GESTION DE RIESGOS

Instructor : Israel Díaz RamosRisk Management

AGENDA

Introducción

Definición y Resultados de la Implementación del Modelo de Gestión del Riesgo

Proceso de Gestión de Riesgos:- Establecer el contexto- Identificación del Riesgo- Análisis del Riesgo- Evaluación del Riesgo- Tratamiento del Riesgo

Hacia una

organización

inteligente frente al

riesgo

La Gestión Integral de Riesgos (ERM) ha estado presente en el mundo empresarial por lo menos en la última década. En algunas industrias, principalmente de servicios financieros y energía, los riesgos específicos son administrados cuidadosamente, usando modelos complejos de probabilidades y análisis sofisticados. En otros sectores como los de servicios y consumo masivo, hay enfoques menos elaborados para la administración del riesgo y día a día crece la necesidad de generar prácticas más sistemáticas.

Son pocas las compañías que administran y valoran de manera inteligente todo el espectro del riesgo al cual están expuestas, abordando todas sus perspectivas de forma continua. No muchas están preparadas previamente para afrontar dichas problemáticas, en caso de que sean vulneradas. Por esto, cuando se aplica correctamente la Gestión Integral de Riesgos, muchas organizaciones se convierten en ‘Empresas inteligentes frente al riesgo’.

Hacia una

organización

inteligente frente al

riesgo

GESTIÓN DEL

RIESGO

“Las organizaciones, no importa cual sea su actividad y tamaño, afrontan una serie de riesgos que pueden afectar a la consecución de sus objetivos.”

Todas las actividades de una organización están sometidas de forma permanente a una serie de amenazas, lo cual las hace altamente vulnerables, comprometiendo su estabilidad. Accidentes operacionales, enfermedades, incendios u otras catástrofes naturales, son una muestra de este panorama, sin olvidar las amenazas propias de su negocio.

La gestión integral de riesgos ha ganado impulso en los últimos años, especialmente a partir de la década de los noventa, lo que ha conllevado la aparición de “Modelos de Gestión de Riesgos”, algunos de ellos de carácter más específico, como por ejemplo: COSO, ISO 14000, ISO 22000, OHSAS, etc. y otros de carácter más global como la norma AS/NZS 4630 o la norma ISO 31000.

ISO 31000-2009Gestión de Riesgos - Principios y GuíasRisk Management - Principles and guides

GESTIÓN DEL RIESGO

COSO: Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) es una entidad privada-sector de las organizaciones voluntarias, establecidas en el Estados Unidos , dedicada a proporcionar orientación a la gestión ejecutiva y las entidades de gobierno en los aspectos críticos del gobierno de la organización, la ética empresarial, control interno, la empresa gestión del riesgo, el fraude y la presentación de informes financieros. COSO ha establecido un modelo común de control interno en contra de que las empresas y organizaciones pueden evaluar sus sistemas de control.

ISO 14000 son una serie de estándares internacionales para Sistemas de Gestión Ambiental que han estado desarrollándose desde finales de los 80. Son estándares voluntarios diseñados para ayudar a organizaciones privadas y gubernamentales a establecer y evaluar objetivamente sus Sistemas de Gestión Ambiental.

ISO 22000 es una norma ISO que define y especifica los requerimientos para desarrollar e implantar Sistemas de Gestión de Seguridad Alimentaria, con el fin de lograr un armonización internacional que permita una mejora de la seguridad alimentaria durante el transcurso de toda la cadena de suministro. La primera edición fue publicada el 1 de septiembre de 2005.

RESULTADOS A OBTENER:

El diseño e implantación de un modelo de gestión del riesgo, permitirá a la organización:

1. Fomenta la gestión proactiva en lugar de la reactiva.2. Ser consciente de la necesidad de identificar y tratar el riesgo en todos los niveles de la

organización.3. Mejora la identificación de oportunidades y amenazas.4. Cumple con los requisitos legales y normativos aplicables así como las normas internacionales.5. Mejora la información financiera.6. Mejora la gestión empresarial.7. Mejora la confianza de los grupos de interés (stakeholders).8. Establece una base fiable para la toma de decisiones y planificación.9. Mejora los controles.10. Reparte y utiliza de forma efectiva los recursos para la gestión de riesgos.11. Mejora la eficacia y la eficiencia operacional.12. Aumenta la seguridad y salud.13. Mejora la prevención así como la gestión de incidentes.14. Minimiza las pérdidas.15. Mejora el aprendizaje organizativo.16. Mejora la resistencia organizativa.

