“La Gestión de Riesgos, hacia una Cultura Preventiva y de ... · de cuáles riesgos necesitan...

“La Gestión de Riesgos, hacia una Cultura Preventiva y

de Mejora”

Rafael A. de Arrascaeta F.

Confidential // Do Not Reproduce without prior written permission 2© 2014, Rafael A. de Arrascaeta F.

Concepto y Alcance

3© 2014, Rafael A. de Arrascaeta F.

¿Por qué las Organizaciones NO analizan sus Riesgos de Negocio?

Porque… Creen que No aporta valor. Si pensamos en todo lo malo, no hacemos nada. Ya Hay suficientes controles. Acá pensamos en metas, no en riesgos. Aceptamos que es común que los sistemas fallen. No hay tiempo para evaluar los riesgos ¡Necesitamos

cumplir nuestra Misión! Acá nunca pasó nada. No tenemos los procesos definidos. Gestionar riesgos… No me va a ayudar a hacer

mi trabajo. Si ocurre algo… Lo arreglamos rápido.


La Gestión de Riesgos es una herramienta que nos permite mejorar el desempeño mejorar el desempeño de la Organización a través de la implementación de acciones Preventivas acciones Preventivas y de Mejoray de Mejora que nos lleven a evitar o minimizar los efectos negativos que puedan afectar el cumplimiento de los Objetivos Estratégicos.

La gestión de riesgos tiene 5 etapas:

Identificación de los riesgosIdentificación de los riesgos Análisis de los riesgosAnálisis de los riesgos Evaluación de los riesgosEvaluación de los riesgos Manejo de riesgosManejo de riesgos Monitoreo y ControlMonitoreo y Control


• Descripción del Riesgo:Descripción del Riesgo: Características generales o las formas en que se observa o manifiesta el riesgo identificado.

• Riesgo:Riesgo: Posibilidad de que ocurra un acontecimiento que impacte el alcance de los objetivos de los procesos y por consiguiente los objetivos estratégicos.

• Posibles consecuencias:Posibles consecuencias: Posibles efectos ocasionados por el riesgo, los cuales se pueden traducir en daños de tipo económico, social, administrativo, entre otros.

Conceptos de Gestión de Riesgos


Riesgos del Negocio…


INTERNOS:INTERNOS:• Desempeño de las Personas• Sistemas de Gestión y de Información• Recursos Económicos• Naturaleza de las actividades de la Organización

EXTERNOS:EXTERNOS:• Económicos• Sociales• Competitividad• Legales• Cambios Tecnológicos

Factores de Riesgo


Principios de la Gestión de Riesgos

Para que la gestión de Riesgos sea efectiva, la organización debería a todos los niveles aplicar y cumplir los siguientes principios:

1. La Gestión de Riesgos Crea y Protege Valor2. Es Parte Integral de la Organización3. Es Parte de la Toma de decisiones4. Aborda explícitamente la Incertidumbre5. Es Sistemática, Estructurada Y Oportuna6. Es basada en la Mejor Información Disponible7. Es Hecha a la Medida8. Toma en cuenta los Factores Humanos y Culturales9. Es Transparente10. Es Dinámica, Reiterativa y Receptiva al Cambio.11. Facilita el Mejoramiento Continuo de la Organización


Gestión de Riesgos de los Procesos:

a. Plan de Gestión de Riesgos en cada proceso: El responsable es cada Dueño de Proceso con su equipo de trabajo.

b. La priorización de aquellos riesgos que previamente han sido identificados, analizados, valorados y manejados en los procesos y que tienen mayor impacto en los objetivos institucionales: El responsable es la Dirección de la Organización

c. La Administración de Riesgos, en el Administración de Riesgos, en el contexto Estratégico: contexto Estratégico: El responsable es el Más Alto Nivel Ejecutivo de la Organización.


Actuar

Verificar Hacer

Planificar

Ciclo de Mejora


Mano de Obra• Competencia (6.2.2)• Conciencia (6.2.2)• Comunicación respecto al

desempeño SGC (5.5.3)• Responsabilidades y

autoridades (5.5.1)

Entradas•Materiales (7.4)•Productos (7.4)•Información e interacción (4.1)•Servicios asociados (6.3)•Recursos (6.1)

Maquinaria•Equipo. Infraestructura o instalaciones . (6.3)

•Programa de Mantenimiento (6.3)

Método (s)• Documentación del SGC (4.2.1)• Procedimientos (documentados o no) (7.1)• Puntos de Control de Calidad del producto y

del proceso• Planes de control u hojas de proceso (7.5)• Manuales, instructivos (7.5) Registros

necesarios (4.2.4)

Salidas•Productos

•Software•Hardware•Servicio o•Materiales Procesados

Medio Ambiente• Factores Físicos

• Espacios, luz, polvo, orden y limpieza (6.4)

• Factores Humano• Ergonomía, ética,

motivación, (6.4)

MedicionesProceso•Seguimiento y medición al proceso (8.2.4)

Producto•Seguimiento y medición al producto (8.2.4); Plan de Calidad; Control de PNC (8.3)

