ISO 31000 aplicada a la Gestión de Riesgos e integrada en la gerencia empresarial Ing. Gerardo E. Salazar Lara Gerente
Views 183 Downloads 62 File size 679KB
ISO 31000 aplicada a la Gestión de Riesgos e integrada en la gerencia empresarial
Ing. Gerardo E. Salazar Lara Gerente de Servicios de Capacitación y Tecnologías KNOWLEDGE PROCESS
Definiciones importantes
2
Definiciones importantes
Definiciones importantes GRC (Governance- Risk Management – Compliance): Son los tres pilares de una organización que trabajan en conjunto para lograr el cumplimiento de los objetivos de la organización. RIESGO: De acuerdo a la ISO 31000:2009, Risk management – Principles and guidelines se define como el “Efecto de la incertidumbre sobre los objetivos”.
3
Definiciones importantes
¿Qué dicen las demás normas sobre el Riesgo? ISO 9001:2015 define el “pensamiento basado en el riesgo”. El concepto de pensamiento basado en el riesgo siempre ha estado implícito en la norma ISO-9001, aunque en esta nueva versión se fortalece y se incorpora a todo el Sistema de Gestión de la Calidad. En la versión 2015 de ISO9001 este concepto reforzado se incorpora en los requisitos de establecimiento, implementación, mantenimiento y mejora del Sistema de Gestión de la Calidad. Además en la ISO/ DIS 9000:2015 de fundamentos y vocabulario (3.7.4) la definición de riesgo coincide con la de la ISO 31000.
4
Definiciones importantes
¿Qué dicen las demás normas sobre el Riesgo? ISO 20000-1:2011 coincide con la misma definición de la ISO 31000, pero está orientada a los servicios de TI. BS ISO/IEC 27005:2008 Information Security risk management : La probabilidad de que una amenaza explote una vulnerabilidad de un activo o grupo de activos (item 3: Term and definitions).
5
Definiciones importantes
¿En qué normas se apoya ISO 31000:2009? ISO GUIDE 73:2009, Risk Management Vocabulary. ISO 31010:2009, Risk Management – Risk Assessment Techniques (proporciona orientación sobre la selección y aplicación de técnicas sistemáticas para la apreciación del riesgo)
ISO 31000 aplicada a la Gestión de riesgos e integrada en la gerencia empresarial
6
Procesos de la Gestión de Riesgos y su aplicación en la gestión empresarial
ISO 31000 aplicada a la Gestión de riesgos e integrada en la gerencia empresarial
7
Software ISO, BSC y BPM
Principios de la ISO 31000 (cláusula 3) 1. 2.
La Gestión del Riesgo crea y protege el Valor. La Gestión del Riesgo es una parte integral de todos los procesos de la organización. 3. La Gestión del Riesgo es parte de la toma de decisiones. 4. La Gestión del Riesgo trata explícitamente las la incertidumbre. 5. La Gestión del Riesgo es sistemática, estructurada y oportuna. 6. La Gestión del Riesgo se basa en la mejor información disponible. 7. La Gestión del Riesgo se adapta. 8. La Gestión del Riesgo integra los factores humanos y culturales. 9. La Gestión del Riesgo es transparente e inclusiva. 10. La Gestión del Riesgo es dinámica, iterativa y responde a los cambios. 11. La Gestión del Riesgo facilita la mejora continua de la organización. 8
Software ISO, BSC y BPM
¿Cómo empiezo? En primer lugar debe elaborarse el Marco de Trabajo en base a los 11 principios de la Gestión del riesgo, esto significa que debe desarrollarse un MANDATO Y COMPROMISO (cláusula 4.2), luego debe DISEÑARSE EL MARCO DE TRABAJO DE LA GESTIÓN DEL RIESGO (cláusula 4.3), IMPLEMENTAR LA GESTIÓN DEL RIESGO (cláusula 4.4), realizar el SEGUIMIENTO Y REVISIÓN DE DEL MARCO DE TRABAJO (cláusula 4.5) y definir la MEJORA CONTINUA DEL MARCO DE TRABAJO (cláusula 4.6); todo esto como paso previo al desarrollo de los PROCESOS de la Gestión del Riesgo.
9
Software ISO, BSC y BPM
Sobre el marco del trabajo Conjunto de elementos que proporcionan los fundamentos y las disposiciones de la organización para el diseño, la implementación, el seguimiento, la revisión y la mejora continua de la gestión del riesgo en toda la organización. Los fundamentos incluyen la política, los objetivos, el mandato y el compromiso para gestionar el riesgo. Las disposiciones de la organización incluyen los planes, las relaciones, la obligación de rendir cuentas, los recursos, los procesos y las actividades. El marco de trabajo de la gestión del riesgo es parte integrante de las políticas y prácticas estratégicas y operacionales generales de la organización.
10
Software ISO, BSC y BPM
Sobre el marco del trabajo
11
Software ISO, BSC y BPM
Primeros pasos Comprender la organización: Identificar el sistema global que se ha de evaluar y situarlo en su entorno interno y externo. La dificultad de esta actividad es comprender con precisión cómo está estructurada la organización.
12
Software ISO, BSC y BPM
Proceso de la Gestión del Riesgo de la ISO 31000
Apreciación del riesgo
ISO 31000 aplicada a la Gestión de riesgos e integrada en la gerencia empresarial
13
Software ISO, BSC y BPM
Relación entre los Principios, Marco de Trabajo y los Procesos
ISO 31000 aplicada a la Gestión de riesgos e integrada en la gerencia empresarial
14
Software ISO, BSC y BPM
Establecimiento del Contexto (Cláusula 5.3) Mediante el establecimiento del contexto, la organización articula sus objetivos, define los parámetros externos e internos a tener en cuenta en la gestión del riesgo, y establece el alcance y los criterios de riesgo para el proceso restante.
