BASC Perú World BASC Organization€¦ · 5.Elaboración de la Matriz de Riesgos de la Empresa....

BASC Perú

World BASC Organization

Agosto 2011

Objetivo General del Taller

Que los participantes tengan la capacidad de Identificar,

analizar, evaluar y tratar los riesgos en la organización, así

como conocer el proceso para implementar un sistema de

gestión de riesgos.

Objetivos Específicos:

1. Dar a conocer a los participantes la metodología para

Identificar los riesgos relacionados al Sistema de Gestión de

Seguridad en la Cadena de Suministro BASC.

2. Que conozcan la metodología de evaluación de riesgos.

3. Elaboración de la Matriz de Riesgos de la Empresa.

Índice:•Definición de Riesgo.

•Definiciones relacionadas al riesgo

•Tipos de Riesgos que enfrentan las organizaciones

•Sistema de Gestión de la Seguridad.

• Requerimientos de Gestión de Riesgos

• Política de administración de riesgos

• Planeamiento y recursos

• Programa de implementación

• Revisión gerencial

• Los Cinco pasos del Proceso de Gestión de Riesgos:

• Establecer el contexto

• Identificación de Riesgos

• Análisis de Riesgos

• Evaluación de Riesgos.

• Tratamiento de los riesgo

• Comunicación y consulta

•Ejercicio de Identificación de Riesgos

•Ejercicio de Evaluación de Riesgos.

•Resumen y otras recomendaciones

Objetivo Principal del TallerAsegurar que los participantes tengan la capacidad de

Identificar, evaluar y analizar los riesgos así como implementar

acciones que sea capaz de mitigarlos.

Objetivos Específicos:1. Dar a conocer a los participantes los conceptos relacionados al

Riesgo.

2. Conocer la metodología para Identificar los Riesgos por procesos.3. Conocer la metodología de evaluar y analizar los Riesgos que

cuentan las empresas por actividades del proceso.

4. Conocer las acciones a tomar para mitigar los riesgos

5. Elaboración de la Matriz de Riesgos de la Empresa.

Riesgo

Oportunidad de que suceda algo que tendrá impacto en los objetivos.

Objetivo “P”

Objetivo “C”

5

• El riesgo se mide en términos de una combinación de

consecuencias de un evento.

• El riesgo puede tener un impacto positivo o negativo.

Riesgo Residual:• Riesgo remanente después de la implementaciòn del tratamiento del Riesgo.

Definiciones

Riesgos Relevantes

Riesgo Residual

Controles Existentes

Concepto Riesgo Residual

Zona No cubierta

por controles

Consecuencia:• Resultado o impacto de un evento.

– Puede haber mas de una consecuencia en un evento

– Pueden variar desde positivas hasta negativas.

– Pueden expresar cualitativa y cuantitativamente.

– Se consideran en relación al logro de los objetivos.

Evento:• Ocurrencia de un conjunto particular de circunstancias.

– El evento puede ser cierto o incierto

– El evento puede ser una sola ocurrencia o una serie de ocurrencias.

Definiciones

Control:

• Proceso, política, dispositivo, práctica u otra accion existente que actúa para

minimizar el riesgo negativo o potenciar oportunidades positivas.

Evaluación del control:

• Revisión sistemática de los procesos para garantizar que los controles aun son

eficaces y adecuados.

– La evaluación periódica de la gestión en línea de los controles con

ferecuencia se denomina “Auto evaluación del Control” ocurrencias.

Definiciones

Frecuencia:• Medición del número de ocurrencias por unidad de tiempo.

Peligro:• Una fuente de daño potencial o una situacion con potencial para causar

perdidas.

Posibilidad:• Se utiliza como descripción general de la posibilidad o la frecuencia.

– Se puede expresar cualitativa o cuntitativamente.

Pérdida:• Cualquier consecuencia negativa, financiero u otro.

Definiciones

Monitorear:• Observar críticamente, supervisar, verificar, medir regularmente el programa

de una actividad, una acción o un sistema para identificar los cambios en elnivel de desempeño requerido o esperado.

Probabilidad:• Medida de la oportunidad de ocurrencia expresada como un número de 0 a 1,

mayormente expresada porcentualmente.

– Para describir el Riesgo se puede usar “frecuencias” o “ posibilidad” perono “probabilidad”.

Posibilidad:• Se utiliza como descripción general de la posibilidad o la frecuencia.

– Se puede expresar cualitativa o cuantitativamente.

Definiciones

Pérdida:

• Cualquier consecuencia negativa o efecto adverso, financiero u otro.

Identificación del Riesgo:

• Proceso para determinar Qué, Cuándo, Dónde, Por qué y Cómo podían sucederalgo.

Análisis del Riesgo:

• Proceso sistemático para entender la naturaleza del riesgo y deducir el nivel delriesgo.

– Proporciona la base para la evaluación del riesgo y las decisiones sobre eltratamiento del riesgo.

Definiciones

Valoración del riesgo:

• Proceso total de Identificación. Analisis y evaluacion del riesgo.

Evitar el riesgo:

• Decisión de NO involucrarse en o retirarse de una situación de riesgo.

Criterios del Riesgo:

• Términos de referencia mediante los cuales se evalúa la importancia delriesgo.

– Los criterios del riesgo pueden incluir costos y beneficios asociados, requisisitoslegales, y estatutos, aspectos socioeconómicos y ambientales, preocupaciones delas partes interesadas , prioridades y otras entradas para la evaluación.

Definiciones

Gestión del riesgo:

• Cultura, procesos y estructuras dirigidas a obtener oportunidadespotenciales mientras se administran los efectos del riesgo.

Proceso de gestión del riesgo:

• Aplicación sistematica de Políticas, procedimientos y prácticas de gestion alas labores de comunicar, establecer el contexto, identificar, analizar,evaluar, tratar, monitorear y revisar el riesgo.

Definiciones

Sistema para la gestión del riesgo:

• Conjunto de elementos del sistema de gestión de una organizacióninvolucrados en la gestión del riesgo.

