• Author / Uploaded
• lugarx

Citation preview

Gestión de riesgos ISO 31000 y su integración en la nueva ISO 22301 Ángel Escorial Bonet, Director General, Riskia, S.A. Vocal de la Junta Directiva de AGERS

p.1 v.20

Índice 1. Antecedentes 2. Definiciones y estándares 3. ISO 31000 4. ISO 31000 & ISO 22301 5. Conclusiones

p.2 v.20

Antecedentes

p.3 v.20

Antecedentes Orígenes de la continuidad del negocio en las actividades de recuperación tras siniestro - IT Disaster Recovery (Imbach – Belfor) Los riesgos se enfocaron a IT especialmente con Y2K (Swiss Re) El 11S produjo un cambio radical seguido por las pandemias aviar y porcina (Riskia) Hoy en día es admitido que se deben considerar todas las fuentes de riesgo que puedan causar interrupciones Con la crisis los recursos se han reducido: Priorización En este escenario, la gestión del riesgo es fundamental para la efectividad de la continuidad del negocio-G31000

p.4 v.20

G31000 & AGERS AGERS es el foro de la Gestión de Riesgos en España Casi 200 miembros (Gerentes de Riesgos, Despachos de abogados y consultores, Compañías y corredores de seguros) que confluyen en AGERS para debatir sobre la gestión de riesgos y los seguros. Desde 1984 AGERS difunde la metodología científica de la Gerencia de Riesgos y especialmente en el sector industrial. Tiene delegados in Cataluña, Andalucia, … Celebra un Congreso Anual en Mayo, una Jornada Anual de renovaciones de seguros en Noviembre, y varios foros, cursos, … Trabaja mediante Comisiones y Grupos de Trabajo y tiene un GT específico ISO31000 que es miembro del GET 13 y ha sido delegado de España en la última reunión de Dublín del PC262 Ha colaborado activamente en la 1ª Encuesta Global ISO31000 y ha sido invitada a París para la presentación de resultados.

AGERS es miembro de FERMA, IFRIMA y ALARYS p.5 v.20

Definiciones y estándares

p.6 v.20

Riesgo & RM Riesgo en ISO 31000 / Guía ISO 73 (def. 1.1) Efecto de la incertidumbre sobre la consecución de los objetivos

Gestión del Riesgo (RM) /Guía ISO 73 (def. 2.1) Actividades coordinadas para dirigir y controlar una organización en lo relativo al riesgo.

Replicadas en ISO 22301 como defs. 3.48 y 3.51 (en inglés) Otras defs. de la Guía ISO 73 en ISO 22301 Apetito por el riesgo (def. 3.49) Apreciación del riesgo (def. 3.50) Suceso (def. 3.17)

p.7 v.20

Estándares de RM Hasta la publicación de la ISO 31000 se han empleado modelos ‘ad-hoc’ para algunas actividades: COSO BASILEA SOLVENCIA UNE150008, …

así como algún otro modelo de carácter INTEGRAL de ‘Risk Management’ entre los que destacamos: Modelo FERMA 2003 la Norma Australiana-Neo Zelandesa AS/NZS 4360:2004

La ISO 31000:2009 se desarrolla en un documento de cinco cláusulas y un anexo y se complementa con:

p.8 v.20

Guía ISO 73:2009

Vocabulario

ISO 31010:2009

Técnicas de apreciación de riesgos

Riesgo & RM Risk Risk management Managing risks

Risk is the effect of uncertainty on objectives Risk management refers to the architecture (principles, framework and process) for managing risks. Managing risks refers to applying that architecture to particular risks.

Risque Management du risque Gérer le risque

Risque est l’effet de l’incertitude sur l’atteinte des objectifs Le management du risque se réfère a la structure (principe, cadre organisationnel et processus) permettant de gérer le risque avec efficacité. Gérer le risque se réfère à l’application de cette structure aux risques particuliers. • Riesgo s/def. en francés • Gerencia de riesgos vs. Gestión de riesgos • ¿Español en América?

p.9 v.20

Continuidad del Negocio & BCM Continuidad del Negocio en ISO 22301 (def.3.3-aeb) Capacidad de una organización para continuar suministrando productos o servicios a niveles aceptables previamente determinados tras un evento ‘disruptivo’.

