8/12/2019 ISO 31000 & ISO 22301 BSI
1/31
p.1 v.20
Gestin de riesgos ISO 31000 y suintegracin en la nueva ISO 22301ngel Escorial Bonet,
Director General, Riskia, S.A.
Vocal de la Junta Directiva de AGERS
8/12/2019 ISO 31000 & ISO 22301 BSI
2/31
p.2 v.20
ndice1. Antecedentes
2. Definiciones y estndares
3. ISO 31000
4. ISO 31000 & ISO 22301
5. Conclusiones
8/12/2019 ISO 31000 & ISO 22301 BSI
3/31
p.3 v.20
Antecedentes
8/12/2019 ISO 31000 & ISO 22301 BSI
4/31
p.4 v.20
Antecedentes Orgenes de la continuidad del negocio en las actividades
de recuperacin tras siniestro - IT Disaster Recovery(Imbach Belfor)
Los riesgos se enfocaron a IT especialmente con Y2K(Swiss Re)
El 11S produjo un cambio radical seguido por las
pandemias aviar y porcina (Riskia) Hoy en da es admitido que se deben considerar todas las
fuentes de riesgo que puedan causar interrupciones
Con la crisis los recursos se han reducido: Priorizacin En este escenario, la gestin del riesgo es fundamental
para la efectividad de la continuidad del negocio-G31000
8/12/2019 ISO 31000 & ISO 22301 BSI
5/31
p.5 v.20
G31000 & AGERS AGERS es el foro de la Gestin de Riesgos en Espaa Casi 200 miembros (Gerentes de Riesgos, Despachos de abogados y
consultores, Compaas y corredores de seguros) que confluyen en
AGERS para debatir sobre la gestin de riesgos y los seguros. Desde 1984 AGERS difunde la metodologa cientfica de la Gerencia
de Riesgos y especialmente en el sector industrial. Tiene delegados in Catalua, Andalucia,
Celebra un Congreso Anual en Mayo, una Jornada Anual derenovaciones de seguros en Noviembre, y varios foros, cursos, Trabaja mediante Comisiones y Grupos de Trabajo y tiene un GT
especfico ISO31000 que es miembro del GET 13 y ha sido delegadode Espaa en la ltima reunin de Dubln del PC262
Ha colaborado activamente en la 1 Encuesta Global ISO31000 y hasido invitada a Pars para la presentacin de resultados.
AGERS es miembro de FERMA, IFRIMA y ALARYS
8/12/2019 ISO 31000 & ISO 22301 BSI
6/31
p.6 v.20
Definiciones y estndares
8/12/2019 ISO 31000 & ISO 22301 BSI
7/31
p.7 v.20
Riesgo & RM Riesgo en ISO 31000 / Gua ISO 73 (def. 1.1)
Efecto de la incertidumbre sobre la consecucin de los objetivos
Gestin del Riesgo (RM) /Gua ISO 73 (def. 2.1) Actividades coordinadas para dirigir y controlar una organizacin enlo relativo al riesgo.
Replicadas en ISO 22301 como defs. 3.48 y 3.51 (en ingls)
Otras defs. de la Gua ISO 73 en ISO 22301 Apetito por el riesgo (def. 3.49) Apreciacin del riesgo (def. 3.50)
Suceso (def. 3.17)
8/12/2019 ISO 31000 & ISO 22301 BSI
8/31
p.8 v.20
Estndares de RM Hasta la publicacin de la ISO 31000 se han empleado
modelos ad-hoc para algunas actividades: COSO
BASILEA SOLVENCIA UNE150008,
as como algn otro modelo de carcter INTEGRAL de
Risk Management entre los que destacamos: Modelo FERMA 2003 la Norma Australiana-Neo Zelandesa AS/NZS 4360:2004
La ISO 31000:2009 se desarrolla en un documento de
cinco clusulas y un anexo y se complementa con: Gua ISO 73:2009 Vocabulario
ISO 31010:2009 Tcnicas de apreciacin de riesgos
8/12/2019 ISO 31000 & ISO 22301 BSI
9/31
p.9 v.20
Riesgo & RM
RiskRisk managementManaging risks
Risk is the effect of uncertainty on objectivesRisk management refers to the architecture(principles, framework and process) formanaging risks.Managing risks refers to applying that
architecture to particular risks.
