Gestión de riesgos por objetivos Fundamentado en la nueva version de la norma ISO 31000
AVISO IMPORTANTE La presente información fue elaborada por Restrepo Oramas SAS con propósitos exclusivamente académicos, teniendo como base la experiencia profesional adquirida en los últimos 27 años, lo cual permitió realizar un juicioso análisis y conceptualización sobre los documentos originales de las normas ISO. Restrepo Oramas SAS, no se hace responsable sobre cualquier tipo de decisión tomada con base en la información de carácter académico incluida en esta presentación. El presente documento es para uso exclusivo de quien recibe de manera directa esta información por parte de Restrepo Oramas SAS; quedando prohibida la reproducción total o parcial. Se recomienda adquirir las normas oficiales ISO en las entidades autorizadas para su venta.
CARLOS ALFONSO RESTREPO ORAMAS (Auditor Líder ISO 9001, CISA, CISM, CGEIT, CRISC, CBCP, Lead Implementer ISO 22301, ISO 27001, ISO 20000 Lead Auditor ISO 22301, ISO 27001, ISO 20000, ISO 18001,Risk Manager ISO 31000, ITIL V3, Cobit 5)
Profesional con más de 25 años de experiencia, desempeñando cargos directivos en empresas de reconocido prestigio internacional tales como VISA, Synapsis, IQ Outsourcing, Superintendencia financiera de Colombia y Deloitte. Carlos Restrepo hace parte del comité Técnico 262 de ISO Internacional, encargado de revisar y actualizar la norma internacional para gestión de riesgos ISO 31000. Adicionalmente, como reconocimiento por promover la cultura de riesgo en 16 países de Latinoamérica, fue nominado por el diario especializado en economía y negocios “Portafolio” como el mejor docente año 2016; convirtiéndose a la fecha en el latinoamericano que más cursos de certificación internacional en riesgo y auditoria ha dictado en el mundo, en los últimos 36 meses (112 en 16 países). Su capacidad de combinar conocimiento y experiencia como conferencista, catedrático, consultor, auditor, implementador de Sistemas de Gestión Integral de Riesgo; así como ejercer su rol de Gerente de Procesos y Riesgos en VISA y consultor ERS en Deloitte; le han permitido obtener la máxima calificación en calidad y satisfacción para la totalidad de los entrenamientos ejecutivos realizados en México, Costa Rica, Honduras, Nicaragua, Guatemala, Panamá, El Salvador, República Dominicana, Colombia, Venezuela, Perú, Bolivia, Chile, Ecuador, Paraguay y Argentina.
TENDENCIAS Y REALIDADES Nueva versión de la norma de gestión de riesgos ISO 31000
LA REALIDAD… Una cuestión de percepción
ES LA REALIDAD… O SOLO MI PERCEPCIÓN?
EL RIESGO…
DEFINICIÓN ISO 31000:2017
( FDIS)
Efecto de la incertidumbre sobre los objetivos
Probabilidad
Impacto
Riesgo
ESTABLECER UN OBJETIVO …Es el punto de inicio
Cuando no hay suficiente claridad sobre los Objetivos…
DEFINICIÓN DE OBJETIVOS…
ENFOQUE ESTRATEGICO DE RIESGO Financiero
Cliente
Balanced Scorecard
Procesos internos
Conocimiento y crecimiento
COMUNICACIÓN EFECTIVA
S
M
A
R
T
DEFINIENDO OBJETIVOS Nivel estratégico
Nivel táctico
Nivel operativo
LA NORMA ISO 31000 Para la gestión del riesgo
ISO 31000:2017
(FDIS)
Marco de trabajo genérico para las normas ISO Proporciona principios y directrices genéricas sobre la gestión del riesgo Se puede aplicar a cualquier tipo de riesgo, cualquiera sea su naturaleza. No está diseñada para fines de certificación.
FAMILIA DE LAS NORMAS ISO 31000….
PRINCIPIOS De la norma ISO 31000 Para la gestión del riesgo
Integrado
Mejora continua
Factores humanos y culturales
Estructurado
Crear y proteger valor
Basado en mejor información disponible
Adaptado
Inclusivo Dinámico y responde a cambios
MARCO DE REFERENCIA De la norma ISO 31000 Para la gestión del riesgo
Contexto externo
DISEÑAR
M E J O R A
LIDERAZGO Y COMPROMISO
EVALUAR
Contexto interno
I M P L E M E N T A R
POLÍTICO
LEGAL
ECONÓMICO
PESTAL
AMBIENTAL
SOCIAL
TECNO LÓGICO
EL PROCESO De la norma ISO 31000 Para la gestión del riesgo
ESTABLECER CONTEXTO
REGISTRAR Y REPORTAR
COMUNICAR Y CONSULTAR
TRATAR
VALORAR
RIESGO
RIESGO
MONITOREAR Y REVISAR
EL APETITO Definido por el estilo gerencial
APETITO AL RIESGO
TRATAMIENTO • Selección de opciones
SELECCIÓN DE OPCIONES DE TRATAMIENTO Evaluación del riesgo NO
SI
Elección de opciones A Plan tratamiento
B
C
D
Riesgo residual Riesgo aceptable?
NO SI
Aceptación del riesgo
SELECCIÓN DE OPCIONES DE TRATAMIENTO No iniciar o continuar una actividad
Evitar
Aceptar de manera informada
Retener
Aumentar
Perseguir una oportunidad
Opciones no necesariamente excluyentes, ni adecuadas en todas las circunstancias Contrato Financiación
Retirar fuente
Compartir
Influir sobre fuente de riesgo
Modificar Influir sobre probabilidad / impacto
SELECCIÓN DE OPCIONES DE TRATAMIENTO Evaluación costo/beneficio Alto
Costos
Diseño Implementación Operación Mantenimiento Verificación
Alto
Impactos
Costo de controles
Riesgo
*Proceso estructurado de toma de decisiones
Financiero Legal Ambiental Reputacional etc
PROPÓSITO ORGANIZACIONAL • Con el compromiso de todos
RECONOCIENDO BENEFICIOS TANGIBLES…
www.ro-sas.com
[email protected] [email protected]