curso iso_31000.pdf

GESTIÓN DE RIESGOS: ISO 31000:201 31000:2018 8

Nueva versión de la norma de gestión de riesgos: ISO 31000:20 31000:2018 18

La norma ISO 31000 Gestión del riesgo: principios y directrices. Es la norma de referencia aceptada mundialmente sobre gestión del riesgo, es utilizada como guía en diversoss modelos de seguridad o de gestión y aporta las directrices que sirven de guía diverso para la gestión de los riesgos en cualquier organización.

¿QUÉ VEREMOS?     

Importancia de la gestión de riesgos Novedades ISO 31000:2018 vs. 2009 Marco de trabajo ( framework framework ) de la gestión de riesgos Sistemas de gestión & ISO 31000 Metodologías para la apreciación de riesgos (ISO 31010)

Importancia de la gestión de riesgos

Nueva versión de la norma de gestión de riesgos: ISO 31000:2018

La norma ISO 31000:2018 Gestión del riesgo-Directrices es la norma de referencia aceptada mundialmente sobre gestión del riesgo, es utilizada como guía en diversos modelos de seguridad o de gestión y aporta las directrices que sirven de guía para la gestión de los riesgos en cualquier organización.

¿DÓNDE APLICA?  Durante toda la vida

de la organización.

 A todas las actividades, incluyendo la

toma de decisiones.


ETIMOLOGÍA DEL RIESGO

“Riesgo”, “Risque”, “Rischio”, “Risiko”, “Risk”,…. TODOS PROVIENEN DEL: 

Latín risicare: la capacidad de navegar alrededor de un arrecife o roca.



Árabe “rizq”: “lo que depara la provincia”.


Pero… ¿qué se entiende por riesgos?

“Efecto de la incertidumbre sobre la consecución de los objetivos” Dos dimensiones del Riesgo: La posibilidad de que un evento se produzca. Las consecuencias que se podrían generar como consecuencia de ese evento. Es parte inevitable de los procesos de toma de decisiones en general y en los procesos de inversión en particular.


Carácter subjetivo del riesgo

Riesgo u oportunidad ¿Es un riesgo? ¿Es una oportunidad?

Pues… DEPENDE de la perspectiva

“No vemos las cosas como son. Vemos las cosas como somos”


Carácter subjetivo del riesgo Preparación física

RIESGOS

Bajo nivel de entrenamiento Factores externos Equipamiento inadecuado

Nuevo patrocinio Superación personal Reconocimiento

OPORTUNIDADES


Riesgos del equipamiento e infraestructura

Riesgos legales

Riesgos Financieros

Sabotajes

Riesgos de Seguridad y Salud

Errores de cálculo

Riesgos Ambientales

Errores humanos


La clave: La gestión de riesgos

“La mayoría de personas gastan más tiempo y energía en hablar de los problemas que en afrontarlos” Henry Ford La seguridad absoluta no existe. La gestión de riesgos debe ser inherente a los procesos del negocio. La gestión de riesgos no es un proyecto, es una actividad continua y requiere el soporte de la organización para tener éxito. Buscan proteger y crear valor dentro de la compañía.


Beneficios de la gestión de riesgos 

Permite la toma de decisiones conociendo los riesgos inherentes a las actividades y no en factores aleatorios.



Mejora la evaluación de rentabilidad de los negocios pues considera costos de eventualidades que no son analizadas comúnmente.



Protege los bienes y recursos de las organizaciones y su capacidad productiva , al desarrollar estrategias de administración del riesgo y disminución de sus impactos.



Mejora el uso de los recursos asignándolos en forma racional . Teniendo en cuenta la relación costo-beneficio de las mejores alternativas disponibles para minimizar los impactos o asumiéndolos cuando es posible.



Promueve el desarrollo de una cultura preventiva en la organización en lugar de un manejo reactivo y tardío de los problemas.


¿POR QUÉ ES IMPORTANTE?

La gestión de riesgos aporta elementos clave que permiten a las organizaciones administrar su incertidumbre y tomar decisiones considerando aspectos que no son visibles.

Novedades ISO 31000:2018 vs. 2009

ISO 31000:2018 Revisión de los principios de la gestión de riesgos Resaltado de la figura de la alta dirección y la integración en la gestión de riesgos Mayor énfasis en el carácter iterativo de gestión de riesgos Modelo de sistemas abiertos para adaptarse a múltiples necesidades y contextos

ITERACIÓN significa el acto de repetir un proceso con el objetivo de alcanzar una meta deseada, objetivo o resultado. Cada repetición del proceso también se le denomina una "iteración", y los resultados de una iteración se utilizan como punto de partida para la siguiente iteración.

Marco de trabajo de la gestión de riesgos

ISO 31000

“Gestionar el riesgo es parte

IMPRESCINDIBLE de la gestión y el liderazgo y es fundamental para la forma en que la organización se dirige a todos los niveles”


FAMILIA DE NORMAS La serie de normas ISO 31000 es un conjunto de estándares desarrollados por la Organización Internacional de Normalización (ISO), que proporcionan un marco de para la gestión de riesgos. Proporciona los principios y las directrices para gestionar cualquier forma de riesgo de forma

sistemática, transparente y fiable, dentro de cualquier alcance y contexto.

ISO Guide 73:2009 ISO/IEC 31010

ISO 31000


ISO 31000

Gestión del riesgo de manera sistemática, transparente y creíble y dentro de cualquier ámbito y contexto. Aplicada a lo largo del ciclo de vida de una organización.

NO ESTÁ DESTINADA A FINES DE CERTIFICACIÓN, ES DECIR, NO ES CERTIFICABLE: ES UNA GUÍA DE GESTIÓN DEL RIESGO APLICABLE A CUALQUIER TIPO DE ORGANIZACIÓN. “No establece directrices, solo orientaciones para el tratamiento de riesgos”


Gestión de la empresa a través del riesgo

La gestión del riesgo debe pasar a formar parte de la filosofía de la organización, siendo primordial la sensibilización y formación para conseguir la total participación y la permanencia del sistema.

Disciplina transversal


Conceptos

Gestión del riesgo vs Gestionar el riesgo


Estructura de la norma

ISO 31000:2018 Estructurada en 6 apartados (en lugar de los 9 de la versión anterior):     

1. Objeto y campo de aplicación. 2. Referencias normativa. 3. Términos y definiciones. 4. Principios. 5. Marco de trabajo.  5.1 Generalidades.  5.2 Liderazgo y compromiso.  5.3 Integración.  5.4 Diseño.  5.5 Implementación.  5.6 Evaluación.  5.7 Mejora.