– Los elementos del sistema de gestión pueden incluir planificación estratégica,toma de decisiones y otras estrategias, procesos y prácticas para abordar elriesgo.

– La Cultura de una organización se refrleja en la gestión del riesgo.

Reducción del riesgo:

• Acciones que se toman para disminuir la posibilidad, las consecuenciasnegativas o ambas, asociadas con un riesgo.

Definiciones

Tratamiento del Riesgo:

• Proceso de selección e implementación de medidas para modificar elriesgo.

• El término “tratamiento del riesgo” en ocasiones se utiliza para las medidas ensí.

• Las medidas para el tratamiento del riesgo pueden incluir evitar, modificar,compartir o retener el riesgo.

Partes involucradas:

• Personas y organizaciones que pueden afectar, verse afectadas o

percibirse como afectadas por la decisión, una actividad o un riesgo.• El termino “parte involucrada” tambien puede incluir a las “partes interesadas”, tal

como se definen en las normas NTC-ISO 14050 y NTC-ISO 14004.

Definiciones

Retención del Riesgo:

• Aceptación del peso de la pérdida o del beneficio de la ganancia de unriesgo particular.

• La retención del riesgo incluye la aceptación del riesgo que NO se hanidentificado.

• El nivel de riesgo retenido puede depender de los criterios de riesgo

Compartir el Riesgo:

• Compartir con otra de las partes el peso de la pérdida o del beneficio de laganancia proveniente de un riesgo particular.

• Los requisitos legales o estutos pueden limitar, prohibir u ordenar compartiralgunos riesgos.

• El compartir el riesgo se puede realizar a través de seguros u otros acuerdos.

• Compartir el riesgo puede crear riesgos nuevos o modificar un riesgoexistente.

Definiciones

Elemental

Toda empresa debe demostrar su habilidad para gestionar los

riesgos, según sus circunstancias particulares, de manera que

apoye de manera efectiva el logro de todos y cada uno de sus

objetivos.

Habilidades:Gestión del

Riesgo

• Generados por el entorno• Generados en el normal desarrollo de las actividades de la organización.

Tipos deRiesgos

Asociados a la naturaleza• Meteorológicos (huracanes, tornados, etc.) y climáticos

• Efecto invernadero, disminución de la capa de ozono, contaminación

de las aguas y el aire.

• Sismos, tsunamis, etc.

Asociados al País, la Región y la ciudad de ubicación• Inversión local y extranjera

• Déficit fiscal, situación política, crecimiento de la economía.

• Terrorismo, narcotráfico, delincuencia, corrupción, etc.

Tipos de Riesgos

Asociado al sector económico y a la industria• Campañas de desprestigio de la competencia

• Espionaje industrial

• Competencia desleal

• Transacciones ilegales

• Corrupción institucional y privada

• Operaciones ilícitas

• Daños por productos

• Accidentes y enfermedades profesionales

• Productos contaminados

Tipos de Riesgos

Puro• Origina pérdida ( incendio, accidente, inundación, explosión, etc.)

Especulativo• Beneficio o pérdida ( inversión en acciones, devaluación,

revaluación, lanzamiento de un producto)

Reputacional • Fraude, insolvencia, conducta irregular, contaminación

Financiero• Mercado, liquidez y crédito

Tipos de Riesgos

Tecnológico• Hardware, software, hacker.

• Obsolescencia, etc.

Laborales• Huelgas, sabotajes, negociación

• Accidentes

Físicos• Corto circuito, incendios, inundación, explosión física, daño en equipos.

Tipos de Riesgos

Las personas.El ser humano es materia prima, producto en proceso y producto terminado

mas importante en la organización y puede ser generador del mayor o del

menor riesgo en la organización, dependiendo del grado de madurez de la

Cultura de Seguridad basada en Gestión del Riesgo.

El proceso.Los procesos mal diseñados, no establecidos, no Identificados o mal

documentados pueden ser un riesgo para la empresa incluso aunque se sigan a

la perfección.

Tipos de Riesgos

Revision por la Direccion

Mejora Continua

Politica de Gestion de la Seguridad

Planificacion de la Seguridad:1. Evaluacion de Riesgos2. Requisitos de Reglamentacion3. Objetivos y metas de Seguridad4. Programa de Gestion de la Seguridad

Implementacion y Operacion:1. Comunicacion2. Documentacion3. Control Operacional4. Preparacion para emergencias

Verificacion y Acciones Correctivas:1. Medicion y Seguimiento2. Evaluacion del Sistema3. No conformidad y accion correctiva4. Registros5. Auditorias

SISTEMA DE GESTION DE LA SEGURIDAD

SISTEMA DE GESTION DE LA SEGURIDAD

Plan del Sistema de Gestión de Riesgos.

• Requerimientos de la Gestión de Riesgos

• Política de Gestión de riesgos

• Planeamiento y recursos

• Programa de implementación

• Revisión gerencial

Los Cinco pasos del Proceso de Gestión de Riesgos:

• Establecer el contexto

• Identificación de Riesgos

• Análisis de Riesgos

• Evaluación de Riesgos.

• Tratamiento de los riesgo

• Comunicación y consulta

Documentación

• Definir y documentar su política para Gestión de Riesgos, incluyendo

objetivos para, y su compromiso con la Gestión de riesgos.

• La política de gestión de riesgos debe ser relevante para el contexto

estratégico de la organización y para sus metas, objetivos y la

naturaleza de su negocio.

• La gerencia asegurará que esta política sea comprendida,

implementada y mantenida en todos los niveles de la organización.

Compromiso gerencial

• La organización debería asegurar que:

a) se ha establecido, implementado y mantenido un sistema de Gestión de riesgos, de acuerdo con este Estándar; y

b) se reporta el desempeño del sistema de Gestión de riesgos a la gerencia de la organización para revisión y como base para su

mejora.

