Gestión del Riesgo Organizacional GUÍA DIDÁCTICA N°3 M2-DV34-GU03 MÓDULO 3: NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL © DERECHOS RESERVADOS - POLITÉCNICO SUPERIOR DE COLOMBIA, 2019 Medellín, Colombia Proceso: Gestión Académica Realización del texto: Jehison David Posada Hincapié, Asesor Gramatical Revisión del texto: Duber Castrillón, Rector Diseño: Cristian Quintero, Diseñador Gráfico Editado por el Politécnico Superior de Colombia DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 2 Índice Presentación ..................................................................................4 Competencia específica ...................................................................5 Contenidos temáticos ......................................................................6 TEMA 1 .........................................................................................7 Normas y Estándares Nacionales e Internacionales de la Gestión del Riesgo Empresarial .........................................................................7 TEMA 2 ....................................................................................... 19 Normas y Estándares Nacionales e Internacionales de la Gestión del Riesgo Tecnológico ....................................................................... 19 Recursos disponibles para el aprendizaje ......................................... 27 Ejercicio ...................................................................................... 27 Material complementario ............................................................... 28 Aspectos clave ............................................................................. 29 Referencias bibliográficas .............................................................. 30 DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 3 Presentación La Guía Didáctica N°3 del MÓDULO 3: NORMAS Y ESTÁNDARES DE LA GESTIÓN DEL RIESGO, es un material que ha sido desarrollado para el apoyo y orientación del participante en el diplomado en GESTIÓN DEL RIESGO ORGANIZACIONAL; especialmente, está orientada a la adquisición y consolidación de conocimientos respecto a las distintas normas y estándares que al implementarse, apoyan la gestión integral del riesgo en las organizaciones. Ahora bien, el objetivo central de este módulo es reconocer la importancia de implementar normas y estándares en las organizaciones, con el fin de realizar una adecuada, eficaz y conveniente administración del riesgo y, de esta manera, lograr los objetivos organizacionales y preveer, correctamente, las distintas amenazas que pretendan interferir con el alcance de estos. Para ello, se ha organizado esta guía en dos (2) contenidos temáticos, basados en competencias: (a) Normas y Estándares Nacionales e Internacionales de la Gestión del Riesgo Empresarial y (b) Normas y Estándares Nacionales e Internacionales de la Gestión del Riesgo Tecnológico. DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 4 Competencia específica Se espera que con los temas abordados en la Guía Didáctica N°3 del MÓDULO 3: NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO, el estudiante logre la siguiente competencia específica: Conocer las Normas y Estándares para la Gestión Integral del Riesgo, de tal manera que se implementen correctamente en la administración de riesgos en las empresas. Resultados de aprendizaje: o Identifique las Normas y Estándares Nacionales e Internacionales de la Gestión del Riesgo Empresarial, con el fin de tener criterios suficientes para definir la más adecuada para cada una de los riesgos hallados en las empresas. o Reconozca la importancia de conocer las Normas y Estándares Nacionales e Internacionales de la Gestión del Riesgo Tecnológico, dado que todas las acciones relacionadas con la tecnología de una organización deben planificarse a lo largo del tiempo. DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 5 Contenidos temáticos Normas y Estándares Nacionales e Internacionales de la Gestión del Riesgo Empresarial Normas y Estándares Nacionales e Internacionales de la Gestión del Riesgo Tecnológico NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO Ilustración 1: Contenidos temáticos. Fuente: Autor DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 6 TEMA 1 Normas y Estándares Nacionales e Internacionales de la Gestión del Riesgo Empresarial Las normas ISO (International Organization for Standardization) son documentos que especifican requerimientos que pueden ser empleados en organizaciones para garantizar que los productos y/o servicios ofrecidos por dichas organizaciones cumplen con su objetivo. Hasta el momento la ISO ha publicado