6. Proceso.  6.1 Generalidades.  6.2 Comunicación y consulta.  6.3 Alcance, contexto y criterios.  6.4 Apreciación del riesgo.  6.5 Tratamiento del riesgo.  6.6 Seguimiento y revisión.  6.7 Registro y presentación de informes.


DIRECTRICES GENERALES 

Se debe implementar un Marco de trabajo, cuyo objetivo es que se integre la gestión de riesgos en la dirección, planificación, cultura, política y valores de la organización.



Asegurarse que los intereses de las partes involucradas son considerados y entendidos.



Identificar, realizar el análisis y la evaluación de riesgos.



Definir los niveles de riesgo tolerables y los planes de mejora necesarios.



Analizar y aprender las lecciones sucedidas, los cambios, tendencias, éxitos y fracasos. Tener en cuenta los riesgos emergentes.


DIRECTRICES DOCUMENTALES 

Compromiso/Política de Gestión de Riesgos.



Indicadores de Gestión del Riesgo, alineados con los indicadores de desempeño de la organización.



Planes de Gestión del Riesgo.



Procedimientos de comunicación y formación en materia de Gestión del Riesgo.



Evaluación del Riesgo y metodología empleada.



Identificación de cambios externos e internos que afecten a los riesgos detectados.



Registros de monitoreo y revisión de los riesgos detectados y los planes.



Almacenamiento e identificación de la información.


¿UNA ÚNICA METODOLOGÍA? 

Cada organización debe aprovechar su CONOCIMIENTO SOBRE LA ACTIVIDAD, PARA PLANIFICARLA CON UN ENFOQUE PREVENTIVO.



Opciones desde un análisis meramente cualitativo hasta la aplicación de técnicas para gestionar cuantitativamente los riesgos.



La clave es el resultado de este ejercicio, independientemente del método elegido, y la UTILIZACIÓN DE LA INFORMACIÓN PARA FORTALECER LOS PROCESOS.


TÉRMINOS Y DEFINICIONES

RIESGO

FUENTE DE RIESGO


TÉRMINOS Y DEFINICIONES 

Riesgo: efecto de la incertidumbre en los objetivos Un efecto es una desviación de la esperada. Puede ser positivo, negativo o ambos, y puede  abordar, crear o dar lugar a oportunidades y amenazas.  El riesgo se expresa generalmente en términos de fuentes de riesgo, eventos, sus consecuencias y su probabilidad.



Gestión del riesgo: actividades coordinadas para dirigir y controlar una organización con respecto al riesgo



Fuente de riesgo: elemento que solo o en combinación tiene el potencial de dar lugar a riesgo



Parte interesada: persona u organización que puede afectar, ser afectado por, o que crean que están afectadas por una decisión o actividad (grupos de interés).



Evento: ocurrencia o cambio de un conjunto particular de circunstancias



Consecuencia: resultado de un evento que afectan a objetivos



Probabilidad: posibilidad de que ocurra algo

S O I P I C N I R P

O J O A C B R A A R T M E D

Integrado

Dinámico

Estructurado y completo

Mejor información disponible

Personalizado

Factores humanos y culturales

Inclusivo

Mejora continua

Mejora continua MANDATO Y COMPROMISO

INTEGRACIÓN

DISEÑO

EVALUACIÓN

Implementación

Comunicación y consulta O S E C O R P

Establecimiento del contexto

Identificación del riesgo

Análisis del riesgo

Seguimiento y revisión

Evaluación del riesgo

Tratamiento del riesgo


DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Mandato y compromiso



La Alta Dirección, así como los órganos de control y supervisión, deben asegurar mediante sus actos y su actitud una “Cultura del Riesgo” en la empresa.



Emisión de una declaración o política de gestión de riesgos.



Asegurar que los recursos necesarios se asignan a la gestión del riesgo.



Asignación de autoridad, responsabilidad y rendición de cuentas en los niveles apropiados dentro de la organización.


DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Mandato y compromiso

La Alta Dirección es RESPONSABLE de la GESTIÓN de los riesgos, mientras que los Órganos de Supervisión son RESPONSABLES de SUPERVISAR la gestión de riesgos. Se espera de estos: que los riesgos se consideran adecuadamente al establecer los objetivos de la organización.  Asegurar

 Comprender los riesgos a los

que se enfrenta en la consecución de sus objetivos.

 Asegurar que los sistemas se

implementan y funcionan con eficacia.

 Asegurar que los riesgos son

apropiados en el contexto de los objetivos de la organización.

 Garantizar que la información sobre estos riesgos y

su gestión se comunica correctamente.


DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Integración

“ La

gestión del riesgo debe

ser

UNA PARTE DE, Y NO SEPARADA DE, el propósito de la organización, la gestión, el liderazgo y el compromiso, la estrategia, los objetivos y las operaciones”. La integración de la gestión de riesgos SE BASA en una compresión de las estructuras organizativas y contexto.


DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Compresión de la organización y su contexto

Entender dónde estamos operando… El contexto de la organización es (también llamado entorno de negocios) es una combinación de factores internos y externos y condiciones que pueden tener efectos en la organización, productos, servicios, inversiones …

Entender de este modo nuestra organización nos ayuda a identificar Riesgos, a captar los objetivos de la organización. POR EJEMPLO: si estamos en una zona geográfica de difícil acceso, uno de nuestros riesgos puede ser los problemas de abastecimiento, el cual tendremos que intentar mitigar con stocks de productos que implique tener material para trabajar de manera continuada.


DISEÑO DEL MARCO DE TRABAJO Compresión PARA LA GESTIÓN DEL RIESGO de la organización y su contexto Compresión de la organización y su contexto SOCIOCULTURALES

ECOLÓGICOS

POLÍTICOS COMPETIDORES

PRODUCTOS

Entender dónde estamos operando…

EMPRESA

CLIENTES

PROVEEDORES

TECNOLÓGICOS

JURÍDICOS MACROECONÓMICOS

Todo lo que rodea una organización le afecta: las organizaciones influyen en el entorno y


DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Compresión de la organización y su contexto

EJEMPLO DEBILIDADES 

FACTORES INTERNOS

 

Alta rotación del personal Falta de capacitación de los colaboradores Regularizar situación fiscal y de la seguridad social

FORTALEZAS     

AMENAZAS FACTORES EXTERNOS

 

Entrada de nuevos competidores Cambios en las políticas económicas del país

Compromiso de la Dirección La calidad de los productos El atendimiento personalizado Organización e identificación de la documentación Volumen de trabajo y clientes

OPORTUNIDADES  

Creación de un parque empresarial próximo a la empresa Mejoría en la gestión de sus procesos

Empresa dedicada a la venta de materiales


DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Partes interesadas

“ PARTE INTERESADA: persona u

organización que puede afectar, verse afectada, o percibirse como afectada por una decisión o actividad”

ISO GUÍA 73

“¿Quién se preocupa por mi proyecto?”


DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Compromiso de gestión del riesgo

Los ÓRGANOS DE GESTIÓN Y DE CONTROL principales deben demostrar y articular su compromiso continuo para la gestión de riesgos

Es comunicada, revisada y por el personal

Evidencia

entendida


DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Compromiso de gestión de riesgos PUEDE ABORDAR: 

El propósito de la organización para la gestión de riesgos



El refuerzo de la necesidad de integrar la gestión de riesgos en la cultura general de la organización



La integración de la gestión de riesgos en las actividades propias del negocio y toma de decisiones



Autoridades, responsabilidades y deberes



La dotación de los recursos necesarios



La forma en que los conflictos se tratan



Medición y presentación de informes en los indicadores de desempeño de la organización



Revisión y mejora

El compromiso de la gestión de riesgos debe ser COMUNICADO dentro de la organización y para las partes interesadas, según corresponda.


DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Asignación de roles La Alta

Dirección y los Órganos de control y supervisión deben:  Hacer hincapié en que la

gestión de riesgos es una

responsabilidad fundamental.  Identificar

a las personas que tienen la

responsabilidad y autoridad para gestionar los riesgos. Deben garantizar que las autoridades, responsabilidades y compromisos para las funciones relevantes respecto a la gestión de riesgos SE ASIGNAN Y SE COMUNICAN a todos los niveles de la organización


DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Recursos

Los Órganos de gestión y de control superior deben garantizar la asignación de recursos adecuados para la gestión de riesgo, que puede incluir: 

Las personas, habilidades, experiencia y competencia



Procesos, métodos y herramientas de la organización



Procesos y procedimientos documentados



Sistemas de información y gestión del conocimiento



Desarrollo y formación profesional



Etc.


DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Establecimiento de la comunicación y la consulta

La comunicación y consulta deben ser oportunas y garantizar que la información pertinente se recoge, coteja, sintetiza y comparte, según proceda, y se prevé la retroalimentación y se hacen mejoras.

Los canales de comunicación deben ser sencillos, pero bien estructurados.


DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Establecimiento de la comunicación y la consulta Actas de reuniones Tablones de anuncios con información sobre seguridad Boletines internos

Procedimientos de comunicación para asegurar que se intercambia información con el «público objetivo»

Buzones / programas de sugerencias Sitios web y correo electrónico Reuniones Acceso a participación en investigaciones sobre incidentes e inspecciones de seguridad


DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Implementación de la gestión del riesgo

Desarrollo de un Plan adecuado, incluyendo tiempo y recursos

Identificar dónde, cuándo y cómo los diferentes tipos de decisiones se hacen en la organización y por quién

Modificación de los procesos de toma de decisiones aplicables cuando sea necesario

Asegurar que los acuerdos de la organización para la gestión de riesgos se entienden y se practican


DISEÑO DEL MARCO DE TRABAJO PARA LA GESTIÓN DEL RIESGO Evaluación

Medir periódicamente el desempeño del marco de gestión de riesgos contra su propósito, planes e implementación, indicadores y comportamiento esperado

Determinar si sigue siendo adecuada para soportar la consecución de los objetivos de la organización


Directrices de la norma ISO 31000

¿Qué puede suceder y por qué? ¿Cuáles son las consecuencias? ¿Cuál es la probabilidad de su ocurrencia futura?

¿Existen factores que mitiguen las consecuencias del riesgo o reduzcan la probabilidad del riesgo? ¿Es el nivel de riesgo tolerable o aceptable y requiere tratamiento adicional?

Directrices de la norma ISO 31000

Comunicación y consulta O S E C O R P

Establecimiento del contexto

Identificación del riesgo

Análisis del riesgo

Seguimiento y revisión

Evaluación del riesgo

Tratamiento del riesgo


Directrices de la norma ISO 31000 Identificación de riesgos

En general, un riesgo opera en un espacio de dos dimensiones:  la probabilidad de que suceda;  la gravedad de sus efectos. Esto permite definir su criticidad, que resulta de multiplicar la probabilidad por la gravedad. Estos son los tres parámetros básicos que definen un riesgo, o mejor dicho, que sirven para caracterizarlo. La “caracterización” de los riesgos y su posterior “jerarquización” dependen siempre de una cartografía que toma la forma del siguiente esquema.

R E M R A F E D A M A R G A I D

Mientras más crítico sea el riesgo, menos aceptable será.


Proceso para la apreciación del riesgo. ISO 31000 Identificación de riesgos

Incluye la identificación de las causas y el origen del riesgos, sucesos, situaciones…

Lista todos los elementos de riesgo identificados

EVENTOS ¿Qué?

FUENTES ¿Dónde?

CONSECUENCIAS

CAUSAS ¿Porqué?

La identificación es fundamental, porque el riesgo que no se identifica en esta etapa no pasa a la evaluación siguiente y no es considerado.


Proceso para la apreciación del riesgo. ISO 31000

Existen una serie de Riesgos que, independientemente del Sector en el que nos movamos, acecha a todas las organización y deben ser valorados a la hora de realizar las Evaluaciones de Riesgos:  LEGALES  RIESGOS

TECNOLÓGICOS  FALTA DE CRÉDITO  FUGA DE TALENTO  MERCADOS EMERGENTES  SABOTAJES EN INFORMACIÓN RELEVANTE  CATÁSTROFES AMBIENTALES  ALIANZAS Y TRANSACCIONES

Tipos de riesgos


Tipos de riesgos

INFORMES/ESTADISTICAS SOBRE MAYORES FUENTES DE RIEGOS PARA LAS ORGANIZACIONES A NIVEL MUNDIAL


Proceso para la apreciación del riesgo. ISO 31000 Incumplimiento legal y continuidad

Incumplimiento de requisitos reglamentarios o deterioro de la reputación o la marca y factores que puedan afecta a la continuidad de las operaciones.   



