Download - Analisis de Riesgos Basc 2008 III
ALIANZA EMPRESARIAL PARA UN COMERCIO ALIANZA EMPRESARIAL PARA UN COMERCIO SEGURO SEGURO
18/03/2008 2
GESTIGESTIÓÓN DEL RIESGON DEL RIESGO
ANÁLISIS Y EVALUACIÓN
JORGE H. BELTRAN V.AUDITOR BASC
CONSULTOR CAMARA DE COMERCIO DE BOGOTÁ
18/03/2008 3
OBJETIVO PRINCIPAL
Crear en los participantes las competencias necesarias para diseñar una metodología para la GESTIÓN de riesgos, con énfasis en los de tipo social, optimizando la gestión de protección a partir de la misma.
18/03/2008 4
OBJETIVOS ESPECÍFICOS
1. OBTENER UNA HERRAMIENTA PARA EL ANÁLISIS DE RIESGOS.
2. EVALUAR LOS RIESGOS IDENTIFICADOS EN LA EMPRESA.
4.2.2
La Organización debe establecer y mantener unprocedimiento documentado para establecer eimplementar un proceso de gestión del riesgo que permitala determinación, identificación, análisis, evaluación,tratamiento, monitoreo y comunicación de los riesgos.
2,2
Debe existir una evaluación de riesgos de las instalaciones,personas y operaciones de la compañía, que contengan losconceptos de amenazas, vulnerabilidad, probabilidad yseveridad . Se utilizara la guía BASC para esta evaluación. Laevaluación debe actualizarse anualmente como mínimo.
3,2Debe identificarse las posiciones criticas que afecten a laseguridad
4,2Debe disponerse de un plano con la ubicación de las áreassensibles de la instalación
Gestión del Riesgo
2.2. (Sistema de Gestión) versión 2- 2005.
Debe existir una evaluación de riesgos de:– Las personas.– Las instalaciones.– Y Las operaciones de la compañía.
Que contengan los conceptos de:– Amenazas.– Vulnerabilidad.– Probabilidad.– Severidad.
Se utilizará la guía BASC para esta evaluación.
La evaluación debe actualizarse anualmente como mínimo.
ESTESTÁÁNDARES BASC NDARES BASC
18/03/2008 7
INTRODUCCION AL RIESGO SOCIAL
18/03/2008 8
ACLARACION DE CONCEPTOS
• Amenaza:
• Vulnerabilidad:
• Riesgo:
PeligroPeligro presente, proveniente de presente, proveniente de alguna fuente especalguna fuente especíífica.fica.
Probabilidad de Ocurrencia de un SiniestroProbabilidad de Ocurrencia de un Siniestro
Grado de exposición frente a la amenaza. Medida del impacto que pueda generar la materialización de un riesgo.
Forma como se relacionan la amenaza y la vulnerabilidad, o la frecuencia y las consecuencias de materialización del riesgo. Es un evento no deseado que puede ocurrir.
18/03/2008 9
Siniestro
Evento No Deseado con capacidad de generar efectos negativos sobre el
sistema que lo sufre.
CONCEPTOS A ACLARAR
18/03/2008 10
Tipos de Siniestros
Tipos de Siniestros• Accidentales:
Origen Fortuito• Voluntarios:
Origen Intencional
18/03/2008 11
Proceso del Siniestro
FactorHumano
FactorMaterial
Siniestro
VictimasDaños MaterialesDaño Ambiental
Suspensión actividadesPerdida de Información
Daño ImagenPérdida Mercado
Causas Evento Consecuencias
Perdidas
18/03/2008 12
Proceso del Siniestro
Causas Evento Consecuencias
Estrategia de Gestión de Riesgos
• ADMINISTRATIVASAsumirFinanciar• OPERATIVASPrevenirProteger
18/03/2008 14
Estrategias para la Gestión del Riesgo
FactorHumano
FactorMaterial
Siniestro
VictimasDaños MaterialesDaño Ambiental
Suspensión actividadesPerdida de Información
Daño ImagenPérdida Mercado
Causas Evento Consecuencias
Perdidas
PREVENIR PROTEGER FINANCIAR ASUMIR
18/03/2008 15
EL CONCEPTO DE RIESGO
Riesgo : proximidad de un daño, desgracia o contratiempo que puede afectar la vida de los hombres (Real Academia Española, 1992, p.1.562).
18/03/2008 16
DEFINICION DE RIESGO
Riesgo : “Probabilidad de ocurrencia de un peligro o la materialización de una amenaza”.
Riesgo : NTC 5254, “Posibilidad de que sucede algo que tendráimpacto en los objetivos, se mide en términos de consecuencias y posibilidad de ocurrencia”.
• El concepto incluye la probabilidad de ocurrencia de un acontecimiento natural o antrópico y la valoración por parte del hombre en cuanto a sus efectos nocivos (vulnerabilidad).
RIESGO
“Es la posibilidad de que algo pueda
presentarse, con consecuencias negativas o
positivas.”
“Amenaza evaluada en cuanto a su
probabilidad de ocurrencia y a la gravedad
de sus consecuencias.”
18/03/2008 18
Que es Peligro y Que es Riesgo?Que es Peligro y Que es Riesgo?
• Definiciones
PELIGRO (NTC 5254)
Fuente de daño potencial o situación con potencial para causar perdida.
RIESGO (NTC 5254)
La posibilidad de que suceda algo que tendrá un impacto sobre los objetivos. Se le mide en términos de consecuencias y probabilidades.
18/03/2008
DIFERENCIA ENTRE RIESGO Y SINIESTRO
PASADO FUTURO
SINIESTRO (ya ocurrió)
RIESGO(no ha ocurrido)
18/03/2008 20
RIESGO
Frecuencia X Consecuencias
Amenaza X Vulnerabilidad
18/03/2008
Enfoque tradicional
Segundad basada en los SINIESTROS presentados
AMENAZA RIESGO SINIESTRO
NUEVO ENFOQUE
18/03/2008 22
Variables del Riesgo
Probabilidad (Amenaza)Consecuencias (Vulnerabilidad)
RIESGO = Amenaza X Vulnerabilidad
18/03/2008
MATRIZ
FRECUENCIA/AMENAZA
8 Constante
7 Habitual
6 Frecuente
5 Moderado
4 Ocasional
3 Esporádico
2 Remoto
1 Improbable
Insignificante Marginal Grave Crítico Desastroso Catastr ófico
1 2 5 10 20 50CONSECUENCIAS/
VULNERABILIDAD
Evaluación del Riesgo
C1
A5
D1
18/03/2008 25
5 Frecuente 5 10 25 50 100
4 Moderado 4 8 20 40 80
3 Ocasional 3 6 15 30 60
2 Remoto 2 4 10 20 40
1 Improbable 1 2 5 10 20
Insignificante Marginal Grave Crítico Desastroso
1 2 5 10 20
Consecuencia / Vulnerabilidad
Pos
ibili
dad
/ Am
enaz
a
Inaceptable
Inadmisible
Aceptable
Tolerable
PERDIDAS ECONOMICAS
A-1
A-2A-3 A-4
A-5B-1
B-2B-3
B-4
B-5
C-1
C-2
C-3C-4
C-5
D-1
D-2
D-3
D-4
D-5
MATRIZ de Riesgos
LA SEGURIDAD
No es una función;
Es una herramienta
18/03/2008 27
QUÉ ES LA GESTIÓN DEL RIESGO
• TÉRMINO APLICADO A UN MÉTODO LÓGICO Y SISTEMÁTICO PARA EL ESTABLECIMIENTO DEL CONTEXTO, IDENTIFICACIÓN, ANÁLISIS, EVALUACIÓN, TRATAMIENTO, MONITOREO Y COMUNICACIÓN DE LOS RIESGOS ASOCIADOS CON CUALQUIER ACTIVIDAD, FUNCIÓN O PROCESO DE FORMA QUE POSIBILITE QUE LAS ORGANIZACIONES MINIMICEN PÉRDIDAS Y MAXIMICEN OPORTUNIDADES.
18/03/2008 28
QUÉ ES LA GESTIÓN DEL RIESGO
• ES UN PROCESO ITERATIVO QUE CONSTA DE PASOS BIEN DEFINIDOS QUE, TOMADOS EN SECUENCIA, APOYAN UNA MEJOR TOMA DE DECISIONES MEDIANTE SU CONTRIBUCIÓN A UN MAYOR CONOCIMIENTO DE LOS RIESGOS Y SUS IMPACTOS.
• ESTE PROCESO PUEDE APLICARSE A CUALQUIER SITUACIÓN DONDE UN RESULTADO INDESEADO O INESPERADO PODRÍA SER IMPORTANTE O DONDE SE IDENTIFIQUEN OPORTUNIDADES.