alrededor de 19.500 normas internacionales. El objetivo de las normas ISO es asegurar que los productos y/o servicios alcancen la calidad deseada. Para las organizaciones son instrumentos que permiten minimizar los costos, ya que hace posible la reducción de errores y, sobre todo, favorecen el incremento de la productividad. Los estándares internacionales ISO son clave para acceder a mercados nacionales e internacionales y, de este modo, estandarizar el comercio en todos los países favoreciendo a los propios organismos públicos. Para la sociedad, las normas ISO también son importantes. Existen más de 19.500 normas que ayudan a casi todos los aspectos del día a día de una persona, como aquellas destinadas a garantizar la seguridad vial o la seguridad de los juguetes. Si un producto y/o servicio cumple con alguna de estas normativas, la sociedad puede estar segura que son fiables y que cuentan con la calidad exigida a nivel mundial. Durante la elaboración de cualquiera de estas normas, ISO considera que es de gran importancia que los consumidores de estos DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 7 servicios y/o productos finales formen parte de los comités de expertos responsables de dicha elaboración. En los negocios, los estándares ISO hacen posible que se: Reduzcan los costos: permite una optimización de las operaciones. Incremente la satisfacción del cliente: colaboran a mejorar la calidad de los productos y/o servicios cumpliendo con las exigencias de los usuarios. Abra el acceso a nuevos mercados: reducen las barreras al comercio internacional. Incremente la cuota de comercio: aportan una ventaja competitiva. Ilustración 2: Ventajas de los estándares ISO. Fuente: Autor A continuación, se detallarán las normas ISO que, a nivel empresarial, permiten enfrentar los desafíos y riesgos a los que las organizaciones se ven arremetidas en su afán por brindar un buen servicio al cliente u ofrecer un producto que cumpla con todos los requerimientos de calidad. OHSAS 18001 Sistemas de Gestión de Seguridad y Salud en el Trabajo. OHSAS 18001 es una norma británica reconocida internacionalmente que establece los requisitos para la implementación de un Sistema de Gestión de la Seguridad y Salud en el Trabajo en aquellas organizaciones que voluntariamente lo deseen. DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 8 Este Sistema de Gestión de Seguridad y Salud Ocupacional está orientado a la identificación y control de riesgos y a la adopción de las medidas necesarias para prevenir la aparición de accidentes. Esta Norma es certificable y está destinada a organizaciones comprometidas con la seguridad y salud laboral y con la prevención de riesgos laborales siendo una herramienta fundamental y de reconocido prestigio ante las instituciones. Estructura de la OHSAS 18001. Revisión por la dirección Verificación Objeto y campo de aplicación Implementación y operación Planificación Requisitos del SG-SST ESTRUCTURA OHSAS 18001 Publicaciones de consulta Política de SST Requisitos generales Términos y definiciones Ilustración 3: Estructura OHSAS 18001. Fuente: Autor ISO 45001 Será tras su publicación, un estándar internacionalmente reconocido como la norma ISO que contiene los requisitos necesarios para la DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 9 implantación de un Sistema de Gestión de Seguridad y Salud en el Trabajo. Aparece para sustituir a OHSAS 18001, pues ésta es una norma británica y aunque es reconocida internacionalmente no pertenece a la familia ISO, y viene cargada de potencial para disminuir el número de accidentes, salvar vidas y aumentar la moral de los trabajadores. Es una norma que ha sido elaborada en concordancia con el Anexo SL, documento que está rigiendo el desarrollo de las nuevas normas de Sistemas de Gestión de la familia ISO y de las que están siendo revisadas. Novedades respecto a su antecesora OHSAS 18001: Nuevo planteamiento de la definición de riesgo. Revisión del concepto lugar de trabajo y trabajador. Lenguaje más accesible para el sector servicios, para ello se habla de identificación de riesgos y control de riesgos en lugar de peligros. Cambio de mentalidad para la norma pase de ser un estándar de cumplimiento a un estándar de negocio. ISO 22000 Sistema de Gestión de Inocuidad Alimentaria. ISO 22000 es una norma que define y especifica los requisitos para desarrollar e implantar un Sistema de Gestión de Inocuidad Alimentaria. La intención final de este estándar es lograr la armonización internacional de la gran variedad de normas que existen en esta materia y ser un medio que permita alcanzar la mejora continua de la Seguridad