Objetivo:

Conocer los conceptos bsicos

GESTION DE RIESGOS
de: Gestin de Riesgos en Clase X
Seguridad de Informacin

Duracin:
2.45 Minutos

Fecha: Mg. Juan Carlos Retegui Morales

9-11-2017 reateguimoralesjuancarlos@gmail.com

1
 La filosofa de gestin de riesgos
La filosofa de gestin de riesgos de una organizacin es el conjunto de valores y actitudes compartidas
relacionadas con la forma en que la entidad considera el riesgo en cada cosa que hace, desde la
definicin de la estrategia hasta las actividades del da a da.
Esta filosofa se refleja en polticas, comunicaciones orales y escritas, y en el proceso de toma de
decisiones. Cuando la filosofa se encuentra desarrollada, comprendida y adoptada en forma unvoca por
todo el personal, la entidad est mucho mejor posicionada para reconocer y enfrentar el riesgo de
manera eficiente. Sin embargo, incluso cuando la filosofa se encuentra bien desarrollada, es posible que
ciertas diferencias culturales provoquen que la forma de administrar los riesgos no sea congruente en
toda la entidad. Algunos sectores o unidades de negocio pueden ser ms conservadores que otros, y
esto puede provocarle un perjuicio a la organizacin. En estos casos, es sumamente importante trabajar
en forma conjunta para que estas diferentes subculturas se conviertan en una sola.
 Apetito al Riesgo
El apetito al riesgo es la cantidad de riesgo que la entidad est dispuesta a aceptar en su bsqueda de valor. De
alguna manera, este apetito es el reflejo la filosofa de gestin de riesgos e influencia la forma en que la entidad
opera.

Las diferentes estrategias que una entidad puede abordar, a la vez pueden exponerla a diferentes niveles de riesgo,
por lo que la gestin de riesgos corporativos ayuda a la gerencia a elegir una estrategia que sea consistente con el
apetito al riesgo de la entidad.
Cabe destacar que las entidades comienzan considerando el apetito al riesgo de una forma cualitativa, o sea
utilizando categoras como riesgo alto, riesgo medio y riesgo bajo. Solamente cuando alcanzan un grado de
madurez mayor, las organizaciones suelen cambiar este enfoque cualitativo por uno cuantitativo.
 Beneficios de la Gestin de Riesgos
Ninguna entidad -independientemente de que sea con o sin fines lucro, e incluso una entidad
gubernamental-, opera en un ambiente libre de riesgos, y la gestin de riesgos corporativos tampoco crea
un ambiente sin riesgos. Lo que s permite es operar mucho ms eficientemente en un ambiente colmado
de riesgos.
 Beneficios de la Gestin de Riesgos

La gestin de riesgos corporativos posee las siguientes capacidades inherentes:

Alinea el riesgo aceptado y la estrategia

En su evaluacin de alternativas estratgicas, la direccin considera el riesgo aceptado por la entidad,
estableciendo los objetivos correspondientes y desarrollando mecanismos para gestionar los riesgos
asociados.

Mejora las decisiones de respuesta a los riesgos

La gestin de riesgos corporativos proporciona rigor para identificar los riesgos y seleccionar entre las
posibles alternativas de respuesta a ellos: evitar, reducir, compartir o aceptar.

Reduce las sorpresas y las prdidas operativas

Las entidades consiguen mejorar su capacidad para identificar los eventos potenciales y establecer
respuestas, reduciendo las sorpresas y las prdidas asociadas.

Identifica y gestiona la diversidad de riesgos para toda la entidad

Cada entidad se enfrenta a mltiples riesgos que afectan a las distintas partes de la organizacin y la
gestin de riesgos corporativos facilita respuestas eficaces e integradas a los impactos interrelacionados
de dichos riesgos.
 Beneficios de la Gestin de Riesgos
Provee respuestas integradas a riesgos mltiples
En lnea con el punto anterior, los procesos de negocio conllevan gran cantidad de riesgos inherentes y la gestin de
riesgos corporativos favorece la elaboracin de soluciones integradas para administrarlos.

