ALIANZA EMPRESARIAL PARA UN COMERCIO SEGURO
GESTIÓN DEL RIESGO ANÁLISIS Y EVALUACIÓN EVALUACIÓN
18/03/2008
JORGE H. BELTRAN V. AUDITOR BASC CONSULTOR CAMARA DE COMERCIO DE BOGOTÁ
2
OBJETIVO PRINCIPAL Crear en los participantes las competencias necesarias para diseñar una metodología para la GESTIÓN de riesgos, con énfasis en los de tipo social, optimizando la gestión de protección a partir de la misma.
18/03/2008
3
OBJETIVOS ESPECÍFICOS 1. OBTENER OBTENER UNA HERRAMIEN HERRAMIENTA TA PARA PARA EL ANÁLISIS DE RIESGOS. 2. EVALUA EVALUAR R LOS RIESGO RIESGOS S IDENTIFICADOS EN LA EMPRESA.
18/03/2008
4
Gestión del Riesgo
4.2.2
La Orga Organi niza zaci ción ón debe debe esta establ blec ecer er y mant manten ener er un procedimient proced imientoo documen documentado tado para para esta establ blec ecer er e implementar un proceso de gestión del riesgo que permita la determi determinac nación ión,, identif identificac icación ión,, análisi análisis, s , evalua evaluación ción,, tratamiento, monitoreo y comunicación de los riesgos. Debe existir una evaluación de riesgos de las instalaciones, personas y operaciones de la compañía, que contengan los 2,2 concept conceptos os de amenazas amenazas,, vulner vulnerabil abilidad idad,, probabil probabilidad idad y severidad severidad . Se utilizara la guía BASC para esta evaluación. evaluación. La evaluación debe actualizarse anualmente como mínimo. 3,2
Debe identificarse identificarse las posiciones criticas que afecten a la seguridad
4,2
Debe disponerse de un plano con la ubicación de las áreas sensibles de la instalación
ESTÁNDARES BASC (Sistema ma de Gestión) versión 2- 2005. 2.2. (Siste Debe existir una evaluación de riesgos de: – – –
Las personas. Las instalaciones. Y Las operaciones de la compañía.
– – – –
Amenazas. Vulnerabilidad. Probabilidad. Severidad.
Que contengan los conceptos de:
Se utilizará utilizará la guía BASC para esta evaluación. La evaluación debe actualizarse anualmente como mínimo.
INTRODUCCION AL RIESGO SOCIAL
18/03/2008
7
ACLARACION DE CONCEPTOS • Amenaza:
Peligro presente, proveniente de alguna fuente especí especí fica. fica.
Probabilidad de Ocurrencia de un Siniestro
• Vulnerabilidad:
• Riesgo:
Grado de exposición frente a la amenaza. Medida del impacto que pueda generar la materialización de un riesgo. Forma como se relacionan la amenaza y la vulnerabilidad, o la frecuencia y las consecuencias de materialización del riesgo. Es un evento no deseado que puede ocurrir.
18/03/2008
8
CONCEPTOS A ACLARAR
Siniestro Evento No Deseado con capacidad de generar efectos negativos sobre el sistema que lo sufre. 18/03/2008
9
Tipos de Siniestros Tipos de Siniestros • Acci Accide dent ntal ales es:: Origen Fortuito • Volu Volunt ntar ario ios: s: Origen Intencional 18/03/2008
10
Proceso del Siniestro Factor Humano
Siniestro
Victimas Daños Materiales Daño Ambiental Suspensión actividades Perdida de Información Daño Imagen Pérdida Mercado
Evento
Consecuencias
Factor Material
Causas 18/03/2008
Perdidas
11
Proceso del Siniestro
Causas
18/03/2008
Evento
Consecuencias
12
Estrategia de Gestión de Riesgos
• ADMINI ADMINISTR STRATI ATIVAS VAS Asumir Financiar • OPER OPERAT ATIV IVAS AS Prevenir Proteger
Estrategias para la Gestión del Riesgo PREVENIR
PROTEGER
Factor Humano
Siniestro Factor Material
Causas
Evento
FINANCIAR
Victimas Daños Materiales Daño Ambiental Suspensión actividades Perdida de Información Daño Imagen Pérdida Mercado
ASUMIR
Perdidas
Consecuencias
18/03/2008
14
EL CONCEPTO DE RIESGO Riesgo: proximidad de un daño, desgracia o Riesgo: contratiempo que puede afectar la vida de los hombres (Real Academia Española, 1992, p.1.562).
18/03/2008
15
DEFINICION DE RIESGO Riesgo: “Probabilidad de ocurrencia de un peligro o la materialización de una amenaza”.
Riesgo: NTC 5254, “ Posibilidad de que sucede algo que tendrá impacto en los objetivos, se mide en términos de consecuencias y posibilidad de ocurrencia”.
• El concepto incluye la probabilidad de ocurrencia de un acontecimiento natural o antrópico y la valoración por parte del hombre en cuanto a sus efectos nocivos (vulnerabilidad).
18/03/2008
16
RIESGO “Es la posibilidad de que algo pueda presentarse, con consecuencias negativas o positivas.” “Amenaza evaluada en cuanto a su probabilidad de ocurrencia y a la gravedad de sus consecuencias.”
Que es Peligro y Que es Riesgo?
• Definiciones PELIGRO (NTC 5254) Fuente de daño potencial o situación con potencial para causar perdida. RIESGO (NTC 5254) La posibilidad de que suceda algo que tendrá un impacto sobre los objetivos. Se le mide en términos de consecuencias y probabilidades. 18/03/2008
18
DIFERENCIA ENTRE RIESGO Y SINIESTRO SINIESTRO (ya ocurrió)
18/03/2008
RIESGO (no ha ocurrido)
PASADO
FUTURO
RIESGO Frecuencia X Consecuencias
Amenaza X Vulnerabilidad 18/03/2008
20
Enfoque tradicional Segundad basada en los SINIESTROS presentados AMENAZA RIESGO SINIESTRO
NUEVO ENFOQUE 18/03/2008
Variables del Riesgo Probabilidad (Amenaza) Consecuencias (Vulnerabilidad) RIESGO = Amenaza X Vulnerabilidad
18/03/2008
22
MATRIZ FRECUENCIA/AMENAZA
8
Constante
7
Habitual
6
Frecuente
5
Moderado
4
Ocasional
3
Esporádico
2
Remoto
1
Improbable Insignificante
Marginal
Grave
Crítico
Desastroso
Catastrófico
1
2
5
10
20
50
18/03/2008
CONSECUENCIAS/ VULNERABILIDAD
Evaluación del Riesgo
D1 C1 A5
MATRIZ de Riesgos PERDIDAS ECONOMICAS a z a n e m A / d a d i l i b i s o P
5
Frecuente
5
10
25
50
100
4
Moderado
A-1 B-1 4 D-1
A-5 B-5 8
20
40
80
3
Ocasional
C-1 3
A-2 15 B-2 D-2
30
60
2
Remoto
2
D-3 4
C-2 10
20
40
1
Improbable
C-3 2
5
10
20
Insignificante
Marginal
Grave
Crítico
Desastroso
1
2
5
10
20
C-4 D-4 1
A-3 A-4 B-3
6
B-4 C-5 D-5
Aceptable Tolerable Inaceptable Inadmisible
Consecuencia / Vulnerabilidad
18/03/2008
25
LA SEGURIDAD
No es una función; Es una herramienta
QUÉ ES LA GESTIÓN DEL RIESGO
•
TÉRMINO APLICADO A UN MÉTODO LÓGICO Y SISTEMÁTICO PARA EL ESTABLECIMIENTO DEL CONTEXTO, IDENTIFICACIÓN, ANÁLISIS, EVALUACIÓN, TRATAMIENTO, MONITOREO Y COMUNICACIÓN DE LOS RIESGOS ASOCIADOS CON CUALQUIER ACTIVIDAD, FUNCIÓN O PROCESO DE FORMA QUE POSIBILITE QUE LAS ORGANIZACIONES MINIMICEN PÉRDIDAS Y MAXIMICEN OPORTUNIDADES.
18/03/2008
27
QUÉ ES LA GESTIÓN DEL RIESGO
•
ES UN PROCESO ITERATIVO QUE CONSTA DE PASOS BIEN DEFINIDOS QUE, TOMADOS EN SECUENCIA, APOYAN UNA MEJOR TOMA DE DECISIONES MEDIANTE SU CONTRIBUCIÓN A UN MAYOR CONOCIMIENTO DE LOS RIESGOS Y SUS IMPACTOS.
•
ESTE PROCESO PUEDE APLICARSE A CUALQUIER SITUACIÓN DONDE UN RESULTADO INDESEADO O INESPERADO PODRÍA SER IMPORTANTE O DONDE SE IDENTIFIQUEN OPORTUNIDADES.