Mejoras•Análisis de Datos: Satisfacción del cliente (8.2.1); Desempeño de procesos y productos (8.2.3 y 8.2.4); Desempeño de Insumos (7.4)•Proceso: Mejores controles (8.2.3, 8.2.4); Mejores métodos (7.5); Actualización de equipo (6.3)•Producto: Decremento en PNC (8.5.2); Mejoras en especificaciones (7.5)•Acciones correctivas y preventivas: Dirigidas al proceso y producto (8.5.2, 8.5.3)

Octopus

No

SiSi

No

No

Si


Proceso de Gestión de Riesgos


Valoración de riegosEl resultado final de una valoración de riesgos, es:

1. La identificación, definición y descripción de los activos, en riesgo potencial.

2. El impacto (Nivel de Riesgo, Grado de Exposición, etc.) que podría ocasionar sobre cada uno de ellos.

3. El Conjunto de acciones que pueden realizarse, en lo posible agrupadas por similitud o área.

4. La Propuesta de varios cursos de acción posibles (protección Máxima, Intermedia, Mínima).

5. La Elección y Aprobación de un curso de acción por parte de la Dirección.

6. El compromiso asumido, para tratar las acciones de ese curso de acción y

7. El Riesgo Residual Asumido, que quedará por lo que no esté dispuesto a abordar (pagar) el máximo nivel de autoridad de la organización.


AmenazasVulnerabilidade

s

Controles

Requerimientos

de Seguridad

Valor de los

Activos

ActivosRiesgos

Aprovechan

Disminuyen Generan

AumentanAumentanProtegen de

Exponen

Imponen Definen TienenAumentaImpactan si se

materializan

FASE 1: Identificación de Riesgos


El riesgo se mide de acuerdo al impacto y la probabilidad y se debe ubicar en una Matriz de Priorización

Probabilidad:Probabilidad: Frecuencia que podría presentar el riesgo, en el Proceso.ALTA: Es muy factible que el riesgo se presenteMEDIA: Es factible que el riesgo se presenteBAJA: Es muy poco factible que el riesgo se presente

Impacto: Impacto: Forma en la cual el riesgo podría afectar los resultados del Proceso.ALTO: afecta en alto grado al procesoMEDIO: afecta en grado medio al procesoBAJO: afecta en grado bajo al proceso

IMPACTO

ALTAMEDIABAJO

BBCBAJA

ABBMEDIA

AABALTA

PROBABILIDAD

IMPACTO

ALTAMEDIABAJO

BBCBAJA

ABBMEDIA

AABALTA

PROBABILIDAD

FASE 2: Análisis del Riesgo


Análisis del Riesgo

El análisis del riesgo implica el desarrollo y la comprensión del riesgo

El análisis del riesgo involucra la consideración de las causas y las fuentes de riesgo, sus consecuencias positivas y negativas, y la posibilidad de que tales consecuencias puedan ocurrir. El riesgo es analizado determinando las consecuencias y su posibilidad, y otros atributos del riesgo.

También se deberían considerar los controles existentes y su eficacia y eficiencia.

Todo esto debería ser consistente con los criterios del riesgo. También es importante considerar la interdependencia de los diferentes riesgos y sus orígenes.


IMPACTO

ALTAMEDIABAJO

BBCBAJA

ABBMEDIA

AABALTA

PROBABILIDAD

IMPACTO

ALTAMEDIABAJO

BBCBAJA

ABBMEDIA

AABALTA

PROBABILIDAD

Analicemos nuestros riesgosAnalicemos nuestros riesgos


Control:Control: Toda acción que tiende a minimizar los riesgos, significa analizar el desempeño de los procesos, evidenciando posibles desviaciones frente al resultado esperado para la adopción de acciones preventivas.

Una vez identificados, analizados y priorizados los riesgos, se identifica si existen controles asociados y si éstos son efectivos, con el fin de determinar el nivel de Riesgo:

FASE 3: Evaluación de Riesgos


Evaluación del riesgo

El propósito de la evaluación del riesgo es facilitar la toma de decisiones, basada en los resultados de dicho análisis, a acerca de cuáles riesgos necesitan tratamiento y la prioridad vara la implementación del tratamiento.

La evaluación del riesgo implica la comparación del nivel de riesgo observado durante el proceso de análisis y de los criterios del riesgo establecidos al considerar el contexto. Con base en esta comparación, se puede considerar la necesidad de tratamiento.

Las decisiones se deberían tomar de acuerdo con los requisitos legales, reglamentarios y otros.La evaluación del riesgo también puede tener como resultado la decisión de no tratar el riesgo de ninguna manera diferente del mantenimiento de los controles existentes.


Al tomar las acciones preventivas se debe considerar:

• Nivel del riesgo.• Balance entre el costo de la

implementación contra el beneficio de cada acción.

• Responsable• Cronograma de implementación.• Indicadores de cumplimiento de la

acción.

