Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
ISO 31000:2009
EXPOSICION DE GESTION
DE RIESGO POR
UN ESPECIALISTA
GESTION
PROCESO DE
GESTION DE GESTION DE
INTEGRADA
RIESGO RIESGO
OPERACIONAL
ADMINISTRACION
GENERAL
ESTRATEGIA Y PLANEACION
DE GESTION DE RIESGO
ESTABLECER EL CONTEXTO
•El contexto interno
•El contexto externo
•El contexto de la gestión del riesgo
•Criterios de desarrollo
•Definición de la estructura
IDENTIFICAR EL RIESGO
•¿Qué puede suceder?
•¿Dónde y cuándo?
•¿Cómo y porqué?
COMUNICACIÓN Y CONSULTA
MONITOREO Y REVISION
ANALIZAR LOS RIESGOS
Identificación de los controles
Determinar existentes Determinar
las la
consecuencias posibilidad
Tratamiento de los No
Riesgos
Si
TRATAR EL RIESGO
•Identificar opciones
•Evaluar opciones
•Preparar e implementar planes de tratamiento
•Analizar y evaluar el riesgo residual
© SGS SA 2012 ALL RIGHTS RESERVED 13
PRINCIPALES ELEMENTOS DEL PROCESO
DE LA GESTIÓN DEL RIESGO.
COMUNICACIÓN Y CONSULTA
Comunicación y consulta:
Procesos continuos y reiterativos que una organización lleva a cabo para
suministrar, compartir u obtener información e involucrarse en un diálogo con
las partes involucradas con respecto a la gestión del riesgo.
NOTA 1: La información se puede relacionar con la existencia, la
naturaleza, la forma , la posibilidad, el significado, la evaluación, la
aceptabilidad, y el tratamiento de la gestión del riesgo
NOTA 2: La consulta es un proceso de doble vía de la comunicación
informada entre una organización y sus partes involucradas, acerca de algún
tema, antes de tomar una decisión o determinar una dirección para dicho
tema. La consulta es:
-Un proceso que tiene impacto en la decisión a través de la influencia mas
que del poder; y
-una entrada para la toma de decisiones, no para la toma conjunta de
decisiones.
Parte involucrada:
Persona u organización que puede afectar, verse afectada o percibirse a
sí misma como afectada por una decisión o una actividad.
NOTA :Una persona que toma decisiones puede ser una parte
involucrada.
Planear.
- Identificar factores externos (oportunidades y
amenazas).
- Identificar factores internos( fortalezas y
debilidades).
- Misión / Visión.
- Objetivos de la organización.
- Estrategias de la organización.
- Formular políticas.
- Fijar indicadores de gestión global.
Hacer.
Actuar. - Asignar recursos.
- Mantener - Desarrollar la estrategia.
- Realizar acciones de mejora - Establecer el control de la
gestión.
Verificar.
Hacer el seguimiento.
Medir los resultados.
Análisis de datos.
FORTALEZAS / DEBILIDADES
Misión / Visión
Objetivos estratégicos
Percepción y Políticas de
Objetivos comunicación
Partes interesadas ORGANIZACION
Partes interesadas
OPORTUNIDADES / AMENAZAS
Como se va a determinar el
nivel de riesgo; los puntos
de vista de las partes
interesadas.
Análisis del
riesgo
Evaluación del
riesgo
ESTABLECER
PRIORIDAD DE
TRATAMIENTO
VERIFICAR
EFECTIVIDAD
DE LOS
CONTROLES
IDENTIFICAR
CONTROLES
EXISTENTE.
DESCRIBIRLO
• (estableciendo si son preventivos o correctivos).
Prob. Consecuencias
1 2 3 4 5
A H H E E E
B M H H E E
C L M H E E
D L L M H E
E L L M H H
Los controles luego de su valoración permiten desplazarse en la matriz, de acuerdo a
si cubren probabilidad o consecuencia en el caso de la probabilidad desplazaría
casillas hacia arriba y en el caso del consecuencia hacia la izquierda, como se muestra
en el gráfico.
Fuente de riesgo:
Elemento que solo o en combinación tiene el potencial intrínseco de originar un
riesgo.
NOTA . Una fuente de riesgo puede ser tangible o intangible.
Evento:
Presencia o cambio de un conjunto particular de circunstancias.
NOTA 1. Un evento puede ser una o más ocurrencias y puede tener varias
causas.
NOTA 2 .Un evento puede consistir en algo que no está sucediendo.
NOTA 3. En ocasiones, se puede hacer referencia a un evento como un
"incidente" o "accidente".
NOTA 4. También se puede hacer referencia a un evento sin
consecuencias como un "cuasi accidente", "incidente", "situación de peligro"
o "conato de accidente“.