• A FIN DE SER LO MÁS EFECTIVA POSIBLE, LA GESTIÓN DE L RIESGO DEBE VOLVERSE PARTE DE LA CULTURA DE UNA ORGANIZACIÓN
MAPA DE PROCESOS
GESTION DE RIESGOS
NORMA TECNICA COLOMBIANA NTC 5254
ASOCIACION FRENTE DE SEGURIDAD EMPRESARIAL DE SANTANDER
EULER MUÑOZ SEPULVEDA
Julio 26 de 2007
18/03/2008 31
CONTENIDO DE LA NTC 5254
• INTRODUCION• 1. OBJETO, APLICACIÓN Y DEFINICIONES• 1.1 OBJETO• 1.2 APLICACIÓN• 1.3 DEFINICIONES• 2. REQUISITOS DE LA GESTIÓN DEL RIESGO• 2.1 PROPÓSITO• 2.2 POLÍTICA DE GESTIÓN DEL RIESGO• 2.3 PLANEACIÓN Y SUMINISTRO DE RECURSOS• 2.4 PROGRAMA DE IMPLEMENTACIÓN• 2.5 REVISIÓN POR LA DIRECCIÓN• 3. PANORAMA DE LA GESTIÓN DEL RIESGO• 3.1 GENERALIDADES• 3.2 ELEMENTOS PRINCIPALES
• 4. PROCESO DE GESTIÓN DEL RIESGO• 4.1 DETERMINACIÓN DEL CONTEXTO• 4.2 IDENTIFICACIÓN DEL RIESGO
18/03/2008 32
CONTENIDO DE LA NTC 5254
• 4.3 ANÁLISIS DEL RIESGO• 4.4 EVALUACIÓN DEL RIESGO• 4.5 TRATAMIENTO DEL RIESGO• 4.6 MONITOREO Y REVISIÓN• 4.7 COMUNICACIÓN Y CONSULTA• 5. DOCUMENTACIÓN• 5.1 GENERALIDADES• 5.2 RAZONES PARA LA DOCUMENTACIÓN
• ANEXO A. APLICACIONES DE LA GESTIÓN DEL RIESGO• ANEXO B. PASOS EN EL DESARROLLO E IMPLEMENTACIÓN DE UN PROGRAMA DE
GESTIÓN DEL RIESGO• ANEXO C. PARTES INTERESADAS• ANEXO D. FUENTES GENÉRICAS DE RIESGO Y SUS ÁREAS DE IMPACTO• ANEXO E. EJEMPLOS DE DEFINICIÓN DE RIESGO Y CLASIFIC ACIÓN• ANEXO F. EJEMPLOS DE EXPRESIONES CUANTITATIVAS DE RI ESGO• ANEXO G. IDENTIFICACIÓN DE OPCIONES PARA EL TRATAMIE NTO DEL RIESGO• ANEXO H. DOCUMENTACIÓN DE GESTIÓN DEL RIESGO
NORMA TÉCNICA COLOMBIANA NTC 5254
REQUISITOS DE LA GESTIÓN DE RIESGOS:
– Propósito: Describir un proceso formal para el
establecimiento de un programa sistemático de gestión
del riesgo
– Política: La alta dirección de la organización debe definir
y documentar su política para gestión del riesgo y su
compromiso con ella.
– Planeación y suministros de recursos: Debe haber
compromiso de la dirección, definirse la responsabilidad
y autoridad e identificar y brindar los recursos
pertinentes
NORMA TÉCNICA COLOMBIANA NTC 5254
REQUISITOS DE LA GESTIÓN DE RIESGOS (cont):
– Programa de Implementación: Debe tenerse en cuenta la
filosofía, cultura y estructuras generales de la organización
en cuanto a gestión del riego se refiere.
– Revisión por la Dirección: La alta dirección debe
garantizar que se realice una revisión del sistema de
gestión del riesgo a intervalos especificados
OBJETIVOS
• Adquirir una visión global de los riesgos a que está expuesta la organización, dominarlos en el plano material y en el plano financiero, con miras a garantizar la permanencia y a mejorar la posición competitiva de ésta.
• Mantener la estabilidad operativa y financiera de la empresa en el corto plazo.
• Minimizar las pérdidas ocasionadas por la ocurrencia de un riesgo.
NORMA TÉCNICA COLOMBIANA NTC 5254
• APLICACIÓN:
La gestión del riesgo se reconoce como una parte
integral de las buenas prácticas de gestión del riesgo.
Esta norma puede aplicarse en todas las etapas de la
vida de una actividad, función, proyecto, producto o
bien.
Es un proceso iterativo compuesto por una serie de
pasos que si se ejecutan en secuencia, permiten la
mejora continua en la toma de decisiones.
NORMA TÉCNICA COLOMBIANA NTC 5254
PROCESO DE GESTIÓN DE RIESGOS
CO
MU
NIC
AR
Y C
ON
SU
LTA
R
MO
NIT
OR
EO
Y R
EV
ISIO
NEstablecer el contexto
Analizar riesgos
Evaluar riesgos
Tratar riesos
Identificar riesgos
18/03/2008 38
ESTABLECER EL CONTEXTO
- El contexto estrategico- El contexto organizacional- El contexto de gestión de riesgos- Criterio desarrollado- Definir la estructura
IDENTIFICAR RIESGOS
- Qué puede suceder?- Cómo puede suceder?
ANALIZAR LOS RIESGOS
Determinar los controles existentes
Determinarla probabilidad consecuencias
Determinar las
Calcular nivel de riesgo
- Establecer prioridades de riesgo- Comparar contra criterios
EVALUAR LOS RIESGOS
Aceptarriesgos
TRATAR LOS RIESGOS
- Implementar planes
- Identificar opciones de tratamiento- Evaluar las opciones de tratamiento- Seleccionar las opciones de tratamiento- Preparar planes de tratamiento
Com
unic
ar y
con
sulta
r
Mon
itore
ar y
rev
isar
Evaluar los riesgos No
Si
4. PROCESO DE LA GESTIÓN DEL RIESGO
A
V
P
H
NORMA TÉCNICA COLOMBIANA NTC 5254
PROCESO DE GESTIÓN DE RIESGOS (cont):
1. Establecer contexto:
- Estratégico.
- Organizacional
- Contexto de la Gestión del Riesgo
- Definición Criterios Evaluación del riesgo
- Definición Estructural
NORMA TÉCNICA COLOMBIANA NTC 5254
PROCESO DE GESTION DE RIESGOS (cont):
2 Identificación del Riesgo (Fuentes de
Riesgo vs. Áreas de Impacto):
- Que puede suceder?.
- Por qué sucede?
- Como sucede?
- Herramientas y técnicas
NORMA TÉCNICA COLOMBIANA NTC 5254
PROCESO DE GESTION DE RIESGOS (cont):
3. Análisis del Riesgo:
- Determinación de los controles existentes
- Consecuencias y posibilidades. (Registros
pasados, Literatura publicada, experiencia,
modelos, juicios, etc.)
- Tipos de análisis (Cualitativo,
Semicuantitativo, Cuantitativo y de
Sensibilidad).
NORMA TÉCNICA COLOMBIANA NTC 5254
PROCESO DE GESTION DE RIESGOS (cont):
4 Evaluación del Riesgo :
- Comparación del nivel de riesgo encontrado durante el
proceso de análisis contra los criterios de riesgo
previamente establecidos.
- El resultado debe ser una lista priorizada de Riesgos.
- Se debe considerar los objetivos de la organización y el
grado de oportunidad que resultar de asumir el riesgo.
NORMA TÉCNICA COLOMBIANA NTC 5254
PROCESO DE GESTION DE RIESGOS (cont):
5 Tratamiento del Riesgo
- Identificación de opciones de tratamiento: No afrontar el
riesgo, Reducir la posibilidad de la ocurrencia, Reducir las
consecuencias, Transferir el riesgo, Retener el riesgo.
- Evaluación de opciones de tratamiento de riesgo: Evaluar
sobre la base de reducción del riesgo, el alcance de
beneficios u oportunidades creadas, costo beneficio.
NORMA TÉCNICA COLOMBIANA NTC 5254
PROCESO DE GESTION DE RIESGOS (cont):
6. Preparación e implementación de planes de
Tratamiento:
- Se debe documentar la implementación de los
tratamientos identificando responsabilidades,
cronogramas alcance y recursos , entre otros.
- SI después del tratamiento existe un riesgo residual, debe
tomarse una decisión en cuanto a retenerlo o repetir su
proceso.
NORMA TÉCNICA COLOMBIANA NTC 5254
PROCESO DE GESTION DE RIESGOS (cont):
7. Monitoreo y Revisión
Deben monitorearse los riesgos, la eficacia del plan de
tratamiento del riesgo, las estrategias y el sistema de gestión
que se establecen para controlar la implementación.
Resulta esencial la revisión permanente para asegurarse que
el plan de gestión continua siendo pertinente
NORMA TÉCNICA COLOMBIANA NTC 5254
PROCESO DE GESTION DE RIESGOS (cont):
8. Comunicación y Consulta
Son muy importantes en cada paso del proceso de gestión
del riesgo. Es primordial desarrollar un plan de comunicación
tanto para las partes interesadas internas como para las
externas.
La comunicación y consulta incluyen un dialogo bilateral
entre las partes interesadas, y los esfuerzos se deben
centrar en la consulta, mas que en un flujo unilateral de
información proveniente de quien toma las decisiones hacia
las otras partes interesadas
NORMA TÉCNICA COLOMBIANA NTC 5254
PROCESO DE GESTIÓN DE RIESGOS
CO
MU
NIC
AR
Y C
ON
SU
LT
AR
MO
NIT
OR
EO
Y R
EV
ISIO
NEstablecer el contexto
Analizar riesgos
Evaluar riesgos
Tratar riesos
Identificar riesgos
CLASIFICACIÓNDE LOSRIESGOS
18/03/2008 48
18/03/2008 49
Fuente: ANDI RIFuente: ANDI RIDe Anthropos - en griego -, hombre.
