GESTIÓN DEL RIESGOISO 31000:2009 1 12P01-V2 2 12P01-V2 PLANEACIÓN ESTRATEGICA Procesos Gestión Objetivos dirección Riesgo sociales Objetivos financieros Procesos Objetivos cliente operacionales Objetivos procesos Objetivos Procesos innovación soporte 3 12P01-V2 Gestión Prospectiva •Proyección y ordenamiento a futuro •Prevención Gestión Correctiva • Acciones de reducción de vulnerabilidades y amenazas • Mitigación Gestión Reactiva • Planes de Contingencia • Preparación • Planes de continuidad del negocio 44 12P01-V2 NTC ISO 31000:2011 55 12P01-V2 1. Estructura General de la ISO 31000 6 12P01-V2 Introducción 1. Objeto 2. Términos y definiciones 3. Principios 4. Marco de Referencia 5. Proceso Anexo A: Atributos de la Gestión Mejorada del Riesgo 77 12P01-V2 2. Principios de la gestión del riesgo 8 12P01-V2 Principios de la gestión del riesgo • Crea y protege el valor. • Es una parte integral de todos los procesos de la organización. • Es parte de la toma de decisiones. • Aborda explícitamente la incertidumbre. • Sistemática, estructurada y oportuna. • Se basa en la mejor información disponible. • Está adaptada a la organización. • Toma en consideración los factores humanos y culturales. • Transparente e inclusiva. • Dinámica, reiterativa y receptiva al cambio. • Facilita la mejora continua de la organización. 99 12P01-V2 3. Términos y definiciones 10 12P01-V2 Términos y definiciones 2.1. Riesgo: efecto de la incertidumbre sobre los objetivos Nota 1: Un efecto es una desviación de aquello que se espera, sea positivo, negativo o ambos. Nota 2: Los objetivos pueden tener aspectos diferentes (por ejemplo financieros, salud y seguridad, y metas ambientales) y se pueden aplicar en niveles diferentes (estratégico, en toda la organización, en proyectos, productos y procesos). Nota 3: A menudo el riesgo está caracterizado por la referencia a los eventos potenciales y las consecuencias o a una combinación de ellos. Nota 4: Con frecuencia, el riesgo se expresa en términos de una combinación de las consecuencias de un evento (incluyendo los cambios en las circunstancias) y en la posibilidad de que suceda. Nota 5: Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o el conocimiento de un evento, su consecuencia o posibilidad 11 12P01-V2 13 13 12P01-V2 Términos y definiciones 2.2 Gestión del riesgo. Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo 2.8 Proceso para la gestión del riesgo. Aplicación sistemática de las políticas, los procedimientos y las prácticas de gestión a las actividades de comunicación, consulta, establecimiento del contexto, y de identificación, análisis, evaluación, tratamiento, monitoreo y revisión del riesgo. 14 12P01-V2 a) Crear valor b) Es parte integral de los procesos de la organización Comando y Establecimiento del contexto (5.3) compromiso c) Es parte de la toma de (4.2) decisiones Valoración del riesgo (5.4) d) Aborda explícitamnete la Comunicación y consulta (5.2) incertidumbre Identificación del riesgo (5.4.2) Diseño del marco Monitoreo y revisión (5.6) e) Es sistemática, estructurada de referencia para y oportuna la gestión del riesgo (4.3) f) Se basa en la mejor Análisis del riesgo (5.4.3) información disponible Mejora continua Implementación g) Está adaptado del marco de la gestión de referencia del riesgo h) Toma en consideración a los (4.6) (4.4) Evaluación del riesgo (5.4.4) factores humanos y culturales i) Es tranasparente e in clusiva Diseño del marco de referencia para j) Es dinámica, reiterativa y la gestión del riesgo Tratamiento del riesgo (5.5) receptiva al cambio (4.3) k) Facilita la mejora y realza a la organización Principios Marco de referencia Proceso (numeral 3) (numeral 4) (numeral 5) 15 15 12P01-V2 Términos y definiciones 2.3 Marco de referencia para la gestión del riesgo. Conjunto de componentes que brindan las bases y las disposiciones de la organización para diseñar, implementar, monitorear, revisar y mejorar continuamente la gestión del riesgo a través de toda la organización. • Nota 1: Las bases incluyen la política, los objetivos, el comando y el compromiso para gestionar el riesgo. • Nota 2: Las disposiciones de la organización incluyen planes, relaciones, rendición de cuentas (Accountability), recursos, procesos y actividades. • Nota 3: El marco de referencia para la gestión del riesgo está incluido en las políticas y prácticas estratégicas y operacionales globales de la organización. 