ISO 31000:2009.

Herramienta para evaluar la

gestin de riesgos
Cr Carlos Serra CISA CGEIT
Datasec Uruguay

www.isaca.org.uy
 Agenda

Qu es el riesgo?
Qu riesgo asume al no
pensar en sus riesgos
organizacionales?
Cmo lo ayuda la ISO
31000:2009 para evaluar su
gestin de riesgos?
Algunos temas del da a da

www.isaca.org.uy
 4.2 Mandato y compromiso

La introduccin de la gestin del riesgo y el

aseguramiento de su eficacia continua requieren un
compromiso fuerte y sostenido de la direccin de la
organizacin, as como el establecimiento de una
planificacin estratgica y rigurosa para conseguir el
compromiso a todos los niveles
ISO 31000:2009

www.isaca.org.uy
www.isaca.org.uy
 Sorprendentemente ese caso no parece haber
figurado como un riesgo de que las lneas
areas y muchas otras compaas para
garantizar la gestin. Aparte de las compaas
areas, el cierre del espacio areo europeo ha
dejado huella en todo, desde el turismo a la flor
y los productores de verduras frescas en frica,
los fabricantes de prendas de vestir en
Bangladesh y los fabricantes de componentes
electrnicos en el Lejano Oriente Kevin W. Knight

www.isaca.org.uy
 Objetivo: Vender, producir, hacer

www.isaca.org.uy
 A veces los eventos ocurren

www.isaca.org.uy
 Riesgo crediticio
Riesgo operacional
Riesgo tecnolgico
Riesgo estratgico
Riesgo legal
Riesgo de mercado
Riesgo de liquidez
Riesgo de cumplimiento
No satisfacer los requisitos del cliente
Peligros Ambientales
Riesgo de Seguridad Alimenticia
Peligro para el ser humano
Riesgo reputacional

www.isaca.org.uy
 Por qu no analizar sus riesgos?
No aporta valor
Si pensamos en todo lo malo, no hacemos nada
Hay suficientes controles.
Ac pensamos en metas, no en riesgos.
Aceptamos que es comn que fallen los sistemas
tecnolgicos.
!No hay tiempo para evaluar los riesgos, necesito
vender!
Ac nunca pas nada.
No tenemos los procesos definidos.
Gestionar los riesgos no me va a ayudar a vender ms.
Si ocurre algo ,ya lo arreglaremos.

www.isaca.org.uy
 Conceptos de la Norma ISO
31000:2009
(Y de la ISO GUIA 73 y la ISO
31010:2009)

www.isaca.org.uy
 INTRODUCCION

Mientras todas las organizaciones gestionan el

riesgo a diferentes niveles, esta norma internacional
establece un conjunto de principios que se deben
satisfacer para que la gestin del riesgo sea eficaz. ..
recomienda que las organizaciones desarrollen,
implementen y mejoren de manera continuada un
marco de trabajo cuyo objetivo sea integrar el proceso
de gestin del riesgo en los procesos de gobierno, de
estrategia y de planificacin, de gestin, y de
elaboracin de informes, as como en las polticas,
los valores y en la cultura de toda la organizacin.

www.isaca.org.uy
 1. OBJETO Y CAMPO DE APLICACIN

Esta norma internacional proporciona los

principios y las directrices genricas sobre
la gestin del riesgo.
Puede utilizarse por cualquier empresa
pblica, privada o social, asociacin,
grupo o individuo. Por tanto, no es
especfica de una industria o sector
concreto.

www.isaca.org.uy
 Interesados:
a) Responsables de desarrollar la poltica de gestin del
riesgo dentro de su organizacin;
b) Encargados de asegurar que el riesgo se gestiona de
manera eficaz dentro de la organizacin, considerada en
su totalidad o en un rea, un proyecto o una actividad
especficos;
c) Los que necesitan evaluar la eficacia de una
organizacin en materia de gestin del riesgo; y
d) Los que desarrollan normas, guas, procedimientos y
cdigos de buenas prcticas que, en su totalidad o en
parte, establecen cmo se debe tratar el riesgo dentro
del contexto especfico de estos documentos.

www.isaca.org.uy
 Qu es riesgo?

Es el efecto de la incertidumbre en la
consecucin de los objetivos ISO 31000:2009

1. Incertidumbre (puede que nunca ocurra).

2. El riesgo importa y debe gestionarse porque
tiene un efecto (positivo y negativo).
3. Ese efecto es sobre los objetivos fijados.

www.isaca.org.uy
www.isaca.org.uy
 Estructura para la gestin de
riesgos

www.isaca.org.uy
 ISO 31000 ANEXO A (INFORMATIVO)
ATRIBUTOS DE UNA GESTIN DEL RIESGO
OPTIMIZADA

A.3.1 Mejora continua

A.3.2 Responsabilidad completa de los
riesgos
A.3.3 Aplicacin de la gestin del riesgo
en todas las tomas de decisiones
A.3.4 Comunicacin continua
A.3.5 Integracin completa en la
estructura de gobierno de la organizacin

www.isaca.org.uy
 Normas complementarias

ISO Gua 73:2009

ISO 31010 :2009

www.isaca.org.uy
 ISO GUIA 73 :2009
proporciona el vocabulario bsico para
desarrollar una comprensin de los
conceptos y trminos que se utilizan en la
gestin del riesgo que son comunes a
diferentes organizaciones y funciones, ...