•
A FIN DE SER LO MÁS EFECTIVA POSIBLE, LA GESTIÓN DEL RIESGO DEBE VOLVERSE PARTE DE LA CULTURA DE UNA ORGANIZACIÓN
18/03/2008
28
MAPA DE PROCESOS
GESTION DE RIESGOS NORMA TECNICA COLOMBIANA NTC 5254 ASOCIACION FRENTE DE SEGURIDAD EMPRESARIAL DE SANTANDER EULER MUÑOZ SEPULVEDA Julio 26 de 2007
CONTENIDO DE LA NTC 5254 • • • • • • • • • • • • • •
INTRODUCION 1. OBJETO, APLICACIÓN Y DEFINICIONES 1.1 OBJETO 1 .2 AP LI CA CI ÓN 1 .3 DE FI NI CI ON ES 2. REQUISITOS DE LA GESTIÓN DEL RIESGO 2. 1 P RO PÓ SI TO 2.2 POLÍTICA DE GESTIÓN DEL RIESGO 2.3 PLANEACIÓN Y SUMINISTRO DE RECURSOS 2.4 PROGRAMA DE IMPLEMENTACIÓN 2.5 REVISIÓN POR LA DIRECCIÓN 3. PANORAMA DE LA GESTIÓN DEL RIESGO 3.1 GENERALIDADES 3.2 ELEMENTOS PRINCIPALES
•
4.
• 4.1 • 4.2 18/03/2008
PROCESO DE GESTIÓN DEL RIESGO DETERMINACIÓN DEL CONTEXTO IDENTIFICACIÓN DEL RIESGO 31
CONTENIDO DE LA NTC 5254
• • • • • • • •
4 .3 4 .4 4.5 4 .6 4.7 5. 5 .1 5.2
• •
ANEXO A. APLICACIONES DE LA GESTIÓN DEL RIESGO ANEXO B. PASOS EN EL DESARROLLO E IMPLEMENTACIÓN DE UN PROGRAMA DE GESTIÓN DEL RIESGO ANEXO C. PARTES INTERESADAS ANEXO D. FUENTES GENÉRICAS DE RIESGO Y SUS ÁREAS DE IMPACTO ANEXO E. EJEMPLOS DE DEFINICIÓN DE RIESGO Y CLASIFICACIÓN ANEXO F. EJEMPLOS DE EXPRESIONES CUANTITATIVAS DE RIESGO ANEXO G. IDENTIFICACIÓN DE OPCIONES PARA EL TRATAMIENTO DEL RIESGO ANEXO H. DOCUMENTACIÓN DE GESTIÓN DEL RIESGO
• • • • • •
A NÁ LI SI S D EL RI ES GO E VA LU AC IÓ N DE L RI ES GO TRATAMIENTO DEL RIESGO M ON IT OR EO Y RE VI SI ÓN COMUNICACIÓN Y CONSULTA DOCUMENTACIÓN G EN ER ALI DA DE S RAZONES PARA LA DOCUMENTACIÓN
18/03/2008
32
NORMA TÉCNICA COLOMBIANA NTC 5254 REQUISITOS DE LA GESTIÓN DE RIESGOS : –
Propósito: Describir un proceso formal para e l establecimiento de un programa sistemático de gestión del riesgo
–
Política: La alta dirección de la organización debe definir y documentar su política para gestión del riesgo y su compromiso con ella.
–
Planeación y suministros de recursos: Debe habe r compromiso de la dirección, definirse la responsabilidad y autoridad e identificar y brindar los recursos pertinentes
NORMA TÉCNICA COLOMBIANA NTC 5254 REQUISITOS DE LA GESTIÓN DE RIESGOS (cont):
–
Programa de Implementación: Debe tenerse en cuenta la filosofía, cultura y estructuras generales de la organización en cuanto a gestión del riego se refiere.
–
Revisión por la Dirección: La alta dirección debe garantizar que se realice una revisión del sistema de gestión del riesgo a intervalos especificados
OBJETIVOS • Adquirir una visión global de los riesgos a que está expuesta la organización, dominarlos en el plano material y en el plano financiero, con miras a garantizar la permanencia y a mejorar la posición competitiva de ésta. • Mantener la estabilidad operativa y financiera de la empresa en el corto plazo. • Minimizar las pérdidas ocasionadas por la ocurrencia de un riesgo.
NORMA TÉCNICA COLOMBIANA NTC 5254
• APLICACIÓN:
La gestión del riesgo se reconoce como una parte integral de las buenas prácticas de gestión del riesgo. Esta norma puede aplicarse en todas las etapas de la vida de una actividad, función, proyecto, producto o bien. Es un proceso iterativo compuesto por una serie de pasos que si se ejecutan en secuencia, permiten la mejora continua en la toma de decisiones.
NORMA TÉCNICA COLOMBIANA NTC 5254 PROCESO DE GESTIÓN DE RIESGOS R A T L U S N O C Y R A C I N U M O C
Establecer el contexto
N O I S I V E R Y O E R O TI N O M
Identificar riesgos Analizar riesgos Evaluar riesgos Tratar riesos
ESTABLECER EL CONTEXTO - El contexto estrategico - El contexto organizacional - El contexto de gestión de riesgos - Criterio desarrollado - Definir la estructura
IDENTIFICARRIESGOS - Qué puede suceder? - Cómo puede suceder?
4. PROCESO DE LA GESTIÓN DEL RIESGO
A
P
V
H
ANALIZAR LOS RIESGOS Determinar los controles existentes r a t l u s n o c y r a c i n u
m o C
18/03/2008
Determinar la probabilidad
Determinar las consecuencias
Calcular nivel de riesgo
EVALUAR LOS RIESGOS - Comparar contra criterios - Establecer prioridades de riesgo
Aceptar riesgos Evaluar los riesgos
38
r a s i v e r y r a e r o t i n o M
Si
No
TRATAR LOS RIESGOS - Identificar opciones de tratamiento - Evaluar las opciones de tratamiento - Seleccionar las opciones de tratamiento - Preparar planes de tratamiento - Implementar planes
NORMA TÉCNICA COLOMBIANA NTC 5254 PROCESO DE GESTIÓN DE RIESGOS (cont): 1.
Establecer contexto:
-
Estratégico.
-
Organizacional
-
Contexto de la Gestión del Riesgo
-
Definición Criterios Evaluación del riesgo
-
Definición Estructural
NORMA TÉCNICA COLOMBIANA NTC 5254 PROCESO DE GESTION DE RIESGOS (cont):
2
Identificación del Riesgo (Fuentes de Riesgo vs. Áreas de Impacto):
-
Que puede suceder?.
-
Por qué sucede?
-
Como sucede?
-
Herramientas y técnicas
NORMA TÉCNICA COLOMBIANA NTC 5254 PROCESO DE GESTION DE RIESGOS (cont):
3. Análisis del Riesgo: -
Determinación de los controles existentes
-
Consecuencias y posibilidades. (Registros pasados, Literatura publicada, experiencia, modelos, juicios, etc.)
-
Tipos de análisis (Cualitativo, Semicuantitativo, Cuantitativo y de Sensibilidad).
NORMA TÉCNICA COLOMBIANA NTC 5254 PROCESO DE GESTION DE RIESGOS (cont):
4
Evaluación del Riesgo:
-
Comparación del nivel de riesgo encontrado durante el proceso de análisis contra los criterios de riesgo previamente establecidos.
-
El resultado debe ser una lista priorizada de Riesgos.
-
Se debe considerar los objetivos de la organización y el grado de oportunidad que resultar de asumir el riesgo.
NORMA TÉCNICA COLOMBIANA NTC 5254 PROCESO DE GESTION DE RIESGOS (cont):
5
Tratamiento del Riesgo
-
Identificación de opciones de tratamiento: No afrontar el riesgo, Reducir la posibilidad de la ocurrencia, Reducir las consecuencias, Transferir el riesgo, Retener el riesgo.
-
Evaluación de opciones de tratamiento de riesgo: Evaluar sobre la base de reducción del riesgo, el alcance de beneficios u oportunidades creadas, costo beneficio.
NORMA TÉCNICA COLOMBIANA NTC 5254 PROCESO DE GESTION DE RIESGOS (cont):
6. Preparación e implementación de planes de Tratamiento: -
Se debe documentar la implementación de los tratamientos identificando responsabilidades, cronogramas alcance y recursos , entre otros.
-
SI después del tratamiento existe un riesgo residual, debe tomarse una decisión en cuanto a retenerlo o repetir su proceso.