RisqueManagement du risque
Grer le risque
Risque est leffet de lincertitude sur latteintedes objectifsLe management du risque se rfre a la structure(principe, cadre organisationnel et processus)
permettant de grer le risque avec efficacit.Grer le risque se rfre lapplication de cettestructure aux risques particuliers.
Riesgo s/def. en francs
Gerencia de riesgos vs. Gestin de riesgos
Espaol en Amrica?
8/12/2019 ISO 31000 & ISO 22301 BSI
10/31
p.10 v.20
Continuidad del Negocio & BCM Continuidad del Negocio en ISO 22301 (def.3.3-aeb)
Capacidad de una organizacin para continuar suministrandoproductos o servicios a niveles aceptables previamentedeterminados tras un evento disruptivo.
Gestin de la Continuidad del Negocio-BCM (def. 3.4-aeb) Proceso de gestin integral que identifica potenciales amenazas a
una organizacin y los impactos que podran causar a lasoperaciones de su negocio si esas amenazas se materializaran
Y que proporciona un marco para construir la resiliencia de laorganizacin con capacidad de respuesta efectiva que salvaguardelos intereses de sus grupos de inters-stakeholders clave, lareputacin, la marca y las actividades que crean valor.
8/12/2019 ISO 31000 & ISO 22301 BSI
11/31
p.11 v.20
Hay estndares nacionales de BCM BS25999 partes 1 y 2
NFPA1600
ASIS.SPC1 2009 ASIS/BSi:2010
SS540
AS/NZ5050
MS1970:2007
CSA Z 1600:08
8/12/2019 ISO 31000 & ISO 22301 BSI
12/31
p.12 v.20
y estndares ISO de BCM ISO 22301 (recin publicada)
ISO 22313 (Final Draft para finales de 2012)
ISO/IEC 27031 Y desarrollos relacionados con ISO BCM
ISO 22323 (resiliencia organizacional)
Continuidad en la cadena de negocio Continuidad ICT Ensayos Gestin de crisis/incidentes Y otras 8 en la serie de societal security
8/12/2019 ISO 31000 & ISO 22301 BSI
13/31
p.13 v.20
ISO31000
8/12/2019 ISO 31000 & ISO 22301 BSI
14/31
p.14 v.20
ISO 31000 Tiene como objetivo ayudar a las organizaciones de todo
tipo y tamao a gestionar sus riesgos con efectividad. Este estndar ISO proporciona los principios, el marco y
un proceso destinado a gestionar cualquier tipo de riesgoen una manera transparente, sistemtica y creble dentrode cualquier alcance o contexto.
Recomienda que las organizaciones desarrollen,implementen y mejoren en forma continua el marco degestin de riesgos como un componente del sistemaintegral de gestin de la organizacin.
ISO 31000 es un documento prctico que busca ayudar alas organizaciones en el desarrollo de su propia estrategiapara gestionar sus riesgos. NO es un estndar certificable.
8/12/2019 ISO 31000 & ISO 22301 BSI
15/31
p.15 v.20
ISO 31000a) Crea valor.b) Esta integrada en los
procesos de laorganizacin.
c) Forma parte de la toma
de decisiones.d) Trata explcitamentela incertidumbre.
e) Es sistemtica,estructurada yadecuada
f) Est basada en lamejor informacin
disponible.g) Est hecha a medida.h) Tiene en cuenta
factores humanos yculturales.
i) Es transparente einclusiva.
j) Es dinmica, iterativa
y sensible al cambio.k) Facilita la mejoracontinua de laorganizacin.
