Embed Size (px)
Citation preview
www.ro-sas.com
INTELIGENCIA
ARTIFICIAL APLICADA
A LA GESTIÓN DE
RIESGOS
www.ro-sas.com
www.ro-sas.com
www.ro-sas.com
La presente información fue elaborada por Restrepo Oramas SAS
con propósitos exclusivamente académicos, teniendo como base la
experiencia profesional adquirida en los últimos 27 años, lo cual
permitió realizar un juicioso análisis y conceptualización sobre los
documentos originales de las normas ISO 31000:2018 e ISO FDIS
31010. Restrepo Oramas SAS, no se hace responsable sobre
cualquier tipo de decisión tomada con base en la información de
carácter académico incluida en esta presentación.
El presente documento es para uso exclusivo de quien recibe de
manera directa esta información por parte de Restrepo Oramas SAS;
quedando prohibida la reproducción total o parcial.
Se recomienda adquirir las normas oficiales ISO en las entidades
autorizadas para su venta.
AVISO IMPORTANTE
www.ro-sas.com
Carlos A. Restrepo Oramas
(Lead Risk Manager ISO 31000, CISA, CISM, CGEIT, CRISC, CBCP, Lead Implementer ISO 22301, ISO 27001, ISO
20000 Lead Auditor ISO 22301, ISO 27001, ISO 20000, ISO 18001, ITIL V3, Cobit 5)
Profesional con más de 25 años de experiencia, desempeñando cargos directivos en
empresas de reconocido prestigio internacional tales como VISA, Synapsis, IQ Outsourcing,
Superintendencia financiera de Colombia y Deloitte. Carlos Restrepo hace parte del Comité
Técnico 262 de ISO Internacional, encargado de revisar y actualizar la guia internacional
para gestión de riesgos ISO 31000:2018. Adicionalmente, como reconocimiento por
promover la cultura de riesgo en 16 países de Latinoamérica, fue nominado por el diario
especializado en economía y negocios “Portafolio” como el mejor docente año 2016 y
galardonado por PECB como mejor trainer 2017 y 2018, convirtiéndose a la fecha en el
latinoamericano que más cursos de certificación internacional en riesgo y auditoria ha
dictado en el mundo, en los últimos 36 meses (187 en 16 países). De los cuales han sido 74
cursos de certificación internacional Risk Manager ISO 31000.
Ver Video 1
(57) 3003161468 www.ro-sas.com
www.ro-sas.com
OBJETIVO GENERAL
✓ Reconocer la importancia de incluir nuevas tecnologías a
la gestión de riesgos, orientadas a “perfeccionar” los
resultados en sus principales etapas
✓ Promover la mejora continua del sistema de gestión de
riesgos en su organización, logrando un mayor nivel de
madurez acorde al modelo de negocio.
✓ Proporcionar orientación sobre la selección y aplicación de
diversas técnicas que pueden utilizarse para ayudar a los
responsables de la toma de decisiones, a comprender el
riesgo y mejorar la forma en que se tiene en cuenta la
incertidumbre en las decisiones.
www.ro-sas.com
✓ Disminuir el nivel de subjetividad e intervención humana en
la evaluación de riesgo
OBJETIVO GENERAL
www.ro-sas.com
ISO 31000:2018
✓ Marco de trabajo genérico para
las normas ISO
✓ Proporciona principios y
directrices genéricas sobre la
gestión del riesgo
✓ Se puede aplicar a cualquier
tipo de riesgo, cualquiera sea
su naturaleza.
✓ No está diseñada para fines de
certificación.
www.ro-sas.com
ESTRUCTURA ISO 31000:2018
Introducción
1. Alcance
2. Referencias normativas
3. Términos y definiciones
4. Principios
5. Marco de referencia
6. Proceso
www.ro-sas.com
DEFINCIÓN DE RIESGO ISO 31000:2018
RIESGO: Efecto de la incertidumbre sobre los objetivos
Gestión del riesgo.