Permite aprovechar las oportunidades

Mediante la consideracin de una amplia gama de potenciales eventos, la direccin est en posicin de identificar y
aprovechar las oportunidades de modo proactivo.

Racionaliza el capital
La obtencin de informacin slida sobre el riesgo permite a la direccin evaluar eficazmente las necesidades
globales de capital y mejorar su locacin.
 Componentes de la gestin de riesgos corporativos
De acuerdo al marco definido en el informe COSO, la gestin de riesgos corporativos est conformada por ocho
componentes relacionados entre s, los cuales se describen brevemente a continuacin:
 Componentes de la gestin de riesgos corporativos
De acuerdo al marco definido en el informe COSO, la gestin de riesgos corporativos est conformada por
ocho (8) componentes relacionados entre s, los cuales se describen brevemente a continuacin:

1.- Ambiente interno

Abarca el talante de una organizacin y establece la base de cmo el personal de la entidad percibe y
trata los riesgos, incluyendo la filosofa para su gestin, el riesgo aceptado, la integridad y valores ticos y
el entorno en que se acta.

2.-Establecimiento de objetivos
Los objetivos deben existir antes de que la direccin pueda identificar potenciales eventos que afecten a
su consecucin. La gestin de riesgos corporativos asegura que la direccin ha establecido un proceso
para fijar objetivos y que los objetivos seleccionados apoyan la misin de la entidad y estn en lnea con
ella, adems de ser consecuentes con el riesgo aceptado.
 Componentes de la gestin de riesgos corporativos
3.-Identificacin de eventos
Los acontecimientos internos y externos que afectan a los objetivos de la entidad deben ser identificados,
diferenciando entre riesgos y oportunidades. Estas ltimas revierten hacia la estrategia de la direccin o
los procesos para fijar objetivos.

4.-Evaluacin de riesgos
Los riesgos se analizan considerando su probabilidad e impacto como base para determinar cmo deben
ser gestionados y se evalan desde una doble perspectiva, inherente y residual.

5.-Respuesta al riesgo
La direccin selecciona las posibles respuestas -evitar, aceptar, reducir o compartir los riesgos -
desarrollando una serie de acciones para alinearlos con el riesgo aceptado y las tolerancias al riesgo de la
entidad.
 Componentes de la gestin de riesgos corporativos
6.-Actividades de control
Las polticas y procedimientos se establecen e implantan para ayudar a asegurar que las respuestas a los
riesgos se llevan a cabo eficazmente.

7.-Informacin y comunicacin
La informacin relevante se identifica, capta y comunica en forma y plazo adecuado para permitir al
personal afrontar sus responsabilidades. Una comunicacin eficaz debe producirse en un sentido amplio,
fluyendo en todas direcciones dentro de la entidad.

8.-Supervisin
La totalidad de la gestin de riesgos corporativos se supervisa, realizando modificaciones oportunas
cuando se necesiten. Esta supervisin se lleva a cabo mediante actividades permanentes de la direccin,
evaluaciones independientes o ambas actuaciones a la vez.
 Riesgos
Uno de los cambios claves en la revisin de 2015 de la norma ISO 9001 es establecer un enfoque
sistemtico hacia el riesgo, en lugar de tratarlo como un componente sencillo de un sistema de gestin de
la calidad.

En las ediciones previas de ISO 9001, una seccin sobre accin preventiva estaba separada del resto.

Ahora el riesgo se considera y se incluye en toda la norma. Al tomar un enfoque basado en el riesgo, una
organizacin se hace proactiva ms que puramente reactiva, previniendo o reduciendo los efectos no
deseados y promoviendo la mejora continua.

La accin preventiva es automtica cuando el sistema de gestin se basa en el riesgo.

 Pensamiento Basado en Riesgos
El pensamiento basado en el riesgo es algo que todos nosotros hacemos automticamente.