CLASIFICACIÓN DE LOS RIESGOS
EXÓGENOS(Del ambiente a la operación)
ENDÓGENOS(De la operación al ambiente)
Naturales Antrópicos Operacionales o Tecnológicos
MeteorológicosClimatológicos
Geológicos Geomorfológicos
VientosInundacionesTorrencialesRayosIncendios Forestales
Sismos DeslizamientosHundimientosDerrumbesVolcanesMaremotos
Accidentes sobreel ambienteDerramesAccidentes detrabajoIncendios
Eventos no atendidosActividades anómalas Falta mantenimientoContaminación de los recursos por eventos tecnológicos
Sociales
TerrorismoRoboAtracoSecuestroNarcotráficoPiratería
““ SegSegúún su relacin su relaci óónncon la operacicon la operaci óónn””
Gestión Integralde Riesgos
Riesgos Financieros
Riesgos del mercado financiero
Valor de los activos
Volatilidad en los riesgos de tasas de cambio y tasas de interés
Riesgo de crédito de las contrapartesLiquidez, flujo de caja.
Riesgos Estratégicos
Demanda del mercado
Cambios en la industria/clientes
Investigación y desarrollo
Alianzas
Capital intelectual
Canales y redes de distribución
Nuevos negocios
Riesgos Puros
Responsabilidad civil
Accidentes de trabajo
Daños a bienes
Desastres naturales
Continuidad del negocio
Lucro cesante
Riesgos Operacionales
Riesgos informáticos
Riesgos regulatorios
Cadena de abastecimiento
Riesgos ambientales
GESTIÓN INTEGRAL DE RIESGOS
Clasificación
Por sus Consecuencias
• Riesgos Puros• Riesgos Especulativos
RIESGOS GENERADOS EN LA EMPRESA
OTROS TIPOS DE RIESGO
• ESTRATEGICO• OPERATIVO• FINANCIERO
MERCADO – LIQUIDEZ – PRECIO Y CREDITO
• LEGAL• TECNOLOGICO• LABORAL
Clasificación
Por su Origen
• Riesgos Naturales• Riesgos Tecnológicos• Riesgos Sociales
Clasificación
Por su Aceptabilidad
• Riesgos aceptables• Riesgos Tolerables• Riesgos Inaceptables• Riesgos Inadmisibles
18/03/2008
MATRIZ PORCENTAJE
FRECUENCIA/AMENAZA
8 Constante 2.% 4.% 10.% 20.% 40.% 100.%7 Habitual 1.75% 3.5.% 8.75% 17.5% 35.% 87.5%
6 Frecuente 1.5% 3.% 7.5% 15.% 30.% 75.%
5 Moderado 1.25% 2.5% 6.25% 12.5% 25.% 62.5%
4 Ocasional 1.% 2.% 5.% 10.% 20.% 50.%
3 Esporádico O.75% 1.5% 3.75% 7.5% 15.% 37.5%
2 Remoto 0.50% 1.% 2.5% 5.% 10.% 25.%
1 Improbable 0.25% 0.5% 1.25% 2.5% 5.% 10.%
Insignificante Marginal Grave Crítico Desastroso Catastr ófico
1 2 5 10 20 50
CONSECUENCIAS
18/03/2008 JORGE H. BELTRAN V.
ACEPTABLE 2%
TOLERABLE 2.1% AL 4%
INACEPTABLE 4.1% AL 15%
INADMISIBLE MAS 15%
MATRIZ DE ACEPTABILIDAD
PROPOSITO
Optimizar la Vulnerabilidad de un sistema hasta “nivel aceptable”dentro de parámetros de Costo-beneficio.
IDENTIFICACIÓNDE LOSRIESGOS
18/03/2008 59
¿Cómo y por qué se pueden suceder?
• Cliente fraudulento:– Falta de conocimiento del mercado.– Falta de análisis del cliente.– Falta de entrenamiento del personal en
riesgos.– Falta de acceso a bases de datos,
asociaciones con información sobre empresas,…
IDENTIFICACION DE RIESGOS
• Contexto Objetivo ContextoInterno Nombre del riesgo Externo
DescripciónAgente generadorCausasEfectos
Modelo Identificación de riesgos
proceso logísticoRiesgo Descripción Agente
generadorCausa Efecto
Hurto y/o robo
Posibilidad de que alguien se apodere ilegítimamente de materias primas, o productos terminados.
Personal de almacén
Falta de control de inventarios
Pérdida Económica
Errores en el proceso de selección de personal
Delincuencia común
Deficiencia en el sistema de seguridad diseñado
No aplica en las medidas de seguridad establecidas
18/03/2008 63
IdentificaciIdentificacióón de Riesgosn de Riesgos
No
RIESGO (Qué y cómo puede
suceder)DESCRIPCCION
AGENTE GENERADOR DE RIESGO
CAUSAS DEL RIESGOCONSECUENCIAS O
EFECTO DEL RIESGO
Incumplimiento de plazosMala selección deproveedoresIncumplimiento de verificaciónde datos, información yantecedentesFallos en la planeación depedidosFalta de controles deinventarioFallos en los controles decalidad del servicioFalta de controles deinventarios Ineficiente selección depersonalFalta de gestión en Control ySeguridadIncumplimiento procedimientos de seguridadDeficiencia en el sistemaprotección diseñadoFallas en los controles decalidadFalta de sensibilización ycapacitaciónErrores en la selección deproveedoresFallos en controles de entregay recibo de insumos oservicios
Posibilidad de que alguíen seapodere indebidamente deinsumos, materiales, oinformación confidencial
Empleados
Empresa ABC: Proceso de Logístico
1 DemoraPosibilidad de retrasos en elabastecimiento o entrega deservicios al cliente
Proveedores
Pérdida de clientesDeterioro de la imagen
Almacén
Perdidas económicasDeterioro de la imagen
Delincuencia común
3 Mala calidadPosibilidad de entregar insumoso servicios, sin el cumplimientode los estándares de calidad.
Empleados
Pérdida de clientesPerdidas económicasDeterioro de la imagen
Proveedores
2 Hurto o Robo
18/03/2008 64
IdentificaciIdentificacióón de Riesgosn de Riesgos
No
RIESGO (Qué y cómo puede
suceder)DESCRIPCCION
AGENTE GENERADOR DE RIESGO
CAUSAS DEL RIESGOCONSECUENCIAS O
EFECTO DEL RIESGO
Mayores recursos financierosMejor conocimiento delmercadoInfraestructuraTecnológiaAusencia de estudios demercadosPerfiles iandecuadosResistencia al cambio o bajatolerancia al riesgoFalta de experienciaFalta de demandaFalta de capacitaciónFalta de supervisión y controlIneficiente selección depersonalDeficiencia en el sistemaprotección diseñadoIncumplimiento procedimientos de seguridad
Falta de gestión en Control ySeguridad
3 Hurto o Robo
Posibilidad de que alguíen seapropie indebidamente dedineros pagados por los servicios contratados
Posibilidad que la Compentenciaaplique estrategias de mercadeomás económicas y de mejorcalidad a los clientes.
Salir del mercadoPérdida de clientesPerdidas económicasDeterioro de la imagen
2Error o desacierto
estrategico
Posibilidad de equivocarse en ladefinición de las estrategiascomerciales, prestación delservicio o ejecución de procesos
Alta Dirección Salir del mercadoPérdida de clientesPerdidas económicasDeterioro de la imagen
Empleados
Empleados
Perdidas económicasDeterioro de la imagen
Delincuencia común
Competencia
Empresa ABC : Proceso de Comercialización
1Competencia
agresiva
18/03/2008 65
IdentificaciIdentificacióón de Riesgosn de Riesgos
No
RIESGO (Qué y cómo puede
suceder)
DESCRIPCCIONAGENTE
GENERADOR DE RIESGO
CAUSAS DEL RIESGOCONSECUENCIAS O
EFECTO DEL RIESGO
Falta de capacitaciónFalta de estándarización delprocesoCarencia de competenciaslaboralesIneficiente selección depersonalDeficiencia en condiciones deprestación del servicioFallos en los controles decalidad del servicioPerfíl inadecuadoFalta de informaciónDesconocimiento del mercado
PolíticasInexperienciaControl y seguridadFallos en las medidas deprotecciónFalta de sensibilización ycapacitaciónFallos en matenimientopreventivoFallos en control de calidadControl y seguridad
Entorno Fallas naturales
Salir del mercadoPérdida de clientesPerdidas económicasDeterioro de la imagen
Empleados
Insumos o materiales
Posibilidad de que se presentensituaciones inesperadas, quegeneren ATEP o daños o perdidasa las instalaciones
Accidente3
Lesiones humanasPérdida de clientesPerdidas económicasDeterioro de la imagen
2Error o desacierto
estrategico
Posibilidad de equivocarse en ladefinición de las estrategiascomerciales, prestación delservicio o ejecución de procesos
Alta Dirección
Empleados
Consultor Externo
Empleados
Posibilidad de prestar un serviciodeficiente al cliente
Mala Calidad1
Empresa ABC del Riesgo: Proceso de servicios
Salir del mercadoPérdida de clientesPerdidas económicasDeterioro de la imagen
18/03/2008 66
3. ANALISIS DEL RIESGO
•Definir nivel de aceptabilidad•Identificar controles existentes
•Definir consecuencias y posibilidad
NORMA TÉCNICA COLOMBIANA NTC 5254
PROCESO DE GESTIÓN DE RIESGOS
CO
MU
NIC
AR
Y C
ON
SU
LT
AR
MO
NIT
OR
EO
Y R
EV
ISIO
NEstablecer el contexto
Analizar riesgos
Evaluar riesgos
Tratar riesos
Identificar riesgos
18/03/2008 JORGE H. BELTRAN V.
