ISO 31000:2009.

Herramienta para evaluar la

gestin de riesgos
www.isaca.org.uy
gestin de riesgos
Cr Carlos Serra CISA CGEIT
Datasec Uruguay
Agenda
Qu es el riesgo?
Qu riesgo asume al no
pensar en sus riesgos
www.isaca.org.uy
pensar en sus riesgos
organizacionales?
Cmo lo ayuda la ISO
31000:2009 para evaluar su
gestin de riesgos?
Algunos temas del da a da
La introduccin de la gestin del riesgo y el
aseguramiento de su eficacia continua requieren un
compromiso fuerte y sostenido de la direccin de la
4.2 Mandato y compromiso
www.isaca.org.uy
compromiso fuerte y sostenido de la direccin de la
organizacin, as como el establecimiento de una
planificacin estratgica y rigurosa para conseguir el
compromiso a todos los niveles
ISO 31000:2009
www.isaca.org.uy
Sorprendentemente ese caso no parece haber
figurado como un riesgo de que las lneas
areas y muchas otras compaas para
garantizar la gestin. Aparte de las compaas
areas, el cierre del espacio areo europeo ha
www.isaca.org.uy
areas, el cierre del espacio areo europeo ha
dejado huella en todo, desde el turismo a la flor
y los productores de verduras frescas en frica,
los fabricantes de prendas de vestir en
Bangladesh y los fabricantes de componentes
electrnicos en el Lejano Oriente Kevin W. Knight
Objetivo: Vender, producir, hacer
www.isaca.org.uy
A veces los eventos ocurren
www.isaca.org.uy
Riesgo crediticio
Riesgo operacional
Riesgo tecnolgico
Riesgo estratgico
Riesgo legal
Riesgo de mercado
Riesgo de liquidez
www.isaca.org.uy
Riesgo de mercado
Riesgo de liquidez
Riesgo de cumplimiento
No satisfacer los requisitos del cliente
Peligros Ambientales
Riesgo de Seguridad Alimenticia
Peligro para el ser humano
Riesgo reputacional

No aporta valor
Si pensamos en todo lo malo, no hacemos nada
Hay suficientes controles.
Ac pensamos en metas, no en riesgos.
Aceptamos que es comn que fallen los sistemas
tecnolgicos.
Por qu no analizar sus riesgos?
www.isaca.org.uy
tecnolgicos.
!No hay tiempo para evaluar los riesgos, necesito
vender!
Ac nunca pas nada.
No tenemos los procesos definidos.
Gestionar los riesgos no me va a ayudar a vender ms.
Si ocurre algo ,ya lo arreglaremos.
Conceptos de la Norma ISO
31000:2009
www.isaca.org.uy
31000:2009
(Y de la ISO GUIA 73 y la ISO
31010:2009)
Mientras todas las organizaciones gestionan el
riesgo a diferentes niveles, esta norma internacional
establece un conjunto de principios que se deben
satisfacer para que la gestin del riesgo sea eficaz. ..
recomienda que las organizaciones desarrollen,
implementen y mejoren de manera continuada un
INTRODUCCION
www.isaca.org.uy
implementen y mejoren de manera continuada un
marco de trabajo cuyo objetivo sea integrar el proceso
de gestin del riesgo en los procesos de gobierno, de
estrategia y de planificacin, de gestin, y de
elaboracin de informes, as como en las polticas,
los valores y en la cultura de toda la organizacin.
Esta norma internacional proporciona los
principios y las directrices genricas sobre
la gestin del riesgo.
Puede utilizarse por cualquier empresa
1. OBJETO Y CAMPO DE APLICACIN
www.isaca.org.uy
Puede utilizarse por cualquier empresa
pblica, privada o social, asociacin,
grupo o individuo. Por tanto, no es
especfica de una industria o sector
concreto.
a) Responsables de desarrollar la poltica de gestin del
riesgo dentro de su organizacin;
b) Encargados de asegurar que el riesgo se gestiona de
manera eficaz dentro de la organizacin, considerada en
su totalidad o en un rea, un proyecto o una actividad
especficos;
Interesados:
www.isaca.org.uy
especficos;
c) Los que necesitan evaluar la eficacia de una
organizacin en materia de gestin del riesgo; y
d) Los que desarrollan normas, guas, procedimientos y
cdigos de buenas prcticas que, en su totalidad o en
parte, establecen cmo se debe tratar el riesgo dentro
del contexto especfico de estos documentos.