Ejemplo: Si deseo cruzar una calle miro el trfico antes de iniciar.

No me parar frente a un vehculo en movimiento.

El pensamiento basado en el riesgo siempre ha estado presente en ISO 9001 esta revisin lo
incorpora en la totalidad del sistema de gestin.

En ISO 9001:2015 el riesgo es considerado desde el principio y a travs de toda la noma, haciendo de
la accin preventiva una parte de la planificacin estratgica, as como la operacin y la revisin.

El pensamiento basado en el riesgo ya forma parte del enfoque por procesos.

Ejemplo: Para cruzar la calle puedo ir directamente o puedo usar un puente peatonal cercano. El proceso
que yo escoja ser determinado considerando los riesgos.
 Pensamiento Basado en Riesgos
Comnmente, el riesgo se entiende algo negativo. En el pensamiento con base en el riesgo,
tambin se puede encontrar la oportunidad - esta algunas veces se considera el lado positivo del
riesgo.

Ejemplo:

Cruzar la calle directamente me da la oportunidad de llegar al otro lado rpidamente, pero existe
un riesgo aumentado de lesin debido a los vehculos en movimiento.

El riesgo de usar el puente peatonal es que me puedo retrasar. La oportunidad de usarlo es que
existe menos chance de resultar lesionado por un vehculo.

La oportunidad no siempre se relaciona directamente con el riesgo, pero siempre se relaciona con
los objetivos. Al considerar una situacin puede ser posible identificar oportunidades para mejorar.
 Pensamiento Basado en Riesgos
Ejemplo:

El anlisis de esta situacin muestra oportunidades adicionales para la mejora:

- Un metro que vaya directamente bajo la va.

- Seales de trnsito peatonales, o

- Desviar la va de manera que el rea no tenga trfico.

Es necesario analizar las oportunidades y considerar en cul se puede o se debera actuar. Se

deben tomar en consideracin tanto el impacto como la factibilidad de tomar una oportunidad. Cualquiera
que sea la accin que se tome, cambiarn el contexto y los riesgos y estos se deben reconsiderar.
 RIESGO Y PELIGRO

Peligro: cualquier cosa

que puede causar dao

Riesgo: La probabilidad
de que alguien sea
lesionado por el peligro
 PELIGROS

Peligro = cualquier cosa

que puede causar dao
= un peligro
Ej. escaleras

= situacin peligrosa
(persona
gente subiendo
interactuando
o bajando
con el peligro)

= evento peligroso
(expone a una
tropezn o
persona
resbalar
a dao)
 SEGURIDAD Y SALUD EN EL TRABAJO

OBJETIVO

La prevencin de los accidentes y daos para la

salud relacionados con el trabajo, o - lo que es
equivalente - la reduccin al mnimo
razonablemente factible de los riesgos
inherentes al trabajo.
 "CONDITION OF WORK"
Cualquier caracterstica del trabajo que puede tener influencia significativa en la generacin de riesgos
para la seguridad y salud de los trabajadores.

Caractersticas generales de las instalaciones, equipos, maquinarias, productos, etc.

La naturaleza de los agentes fsicos, qumicos y biolgicos en el ambiente de trabajo.

Procedimientos para el uso de dichos agentes.

Cualquier otra caracterstica del trabajo, incluyendo aquellas relacionadas con su organizacin y
contenido con influencia en los riesgos.
 OBJETIVO DE LA LEY DE SEGURIDAD Y SALUD EN EL TRABAJO
OBJETIVO DE LA LEY DE SEGURIDAD Y SALUD EN EL TRABAJO

