Gestión de riesgos ISO 31000 y su integración en la nueva ISO 22301 Ángel Escorial Bonet, Director General, Riskia, S.A. Vocal de la Junta Directiva de AGERS
p.1 v.20
Índice 1. Antecedentes 2. Def efin inic icio ione ness y es está tánd ndar ares es 3. ISO 31000 4. IS ISO O 31 3100 0000 & IS ISO O 223 2301 01 5. Conclusiones
p.2 v.20
Índice 1. Antecedentes 2. Def efin inic icio ione ness y es está tánd ndar ares es 3. ISO 31000 4. IS ISO O 31 3100 0000 & IS ISO O 223 2301 01 5. Conclusiones
p.2 v.20
Antecedentes
p.3 v.20
Antecedentes
p.4 v.20
Orígenes de la continuidad del negocio en las actividades de recuperación tras siniestro - IT Disaster Recovery (Imbach – Belfor) Los riesgos se enfocaron a IT especialmente con Y2K (Swiss Re) El 11S produjo un cambio radical seguido por las pandemias aviar y porcina (Riskia) Hoy en día es admitido que se deben considerar todas las fuentes de riesgo que puedan causar interrupciones Con la crisis los recursos se han reducido: Priorización En este escenario, la gestión del riesgo es fundamental para la efectividad de la continuidad del negocio-G31000
G31000 & AGERS
AGERS es el foro de la Gestión de Riesgos en España Casi 200 miembros (Gerentes de Riesgos, Despachos de abogados y consultores, Compañías y corredores de seguros) que confluyen en AGERS para debatir sobre la gestión de riesgos y los seguros. Desde 1984 AGERS difunde la metodología científica de la Gerencia de Riesgos y especialmente en el sector industrial. Tiene delegados in Cataluña, Andalucia, … Celebra un Congreso Anual en Mayo, una Jornada Anual de renovaciones de seguros en Noviembre, y varios foros, cursos, … Trabaja mediante Comisiones y Grupos de Trabajo y tiene un GT específico ISO31000 que es miembro del GET 13 y ha sido delegado de España en la última reunión de Dublín del PC262 Ha colaborado activamente en la 1ª Encuesta Global ISO31000 y ha sido invitada a París para la presentación de resultados.
AGERS es miembro de FERMA, IFRIMA y ALARYS p.5 v.20
Definiciones y estándares
p.6 v.20
Riesgo & RM
Riesgo en ISO 31000 / Guía ISO 73 (def. 1.1)
Efecto de la incertidumbre sobre la consecución de los objetivos
Gestión del Riesgo (RM) /Guía ISO 73 (def. 2.1)
Actividades coordinadas para dirigir y controlar una organización en lo relativo al riesgo.
Replicadas en ISO 22301 como defs. 3.48 y 3.51 (en inglés) Otras defs. de la Guía ISO 73 en ISO 22301
p.7 v.20
Apetito por el riesgo (def. 3.49) Apreciación del riesgo (def. 3.50) Suceso (def. 3.17)
Estándares de RM
Hasta la publicación de la ISO 31000 se han empleado modelos ‘ad-hoc’ para algunas actividades:
así como algún otro modelo de carácter INTEGRAL de ‘Risk Management’ entre los que destacamos:
Modelo FERMA 2003 la Norma Australiana-Neo Zelandesa AS/NZS 4360:2004
La ISO 31000:2009 se desarrolla en un documento de cinco cláusulas y un anexo y se complementa con:
p.8 v.20
COSO BASILEA SOLVENCIA UNE150008, …
Guía ISO 73:2009 ISO 31010:2009
Vocabulario Técnicas de apreciación de riesgos
Riesgo & RM Risk Risk management Managing risks
Risque Management du risque Gérer le risque
Risk is the effect of uncertainty on objectives Risk management refers to the architecture (principles, framework and process) for managing risks. Managing risks refers to applying that architecture to particular risks. Risque est l’effet de l’incertitude sur l’atteinte des objectifs Le management du risque se réfère a la structure (principe, cadre organisationnel et processus) permettant de gérer le risque avec efficacité. Gérer le risque se réfère à l’application de cette structure aux risques particuliers. • Riesgo s/def. en francés • Gerencia de riesgos vs. Gestión de riesgos • ¿Español en América?
