La Gestión de Riesgos, hacia una Cultura Preventiva y de Mejora. Rafael A. de Arrascaeta F.

Transcripción

1 La Gestión de Riesgos, hacia una Cultura Preventiva y de Mejora Rafael A. de Arrascaeta F.

2 Concepto y Alcance Confidential // DoA. Not prior written permission 2014, Rafael dereproduce Arrascaetawithout F. 2

3 Por qué las Organizaciones NO analizan sus Riesgos de Negocio? Porque Creen que No aporta valor. Si pensamos en todo lo malo, no hacemos nada. Ya Hay suficientes controles. Acá pensamos en metas, no en riesgos. Aceptamos que es común que los sistemas fallen. No hay tiempo para evaluar los riesgos Necesitamos cumplir nuestra Misión! Acá nunca pasó nada. No tenemos los procesos definidos. Gestionar riesgos No me va a ayudar a hacer mi trabajo. Si ocurre algo Lo arreglamos rápido. 3

4 La Gestión de Riesgos es una herramienta que nos permite mejorar el desempeño de la Organización a través de la implementación de acciones Preventivas y de Mejora que nos lleven a evitar o minimizar los efectos negativos que puedan afectar el cumplimiento de los Objetivos Estratégicos. La gestión de riesgos tiene 5 etapas: Identificación de los riesgos Análisis de los riesgos Evaluación de los riesgos Manejo de riesgos Monitoreo y Control 4

5 Conceptos de Gestión de Riesgos Riesgo: Posibilidad de que ocurra un acontecimiento que impacte el alcance de los objetivos de los procesos y por consiguiente los objetivos estratégicos. Descripción del Riesgo: Características generales o las formas en que se observa o manifiesta el riesgo identificado. Posibles consecuencias: Posibles efectos ocasionados por el riesgo, los cuales se pueden traducir en daños de tipo económico, social, administrativo, entre otros. 5

6 6

7 Riesgos del Negocio 7

8 Factores de Riesgo EXTERNOS: Económicos Sociales Competitividad Legales Cambios Tecnológicos INTERNOS: Desempeño de las Personas Sistemas de Gestión y de Información Recursos Económicos Naturaleza de las actividades de la Organización 8

9 Principios de la Gestión de Riesgos Para que la gestión de Riesgos sea efectiva, la organización debería a todos los niveles aplicar y cumplir los siguientes principios: 1. La Gestión de Riesgos Crea y Protege Valor 2. Es Parte Integral de la Organización 3. Es Parte de la Toma de decisiones 4. Aborda explícitamente la Incertidumbre 5. Es Sistemática, Estructurada Y Oportuna 6. Es basada en la Mejor Información Disponible 7. Es Hecha a la Medida 8. Toma en cuenta los Factores Humanos y Culturales 9. Es Transparente 10. Es Dinámica, Reiterativa y Receptiva al Cambio. 11. Facilita el Mejoramiento Continuo de la Organización 9

10 Gestión de Riesgos de los Procesos: a. Plan de Gestión de Riesgos en cada proceso: El responsable es cada Dueño de Proceso con su equipo de trabajo. b. La priorización de aquellos riesgos que previamente han sido identificados, analizados, valorados y manejados en los procesos y que tienen mayor impacto en los objetivos institucionales: El responsable es la Dirección de la Organización c. La Administración de Riesgos, en el contexto Estratégico: El responsable es el Más Alto Nivel Ejecutivo de la Organización. 10

11 Ciclo de Mejora Actuar Planificar Verificar Hacer 11

12 Octopus Mejoras Mano de Obra Competencia (6.2.2) Conciencia (6.2.2) Comunicación respecto al desempeño SGC (5.5.3) Responsabilidades y autoridades (5.5.1) Análisis de Datos: Satisfacción del cliente (8.2.1); Desempeño de procesos y productos (8.2.3 y 8.2.4); Desempeño de Insumos (7.4) Proceso: Mejores controles (8.2.3, 8.2.4); Mejores métodos (7.5); Actualización de equipo (6.3) Producto: Decremento en PNC (8.5.2); Mejoras en especificaciones (7.5) Acciones correctivas y preventivas: Dirigidas al proceso y producto (8.5.2, 8.5.3) Maquinaria Equipo. Infraestructura o instalaciones. (6.3) Programa de Mantenimiento (6.3) Entradas Materiales (7.4) Productos (7.4) Información e interacción (4.1) Servicios asociados (6.3) Recursos (6.1) Medio Ambiente Factores Físicos Espacios, luz, polvo, orden y limpieza (6.4) Factores Humano Ergonomía, ética, motivación, (6.4) Salidas No Si Si No No Si Método (s) Documentación del SGC (4.2.1) Procedimientos (documentados o no) (7.1) Puntos de Control de Calidad del producto y del proceso Planes de control u hojas de proceso (7.5) Manuales, instructivos (7.5) Registros necesarios (4.2.4) Productos Software Hardware Servicio o Materiales Procesados Mediciones Proceso Seguimiento y medición al proceso (8.2.4) Producto Seguimiento y medición al producto (8.2.4); Plan de Calidad; Control de PNC (8.3) 12