Promover una cultura de prevencin de riesgos laborales en el pas

ESTADO

ROL FISCALIZADOR Y DE CONTROL

EMPLEADOR

DEBER DE PREVENCION

TRABAJADORES Y SUS ORGANIZACIONES

SINDICALES
VELAR POR LA PROMOCION, DIFUSION Y CUMPLIMIENTO
DE LA NORMATIVA
 PRINCIPIOS
1.-
PREVENCION

9.-PRINCIPIO DE 2.-
PROTECCION. RESPONSABILIDAD

8.-PRINCIPIO DE 3.-
PRIMACIA DE LA LEY DE COOPERACIO
REALIDAD SEGURIDAD N
Y SALUD EN
EL TRABAJO

7.-CONSULTA Y 4.-INFORMACION
PARTICIPACION Y CAPACITACION

6.-ATENCION
INTEGRAL DE LA 5.-GESTION
SALUD INTEGRAL
 AMBITO DE APLICACION DE LEY DE SST

REGLAMENTO DE LEY SST

TODOS LOS SECTORES ECONOMICOS

D.S. N. 005-2012-TR:
TRABAJADOR
ES SECTORES
DE
POR CUENTA
SERVICIOS
PROPIA

SECTOR
Comprende :
PUBLICO A toda persona bajo modalidad
formativa y a los trabajadores
autnomos. Tambin se incluye a
todo aquel que, sin prestar
servicios, se encuentre dentro del
lugar de trabajo, en lo que les
resulte aplicable.
 POLITICA NACIONAL DE SST
Formula Pone en
LA POLITICA PRACTICA REEXAMINA

Prevenir los accidentes daos a la salud como

Objeto: consecuencia del trabajo, guarden relacin o
sobrevengan durante el trabajo, reduciendo al
mnimo, en la medida en que sea razonable y
factible, las causas de los riesgos inherentes al
medio ambiente de trabajo.
 Poltica SG-SST

a) Ser especfica b. Ser concisa, estar c) Ser difundida y

para la redactada con d) Ser actualizada
fcilmente peridicamente y
organizacin y claridad, estar
apropiada a su accesible a todas ponerse a
fechada y hacerse las personas en el
tamao y a la disposicin de las
efectiva mediante la lugar de trabajo;
naturaleza de partes interesadas
sus actividades; firma o endoso del
empleador o del externas, segn
representante de corresponda
mayor rango con
responsabilidad en la
organizacin;
 PRINCIPIOS DEL SISTEMA DE GESTIN DE SST
MEJORA MEDIOS
CONTINUA RETROALIMENT
FOMENTAR PARTICIPAN
CULTURA
PREVENCION REPRESENTES
ALENTAR DE TRABAJADORES
EMPATA
COMPROMISO
EMPL-TRAB
EMPLEADOR

EVALUACIN COHERENCIA
PRINCIPALES PLANIFICA VS
EJECUTA
RIESGOS

MECANISMOS
RECONOC
 Abordando el Riesggo
El concepto de pensamiento basado en el riesgo se explica en la introduccin de ISO 9001:2015.

DEFINICIONES ISO 9001:2015 define el riesgo como el efecto de la incertidumbre en un resultado

esperado.

1. Un efecto es una desviacin de lo esperado positiva o negativa.

2. El riesgo se trata de lo que podra suceder y cul podra ser el efecto de este suceso.
3. El riesgo tambin considera qu tan probable es. El objeto de un sistema de gestin es lograr la
conformidad y la satisfaccin del cliente. ISO 9001:2015 usa el pensamiento basado en el riesgo para
lograr esto de la siguiente manera:
Seccin 4 (Contexto) se requiere que la organizacin determine los riesgos que lo pueden afectar.
Seccin 5 (Liderazgo) se requiere que la alta direccin se comprometa para garantizar que se cumple la
Seccin 4. Seccin 6 (Planificacin) se requiere que la organizacin emprenda acciones para identificar
los riesgos y las oportunidades.
Seccin 8 (Operacin) se requiere que la organizacin implemente procesos para abordar los riesgos y
las oportunidades.
En la Seccin 9 (Evaluacin del desempeo) se requiere que la organizacin monitorice, mida, analice y
evale los riesgos y las oportunidades.
En la Seccin 10 (Mejora) se requiere que la organizacin mejore por medio de la respuesta a los cambios
en el riesgo.
 Por que Usar el Pensamiento Basado en Riesgos
Al considerar el riesgo en toda la organizacin se mejora la probabilidad de lograr los objetivos
establecidos, el resultado es ms consistente y los clientes pueden confiar en que recibirn el producto o
servicio que esperan.