No se proporcionan fichas de seguridad Controles aduaneros incompletos Conductores que transportan material peligroso sin la correspondiente acreditación Incumplimiento del código marítimo, terrestres aplicables

CÓMO EVITARLO: Revisión periódica de los requisitos legales y de su cumplimiento. Muchas compañías recurren a consultoras que les ayudan a mantenerse al día en temas legales.


Proceso para la apreciación del riesgo. ISO 31000 PERSONAL

Riesgos

LEGALES

Incumplimientos del código de conducta, discriminación en la contratación, explotación de datos personales sin consentimiento...

ADMINISTRACIÓN

ACCIONISTAS

Contaminación, atentados contra la seguridad pública,

Litigios jurídicos entre los dirigentes de la empresa y los accionistas…

corrupción, grupos de presión…

CLIENTES Incumplimiento de los reglamentos en relación con el producto fabricado, de los contratos de venta, de las cláusulas de confidencialidad, falsificación…

PROVEEDORES Ruptura de contratos, mala gestión y utilización de los programas informáticos, de las bases de datos, de las marcas y

“El desconocimiento de la ley no exime de su cumplimiento”

patentes…



Administración del personal

La “fuga” de personal cualificado puede poner en riesgo la continuidad de la organización o alguno de sus procesos. CÓMO EVITARLO: Las Políticas Laborales donde se valore al personal profesional y su aportación a la organización son la mejor manera de prevenir estos riesgos.


Proceso para la apreciación del riesgo. ISO 31000 Sabotajes de información

Estos riesgos son sabotajes intencionados, copia de información relevante, filtración de información de clientes y datos personales… CÓMO EVIT E VITARLO ARLO:: Implantar barreras barreras que dificulten el acceso acceso a la información o lo restrinjan restrinjan solo al personal autorizado. Para ello, debe existir un control absoluto de todos los equipos de la organización e implantar claves de acceso.


Proceso para la apreciación del riesgo. ISO 31000 MERCADOS EMERGENTES

La problemática viene por los férreos competidores que ocasionan una fuga de capital y de inversión a estos países. En general, son empresas con precios asequibles y facilidades de compra que atraen al consumidor.

CÓMO EVITARLO: EVITARLO: la única manera es ofrecer un plus en nuestros servicios/productos, generalmente centrado en mejora de la calidad o innovaciones tecnológicas.



Catástrofes Parece difícil luchar contra la naturaleza o contra incidentes que, no tan raras veces, ocurren en las organizaciones, como incendios o inundaciones.



Sistemas

Fallos Operacionales Suponen amenazas derivadas de pérdidas directas o indirectas de seguridad asociadas a:

Factores humanos

 Fallos

en sistema de control de seguridad  Fallos en los sistemas de comunicación  Fallos en controles de acceso

 Riesgos

operativos relativos a fraudes internos/ externos  Errores humanos en el manejo maquinaria, vehículos...  Incumplimiento

Política y procesos

de prácticas laborales o del cliente e instrucciones de trabajo  Incumplimiento de requisitos de transporte del producto  Prácticas comerciales inapropiadas  Ejecución y gestión de procesos



01

02

METODOS BÁSADOS EN EVIDENCIAS, es decir,

REUNIÓN DE GRUPO DE EXPERTOS que analizan y revisan

revisiones de datos históricos o sucesos pasados.

posibles riesgos de la organización con alguna metodología sistemática (lluvia de ideas)

03 TÉCNICAS DE RAZONAMIENTO INDUCTIVO HAZOP

Tormenta de ideas, Entrevistas estructuradas, Delphi, Listas de Verificación, Análisis preliminar de peligros, Estudios de peligros...


Proceso para la apreciación del riesgo. ISO 31000 Análisis de riesgos

Compresión del riesgo ¿Cuál es la probabilidad de ocurrencia del riesgo? ¿Qué pérdidas se producirían, en cuanto a coste del proyecto, en mi negocio… en caso de que el riesgo ocurriese?

VALORACIÓN DE RIESGOS

ANÁLISIS DE CONSECUENCIAS

ESTIMACIÓN DE PROBABILIDAD

La fórmula que decidamos emplear debe quedar claramente establecida en el proceso de Análisis de Riesgos.



No existe una “fórmula universal”. Cada organización aplica la que considera que se adapta más a su realidad, por ejemplo:    

SEMICUANTITATIVOS

.

Significancia = Consecuencia x Probabilidad Significancia = ( 2 x consecuencia) + Probabilidad Significancia = Consecuencia + ( 2 Probabilidad) …

MÉTODOS

.

CUALITATIVOS

.

CUANTITATIVOS



Para estimar la probabilidad se emplean normalmente tres enfoques:   

Utilización de datos históricos, importante para identificar sucesos ocurridos Pronósticos de probabilidad utilizando técnicas como el Árbol de sucesos Opinión de un experto

(La construcción del árbol comienza por la identificación de los N factores condicionantes de la evolución del suceso iniciador. A continuación, se colocan estos como cabezales de la estructura gráfica. Partiendo del iniciador se plantean sistemáticamente dos bifurcaciones: en la parte superior se refleja el éxito o la ocurrencia del suceso condicionante y en la parte inferior se representa el fallo o no ocurrencia del mismo)


Proceso para la apreciación del riesgo. ISO 31000 Análisis de riesgos. EJEMPLO CRITERIO VALORACIÓN

Análisis: EMPRESA que clasifica el componente de Probabilidad de acuerdo a 5 categorías: PROBABILIDAD DE MATERIALIZACIÓN Criterio de la organización

Muy improbable Improbable Posible Probable

Casi seguro

Descripción

Ocurre en casos excepcionales Puede ocurrir Ocurre en la mayoría de los casos Es probable. Ocurre en la mayoría de los casos Es muy seguro

Frecuencia

Nivel

No se ha presentado en los últimos 5 años

1

Se presentó una vez en los últimos 5 años

2

Se presentó una vez en los últimos 2 años

3

Se presentó una vez en el último año

4

El evento ocurre en la mayoría de las circunstancias. Es muy seguro que se presente. Se ha presentado más de una vez al año

5


Proceso para la apreciación del riesgo. ISO 31000 Análisis de riesgos. EJEMPLO CRITERIO VALORACIÓN

GUÍA DE VALORACIÓN DE LA CONSECUENCIA Insignificante

No tiene ningún efecto sobre los clientes y el proceso de negocio ni consecuencias a nivel interno. Ninguna prioridad.

