Capacitacion Iso 31000 2018.pdf

INTELIGENCIA ARTIFICIAL APLICADA A LA GESTIÓN DE RIESGOS

www.ro-sas.com

www.ro-sas.com

www.ro-sas.com

AVISO IMPORTANTE La presente información fue elaborada por Restrepo Oramas SAS con propósitos exclusivamente académicos, teniendo como base la experiencia profesional adquirida en los últimos 27 años, lo cual permitió realizar un juicioso análisis y conceptualización sobre los documentos originales de las normas ISO 31000:2018 e ISO FDIS 31010. Restrepo Oramas SAS, no se hace responsable sobre cualquier tipo de decisión tomada con base en la información de carácter académico incluida en esta presentación. El presente documento es para uso exclusivo de quien recibe de manera directa esta información por parte de Restrepo Oramas SAS; quedando prohibida la reproducción total o parcial.

Se recomienda adquirir las normas oficiales ISO en las entidades autorizadas para su venta.

www.ro-sas.com

Carlos A. Restrepo Oramas Ver Video 1

(Lead Risk Manager ISO 31000, CISA, CISM, CGEIT, CRISC, CBCP, Lead Implementer ISO 22301, ISO 27001, ISO 20000 Lead Auditor ISO 22301, ISO 27001, ISO 20000, ISO 18001, ITIL V3, Cobit 5)

Profesional con más de 25 años de experiencia, desempeñando cargos directivos en empresas de reconocido prestigio internacional tales como VISA, Synapsis, IQ Outsourcing, Superintendencia financiera de Colombia y Deloitte. Carlos Restrepo hace parte del Comité Técnico 262 de ISO Internacional, encargado de revisar y actualizar la guia internacional para gestión de riesgos ISO 31000:2018. Adicionalmente, como reconocimiento por promover la cultura de riesgo en 16 países de Latinoamérica, fue nominado por el diario especializado en economía y negocios “Portafolio” como el mejor docente año 2016 y galardonado por PECB como mejor trainer 2017 y 2018, convirtiéndose a la fecha en el latinoamericano que más cursos de certificación internacional en riesgo y auditoria ha dictado en el mundo, en los últimos 36 meses (187 en 16 países). De los cuales han sido 74 cursos de certificación internacional Risk Manager ISO 31000. (57) 3003161468

www.ro-sas.com www.ro-sas.com

OBJETIVO GENERAL ✓ Reconocer la importancia de incluir nuevas tecnologías a la gestión de riesgos, orientadas a “perfeccionar” los resultados en sus principales etapas ✓ Promover la mejora continua del sistema de gestión de riesgos en su organización, logrando un mayor nivel de madurez acorde al modelo de negocio. ✓ Proporcionar orientación sobre la selección y aplicación de diversas técnicas que pueden utilizarse para ayudar a los responsables de la toma de decisiones, a comprender el riesgo y mejorar la forma en que se tiene en cuenta la incertidumbre en las decisiones.

www.ro-sas.com

OBJETIVO GENERAL ✓ Disminuir el nivel de subjetividad e intervención humana en la evaluación de riesgo

www.ro-sas.com

ISO 31000:2018 ✓ Marco de trabajo genérico para las normas ISO ✓ Proporciona principios y directrices genéricas sobre la gestión del riesgo ✓ Se puede aplicar a cualquier tipo de riesgo, cualquiera sea su naturaleza. ✓ No está diseñada para fines de certificación.

www.ro-sas.com

ESTRUCTURA ISO 31000:2018 Introducción

1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Principios 5. Marco de referencia 6. Proceso

www.ro-sas.com

DEFINCIÓN DE RIESGO ISO 31000:2018 RIESGO: Efecto de la incertidumbre sobre los objetivos

Efecto

Incertidumbre

Objetivos

Gestión del riesgo. Actividades coordinadas para dirigir y controlar la organización con relación al riesgo

www.ro-sas.com

DEFINCIÓN DE RIESGO ISO 31000:2018 Tipos de incertidumbre

Aleatoria

Epistémica

Reconoce la variación intrínseca de varios fenómenos y no puede ser reducida mediante nuevas investigaciones p.e Lanzar los dados

Falta de conocimiento que se puede reducir mediante la recopilación de más datos, perfeccionamiento de modelos y mejora de técnicas de muestreo

