“gestión de riesgos 360 grados” - euskalit.net g. san anto… · - riesgo de malware (virus,...

08/11/2016

1

“Gestión de riesgos 360 grados”

Bilbao, 8 de noviembre de 2016

Gonzalo SAN ANTONIO CLEDOU AENOR Auditor Jefe

Mª Cristina ALONSO GARCÍA AENOR Auditora Jefe Miembro de ISO/TC 207/SC 1/WG 5 ISO/TC 207/SC 1/WG 6

2

Gestión de riesgos 360 grados.

08/11/2016

2

3


4


Top 10 Global Business Risks 2016

1 Interrupción del negocio. 38%

2 Cuestiones de mercado (volatilidad,

competencia, …). 34%

3 Cyberincidentes (cybercrimen, fuga de

datos…) 28%

4 Catástrofes naturales. 24%

5 Cambios legislativos. 24%

6 Cambios en entorno macroeconómico. 22%

7 Pérdida de reputación. 18%

8 Fuego explosión. 16%

9 Riesgos políticos (guerra, terrorismo) 11%

10 Robos, fraude y corrupción. 11%

Fuente: Allianz Risk Barometer 2016

08/11/2016

3

5


6

Pensamiento basado en el riesgo.

Determinar factores de desviación.

Toma de acciones.

Revisión y actualización.


08/11/2016

4

7

Pensamiento basado en el riesgo.

Riesgo : Lotería

No se puede controlar.

No es responsabilidad de nadie.

Puede pasar a todos.

Riesgo : Gestión

Identificar y actuar.

Es responsabilidad de todos.

A unos más que a otros.


8

Gestión global de riesgos

Operacionales Reputacionales Financieros

ISO 45001 ISO 9001

ISO 14001 ISO 50001

ISO 22000 ISO 31000 UNE 166002

ISO 27001 EN 9100


ISO 22301

Clientes Mercado Medioambiente

Personas Activos información

Activos financieros

Legales y penales

08/11/2016

5

9


Uno de cada 5 empleados deja a su familia y amigos usar sus portátiles corporativos para acceder a Internet. Uno de cada diez confiesa que baja algún tipo de contenido que no debiera mientras está en el trabajo. Dos tercios admiten tener conocimientos muy limitados en materia de seguridad. Un 5% dice que tienen acceso a áreas de la red corporativa que no deberían tener.

Fuente: McAffee.

Riesgos TIC´s ISO 27001 Seguridad de la

información

ISO 27001 Seguridad de la

información

10


Riesgos TIC´s

• Riesgos en Seguridad SI ISO 27001 - ENS

- Perdida de integridad en la información.

- Suplantación de identidad. Mal uso de roles.

- Intrusión en los sistemas de información.

- Denegación de Servicio (DoS).

- Fuga de Información.

- Riesgo de malware (virus, troyanos, APTs, etc.)

• Riesgos en Continuidad de Negocio ISO 22301

- Desaparición de la empresa. Después de un desastre natural ó provocado ó negligencia.

- No existe resiliencia ante un desastre o incidentes graves

- No se identifican procesos críticos.

08/11/2016

6

11

ISO

140

01

ISO

900

1

ISO

450

01

ISO

270

01

ISO

310

00

ISO

223

01

ISO

500

00

EN 9

100


12

Proceso de gestión del riesgo

Establecer el contexto

Identificar

Analizar

Evaluar

Tratar

Seguimiento y revisión


ISO 31000:2010

http://www.google.es/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwiGwd3I2YTQAhWBShQKHcZKAZYQjRwIBw&url=http://revistadehistoria.es/formaciones-y-tacticas-del-imperio-romano/&bvm=bv.136811127,d.d24&psig=AFQjCNGlXzP7l0q6AG58bLbUf3OzIiD3pQ&ust=1477991440533617

08/11/2016

7

Identificar


Proceso Área Actividad

Categoría riesgo 1 Categoría riesgo 2

Categoría riesgo 3

Riesgo 1. 1.

Riesgo 1. 2.

Riesgo 2. 1.

Riesgo 2. 2.

Riesgo 3. 2.

Riesgo 3. 1.