2

Menor

Fugas de información poco importantes y que hay que solucionar, pero no se considera importante y tiene poca prioridad. Pérdida de la buena imagen de la empresa menor y que impacta de forma menor en las relaciones con los clientes ni a nivel interno.

3

Mayor

Pérdida de la buena imagen de la empresa ante algún cliente o internamente, debido a fugas de información de nivel medio. Afecta a los intereses económicos, comerciales y financieros.

Catastrófico

Pérdida de clientes, con la consiguiente pérdida de contratos. Pérdida muy grave de la buena imagen de la empresa. Internamente, mala impresión entre el personal de la empresa debido a filtraciones indebidas muy graves. Posibles sanciones legales muy graves que pudieran impedir la continuidad de la empresa. Afecta gravemente a los aspectos económicos, comerciales y financieros.

1

4


Proceso para la apreciación del riesgo. ISO 31000 Análisis de riesgos EJEMPLO DE MATRIZ DE RIESGOS Casi seguro (5) Probable (4) Posible (3) Improbable (2) Rara vez (1) Probabilidad /Impacto

Moderado(25)

Alto (50)

Extremo (75)

Extremo (100)

Moderado (20)

Alto (40)

Extremo (60)

Extremo (80)

Moderado (15)

Moderado (30)

Alto (45)

Extremo (60)

Bajo (10)

Moderado (20)

Moderado (30)

Alto (40)

Bajo (5)

Bajo (10)

Bajo (15)

Moderado (20)

Insignificante (5)

Menor (10)

Mayor (15)

Catastrófico (20)


Proceso para la apreciación del riesgo. ISO 31000 Evaluación de riesgos

Permite que una entidad entienda el grado en el cual los eventos potenciales pudieran afectar los objetivos del negocio.

Este Riesgo se Materializa…

¿¿Qué pasa??? ¿Es necesario tratar el riesgo? ¿Cómo lo priorizamos? ¿Emprendemos la actividad? ¿Qué camino seguimos? Tan bajo como sea posible

BANDA SUPERIOR INTOLERABLE BANDA MEDIA TOLERABLES

BANDA INFERIOR INSIGNIFICANTES


Proceso para la apreciación del riesgo. ISO 31000 Evaluación de riesgos. EJEMPLO Nivel de Riesgo

DESCRIPCIÓN No se van a tomar acciones para atajarlo.

VALOR < 20 BAJO

No se necesitan mejorar las medidas de seguridad establecidas. Podría valorar soluciones más rentables o mejoras que no supongan una carga económica importante (inferior a 500 €) y contando con los recursos propios de la empresa siempre y cuando ello no interfiera con el desarrollo normal de las actividades de negocio. Se requieren comprobaciones periódicas, frecuencia máxima anual, para asegurar que se mantiene la eficacia de las medidas de seguridad. Las medidas de seguridad establecidas se consideran suficientes. Puede ser objeto de estudio para su tratamiento soluciones más

20 ≤ VALOR < 40 rentables o mejoras que no supongan una carga económica razonable (inferior a 1000 €) y contando con los recursos propios de la MODERADO

empresa compatibilizado con las necesidades de las actividades de negocio que tendrán prioridad. Se requieren comprobaciones periódicas, frecuencia máxima anual, para asegurar que se mantiene l a eficacia de las medidas de seguridad. Requiere atención.

40 ≤ VALOR<60 Cuando el riesgo corresponda a activos de valor medio-alto o alto deben implantarse medidas de seguridad en un tiempo máximo de 6

ALTO

VALOR ≥ 60

EXTREMO

meses, para el resto de activos el plazo será de 1 año. Se valorarán soluciones o mejoras que no supongan una carga económica superior a 2000 € y se contará con los recursos propios de la empresa en base a su disponibilidad frente al desarrollo normal de las actividades de negocio de la empresa siempre y cuando ello no implique el cese de la activad. Se requieren comprobaciones periódicas, frecuencia máxima semestral, para asegurar que se mantiene la eficacia de las medidas de seguridad. Deben aplicarse medidas de control con carácter de urgencia en un tiempo máximo de 3 meses. Si las soluciones o mejoras a tomar no suponen una carga económica superior a 3500 € no requerirán aprobación específica de Dirección o Gerencia, en otro caso éstas medidas deberán ser aprobadas por Dirección o Gerencia mediante una Acta de Dirección. Se contará con los recursos propios de la empresa en base a su disponibilidad frente al desarrollo normal de las actividades de negocio de la empresa, ello puede implicar el cese de alguna activad. Se requieren comprobaciones periódicas, frecuencia máxima trimestral, para asegurar que se mantiene la eficacia de


Proceso para la apreciación del riesgo. ISO 31000 EJEMPLO

ESCENARIO DE AMENAZAS Manipulación e la información DESCRIPCIÓN DE LA AMENAZA

CLASIFICACIÓN DE CONSECUENCIAS

CLASIFICACIÓN DE LA PROBABILIDAD

Robo intencionado de información relacionada con la actividad financiera y estrategia de negocio, por parte de hackers

MAYOR: El robo de información confidencial contenida en ordenadores puede suponer impacto importante para la empresa

MEDIDAS DE SEGURIDAD: La organización cuenta con un método de detección de intrusos en los ordenadores principales antivirus actualizados y contraseñas de seguridad para cada ordenador. PROBABILIDAD: Posible


Proceso para la apreciación del riesgo. ISO 31000 EJEMPLO EVALUACIÓN DEL INCIDENTE

ESCENARIO DE AMENAZAS Manipulación de la información

TOLARIBILIDAD DEL RIESGO: ALTO Se necesita la realización de contramedidas

CONTRAMEDIDAS

•

•

Casi seguro (5) Probable (4) Posible (3) Improbable (2) Rara vez (1) Probabilidad /Impacto

Moderado(25)

Alto (50)

Extremo (75)

Extremo (100)

Moderado (20)

Alto (40)

Extremo (60)

Extremo (80)

•

•

Moderado (15)

Moderado (30)

Alto (45)

Extremo (60)

Bajo (10)

Moderado (20)

Moderado (30)

Alto (40)

Bajo (5)

Bajo (10)

Bajo (15)

Moderado (20)

Insignificante (5)

Menor (10)

Mayor (15)

Catastrófico (20)

Sustitución del sistema de detección de intrusiones LIDS por el sistema de seguridad SNORT en todos los ordenadores y portátiles Actualización mensual del sistema Endurecimiento del código ético y creación FP de contratación Eliminación de cuentas de trabajador