Por lo tanto, el pensamiento basado en el riesgo:

construye una base slida de conocimiento.

establece una cultura proactiva de la mejora.

garantiza la consistencia de la calidad de bienes o servicios.

mejora la confianza y la satisfaccin del cliente.

Las empresas exitosas toman intuitivamente un enfoque basado en el riesgo

 Como se Operativisa el Pensamiento Basado en Riesgos
Use un enfoque dirigido por el riesgo en sus procesos organizacionales. Identifique cules son SUS
riesgos y oportunidades esto depende del contexto
Ejemplo:
Si cruzo una va congestionada con muchos vehculos que se mueven rpido, los riesgos no son los
mismos que si la va fuera pequea con pocos vehculos en movimiento. Tambin es necesario considerar
aspectos tales como clima, visibilidad, movilidad personal y objetivos personales especficos.

Analice y priorice sus riesgos y oportunidades Cul es aceptable, cul es inaceptable? Qu ventajas o
desventajas existen para un proceso con respecto a otro? Ejemplo: Objetivo: Necesito cruzar seguro la va
para llegar a una reunin a una hora determinada

Es INACEPTABLE quedar lesionado. Es INACEPTABLE llegar tarde.

La oportunidad de alcanzar mi meta ms rpidamente se debe ponderar con la probabilidad de lesin.

Es ms importante que yo llegue a la reunin sin lesiones que llegar a la reunin a tiempo.
Puede ser ACEPTABLE retrasar la llegada al otro lado de la va usando el puente peatonal, si la
probabilidad de quedar lesionado al cruzar la va directamente es alta. Analizo la situacin. El Puente
peatonal est a 200 metros de distancia lo que sumar tiempo a mi viaje. El clima es bueno, la visibilidad
es buena y puedo ver que la va no tiene muchos vehculos en este momento. Decido que caminar
directamente a travs de la va conlleva un nivel bajo aceptable de riesgo de lesin y una oportunidad de
llegar a mi reunin a tiempo.
 Como se Operativisa el Pensamiento Basado en Riesgos
La oportunidad de alcanzar mi meta ms rpidamente se debe ponderar con la probabilidad de lesin.

Es ms importante que yo llegue a la reunin sin lesiones que llegar a la reunin a tiempo.

Puede ser ACEPTABLE retrasar la llegada al otro lado de la va usando el puente peatonal, si la probabilidad de
quedar lesionado al cruzar la va directamente es alta.

Analizo la situacin. El Puente peatonal est a 200 metros de distancia lo que sumar tiempo a mi viaje. El clima es
bueno, la visibilidad es buena y puedo ver que la va no tiene muchos vehculos en este momento.

Decido que caminar directamente a travs de la va conlleva un nivel bajo aceptable de riesgo de lesin y una
oportunidad de llegar a mi reunin a tiempo.
 Planificar Acciones para Abordar los Riesgos
Cmo puedo evitar o eliminar el riesgo? Cmo puedo mitigar los riesgos?

Ejemplo: Podra eliminar el riesgo de lesin usando el puente peatonal, pero ya he decidido que el riesgo
involucrado al cruzar la va es aceptable.

Ahora planifico cmo reducir la probabilidad de lesin y/o el efecto de la lesin. Razonablemente, no
puedo esperar controlar el efecto de un vehculo que me golpee. Puedo reducir la probabilidad de ser
golpeado por un vehculo.