16 16 12P01-V2 Términos y definiciones (ISO 31000) • Actitud hacia el Riesgo • Contexto • Propietario del Riesgo interno/externo • Parte interesada • Valoración del riesgo • Proceso para la gestión • Identificación del del riesgo Riesgo • Plan para la gestión del • Fuente del riesgo riesgo • Análisis del riesgo • Evento • Criterios del riesgo • Consecuencia • Nivel del riesgo • Probabilidad • Evaluación del Riesgo • Riesgo residual • Tratamiento del riesgo 17 17 12P01-V2 4. MARCO DE REFERENCIA PARA LA GESTION DEL RIESGO 18 12P01-V2 Marco de Referencia 19 19 12P01-V2 Establecimiento del contexto FORTALEZAS / DEBILIDADES Misión / Visión Objetivos Percepción y estratégicos Objetivos ORGANIZACIÓN Políticas de Partes comunicación interesadas Partes interesadas OPORTUNIDADES / AMENAZAS Contexto: Aspectos financieros, operacionales, competitivos, percepción / imagen ante el publico, responsabilidad social, del cliente, culturales, legales 20 20 12P01-V2 ESTRATEGIA DE NEGOCIOS 1) Análisis del entorno • Análisis PESTA • Diamante de Porter. • Análisis de Industria 2) Análisis Interno • Recuursos • Capacidades 3) Matriz DOFA 4) Realizar entrevistas a los grupos de interés Identificación de necesidades. 5) Establecimiento de la estrategia • Definición de ventajas competitivas. • Identificación de Factores Claves de éxito. • Determinación de objetivos y metas. 6) Declaración de la misión y visión 21 12P01-V2 3. MATRIZ DOFA DEBILIDADES • Internas OPORTUNIDADES • Externas FORTALEZAS • Internas AMENAZAS • Externas 22 12P01-V2 “La Empresa Social del Estado Hospital XXXXX, coherente con su política de calidad, con los componentes y elementos que define el MECI 1000:2005 y con los objetivos del Sistema Obligatorio de Garantía de la Calidad para la Atención en Salud, busca proteger a sus usuarios de los potenciales riesgos asociados a la prestación del servicio, así mismo se compromete a establecer los mecanismos necesarios para evitar, reducir, compartir y asumir los riesgos relacionados con el desarrollo de sus procesos y que pudieran afectar negativamente a las personas, las instalaciones, los bienes y los equipos; para tal efecto realizará la identificación, análisis, valoración e intervención de los riesgos inherentes al quehacer institucional, contribuyendo de esta forma al logro de los objetivos y a la Misión de la Empresa”. 23 23 12P01-V2 Proceso de gestión del riesgo P H A V 24 12P01-V2 Principales elementos del proceso de COMUNICACIÓN Y CONSULTA gestión del riesgo MONITOREO Y REVISION Establecer el contexto Identificar los riesgos EVALUACION DEL RIESGO Analizar los riesgos Evaluar los riesgos Tratar el riesgo 25 12P01-V2 Proceso de gestión del riesgo Comunicación y consulta 27 12P01-V2 Términos y definiciones 2.12. Comunicación y consulta: Procesos continuos y reiterativos que una organización lleva a cabo para suministrar, compartir u obtener información e involucrarse en un diálogo con las partes involucradas con respecto a la gestión del riesgo La consulta es : • un proceso que tiene impacto en la decisión a través de la influencia más que del poder; y • una entrada para la toma de decisiones, no para la toma conjunta de decisiones 28 12P01-V2 Términos y definiciones Nota 1: La información se puede relacionar con la existencia, la naturaleza, la forma, la probabilidad (likelihood), el significado, la evaluación, la aceptabilidad y el tratamiento de la gestión del riesgo. Nota 2: La consulta es un proceso de doble vía de la comunicación informada