NORMA INTERNACIONAL ISO 31000 - 2018 Resumen elaborado por: Dr. Fernando Vera Smith Norma Internacional ISO 31000-2018
Views 149 Downloads 4 File size 652KB
NORMA INTERNACIONAL ISO 31000 - 2018 Resumen elaborado por: Dr. Fernando Vera Smith
Norma Internacional ISO 31000-2018 Gestión de Riesgos - Lineamientos ❖
No son requisitos de carácter obligatorio, sino voluntario
❖
Se trata de recomendaciones estructuradas en : ❑
Principios para la gestión de riesgos
❑
Marco de gestión de riesgos
❑
Proceso de gestión de riesgos
❑
Sustituye a la ISO 31000-2009
Norma Internacional ISO 31000-2018 Gestión de Riesgos Alcance ❖
Provee principios y guías de carácter genérico
❖
Se utiliza en cualquier tipo de organización
❖
Es aplicable a cualquier área, nivel, función, proyecto o actividad.
No intenta promover uniformidad
Norma Internacional ISO 31000-2018 Gestión de Riesgos Motivación ¿Por qué utilizar la norma? ❖
Incrementa la probabilidad de cumplir los objetivos.
❖
Identifica oportunidades y amenazas del entorno
❖
Mejora la resiliencia global de la organización
❖
Mejora la eficiencia operacional
❖
Impulsa al personal a identificar y tratar el riesgo
❖
Mejora los controles de gestión de riesgos
❖
Coadyuva a cumplir las exigencias legales y reglamentarias
Norma Internacional ISO 31000 Gestión de Riesgos - Motivación ¿Por qué utilizar la norma? ❑
Mejora la gobernanza
❑
Establece una base para la planeación y toma de decisiones
❑
Mejora la prevención de pérdidas
❑
Incrementa la confianza de las partes interesadas
❑
Fortalece el aprendizaje organizacional
❑
Mejora los reportes de información
❑
Coadyuva a cumplir las normas y estándares internacionales
2. Referencias Normativas 2.1 Riesgo ❖
Se mide de forma objetiva o subjetiva, cualitativa o cuantitativamente
❖
Se describe utilizando términos generales o matemáticas (como probabilidad o frecuencia durante un tiempo determinado)
2. Referencias Normativas 2.4 Política de riesgo ❖
Declaración del compromiso, intenciones y orientación de la organización respecto a la gestión del riesgo
2. Referencias Normativas 2.5 Actitud ante el riesgo ❖
Se refiere al enfoque de la organización para evaluar y eventualmente dar seguimiento, mantener, adoptar o evadir el riesgo.
2. Referencias Normativas 2.6 Plan de gestión de riesgos ❖
Especifica el enfoque, componentes (procedimientos, prácticas, responsabilidades, actividades (secuencia y calendario) y recursos que se aplicarán a la gestión de riesgos, conforme al marco general
2. Referencias Normativas 2.7 Propietario del riesgo ❖
Persona o unidad responsable con autoridad para manejar el riesgo
2. Referencias Normativas 2.8 Proceso de gestión de riesgos ❖
Aplicación sistemática de políticas de gestión, procedimientos y prácticas para las actividades de comunicación, consulta, determinación del contexto, e identificación, análisis, evaluación, tratamiento, monitoreo, informe y revisión del riesgo
2. Referencias Normativas 2.9 Determinación del contexto ❖
Definición de parámetros externos e internos que deban considerarse al gestionar el riesgo y establecimiento de alcance y criterios para definir la política de gestión de riesgos
2. Referencias Normativas 2.10 Contexto externo
Económico Político Social Jurídico Cultural Tecnológico
Tendencias: Internaciona l Nacional Regional Local
Relación con las partes interesadas
2. Referencias Normativas 2.10 Contexto interno
Estructura Políticas Objetivos Funciones Recursos Cultura
Clima organizacional
Relación con las partes interesadas
3. Definiciones 3.1. Definición de Riesgo ❖
Efecto de la incertidumbre sobre los objetivos de la organización-
❖
Efecto: desviación positiva o negativa respecto lo que se espera que suceda
❖
Entonces, riesgo es la posibilidad de que haya una desviación positiva o negativa respecto del objetivo que se espera lograr
3. Definiciones 3.1. Definición de Riesgo ❖
Es posible reducir la incertidumbre y manejar el riesgo, utilizando un enfoque sistemático de gestión de riesgos.
❖
El enfoque tradicional combina tres elementos: ❖
evento potencial
❖
probabilidad
❖
severidad
Un evento de alto riesgo es el que tiene una alta probabilidad de ocurrir y un severo impacto en caso de que ocurra
3. Definiciones 3.2 Gestión del riesgo ❖
Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo
4. Principios Objetivo de la gestión y de los principios de riesgos Objetivo de la gestión de riesgos: ❖
Creación y protección de valor. Mejorar el desempeño, promover la innovación y contribuir a lograr los objetivos
Objetivo de los principios: ❖
Orientar sobre las características que debe tener una gestión de riesgos efectiva y eficiente, comunicando su valor y explicando su intención o propósito.
