ISO 31000 aplicada a la

Gestin de Riesgos e integrada en la

gerencia empresarial

Ing. Gerardo E. Salazar Lara

Gerente de Servicios de Capacitacin y Tecnologas
KNOWLEDGE PROCESS

Definiciones importantes

Definiciones importantes

Definiciones importantes
GRC (Governance- Risk Management Compliance): Son los tres pilares
de una organizacin que trabajan en conjunto para lograr el cumplimiento
de los objetivos de la organizacin.
RIESGO: De acuerdo a la ISO 31000:2009, Risk management
Principles and guidelines se define como el Efecto de la incertidumbre
sobre los objetivos.

Definiciones importantes

Qu dicen las dems normas sobre el Riesgo?

ISO 9001:2015 define el pensamiento basado en el riesgo. El concepto
de pensamiento basado en el riesgo siempre ha estado implcito en la
norma ISO-9001, aunque en esta nueva versin se fortalece y se
incorpora a todo el Sistema de Gestin de la Calidad. En la versin 2015
de ISO9001 este concepto reforzado se incorpora en los requisitos de
establecimiento, implementacin, mantenimiento y mejora del Sistema de
Gestin de la Calidad.
Adems en la ISO/ DIS 9000:2015 de fundamentos y vocabulario (3.7.4)
la definicin de riesgo coincide con la de la ISO 31000.

Definiciones importantes

Qu dicen las dems normas sobre el Riesgo?

ISO 20000-1:2011 coincide con la misma definicin de la ISO 31000, pero
est orientada a los servicios de TI.
BS ISO/IEC 27005:2008 Information Security risk management : La
probabilidad de que una amenaza explote una vulnerabilidad de un activo
o grupo de activos (item 3: Term and definitions).

Definiciones importantes

En qu normas se apoya ISO 31000:2009?

ISO GUIDE 73:2009, Risk Management
Vocabulary.
ISO 31010:2009, Risk Management Risk
Assessment Techniques (proporciona
orientacin sobre la seleccin y aplicacin
de tcnicas sistemticas para la
apreciacin del riesgo)

ISO 31000 aplicada a la Gestin de riesgos e integrada en la gerencia empresarial

Procesos de la Gestin de Riesgos y su

aplicacin en la gestin empresarial

ISO 31000 aplicada a la Gestin de riesgos e integrada en la gerencia empresarial

Software ISO, BSC y BPM

Principios de la ISO 31000 (clusula 3)

1.
2.

La Gestin del Riesgo crea y protege el Valor.

La Gestin del Riesgo es una parte integral de todos los procesos de la
organizacin.
3. La Gestin del Riesgo es parte de la toma de decisiones.
4. La Gestin del Riesgo trata explcitamente las la incertidumbre.
5. La Gestin del Riesgo es sistemtica, estructurada y oportuna.
6. La Gestin del Riesgo se basa en la mejor informacin disponible.
7. La Gestin del Riesgo se adapta.
8. La Gestin del Riesgo integra los factores humanos y culturales.
9. La Gestin del Riesgo es transparente e inclusiva.
10. La Gestin del Riesgo es dinmica, iterativa y responde a los cambios.
11. La Gestin del Riesgo facilita la mejora continua de la organizacin.
8

Software ISO, BSC y BPM

Cmo empiezo?
En primer lugar debe elaborarse el Marco de Trabajo en base a los 11
principios de la Gestin del riesgo, esto significa que debe desarrollarse
un MANDATO Y COMPROMISO (clusula 4.2), luego debe DISEARSE
EL MARCO DE TRABAJO DE LA GESTIN DEL RIESGO (clusula
4.3), IMPLEMENTAR LA GESTIN DEL RIESGO (clusula 4.4), realizar
el SEGUIMIENTO Y REVISIN DE DEL MARCO DE TRABAJO
(clusula 4.5) y definir la MEJORA CONTINUA DEL MARCO DE
TRABAJO (clusula 4.6); todo esto como paso previo al desarrollo de los
PROCESOS de la Gestin del Riesgo.

Software ISO, BSC y BPM

Sobre el marco del trabajo

Conjunto de elementos que proporcionan los fundamentos y las disposiciones
de la organizacin para el diseo, la implementacin, el seguimiento, la revisin
y la mejora continua de la gestin del riesgo en toda la organizacin.
Los fundamentos incluyen la poltica, los objetivos, el mandato y el
compromiso para gestionar el riesgo.
Las disposiciones de la organizacin incluyen los planes, las relaciones, la
obligacin de rendir cuentas, los recursos, los procesos y las actividades.
El marco de trabajo de la gestin del riesgo es parte integrante de las
polticas y prcticas estratgicas y operacionales generales de la
organizacin.

10

Software ISO, BSC y BPM

Sobre el marco del trabajo

11

Software ISO, BSC y BPM

Primeros pasos
Comprender la organizacin: Identificar el sistema global que se ha de
evaluar y situarlo en su entorno interno y externo. La dificultad de esta
actividad es comprender con precisin cmo est estructurada la
organizacin.

12

Software ISO, BSC y BPM

Proceso de la Gestin del Riesgo de la ISO 31000

Apreciacin del riesgo

ISO 31000 aplicada a la Gestin de riesgos e integrada en la gerencia empresarial

13

Software ISO, BSC y BPM

Relacin entre los Principios, Marco de Trabajo y los Procesos

ISO 31000 aplicada a la Gestin de riesgos e integrada en la gerencia empresarial

14

Software ISO, BSC y BPM

Establecimiento del Contexto (Clusula 5.3)

Mediante el establecimiento del contexto, la
organizacin articula sus objetivos, define
los parmetros externos e internos a tener
en cuenta en la gestin del riesgo, y
establece el alcance y los criterios de
riesgo para el proceso restante.