© SGS SA 2012 ALL RIGHTS RESERVED 34
TÉRMINOS RELACIONADOS LA
IDENTIFIACIÓN DEL RIESGO
Peligro:
Fuente de daño potencial.
NOTA: El peligro puede ser una fuente de riesgo.
Frecuencia:
Número de eventos o resultados por unidad de tiempo definido.
NOTA :La frecuencia se puede aplicar a eventos pasados o a eventos futuros
potenciales, en donde se puede usar como una medida de la probabilidad, la
probabilidad numérica, o ambas.
Vulnerabilidad:
Propiedades intrínsecas de algo que resultan en la susceptibilidad a una fuente de
riesgo que puede ocasionar un evento con una consecuencia.
Matriz de riesgo:
Herramienta para clasificar y visualizar el riego mediante la definición de rangos para
la consecuencia y la posibilidad.
Nivel de riesgo:
Magnitud de un riesgo o de una combinación de riesgos, expresada en términos de la
combinación de las consecuencias y su posibilidad
Pasos
claves en
el análisis
de riesgos
Nota: los criterios deben darle capacidad de gestión del riesgo a la organización.
PROBABLE
PROBABILIDAD RIESGO RIESGO ALTO
MEDIO
IMPROBAB
MENOR MAYOR
CONSECUENCIA
Valores de las celdas=unidades de riesgo para
clasificación únicamente
© SGS SA 2012 ALL RIGHTS RESERVED 48
ANALISIS DEL RIESGO: NIVEL DE
RIESGO
CONSECUENCIAS
El propósito de la
evaluación del riesgo es
tomar decisiones, basadas en
los resultados del análisis del
riesgo, sobre los riesgos que
necesitan tratamiento y las
prioridades del tratamiento.
Prob. Consecuencias
1 2 3 4 5
A H H E E E
B M H H E E
C L M H E E
D L L M H E
E L L M H H
Nota: los criterios y categorías deben darle
capacidad de gestión del riesgo a la organización.
OBJETIVO
Control:
Medida que modifica al riesgo.
NOTA 1: Los controles incluyen procesos, políticas, dispositivos,
prácticas u otras acciones que modifican al riesgo.
NOTA 2 :Los controles no siempre pueden ejercer el efecto
modificador previsto o asumido.
Evitar el riesgo:
Decisión informada de no involucrarse en una actividad o retirarse de ella
con el fin de no quedar expuesto a un riesgo particular.
NOTA: La aceptación del riesgo se puede basar en el resultado de la
evaluación del riesgo, en las obligaciones legales y reglamentarias, o
en ambas.
© SGS SA 2012 ALL RIGHTS RESERVED 58
TÉRMINOS RELACIONADOS CON EL
TRATAMIENTO DEL RIESGO
Compartir el riesgo:
Forma de tratamiento del riesgo que implica la distribución pactada del riesgo con las
otras partes.
NOTA 1: Los requisitos legales o reglamentarios pueden limitar, prohibir u ordenar
compartir el riesgo.
NOTA 2 :La actividad de compartir el riesgo se puede realizar a través de pólizas de
Seguros u otras formas de contrato.
NOTA 3: El grado hasta el cual se distribuye el riesgo puede depender de
la confiabilidad y la claridad de los acuerdos para compartirlo.
NOTA 4: La transferencia del riesgo es una forma de compartir el riesgo.
Financiación del riesgo:
Forma de tratamiento del riesgo que implica acuerdos contingentes para la provisión de
fondos para satisfacer o modificar las consecuencias financieras, si se presentan.
Valoración
Decisión sobre si
valoración de la los niveles de
eficacia de dicho
Tratamiento riesgo residual son
tratamiento del riesgo tolerables
si no son
tolerables,
generación de un
nuevo
tratamiento para
el riesgo
Evitar el
riesgo al
decidir no
iniciar o
continuar la
Retener el actividad que
lo originó
Tomar o
riesgo
incrementar el
mediante
riesgo para
una
perseguir una
decisión
oportunidad
informada.
Compartir el Opciones de
riesgo con una o tratamiento
varias de las Retirar la
partes,
(incluyendo los fuente de
contratos y la riesgo
financiación del
riesgo); y
Cambiar Cambiar
las la
consecuen probabili
cias dad.
MONITOREO Y REVISIÓN
Planeación estratégica de la
Tareas de
auditoría Auditoría
Estrategia de la Auditoría
Plan de Auditoría
Planeación Estratégica
de la Organización,
Objetivos y Planes
Estrategia
Estructura Plan de Auditoría
Organizacional
Riesgos de la
Organización
Las salidas de un análisis del riesgo del negocio de la organización Cliente, puede servir de guía
para la elaboración del Plan de Auditoría.
OBJETIVO –
Apropiar los conocimientos en la elaboración de la
matriz de riesgo, teniendo en cuenta el proceso general
de la gestión del riesgo basado en la NTC ISO 31000.
.