NORMA TECNICA
COLOMBIANA
5254
Esta norma ofrece unos requisitos generales para el establecimiento e implementación del proceso de gestión del riesgo, que involucra la determinación del contexto y la identificación, análisis, evaluación, tratamiento, comunicación y monitoreo regular de los riesgos.
GESTION DEL RIESGO
• Los objetivos de la gestión de riesgos son identificar, controlar y eliminar las fuentes de riesgo antes de que empiecen a afectar al cumplimiento de los objetivos del proyecto.
• Cultura, procesos y estructuras dirigidas a obtener oportunidades
Potenciales mientras se administran los efectos adversos.
• La gestión de riesgo es una parte integral de la buena gestión. Es un proceso iterativo de mejora continua que se arraiga mejor en prácticas o procesos de negocio existentes.
PARA QUE SIRVE?
• Mejorar la identificación de oportunidades y amenazas.
• Ganar valor a partir de la incertidumbre y la variabilidad.
• Para hacer una gestión proactiva y no reactiva.
• Asignación y uso más eficiente de los recursos.
• Mejorar la gestión de incidentes y la reducción en las pérdidas y el costo del riesgo.
• incluyendo primas de seguros comerciales.
• Mejorar la confianza de las partes involucradas.
• Mejorar la conformidad con la legislación pertinente.
• Mejor dirección corporativa.
NUMERALES
INTRODUCTORIOS
1. Alcance de generalidades
1.1 Alcance y aplicación
1.2 Objetivo1.3.11 Probabilidad
1.3.12 Riesgo residual
1.3.13 Riesgo
1.3.14 Análisis de riesgo
1.3.15 Valoración de riesgo
1.3.16 Evitar el riesgo
1.3.17 Criterio del riesgo
1.3.18 Evaluación del riesgo
1.3.19 Identificación del riesgo
1.3.20 Gestión del riesgo
1.3.21 Proceso de gestión de riesgo
1.3.22Sistema para la gestión de riesgo
1.3.23 Reducción del riesgo
1.3.24 Retención del riesgo
1.3 Definiciones
1.3.1 Consecuencias
1.3.2 Control
1.3.3 Evaluación de control
1.3.4 Eventos
1.3.5 Frecuencia
1.3.6 Peligro
1.3.7 Posibilidad
1.3.8 Perdida
1.3.9 Monitorear
1.3.10 Organización
NUMERALES APLICABLES
1.4 Terminología de traducción
1.5 Documentos y referencias
2 Visión general del proceso de gestión de riesgo
2.1 Generalidades
2.2 Elementos principales
3 proceso de la gestión de riesgo
3 .1 comunicación en consulta.
3.2 Establecimiento del contexto
3.2.1 Generalidades
3.2.2 establecimientos del contexto externo
3.2.3 Establecimiento del contexto interno
3.2.4 Establecimiento de la gestión de riesgo
3.2.5 Desarrollo del criterio del riesgo
3.2.6 Definición de la estructura del resto del proceso
3.3 Identificación de los riesgos
3.3.1 Generalidades
3.3.2 ¿que puede suceder, donde y cuando?
3.3.3 ¿porque y como puede suceder?
3.4 Análisis de los riesgos
3.4.1 Generalidades
3.4.2 Evaluación de los controles existentes
3.4.3 Consecuencias y posibilidad
3.4.4 Tipos de análisis
3.4.5 Análisis de sensibilidad
3.5 Evaluación de los riesgos
3.6 Tratamiento de los riesgos
3.6.1 Generalidades
3.6.2 Identificación de las opciones para el tratamiento de los riesgos como resultados positivos
3.6.3 Identificación de las opciones para el tratamiento de los riesgos con resultados negativos
3.6.4 Valoración de las opciones para tratar el riesgo
3.6.5 Preparación e implementación de los planes de tratamiento
3.7 Monitoreo y revisión.
NUMERAL 2
• Comunicar y consultar con las partes involucradas, internas y externas, según sea Adecuado, en cada etapa del proceso de gestión de riesgo y relacionadas con el Proceso como un todo.
• Establecer el contexto interno y externo de la gestión de riesgo en el cual tendrá lugar el resto del proceso. Se recomienda establecer los criterios frente a los cuales se evaluará el riesgo y definir la estructura del análisis.
Identificar dónde, cuándo, por qué y cómo podrían los eventos prevenir, degradar, retardar o potenciar el logro de los objetivos
• Comparar los niveles estimados de riesgo frente a los criterios preestablecidos y Considerar el equilibrio entre beneficios potenciales y resultados adversos. Esto permite Tomar decisiones sobre el grado y la naturaleza de los tratamientos requeridos y sobre Las prioridades.
