ISO 31000:2009
onen e: nge scor a one – s a one Moderador: Mariano Blanco Gema – Chartis Madrid, Sede de AGERS 22 de Febrero de 2010
ÍNDICE • Ante Antece cede dent ntes es • Alcance • • Guía Guía ISO 73: 73:2009 2009 Vocabul Vocabulario ario • Prin Princi cipi pios os • Est Estruct ructur ura a • Proceso , • Atributos Atributos para una mejor gestión gestión de riesgos riesgos • ISO 310 31010: 10:200 2009 9 Evaluac Evaluación ión de riesgos riesgos
ANTECEDENTES Hasta la aprobación de la ISO 31000 hemos dispuesto de modelos ‘ad-hoc’ de uso específico para ciertas actividades: • COSO • • SOLV SOLVEN ENCI CIA A •
así como algún otro modelo de carácter INTEGRAL de ‘Risk Mana Ma na ement ement’’ en entr tre e los los ue de dest stac acam amos os:: • Modelo Modelo FERMA FERMA 2003 • la Norma AustralianaAustraliana-Neo Neo Zelandesa Zelandesa AS/NZS AS/NZS 4360:2004 4360:2004
La ISO 31000:2009 se desarrolla en un documento de cinco cláusulas y un anexo y se complementa con: •
ua
:
• IS ISO O 31 31010 010:2 :200 009 9
oca u ar o Línea Líneas s dire direct ctri rice ces s pa para ra la eval evalua uaci ción ón de ries riesgo gos s
1 ALCANCE • Tiene como objetivo ayudar a las organizaciones de tipo y tamaño a gestionar sus riesgos con efectividad.
todo
• El nu nuev evo o stan standa dard rd ISO ro orci orcion ona a los los rinc rincii ios ios el ma marc rco o un proceso destinado a gestionar cualquier tipo de riesgo en una manera transparente, sistemática y creíble dentro de cualquier alcance o contexto. • El stan standar dard d recomi recomiend enda a ue las las or an aniza izacio cione nes s desarr desarroll ollen en implementen y mejoren en forma continua el marco de gest estión ión de ries iesgos como un comp compon onen entte del del sist sistem emaa integral de gestión de la organización. • IS ISO O 31 31000 000 es un do docu cumen mento to rácti ráctico co ue busca busca a uda udarr a las organizaciones en el desarrollo de su propia estrategia para gestionar sus riesgos, pero no es un estándar certificable.
1 ALCANCE 2 ISO 31000 está diseñada para ayudar a las organizaciones a: • • • • • • • • • • • • • • • •
Aumentar la probabilidad probabilidad de lograr sus objetivos Fomentar la gestión proactiva er cons consc c en es e a nece eces a e en car car y ra ar e r esgo sgo en o a a organ rgan zac zac n Mejorar la identificación identificación de las oportunidades oportunidades y amenazas Cumplir con las las exigencias legales y reglamentarias reglamentarias y las normas normas internacionales Mejorar la información financiera Mejorar el gobierno de la organización
Incrementar la confianza de los grupos de interés (‘stakeholders’) Establecer una una base fiable fiable para la toma de decisiones decisiones y planificación. Mejorar Mejorar los los contro controles les Asignar y utilizar utilizar de manera efectiva los recursos para para el tratamiento del riesgo Mejorar la eficacia eficacia y la eficiencia operacional. Aumentar la seguridad seguridad y salud así como la protección protección al medio ambiente ambiente Mejorar la prevención prevención y la gestión de incidentes. incidentes. Minimizar las pérdidas.
Mejorar el aprendizaje y la ‘resiliencia’ ‘resiliencia’ de la organización
2 TÉRMINOS Y DEFINICIONES 2.1 Riesgo: efecto de la incertidumbre sobre los objetivos. 2.2 2. 2 Gesti estión ón de ries riesgo gos: s: coor coordi dina naci ción ón de act activid ividad ades es pa para ra dirigir y controlar una organización en relación con el riesgo. … La guía 73 es genérica y se compila para abarcar el ámbito de la gestión de riesgos ampliando esta cláusula 2: • Stakeholder: Persona u organización que puede afectar, ser afectada . • Resiliencia: Capacidad de adaptación de una organización en un entorno complejo y cambiante. ‘resistencia, flexibilidad,…’
2 TÉRMINOS Y DEFINICIONES DEFINICIONES 2 Risk management Managing risks
Management du risque Gérer le risque
Risk manage nageme men nt ref refers to the archit hitecture rinci les, framework and rocess for managing risks. Managing risks refers to architecture architecture to particula particularr risks. risks.
applying
Le management du risque se réfère a la structure , permettant de gérer le risque avec efficacité. ’ structure aux risques particuliers. .
Gerencia de riesgos Gestión Gestión de ries ries os
that
• ¿Desarrollo en español de la ISO 31000? •
-
• ¿Español en América?
3 PRINCIPIOS a) Crea valor valor en la organizac organización ión y lo preserva. preserva. b) Esta integrad integrada a en los los procesos procesos de la organizació organización. n. . d) Trata explícitamen explícitamente te la la incertid incertidumbre. umbre. e) Es sistemát sistemática, ica, estructurada estructurada y oportuna oportuna.. f) Está basada en la mejor información información disponible. disponible. g) Está hecha a medida. . i) Es transp transpare arente nte e inclus inclusiva iva.. j) Es dinámica, iterativa y sensible al cambio. k) Facilita Facilita la mejora continua continua de la organizac organización. ión.
