BASC Perú World BASC Organization€¦ · 5.Elaboración de la Matriz de Riesgos de la Empresa....
-
Upload
truongphuc -
Category
Documents
-
view
229 -
download
0
Transcript of BASC Perú World BASC Organization€¦ · 5.Elaboración de la Matriz de Riesgos de la Empresa....
BASC Perú
World BASC Organization
Agosto 2011
Objetivo General del Taller
Que los participantes tengan la capacidad de Identificar,
analizar, evaluar y tratar los riesgos en la organización, así
como conocer el proceso para implementar un sistema de
gestión de riesgos.
Objetivos Específicos:
1. Dar a conocer a los participantes la metodología para
Identificar los riesgos relacionados al Sistema de Gestión de
Seguridad en la Cadena de Suministro BASC.
2. Que conozcan la metodología de evaluación de riesgos.
3. Elaboración de la Matriz de Riesgos de la Empresa.
Índice:•Definición de Riesgo.
•Definiciones relacionadas al riesgo
•Tipos de Riesgos que enfrentan las organizaciones
•Sistema de Gestión de la Seguridad.
• Requerimientos de Gestión de Riesgos
• Política de administración de riesgos
• Planeamiento y recursos
• Programa de implementación
• Revisión gerencial
• Los Cinco pasos del Proceso de Gestión de Riesgos:
• Establecer el contexto
• Identificación de Riesgos
• Análisis de Riesgos
• Evaluación de Riesgos.
• Tratamiento de los riesgo
• Comunicación y consulta
•Ejercicio de Identificación de Riesgos
•Ejercicio de Evaluación de Riesgos.
•Resumen y otras recomendaciones
Objetivo Principal del TallerAsegurar que los participantes tengan la capacidad de
Identificar, evaluar y analizar los riesgos así como implementar
acciones que sea capaz de mitigarlos.
Objetivos Específicos:1. Dar a conocer a los participantes los conceptos relacionados al
Riesgo.
2. Conocer la metodología para Identificar los Riesgos por procesos.3. Conocer la metodología de evaluar y analizar los Riesgos que
cuentan las empresas por actividades del proceso.
4. Conocer las acciones a tomar para mitigar los riesgos
5. Elaboración de la Matriz de Riesgos de la Empresa.
Riesgo
Oportunidad de que suceda algo que tendrá impacto en los objetivos.
Objetivo “P”
Objetivo “C”
5
• El riesgo se mide en términos de una combinación de
consecuencias de un evento.
• El riesgo puede tener un impacto positivo o negativo.
Riesgo Residual:• Riesgo remanente después de la implementaciòn del tratamiento del Riesgo.
Definiciones
Riesgos Relevantes
Riesgo Residual
Controles Existentes
Concepto Riesgo Residual
Zona No cubierta
por controles
Consecuencia:• Resultado o impacto de un evento.
– Puede haber mas de una consecuencia en un evento
– Pueden variar desde positivas hasta negativas.
– Pueden expresar cualitativa y cuantitativamente.
– Se consideran en relación al logro de los objetivos.
Evento:• Ocurrencia de un conjunto particular de circunstancias.
– El evento puede ser cierto o incierto
– El evento puede ser una sola ocurrencia o una serie de ocurrencias.
Definiciones
Control:
• Proceso, política, dispositivo, práctica u otra accion existente que actúa para
minimizar el riesgo negativo o potenciar oportunidades positivas.
Evaluación del control:
• Revisión sistemática de los procesos para garantizar que los controles aun son
eficaces y adecuados.
– La evaluación periódica de la gestión en línea de los controles con
ferecuencia se denomina “Auto evaluación del Control” ocurrencias.
Definiciones
Frecuencia:• Medición del número de ocurrencias por unidad de tiempo.
Peligro:• Una fuente de daño potencial o una situacion con potencial para causar
perdidas.
Posibilidad:• Se utiliza como descripción general de la posibilidad o la frecuencia.
– Se puede expresar cualitativa o cuntitativamente.
Pérdida:• Cualquier consecuencia negativa, financiero u otro.
Definiciones
Monitorear:• Observar críticamente, supervisar, verificar, medir regularmente el programa
de una actividad, una acción o un sistema para identificar los cambios en elnivel de desempeño requerido o esperado.
Probabilidad:• Medida de la oportunidad de ocurrencia expresada como un número de 0 a 1,
mayormente expresada porcentualmente.
– Para describir el Riesgo se puede usar “frecuencias” o “ posibilidad” perono “probabilidad”.
Posibilidad:• Se utiliza como descripción general de la posibilidad o la frecuencia.
– Se puede expresar cualitativa o cuantitativamente.
Definiciones
Pérdida:
• Cualquier consecuencia negativa o efecto adverso, financiero u otro.
Identificación del Riesgo:
• Proceso para determinar Qué, Cuándo, Dónde, Por qué y Cómo podían sucederalgo.
Análisis del Riesgo:
• Proceso sistemático para entender la naturaleza del riesgo y deducir el nivel delriesgo.
– Proporciona la base para la evaluación del riesgo y las decisiones sobre eltratamiento del riesgo.
Definiciones
Valoración del riesgo:
• Proceso total de Identificación. Analisis y evaluacion del riesgo.
Evitar el riesgo:
• Decisión de NO involucrarse en o retirarse de una situación de riesgo.
Criterios del Riesgo:
• Términos de referencia mediante los cuales se evalúa la importancia delriesgo.
– Los criterios del riesgo pueden incluir costos y beneficios asociados, requisisitoslegales, y estatutos, aspectos socioeconómicos y ambientales, preocupaciones delas partes interesadas , prioridades y otras entradas para la evaluación.
Definiciones
Gestión del riesgo:
• Cultura, procesos y estructuras dirigidas a obtener oportunidadespotenciales mientras se administran los efectos del riesgo.
Proceso de gestión del riesgo:
• Aplicación sistematica de Políticas, procedimientos y prácticas de gestion alas labores de comunicar, establecer el contexto, identificar, analizar,evaluar, tratar, monitorear y revisar el riesgo.