entre una organización y sus partes involucradas, acerca de algún tema, antes de tomar una decisión o determinar una dirección para dicho tema 29 12P01-V2 Comunicación y consulta La comunicación y consulta son importantes en el proceso de gestión del riesgo por que: • Hace la gestión explicita y relevante • Agrega valor a la organización • Integración de perspectivas • Desarrollo de la confianza • Mejora de la determinación del riesgo • Tratamiento efectivo de riesgo 30 12P01-V2 Comunicación y consulta Proceso de comunicación • Identificación de las partes interesadas • Plan de comunicación y consulta – Los objetivos de la comunicación – Los participantes que deben estar incluidos – Perspectivas de los participantes – Los métodos de comunicación por usar – El proceso de evaluación por usar 31 12P01-V2 Proceso de gestión del riesgo Establecer el contexto 32 12P01-V2 Términos y definiciones 2.9. Establecimiento del contexto: Definición de los parámetros internos y externos que se han de tomar en consideración cuando se gestiona el riesgo, y establecimiento del alcance y los criterios del riesgo para la política para la gestión del riesgo 33 12P01-V2 Establecimiento del contexto Al establecer el contexto, la organización articula sus objetivos, define los parámetros externos e internos que se van a considerar al gestionar el riesgo y establece el alcance y los criterios del riesgo para el resto del proceso. Aunque muchos de estos parámetros son similares a aquellos que se consideran en el diseño del marco de referencia para la gestión del riesgo, al establecer el contexto del proceso para la gestión del riesgo, es necesario que estos parámetros se consideren en mayor detalle y, en particular, la manera como se relacionan con el alcance del proceso para la gestión del riesgo particular. 34 12P01-V2 Entender la Organización y su contexto 35 35 12P01-V2 Establecimiento del contexto El contexto externo puede incluir, entre otros: • Partes involucradas externas / partes interesadas • Requisitos legales y reglamentarios • El ambiente social y cultural, político, CONTEXTO EXTERNO • El ambiente financiero, económico, natural y competitivo • El contexto internacional, nacional, regional o local; • Los factores tecnológicos • Los impulsores clave y las tendencias que tienen impacto en los objetivos de la organización; y • Las relaciones con las partes involucradas externas y sus percepciones y valores 36 12P01-V2 Establecimiento del contexto El contexto interno que puede incluir, entre otros: • El gobierno, estructura de la organización, funciones y responsabilidades; • La cultura de la organización y sus procesos • Las políticas, objetivos y las estrategias implementadas CONTEXTO INTERNO para lograrlos; • Los factores productivos • Las relaciones con las partes involucradas internas y sus percepciones y valores; • Los sistemas de información, flujos de información y procesos de toma de decisiones (tanto formales como informales); • Las normas, directrices y modelos adoptados por la organización; y forma y extensión de las relaciones contractuales. 37 12P01-V2 Proceso de gestión del riesgo Identificación del riesgo 38 38 12P01-V2 ESTE ES UN EVENTO DE RIESGO MUY SIMPLE !! QUE VEMOS ? CUAL ES LA FUENTE ? CUAL ES LA PROBABILIDAD? CUAL ES LA CONSECUENCIA? 39 39 12P01-V2 Términos y definiciones 2.15. Identificación del riesgo: Proceso para encontrar, reconocer y describir el riesgo. . Nota 1: La identificación del riesgo implica la identificación de las fuentes de riesgo, los eventos, sus causas y sus consecuencias potenciales. Nota 2: La identificación del riesgo puede involucrar datos históricos, análisis teóricos, opiniones informadas y expertas, y las necesidades de las partes involucradas 40 12P01-V2 Identificación del riesgo Recomendaciones!!!! Es importante identificar los riesgos asociados a la no búsqueda de una oportunidad. La identificación debería incluir los riesgos independientemente