Es el efecto de la incertidumbre en la
consecucin de los objetivos ISO 31000:2009
1. Incertidumbre (puede que nunca ocurra).
Qu es riesgo?
www.isaca.org.uy
2. El riesgo importa y debe gestionarse porque
tiene un efecto (positivo y negativo).
3. Ese efecto es sobre los objetivos fijados.
www.isaca.org.uy
Estructura para la gestin de
riesgos
www.isaca.org.uy
ISO 31000 ANEXO A (INFORMATIVO)
ATRIBUTOS DE UNA GESTIN DEL RIESGO
OPTIMIZADA
A.3.1 Mejora continua
A.3.2 Responsabilidad completa de los
riesgos
www.isaca.org.uy
riesgos
A.3.3 Aplicacin de la gestin del riesgo
en todas las tomas de decisiones
A.3.4 Comunicacin continua
A.3.5 Integracin completa en la
estructura de gobierno de la organizacin
Normas complementarias
www.isaca.org.uy
ISO Gua 73:2009
ISO 31010 :2009
ISO GUIA 73 :2009
proporciona el vocabulario bsico para
desarrollar una comprensin de los
conceptos y trminos que se utilizan en la
gestin del riesgo que son comunes a
diferentes organizaciones y funciones, ...
www.isaca.org.uy
3.6.1.7 matriz de riesgo:
Herramienta que permite clasificar y visualizar los
riesgos (1.1), mediante la definicin de
categoras de consecuencias (3.6.1.3) y de su
probabilidad (3.6.1.1).
ISO 31010 :2009
Tormenta de ideas
Entrevistas estructuradas o
semiestructuradas
Delphi
Listas de ejemplo
Anlisis de riesgos preliminar (PHA)
Estudio de Peligros y Operabilidad -
HAZOP
Anlisis de peligros y puntos
crticos de control (HACCP)
Evaluacin del riesgo ambiental
Anlisis de causas y consecuencias
Anlisis de casa y efecto
Anlisis de Capas de Proteccin (LOPA)
rboles de decisin
Anlisis de la fiabilidad humana
rbol de fallos y sucesos iniciadores
(bow tie)
Mantenimiento Centrado en la Fiabilidad
(RCM)
Anlisis de circuitos de fugas
Anlisis de cadenas de Markov
www.isaca.org.uy
Evaluacin del riesgo ambiental
Anlisis Qu pasa si
Anlisis de escenarios
Anlisis de Impacto de negocio
(BIA)
Anlisis de Causa Raz (RCA)
Anlisis de modo y efecto de la falla
( FMEA )
Anlisis de rbol de fallos
Anlisis de rbol de eventos
Anlisis de cadenas de Markov
Simulacin de Monte Carlo
Anlisis Bayesiano
Curvas FN
ndices de riesgo
Matrices de probabilidad y
consecuencia
Anlisis costo beneficio
Anlisis de decisin multicriterio
(MCDA)
Qu pasa cuando coexisten
diversas evaluaciones de riesgo?
www.isaca.org.uy
diversas evaluaciones de riesgo?
ISO 14000, IS0 18000, ISO 22000, ISO 27000
La gestin del riesgo contribuye de manera
tangible al logro de los objetivos y a la mejora
del desempeo, por ejemplo, en lo referente a la
salud y seguridad de las personas, a la
conformidad con los requisitos legales y
www.isaca.org.uy
conformidad con los requisitos legales y
reglamentos, a la aceptacin por el pblico, a la
proteccin ambiental, a la calidad del producto,
a la gestin del proyecto, a la eficacia en las
operaciones, y a su gobierno y reputacin.
REFERENCIA EN LA ISO 31000
La ISO 9000 y el riesgo
Accin preventiva : accin tomada para
eliminar la causa de una no conformidad
potencial u otra situacin potencialmente
inestable
www.isaca.org.uy
inestable
No conformidad es el incumplimiento de
un requisito.
