OBJETIVOS ESPECÍFICOS DEL MÓDULO 2

Transcripción

1 Material elaborado por: Jorge Valencia de los Ríos y Federico Atehortúa Hurtado Propiedad intelectual de GESTIÓN Y CONOCIMIENTO LTDA. Prohibida su reproducción sin autorización 1 OBJETIVOS ESPECÍFICOS DEL MÓDULO 2 Desarrollar en los participantes las habilidades necesarias para la evaluación de la gestión de los riesgos de la organización respecto a las consideraciones de identificación, análisis, evaluación y tratamiento del riesgo definidos en el MECI 1000:2005. Facilitar en los participantes p la construcción del mapa de riesgos de sus organizaciones

2 El verdadero viaje de descubrimiento no consiste en buscar nuevos paisajes, sino nuevos ojos Marcel Proust El creciente interés en la evaluación de riesgos no se debe a que eliminen incertidumbres o riesgos (...). Más bien, la ventaja clave de la evaluación de riesgos es que proporciona un marco sistemático basado en principios científicos para comprender y administrar diversos riesgos. Kolluru et al. Manual de evaluación y administración de Riesgos. 1998) 4 2

3 MECI 1000: CERTEZA TOMA DE DECISIONES INCERTIDUMBRE 6 3

4 POSITIVA OPORTUNIDAD INCERTIDUMBRE NEGATIVA 7 CONCEPTO DEL Riesgo : Percepción subjetiva Gestión del Riesgo : Metodología objetiva 8 4

5 Los Riesgos no son un juego 9 GESTIÓN DEL En la evaluación y administración de riesgos, contemplamos una situación o escenario y nos hacemos este tipo de preguntas: qué puede salir mal y por qué, qué tan factible es, qué tan malo puede ser y qué podemos hacer al respecto?. (Kolluru et al. Manual de evaluación y administración de Riesgos. 1998)

6 MODELOS DE GESTIÓN Y LOS S ISO 9001: Clientes NTCGP1000: Calidad en la gestión pública ISO 14001: Medio ambiente NTC OHSAS Empleados MECI 1000: Control Interno Riesgo de incumplimiento en las características de calidad del producto/servicio Identificación de riesgos en los procesos Riesgo de impacto ambiental negativo Riesgo ocupacional Componente Administración de Riesgos 11 Contingencia o proximidad de un daño. (Diccionario de la Real Academia Española) Posibilidad de que suceda algo que tendrá impacto en los objetivos. Se mide en término de consecuencia y posibilidad de ocurrencia. (Norma NTC 5254:2004) Toda posibilidad de ocurrencia de aquella situación que pueda entorpecer el desarrollo normal de las funciones de la entidad yleimpidanellogro de sus objetivos. (Norma NTC-GP1000:2004, MECI 1000:2005)

7 Enfermedades Financieros: fraudes, multas, malversación Humanos: Disturbios, ataques, sabotajes Salud ocupacional y seguridad industrial: Medidas inadecuadas, deficiente gestión Responsabilidad del producto o servicio: control de calidad, error de diseño Naturales: Incendios, terremotos, inundaciones, sequías Daños en la propiedad: contaminación, incendios Seguridad: Robo, vandalismo Tecnología: Obsolescencia, daños 13 CAUSA EFECTO AGENTES GENERADORES

8 CONCEPTOS CAUSA MOTIVO O RAZÓN por la que se GENERA un 15 CONCEPTOS AGENTES GENERADORES SUJETOS U OBJETOS que tienen LA CAPACIDAD DE ORIGINAR un se pueden clasificar en PERSONAS MATERIALES INSTALACIONES MÉTODOS DE TRABAJO

9 CONCEPTOS EFECTO generalmente se da en CONSECUENCIAS de la OCURRENCIA del PERSONAS BIENES (Materiales o inmateriales) Daños físicos Fallecimientos Pérdidas económicas Pérdida de información Interrupción del servicio Daño ambiental Pérdida de imagen, credibilidad 17 OBJETIVOS DE LA GESTIÓN DEL Preservar la obtención de los resultados, bienes y servicios a la comunidad y diferentes grupos de interés internos y externos. Utilizar en forma efectiva y eficiente, los recursos de la entidad resguardándola contra daños o pérdidas. Evitar o mitigar cualquier pérdida económica ocasionada por la materialización de un riesgo