Tratamiento del Riesgo

• Evitar el riesgo, generar controles• Reducir el riesgo, disminuir la

probabilidad y el impacto• Compartir o transferir el riesgo • Asumir el riesgo

FASE 4: Tratamiento de Riesgos


Tratamiento del RiesgoEl tratamiento del riesgo implica un proceso cíclico de:

- Valoración del tratamiento del riesgo;- Decisión sobre:

- Si los niveles de riesgo residual son tolerables… - Si no son tolerables, la generación de un nuevo

tratamiento para el riesgo; y - valoración de la eficacia de dicho tratamiento.

Las opciones pueden incluir las siguientes:a) Evitar el riesgo al decidir no iniciar o continuar la actividad que lo

originó;b) Tomar o Incrementar el riesgo para perseguir una oportunidad;c) Retirar la fuente de riesgo;d) Cambiar la probabilidad;e) Cambiar las consecuencias;f) Compartir el riesgo con una o varias de las partes, yg) Retener el riesgo mediante una decisión informada.


Prioridades para el Tratamiento de Riesgos Riesgos a tener en cuenta y monitorear. Costo-Beneficio. Oportunidades-Consecuencias

Riesgos para estar alerta de cambios en su Severidad u Ocurrencia. No asumir costos

Riesgos intolerablesrequieren acciones

urgentes


EN EL MANEJO EN EL MANEJO DE RIEGOS DE RIEGOS

INSTITUCIONALESINSTITUCIONALES: :

Como Parte de la Planeación Estratégica se realizará

una revisión del Plan de Manejo de Riesgos de Contexto Estratégico;

el cual formará parte integral del Plan de

Manejo de Riesgos Institucional.

EN LA EVALUACIÓNEN LA EVALUACIÓNINDEPENDIENTE: INDEPENDIENTE:

El área de Control Interno o

una organización externarealizará evaluaciones periódicasde la Administración de Riesgos

en todos sus componentes

FASE 5: Monitoreo y Revisión

EN EL PROCESOEN EL PROCESO:Cada Dueño de proceso con su equipo de trabajo deberá:

Realizar seguimiento a las Acciones preventivas tomadas en su proceso.

Revisar y actualizar el plan de manejo de riesgo de su proceso

EN EL SGC: EN EL SGC:

Las auditores internos del sistema de calidad evaluarán,

en cada ciclo de auditoría,que los procesos de acuerdo

a la metodología establecida tengan

Identificados los riesgos y se les de tratamiento.

El Equipo Directivo realizará La revisión periódica de la

Administración deRiesgos en los Procesos

EN LA DIRECCIONEN LA DIRECCIONLa Alta Dirección realizará la

revisión anual de la Administración de Riesgos

Institucional: Plan de Manejo deRiesgos en el Contexto estratégico

y Plan de Manejo de Riesgos de Procesos


Monitoreo y RevisiónLos procesos de monitoreo y revisión de la organización deben comprender todos los aspectos del proceso para la gestión del riesgo con el fin de:- Garantizar que los controles son eficaces y eficientes en el

diseño y en la operación;- Obtener información adicional para mejorar la valoración del

riesgo;- Analizar y aprender lecciones a partir de los eventos

(incluyendo los cuasi accidentes), los cambios, las tendencias, los éxitos y los fracasos;

- Detectar cambios en el contexto externo e interno (cambios en los criterios del riesgo y en el riesgo mismo) que puedan exigir revisión de los tratamientos del riesgo y las prioridades; y

- Identificar los riesgos emergentes.El avance en la implementación de los Planes para Tratamiento del Riesgo suministra una medida de desempeño.


CONCLUSIONES


Al finalizar todo el análisis e implementación de la gestión de riesgos, la pregunta crucial es ¿y ahora qué hago?

La respuesta es muy simple empezar de nuevo (¡esto no es para vagos!), los Riesgos son parte del Sistema de Gestión de la Organización y… Todo sistema de gestión es un ciclo sin fin, si no… ¡No habría nada que gestionar!.

Con toda sinceridad creo que a todo responsable de gestionar un proceso/organización, le ha llegado la hora de dejar un poco de lado su perfil técnico/administrativo y… tomarse un tiempo para las actividades de Gestión de los Riesgos.

ISO31000:2009 es el mejor punto de partida y el que mayores satisfacciones les dará al respecto


• La responsabilidad en el seguimiento y tratamiento a los riesgos de cada proceso es del Dueño de Proceso y de los riesgos de contexto estratégico es del responsable de la Planeación Estratégica y la Dirección de l a Organización .

• Un Plan de Gestión de Riesgos es igual que un Mapa de riesgos.

• El Plan de Gestión de Riesgos de la Organización debería comprender:

Plan de manejo de riesgos de contexto estratégico Plan de manejo de riesgos de los procesos, el cual

contiene únicamente los riesgos priorizados de los procesos que impactan directamente los objetivos institucionales.

30

G rac ias p o r s u A te nc ió n…G rac ias p o r s u A te nc ió n…

¿ Pre g untas ?

Rafael A. de Arrascaeta F.e-mail: [email protected]

“La Gestión de Riesgos, hacia una Cultura Preventiva y de ... · de cuáles riesgos necesitan...

Documents

Transcript of “La Gestión de Riesgos, hacia una Cultura Preventiva y de ... · de cuáles riesgos necesitan...