Responsabilidad y autoridad

• Deberá definirse y documentarse la responsabilidad, autoridad e interrelaciones del personal que realiza y

verifica el trabajo que afecta la administración de riesgos, particularmente para la gente que necesita la libertad y

autoridad organizacional para realizar una o más de las siguientes acciones:

a) iniciar acciones para prevenir o reducir los efectos adversos de los riesgos;

b) controlar el tratamiento posterior de los riesgos hasta que el nivel de riesgo se haga aceptable;

c) identificar y registrar cualquier problema relativo a la gestión de riesgos;

d) iniciar, recomendar o proveer soluciones a través de los canales asignados;

e) verificar la implementación de soluciones; y

f) comunicar y consultar interna y externamente según corresponda.

Recursos

• La organización debe identificar los requerimientos de recursos y proveer recursos adecuados, incluyendo la

asignación de personal entrenado para las actividades de administración, desempeño del trabajo, y verificación

incluyendo la revisión interna.

• Se requiere seguir una cantidad de pasos para implementar un sistema

efectivo de Gestión de Riesgos dentro de una organización.

• Dependiendo de la filosofía, cultura y estructura general de Gestión de

Riesgos de la organización, debería ser posible combinar u omitir ciertos

pasos. Sin embargo, deberían considerarse todos los pasos.

• El ejecutivo de la organización debe asegurar que se lleve a cabo una revisión

del sistema de Gestión de Riesgos a intervalos especificados, suficiente para

asegurar su continua conformidad y efectividad para satisfacer los

requerimientos de este Estándar, y las políticas y objetivos de Gestión de

Riesgos establecidos en la organización .

• Deberá llevarse un registro de tales revisiones.

Establecer el contexto

1

Identificar los Riesgos

2

Analizar los Riesgos

3

Evaluar los Riesgos

4

Tratar los Riesgos

5

MO

NIT

OR

EO

Y C

ON

TR

OL

CO

MU

NIC

AR

Y C

ON

SU

LTA

R

EV

ALU

AC

ION

DE

L R

IES

GO

La organización debe de establecer el contexto estratégico

interno y externo y de la gestión del Riesgo en los cuales

tendrán lugar el resto de los procesos.

Establecer el contexto consiste en definir parámetros básicos

dentro de los cuales se deben gestionar los riesgos y establecer

el alcance para el resto del proceso de gestión de riesgos.

Se debe definir los criterios de Identificación, análisis y

evaluación de los riesgos y definirse la estructura del análisis.

El respaldo de la Alta Dirección es factor importante en esta

etapa.

Establecer el contexto

1

Contexto Externo

Define el ambiente externo en que funciona la organización:•Ambiente del negocio:

• Social, Reglamentos, Cultural, Competencia, Político y Financiero

•Amenazas y oportunidades de la organización

•La parte externas involucradas

•Las directrices claves del negocio

ContextoInterno

Antes de iniciar una actividad de gestión del riesgo:•Conocer la cultura

•Conocer las partes internas involucradas.

•Conocer la estructura.

•Conocer los recursos de personas, sistemas, procesos y capital.

Importancia de conocer el contexto interno:•La Gestión del riesgo tiene lugar en el contexto de objetivos y metas.

•El riesgo principal es fallar en los objetivos estratégicos.

•Las Políticas y las metas ayudan a definir la Politica de Gestión/Riesgo

Es crítica una identificación amplia utilizando un proceso sistemático bien estructurado,

porque los riesgos potenciales que no se identifican en esta etapa son excluidos de un

análisis posterior.

La identificación debería incluir todos los riesgos, estén o no bajo control de la

organización.

La identificación de riesgos es el primer paso, y el más importante para la creación de

perfil de riesgo de la organización.

La identificación del que, dónde, cuando, porque y como los eventos podrian impedir,

degradar, demorar o mejorar el logro de los objetivos estrategicos y operacionales del

negocio como base para un analisis poeterior

Una metodología para Identificar los Riesgos es:

•Definicir los Macro-procesos de la organizacion: Estrategicos, Operativos y de

soporte.

•Definir las actividades que se incurren en cada proceso y sub-proceso.

•Identificar los riesgos que se incurren en cada actividad de cada proceso

Identificar

El Riesgo

2

– Una FUENTE de riesgo o peligro, aquello que tiene potencial intrínsico para hacer daño: un químico, competidores, gobierno.

– Un EVENTO o INCIDENTE, aquello que la fuente de riesgo genera un impacto: un derrame, uncompetidor, un reglamento.

– Una CONSECUENCIA, un resultado o impacto sobre un grupo de partes involucradas yrecursos: daño ambiental, pérdida, incremento de mercado, reducción de mercados.

– Una CAUSA, una o una cadena de causas directas y subyacentes: diseño, intervenciónhumana, financiacóon, ausencia de mercado.

– CONTROLES, y su nivel de eficacia: sistemas de detección, sistemas de limpieza, políticas,seguridad, regulaciones, procedimientos, formación, capacitación, investigación.

– CUANDO puede ocurrir un riesgo y DONDE puede ocurrir

– Cual es la fuente de cada riesgo?

– Que puede suceder, donde y cuando?

• Incrementa o reduce el logro eficaz de los objetivos?

• Hara el logro de los objetivos mas o menos eficiente: financiero, temporal, tiempo?

• Producirá beneficios adicionales?

– Como y porque puede suceder?

• Identificar las causas y escenarios posibles

– Herramientas tecnicas a usar para Identificar los riesgos?

• Ver lista

– Que controles existen para abordar estos riesgos?

• (maximimar los riesgos positivos o minimizar los riesgos negativos)

– Que podria causar que los controles no tuvieran los efectos esperados?

Cada fuente genérica tiene numerosos componentes, cualquier de los cuales pueden dar lugar a un

riesgo (Componentes bajo control de la organización y otros estarán fuera de su control). Las fuentes

genéricas de riesgo incluyen:

– a) Relaciones comerciales y legales

Entre la organización y otras organizaciones, ej: proveedores, subcontratistas, arrendatarios.

– b) Circunstancias económicas

De la organización, país, internacionales, como asimismo factores que contribuyen a esas circunstancias

ej: tipos de cambio.