Gestión de la Continuidad del Negocio-BCM (def. 3.4-aeb) Proceso de gestión integral que identifica potenciales amenazas a una organización y los impactos que podrían causar a las operaciones de su negocio si esas amenazas se materializaran … Y que proporciona un marco para construir la ‘resiliencia’ de la organización con capacidad de respuesta efectiva que salvaguarde los intereses de sus ‘grupos de interés-stakeholders’ clave, la reputación, la marca y las actividades que crean valor.

p.10 v.20

Hay estándares nacionales de BCM BS25999 partes 1 y 2 NFPA1600 ASIS.SPC1 2009 ASIS/BSi:2010 SS540 AS/NZ5050 MS1970:2007 CSA Z 1600:08

p.11 v.20

y estándares ISO de BCM ISO 22301 (recién publicada) ISO 22313 (Final Draft para finales de 2012) ISO/IEC 27031 Y desarrollos relacionados con ISO BCM ISO 22323 (resiliencia organizacional) Continuidad en la cadena de negocio Continuidad ICT Ensayos Gestión de crisis/incidentes Y otras 8 en la serie de ‘societal security’

p.12 v.20

ISO31000

p.13 v.20

ISO 31000 Tiene como objetivo ayudar a las organizaciones de todo tipo y tamaño a gestionar sus riesgos con efectividad. Este estándar ISO proporciona los principios, el marco y un proceso destinado a gestionar cualquier tipo de riesgo en una manera transparente, sistemática y creíble dentro de cualquier alcance o contexto. Recomienda que las organizaciones desarrollen, implementen y mejoren en forma continua el marco de gestión de riesgos como un componente del sistema integral de gestión de la organización. ISO 31000 es un documento práctico que busca ayudar a las organizaciones en el desarrollo de su propia estrategia para gestionar sus riesgos. NO es un estándar certificable.

p.14 v.20

ISO 31000 a) Crea valor. b) Esta integrada en los procesos de la organización. c) Forma parte de la toma de decisiones. d) Trata explícitamente la incertidumbre. e) Es sistemática, estructurada y adecuada f) Está basada en la mejor información disponible. g) Está hecha a medida. h) Tiene en cuenta factores humanos y culturales. i) Es transparente e inclusiva. j) Es dinámica, iterativa y sensible al cambio. k) Facilita la mejora continua de la organización. Principios (Cláusula 3)

p.15 v.20

Compromiso de la Dirección (4.2)

Diseño de la estructura de soporte (4.3)

Establecer el contexto (5.3)

Evaluación de riesgos (5.4)

Identificar los riesgos (5.4.2) Mejora continua de la estructura (4.6)

Implantación de la gestión de riesgos (4.4)

Analizar los riesgos(5.4.3)

Evaluar los riesgos(5.4.4) Seguimiento y revisión de la estructura (4.5)

Estructura (Cláusula 4)

Tratar los riesgos (5.5)

Proceso (Cláusula 5)

Ciclo P-D-C-A o "Círculo de Deming" Fijar objetivos y procesos necesarios para obtener resultados esperados

Modificar los procesos para alcanzar los objetivos iniciales

Planificar Plan Mantener y Mejorar

Do

Act

Implementar

Check Controlar y Revisar Recopilar datos de control, analizarlos y compararlos con los objetivos iniciales

p.16 v.20

Implementar los nuevos procesos

P-D-C-A

Compromiso de la dirección (4.2)

Ciclo de Deming en RM Diseño de la estructura para gestionar los riesgos (4.3) • Comprender la organización y su contexto (4.3.1) • Establecimiento de la política de gestión de riesgos (4.3.2) • Responsabilidad (4.3.3) • Integración en los procesos de la organización (4.3.4) • Recursos (4.3.5) • Establecimiento de mecanismos de comunicación interna e información (4.3.6) • Establecimiento de mecanismos de comunicación externa e información(4.3.7)

Mejora continua de la estructura (4.6)

Implantación de la Gestión de Riesgos(4.4) • Implantación de la estructura para gestionar los riesgos (4.4.1) • Implantación del proceso de gestión de riesgos (4.4.2)

