ISO 31000:2009

Ponente:
P t AAngell E
Escorial
i l Bonet–
B t Riskia
Ri ki
Moderador: Mariano Blanco Gema – Chartis
Madrid, Sede de AGERS 22 de Febrero de 2010
ÍNDICE

• Antecedentes
• Alcance
• Términos y definiciones
• Guía ISO 73:2009 Vocabulario
• Principios
• Estructura
• Proceso
• Relaciones entre los principios,
principios estructura y proceso
• Atributos para una mejor gestión de riesgos
• ISO 31010:2009 Evaluación de riesgos
ANTECEDENTES

Hasta la aprobación de la ISO 31000 hemos dispuesto de

modelos ‘ad-hoc’ de uso específico para ciertas actividades:
• COSO
• BASILEA
• SOLVENCIA
• UNE150008, …
así como algún otro modelo de carácter INTEGRAL de ‘Risk
Management’
g entre los q
que destacamos:
• Modelo FERMA 2003
• la Norma Australiana-Neo Zelandesa AS/NZS 4360:2004
La ISO 31000:2009 se desarrolla en un documento de cinco
cláusulas y un anexo y se complementa con:
• Guía
G í 73:2009
73 2009 V
Vocabulario
b l i
• ISO 31010:2009 Líneas directrices para la evaluación de riesgos
1 ALCANCE

• Tiene como objetivo ayudar a las organizaciones de todo

tipo y tamaño a gestionar sus riesgos con efectividad.
• El nuevo
ue o sstandard
a da d ISO
SO p
proporciona
opo c o a los
os p
principios,
c p os, e
el marco
a co y
un proceso destinado a gestionar cualquier tipo de riesgo
en una manera transparente, sistemática y creíble dentro de
cualquier alcance o contexto.
• El standard recomienda q
que las organizaciones
g desarrollen,,
implementen y mejoren en forma continua el marco de
gestión de riesgos como un componente del sistema
i
integral
l de
d gestión
ió de
d la
l organización.
i ió
• ISO 31000 es un documento p práctico q
que busca ayudar
y a las
organizaciones en el desarrollo de su propia estrategia para
gestionar sus riesgos, pero no es un estándar certificable.
1 ALCANCE ((2))

ISO 31000 está diseñada para ayudar a las organizaciones a:

• Aumentar la probabilidad de lograr sus objetivos
• Fomentar la gestión proactiva
• S conscientes
Ser i t de d lla necesidad
id d d
de id
identificar
tifi y ttratar
t ell riesgo
i en ttoda
d lla organización
i ió
• Mejorar la identificación de las oportunidades y amenazas
• Cumplir con las exigencias legales y reglamentarias y las normas internacionales
• Mejorar la información
f ó financiera
f
• Mejorar el gobierno de la organización
• Incrementar la confianza de los grupos de interés (‘stakeholders’)
• Establecer una base fiable para la toma de decisiones y planificación.
• Mejorar los controles
• Asignar y utilizar de manera efectiva los recursos para el tratamiento del riesgo
• Mejorar la eficacia y la eficiencia operacional.
• Aumentar la seguridad y salud así como la protección al medio ambiente
• Mejorar la prevención y la gestión de incidentes.
• Minimizar las pérdidas.
• Mejorar el aprendizaje y la ‘resiliencia’ de la organización
2 TÉRMINOS Y DEFINICIONES

2.1 Riesgo: efecto de la incertidumbre sobre los objetivos.

2.2 Gestión de riesgos: coordinación de actividades para
dirigir y controlar una organización en relación con el riesgo.
…
La guía 73 es genérica y se compila para abarcar el ámbito de
la gestión de riesgos ampliando esta cláusula 2:
• Stakeholder: Persona u organización que puede afectar, ser afectada
o percibir ser afectada por una decisión o actividad
actividad.
• Resiliencia: Capacidad de adaptación de una organización en un
entorno complejo y cambiante. ‘resistencia, flexibilidad,…’
 2 TÉRMINOS Y DEFINICIONES (2)
( )
Risk management refers to the architecture
(principles,
(p p , framework and p process)) for
Risk management managing risks.
Managing risks
Managing risks refers to applying that
architecture to particular risks.

Le management du risque se réfère a la structure

(principe cadre organisationnel et processus)
(principe,
Management du risque permettant de gérer le risque avec efficacité.
Gérer le risque
Gérer le risque se réfère à ll’application
application de cette
structure aux risques particuliers.

• Gerencia de riesgos vs.

vs Gestión de riesgos
Gerencia de riesgos • ¿Desarrollo en español de la ISO 31000?
Gestión de riesgos
g • ¿España: AENOR-AGERS?
• ¿Español en América?
3 PRINCIPIOS

a) Crea valor en la organización y lo preserva.

b) Esta integrada en los procesos de la organización.
c) Forma parte de la toma de decisiones.
decisiones
d) Trata explícitamente la incertidumbre.
e) Es sistemática, estructurada y oportuna.
f) Está basada en la mejor información disponible.
g) Está hecha a medida.
h) Tiene en cuenta factores humanos y culturales
culturales.
i) Es transparente e inclusiva.
j) Es dinámica, iterativa y sensible al cambio.
k) Facilita la mejora continua de la organización.
4 ESTRUCTURA (1)
( )