Método: Espina de pescado

ISO 31010:2011

Identificar


Proyecto fuera de plazo

Personas Maquinas

Documentación requisitos

Formación inadecuada

Mala comunicación

Mantenimiento deficiente

Fallo en máquina

Requisitos incompletos

Requisitos no actualizados

Método: Espina de pescado

ISO 31010:2011

08/11/2016

8

Identificar


Proceso. Área. Actividad

Qué pasa si…? Efecto Acciones Seguimiento

La materia prima llega tarde.

Retraso en proceso.

Control de proveedor. Pedidos planificados con proveedor.

Seguimiento de entregas.

Método: Y si…?

Analizar

Probabilidad y sus factores.

Consecuencia y sus factores.

Información

Probabilidad Alta Media Baja

Pr. > 50% 50% > Pr. > 10% Pr. < 10%

Consecuencia Alta Media Baja

Pérdida económica > X

Pérdida económica < X

Insignificante


08/11/2016

9

probabilidad

co

ns

ec

ue

nc

ia

Criterios de riesgo

R4

R2 R6

R7

R1

R3

R5

Evaluar


En base a criterios de riesgo

Tratamiento

El tratamiento supone tomar una o varias opciones para modificar lo riesgos.

Evitar el riesgo.

Aceptar.

Eliminar la fuente de riesgo.

Modificar la probabilidad.

Modificar las consecuencias.

Compartir el riesgo.

Transferir.


08/11/2016

10

Seguimiento y revisión

1 Para asegurar que las acciones son

eficaces.

2 Para incorporar las acciones a los

procesos.

3 Para mejorar la formulación de los

riesgos y su tratamiento.


Tendencia…


• Sistema Gestión para la prevención de delitos en las organizaciones. Requisitos.

• ISO 19600: 2014 Sistema de gestión de compliance. Directrices

• ISO 37001 Gestión de sistemas anti soborno. • UNE-ISO 22320: 2013- Protección y seguridad ciudadana- Gestión de

emergencias- Requisitos para la respuesta ante incidentes.

• UNE-EN-ISO 22301:2015 Gestión de la Continuidad del Negocio. Requisitos.

• Estructura de alto nivel ISO – común para todos los Sistemas de

Gestión ISO - concepto riesgo y oportunidad.

08/11/2016

11


Ámbito Calidad



0. Introducción

1. Objeto y campo de aplicación

2. Referencias normativas

3. Términos y definiciones

4. Contexto de la organización

4.1 Comprensión de la organización y

de su contexto 4.2 Comprensión de las necesidades y expectativas de las partes interesadas

5. Liderazgo

6. Planificación

7. Apoyo

8. Operación

9. Evaluación del desempeño

10. Mejora

Contexto

Cuestiones externas

Cuestiones internas

Gestión de riesgos 360 grados. Ámbito calidad.

08/11/2016

12

Lograr los resultados previstos

0. Introducción





5. Liderazgo

6. Planificación

6.1. Acciones para abordar riesgos y oportunidades

7. Apoyo

8. Operación


10. Mejora

Aumentar los efectos deseables

Prevenir o reducir efectos no deseados

Lograr la mejora

Determinar riesgos y oportunidades…


0. Introducción





5. Liderazgo

6. Planificación

6.1. Acciones para abordar riesgos y oportunidades

7. Apoyo

8. Operación


10. Mejora

Planificar las acciones…

Abordar los riesgos y

oportunidades

La manera de integrar las

acciones en los procesos

La manera de evaluar la

eficacia de las acciones


08/11/2016

13



08/11/2016

14

Acciones

Organización

Sistema de gestión

Procesos

Proyectos


Acciones


08/11/2016

15

Acciones

Proceso de planificación de rutas.

Riesgo Efecto potencial Acciones Seguimiento

Averías en vehículos. No cumplir plazos. Plan mantenimiento preventivo.

Indicador de cumplimiento de rutas. Información de incidencias/NC, reclamaciones.

Camión de sustitución.

Climatología. No cumplir plazos. Ruta alternativa. Ruedas de invierno. Planificación de la ruta en función del clima.

Obras. No cumplir plazos. Planificación teniendo en cuenta las obras. Rutas alternativas.

Retraso en descargas. No cumplir plazos. Planificar horarios de descarga. Planificar medios de descarga.