Definiciones
Sistema para la gestión del riesgo:
• Conjunto de elementos del sistema de gestión de una organizacióninvolucrados en la gestión del riesgo.
– Los elementos del sistema de gestión pueden incluir planificación estratégica,toma de decisiones y otras estrategias, procesos y prácticas para abordar elriesgo.
– La Cultura de una organización se refrleja en la gestión del riesgo.
Reducción del riesgo:
• Acciones que se toman para disminuir la posibilidad, las consecuenciasnegativas o ambas, asociadas con un riesgo.
Definiciones
Tratamiento del Riesgo:
• Proceso de selección e implementación de medidas para modificar elriesgo.
• El término “tratamiento del riesgo” en ocasiones se utiliza para las medidas ensí.
• Las medidas para el tratamiento del riesgo pueden incluir evitar, modificar,compartir o retener el riesgo.
Partes involucradas:
• Personas y organizaciones que pueden afectar, verse afectadas o
percibirse como afectadas por la decisión, una actividad o un riesgo.• El termino “parte involucrada” tambien puede incluir a las “partes interesadas”, tal
como se definen en las normas NTC-ISO 14050 y NTC-ISO 14004.
Definiciones
Retención del Riesgo:
• Aceptación del peso de la pérdida o del beneficio de la ganancia de unriesgo particular.
• La retención del riesgo incluye la aceptación del riesgo que NO se hanidentificado.
• El nivel de riesgo retenido puede depender de los criterios de riesgo
Compartir el Riesgo:
• Compartir con otra de las partes el peso de la pérdida o del beneficio de laganancia proveniente de un riesgo particular.
• Los requisitos legales o estutos pueden limitar, prohibir u ordenar compartiralgunos riesgos.
• El compartir el riesgo se puede realizar a través de seguros u otros acuerdos.
• Compartir el riesgo puede crear riesgos nuevos o modificar un riesgoexistente.
Definiciones
Elemental
Toda empresa debe demostrar su habilidad para gestionar los
riesgos, según sus circunstancias particulares, de manera que
apoye de manera efectiva el logro de todos y cada uno de sus
objetivos.
Habilidades:Gestión del
Riesgo
• Generados por el entorno• Generados en el normal desarrollo de las actividades de la organización.
Tipos deRiesgos
Asociados a la naturaleza• Meteorológicos (huracanes, tornados, etc.) y climáticos
• Efecto invernadero, disminución de la capa de ozono, contaminación
de las aguas y el aire.
• Sismos, tsunamis, etc.
Asociados al País, la Región y la ciudad de ubicación• Inversión local y extranjera
• Déficit fiscal, situación política, crecimiento de la economía.
• Terrorismo, narcotráfico, delincuencia, corrupción, etc.
Tipos de Riesgos
Asociado al sector económico y a la industria• Campañas de desprestigio de la competencia
• Espionaje industrial
• Competencia desleal
• Transacciones ilegales
• Corrupción institucional y privada
• Operaciones ilícitas
• Daños por productos
• Accidentes y enfermedades profesionales
• Productos contaminados
Tipos de Riesgos
Puro• Origina pérdida ( incendio, accidente, inundación, explosión, etc.)
Especulativo• Beneficio o pérdida ( inversión en acciones, devaluación,
revaluación, lanzamiento de un producto)
Reputacional • Fraude, insolvencia, conducta irregular, contaminación
Financiero• Mercado, liquidez y crédito
Tipos de Riesgos
Tecnológico• Hardware, software, hacker.
• Obsolescencia, etc.
Laborales• Huelgas, sabotajes, negociación
• Accidentes
Físicos• Corto circuito, incendios, inundación, explosión física, daño en equipos.
Tipos de Riesgos
Las personas.El ser humano es materia prima, producto en proceso y producto terminado
mas importante en la organización y puede ser generador del mayor o del
menor riesgo en la organización, dependiendo del grado de madurez de la
Cultura de Seguridad basada en Gestión del Riesgo.
El proceso.Los procesos mal diseñados, no establecidos, no Identificados o mal
documentados pueden ser un riesgo para la empresa incluso aunque se sigan a
la perfección.
Tipos de Riesgos
Revision por la Direccion
Mejora Continua
Politica de Gestion de la Seguridad
Planificacion de la Seguridad:1. Evaluacion de Riesgos2. Requisitos de Reglamentacion3. Objetivos y metas de Seguridad4. Programa de Gestion de la Seguridad
Implementacion y Operacion:1. Comunicacion2. Documentacion3. Control Operacional4. Preparacion para emergencias
Verificacion y Acciones Correctivas:1. Medicion y Seguimiento2. Evaluacion del Sistema3. No conformidad y accion correctiva4. Registros5. Auditorias
SISTEMA DE GESTION DE LA SEGURIDAD
SISTEMA DE GESTION DE LA SEGURIDAD
Plan del Sistema de Gestión de Riesgos.
• Requerimientos de la Gestión de Riesgos
• Política de Gestión de riesgos
• Planeamiento y recursos
• Programa de implementación
• Revisión gerencial
Los Cinco pasos del Proceso de Gestión de Riesgos:
• Establecer el contexto
• Identificación de Riesgos
• Análisis de Riesgos
• Evaluación de Riesgos.
• Tratamiento de los riesgo
• Comunicación y consulta
Documentación
• Definir y documentar su política para Gestión de Riesgos, incluyendo
objetivos para, y su compromiso con la Gestión de riesgos.
• La política de gestión de riesgos debe ser relevante para el contexto
estratégico de la organización y para sus metas, objetivos y la
naturaleza de su negocio.
• La gerencia asegurará que esta política sea comprendida,
implementada y mantenida en todos los niveles de la organización.
Compromiso gerencial
• La organización debería asegurar que:
a) se ha establecido, implementado y mantenido un sistema de Gestión de riesgos, de acuerdo con este Estándar; y
b) se reporta el desempeño del sistema de Gestión de riesgos a la gerencia de la organización para revisión y como base para su
mejora.