NORMA TÉCNICA COLOMBIANA NTC 5254 PROCESO DE GESTION DE RIESGOS (cont):
7. Monitoreo y Revisión Deben monitorearse los riesgos, la eficacia del plan de tratamiento del riesgo, las estrategias y el sistema de gestión que se establecen para controlar la implementación. Resulta esencial la revisión permanente para asegurarse que el plan de gestión continua siendo pertinente
NORMA TÉCNICA COLOMBIANA NTC 5254 PROCESO DE GESTION DE RIESGOS (cont): 8. Comunicación y Consulta Son muy importantes en cada paso del proceso de gestión del riesgo. Es primordial desarrollar un plan de comunicación tanto para las partes interesadas internas como para las externas. La comunicación y consulta incluyen un dialogo bilateral entre las partes interesadas, y los esfuerzos se deben centrar en la consulta, mas que en un flujo unilateral de información proveniente de quien toma las decisiones hacia las otras partes interesadas
NORMA TÉCNICA COLOMBIANA NTC 5254 PROCESO DE GESTIÓN DE RIESGOS R A T L U S N O C Y R A C I N U M O C
Establecer el contexto Identificar riesgos Analizar riesgos Evaluar riesgos Tratar riesos
N O I S I V E R Y O E R O TI N O M
CLASIFICACIÓN DE LOS RIESGOS 18/03/2008
48
CLASIFICACIÓN DE LOS RIESGOS EXÓGENOS
ENDÓGENOS
(Del ambiente a la operación)
Naturales
Meteorológicos Climatológicos
Antrópicos
Geológicos Geomorfológicos
Vientos Inundaciones Torrenciales Rayos Incendios Forestales
Accidentes sobre el ambiente Derrames Accidentes de trabajo Incendios
“ Seg Seg ú ún su relaci ó relaci ó n n con la operaci ó operaci ó n n” ”
(De la operación al ambiente)
Operacionales o Tecnológicos
Sociales Terrorismo Robo Atraco Secuestro Narcotráfico Piratería
Eventos no atendidos Actividades anómalas Falta mantenimiento Contaminación de los recursos por eventos tecnológicos
Sismos Deslizamientos Hundimientos Derrumbes Volcanes Maremotos
Fuente: ANDI RI
De Anthropos - en griego -, hombre. 18/03/2008
49
GESTIÓN INTEGRAL DE RIESGOS
Riesgos Financieros Riesgos Estratégicos Demanda del mercado
Riesgos del mercado financiero
Cambios en la industria/clientes
Valor de los activos
Nuevos negocios
Volatilidad en los riesgos de tasas de cambio y tasas de interés
Alianzas
Capital intelectual Canales y redes de distribución Investigación y desarrollo
Riesgo de crédito de las contrapartes Liquidez, flujo de caja.
Gestión Integral de Riesgos Daños a bienes Riesgos informáticos
Responsabilidad civil Accidentes de trabajo
Riesgos regulatorios
Desastres naturales Lucro cesante
Riesgos ambientales
Continuidad del negocio
Riesgos Puros
Cadena de abastecimiento
Riesgos Operacionales
Clasificación Por sus Consecuencias • Riesgos Puros • Riesgos Especulativos
RIESGOS GENERADOS EN LA EMPRESA
OTROS TIPOS DE RIESGO • ESTRATEGICO • OPERATIVO • FINANCIERO MERCADO – LIQUIDEZ – PRECIO Y CREDITO • LEGAL • TECNOLOGICO • LABORAL
Clasificación Por su Origen • Riesgos Naturales • Riesgos Tecnológicos • Riesgos Sociales
Clasificación Por su Aceptabilidad • Riesgos aceptables • Riesgos Tolerables • Riesgos Inaceptables • Riesgos Inadmisibles
MATRIZ PORCENTAJE FRECUENCIA/AMENAZA 8
C on st an te
2.%
4.%
10.%
20.%
40.%
100.%
7
H ab it ua l
1.75%
3.5.%
8.75%
17.5%
35.%
87.5%
6
F re cu en te
1.5%
3.%
7.5%
15.%
30.%
75.%
5
M od er ad o
1.25%
2.5%
6.25%
12.5%
25.%
62.5%
4
O ca si on al
1.%
2.%
5.%
10.%
20.%
50.%
3
Esporádico
O.75%
1.5%
3.75%
7.5%
15.%
37.5%
2
Remoto
0.50%
1.%
2.5%
5.%
10.%
25.%
1
Improbable
0.25%
0.5%
1.25%
2.5%
5.%
10.%
Insignificante
Marginal
Grave
Crítico
Desastroso
Catastrófico
1
2
5
10
20
50
CONSECUENCIAS
18/03/2008
MATRIZ DE ACEPTABILIDAD ACEPTABLE
2%
TOLERABLE
2.1% AL 4%
INACEPTABLE
4.1% AL 15%
INADMISIBLE
MAS 15%
18/03/2008
JORGE H. BELTRAN V.
PROPOSITO Optimizar la Vulnerabilidad de un sistema hasta “nivel aceptable” dentro de parámetros de Costobeneficio.
IDENTIFICACIÓN DE LOS RIESGOS 18/03/2008
59
¿Cómo y por qué se pueden suceder? • Cliente fraudulento: – Falta de conocimiento del mercado. – Falta de análisis del cliente. – Falta de entrenamiento del personal en riesgos. – Falta de acceso a bases de datos, asociaciones con información sobre empresas,…
IDENTIFICACION DE RIESGOS • Contexto Interno
Objetivo Contexto Nombre del riesgo Externo Descripción Agente generador Causas Efectos
Modelo Identificación de riesgos proceso logístico Riesgo
Descripción
Agente generador Hurto Posibilidad de que Personal de y/o robo alguien se apodere almacén ilegítimamente de materias primas, o productos terminados.
Causa
Efecto
Falta de control de Pérdida inventarios Económica Errores en el proceso de selección de personal Delincuencia Deficiencia en el común sistema de seguridad diseñado No aplica en las medidas de seguridad establecidas
Identificació Identificación de Riesgos Empresa ABC: Proceso de Logístico No
RIESGO (Qué ycómo puede suceder)
AGENTE GENERADOR DE RIESGO
DESCRIPCCION
Proveedores 1
Demora
P o si b il id a d d e r et ra s os e n e l a b as te c im ie nt o o e nt re g a d e servicios al cliente Almacén
Empleados 2
Hurto o Robo
3
Mala calidad
P o si b il id a d d e q ue a lg uí en s e a po de re i nd eb id ame nt e d e i nsumos, mate ri ales , o informaciónconfidencial Delincuencia común
Empleados
18/03/2008
Posibili dad de entre gar insumos o servicios, sinel cumplim iento de los estándares de calidad. Proveedores
CAUSAS DEL RIESGO
CONSECUENCIAS O EFECTO DEL RIESGO
Incumplimiento de plazos Mala selección de proveedores Incumplimiento de verificación d e d at os , i nf or ma ci ón y Pérdida de clientes antecedentes F al ol s e n l a p la ne ac i ón d eDeterioro de la imagen pedidos Fa tla de co ntro el s de inventario F al ol s e n l os c o nt ro le s d e calidad del servicio Fa tla de co ntro el s de inventarios In ef ic ie nt e s el ec ci ón de personal Falt ade gesti ónen Control yPerdidas económicas Seguridad Deterioro de la imagen Incumplimiento procedimientos de seguridad D e fi ci e nc ia e n e l s i st em a proteccióndiseñado F al al s e n l os c o nt ro le s d e calidad F al ta d e s e ns ib i il za c ió n y Pérdida de clientes capacitación E rr or es e n l a s el ec ci ó n d ePerdidas económicas Deterioro de la imagen proveedores Fallo sen contro lesde entrega y recibo de insumos o servicios
63
Identificació Identificación de Riesgos Empresa ABC : Proceso de Comercialización No
1
2
3
RIESGO (Qué ycómo puede suceder)
DESCRIPCCION
AGENTE GENERADOR DE RIESGO
CAUSAS DEL RIESGO
CONSECUENCIAS O EFECTO DEL RIESGO
Mayores recursos financieros Salir del mercado Posibili dadque la Compentencia Me oj r c ono ci mi ent o d el Pérdida de clientes aplique estrategiasde mercadeo Competencia mercado m ás e co nó mi ca s y d e m ej or Perdidas económicas Infraestructura calidad a los clientes. Deterioro de la imagen Tecnológia A us enc ia d e e st ud io s d e mercados Posibili dad de equiv ocars e en la Alta Dirección Perfiles iandecuados Salir del mercado Error o desacierto definición de las estrategias Resiste ncia al cambioo baja Pérdida de clientes estrategico comerciales, prestación del Perdidas económicas tolerancia al riesgo servicio o ejecución de procesos Deterioro de la imagen Falta de experiencia Empleados Falta de demanda Falta de capacitación Falta de supervisión y control Empleados In ef ic ie nt e s el ec ci ón d e personal Posibili dad de que alg uíen se D ef ic ie nc ia e n e l s is te ma a pr op ie i nd eb id am en te de Perdidas económicas protección diseñado Hurto o Robo dineros pagados por los servicios Deterioro de la imagen Incumplimiento Delincuencia contratados procedimientos de seguridad común Falt ade gestión en Control y Seguridad Competencia agresiva
18/03/2008
64
Identificació Identificación de Riesgos Empresa ABC del Riesgo: Proceso de servicios
No
RIESGO (Qué y cómo puede suceder)
DESCRIPCCION
AGENTE GENERADOR DE RIESGO
Empleados 1
Mala Calidad
Posib ili dadde prestar un servicio deficiente al cliente Consultor Externo
2
3
Posibili dad de equivocarse en laAlta Dirección Error o desacierto d ef in ic ió n d e l as e st ra te gi as estrategico c ome rc ia le s, p re st ac ói n d el servicio o ejecución de procesos Empleados
Accidente
Empleados Posibili dad de que se presenten s it ua ci on es i ne sp er ad as , q ue generenATEP o daños o perdidasInsumos o a las instalaciones materiales Entorno
18/03/2008
CAUSAS DEL RIESGO
CONSECUENCIAS O EFECTO DEL RIESGO
Falta de capacitación Falta de está ndariz ació n del proceso C ar en ci a d e c om pe te nc ia s Salir del mercado laborales Pérdida de clientes In ef icien te se el cció n d ePerdidas económicas personal Deterioro de la imagen Defic iencia en condicio nes de prestación del servicio F al lo s e n l os c on tr ol es d e calidad del servicio Perfíl inadecuado Falta de información Salir del mercado Desconocimiento del mercado Pérdida de clientes Perdidas económicas Políticas Deterioro de la imagen Inexperiencia Control y seguridad Fallo s e n la s m ed ida s d e protección F al ta d e s en sib il iza ci ón y Lesiones humanas capacitación Pérdida de clientes Fallo s en ma te nimien to Perdidas económicas preventivo Deterioro de la imagen Fallos en control de calidad Control y seguridad Fallas naturales
65
3. ANALISIS DEL RIESGO •Definir nivel de aceptabilidad •Identificar controles existentes •Definir consecuencias y posibilidad
18/03/2008
66
NORMA TÉCNICA COLOMBIANA NTC 5254 PROCESO DE GESTIÓN DE RIESGOS R A T L U S N O C Y R A C I N U M O C
Establecer el contexto
N O I S I V E R Y O E R O TI N O M
Identificar riesgos
Analizar riesgos Evaluar riesgos Tratar riesos
LA EMPRESA NECESITA SER PROTEGIDA NO SOLO EN SUS ACTIVOS, SUS EMPLEADOS Y SUS CLIENTES, SINO TAMBIÉN EN SUS ACTIVIDADES Y PROYECCIONES. TODA ACTIVIDAD NECESITA DE UN ESFUERZO, UNA CANTIDAD DE TIEMPO, EL CONSUMO DE UNOS RECURSOS. LAS ACTIVIDADES IMPLICAN ALGUNOS RIESGOS, INCLUYEN VULNERABILIDAD Y CREAN INCERTIDUMBRE (CONTINGENCIA DE SITUACIONES NO PREVISTAS NI PREVISIBLES EN CIRCUNSTANCIAS NORMALES) 18/03/2008
JORGE H. BELTRAN V.