10 OBJETIVOS DE LA GESTIÓN DEL Garantizar la confiabilidad y oportunidad de la información. Evitar los daños al medio ambiente producto de las actividades de la entidad. Mantener la buena imagen y las buenas relaciones de la entidad con sus grupos de interés PROCESO DE GESTIÓN DEL ESTABLECER EL CONTEXTO COMUNICAR Y CONSULTAR ANÁLISIS DE LOS S EVALUACIÓN DEL HACER SEGUIMIENTO Y REVIS SAR TRATAMIENTO DEL Fuente: NTC 5254:

11 MECI 1000: PROCESO DE GESTIÓN DEL ESTABLECER EL CONTEXTO COMUNICAR Y CONSULTAR ANÁLISIS DE LOS S EVALUACIÓN DEL HACER SEGUIMIENTO Y REVIS SAR TRATAMIENTO DEL Fuente: NTC 5254:

12 ESTABLECER EL CONTEXTO Definir los parámetros básicos dentro de los cuáles se debe manejar el riesgo. El contexto incluye Factores externos Factores internos Información para las demás etapas del proceso de gestión de riesgo 23 ESTABLECER EL CONTEXTO Factores Externos Factores Internos Relación entre la organización y su entorno (DOFA) Partes externas interesadas Marco legal y normativo Cultura Partes internas involucradas Estructura Organizacional Direccionamiento estratégico Aspectos financieros, técnicos, humanos,

13 ESTABLECER EL CONTEXTO PARTES INTERESADAS (STAKEHOLDERS) PERSONAS Y ORGANIZACIONES QUE PUEDEN AFECTAR, VERSE AFECTADAS, O PERCIBIRSE ELLAS MISMAS COMO AFECTADAS POR UNA DECISIÓN O ACTIVIDAD. (NTC 5254: 2004) ORGANIZACIÓN, PERSONA O GRUPO QUE TENGA UN INTERÉS EN EL DESEMPEÑO DE UNA ENTIDAD. (NTCGP1000:2004) 25 ESTABLECER EL CONTEXTO EJEMPLO DE PARTES INTERESADAS (STAKEHOLDERS) REGULADORES CLIENTES PÚBLICO EMPLEADOS/ CONTRATISTAS ACCIONISTAS ORGANIZACIÓN PROVEEDORES INSTITUCIONES FINANCIERAS AGENCIAS DE SEGUROS GRUPOS DE PRESIÓN AMBIENTAL

14 ESTABLECER EL CONTEXTO Probabilidad de Ocurrencia Consecuencia Muy Probable Posible Improbable Menor Moderada Mayor Cada entidad fija sus criterios, los presentados en esta diapositiva corresponden a los utilizados por la Vicerrectoría Administrativa de la Universidad de Antioquia Preste atención a las señales del entorno

15 PROCE ESO DE GESTI IÓN DEL ESTABLECER EL CONTEXTO - Contexto Interno - Contexto Externo - Criterios del modelo Fuente: Manual Directrices de 29 Gestión del Riesgo PROCESO DE GESTIÓN DEL ESTABLECER EL CONTEXTO COMUNICAR Y CONSULTAR ANÁLISIS DE LOS S EVALUACIÓN DEL HACER SEGUIMIENTO Y REVIS SAR TRATAMIENTO DEL Fuente: NTC 5254:

16 Esta fase busca identificar los riesgos que se han de gestionar, teniendo en cuenta los siguientes criterios: Descripción de cada uno de los riesgos que afectan el desempeño de los procesos y sus actividades. Identificación precisa de los efectos de cada riesgo en los procesos y actividades (caracterización de procesos). Identificación precisa de los agentes generadores de cada uno de los riesgos, en los procesos y actividades donde podrían ocurrir. Determinación y descripción de las causas de los riesgos A TENER EN CUENTA: Disponer información histórica confiable. Participación de los involucrados en el proceso y conocedores del tema. Trabajo en equipo. Unificación ió de criterios i