Alimentaria. DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 10 Esta norma es aplicable a cualquier organización que esté involucrada con la Seguridad Alimentaria, independientemente de su papel en la misma o tamaño; además, fue pensada para reforzar la Seguridad Alimentaria, fomentar la cooperación entre los entes implicados, asegurar la protección del consumidor y fortalecer su confianza, establecer requisitos de referencia para los Sistemas de Gestión de Inocuidad Alimentaria y para mejorar el rendimiento de los costes en la cadena de suministro alimentaria. Estructura de la ISO 22000 Objeto y campo de aplicación. Validación, verificación y mejora del Sistema de Gestión de Inocuidad Alimentaria. Referencias normativas. Planificación y realización de productos inocuos. Términos y definiciones. Sistema de Gestión de Inocuidad Alimentaria. Gestión de recursos. Responsabilidad de la dirección. Ilustración 4: Estructura ISO 22000. Fuente: Autor DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 11 ISO 22301 Sistema de Gestión de Continuidad de Negocio. Es una norma internacional de gestión de continuidad del negocio Esta ha sido creada en respuesta a la fuerte demanda internacional que obtuvo la norma británica original, BS 25999-2 y otras normas. ISO 22301 identifica los fundamentos de un Sistema de Gestión de la Continuidad de negocio, estableciendo el proceso, los principios y la terminología de gestión de continuidad de negocio. Proporciona una base de entendimiento, desarrollo e implantación de continuidad de negocio dentro de la organización. Se usa para asegurar a las partes interesadas clave que su empresa está totalmente preparada y que puede cumplir con los requisitos internos, regulatorios y del cliente. La norma proporciona a las organizaciones un marco que asegura que ellos pueden continuar trabajando durante las circunstancias más difíciles e inesperadas, siempre protegiendo a sus empleados, manteniendo su reputación y proporcionando la capacidad de continuar trabajando y comercializando. La norma puede ser aplicada a todo tipo y tamaño de organizaciones que quieran: Establecer, implantar, mantener y mejorar un SGCN. Demostrar conformidad con la política establecida de la continuidad de negocio de la organización. Dar a las partes interesadas confianza en su conformidad y compromiso con las buenas prácticas reconocidas internacionalmente. DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 12 Estructura de la norma ISO 22301 Mejora Ambito de aplicación Referencias normativas Evaluación Términos y definiciones Operación Contexto de la organización Soporte Planificación Liderazgo Ilustración 5: Estructura ISO 22301. Fuente: Autor ISO 27001 Sistemas de Gestión de la Seguridad de la Información. Es una norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan. El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la Información permite a las organizaciones la evaluación del riesgo y la aplicación de los controles necesarios para mitigarlos o eliminarlos. La aplicación de ISO-27001 significa una diferenciación respecto al resto, que mejora la competitividad y la imagen de una organización. DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 13 Estructura de la norma ISO 27001 Objeto y campo de aplicación Referencias normativas Mejora Evaluación Términos y definiciones Operación Contexto de la organización Soporte Liderazgo Planificación Ilustración 6: Estructura ISO 27001. Fuente: Autor Las novedades que manifiesta esta norma son: No aparece la sección “enfoque a procesos” con su respectiva metodología basada en el ciclo PHVA, ahora ofrece mayor flexibilidad. Se elimina la obligatoriedad de algunos documentos, conservando únicamente la declaración de aplicabilidad. Se han revisado los requisitos y controles. Se apuesta por un enfoque del análisis del riesgo en la fase de planificación y operación. ISO 28000 Sistema de Gestión de la Seguridad para la Cadena de Suministro. DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 14 La norma ISO 28000 “Especificaciones para los Sistemas de Gestión de la Seguridad para la Cadena de suministro” se lanzó en el 2007. Fue la primera norma internacional dirigida exclusivamente a la seguridad de riesgos en la cadena de suministro. El objetivo de la norma es proporcionar un marco de buenas prácticas para reducir los riesgos para las personas y las cargas en la cadena de suministro. Trata temas potenciales de seguridad en todas las fases del proceso de suministro, centrándose especialmente en las áreas de logística. También, se concentra en mitigar los efectos de los incidentes de seguridad. La estructura de la ISO 28000 es compatible con la norma ISO 