FACTORES DE VULNERABILIDAD
Factores que condicionan la “Gravedad del Impacto” Al ser afectados por el siniestro Variables Críticas
FACTORES DE VULNERABILIDAD
• Personas • Finanzas • Operación • Ambiente • Información • Imagen • Mercado
TIPOS DE VULNERABILIDAD CONSECUENCIA Víctimas Pérdidas económicas Afectación Operación Daño ambiental Pérdida de Información Daño a la imagen Pérdida de mercado
TIPO Humana Económica Operacional Ambiental Estratégica Institucional Comercial
MATRIZ FRECUENCIA/AMENAZA
18/03/2008
CONSECUENCIAS /VULNERABILIDAD
Escalas de Valor POSIBILIDAD • Improbable? • Remoto? • Ocasional? • Moderada? • Alta? • Inminente? Construir una escala de 5 criterios 18/03/2008
73
FRECUENCIA VALOR A B C D E F G H
NIVEL IMPROBABLE REMOTO ESPORÁDICO OCASIONAL MODERADO FRECUENTE HABITUAL CONSTANTE
18/03/2008
74
CALIFICACIÓN FRECUENCIA VALOR 1 2 3 4 5 6 7 8 18/03/2008
NIVEL IMPROBABLE REMOTO ESPORÁDICO OCASIONAL MODERADO FRECUENTE HABITUAL CONSTANTE 75
MATRIZ - FRECUENCIA VALOR
1 2 3 4 5 6 7 8
NIVEL
NIVEL
NIVEL
NIVEL
BAJO
IMPROBABLE
IMPROBABLE
IMPROBABLE
MEDIO
REMOTO
REMOTO
REMOTO
ALTO
ESPORÁDICO
OCASIONAL
ESPORÁDICO
MODERADO
MODERADO
OCASIONAL
FRECUENTE
FRECUENTE
MODERADO
CONSTANTE
FRECUENTE HABITUAL CONSTANTE
18/03/2008
76
MATRIZ - FRECUENCIA VALOR
NIVEL
DEFINICIÓN
1 2
IMPROBABLE
DIFÍCIL QUE OCURRA
REMOTO
3
ESPORÁDICO
4
MODERADO
5
FRECUENTE
MUY BAJA PROBABILIDAD DE OCURRENCIA LIMITADA PROBABILIDAD DE OCURRENCIA MEDIANA PROBABILIDAD DE OCURRENCIA MUY ALTA PROBABILIDAD DE OCURRENCIA
6 7 8 18/03/2008
77
Tabla E.2. Medidas cualitativas de las posibilidades . FRECUENCIA Nivel
Descriptor
Descripción
A
Casi cierto
B
Probable
C
Posible
Se espera que ocurra en la mayoría de las circunstancias. Puede probablemente ocurrir en la mayoría de las circunstancias. Es posible que ocurra en algunas veces.
D
Improbable
Podría ocurrir en algunas veces.
E
Raro
Puede ocurrir solamente en circunstancias excepcionales. NOTA. Las tablas necesitan ajustarse para satisfacer las necesidades individuales de la organización. 18/03/2008
78
MATRIZ - FRECUENCIA VALOR
1 2 3 4 5 6 7 8
NIVEL
DEFINICIÓN
IMPROBABLE
MENOS DE UN CASO EN 20 AÑOS
REMOTO
1 CASO ENTRE 10 Y 20 AÑOS
ESPORÁDICO
1 CASO ENTRE 1 Y 5 AÑOS
MODERADO
ENTRE 1 Y 12 CASO AL AÑO
FRECUENTE
MAS DE 12 CASOS AL AÑO
18/03/2008
79
MATRIZ - FRECUENCIA VALOR
NIVEL
1 2 3 4 5 6 7 8
IMPROBABLE
MAS DE 3 AÑOS
DEFINICIÓN
REMOTO
ENTRE 1 Y 3 AÑOS
ESPORÁDICO
ANUAL
MODERADO
MENSUAL
FRECUENTE
DIARIO
18/03/2008
80
TALLER ELABORACIÓN DE TABLAS 18/03/2008
81
MATRIZ DE RIESGOS FRECUENCIA/ AMENAZA VALOR
5 4 3 2 1
NIVEL FRECUENTE MODERADO ESPORÁDICO REMOTO IMPROBABLE
CONSECUENCIAS/ VULNERABILIDAD 82
18/03/2008
CONSECUENCIAS VALOR
NIVEL INSIGNIFICANTE MARGINAL GRAVE CRITICO DESASTROSO CATASTRÓFICO
18/03/2008
83
CONSECUENCIAS VALOR 1 2 3 4 5 6 18/03/2008
NIVEL INSIGNIFICANTE MARGINAL GRAVE CRITICO DESASTROSO CATASTRÓFICO
84
Escala Lineal
Golpearse el pie con un objeto al caminar 6 d a di li bi s o P
6
5 R i e s g o s E q u i v a l e n t e s
4 3 2 1
1 1
2
18/03/2008
1
1
3
4
6
5
6
Escala Geométrica
Golpearse el pie con un objeto al caminar
d a di il bi s o P
1
Consecuencias
85
6
11 de septiembre / 2001
6
5 R i e s g o s D i f e r e n c i a l e s
4 3 2 1
1 1
3
5
11 de septiembre / 2001
7
10
15
7
10
15
Consecuencias
18/03/2008
CONSECUENCIAS VALOR 1 2 5 10 20 50 18/03/2008
NIVEL INSIGNIFICANTE MARGINAL GRAVE CRITICO DESASTROSO CATASTRÓFICO
87
EJEMPLOS DE DEFINICIÓN DE RIESGO Y CLASIFICACIÓN Medidas cualitativas de la consecuencia o impacto Nivel
descriptor
Descripción detallada de ejemplo
1
Insignificante
Ningún daño, perdidas financieras pequeñas
2
Menor
Tratamiento de primeros auxilios, las descargas en el sitio son contenidas inmediatamente, pérdidas financieras med.
3
Moderada
Requiere tratamiento médico, las descargas en el sitio son contenidas con ayuda externa, pérdidas financieras altas.
4
Mayor
5
catastrófica
Lesiones grandes, pérdida de la capacidad de producción, descargas fuera del sitio sin efectos perjudiciales, pérdida financiera importante. Muerte, liberación de tóxicos fuera del sitio con efecto perjudicial, enorme pérdida financiera.