Responsabilidad y autoridad
• Deberá definirse y documentarse la responsabilidad, autoridad e interrelaciones del personal que realiza y
verifica el trabajo que afecta la administración de riesgos, particularmente para la gente que necesita la libertad y
autoridad organizacional para realizar una o más de las siguientes acciones:
a) iniciar acciones para prevenir o reducir los efectos adversos de los riesgos;
b) controlar el tratamiento posterior de los riesgos hasta que el nivel de riesgo se haga aceptable;
c) identificar y registrar cualquier problema relativo a la gestión de riesgos;
d) iniciar, recomendar o proveer soluciones a través de los canales asignados;
e) verificar la implementación de soluciones; y
f) comunicar y consultar interna y externamente según corresponda.
Recursos
• La organización debe identificar los requerimientos de recursos y proveer recursos adecuados, incluyendo la
asignación de personal entrenado para las actividades de administración, desempeño del trabajo, y verificación
incluyendo la revisión interna.
• Se requiere seguir una cantidad de pasos para implementar un sistema
efectivo de Gestión de Riesgos dentro de una organización.
• Dependiendo de la filosofía, cultura y estructura general de Gestión de
Riesgos de la organización, debería ser posible combinar u omitir ciertos
pasos. Sin embargo, deberían considerarse todos los pasos.
• El ejecutivo de la organización debe asegurar que se lleve a cabo una revisión
del sistema de Gestión de Riesgos a intervalos especificados, suficiente para
asegurar su continua conformidad y efectividad para satisfacer los
requerimientos de este Estándar, y las políticas y objetivos de Gestión de
Riesgos establecidos en la organización .
• Deberá llevarse un registro de tales revisiones.
Establecer el contexto
1
Identificar los Riesgos
2
Analizar los Riesgos
3
Evaluar los Riesgos
4
Tratar los Riesgos
5
MO
NIT
OR
EO
Y C
ON
TR
OL
CO
MU
NIC
AR
Y C
ON
SU
LTA
R
EV
ALU
AC
ION
DE
L R
IES
GO
La organización debe de establecer el contexto estratégico
interno y externo y de la gestión del Riesgo en los cuales
tendrán lugar el resto de los procesos.
Establecer el contexto consiste en definir parámetros básicos
dentro de los cuales se deben gestionar los riesgos y establecer
el alcance para el resto del proceso de gestión de riesgos.
Se debe definir los criterios de Identificación, análisis y
evaluación de los riesgos y definirse la estructura del análisis.
El respaldo de la Alta Dirección es factor importante en esta
etapa.
Establecer el contexto
1
Contexto Externo
Define el ambiente externo en que funciona la organización:•Ambiente del negocio:
• Social, Reglamentos, Cultural, Competencia, Político y Financiero
•Amenazas y oportunidades de la organización
•La parte externas involucradas
•Las directrices claves del negocio
ContextoInterno
Antes de iniciar una actividad de gestión del riesgo:•Conocer la cultura
•Conocer las partes internas involucradas.
•Conocer la estructura.
•Conocer los recursos de personas, sistemas, procesos y capital.
Importancia de conocer el contexto interno:•La Gestión del riesgo tiene lugar en el contexto de objetivos y metas.
•El riesgo principal es fallar en los objetivos estratégicos.
•Las Políticas y las metas ayudan a definir la Politica de Gestión/Riesgo
Es crítica una identificación amplia utilizando un proceso sistemático bien estructurado,
porque los riesgos potenciales que no se identifican en esta etapa son excluidos de un
análisis posterior.
La identificación debería incluir todos los riesgos, estén o no bajo control de la
organización.
La identificación de riesgos es el primer paso, y el más importante para la creación de
perfil de riesgo de la organización.
La identificación del que, dónde, cuando, porque y como los eventos podrian impedir,
degradar, demorar o mejorar el logro de los objetivos estrategicos y operacionales del
negocio como base para un analisis poeterior
Una metodología para Identificar los Riesgos es:
•Definicir los Macro-procesos de la organizacion: Estrategicos, Operativos y de
soporte.
•Definir las actividades que se incurren en cada proceso y sub-proceso.
•Identificar los riesgos que se incurren en cada actividad de cada proceso
Identificar
El Riesgo
2
– Una FUENTE de riesgo o peligro, aquello que tiene potencial intrínsico para hacer daño: un químico, competidores, gobierno.
– Un EVENTO o INCIDENTE, aquello que la fuente de riesgo genera un impacto: un derrame, uncompetidor, un reglamento.
– Una CONSECUENCIA, un resultado o impacto sobre un grupo de partes involucradas yrecursos: daño ambiental, pérdida, incremento de mercado, reducción de mercados.
– Una CAUSA, una o una cadena de causas directas y subyacentes: diseño, intervenciónhumana, financiacóon, ausencia de mercado.
– CONTROLES, y su nivel de eficacia: sistemas de detección, sistemas de limpieza, políticas,seguridad, regulaciones, procedimientos, formación, capacitación, investigación.
– CUANDO puede ocurrir un riesgo y DONDE puede ocurrir
– Cual es la fuente de cada riesgo?
– Que puede suceder, donde y cuando?
• Incrementa o reduce el logro eficaz de los objetivos?
• Hara el logro de los objetivos mas o menos eficiente: financiero, temporal, tiempo?
• Producirá beneficios adicionales?
– Como y porque puede suceder?
• Identificar las causas y escenarios posibles
– Herramientas tecnicas a usar para Identificar los riesgos?
• Ver lista
– Que controles existen para abordar estos riesgos?
• (maximimar los riesgos positivos o minimizar los riesgos negativos)
– Que podria causar que los controles no tuvieran los efectos esperados?
Cada fuente genérica tiene numerosos componentes, cualquier de los cuales pueden dar lugar a un
riesgo (Componentes bajo control de la organización y otros estarán fuera de su control). Las fuentes
genéricas de riesgo incluyen:
– a) Relaciones comerciales y legales
Entre la organización y otras organizaciones, ej: proveedores, subcontratistas, arrendatarios.
– b) Circunstancias económicas
De la organización, país, internacionales, como asimismo factores que contribuyen a esas circunstancias
ej: tipos de cambio.
– c) Comportamiento humano
Tanto de los involucrados en la organización como de los que no lo están.