17 Qué puede suceder? Cómo y por qué puede suceder? Herramientas y técnicas : Listas de chequeo Juicio de expertos Diagramas de flujo Lluvia de ideas Análisis de escenarios 33 Para cada proceso de la Organización : Definir el objetivo del proceso (producto / servicio) Identificar los posibles riesgos de no cumplir el objetivo de cada proceso o de afectar el producto o servicio Establecer las causas de los riesgos identificados Identificar las principales p consecuencias o efectos de los riesgos

18 PERSONAS Desconocimiento Omisión Dolo Escasez CAUSAS DEL SUMINISTROS Materiales Información Energía TECNOLOGÍA Equipos Software Redes MÉTODOS Inexistencia Inadecuación Informalidad EXTERNALIDADES Política Legislación Macroeconomía Medio ambiente 35 PROCESO: OBJETIVO: : DESCRIPCIÓN CAUSAS: AGENTE GENARADOR: EFECTOS: Nombre del proceso Transcribir el objetivo que se ha definido para el proceso. Posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las funciones y el logro del objetivo. Características generales o las formas en que se observa o manifiesta el riesgo. Situaciones que generan los riesgos. Sujetos u objetos que tienen capacidad de originar un riesgo, por ejemplo: personas, materiales, instalaciones, entorno, Consecuencias de la ocurrencia del riesgo, generalmente se da sobre personas o bienes

19 Proceso Objetivo Riesgos Descripción DEMORA DESACIERTO Tardanza en el cumplimiento. Agente Generador Personas - Procedimiento Causas Software de compras desactualizado Proceso completamente manual Falta de capacitación del personal Efectos Interrupción de servicios Equivocación o error en la Falta de capacitación del Interrupción Personas compra. de servicios Compras DESPILFARRO Asegurar que los otros procesos de la organización disponen DETERIORO de los bienes y servicios requeridos para su ejecución, de ELUSIÓN manera oportuna y en la cantidad y calidad requeridas. FALSIFICACIÓN DE DOCUMENTOS EVASIÓN Gastar mucho dinero o Personas - tiempo de forma innecesaria Procedimiento o imprudentemente. Daño del bien comprado. Personas - Procedimiento - Instalaciones Buscar mecanismos para Personas no ser sujeto de gravamen. No existe comité de compras Inadecuada selección del personal Pérdidas económicas Pérdidas económicas Daño de bienes Sanciones Daño de imagen Imitar, copiar o reproducir la orden de compra, los Sanciones certificados de experiencia o Daño de Inadecuada selección del documentos legales de la Personas imagen personal entidad o del proveedor, Pérdida de haciéndolos pasar por mercado auténticos o verdaderos. Incumplir total o parcialmente con la entrega de las rentas que Personas corresponda legalmente pagar. Inadecuada selección del personal Sanciones Daño de imagen 37 Proceso Objetivo Riesgos Descripción DEMORA DESACIERTO Tardanza en el cumplimiento. Equivocación o error en la compra. Agente Generador Personas - Procedimiento Personas Causas Software de compras desactualizado Proceso completamente manual Falta de capacitación del personal Efectos Interrupción de servicios Interrupción de servicios DESPILFARRO Gastar mucho dinero o Personas - tiempo de forma innecesaria Procedimiento o imprudentemente. No existe comité de compras Pérdidas económicas Compras Asegurar que los otros procesos de la organización disponen de los bienes y servicios requeridos para su ejecución, de manera oportuna y en la cantidad y calidad requeridas. DETERIORO ELUSIÓN FALSIFICACIÓN DE DOCUMENTOS EVASIÓN Daño del bien comprado. Personas - Procedimiento - Instalaciones Buscar mecanismos para Personas no ser sujeto de gravamen. Imitar, copiar o reproducir la orden de compra, los certificados de experiencia o documentos legales de la Personas entidad o del proveedor, haciéndolos pasar por auténticos o verdaderos. Incumplir total o parcialmente con la entrega de las rentas que Personas corresponda legalmente pagar. Inadecuada selección del personal Inadecuada selección del personal Inadecuada selección del personal Pérdidas económicas Daño de bienes Sanciones Daño de imagen Sanciones Daño de imagen Pérdida de mercado Sanciones Daño de imagen

