Documentos de Académico
Documentos de Profesional
Documentos de Cultura
RIESGOS DE
GESTION DE SISTEMAS ISO
AUDITORIAS ISO
Objetivos:
2 ISOSGR
¿Quiénes deben dominar
esta metodología?
3 ISOSGR
CONTENIDO UNIDAD 1
01 Introducción
DEFINICION DE GESTION
IMPORTANCIA Y CONCIENTIZACION
02 Identificación
HERRAMIENTAS, METODOS Y
PROCEDIMIENTOS
03 Análisis
EVALUACIÓN
MEDICION
ACEPTACION
04 Aplicación
CASOS DE ANALISIS
TALLER
INTRODUCCION
A LA GESTION DE RIESGOS DE LOS SISTEMAS ISO
5 ISOSGR
Concepto
La gestión es un conjunto de procedimientos y acciones que se
llevan a cabo para lograr un determinado objetivo. Es decir, en
términos generales, la gestión es una serie de tareas que se
realizan para acometer un fin planteado con antelación.
La gestión empresarial alude a la planificación de los procesos
GESTION
7 ISOSGR
Sistemas de Gestión
ISO
8 ISOSGR
Normas ISO, de Gestión
ISO 9001 Sistemas de Gestión de Calidad
ISO 14001 Sistemas de Gestión de Medio Ambiente
ISO 45001 Sistemas de Gestión de la Seguridad y Salud
en el Trabajo
ISO 28001 Sistemas de Gestión de la Seguridad de la
Cadena de Suministro
ISO 27001 Sistemas de Gestión de la Seguridad de la
Información
ISO 20000 Sistemas de Gestión de Servicios de TI
ISO 22000 Sistemas de Gestión Alimentario
ISO 14971 Sistema de Gestión de Riesgos asociados al
uso de productos sanitarios
ISO 31000 Gestión de Riesgos
9 ISOSGR
Norma ISO 9001:2015
El capitulo 6 de la norma establece en el apartado 6.1 la declaración
de las acciones para abordar las los riesgos y las oportunidades.
10 ISOSGR
RIESGOS: SEGÚN LA ISO 9000:2015
3.7.9 Es el efecto de la incertidumbre
Nota 1 a la entrada: Un efecto es una desviación de lo esperado, ya sea positivo o negativo
Nota 2 a la entrada: Incertidumbre es el estado, incluso parcial, de diferencia de información relacionada con la
comprensión o conocimiento de un evento, su consecuencia o su probabilidad
Nota 3 a la entrada: con frecuencia el riesgo se caracteriza por referencias a eventos potenciales y
consecuencias, o una combinación de estos
Nota 4 a la entrada: Con frecuencia el riesgo se expresa en términos de una combinación de consecuencias de
un evento y la probabilidad asociada de que ocurra
Nota 5 a la entrada: La palabra ie g algunas veces se utiliza cunado existe la posibilidad de consecuencias
negativas.
Nota 6 a la entrada: Este término es uno de los términos comunes y definiciones esenciales para las normas de
sistemas de gestión que se proporcionan en el anexo SL de suplemento ISO
11 ISOSGR
NORMAS ISO
UNO DE LOS PUNTOS VITALES DE LAS TRES
NORMAS QUE CONFORMAN UN SISTEMA DE
GESTION INTEGRADO ES LA GESTION DE RIESGOS
12 ISOSGR
Gestión del Riesgo
RIESGO
Definición: Efecto de Incertidumbre
Los riesgos están asociados a las capacidades de la
¿QUÉ PUEDE SUCEDER?
organización: (financiero, reputación, recursos,personal, etc.)
Definir qué eventos pueden
presentarse que tengan
impacto en el logro de los
objetivos de la Organización
13 ISOSGR
¿ RIESGOS ?
¿QUE SON LOS RIESGOS?