Actividades coordinadas para dirigir y controlar la organización con relación al riesgo
Incertidumbre ObjetivosEfecto
www.ro-sas.com
DEFINCIÓN DE RIESGO ISO 31000:2018Tipos de incertidumbre
AleatoriaReconoce la variación intrínseca de varios
fenómenos y no puede ser reducida mediante
nuevas investigaciones p.e Lanzar los dados
Epistémica
Falta de conocimiento que se puede reducir
mediante la recopilación de más datos,
perfeccionamiento de modelos y mejora de
técnicas de muestreo
Fuente: ISO31010
www.ro-sas.com
DEFINCIÓN DE RIESGO ISO 31000:2018Incertidumbre y Riesgo
✓ Verdad de los supuestos, presunciones
✓ Variación de los parámetros
✓ Precisión de los modelos predictivos
✓ Desencadenamiento de eventos disruptivos
✓ Falta de conocimiento sobre cosas que se saben existen
✓ Desconocimiento sobre cosas que no se saben que existen
✓ Incertidumbre no completamente entendida
El ser humano como principal fuente de incertidumbre
No toda la incertidumbre puede ser identificada y entendida
www.ro-sas.com
DEFINCIÓN DE RIESGO ISO 31000:2018Toma de decisiones bajo incertidumbre
«Confiamos mucho en juicios que formamos con muy poca información»
Nuestros juicios están cognitiva, emocional y socialmente condicionados
«No sabemos que no sabemos»
www.ro-sas.com
DEFINCIÓN DE RIESGO ISO 31000:2018Consideraciones generales
• Incomprensión
• Falta de información
• Ambigüedad
• Variabilidad
Riesgo
www.ro-sas.com
DEFINCIÓN DE RIESGO ISO 31000:2018Toma de decisiones bajo incertidumbre
Los gestores de riesgos simplemente no pueden permitirse continuar ignorando el efecto que tienen los sesgos cognitivos en la toma de
decisiones y la calidad del análisis de riesgos
www.ro-sas.com
ACERTIJO 1
www.ro-sas.com
Qué es lo que puedes encontrar una vez en un minuto, dos veces en un
momento y ninguna vez en cien años?
www.ro-sas.com
Principios
Factor clave de éxito ¡¡¡
www.ro-sas.com
PRINCIPIOS PARA LA GESTIÓN DE RIESGOS ISO 31000:2018
Proporcionan orientación sobre las características de
una gestión del riesgo eficaz y eficiente, comunicando su
valor y explicando su intención y propósito.
www.ro-sas.com
PRINCIPIOS PARA LA GESTIÓN DE RIESGOS ISO 31000:2018
Crear y proteger
valor
Integrado
Estructurado
Adaptado
Inclusivo
Dinámico y responde a cambios
Basado en mejor
información disponible
Factores humanos y culturales
Mejora continua
www.ro-sas.com
PRINCIPIOS PARA LA GESTIÓN DE RIESGOS ISO 31000:2018
Anticiparnos a los cambios eidentificar tendencias quepermitan aprovecharpotenciales oportunidades
Proveer de información másprecisa y oportuna que apoyela toma de decisiones.
Mejora nivel de efectividad al contar con controles que se autogestionan inteligentemente
Afinar monitoreo de loscambios externos einternos en tiempo real
www.ro-sas.com
Marco de referencia
Liderazgo e integración…
www.ro-sas.com
Asistir a la organización en integrar la gestión del riesgo en todas sus actividades y funciones
significativas
MARCO DE REFERENCIA Generalidades
www.ro-sas.com
Integración
Diseño
ImplementaciónEvaluación
Mejora Liderazgo
y
Compromiso
MARCO DE REFERENCIA Generalidades
www.ro-sas.com
EFECTO POSITIVO / NEGATIVO
RIESGOS Y OPORTUNIDADES….
www.ro-sas.com
Modo de relacionarse con el entorno externo e interno
identificando y prediciendo los cambios, tendencias,
oportunidades del negocio
Definición y monitoreo de la estrategia en tiempo real
Actuando oportunamente sobre desviaciones
MARCO DE REFERENCIA Generalidades
www.ro-sas.com
MARCO DE REFERENCIA Generalidades – Entornos complejos y desafiantes
.
Para problemas muy novedosos, complejos o desafiantes, donde existe una granincertidumbre y poca experiencia, las técnicas convencionales de análisis pueden noser útiles o significativas.
En estos casos, puede ser necesario considerar el riesgo, utilizando múltiplesmétodos en el contexto de los valores organizacionales, sociales y la aplicación denuevas tecnologías
www.ro-sas.com
Se espera que los órganos de Gobierno:
- Aseguren que los riesgos están adecuadamente considerados cuando seestablecen los objetivos de la organización
- Comprendan los riesgos principales a los que está expuesta laorganización, en la búsqueda de sus objetivos
- Aseguren que los sistemas para manejar tales riesgos esténimplementados y operando efectivamente.
- Aseguren que los riesgos están apropiadamente establecidos en elcontexto de los objetivos de la organización
- Aseguren que la información acerca de esos riesgos y su gestión secomunican apropiadamente.
Fuente ISO 31000:2018
MARCO DE REFERENCIA Liderazgo y Compromiso
www.ro-sas.com
Considerar competencias y limitaciones
MARCO DE REFERENCIA Diseño
www.ro-sas.com
Proceso de toma de decisiones
Por Quien?