15

Software ISO, BSC y BPM

Lista de Actividades
1.
2.
3.
4.
5.
6.
7.

Misin, objetivos, valores y estrategias (clusula 4.2).

Establecimiento del contexto externo (clusulas 2.1 y 5.3.2).
Establecimiento del contexto interno (clusulas 2.11 y 5.3.3).
Identificacin y anlisis de las partes interesadas (clusulas 5.3.2 y 5.3.3).
Identificacin y anlisis de requisitos (clusula 4.3.1).
Determinacin de los objetivos (clusula 5.3.4).
Determinacin de los criterios bsicos (definicin, aceptacin y
umbrales)(clusulas 5.3.5 y 7.2.4).
8. Definir el alcance y lmites (clusula 5.3.4).
El resultado de aplicar esta lista nos llevar al siguiente paso que es la
Identificacin del riesgo.

ISO 31000 aplicada a la Gestin de riesgos e integrada en la gerencia empresarial

16

Software ISO, BSC y BPM

Identificacin del Riesgo

(ISO 31000 Clusula 5.4.2 e ISO 31010 Clusula 5.2 )
La organizacin deber identificar los
orgenes del riesgo (que estn bajo el
control o no de la organizacin), las reas
de impacto, los sucesos, las cusas y
consecuencias potenciales.
El objetivo es generar la LISTA DE
RIESGOS (Catlogo de Riesgos o Lista de
Peligros) exhaustivos.

17

Software ISO, BSC y BPM

Lista de Actividades
1. Detectar el riesgo.
2. Identificar los controles existentes (caractersticas del diseo, personas,
procesos y sistemas).
3. Identificar las causas y fuentes del riesgo (situaciones, sucesos o
circunstancias).
4. Identificar las consecuencias.
El anexo C de la ISO 27005 proporciona una tipologa para la clasificacin de las
amenazas que podemos tener.
La clusula 8.2.6 de la ISO 27005 nos lista algunas consecuencias.
El resultado de aplicar esta lista nos llevar al siguiente paso que es el Anlisis del
riesgo.
18

Software ISO, BSC y BPM

Anlisis del Riesgo

(ISO 31000 Clusula 5.4.3 e ISO 31010 Clusula 5.3.1)
Implica desarrollar una comprensin del
riesgo y proporciona elementos de
entrada para la evaluacin del riesgo y
para tomar decisiones acerca de si es
necesario tratar los riesgos, as como
sobre las estrategias y los mtodos de
tratamiento ms apropiados.

19

Software ISO, BSC y BPM

Anlisis del Riesgo

(ISO 31000 Clusula 5.4.3 e ISO 31010 Clusula 5.3.1)

En este proceso se hallarn la

Probabilidad, el impacto y su
combinacin matemtica sin dar
sentido an al nivel del riesgo.

En esta fase ya se debe tener

los controles identificados y la
efectividad de estos.

20

Software ISO, BSC y BPM

Lista de Actividades
1. Evaluar las consecuencias.
2. Evaluacin de la probabilidad de los incidentes.
3. Determinar el nivel de riesgo.
El entregable de este proceso es el NIVEL DEL RIESGO.
El resultado de aplicar esta lista nos llevar al siguiente paso que es la Evaluacin
del riesgo.

21

Software ISO, BSC y BPM

Cmo se evala la Probabilidad de un incidente?

Nivel

Escala cualitativa

Probabilidad

Muy rara

Menos de una vez cada 100 aos

Rara

Una vez cada 10 aos

Posible

Una vez cada 3 aos

Muy posible

Una vez al ao

Probable

Varias veces al ao

Casi comn

Varias veces por mes

Comn

Varias veces por semana

Muy comn

Varias veces por da

22

Software ISO, BSC y BPM

Evaluacin del Riesgo

(ISO 31000 Clusula 5.4.4 e ISO 31010 Clusula 5.4)
Matriz de Priorizacin:

23

Software ISO, BSC y BPM

Comunicacin y Consulta del Riesgo

(ISO 31000 Clusula 4.3 e ISO 31010 Clusula 4.3.2 )
Es una actividad destinada a llegar a
un acuerdo sobre cmo gestionar el
riesgo a travs de un intercambio y/o
uso compartido de a informacin sobre
el riesgo entre los que toman las
decisiones y otras partes interesadas.

24

Software ISO, BSC y BPM

Seguimiento y Revisin del Riesgo

(ISO 31000 Clusulas 5.6 y 5.7)
Se debe establecer la
responsabilidad de supervisar y
realizar las revisiones.

25

Software ISO, BSC y BPM

Mejoramiento continuo de la Gestin de Riesgos

El mejoramiento continuo es un
proceso de aumento de la eficacia y
la eficiencia de la organizacin para
cumplir sus polticas y objetivos.

26

Software ISO, BSC y BPM

Por qu usar la ISO 31000?

Aumenta la probabilidad de alcanzar los objetivos.

Estimula una gestin proactiva.
Nos hace conscientes de la necesidad de identificar y tratar el riesgo en toda organizacin.
Mejora la identificacin de oportunidades y amenazas.
Nos hace cumplir los requisitos legales y reglamentarios pertinentes y las normas
internacionales.
Mejora la redaccin de informes obligatorios y voluntarios.
Mejora el gobierno.
Mejora la seguridad y la confianza de las partes interesadas.
Establece una base fiable para la toma de decisiones y para la planificacin.
Mejora los controles.
Asigna y utiliza de manera eficaz los recursos para el tratamiento del riesgo.

Permite a una organizacin asegurar que sabe y entiende los riesgos que le afecta, prevenir o
reducir la ocurrencia de incidentes, y a identificar los riesgos y oportunidades.

27