Principios (Clusula 3)
Compromisode la Direccin
(4.2)
Diseo de laestructura de
soporte (4.3)
Mejora
continua de laestructura (4.6)
Implantacinde la gestinde riesgos
(4.4)
Seguimiento y
revisin de laestructura(4.5)
Estructura (Clusula 4)
Establecer el contexto(5.3)
Analizar losriesgos(5.4.3)
Evaluar losriesgos(5.4.4)
Tratar los riesgos(5.5)
Identificar los riesgos(5.4.2)
Evaluacin deriesgos (5.4)
Proceso (Clusula 5)
8/12/2019 ISO 31000 & ISO 22301 BSI
16/31
p.16 v.20
Ciclo P-D-C-A o "Crculo de Deming"
Planificar
Implementar
Mantener y
Mejorar
Controlar yRevisar
Plan
Act Do
Check
Fijar objetivos y procesos necesariospara obtener resultados esperados
Implementar los nuevos procesosRecopilar datos de control, analizarlos ycompararlos con los objetivos iniciales
Modificar los procesos paraalcanzar los objetivos iniciales
8/12/2019 ISO 31000 & ISO 22301 BSI
17/31
p.17 v.20
P-D-C-A
Ciclo de Deming en RM
Compromiso de la direccin (4.!
Dise"o de la estr#ct#ra para $estionar los ries$os (4.%! Comprender la organizacin y su contexto (!"!#$ %stablecimiento de la pol&tica de gestin de riesgos (!"!'$
Responsabilidad (!"!"$ Integracin en los procesos de la organizacin (!"!$ Recursos (!"!$ %stablecimiento de mecanismos de comunicacin interna e informacin (!"!)$ %stablecimiento de mecanismos de comunicacin externa e informacin(!"!*$
Mejora contin#a de la estr#ct#ra (4.&! Implantacin de la 'estin de Ries$os(4.4! Implantacin de la estructura para gestionar losriesgos (!!#$
Implantacin del proceso de gestin de riesgos(!!'$
e$#imiento y revisin de la estr#ct#ra (4.)!
8/12/2019 ISO 31000 & ISO 22301 BSI
18/31
p.18 v.20
ISO 31000 & ISO 22301
8/12/2019 ISO 31000 & ISO 22301 BSI
19/31
p.19 v.20
RM & BCM RM es generalista vs. BCM ha sido/es especialista
RM coordina con otros sistemas de gestin
RM proporciona un marco para priorizar los recursos RM es una referencia comn para la comunicacin
Tratamiento de la resiliencia: El cambio es algo normal
Tratamiento proactivo de RM (ISO 31000 vs COSO) Tratamiento reactivo de BCM sobre las interrupciones
8/12/2019 ISO 31000 & ISO 22301 BSI
20/31
p.20 v.20
RM & BCM
8/12/2019 ISO 31000 & ISO 22301 BSI
21/31
p.21 v.20
ISO 31000 & BCM NO hay refs. al BCM en la ISO 31000
Posiblemente RM ve BCM como una frmula de tratamiento paraciertos tipos de riesgos
En este caso, el tipo de riesgos ms adaptables a este esquema deBCM son Sucesos de baja probabilidad y alto impacto Accidentes catastrficos impredecibles
8/12/2019 ISO 31000 & ISO 22301 BSI
22/31
p.22 v.20
ISO 22301 & RM ISO 22301
Es un estndar recin lanzado A diferencia de ISO 31000 es un estndar auditable y certificable
por un organismo acreditado de certificacin
que dice:
La organizacin establecer, implementar y mantendr unproceso de apreciacin de riesgos formal y documentado queperidicamente identifique, analice y evale el riesgo de incidentesque interrumpan los procesos de la organizacin.