Dónde
CómoCuándo
Modificar procesos
de toma de
decisiones en caso
necesario
MARCO DE REFERENCIA Implementación
Toma de decisiones bajo incertidumbre, con consecuencias futuras. (Modelo causales y series de tiempo – patrones )
www.ro-sas.com
Determinar si continúa siendo adecuado para
el propósito de la organización
MARCO DE REFERENCIA Evaluación
www.ro-sas.com
Seguimiento continuo y adaptación
Mejorar ValorAdaptación
MARCO DE REFERENCIA Mejora
www.ro-sas.com
Proceso
• Aplicación de políticas, procedimientos y prácticas
➢Gestión del cambio
www.ro-sas.com
Registro y reporte
Identificación
Análisis
Valoración
Evaluación del Riesgo
Tratamiento del Riesgo
Co
mu
nic
ació
n y
co
nsu
lta
Mo
nit
ore
o y
rev
isió
n
Reporte y registro
Alcance, contexto,criterios
www.ro-sas.com
Objetivos y las decisiones que se deben
tomar
Resultados esperados en
cada etapa
Tiempo, ubicación,
inclusiones y exclusiones
Herramientas y técnicas
apropiadas para la
evaluación del riesgo
Recursos requeridos,
responsabilidades y
registros
Relaciones con otros proyectos, procesos o actividades
PROCESO GESTIÓN DE RIESGOSAlcance, contexto y criterios
www.ro-sas.com
Evaluación del riesgo ( Risk assessment )
Generalidades
Identificación Análisis Valoración
Realizar de manera sistemática, iterativa y colaborativa, basándose en el conocimiento y los puntos de vista de las partes interesadas
PROCESO GESTIÓN DE RIESGOSEvaluación del riesgo
www.ro-sas.com
Identificar fuentes de incertidumbre y predecir sus efectos
Qué ha sucedido en el pasado y como puede relacionarse con el futuro
Analizar interacciones y dependencias
PROCESO GESTIÓN DE RIESGOSEvaluación del riesgo - Identificación
www.ro-sas.com
Considerar
Probabilidad de los
eventos y de las
consecuencias
Naturaleza y la magnitud de
las consecuencias
complejidad y la
interconexión
Factores relacionados con el tiempo
y
la volatilidad
Eficacia de los controles existentes
Niveles de sensibilidad y de confianza.
Puede estar incluenciada por sesgos, percepción creencias, juicios de personas involucradas
PROCESO GESTIÓN DE RIESGOSEvaluación del riesgo - Análisis
www.ro-sas.com
El análisis del riesgo implica una consideración detallada de
incertidumbres, fuentes de riesgo, consecuencias,
probabilidades, eventos, escenarios, controles y su eficacia
PROCESO GESTIÓN DE RIESGOSEvaluación del riesgo - Análisis
www.ro-sas.com
PROCESO GESTIÓN DE RIESGOSEvaluación del riesgo - Valoración
Muy probable
Probable
Media
Improbable
Probabilidad
Consecuencia
Muy alta→
Alta →
Media →
Baja → 1
2
34
E
D
F
C
B
A
www.ro-sas.com
www.ro-sas.com
ISO 31010
✓ Es una norma soporte de la
ISO 31000
✓ Proporciona técnicas y
herramientas para la valoración
del riesgo.
