• Author / Uploaded
• Meinzul Meridam

Citation preview

ISO 31000:2009

Ponente: P t A Angell E Escorial i l Bonet– B t Riskia Ri ki Moderador: Mariano Blanco Gema – Chartis Madrid, Sede de AGERS 22 de Febrero de 2010

ÍNDICE • Antecedentes • Alcance • Términos y definiciones • Guía ISO 73:2009 Vocabulario • Principios • Estructura • Proceso • Relaciones entre los principios, principios estructura y proceso • Atributos para una mejor gestión de riesgos • ISO 31010:2009 Evaluación de riesgos

ANTECEDENTES Hasta la aprobación de la ISO 31000 hemos dispuesto de modelos ‘ad-hoc’ de uso específico para ciertas actividades: • • • •

COSO BASILEA SOLVENCIA UNE150008, …

así como algún otro modelo de carácter INTEGRAL de ‘Risk Management’ g entre los q que destacamos: • Modelo FERMA 2003 • la Norma Australiana-Neo Zelandesa AS/NZS 4360:2004

La ISO 31000:2009 se desarrolla en un documento de cinco cláusulas y un anexo y se complementa con: • Guía G í 73:2009 73 2009

V Vocabulario b l i

• ISO 31010:2009

Líneas directrices para la evaluación de riesgos

1 ALCANCE • Tiene como objetivo ayudar a las organizaciones de todo tipo y tamaño a gestionar sus riesgos con efectividad. • El nuevo ue o sstandard a da d ISO SO p proporciona opo c o a los os p principios, c p os, e el marco a co y un proceso destinado a gestionar cualquier tipo de riesgo en una manera transparente, sistemática y creíble dentro de cualquier alcance o contexto. • El standard recomienda q que las organizaciones g desarrollen,, implementen y mejoren en forma continua el marco de gestión de riesgos como un componente del sistema i integral l de d gestión ió de d la l organización. i ió • ISO 31000 es un documento p práctico q que busca ayudar y a las organizaciones en el desarrollo de su propia estrategia para gestionar sus riesgos, pero no es un estándar certificable.

1 ALCANCE ((2)) ISO 31000 está diseñada para ayudar a las organizaciones a: • • • • • • • • • • • • • • • •

Aumentar la probabilidad de lograr sus objetivos Fomentar la gestión proactiva S conscientes Ser i t de d lla necesidad id d d de id identificar tifi y ttratar t ell riesgo i en ttoda d lla organización i ió Mejorar la identificación de las oportunidades y amenazas Cumplir con las exigencias legales y reglamentarias y las normas internacionales Mejorar la información f ó financiera f Mejorar el gobierno de la organización Incrementar la confianza de los grupos de interés (‘stakeholders’) Establecer una base fiable para la toma de decisiones y planificación. Mejorar los controles Asignar y utilizar de manera efectiva los recursos para el tratamiento del riesgo Mejorar la eficacia y la eficiencia operacional. Aumentar la seguridad y salud así como la protección al medio ambiente Mejorar la prevención y la gestión de incidentes. Minimizar las pérdidas. Mejorar el aprendizaje y la ‘resiliencia’ de la organización

2 TÉRMINOS Y DEFINICIONES 2.1 Riesgo: efecto de la incertidumbre sobre los objetivos. 2.2 Gestión de riesgos: coordinación de actividades para dirigir y controlar una organización en relación con el riesgo. … La guía 73 es genérica y se compila para abarcar el ámbito de la gestión de riesgos ampliando esta cláusula 2: • Stakeholder: Persona u organización que puede afectar, ser afectada o percibir ser afectada por una decisión o actividad actividad. • Resiliencia: Capacidad de adaptación de una organización en un entorno complejo y cambiante. ‘resistencia, flexibilidad,…’

2 TÉRMINOS Y DEFINICIONES (2) ( ) Risk management Managing risks

Risk management refers to the architecture (principles, (p p , framework and p process)) for managing risks. Managing risks refers to architecture to particular risks.

Management du risque Gérer le risque

applying

that

Le management du risque se réfère a la structure (principe cadre organisationnel et processus) (principe, permettant de gérer le risque avec efficacité. Gérer le risque se réfère à ll’application application de cette structure aux risques particuliers. • Gerencia de riesgos vs. vs Gestión de riesgos

Gerencia de riesgos Gestión de riesgos g

• ¿Desarrollo en español de la ISO 31000? • ¿España: AENOR-AGERS? • ¿Español en América?

3 PRINCIPIOS a) Crea valor en la organización y lo preserva. b) Esta integrada en los procesos de la organización. c) Forma parte de la toma de decisiones. decisiones d) Trata explícitamente la incertidumbre. e) Es sistemática, estructurada y oportuna. f) Está basada en la mejor información disponible. g) Está hecha a medida. h) Tiene en cuenta factores humanos y culturales culturales. i) Es transparente e inclusiva. j) Es dinámica, iterativa y sensible al cambio. k) Facilita la mejora continua de la organización.