4. Principios Integrada 1.
Es parte integral de las actividades de la organización, no es una actividad aislada; es parte de las responsabilidades de la administración
Estructurada y comprehensiva 2.
Un enfoque estructurado y exhaustivo hacia la gestión de riesgo contribuye a obtener resultados consistentes y comparables
4. Principios Diseñada a la medida. 3.
El marco de referencia y el proceso de la gestión de riesgos se adaptan y son proporcionales a los contextos externo e interno de la organización relacionados con sus objetivos
Inclusiva 4.
El involucramiento apropiado y oportuno de las partes interesadas permite que sean considerados sus conocimientos, puntos de vista y percepciones.
4. Principios Dinámica 5.
Los riesgos pueden aparecer, cambiar o desaparecer con los cambios de los contextos interno y externo. La gestión de riesgos anticipa, detecta, reconoce y responde a tales cambios y eventos en forma apropiada y oportuna
Mejor información disponible 6.
Se basa en información histórica y actualizada, así como expectativas del futuro. Toma en cuenta limitaciones e incertidumbre asociada. La información debe ser oportuna, clara y disponible para las partes interesadas importantes.
4. Principios Factores humanos y culturales 7.
El comportamiento humano y cultural influye de manera significativa en todos los niveles y etapas
Mejora continua 8.
La gestión de riesgos mejora continuamente a través del aprendizaje y experiencia
5. Marco de gestión de riesgos Generalidades ❖
El éxito de la gestión dependerá de su integración en la gobernanza, incluyendo la toma de decisiones. Esto requiere respaldo de las partes interesadas, especialmente de la alta dirección.
❖
El propósito del marco es apoyar a la organización en la integración de la gestión de riesgos en las funciones y actividades relevantes
5. Marco de gestión de riesgos
Componentes ❖
Componentes : ❖
integración
❖
diseño
❖
implementación
❖
evaluación
❖
mejora
5. Marco de gestión de riesgos 5.2 Liderazgo y compromiso ❖
La Alta Dirección debe asegurarse que la gestión de riesgos se encuentre integrada en todas las funciones y actividades de la organización
❖
También debe demostrar liderazgo y compromiso mediante: ❖
Adecuar e implementar los componentes del marco de gestión
❖
Declarar formalmente una política que establezca la gestión de riesgos, planes y cursos de acción.
❖
Asegurar la asignación de recursos
❖
Designar a los responsables de la gestión
5. Marco de gestión de riesgos 5.2 Liderazgo y compromiso Ayuda a la organización de la siguiente manera: ❖
Alinear la gestión de riesgos con sus objetivos, estrategia y cultura
❖
Reconocer y orientar todas las obligaciones, así como sus compromisos voluntarios
❖
Establecer la cantidad y tipo de riesgos que pueden o no ser considerados para guiar el desarrollo de los criterios del riesgo,, asegurando que son comunicados a la organización y sus partes interesadas
❖
Comunicar el valor de la gestión de riesgos a la organización y sus partes interesadas
❖
Promover el monitoreo sistemático de riesgos
❖
Asegurar que el marco de gestión de riesgos permanece apropiado al contexto de la organización
5. Marco de gestión de riesgos 5.2 Liderazgo y compromiso La Alta Dirección es responsable de la gestión de riesgos, en tanto que los cuerpos supervisores del monitoreo realizan las tareas siguientes: ❖
Asegurar que los riesgos sean considerados desde el establecimiento de los objetivos de la organización
❖
Comprender los riesgos que enfrenta la organización para la consecución de los objetivos de la misma
❖
Asegurar que hayan sido implementados y operen de manera efectiva los sistemas para administrar los riesgos
❖
Asegurar que la información sobre administración de riesgos sea comunicada
5. Marco de gestión de riesgos 5.3 Integración ❖
Se apoya en el entendimiento de la estructura y contexto organizacional
❖
La estructura depende del propósito, metas y complejidad de cada organización
❖
El riesgo es administrado en cada parte de la organización y todos tienen responsabilidad en ello
5. Marco de gestión de riesgos 5.3 Integración ❖
La gobernanza o alta dirección orienta el curso de la organización, sus relaciones internas y externas, normas, procesos y prácticas necesarias para alcanzar los objetivos.