✓ No es certificable
www.ro-sas.com
TÉCNICAS DE EVALUACÓN DE RIESGOS
Tipos de técnicas Identificación del riesgo
Análisis de riesgo Consecuencias
Análisis de riesgo
Probabilidad
Análisis de riesgo
nivel de riesgo
Evaluación del riesgo
www.ro-sas.com
TÉCNICAS DE EVALUACIÓN DE RIESGO
Tipos de técnicas
Lluvia de ideas Entrevista estructurada Delphi
Lista de verificación Análisis primario de peligrosEstudio de peligros y operatividad
HAZOP
Análisis de peligros y puntos
críticos de controlValoración del riesgo ambiental
Estructura que pasa si
SWIFT
Análisis de escenarios Análisis de impacto al negocio Análisis de causa raíz
Análisis de modo y efecto de fallaEMEF Análisis de árbol de fallas Análisis de árbol de eventos
Análisis de causa y consecuencia Análisis de causa/efecto Análisis de capas de protección
LOPA
Árbol de decisión Análisis de confiabilidad humanaAnálisis de esquema de corbatín
Bow Tie
Mantenimiento enfocado
en la confiabilidadAnálisis de circuito furtivo Análisis de Markov
Simulación Monte Carlos Redes bayesianas Índices de riesgo
Matriz de consecuencia
y probabilidad Análisis de costo/beneficioAnálisis de decisión
por criterios múltiples
www.ro-sas.com
Otro día más …
sin usar el trinomio cuadrado perfecto
www.ro-sas.com
www.ro-sas.com
DEFINCIÓN DE RIESGO ISO 31000:2018Madurez de la gestión de riesgo
Fuente: Risk Academy
www.ro-sas.com
➢ Datos➢ Parámetros➢ Función de Error
Modelos probabilísticos
Predecir
Generalizar
AprenderRazonar
Conceptualizar
TÉCNICAS DE EVALUACIÓN DE RIESGONecesidad de soportarse en modelos probabilísticos
www.ro-sas.com
TÉCNICAS AVANZADAS EVALUACION DE RIESGO
Minería de datos Regresión lineal Cadenas de Marcov
Red Bayesiana Análisis Predictivo / Prescriptivo Sistemas expertos
Teoría de juegos Machine Learning Redes neuronales
Deep Learning Big Data Teoría del caos
Auto Machine Learning Modelos probabilísticosModelos estocásticos
www.ro-sas.com
TÉCNICAS EVALUACIÓN DE RIESGOS Modelos predictivos
www.ro-sas.com
Técnicas avanzadas para la evaluación del riesgo
• Inteligencia artificial
www.ro-sas.com
ACERTIJO 2
www.ro-sas.com
¿Cuántas veces puede restarse el número 1 del
número 1.111?
www.ro-sas.com
www.ro-sas.com
www.ro-sas.com
“La tecnología Big Data está diseñada
para transformar el mundo de la Gestión de Riesgos”
"El tiempo es crítico en el nuevo mundo de Gestión de
Riesgo. Si puedes reaccionar a un riesgo más rápido, tienes una ventaja competitiva'
www.ro-sas.com
BIG DATA
Mejora predicción, precisión y oportunidad en los modelos de riesgo
Mayor cobertura en tiempo real variedad, cantidad de datos y oportunidad
Mejor capacidad de análisis de datos y procesos prospectivos y predictivos
Reducción significativa de costos / impactos económicos
Fuente: Applying Big Data to Risk Management By Reply Avantage
www.ro-sas.com
Global
Sector financiero
49% 18% 15% 14%
Gestión del cliente
Optimización operacional
Gestión riesgo financiero
Nuevos modelos de negocio
55% 23% 15%
4%
4%
BIG DATATransformando la práctica en el sector financiero
www.ro-sas.com
Tipo de Riesgo
Riesgo de Crédito
Riesgo de Mercado
Riesgo Operacional
Riesgo de Cumplimiento
Riesgo Gestión de Activos
Gestión Integral de Riesgo
Volumen Velocidad Variedad Veracidad
Volumen: Cantidad de datos generados y almacenados
Variedad: Tipo y naturaleza que ayuda al análisis de datos y uso de resultados de manera eficazVelocidad: Rapidez sobre la cual se generan y procesan los datos
Veracidad: La calidad de los datosFuente: APPLYING BIG DATA TO RISKMANAGEMENT:Transforming Risk Management Practiceswithin the Financial Services Industry
BIG DATATransformando la práctica en el sector financiero
www.ro-sas.com
• Medición de riesgo reputacional, (información noestructurada proveniente de redes sociales).
• Detección de fraude sobre transacciones bancarias ycompras de tarjetas, en tiempo real.
• Definición de perfil transaccional para la mejora de laexperiencia del cliente.
Centro de Estudios EY, 2014
BIG DATATransformando la práctica en el sector financiero
www.ro-sas.com
Para realizar proyectos de Big Data, existen usualmentedos grandes vertientes.
Comprar un paquete de software.
✓ También se le conoce como una solución completa.
✓ Esta solución integra todas las etapas, desde laadministración de los datos, pasando por la analítica,hasta llegar a la visualización.
Realizar un desarrollo en casa.
✓ Adquirir una serie de herramientas que realicen lasdistintas etapas del proceso.
✓ Estar pendiente de la integración a nivel de plataformastecnológicas.
BIG DATASoftware de análisis y visualización
www.ro-sas.com
BIG DATARequisitos para implementación
A nivel de infraestructura dehardware se requiere de equipo decómputo robusto tanto para losdesarrolladores, como a nivel deservidores.
Suele ser favorable contar con algúnproveedor de servicios decomputación en la nube.
Infraestructura de red de altavelocidad, que permita acceso rápidoa los datos.
www.ro-sas.com
✓Habilidades matemáticas y de computación.