Entonces
www.isaca.org.uy
Recuerde que esta Norma ISO
31000 no es certificable
Ignorar sus riesgos no es una
opcin
Tiene responsabilidad dentro del Buen
Gobierno de buscar el logro de los objetivos
Le permite demostrar debida diligencia
Le ayuda a invertir los recursos en forma
ordenada
La Alta Gerencia
www.isaca.org.uy
ordenada
Le permite conocer los riesgos a que est
expuesto (incluso hoy)
Esto se traduce en : mensajes claros , coherentes y continuos a toda la
organizacin
Cunto se habla del tema riesgos en las reuniones gerenciales?
Saber: Conocer en profundidad el proceso que
lidera, sus objetivos y riesgos.
Poder: Debe tener capacidad para la toma de
decisiones y mejorar el proceso, en funcin del
grado de responsabilidad delegada a cada uno.
Querer: Debe entender el valor de gestionar los
riesgos y asumir voluntariamente su responsabilidad
El propietario del proceso
www.isaca.org.uy
riesgos y asumir voluntariamente su responsabilidad
contribuyendo as al logro de los objetivos
estratgicos de la organizacin.
La descripcin de puesto gerencial incluye la tarea de gestionar
sus riesgos? Cuntas veces se trata el tema en las reuniones
gerenciales?
ACTIVIDADES DE ANLISIS Y
GESTIN DE RIESGO
www.isaca.org.uy
GESTIN DE RIESGO
www.isaca.org.uy
Definiendo las prioridades
Riesgos intolerables
requieren acciones
urgentes
Riesgos a tener en cuenta y
monitorear. Costo-Beneficio.
Oportunidades-Consecuencias
www.isaca.org.uy
Riesgos a estar alerta a
cambios en su severidad u
Ocurrencia. No asumir costos
0IrectorIo, CcIa CrI
EstratgIcos
CerencIa de CrdItos
Tecnologia
DperacIones
Proedad de los Resyos
en cada rea
www.isaca.org.uy
hapa CraI ClControIes
Contaduria
Cmo podemos evaluar los riesgos tecnolgicos?
www.isaca.org.uy
Riesgos ISO 27005
www.isaca.org.uy
Qu dicen nuestros
Indicadores clave de riesgo
(KRI)?
www.isaca.org.uy
Algo cuantitativo: Modelo Monte Carlo
www.isaca.org.uy
Y ahora que medimos los
riesgos qu podemos hacer?
www.isaca.org.uy
riesgos qu podemos hacer?
ELUDIR no proseguir con la actividad riesgosa (!No siempre es posible
!)


www.isaca.org.uy
TRANSFERIR que otra parte soporte parte del riesgo (Pensar en que
nuevos riesgos ocasiona este cambio)
REDUCIR tomar medidas tendientes a reducir la probabilidad de
ocurrencia y/o impacto, (No siempre implica costos financieros
adicionales, incluso puede ahorrar dinero)
ASUMIR aceptar el riesgo inherente (!Pero conocindolo!)
El anlisis de riesgos del
anlisis de riesgos
www.isaca.org.uy
La Direccin entiende que
Conocer los Riesgos Operacionales es importante () Es
problema de la Unidad de Riesgos( ) No ha entendido que
son los RO ( )
Al Valuar los riesgos, la gente experta:
Es muy optimista o pesimista ( ) Es realista ( ) No tiene
tiempo para hacerlo ( )
Mapas de riesgo por proceso
www.isaca.org.uy
Mapas de riesgo por proceso
No tiene ( ) Tiene para mostrar a la auditoria () Tiene y se
usa para decidir ()
En el registro de eventos, piensa que se registraran:
Menos del 25 % de los eventos ( ) entre un 25 y un 50 ( ) entre
50 y un 75% ( ) entre el 75 y el 100% ( )
Sobre los Indicadores
Hay tantos que no son manejables ( ) Se empieza con unos
pocos pero adecuados ( ) Elige los que sabe que dan bien
( )
Ejemplo de puntos a evaluar
Punto de Atencin
Evalua
cin
Comentarios Referencia Evide
ncia
Se entiende
por parte de la
Direccin que la
incertidumbre
Normalmente, este
atributo se podra
verificar a travs
de las entrevistas
A.3.5 Integracin
completa en la
estructura de
gobierno de la
www.isaca.org.uy
incertidumbre
del futuro
implica
amenazas y
oportunidades
que deben ser
identificadas?