Fuente: ISO31010

www.ro-sas.com

DEFINCIÓN DE RIESGO ISO 31000:2018 Incertidumbre y Riesgo ✓ ✓ ✓ ✓ ✓ ✓ ✓

Verdad de los supuestos, presunciones Variación de los parámetros Precisión de los modelos predictivos Desencadenamiento de eventos disruptivos Falta de conocimiento sobre cosas que se saben existen Desconocimiento sobre cosas que no se saben que existen Incertidumbre no completamente entendida

El ser humano como principal fuente de incertidumbre No toda la incertidumbre puede ser identificada y entendida

www.ro-sas.com

DEFINCIÓN DE RIESGO ISO 31000:2018 Toma de decisiones bajo incertidumbre

«Confiamos mucho en juicios que formamos con muy poca información» Nuestros juicios están cognitiva, emocional y socialmente condicionados «No sabemos que no sabemos»

www.ro-sas.com

DEFINCIÓN DE RIESGO ISO 31000:2018 Consideraciones generales

Riesgo

www.ro-sas.com

• Incomprensión • Falta de información • Ambigüedad • Variabilidad

DEFINCIÓN DE RIESGO ISO 31000:2018 Toma de decisiones bajo incertidumbre

Los gestores de riesgos simplemente no pueden permitirse continuar ignorando el efecto que tienen los sesgos cognitivos en la toma de decisiones y la calidad del análisis de riesgos

www.ro-sas.com

ACERTIJO 1

www.ro-sas.com

Qué es lo que puedes encontrar una vez en un minuto, dos veces en un momento y ninguna vez en cien años? www.ro-sas.com

Principios Factor clave de éxito ¡¡¡

www.ro-sas.com

PRINCIPIOS PARA LA GESTIÓN DE RIESGOS ISO 31000:2018

Proporcionan orientación sobre las características de una gestión del riesgo eficaz y eficiente, comunicando su valor y explicando su intención y propósito.

www.ro-sas.com

PRINCIPIOS PARA LA GESTIÓN DE RIESGOS ISO 31000:2018 Integrado Mejora continua

Estructurado

Crear y proteger valor

Factores humanos y culturales

Basado en mejor información disponible

Adaptado

Inclusivo Dinámico y responde a cambios

www.ro-sas.com

PRINCIPIOS PARA LA GESTIÓN DE RIESGOS ISO 31000:2018 Mejora nivel de efectividad al contar con controles que se autogestionan inteligentemente

Proveer de información más precisa y oportuna que apoye la toma de decisiones.

Anticiparnos a los cambios e identificar tendencias que permitan aprovechar potenciales oportunidades

Afinar monitoreo de los cambios externos e internos en tiempo real

www.ro-sas.com

Marco de referencia Liderazgo e integración…

www.ro-sas.com

MARCO DE REFERENCIA Generalidades

Asistir a la organización en integrar la gestión del riesgo en todas sus actividades y funciones significativas

www.ro-sas.com

MARCO DE REFERENCIA Generalidades

Integración

Mejora

Liderazgo y Compromiso

Evaluación

www.ro-sas.com

Diseño

Implementación

EFECTO POSITIVO / NEGATIVO RIESGOS Y OPORTUNIDADES….

www.ro-sas.com

MARCO DE REFERENCIA Generalidades

Modo de relacionarse con el entorno externo e interno identificando y prediciendo los cambios, tendencias, oportunidades del negocio

Definición y monitoreo de la estrategia en tiempo real Actuando oportunamente sobre desviaciones

www.ro-sas.com

MARCO DE REFERENCIA Generalidades – Entornos complejos y desafiantes

Para problemas muy novedosos, complejos o desafiantes, donde existe una gran incertidumbre y poca experiencia, las técnicas convencionales de análisis pueden no ser útiles o significativas.

En estos casos, puede ser necesario considerar el riesgo, utilizando múltiples métodos en el contexto de los .valores organizacionales, sociales y la aplicación de nuevas tecnologías

www.ro-sas.com

MARCO DE REFERENCIA Liderazgo y Compromiso Se espera que los órganos de Gobierno: - Aseguren que los riesgos están adecuadamente considerados cuando se establecen los objetivos de la organización

- Comprendan los riesgos principales a los que está expuesta la organización, en la búsqueda de sus objetivos - Aseguren que los sistemas para manejar tales riesgos estén implementados y operando efectivamente. - Aseguren que los riesgos están apropiadamente establecidos en el contexto de los objetivos de la organización - Aseguren que la información acerca de esos riesgos y su gestión se comunican apropiadamente. Fuente ISO 31000:2018

www.ro-sas.com

MARCO DE REFERENCIA Diseño

Considerar competencias y limitaciones www.ro-sas.com

MARCO DE REFERENCIA Implementación Proceso de toma de decisiones

Dónde

Por Quien? Cuándo

Cómo

Modificar procesos de toma de decisiones en caso necesario

Toma de decisiones bajo incertidumbre, con consecuencias futuras. (Modelo causales y series de tiempo – patrones ) www.ro-sas.com