3.6.1.7 matriz de riesgo:

Herramienta que permite clasificar y visualizar los
riesgos (1.1), mediante la definicin de
categoras de consecuencias (3.6.1.3) y de su
probabilidad (3.6.1.1).

www.isaca.org.uy
 ISO 31010 :2009
Tormenta de ideas
Entrevistas estructuradas o
semiestructuradas
Delphi
Listas de ejemplo
Anlisis de riesgos preliminar (PHA)
Estudio de Peligros y Operabilidad -
HAZOP
Anlisis de peligros y puntos
crticos de control (HACCP)
Evaluacin del riesgo ambiental
Anlisis Qu pasa si
Anlisis de escenarios
Anlisis de Impacto de negocio
(BIA)
Anlisis de Causa Raz (RCA)
Anlisis de modo y efecto de la falla
( FMEA )
Anlisis de rbol de fallos
Anlisis de rbol de eventos
www.isaca.org.uy
Anlisis de causas y consecuencias
Anlisis de casa y efecto
Anlisis de Capas de Proteccin (LOPA)
rboles de decisin
Anlisis de la fiabilidad humana
rbol de fallos y sucesos iniciadores
(bow tie)
Mantenimiento Centrado en la Fiabilidad
(RCM)
Anlisis de circuitos de fugas
Anlisis de cadenas de Markov
Simulacin de Monte Carlo
Anlisis Bayesiano
Curvas FN
ndices de riesgo
Matrices de probabilidad y
consecuencia
Anlisis costo beneficio
Anlisis de decisin multicriterio
(MCDA)
 Qu pasa cuando coexisten
diversas evaluaciones de riesgo?

www.isaca.org.uy
 ISO 14000, IS0 18000, ISO 22000, ISO 27000

La gestin del riesgo contribuye de manera

tangible al logro de los objetivos y a la mejora
del desempeo, por ejemplo, en lo referente a la
salud y seguridad de las personas, a la
conformidad con los requisitos legales y
reglamentos, a la aceptacin por el pblico, a la
proteccin ambiental, a la calidad del producto,
a la gestin del proyecto, a la eficacia en las
operaciones, y a su gobierno y reputacin.
REFERENCIA EN LA ISO 31000

www.isaca.org.uy
 La ISO 9000 y el riesgo

Accin preventiva : accin tomada para

eliminar la causa de una no conformidad
potencial u otra situacin potencialmente
inestable
No conformidad es el incumplimiento de
un requisito.

www.isaca.org.uy
 Entonces

Recuerde que esta Norma ISO

31000 no es certificable
Ignorar sus riesgos no es una
opcin

www.isaca.org.uy
 La Alta Gerencia

Tiene responsabilidad dentro del Buen

Gobierno de buscar el logro de los objetivos
Le permite demostrar debida diligencia
Le ayuda a invertir los recursos en forma
ordenada
Le permite conocer los riesgos a que est
expuesto (incluso hoy)
Esto se traduce en : mensajes claros , coherentes y continuos a toda la
organizacin
Cunto se habla del tema riesgos en las reuniones gerenciales?

www.isaca.org.uy
 El propietario del proceso
Saber: Conocer en profundidad el proceso que
lidera, sus objetivos y riesgos.
Poder: Debe tener capacidad para la toma de
decisiones y mejorar el proceso, en funcin del
grado de responsabilidad delegada a cada uno.
Querer: Debe entender el valor de gestionar los
riesgos y asumir voluntariamente su responsabilidad
contribuyendo as al logro de los objetivos
estratgicos de la organizacin.

La descripcin de puesto gerencial incluye la tarea de gestionar

sus riesgos? Cuntas veces se trata el tema en las reuniones
gerenciales?

www.isaca.org.uy
 ACTIVIDADES DE ANLISIS Y
GESTIN DE RIESGO

www.isaca.org.uy
www.isaca.org.uy
 Definiendo las prioridades

Riesgos a tener en cuenta y

monitorear. Costo-Beneficio.
Riesgos intolerables
Oportunidades-Consecuencias
requieren acciones
urgentes

Riesgos a estar alerta a

cambios en su severidad u
Ocurrencia. No asumir costos
www.isaca.org.uy
www.isaca.org.uy
 Cmo podemos evaluar los riesgos tecnolgicos?

www.isaca.org.uy
 Riesgos ISO 27005

www.isaca.org.uy
 Qu dicen nuestros
Indicadores clave de riesgo
(KRI)?

www.isaca.org.uy
 Algo cuantitativo: Modelo Monte Carlo

www.isaca.org.uy
 Y ahora que medimos los
riesgos qu podemos hacer?

www.isaca.org.uy
 ELUDIR no proseguir con la actividad riesgosa (!No siempre es posible
!)

