NORMA INTERNACIONAL ISO 31000 - 2018 Resumen elaborado por: Dr. Fernando Vera Smith
Norma Internacional ISO 31000-2018 Gestión de Riesgos - Lineamientos ❖
No son requisitos de carácter obligatorio, sino voluntario
❖
Se trata de recomendaciones estructuradas en : ❑
Principios para la gestión de riesgos
❑
Marco de gestión de riesgos
❑
Proceso de gestión de riesgos
❑
Sustituye a la ISO 31000-2009
Norma Internacional ISO 31000-2018 Gestión de Riesgos Alcance ❖
Provee principios y guías de carácter genérico
❖
Se utiliza en cualquier tipo de organización
❖
Es aplicable a cualquier área, nivel, función, proyecto o actividad.
No intenta promover uniformidad
Norma Internacional ISO 31000-2018 Gestión de Riesgos Motivación ❖
Incrementa la probabilidad de cumplir los objetivos.
❖
Identifica oportunidades y amenazas del entorno
❖
Mejora la resiliencia global de la organización
❖
Mejora la eficiencia operacional
❖
Impulsa al personal a identificar y tratar el riesgo
❖
Mejora los controles de gestión de riesgos
❖
Coadyuva a cumplir las exigencias legales y reglamentarias
Norma Internacional ISO 31000 Gestión de Riesgos - Motivación ❑
Mejora la gobernanza
❑
Establece una base para la planeación y toma de decisiones
❑
Mejora la prevención de pérdidas
❑
Incrementa la confianza de las partes interesadas
❑
Fortalece el aprendizaje organizacional
❑
Mejora los reportes de información
❑
Coadyuva a cumplir las normas y estándares internacionales
2. Referencias Normativas 2.1 Riesgo ❖
Se mide de forma objetiva o subjetiva, cualitativa o cuantitativamente
❖
Se describe utilizando términos generales o matemáticas (como probabilidad o frecuencia durante un tiempo determinado)
2. Referencias Normativas 2.4 Política de riesgo ❖
Declaración del compromiso, intenciones y orientación de la organización respecto a la gestión del riesgo
2. Referencias Normativas 2.5 Actitud ante el riesgo ❖
Se refiere al enfoque de la organización para evaluar y eventualmente dar seguimiento, mantener, adoptar o evadir el riesgo.
2. Referencias Normativas 2.6 Plan de gestión de riesgos ❖
Especifica el enfoque, componentes (procedimientos, prácticas, responsabilidades, actividades (secuencia y calendario) y recursos que se aplicarán a la gestión de riesgos, conforme al marco general
2. Referencias Normativas 2.7 Propietario del riesgo ❖
Persona o unidad responsable con autoridad para manejar el riesgo
2. Referencias Normativas 2.8 Proceso de gestión de riesgos ❖
Aplicación sistemática de políticas de gestión, procedimientos y prácticas para las actividades de comunicación, consulta, determinación del contexto, e identificación, análisis, evaluación, tratamiento, monitoreo, informe y revisión del riesgo
2. Referencias Normativas 2.9 Determinación del contexto ❖
Definición de parámetros externos e internos que deban considerarse al gestionar el riesgo y establecimiento de alcance y criterios para definir la política de gestión de riesgos
2. Referencias Normativas 2.10 Contexto externo
Económico Político Social Jurídico Cultural Tecnológico
Tendencias: Internaciona l Nacional Regional Local
Relación con las partes interesadas
2. Referencias Normativas 2.10 Contexto interno
Estructura Políticas Objetivos Funciones Recursos Cultura
Clima organizacional
Relación con las partes interesadas
3. Definiciones 3.1. Definición de Riesgo ❖
Efecto de la
sobre los objetivos de la organización-
❖
Efecto: desviación positiva o negativa respecto lo que se espera que suceda
❖
Entonces, riesgo es la posibilidad de que haya una desviación positiva o negativa respecto del objetivo que se espera lograr
3. Definiciones 3.1. Definición de Riesgo ❖
Es posible reducir la incertidumbre y manejar el riesgo, utilizando un enfoque sistemático de gestión de riesgos.