20 Proceso Objetivo Riesgos Descripción DEMORA DESACIERTO Tardanza en el cumplimiento. Agente Generador Personas - Procedimiento Causas Software de compras desactualizado Proceso completamente manual Falta de capacitación del personal Efectos Interrupción de servicios Equivocación o error en la Falta de capacitación del Interrupción Personas compra. de servicios Compras DESPILFARRO Asegurar que los otros procesos de la organización disponen DETERIORO de los bienes y servicios requeridos para su ejecución, de ELUSIÓN manera oportuna y en la cantidad y calidad requeridas. FALSIFICACIÓN DE DOCUMENTOS EVASIÓN Gastar mucho dinero o Personas - tiempo de forma innecesaria Procedimiento o imprudentemente. Daño del bien comprado. Personas - Procedimiento - Instalaciones Buscar mecanismos para Personas no ser sujeto de gravamen. No existe comité de compras Inadecuada selección del personal Pérdidas económicas Pérdidas económicas Daño de bienes Sanciones Daño de imagen Imitar, copiar o reproducir la orden de compra, los Sanciones certificados de experiencia o Daño de Inadecuada selección del documentos legales de la Personas imagen personal entidad o del proveedor, Pérdida de haciéndolos pasar por mercado auténticos o verdaderos. Incumplir total o parcialmente con la entrega de las rentas que Personas corresponda legalmente pagar. Inadecuada selección del personal Sanciones Daño de imagen 39 IDENTIFICACIÓN DEL Proceso o subproceso: VICERRECTORÍA ADMINISTRATIVA Elaborado por: Aprobado por: No. FACTOR DE (Qué puede ocurrir y cómo puede ocurrir) CONSECUENCIAS DE LA OCURRENCIA DEL Fecha elaboración: Fecha aprobación: CAUSAS DE LA OCURRENCIA DEL MÉTODO DE CONTROL EXISTENTE (Si no existe método de control registre NE) Tomado de

21 La identificación de riesgos se debe hacer en cada contexto 41 PROCE ESO DE GESTI IÓN DEL ESTABLECER EL CONTEXTO - Contexto Interno - Contexto Externo - Criterios del modelo - Qué se puede hacer? - Dónde y cuándo? - Cómo y por qué? Fuente: Manual Directrices de 42 Gestión del Riesgo 21

22 PROCESO DE GESTIÓN DEL ESTABLECER EL CONTEXTO COMUNICAR Y CONSULTAR ANÁLISIS DE LOS S EVALUACIÓN DEL HACER SEGUIMIENTO Y REVIS SAR TRATAMIENTO DEL Fuente: NTC 5254: ANÁLISIS DEL El análisis del riesgo busca establecer la probabilidad bilid d deocurrencia de los riesgos y el impacto de sus consecuencias. Suministra una entrada para las decisiones sobre si es necesario tratar los riesgos y las estrategias de tratamiento del riesgo

23 ANÁLISIS DEL Medida de la tasa de ocurrencia de un evento, expresada como el número de ocurrencias de un evento en un tiempo determinado. (ya sea que se ha presentado o puede presentarse) También se la llama: Frecuencia Posibilidad 45 ANÁLISIS DEL Es la magnitud del deterioro en la situación de la entidad, como resultado de la ocurrencia de un riesgo. También se la llama: Severidad Gravedad Consecuencia

24 ANÁLISIS DEL Determinar los controles existentes Determinar la probabilidad Determinar la severidad de las consecuencias Determinar el nivel de riesgo Tipos de análisis: cualitativos, semi cuantitativos y cuantitativos 47 ANÁLISIS DEL