14 ISOSGR
TIPOS DE RIESGOS
Riesgos naturales
Riesgos biológicos
Riesgos Económicos
Riesgos Financieros
Riesgos Laborales
Riesgos Químicos
Riesgos Sanitarios
15 ISOSGR
¿Por qué realizar una gestión al riesgo?
Crea y protege el valor, pues contribuye al logro de los
objetivos
La gestión del riesgo es parte integral de todos los
procesos
Buscando eficiencia
Su salidas son fundamentales en la toma de
y eficacia de los decisiones
procesos, un Se ocupa de la incertidumbre
Sistema de gestión Es sistemática, estructurada y oportuna
Se basa en la mejor información disponible
de riesgos cuenta Es específica
con estas Toma en cuenta los factores humanos y culturales de la
características y Organización
Es transparente e inclusiva pues se ubica en todos
principios: los procesos.
Es dinámica, iterativa y orientada al cambio
Facilita la mejora continua
16 ISOSGR
Fuente de Riesgos
Son todos aquellos ámbitos de la empresa, internos o externos que pueden generar amenazas de pérdidas o
impedimentos para alcanzar los objetivos. Ejemplos:
Participación Productos /servicios
enel mercado
Obsoletos
Obsolescencia
Pérdidas en ventas
Innovación
Desempeño
financiero
Fuentes
Hurtos de
Costosy gastos
Riesgos
Dañosen
infraestructura
Relacioneslegalesy
contractuales
Enfermedades
17 ISOSGR
Importancia:
IDENTIFICACION Los sistemas de gestión de la calidad (SGC) son herramientas
fabulosas si hacemos referencia a la búsqueda de la mejora
continua. Sin embargo, su implementación puede considerarse
una actividad desafiante si no se estable diferentes premisas que
se encuentren acompañadas de un plan de trabajo sólido, el cual
contemple los riegos y recursos asociados para lograr el objetivo
propuesto..
19 ISOSGR
Norma ISO 31000 Gestión del Riesgo
20 ISOSGR
Proceso de Gestión del Riesgo ISO 31000
¿Probabilidad?
Estimación del riesgo ¿Impacto?
¿Nivel del Riesgo?
¿Controles?
Evaluación del riesgo ¿Efectividad de los Controles?
¿Tratamiento?
NO
DECISION SOBRE EL RIESGO
Punto 1. Valoración satisfactoria SI
21 ISOSGR
Identificar los Riesgos
La identificación del riesgo es una actividad critica, por que un riesgo que no se identifique en esta fase no será
incluido en el análisis posterior.
La identificación deberá incluir los riesgos independientemente de si su origen esta o no bajo control de la
Organización. Es necesario considerar las causas que podrían originar el riesgo y las posibles consecuencias de
dicho riesgo.
Las herramientas empleadas para identificar los riesgos incluyen listas de verificación, juicios basados en la
experiencia y los registros, diagramas de flujo, lluvia de ideas, análisis de sistemas, análisis de escenarios, entre
otros.
22 ISOSGR
Pasos Para la Identificación de Riesgos
23 ISOSGR
1.- MISION Y VISION DE LA
ORGANIZACIÓN
La misión responde a la primera de las preguntas que mencionábamos: «¿Quiénes somos?» Consiste en
una declaración escrita donde figuran sus principios corporativos. Es decir, cuáles son su razón de ser y
su objetivo primordial.
La misión de la empresa tiene que definir cuestiones como a qué se dedica y cuál es su actividad, cómo
lo hace y cuál es su propuesta de valor. Adicionalmente, pueden incluirse aspectos como a qué público
se dirige y, sobre todo, cuáles son los rasgos que la distinguen de la competencia. Al igual que la
política de calidad estas declaraciones deben ser perfectamente asumidas tanto por los directivos como
por los empleados.
La misión de la empresa es considerada por expertos como Philip Kotler y Gary Armstrong, como «un
elemento básico de la planificación estratégica». Además, es un gran elemento de inspiración para los
trabajadores, ya que responde a la siguiente pregunta individual de cada uno de ellos: «¿Cuál es el valor
de mi trabajo aquí?»