EVALUACIÓN DEL INCIDENTE

Compra de licencias


EJEMPLO

PROCESO  Proceso de

RIESGOS/OPORTUNIDADES RIESGOS/OPORTUNI DADES

gestión de producción esperados: cumplimiento de  Resultados esperados: los plazos de entrega y productos conformes conformes

alta rotación de operarios  Detectado como factor interno en el análisis del contexto potencial : Errores del personal por  Efecto potencial: falta de experiencia y conocimiento en el manejo de la maquinaria

 Proceso de

 Efecto

auditoría interna  Resultados esperados: evaluación sobre el sistema de gestión de la calidad. Detección de incumplimientos. Información o responsables. Verificación de acciones correctivas

 Riesgo:

potencial: falta de imparcialidad y objetividad en la evaluación. No detección de incumplimientos

ACCIONES •

•

•

Capacitación y formación sobre manejo de la maquinaria Mejorar las condiciones salariales de los operarios

Asignación de equipo auditor compuesto por personas del grupo matriz



TRATAMIENTO DEL RIESGO

Evitar el riesgo

Aceptarlo

Eliminar la fuente de riesgo

Transferir

No se trata de estar todo el día “apagando fuegos”,

sino de tener un plan para que los Riesgos no se materialicen .

Alterar la probabilidad o consecuencias



TRATAMIENTO DEL RIESGO

El PTR incluye todas las acciones de gestión apropiadas:  los recursos  las responsabilidades  y las prioridades para la gestión de riesgos de seguridad de la información (prioridades, calendario, presupuestos …)

OBJETO

Reducir los riesgos que estén por encima de los niveles aceptables por la organización .


Proceso para la apreciación del riesgo. ISO 31000 TRATAMIENTO DEL RIESGO-EJEMPLO EVITAR EL RIESGO   

Reducir la expansión de una línea de productos a nuevos mercados Vender una división, unidad de negocio o segmento geográfico altamente riesgoso Dejar de producir un producto o servicio altamente riesgoso

ACEPTAR EL RIESGO  

Autoasegurarse contra pérdidas Aceptar los riesgos de acuerdo a los niveles de tolerancia de riesgo

TRANSFERIR EL RIESGO   

Compra de seguros contra pérdidas inesperadas significativas Contratación de outsourcing para procesos del negocio Compartir el riesgo con acuerdos sindicales o contractuales con clientes, proveedores u otros socios de negocio

MITIGAR EL RIESGO   

Fortalecimiento del control interno en los procesos del negocio Diversificación de productos Establecimiento de límites a las operaciones y monitoreo



TRATAMIENTO DEL RIESGO ALTO

ACCIONES MITIGADORAS

DESENCADENANTE


ACCIONES DE CONTIGENCIA

O G S E I R E D L E V I N

MEDIO

BAJO


SEGUIMIENTO DE LAS ACCIONES TIEMPO


Proceso para la apreciación del riesgo. ISO 31000 TRATAMIENTO DEL RIESGO

Un plan de tratamiento de riesgos, al final, es similar a plantear Objetivos de Mejora,

pero con enfoque preventivo.

Marco de trabajo de la gestión de riesgos Proceso para la apreciación del riesgo. ISO 31000

RIESGO INHERENTE

RIESGO RESIDUAL



RIESGO INHERENTE/INTRÍNSECO = P x I RIESGO RESIDUAL = P x I x V Probabilidad x Impacto x Vulnerabilidad Extremo [15-25] Crítico[10-15 ] Alto [5-10] Moderado [3-5] Bajo [1-3 ]





La gestión de riesgo es un proceso fluido ¿Qué has echado de menos?

En todas las etapas el proceso Registrar los resultados y proporcionar información

¿Qué cosas podrían suceder que no has considerado?

Sistemas de gestión & ISO 31000

Gestión del Riesgo y otros estándares Anexo SL: ISO 9001, 14001, 22301, 27001,….

Planificación

Operación

6.1. Acciones para tratar los riesgos y oportunidades 6.1.2. Apreciación de los riesgos 6.1.3. Tratamiento de los riesgos 6.2. Objetivos de seguridad

8.1. Planificación y control operacional 8.2 Apreciación de los riesgos 8.3 Tratamiento de los riesgos … Las apreciaciones deben

permitir resultados consistentes, válidos y comparables.


Gestión del Riesgo y otros estándares Anexo SL: ISO 9001, 14001, 22301, 27001,…. Seguridad Información

Continuidad Operaciones Inocuidad Alimentaria

Calidad

RIESGOS Cumplimiento

Sociales

Seguridad Laboral

Ambientales


Gestión del Riesgo y otros estándares Anexo SL: ISO 9001, 14001, 22301, 27001,…. ISO 27001

ISO 22301

ISO 9001 ISO 17025 ISO 13485

ISO 22000 HACCP

…

BRC / IFS …

RIESGOS

ISO 26000 SA 8000 SGE 21

ISO 19600 ISO 37001

ISO 45001 OHSAS 18001 ISO 22320 ISO 39001

ISO 14001 EMAS ISO 50001

Metodologías de apreciación de riesgos

ISO/DIS 31010 – Técnicas de Apreciación del Riesgo

¿Qué puede suceder y por qué? ¿Cuáles son las consecuencias? ¿Cuál es la probabilidad futura de que ocurran?

¿Existen factores de mitigación del Riesgo? “Un método simple bien hecho puede proporcionar mejores resultados que un procedimiento más sofisticado pobremente realizado”



¿Qué influye en la Selección de la TÉCNICA? 

Complejidad del problema



Cantidad de información disponible



Conocimientos técnicos de los que se dispone



Recursos y tiempo de los que se dispone



Necesidad de un resultado cualitativo/cuantitativo

Tipo de Técnica

Descripción

Recursos

Información

Complejidad

Cuantitativo

Técnica Delphi

Medio de combinar las opiniones de expertos que pueden apoyar la identificación del origen y de la influencia.

Medio

Medio

Medio

NO

Árbol de Fallos

Técnica que comienza con un suceso no deseado y determina todos los caminos por los que podría ocurrir. Se representa gráficamente en un diagrama.