LA EMPRESA NECESITA SER PROTEGIDA NO SOLO EN SUSACTIVOS, SUS EMPLEADOS Y SUS CLIENTES, SINO TAMBIÉN
EN SUS ACTIVIDADES Y PROYECCIONES.
TODA ACTIVIDAD NECESITA DE UN ESFUERZO, UNA CANTIDADDE TIEMPO, EL CONSUMO DE UNOS RECURSOS.
LAS ACTIVIDADES IMPLICAN ALGUNOS RIESGOS, INCLUYEN VULNERABILIDAD
Y CREAN INCERTIDUMBRE (CONTINGENCIA DE SITUACIONESNO PREVISTAS NI PREVISIBLES EN CIRCUNSTANCIAS NORMALES)
FACTORES DE VULNERABILIDAD
Factores que condicionan la “Gravedad del Impacto”
Al ser afectados por el siniestro
Variables Críticas
FACTORES DE VULNERABILIDAD
• Personas• Finanzas• Operación• Ambiente• Información• Imagen• Mercado
TIPOS DE VULNERABILIDAD
CONSECUENCIA TIPOVíctimas Humana
Pérdidas económicas Económica
Afectación Operación Operacional
Daño ambiental Ambiental
Pérdida de Información Estratégica
Daño a la imagen Institucional
Pérdida de mercado Comercial
18/03/2008
MATRIZ
FRECUENCIA/AMENAZA
CONSECUENCIAS /VULNERABILIDAD
18/03/2008 73
Escalas de Valor
POSIBILIDAD• Improbable?• Remoto?• Ocasional?• Moderada?• Alta?• Inminente?
Construir una escala de 5 criterios
FRECUENCIA
VALOR NIVEL
A IMPROBABLE
B REMOTO
C ESPORÁDICO
D OCASIONAL
E MODERADO
F FRECUENTE
G HABITUAL
H CONSTANTE
18/03/2008 74
CALIFICACIÓN FRECUENCIA
VALOR NIVEL
1 IMPROBABLE
2 REMOTO
3 ESPORÁDICO
4 OCASIONAL
5 MODERADO
6 FRECUENTE
7 HABITUAL
8 CONSTANTE
18/03/2008 75
MATRIZ - FRECUENCIA
VALOR NIVEL NIVEL NIVEL NIVEL
1 BAJO IMPROBABLE IMPROBABLE IMPROBABLE
2 MEDIO REMOTO REMOTO REMOTO
3 ALTO ESPORÁDICO OCASIONAL ESPORÁDICO
4 MODERADO MODERADO OCASIONAL
5 FRECUENTE FRECUENTE MODERADO
6 CONSTANTE FRECUENTE
7 HABITUAL
8 CONSTANTE
18/03/2008 76
MATRIZ - FRECUENCIAVALOR NIVEL DEFINICIÓN
1 IMPROBABLE DIFÍCIL QUE OCURRA
2 REMOTO MUY BAJA PROBABILIDAD DE OCURRENCIA
3 ESPORÁDICO LIMITADA PROBABILIDAD DE OCURRENCIA
4 MODERADO MEDIANA PROBABILIDAD DE OCURRENCIA
5 FRECUENTE MUY ALTA PROBABILIDAD DE OCURRENCIA
6
7
818/03/2008 77
18/03/2008 78
Tabla E.2. Medidas cualitativas de las posibilidades . FRECUENCIA
Nivel Descriptor Descripción
A Casi cierto Se espera que ocurra en la mayoría de las circunstancias.
B Probable Puede probablemente ocurrir en la mayoría de las circunstancias.
C Posible Es posible que ocurra en algunas veces.
D Improbable Podría ocurrir en algunas veces.
E Raro Puede ocurrir solamente en circunstancias excepcionales.
NOTA. Las tablas necesitan ajustarse para satisfacer las necesidades individuales de la organización.
MATRIZ - FRECUENCIA
VALOR NIVEL DEFINICIÓN
1 IMPROBABLE MENOS DE UN CASO EN 20 AÑOS
2 REMOTO 1 CASO ENTRE 10 Y 20 AÑOS
3 ESPORÁDICO 1 CASO ENTRE 1 Y 5 AÑOS
4 MODERADO ENTRE 1 Y 12 CASO AL AÑO
5 FRECUENTE MAS DE 12 CASOS AL AÑO
6
7
818/03/2008 79
MATRIZ - FRECUENCIA
VALOR NIVEL DEFINICIÓN
1 IMPROBABLE MAS DE 3 AÑOS
2 REMOTO ENTRE 1 Y 3 AÑOS
3 ESPORÁDICO ANUAL
4 MODERADO MENSUAL
5 FRECUENTE DIARIO
6
7
818/03/2008 80
TALLER ELABORACIÓN
DE TABLAS
18/03/2008 81
MATRIZ DE RIESGOS
VALOR NIVEL
5 FRECUENTE
4 MODERADO
3 ESPORÁDICO
2 REMOTO
1 IMPROBABLE
18/03/2008 82
CONSECUENCIAS/ VULNERABILIDAD
FRECUENCIA/ AMENAZA
CONSECUENCIAS
VALOR NIVELINSIGNIFICANTE
MARGINAL
GRAVE
CRITICO
DESASTROSO
CATASTRÓFICO
18/03/2008 83
CONSECUENCIAS
VALOR NIVEL
1 INSIGNIFICANTE
2 MARGINAL
3 GRAVE
4 CRITICO
5 DESASTROSO
6 CATASTRÓFICO
18/03/2008 84
18/03/2008 85
Escala Lineal
6 6
5
4
3
2
1 1 1 1 1 6
1 2 3 4 5 6
Po
sib
ilid
ad
Consecuencias
Golpearse el pie con un objeto al
caminar
11 de septiembre / 2001
Riesgos Equivalentes
18/03/2008
Escala Geométrica
6 6
5
4
3
2
1 1 7 10 15
1 3 5 7 10 15
Po
sib
ilid
ad
Consecuencias
Golpearse el pie con un objeto al
caminar
11 de septiembre / 2001
Riesgos Diferenciales
CONSECUENCIAS
VALOR NIVEL
1 INSIGNIFICANTE
2 MARGINAL
5 GRAVE
10 CRITICO
20 DESASTROSO
50 CATASTRÓFICO
18/03/2008 87
18/03/2008 88
Medidas cualitativas de la consecuencia o impacto
Nivel descriptor Descripción detallada de ejemplo
1 Insignificante Ningún daño, perdidas financieras pequeñas
2 Menor Tratamiento de primeros auxilios, las descargas en el sitio son contenidas inmediatamente, pérdidas financieras med.
3 Moderada Requiere tratamiento médico, las descargas en el sitio son contenidas con ayuda externa, pérdidas financieras altas.
4 Mayor Lesiones grandes, pérdida de la capacidad de producción, descargas fuera del sitio sin efectos perjudiciales, pérdida financiera importante.
5 catastrófica Muerte, liberación de tóxicos fuera del sitio con efecto perjudicial, enorme pérdida financiera.
NOTA. Las medidas tomadas deberían reflejar las necesidades y naturaleza de la organización y actividades bajo estudio.