24 ISOSGR
2.- OBJETIVOS
Uno de los requisitos de la norma ISO 9001 2015, es la necesidad de definir Objetivos de Calidad.
Estos Objetivos son una de las herramientas clave que garantizan la mejora continua del Sistema
de Gestión de la Calidad, y son una buena oportunidad para que la Dirección muestre su liderazgo
y compromiso con la organización.
Los Objetivos se pueden definir para diferentes niveles dentro de la empresa. Desde Objetivos
globales alineados con la estrategia de la organización, hasta Objetivos asociados a un proceso
concreto. Una buena fuente de inspiración para definir nuevos Objetivos en un periodo, es el
análisis de Riesgos y Oportunidades realizado previamente.
25 ISOSGR
OBJETIVOS
Comprensibles: Los Objetivos de Calidad deben ser comunicados dentro de la organización, y
por tanto deben ser entendibles por todos.
Medibles: De manera periódica deberemos chequear que las acciones realizadas van siendo
efectivas, y nos acercamos a conseguir el objetivo final marcado. Para ello, necesitaremos poder
medir el Objetivo en periodos intermedios y ver que su evolución es la correcta.
IMPORTANTE: Los Objetivos no tienen por qué estar todos definidos para el mismo periodo de
tiempo. Dependiendo de los recursos necesarios y su disponibilidad, podemos fijar Objetivos a tres
años vista o para pocos meses. Eso si, deberemos realizar un seguimiento de los mismos de
manera periódica. Una buena práctica es realizar dicha monitorización con carácter trimestral o
cuatrimestral.
26 ISOSGR
2.- PARTES INTERESADAS
STAKEHOLDERS
Clientes Internos:
Empleados
Directivos
Propietarios
Clientes Externos:
Proveedores
Sociedad
Gobierno
Acreedores
Accionistas
Clientes
27 ISOSGR
3.- ESTABLECIMIENTO DEL CONTEXTO
La organización articula sus objetivos y define componentes externas e internas a considerar para establecer el
alcance y los criterios de desempeño del riesgo.
28 ISOSGR
FACTORES EXTERNOS
Dependiendo del mercado y el alcance de las operaciones de la organización se deberá tener en cuenta un nivel Local, Regional,
nacional y/o Internacional.
Factor social: En esta categoría, podemos enmarcar lo relacionado con la influencia de la cultura a la cual se dirigen los productos o
servicios de la organización, las tendencias de consumo de esos clientes o usuarios finales, las costumbres, la moda.
Factor Cultural: Las creencias del mercado al que va orientado el producto o servicio, debe guardar coherencia el actuar de la
organización con lo que se requiere a nivel cultural para poder obtener un reconocimiento y establecer un mercado.
Factores político y Legal: Este se verá determinado por la tendencia del gobierno en curso los cuales, dependiendo de las corrientes
o lineamientos, establecerán políticas que beneficien en mayor o menor medida a las organizaciones.
Factor Financiero- Económico: Las políticas a nivel financiero, impuestos, entre otros.
Factor tecnológico: con la crisis reciente por la pandemia este es uno de los factores relevantes que la empresa debe identificar y
planificar para que las herramientas tecnológicas permitan la continuidad de la operación de las organizaciones.
Factores Ambientales: la relación entre las actividades de la organización y la afectación o impactos que estas generan para el
medio ambiente.
Tendencias del mercado: que es lo que quiere el cliente o consumidor actual y cómo la organización contribuye a subsanar esa
necesidad o expectativa. Necesidades y expectativas de partes interesadas externas.
Contratos y obligaciones
Las redes: los diferentes actores y herramientas que están o pueden estar relacionas con las actividades de la organización, medios
de comunicación, redes sociales, clúster, entre otros.
29 ISOSGR
FACTORES INTERNOS
Son aquellos que dependen de la organización y se derivan de la gestión de la misma, y por tanto son
controlables por la organización.