Alto

Alto

Medio

SI





Técnicas para obtener la visión/opinión de los GRUPOS DE INTERÉS Y EXPERTOS 

Lluvia de ideas



Técnica Delphi



Técnica de grupo nominal



Entrevistas estructuradas o semiestructuradas



Encuestas

En algunas situaciones, las partes interesadas tienen una experiencia y un papel específicos, y existe poca divergencia de opinión. Sin embargo, a veces se pueden esperar puntos de vista de las partes interesadas significativamente diferentes y puede haber estructuras de poder y otros factores operativos que afectan la forma en que las personas interactúan. Estos factores afectarán la elección del método utilizado. El número de interesados a consultar, las limitaciones de tiempo y los aspectos prácticos de reunir a todas las personas necesarias al mismo tiempo también influirán en la elección del método.



Técnicas para IDENTIFICAR RIESGOS 

Listas de verificación, clasificaciones y taxonomías



Modos de falla y análisis de efectos (FMEA) y modos de falla, efectos y análisis de criticidad (FMECA)



Estudios de peligros y operabilidad (HAZOP)



Análisis de escenarios



Estructurado ¿Qué pasa si la técnica (SWIFT)

Las técnicas de identificación de riesgos pueden incluir: métodos basados en evidencia, tales como revisiones de  literatura y análisis de datos históricos; métodos empíricos, que incluyen pruebas y modelos  para identificar lo que podría suceder bajo circunstancias particulares; encuestas de percepción, que cubren los puntos de vista  de una amplia gama de personas con experiencia; técnicas en las que el tema que se está considerando se  divide en elementos más pequeños, cada uno de los cuales se considera a su vez utilizando métodos que plantean qué sucede si se formulan preguntas. técnicas para fomentar el pensamiento imaginativo  sobre las posibilidades del futuro, como el análisis de escenarios listas de verificación o taxonomías basadas en datos  pasados o modelos teóricos .



Técnicas para ANALIZAR FUENTES Y CONDUCTORES DE RIESGO 

Enfoque Cindynic



Método Ishikawa (espina de pez)

La comprensión de las causas de los eventos potenciales y los factores de riesgo se puede utilizar para diseñar estrategias para evitar consecuencias adversas o mejorar las positivas. A menudo hay una jerarquía de causas con varias capas antes de que se alcance la causa raíz. En general, las causas se analizan hasta que las acciones se puedan determinar y justificar..



Técnicas para ANALIZAR CONTROLES 

Análisis de pajarita



Análisis de peligros y puntos críticos de control (HACCP)



Capas de análisis de protección (LOPA)

Estas técnicas pueden usarse para verificar si los controles son apropiados y adecuados. El análisis de pajarita y LOPA identifican las barreras entre una fuente de riesgo y sus posibles consecuencias y pueden usarse para verificar que las barreras sean suficientes. HACCP busca puntos en un proceso donde las condiciones pueden ser monitoreadas y los controles introducidos cuando hay una indicación de que las condiciones están cambiando. El análisis de árbol de eventos también se puede usar como un medio cuantitativo de análisis de controles calculando la influencia de diferentes controles en la probabilidad de las consecuencias.



Técnicas para comprender las CONSECUENCIAS, PROBALIDAD Y RIESGO 

Análisis bayesiano



Análisis de Markov



Redes bayesianas



Simulación de Monte Carlo



Análisis de impacto empresarial (BIA)



Evaluación del riesgo toxicológico



Análisis del árbol de eventos (ETA)



Valor en riesgo (VaR)



Análisis de árbol de fallas (FTA)





Análisis de causa y consecuencia (CCA)

Valor condicional en riesgo (CVaR) o déficit esperado (ES)



Análisis de fiabilidad humana (HRA)

Estas técnicas pretenden proporcionar una mayor comprensión de las consecuencias y su probabilidad. En general, las consecuencias pueden ser exploradas por:  experimentación, como estudios celulares para explorar las consecuencias de la exposición a toxinas con resultados aplicados a los riesgos para la salud humana y ecológica;  investigación sobre eventos pasados, incluidos estudios epidemiológicos;  modelado para determinar la forma en que las consecuencias se desarrollan después de un desencadenante, y cómo esto depende de los controles en su lugar. Esto puede incluir modelos matemáticos o de ingeniería y métodos lógicos, como incluso el análisis de árbol  técnicas para alentar el pensamiento imaginativo, como el análisis de escenarios



Técnicas para ANALIZAR DEPENDENCIAS E INTERACCIONES 

Mapeo causal



Análisis de impacto cruzado



Técnicas para SELCCIONAR ENTRE OPCIONES 

Análisis de costo-beneficio (CBA)



Análisis del árbol de decisión



Teoría de juegos



Multi-criteria analysis (MCA)

Las técnicas de este grupo se utilizan para ayudar a los responsables de la toma de decisiones a decidir entre las opciones que implican riesgos múltiples y en las que deben realizarse intercambios. Las técnicas ayudan a proporcionar una base lógica para justificar los motivos de una decisión. Dado que los métodos tienen filosofías diferentes, puede ser valioso explorar opciones utilizando más de un método. El análisis del árbol de decisiones y el análisis de costobeneficio basan las decisiones en la pérdida o ganancia financiera esperada. El análisis de criterios múltiples permite ponderar los diferentes criterios y hacer intercambios. El análisis de escenarios también se puede usar para explorar las posibles consecuencias si se siguen diferentes opciones. Este método es particularmente útil cuando hay una gran incertidumbre. Los problemas de decisión también se pueden modelar usando diagramas de



Técnicas para EVALUAR LA IMPORTANCIA DEL RIESGO 

ALARP / SFAIRP



Diagramas de frecuencia-número (F-N)



Gráficos de Pareto



Mantenimiento centrado en la fiabilidad (RCM)



Índices de riesgo

Estas técnicas se usan dentro de un proceso que implica decidir si se trata el riesgo y cómo hacerlo. Algunos pueden usarse para decidir si un riesgo particular es tolerable o aceptable para que otros indiquen la importancia relativa de un riesgo o para clasificar los riesgos en un orden de prioridad



Técnicas para INFORMAR Y REGISTRAR RIESGOS 

Registros de riesgos



Matriz de consecuencia / probabilidad (matriz de riesgo o mapa de calor)



Curvas S

Este aparatado cubre las técnicas utilizadas para informar y registrar información general sobre los riesgos. Un enfoque común para informar y registrar información sobre riesgos es ingresar información básica para cada riesgo en un registro de riesgos, como una hoja de cálculo o una base de datos. Algunos riesgos pueden requerir una descripción más compleja de la que puede acomodarse en un registro tradicional de riesgos. Por ejemplo, una descripción puede necesitar incluir múltiples fuentes de riesgo que conducen a un solo evento, múltiples resultados posibles de un solo evento o fuente, efectos de llamada y posibles fallas de control.