– c) Comportamiento humano

Tanto de los involucrados en la organización como de los que no lo están.

– d) Eventos naturales

– e) Circunstancias políticas

Incluyendo cambios legislativos y factores que pudieran influenciar a otras fuentes de riesgo.

– f) Aspectos tecnológicos y técnicos

Tanto internos como externos a la organización.

– g) Actividades y controles gerenciales

– h) Actividades individuales

1. Lista de chequeo

2. Juicios Basados en experiencia local y extranjera

3. Registros históricos, bases de datos, etc.\ Diagramas de flujos

4. Lluvia de ideas

5. Análisis de sistemas

6. Análisis de escenarios

7. Entrevistas estructurales

8. Discusiones de grupos de enfoque.

9. Planes estratégicos que incluyen el análisis DOFA.

10. Informes y declaraciones de seguros.

11. Experiencia personal y organizacional.

12. Encuestas y cuestionarios.

13. Técnicas de Ingeniería de sistemas

Después de examinar cada elemento se deberá considera lassiguientes preguntas generales:

1. Cual es la confiabilidad de la información?

2. Que confianza tenemos en que la lista de riesgos involucrados sea completa?

3. Hay necesidad de investigación de riesgos específicos?

4. Los objetivos y alcances se abarcan en forma suficiente?

Objetivo: Proveer un ingreso de datos a las decisiones sobre si los

riesgos necesitan ser tratados y sobre estrategias mas apropiadas y

costo- eficaces de tratamiento de los riesgos.

Involucra considerar fuentes de riesgo, sus consecuencias (impactos)

positivas o negativas y las probabilidades de que esas consecuencias

puedan ocurrir .

Pueden identificarse los factores que afectan a las consecuencias y

probabilades (causas)

El Riesgo es analizado combinando consecuencias (impactos) y

probabilidades tomando en cuenta los controles existentes,

P X I = R

Estos elementos permiten al equipo categorizar los riesgos, lo que a su vez le permite

dedicar más energía a la Gestión de los Riesgos más importantes.

Analizarlos riesgos

3

Determinar estrategias y controles existentes:• Identificar los procedimientos, dispositivos o prácticas existentes que actúan para minimizar los

riesgos negativos o mejorar oportunidades positivas y evaluar sus fortalezas y debilidades.

Consecuencia y Probabilidad:• La magnitud de las consecuencias de un evento, en el caso de que el mismo ocurriera, y la

probabilidad del evento y sus consecuencias asociadas, son evaluadas en el contexto de la eficacia delas estrategias y controles existentes.

• Para evitar perjuicios subjetivos cuando se analizan consecuencias y probabilidades, deben de usarse técnicas de informacion y fuentes pertinentes, las fuentes son:

– Registros anteriores

– Practicas y experiencias relevantes

– Literatura relevante publica

– Investigaciones de mercado

– Modelos económicos, de ingeniería etc

– Juicios de especialistas y expertos

Las técnicas son:

– Entrevistas estructuradas con expertos del área de interés

– Uso de grupos multidisciplinarios de expertos

– Evaluaciones individuales utilizando cuestionarios

– Uso de modelos y simulaciones

Tipos de Análisis:

• El analisis del riesgo se lleva en distintos niveles de detalle dependiendo del riesgo.

• El orden de complejidad y los costos de estos analisis en orden ascendente es:

– Análisis cualitativo

– Análisis semi-cuantitativo

– Análisis cuantitativo

Analisis Cualitativo:

• Utiliza palabras o escalas descriptivas para describir la magnitud de las consecuencias potenciales y

probabilidad de que ocurran esas consecuencias.

• Puede utilizarse:

– Como actividad inicial para Identificar los riesgos que requieren un ananlisis mas detallado.

– Cuando esta clase de analisis es apropiado para las desiciones

– Cuando los datos numericos o los recursos son inadecuados para un analisis cuantitativo.

Analisis semi-cuantativo:– En el analisis semi-cuantitativo, a las escalas nominales cualitativas se le asignan valores

– El objetivo es producir una priorizacion mas detallada que la que se logra normalmente en unanalisis cualitativo, y no sugerir valores reales a los riesgo, tales como los que se procuran enun analisis cuantitativo.

– Sin embargo puede no producir una relacion precisa con la magnitud de consecuencia oprobabilidad, pudiendo conducir a resultaos inconsistenetes, anomalos o inapropiados

Analisis cuantativo:– Utiliza valores numericos tanto para las consecuencias como para las probabilidades.

– La calidad del analisis depende de la presicion e integridad de los valores numericos y de la mvalidez de los modelos utilizados.

– Las consecuerncias pueden ser estimadas modelando los resultados de un evento o conjunto de eventos o mediante extrapolacion de estudios experimentales o datos del pasado.

– La forma en la cual se expresan las probabilidades y consecuencias y las formas en las cuales las mismas se combinan para proveer un nivel de riesgo variaran de acuerdo con el tipo de riesgo y el proposito para el cual se va a utilizar el resultado de la evaluacion del riesgo.

– Deberia comunicarse y considerarse la incertidumbre y variabilidad de cada factor del riesgo

Analisis de sensibilidad:

– Al considerar que algunas estimaciones en el analisis de riesgo son imprecisas,

deberia llevarse a cabo un analisis de sensibilidad para verificar el efecto de la

incertidumbre en las suposisciones y datos.

– El analisis de sensisbildad es una formade comprobar l;a adecuacion y

efectividad de los controles y de las opciones de tratamiento de riesgos

potenciales.

Objetivo: Tomar decisiones en los resultados del análisis de riesgo, acerca de los riesgos que

requieren tratamiento y sus prioridades.

Involucra comparar el nivel de riesgo detectado durante el proceso de análisis con

los criterios de riesgo previamente establecidos.

Deberian de considerarse los objetivos de la organizacion y la gama de

oportunidades que podrian resultar del riesgo.