La plataforma estratégica: La misión, la visión, los valores organizaciones, corresponden a los fundamentos
y al horizonte al que se proyecta la organización y por ello deben estar claramente definidos. La política de
gobierno de la organización, la estructura, las responsabilidades definidas. Los objetivos y las políticas. Los
procedimientos internos de la organización.
Los recursos: dinero, talento humano, propiedad intelectual, procesos, sistemas, tecnología. Los activos de
información. Las relaciones con las partes interesadas y demás factores.
El análisis de los factores mencionados anteriormente y demás que se consideren necesarios, establecen el
entorno en el cual la organización busca el logro de sus objetivos.
La gestión del riesgo tiene como punto de partida la debilidades y amenazas que se identifican a partir de
dicho análisis y también tiene en consideración los objetivos que la organización tiene establecidos.
30 ISOSGR
1. Identificar los Riesgos
31 ISOSGR
Taller de Identificación
32 ISOSGR
2.- ANALIZAR Y VALORAR EL RIESGO
Análisis: Usar la información disponible para determinar la frecuencia, con la que pueden ocurrir eventos
especificados y la magnitud de sus consecuencias
Valoración: Determinar prioridades de gestión del riesgo mediante la comparación del nivel de riesgo contra las
normas predeterminadas u otros criterios
A Determinar la probabilidad
de ocurrencia del evento
B Determinar las
consecuencias del evento
33 ISOSGR
2.- ANALIZAR Y VALORAR EL RIESGO
Valorar los riesgos facilita la toma de decisiones, basada en los resultados de dicho análisis, sobre los riesgos que
necesitan tratamiento y la prioridad para la implementación de dicho tratamiento.
34 ISOSGR
2.- ANALIZAR Y VALORAR EL RIESGO
Probabilidad: Se emplea como una descripción cualitativa de la probabilidad o frecuencia (Tasa de ocurrencia del
evento).
35 ISOSGR
2.- ANALIZAR Y VALORAR EL RIESGO
MODERADAMENTE
esa capacidad potencial de afectar el logro del objetivo. Por
GRAVE 9
tanto, estos riesgos requieren una atención de alta prioridad
POCO S = 1
MUY S = 3
para buscar disminuir en forma inmediata su calificación.
S=2
Se requiere desarrollar acciones prioritarias a corto plazo para
IMPORTANTE su gestión, debido al alto impacto que tendrían sobre el logro 6
del objetivo.
MUY P = 3 9 6 3
PROBABILIDAD “P”
36 ISOSGR
3.- TRATAMIENTO DEL RIESGO
Evitar el riesgo
1 Renunciar a la actividad que se ve afectada por el riesgo.
Aceptar el riesgo
Para aprovechar una oportunidad): Algunas situaciones de incertidumbre
2 pueden ayudar a conseguir resultados,o es menos impactante que tratar el
La organización debe riesgo. Ej.: Inversiones financieras
implementar según los 3 Evitar que se produzca la causa que da lugar al efecto no deseado.
resultados de la
Cambiar la probabilidad de ocurrencia o sus consecuencias: Tener la
valoración del riesgo 4 capacidad para interactuar con las circunstancias que puedan dar lugar a un
suceso incierto. Ejemplo: planes de contingencia.
Mantener el Riesgo:
37 ISOSGR
You can simply impress your audience and
add a unique zing and appeal to your
Presentations. Easy to change colors,
photos and Text. Get a modern
PowerPoint Presentation that is beautifully
designed. You can simply impress your
audience and add a unique zing and
appeal to your Presentations. Easy to
change colors, photos and Text. Get a
modern PowerPoint Presentation that is
beautifully designed.
Modern
Portfolio
Presentation
You can simply impress your audience and
add a unique zing and appeal to your
Presentations. Easy to change colors,
photos and Text. Get a modern
PowerPoint Presentation that is beautifully
designed. You can simply impress your
audience and add a unique zing and
appeal to your Presentations. Easy to
change colors, photos and Text. Get a
modern PowerPoint Presentation that is
beautifully designed.