EJEMPLOS DE DEFINICIÓN DE RIESGO Y CLASIFICACIÓN
MATRIZ DE RIESGOS
VALOR NIVEL
5 FRECUENTE
4 MODERADO
3 ESPORÁDICO
2 REMOTO
1 IMPROBABLE
INSIGNIFICANTE MARGINAL GRAVE
CRITICO DESASTROSO CATASTRÓFICO
1 2 5 10 20 50
18/03/2008 89
CONSECUENCIAS/ VULNERABILIDAD
FRECUENCIA/ AMENAZA
18/03/2008 90
Escalas de Valor
CONSECUENCIAS• Humanas• Ambientales• Operacionales• Económicas• Imagen• Mercado• Información
18/03/2008 91
Consecuencias Humanas
Valor Nivel Descripción
1 Insignificante Leves sin Incapacidad
2 Marginal Leves Incapacitantes
5 Crítico Victima Grave Hospitalizada
10 Desastroso Varios Graves, Una Muerte
20 Catastrófico Varias Muertes
18/03/2008 92
Valor Nivel Descripción
1 Insignificante Sin daño Ambiental
2 Marginal Leve Remediable
5 Critico Leve no Remediable
10 Desastroso Grave Recuperable
20 Catastrófico Grave No Remediable
Consecuencias Ambientales
18/03/2008 93
Valor Nivel Descripción
1 Insignificante Menos de día
2 Marginal Entre 1 y 5 día
5 Critico Entre 6 y 15 días
10 Desastroso Entre 16 días y 30 días
20 Catastrófico Más de 30 días
Tiempo Neto = ( Días Afectación ) x ( % Afectación )
Consecuencias Operación
18/03/2008 94
Valor Nivel Descripción
1 Insignificante Menor a US$ 50,000
2 Marginal Entre US$ 50,000 y 150,000
5 Critico Entre US$ 150,000 y 500,000
10 Desastroso Entre US$ 500,000 y 2.0 MM
20 Catastrófico Mas de US$ 2.0 MM
Consecuencias Económicas
18/03/2008 95
Valor Nivel Descripción
1 Insignificante Difusión Solo en la Empresa
2 Marginal Difusión Local
5 Critico Difusión Regional
10 Desastroso Difusión Nacional
20 Catastrófico Difusión Internacional
Consecuencias Imagen
18/03/2008 96
Valor Nivel Descripción
1 Insignificante Pérdida No Mayor al 0.5%
2 Marginal Pérdida entre 0.5% y 2.0%
5 Critico Pérdida entre 2.0% y 5.0%
10 Desastroso Pérdida entre 50% y 10.0%
20 Catastrófico Pérdida Mayor al 10.0%
Consecuencias Mercado
18/03/2008 97
Valor Nivel Descripción
1 Insignificante Hasta 10% No Crítica ó 1% Crítica
2 Marginal 11%-30% No Crítica ó 2%-5% Crítica
5 Critico Mas de 30% No Crítica ó 6%-10% Crítica
10 Desastroso 11% a 25% Información Crítica
20 Catastrófico Mas del 25% de Información Crítica
NOTA: La Información "Respaldada" no se Considera
Crítica: indispensable para el negocio No crítica: puede funcionar sin ella
Consecuencias Información
NORMA TÉCNICA COLOMBIANA NTC 5254
PROCESO DE GESTIÓN DE RIESGOS
CO
MU
NIC
AR
Y C
ON
SU
LT
AR
MO
NIT
OR
EO
Y R
EV
ISIO
NEstablecer el contexto
Analizar riesgos
Evaluar riesgos
Tratar riesos
Identificar riesgos
18/03/2008 99
SARLAFTSARO
RISICARMOSLER
ERMCOSO II
BASILEA Ley SARBANE OXLEY
- GRETENER- GUSTAV PURT
- COEFICIENTE K- INDICE MOND- INDICE DOW
LESTRENAULT
RMPPHAZOPAMEF
FINE (C x E x P)RISK
Riesgos Laborales INSHT - Madrid 1996
AS/NZS 4360Australiano
NTC 5254ICONTEC
RIESGOS
MMéétodos de Evaluacitodos de Evaluacióónn
18/03/2008 JORGE H. BELTRAN V.
ES EL PROCESO POR EL CUAL REALIZAMOS LA VALORACIÓN DE LOS FACTORES DE RIESGO, PUEDEN
SER:
• SUBJETIVA: Se fundamenta en apreciaciones personales, depende de la calidad del sujeto, no es comprobable con otro ya que cada uno tiene una apreciación diferente por diferentes criterios de valoración.
•OBJETIVA: Está basada en métodos estadísticos y matemáticos. Es comprobable por personas diferentes.
18/03/2008 101
Proceso de evaluaciProceso de evaluacióón de Riesgosn de Riesgos
�Evaluación de cargos críticos
Calificación del Riesgo (Frecuencia X Impacto)
Aceptable, Tolerable, Inaceptable
18/03/2008 JORGE H. BELTRAN V.
FRECUENCIA/AMENAZA
8 Constante 8 16 40 80 160 400
7 Habitual 7 14 35 70 140 350
6 Frecuente 6 12 30 60 120 300
5 Moderado 5 10 25 50 100 250
4 Ocasional 4 8 20 40 80 200
3 Esporádico 3 6 15 30 60 150
2 Remoto 2 4 10 20 40 100
1 Improbable 1 2 5 10 20 50
Insignificante Marginal Grave Crítico Desastroso Catastr ófico
1 2 5 10 20 50
CONSECUENCIAS
18/03/2008
MATRIZ PORCENTAJE
FRECUENCIA/AMENAZA
8 Constante 2.% 4.% 10.% 20.% 40.% 100.%7 Habitual 1.75% 3.5.% 8.75% 17.5% 35.% 87.5%
6 Frecuente 1.5% 3.% 7.5% 15.% 30.% 75.%
5 Moderado 1.25% 2.5% 6.25% 12.5% 25.% 62.5%
4 Ocasional 1.% 2.% 5.% 10.% 20.% 50.%
3 Esporádico O.75% 1.5% 3.75% 7.5% 15.% 37.5%
2 Remoto 0.50% 1.% 2.5% 5.% 10.% 25.%
1 Improbable 0.25% 0.5% 1.25% 2.5% 5.% 10.%
Insignificante Marginal Grave Crítico Desastroso Catastr ófico
1 2 5 10 20 50
CONSECUENCIAS
18/03/2008 JORGE H. BELTRAN V.
FRECUENCIA/AMENAZA
8 Constante 400
7 Habitual 3.2
6 Frecuente
5 Moderado
4 Ocasional 1.1- 3,1 4,3
3 Esporádico 2,2
2 Remoto 4,5
1 Improbable
Insignificante Marginal Grave Crítico Desastroso Catastr ófico
1 2 5 10 20 50
CONSECUENCIAS
18/03/2008 JORGE H. BELTRAN V.
ACEPTABLE 2%
TOLERABLE 2.1% AL 4%
INACEPTABLE 4.1% AL 15%
INADMISIBLE MAS 15%
MATRIZ DE ACEPTABILIDAD
18/03/2008
MATRIZ PORCENTAJE
FRECUENCIA/AMENAZA
8 Constante 2.% 4.% 10.% 20.% 40.% 100.%7 Habitual 1.75% 3.5.% 8.75% 17.5% 35.% 87.5%
6 Frecuente 1.5% 3.% 7.5% 15.% 30.% 75.%
5 Moderado 1.25% 2.5% 6.25% 12.5% 25.% 62.5%
4 Ocasional 1.% 2.% 5.% 10.% 20.% 50.%
3 Esporádico O.75% 1.5% 3.75% 7.5% 15.% 37.5%
2 Remoto 0.50% 1.% 2.5% 5.% 10.% 25.%
1 Improbable 0.25% 0.5% 1.25% 2.5% 5.% 10.%
Insignificante Marginal Grave Crítico Desastroso Catastr ófico
1 2 5 10 20 50
CONSECUENCIAS
TALLER EVALUACIÓN
DE RIESGOS
18/03/2008 107
VALORACIÓN DEL RIESGO
PROCESO No RIESGO F C TOTAL PRIORIDAD
1 LOGÍSTICA 1 CONTAMINACIÓN DE LAS FLORES
4 20 80 3
2 PERDIDA DE MERCANCÍA
3 5 15 8
3 ROBO DE CAMIÓN
5 10 50 5
2. FINANCIERO 1 ROBO DE EFECTIVO
3 10 30 7
2 PERDIDA DE INFORMACIÓN
4 20 80 4
3. COMERCIAL 1 PERDIDA DE CLIENTES
3 50 150 1
2 ANTECEDENTE CLIENTE.
5 20 100 2
4. MANTO. 1 DAÑO DE PLANTA ELECT.
5 10 50 618/03/2008 108
MATRIZ DE RIESGOS
VALOR NIVEL
5 FRECUENTE 1.3 4.1
3.2
4 MODERADO 1.1 2.2
3 ESPORÁDICO 1.2 2.1 3.1
2 REMOTO
1 IMPROBABLE
INSIGNIFICANTE MARGINAL GRAVE
CRITICO DESASTROSO CATASTRÓFICO
1 2 5 10 20 50
18/03/2008 109CONSECUENCIAS/ VULNERABILIDAD
FRECUENCIA/ AMENAZA
18/03/2008
MATRIZ RIESGO FRECUENCIA/AMENAZA
8 Constante 1.3 4.1 3.2
7 Habitual
6 Frecuente
5 Moderado 1.1 2.2
4 Ocasional
3 Esporádico 1.2 2.1 3.1
2 Remoto
1 Improbable
Insignificante Marginal Grave Crítico Desastroso Catastr ófico
1 2 5 10 20 50
CONSECUENCIAS
18/03/2008 111
5 Frecuente 5 10 25 50 100
4 Moderado 4 8 20 40 80
3 Ocasional 3 6 15 30 60
2 Remoto 2 4 10 20 40
1 Improbable 1 2 5 10 20
Insignificante Marginal Grave Crítico Desastroso
1 2 5 10 20
Consecuencia / Vulnerabilidad
Pos
ibili
dad
/ Am
enaz
a
Inaceptable
Inadmisible
Aceptable
Tolerable
PERDIDAS ECONOMICAS
A-1
A-2A-3 A-4
A-5B-1
B-2B-3
B-4
B-5
C-1
C-2
C-3C-4
C-5
D-1
D-2
D-3
D-4
D-5
MATRIZ de Riesgos
18/03/2008 JORGE H. BELTRAN V.
MATRIZ DE PRIORIZACION DEL RIESGO
E1E1 E2E2 E3E3 E4E4 E5E5
D1D1 D2D2 D3D3 D4D4 D5D5
C1C1 C2C2 C3C3 C4C4 C5C5
B1B1 B2B2 B3B3 B4B4 B5B5
A1A1 A2A2 A3A3 A4A4 A5A5
PR
OB
AB
ILID
AD
CRITICALIDADLos riesgos se deben alinear de acuerdo con su criticidad y probabilidad y de allí
llevarlo al árbol de lógica de las amenazas, basado en prioridades relativas
18/03/2008 JORGE H. BELTRAN V.