❖
Las estructuras organizacionales convierten esa orientación en estrategias y objetivos para lograr altos niveles del desempeño y viabilidad a largo plazo
❖
La determinación de riesgos y supervisión son parte integral del proceso directivo
❖
La integración de la gestión de riesgos en una organización es un proceso dinámico e interactivo y debe adecuarse a las necesidades y cultura de la misma.
❖
La gestión de riesgos debe ser parte y no estar separada de: el propósito organizacional, gobernanza,
5. Marco de gestión de riesgos 5.4 Diseño ❖
Al diseñar el marco de gestión de riesgos, la organización debe examinar y comprender su contexto externo e interno
5. Marco de gestión de riesgos 5.4.1 Determinación del contexto externo ❖
Comprende factores de carácter social, cultural, político, legal, regulatorio, financiero, tecnológico, económico y ambiental, tanto internacionales, nacionales, regionales y locales
❖
Elementos clave y tendencias que afecten los objetivos
❖
Relaciones, percepciones, valores, necesidades y expectativas de las partes interesadas externas
❖
Relaciones contractuales y compromisos externos
❖
Redes externas
5. Marco de gestión de riesgos 5.4.1 Determinación del contexto interno ❖
Visión, misión y valores
❖
Gobernanza, estructura organizacional, roles y responsabilidades
❖
Estrategia, objetivos y políticas
❖
Cultura de la organización
❖
Estándares, lineamientos y modelos adoptados
5. Marco de gestión de riesgos 5.4.1 Determinación del contexto interno
❖
Capacidades, en términos de recursos, capital, personal, propiedad intelectual, procesos, sistemas, tecnología
❖
Sistemas de información
❖
Relaciones contractuales y compromisos internos
❖
Redes e interconexiones internas
5. Marco de gestión de riesgos 5.4.2 Compromiso de la gestión de riesgos El compromiso incluye: ❖
Propósito de la gestión de riesgos y vinculación con sus objetivos y políticas
❖
Necesidad de integrar la gestión de riesgos en la cultura
❖
Liderar la integración de la gestión de riesgos al centro de las actividades del negocio y la toma de decisiones
❖
Autoridades, responsabilidades
5. Marco de gestión de riesgos 5.4.2 Compromiso de la gestión de riesgos ❖
Disponibilidad de recursos
❖
Manera de manejar los objetivos en conflicto
❖
Medición e informe en el sistema de indicadores del desempeño
5. Marco de gestión de riesgos 5.4.3 Asignación de responsabilidades ❖
Asegurar que los roles relevantes sean asignados y comunicados en todos los niveles organizacionales
❖
Deben: ❖
Enfatizar la gestión de riesgos como una responsabilidad fundamental
❖
Identificar los individuos que sean confiables y tengan la autoridad para administrar el riesgo (dueños del proceso)
5. Marco de gestión de riesgos 5.4.4 Asignación de recursos Comprende: ❖
Personas, habilidades, experiencia, competencia
❖
Procesos de la organización, métodos y herramientas
❖
Procesos y procedimientos documentados
❖
Información y sistemas de gestión del conocimiento
❖
Desarrollo profesional y entrenamiento
5. Marco de gestión de riesgos 5.4.5 Comunicación y consulta ❖
Comunicación implica compartir información con diversos públicos seleccionados
❖
Consulta implica que los participantes retroalimenten a la organización con sus expectativas, lo que permite la mejor toma de decisiones
❖
Ambas acciones deben ser oportunas y asegurar que su información sea relevante, resumida y apropiada
5. Marco de gestión de riesgos 5.5 Implementación ❖
Una implementación exitosa requiere del compromiso de las partes interesadas
❖
Implica desarrollar un plan de gestión de riesgos en todos los niveles y funciones relevantes de la organización, incluyendo tiempo y recursos, e identificando dónde, cuándo, y cómo se toman las diferentes tipos de decisiones y por quién.
5. Marco de gestión de riesgos 5.6 Evaluación Para evaluar el marco de gestión de riesgos, la organización debe: ❖
Medir su desempeño contra su propósito, implementación, planes, indicadores y comportamiento esperado
❖
Determinar si continúa siendo viable para dar soporte a la consecución de los objetivos establecidos
5. Marco de gestión de riesgos 5.7 Mejora 5.7.1 Adaptación ❖
Monitorear de manera continua y adaptar el marco de gestión de riesgos
❖
De esa manera, la organización aumenta su valor
5.7.2 Mejora continua ❖
Mejorar de manera continua la efectividad del marco de gestión de riesgos
6. Proceso general de gestión de riesgos ❖
Implica: ❖
Ser parte integral de la gestión y toma de decisiones
❖
Estar integrado en la estructura, operaciones y procesos de la organización
❖
Estar arraigado en la cultura organizacional
❖
Establecimiento del contexto y evaluación
❖
Tratamiento, monitoreo, revisión, registro y reporte
6.4 Evaluación de riesgos 6.4.1 Proceso general Identificación, análisis y evaluación de riesgos ❖
Debe conducirse sistemática, interactiva y colaborativamente, considerando los puntos de vista de las partes interesadas.