Modern
Portfolio
Presentation
ESTRATEGIA DE TRATAMIENTO DE
RIESGOS
1 2 3
La única forma en la que se puede evitar un Dentro de esta estrategia existen dos enfoques. El primero A veces, existen riesgos que pueden asumirse
riesgo es parando o no iniciando la actividad consiste en modificar la probabilidad o las consecuencias e incluso, aumentarse con la finalidad de
que lo genera. Normalmente, esta estrategia del riesgo cuando este es inevitable para la empresa y la encontrar nuevas oportunidades de negocio.
de tratamiento de riesgos se selecciona actividad se debe llevar a cabo. Se puede realizar mediante Por ejemplo, cuando un riesgo es muy
cuando el riesgo tiene un impacto negativo el uso de modelos predictivos gracias a las técnicas de frecuente, pero no llega a comprometer un
muy grande para la organización. En este Machine Learning . objetivo empresarial, se puede aceptar y
caso, una de las opciones es buscar una controlar, para ver su evolución.
actividad o tarea alternativa que suponga un Cuando se tienen detectadas las causas, se podrán buscar
riesgo menor. formas de minimizar el riesgo como, por ejemplo, en una Según la ISO 31000:2018, hay una serie de
gran superficie es prácticamente imposible eliminar por criterios que sirven para considerar si un riesgo
completo los pequeños hurtos. Pero se puede minimizar el es aceptable o no:
riesgo mediante la instalación de cámaras de seguridad,
alarmas o vigilancia extra en las áreas donde suele ocurrir Que sea justificable económicamente.
más. Una vez analizadas las combinaciones de
tratamiento del riesgo, se debe determinar cuál
El segundo enfoque consiste en compartir el riesgo. es la mejor.
Normalmente, esta estrategia incluye la compra de seguros Se deben considerar los valores, percepciones
o la firma de contratos. Antes de tomar esta decisión, es y potencial de implicación de las partes
importante analizar el coste que tendrá y si es asumible interesadas.
para la organización. Es necesario que la empresa sea consciente de
las consecuencias no intencionadas que
puedan surgir a lo largo del tiempo.
TRATAMIENTO
DEL RIESGO
Una vez analizado y cuantificado los riesgos, así como el impacto que tienen en su
plan de negocio el emprendedor debe analizar cual es el nivel de oportunidad en
caso de asumir el riesgo.
Para elegir la estrategia más correcta con la que hacer frente al riesgo en cada caso concreto, se debe analizar, de un lado, el coste para el
emprendedor de cada una de las diferentes medidas que podríamos adoptar de forma efectiva; de otro lado, debe evaluar y cuantificar las
posibles pérdidas que derivarían de la no adopción de medidas contra el riesgo. Al comparar los resultados, podremos saber si debemos
actuar o no ante el riesgo, y en caso de decidir actuar, cual será la medida más adecuada.
El tratamiento del riesgo debe ser el más apropiado de acuerdo a su importancia y relevancia en la actividad de la empresa. En una primera
aproximación, podemos mencionar:
Los riesgos de bajo nivel, pueden ser aceptados por el emprendedor, pudiendo no ser necesaria una acción adicional, aunque se requiera su
control y seguimiento.
Los riesgos de nivel significativo deben ser tratados y controlados siempre, y su aceptación o no, responderá a la estrategia de la compañía y
al la oportunidad que el riesgo pueda generar.
Los niveles altos de riesgo requerirán de una cuidadosa administración y gestión, así como de la preparación de planes específicos para
administrar y corregir posibles consecuencias.