NOTA. Las medidas tomadas deberían reflejar las necesidades y naturaleza de la organización y actividades bajo estudio. 18/03/2008
88
MATRIZ DE RIESGOS FRECUENCIA/ AMENAZA VALOR
5 4 3 2 1
NIVEL FRECUENTE MODERADO ESPORÁDICO REMOTO IMPROBABLE
18/03/2008
INSIGNIFICANTE
MARGINAL
GRAV E
CRITICO
DESASTROSO
1
2
5
10
20
CATASTRÓFIC O
50
CONSECUENCIAS/ VULNERABILIDAD 89
Escalas de Valor CONSECUENCIAS • Humanas • Ambientales • Operacionales • Económicas • Imagen • Mercado • Información 18/03/2008
90
Consecuencias Humanas
Valor
Nivel
Descripción
1
Insignificante
Leves sin Incapacidad
2
Marginal
Leves Incapacitantes
5
Crítico
Victima Grave Hospitalizada
10
Desastroso
Varios Graves, Una Muerte
20
Catastrófico
Varias Muertes
18/03/2008
91
Consecuencias Ambientales
Valor
Nivel
Descripción
1
Insignificante
Sin daño Ambiental
2
Marginal
Leve Remediable
5
Critico
Leve no Remediable
10
Desastroso
Grave Recuperable
20
Catastrófico
Grave No Remediable
18/03/2008
92
Consecuencias Operación
Valor
Nivel
Descripción
1
Insignificante
Menos de día
2
Marginal
Entre 1 y 5 día
5
Critico
Entre 6 y 15 días
10
Desastroso
Entre 16 días y 30 días
20
Catastrófico
Más de 30 días
Tiempo Neto = ( Días Afectación ) x ( % Afectación ) 18/03/2008
93
Consecuencias Económicas
Valor
Nivel
Descripción
1
Insignificante
Menor a US$ 50,000
2 5
Marginal Critico
Entre US$ 50,000 y 150,000 Entre US$ 150,000 y 500,000
10
Desastroso
Entre US$ 500,000 y 2.0 MM
20
Catastrófico
Mas de US$ 2.0 MM
18/03/2008
94
Consecuencias Imagen
Valor
Nivel
Descripción
1
Insignificante
Difusión Solo en la Empresa
2 5
Marginal Critico
Difusión Local Difusión Regional
10
Desastroso
Difusión Nacional
20
Catastrófico
Difusión Internacional
18/03/2008
95
Consecuencias Mercado
Valor
Nivel
1
Insignificante
Pérdida No Mayor al 0.5%
2 5 10
Marginal Critico Desastroso
Pérdida entre 0.5% y 2.0% Pérdida entre 2.0% y 5.0% Pérdida entre 50% y 10.0%
20
Catastrófico
Pérdida Mayor al 10.0%
18/03/2008
Descripción
96
Consecuencias Información
Valor
Nivel
Descripción
1
Insignificante
Hasta 10% No Crítica ó 1 % Crítica
2 5
Marginal Critico
11%-30% No Crítica ó 2%-5% Crítica Mas de 30% No Crítica ó 6%-10% Crítica
10
Desastroso
11% a 25% Información Crítica
20
Catastrófico
Mas del 25% de Información Crítica
Crítica: indispensable para el negocio
No crítica: puede funcionar sin ella
NOTA: La Información "Respaldada" no se Considera
18/03/2008
97
NORMA TÉCNICA COLOMBIANA NTC 5254 PROCESO DE GESTIÓN DE RIESGOS R A T L U S N O C Y R A C I N U M O C
Establecer el contexto
N O I S I V E R Y O E R O TI N O M
Identificar riesgos
Analizar riesgos
Evaluar riesgos Tratar riesos
Métodos de Evaluació Evaluación
AS/NZS 4360 Australiano
NTC 5254 SARLAFT SARO RISICAR MOSLER
ICONTEC
FINE (C x E x P) RISK Riesgos Laborales INSHT -Madrid 1996
RIESGOS ERM COSO II BASILEA Ley SARBANE OXLEY - GRETENER - GUSTAV PURT - COEFIC IENTE K - INDICE MOND - INDICE DOW
18/03/2008
LEST RENAULT RMPP HAZOP AMEF
99
ES EL PROCESO POR EL CUAL REALIZAMOS LA VALORACIÓN DE LOS FACTORES DE RIESGO, PUEDEN SER: • SUBJETIVA:
Se fundamenta en apreciaciones personales, depende de la calidad del sujeto, no es comprobable con otro ya que cada uno tiene una apreciación diferente por diferentes criterios de valoración.
•OBJETIVA:
Está basada en métodos estadísticos y matemáticos. Es comprobable por personas diferentes.
18/03/2008
JORGE H. BELTRAN V.
Proceso de evaluaci evaluació ón de Riesgos
Evaluación de cargos críticos
Calificación del Riesgo (Frecuencia X Impacto)
Aceptable, Tolerable, Inaceptable 18/03/2008
101
FRECUENCIA/AMENAZA
8
Constante
8
16
40
80
160
400
7 6 5 4 3 2 1
Habitual
7
14
35
70
140
350
Frecuente
6
12
30
60
120
300
Moderado
5
10
25
50
100
250
Ocasional
4
8
20
40
80
200
Esporádico
3
6
15
30
60
150
Remoto
2
4
10
20
40
100
Improbable
1
2
5
10
20
50
Insignificante
Marginal
Grave
Crítico
Desastroso
Catastrófico
1
2
5
10
20
50
CONSECUENCIAS 18/03/2008
JORGE H. BELTRAN V.
MATRIZ PORCENTAJE FRECUENCIA/AMENAZA 8
C on st an te
2.%
4.%
10.%
20.%
40.%
100.%
7
H ab it ua l
1.75%
3.5.%
8.75%
17.5%
35.%
87.5%
6
F re cu en te
1.5%
3.%
7.5%
15.%
30.%
75.%
5
M od er ad o
1.25%
2.5%
6.25%
12.5%
25.%
62.5%
4
O ca si on al
1.%
2.%
5.%
10.%
20.%
50.%
3
Esporádico
O.75%
1.5%
3.75%
7.5%
15.%
37.5%
2
Remoto
0.50%
1.%
2.5%
5.%
10.%
25.%
1
Improbable
0.25%
0.5%
1.25%
2.5%
5.%
10.%
Insignificante
Marginal
Grave
Crítico
Desastroso
Catastrófico
1
2
5
10
20
50
CONSECUENCIAS
18/03/2008
FRECUENCIA/AMENAZA
8
Constante
7 6 5 4 3 2 1
Habitual
400 3.2
Frecuente Moderado Ocasional
1.1- 3,1
4,3 2,2
Esporádico
4,5
Remoto Improbable Insignificante
Marginal
Grave
Crítico
Desastroso
Catastrófico
1
2
5
10
20
50
CONSECUENCIAS 18/03/2008
JORGE H. BELTRAN V.
MATRIZ DE ACEPTABILIDAD ACEPTABLE
2%
TOLERABLE
2.1% AL 4%
INACEPTABLE
4.1% AL 15%
INADMISIBLE
MAS 15%
18/03/2008
JORGE H. BELTRAN V.
MATRIZ PORCENTAJE FRECUENCIA/AMENAZA 8
C on st an te
2.%
4.%
10.%
20.%
40.%
100.%
7
H ab it ua l
1.75%
3.5.%
8.75%
17.5%
35.%
87.5%
6
F re cu en te
1.5%
3.%
7.5%
15.%
30.%
75.%
5
M od er ad o
1.25%
2.5%
6.25%
12.5%
25.%
62.5%
4
O ca si on al
1.%
2.%
5.%
10.%
20.%
50.%
3
Esporádico
O.75%
1.5%
3.75%
7.5%
15.%
37.5%
2
Remoto
0.50%
1.%
2.5%
5.%
10.%
25.%
1
Improbable
0.25%
0.5%
1.25%
2.5%
5.%
10.%
Insignificante
Marginal
Grave
Crítico
Desastroso
Catastrófico
1
2
5
10
20
50
CONSECUENCIAS
18/03/2008
TALLER EVALUACIÓN DE RIESGOS 18/03/2008
107
VALORACIÓN DEL RIESGO PROCESO
1 LOGÍSTICA
No
RIESGO
F C
TOTAL
PRIORIDAD
1
CONTAMINACIÓN DE LAS FLORES
4 20
80
3
2
PERDIDA DE MERCANCÍA ROBO DE CAMIÓN ROBO DE EFECTIVO PERDIDA DE INFORMACIÓN PERDIDA DE CLIENTES ANTECEDENTE CLIENTE. DAÑO DE PLANTA ELECT.
3 5
15
8
5 10
50
5
3 10
30
7
4 20
80
4
3 50
150
1
5 20
100
2
5 10
50
6
3 2. FINANCIERO
1 2
3. COMERCIAL
1 2
4. MANTO. 18/03/2008
1
108
MATRIZ DE RIESGOS FRECUENCIA/ AMENAZA VALOR
NIVEL
5
FRECUENTE
4 3
MODERADO
2 1
REMOTO
1.3 4.1
3.2 1.1 2.2
ESPORÁDICO
1.2
2.1
3.1
IMPROBABLE INSIGNIFICANTE
MARGINAL
GRAV E
CRITICO
DESASTROSO
1
2
5
10
20
50
CONSECUENCIAS/ VULNERABILIDAD
109
18/03/2008
CATASTRÓFIC O
MATRIZ RIESGO FRECUENCIA/AMENAZA 8
C on st an te
7
H ab it ua l
6
F re cu en te
5
M od er ad o
4
O ca si on al
3
Esporádico
2
Remoto
1
Improbable
1.3
3.2
4.1
1.1 2.2
18/03/2008
1.2
2.1
Insignificante
Marginal
Grave
Crítico
1
2
5
10
3.1
Desastroso
Catastrófico
20
50
CONSECUENCIAS
MATRIZ de Riesgos PERDIDAS ECONOMICAS a z a n e m A / d a d i l i b i s o P
5
Frecuente
5
4
Moderado
A-1 B-1 4 D-1
3
Ocasional
C-1 3
2
Remoto
2
1
Improbable
C-4 D-4 1
10
25
50
100
A-5 B-5 8
20
40
80
A-2 15 B-2 D-2
30
60
C-2 10
20
40
A-3 A-4 B-3
6
B-4 C-5 D-5 D-3 4 C-3 2
5
10
20
Insignificante
Marginal
Grave
Crítico
Desastroso
1
2
5
10
20
Aceptable Tolerable Inaceptable Inadmisible
18/03/2008
Consecuencia / Vulnerabilidad 111
MATRIZ DE PRIORIZACION DEL RIESGO
D A D I L I B A B O R P
E1
E2
E3
E4
E5
D1
D2
D3
D4
D5
C1
C2
C3
C4
C5
B1
B2
B3
B4
B5
A1
A2
A3
A4
A5
CRITICALIDAD Los riesgos se deben alinear de acuerdo con su criticidad y probabilidad y de allí llevarlo al árbol de lógica de las amenazas, basado en prioridades relativas 18/03/2008
JORGE H. BELTRAN V.