– d) Eventos naturales
– e) Circunstancias políticas
Incluyendo cambios legislativos y factores que pudieran influenciar a otras fuentes de riesgo.
– f) Aspectos tecnológicos y técnicos
Tanto internos como externos a la organización.
– g) Actividades y controles gerenciales
– h) Actividades individuales
1. Lista de chequeo
2. Juicios Basados en experiencia local y extranjera
3. Registros históricos, bases de datos, etc.\ Diagramas de flujos
4. Lluvia de ideas
5. Análisis de sistemas
6. Análisis de escenarios
7. Entrevistas estructurales
8. Discusiones de grupos de enfoque.
9. Planes estratégicos que incluyen el análisis DOFA.
10. Informes y declaraciones de seguros.
11. Experiencia personal y organizacional.
12. Encuestas y cuestionarios.
13. Técnicas de Ingeniería de sistemas
Después de examinar cada elemento se deberá considera lassiguientes preguntas generales:
1. Cual es la confiabilidad de la información?
2. Que confianza tenemos en que la lista de riesgos involucrados sea completa?
3. Hay necesidad de investigación de riesgos específicos?
4. Los objetivos y alcances se abarcan en forma suficiente?
Objetivo: Proveer un ingreso de datos a las decisiones sobre si los
riesgos necesitan ser tratados y sobre estrategias mas apropiadas y
costo- eficaces de tratamiento de los riesgos.
Involucra considerar fuentes de riesgo, sus consecuencias (impactos)
positivas o negativas y las probabilidades de que esas consecuencias
puedan ocurrir .
Pueden identificarse los factores que afectan a las consecuencias y
probabilades (causas)
El Riesgo es analizado combinando consecuencias (impactos) y
probabilidades tomando en cuenta los controles existentes,
P X I = R
Estos elementos permiten al equipo categorizar los riesgos, lo que a su vez le permite
dedicar más energía a la Gestión de los Riesgos más importantes.
Analizarlos riesgos
3
Determinar estrategias y controles existentes:• Identificar los procedimientos, dispositivos o prácticas existentes que actúan para minimizar los
riesgos negativos o mejorar oportunidades positivas y evaluar sus fortalezas y debilidades.
Consecuencia y Probabilidad:• La magnitud de las consecuencias de un evento, en el caso de que el mismo ocurriera, y la
probabilidad del evento y sus consecuencias asociadas, son evaluadas en el contexto de la eficacia delas estrategias y controles existentes.
• Para evitar perjuicios subjetivos cuando se analizan consecuencias y probabilidades, deben de usarse técnicas de informacion y fuentes pertinentes, las fuentes son:
– Registros anteriores
– Practicas y experiencias relevantes
– Literatura relevante publica
– Investigaciones de mercado
– Modelos económicos, de ingeniería etc
– Juicios de especialistas y expertos
Las técnicas son:
– Entrevistas estructuradas con expertos del área de interés
– Uso de grupos multidisciplinarios de expertos
– Evaluaciones individuales utilizando cuestionarios
– Uso de modelos y simulaciones
Tipos de Análisis:
• El analisis del riesgo se lleva en distintos niveles de detalle dependiendo del riesgo.
• El orden de complejidad y los costos de estos analisis en orden ascendente es:
– Análisis cualitativo
– Análisis semi-cuantitativo
– Análisis cuantitativo
Analisis Cualitativo:
• Utiliza palabras o escalas descriptivas para describir la magnitud de las consecuencias potenciales y
probabilidad de que ocurran esas consecuencias.
• Puede utilizarse:
– Como actividad inicial para Identificar los riesgos que requieren un ananlisis mas detallado.
– Cuando esta clase de analisis es apropiado para las desiciones
– Cuando los datos numericos o los recursos son inadecuados para un analisis cuantitativo.
Analisis semi-cuantativo:– En el analisis semi-cuantitativo, a las escalas nominales cualitativas se le asignan valores
– El objetivo es producir una priorizacion mas detallada que la que se logra normalmente en unanalisis cualitativo, y no sugerir valores reales a los riesgo, tales como los que se procuran enun analisis cuantitativo.
– Sin embargo puede no producir una relacion precisa con la magnitud de consecuencia oprobabilidad, pudiendo conducir a resultaos inconsistenetes, anomalos o inapropiados
Analisis cuantativo:– Utiliza valores numericos tanto para las consecuencias como para las probabilidades.
– La calidad del analisis depende de la presicion e integridad de los valores numericos y de la mvalidez de los modelos utilizados.
– Las consecuerncias pueden ser estimadas modelando los resultados de un evento o conjunto de eventos o mediante extrapolacion de estudios experimentales o datos del pasado.
– La forma en la cual se expresan las probabilidades y consecuencias y las formas en las cuales las mismas se combinan para proveer un nivel de riesgo variaran de acuerdo con el tipo de riesgo y el proposito para el cual se va a utilizar el resultado de la evaluacion del riesgo.
– Deberia comunicarse y considerarse la incertidumbre y variabilidad de cada factor del riesgo
Analisis de sensibilidad:
– Al considerar que algunas estimaciones en el analisis de riesgo son imprecisas,
deberia llevarse a cabo un analisis de sensibilidad para verificar el efecto de la
incertidumbre en las suposisciones y datos.
– El analisis de sensisbildad es una formade comprobar l;a adecuacion y
efectividad de los controles y de las opciones de tratamiento de riesgos
potenciales.
Objetivo: Tomar decisiones en los resultados del análisis de riesgo, acerca de los riesgos que
requieren tratamiento y sus prioridades.
Involucra comparar el nivel de riesgo detectado durante el proceso de análisis con
los criterios de riesgo previamente establecidos.
Deberian de considerarse los objetivos de la organizacion y la gama de
oportunidades que podrian resultar del riesgo.
Establecer prioridades de gestion de los riesgos:1. Los riesgos bajos o tolerables podrian ser aceptados con un tratamiento futuro
minimo, los que deben ser monitoreados y revisados periodicamente para
asegurarse que se mantienen en el mismo nivel de riesgo.