4 ESTRUCTURA 1 • El éxito de la Gestión de Riesgos dependerá de la efectividad de la estructura de gestión que proporcione la integración en base y las disposiciones que permitan su integración . • Esta Esta estru estruct ctura ura no está está desti destina nada da a prescri prescribir bir un siste sistema ma e ges n, s no m s en a ayu ar a a organ zac n a integrar la Gestión de riesgos en su sistema de gestión. •
e en a ap ar os componentes de esta estructura a sus necesidades. or
a n o,
as
organ zac ones
• Las organizaciones con componentes de gestión de riesgos ya implantados o que ya hayan adoptado un , anexo A los atributos necesarios para su revisión.
4 ESTRUCTURA 2 Compromiso de la dirección (4.2)
Diseño de la estructura para gestionar los riesgos (4.3) • Comprender la organización y su contexto (4.3.1) • Establecimiento de la política de gestión de riesgos (4.3.2) • Responsabilidad (4.3.3) • Integración en los procesos de la organización (4.3.4) • Recursos (4.3.5) • Establecimiento de mecanismos de comunicación interna e información (4.3.6) • Establecimiento de mecanismos de comunicación externa e información(4.3.7) Mejora continua de la estructura (4.6)
Implantación de la Gestión de Riesgos(4.4) • Implantación de la estructura para gestionar los riesgos (4.4.1) (4.4.2)
Seguimiento y revisión de la estructura (4.5)
5 PROCESO
Establecer el contexto (5.3)
Evaluación de riesgos (5.4) . . Comunicación y consulta (5.2)
na zar os r esgos esgos
. .
Evaluar los riesgos (5.4.4)
Tratar los riesgos (5.5)
Seguimiento y revisión (5.6)
RELACIONES RELACIONES 3 - 4 - 5 a) Crea valor. valor. b) Esta integrada integrada en los los procesos de la organización. c orma orma par par e e a oma oma e decisiones. d) Trata explícitamente la incertidumbre. e) Es sistemátic sistemática, a, estructurada y adecuada f) Está basada basada en la mejor información disponible. g) Está hecha a medida. medida. h Tiene Tiene en cuenta cuenta factores factores humanos y culturales. i) Es transparen transparente te e inclusiva inclusiva.. j) Es dinámica, iterativa y sensible al cambio.
de la Dirección (4.2)
Diseño de la estructura de soporte (4.3)
Im lantación de la gestión de riesgos (4.4)
continua de la estructura (4.6)
) 2 . 5 ( t l u s n o c y n ó i c a c i n u m o C
Evaluación de riesgos (5.4)
Identificar los riesgos (5.4.2)
na zar os riesgos(5.4.3)
riesgos(5.4.4)
de la organización. Seguimiento y revisión de la (4.5)
Principios (Cláusula 3)
Establecer el contexto (5.3)
Estructura (Cláusula 4)
Tratar los riesgos (5.5)
Proceso (Cláusula 5)
) 6 . 5 ( n ó i s i v e r y o t e i m i u g e S
A ATRIBUTOS PARA LA MEJORA MEJORA DE LA GERENCIA DE RIESGOS medición, revisión y posterior modificación de procesos, sistemas, recursos, capacidad y habilidades. 2. Controles y tratamiento del riesgo exhaustivos exhaustivos 3. Toda toma de decisiones dentro de la organización, cualquiera , cons consid ider erac ació ión n expl explíc ícit ita a de los los ries riesgo gos s y la ap aplilica caci ción ón de la gestión de riesgos en la medida adecuada. 4. Comunicación continua con los ‘stakeholder’ internos y exte exterrno nos s, inc incluid luida a la elab elabor orac ació ión n de inf informe ormes s com ompl plet etos os y recuen es e esempe o e a ges n e r esgos como par e del buen gobierno corporativo. . de los objetivos de la organización.
ISO/IEC 31010:2009 • ISO ISO / IEC IEC 310 31010: 10:200 2009 9 es una una norma norma de apoy apoyo o para para la ISO ISO 31000 y ofrece orientación sobre la selección y aplicación de técnicas sistemáticas para la evaluación de riesgos. • La aplic aplicac ació ión n de una serie serie de té técn cnic icas as se intr introd oduc uce, e, con refe refere renc ncia ias s espe especí cífi fica cas s a ot otra ras s no norm rmas as inte intern rnac acio iona nale les, s, describen en mayor detalle. • Esta norma no establece criterios específicos para determinar la necesidad de análisis de riesgos, ni tampoco especifica el tipo de método de análisis de riesgos que se requiere para una aplicación particular.
ISO 31010:2009 2 • La ISO 31010 no se refiere a todas las técnicas, y la omisión de una técnica de esta norma no significa que no sea válida. •
ec o e que un m o o sea ap ca e a una circunstancia particular no significa necesariamente que el .
• Esta Esta norma norma no se ocupa ocupa especí específi ficam cament ente e de la segurid seguridad. ad. Se trata de una norma genérica de gestión de riesgos y cualquier referencia a la seguridad es de carácter .
ISO 31000:2009
Angel Escorial – Riskia
[email protected]