Perdida del conductor. No cumplir plazos. GPS actualizado.



El pensamiento basado en el riesgo aplica a todo el sistema de calidad…

…pero no de igual manera a todos los procesos y actividades

08/11/2016

16



Ámbito Seguridad y Salud en el Trabajo Nueva Norma ISO 45001



08/11/2016

17

ISO/DIS 45001. ¿Situación y documentos?

OHSAS 18001:2007 ANSI/AIHA Z10-2012 CAN/CSA-Z1000-06

ANSI/ASSE A10.38–2013 Guía ILO 2001

ISO/DIS 45001

Trabajadores

Empresarios

Administración

Organismos

Institutos

Gestión de riesgos 360 grados. Ámbito SST.

Desarrollo de la norma ISO/DIS 45001

ISO/PC 283

Seguridad y Salud en el Trabajo

74 países

59 participantes

15 observadores

17 organizaciones

ILO

IOSH

ITUC

….

ISO/DIS 45001. ¿Quién desarrolla el borrador?

109 expertos

40 delegaciones

Norma con requisitos

Guía de interpretación


08/11/2016

18

ISO/DIS 45001. ¿La estructura de alto nivel?

0. Introducción


2. Normas para consulta



5. Liderazgo

6. Planificación

7. Apoyo

8. Operación


10. Mejora

HLS

Contexto y liderazgo

Riesgo y oportunidad

Información documentada

Acción preventiva


ISO/DIS 45001. ¿Términos comunes de la HLS? Gestión de riesgos 360 grados. Ámbito SST.

08/11/2016

19


Pensamiento basado en el riesgo

Compromiso de la alta dirección

Contexto en la estrategia empresarial

Evidencia del cumplimiento

Necesidades y recursos

Indicadores para la mejora

Participación de los trabajadores

ISO/DIS 45001. Aspectos controvertidos.

Terminología trabajador salud daño y deterioro incidente …

Representantes de los trabajadores

Participación y consulta

Cultura preventiva de la organización


08/11/2016

20

0 INTRODUCCIÓN

1 OBJETO Y CAMPO DE APLICACIÓN

2 REFERENCIAS NORMATIVAS

3 TÉRMINOS Y DEFINICIONES

4 CONTEXTO DE LA ORGANIZACIÓN 4.1 Comprensión de la organización y de su contexto 4.2 Compresión de las necesidades y expectativas de los trabajadores y otras

partes interesadas 4.3 Determinación del alcance del sistema de gestión de la SST 4.4 Sistema de gestión de la SST

5 LIDERAZGO Y PARTICIPACÓN DE LOS TRABAJADORES 5.1 Liderazgo y compromiso 5.2 Política de la SST 5.3 Roles, responsabilidades, rendición de cuentas y autoridades en la

organización 5.4 Participación y consulta

6 PLANIFICACIÓN 6.1 Acciones para abordar riesgos y oportunidades 6.2 Objetivos de la SST y planificación para lograrlos

7 APOYO 7.1 Recursos 7.2 Competencia 7.3 Toma de conciencia 7.4 Información y comunicación 7.5 Información documentada

8 OPERACIÓN 8.1 Planificación y control operacional 8.2 Gestión del cambio 8.3 Contratación externa 8.4 Compras 8.5 Contratistas 8.6 Preparación y respuesta ante emergencias

9 EVALUACIÓN DEL DESEMPEÑO 9.1 Seguimiento, medición, análisis y evaluación 9.2 Auditoría interna 9.3 Revisión por la dirección

10 MEJORA 10.1 Generalidades 10.2 Incidente, no conformidades y acciones correctivas 10.3 Mejora continua

ISO/DIS 45001. Requisitos.