MARCO DE REFERENCIA Evaluación

Determinar si continúa siendo adecuado para el propósito de la organización

www.ro-sas.com

MARCO DE REFERENCIA Mejora Seguimiento continuo y adaptación

Adaptación

Mejorar Valor

www.ro-sas.com

Proceso •

Aplicación de políticas, procedimientos y prácticas ➢ Gestión del cambio

www.ro-sas.com

Alcance, contexto, criterios

Identificación

Análisis

Valoración

Tratamiento del Riesgo

Reporte y registro

Registro y reporte www.ro-sas.com

Monitoreo y revisión

Comunicación y consulta

Evaluación del Riesgo

PROCESO GESTIÓN DE RIESGOS Alcance, contexto y criterios

Objetivos y Resultados las decisiones esperados en que se deben cada etapa tomar

Tiempo, ubicación, inclusiones y exclusiones

Herramientas Recursos y técnicas requeridos, apropiadas responsabilid para la ades y evaluación registros del riesgo

www.ro-sas.com

Relaciones con otros proyectos, procesos o actividades

PROCESO GESTIÓN DE RIESGOS Evaluación del riesgo Evaluación del riesgo ( Risk assessment ) Generalidades

Identificación

Análisis

Valoración

Realizar de manera sistemática, iterativa y colaborativa, basándose en el conocimiento y los puntos de vista de las partes interesadas www.ro-sas.com

PROCESO GESTIÓN DE RIESGOS Evaluación del riesgo - Identificación

Identificar fuentes de incertidumbre y predecir sus efectos

Qué ha sucedido en el pasado y como puede relacionarse con el futuro Analizar interacciones y dependencias

www.ro-sas.com

PROCESO GESTIÓN DE RIESGOS Evaluación del riesgo - Análisis

Considerar

Puede estar incluenciada por sesgos, percepción creencias, juicios de personas involucradas

Probabilidad Factores de los Naturaleza y la complejidad y relacionados Eficacia de los Niveles de eventos y de magnitud de con el tiempo la controles sensibilidad y las las y interconexión existentes de confianza. consecuencia consecuencias la volatilidad s

www.ro-sas.com

PROCESO GESTIÓN DE RIESGOS Evaluación del riesgo - Análisis

El análisis del riesgo implica una consideración detallada de incertidumbres, fuentes de riesgo, consecuencias, probabilidades, eventos, escenarios, controles y su eficacia

www.ro-sas.com

PROCESO GESTIÓN DE RIESGOS Evaluación del riesgo - Valoración Consecuencia

Muy alta→ A

3 4

2

Alta →

C

Media →

F E

Baja →

1

B D

Probabilidad Muy probable Probable

Media Improbable

www.ro-sas.com

www.ro-sas.com

ISO 31010 ✓ Es una norma soporte de la ISO 31000 ✓ Proporciona técnicas y herramientas para la valoración del riesgo. ✓ No es certificable

www.ro-sas.com

TÉCNICAS DE EVALUACÓN DE RIESGOS Tipos de técnicas

Identificación del riesgo

Evaluación del riesgo

Análisis de riesgo Consecuencias

Análisis de riesgo nivel de riesgo

www.ro-sas.com

Análisis de riesgo Probabilidad

TÉCNICAS DE EVALUACIÓN DE RIESGO Tipos de técnicas Lluvia de ideas

Lista de verificación Análisis de peligros y puntos críticos de control Análisis de escenarios Análisis de modo y efecto de falla EMEF

Entrevista estructurada

Delphi

Análisis primario de peligros

Estudio de peligros y operatividad HAZOP

Valoración del riesgo ambiental

Estructura que pasa si SWIFT

Análisis de impacto al negocio

Análisis de causa raíz

Análisis de árbol de fallas

Análisis de árbol de eventos

Análisis de causa y consecuencia

Análisis de causa/efecto

Análisis de capas de protección LOPA

Árbol de decisión

Análisis de confiabilidad humana

Análisis de esquema de corbatín Bow Tie

Mantenimiento enfocado en la confiabilidad Simulación Monte Carlos Matriz de consecuencia y probabilidad