ISO 31000-2009Gestión de Riesgos - Principios y GuíasRisk Management - Principles and guides

GESTIÓN DEL RIESGO

Relación entre los Principios, Estructura de

Soporte y Proceso de Gestión de Riesgos

PROCESO DE GESTIÓN DEL

RIESGO

Evaluación de riesgos es el proceso general de identificación de riesgos, análisis de riesgos y evaluación de riesgos (ISO 31000-2009)

Identificar los riesgos

Establecer el contexto

Analizar los riesgos

Evaluar los riesgos

Tratar los riesgos

Seguimiento y revisión

Comunicación y consulta

Evaluación de riesgos

ESTABLECER EL CONTEXTO

CONTEXTO INTERNO

Ambiente interno en el que la organización busca alcanzar sus objetivos

1. Gobernanza, la estructura organizativa, las funciones y responsabilidades;2. Las políticas, los objetivos y las estrategias que están en marcha para alcanzarlos;3. La capacidad, entendida en términos de recursos y conocimientos (capital, por ejemplo,

tiempo, Personas, procesos, sistemas y tecnologías);4. Los sistemas de información, flujos de información y la toma de decisiones (tanto formales

como informales);5. Relaciones con, y las percepciones y los valores de, grupos de interés internos;6. Cultura de la organización;7. Normas, directrices y modelos adoptados por la organización, y8. La forma y el alcance de las relaciones contractuales.

Planteamiento estratégico (mando de control, administración por objetivos) Misión Visión Operación Valores y principios Políticas

ESTABLECER EL CONTEXTO

Todas las etapas del proceso de operación deben estar claramente definidas con el fin de ver y atribuir las responsabilidades para cada sector, departamentos o campos. El proceso es una consecuencia natural de un método de fabricación, operación, de creación o toda otra actividad de empresa. 

Una visión de empresario es simplemente lo que pretendemos ser y nuestro medio será nuestra misión.

VISIÓN = SER

La misión de una empresa es lo que hacemos o creamos con el fin de realizar nuestra visión o nuestro objetivo, que es sin final .

MISIÓN = HACER

CONTEXTO EXTERNO

Entorno externo en el que la organización busca alcanzar sus objetivos

1. La cultural, social, político, jurídico, reglamentario, financiero, tecnológico, económico, natural y competitivo, ya sea internacional, nacional, regional o local;

2. Factores clave y las tendencias con repercusiones en los objetivos de la organización, y la relaciones con, y las percepciones.

ESTABLECER EL CONTEXTO

IDENTIFICAR RIESGOS

¿Qué es RIESGO?

NTC-5254-2006

Norma Técnica Colombiana – Gestión de Riesgo

Riesgo

Posibilidad de que suceda algo que tendrá impacto en los objetivos. Se mide en términos de consecuencias y posibilidad de ocurrencias

NTC-ISO/IEC 27005-2009

Tecnología de la informaciónTécnicas de seguridad. Gestión del riesgo en la seguridad de la información

Riesgo en la seguridad de la información.

Potencial de que una amenaza determinada explote las vulnerabilidades de los activos o grupos de activos causando daño a la organización.

Nota: Se mide en términos de una combinación de la probabilidad de que suceda un evento y sus consecuencias.

NTC-ISO/IEC 27005-2009

Tecnología de la informaciónTécnicas de seguridad. Gestión del riesgo en la seguridad de la información

Riesgo en la seguridad de la información.

Potencial de que una amenaza determinada explote las vulnerabilidades de los activos o grupos de activos causando daño a la organización.

Nota: Se mide en términos de una combinación de la probabilidad de que suceda un evento y sus consecuencias.

