Gestión de riesgos para sistemas integrados de gestión ISO

Transcripción

1 1

2 Gestión de riesgos para sistemas integrados de gestión ISO 2

3 Agenda 1. Introducción. 2. Caso de estudio (Ansiedad, visión reducida...) 3. Algunos tipos de riesgo. 4. Conceptos ISO 31000: es el riesgo? 6. Diferentes modelos de riesgos estructuras semejantes. 7. Enfoques para los modelos de riesgo. 8. Cómo ISO 31000:2009, ayuda para llevar a cabo la gestión de riesgos? 9. Evaluando la efectividad de un modelo de riesgos en la organización. 3

4 Introducción Todas las actividades de una organización implican riesgos. Las organizaciones gestionan el riesgo identificándolo, analizándolo y evaluando después si el riesgo se debería modificar mediante un tratamiento que satisfaga sus criterios de riesgo ISO 31000:2009 4

5 Introducción (cont.) A lo largo de todo este proceso, las organizaciones comunican y consultan a las partes interesadas y realizan seguimiento y revisan el riesgo y los controles que lo modifican para asegurar que no es necesario un tratamiento adicional ISO 31000:2009 5

6 Introducción (cont.) La introducción de la gestión del riesgo y el aseguramiento de su eficacia continua requieren un compromiso fuerte y sostenido de la dirección de la organización, así como el establecimiento de una planificación estratégica y rigurosa para conseguir el compromiso a todos los niveles Mandato y compromiso ISO 31000:2009 6

7 7

8 Ansiedad, visión reducida... La investigación alemana de la tragedia aérea de los Alpes, en la que murieron hace una semana 150 personas, trabaja con la hipótesis de que Andreas Lubitz estrelló el avión desesperado ante la posibilidad de perder su licencia de piloto debido a sus problemas médicos 8

9 Riesgo tecnológico. Riesgo operacional Riesgo crediticio. Riesgo legal. Riesgo de mercado. Riesgo de liquidez. Riesgo de cumplimiento. No satisfacer los requisitos del cliente. Peligros ambientales. Riesgo a la reputación. Algunos tipos de riesgo 9

10 Pretextos para no gestionar riesgos! Nunca ha pasado nada. Hay suficientes controles. Si ocurre algo, lo tendremos que corregir. No vemos la aportación al negocio. Aceptamos que es común que fallen los sistemas tecnológicos. Si pensamos en todo lo malo, no hacemos nada Nuestro enfoque es en alcanzar las metas, no en riesgos.!no hay tiempo para evaluar los riesgos! No tenemos los procesos definidos. Gestionar los riesgos no me va a ayudar a vender más. 10

11 Conceptos de la norma ISO 31000:

12 Conceptos ISO 31000:2009 Mientras todas las organizaciones gestionan el riesgo a diferentes niveles, esta norma internacional establece un conjunto de principios que se deben satisfacer para que la gestión del riesgo sea eficaz 12

13 Conceptos ISO 31000:2009 (cont.) La norma recomienda que las organizaciones desarrollen, implementen y mejoren de manera continuada un marco de trabajo cuyo objetivo sea integrar el proceso de gestión del riesgo en los procesos de gobierno, de estrategia y de planificación, de gestión, y de elaboración de informes, así como en las políticas, los valores y en la cultura de toda la organización 13

14 Objeto y campo de aplicación Esta norma internacional proporciona los principios y las directrices genéricas sobre la gestión del riesgo. Puede utilizarse por cualquier empresa pública, privada o social, asociación, grupo o individuo. Por tanto, no es específica de una industria o sector concreto. 14

15 Partes interesadas a) Responsables de desarrollar la política de gestión del riesgo dentro de su organización; b) Encargados de asegurar que el riesgo se gestiona de manera eficaz dentro de la organización, considerada en su totalidad o en un área, un proyecto o una actividad específicos; c) Los que necesitan evaluar la eficacia de una organización en materia de gestión del riesgo; y d) Los que desarrollan normas, guías, procedimientos y códigos de buenas practicas que, en su totalidad o en parte, establecen cómo se debe tratar el riesgo dentro del contexto específico de estos documentos. 15

16 es el riesgo? Efecto de la incertidumbre sobre la consecución de los objetivos ISO 31000: Incertidumbre (es posible su ocurrencia). 2. El riesgo importa y debe gestionarse porque tiene un efecto (positivo y/o negativo). 3. Ese efecto es sobre los objetivos fijados. 16