Análisis de circuito furtivo

Análisis de Markov

Redes bayesianas

Índices de riesgo

Análisis de costo/beneficio

www.ro-sas.com

Análisis de decisión por criterios múltiples

Otro día más …

sin usar el trinomio cuadrado perfecto

www.ro-sas.com

www.ro-sas.com

DEFINCIÓN DE RIESGO ISO 31000:2018 Madurez de la gestión de riesgo

Fuente: Risk Academy www.ro-sas.com

TÉCNICAS DE EVALUACIÓN DE RIESGO Necesidad de soportarse en modelos probabilísticos

Predecir

Conceptualizar

Generalizar Modelos probabilísticos

Razonar

➢ Datos ➢ Parámetros ➢ Función de Error

Aprender

www.ro-sas.com

TÉCNICAS AVANZADAS EVALUACION DE RIESGO

Minería de datos

Red Bayesiana Teoría de juegos

Deep Learning

Modelos estocásticos

Regresión lineal

Análisis Predictivo / Prescriptivo Machine Learning Big Data

Auto Machine Learning

www.ro-sas.com

Cadenas de Marcov Sistemas expertos

Redes neuronales Teoría del caos

Modelos probabilísticos

TÉCNICAS EVALUACIÓN DE RIESGOS Modelos predictivos

www.ro-sas.com

Técnicas avanzadas para la evaluación del riesgo •

Inteligencia artificial

www.ro-sas.com

ACERTIJO 2

www.ro-sas.com

¿Cuántas veces puede restarse el número 1 del número 1.111?

www.ro-sas.com

www.ro-sas.com

www.ro-sas.com

“La tecnología Big Data está diseñada para transformar el mundo de la Gestión de Riesgos” "El tiempo es crítico en el nuevo mundo de Gestión de Riesgo. Si puedes reaccionar a un riesgo más rápido, tienes una ventaja competitiva'

www.ro-sas.com

BIG DATA Mejora predicción, precisión y oportunidad en los modelos de riesgo

Mayor cobertura en tiempo real variedad, cantidad de datos y oportunidad

Mejor capacidad de análisis de datos y procesos prospectivos y predictivos

Reducción significativa de costos / impactos económicos Fuente: Applying Big Data to Risk Management By Reply Avantage

www.ro-sas.com

BIG DATA Transformando la práctica en el sector financiero Global

49%

18%

15%

14%

4%

Sector financiero

55%

23%

4%

Gestión del cliente Optimización operacional Gestión riesgo financiero Nuevos modelos de negocio

www.ro-sas.com

15%

BIG DATA Transformando la práctica en el sector financiero Tipo de Riesgo

Volumen

Velocidad

Variedad

Veracidad

Riesgo de Crédito Riesgo de Mercado Riesgo Operacional Riesgo de Cumplimiento

Riesgo Gestión de Activos Gestión Integral de Riesgo

Volumen: Cantidad de datos generados y almacenados Velocidad: Rapidez sobre la cual se generan y procesan los datos Variedad: Tipo y naturaleza que ayuda al análisis de datos y uso de resultados de manera eficaz Veracidad: La calidad de los datos

www.ro-sas.com

Fuente: APPLYING BIG DATA TO RISKMANAGEMENT: Transforming Risk Management Practices within the Financial Services Industry

BIG DATA Transformando la práctica en el sector financiero • Medición de riesgo reputacional, (información estructurada proveniente de redes sociales).

no

• Detección de fraude sobre transacciones bancarias y compras de tarjetas, en tiempo real.

• Definición de perfil transaccional para la mejora de la experiencia del cliente.

Centro de Estudios EY, 2014

www.ro-sas.com

BIG DATA Software de análisis y visualización Para realizar proyectos de Big Data, existen usualmente dos grandes vertientes. Comprar un paquete de software.

✓ También se le conoce como una solución completa. ✓ Esta solución integra todas las etapas, desde la administración de los datos, pasando por la analítica, hasta llegar a la visualización. Realizar un desarrollo en casa. ✓ Adquirir una serie de herramientas que realicen las distintas etapas del proceso. ✓ Estar pendiente de la integración a nivel de plataformas tecnológicas.

www.ro-sas.com

BIG DATA Requisitos para implementación A nivel de infraestructura de hardware se requiere de equipo de cómputo robusto tanto para los desarrolladores, como a nivel de servidores.

Suele ser favorable contar con algún proveedor de servicios de computación en la nube.

Infraestructura de red de alta velocidad, que permita acceso rápido a los datos.

www.ro-sas.com

BIG DATA Perfil del científico de datos ✓Habilidades matemáticas y de computación. ✓Capacidad para lidiar con datos “sucios”, faltantes, no estructurados. ✓Curiosidad profunda y de amplio rango. ✓Innovador.