de si su origen está o no bajo control de la organización, aún cuando el origen del riesgo o su causa pueden no ser evidentes. La identificación del riesgo debería incluir el examen de los efectos colaterales de las consecuencias particulares, incluyendo los efectos en cascada y acumulativos. También se debería considerar un rango amplio de consecuencias incluso si el origen del riesgo o su causa pueden no ser evidentes. Al igual que la identificación de lo que podría suceder, es necesario considerar las causas y los escenarios posibles que muestran que las consecuencias se podrían presentar 41 12P01-V2 Identificación del riesgo: Componentes • Aquello que tiene el potencial intrínseco para Fuente hacer daño o generar oportunidades Evento / • Aquello que ocurre, de manera que la fuente Incidente de riesgo genera un impacto • Un resultado o impacto sobre un grupo de Consecuencia partes involucradas y recursos • El qué y por qué de la presencia del peligro o Causa evento que ocurre Controles • Controles establecidos y su nivel de eficacia Cuando / • Cuando puede ocurrir el riesgo y dónde puede Donde ocurrir 42 42 12P01-V2 Fuente •Infraestructura •Talento Humano •Tecnología •Información •Marco legal •Recursos monetarios 43 43 12P01-V2 Fuente • Estratégicos. Atienden la relación de la entidad con su misión constitucional, los ciudadanos y la comunidad. • Financieros. Atienden la relación de la entidad con el manejo del presupuesto asignado. • De proyectos. Atienden los riesgos relacionados con alcance, cronograma y costos del proyecto. • Operacionales. Son los típicos derivados de fallas de tecnología, procesos, recursos humanos, fraude interno o externo, eventos de la naturaleza. • De seguridad de la información. Relacionados con activos de información. • Reputacionales. Derivados de otros riesgos o mediáticos. • Corrupción: relacionados con el soborno, extorsión, lavado de activos, • Legales. Derivados de otro riesgos o puros. 44 44 12P01-V2 45 45 12P01-V2 Evento / Incidente Eventos que podrían crear, aumentar, prevenir, degradar, acelerar o retrasar el logro de los objetivos 46 46 12P01-V2 Consecuencia: Un resultado o impacto sobre un grupo de partes involucradas y recursos 47 47 12P01-V2 FUENTE O OBJETIVOS METAS FACTOR EVENTOS CAUSA CONSECUENCIA Disminuir el riesgo de accidente o enfermedades 0 Enfermedades profesionales 0 Accidente Talento humano Tecnología Medio Ambiente Capacitación constante en salud ocupacional orientadas a la prevención. Conocimiento de los riegos de cada Método puestos de trabajo Maquinaria No se cuenta con los elementos de protección personal Materiales requeridos 48 48 12P01-V2 Proceso de gestión del riesgo Análisis del riesgo 49 49 12P01-V2 Términos y definiciones 2.21. Análisis del riesgo: Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo. . Nota 1: El análisis del riesgo proporciona las bases para la evaluación del riesgo y las decisiones sobre el tratamiento del riesgo Nota 2: El análisis del riesgo incluye la estimación del riesgo 50 50 12P01-V2 Análisis del riesgo Suministra una entrada para las decisiones sobre si es necesario tratar los riesgos y las estrategias del tratamiento del riesgo más adecuadas y eficaces en términos de costo. El análisis del riesgo incluye considerar las fuentes de riesgo, sus consecuencias positivas y negativas y la probabilidad de que dichas consecuencias puedan ocurrir. 51 51 12P01-V2 Análisis del riesgo 52 52 12P01-V2 Análisis del riesgo A fin de evitar ser subjetivos, al analizar las consecuencias y la probabilidad, se recomienda emplear los mejores recursos y técnicas de información disponibles: a) registros pasados; b) experiencia pertinente; c) práctica y experiencia industrial; d) literatura publicada pertinente; e) marketing de ensayo e investigación de mercado; f) experimentos y prototipos; g) modelos económicos, de ingeniería y otros; h) juicios de especialistas y expertos (Modelos). 