ISO 31000-2009

Gestión de Riesgos - Principios y GuíasRisk Management - Principles and guides

Riesgo

Efecto de la incertidumbre sobre los objetivos de

NOTA 1: Un efecto es una desviación de lo esperado - positivos y / o negativos. En los Objetivos

NOTA 2: puede tener diferentes aspectos (como la salud financiera, y la seguridad, y los objetivos medioambientales) y puede aplicar en diferentes niveles (como estratégica, en toda la organización, proyecto, producto y proceso).

NOTA 3: El riesgo se caracteriza a menudo por referencia a los eventos potenciales (2,17) y Consecuencias (2,18), o un combinación de estos.

NOTA 4 El riesgo se expresa a menudo en términos de una combinación de las consecuencias de un evento (incluidos los cambios en las circunstancias) y la probabilidad asociada (2,19) de ocurrencia.

NOTA 5 La incertidumbre es el estado, incluso parcial, de la deficiencia de la información relacionada con la comprensión o conocimiento de una caso, su consecuencia, o la probabilidad.

La etapa de mayor relevancia en la administración de riesgos

¿Qué puede ocurrir?

¿Cómo puede suceder?

¿Quién puede generarlo?

¿Por qué se puede presentar?

¿Cuándo puede ocurrir?

IDENTIFICAR RIESGOS

Definir que tipos de herramientas se utiliza para la identificación de riesgos

1.- Cuestionario de análisis

2.- Inspecciones físicas

3.- Listas de chequeo

4.- Gráfica de flujos de procesos o flujogramas

5.- Análisis de estados financieros y otra información de la empresa.

6.- Combinación de las anteriores

La etapa de mayor relevancia en la administración de riesgos

Definir el alcance de la identificación de riesgos (objetivo)

• Riesgos asociados al entorno

- Riesgos asociados a la naturaleza.- Riesgos asociados al país, la región y la

ciudad de ubicación.

- Riesgos asociados al sector económico y la industria

• Riesgos generados en la empresa

• Riesgo empresarial

IDENTIFICAR RIESGOS

La etapa de mayor relevancia en la administración de riesgos

Definir el alcance de la identificación de riesgos (objetivo)

IDENTIFICAR RIESGOS

La etapa de mayor relevancia en la administración de riesgos

Definir el enfoque de administración del riesgo (no eventos aislados)

IDENTIFICAR RIESGOS

ANALISIS DE RIESGOS

El análisis de riesgos implica:

1. Desarrollo de la comprensión de los riesgos. 2. Proporciona una entrada a los riesgos la evaluación y las decisiones sobre si

los riesgos necesitan ser tratados, y en el tratamiento del riesgo más adecuadas estrategias y métodos.

3. Consideración de las causas y las fuentes de riesgo, sus positivos y negativos de consecuencias y la probabilidad de que esas consecuencias pueden ocurrir.

4. Factores que afectan.5. La forma en que las consecuencias y la probabilidad se expresan y la forma en

que se combinan para determinar un nivel de riesgo debe reflejar el tipo de riesgo.

6. Criterios de aceptabilidad.7. Apetito de riesgo.

El análisis de riesgos puede llevarse a cabo con diferentes grados de detalle, dependiendo del riesgo, el objetivo de la el análisis y la información, datos y recursos disponibles. Análisis pueden ser cualitativos, cuantitativos o semi - cuantitativos, o una combinación de estos, dependiendo de las circunstancias.

ANALISIS DE RIESGOS

CRITERIOS DE ACPTABILIDAD

INADMISIBLE

INACEPTABLE

TOLERABLE

ACEPTABLE

4,25

Desde 2,55 hasta 3,40

Desde 1,05 hasta 1,95

Desde 0,20 hasta 1,0

ROJO

NARANJA

AMARILLO

VERDE

EVALUACION DE RIESGOS

El propósito de la evaluación de riesgos es ayudar en la toma de decisiones, basada en los resultados de análisis de riesgos, sobre riesgos que necesitan tratamiento y la prioridad para la aplicación del tratamiento.

Evaluación de los riesgos que supone la comparación del nivel de riesgo identificado durante el proceso de análisis con criterios de riesgo establecida cuando se considera el contexto. Basándose en esta comparación, la necesidad de que el tratamiento puede ser considerado.

Las decisiones deben tener en cuenta el contexto más amplio del riesgo y de incluir la consideración de la tolerancia de los riesgos asumidos por otras partes de la organización que se beneficia de los riesgos. Las decisiones deben tomarse en de conformidad con los requisitos legales, reglamentarios y otros.