✓Ser guiado por la experiencia y también por los datos. ✓Capacidad de comunicar adecuado a la audiencia.

hallazgos

en

un

lenguaje

Rachel Schutt, estadística senior en Google Research

www.ro-sas.com

BIG DATA Estructura de un equipo de datos • Ingeniero de datos: Captura, almacenamiento y procesamiento de los datos. • Experto en machine learning: Desarrollo de algoritmos y construcción de modelos • Científico de datos: Extrae información de los datos para responder preguntas relativas al negocio.

• Analista del negocio: Analiza datos y reportes a nivel de negocio para generar ideas de impacto. Bernard Marr, consultor reconocido en analítica de datos y big data www.ro-sas.com

BIG DATA Estructura de un equipo de datos “Una restricción significativa para obtener valor de big data será un faltante de talento, particularmente de personas con un profundo expertise en estadística y machine learning, y de managers y analistas que sepan como administrar compañías tomando en cuenta análisis de big data”

McKinsey & Company, 2013,“Open Data: Unlocking Innovation and Performance with Liquid Information.”

www.ro-sas.com

INTELIGENCIA ARTIFICIAL

INTELIGENCIA ARTIFICIAL

MACHINE LEARNIG

DEEP LEARNIG

www.ro-sas.com

MACHINE LEARNING Tipos

Machine learning

Aprendizaje supervisado

Se aprende a partir de ejemplos etiquetados

Aprendizaje no supervisado

Se aprende a partir de la estructura de los datos

www.ro-sas.com

Aprendizaje por refuerzo

Se aprende por medio de refuerzos al realizar acciones

DEFINCIÓN DE RIESGO ISO 31000:2018 Tipos de pensamiento lógico

Los

www.ro-sas.com

MACHINE LEARNING Aprendizaje supervisado Relación entre las variables de entrada y salida Entrada Salida

1 2 3 4

2 4 6 X

www.ro-sas.com

MACHINE LEARNING Aprendizaje supervisado

Relación para clasificar correos electrónicos spam Pronosticar estados de depresión con base en publicaciones en cuenta de Facebook ( 2016 con 98% precisión )

www.ro-sas.com

DEEP LEARNING Aprendizaje NO supervisado ➢ Generar conocimiento a partir de los datos de entrada ➢ Identifica patrones de similitud en los datos de entrada

www.ro-sas.com

MARCO DE REFERENCIA Aplicaciones ➢ ➢ ➢ ➢ ➢ ➢ ➢ ➢ ➢ ➢ ➢ ➢ ➢ ➢

Prevención de fraude AML Ciberataques Lucha anti Spam Análisis de sentimientos Motores de búsqueda Vehículos autónomos Optimización energética Riesgos financieros Riesgos NO financieros? Planificación logística Perfil Psicológico Georeferenciación Toma de decsiones www.ro-sas.com

MARCO DE REFERENCIA Aplicaciones ➢ Traductores inteligentes ➢ Lenguaje natural hablado y escrito ➢ Reconocimiento de voz ➢ Interpretación semántica ➢ Reconocimiento de caras ➢ Robótica ➢ Realidad virtual ➢ Video juegos ➢ Internet de las cosas ➢ Medicina ( Diagnóstico, genética, descubrir fármacos ) ➢ Conocimiento del cliente ➢ Servicio al cliente www.ro-sas.com

PROCESO GESTIÓN DE RIESGOS Tratamiento del riesgo No iniciar o continuar una actividad

Opciones de tratamiento

Evitar Perseguir una oportunidad Aceptar de manera informada

Retener

Aumentar Opciones no necesariamente excluyentes, ni adecuadas en todas las circunstancias

Contrato Financiación

Retirar fuente

Compartir

Influir sobre fuente de riesgo

Modificar Influir sobre probabilidad / impacto

www.ro-sas.com

PROCESO GESTIÓN DE RIESGOS Tratamiento del riesgo Selección de las opciones para tratamiento Evaluación costo/beneficio

Alto

Alto

Costos ➢ ➢ ➢ ➢ ➢

Diseño Implementación Operación Mantenimiento Verificación

Selección con base en los objetivos, criterios de riesgo, recursos disponibles así como obligaciones Impactos

Costo de controles

Riesgo

www.ro-sas.com

➢ ➢ ➢ ➢ ➢

Financiero Legal Ambiental Reputacional etc

www.ro-sas.com

GRACIAS

www.ro-sas.com [email protected] [email protected]

www.ro-sas.com