• No se han encontrado resultados

Gestión de riesgos para sistemas integrados de gestión ISO

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "Gestión de riesgos para sistemas integrados de gestión ISO"

Copied!
39
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 39 página )

Texto completo

(1)
(2)

Gestión de riesgos para

sistemas integrados de

(3)

Agenda

1. Introducción.

2. Caso de estudio (Ansiedad, visión reducida...) 3. Algunos tipos de riesgo.

4. Conceptos ISO 31000:2009.

5. ¿ es el riesgo?

6. Diferentes modelos de riesgos – estructuras semejantes. 7. Enfoques para los modelos de riesgo.

8. ¿Cómo ISO 31000:2009, ayuda para llevar a cabo la gestión de riesgos?

(4)

Introducción

“Todas las actividades de una organización

implican riesgos. Las organizaciones gestionan el riesgo identificándolo, analizándolo y evaluando

después si el riesgo se debería modificar mediante un tratamiento que satisfaga sus

criterios de riesgo”

(5)

Introducción (cont.)

“A lo largo de todo este proceso, las

organizaciones comunican y consultan a las partes interesadas y realizan seguimiento y

revisan el riesgo y los controles que lo modifican para asegurar que no es necesario un

(6)

Introducción (cont.)

“La introducción de la gestión del riesgo y el aseguramiento de su eficacia continua requieren

un compromiso fuerte y sostenido de la dirección de la organización, así como el

establecimiento de una planificación estratégica y rigurosa para conseguir el compromiso a todos

los niveles ...”

(7)
(8)

Ansiedad, visión reducida...

“La investigación alemana de la tragedia aérea de los Alpes, en la que murieron hace una semana 150 personas, trabaja con la hipótesis

de que Andreas Lubitz estrelló el avión

desesperado ante la posibilidad de perder su licencia de piloto debido a sus problemas

(9)

Algunos tipos de riesgo

• Riesgo tecnológico. • Riesgo operacional • Riesgo crediticio. • Riesgo legal. • Riesgo de mercado. • Riesgo de liquidez. • Riesgo de cumplimiento.

• No satisfacer los requisitos del cliente. • Peligros ambientales.

(10)

¡Pretextos para no gestionar

riesgos!

• Nunca ha pasado nada. • Hay suficientes controles.

• Si ocurre algo, lo tendremos que corregir. • No vemos la aportación al negocio.

• Aceptamos que es común que fallen los sistemas tecnológicos.

• Si pensamos en todo lo malo, no hacemos nada

• Nuestro enfoque es en alcanzar las metas, no en riesgos. • !No hay tiempo para evaluar los riesgos!

• No tenemos los procesos definidos.

(11)

Conceptos de la norma ISO

31000:2009

(12)

Conceptos ISO 31000:2009

“Mientras todas las organizaciones gestionan el riesgo a diferentes niveles, esta norma

internacional establece un conjunto de

principios que se deben satisfacer para que la gestión del riesgo sea eficaz”

(13)

Conceptos ISO 31000:2009 (cont.)

“La norma recomienda que las organizaciones desarrollen, implementen y mejoren de manera

continuada un marco de trabajo cuyo objetivo sea integrar el proceso de gestión del riesgo en

los procesos de gobierno, de estrategia y de planificación, de gestión, y de elaboración de informes, así como en las políticas, los valores y

(14)

Objeto y campo de aplicación

• “Esta norma internacional proporciona los principios y las directrices genéricas sobre la gestión del riesgo.

• Puede utilizarse por cualquier empresa pública, privada o social, asociación, grupo o individuo. Por tanto, no es específica de una industria o sector concreto.”

(15)

Partes interesadas

a) “Responsables de desarrollar la política de gestión del riesgo dentro de su organización;

b) Encargados de asegurar que el riesgo se gestiona de manera eficaz dentro de la organización, considerada en su totalidad o en un área, un proyecto o una

actividad específicos;

c) Los que necesitan evaluar la eficacia de una

organización en materia de gestión del riesgo; y

d) Los que desarrollan normas, guías, procedimientos y códigos de buenas practicas que, en su totalidad o en parte, establecen cómo se debe tratar el riesgo dentro

(16)

es el riesgo?