9001 e ISO 14001. Esta norma ha sido diseñada para ayudar a la integración en los sistemas de gestión de calidad, medio ambiente y la seguridad de la cadena de suministro dentro de una organización. Se centra en gestionar activamente y reducir los riesgos. Aspectos críticos de seguridad en la cadena de suministro, pueden incluir aspectos financieros, de fabricación, gestión de la información y logística, almacenamiento y depósito de mercancías. Se aplica a organizaciones de todos los tamaños, en los sectores de fabricación, servicios, almacenaje o transporte, y en cualquiera de sus fases de producción o de la cadena de suministro. La norma ISO 28000 de Seguridad de la Cadena de suministro proporciona a las organizaciones: Probar la existencia de un sistema fuerte y seguro de gestión de su cadena de suministro frente a los clientes y las partes interesadas. Proporcionar un enfoque coherente común a todos los proveedores dentro de su cadena de suministro. DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 15 Demostrar que la organización se compromete a alcanzar la satisfacción del cliente. Evaluar sus riesgos de seguridad y a implantar controles o atenuantes para gestionar las amenazas y potenciales impactos en la seguridad de su cadena de suministro. Fácil integración, ya que al utilizar un sistema de gestión basado en el método “Plan-Do-Check-Act” ya implantado y probado en la norma ISO 14001, las organizaciones ya familiarizadas con este enfoque basado en riesgos, podrán utilizar un enfoque similar para analizar los peligros y los riesgos de seguridad de su cadena de suministro. Estructura de la norma ISO 28000 Ambito de aplicación Referencias normativas Términos y definiciones Elementos del sistema de gestión de seguridad Ilustración 7: Estructura ISO 28000. Fuente: Autor DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 16 ISO 31000 Sistema de Gestión de Riesgos Es una norma internacional que ofrece las directrices y principios para gestionar el riesgo de las organizaciones. Esta norma fue publicada en noviembre del 2009 por la Organización Internacional de Normalización (ISO) en colaboración con IEC, y tiene por objetivo que organizaciones de todos los tipos y tamaños puedan gestionar los riesgos en la empresa de forma efectiva, por lo que recomienda que las organizaciones desarrollen, implanten y mejoren continuamente un marco de trabajo cuyo objetivo es integrar el proceso de gestión de riesgos en cada una de sus actividades. Como complemento a esta norma se ha desarrollado otro estándar: la ISO 31010 “Gestión del riesgo. Técnicas de evaluación de riesgos”. Esta norma provee de una serie de técnicas para la identificación y evaluación de riesgos, tanto positivos como negativos. Estructura de la norma ISO 31000 La variedad y complejidad de los riesgos es muy diversa por lo que este estándar internacional no está pensado para un sistema particular de gestión, más bien es una guía de buenas prácticas para las actividades relacionadas con la gestión de riesgos. El diseño y la implantación de la gestión de riesgos dependerá de las diversas necesidades de cada organización, de sus objetivos concretos, contexto, estructura, operaciones, procesos actividades, servicios, etc. El estándar ISO 31000:2009 está estructurado en tres elementos claves para una efectiva gestión de riesgos: DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 17 Los principios para la gestión de riesgos: para una mayor eficacia, la gestión del riesgo en una organización La estructura de soporte o marco de Trabajo. El objetivo de este elemento es integrar el proceso de gestión de riesgos con la dirección, para que esta adquiera un fuerte compromiso con la implantación de la Gestión del Riesgo. En este caso la norma establece una serie de órdenes que debe cumplir la gerencia para asegurar la efectividad de la gestión de riesgos El proceso de gestión de riesgos: este proceso consta de tres etapas: establecimiento del contexto, valoración de riesgos y tratamiento de los mismos. Principios para la gestión de riesgos Crear y proteger el valor Estar integrada en los procesos de una organización Formar parte de la toma de decisiones Tratar explícitamente la incertidumbre Ser sistemática, estructurada y adecuada Basarse en la mejor información disponible Estar hecha a medida Tener en cuenta factores humanos y culturales Ser transparente e inclusiva Ser dinámica, iterativa y sensible al cambio Facilitar la mejora continua de la organización Ilustración 8: Principios para la gestión en la ISO 31000. Fuente: Autor DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 18 TEMA 2 Normas y Estándares Nacionales e Internacionales