Establecer prioridades de gestion de los riesgos:1. Los riesgos bajos o tolerables podrian ser aceptados con un tratamiento futuro

minimo, los que deben ser monitoreados y revisados periodicamente para

asegurarse que se mantienen en el mismo nivel de riesgo.

2. Si los riesgos no son bajos o tolerables, deberan ser tratados de inmediato

3. El resultado de una evaluacion de riesgos es una lista priorizada de riesgos para

tomar acciones posteriores

4. La decision del analisis deben dar cuenta las consideraciones de tolerabilidad de

los riesgos asumidos

Evaluarlos riesgos

3

Tratamientode riesgos

4

El tratamiento de los riesgos involucra identificar el rango de opciones para

tratar los riesgos, evaluar esas opciones, preparar planes para tratamiento

de los riesgos e implementarlos.

Aceptar y monitorear los riesgos de baja prioridad.

Para otros riesgos desarrollar e implementar un plan de Gestion específico que

incluya consideraciones de fondo.

Las opciones de tratamiento pueden ser:

1. Evitar el Riesgo deciendo no proceder con la actividad que probablemente

generaria el riesgo.

2. Reducir la probabilidad de ocurrencia.

3. Reducir las consecuencias

4. Transferir los riesgos (otra parte soporta o comparta el riesgo)

5. Retener los riesgos (luego de reducir o transferirlos, podrian haber riesgos

residuales que sean retenidos)

• Evitar riesgos puede ocurrir inadecuadamente por una actitud de aversión al

riesgo, que es una tendencia en mucha gente (a menudo influenciada por el

sistema interno de una organización).

• Evitar inadecuadamente algunos riesgos puede aumentar la significación de otros.

• La aversión a riesgos tiene como resultado:

• i) decisiones de evitar o ignorar riesgos independientemente de la

• información disponible y de los costos incurridos en el tratamiento de esos

• riesgos.

• ii) fallas en tratar los riesgos;

• iii) dejar las opciones críticas y/o decisiones en otras partes;

• iv) diferir las decisiones que la organización no puede evitar; o

• v) seleccionar una opción porque representa un riesgo potencial más bajo independientemente de

los beneficios.

• Estas acciones pueden incluir:

– Programas de auditoria y cumplimiento

– Condiciones contractuales

– Revisiones formales de requerimientos, especificaciones, diseño, ingeniería y operaciones

– Inspecciones y controles de procesos

– Administración de inversiones y cartera

– Administración de proyectos

– Mantenimiento preventivo

– Aseguramiento de calidad, administración y estándares

– Investigación y desarrollo, desarrollo tecnológico

– Capacitación estructurada y otros programas

– Supervisión

– Comprobaciones

– Acuerdos organizacionales

– Controles técnicos

Estas acciones pueden incluir:

• Planeamiento de contingencia

• Arreglos contractuales

• Condiciones contractuales

• Características de diseño

• Planes de recupero de desastres

• Barreras de ingeniería y estructurales

• Planeamiento de control de fraudes

• Minimizar la exposición a fuentes de riesgo

• Planeamiento de cartera

• Política y controles de precios

• Separación o reubicación de una actividad y recursos

• Relaciones públicas

• Pagos ex gratia

• Luego de que los riesgos hayan sido reducidos o transferidos, podría haber riesgos

residuales que sean retenidos.

• Deberían ponerse en práctica planes para administrar las consecuencias de esos

riesgos si los mismos ocurrieran, incluyendo identificar medios de financiar dichos

riesgos.

• Los riesgos también pueden ser retenidos en forma predeterminada, ej. cuando

hay una falla para identificar y/o transferir apropiadamente o de otro modo tratar

los riesgos.

• Las opciones deberían ser evaluadas sobre la base del alcance de la reducción del

riesgo, y el alcance de cualquier beneficio u oportunidad adicional creadas.

• La selección de la opción más apropiada involucra balancear el costo de implementar

cada opción contra los beneficios derivados de la misma. En general, el costo de

administrar los riesgos necesita ser conmensurada con los beneficios obtenidos.

• Cuando se pueden obtener grandes reducciones en el riesgo con un gasto

relativamente bajo, tales opciones deberían implementarse.

• Otras opciones de mejoras pueden ser no económicas y necesita ejercerse el juicio

para establecer si son justificables

• En muchos casos, es improbable que cualquier opción de tratamiento del riesgo sea

una solución completa para un problema particular.

• A menudo la organización se beneficiará sustancialmente mediante una combinación

de opciones tales como reducir la probabilidad de los riesgos, reducir sus

consecuencias, y transferir o retener algunos riesgos residuales.

• El ordenamiento de prioridad puede establecerse utilizando distintas técnicas, incluyendo

análisis de “ranking” de riesgos y de costo-beneficio.

• Los planes deberían documentar cómo deben ser implementadas las opciones

seleccionadas.

• El plan de tratamiento debería identificar las responsabilidades, el programa, los

resultados esperados de los tratamientos, el presupuesto, las medidas de desempeño y el

proceso de revisión a establecer.

• El plan también debería incluir un mecanismo para evaluar la implementación de las

opciones contra criterios de desempeño, las responsabilidades individuales y otros

objetivos, y para monitorear los mojones críticos de implementación.

• Idealmente, la responsabilidad por el tratamiento del riesgo debería ser llevada a cabo por

aquellos con mejor posibilidad de controlar el riesgo.

• Las responsabilidades deberían ser acordadas entre las partes en el momento más

temprano posible.

• La implementación exitosa del plan de tratamiento del riesgo requiere un sistema efectivo

de administración que especifique los métodos seleccionados, asigne responsabilidades y

compromisos individuales por las acciones, y los monitoree respecto de criterios

especificados.

• Si luego del tratamiento hay un riesgo residual, debería tomarse la decisión de si retener

este riesgo o repetir el proceso de tratamiento.

Tratar positivamente la identificación de riesgos.

Para que la administración y manejo de riesgos tenga éxito, los miembros de la

organización deberán identificar los riesgos sin temor a ser criticados por ello.

Identificar un riesgo sólo significa que la empresa tiene menos probabilidades de

enfrentarse a una sorpresa desagradable.