de las entrevistas
con la direccin y a
travs de la
evidencia de sus
acciones y
declaraciones. Si
no hay apoyo de la
Direccin no
habrn recursos
para este proceso
gobierno de la
organizacin
Ejemplo de puntos a evaluar
Punto de Atencin eval. Comentarios Referencia Evide
ncia
Tiene un
marco de
trabajo que
atiende los
Esta etapa es bsica
para un adecuado
trabajo prctico
posterior. El marco de
4 Marco de
Trabajo ISO
31000
www.isaca.org.uy
atiende los
aspectos
estructurales y
organizativos de
la gestin de
riesgos?
posterior. El marco de
trabajo facilita una
gestin eficaz del
riesgo mediante la
aplicacin del
proceso de gestin
del riesgo a
diferentes niveles y
dentro de contextos
especficos de la
organizacin.
Ejemplo de puntos a evaluar
Punto de
Atencin
eval.
Comentarios
Referencia Evidencia
Se cuenta con
un plan de
tratamientos
El plan debe
identificar con
claridad el orden de
5.5.3
Preparaci
n e
www.isaca.org.uy
tratamientos
razonable,
acorde a la
severidad de los
riesgos
asociados?
claridad el orden de
prioridad en que se
deberan
implementar los
tratamientos de
riesgo individuales
n e
implementa
cin de los
planes de
tratamiento
del riesgo
Anexo
(para despus)
www.isaca.org.uy
Cul es el nivel de madurez de su
organizacin en gestin de riesgos ?
(origen del modelo :opinin del autor)
Usted cmo est gestionando sus
riesgos?
0- No se piensa en ello.
1- Se habla de los riesgos a veces y para algunos proyectos en forma
inconsistente . Hay un responsable del monitoreo de riesgos con autoridad
limitada.
2- La administracin de riesgos se da por lo general a alto nivel y tpicamente se
aplica solo a proyectos grandes o como respuesta a problemas. Se han
identificado riesgos de algunos procesos en forma inicial, medidos en
forma cualitativa.
3- Hay una poltica de administracin del riesgo que define cundo y cmo llevar
a cabo las evaluaciones de riesgo. Todos los riesgos identificados tienen
un propietario asignado, si bien el mismo an acta en forma reactiva. Se
www.isaca.org.uy
un propietario asignado, si bien el mismo an acta en forma reactiva. Se
comienzan a registrar los eventos ocurridos pero no se analizan. Hay
capacitacin en la materia.
4- La alta gerencia ha determinado los niveles de riesgo tolerables para la
organizacin. Hay mediciones cuantitativas cuando aplica. Hay indicadores
clave definidos y se presentan a un comit que los usa para toma de
decisiones.
5- La administracin del riesgo est efectivamente integrada en todas las
operaciones , es bien aceptada e involucra extensamente a los empleados.
Los propietarios de procesos gestionan sus propios riesgos. La gerencia
evala en forma permanente las estrategias de mitigacin de riesgos. Hay
paneles que muestran la medicin del nivel de riesgo organizacional y por
rea.
Si su nivel de madurez es 0,1,2
lo ayudar a ordenarse, a mejorar los
logros y demostrar debida diligencia
(piense que este esfuerzo NO CREA
La norma ISO 31000 :
www.isaca.org.uy
(piense que este esfuerzo NO CREA
RIESGOS NUEVOS),
Si su nivel de madurez es 3,4,5
lo ayudar a examinar crticamente si las
prcticas y procesos que est aplicando
son las ms adecuadas a su caso.
Preguntas?
Muchas Gracias
www.isaca.org.uy
Muchas Gracias
Carlos R. Serra
serra@datasec-soft-com