de la Gestión del Riesgo Tecnológico Todas las acciones relacionadas con la tecnología de una organización deben planificarse a lo largo del tiempo. En momentos cruciales toman la forma de un Plan Tecnológico, lo que implica la identificación y secuenciamiento de las actividades, la asignación de recursos humanos y el empleo de recursos materiales, las necesarias asignaciones económicas y los métodos de control del proceso de las actividades. La planificación se realiza suponiendo que todo va a suceder de acuerdo con lo que se ha pensado y valorado. No obstante, durante la puesta en marcha de cualquier actuación relacionada con la tecnología pueden surgir acontecimientos indeseables en la planificación inicial de actividades. Para contribuir a incrementar el éxito de estos proyectos se es necesario una adecuada gestión de los riesgos y la aplicación de planes de contingencia. La dirección de la gestión de la tecnología de la empresa debe tener previstas actuaciones en el caso de que los riesgos que se hayan identificado se presenten realmente. El simple conocimiento de los riesgos de una actividad ya supone una ventaja al facilitar un estado de alerta sobre los mismos que disminuye sus consecuencias indeseables en caso de producirse. Los riesgos tecnológicos son percibidos como fenómenos controlables por el hombre o riesgos que son fruto de su actividad. Algunos riesgos están directamente relacionados con diversas actividades empresariales. DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 19 Los riesgos tecnológicos existen en los países ricos, así como en los países pobres o en desarrollo. A continuación, se presentan el Estándar Australiano AS/NZS 4360 y la Norma Técnica Colombiana NTC 5254 como herramientas que permiten enfrentar y administrar el riesgo tecnológico en las organizaciones que así lo requieran. ESTANDAR AUSTRALIANO AS/NZS 4360 Este estándar provee una guía genérica para el establecimiento e implementación del proceso de administración de riesgos involucrando el establecimiento del contexto y la identificación, análisis, evaluación, tratamiento, comunicación y el monitoreo en curso de los riesgos. Este estándar puede ser aplicado a todas las etapas de la vida de una actividad, función, proyecto, producto o activo. El beneficio máximo se obtiene, generalmente, aplicando el proceso de administración de riesgos desde el principio. El ejecutivo de la organización debe definir y documentar su política para la administración de riesgos, incluyendo objetivos y su compromiso con la administración de riesgos. La política de administración de riesgos debe ser relevante para el contexto estratégico de la organización y para sus metas, objetivos y la naturaleza de su negocio. La gerencia asegurará que esta política sea comprendida, implementada y mantenida en todos los niveles de la organización. Compromiso gerencial. La organización debería asegurar que: a) Se ha establecido, implementado y mantenido un sistema de administración de riesgos, de acuerdo con este Estándar. DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 20 b) Se reporta el desempeño del sistema de administración de riesgos a la gerencia de la organización para revisión y como base para su mejora. Responsabilidad y autoridad. Deberá definirse y documentarse la responsabilidad, autoridad e interrelaciones del personal que realiza y verifica el trabajo que afecta la administración de riesgos, particularmente para la gente que necesita la libertad y autoridad organizacional para realizar una o más de las siguientes acciones: a) Iniciar acciones para prevenir o reducir los efectos adversos de los riesgos. b) Controlar el tratamiento posterior de los riesgos hasta que el nivel de riesgo sea aceptable. c) Identificar y registrar cualquier problema relativo a la administración de riesgos. d) Iniciar, recomendar o proveer soluciones a través de los canales asignados. e) Verificar la implementación de soluciones. f) Comunicar y consultar interna y externamente según corresponda. Recursos La organización debe identificar los requerimientos de recursos y proveer recursos adecuados, incluyendo la asignación de personal entrenado para las actividades de administración, desempeño del trabajo y verificación incluyendo la revisión interna. Programa de implementación. Se requiere seguir una cantidad de pasos para implementar un sistema efectivo de administración de riesgos dentro de una organización. Dependiendo de la filosofía, cultura y estructura general de administración de riesgos de la organización, debería ser posible combinar u omitir ciertos pasos. Sin embargo, deberían considerarse todos los