El personal no puede prepararse para un riesgo hasta que éste haya sido

identificado.

N lista de Riesgos Principales

Los Principios del Éxito en la Gestión del Riesgo

MO

NIT

OR

EO

Y C

ON

TR

OL

CO

MU

NIC

AR

Y C

ON

SU

LTA

R

Riesgo Acepatble?

Riesgo Aceptable?

Se acepta

Retener

Transferirel Riesgo

ReducirConsecuencias

Evitarel Riesgo

ReducirProbabilidad

Considerar factibilidad , costos y beneficios

Recomendar estrategias de tratamiento

Seleccionar estrategias de tratamiento

Preparar planes de tratamiento

Transferir el Riesgo

ReducirConsecuencias

EvitarEl Riesgo

Reducir Probabilidad

Riesgo Evaluado y rankeado

Si

NoSi

NoIdentificarOpcionesdetratamiento

EvaluarOpciones detratamiento

PrepararPlanes detratamiento

ImplementarPlanes detratamiento

Monitoreoy Control• Es necesario monitorear los riesgos, la efectividad del plan de

tratamiento de los riesgos, las estrategias y el sistema de administración

que se establece para controlar la implementación.

• Los riesgos y la efectividad de las medidas de control necesitan ser

monitoreadas para asegurar que las circunstancias cambiantes no

alteren las prioridades de los riesgos.

• Pocos riesgos permanecen estáticos.

• Es esencial una revisión sobre la marcha para asegurar que el plan de

administración se mantiene relevante.

• Pueden cambiar los factores que podrían afectar las probabilidades y

consecuencias de un resultado, como también los factores que afectan

la conveniencia o costos de las distintas opciones de tratamiento. En

consecuencia, es necesario repetir regularmente el ciclo de

administración de riesgos.

• La revisión es una parte integral del plan de tratamiento de la

administración de riesgos

Controles de Directiva

Estos controles están diseñados para asegurar que un resultado específico se alcance.

Ellos son particularmente importantes cuando es muy importante que un evento no

deseado sea evitado - típicamente asociados con la salud y seguridad o con seguridad.

Ejemplos de este tipo de control sería la de incluir el requisito que la ropa protectora usar

durante el ejercicio de las funciones peligrosas, o el personal que se requiere

capacitación con habilidades antes de que se les permita trabajar sin supervisión.

Controles de Detección

Estos controles están diseñados para identificar ocasiones de tener resultados no

deseados han sido detectados. Su efecto es, por definición, "después del evento“ para

que sólo se apropiada cuando es posible aceptar la pérdida o daños sufridos. (controles

de detección incluyen controles de acciones o de activos,

que detectan si las reservas o los activos se han retirado sin autorización.), la

reconciliación (que puede detectar transacciones no autorizadas).

Controles Preventivos

Estos controles están diseñados para limitar la posibilidad de un resultado no deseado,

que no ha sido detectado. La mayoría de los controles implementados en las

organizaciones tienden a pertenecer a esta categoría. (sólo los debidamente capacitado y

autorizado se le permite manejar tomar acciones.)

Controles Correctivos

Estos controles están diseñados para corregir los resultados indeseables que han sido

detectados. Proporcionan una vía de recurso para conseguir una cierta recuperación de

pérdidas o daños, facilita la recuperación financiera frente a la realización de un riesgo.

Planes de contingencia es un elemento importante de control correctivo, ya que es el

medio por el cual las organizaciones dan continuidad del negocio / recuperación después

de los acontecimientos.

Comunicacióny consulta• La comunicación y consulta son una consideración importante

en cada paso del proceso de administración de riesgos para los

interesados internos y externos en la etapa más temprana del

proceso.

• Este plan debería encarar aspectos relativos al riesgo en si

mismo y al proceso para administrarlo.

• La comunicación y consulta involucra un diálogo en ambas

direcciones entre los interesados, con el esfuerzo focalizado en

la consulta más que un flujo de información en un sólo sentido

del tomador de decisión hacia los interesados.

• Es importante la comunicación efectiva interna y externa para asegurar que

aquellos responsables por implementar la administración de riesgos, y

aquellos con intereses creados comprenden la base sobre la cual se toman las

decisiones y por qué se requieren ciertas acciones en particular.

• Las percepciones de los riesgos pueden variar debido a diferencias en los

supuestos, conceptos, las necesidades, aspectos y preocupaciones de los

interesados, según se relacionen con el riesgo o los aspectos bajo discusión.

Los interesados probablemente harán juicios de aceptabilidad de los riesgos

basados en su percepción de los mismos.

• Dado que los interesados pueden tener un impacto significativo en las

decisiones tomadas, es importante que sus percepciones de los riesgos, así

como, sus percepciones de los beneficios, sean identificadas y documentadas

y las razones subyacentes para las mismas comprendidas y tenidas en cuenta.

Resumen

Metodología de Gestión de Riesgos

Requerimientos del Sistema de

Gestión

Evaluación de Riesgos

Tratamiento de Riesgos

Monitoreo y Control

Comunicación y consulta

Requerimientos para la Gestión del Riesgo:

Política de Gestión de Riesgos, Planeamiento y recursos,

Programa de implementación, Revisión.

Identifica, analiza y evalúa los riesgos en la empresa

Por procesos y sub-procesos

Consolida los riesgos de la empresa priorizados por el nivel de riesgo para su

tratamiento, diseñando y estableciendo controles adecuados

Monitorea y realiza actividades para proveer entendimiento de las fortalezas

y debilidades de la administración de riesgos y controles asociados

Utiliza la información de los riesgos y controles para mejorar el rendimiento

Elemento de Trabajo Descripción

Macro-procesos Establecer los procesos y subprocesos de la organizacion:

Estrategicos, Operacionales y de soporte

Enfoque de Top DownValidación de riesgos estratégicos y definir Macro-

procesos, procesos y subprocesos

Requerimientos para la Gestión del Riesgo:

Política de Gestión de Riesgos, Planeamiento y

recursos, Programa de implementación, Revisión.