p.9 v.20
Continuidad del Negocio & BCM
Continuidad del Negocio en ISO 22301 (def.3.3-aeb)
Gestión de la Continuidad del Negocio-BCM (def. 3.4-aeb)
p.10 v.20
Capacidad de una organización para continuar suministrando productos o servicios a niveles aceptables previamente determinados tras un evento ‘disruptivo’. Proceso de gestión integral que identifica potenciales amenazas a una organización y los impactos que podrían causar a las operaciones de su negocio si esas amenazas se materializaran … Y que proporciona un marco para construir la ‘resiliencia’ de la organización con capacidad de respuesta efectiva que salvaguarde los intereses de sus ‘grupos de interés-stakeholders’ clave, la reputación, la marca y las actividades que crean valor.
Hay estándares nacionales de BCM
p.11 v.20
BS25999 partes 1 y 2 NFPA1600 ASIS.SPC1 2009 ASIS/BSi:2010 SS540 AS/NZ5050 MS1970:2007 CSA Z 1600:08
y estándares ISO de BCM
ISO 22301 (recién publicada) ISO 22313 (Final Draft para finales de 2012) ISO/IEC 27031 Y desarrollos relacionados con ISO BCM
p.12 v.20
ISO 22323 (resiliencia organizacional) Continuidad en la cadena de negocio Continuidad ICT Ensayos Gestión de crisis/incidentes Y otras 8 en la serie de ‘societal security’
ISO31000
p.13 v.20
ISO 31000
p.14 v.20
Tiene como objetivo ayudar a las organizaciones de todo tipo y tamaño a gestionar sus riesgos con efectividad. Este estándar ISO proporciona los principios, el marco y un proceso destinado a gestionar cualquier tipo de riesgo en una manera transparente, sistemática y creíble dentro de cualquier alcance o contexto. Recomienda que las organizaciones desarrollen, implementen y mejoren en forma continua el marco de gestión de riesgos como un componente del sistema integral de gestión de la organización. ISO 31000 es un documento práctico que busca ayudar a las organizaciones en el desarrollo de su propia estrategia para gestionar sus riesgos. NO es un estándar certificable.
ISO 31000 a) Crea valor. b) Esta integrada en los procesos de la organización. c) Forma parte de la toma de decisiones. d) Trata explícitamente la incertidumbre. e) Es sistemática, estructurada y adecuada f) Está basada en la mejor información disponible. g) Está hecha a medida. h) Tiene en cuenta factores humanos y culturales. i) Es transparente e inclusiva. j) Es dinámica, iterativa y sensible al cambio. k) Facilita la mejora continua de la organización. Principios (Cláusula 3)
p.15 v.20
Compromiso de la Dirección (4.2)
Diseño de la estructura de soporte (4.3)
Establecer el contexto (5.3) Evaluación de riesgos (5.4) Identificar los riesgos (5.4.2)
Mejora continua de la estructura (4.6)
Implantación de la gestión de riesgos (4.4)
Analizar los riesgos(5.4.3)
Evaluar los riesgos(5.4.4) Seguimiento y revisión de la estructura (4.5)
Estructura (Cláusula 4)
Tratar los riesgos (5.5)
Proceso (Cláusula 5)
Ciclo P-D-C-A o "Círculo de Deming" Fijar objetivos y procesos necesarios para obtener resultados esperados
Modificar los procesos para alcanzar los objetivos iniciales
Planificar Plan
Mantener y Mejorar
Do
Act
Implementar
Check Controlar y Revisar Recopilar datos de control, analizarlos y compararlos con los objetivos iniciales
p.16 v.20
Implementar los nuevos procesos
P-D-C-A
Compromiso de la dirección (4.!
Ciclo de Deming en RM Dise"o de la estr#ct#ra para $estionar los ries$os (4.%! • Comprender la organización y su contexto (!"!#$ • %stablecimiento de la pol&tica de gestión de riesgos (!"!'$ • Responsabilidad (!"!"$ • Integración en los procesos de la organización (!"!$ • Recursos (!"!$ • %stablecimiento de mecanismos de comunicación interna e información (!"!)$ • %stablecimiento de mecanismos de comunicación externa e información(!"!*$
Mejora contin#a de la estr#ct#ra (4.& !
