ISO 31000:2009. Herramienta para evaluar la gestin de riesgoswww.isaca.org.uygestin de riesgosCr Carlos Serra CISA CGEITDatasec UruguayAgenda Qu es el riesgo? Qu riesgo asume al no pensar en sus riesgos www.isaca.org.uypensar en sus riesgos organizacionales? Cmo lo ayuda la ISO 31000:2009 para evaluar su gestin de riesgos? Algunos temas del da a daLa introduccin de la gestin del riesgo y el aseguramiento de su eficacia continua requieren un compromiso fuerte y sostenido de la direccin de la 4.2 Mandato y compromisowww.isaca.org.uycompromiso fuerte y sostenido de la direccin de la organizacin, as como el establecimiento de una planificacin estratgica y rigurosa para conseguir el compromiso a todos los niveles ISO 31000:2009www.isaca.org.uy Sorprendentemente ese caso no parece haber figurado como un riesgo de que las lneas areas y muchas otras compaas para garantizar la gestin. Aparte de las compaas areas, el cierre del espacio areo europeo ha www.isaca.org.uyareas, el cierre del espacio areo europeo ha dejado huella en todo, desde el turismo a la flor y los productores de verduras frescas en frica, los fabricantes de prendas de vestir en Bangladesh y los fabricantes de componentes electrnicos en el Lejano OrienteKevin W. KnightObjetivo: Vender, producir, hacerwww.isaca.org.uyA veces los eventos ocurrenwww.isaca.org.uy Riesgo crediticio Riesgo operacional Riesgo tecnolgico Riesgo estratgico Riesgo legal Riesgo de mercadoRiesgo de liquidezwww.isaca.org.uy Riesgo de mercado Riesgo de liquidez Riesgo de cumplimiento No satisfacer los requisitos del cliente Peligros Ambientales Riesgo de Seguridad Alimenticia Peligro para el ser humano Riesgo reputacional No aporta valor Si pensamos en todo lo malo, no hacemos nada Hay suficientes controles. Ac pensamos en metas, no en riesgos. Aceptamos quees comn que fallen los sistemas tecnolgicos.Por qu no analizar sus riesgos?www.isaca.org.uytecnolgicos. !No hay tiempo para evaluar los riesgos, necesito vender! Ac nunca pas nada. No tenemos los procesos definidos. Gestionar los riesgos no me va a ayudar a vender ms. Si ocurre algo ,ya lo arreglaremos.Conceptos de la Norma ISO 31000:2009www.isaca.org.uy31000:2009(Y de la ISO GUIA 73 y la ISO 31010:2009) Mientras todas las organizaciones gestionan el riesgo a diferentes niveles, esta norma internacional establece un conjunto de principios que se deben satisfacer para que la gestin del riesgo sea eficaz. .. recomienda que las organizaciones desarrollen, implementen y mejoren de manera continuada un INTRODUCCIONwww.isaca.org.uyimplementen y mejoren de manera continuada un marco de trabajo cuyo objetivo sea integrar el proceso de gestin del riesgo en los procesos de gobierno, de estrategia y de planificacin, de gestin, y de elaboracin de informes, as como en las polticas, los valores y en la cultura de toda la organizacin. Esta norma internacional proporciona los principios y las directrices genricas sobre la gestin del riesgo. Puede utilizarse por cualquier empresa 1. OBJETO Y CAMPO DE APLICACINwww.isaca.org.uy Puede utilizarse por cualquier empresa pblica, privada o social, asociacin, grupo o individuo. Por tanto, no es especfica de una industria o sector concreto.a) Responsables de desarrollar la poltica de gestin del riesgo dentro de su organizacin; b) Encargados de asegurar que el riesgo se gestiona de manera eficaz dentro de la organizacin, considerada en su totalidad o en un rea, un proyecto o una actividad especficos;Interesados:www.isaca.org.uyespecficos;c) Los que necesitan evaluar la eficacia de una organizacin en materia de gestin del riesgo; yd) Los que desarrollan normas, guas, procedimientos y cdigos de buenas prcticas que, en su totalidad o en parte, establecen cmo se debe tratar el riesgo dentro del contexto especfico de estos documentos. Es el efecto de la incertidumbre en la consecucin de los objetivos ISO 31000:2009 1. Incertidumbre (puede que nunca ocurra).Qu es riesgo?www.isaca.org.uy 2. El riesgo importa y debe gestionarse porque tiene un efecto (positivo y negativo). 