2. Si los riesgos no son bajos o tolerables, deberan ser tratados de inmediato
3. El resultado de una evaluacion de riesgos es una lista priorizada de riesgos para
tomar acciones posteriores
4. La decision del analisis deben dar cuenta las consideraciones de tolerabilidad de
los riesgos asumidos
Evaluarlos riesgos
3
Tratamientode riesgos
4
El tratamiento de los riesgos involucra identificar el rango de opciones para
tratar los riesgos, evaluar esas opciones, preparar planes para tratamiento
de los riesgos e implementarlos.
Aceptar y monitorear los riesgos de baja prioridad.
Para otros riesgos desarrollar e implementar un plan de Gestion específico que
incluya consideraciones de fondo.
Las opciones de tratamiento pueden ser:
1. Evitar el Riesgo deciendo no proceder con la actividad que probablemente
generaria el riesgo.
2. Reducir la probabilidad de ocurrencia.
3. Reducir las consecuencias
4. Transferir los riesgos (otra parte soporta o comparta el riesgo)
5. Retener los riesgos (luego de reducir o transferirlos, podrian haber riesgos
residuales que sean retenidos)
• Evitar riesgos puede ocurrir inadecuadamente por una actitud de aversión al
riesgo, que es una tendencia en mucha gente (a menudo influenciada por el
sistema interno de una organización).
• Evitar inadecuadamente algunos riesgos puede aumentar la significación de otros.
• La aversión a riesgos tiene como resultado:
• i) decisiones de evitar o ignorar riesgos independientemente de la
• información disponible y de los costos incurridos en el tratamiento de esos
• riesgos.
• ii) fallas en tratar los riesgos;
• iii) dejar las opciones críticas y/o decisiones en otras partes;
• iv) diferir las decisiones que la organización no puede evitar; o
• v) seleccionar una opción porque representa un riesgo potencial más bajo independientemente de
los beneficios.
• Estas acciones pueden incluir:
– Programas de auditoria y cumplimiento
– Condiciones contractuales
– Revisiones formales de requerimientos, especificaciones, diseño, ingeniería y operaciones
– Inspecciones y controles de procesos
– Administración de inversiones y cartera
– Administración de proyectos
– Mantenimiento preventivo
– Aseguramiento de calidad, administración y estándares
– Investigación y desarrollo, desarrollo tecnológico
– Capacitación estructurada y otros programas
– Supervisión
– Comprobaciones
– Acuerdos organizacionales
– Controles técnicos
Estas acciones pueden incluir:
• Planeamiento de contingencia
• Arreglos contractuales
• Condiciones contractuales
• Características de diseño
• Planes de recupero de desastres
• Barreras de ingeniería y estructurales
• Planeamiento de control de fraudes
• Minimizar la exposición a fuentes de riesgo
• Planeamiento de cartera
• Política y controles de precios
• Separación o reubicación de una actividad y recursos
• Relaciones públicas
• Pagos ex gratia
• Luego de que los riesgos hayan sido reducidos o transferidos, podría haber riesgos
residuales que sean retenidos.
• Deberían ponerse en práctica planes para administrar las consecuencias de esos
riesgos si los mismos ocurrieran, incluyendo identificar medios de financiar dichos
riesgos.
• Los riesgos también pueden ser retenidos en forma predeterminada, ej. cuando
hay una falla para identificar y/o transferir apropiadamente o de otro modo tratar
los riesgos.
• Las opciones deberían ser evaluadas sobre la base del alcance de la reducción del
riesgo, y el alcance de cualquier beneficio u oportunidad adicional creadas.
• La selección de la opción más apropiada involucra balancear el costo de implementar
cada opción contra los beneficios derivados de la misma. En general, el costo de
administrar los riesgos necesita ser conmensurada con los beneficios obtenidos.
• Cuando se pueden obtener grandes reducciones en el riesgo con un gasto
relativamente bajo, tales opciones deberían implementarse.
• Otras opciones de mejoras pueden ser no económicas y necesita ejercerse el juicio
para establecer si son justificables
• En muchos casos, es improbable que cualquier opción de tratamiento del riesgo sea
una solución completa para un problema particular.
• A menudo la organización se beneficiará sustancialmente mediante una combinación
de opciones tales como reducir la probabilidad de los riesgos, reducir sus
consecuencias, y transferir o retener algunos riesgos residuales.
• El ordenamiento de prioridad puede establecerse utilizando distintas técnicas, incluyendo
análisis de “ranking” de riesgos y de costo-beneficio.
• Los planes deberían documentar cómo deben ser implementadas las opciones
seleccionadas.
• El plan de tratamiento debería identificar las responsabilidades, el programa, los
resultados esperados de los tratamientos, el presupuesto, las medidas de desempeño y el
proceso de revisión a establecer.
• El plan también debería incluir un mecanismo para evaluar la implementación de las
opciones contra criterios de desempeño, las responsabilidades individuales y otros
objetivos, y para monitorear los mojones críticos de implementación.
• Idealmente, la responsabilidad por el tratamiento del riesgo debería ser llevada a cabo por
aquellos con mejor posibilidad de controlar el riesgo.
• Las responsabilidades deberían ser acordadas entre las partes en el momento más
temprano posible.
• La implementación exitosa del plan de tratamiento del riesgo requiere un sistema efectivo
de administración que especifique los métodos seleccionados, asigne responsabilidades y
compromisos individuales por las acciones, y los monitoree respecto de criterios
especificados.
• Si luego del tratamiento hay un riesgo residual, debería tomarse la decisión de si retener
este riesgo o repetir el proceso de tratamiento.
Tratar positivamente la identificación de riesgos.
Para que la administración y manejo de riesgos tenga éxito, los miembros de la
organización deberán identificar los riesgos sin temor a ser criticados por ello.
Identificar un riesgo sólo significa que la empresa tiene menos probabilidades de
enfrentarse a una sorpresa desagradable.
El personal no puede prepararse para un riesgo hasta que éste haya sido
identificado.