25 ANÁLISIS DEL 49 ANÁLISIS DEL

26 ANÁLISIS DEL PROBABILID DAD DE OCURREN NCIA PROB BABLE IMPROBABLE MEDIO BAJO MENOR ALTO MEDIO MAYOR IMPACTO 51 ANÁLISIS DEL Vice. Administrativa UdeA SEVERIDAD: Nivel Descriptor Descripción detallada Ocasiona molestias a las personas o retrasos internos no 1 Menor percibidos por el usuario 3 Moderada 5 Mayor Ocasiona lesiones o enfermedades, insatisfacción de los usuarios o sanciones disciplinarias Ocasiona pérdida de vidas humanas, detrimento patrimonial (pérdidas económicas) o sanciones penales o fiscales. PROBABILIDAD DE OCURRENCIA: Nivel Descriptor Descripción detallada Ya ha ocurrido en el proceso y/o no existe ningún control 5 Muy Probable para evitar sus causas. 3 Posible 1 Improbable No ha ocurrido en el proceso pero ha ocurrido en otras entidades y/o existe control pero no está formalizado ni se aplica de forma sistemática. No ha ocurrido en el proceso ni se conoce que haya sucedido en otra entidad y/o existe control sistemático y formalizado sobre las posibles causas. Fuente:

27 ANÁLISIS DEL 53 IÓN DEL ESO DE GESTI PROCE ESTABLECER EL CONTEXTO - Contexto Interno - Contexto Externo - Criterios del modelo - Qué se puede hacer? - Dónde y cuándo? - Cómo y por qué? ANÁLISIS DE LOS S Identificación de controles existentes Determinar las consecuencias Determinar la posibilidad Determinar el nivel de riesgo Fuente: Manual Directrices de 54 Gestión del Riesgo 27

28 PROCESO DE GESTIÓN DEL ESTABLECER EL CONTEXTO COMUNICAR Y CONSULTAR ANÁLISIS DE LOS S EVALUACIÓN DEL HACER SEGUIMIENTO Y REVIS SAR TRATAMIENTO DEL Fuente: NTC 5254: EVALUACIÓN DEL Comparación del nivel de riesgo encontrado durante el análisis contra los criterios de riesgo previamente establecidos. LISTA PRIORIZADA DE S

29 EVALUACIÓN DEL Nivel de riesgo versus Criterios = Tratamiento PRIORIDADES DE TRATAMIENTO 57 EVALUACIÓN DEL PR ROBABILIDAD 3 ALTA 2 MEDIA 1 BAJA LEVE MODERADO CATASTRÓFICO IMPACTO

30 EVALUACIÓN DEL PR ROBABILIDAD 3 ALTA 2 MEDIA 1 BAJA 15 Zona de Riesgo Moderado Evitar el riesgo 10 Zona de Riesgo Tolerable Asumir el riesgo. Reducir el riesgo 5 Zona de Riesgo Aceptable Asumir el riesgo 30 Zona de Riesgo Importante Reducir el Riesgo Evitar el Riesgo Compartir o transferir 20 Zona de Riesgo Moderado Reducir el Riesgo Evitar el Riesgo Compartir o transferir 10 Zona de Riesgo Tolerable Reducir el ingreso Compartir o transferir 60 Zona de Riesgo Inaceptable Evitar el Riesgo Reducir el Riesgo Compartir o transferir 40 Zona de Riesgo Importante Reducir el riesgo Evitar el riesgo Compartir o transferir 20 Zona de Riesgo Moderado Reducir el riesgo Compartir o transferir LEVE MODERADO CATASTRÓFICO IMPACTO 59 EVALUACIÓN DEL OCURRENCIA 5 MUY PROBABLE 3 POSIBLE 1 IMPROBA- BLE Moderado (5): Plantea las acciones correspondientes en el formato seguimiento de acciones correctivas y preventivas, Aceptable (3): Realiza seguimiento periódico analizando la ocurrencia de los eventos. Revisa o define método de control. Aceptable (1): Realiza seguimiento periódico analizando la ocurrencia de los eventos. Revisa o define método de t l Inaceptable (15): Realiza plan de contingencia y plantea acciones preventivas. Moderado (9): plantea las acciones correspondientes en el formato seguimiento de acciones correctivas y preventivas Aceptable (3): Realiza seguimiento periódico analizando la ocurrencia de los eventos. Revisa o define ét d d t l Inaceptable (25): Realiza plan de contingencia y plantea acciones preventivas. Inaceptable (15): Realiza plan de contingencia y plantea acciones preventivas. Moderado (5): Determina la posibilidad de mitigar el impacto con las compañías de seguros u otro mecanismo, además plantear las i ti ti t en el formato seguimiento de acciones correctivas y preventivas. control. método de control. acciones preventivas pertinentes MENOR MODERADA MAYOR SEVERIDAD 60 Fuente: 30