❖
El enfoque tradicional combina tres elementos: ❖
evento potencial
❖
probabilidad
❖
severidad
Un evento de alto riesgo es el que tiene una alta probabilidad de ocurrir y un severo impacto en caso de
3. Definiciones 3.2 Gestión del riesgo ❖
Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo
4. Principios Objetivo de la gestión y de los principios de riesgos . Mejorar el desempeño, promover la innovación y contribuir a lograr los objetivos
❖
Orientar sobre las características que debe tener una gestión de riesgos efectiva y eficiente, comunicando su valor y explicando su intención o propósito.
4. Principios 1.
Es parte integral de las actividades de la organización, no es una actividad aislada; es parte de las responsabilidades de la administración
2.
Un enfoque estructurado y exhaustivo hacia la gestión de riesgo contribuye a obtener resultados consistentes y comparables
4. Principios 3.
El marco de referencia y el proceso de la gestión de riesgos se adaptan y son proporcionales a los contextos externo e interno de la organización relacionados con sus objetivos
4.
El involucramiento apropiado y oportuno de las partes interesadas permite que sean considerados sus conocimientos, puntos de vista y percepciones.
4. Principios 5.
Los riesgos pueden aparecer, cambiar o desaparecer con los cambios de los contextos interno y externo. La gestión de riesgos anticipa, detecta, reconoce y responde a tales cambios y eventos en forma apropiada y oportuna
6.
Se basa en información histórica y actualizada, así como expectativas del futuro. Toma en cuenta limitaciones e incertidumbre asociada. La información debe ser oportuna, clara y disponible para las partes interesadas importantes.
4. Principios 7.
El comportamiento humano y cultural influye de manera significativa en todos los niveles y etapas
8.
La gestión de riesgos mejora continuamente a través del aprendizaje y experiencia
5. Marco de gestión de riesgos Generalidades ❖
El éxito de la gestión dependerá de su integración en la gobernanza, incluyendo la toma de decisiones. Esto requiere respaldo de las partes interesadas, especialmente de la alta dirección.
❖
El propósito del marco es apoyar a la organización en la integración de la gestión de riesgos en las funciones y actividades relevantes
5. Marco de gestión de riesgos
Componentes ❖
Componentes : ❖
integración
❖
diseño
❖
implementación
❖
evaluación
❖
mejora
5. Marco de gestión de riesgos 5.2 Liderazgo y compromiso ❖
La Alta Dirección debe asegurarse que la gestión de riesgos se encuentre integrada en todas las funciones y actividades de la organización
❖
También debe demostrar liderazgo y compromiso mediante: ❖
❖
❖ ❖
Adecuar e implementar los componentes del marco de gestión Declarar formalmente una política que establezca la gestión de riesgos, planes y cursos de acción. Asegurar la asignación de recursos Designar a los responsables de la gestión
5. Marco de gestión de riesgos 5.2 Liderazgo y compromiso Ayuda a la organización de la siguiente manera: ❖
Alinear la gestión de riesgos con sus objetivos, estrategia y cultura
❖
Reconocer y orientar todas las obligaciones, así como sus compromisos voluntarios
❖
Establecer la cantidad y tipo de riesgos que pueden o no ser considerados para guiar el desarrollo de los criterios del riesgo,, asegurando que son comunicados a la organización y sus partes interesadas
❖
Comunicar el valor de la gestión de riesgos a la organización y sus partes interesadas
❖
Promover el monitoreo sistemático de riesgos
❖
Asegurar que el marco de gestión de riesgos permanece
5. Marco de gestión de riesgos 5.2 Liderazgo y compromiso La Alta Dirección es responsable de la gestión de riesgos, en tanto que los cuerpos supervisores del monitoreo realizan las tareas siguientes: ❖
Asegurar que los riesgos sean considerados desde el establecimiento de los objetivos de la organización
❖
Comprender los riesgos que enfrenta la organización para la consecución de los objetivos de la misma
❖
Asegurar que hayan sido implementados y operen de manera efectiva los sistemas para administrar los riesgos
❖
Asegurar que la información sobre administración de riesgos sea comunicada
5. Marco de gestión de riesgos 5.3 Integración ❖
Se apoya en el entendimiento de la estructura y contexto organizacional
❖
La estructura depende del propósito, metas y complejidad de cada organización
❖
El riesgo es administrado en cada parte de la organización y todos tienen responsabilidad en ello
5. Marco de gestión de riesgos 5.3 Integración ❖
La gobernanza o alta dirección orienta el curso de la organización, sus relaciones internas y externas, normas, procesos y prácticas necesarias para alcanzar los objetivos.