pasos. DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 21 Revisión gerencial. El ejecutivo de la organización debe asegurar que se lleve a cabo una revisión del sistema de administración de riesgos a intervalos especificados, suficiente para asegurar su continua conformidad y efectividad para satisfacer los requerimientos de este estándar, y las políticas y objetivos de administración de riesgos establecidos en la organización. Deberá llevarse un registro de tales revisiones. Elementos principales. Ilustración 9: Elementos principales Estándar Australiano AZ/NZS 4360. Fuente: Autor DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 22 Norma técnica colombiana NTC 5254 La norma técnica colombiana de gestión del riesgo 5254 es una norma de amplia aceptación y reconocimiento a nivel mundial para la gestión de riesgos independiente de la industria o el negocio que desee emplearla. Alcance y aplicación. Este estándar provee una guía genérica para el establecimiento e implementación el proceso de administración de riesgos involucrando el establecimiento del contexto y la identificación, análisis, evaluación, tratamiento, comunicación y el monitoreo en curso de los riesgos. Objeto. Esta norma tiene como objeto proporcionar una guía para permitir a cualquier empresa el logro de: Mejor identificación de oportunidades y amenazas Tener una base rigurosa para la toma de decisiones y la planificación Gestión proactiva y no reactiva Mejorar la conformidad con la legislación pertinente Mejorar la gestión de incidentes y la reducción de las pérdidas y el costo del riesgo. Comunicación y consulta. Fuera de lo ya dicho para esta etapa, es importante desarrollar un plan de comunicación tanto para las partes involucradas internas como externas en las primeras etapas del proceso. Este plan debería abordar temas relacionados con el riesgo en sí y con el proceso para gestionarlo. DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 23 Lo anterior se desarrolla con el objetivo de asegurar que los responsables de implementar la gestión del riesgo y los directamente interesados entiendan la base sobre la cual se toman las decisiones y por qué́ de las acciones particulares requeridas. Es útil un enfoque de equipo consultivo para facilitar la definición adecuada del contexto, asegurar la eficaz identificación de los riesgos, para unir diferentes áreas de pericia para el análisis de los mismos y, así, asegurar que se tienen diferentes puntos de vista sobre ellos y la adecuada gestión durante su tratamiento. Los registros de este proceso dependerán de factores tales como la escala y la sensibilidad de la actividad. Establecimiento Del Contexto. El establecimiento del contexto es necesario para definir los parámetros básicos dentro de los cuales deben administrarse los riesgos y para proveer una guía para las decisiones dentro de estudios de administración de riesgos más detallados. Esto establece el alcance para el resto del proceso de administración de riesgos. Deben incluirse el ambiente interno y externo y sus interfaces correspondientes. Identificación De Los Riesgos. Esta fase busca identificar los riesgos que se han de gestionar, usando un proceso sistemático bien estructurado, ya que un riesgo no identificado en esta etapa puede ser excluido de un análisis posterior. DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 24 Análisis De Los Riesgos. El análisis del riesgo consiste en desarrollar el entendimiento del riesgo. Suministra una entrada para las decisiones sobre si es necesario tratar los riesgos y las estrategias de tratamiento del riesgo más adecuadas y eficaces en términos de costo. El análisis implica la consideración de las fuentes de riesgo, sus consecuencias positivas y negativas y la posibilidad de que dichas ocurrencias puedan ocurrir. Análisis de sensibilidad. Debido a que de las estimaciones hechas en el análisis de riesgo son imprecisas, es conveniente realizar un análisis de sensibilidad para probar el efecto de la incertidumbre en los supuestos y los datos. El análisis de sensibilidad también es una forma de probar la idoneidad y eficacia de los controles potenciales. Evaluación De Los Riesgos. El propósito de la evaluación del riesgo es tomar decisiones, basadas en los resultados del análisis del riesgo. La evaluación del riesgo implica comparación del nivel de riego hallado durante el proceso de análisis con los criterios de riesgo establecidos al considerar el contexto. Tratamiento De Los Riesgos. El tratamiento del riesgo implica la identificación de opciones para tratar los riesgos, la valoración de tales opciones y la preparación e implementación de los planes de tratamiento. DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 