31 EVALUACIÓN DEL CLASIFICACIÓN Y PRIORIZACIÓN DEL Proceso o subproceso: VICERRECTORÍA ADMINISTRATIVA Elaborado por: Fecha elaboración: Aprobado por: Fecha aprobación: No. FACTOR DE (Qué puede ocurrir y cómo puede ocurrir) SEVERIDAD OCURRENCIA NIVEL DEL PRIORIDAD DEL Fuente: EVALUACIÓN DEL

32 IÓN DEL ESO DE GESTI PROCE ESTABLECER EL CONTEXTO - Contexto Interno - Contexto Externo - Criterios del modelo - Qué se puede hacer? - Dónde y cuándo? - Cómo y por qué? ANÁLISIS DE LOS S Identificación de controles existentes Determinar las consecuencias Determinar la posibilidad Determinar el nivel de riesgo EVALUACIÓN DEL -Comparación contra criterios - Establecer prioridades Fuente: Manual Directrices de 63 Gestión del Riesgo PROCESO DE GESTIÓN DEL ESTABLECER EL CONTEXTO COMUNICAR Y CONSULTAR ANÁLISIS DE LOS S EVALUACIÓN DEL HACER SEGUIMIENTO Y REVIS SAR TRATAMIENTO DEL Fuente: NTC 5254:

33 TRATAMIENTO DEL El tratamiento del riesgo implica la identificación de opciones para tratar los riesgos, la valoración de tales opciones y la preparación e implementación ió de los planes de tratamiento. t t Opciones de tratamiento: No afrontar el riesgo Reducir la posibilidad de ocurrencia (evitar las causas) Mitigar las consecuencias Transferir el riesgo 65 TRATAMIENTO DEL Aceptar un riesgo: Significa asumirlo, porque su frecuencia es muy baja y no representa ningún peligro para la entidad. d Reducir el riesgo: Implica tomar medidas encaminadas a disminuir tanto la frecuencia (medidas de prevención), como la severidad (medidas de protección)

34 TRATAMIENTO DEL Compartir el riesgo: Reduce su efecto a través de la transferencia de las pérdidas a otras organizaciones, como en el caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido. Evitar o Eliminar el riesgo: Acciones encaminadas a evitar o eliminar el riesgo cuando su frecuencia y gravedad son altas TRATAMIENTO DEL Reducir las consecuencias: Mitigar los efectos del riesgo. Algunas acciones de mitigación son: Planes de contingencia Barreras estructurales y de ingeniería Separación de recursos Reducción de exposición ió a fuentes de riesgo

35 TRATAMIENTO DEL CAUSA EFECTO ACCIONES PREVENTIVAS Y/O CORRECTIVAS Disminuye la posibilidad Disminuye las pérdidas ACCIONES DE PROTECCIÓN (Mitigación) 69 TRATAMIENTO DEL PROBABILIDAD 3 ALTA 2 MEDIA 1 BAJA Efecto de las Acciones Preventivas y/o Correctivas Efecto de las Acciones de Protección LEVE MODERADO CATASTRÓFICO IMPACTO

36 TRATAMIENTO DEL CLASIFICACIÓN Y PRIORIZACIÓN DEL VICERRECTORÍA ADMINISTRATIVA Proceso o subproceso: Elaborado por: Fecha elaboración: Aprobado por: Fecha aprobación: No. FACTOR DE (Qué puede ocurrir y cómo puede ocurrir) SEVERIDAD OCURRENCIA NIVEL DEL PRIORIDAD DEL Acción de tratamiento Responsable de la acción Fecha límite de implementación Fuente: TRATAMIENTO DEL No. FACTOR DE (Qué puede ocurrir y cómo puede ocurrir) Acción de tratamiento Responsable de la acción Fecha límite de implementación Resultado del seguimiento 1 2 ACCIÓN PREVENTIVA Y/O ACCIÓN CORRECTIVA ACCÓN DE PROTECCIÓN