N lista de Riesgos Principales
Los Principios del Éxito en la Gestión del Riesgo
MO
NIT
OR
EO
Y C
ON
TR
OL
CO
MU
NIC
AR
Y C
ON
SU
LTA
R
Riesgo Acepatble?
Riesgo Aceptable?
Se acepta
Retener
Transferirel Riesgo
ReducirConsecuencias
Evitarel Riesgo
ReducirProbabilidad
Considerar factibilidad , costos y beneficios
Recomendar estrategias de tratamiento
Seleccionar estrategias de tratamiento
Preparar planes de tratamiento
Transferir el Riesgo
ReducirConsecuencias
EvitarEl Riesgo
Reducir Probabilidad
Riesgo Evaluado y rankeado
Si
NoSi
NoIdentificarOpcionesdetratamiento
EvaluarOpciones detratamiento
PrepararPlanes detratamiento
ImplementarPlanes detratamiento
Monitoreoy Control• Es necesario monitorear los riesgos, la efectividad del plan de
tratamiento de los riesgos, las estrategias y el sistema de administración
que se establece para controlar la implementación.
• Los riesgos y la efectividad de las medidas de control necesitan ser
monitoreadas para asegurar que las circunstancias cambiantes no
alteren las prioridades de los riesgos.
• Pocos riesgos permanecen estáticos.
• Es esencial una revisión sobre la marcha para asegurar que el plan de
administración se mantiene relevante.
• Pueden cambiar los factores que podrían afectar las probabilidades y
consecuencias de un resultado, como también los factores que afectan
la conveniencia o costos de las distintas opciones de tratamiento. En
consecuencia, es necesario repetir regularmente el ciclo de
administración de riesgos.
• La revisión es una parte integral del plan de tratamiento de la
administración de riesgos
Controles de Directiva
Estos controles están diseñados para asegurar que un resultado específico se alcance.
Ellos son particularmente importantes cuando es muy importante que un evento no
deseado sea evitado - típicamente asociados con la salud y seguridad o con seguridad.
Ejemplos de este tipo de control sería la de incluir el requisito que la ropa protectora usar
durante el ejercicio de las funciones peligrosas, o el personal que se requiere
capacitación con habilidades antes de que se les permita trabajar sin supervisión.
Controles de Detección
Estos controles están diseñados para identificar ocasiones de tener resultados no
deseados han sido detectados. Su efecto es, por definición, "después del evento“ para
que sólo se apropiada cuando es posible aceptar la pérdida o daños sufridos. (controles
de detección incluyen controles de acciones o de activos,
que detectan si las reservas o los activos se han retirado sin autorización.), la
reconciliación (que puede detectar transacciones no autorizadas).
Controles Preventivos
Estos controles están diseñados para limitar la posibilidad de un resultado no deseado,
que no ha sido detectado. La mayoría de los controles implementados en las
organizaciones tienden a pertenecer a esta categoría. (sólo los debidamente capacitado y
autorizado se le permite manejar tomar acciones.)
Controles Correctivos
Estos controles están diseñados para corregir los resultados indeseables que han sido
detectados. Proporcionan una vía de recurso para conseguir una cierta recuperación de
pérdidas o daños, facilita la recuperación financiera frente a la realización de un riesgo.
Planes de contingencia es un elemento importante de control correctivo, ya que es el
medio por el cual las organizaciones dan continuidad del negocio / recuperación después
de los acontecimientos.
Comunicacióny consulta• La comunicación y consulta son una consideración importante
en cada paso del proceso de administración de riesgos para los
interesados internos y externos en la etapa más temprana del
proceso.
• Este plan debería encarar aspectos relativos al riesgo en si
mismo y al proceso para administrarlo.
• La comunicación y consulta involucra un diálogo en ambas
direcciones entre los interesados, con el esfuerzo focalizado en
la consulta más que un flujo de información en un sólo sentido
del tomador de decisión hacia los interesados.
• Es importante la comunicación efectiva interna y externa para asegurar que
aquellos responsables por implementar la administración de riesgos, y
aquellos con intereses creados comprenden la base sobre la cual se toman las
decisiones y por qué se requieren ciertas acciones en particular.
• Las percepciones de los riesgos pueden variar debido a diferencias en los
supuestos, conceptos, las necesidades, aspectos y preocupaciones de los
interesados, según se relacionen con el riesgo o los aspectos bajo discusión.
Los interesados probablemente harán juicios de aceptabilidad de los riesgos
basados en su percepción de los mismos.
• Dado que los interesados pueden tener un impacto significativo en las
decisiones tomadas, es importante que sus percepciones de los riesgos, así
como, sus percepciones de los beneficios, sean identificadas y documentadas
y las razones subyacentes para las mismas comprendidas y tenidas en cuenta.
Resumen
Metodología de Gestión de Riesgos
Requerimientos del Sistema de
Gestión
Evaluación de Riesgos
Tratamiento de Riesgos
Monitoreo y Control
Comunicación y consulta
Requerimientos para la Gestión del Riesgo:
Política de Gestión de Riesgos, Planeamiento y recursos,
Programa de implementación, Revisión.
Identifica, analiza y evalúa los riesgos en la empresa
Por procesos y sub-procesos
Consolida los riesgos de la empresa priorizados por el nivel de riesgo para su
tratamiento, diseñando y estableciendo controles adecuados
Monitorea y realiza actividades para proveer entendimiento de las fortalezas
y debilidades de la administración de riesgos y controles asociados
Utiliza la información de los riesgos y controles para mejorar el rendimiento
Elemento de Trabajo Descripción
Macro-procesos Establecer los procesos y subprocesos de la organizacion:
Estrategicos, Operacionales y de soporte
Enfoque de Top DownValidación de riesgos estratégicos y definir Macro-
procesos, procesos y subprocesos
Requerimientos para la Gestión del Riesgo:
Política de Gestión de Riesgos, Planeamiento y
recursos, Programa de implementación, Revisión.
Evaluación de riesgos (por procesos y sub-procesos
(matriz de riesgos)
Tratamiento de los riesgos
Monitoreo y control
Comunicación y consulta
TOP DOWN
Características del Riesgo
• El riesgo es una parte fundamental de las operaciones.El único entorno sin riesgo será aquel cuyo futuro no incluya incertidumbres: el que no
se pregunte si una carga llegará a destino, o si un disco duro fallará o cuándo lo hará; el
que no le importe si el transportista conoce de medidas de seguridad.