3. Ese efecto es sobre los objetivos fijados.www.isaca.org.uyEstructura para la gestin de riesgoswww.isaca.org.uyISO 31000 ANEXO A (INFORMATIVO)ATRIBUTOS DE UNA GESTIN DEL RIESGO OPTIMIZADA A.3.1 Mejora continuaA.3.2 Responsabilidad completa de los riesgos www.isaca.org.uyriesgos A.3.3 Aplicacin de la gestin del riesgo en todas las tomas de decisionesA.3.4 Comunicacin continuaA.3.5 Integracin completa en la estructura de gobierno de la organizacinNormas complementariaswww.isaca.org.uyISO Gua 73:2009ISO 31010 :2009ISO GUIA 73 :2009proporciona el vocabulario bsico para desarrollar una comprensin de los conceptos y trminos que se utilizan en la gestin del riesgo que son comunes a diferentes organizaciones y funciones, ...www.isaca.org.uy3.6.1.7 matriz de riesgo:Herramienta que permite clasificar y visualizar los riesgos (1.1), mediante la definicin de categoras de consecuencias (3.6.1.3) y de su probabilidad (3.6.1.1).ISO 31010 :2009 Tormenta de ideas Entrevistas estructuradas o semiestructuradas Delphi Listas de ejemplo Anlisis de riesgos preliminar (PHA) Estudio de Peligros y Operabilidad -HAZOP Anlisis de peligros y puntos crticos de control (HACCP) Evaluacin del riesgo ambiental Anlisis de causas y consecuencias Anlisis de casa y efecto Anlisis de Capas de Proteccin (LOPA) rboles de decisin Anlisis de la fiabilidad humana rbol de fallos y sucesos iniciadores (bow tie) Mantenimiento Centrado en la Fiabilidad (RCM) Anlisis de circuitos de fugas Anlisis de cadenas de Markovwww.isaca.org.uy Evaluacin del riesgo ambiental Anlisis Qu pasa si Anlisis de escenarios Anlisis de Impacto de negocio (BIA) Anlisis de Causa Raz (RCA) Anlisis de modo y efecto de la falla ( FMEA ) Anlisis de rbol de fallos Anlisis de rbol de eventos Anlisis de cadenas de Markov Simulacin de Monte Carlo Anlisis Bayesiano Curvas FN ndices de riesgo Matrices de probabilidad y consecuencia Anlisis costo beneficio Anlisis de decisin multicriterio (MCDA)Qu pasa cuando coexisten diversas evaluaciones de riesgo?www.isaca.org.uydiversas evaluaciones de riesgo?ISO 14000, IS0 18000, ISO 22000, ISO 27000 La gestin del riesgo contribuye de manera tangible al logro de los objetivos y a la mejora del desempeo, por ejemplo, en lo referente a la salud y seguridad de las personas, a la conformidad con los requisitos legales y www.isaca.org.uyconformidad con los requisitos legales y reglamentos, a la aceptacin por el pblico, a la proteccin ambiental, a la calidad del producto, a la gestin del proyecto, a la eficacia en las operaciones, y a su gobierno y reputacin. REFERENCIA EN LA ISO 31000 La ISO 9000 y el riesgo Accin preventiva : accin tomada para eliminar la causa de una no conformidad potencial u otra situacin potencialmente inestable www.isaca.org.uyinestable No conformidad es el incumplimiento de un requisito. Entonceswww.isaca.org.uyRecuerde que esta Norma ISO 31000 no es certificableIgnorar sus riesgos no es una opcin Tiene responsabilidad dentro del Buen Gobierno de buscar el logro de los objetivos Le permite demostrar debida diligencia Le ayuda a invertir los recursos en forma ordenadaLa Alta Gerenciawww.isaca.org.uyordenada Le permite conocer los riesgos a que est expuesto (incluso hoy)Esto se traduce en : mensajes claros ,coherentes y continuos a toda la organizacinCunto se habla del tema riesgos en las reuniones gerenciales? Saber: Conocer en profundidad el proceso quelidera, sus objetivos y riesgos. Poder: Debe tener capacidad para la toma de decisiones y mejorar el proceso, en funcin del grado de responsabilidad delegada a cada uno. Querer: Debe entender el valor de gestionar los riesgos y asumir voluntariamente su responsabilidad El propietario del procesowww.isaca.org.uyriesgos y asumir voluntariamente su responsabilidad contribuyendo as al logro de los objetivos estratgicos de la organizacin.La descripcin de puesto gerencial incluye la tarea de gestionar sus riesgos? Cuntas veces se trata el tema en las reuniones gerenciales?ACTIVIDADES DEANLISIS Y GESTIN DE RIESGOwww.isaca.org.uyGESTIN DE RIESGOwww.isaca.org.uyDefiniendo las prioridadesRiesgos intolerablesrequieren accionesurgentesRiesgos a tener en cuenta ymonitorear. Costo-Beneficio. Oportunidades-Consecuenciaswww.isaca.org.uyRiesgos a estar alerta acambios en su severidad uOcurrencia. No asumir costos0IrectorIo, CcIa CrIEstratgIcos CerencIa de CrdItosTecnologiaDperacIonesProedad de los Resyos en cada reawww.isaca.org.uyhapa CraI ClControIesContaduriaCmo podemos evaluar los riesgos tecnolgicos?www.isaca.org.uyRiesgos ISO 27005www.isaca.org.uyQu dicen nuestros Indicadores clave de riesgo (KRI)?www.isaca.org.uyAlgo cuantitativo: Modelo Monte Carlowww.isaca.org.uyY ahora que medimos los riesgos qu podemos hacer?www.isaca.org.uyriesgos qu podemos hacer? ELUDIR no proseguir con la actividad riesgosa (!No siempre es posible!) www.isaca.org.uy TRANSFERIR que otra parte soporte parte del riesgo (Pensar en quenuevos riesgos ocasiona este cambio) REDUCIR tomar medidas tendientes a