37 TRATAMIENTO DEL El riesgo residual es el riesgo que queda después de que se han implementado planes de tratamiento TRATAMIENTO DEL Incidente Primeras Horas Primeros Días Hasta un año Acciones inmediatas (respuesta de emergencia) Detección Contención inmediata Acciones Posteriores (reanudación de operaciones) Respuesta de Continuidad Planes ante crisis y emergencia Plan de gestión de crisis Plan de gestión de emergencias Equipos de gestión Planes de continuidad del negocio Medios y comunicaciones Equipo de gestión de continuidad Infraestructura para desastres Planes de recuperación Respuesta de Continuidad Planes de recuperación Actividades de recuperación Nuevo proceso Mejora del desarrollo Evaluación posterior

38 TRATAMIENTO DEL 75 IÓN DEL ESO DE GESTI PROCE ESTABLECER EL CONTEXTO - Contexto Interno - Contexto Externo - Criterios del modelo - Qué se puede hacer? - Dónde y cuándo? - Cómo y por qué? ANÁLISIS DE LOS S Identificación de controles existentes Determinar las consecuencias Determinar la posibilidad Determinar el nivel de riesgo EVALUACIÓN DEL -Comparación contra criterios - Establecer prioridades TRATAMIENTO DEL -Identificar opciones -Evaluar opciones - Implementar planes de tratamiento -Evaluar riesgo residual Fuente: Manual Directrices de 76 Gestión del Riesgo 38

39 PROCESO DE GESTIÓN DEL ESTABLECER EL CONTEXTO COMUNICAR Y CONSULTAR ANÁLISIS DE LOS S EVALUACIÓN DEL HACER SEGUIMIENTO Y REVIS SAR TRATAMIENTO DEL Fuente: NTC 5254: HACER SEGUIMIENTO Y REVISIÓN Eficacia de las medidas de control Cambios en el contexto Pertinencia de los controles Conveniencia del tratamiento Costo del tratamiento

40 IÓN DEL ESO DE GESTI PROCE ESTABLECER EL CONTEXTO - Contexto Interno - Contexto Externo - Criterios del modelo - Qué se puede hacer? - Dónde y cuándo? - Cómo y por qué? ANÁLISIS DE LOS S Identificación de controles existentes Determinar las consecuencias Determinar la posibilidad Determinar el nivel de riesgo EVALUACIÓN DEL -Comparación contra criterios - Establecer prioridades TRATAMIENTO DEL -Identificar opciones -Evaluar opciones - Implementar planes de tratamiento -Evaluar riesgo residual HACER SEGUIMIENTO Y REVIS SAR Fuente: Manual Directrices de 79 Gestión del Riesgo PROCESO DE GESTIÓN DEL ESTABLECER EL CONTEXTO COMUNICAR Y CONSULTAR ANÁLISIS DE LOS S EVALUACIÓN DEL HACER SEGUIMIENTO Y REVIS SAR TRATAMIENTO DEL Fuente: NTC 5254:

41 COMUNICAR Y CONSULTAR Desarrollar un plan de comunicación para las partes interesadas Internas y externas, acerca del riesgo y de su gestión. Debería ser un proceso de consulta y consenso IÓN DEL ESO DE GESTI PROCE COMUNICAR Y CONSULTAR ESTABLECER EL CONTEXTO - Contexto Interno - Contexto Externo - Criterios del modelo - Qué se puede hacer? - Dónde y cuándo? - Cómo y por qué? ANÁLISIS DE LOS S Identificación de controles existentes Determinar las consecuencias Determinar la posibilidad Determinar el nivel de riesgo EVALUACIÓN DEL -Comparación contra criterios - Establecer prioridades TRATAMIENTO DEL -Identificar opciones -Evaluar opciones - Implementar planes de tratamiento -Evaluar riesgo residual HACER SEGUIMIENTO Y REVIS SAR Fuente: Manual Directrices de 82 Gestión del Riesgo 41

42 UNA CLAVE PARA LA GESTIÓN DE S: EL TRABAJO EN EQUIPO QUE TODOS QUEDEMOS EN LA FOTO