13 Proceso de Gestión de Riesgos Confidential // DoA. Not prior written permission 2014, Rafael dereproduce Arrascaetawithout F. 13

14 14

15 Valoración de riegos El resultado final de una valoración de riesgos, es: 1. La identificación, definición y descripción de los activos, en riesgo potencial. 2. El impacto (Nivel de Riesgo, Grado de Exposición, etc.) que podría ocasionar sobre cada uno de ellos. 3. El Conjunto de acciones que pueden realizarse, en lo posible agrupadas por similitud o área. 4. La Propuesta de varios cursos de acción posibles (protección Máxima, Intermedia, Mínima). 5. La Elección y Aprobación de un curso de acción por parte de la Dirección. 6. El compromiso asumido, para tratar las acciones de ese curso de acción y 7. El Riesgo Residual Asumido, que quedará por lo que no esté dispuesto a abordar (pagar) el máximo nivel de autoridad de la organización. 15

16 FASE 1: Identificación de Riesgos Amenazas Protegen de Aprovechan Aumentan Aumentan Riesgos Controles Disminuyen Imponen Definen Requerimiento s de Seguridad Vulnerabilidade s Exponen Activos Generan Impactan si se materializan Aumenta Tienen Valor de los Activos 16

17 FASE 2: Análisis del Riesgo El riesgo se mide de acuerdo al impacto y la probabilidad y se debe ubicar en una Matriz de Priorización Probabilidad: Frecuencia que podría presentar el riesgo, en el Proceso. ALTA: Es muy factible que el riesgo se presente MEDIA: Es factible que el riesgo se presente BAJA: Es muy poco factible que el riesgo se presente Impacto: Forma en la cual el riesgo podría afectar los resultados del Proceso. ALTO: afecta en alto grado al proceso MEDIO: afecta en grado medio al proceso BAJO: afecta en grado bajo al proceso P R O B A B I L I D A D ALTA B A A MEDIA B B A BAJA C B B BAJO MEDIA ALTA IMPACTO 17

18 Análisis del Riesgo El análisis del riesgo implica el desarrollo y la comprensión del riesgo El análisis del riesgo involucra la consideración de las causas y las fuentes de riesgo, sus consecuencias positivas y negativas, y la posibilidad de que tales consecuencias puedan ocurrir. El riesgo es analizado determinando las consecuencias y su posibilidad, y otros atributos del riesgo. También se deberían considerar los controles existentes y su eficacia y eficiencia. Todo esto debería ser consistente con los criterios del riesgo. También es importante considerar la interdependencia de los diferentes riesgos y sus orígenes. 18

19 Analicemos nuestros riesgos P R O B A B I L I D A D ALTA B A A MEDIA B B A BAJA C B B BAJO MEDIA ALTA IMPACTO 19

20 FASE 3: Evaluación de Riesgos Una vez identificados, analizados y priorizados los riesgos, se identifica si existen controles asociados y si éstos son efectivos, con el fin de determinar el nivel de Riesgo: Control: Toda acción que tiende a minimizar los riesgos, significa analizar el desempeño de los procesos, evidenciando posibles desviaciones frente al resultado esperado para la adopción de acciones preventivas. 20

21 Evaluación del riesgo El propósito de la evaluación del riesgo es facilitar la toma de decisiones, basada en los resultados de dicho análisis, a acerca de cuáles riesgos necesitan tratamiento y la prioridad vara la implementación del tratamiento. La evaluación del riesgo implica la comparación del nivel de riesgo observado durante el proceso de análisis y de los criterios del riesgo establecidos al considerar el contexto. Con base en esta comparación, se puede considerar la necesidad de tratamiento. Las decisiones se deberían tomar de acuerdo con los requisitos legales, reglamentarios y otros. La evaluación del riesgo también puede tener como resultado la decisión de no tratar el riesgo de ninguna manera diferente del mantenimiento de los controles existentes. 21

22 FASE 4: Tratamiento de Riesgos Tratamiento del Riesgo Al tomar las acciones preventivas se debe considerar: Nivel del riesgo. Balance entre el costo de la Evitar el riesgo, generar controles Reducir el riesgo, disminuir la probabilidad y el impacto Compartir o transferir el riesgo Asumir el riesgo implementación contra el beneficio de cada acción. Responsable Cronograma de implementación. Indicadores de cumplimiento de la acción. 22