“Efecto de la incertidumbre sobre la consecución de los objetivos”

ISO 31000:2009

1. Incertidumbre (es posible su ocurrencia).

2. El riesgo importa y debe gestionarse porque tiene un efecto (positivo y/o negativo).

(17)

Relaciones de cláusulas ISO 31000

a) Crear valor.

b) Es parte integral de los procesos de la organización. c) Es parte de la toma de decisiones. d) Abordar explícitamente la incertidumbre. e) Es sistemática, estructurada y oportuna. f) Se basa en la mejor información disponible. g) Esta adaptado.

h) Toma en consideración a los factores humanos y culturales. i) Es transparente e inclusiva. j) Es dinámica, reiterativa y Comando y compromiso (4.2)

Diseño del marco de referencia para la gestión del riesgo

(4.3)

Implementación de la gestión del riesgo

(4.4)

Monitoreo y revisión Mejora continua del

marco de referencia (4.6)

Valoración del riesgo (5.4)

Identificación del riesgo (5.4.2)

Análisis del riesgo (5.4.3)

Evaluación del riesgo (5.4.4) Tratamiento del riesgo

(5.5)

Establecimiento del contexto (5.3) Co m u n icac ió n y co n sul ta (5 .2) M o nit o re o y re visi ó n (5 .6 )

(18)

Principios de la Gestión de Riesgos

a. Crea y protege el valor,

b. Es una parte integral de todos los procesos de la organización, c. Es parte de la toma de decisiones,

d. Trata explícitamente la incertidumbre, e. Es sistemática, estructurada y oportuna, f. Se basa en la mejor información disponible, g. Se adapta a la realidad de la organización, h. Integra los factores humanos y culturales, i. Es transparente y participativa,

(19)

Estructura de la gestión de riesgos

Mandato y compromiso (4.2)

Diseño del marco de trabajo de la gestión del riesgo (4.3)

Compromiso de la organización y de su contexto (4.3.1)

Establecimiento de la política de la política de gestión del riesgo (4.3.2) Obligación de rendir cuentas (4.3.3)

Integración en los procesos de la organización (4.3.4) Recursos (4.3.5)

Establecimiento de los mecanismos internos de comunicación y de información (4.3.6) Establecimiento de los mexicanos externos do comunicación y de información (4.3.7)

Mejora continua del marco de trabajo (4.6)

Implementación del proceso de gestión del riesgo (4.4)

Implementación del marco de trabajo de la gestión del riesgo (4.4.1) Implementación del proceso de gestión del riesgo (4.4.2)

(20)

ISO 31000 Anexo A (Informativo)

Atributos de una gestión de riesgos optimizada

• A.3.1 Mejora continua,

• A.3.2 Responsabilidad completa de los riesgos, • A.3.3 Aplicación de la gestión del riesgo en

todas las tomas de decisiones, • A.3.4 Comunicación continua,

• A.3.5 Integración completa en la estructura de gobierno de la organización.

(21)

Normas Complementarias

a 73:2009

ISO 31010:2009

(22)

ISO GUIA 73:2009

• “...proporciona el vocabulario básico para desarrollar

una comprensión de los conceptos y términos que se utilizan en la gestión del riesgo que son comunes a diferentes organizaciones y funciones, ...”

• 3.6.1.7 matriz de riesgo:

Herramienta que permite clasificar y visualizar los riesgos (1.1), mediante la definición de categorías de consecuencias (3.6.1.3) y de su probabilidad (3.6.1.1).

(23)

ISO 31010:2009

Herramientas y técnicas 1.Tormenta de ideas. 2.Entrevistas estructurada s o semiestructuradas. 3.Delphi. 4.Lista de verificación.

5.Analista preliminar de peligros. 6.Estudios de peligros y de operatividad (HAZOP).

7.Análisis de peligro y puntos de control críticos (HACCP).

8.Apreciacion de riesgos ambientales.

Herramientas y técnicas

11.Analsis de impacto económico. 12.Analisis causa primordial.

13.Analisis de los modos de fallo y de los efectos.

14.Analisis de árbol de fallos. 15.Analisis de árbol de sucesos. 16.Analisis de causa consecuencia. 17.Analisis de causa efecto.

18.Analisis de capas de protección.

Herramientas y técnicas

21.Analisis de pajarita.

22.Mantenimiento centrado de fiabilidad.