15
Software ISO, BSC y BPM
Lista de Actividades 1. 2. 3. 4. 5. 6. 7.
Misión, objetivos, valores y estrategias (cláusula 4.2). Establecimiento del contexto externo (cláusulas 2.1 y 5.3.2). Establecimiento del contexto interno (cláusulas 2.11 y 5.3.3). Identificación y análisis de las partes interesadas (cláusulas 5.3.2 y 5.3.3). Identificación y análisis de requisitos (cláusula 4.3.1). Determinación de los objetivos (cláusula 5.3.4). Determinación de los criterios básicos (definición, aceptación y umbrales)(cláusulas 5.3.5 y 7.2.4). 8. Definir el alcance y límites (cláusula 5.3.4). El resultado de aplicar esta lista nos llevará al siguiente paso que es la Identificación del riesgo.
ISO 31000 aplicada a la Gestión de riesgos e integrada en la gerencia empresarial
16
Software ISO, BSC y BPM
Identificación del Riesgo (ISO 31000 Cláusula 5.4.2 e ISO 31010 Cláusula 5.2 ) La organización deberá identificar los orígenes del riesgo (que estén bajo el control o no de la organización), las áreas de impacto, los sucesos, las cusas y consecuencias potenciales. El objetivo es generar la LISTA DE RIESGOS (Catálogo de Riesgos o Lista de Peligros) exhaustivos.
17
Software ISO, BSC y BPM
Lista de Actividades 1. Detectar el riesgo. 2. Identificar los controles existentes (características del diseño, personas, procesos y sistemas). 3. Identificar las causas y fuentes del riesgo (situaciones, sucesos o circunstancias). 4. Identificar las consecuencias. El anexo C de la ISO 27005 proporciona una tipología para la clasificación de las amenazas que podemos tener. La cláusula 8.2.6 de la ISO 27005 nos lista algunas consecuencias. El resultado de aplicar esta lista nos llevará al siguiente paso que es el Análisis del riesgo. 18
Software ISO, BSC y BPM
Análisis del Riesgo (ISO 31000 Cláusula 5.4.3 e ISO 31010 Cláusula 5.3.1) Implica desarrollar una comprensión del riesgo y proporciona elementos de entrada para la evaluación del riesgo y ´para tomar decisiones acerca de si es necesario tratar los riesgos, así como sobre las estrategias y los métodos de tratamiento más apropiados.
19
Software ISO, BSC y BPM
Análisis del Riesgo (ISO 31000 Cláusula 5.4.3 e ISO 31010 Cláusula 5.3.1) •
En este proceso se hallarán la Probabilidad, el impacto y su combinación matemática sin dar sentido aún al nivel del riesgo.
•
En esta fase ya se debe tener los controles identificados y la efectividad de estos.
20
Software ISO, BSC y BPM
Lista de Actividades 1. Evaluar las consecuencias. 2. Evaluación de la probabilidad de los incidentes. 3. Determinar el nivel de riesgo. El entregable de este proceso es el NIVEL DEL RIESGO. El resultado de aplicar esta lista nos llevará al siguiente paso que es la Evaluación del riesgo.
21
Software ISO, BSC y BPM
¿Cómo se evalúa la Probabilidad de un incidente? Nivel
Escala cualitativa
Probabilidad
0
Muy rara
Menos de una vez cada 100 años
1
Rara
Una vez cada 10 años
2
Posible
Una vez cada 3 años
3
Muy posible
Una vez al año
4
Probable
Varias veces al año
5
Casi común
Varias veces por mes
6
Común
Varias veces por semana
7
Muy común
Varias veces por día 22
Software ISO, BSC y BPM
Evaluación del Riesgo (ISO 31000 Cláusula 5.4.4 e ISO 31010 Cláusula 5.4) Matriz de Priorización:
23
Software ISO, BSC y BPM
Comunicación y Consulta del Riesgo (ISO 31000 Cláusula 4.3 e ISO 31010 Cláusula 4.3.2 ) Es una actividad destinada a llegar a un acuerdo sobre cómo gestionar el riesgo a través de un intercambio y/o uso compartido de a información sobre el riesgo entre los que toman las decisiones y otras partes interesadas.
24
Software ISO, BSC y BPM
Seguimiento y Revisión del Riesgo (ISO 31000 Cláusulas 5.6 y 5.7) Se debe establecer la responsabilidad de supervisar y realizar las revisiones.
25
Software ISO, BSC y BPM
Mejoramiento continuo de la Gestión de Riesgos El mejoramiento continuo es un proceso de aumento de la eficacia y la eficiencia de la organización para cumplir sus políticas y objetivos.
26
Software ISO, BSC y BPM
¿Por qué usar la ISO 31000?
Aumenta la probabilidad de alcanzar los objetivos. Estimula una gestión proactiva. Nos hace conscientes de la necesidad de identificar y tratar el riesgo en toda organización. Mejora la identificación de oportunidades y amenazas. Nos hace cumplir los requisitos legales y reglamentarios pertinentes y las normas internacionales. Mejora la redacción de informes obligatorios y voluntarios. Mejora el gobierno. Mejora la seguridad y la confianza de las partes interesadas. Establece una base fiable para la toma de decisiones y para la planificación. Mejora los controles. Asigna y utiliza de manera eficaz los recursos para el tratamiento del riesgo. … Permite a una organización asegurar que sabe y entiende los riesgos que le afecta, prevenir o reducir la ocurrencia de incidentes, y a identificar los riesgos y oportunidades.
27