4 ESTRUCTURA (1) ( ) • El éxito de la Gestión de Riesgos dependerá de la efectividad de la estructura de gestión que proporcione la base y las disposiciones que permitan su integración en todos los niveles de la organización. organización • Esta estructura no está destinada a prescribir un sistema d gestión, de tió sino i más á bien bi a ayudar d a la l organización i ió a integrar la Gestión de riesgos en su sistema de gestión. • P Por tanto, t t l las organizaciones i i d b deben adaptar d t l los componentes de esta estructura a sus necesidades. • L Las organizaciones i i con componentes de d gestión ió de d riesgos ya implantados o que ya hayan adoptado un proceso de gestión de riesgos formal, formal disponen en el anexo A los atributos necesarios para su revisión.

4 ESTRUCTURA (2) ( ) Compromiso de la dirección (4.2)

Diseño de la estructura para gestionar los riesgos (4.3) ( ) • Comprender la organización y su contexto (4.3.1) • Establecimiento de la política de gestión  de riesgos (4.3.2) • Responsabilidad (4.3.3) • Integración en los procesos de la organización (4.3.4) ó l d l ó ( ) • Recursos (4.3.5) • Establecimiento de mecanismos de comunicación interna e información (4.3.6) • Establecimiento de mecanismos de comunicación externa e información(4.3.7) Mejora continua de la estructura (4.6)

Implantación de la Gestión de Riesgos(4.4) • Implantación de la estructura para gestionar los   riesgos (4.4.1) • Implantación del proceso de gestión de riesgos  Implantación del proceso de gestión de riesgos (4.4.2)

Seguimiento y revisión de la estructura (4.5)

5 PROCESO

Establecer el contexto (5.3)

Evaluación de riesgos (5.4) Identificar los riesgos (5 (5.4.2) 4 2) Comunicación y consulta (5.2)

A li Analizar llos riesgos i (5 (5.4.3) 4 3)

Evaluar los riesgos (5.4.4)

Tratar los riesgos (5.5)

Seguimiento y revisión (5.6)

RELACIONES 3 - 4 - 5 Compromiso de la Dirección (4.2)

Mejora continua de la estructura (4.6)

Implantación p de la gestión de riesgos (4.4)

Seguimiento y revisión de la estructura (4.5)

Principios (Cláusula 3)

Estructura (Cláusula 4)

Evaluación de riesgos (5.4)

Identificar los riesgos (5.4.2)

A li Analizar llos riesgos(5.4.3)

Evaluar los riesgos(5.4.4)

Tratar los riesgos (5.5)

Proceso (Cláusula 5)

Seguimien nto y revisión (5.6)

Diseño de la estructura de soporte (4.3)

Establecer el contexto (5.3)

Comunicació ón y consulta a (5.2)

a) Crea valor. b) Esta integrada en los procesos de la organización. c) Forma parte de la toma de decisiones. d) Trata explícitamente la incertidumbre. e) Es sistemática, estructurada y adecuada f) Está basada en la mejor información disponible. g) Está hecha a medida. h) Tiene en cuenta factores humanos y culturales. i) Es transparente e inclusiva. j) Es dinámica, iterativa y sensible al cambio. k) Facilita la mejora continua de la organización.

A ATRIBUTOS PARA LA MEJORA DE LA GERENCIA DE RIESGOS 1. Establecimiento de metas de desempeño organizacional, medición, revisión y posterior modificación de procesos, sistemas, recursos, capacidad y habilidades. 2. Controles y tratamiento del riesgo exhaustivos 3. Toda toma de decisiones dentro de la organización, cualquiera que sea el nivel de importancia y trascendencia, trascendencia implica la consideración explícita de los riesgos y la aplicación de la gestión de riesgos en la medida adecuada. 4. Comunicación continua con los ‘stakeholder’ internos y externos, incluida la elaboración de informes completos y frecuentes del desempeño de la gestión de riesgos como parte del buen gobierno corporativo. 5. La efectividad de la gestión de riesgos es esencial para el logro de los objetivos de la organización.

ISO/IEC 31010:2009

• ISO / IEC 31010:2009 es una norma de apoyo para la ISO 31000 y ofrece orientación sobre la selección y aplicación d técnicas de é i sistemáticas i ái para la l evaluación l ió de d riesgos. i • La aplicación de una serie de técnicas se introduce, con referencias específicas a otras normas internacionales, donde el concepto y la aplicación de las técnicas se describen en mayor detalle. • Esta norma no establece criterios específicos para determinar la necesidad de análisis de riesgos, ni tampoco especifica el tipo de método de análisis de riesgos que se requiere para una aplicación particular.

ISO 31010:2009 (2) ( )

• La ISO 31010 no se refiere a todas las técnicas, y la omisión de una técnica de esta norma no significa que no sea válida. álid • El hecho h h de d que un método ét d sea aplicable li bl a una circunstancia particular no significa necesariamente que el método deba ser aplicado. aplicado • Esta norma no se ocupa específicamente de la seguridad. Se trata de una norma genérica de gestión de riesgos y cualquier referencia a la seguridad es de carácter puramente informativo. informativo

ISO 31000:2009

Angel Escorial – Riskia [email protected]