MATRIZ DE PRIORIZACION DEL RIESGO
D A D I L I B A B O R P
E1
E2
E3
E4
E5
D1
D2
D3
D4
D5
C1
C2
C3
C4
C5
B1
B2
B3
B4
B5
A1
A2
A3
A4
A5
CRITICALIDAD 18/03/2008
JORGE H. BELTRAN V.
MEDIDA DE TRATAMIENTO DE LOS RIESGOS • Control del Riesgo
• Financiamiento del Riesgo
• Evitar • Prevenir • Proteger
• Aceptar • Retener • Transferir
METODOS DE ACCIÓN • PREVENCIÓN: MEDIDAS DE SEGURIDAD, CAPACITACIÓN Y ENTRENAMIENTO • PROTECCIÓN: RECURSOS HUMANOS, ELEMENTOS TECNICOS Y TECNOLÓGICOS DE SEGURIDAD • REACCIÓN: ACCIONES A TOMAR DURANTE LA OCURRENCIA DE LOS EVENTOS
Estrategias para la Gestión del Riesgo PROTEGER
PREVENIR
Factor Humano
Victimas Daños Materiales Daño Ambiental Suspensión actividades Perdida de Información Daño Imagen Pérdida Mercado
Siniestro Factor Material
Causas
FINANCIAR
Evento
ASUMIR
Perdidas
Consecuencias
18/03/2008
116
Mapa de Riesgos No
RIESGO (Qué y cómo puede suceder)
PROBABILIDAD SEVERIDAD FECUENCIA IMPACTO
CALIFICACION NIVEL RIESGO
EVALUACION PRIORIDAD RIESGO
ACCIONDETRATAMIENTO
RESPONSABLE DELA ACCION
FECHA LIMITE
RESULTADO SEGUIMIENTO
Proceso Comercial 1 2 3 4 5 6 7 8
C ompetencia agresiva Error o desacierto estrategico Hurto Robo Fraude Terrorismo E spionaje Industrial Manipulac ión ilegal de datos
1 3 5 3 5 1 3 5
3 5 1 3 5 3 5 3
3 15 5 9 25 3 15 15
1 3 5 5 3 1 1 3 5 5 3 1 1 3
3 5 1 13 5 5 3 1 1 3 5 1 3 5
3 15 5 65 15 5 3 3 5 15 15 1 3 15
1 3 5 3 1 5 3 5 1 3 5 5 3
1 9 25 39 5 25 9 5 13 15 25 15 3
ACEPTABLE INACEPTABLE ACEPTABLE ACEPTABLE INACEPTABLE ACEPTABLE INACEPTABLE INACEPTABLE
PREVENIR - RETENER EVITAR - TRANSFERIR PREVENIR - RETENER PROTEGER - RETENER EVITAR - TRANSFERIR PREVENIR - RETENER EVITAR - TRANSFERIR EVITAR - TRANSFERIR
Proceso Logístico 9 D emoras en el proces o 10 Hurto 11 Robo 12 Mala Calidad 13 Fraude 14 Vandalismo 15 Sabotaje 16 Tráfico de drogas 17 Siniestros 18 Accidentes 19 Terrorismo 20 Paramilitarismo 21 Delincuencia Común 22 Crimen Organizado
Proceso Servicios o Productos 23 Mala Calidad 24 Error o desacierto estrategico 25 Accidentes 26 Lavado de dinero en: 27 Sobre facturac ión en EXPO 28 Ex portaciones ficticias 29 Cartas de crédito 30 Finca raíz 31 Giros 32 Leasing 33 Tarjetas de crédito 34 Transferencias electrónicas 35 Cuentas de ahorro o corrientes
18/03/2008
1 3 5 13 5 5 3 1 13 5 5 3 1
117
Priorizació Priorización de Riesgos y Procesos
PONDERACION RIESGOS
No
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
PONDERACION
No
Fraude Error o desacierto estr ategic o Competencia agresiva Manipulación ilegal de datos Robo Espionaje Industrial Hurto Terrorismo Tráfico de drogas Siniestros Demoras en el proceso Exportaciones ficticias Mala Calidad Crimen Organizado Delincuencia Común Giros Paramilitarismo Sabotaje Sobre facturación en EXPO Vandalismo TOTAL
30,0% 15,0% 15,0% 15,0% 10,0% 5,0% 5,0% 5,0%
1 2 3 4 5
PROCESOS
A d mi ni s tr at i vo F inanc iero Comercialización Logís tic a S ervic ios
1 0, 0 % 10, 0% 15,0% 45, 0% 20, 0%
TOTAL
100%
100%
18/03/2008
118
Priorizació Priorización de Riesgos por proceso PROCESO ADMINISTRATIVO
RIESGO Robo Fraude M an pi ul ac ió ni le ga l d e d at os E rr or o de sa ci er to es tr at eg ci o Hurto Competencia agresiva Espionaje Industrial Terrorismo Fraude Mala Calidad Crimen Organizado Delincuencia Común Espionaje Industrial Giros Manipulación ilegal de datos Paramilitarismo Sabotaje Sobre facturación en EXPO Terrorismo Vandalismo
PROCESO FINANCIERO
10%
Ponderación %
F
10% 30% 1 5% 1 5% 5% 15% 5% 5%
I
1 5 5 3 1 3 5 5 25 3 3 9 3 3 9 0 0 0 0 0 0 0 0 0
TOTAL PROCESOS
PROCESO COMERCIAL
10%
C
P
F
I
C
0,05 0,09 0,375 0,135 0,045 0 0 0
5 5 3 1 5 0 0 0
5 3 3 3 5 0 0 0
PROCESO LOGISTICO
15% P
25 0,25 15 0,45 9 0,135 3 0,045 25 0,125 0 0 0 0 0 0
PROCESO SERVICIOS
45%
F
I
C
P
F
I
C
5 0 0 3 5 1 3 1
5 0 0 1 5 3 5 3
25 0 0 3 25 3 15 3
0,375 0 0 0,068 0,188 0,068 0,113 0,023
5 3 3 3 5 0 1 3
5 3 3 3 5 0 5 3
25 9 9 9 25 0 5 9
TOTAL RIESGOS
20% P
1,125 1,215 0,608 0,608 0,563 0 0,113 0,203
F
5 0 3 3 5 5 3 1
I
C
5 0 3 5 3 3 5 3
25 0 9 15 15 15 15 3
P
0,5 0 0,27 0,45 0,15 0,45 0,15 0,03
2,3 1,8 1,4 1,3 1,1 0,5 0,4 0,3
Mayor riesgo 0,70
1,01
0,83
4,43
F: Frecuencia I: Impacto C: Calificación del Riesgo P: Puntaje
2,00
Proceso más riesgoso
18/03/2008
119
Mapa de cargos crí cr íticos
No
RIESGO (Qué y cómo puede suceder)
PROBABILIDAD SEVERIDAD FECUENCIA IMPACTO
CALIFICACION NIVEL RIESGO
EVALUACION PRIORIDAD RIESGO
ACCIONDE TRATAMIENTO
RESPONSABLE DELA ACCION
FECHA LIMITE
RESULTADO SEGUIMIENTO
Proceso Comercial 1 Director Comercial 2 Asistente Comercial 3 Asesor Comercial
5 3 3
5 4 4
25 12 12
INACEPTABLE Estudio de seguridad TOLERABLE Visita domiciliaria TOLERABLE Visita domiciliaria
5 3 5 5 3 5 5
5 3 4 3 3 5 3
25 9 20 15 9 25 15
INACEPTABLE TOLERABLE INACEPTABLE INACEPTABLE TOLERABLE INACEPTABLE INACEPTABLE
Estudio de seguridad Visita domiciliaria Estudio de seguridad Estudio de seguridad Visita domiciliaria E studio de seguridad E studio de seguridad
5 3 4 3 4
25 9 12 12 12
INACEPTABLE TOLERABLE TOLERABLE TOLERABLE TOLERABLE
Estudio de seguridad Visita domiciliaria Visita domiciliaria Visita domiciliaria Visita domiciliaria
Proceso Logístico 4 5 6 7 8 9 10
Director Logística Asistente Logística Asistente Exportaciones Asisitente Importaciones Ayudante de Bodega Empacador E stibador
Proceso Servicios o Productos 11 12 13 14 15
Director de Producción Asistente Producción J efe de Planta J efe de Producto Ayudante de producción
18/03/2008
5 3 3 4 3
120
Priorizació Priorización de cargos crí críticos
PONDERACION CARGOS CRITICOS
No
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