25 Monitoreo Y Revisión. La revisión continua es esencial para garantizar que el plan de gestión sigua siendo pertinente. El monitoreo y la revisión implica lecciones de aprendizaje debido a los procesos de gestión de riesgo, mediante la revisión de eventos, los planes de tratamiento y sus resultados. DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 26 Recursos disponibles para el aprendizaje Para desarrollar las habilidades y destrezas necesarias en cada competencia, es muy importante que tengas acceso a los recursos didácticos adecuados. Ahora bien, si quieres ampliar la información que se ha presentado, te sugerimos revisar el Vídeo: “La administración Integral de Riesgos”, disponible en: https://www.youtube.com/watch?v=jk5jyefCNk0 Te recomendamos Si quieres profundizar en las cinco disciplinas que nos propone el autor Peter Senge para generar organizaciones inteligentes u organizaciones que aprenden, te sugerimos la lectura del documento de apoyo denominado “Gestión de Riesgos Empresariales: Marco de Revisión ISO 31000”. Disponible en el Campus Virtual. Ejercicio Ahora que has revisado algunos conceptos y que conoces su alcance de acuerdo a la temática planteada en este módulo de formación, te invitamos a realizar una revisión de la matriz de requisitos legales a la luz de la información expuesta en la guía y, a partir de los recursos de aprendizaje propuestos, con el fin de documentar aquellos requisitos que la gestión del riesgo propone para su implementación. ¡Inténtalo! DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 27 Material complementario Si quieres ampliar la información, te sugerimos revisar el Vídeo sobre la administración integral de riesgos, disponible en: https://www.youtube.com/watch?v=jk5jyefCNk0 Igualmente, te sugerimos revisar las siguientes lecturas: “Gestión de Riesgos Empresariales: Marco de Revisión ISO 31000”, disponible en: http://www.revistaespacios.com/a17v38n59/a17v38n59p08.pdf “Aplicación del estándar australiano de administración del riesgo AZ/NZS en la empresa GECELCA”, disponible en: rcientificas.uninorte.edu.co/index.php/pensamiento/article/view/ “Estándar Australiano AS-NZ 4360-1999 y Norma Técnica Colombiana NTC 5254”, disponible en: www.prezi.com DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 28 Aspectos clave Recuerda algunos aspectos abordados en el módulo: El objetivo de las normas ISO es asegurar que los productos y/o servicios alcancen la calidad deseada. Para las organizaciones son instrumentos que permiten minimizar los costos, ya que hace posible la reducción de errores y, sobre todo, favorecen el incremento de la productividad. La dirección de la gestión de la tecnología de la empresa debe tener previstas actuaciones en el caso de que los riesgos que se hayan identificado se presenten realmente. Los riesgos tecnológicos son percibidos como fenómenos controlables por el hombre o riesgos que son fruto de su actividad. El estándar australiano AZ/NZS puede ser aplicado a todas las etapas de la vida de una actividad, función, proyecto, producto o activo. El beneficio máximo se obtiene, generalmente, aplicando el proceso de administración de riesgos desde el principio. DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 29 Referencias bibliográficas Norma Técnica Colombiana NTC 18001. Sistema de Gestión de Norma Técnica Colombiana NTC 45001. Sistema de Gestión de Seguridad y Salud Ocupacional. Seguridad y Salud Ocupacional. Norma Técnica Colombiana NTC 22000. Sistema de Gestión de la Seguridad Alimentaria. Norma Técnica Colombiana NTC 22301. Sistema de Gestión de la Continuidad del Negocio. Norma Técnica Colombiana NTC 27001. Sistema de Gestión de la Seguridad de la Información. Norma Técnica Colombiana NTC 28000. Sistema de Gestión de la Seguridad para la Cadena de Suministro. Norma Técnica Colombiana NTC 31000. Sistema de Gestión de Riesgos. Norma Técnica Colombiana para la Gestión del Riesgo Tecnológico NTC 5254. Estándar australiano de administración del riesgo AS/NZS: 4360 DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 30 Esta guía fue elaborada para ser utilizada con fines didácticos como material de consulta de los participantes en el Diplomado Virtual en Gestión del Riesgo Organizacional del Politécnico Superior de Colombia, y solo podrá ser reproducida con esos fines. Por lo tanto, se agradece a los usuarios referirla en los escritos donde se utilice la información que aquí se presenta. Derechos reservados POLITÉCNICO SUPERIOR DE COLOMBIA, 2019 Medellín, Colombia DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL | GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL RIESGO 31