MATRIZ DE PRIORIZACION DEL RIESGO
E1E1 E2E2 E3E3 E4E4 E5E5
D1D1 D2D2 D3D3 D4D4 D5D5
C1C1 C2C2 C3C3 C4C4 C5C5
B1B1 B2B2 B3B3 B4B4 B5B5
A1A1 A2A2 A3A3 A4A4 A5A5
PR
OB
AB
ILID
AD
CRITICALIDAD
MEDIDA DE TRATAMIENTO DE LOS RIESGOS
• Control del Riesgo
• Evitar • Prevenir• Proteger
• Financiamiento del Riesgo
• Aceptar• Retener• Transferir
METODOS DE ACCIÓN
• PREVENCIÓN: MEDIDAS DE SEGURIDAD, CAPACITACIÓN Y ENTRENAMIENTO
• PROTECCIÓN: RECURSOS HUMANOS, ELEMENTOS TECNICOS Y TECNOLÓGICOS DE SEGURIDAD
• REACCIÓN: ACCIONES A TOMAR DURANTE LA OCURRENCIA DE LOS EVENTOS
18/03/2008 116
Estrategias para la Gestión del Riesgo
FactorHumano
FactorMaterial
Siniestro
VictimasDaños MaterialesDaño Ambiental
Suspensión actividadesPerdida de Información
Daño ImagenPérdida Mercado
Causas Evento Consecuencias
Perdidas
PREVENIR PROTEGER FINANCIAR ASUMIR
18/03/2008 117
Mapa de RiesgosMapa de Riesgos
NoRIESGO
(Qué y cómo puede suceder)
PROBABILIDADFECUENCIA
SEVERIDADIMPACTO
CALIFICACIONNIVEL
RIESGO
EVALUACIONPRIORIDAD
RIESGOACCION DE TRATAMIENTO
RESPONSABLE DE LA ACCION
FECHA LIMITE
RESULTADO SEGUIMIENTO
Proceso Comercial1 Competencia agresiva 1 3 3 ACEPTABLE PREVENIR - RETENER2 Error o desacierto estrategico 3 5 15 INACEPTABLE EVITAR - TRANSFERIR3 Hurto 5 1 5 ACEPTABLE PREVENIR - RETENER4 Robo 3 3 9 ACEPTABLE PROTEGER - RETENER5 Fraude 5 5 25 INACEPTABLE EVITAR - TRANSFERIR6 Terrorismo 1 3 3 ACEPTABLE PREVENIR - RETENER7 Espionaje Industrial 3 5 15 INACEPTABLE EVITAR - TRANSFERIR8 Manipulación ilegal de datos 5 3 15 INACEPTABLE EVITAR - TRANSFERIR
Proceso Logístico9 Demoras en el proceso 1 3 310 Hurto 3 5 1511 Robo 5 1 512 Mala Calidad 5 13 6513 Fraude 3 5 1514 Vandalismo 1 5 515 Sabotaje 1 3 316 Tráfico de drogas 3 1 317 Siniestros 5 1 518 Accidentes 5 3 1519 Terrorismo 3 5 1520 Paramilitarismo 1 1 121 Delincuencia Común 1 3 322 Crimen Organizado 3 5 15
Proceso Servicios o Productos23 Mala Calidad 1 1 124 Error o desacierto estrategico 3 3 925 Accidentes 5 5 2526 Lavado de dinero en: 13 3 3927 Sobre facturación en EXPO 5 1 528 Exportaciones ficticias 5 5 2529 Cartas de crédito 3 3 930 Finca raíz 1 5 531 Giros 13 1 1332 Leasing 5 3 1533 Tarjetas de crédito 5 5 2534 Transferencias electrónicas 3 5 1535 Cuentas de ahorro o corrientes 1 3 3
18/03/2008 118
PriorizaciPriorizacióón de Riesgos y Procesosn de Riesgos y Procesos
No
1 Administrativo 10,0%2 Financiero 10,0%3 Comercialización 15,0%4 Logística 45,0%5 Servicios 20,0%
TOTAL 100%
PONDERACION PROCESOSNo
1 Fraude 30,0%2 Error o desacierto estrategico 15,0%3 Competencia agresiva 15,0%4 Manipulación ilegal de datos 15,0%5 Robo 10,0%6 Espionaje Industrial 5,0%7 Hurto 5,0%8 Terrorismo 5,0%9 Tráfico de drogas10 Siniestros11 Demoras en el proceso12 Exportaciones ficticias13 Mala Calidad14 Crimen Organizado15 Delincuencia Común16 Giros17 Paramilitarismo18 Sabotaje19 Sobre facturación en EXPO20 Vandalismo
TOTAL 100%
PONDERACION RIESGOS
18/03/2008 119
F I C P F I C P F I C P F I C P F I C P
Robo 10% 1 5 5 0,05 5 5 25 0,25 5 5 25 0,375 5 5 25 1,125 5 5 25 0,5 2,3Fraude 30% 3 1 3 0,09 5 3 15 0,45 0 0 0 0 3 3 9 1,215 0 0 0 0 1,8Manipulación ilegal de datos 15% 5 5 25 0,375 3 3 9 0,135 0 0 0 0 3 3 9 0,608 3 3 9 0,27 1,4Error o desacierto estrategico 15% 3 3 9 0,135 1 3 3 0,045 3 1 3 0,068 3 3 9 0,608 3 5 15 0,45 1,3Hurto 5% 3 3 9 0,045 5 5 25 0,125 5 5 25 0,188 5 5 25 0,563 5 3 15 0,15 1,1Competencia agresiva 15% 0 0 0 0 0 0 0 0 1 3 3 0,068 0 0 0 0 5 3 15 0,45 0,5Espionaje Industrial 5% 0 0 0 0 0 0 0 0 3 5 15 0,113 1 5 5 0,113 3 5 15 0,15 0,4Terrorismo 5% 0 0 0 0 0 0 0 0 1 3 3 0,023 3 3 9 0,203 1 3 3 0,03 0,3Fraude
Mala Calidad
Crimen Organizado
Delincuencia Común
Espionaje Industrial
Giros
Manipulación ilegal de datos
Paramilitarismo
Sabotaje
Sobre facturación en EXPO
Terrorismo
Vandalismo
TOTAL RIESGOS
RIESGO
Ponderación %
TOTAL PROCESOS 0,70 1,01 0,83 4,43 2,00
PROCESO LOGISTICO
45%
PROCESO SERVICIOS
20%
PROCESOFINANCIERO
10%
PROCESO COMERCIAL
15%
PROCESO ADMINISTRATIVO
10%
PriorizaciPriorizacióón de Riesgos por proceson de Riesgos por proceso
F: Frecuencia I: Impacto C: Calificación del Riesgo P: PuntajeProceso más riesgoso
Mayor riesgo
18/03/2008 120
Mapa de cargos crMapa de cargos crííticosticos
NoRIESGO
(Qué y cómo puede suceder)
PROBABILIDADFECUENCIA
SEVERIDADIMPACTO
CALIFICACIONNIVEL
RIESGO
EVALUACIONPRIORIDAD
RIESGO
ACCION DE TRATAMIENTO
RESPONSABLE DE LA ACCION
FECHA LIMITE
RESULTADO SEGUIMIENTO
Proceso Comercial1 Director Comercial 5 5 25 INACEPTABLE Estudio de seguridad2 Asistente Comercial 3 4 12 TOLERABLE Visita domiciliaria3 Asesor Comercial 3 4 12 TOLERABLE Visita domiciliaria
Proceso Logístico4 Director Logística 5 5 25 INACEPTABLE Estudio de seguridad5 Asistente Logística 3 3 9 TOLERABLE Visita domiciliaria6 Asistente Exportaciones 5 4 20 INACEPTABLE Estudio de seguridad7 Asisitente Importaciones 5 3 15 INACEPTABLE Estudio de seguridad8 Ayudante de Bodega 3 3 9 TOLERABLE Visita domiciliaria9 Empacador 5 5 25 INACEPTABLE Estudio de seguridad10 Estibador 5 3 15 INACEPTABLE Estudio de seguridad
Proceso Servicios o Productos11 Director de Producción 5 5 25 INACEPTABLE Estudio de seguridad12 Asistente Producción 3 3 9 TOLERABLE Visita domiciliaria13 Jefe de Planta 3 4 12 TOLERABLE Visita domiciliaria14 Jefe de Producto 4 3 12 TOLERABLE Visita domiciliaria15 Ayudante de producción 3 4 12 TOLERABLE Visita domiciliaria
18/03/2008 121
PriorizaciPriorizacióón de cargos crn de cargos crííticosticos
No
1 Administrativo 10,0%2 Financiero 10,0%3 Comercialización 15,0%4 Logística 45,0%5 Servicios 20,0%
TOTAL 100%
PONDERACION PROCESOSNo
1 Drector Comercial 5,0%2 Asistente Comercial 5,0%3 Asesor Comercial 5,0%4 Director Logística 10,0%5 Asistente Logística 15,0%6 Asistente Exportaciones 15,0%7 Asisitente Importaciones 15,0%8 Ayudante de Bodega 30,0%9 Empacador10 Estibador11 Director de Producción12 Asistente Producción13 Jefe de Planta14 Jefe de Producto15 Ayudante de producción
TOTAL 100%
PONDERACION CARGOS CRITICOS
18/03/2008 122
F I C P F I C P F I C P F I C P F I C P
Asistente Logística 15% 3 3 9 0,135 5 5 25 0,375 5 5 25 0,563 5 5 25 1,688 5 3 15 0,45 3,2Ayudante de Bodega 30% 0 0 0 0 0 0 0 0 1 3 3 0,135 3 3 9 1,215 1 3 3 0,18 1,5Drector Comercial 5% 1 5 5 0,025 5 5 25 0,125 5 5 25 0,188 5 5 25 0,563 5 5 25 0,25 1,2Asisitente Importaciones 15% 0 0 0 0 0 0 0 0 3 5 15 0,338 1 5 5 0,338 3 5 15 0,45 1,1Director Logística 10% 3 3 9 0,09 1 3 3 0,03 3 1 3 0,045 3 3 9 0,405 3 5 15 0,3 0,9Asistente Exportaciones 15% 0 0 0 0 0 0 0 0 1 3 3 0,068 0 0 0 0 5 3 15 0,45 0,5Asesor Comercial 5% 5 5 25 0,125 3 3 9 0,045 0 0 0 0 3 3 9 0,203 3 3 9 0,09 0,5Asistente Comercial 5% 3 1 3 0,015 5 3 15 0,075 0 0 0 0 3 3 9 0,203 0 0 0 0 0,3Empacador