Implantación de la 'estión de Ries$os(4.4! • Implantación de la estructura para gestionar los riesgos (!!#$ • Implantación del proceso de gestión de riesgos (!!'$
e$#imiento y revisión de la estr#ct#ra (4.)!
p.17 v.20
ISO 31000 & ISO 22301
p.18 v.20
RM & BCM
RM es generalista vs. BCM ha sido/es especialista RM coordina con otros sistemas de gestión RM proporciona un marco para priorizar los recursos RM es una referencia común para la comunicación Tratamiento de la resiliencia: ‘El cambio es algo normal’
p.19 v.20
Tratamiento proactivo de RM (ISO 31000 vs COSO) Tratamiento reactivo de BCM sobre las interrupciones
RM & BCM
p.20 v.20
ISO 31000 & BCM
NO hay refs. al BCM en la ISO 31000
Posiblemente RM ve BCM como una fórmula de tratamiento para ciertos tipos de riesgos En este caso, el tipo de riesgos más adaptables a este esquema de BCM son • •
p.21 v.20
Sucesos de baja probabilidad y alto impacto Accidentes catastróficos impredecibles
ISO 22301 & RM
ISO 22301 …
… que dice:
p.22 v.20
Es un estándar recién lanzado A diferencia de ISO 31000 es un estándar auditable y certificable por un organismo acreditado de certificación
La organización establecerá, ‘implementará’ y mantendrá un proceso de apreciación de riesgos formal y documentado que periódicamente identifique, analice y evalúe el riesgo de incidentes que interrumpan los procesos de la organización. Este proceso PODRÍA estar basado en ISO 31000
Que puede aportar ISO 31000 a BCM
ISO 31000 además de no certificable, no aporta una clasificación de los riesgos y las amenazas.
p.23 v.20
Para RM se recurre a otras fuentes como la clasificación de riesgos de FERMA. En BCM hay que buscar fuentes de riesgo del tipo del informe PwC CEO Survey 2010 (pags. 16-19/40)
Lo que si aporta ISO 31000 (principios y directrices) es un marco integral, sistemático y adaptable para la gestión de los riesgos. En la ISO 31010 (técnicas de apreciación del riesgo) se aporta un abanico de 31 técnicas (no excluyente) para la apreciación de los riesgos entre los que se pueden seleccionar los más apropiados para la BCM
Proceso para la gestión del riesgo según la norma ISO 31000
Fuente: ISO 31000
p.24 v.20
BCM clásico resulta insuficiente
RRHH + IT + Emplazamientos y suministros
Ciclo de vida de la BCM
BCMS Module I Version 2.0 – Policy, Programme Management & Culture
p.25 v.20
Los negocios hoy en día
son cada día más dependientes de:
y además cada hoy están más afectados por:
p.26 v.20
Globalización de los negocios (vinos del priorato a China) y de la cadena de suministros Outsourcing & offshoring Producciones a bajo coste Logísticas JiT Protección de la imagen de la marca TV 24h Redes sociales y otros medios ‘on line’ Creciente vigilancia del regulador Multas y penalizaciones por incumplimientos de contratos
¿Por qué las Compañías inician BCM?
Principales motores para establecer un sistema BCM (s/. BCI Survey 2012) 1. 2. 3. 4. 5. 6. 7. 8. 9.
p.27 v.20
Requisitos regulatorios Requisitos legales o estatutarios Experiencia directa de un incidente grave / crisis Requisitos de clientes Requisitos de la competencia Experiencia indirecta de un incidente grave / crisis Compromisos y existencia de sistemas de gestión Nuevos equipos de Dirección Otros
Los impactos 1. Pérdidas de productividad 2. Incrementos de los costes de proceso 3. Pérdidas de ingresos directos 4. Incrementos en las reclamaciones de clientes 5. Retrasos en el cash flow 6. Retrasos en el suministro de productos 7. Daños a la marca y la reputación 8. Multas o incrementos de la inspección regulatoria 9. Retirada de productos 10.Preocupación de accionistas y caída de valor accionarial p.28 v.20
Conclusiones
p.29 v.20
Conclusiones 1. RM funciona correctamente para los fenómenos conocidos (known knowns) y para los sucesos no extremos. 2. BCM está basado en impactos y escalas de tiempos (no en probabilidades). 3. Los impactos en el negocio se miden por lo que ya no se puede hacer, no por lo que ha sucedido para causarlo. 4. Los ‘cisnes negros’ y el manejo de los desconocidos (unknown unknowns) son básicos en el proceso de BCM. 5. BCM & RM deben estar mejor alineados.
p.30 v.20