❖
Las estructuras organizacionales convierten esa orientación en estrategias y objetivos para lograr altos niveles del desempeño y viabilidad a largo plazo
❖
La determinación de riesgos y supervisión son parte integral del proceso directivo
❖
La integración de la gestión de riesgos en una organización es un proceso dinámico e interactivo y debe adecuarse a las necesidades y cultura de la misma.
❖
La gestión de riesgos debe ser parte y no estar
5. Marco de gestión de riesgos 5.4 Diseño ❖
Al diseñar el marco de gestión de riesgos, la organización debe examinar y comprender su contexto externo e interno
5. Marco de gestión de riesgos 5.4.1 Determinación del contexto externo ❖
Comprende
de carácter social,
, tanto internacionales, nacionales, regionales y locales
❖
Relaciones, percepciones, valores, necesidades y expectativas de las externas
5. Marco de gestión de riesgos 5.4.1 Determinación del ❖
Visión, misión y valores
❖
Gobernanza, estructura organizacional, roles y responsabilidades
❖
Estrategia, objetivos y políticas
❖
Cultura de la organización
❖
Estándares, lineamientos y modelos adoptados
5. Marco de gestión de riesgos 5.4.1 Determinación del ❖
Capacidades, en términos de recursos, capital, personal, propiedad intelectual, procesos, sistemas, tecnología
❖
Sistemas de información
❖
Relaciones contractuales y compromisos internos
❖
Redes e interconexiones internas
5. Marco de gestión de riesgos 5.4.2 Compromiso de la gestión de riesgos ❖
Propósito de la gestión de riesgos y
❖
Necesidad de integrar la al centro de las actividades del negocio y la toma de decisiones
5. Marco de gestión de riesgos 5.4.2 Compromiso de la gestión de riesgos ❖
Disponibilidad de recursos
❖
Manera de manejar los objetivos en conflicto
❖
Medición e informe en el sistema de indicadores del desempeño
5. Marco de gestión de riesgos 5.4.3 Asignación de responsabilidades ❖
❖
Asegurar que los roles relevantes sean asignados y comunicados en todos los niveles organizacionales Deben: ❖
Enfatizar la gestión de riesgos como una responsabilidad fundamental
❖
Identificar los individuos que sean confiables y tengan la autoridad para administrar el riesgo (dueños del proceso)
5. Marco de gestión de riesgos 5.4.4 Asignación de recursos ❖
Personas, habilidades, experiencia, competencia
❖
Procesos de la organización, métodos y herramientas
❖
Procesos y procedimientos documentados
❖
Información y sistemas de gestión del conocimiento
❖
Desarrollo profesional y entrenamiento
5. Marco de gestión de riesgos 5.4.5 Comunicación y consulta ❖
Comunicación implica diversos públicos seleccionados
❖
Consulta implica a la organización con sus expectativas, lo que permite la mejor toma de decisiones
❖
con
Ambas acciones deben ser oportunas y asegurar que su información sea relevante, resumida y apropiada
5. Marco de gestión de riesgos 5.5 Implementación ❖
Una implementación exitosa requiere
en todos los niveles y funciones relevantes de la organización, incluyendo tiempo y recursos, e identificando dónde, cuándo, y cómo se toman las diferentes tipos de decisiones y por quién.