Estibador
Director de Producción
Asistente Producción
Jefe de Planta
Jefe de Producto
Ayudante de producción
TOTAL RIESGO
CARGO CRITICO
Ponderación %
TOTAL PROCESOS 0,39 0,65 1,34 4,61 2,17
PROCESO LOGISTICO
45%
PROCESO SERVICIOS
20%
PROCESOFINANCIERO
10%
PROCESO COMERCIAL
15%
PROCESO ADMINISTRATIVO
10%
PriorizaciPriorizacióón de cargos por proceson de cargos por proceso
F: Frecuencia I: Impacto C: Calificación del Riesgo P: PuntajeProceso más riesgoso
Cargo más crítico
18/03/2008 123
Mapa de RiesgosMapa de Riesgos
Deslizamentos
Terremoto
Huracan
Inundación
Maremoto
Rios
Sequias
Tsunamis
Robo
Hurto
Intrusión
Fraude
Agresión
Atentado
Vandalismo
Secuestro
Amenaza de Bomba
Sabotaje
Disturbios urbanos
Espionaje industrial
Extorsión, chantaje
Manipulación ilegal de datos
Tráfico de drogas - Narcotráfico
Interferencia ilícita
Terrorismo
Paramilitarismo
Delincuencia común
Crímen organizado
Guerrilla
ANTISOCIALES
RIESGOPERSONAS
INSTALACIONES EDIFICIOS
BIENES Y VALORES MEDIO AMBIENTEACTIVIDAD
ECONOMICA
NATURALES
18/03/2008 124
Etapas de la evaluaciEtapas de la evaluacióón de Riesgosn de Riesgos
FUNCION( F )
SUSTITUCION( S )
( I )IM PORTANCIA
( F x S ) PROFUNDIDAD
( P )EXTENSION
( E )
(D)DAÑO( F x E )
( C )CARÁCTER
( I + D )A GRESION
( A )
VULNERA BILIDAD
( V )
( P )P ROBABILIDAD
( A x V )
1 Robo 4 5 20 5 3 15 35 5 4 20 700 Normal 3 Fraude 3 3 9 3 5 15 24 3 4 12 288 Pequeño
4Manipulación ilegal datos
2 4 8 4 3 12 20 2 3 6 120
5Error estratégico
4 2 8 2 4 8 16 1 2 2 32
VALOR (ER)
NIVEL
2- 250 Muy bajo
251 - 500 Pequeño
501 - 750 Normal
751 - 1000 Grande
EVALUACION DEL RIESGO
( ER )ESTIM ACION
RIESGO ( C x P )
PROB ABILIDA D ( P )
CARÁCTER RIESGO ( C )
CALCULO PARA EVALUACION DE
No.FACTOR DE RIESGO(Qué puede ocurrir y cómo puede ocurrir)
Evaluación de Riesgos - MOSLER
#FUNCION
(F)#
SUSTITUCION
(S)#
PROFUNDIDAD
(P)#
EXTENSION
( E )#
AGRESION
(A)#
VULNERABILIDAD
(V)
5 Muy gravemente 5 Muy difícilmente 5Perturbaciones muy graves
5De alcance internacional
5 Muy alta 5 Muy alta
4 Gravemente 4 Difícilmente 4 Perturbaciones graves 4 De carácter Nacional 4 Alta 4 Alta
3 Medianamente 3Sin mucha dificultad
3 Perturbaciones limitadas 3 De carácter Regional 3 Normal 3 Normal
2 Levemente 2 Facilmente 2 Perturbaciones leves 2 De carácter Local 2 Baja 2 Baja
1 Muy Levemente 1 Muy facílmente 1 Perturbaciones muy leves 1 De carácter individual 1 Muy baja 1 Muy baja
CRITERIOCRITERIO
DAÑO IMAGENCRITERIO
SUSTITUCION BIENES DAÑO IMAGEN SECTOR REPERCUSION ECONOMICA CRITERIO
PROTECCION PERIMETRALCRITERIO CRITERIO
INSTALACIONES FISICAS
18/03/2008 125
Ejemplo Categorías de Respuesta para varios Niveles de Riesgo
INC
RE
ME
NT
O D
EL
NIV
EL D
EL R
IES
GO
Nivel del Riesgo E
Nivel del Riesgo D
Nivel del Riesgo C
Nivel del Riesgo B
Nivel del Riesgo A
Son necesarias medidas para la reducción del riesgo y/o una evaluación adicional.
Debe considerarse la reducción del riesgo.
No se requiere una posterior reducción del riesgo.
18/03/2008 126
PASOS EN EL DESARROLLO E IMPLEMENTACIÓN DE UN
PROGRAMA DE GESTIÓN DEL RIESGO
• PASO 1. RESPALDO DE LA ALTA DIRECCIÓN
• PASO 2. DESARROLLO DE LA POLÍTICA DE LA ORGANIZACIÓN
• PASO 3. COMUNICACIÓN DE LAS POLÍTICAS
• PASO 4. GESTIÓN DEL RIESGO A ESCALA ORGANIZACIONAL
• PASO 5. GESTIÓN DE RIESGOS EN LOS NIVELES DE PROGRAMA, PROYECTO Y DE EQUIPO
• PASO 6. MONITOREO Y REVISIÓN
A
V
P
H
18/03/2008 127
Matriz de análisis cualitativo de riesgos. Nivel de riesgos
Consecuencias
Probabilidad Insignific.1
Menor2
Moderada3
Mayor4
Catastrófica5
A (casi cierto) H H E E E
B (probable) M H H E E
C (posible) L M H E E
D (improbable) L L M H E
E ( Raro) L L M H HNOTA. El número de categorías debe reflejar las necesidades del estudio
Convenciones:E = Riesgo extremo, se requiere acción inmediata.H =Alto riesgo, es necesario la atención del director.M =Riesgo moderado, se debe especificar la responsabilidad de la dirección.L =Riesgo inferior, gestionar mediante procedimientos de rutina
18/03/2008 128
AGENTES EXTERNOSCódigo Agente Generador
E-1 Guerrilla
E-2 Delincuencia Común
E-3 Delincuencia Organizada
E-4 Comunidad
E-5 Paramilitares
E-6 Narcotraficantes
E-7 Visitantes
E-8 Instituciones No Vinculadas
18/03/2008 129
ORIGEN SOCIAL
3-1 GUERRILLA
Cod. Amenaza Especifica
3.1.01 Hostigamiento
3.1.02 Retención
3.1.03 Secuestro
3.1.04 Extorsión
3.1.05 Vacuna
3.1.06 Atentado
3.1.07 Agresión
18/03/2008 130
ORIGEN SOCIAL
3-2 PARAMILITARES
Cod. Amenaza Especifica
3.2.01 Hostigamiento
3.2.02 Retención
3.2.03 Secuestro
3.2.04 Extorsión
3.2.05 Vacuna
3.2.06 Atentado
3.2.07 Agresión
18/03/2008 131
ORIGEN SOCIAL
3-3 DELINCUENCIA
Cod. Amenaza Especifica
3.3.01 Agresión
3.3.02 Chantaje
3.3.03 Secuestro
3.3.04 Extorsión
3.3.05 Vacuna
3.3.06 Atentado
3.3.07 Robo
18/03/2008 132
ORIGEN SOCIAL
3-4 PERSONAL INTERNO
Cod. Amenaza Especifica
3.6.01 Agresión
3.6.02 Chantaje
3.6.03 Huelga
3.6.04 Extorsión
3.6.05 Motín
3.6.06 Sabotaje
3.6.07 Robo
3.6.08 Paro
3.6.09 Retención
3.6.10 Fraude
18/03/2008 133
ORIGEN SOCIAL
3-5 CONTRATISTAS
Cod. Amenaza Especifica
3.6.01 Agresión
3.6.02 Chantaje
3.6.03 Huelga
3.6.04 Extorsión
3.6.05 Motín
3.6.06 Sabotaje
3.6.07 Robo
3.6.08 Paro
3.6.09 Retención
3.6.10 Fraude
18/03/2008 134
ORIGEN SOCIAL
3-6 PROVEEDORES
Cod. Amenaza Especifica
3.6.01 Falta de entrega
3.6.02 Chantaje
3.6.03 Huelga
3.6.04 Insolvencia
3.6.05 Paro
3.6.06 Fraude
18/03/2008 135
ORIGEN SOCIAL
3-7 COMUNIDAD
Cod. Amenaza Especifica
01 Agresión
02 Chantaje
03 Huelga
04 Extorsión
05 Motín
06 Sabotaje
07 Robo
08 Paro
09 Retención
10 Fraude
NORMA TÉCNICA COLOMBIANA NTC 5254
PROCESO DE GESTIÓN DE RIESGOS
CO
MU
NIC
AR
Y C
ON
SU
LT
AR
MO
NIT
OR
EO
Y R
EV
ISIO
NEstablecer el contexto
Analizar riesgos
Evaluar riesgos
Tratar riesgos
Identificar riesgos
18/03/2008 137
Tratamiento de Riesgos
5 Frecuente 5 10 25 50 100
4 Moderado 4 8 20 40 80
3 Ocasional 3 6 15 30 60
2 Remoto 2 4 10 20 40
1 Improbable 1 2 5 10 20
Insignificante Marginal Grave Crítico Desastroso
1 2 5 10 20
Consecuencia / Vulnerabilidad
Pos
ibili
dad
/ Am
enaz
a
Inaceptable
Inadmisible
Aceptable
Tolerable
Reducción de las Consecuencias
A-2
¿Que tipo de medidas implemento?