23 Tratamiento del Riesgo El tratamiento del riesgo implica un proceso cíclico de: - Valoración del tratamiento del riesgo; - Decisión sobre: - Si los niveles de riesgo residual son tolerables - Si no son tolerables, la generación de un nuevo tratamiento para el riesgo; y - valoración de la eficacia de dicho tratamiento. Las opciones pueden incluir las siguientes: a) Evitar el riesgo al decidir no iniciar o continuar la actividad que lo originó; b) Tomar o Incrementar el riesgo para perseguir una oportunidad; c) Retirar la fuente de riesgo; d) Cambiar la probabilidad; e) Cambiar las consecuencias; f) Compartir el riesgo con una o varias de las partes, y g) Retener el riesgo mediante una decisión informada. 23

24 Prioridades para el Tratamiento de Riesgos Riesgos a tener en cuenta y monitorear. Costo-Beneficio. OportunidadesConsecuencias Riesgos intolerables requieren acciones urgentes Riesgos para estar alerta de cambios en su Severidad u Ocurrencia. No asumir costos 24

25 FASE 5: Monitoreo y Revisión EN EL MANEJO DE RIEGOS INSTITUCIONALES: Como Parte de la Planeación Estratégica se realizará una revisión del Plan de Manejo de Riesgos de Contexto Estratégico; el cual formará parte integral del Plan de Manejo de Riesgos Institucional. EN EL PROCESO: PROCESO Cada Dueño de proceso con su equipo de trabajo deberá: Realizar seguimiento a las Acciones preventivas tomadas en su proceso. EN EL SGC: Las auditores internos del sistema de calidad evaluarán, en cada ciclo de auditoría, que los procesos de acuerdo a la metodología establecida tengan Identificados los riesgos y se les de tratamiento. El Equipo Directivo realizará La revisión periódica de la Administración de Riesgos en los Procesos EN LA DIRECCION La Alta Dirección realizará la revisión anual de la Administración de Riesgos Institucional: Plan de Manejo de Riesgos en el Contexto estratégico y Plan de Manejo de Riesgos de Procesos EN LA EVALUACIÓN INDEPENDIENTE: El área de Control Interno o una organización externa realizará evaluaciones periódicas de la Administración de Riesgos en todos sus componentes Revisar y actualizar el plan de manejo de riesgo de su proceso 25

26 Monitoreo y Revisión Los procesos de monitoreo y revisión de la organización deben comprender todos los aspectos del proceso para la gestión del riesgo con el fin de: - Garantizar que los controles son eficaces y eficientes en el diseño y en la operación; - Obtener información adicional para mejorar la valoración del riesgo; - Analizar y aprender lecciones a partir de los eventos (incluyendo los cuasi accidentes), los cambios, las tendencias, los éxitos y los fracasos; - Detectar cambios en el contexto externo e interno (cambios en los criterios del riesgo y en el riesgo mismo) que puedan exigir revisión de los tratamientos del riesgo y las prioridades; y - Identificar los riesgos emergentes. El avance en la implementación de los Planes para Tratamiento del Riesgo suministra una medida de desempeño. 26

27 CONCLUSIONES Confidential // DoA. Not prior written permission 2014, Rafael dereproduce Arrascaetawithout F. 27

28 Al finalizar todo el análisis e implementación de la gestión de riesgos, la pregunta crucial es y ahora qué hago? La respuesta es muy simple empezar de nuevo ( esto no es para vagos!), los Riesgos son parte del Sistema de Gestión de la Organización y Todo sistema de gestión es un ciclo sin fin, si no No habría nada que gestionar!. Con toda sinceridad creo que a todo responsable de gestionar un proceso/organización, le ha llegado la hora de dejar un poco de lado su perfil técnico/administrativo y tomarse un tiempo para las actividades de Gestión de los Riesgos. ISO31000:2009 es el mejor punto de partida y el que mayores satisfacciones les dará al respecto 28

29 La responsabilidad en el seguimiento y tratamiento a los riesgos de cada proceso es del Dueño de Proceso y de los riesgos de contexto estratégico es del responsable de la Planeación Estratégica y la Dirección de l a Organización. Un Plan de Gestión de Riesgos es igual que un Mapa de riesgos. El Plan de Gestión de Riesgos de la Organización debería comprender: Plan de manejo de riesgos de contexto estratégico Plan de manejo de riesgos de los procesos, el cual contiene únicamente los riesgos priorizados de los procesos que impactan directamente los objetivos institucionales. 29

30 G rac ias p o r s u A te n c ió n Pre g u n tas? Rafael A. de Arrascaeta F. rafael-arrascaeta@hotmail.com 30