Este proceso PODRA estar basado en ISO 31000
8/12/2019 ISO 31000 & ISO 22301 BSI
23/31
p.23 v.20
Que puede aportar ISO 31000 a BCM ISO 31000 adems de no certificable, no aporta una
clasificacin de los riesgos y las amenazas.
Para RM se recurre a otras fuentes como la clasificacin de riesgos
de FERMA. En BCM hay que buscar fuentes de riesgo del tipo del informe PwC
CEO Survey 2010 (pags. 16-19/40)
Lo que si aporta ISO 31000 (principios y directrices) es unmarco integral, sistemtico y adaptable para la gestin delos riesgos.
En la ISO 31010 (tcnicas de apreciacin del riesgo) se
aporta un abanico de 31 tcnicas (no excluyente) para laapreciacin de los riesgos entre los que se puedenseleccionar los ms apropiados para la BCM
8/12/2019 ISO 31000 & ISO 22301 BSI
24/31
p.24 v.20
Proceso para la gestin del riesgosegn la norma ISO 31000
Fuente: ISO 31000
8/12/2019 ISO 31000 & ISO 22301 BSI
25/31
p.25 v.20
BCM clsico resulta insuficiente RRHH + IT + Emplazamientos y suministros
Module I Version 2.0 Policy, Programme Management & Culture
Ciclo de vida de la BCM BCMS
8/12/2019 ISO 31000 & ISO 22301 BSI
26/31
p.26 v.20
Los negocios hoy en da son cada da ms dependientes de:
Globalizacin de los negocios (vinos del priorato a China) y de lacadena de suministros
Outsourcing & offshoring Producciones a bajo coste Logsticas JiT Proteccin de la imagen de la marca
y adems cada hoy estn ms afectados por:
TV 24h Redes sociales y otros medios on line Creciente vigilancia del regulador Multas y penalizaciones por incumplimientos de contratos
8/12/2019 ISO 31000 & ISO 22301 BSI
27/31
p.27 v.20
Por qu las Compaas inician BCM? Principales motores para establecer un sistema BCM
(s/. BCI Survey 2012)
1. Requisitos regulatorios
2. Requisitos legales o estatutarios
3. Experiencia directa de un incidente grave / crisis
4. Requisitos de clientes
5. Requisitos de la competencia6. Experiencia indirecta de un incidente grave / crisis
7. Compromisos y existencia de sistemas de gestin
8. Nuevos equipos de Direccin9. Otros
8/12/2019 ISO 31000 & ISO 22301 BSI
28/31
p.28 v.20
Los impactos1. Prdidas de productividad
2. Incrementos de los costes de proceso
3. Prdidas de ingresos directos
4. Incrementos en las reclamaciones de clientes
5. Retrasos en el cash flow
6. Retrasos en el suministro de productos7. Daos a la marca y la reputacin
8. Multas o incrementos de la inspeccin regulatoria
9. Retirada de productos
10.Preocupacin de accionistas y cada de valor accionarial
8/12/2019 ISO 31000 & ISO 22301 BSI
29/31
p.29 v.20
Conclusiones
8/12/2019 ISO 31000 & ISO 22301 BSI
30/31
p.30 v.20
Conclusiones1. RM funciona correctamente para los fenmenos
conocidos (known knowns) y para los sucesos noextremos.
2. BCM est basado en impactos y escalas de tiempos (noen probabilidades).
3. Los impactos en el negocio se miden por lo que ya no se
puede hacer, no por lo que ha sucedido para causarlo.4. Los cisnes negros y el manejo de los desconocidos
(unknown unknowns) son bsicos en el proceso de BCM.
5. BCM & RM deben estar mejor alineados.
8/12/2019 ISO 31000 & ISO 22301 BSI
31/31
p.31 v.20
Muchas gracias.
Para informacin adicional:ngel Escorial Bonet
Director General Riskia, S.A.
Vocal de la Junta Directiva de [email protected]
Top Related