17 Comunicación y consulta (5.2) Monitoreo y revisión (5.6) Relaciones de cláusulas ISO a) Crear valor. b) Es parte integral de los procesos de la organización. c) Es parte de la toma de Comando y compromiso (4.2) decisiones. d) Abordar explícitamente la incertidumbre. Establecimiento del contexto (5.3) Valoración del riesgo (5.4) e) Es sistemática, estructurada y oportuna. f) Se basa en la mejor información disponible. Diseño del marco de referencia para la gestión del riesgo (4.3) Identificación del riesgo (5.4.2) Análisis del riesgo (5.4.3) g) Esta adaptado. h) Toma en consideración a los factores humanos y culturales. Mejora continua del marco de referencia (4.6) Implementación de la gestión del riesgo (4.4) Evaluación del riesgo (5.4.4) i) Es transparente e inclusiva. j) Es dinámica, reiterativa y receptiva al cambio. k) Facilita la mejora y realza a la Monitoreo y revisión del marco (4.5) Tratamiento del riesgo (5.5) organización. Principios (Numeral 3) 17 Marco de referencia (numeral 4) Proceso (Numeral 5)

18 Principios de la Gestión de Riesgos a. Crea y protege el valor, b. Es una parte integral de todos los procesos de la organización, c. Es parte de la toma de decisiones, d. Trata explícitamente la incertidumbre, e. Es sistemática, estructurada y oportuna, f. Se basa en la mejor información disponible, g. Se adapta a la realidad de la organización, h. Integra los factores humanos y culturales, i. Es transparente y participativa, j. Es dinámica, iterativa, y responde a los cambios, k. Facilita la mejora continua de la organización. 18

19 Estructura de la gestión de riesgos Mandato y compromiso (4.2) Diseño del marco de trabajo de la gestión del riesgo (4.3) Compromiso de la organización y de su contexto (4.3.1) Establecimiento de la política de la política de gestión del riesgo (4.3.2) Obligación de rendir cuentas (4.3.3) Integración en los procesos de la organización (4.3.4) Recursos (4.3.5) Establecimiento de los mecanismos internos de comunicación y de información (4.3.6) Establecimiento de los mexicanos externos do comunicación y de información (4.3.7) Mejora continua del marco de trabajo (4.6) Implementación del proceso de gestión del riesgo (4.4) Implementación del marco de trabajo de la gestión del riesgo (4.4.1) Implementación del proceso de gestión del riesgo (4.4.2) Fuente: ISO Seguimiento y revisión del marco de trabajo (4.5) 19

20 A.3.1 Mejora continua, ISO Anexo A (Informativo) Atributos de una gestión de riesgos optimizada A.3.2 Responsabilidad completa de los riesgos, A.3.3 Aplicación de la gestión del riesgo en todas las tomas de decisiones, A.3.4 Comunicación continua, A.3.5 Integración completa en la estructura de gobierno de la organización. 20

21 Normas Complementarias a 73:2009 ISO 31010:

22 ISO GUIA 73: proporciona el vocabulario básico para desarrollar una comprensión de los conceptos y términos que se utilizan en la gestión del riesgo que son comunes a diferentes organizaciones y funciones, matriz de riesgo: Herramienta que permite clasificar y visualizar los riesgos (1.1), mediante la definición de categorías de consecuencias ( ) y de su probabilidad ( ). 22

23 ISO 31010:2009 Herramientas y técnicas 1.Tormenta de ideas. Herramientas y técnicas 11.Analsis de impacto económico. Herramientas y técnicas 21.Analisis de pajarita. 2.Entrevistas estructurada s o semiestructuradas. 3.Delphi. 4.Lista de verificación. 5.Analista preliminar de peligros. 6.Estudios de peligros y de operatividad (HAZOP). 7.Análisis de peligro y puntos de control críticos (HACCP). 8.Apreciacion de riesgos ambientales. 9.Estructura (SWIFT). 10.Analisis de escenario. 12.Analisis causa primordial. 13.Analisis de los modos de fallo y de los efectos. 14.Analisis de árbol de fallos. 15.Analisis de árbol de sucesos. 16.Analisis de causa consecuencia. 17.Analisis de causa efecto. 18.Analisis de capas de protección. 19.Diagrama de decisiones. 20.Analisis de fiabilidad humana Mantenimiento centrado de fiabilidad. 23.Analisis de circuito de fuga. 24.Analisis Markov. 25.Simulacion Mote-Carlo. 26.Estadisticas Bayesian y redes Bayes. 27.Curba Fn. 28.Indices de riesgo. 29.Matriz de consecuencia. 30.Analisis de costes/beneficio.