• El riesgo no es bueno ni malo.Un riesgo es una posibilidad de pérdida futura y aunque ésta pueda ser considerada
como "mala", por sí mismo el riesgo no lo es. No hay riesgo sin oportunidad y no hay
oportunidad sin riesgo.
• El riesgo no hay que temerlo, sino administrarlo.Los riesgos hay que tratarlos reconociendo y minimizando la incertidumbre, y haciendo
frente proactivamente a cada riesgo identificado.
Principios en el Manejo de Riesgos
•Valorar los riesgos continuamente.Nunca debe dejar de buscar riesgos nuevos, así como que hay que volver a evaluar
periódicamente los riesgos existentes.
•Integrar la administración y manejo de riesgos en todos los papeles y funciones.Cada proceso se diseña teniendo en cuenta la administración y manejo de riesgos. Cada
dueño de proceso debe:
•Identificar las fuentes potenciales de riesgo.
•Valorar la posibilidad de que el riesgo llegue a producirse.
•Hacer planes para minimizar esa probabilidad.
•Entender el impacto potencial.
•Hacer planes para minimizar ese impacto.
•Identificar los indicadores que muestran la inminencia del riesgo.
•Planear cómo reaccionar si el riesgo se produce.
Usar una programación basada en riesgos.
Mantener un entorno suele significar la realización de cambios de manera secuencial,
pero siempre que sea posible la empresa debe abordar primero los cambios de
mayor riesgo.
Un ejemplo es la contratación de nuevo personal. Si la compañía desea verificar los
datos de todo el personal, pero hay empleados nuevos en áreas de posiciones
críticas, esos son las primeros que hay que verificar. Si se comprobaran en último
lugar y uno de ellos es un delincuente, la empresa habría malgastado los recursos
invertidos en la verificación de los demás.
Los Principios del Éxito en la Gestión del Riesgo
Lista de Riesgos Superiores
Los Principios del Éxito en la Gestión del Riesgo
Establecer un procedimiento aceptable.
El exito requiere que la organización establezca y mantenga procedimientos ymetodologias para la identificacion y evaluacion de las amenazas de la seguridad y
de las amenazas y riesgos relacionados con la gestion de la seguridad y la
identificacion e implementacion de medidas necesarias de control de gestion, que la
empresa entienda y utilice.
Si el procedimiento y metodologia está poco estructurado, la gente lo podrá utilizar
pero los resultados no serán útiles.
Si el procedimiento y metodologia es demasiado perceptivo, es probable que la
gente no lo utilice
.Hágalo simple
Origen del Riesgo
Las personas. Todo el mundo comete errores, por lo que incluso
aunque la tecnología y los procesos de la empresa no
tengan errores, los errores humanos pueden ser un riesgo para
la empresa.
El proceso. Los procesos con errores o mal documentados pueden
ser un riesgo para la empresa incluso aunque se sigan a la
perfección.
Modo de ErrorLas operaciones pueden crear un fallo en la empresa de cuatro maneras diferentes:
•Costo. La infraestructura puede funcionar adecuadamente, pero con un costo
demasiado alto, produciendo una amortización de la inversión demasiado baja.
•Agilidad. La infraestructura puede funcionar adecuadamente, pero carecer de la
capacidad de cambiar con rapidez suficiente para atender a las necesidades de la
empresa.
•Rendimiento. La infraestructura puede no dar satisfacción a las expectativas de los
usuarios bien porque éstas eran erróneas o porque el rendimiento de la
infraestructura es incorrecto.
•Seguridad. La infraestructura puede fallar a la empresa por no proporcionar
protección suficiente a los recursos o por tener una seguridad tan estricta que los
usuarios legítimos no tienen acceso a los recursos.
Matriz del Origen y del Modo
Una solución efectiva y que produce beneficios en las fases posteriores del
proceso, consiste en subdividir todas las condiciones posibles en una tabla:
Modo de Error
Costo Agilidad Rendimiento Seguridad
Personas
Origen Proceso
del Riesgo Tecnología/Material
Externo
Categoría Valor Descripción
Casi Cierto 5 Riesgo cuya probabilidad de ocurrencia es muy alta , es decir, se tiene plenaseguridad que éste se presente, tiende al 100%
Probable 4 Riesgo cuya probabilidad de ocurrencia es alta , es decir, se tiene entre 75% a 95%de seguridad que éste se presente
Moderado 3 Riesgo cuya probabilidad de ocurrencia es media , es decir, se tiene entre 51% a74% de seguridad que éste se presente
Improbable 2 Riesgo cuya probabilidad de ocurrencia es baja , es decir, se tiene entre 26% a 50%de seguridad que éste se presente
Poco Probable 1 Riesgo cuya probabilidad de ocurrencia es muy baja , es decir, se tiene entre 1% a25% de seguridad que éste se presente
Ejemplo de escala para Probabilidad de ocurrenciaEjemplo de escala para Probabilidad de ocurrencia
Categoría Valor Descripción
Catastróficas 5Riesgo cuya materialización influye directamente en el cumplimiento de la misión,pérdida patrimonial o deterioro de la imagen, dejando además sin funcionartotalmente o por un período importante de tiempo, los programas o servicios queentrega la institución
Mayores 4Riesgo cuya materialización dañaría significativamente el patrimonio, imagen o logrode los objetivos sociales. Además, se requeriría una cantidad importante de tiempo dela alta dirección en investigar y corregir los daños
Moderadas 3Riesgo cuya materialización causaría ya sea una pérdida importante en el patrimonioo un deterioro significativo de la imagen. Además, se requeriría una cantidad detiempo importante de la alta dirección en investigar y corregir los daños