53 53 12P01-V2 Análisis del riesgo Recomendaciones!!! • No deje de considerar ningún riesgo significativo ni ninguna mejora viable. • Tenga en cuenta en forma coordinada factores de la condición de trabajo y del acto humano. • Establezca si los equipos y su operación tienen riesgos aceptables o tolerables. Reduzca los riesgos en orden de importancia y viabilidad. • Que el estudio sea completo y no se pase nada por alto (causas y efectos). • Que el estudio sea consistente con el método elegido. • Disciplina en la identificación y análisis. • Grupos de 3 a 6 personas: Especialistas adicionales solo cuando se requieran. Visita detallada a la planta. • Conocimientos suficientes para formular y contestar las preguntas que se realicen. 54 54 12P01-V2 Análisis del riesgo: Probabilidad Nivel Probabilidad Descripción Se espera que ocurra en la mayoría de las A Casi cierto circunstancias. Puede probablemente ocurrir en la mayoría B Probable de las circunstancias. C Posible Es posible que ocurra algunas veces. D Improbable Podría ocurrir algunas veces. Puede ocurrir solamente en circunstancias E Raro excepcionales. Nota: los criterios deben darle capacidad de gestión del riesgo a la organización. 55 55 12P01-V2 Análisis del riesgo: Consecuencia Nivel Consecuencia Descripción 1 Insignificante Nivel de daño y pérdidas financieras pequeñas. Pérdida financiera media; tratamiento de primeros 2 Menor auxilios en el sitio; efectos ambientales detenidos en el sitio. Pérdida financiera alta; requiere tratamiento médico; 3 Moderada descargas se detienen en el sitio con ayuda externa. Pérdidas financieras considerables; lesiones grandes; 4 Mayor pérdidas de capacidad de producción; descargas fuera del sitio sin efectos perjudiciales. Pérdida financiera enorme; muerte; liberación de 5 Catastrófica tóxicos fuera del sitio con efecto perjudicial. Nota: los criterios deben darle capacidad de gestión del riesgo a la organización. 56 56 12P01-V2 Determinación de PROBABILIDAD (DAFP) 57 57 12P01-V2 Determinación de IMPACTO (DAFP) 58 58 12P01-V2 NIVEL DE REDUCCION SEGURIDAD Y MEDIO AMBIENTE HERENCIA SOCIAL COMUNIDAD, LEGAL SEVERIDAD DE SALUD Y CULTURAL GOBIERNO, UTILIDADES REPUTACION, MEDIOS Muchas Enjuiciamientos y > 500 muertes o multas Muy alto millones efectos significativas significativos irreversibles Daño ambiental >50 personas muy grave y a largo plazo, de Una sola las funciones del Problemas Protestas graves al Violación mayor muerte y/o ecosistema sociales en curso. público o de los de los Alto > 400 discapacidad Daño significativo medios (cobertura reglamentos. millones severa a elementos de internacional) Litigios mayores irreversible importancia (>30%) a una cultural ó más personas Discapacidad Efectos Atención significativa Violación grave > 300 o daño ambientales adversa a los medios, de los Medio millones irreversible graves a término público, ONG reglamentos, con moderado medio investigación o (<30%) a una informe a la ó más autoridad, con personas enjuiciamiento y/o posibles Discapacidad Efectos Problemas Atención de los hallazgos > 200 objetiva pero moderados a sociales en curso. medios, preocupación moderados Bajo millones reversible que corto plazo, que Daño permanente intensificada por la requiere no afectan las a elementos de comunidad local. hospitalizació funciones del importancia Críticas de las ONG n ecosistema cultural No se Efectos menores Impactos Atención médica o Aspectos legales, requiere sobre el medio ambientales quejas adversas no Muy bajo > 100 tratamiento ambiente sociales menores menores del público conformidades y millones médico a mediano plazo, local violaciones sobre la población menores local. En su mayoría es 59 59 subsanable 12P01-V2 Análisis del riesgo: Nivel de posibilidad DESCRIPCION DESCRIPCION FRECUENCIA DE APARICION Casi seguro El evento ocurrirá anualmente Una vez al año o con más frecuencia Muy posible El evento ha ocurrido varias veces o más Una vez cada tres años durante su carrera Posible