42
RIESGOS DE NO IDENTIFICAR
43
CONSECUENCIAS
44 ISOSGR
CONSECUENCIAS DE MALA GESTION
Situaciones irreales
45 ISOSGR
Caso de Estudio
Fracaso 1: Sistema automático de manipulación de equipaje del Aeropuerto Internacional de Denver
¿Quién fracasó? El Aeropuerto Internacional de Denver, conocido como DIA por sus siglas en inglés, el mayor en extensión de
los Estados Unidos y el sexto en tráfico de pasajeros.
¿Qué intentaban conseguir? En 1991 el aeropuerto hizo un intento por remodelar y actualizar su penoso y lento sistema de
facturación y traslado de equipaje. La idea consistía en colocar etiquetas de códigos de barras en cada maleta para que fueran
transferidas en transportadores con carretillas automáticas (DVC, por sus siglas en inglés). Este sistema automatizaría el traslado
de equipaje, integraría a las tres terminales y reduciría de forma notable el tiempo de asistencia en tierra de los aviones.
¿Por qué fracasaron? Sabemos que las cinco variables principales a las que se enfrentan todos los gestores de proyectos son:
alcance, tiempo, coste, calidad y riesgo. Si tuviéramos que calificarlas en cinco casillas, el AID obtendría una enorme cruz roja en
cada una de ellas. Cuando el aeropuerto encargó a la empresa BAE Systems el desarrollo del sistema automatizado de
manipulación de equipaje, pasaron completamente por alto los calendarios de entrega de BAE y se aferraron tozudamente a su
irreal previsión de 2 años. El proyecto no estuvo a la altura de lo esperado y la dirección asumió una cantidad innecesaria de
riesgos. Puede que la decisión que más les perjudicase fuera la de no incluir a las aerolíneas en las conversaciones de
planificación. Al omitir a estos actores clave no se diseñaron adecuadamente, si es que se llegaron a diseñar, medios adecuados
con los que manipular el equipaje de grandes dimensiones, soportes para equipamiento deportivo/de esquí y pistas de
mantenimiento separadas. Hubo que rehacer gran parte de trabajos «completados», la apertura del aeropuerto se demoró 16
meses y se incurrieron en pérdidas de aproximadamente 2.000 millones de dólares. El proyecto en su conjunto fue descartado en
2005.
46 ISOSGR
Caso de Estudio
Fracaso 2: El proyecto informático civil del Servicio Nacional de Salud del Reino Unido
¿Quién fracasó? El Servicio Nacional de Salud, (NHS, por sus siglas en inglés), el sistema de sanidad público de Inglaterra, el mayor y más
antiguo del mundo.
El proyecto pretendía revolucionar el modo en que se utiliza la tecnología en el sector sanitario allanando el camino para los historiales
electrónicos, el escaneado digital y los sistemas informáticos integrados en hospitales y centros de atención comunitaria. Hubiese sido el mayor
sistema informático civil del mundo.
Si se tuviera que subrayar el mayor fracaso del proyecto, sería necesario mucho bolígrafo rojo. Hubo discusiones contractuales desde el
principio, con constantes cambios de especificaciones, disputas con proveedores y problemas técnicos omnipresentes durante toda la
condenada existencia del proyecto.
A las irrealistas previsiones, tanto de tiempo como de costes, se sumaron un inadecuado estudio preliminar, la inexistencia de revisiones de
progreso y una clara falta de liderazgo. El proyecto ha sido calificado como «el mayor fracaso informático jamás visto» y «una escandalosa
pérdida de dinero de los contribuyentes». Los cálculos del daño infligido a los británicos fluctúan, si bien se puede decir que rondan
precariamente en torno a los 10.000 millones de libras. Mientras el tiempo aclara cómo un proyecto netamente de carácter político iba alguna vez
a poder satisfacer las necesidades locales de las áreas del Servicio Nacional de Salud, resta por ver si el ambicioso proyecto recibirá una
segunda oportunidad.
47 ISOSGR
PREGUNTAS
48 ISOSGR
Infographic
Style
Get a modern PowerPoint Presentation that is beautifully designed.
I hope and I believe that this Template will your Time.
Modern PowerPoint