Evaluación de riesgos (por procesos y sub-procesos

(matriz de riesgos)

Tratamiento de los riesgos

Monitoreo y control

Comunicación y consulta

TOP DOWN

Características del Riesgo

• El riesgo es una parte fundamental de las operaciones.El único entorno sin riesgo será aquel cuyo futuro no incluya incertidumbres: el que no

se pregunte si una carga llegará a destino, o si un disco duro fallará o cuándo lo hará; el

que no le importe si el transportista conoce de medidas de seguridad.

• El riesgo no es bueno ni malo.Un riesgo es una posibilidad de pérdida futura y aunque ésta pueda ser considerada

como "mala", por sí mismo el riesgo no lo es. No hay riesgo sin oportunidad y no hay

oportunidad sin riesgo.

• El riesgo no hay que temerlo, sino administrarlo.Los riesgos hay que tratarlos reconociendo y minimizando la incertidumbre, y haciendo

frente proactivamente a cada riesgo identificado.

Principios en el Manejo de Riesgos

•Valorar los riesgos continuamente.Nunca debe dejar de buscar riesgos nuevos, así como que hay que volver a evaluar

periódicamente los riesgos existentes.

•Integrar la administración y manejo de riesgos en todos los papeles y funciones.Cada proceso se diseña teniendo en cuenta la administración y manejo de riesgos. Cada

dueño de proceso debe:

•Identificar las fuentes potenciales de riesgo.

•Valorar la posibilidad de que el riesgo llegue a producirse.

•Hacer planes para minimizar esa probabilidad.

•Entender el impacto potencial.

•Hacer planes para minimizar ese impacto.

•Identificar los indicadores que muestran la inminencia del riesgo.

•Planear cómo reaccionar si el riesgo se produce.

Usar una programación basada en riesgos.

Mantener un entorno suele significar la realización de cambios de manera secuencial,

pero siempre que sea posible la empresa debe abordar primero los cambios de

mayor riesgo.

Un ejemplo es la contratación de nuevo personal. Si la compañía desea verificar los

datos de todo el personal, pero hay empleados nuevos en áreas de posiciones

críticas, esos son las primeros que hay que verificar. Si se comprobaran en último

lugar y uno de ellos es un delincuente, la empresa habría malgastado los recursos

invertidos en la verificación de los demás.


Lista de Riesgos Superiores


Establecer un procedimiento aceptable.

El exito requiere que la organización establezca y mantenga procedimientos ymetodologias para la identificacion y evaluacion de las amenazas de la seguridad y

de las amenazas y riesgos relacionados con la gestion de la seguridad y la

identificacion e implementacion de medidas necesarias de control de gestion, que la

empresa entienda y utilice.

Si el procedimiento y metodologia está poco estructurado, la gente lo podrá utilizar

pero los resultados no serán útiles.

Si el procedimiento y metodologia es demasiado perceptivo, es probable que la

gente no lo utilice

.Hágalo simple

Origen del Riesgo

Las personas. Todo el mundo comete errores, por lo que incluso

aunque la tecnología y los procesos de la empresa no

tengan errores, los errores humanos pueden ser un riesgo para

la empresa.

El proceso. Los procesos con errores o mal documentados pueden

ser un riesgo para la empresa incluso aunque se sigan a la

perfección.

Modo de ErrorLas operaciones pueden crear un fallo en la empresa de cuatro maneras diferentes:

•Costo. La infraestructura puede funcionar adecuadamente, pero con un costo

demasiado alto, produciendo una amortización de la inversión demasiado baja.

•Agilidad. La infraestructura puede funcionar adecuadamente, pero carecer de la

capacidad de cambiar con rapidez suficiente para atender a las necesidades de la

empresa.

•Rendimiento. La infraestructura puede no dar satisfacción a las expectativas de los

usuarios bien porque éstas eran erróneas o porque el rendimiento de la

infraestructura es incorrecto.

•Seguridad. La infraestructura puede fallar a la empresa por no proporcionar

protección suficiente a los recursos o por tener una seguridad tan estricta que los

usuarios legítimos no tienen acceso a los recursos.

Matriz del Origen y del Modo

Una solución efectiva y que produce beneficios en las fases posteriores del

proceso, consiste en subdividir todas las condiciones posibles en una tabla:

Modo de Error

Costo Agilidad Rendimiento Seguridad

Personas

Origen Proceso

del Riesgo Tecnología/Material

Externo

Categoría Valor Descripción

Casi Cierto 5 Riesgo cuya probabilidad de ocurrencia es muy alta , es decir, se tiene plenaseguridad que éste se presente, tiende al 100%

Probable 4 Riesgo cuya probabilidad de ocurrencia es alta , es decir, se tiene entre 75% a 95%de seguridad que éste se presente

Moderado 3 Riesgo cuya probabilidad de ocurrencia es media , es decir, se tiene entre 51% a74% de seguridad que éste se presente

Improbable 2 Riesgo cuya probabilidad de ocurrencia es baja , es decir, se tiene entre 26% a 50%de seguridad que éste se presente

Poco Probable 1 Riesgo cuya probabilidad de ocurrencia es muy baja , es decir, se tiene entre 1% a25% de seguridad que éste se presente

Ejemplo de escala para Probabilidad de ocurrenciaEjemplo de escala para Probabilidad de ocurrencia

Categoría Valor Descripción

Catastróficas 5Riesgo cuya materialización influye directamente en el cumplimiento de la misión,pérdida patrimonial o deterioro de la imagen, dejando además sin funcionartotalmente o por un período importante de tiempo, los programas o servicios queentrega la institución

Mayores 4Riesgo cuya materialización dañaría significativamente el patrimonio, imagen o logrode los objetivos sociales. Además, se requeriría una cantidad importante de tiempo dela alta dirección en investigar y corregir los daños

Moderadas 3Riesgo cuya materialización causaría ya sea una pérdida importante en el patrimonioo un deterioro significativo de la imagen. Además, se requeriría una cantidad detiempo importante de la alta dirección en investigar y corregir los daños

