Este documento presenta un resumen de un postgrado en auditoría e investigación por computadora. Explica brevemente los antecedentes de la norma ISO 31000 para la gestión de riesgos y los principios básicos para su implementación. También describe los resultados positivos que una organización puede obtener al diseñar e implementar un modelo de gestión de riesgos basado en esta norma.
1. Post-Grado en Auditoria Investigación por Computadora
Por: Erick Marenco
JuanCarlos Carrera
Uro Cacho
2. Post-Grado en Auditoria Investigación por Computadora
Introducción “Las organizaciones, no importa cual sea su
actividad y tamaño, afrontan una serie de riesgos
que pueden afectar a la consecución de sus
objetivos.”
Todas las actividades de una organización están
sometidas de forma permanente a una serie de
amenazas, lo cual las hace altamente vulnerables,
comprometiendo su estabilidad. Accidentes
operacionales, enfermedades, incendios u otras
catástrofes naturales, son una muestra de este
panorama, sin olvidar las amenazas propias de su
negocio.
3. Post-Grado en Auditoria Investigación por Computadora
Introducción La gestión integral de riesgos ha ganado impulso en
los últimos años, especialmente a partir de la década
de los noventa, lo que ha conllevado la aparición de
“Modelos de Gestión de Riesgos”, algunos de ellos
de carácter más específico, como por ejemplo: COSO,
ISO 14000, ISO 22000, OHSAS, etc. y otros de
carácter más global como la norma AS/NZS 4630 o la
norma ISO 31000.
4. Post-Grado en Auditoria Investigación por Computadora
Introducción
Antecedentes
En noviembre del 2009, la Organización Internacional
de Normalización (ISO) publicó
la norma ISO 31000:2009, Gestión de Riesgos - Principios y
una norma de gestión de nuevo destinado a ayudar
a las organizaciones de todos los tipos y tamaños de
gestionar el riesgo en la empresa. Certainly, its arrival
is timely. Sin duda, su llegada es oportuna, Al mismo
tiempo, la ISO publica la Guía ISO 73:2009, el
vocabulario de gestión de riesgos, que complementa
la norma ISO 31000, proporcionando una colección
de términos y definiciones relativas a la gestión del
riesgo.
5. Post-Grado en Auditoria Investigación por Computadora
Antecedentes
La norma ISO 31000 ayuda a responder la
interrogante fundamental en la gestión del riesgo:
cómo llegar a todo el mundo para hablar sobre el
riesgo de la misma manera.
Introducción
6.
7. Post-Grado en Auditoria Investigación por Computadora
Antecedentes
Introducción
Principios
Principios básicos para la Gestión del Riesgo
Para una mayor eficacia, la gestión del riesgo en una
organización debe tener en cuenta los siguientes
principios:
1. Crea valor
2. Está integrada en los procesos de una
organización
3. Forma parte de la toma de decisiones
4. Trata explícitamente la incertidumbre
5. Es sistemática, estructurada y adecuada
6. Está basada en la mejor información
disponible
7. Está hecha a medida
8. Tiene en cuenta factores humanos y
culturales
9. Es transparente e inclusiva
10. Es dinámica, iterativa y sensible al cambio
11. Facilita la mejora continua de la
organización.
8. Post-Grado en Auditoria Investigación por Computadora
Principios
Antecedentes
Estructura
Introducción Necesidades de la Gestión de Riesgo
La variedad, complejidad y naturaleza de los riesgos
puede ser de muy diversa índole por lo que éste
nuevo Estándar Internacional desarrollado por la IOS
(International Organization for Standardization)
propone unas pautas genéricas sobre cómo gestionar
los riesgos de forma sistemática y transparente.
El diseño y la implantación de la gestión de riesgos
dependerán de las diversas necesidades de cada
organización, de sus objetivos concretos, contexto,
estructura, operaciones, procesos operativos,
proyectos, servicios, etc.
9. Post-Grado en Auditoria Investigación por Computadora
Necesidades de la Gestión de Riesgo
Antecedentes
Estructura
Introducción
Principios
10. Post-Grado en Auditoria Investigación por Computadora
Antecedentes
Estructura
Introducción El enfoque está estructurado en tres elementos
claves para una efectiva gestión de riesgos:
1. Los principios para la gestión de riesgos.
2. La estructura de soporte.
3. El proceso de gestión de riesgos.
La relación entre los principios de gestión, la
estructura de soporte, así como el proceso de
gestión del riesgo desarrollado en la norma se
resume en la figura:
Principios
13. Post-Grado en Auditoria Investigación por Computadora
Estructura
Principios
Resultados
Antecedentes
Introducción Resultados a Obtener:
El diseño e implantación de un modelo de gestión del
riesgo, permitirá a la organización:
1. Fomentar la gestión proactiva en lugar de la reactiva.
2. Ser consciente de la necesidad de identificar y tratar
el riesgo en todos los niveles de la organización.
3. Mejorar la identificación de oportunidades y
amenazas.
4. Cumplir con los requisitos legales i normativas
aplicables así como las normas internacionales.
5. Mejorar la información financiera.
6. Mejorar la gestión empresarial.
7. Mejorar la confianza de los grupos de interés
(stakeholders).
8. Establecer una base fiable para la toma de decisiones
y planificación.
14. Post-Grado en Auditoria Investigación por Computadora
Principios
Resultados
Antecedentes
Introducción Resultados a Obtener:
El diseño e implantación de un modelo de gestión del
riesgo, permitirá a la organización:
1. Mejorar los controles.
2. Repartir y utilizar de forma efectiva los recursos para
la gestión de riesgos.
3. Mejorar la eficacia y la eficiencia operacional.
4. Aumentar la seguridad y salud.
5. Mejorar la prevención así como la gestión de
incidentes.
6. Minimizar las pérdidas.
7. Mejorar el aprendizaje organizativo.
8. Mejorar la resistencia organizativa.
Estructura
15. Post-Grado en Auditoria Investigación por Computadora
Principios
Antecedentes
Introducción
ISO 31000: ¿Dónde se queda corto?
McClean Forrester advierte que la norma ISO 31000:
2.No determina la forma en que su organización las
medidas de riesgo: Los gestores de riesgos tendrán
que encontrar la manera de crear los datos de riesgo
fiables.
3.No garantiza que se identifican todas las zonas de
riesgo germano.
4.No ofrece taxonomías de riesgo, mapas de calor o
de otras plantillas para el desarrollo de la
documentación y los informes de riesgo.
Estructura
Resultados
Desventajas
16. Post-Grado en Auditoria Investigación por Computadora
Principios
Antecedentes
Introducción
Estructura
Desventajas
Resultados
17. Post-Grado en Auditoria Investigación por Computadora
Principios
Antecedentes
Introducción
Las preocupaciones sobre la normalización de la
gestión de riesgos
También es muy conciso – ISO 31000 con sólo 34
páginas! sorprende en comparación al COSO ERM
hace mención en sus 125 paginas, Muchos expertos
indican que Coso pierde la orientación y el enfoque
practico para la Gestión de Riesgo, Mientras que
inspira y hace pensar en algunas partes, carece de la
sencillez pragmática y agilidad que ofrece la norma
ISO 31000
Estructura
Desventajas
Resultados