5. Marco de gestión de riesgos 5.6 Evaluación Para evaluar el marco de gestión de riesgos, la organización debe: , implementación, planes, indicadores y comportamiento esperado ❖
Determinar si continúa siendo viable para dar soporte a la consecución de los objetivos establecidos
5. Marco de gestión de riesgos 5.7 Mejora de manera continua y marco de gestión de riesgos
el
❖
De esa manera, la organización aumenta su valor
❖
Mejorar de manera continua la efectividad del marco de gestión de riesgos
6. Proceso general de gestión de riesgos ❖
Implica: ❖
Ser parte integral de la gestión y toma de decisiones
❖
Estar integrado en la estructura, operaciones y procesos de la organización
❖
Estar arraigado en la cultura organizacional
❖
Establecimiento del contexto y evaluación
❖
Tratamiento, monitoreo, revisión, registro y reporte
6.4 Evaluación de riesgos 6.4.1 Proceso general Identificación, análisis y evaluación de riesgos ❖
Debe , considerando los puntos de vista de las partes interesadas.
❖
Debe agregar los suplementos necesarios
y
6.4 Evaluación de riesgos 6.4.2 Identificación de riesgos ❖
Pretende , lo que puede ayudar a prevenir sucesos en una organización, a fin de lograr sus objetivos
❖
Es importante contar con
❖
Considera para identificar riesgos
6.4 Evaluación de riesgos 6.4.2 Identificación de riesgos ❖
Fuentes de riesgos (tangibles e intangibles)
❖
Causas y eventos
❖
Amenazas y oportunidades
❖
Vulnerabilidades y capacidades
❖
Cambios en el contexto interno y externo
6.4 Evaluación de riesgos 6.4.2 Identificación de riesgos ❖
Naturaleza y en los objetivos
❖
Elaboración de y confiabilidad de la información
❖
Factores relacionados con el tiempo
6.4 Evaluación de riesgos 6.4.3 Análisis de riesgos ❖
Su propósito es y sus características, incluyendo niveles de riesgo
❖
Implica consideraciones sobre la
❖
Un evento puede tener múltiples y puede afectar a varios objetivos
6.4 Evaluación de riesgos 6.4.3 Análisis de riesgos ❖
Implica la comprensión de los riesgos y contempla: ❖
Probabilidad de riesgos y consecuencias
❖
Naturaleza y magnitud de sus consecuencias
❖
Complejidad y conectividad
❖
Factores relacionados con el tiempo y la volatilidad
❖
Efectividad de los controles
❖
Sensibilidad y niveles de confianza
6.4 Evaluación de riesgos 6.4.3 Análisis de riesgos ❖
Cuantitativos
❖
Cualitativos
❖
Semi-cuantitativos
❖
Combinación de ellos
6.4 Evaluación de riesgos 6.4.4 Evaluación de riesgos ❖
❖
Apoya en la toma de decisiones para el tratamiento de riesgos y prioridad en su aplicación Supone .
❖
Basado en esta comparación se determina alguna : ❑
Considerar un
❑
Profundizar el
6.5 Tratamiento de riesgos 6.5.1 General ❖
Consiste en la de alguna de las opciones para modificar el riesgo y controles establecidos, para su aplicación
❖
Implica un proceso iteractivo que comprende: de tratamiento de riesgos de riesgos sobre la conveniencia de
6.5 Tratamiento de riesgos 6.5.2 Selección de opciones de tratamiento de riesgos ❖
Las opciones pueden incluir: el riesgo ❖
Tomar o oportunidad)
el riego (persiguiendo una
la fuente
el riesgo con otra parte o partes el riesgo
6.5 Tratamiento de riesgos 6.5.3 Plan de tratamiento de riesgos ❖
Debe incluir: ❖
Las de tratamiento, y los beneficios esperados
❖
Nombre y firma de los responsables de la aprobación y ejecución del Plan
❖
Presentación de informes y requisitos de control
6.6 Monitoreo y revisión El propósito de este control es asegurar y mejorar la calidad y efectividad del proceso, diseño, implementación, salidas o productos. Debe: ❖
Ser
❖
Con responsabilidades claramente definidas
❖
Contemplar la planeación, recolección, , registro de resultados y