24 Gestión de riesgos como requisito de diferentes normas ISO Cómo lograr su convivencia? 24

25 ISO 9001, ISO ISO 22301, ISO La gestión del riesgo contribuye de manera tangible al logro de los objetivos y a la mejora del desempeño, por ejemplo, en lo referente a la salud y seguridad de las personas, a la conformidad con los requisitos legales y reglamentos, a la aceptación por el público, a la protección ambiental, a la calidad del producto, a la gestión del proyecto, a la eficacia en las operaciones, y a su gobierno y reputación 25

26 ISO 27000, 9000 y el riesgo Acción preventiva: acción tomada para eliminar la causa de una no conformidad potencial u otra situación potencialmente inestable No conformidad: Es el incumplimiento de un requisito 26

27 Gestión de riesgos como requisito de diferentes normas ISO Qué tienen en común? 27

28 Dirección (Alta Gerencia) 1. Tiene responsabilidad dentro del buen gobierno de buscar el logro de los objetivos de la empresa. 2. Puede demostrar su debida diligencia. 3. Le ayuda a invertir los recursos en forma ordenada. 4. Le expuesto (incluso hoy) Esto se traduce en: mensajes claros, coherentes y continuos a toda la organización. Qué tanto se habla del tema de riesgos en sus reuniones gerenciales? 28

29 El propietario del proceso Saber: Conocer en profundidad el proceso que lidera, sus objetivos y riesgos. Poder: Debe tener capacidad para la toma de decisiones y mejorar el proceso, en función del grado de responsabilidad delegada a cada uno. Querer: Debe entender el valor de gestionar los riesgos y asumir voluntariamente su responsabilidad contribuyendo así al logro de los objetivos estratégicos de la organización. La descripción de puesto gerencial incluye la tarea de gestionar sus riesgos? Cuántas veces se trata el tema en sus reuniones gerenciales? 29

30 Actividades del análisis y gestión del riesgo Establecimiento del contexto (5.3) Identificación del riesgo (5.4.2) Comunicación y consulta (5.2) Análisis del riesgo (5.4.3) Evaluación del riesgo (5.4.4) Seguimiento y revisión (5.6) Tratamiento del riesgo (5.5) Fuente: ISO

31 Intensidad del daño Impacto Definiendo las prioridades Probabilidad de ocurrencia bajo medio critico 31

32 Cómo podemos evaluar los riesgos tecnológicos? Conocimiento del entorno (Infraestructura Tecnológica) Inventario de Activos Valoración de Activos Amenazas Vulnerabilidades Identificación de Riesgos Riesgos Posibilidad de Ccurrencia Impacto Cualitativo Estrategia para la Gestión de Riesgos Asumir los riesgos Asumir el impacto de los riesgos. Transferir los riesgos Contratación de seguros. Transferir responsabilidades. Definición de medidas y controles Planes de acción. 32

33 Riesgos ISO Fuente: ISO/IEC

34 COBIT 5 para Riesgos Fuente: COBIT 5 para Riesgos 34

35 COBIT 5 para Riesgos (cont.) Fuente: COBIT 5 para Riesgos 35

36 Enfoques para los modelos No. Modelo Enfoque Impactos de riesgo 1 ISO Todo el negocio. Depende de la técnica que se emplee para la identificación basado en 31010, sin embargo su enfoque es principalmente el negocio. 2 ISO Seguridad de la información. Hacia la confidencialidad, integridad y disponibilidad de la información. 3 COBIT para riesgos Todo el negocio. Pueden asociarse a las dimensiones del BSC (Control de Mando Integral) Financiera, Cliente, Interna, Aprendizaje y Crecimiento y sus objetivos de la empresa. 36

37 debemos hacer con ellos? 37

38 EMTA EVITAR. No proseguir con la actividad riesgosa (!No siempre es posible!) MITIGAR. Tomar medidas tendientes a reducir la probabilidad de ocurrencia y/o impacto, (No siempre implica costos financieros adicionales, incluso puede ahorrar dinero). TRANSFERIR. Que otra parte soporte parte del riesgo (Pensar en que nuevos riesgos ocasiona este cambio). ACEPTAR. Aceptar el riesgo inherente (!Pero conociéndolo!) 38

39 Preguntas Daniel Gómez Ordóñez Gerente de Normatividad Socio Director General CISA, CRISC, ITIL v3, ISO LA, LI ISO LA, LI CBCP, COBIT 5 Fundamentos dordonez@sttsoluciones.com.mx dordonez@teknobiti.mx 39