TRANSFERIR que otra parte soporte parte del riesgo (Pensar en que
nuevos riesgos ocasiona este cambio)

REDUCIR tomar medidas tendientes a reducir la probabilidad de

ocurrencia y/o impacto, (No siempre implica costos financieros
adicionales, incluso puede ahorrar dinero)

ASUMIR aceptar el riesgo inherente (!Pero conocindolo!)

www.isaca.org.uy
 El anlisis de riesgos del
anlisis de riesgos

www.isaca.org.uy
 La Direccin entiende que
Conocer los Riesgos Operacionales es importante () Es
problema de la Unidad de Riesgos( ) No ha entendido que
son los RO ( )
Al Valuar los riesgos, la gente experta:
Es muy optimista o pesimista ( ) Es realista ( ) No tiene
tiempo para hacerlo ( )
Mapas de riesgo por proceso
No tiene ( ) Tiene para mostrar a la auditoria () Tiene y se
usa para decidir ()
En el registro de eventos, piensa que se registraran:
Menos del 25 % de los eventos ( ) entre un 25 y un 50 ( ) entre
50 y un 75% ( ) entre el 75 y el 100% ( )
Sobre los Indicadores
Hay tantos que no son manejables ( ) Se empieza con unos
pocos pero adecuados ( ) Elige los que sabe que dan bien
()
www.isaca.org.uy
 Ejemplo de puntos a evaluar
Punto de Atencin Evalua Comentarios Referencia Evide
cin
ncia

Se entiende Normalmente, este A.3.5 Integracin

por parte de la atributo se podra completa en la
Direccin que la verificar a travs estructura de
incertidumbre de las entrevistas gobierno de la
del futuro con la direccin y a organizacin
implica travs de la
amenazas y evidencia de sus
oportunidades acciones y
que deben ser declaraciones. Si
identificadas? no hay apoyo de la
Direccin no
habrn recursos
para este proceso
www.isaca.org.uy
 Ejemplo de puntos a evaluar
Punto de Atencin eval. Comentarios Referencia Evide
ncia

Tiene un Esta etapa es bsica 4 Marco de

marco de para un adecuado Trabajo ISO
trabajo que trabajo prctico 31000
atiende los posterior. El marco de
aspectos trabajo facilita una
estructurales y gestin eficaz del
organizativos de riesgo mediante la
la gestin de aplicacin del
riesgos? proceso de gestin
del riesgo a
diferentes niveles y
dentro de contextos
especficos de la
organizacin.
www.isaca.org.uy
 Ejemplo de puntos a evaluar
Punto de eval. Comentarios Referencia Evidencia
Atencin

Se cuenta con El plan debe 5.5.3

un plan de identificar con Preparaci
tratamientos claridad el orden de ne
razonable, prioridad en que se implementa
acorde a la deberan cin de los
severidad de los implementar los planes de
riesgos tratamientos de tratamiento
asociados? riesgo individuales del riesgo

www.isaca.org.uy
 Anexo
(para despus)

Cul es el nivel de madurez de su

organizacin en gestin de riesgos ?
(origen del modelo :opinin del autor)

www.isaca.org.uy
 Usted cmo est gestionando sus
riesgos?
0- No se piensa en ello.
1- Se habla de los riesgos a veces y para algunos proyectos en forma
inconsistente . Hay un responsable del monitoreo de riesgos con autoridad
limitada.
2- La administracin de riesgos se da por lo general a alto nivel y tpicamente se
aplica solo a proyectos grandes o como respuesta a problemas. Se han
identificado riesgos de algunos procesos en forma inicial, medidos en
forma cualitativa.
3- Hay una poltica de administracin del riesgo que define cundo y cmo llevar
a cabo las evaluaciones de riesgo. Todos los riesgos identificados tienen
un propietario asignado, si bien el mismo an acta en forma reactiva. Se
comienzan a registrar los eventos ocurridos pero no se analizan. Hay
capacitacin en la materia.
4- La alta gerencia ha determinado los niveles de riesgo tolerables para la
organizacin. Hay mediciones cuantitativas cuando aplica. Hay indicadores
clave definidos y se presentan a un comit que los usa para toma de
decisiones.
5- La administracin del riesgo est efectivamente integrada en todas las
operaciones , es bien aceptada e involucra extensamente a los empleados.
Los propietarios de procesos gestionan sus propios riesgos. La gerencia
evala en forma permanente las estrategias de mitigacin de riesgos. Hay
paneles que muestran la medicin del nivel de riesgo organizacional y por
rea.
www.isaca.org.uy
 La norma ISO 31000 :

Si su nivel de madurez es 0,1,2

lo ayudar a ordenarse, a mejorar los
logros y demostrar debida diligencia
(piense que este esfuerzo NO CREA
RIESGOS NUEVOS),
Si su nivel de madurez es 3,4,5
lo ayudar a examinar crticamente si las
prcticas y procesos que est aplicando
son las ms adecuadas a su caso.

www.isaca.org.uy
 Preguntas?
Muchas Gracias
Carlos R. Serra
serra@datasec-soft-com

www.isaca.org.uy