los riesgos, la gente experta:
Es muy optimista o pesimista ( ) Es realista ( ) No tiene
tiempo para hacerlo ( )
Mapas de riesgo por proceso
No tiene ( ) Tiene para mostrar a la auditoria () Tiene y se
usa para decidir ()
En el registro de eventos, piensa que se registraran:
Menos del 25 % de los eventos ( ) entre un 25 y un 50 ( ) entre
50 y un 75% ( ) entre el 75 y el 100% ( )
Sobre los Indicadores
Hay tantos que no son manejables ( ) Se empieza con unos
pocos pero adecuados ( ) Elige los que sabe que dan bien
()
www.isaca.org.uy
Ejemplo de puntos a evaluar
Punto de Atencin Evalua Comentarios Referencia Evide
cin
ncia
www.isaca.org.uy
Anexo
(para despus)
www.isaca.org.uy
Usted cmo est gestionando sus
riesgos?
0- No se piensa en ello.
1- Se habla de los riesgos a veces y para algunos proyectos en forma
inconsistente . Hay un responsable del monitoreo de riesgos con autoridad
limitada.
2- La administracin de riesgos se da por lo general a alto nivel y tpicamente se
aplica solo a proyectos grandes o como respuesta a problemas. Se han
identificado riesgos de algunos procesos en forma inicial, medidos en
forma cualitativa.
3- Hay una poltica de administracin del riesgo que define cundo y cmo llevar
a cabo las evaluaciones de riesgo. Todos los riesgos identificados tienen
un propietario asignado, si bien el mismo an acta en forma reactiva. Se
comienzan a registrar los eventos ocurridos pero no se analizan. Hay
capacitacin en la materia.
4- La alta gerencia ha determinado los niveles de riesgo tolerables para la
organizacin. Hay mediciones cuantitativas cuando aplica. Hay indicadores
clave definidos y se presentan a un comit que los usa para toma de
decisiones.
5- La administracin del riesgo est efectivamente integrada en todas las
operaciones , es bien aceptada e involucra extensamente a los empleados.
Los propietarios de procesos gestionan sus propios riesgos. La gerencia
evala en forma permanente las estrategias de mitigacin de riesgos. Hay
paneles que muestran la medicin del nivel de riesgo organizacional y por
rea.
www.isaca.org.uy
La norma ISO 31000 :
www.isaca.org.uy
Preguntas?
Muchas Gracias
Carlos R. Serra
serra@datasec-soft-com
www.isaca.org.uy