El evento podría ocurrir una vez durante su Una vez cada diez años carrera Improbable El evento ocurre en algún lugar, de vez en Una vez cada treinta años cuando Raro Ha oído de que algo similar ocurre en otro Una vez cada 100 años lado Muy raro Nunca ha oído que esto ocurra Una vez cada 1000 años Casi increíble Teóricamente posible, pero no se espera que Una vez cada 10000 años ocurra 60 12P01-V2 Análisis del riesgo: Nivel de posibilidad DESCRIPTIVO DEFINICION Severa La mayoría de los objetivos no se pueden lograr Mayor Algunos objetivos importantes no se pueden lograr Moderada Algunos objetivos afectados Menor Efectos menores que se remedian fácilmente Insignificante Impacto insignificante sobre los objetivos DESCRIPCION DESCRIPCION DERSCRIPCION ALTERNATIVO Probable Se puede esperar que ocurra durante el Buenas oportunidades proyecto Posible No se espera que ocurra durante el proyecto Oportunidades bajas o constantes Improbable Imaginable pero extremadamente improbable Oportunidades pobres que ocurra durante el proyecto 61 12P01-V2 Análisis del riesgo: Nivel de riesgo Clase de Clase de consecuencias posibilidad 1 2 3 4 5 A Media Alta Alta Muy alta Muy alta B Media Media Alta Alta Muy alta C Baja Media Alta Alta Alta D Baja Baja Media Media Alta E Baja Baja Media Media Alta Riesgo alto o muy alto: se necesita atención de la alta dirección, especificar planes de acción y responsabilidad de la dirección. Riesgo medio: Gestionar mediante procedimientos de monitoreo o respuesta específicos, con responsabilidad especificada de la alta dirección. Bajo riesgo: Gestionar mediante procedimientos de rutina, es poco probable que se necesite la aplicación específica de recursos. 62 12P01-V2 Análisis del riesgo: Nivel de riesgo PROBABLE PROBABILIDAD RIESGO MEDIO RIESGO ALTO IMPROBABLE RIESGO BAJO RIESGO MEDIO MENOR MAYOR CONSECUENCIA Valores de las celdas=unidades de riesgo para clasificación únicamente 63 12P01-V2 Análisis del riesgo: Nivel de riesgo CONSECUENCIAS MENOR MODERADA MAYOR IMPROBABLE BAJO BAJO MEDIO PROBABILIDAD POSIBLE BAJO MEDIO ALTO PROBABLE MEDIO ALTO ALTO Acción inmediata, especificar planes de acción y atención de la alta dirección Gestionar mediante procedimientos de monitoreo o respuesta específicos Gestionar mediante procedimientos de rutina, es improbable que se necesite la aplicación específica de recursos 64 12P01-V2 65 65 12P01-V2 66 66 12P01-V2 Proceso de gestión del riesgo Evaluación del riesgo 67 12P01-V2 Términos y definiciones 2.24 Evaluación del riesgo. Proceso de comparación de los resultados del análisis del riesgo con los criterios del riesgo, para determinar si el riesgo, su magnitud o ambos son aceptables o tolerables. Nota: La evaluación del riesgo ayuda en la decisión acerca del tratamiento del riesgo. 68 12P01-V2 Evaluación del riesgo El propósito de la evaluación del riesgo es tomar decisiones, basadas en los resultados del análisis del riesgo, sobre los riesgos que necesitan tratamiento y las prioridades del tratamiento. Los criterios utilizados para la toma de decisiones deben ser consistentes con: • El contexto de gestión del riesgo definido (interno y externo) • Objetivos de la organización • Puntos de vista de las partes interesadas 69 12P01-V2 Evaluación del riesgo Las decisiones pueden estar basadas en el nivel del riesgo, pero también pueden estar basadas en: • Consecuencias específicas. • La posibilidad de eventos o resultados especificados. • El efecto acumulativo de muchos eventos. • El rango de incertidumbre para los niveles de riesgo. 70 12P01-V2 Evaluación del riesgo Prob. Consecuencias 1 2 3 4 5 A H H E E E B M H H E E C L M H E E D L L M H E E L L M H H Nota: los criterios y categorías deben darle capacidad de gestión del riesgo a la organización. E Riesgo extremo. M Riesgo moderado. H Alto riesgo. L Riesgo inferior. 