A-2
18/03/2008 138
Tratamiento de Riesgos
5 Frecuente 5 10 25 50 100
4 Moderado 4 8 20 40 80
3 Ocasional 3 6 15 30 60
2 Remoto 2 4 10 20 40
1 Improbable 1 2 5 10 20
Insignificante Marginal Grave Crítico Desastroso
1 2 5 10 20
Consecuencia / Vulnerabilidad
Pos
ibili
dad
/ Am
enaz
a
Inaceptable
Inadmisible
Aceptable
Tolerable
Reducción Combinada
A-2
A-2
18/03/2008 JORGE H. BELTRAN V.
FRECUENCIA/AMENAZA
8 Constante 8 16 40 80 160 4007 Habitual 7 14 35 70 140 350
6 Frecuente 6 12 30 60 120 300
5 Moderado 5 10 25 50 100 250
4 Ocasional 4 8 20 40 80 200
3 Esporádico 3 6 15 30 60 150
2 Remoto 2 4 10 20 40 100
1 Improbable 1 2 5 10 20 50
Insignificante Marginal Grave Crítico Desastroso Catastr ófico
1 2 5 10 20 50
CONSECUENCIAS
18/03/2008 JORGE H. BELTRAN V.
FRECUENCIA/AMENAZA
8 Constante 8 16 40 80 160 4007 Habitual 7 14 35 70 140 350
6 Frecuente 6 12 30 60 120 300
5 Moderado 5 10 25 50 100 250
4 Ocasional 4 8 20 40 80 200
3 Esporádico 3 6 15 30 60 150
2 Remoto 2 4 10 20 40 100
1 Improbable 1 2 5 10 20 50
Insignificante Marginal Grave Crítico Desastroso Catastr ófico
1 2 5 10 20 50
CONSECUENCIAS
18/03/2008
MATRIZ PORCENTAJE
FRECUENCIA/AMENAZA
8 Constante 2.% 4.% 10.% 20.% 40.% 100.%7 Habitual 1.75% 3.5.% 8.75% 17.5% 35.% 87.5%
6 Frecuente 1.5% 3.% 7.5% 15.% 30.% 75.%
5 Moderado 1.25% 2.5% 6.25% 12.5% 25.% 62.5%
4 Ocasional 1.% 2.% 5.% 10.% 20.% 50.%
3 Esporádico O.75% 1.5% 3.75% 7.5% 15.% 37.5%
2 Remoto 0.50% 1.% 2.5% 5.% 10.% 25.%
1 Improbable 0.25% 0.5% 1.25% 2.5% 5.% 10.%
Insignificante Marginal Grave Crítico Desastroso Catastr ófico
1 2 5 10 20 50
CONSECUENCIAS
18/03/2008 JORGE H. BELTRAN V.
ACEPTABLE 2%
TOLERABLE 2.1% AL 4%
INACEPTABLE 4.1% AL 15%
INADMISIBLE MAS 15%
MATRIZ DE ACEPTABILIDAD
18/03/2008
MATRIZ PORCENTAJE
FRECUENCIA/AMENAZA
8 Constante 2.% 4.% 10.% 20.% 40.% 100.%7 Habitual 1.75% 3.5.% 8.75% 17.5% 35.% 87.5%
6 Frecuente 1.5% 3.% 7.5% 15.% 30.% 75.%
5 Moderado 1.25% 2.5% 6.25% 12.5% 25.% 62.5%
4 Ocasional 1.% 2.% 5.% 10.% 20.% 50.%
3 Esporádico O.75% 1.5% 3.75% 7.5% 15.% 37.5%
2 Remoto 0.50% 1.% 2.5% 5.% 10.% 25.%
1 Improbable 0.25% 0.5% 1.25% 2.5% 5.% 10.%
Insignificante Marginal Grave Crítico Desastroso Catastr ófico
1 2 5 10 20 50
CONSECUENCIAS
11 22 33 44 55
InsignificanteInsignificante MenorMenor ModeradaModerada MayorMayor CatastrCatastróóficafica
55 Casi CiertaCasi Cierta ALTOALTO ALTOALTO EXTREMOEXTREMO EXTREMOEXTREMO EXTREMOEXTREMO
44 ProbableProbable MODERADOMODERADO ALTOALTO ALTOALTO EXTREMOEXTREMO EXTREMOEXTREMO
33 ModeradaModerada BAJOBAJO MODERADOMODERADO ALTOALTO EXTREMOEXTREMO EXTREMOEXTREMO
22 ImprobableImprobable BAJOBAJO BAJOBAJO MODERADOMODERADO ALTOALTO EXTREMOEXTREMO
11 RaraRara BAJOBAJO BAJOBAJO MODERADOMODERADO ALTOALTO ALTOALTO
MATRIZ DE RIESGOSMATRIZ DE RIESGOS
18/03/2008 145
ConclusiConclusióón de la evaluacin de la evaluacióón de Riesgosn de Riesgos
PrioridadRIESGO
(Qué y cómo)Prioridad Proceso
1 Robo 1 Logístico2 Fraude 2 Logístico3 Manipulación ilegal de datos 3 Logístico4 Error o desacierto estratégico 4 Servicios5 Hurto 5 Financiero6 Competencia agresiva 6 Comercial7 Espionaje Industrial 78 Terrorismo 8
1. De acuerdo con la anterior evaluación de Riesgos, se concluye que el proceso más riesgoso para la empresa ABC es el PROCESO LOGÍSTICO, seguido de los procesos de SERVICIOS y COMERCIAL. De igual forma se observa que los cargos más críticos pertenecen al área Logística. Por lo anterior se deben identificar todos los riesgos operativos e implementar los controles necesarios para reducir los
riesgos evaluados.
2. En relación con el Riesgo más peligroso, se pudo establecer que en caso de materializarse el ROBO, será lo que más va a afectar el cumplimiento de la misión y los objetivos de la empresa, seguido del
FRAUDE y LA MANIPULACIÓN ILEGAL DE DATOS, por esta situación se deben establecer políticas para reducirlos.
3. Como el peligro de ROBO no puede transferirse, existe la necesidad de realizar la evaluación de riesgos por cada subproceso que conforma el PROCESO LOGÍSTICO, acompañado de la implementación de un
plan de prevención y protección.
PrioridadRIESGO
(Qué y cómo)Prioridad Proceso
1 Asistente de Logística 1 Logístico2 Ayudante de Bodega 2 Logístico3 Director Comercial 3 Comercial4 Asistente de Importaciones 4 Logístico5 Director de Logística 5 Financiero
18/03/2008 146
Medidas de tratamiento de RiesgosMedidas de tratamiento de Riesgos
�PREVENIR EL RIESGO - Anticipar
1. Inspecciones y pruebas de seguridad
2. Sensibilización, entrenamiento y capacitación
3. Inversión en información
4. Diversificación operaciones
5. Disminuir el nivel de exposición
6. Segregación o dispersión
7. Mantenimiento preventivo
8. Políticas de seguridad
PROCEDIMIENTO
18/03/2008 147
PROCEDIMIENTO
1. OBJETIVO2. ALCANCE3. RESPONSABILIDADES4. DEFINICIONES5. PROCEDIMIENTO• IDENTIFICACIÓN• ANÁLISIS• EVALUACIÓN• TRATAMIENTO6. FORMATOS A UTILIZAR
GRACIAS
JORGE H. BELTRÁN VELÁSQUEZAUDITOR BASC
CEL.315 768 1803