Menores 2Riesgo que causa un daño en el patrimonio o imagen, que se puede corregir en elcorto tiempo y que no afecta el cumplimiento de los objetivos estratégicos
Insignificantes 1 Riesgo que puede tener un pequeño o nulo efecto en la institución
Ejemplo de escala para Materialidad del ImpactoEjemplo de escala para Materialidad del Impacto
INDICADOR DE EXPOSICION AL RIESGO
VALOR NVEL DE EXPOSICION AL
RIESGO
NIVEL SEVERIDAD DEL RIESGO
NIVEL EFICIENCIA DEL CONTROL
8,0 – 25,0 NO ACEPTABLE (Na)
4,0 – 7,99 MAYOR (Ma)
3,0 – 3,99 MEDIA (Md)
0,2 - 2,99 MENOR (Me)
Ejemplo para medir nivel de Exposición al RiesgoEjemplo para medir nivel de Exposición al Riesgo
Unacceptable: Immediate action required to manage the risk
Issue: Action required to manage the risk
Supplementary issue: Action is advisable if resources are available
Acceptable: No action required
Rar
e(1)
Unl
ikel
y (2
)
P
ossi
ble
(3)
P
roba
ble
(4)
Alm
ost
cert
ain
(5)
2Acceptable
Insignificant (1) Minor (2) Moderate (3) Major (4) Catastrophic (5)
Like
lihoo
d of
ris
k
Consequence of risk
16Unacceptable
3Acceptable
2Acceptable
1Acceptable
5Issue
3Acceptable
5Supplementary
Issue
4Acceptable
4Acceptable
4Acceptable
6Supplementary
Issue
6Supplementary
Issue
9Issue
12Issue
8Supplementary
Issue
8Supplementary
Issue
12Issue
10Issue
10Issue
15Unacceptable
20Unacceptable
15Unacceptable
20Unacceptable
25Unacceptable
Risk appetite, as defined by the board
IR
RR
IR = Inherent Risk RR = Residual Risk
Inte
rnal
con
trol
Fig.2 Grid showing the significance of risks
Unacceptable: Immediate action required to manage the risk
Issue: Action required to manage the risk
Supplementary issue: Action is advisable if resources are available
Acceptable: No action required
Rar
e(1)
Unl
ikel
y (2
)
P
ossi
ble
(3)
P
roba
ble
(4)
Alm
ost
cert
ain
(5)
2Acceptable
Insignificant (1) Minor (2) Moderate (3) Major (4) Catastrophic (5)
Like
lihoo
d of
ris
k
Consequence of risk
16Unacceptable
3Acceptable
2Acceptable
1Acceptable
5Issue
3Acceptable
5Supplementary
Issue
4Acceptable
4Acceptable
4Acceptable
6Supplementary
Issue
6Supplementary
Issue
9Issue
12Issue
8Supplementary
Issue
8Supplementary
Issue
12Issue
10Issue
10Issue
15Unacceptable
20Unacceptable
15Unacceptable
20Unacceptable
25Unacceptable
Risk appetite, as defined by the board
IR
RR
IR = Inherent Risk RR = Residual Risk
Inte
rnal
con
trol
Unacceptable: Immediate action required to manage the risk
Issue: Action required to manage the risk
Supplementary issue: Action is advisable if resources are available
Acceptable: No action required
Rar
e(1)
Unl
ikel
y (2
)
P
ossi
ble
(3)
P
roba
ble
(4)
Alm
ost
cert
ain
(5)
2Acceptable
Insignificant (1) Minor (2) Moderate (3) Major (4) Catastrophic (5)
Like
lihoo
d of
ris
k
Consequence of risk
16Unacceptable
3Acceptable
2Acceptable
1Acceptable
5Issue
3Acceptable
5Supplementary
Issue
4Acceptable
4Acceptable
4Acceptable
6Supplementary
Issue
6Supplementary
Issue
9Issue
12Issue
8Supplementary
Issue
8Supplementary
Issue
12Issue
10Issue
10Issue
15Unacceptable
20Unacceptable
15Unacceptable
20Unacceptable
25Unacceptable
Risk appetite, as defined by the board
IR
RR
IR = Inherent Risk RR = Residual Risk
Inte
rnal
con
trol
Fig.2 Grid showing the significance of risks
Mitigaciones / Reducir.
La reducción del riesgo minimiza la probabilidad del
riesgo, su impacto o ambas cosas.
Por ejemplo:
La redundancia suele reducir el impacto del fallo.
Cuando falla un componente no hay impacto porque el
componente redundante sigue funcionando.
Llevar un seguimiento de la duración esperada de un
componente y sustituirlo antes de que se espere que
falle reduce la probabilidad del fallo.
Idealmente, un método de reducción reduce a cero la probabilidad o el impacto, aunque
esto no es siempre posible.
Desencadenadores
Los desencadenadores indican a la empresa que una condición va
a producirse, o se ha producido, por lo que ha llegado el momento
de poner en marcha el plan de contingencia.
En una situación ideal, el desencadenador se produce antes que la
consecuencia. Es útil pensar en ellos como indicadores
luminosos que se encienden cuando todavía hay tiempo de evitar
el peligro.
Contingencias
Una contingencia es un paso que da la empresa si la condición se produce
o el desencadenador llega a darse.
El plan de contingencia documenta el conjunto de contingencias que
utilizará la empresa al reaccionar ante una condición particular.
•Si se ha cumplido un valor de desencadenador, ejecute entonces el plan de contingencia.
•Si un riesgo se ha vuelto irrelevante, retírelo entonces.
•Si la condición o la consecuencia ha cambiado, rehaga entonces el paso de identificación
para evaluar de nuevo el elemento.
•Si ha cambiado la probabilidad o el impacto, vaya al paso de análisis para actualizarlo.
•Si ya no está en marcha el plan de mitigación, vaya entonces al paso de planeación para
revisarlo.
Al principio este paso puede no parecer necesario, no resultando clara la distinción con el
paso de seguimiento. En la práctica, la necesidad de actuar suele ser detectada por una
herramienta o por personas que carecen de la responsabilidad, autoridad o experiencia
que les permite reaccionar. El paso de control garantiza que sean las personas apropiadas
las que reaccionen en el momento oportuno.
Es perdonable ser derrotado, pero nunca sorprendido.
Frederico, El Grande