0. Introducción





5. Liderazgo

6. Planificación

7. Apoyo

8. Operación


10. Mejora


08/11/2016

21


0. Introducción





5. Liderazgo

6. Planificación

7. Apoyo

8. Operación


10. Mejora


08/11/2016

22

3.3 trabajador

3.4 participación

3.5 consulta

3.6 lugar de trabajo

3.7 contratista

3.9 requisitos legales y otros requisitos (representantes de los trabajadores)

3.11 sistema de gestión de la seguridad y la salud en el trabajo

3.15 política de seguridad y salud en el trabajo

3.17 objetivo de seguridad y salud en el trabajo

3.18 daños y deterioro de la salud

3.19 peligro

3.21 riesgo para la seguridad y salud en el trabajo

3.22 oportunidad para la seguridad y salud en el trabajo

3.26 procedimiento

3.28 desempeño de la seguridad y salud en el trabajo

3.35 incidente


0. Introducción





5. Liderazgo

6. Planificación

7. Apoyo

8. Operación


10. Mejora


08/11/2016

23

La organización debe determinar: • Qué partes interesadas son

relevantes para el sistema de la SST

• Cuáles son sus necesidades y expectativas

• Cuáles de estas necesidades y expectativas se convierten en otros requisitos

Parte interesada: persona u organización que puede afectar, verse afectada, o percibirse como afectada por una decisión o actividad

trabajadores

Alcance SG SST


0. Introducción





5. Liderazgo

6. Planificación

7. Apoyo

8. Operación


10. Mejora


08/11/2016

24

Política y objetivos compatibles con dirección estratégica y contexto. Asumir la responsabilidad y la rendición de cuentas del SG SST.

Asegurar la disponiblidad de recursos en todos los niveles. Integrar los procesos y requisitos del SG SST.

Promoviendo la mejora continua.

Asegurando los resultados esperados del SG SST

Apoyo y respaldo al liderazgo de otras funciones implicadas en el SG SST. Comunicar la importancia de un SG SST eficaz. Liderazgo

Promover la participación activa y utilizar la consulta.

Cultura positiva en la organización que apoye al SG de la SST.

Participación y consulta

Personas y comunicación

Recursos y proceso Mejora continua

Estrategia y negocio


Consulta y participación

Roles y rendición de las cuentas

Política

Consulta

Búsqueda de las opiniones de los

trabajadores antes de tomar una decisión

Participación

Implicación de los trabajadores en los procesos de toma

de decisiones


08/11/2016

25

0. Introducción





5. Liderazgo

6. Planificación

7. Apoyo

8. Operación


10. Mejora


Identificación de peligros

Evaluación de riesgos y oportunidades

Planificación de acciones

Determinación de los Requisitos legales


Evaluación de eficacia

08/11/2016

26

Evaluación de riesgos y oportunidades

Partes interesadas

Requisitos legales

C

o

n

t

e

x

t

o

Objetivos

SST

A

c

t

i

v

i

d

a

d

P

r

e

v

e

n

t

i

v

a

Política


0. Introducción





5. Liderazgo

6. Planificación

7. Apoyo

8. Operación


10. Mejora


08/11/2016

27

Informar y comunicar

QUÉ

A QUIÉN

CUÁNDO CÓMO

DÓNDE

Interna Externa

Ascendente, descendente y horizontal


DOCUMENTO

REGISTRO

INFORMACIÓN DOCUMENTADA


08/11/2016

28

0. Introducción





5. Liderazgo

6. Planificación

7. Apoyo

8. Operación


10. Mejora


Compras

Contratación externa

Contratistas

Jerarquía de los controles

Gestión del cambio

Preparación y respuesta ante emergencias


08/11/2016

29

0. Introducción





5. Liderazgo

6. Planificación

7. Apoyo

8. Operación


10. Mejora


Revisión por la

dirección


08/11/2016

30

0. Introducción





5. Liderazgo

6. Planificación

7. Apoyo

8. Operación


10. Mejora


Mejora continua

Adecuación, idoneidad y eficacia

Acciones correctoras

No Conformidades

Incidentes


08/11/2016

31

OHSAS 18001:2007

OHSAS GROUP

ISO/CASCO EA

IAF

Plan de migración



Conclusiones: • La preocupación por la gestión de los

riesgos crece en las organizaciones.

• La gestión de los riesgos debe estar ligada a la gestión de la organización y sus procesos.

• Las Normas Técnicas, mediante la introducción del pensamiento basado en el riesgo, permiten gestionarlos en sus diferentes ámbitos de aplicación.

08/11/2016

32


“La incertidumbre es una

margarita cuyos pétalos jamás dejamos de deshojar.”

Mario Vargas Llosa

64

“gestión de riesgos 360 grados” - euskalit.net g. san anto… · - riesgo de malware (virus,...

Documents