En algunas circunstancias, la evaluación del riesgo puede llevar a una decisión de proceder a su posterior análisis. El riesgo de evaluación también puede dar lugar no a una decisión de tratar el riesgo de cualquier otra forma de mantener los controles existentes. Esta decisión se verá influida por la actitud de riesgo de la organización y los criterios de riesgo que han sido.

EVALUACION DE RIESGOS

EVALUACION DE RIESGOS

TRATAMIENTO DE LOS RIESGOS

El tratamiento del riesgo consiste en seleccionar una o más opciones de modificación de los riesgos, y la aplicación de esas opciones.

Una vez en marcha, los tratamientos de proporcionar o modificar los controles.

El tratamiento del riesgo implica un proceso cíclico de:

la evaluación de un tratamiento del riesgo;decidir si los niveles de riesgo residual son tolerables;si no tolerables, generando un nuevo tratamiento del riesgo,la evaluación de la eficacia de ese tratamiento.

TRATAMIENTO DE LOS RIESGOS

Las opciones de tratamiento de los riesgos no son necesariamente excluyentes o apropiadas en todas las circunstancias.

Las opciones pueden incluir los siguientes:

a) evitar el riesgo al decidir no iniciar o continuar con la actividad que da lugar al riesgo;b) tomar o aumentar el riesgo con el fin de perseguir una oportunidad;c) eliminar la fuente de riesgo;d) los cambios en la probabilidad;e) cambiar las consecuencias;f) la distribución del riesgo con la otra parte o partes (incluidos los contratos y la financiación de riesgo), yg) mantener el riesgo por decisión informada.

TRATAMIENTO DE LOS RIESGOS

TRATAMIENTO DE LOS RIESGOS

TRATAMIENTO DE LOS RIESGOS

Factor humano

Factor material

Siniestro

VictimasDaño materialDaño ambientalPérdida personalPérdida de valoresPérdida de informaciónConflictos legales

HumanosFinancierosOperacionalesAmbientalesComercialesSocialesReputacionales

EVITAR PREVENIR PROTEGER FINANCIAR ASUMIR

Causas Evento Consecuencias Impactos

Las estrategias de los extremos son “excluyentes” las demás son complementarias y puede combinarse

COMUNICACIÓN Y CONSULTA

La comunicación y consulta con las partes interesadas externas e internas deberá tener lugar durante todas las etapas del proceso de gestión de riesgos.

Por lo tanto, los planes de comunicación y consulta debe desarrollarse en una etapa temprana. Estos deben abordar las cuestiones relacionadas con el riesgo en sí mismo, sus causas, sus consecuencias (si se conoce), y las medidas que se adoptadas para tratarla. La comunicación interna y externa efectiva y la consulta debe llevarse a cabo para garantizar la que los responsables de la aplicación del proceso de gestión del riesgo y las partes interesadas a entender la base en la que se toman las decisiones, y las razones por las medidas son necesarias en particular.

SEGUIMIENTO Y REVISION

El seguimiento y la revisión debería ser una parte planificada del proceso de gestión del riesgo y la participación regular control o vigilancia. Puede ser periódica o ad hoc.

Responsabilidades de supervisión y revisión debe estar claramente definida.

Registro del proceso de gestión de riesgos

Las actividades de gestión de riesgos debe ser rastreable. En el proceso de gestión de riesgos, proporcionar los registros de Fundación para la Mejora de los métodos y herramientas, así como en el proceso global.

Las decisiones relativas a la creación de registros deben tener en cuenta:

• Necesidades de la organización para el aprendizaje continuo;• Los beneficios de la reutilización de la información a efectos de gestión;• Costes y esfuerzos involucrados en la creación y el mantenimiento de registros;• Necesidades legales, reglamentarios y operativos de los registros;• Método de acceso, la facilidad de recuperabilidad y medios de almacenamiento;• Período de retención, y La sensibilidad de la información.

GRACIASIsrael Díaz RamosRisk ManagementTeléfono móvil: 3206779774sinergiagestiondelriesgo@gmail.comdiazramosisrael@gmail.com