Drector Comercial Asistente Comercial Asesor Comercial Director Logística Asistente Logística A si st ente E xp or ta cio nes A si si ten te I mpo rt ac ion es Ayudante de Bodega Empacador Estibador Director de Producción AsistenteProducción Jefe de Planta Jefe de Producto Ayudante de producción
PONDE RACION
No
5,0% 5,0% 5,0% 10,0% 15,0% 1 5, 0% 1 5, 0% 30,0%
1 2 3 4 5
PROCESOS
Administrativo F ina nc ie ro Comercializació n Logís tic a S ervi cios
10,0% 1 0, 0% 15,0% 45, 0% 20, 0%
100%
TOTAL
100%
TOTAL
18/03/2008
121
Priorizació Priorización de cargos por proceso PROCESO ADMINISTRATIVO 10%
CARGO CRITICO Ponderación % Asistente Logística 15% Ayudante de Bodega 30% Drector Comercial 5% A si si te nt e I mp or ta ci on es 1 5% Director Logística 10% A si st en te E xp or ta ci on es 1 5% Asesor Comercial 5% Asistente Comercial 5% Empacador Estibador Director de Producción AsistenteProducción Jefe de Planta Jefe de Producto Ayudante de producción TOTAL PROCESOS
PROCESO FINANCIERO 10%
F
I
C
P
F
I
C
3 0 1 0 3 0 5 3
3 0 5 0 3 0 5 1
9 0 5 0 9 0 25 3
0,135 0 0,025 0 0,09 0 0,125 0,015
5 0 5 0 1 0 3 5
5 0 5 0 3 0 3 3
25 0 25 0 3 0 9 15
0,39
PROCESO COMERCIAL 15% P
0,375 0 0,125 0 0,03 0 0,045 0,075
0,65
PROCESO LOGISTICO 45%
PROCESO SERVICIOS 20%
TOTAL RIESGO
F
I
C
P
F
I
C
P
F
I
C
P
5 1 5 3 3 1 0 0
5 3 5 5 1 3 0 0
25 3 25 15 3 3 0 0
0,563 0,135 0,188 0,338 0,045 0,068 0 0
5 3 5 1 3 0 3 3
5 3 5 5 3 0 3 3
25 9 25 5 9 0 9 9
1,688 1,215 0,563 0,338 0,405 0 0,203 0,203
5 1 5 3 3 5 3 0
3 3 5 5 5 3 3 0
15 3 25 15 15 15 9 0
0,45 0,18 0,25 0,45 0,3 0,45 0,09 0
1,34
4,61
F: Frecuencia I: Impacto C: Calificación del Riesgo P: Puntaje
3,2 1,5 1,2 1,1 0,9 0,5 0,5 0,3
2,17
Cargo más crítico
Proceso más riesgoso
18/03/2008
122
Mapa de Riesgos PERSONAS
INSTALACIONES EDIFICIOS
BIENES YVALORES
MEDIO AMBIENTE
ACTIVIDAD ECONOMICA
RIESGO N
Deslizamentos
A
Terremoto
T
Huracan
U R A
Inundación Maremoto
L
Rios
E S
Sequias Tsunamis Robo Hurto Intrusión Fraude Agresión
A N T I S O C I
Atentado Vandalismo Secuestro Amenaza de Bomba Sabotaje Disturbiosurbanos Espionajeindustrial
A
Extorsión, chantaje
L
Manipulación ilegal de datos
E S
Tráfico de drogas - Narcotráfico Interferencia ilícita Terrorismo Paramilitarismo Delincuenciacomún Crímen organizado Guerrilla
18/03/2008
123
Etapas de la evaluació evaluación de Riesgos Evaluación de Riesgos - MOSLER CRITERIO
CRITERIO
DAÑOIMAGEN
S US TI TU CI ON B I EN ES
4 5
CRITERIO
CRITERIO
INSTALACIONESFISICAS
PROTECCIONPERIMETRAL
#
SUSTITUCION (S)
#
5
M uy g ra ve me nt e
5
M uy d fi cí li me nt e
5
4
Gra ve me nt e
4
D i íf ci m l en te
4
Pe rt ur ba cio ne sg ar ve s
4
D e ca rá ct er Na ci ona l
4
A tl a
4
A tl a
3
M ed ai na me nt e
3
Sin mucha dificultad Facilmente
3
P er tu rb ac oi ne s l m i ti ad as
3
D e ca rá ct er R eg oi na l
3
N or ma l
3
N or ma l
M uy f ac lí me nt e
1
1
M uy b aj a
1
1 3
CRITERIO
R EP ER CU SI ON E C ON OM IC A
FUNCION (F)
Levemente
No.
CRITERIO
D AÑ O I MA GE N S EC TO R
#
M uy L ev em en te
FACTOR DE RIESGO (Qué puede ocurriry cómo puedeocurrir)
Robo Fraude Manipulación ilegaldatos Error estratégico
1
PROFUNDIDAD (P)
Perturbaciones muy graves
#
5
Perturbaciones leves P er tu rb ac oi ne s m uy l ev es
EXTENSION (E )
Dealcance internacional
5
1
SUSTITUCION (S )
( I) IMPORTANCIA (F xS )
4 3
5 3
2 4
#
Muy alta
De carácter Local
5
Baja
D e ca rá ct er i nd vi di ua l
1
CARÁCTERRIESGO (C ) FUNCION (F )
AGRESION (A)
#
Baja
M uy b aj a
PROBABILIDAD (P ) (D) DAÑO (F xE)
(C ) CARÁCTER ( I+D )
5
15 15
3 4
PROFUNDIDAD (P)
EXTENSION (E )
20 9
5
3
3
4
8
4
2
8
2
VULNERABILIDAD (V)
Muy alta
(ER ) ESTIMACION RIESGO (C xP )
EVALUACION DELRIESGO
4
20 12
700 288
Normal Pequeño
3
6
120
2
2
32
AGRESION (A )
VULNERABILIDA D (V )
35 24
5
4
3
12
20
2
8
16
1
(P ) PROBABILIDAD (A xV )
CALCULO PARA VALOR (ER) EVALUACION DE
NIVEL
2-250Muy bajo 251-500 Pequeño 501-750 Normal 751-1000 Grande
18/03/2008
124
Ejemplo Categorías de Respuesta para varios Niveles de Riesgo
Nivel del Riesgo E Nivel del Riesgo D Nivel del Riesgo C Nivel del Riesgo B Nivel del Riesgo A
Son necesarias medidas para la reducción del riesgo y/o una evaluación adicional. N I N I V C E L R E D M E E L N R T O I E S D G E O L
Debe considerarse la reducción del riesgo. No se requiere una posterior reducción del riesgo.
18/03/2008
125
PASOS EN EL DESARROLLO E IMPLEMENTACIÓN DE UN PROGRAMA DE GESTIÓN DEL RIESGO
• PASO 1. RESPALDO DE LA ALTA DIRECCIÓN • PASO 2. DESARROLLO DE LA POLÍTICA DE LA ORGANIZACIÓN • PASO 3. COMUNICACIÓN DE LAS POLÍTICAS • PASO 4. GESTIÓN DEL RIESGO A ESCALA ORGANIZACIONAL • PASO 5. GESTIÓN DE RIESGOS EN LOS NIVELES DE PROGRAMA, PROYECTO Y DE EQUIPO • PASO 6. MONITOREO Y REVISIÓN
18/03/2008
A
P
V
H
126
Matriz de análisis cualitativo de riesgos. Nivel de riesgos Consecuencias Probabilidad
Insignific. 1
A (casi cierto) B (probable) C (posible) D (improbable) E ( Raro)
Menor 2
Moderada
Mayor 4
Catastrófica 5
H
H
3 E
E
E
M L
H
H
E
E
M
H
E
E
L
L
H
E
L
L
M M
H
H
NOTA. El número de categorías debe reflejar las necesidades del estudio Convenciones: E = Riesgo extremo, se requiere acción inmediata. H =Alto riesgo, es necesario la atención del director. M =Riesgo moderado, se debe especificar la responsabilidad de la dirección. L =Riesgo inferior, gestionar mediante procedimientos de rutina
18/03/2008
127
AGENTES EXTERNOS Código E-1
Agente Generador Guerrilla
E-2
Delincuencia Común
E-3
Delincuencia Organizada
E-4
Comunidad
E-5
Paramilitares
E-6
Narcotraficantes
E-7
Visitantes
E-8
Instituciones No Vinculadas
18/03/2008
128
ORIGEN SOCIAL 3-1 GUERRILLA
Cod.
18/03/2008
Amenaza Especifica
3.1.01
Hostigamiento
3.1.02 3.1.03
Retención Secuestro
3.1.04 3.1.05
Extorsión Vacuna
3.1.06 3.1.07
Atentado Agresión 129
ORIGEN SOCIAL 3-2 PARAMILITARES
Cod.