ISO/DIS 31010 – Técnicas de Apreciación del Riesgo Tormenta de ideas



Estimula la imaginación,  IDENTIFICACIÓN DE NUEVOS RIESGOS Y SOLUCIONES NOVEDOSAS



Implicación de las partes interesadas  COMUNICACIÓN



Rápida y fácil de establecer

PROS

CONTRAS

NO ES UN SIMPLE DEBATE



Participantes sin conocimientos técnicos



Poco estructurada



Liderazgo del debate no por las personas idóneas con ideas valiosas.


ISO/DIS 31010 – Técnicas de Apreciación del Riesgo Delphi

El resultado del estudio depende directamente del conocimiento y cooperación de quienes realizan dicha discusión y dan su opinión del proyecto.





Labor intensa y alto consumo de tiempo Expresión clara



CONTRAS

PROS



Puntos de vista anónimos Misma importancia

Consenso fiable de la opinión de un grupo de expertos


ISO/DIS 31010 – Técnicas de Apreciación del Riesgo Análisis de riesgos y operatividad (HAZOP)

Examen estructurado y sistemático de un proceso, producto, procedimiento o sistema existente o planificado.

Definición área de estudio Definición nudos o puntos localizados del proceso Definición de las desviaciones a estudiar Definición de la palabra guía Sesiones HAZOP Informe

“demasiado pronto”, “demasiado tarde”,

“demasiado pequeño ”, “objeto erróneo”,

“dirección erróneo”, “acción errónea”,

….

El HAZOP (Hazard and operability), en castellano AFO - Análisis Funcional de Operatividad es una


ISO/DIS 31010 – Técnicas de Apreciación del Riesgo Análisis de riesgos y operatividad (HAZOP). EJEMPLO Palabra guía NO

MÁS

MENOS

Significado

Ejemplo de desviación

Ejemplo de causas originadoras

Ausencia de la variable a la cual No hay flujo en una Bloqueo; fallo de bombeo; válvula cerrada o atascada; fuga; válvula se aplica línea abierta; fallo de control Aumento cuantitativo de una variable

Disminución cuantitativa de una variable

Más flujo (más caudal)

Presión de descarga reducida; succión presurizada; controlador saturado; fuga; lectura errónea de instrumentos

Más temperatura

Fuegos exteriores; bloqueo; puntos calientes; explosión en reactor; reacción descontrolada

Menos caudal

Fallo de bombeo; fuga; bloqueo parcial; sedimentos en línea; falta de carga; bloqueo de válvulas

Menos temperatura Pérdidas de calor; vaporización; venteo bloqueado; fallo de sellado Analiza la inversión en el sentido de la variable. Se INVERSO obtiene el efecto contrario al que se pretende

Flujo inverso

Aumento cualitativo. Se obtiene ADEMÁS Impurezas o una algo más que las intenciones del DE fase extraordinaria diseño

Fallo de bomba; sifón hacia atrás; inversión de bombeo; válvula antirretorno que falla o está insertada en la tubería de forma incorrecta Entrada de contaminantes del exterior como aire, agua o aceites; productos de corrosión; fallo de aislamiento; presencia de materiales por fugas interiores; fallos de la puesta en marcha


ISO/DIS 31010 – Técnicas de Apreciación del Riesgo Análisis de Impacto en el Negocio (BIA)

Recuperación y continuidad del negocio

Procesos críticos Tiempo de recuperación (RTO) Tiempo Máximo de interrupción tolerable (MTD) Punto de recuperación objetivo (RPO) Tiempo de recuperación del trabajo (WRT)


ISO/DIS 31010 – Técnicas de Apreciación del Riesgo Análisis de Impacto en el Negocio (BIA)

Mecanizado Moldeado Soldadura

Pintura Ensamblaje Embalaje

Mantenimiento



Análisis causa-efecto Identificar, clasificar y poner de manifiesto posibles causas, tanto de problemas específicos como de características de calidad. Ilustra gráficamente las relaciones existentes entre un resultado dado (efectos) y los factores (causas) que influyen en ese resultado.



Característica de calidad cuyas causas se pretenden identificar. Identificar causas de primer nivel. Trazar el esqueleto del diagrama “espina de pescado”. Identificar las causas secundarias o de nivel 2 y terciarias.


ISO/DIS 31010 – Técnicas de Apreciación del Riesgo Análisis de los modos de fallo y de los efecto (AMFE)

¿Qué puede ir mal? ¿Por qué puede ocurrir? ¿Cuál

es la probabilidad de que ocurra y cuáles son sus consecuencias? ¿Cuál es la probabilidad de detectarlo? Y ¿qué consecuencias tiene? 

Reconocer y evaluar fallas potenciales y sus efectos.



Identificar acciones que reduzcan o eliminen las probabilidades de falla.



Documentar los hallazgos del análisis.


ISO/DIS 31010 – Técnicas de Apreciación del Riesgo Análisis de los modos de fallo y de los efecto (AMFE) IDENTIFICACIÓN DEL RIESGO

ANÁLISIS DE RIESGOS

PTR

SEGIMIENTO Y REVISIÓN

Número de Prioridad de Riesgo: NPR= S * O * D  Gravedad de la falla (S) 

Probabilidad de ocurrencia (O)



Probabilidad de detección (D)

Gestión del riesgo

El riesgo es parte inevitable de los procesos, actividades… de una organización y frente a los cuales no debemos cerrar los ojos.

Su identificación, evaluación y adecuada gestión es CONSOLIDA del éxito futuro de nuestra organización .

Flujograma General recomendado para la adopción de ISO 31000:2018

DIAGNÓSTICO INICIAL “Situación Actual Real”

Estructura de la Organización, actividades, marco legal, análisis de Grupos de Interés, análisis interno y externo de la organización. Identificación de Procesos Identificación y priorización de Áreas de Riesgo

Identificación y Evaluación de Riesgos

Definición de Compromisos, Responsabilidades en el SGR y niveles de tolerancia Plan de Control de los Riesgos

IMPLEMENTACIÓN “Tomando el Control”

Formación y Sensibilización Aplicación de Controles, Procesos y Registros (Evidencias)

Seguimiento y ajuste al Sistema MEJORA Y EVALUACIÓN “Mejora Continua”

Evaluación y Medición, Indicadores.

Auditoría Interna


“Usa los poderes de tu organización” ISO 31000

curso iso_31000.pdf

Recommend Documents