71 12P01-V2 72 72 12P01-V2 73 73 12P01-V2 74 74 12P01-V2 Proceso de gestión del riesgo Tratamiento del riesgo 75 12P01-V2 Términos y definiciones 2.25. Tratamiento del riesgo. Proceso para modificar el riesgo. Nota 1: El tratamiento del riesgo puede implicar: − evitar el riesgo decidiendo no iniciar o continuar la actividad que lo originó − tomar o incrementar el riesgo con el fin de perseguir una oportunidad − retirar la fuente del riesgo − cambiar la probabilidad − cambiar las consecuencias − compartir el riesgo con una o varias de las partes (incluyendo los contratos y la financiación del riesgo) − retener el riesgo a través de la decisión informada. Nota 2: En ocasiones se hace referencia a los tratamientos del riesgo relacionados con consecuencias negativas como "mitigación del riesgo", "eliminación del riesgo", "prevención del riesgo" y "reducción del riesgo". Nota 3: El tratamiento del riesgo puede crear riesgos nuevos o modificar los existentes 76 12P01-V2 Tratamiento del riesgo El tratamiento del riesgo involucra la selección de una o más opciones para modificar los riesgos y la implementación de tales opciones. Una vez implementado, el tratamiento suministra controles o los modifica. El tratamiento del riesgo implica un proceso cíclico de: • valoración del tratamiento del riesgo; • decisión sobre si los niveles de riesgo residual son tolerables; • si no son tolerables, generación de un nuevo tratamiento para el riesgo; y • valoración de la eficacia de dicho tratamiento. 77 12P01-V2 Tratamiento del riesgo Las opciones para el tratamiento del riesgo no necesariamente son mutuamente excluyentes ni adecuadas en todas las circunstancias. Las opciones pueden incluir las siguientes: • Evitar el riesgo al decidir no iniciar o continuar la actividad que lo originó; • Tomar o incrementar el riesgo para perseguir una oportunidad; • Retirar la fuente de riesgo; • Cambiar la probabilidad; • Cambiar las consecuencias; • Compartir el riesgo con una o varias de las partes, (incluyendo los contratos y la financiación del riesgo); y • Retener el riesgo mediante una decisión informada 78 12P01-V2 El tratamiento SOLUCIONE COSTO TIEMPO EFICACIA IMPACTO PUNTAJE Posibles soluciones S SOLUCIÓN 1 3 1 2 3 18 SOLUCIÓN 2 2 2 2 2 16 SOLUCIÓN 3 3 3 2 3 54 3 = ALTO 2 = MEDIO 1 = BAJO 79 12P01-V2 Formato Mapa de Riesgos 80 80 12P01-V2 Proceso de gestión del riesgo Monitoreo y revisión 81 12P01-V2 Tratamiento del riesgo La información suministrada en los planes de tratamiento debería incluir: • La evaluación del costo / beneficio que se espera obtener • Responsables de aprobar el plan • Responsables de implementarlo • Acciones propuestas • Requisitos de recursos, incluyendo las contingencias; • Medidas y restricciones de desempeño; • Requisitos de monitoreo y reporte • Tiempo y cronograma. 82 12P01-V2 Términos y definiciones 2.28 Monitoreo. Verificación, supervisión, observación crítica o determinación continuas del estado con el fin de identificar cambios con respecto al nivel de desempeño exigido o esperado. Nota 1: El monitoreo se puede aplicar al marco de referencia para la gestión del riesgo, al proceso para la gestión del riesgo, al riesgo o al control. 2.29 Revisión. Acción que se emprende para determinar la idoneidad, conveniencia y eficacia de la materia en cuestión para lograr los objetivos establecidos. Nota 1: La revisión se puede aplicar al marco de referencia para la gestión del riesgo, al proceso para la gestión del riesgo, al riesgo o al control 83 12P01-V2 Monitoreo y revisión El monitoreo y la revisión son parte esencial e integral de la gestión del riesgo y son uno de los pasos más importantes del proceso de la gestión del riesgo en el ámbito organizacional. Es necesario monitorear la eficacia y la conveniencia de las estrategias para implementar los tratamientos de riesgos y el plan de gestión el mismo. 84 12P01-V2 Monitoreo y revisión 85 12P01-V2 Monitoreo y revisión Considerar los riesgos más significativos en la organización y a partir de estos definir indicadores asociados a las causas que los generan. Monitorear los riesgos y la eficacia de las medidas de control. 