Amenaza Especifica
3.2.01 3.2.02
Hostigamiento Retención
3.2.03
Secuestro
3.2.04 3.2.05 3.2.06
Extorsión Vacuna Atentado
3.2.07
Agresión
18/03/2008
130
ORIGEN SOCIAL 3-3 DELINCUENCIA
Cod. 3.3.01
Agresión
Amenaza Especifica
3.3.02 3.3.03
Chantaje Secuestro
3.3.04 3.3.05
Extorsión Vacuna
3.3.06 3.3.07
Atentado Robo
18/03/2008
131
ORIGEN SOCIAL 3-4 PERSONAL INTERNO Cod. 3.6.01 3.6.02 3.6.03 3.6.04 3.6.05 3.6.06 3.6.07 3.6.08 3.6.09 3.6.10 18/03/2008
Amenaza Especifica
Agresión Chantaje Huelga Extorsión Motín Sabotaje Robo Paro Retención Fraude 132
ORIGEN SOCIAL 3-5 CONTRATISTAS Cod. 3.6.01 3.6.02 3.6.03 3.6.04 3.6.05 3.6.06 3.6.07 3.6.08 3.6.09 3.6.10
Amenaza Especifica
Agresión Chantaje Huelga Extorsión Motín Sabotaje Robo Paro Retención Fraude
18/03/2008
133
ORIGEN SOCIAL 3-6 PROVEEDORES Cod.
Amenaza Especifica
3.6.01
Falta de entrega
3.6.02 3.6.03 3.6.04
Chantaje Huelga Insolvencia
3.6.05 3.6.06
Paro Fraude
18/03/2008
134
ORIGEN SOCIAL 3-7 COMUNIDAD Cod.
01 02 03 04 05 06 07 08 09 10 18/03/2008
Amenaza Especifica
Agresión Chantaje Huelga Extorsión Motín Sabotaje Robo Paro Retención Fraude 135
NORMA TÉCNICA COLOMBIANA NTC 5254 PROCESO DE GESTIÓN DE RIESGOS R A T L U S N O C Y R A C I N U M O C
Establecer el contexto
N O I S I V E R Y O E R O TI N O M
Identificar riesgos
Analizar riesgos Evaluar riesgos
Tratar riesgos
Tratamiento de Riesgos Reducción de las Consecuencias a z a n e m A / d a d i l i b i s o P
5
Frecuente
5
10
25
4
Moderado
4
8
20
3
Ocasional
3
6
2
Remoto
2
4
1
Improbable
A-2
50
100
40
80
15
30
60
10
20
40
A-2
1
2
5
10
20
Insignificante
Marginal
Grave
Crítico
Desastroso
1
2
5
10
20
Aceptable Tolerable Inaceptable
Consecuencia / Vulnerabilidad
Inadmisible
¿Que tipo de medidas implemento?
18/03/2008
137
Tratamiento de Riesgos Reducción Combinada a z a n e m A / d a d i l i b i s o P
5
Frecuente
5
4
Moderado
4
3
Ocasional
3
2
Remoto
1
Improbable
2
10
A-2
25 A-2
50
100
40
80
8
20
6
15
30
60
4
10
20
40
1
2
5
10
20
Insignificante
Marginal
Grave
Crítico
Desastroso
1
2
5
10
20
Aceptable Tolerable Inaceptable Inadmisible
18/03/2008
Consecuencia / Vulnerabilidad 138
FRECUENCIA/AMENAZA
8
Constante
8
16
40
80
160
400
7 6 5 4 3 2 1
Habitual
7
14
35
70
140
350
Frecuente
6
12
30
60
120
300
Moderado
5
10
25
50
100
250
Ocasional
4
8
20
40
80
200
Esporádico
3
6
15
30
60
150
Remoto
2
4
10
20
40
100
Improbable
1
2
5
10
20
50
Insignificante
Marginal
Grave
Crítico
Desastroso
Catastrófico
1
2
5
10
20
50
CONSECUENCIAS 18/03/2008
JORGE H. BELTRAN V.
FRECUENCIA/AMENAZA
8
Constante
8
16
40
80
160
400
7 6 5 4 3 2 1
Habitual
7
14
35
70
140
350
Frecuente
6
12
30
60
120
300
Moderado
5
10
25
50
100
250
Ocasional
4
8
20
40
80
200
Esporádico
3
6
15
30
60
150
Remoto
2
4
10
20
40
100
Improbable
1
2
5
10
20
Insignificante
Marginal
Grave
Crítico
Desastroso
Catastrófico
50
1
2
5
10
20
50
CONSECUENCIAS 18/03/2008
JORGE H. BELTRAN V.
MATRIZ PORCENTAJE FRECUENCIA/AMENAZA 8
C on st an te
2.%
4.%
10.%
20.%
40.%
100.%
7
H ab it ua l
1.75%
3.5.%
8.75%
17.5%
35.%
87.5%
6
F re cu en te
1.5%
3.%
7.5%
15.%
30.%
75.%
5
M od er ad o
1.25%
2.5%
6.25%
12.5%
25.%
62.5%
4
O ca si on al
1.%
2.%
5.%
10.%
20.%
50.%
3
Esporádico
O.75%
1.5%
3.75%
7.5%
15.%
37.5%
2
Remoto
0.50%
1.%
2.5%
5.%
10.%
25.%
1
Improbable
0.25%
0.5%
1.25%
2.5%
5.%
10.%
Insignificante
Marginal
Grave
Crítico
Desastroso
Catastrófico
1
2
5
10
20
50
CONSECUENCIAS
18/03/2008
MATRIZ DE ACEPTABILIDAD ACEPTABLE
2%
TOLERABLE
2.1% AL 4%
INACEPTABLE
4.1% AL 15%
INADMISIBLE
MAS 15%
18/03/2008
JORGE H. BELTRAN V.
MATRIZ PORCENTAJE FRECUENCIA/AMENAZA 8
C on st an te
2.%
4.%
10.%
20.%
40.%
100.%
7
H ab it ua l
1.75%
3.5.%
8.75%
17.5%
35.%
87.5%
6
F re cu en te
1.5%
3.%
7.5%
15.%
30.%
75.%
5
M od er ad o
1.25%
2.5%
6.25%
12.5%
25.%
62.5%
4
O ca si on al
1.%
2.%
5.%
10.%
20.%
50.%
3
Esporádico
O.75%
1.5%
3.75%
7.5%
15.%
37.5%
2
Remoto
0.50%
1.%
2.5%
5.%
10.%
25.%
1
Improbable
0.25%
0.5%
1.25%
2.5%
5.%
10.%
Insignificante
Marginal
Grave
Crítico
Desastroso
Catastrófico
1
2
5
10
20
50
CONSECUENCIAS
18/03/2008
MATRIZ DE RIESGOS 1
2
3
4
5
Insignificante
Menor
Moderada
Mayor
Catastr ófica
ALTO
ALTO
EXTREMO
EXTREMO
EXTREMO
5
Casi Cierta
4
Probable
MODERADO
ALTO
ALTO
EXTREMO
EXTREMO
3
Moderada
BAJO
MODERADO
ALTO
EXTREMO
EXTREMO
2
Improbable
BAJO
BAJO
MODERADO
ALTO
EXTREMO
1
Rara
BAJO
BAJO
MODERADO
ALTO
ALTO
Conclusió Conclusión de la evaluació evaluación de Riesgos Prioridad
RIESGO (Qué ycómo)
P ri or id ad
P ro ce so
1 2 3 4 5 6 7 8
Robo Fraude Manipulaciónilegal de datos Error o desacierto estratégico Hurto Competenciaagresiva Espionaje Industrial Terrorismo
1 2 3 4 5 6 7 8
Logístico Logístico Logístico Servicios Financiero Comercial
Prioridad
RIESGO (Qué y cómo)
P ri or id ad
P r oc e so
1 2 3 4 5
Asistente de Logística Ayudante de Bodega Director Comercial Asistente de Importaciones Director de Logística
1 2 3 4 5
Logístico Logístico Comercial Logístico Financiero
1. De acuerdo con la anterior evaluación de Riesgos, se concluye que el proceso más riesgoso para la empresa ABC es el PROCESO LOGÍSTICO, seguido de los procesos de SERVICIOS y COMERCIAL. De igual forma se observa que los cargos más críticos pertenecen al área Logística. Por lo anterior se deben identificar todos los riesgos operativos e implementar los controles necesarios para reducir los riesgos evaluados. 2. En relación con el Riesgo más peligroso, se pudo establecer que en caso de materializarse el ROBO, será lo que más va a afectar el cumplimiento de la misión y los objetivos de la empresa, seguido del FRAUDE y LA MANIPULACIÓN ILEGAL DE DATOS, por esta situación se deben establecer políticas para reducirlos. 3. Como el peligro de ROBO no puede transferirse, existe la necesidad de realizar la evaluación de riesgos por cada subproceso que conforma el PROCESO LOGÍSTICO, acompañado de la implementación de un plan de prevención y protección. 18/03/2008
145
Medidas de tratamiento de Riesgos
PREVENIR EL RIESGO - Anticipar
1. Inspecciones y pruebas de seguridad 2. Sensibilización, entrenamiento y capacitación 3. Inversión en información 4. Diversificación operaciones 5. Disminuir el nivel de exposición 6. Segregación o dispersión 7. Mantenimiento preventivo 8. Políticas de seguridad 18/03/2008
146
PROCEDIMIENTO
18/03/2008
147