✓Capacidad para lidiar con datos “sucios”, faltantes, noestructurados.
✓Curiosidad profunda y de amplio rango.
✓Innovador.
✓Ser guiado por la experiencia y también por los datos.
✓Capacidad de comunicar hallazgos en un lenguajeadecuado a la audiencia.
Rachel Schutt, estadística senior en Google Research
BIG DATAPerfil del científico de datos
www.ro-sas.com
• Ingeniero de datos: Captura,almacenamiento y procesamiento de losdatos.
• Experto en machine learning:Desarrollo de algoritmos y construcciónde modelos
• Científico de datos: Extrae informaciónde los datos para responder preguntasrelativas al negocio.
• Analista del negocio: Analiza datos yreportes a nivel de negocio para generarideas de impacto.
Bernard Marr, consultor reconocido en analítica de datos y bigdata
BIG DATAEstructura de un equipo de datos
www.ro-sas.com
“Una restricción significativa para obtener valor de big data será un faltante de talento, particularmente de personas con un profundo expertise en estadística y machine learning, y de
managers y analistas que sepan como administrar compañías tomando en cuenta análisis de big data”
McKinsey & Company, 2013,“Open Data: Unlocking Innovation and Performance with Liquid Information.”
BIG DATAEstructura de un equipo de datos
www.ro-sas.com
INTELIGENCIA ARTIFICIAL
INTELIGENCIA ARTIFICIAL
MACHINE LEARNIG
DEEP LEARNIG
www.ro-sas.com
Machine learning
Aprendizaje supervisado
Se aprende a partir de ejemplos etiquetados
Aprendizaje no supervisado
Se aprende a partir de la estructura de
los datos
Aprendizaje por refuerzo
Se aprende por medio de refuerzos al realizar acciones
MACHINE LEARNING Tipos
www.ro-sas.com
DEFINCIÓN DE RIESGO ISO 31000:2018Tipos de pensamiento lógico
Los
www.ro-sas.com
Relación entre las variables de entrada y salida
1 2
2 4
3 6
4 X
MACHINE LEARNING Aprendizaje supervisado
Entrada Salida
www.ro-sas.com
Relación para clasificar correos electrónicos spam
Pronosticar estados de depresión con base en
publicaciones en cuenta de Facebook ( 2016 con 98% precisión )
MACHINE LEARNING Aprendizaje supervisado
www.ro-sas.com
➢ Generar conocimiento a partir de los datos de entrada
➢ Identifica patrones de similitud en los datos de entrada
DEEP LEARNING Aprendizaje NO supervisado
www.ro-sas.com
MARCO DE REFERENCIA Aplicaciones
➢ Prevención de fraude➢ AML➢ Ciberataques➢ Lucha anti Spam➢ Análisis de sentimientos➢ Motores de búsqueda➢ Vehículos autónomos➢ Optimización energética➢ Riesgos financieros ➢ Riesgos NO financieros? ➢ Planificación logística➢ Perfil Psicológico➢ Georeferenciación➢ Toma de decsiones
www.ro-sas.com
MARCO DE REFERENCIA Aplicaciones
➢ Traductores inteligentes➢ Lenguaje natural hablado y
escrito➢ Reconocimiento de voz➢ Interpretación semántica➢ Reconocimiento de caras➢ Robótica➢ Realidad virtual➢ Video juegos➢ Internet de las cosas➢ Medicina ( Diagnóstico,
genética, descubrir fármacos )➢ Conocimiento del cliente➢ Servicio al cliente
www.ro-sas.com
Opciones de tratamiento
Evitar
Aumentar
Retirar fuente
Modificar
Compartir
Retener
Opciones no
necesariamente
excluyentes, ni
adecuadas en todas
las circunstancias
No iniciar o continuar
una actividad
Perseguir una oportunidad
Influir sobre fuente de riesgo
Influir sobre probabilidad / impacto
Contrato
Financiación
Aceptar de
manera
informada
PROCESO GESTIÓN DE RIESGOSTratamiento del riesgo
www.ro-sas.com
Selección de las opciones para tratamiento
Costo
de
controles
Riesgo
Alto Alto
Costos➢ Diseño
➢ Implementación
➢ Operación
➢ Mantenimiento
➢ Verificación
Evaluación costo/beneficio
Impactos➢ Financiero
➢ Legal
➢ Ambiental
➢ Reputacional
➢ etc
Selección con base en los objetivos, criterios
de riesgo, recursos disponibles así como
obligaciones
PROCESO GESTIÓN DE RIESGOSTratamiento del riesgo
www.ro-sas.com