• El éxito de la Gestión de Riesgos dependerá de la

efectividad de la estructura de gestión que proporcione la
base y las disposiciones que permitan su integración en
todos los niveles de la organización.
organización
• Esta estructura no está destinada a prescribir un sistema
d gestión,
de tió sino
i más
á bien
bi a ayudar
d a la l organización
i ió a
integrar la Gestión de riesgos en su sistema de gestión.
• P
Por tanto,
t t l
las organizaciones
i i d b
deben adaptar
d t l
los
componentes de esta estructura a sus necesidades.
• L
Las organizaciones
i i con componentes de d gestiónió de
d
riesgos ya implantados o que ya hayan adoptado un
proceso de gestión de riesgos formal,
formal disponen en el
anexo A los atributos necesarios para su revisión.
 4 ESTRUCTURA (2)
( )

Compromiso de la dirección (4.2)

Diseño de la estructura para gestionar los riesgos (4.3)
( )
• Comprender la organización y su contexto (4.3.1)
• Establecimiento de la política de gestión  de riesgos (4.3.2)
• Responsabilidad (4.3.3)
• Integración en los procesos de la organización (4.3.4)
ó l d l ó ( )
• Recursos (4.3.5)
• Establecimiento de mecanismos de comunicación interna e información (4.3.6)
• Establecimiento de mecanismos de comunicación externa e información(4.3.7)

Mejora continua de la estructura (4.6)
Implantación de la Gestión de Riesgos(4.4)
• Implantación de la estructura para gestionar los  
riesgos (4.4.1)
• Implantación del proceso de gestión de riesgos 
Implantación del proceso de gestión de riesgos
(4.4.2)

Seguimiento y revisión de la estructura (4.5)
5 PROCESO

Establecer el contexto (5.3)

Evaluación de riesgos (5.4)

Identificar los riesgos (5

(5.4.2)
4 2)
Comunicación y Seguimiento y
consulta revisión
(5.2) A li
Analizar llos riesgos
i (5
(5.4.3)
4 3) (5.6)

Evaluar los riesgos (5.4.4)

Tratar los riesgos (5.5)

 RELACIONES 3 - 4 - 5

Compromiso
a) Crea valor. de la Dirección
b) Esta integrada en los (4.2) Establecer el contexto
procesos de la (5.3)
organización.
c) Forma parte de la toma de
decisiones. Diseño de la Evaluación de
d) Trata explícitamente la estructura de riesgos (5.4)

a (5.2)

nto y revisión (5.6)

incertidumbre. soporte (4.3)
e) Es sistemática,

ón y consulta
estructurada y adecuada
Identificar los riesgos
f) Está basada en la mejor
(5.4.2)
información disponible.
g) Está hecha a medida.
h) Tiene en cuenta factores Mejora Implantación
p

Comunicació

Seguimien
de la gestión A li
Analizar llos
humanos y culturales. continua de la
de riesgos riesgos(5.4.3)
i) Es transparente e inclusiva. estructura (4.6)
j) Es dinámica, iterativa y (4.4)
sensible al cambio.
k) Facilita la mejora continua Evaluar los
de la organización. riesgos(5.4.4)

Seguimiento y
revisión de la
Tratar los riesgos
estructura
(5.5)
(4.5)

Principios (Cláusula 3) Estructura (Cláusula 4) Proceso (Cláusula 5)

A ATRIBUTOS PARA LA MEJORA
DE LA GERENCIA DE RIESGOS
1. Establecimiento de metas de desempeño organizacional,
medición, revisión y posterior modificación de procesos,
sistemas, recursos, capacidad y habilidades.
2. Controles y tratamiento del riesgo exhaustivos
3. Toda toma de decisiones dentro de la organización, cualquiera
que sea el nivel de importancia y trascendencia,
trascendencia implica la
consideración explícita de los riesgos y la aplicación de la
gestión de riesgos en la medida adecuada.
4. Comunicación continua con los ‘stakeholder’ internos y
externos, incluida la elaboración de informes completos y
frecuentes del desempeño de la gestión de riesgos como parte
del buen gobierno corporativo.
5. La efectividad de la gestión de riesgos es esencial para el logro
de los objetivos de la organización.
ISO/IEC 31010:2009

• ISO / IEC 31010:2009 es una norma de apoyo para la ISO

31000 y ofrece orientación sobre la selección y aplicación
d técnicas
de é i sistemáticas
i ái para la
l evaluación
l ió de
d riesgos.
i

• La aplicación de una serie de técnicas se introduce, con

referencias específicas a otras normas internacionales,
donde el concepto y la aplicación de las técnicas se
describen en mayor detalle.

• Esta norma no establece criterios específicos para

determinar la necesidad de análisis de riesgos, ni tampoco
especifica el tipo de método de análisis de riesgos que se
requiere para una aplicación particular.
ISO 31010:2009 (2)
( )

• La ISO 31010 no se refiere a todas las técnicas, y la

omisión de una técnica de esta norma no significa que no
sea válida.
álid

• El hecho
h h de d que un método ét d sea aplicable
li bl a una
circunstancia particular no significa necesariamente que el
método deba ser aplicado.
aplicado

• Esta norma no se ocupa específicamente de la seguridad.

Se trata de una norma genérica de gestión de riesgos y
cualquier referencia a la seguridad es de carácter
puramente informativo.
informativo
ISO 31000:2009

Angel Escorial – Riskia

angel.escorial@riskia.com