reducir la probabilidad deocurrencia y/o impacto, (No siempre implica costos financierosadicionales, incluso puede ahorrar dinero) ASUMIR aceptar el riesgo inherente (!Pero conocindolo!)El anlisis de riesgos del anlisis de riesgoswww.isaca.org.uy La Direccin entiendequeConocer los Riesgos Operacionales es importante () Es problema de la Unidad de Riesgos( ) No ha entendido que son los RO ( ) Al Valuar los riesgos, la gente experta:Es muy optimista o pesimista ( )Es realista ( ) No tiene tiempo para hacerlo ( ) Mapas de riesgo por procesowww.isaca.org.uy Mapas de riesgo por procesoNo tiene ( )Tiene para mostrar a la auditoria ()Tiene y se usa para decidir () En el registro de eventos, piensa que se registraran:Menos del 25 % de los eventos ( ) entre un 25 y un 50 ( ) entre 50 y un 75% ( ) entre el 75 y el 100% ( ) Sobre los IndicadoresHay tantos que no son manejables ( ) Se empieza con unos pocos pero adecuados ( ) Elige los que sabe que dan bien ( )Ejemplo de puntos a evaluarPunto de AtencinEvaluacinComentarios Referencia EvidenciaSe entiende por parte de la Direccin que la incertidumbre Normalmente, este atributo se podra verificar a travs de las entrevistas A.3.5 Integracin completa en la estructura de gobierno de la www.isaca.org.uyincertidumbre del futuro implica amenazas y oportunidades que deben ser identificadas?de las entrevistas con la direccin y a travs de la evidencia de sus acciones y declaraciones. Si no hay apoyo de la Direccin no habrn recursos para este procesogobierno de la organizacinEjemplo de puntos a evaluarPunto de Atencin eval. Comentarios Referencia EvidenciaTiene un marco detrabajo que atiende los Esta etapa es bsica para un adecuado trabajo prctico posterior. El marco de 4 Marco de Trabajo ISO 31000www.isaca.org.uyatiende los aspectos estructurales y organizativos de la gestin de riesgos?posterior. El marco de trabajo facilita una gestin eficaz del riesgo mediante la aplicacin del proceso de gestin del riesgo a diferentes niveles y dentro de contextos especficos de la organizacin.Ejemplo de puntos a evaluarPunto de Atencineval.ComentariosReferencia EvidenciaSe cuenta con un plan de tratamientos El plan debe identificar con claridad el orden de 5.5.3 Preparacin e www.isaca.org.uytratamientos razonable, acorde a la severidad de los riesgos asociados?claridad el orden de prioridad en que se deberan implementar los tratamientos de riesgo individualesn e implementacin de los planes de tratamiento del riesgoAnexo(para despus)www.isaca.org.uyCul es el nivel de madurez de su organizacin en gestin de riesgos ?(origen del modelo :opinin del autor)Usted cmo est gestionando sus riesgos?0- No se piensa en ello.1- Se habla de los riesgos a veces y para algunos proyectos en forma inconsistente . Hay un responsable del monitoreo de riesgos con autoridad limitada.2- La administracin de riesgos se da por lo general a alto nivel y tpicamente se aplica solo a proyectos grandes o como respuesta a problemas. Se han identificado riesgos de algunos procesos en forma inicial, medidos en forma cualitativa.3- Hay una poltica de administracin del riesgo que define cundo y cmo llevar a cabo las evaluaciones de riesgo.Todos los riesgos identificados tienen un propietario asignado, si bien el mismo an acta en forma reactiva. Se www.isaca.org.uyun propietario asignado, si bien el mismo an acta en forma reactiva. Se comienzan a registrar los eventos ocurridos pero no se analizan. Hay capacitacin en la materia.4- La alta gerencia ha determinado los niveles de riesgo tolerables para la organizacin. Hay mediciones cuantitativas cuando aplica. Hay indicadores clave definidos y se presentan a un comit que los usa para toma de decisiones.5- La administracin del riesgo est efectivamente integrada en todas las operaciones , es bien aceptada e involucra extensamente a los empleados. Los propietarios de procesos gestionan sus propios riesgos. La gerencia evala en forma permanente las estrategias de mitigacin de riesgos. Hay paneles que muestran la medicin del nivel de riesgo organizacional y por rea. Si su nivel de madurez es 0,1,2lo ayudar a ordenarse, a mejorar los logros y demostrar debida diligencia (piense que este esfuerzo NO CREA La norma ISO 31000 :www.isaca.org.uy(piense que este esfuerzo NO CREA RIESGOS NUEVOS), Si su nivel de madurez es3,4,5 lo ayudar a examinar crticamente si las prcticas y procesos que est aplicando son las ms adecuadas a su caso.Preguntas?Muchas Gracias www.isaca.org.uyMuchas Gracias Carlos R. Serraserra@datasec-soft-com