Menores 2Riesgo que causa un daño en el patrimonio o imagen, que se puede corregir en elcorto tiempo y que no afecta el cumplimiento de los objetivos estratégicos

Insignificantes 1 Riesgo que puede tener un pequeño o nulo efecto en la institución

Ejemplo de escala para Materialidad del ImpactoEjemplo de escala para Materialidad del Impacto

INDICADOR DE EXPOSICION AL RIESGO

VALOR NVEL DE EXPOSICION AL

RIESGO

NIVEL SEVERIDAD DEL RIESGO

NIVEL EFICIENCIA DEL CONTROL

8,0 – 25,0 NO ACEPTABLE (Na)

4,0 – 7,99 MAYOR (Ma)

3,0 – 3,99 MEDIA (Md)

0,2 - 2,99 MENOR (Me)

Ejemplo para medir nivel de Exposición al RiesgoEjemplo para medir nivel de Exposición al Riesgo

Unacceptable: Immediate action required to manage the risk

Issue: Action required to manage the risk

Supplementary issue: Action is advisable if resources are available

Acceptable: No action required

Rar

e(1)

Unl

ikel

y (2

)

P

ossi

ble

(3)

P

roba

ble

(4)

Alm

ost

cert

ain

(5)

2Acceptable

Insignificant (1) Minor (2) Moderate (3) Major (4) Catastrophic (5)

Like

lihoo

d of

ris

k

Consequence of risk

16Unacceptable

3Acceptable

2Acceptable

1Acceptable

5Issue

3Acceptable

5Supplementary

Issue

4Acceptable

4Acceptable

4Acceptable

6Supplementary

Issue

6Supplementary

Issue

9Issue

12Issue

8Supplementary

Issue

8Supplementary

Issue

12Issue

10Issue

10Issue

15Unacceptable

20Unacceptable

15Unacceptable

20Unacceptable

25Unacceptable

Risk appetite, as defined by the board

IR

RR

IR = Inherent Risk RR = Residual Risk

Inte

rnal

con

trol

Fig.2 Grid showing the significance of risks





Rar

e(1)

Unl

ikel

y (2

)

P

ossi

ble

(3)

P

roba

ble

(4)

Alm

ost

cert

ain

(5)

2Acceptable


Like

lihoo

d of

ris

k

Consequence of risk

16Unacceptable

3Acceptable

2Acceptable

1Acceptable

5Issue

3Acceptable

5Supplementary

Issue

4Acceptable

4Acceptable

4Acceptable

6Supplementary

Issue

6Supplementary

Issue

9Issue

12Issue

8Supplementary

Issue

8Supplementary

Issue

12Issue

10Issue

10Issue

15Unacceptable

20Unacceptable

15Unacceptable

20Unacceptable

25Unacceptable


IR

RR


Inte

rnal

con

trol





Rar

e(1)

Unl

ikel

y (2

)

P

ossi

ble

(3)

P

roba

ble

(4)

Alm

ost

cert

ain

(5)

2Acceptable


Like

lihoo

d of

ris

k

Consequence of risk

16Unacceptable

3Acceptable

2Acceptable

1Acceptable

5Issue

3Acceptable

5Supplementary

Issue

4Acceptable

4Acceptable

4Acceptable

6Supplementary

Issue

6Supplementary

Issue

9Issue

12Issue

8Supplementary

Issue

8Supplementary

Issue

12Issue

10Issue

10Issue

15Unacceptable

20Unacceptable

15Unacceptable

20Unacceptable

25Unacceptable


IR

RR


Inte

rnal

con

trol

Fig.2 Grid showing the significance of risks

Mitigaciones / Reducir.

La reducción del riesgo minimiza la probabilidad del

riesgo, su impacto o ambas cosas.

Por ejemplo:

La redundancia suele reducir el impacto del fallo.

Cuando falla un componente no hay impacto porque el

componente redundante sigue funcionando.

Llevar un seguimiento de la duración esperada de un

componente y sustituirlo antes de que se espere que

falle reduce la probabilidad del fallo.

Idealmente, un método de reducción reduce a cero la probabilidad o el impacto, aunque

esto no es siempre posible.

Desencadenadores

Los desencadenadores indican a la empresa que una condición va

a producirse, o se ha producido, por lo que ha llegado el momento

de poner en marcha el plan de contingencia.

En una situación ideal, el desencadenador se produce antes que la

consecuencia. Es útil pensar en ellos como indicadores

luminosos que se encienden cuando todavía hay tiempo de evitar

el peligro.

Contingencias

Una contingencia es un paso que da la empresa si la condición se produce

o el desencadenador llega a darse.

El plan de contingencia documenta el conjunto de contingencias que

utilizará la empresa al reaccionar ante una condición particular.

•Si se ha cumplido un valor de desencadenador, ejecute entonces el plan de contingencia.

•Si un riesgo se ha vuelto irrelevante, retírelo entonces.

•Si la condición o la consecuencia ha cambiado, rehaga entonces el paso de identificación

para evaluar de nuevo el elemento.

•Si ha cambiado la probabilidad o el impacto, vaya al paso de análisis para actualizarlo.

•Si ya no está en marcha el plan de mitigación, vaya entonces al paso de planeación para

revisarlo.

Al principio este paso puede no parecer necesario, no resultando clara la distinción con el

paso de seguimiento. En la práctica, la necesidad de actuar suele ser detectada por una

herramienta o por personas que carecen de la responsabilidad, autoridad o experiencia

que les permite reaccionar. El paso de control garantiza que sean las personas apropiadas

las que reaccionen en el momento oportuno.

Es perdonable ser derrotado, pero nunca sorprendido.

Frederico, El Grande

BASC Perú World BASC Organization€¦ · 5.Elaboración de la Matriz de Riesgos de la Empresa....

Documents

Transcript of BASC Perú World BASC Organization€¦ · 5.Elaboración de la Matriz de Riesgos de la Empresa....