86 12P01-V2 COMPORTAMIENTO AGOSTO 2011 - COMPARADO CON EL MISMO PERIODO PARA LOS AÑOS 2007, 2008 , 2009, 2010 y 2011. Tecnologia Recurso Humano 2011 28 2011 18 2010 26 2010 6 2009 22 2008 16 2009 17 2007 3 2008 9 0 5 10 15 20 25 30 0 5 10 15 20 El factor de riesgo de tecnología presenta un crecimiento El factor de riesgo de Recurso Humano, presenta en el del 8% en el año 2011 con respecto al 2010. Actualmente año 2011 un crecimiento del 200% respecto al año 2010. se están elaborando planes de acción especialmente para La administración de operaciones desarrolló un estrategia mitigar los riesgos relacionados con pagarés. En lo que de acercamiento al personal para informar de lo respecta a reportes, existe un plan piloto. acontecido. En la reunión de metas del BSC con todo el personal, el Presidente recordó la importancia de mejorar en el desempeño de cada uno y en la necesidad de Procesos capacitarse adecuadamente. A todos los jefes de área se les ha recordado la necesidad de mejorar mediante capacitación en los procesos. 2011 5 2010 4 El factor de riesgo de Procesos, presenta en el año 2011 un crecimiento del 25% respecto al año 2010. La áreas 2009 19 de Operaciones, Riesgos, Tecnología y Jurídica ya han implementado planes de acción para mitigar este riesgo. 2008 12 87 0 5 10 15 20 87 12P01-V2 PERFIL DE RIESGO A JUNIO 30 DE 2011 PERFIL DE RIESGO 2010 4.44 Aumento en el nivel de riesgo. Requiere de mayores acciones de control. PERFIL DE RIESGO 2011 4.40 Categoría 2010 2011 Riesgos Calificación Riesgos Calificación Muy alto 0 5.00 0 5.00 Alto 1 2.75 9 2.58 Medio 88 4.00 87 4.05 Bajo 174 4.68 176 4.67 Total 263 4.44 272 4.40 88 88 12P01-V2 PARTICIPACIÓN EN EL TOTAL DE RIESGOS 114 110 120 100 Áreas que aumentaron su participación en el número 80 de riesgos: Operaciones (4), riesgos (1), comercial (1), 62 61 60 financiera y administrativo (1) y auditoría (2). 40 2010 Operaciones representa el 42% de los riesgos de 26 26 24 23 13 12 12 12 12 12 20 2011 Deceval. Lo que quiere decir que todas las demás áreas 9 7 0 debemos contribuir a su administración. Operaciones Riesgos Tecnología Comercial G. Humana Jurídico Auditoría Fin. y Admin CALIFICACIÓN INDIVIDUAL Áreas que mejoraron: 4,70 •Financiera y Administrativa 4,60 •Gestión Humana 4,50 4,40 4,30 Áreas que desmejoraron: 4,20 2010 •Tecnología 4,10 4,00 2011 •Operaciones 3,90 •Riesgos 3,80 •Comercial Auditoría Operaciones Jurídico Comercial Tecnología Riesgos G. Humana Fin. y Admin Áreas que se mantuvieron: 89 •Jurídico PERFIL Sin DE Mejoró Empeoró cambio •Auditoría 89 12P01-V2 RIESGO: Monitoreo y revisión: Evaluación de madurez 1 2 3 4 5 La Junta Directiva y Comités de Riesgo la Gerencia Se reconoce patrocinan la a Nivel de la Junta Ni Junta Directiva necesidad de Directiva y Alta administración de administrar el riesgo ni gerencia riesgo, pero no La Junta Directiva y Gerencia enfatizan en toda la empresa tienen mecanismos y se comienza un alta gerencia Administración y administración del para ejecutarlas con proceso de respaldan con la evaluación del riesgo éxito. definición de una riesgo en toda la sensibilización. No existen Falta de enfoque y política de riesgos organización lenguaje común para Existe una metodologías administrar los identificación de Existe un Comité Lenguaje y enfoque homologadas riesgo riesgos en todos los de Riesgo. comunes para la procesos, pero no Los riesgos son La responsabilidad Evaluación administración de es sistémica y manejados por cada frecuente. en la adecuada del riesgos área de manera administración de riesgo en todos los intuitiva y Base de datos con riesgos depende de procesos del No existen desintegrada. datos históricos, cada proceso negocio mecanismos de La administración de pero sin integración reportes formales para la toma de Tratamiento y riesgos es responsabilidad del decisiones Optimización del área de auditoría riesgo 90 12P01-V2