Seguimiento y revisión de la estructura (4.5)

p.17 v.20

ISO 31000 & ISO 22301

p.18 v.20

RM & BCM RM es generalista vs. BCM ha sido/es especialista RM coordina con otros sistemas de gestión RM proporciona un marco para priorizar los recursos RM es una referencia común para la comunicación Tratamiento de la resiliencia: ‘El cambio es algo normal’ Tratamiento proactivo de RM (ISO 31000 vs COSO) Tratamiento reactivo de BCM sobre las interrupciones

p.19 v.20

RM & BCM

p.20 v.20

ISO 31000 & BCM NO hay refs. al BCM en la ISO 31000 Posiblemente RM ve BCM como una fórmula de tratamiento para ciertos tipos de riesgos En este caso, el tipo de riesgos más adaptables a este esquema de BCM son • •

p.21 v.20

Sucesos de baja probabilidad y alto impacto Accidentes catastróficos impredecibles

ISO 22301 & RM ISO 22301 … Es un estándar recién lanzado A diferencia de ISO 31000 es un estándar auditable y certificable por un organismo acreditado de certificación

… que dice: La organización establecerá, ‘implementará’ y mantendrá un proceso de apreciación de riesgos formal y documentado que periódicamente identifique, analice y evalúe el riesgo de incidentes que interrumpan los procesos de la organización. Este proceso PODRÍA estar basado en ISO 31000

p.22 v.20

Que puede aportar ISO 31000 a BCM ISO 31000 además de no certificable, no aporta una clasificación de los riesgos y las amenazas. Para RM se recurre a otras fuentes como la clasificación de riesgos de FERMA. En BCM hay que buscar fuentes de riesgo del tipo del informe PwC CEO Survey 2010 (pags. 16-19/40)

Lo que si aporta ISO 31000 (principios y directrices) es un marco integral, sistemático y adaptable para la gestión de los riesgos. En la ISO 31010 (técnicas de apreciación del riesgo) se aporta un abanico de 31 técnicas (no excluyente) para la apreciación de los riesgos entre los que se pueden seleccionar los más apropiados para la BCM

p.23 v.20

Proceso para la gestión del riesgo según la norma ISO 31000

Fuente: ISO 31000

p.24 v.20

BCM clásico resulta insuficiente RRHH + IT + Emplazamientos y suministros

Ciclo de vida de la BCM

BCMS Module I Version 2.0 – Policy, Programme Management & Culture

p.25 v.20

Los negocios hoy en día son cada día más dependientes de: Globalización de los negocios (vinos del priorato a China) y de la cadena de suministros Outsourcing & offshoring Producciones a bajo coste Logísticas JiT Protección de la imagen de la marca

y además cada hoy están más afectados por: TV 24h Redes sociales y otros medios ‘on line’ Creciente vigilancia del regulador Multas y penalizaciones por incumplimientos de contratos

p.26 v.20

¿Por qué las Compañías inician BCM? Principales motores para establecer un sistema BCM (s/. BCI Survey 2012)

p.27 v.20

1.

Requisitos regulatorios

2.

Requisitos legales o estatutarios

3.

Experiencia directa de un incidente grave / crisis

4.

Requisitos de clientes

5.

Requisitos de la competencia

6.

Experiencia indirecta de un incidente grave / crisis

7.

Compromisos y existencia de sistemas de gestión

8.

Nuevos equipos de Dirección

9.

Otros

Los impactos 1. Pérdidas de productividad 2. Incrementos de los costes de proceso 3. Pérdidas de ingresos directos 4. Incrementos en las reclamaciones de clientes 5. Retrasos en el cash flow 6. Retrasos en el suministro de productos 7. Daños a la marca y la reputación 8. Multas o incrementos de la inspección regulatoria 9. Retirada de productos 10. Preocupación de accionistas y caída de valor accionarial p.28 v.20

Conclusiones

p.29 v.20

Conclusiones 1. RM funciona correctamente para los fenómenos conocidos (known knowns) y para los sucesos no extremos. 2. BCM está basado en impactos y escalas de tiempos (no en probabilidades). 3. Los impactos en el negocio se miden por lo que ya no se puede hacer, no por lo que ha sucedido para causarlo. 4. Los ‘cisnes negros’ y el manejo de los desconocidos (unknown unknowns) son básicos en el proceso de BCM. 5. BCM & RM deben estar mejor alineados.

p.30 v.20

Muchas gracias.

Para información adicional: Ángel Escorial Bonet Director General Riskia, S.A. Vocal de la Junta Directiva de AGERS [email protected]

p.31 v.20