• Desarrollar e implementar estrategias específicas eficaces en términos de costos y planes de acción para incrementar los beneficios potenciales y reducir las perdidas potenciales.
• Identificar y evaluar los controles existentes.
• Determinar las consecuencias y la posibilidad y por ende el nivel del riesgo.
• En este análisis se debería tener en cuenta el Rango de consecuencias potenciales y cómo éstas podrían ocurrir.
• Es necesario monitorear la eficacia de todas las etapas del proceso de gestión de riesgo. Esto es importante para la mejora continúa.
• Es necesario monitorear los riesgos y la eficacia de las medidas de tratamiento para asegurar que las circunstancias cambiantes no alteran las prioridades.
• La gestión de riesgo se puede aplicar en muchos ámbitos en una organización. Se puede aplicar en los niveles estratégico, táctico y operacional.
• Se puede aplicar a proyectos, en la toma de decisiones específicas o para manejar áreas reconocidas de riesgo.
• En cada etapa del proceso, es recomendable conservar registros que permitan que las decisiones se entiendan como parte de un proceso de mejora continua.
NUMERAL 3
- se debe realizar un análisis de sensibilidad
Para realizar la evaluación del riesgo se debe tener en cuenta los- debemos hablar con las partes involucradas, para identificar y registrar sus percepciones de riesgo e involucrarlas en las decisiones.
- se debe establecer el contexto externo e interno para definir los parámetros en los cuales se deben gestionar los riesgos
- se debe establecer objetivos, metas, estrategias alcance y parámetros de la actividad o a la parte de la organización a la cual se aplicará el proceso de gestión de riesgo
- decidir los criterios frente a los cuales se va a evaluar el riesgo
- identificar los riesgos que se van a gestionar
- se debe generar una lista de las fuentes de riesgo y de los eventos que pueden tener impacto en el logro de cada uno de los objetivos
- debemos incluir listas de verificación, juicios basados en la experiencia y los registros, diagramas de flujo, lluvia de ideas, análisis de sistemas, análisis de escenario y técnicas de ingeniería de sistemas.
- La forma de análisis debe ser consistente con los criterios de evaluación del riesgo
- objetivos de la organización y la extensión de la oportunidad que podría resultar.
- en los planes de tratamiento debemos incluir: acciones propuestas, requisitos de recursos, responsabilidades, cronograma, medidas de desempeño requisito de presentación de informes y monitoreo.
- se debe hacer una revisión continua para garantizar que el plan de gestión sigue siendo pertinente
- se debe registrar adecuadamente cada etapa del proceso de gestión de riesgo, así como los supuestos, los métodos, las fuentes de datos, los análisis, los resultados y los motivos para las decisiones.
- utilizar fuentes de información y técnicas, en el análisis de las
- secuencias y posibilidad.
NUMERAL 4
• Se puede arraigar la gestión de riesgo en todas las prácticas y los procesos importantes del negocio de la organización de manera tal que sea pertinente, eficaz, eficiente y sostenida.
• En particular, la gestión de riesgo debe estar arraigada en el desarrollo de la política, en la planificación estratégica y del negocio y en los procesos de gestión del cambio.
Es importante que la alta dirección esté consciente y se comprometa con la gestión de riesgo.
Ello se puede lograr con:
• la obtención del apoyo activo y continuo de los directores de la organización y los altos ejecutivos, para la gestión de riesgo y para el desarrollo y la implementación del plan y la política de gestión de riesgo.
• la designación de un alto director u otro líder (o equipo) similar para liderar y patrocinar las iniciativas.
• la obtención del compromiso y el apoyo de todos los altos directores para la ejecución del plan de gestión de riesgo.
• La junta de la organización o su parte ejecutiva debería definir y documentar su política para la gestión de riesgo, incluyendo los objetivos de la gestión de riesgo y su compromiso con ella. La política puede incluir:
- objetivos y motivos para la gestión de riesgo;
• - vínculos entre la política y los planes estratégicos de la organización asegurar el grado adecuado de reconocimiento, recompensa, aprobación y sanción.
• El proceso de gestión de riesgo debe estar adaptado a la organización, sus políticas, procedimientos y cultura teniendo en cuenta el proceso de revisión descrito en el numeral 4.2.
• La organización debería identificar los requisitos de recursos para la gestión de riesgo. Ésta debería incluir:
- personas y habilidades;
- procesos y procedimientos documentados;
- sistemas de información y bases de datos.