23.Analisis de circuito de fuga. 24.Analisis Markov.

25.Simulacion Mote-Carlo. 26.Estadisticas Bayesian y redes Bayes.

27.Curba Fn.

(24)

Gestión de riesgos como requisito

de diferentes normas ISO…

(25)

ISO 9001, ISO 20000-1 ISO 22301, ISO 27001...

“La gestión del riesgo contribuye de manera tangible al logro de los objetivos y a la mejora del desempeño, por ejemplo, en lo referente a la

salud y seguridad de las personas, a la

conformidad con los requisitos legales y

reglamentos, a la aceptación por el público, a la

protección ambiental, a la calidad del producto,

(26)

ISO 27000, 9000 y el riesgo

• Acción preventiva: “acción tomada para eliminar la causa de una no conformidad

potencial u otra situación potencialmente

inestable”

• No conformidad: “Es el incumplimiento de un requisito”

(27)

Gestión de riesgos como requisito

de diferentes normas ISO…

(28)

Dirección (Alta Gerencia)

1. Tiene responsabilidad dentro del buen gobierno de buscar el logro de los objetivos de la empresa.

2. Puede demostrar su debida diligencia.

3. Le ayuda a invertir los recursos en forma ordenada.

4. Le expuesto

(incluso hoy)

Esto se traduce en: mensajes claros, coherentes y continuos a toda la

(29)

El propietario del proceso

• Saber: Conocer en profundidad el proceso que lidera, sus objetivos y riesgos.

• Poder: Debe tener capacidad para la toma de decisiones y

mejorar el proceso, en función del grado de

responsabilidad delegada a cada uno.

• Querer: Debe entender el valor de gestionar los riesgos y asumir voluntariamente su responsabilidad contribuyendo así al logro de los objetivos estratégicos de la organización.

¿La descripción de puesto gerencial incluye la tarea de gestionar sus riesgos?

(30)

Actividades del análisis y gestión del riesgo

Comunicación y consulta

(5.2)

Identificación del riesgo (5.4.2)

Análisis del riesgo (5.4.3)

Evaluación del riesgo (5.4.4)

Tratamiento del riesgo (5.5) Establecimiento del contexto (5.3) Seguimiento y revisión (5.6)

(31)

Definiendo las prioridades

10 9 8 7 6 5 4 3 2 1 1 2 3 4 5 6 7 8 9 10 Int e n sidad d e l d o

(32)

¿Cómo podemos evaluar los riesgos tecnológicos?

Conocimiento del entorno (Infraestructura Tecnológica)

Inventario de Activos

Valoración de

Activos Amenazas Vulnerabilidades

Identificación de Riesgos

Estrategia para la Gestión de Riesgos

Riesgos Posibilidad de Ccurrencia Impacto Cualitativo

Asumir los riesgos Transferir los riesgos Definición de medidas y

(33)
(34)
(35)
(36)

Enfoques para los modelos

de riesgo

No. Modelo Enfoque Impactos

1 ISO 31000 Todo el negocio. Depende de la técnica que se

emplee para la identificación basado en 31010, sin embargo su enfoque es principalmente el negocio. 2 ISO 27005 Seguridad de la información. Hacia la confidencialidad, integridad y disponibilidad de la información.

3 COBIT para riesgos Todo el negocio. Pueden asociarse a las

dimensiones del BSC (Control de Mando Integral) Financiera,

Cliente, Interna, Aprendizaje y Crecimiento y sus objetivos de

(37)

debemos hacer con

ellos?

(38)

EMTA

• EVITAR. No proseguir con la actividad riesgosa (!No

siempre es posible!)

• MITIGAR. Tomar medidas tendientes a reducir la probabilidad de ocurrencia y/o impacto, (No siempre implica costos financieros adicionales, incluso puede ahorrar dinero).

• TRANSFERIR. Que otra parte soporte parte del riesgo (Pensar en que nuevos riesgos ocasiona este cambio).

(39)

Preguntas

Daniel Gómez Ordóñez

Gerente de Normatividad Socio Director General CISA, CRISC, ITIL v3, ISO 27001 LA, LI ISO 20000 LA, LI CBCP, COBIT 5 Fundamentos

Referencias

Descargar ahora ( PDF - 39 página - 2.18 MB )

Documento similar