Planifico cruzar en un momento en que no haya vehculos movindose cerca de m y as reducir la

probabilidad de un accidente. Tambin elijo cruzar la va en un lugar en donde tenga buena visibilidad y
pueda detenerme con seguridad para reevaluar el nmero de vehculos en movimiento, reduciendo
adicionalmente la probabilidad de un accidente.
 Implementar el Plan Emprender Accin.
Ejemplo:
Me muevo hacia el lado de la va, verifico que no haya barreras para cruzar y haya un lugar seguro en el centro del
trfico en movimiento. Cruzo la mitad de la va y me detengo en el lugar seguro central. Evalo nuevamente la
situacin y luego cruzo la segunda mitad de la va.

Verificar la eficacia de las acciones - funciona?

Ejemplo: Llego al otro lado de la va sano y a tiempo: este plan funcion y se han evitado los resultados no
deseados. Aprender de la experiencia mejora continua
Ejemplo: Repito el plan por varios das, a horas diferentes y con condiciones climticas diferentes. .

Esto me suministra datos para comprender que cambiar el contexto (hora, clima, cantidad de vehculos) afecta
directamente la eficacia del plan e incrementa la probabilidad de que no logre mis objetivos (llegar a tiempo y evitar
las lesiones).
La experiencia me ensea que cruzar la va a determinadas horas del da es muy difcil porque hay muchos
vehculos.
Para limitar el riesgo reviso y mejoro mi proceso usando el puente peatonal a estas horas.
Contino el anlisis de la eficacia de los procesos y Ios reviso cuando cambia el contexto.
Tambin contino considerando las oportunidades innovadoras:
- puedo cambiar el lugar de la reunin de manera que no tenga que cruzar la va?
- - puedo cambiar la hora de la reunin de manera que cruce la va cuando esta est en calma?
- - nos podemos reunir por medios electrnicos?
 CONCLUSIONES

El pensamiento basado en el riesgo no es nuevo.

El pensamiento basado en el riesgo es algo que usted ya hace.

El pensamiento basado en el riesgo es continuo.

El pensamiento basado en el riesgo garantiza mayor conocimiento y preparacin.

El pensamiento basado en el riesgo incrementa la probabilidad de lograr los objetivos.

El pensamiento basado en el riesgo reduce la probabilidad de resultados deficientes.

El pensamiento basado en el riesgo hace que la prevencin sea un hbito.

La Familia 27001
Implementando un SGSI
La ISO 27001
Nivel de Madurez
Gestin por Procesos
LA ISO 27001 (Gestin de Riesgos)
La ISO 27005
La ISO 31000
La ISO 31000
La ISO 31000
Informacin Documentada
 Documentos Necesarios en la implementacin de la ISO 27001
Documentos Captulo de ISO 27001:2013
Alcance del SGSI 4.3
Polticas y objetivos de seguridad de la informacin 5.2, 6.2
Metodologa de evaluacin y tratamiento de riesgos 6.1.2
Declaracin de aplicabilidad 6.1.3 d)
Plan de tratamiento del riesgo 6.1.3 e), 6.2
Informe de evaluacin de riesgos 8.2
Definicin de funciones y responsabilidades de seguridad A.7.1.2, A.13.2.4
Inventario de activos A.8.1.1
Uso aceptable de los activos A.8.1.3
Poltica de control de acceso A.9.1.1
Procedimientos operativos para gestin de TI A.12.1.1
Principios de ingeniera para sistema seguro A.14.2.5
Poltica de seguridad para proveedores A.15.1.1
Procedimiento para gestin de incidentes A.16.1.5
Procedimientos de la continuidad del negocio A.17.1.2
Requisitos legales, normativos y contractuales A.18.1.1
 Registros Necesarios
Captulo de ISO
Registros 27001:2013
Registros de capacitacin, habilidades, experiencia y calificaciones 7.2
Resultados de supervisin y medicin 9.1
Programa de auditora interna 9.2
Resultados de las auditoras internas 9.2
Resultados de la revisin por parte de la direccin 9.3
Resultados de acciones correctivas 10.1

Registros sobre actividades de los usuarios, excepciones y eventos de seguridad A.12.4.1, A.12.4.3
Muchas Gracias!

56