❖
Debe utilizar la mejor información disponible y agregar los suplementos necesarios
6.4 Evaluación de riesgos 6.4.2 Identificación de riesgos ❖
Pretende detectar, reconocer y describir riesgos, lo que puede ayudar a prevenir sucesos en una organización, a fin de lograr sus objetivos
❖
Es importante contar con información relevante, apropiada y actualizada
❖
Considera causas y consecuencias relevantes
❖
Aplica diversas herramientas para identificar riesgos
6.4 Evaluación de riesgos 6.4.2 Identificación de riesgos ❖
Fuentes de riesgos (tangibles e intangibles)
❖
Causas y eventos
❖
Amenazas y oportunidades
❖
Vulnerabilidades y capacidades
❖
Cambios en el contexto interno y externo
6.4 Evaluación de riesgos 6.4.2 Identificación de riesgos ❖
Naturaleza y valor de los activos y recursos
❖
Consecuencias e impacto en los objetivos
❖
Elaboración de lista completa de riesgos
❖
Limitaciones de conocimientos y confiabilidad de la información
❖
Factores relacionados con el tiempo
6.4 Evaluación de riesgos 6.4.3 Análisis de riesgos ❖
Su propósito es comprender la naturaleza del riesgo y sus características, incluyendo niveles de riesgo
❖
Implica consideraciones sobre la incertidumbre, fuentes de riesgos, consecuencias, probabilidades, eventos, escenarios, controles y su efectividad
❖
Un evento puede tener múltiples causas y consecuencias y puede afectar a varios objetivos
6.4 Evaluación de riesgos 6.4.3 Análisis de riesgos ❖
Implica la comprensión de los riesgos y contempla: ❖
Probabilidad de riesgos y consecuencias
❖
Naturaleza y magnitud de sus consecuencias
❖
Complejidad y conectividad
❖
Factores relacionados con el tiempo y la volatilidad
❖
Efectividad de los controles
❖
Sensibilidad y niveles de confianza
6.4 Evaluación de riesgos 6.4.3 Análisis de riesgos Tipos de análisis ❖
Cuantitativos
❖
Cualitativos
❖
Semi-cuantitativos
❖
Combinación de ellos
6.4 Evaluación de riesgos 6.4.4 Evaluación de riesgos ❖
Apoya en la toma de decisiones para el tratamiento de riesgos y prioridad en su aplicación
❖
Supone la comparación del nivel de riesgo identificado con los criterios de riesgo.
❖
Basado en esta comparación se determina alguna opción: ❑
No hacer nada
❑
Considerar un tratamiento
❑
Profundizar el análisis
❑
Mantener los controles
❑
Reconsiderar objetivos
6.5 Tratamiento de riesgos 6.5.1 General ❖
Consiste en la selección de alguna de las opciones para modificar el riesgo y controles establecidos, equilibrando costos y esfuerzos para su aplicación
❖
Implica un proceso iteractivo que comprende: ❑
Formulación y selección de opciones de tratamiento de riesgos
❑
Planeación e implementación del tratamiento de riesgos
❑
Evaluación del tratamiento de riesgos
❑
Decisión sobre la conveniencia de mantener un riesgo
❑
De no ser aceptable, pensar otra posibilidad
6.5 Tratamiento de riesgos 6.5.2 Selección de opciones de tratamiento de riesgos ❖
Las opciones pueden incluir: ❖
Evitar el riesgo
❖
Tomar o aumentar el riego (persiguiendo una oportunidad)
❖
Eliminar la fuente
❖
Modificar la probabilidad
❖
Cambiar las consecuencias
❖
Compartir el riesgo con otra parte o partes
❖
Retener el riesgo
6.5 Tratamiento de riesgos 6.5.3 Plan de tratamiento de riesgos ❖
Debe incluir: ❖
Las razones para seleccionar la opción de tratamiento, y los beneficios esperados
❖
Nombre y firma de los responsables de la aprobación y ejecución del Plan
❖
Acciones propuestas
❖
Necesidades de recursos
❖
Medidas de rendimiento
❖
Restricciones o limitaciones
❖
Presentación de informes y requisitos de control
6.6 Monitoreo y revisión El propósito de este control es asegurar y mejorar la calidad y efectividad del proceso, diseño, implementación, salidas o productos. Debe: ❖
Ser parte del proceso de gestión
❖
Con responsabilidades claramente definidas
❖
Abarcar todos los aspectos de la gestión
❖
Contemplar la planeación, recolección, análisis de información, registro de resultados y retroalimentación
❖
GRACIAS POR SU ATENCIÓN