GESTION DEL RIESGO – ISO 31000

Todas las organizaciones, grandes o pequeñas, de capital privado o del ámbito publico,
industriales o de servicios, se enfrentan a factores internos y externos que le restan certeza a
la posibilidad de alcanzar sus objetivos. Este efecto de falta de certeza es lo que se define
como “Riesgo” y es inherente a todas las actividades.

Un Riesgo es el efecto de la incertidumbre sobre los objetivos.

NOTA 1 Un efecto es una desviación de aquello que se espera, sea positivo, negativo o ambos.
NOTA 2 Los objetivos pueden tener aspectos diferentes (por ejemplo financieros, salud y
seguridad, y metas ambientales) y se pueden aplicar en niveles diferentes (estratégico, en toda la
organización, en proyectos, productos y procesos).
NOTA 3 A menudo el riesgo está caracterizado por la referencia a los eventos potenciales y las
consecuencias o a una combinación de ellos.
NOTA 4 Con frecuencia, el riesgo se expresa en términos de una combinación de las
consecuencias de un evento (incluyendo los cambios en las circunstancias) y en la probabilidad de
que suceda.
NOTA 5 Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con
la comprensión o el conocimiento de un evento, su consecuencia o probabilidad.

Ante esta situación, las organizaciones deben gestionar el riesgo de manera eficaz para poder
asegurar el cumplimiento de sus objetivos estratégicos, y una manera adecuada de hacerlo es
siguiendo los lineamientos que define la Norma ISO 31000 – Gestión del Riesgos. Principios y
Directrices, la cual provee de los principios, el marco de trabajo (framework) y un proceso
destinado a gestionar cualquier tipo de riesgo en una manera transparente, sistemática y creíble
dentro de cualquier alcance o contexto.
Así, la Norma ISO 31000 es un excelente complemento para normas de sistemas de gestión,
como ISO 9001:2015 o ISO 14001:2015, ya que permite abordar los riesgos pertinentes definidos
en el capítulo 6 de ambas normas.

Este estándar ISO 31000:2009 puede ser utilizada por cualquier organización, de carácter público,
privado, sin fines de lucro, asociación, grupo o individuo, y no es específica a alguna industria o
sector.
Cuando la gestión del riesgo se implementa y se mantiene de acuerdo con esta norma ISO 31000,
le permite a la organización:
 Aumentar la probabilidad de alcanzar los objetivos;
 Fomentar la gestión proactiva;
 Ser consciente de la necesidad de identificar y tratar los riesgos en toda la organización;
 Cumplir con los requisitos legales y reglamentarios pertinentes y con las normas
internacionales;
 Mejorar la presentación de informes obligatorios y voluntarios;
 Mejorar el gobierno;
 Mejorar la confianza y honestidad de las partes involucradas,
 Establecer una base confiable para la toma de decisiones y la planificación;
 Mejorar los controles;
 Asignar y usar eficazmente los recursos para el tratamiento del riesgo;
 Mejorar la eficacia y la eficiencia operativa;
 Incrementar el desempeño de la salud y la seguridad, así como la protección ambiental;
 Mejorar la prevención de pérdidas y la gestión de incidentes;
 Minimizar las pérdidas;
 Mejorar el aprendizaje organizacional; y
 Mejorar la flexibilidad organizacional.
  Esta norma está destinada a satisfacer las necesidades de un rango amplio de partes
involucradas, incluyendo:
a) aquellos responsables del desarrollo de la política de gestión del riesgo dentro de la
organización;
b) aquellos responsables de garantizar que el riesgo se gestiona eficazmente dentro de la
organización como unidad o dentro de un área, proyecto o actividad específicos;
c) aquellos que necesitan evaluar la eficacia de una organización en cuanto a la gestión del
riesgo; y
d) aquellos que desarrollan normas, guías, procedimientos y códigos de práctica que,
parcial o totalmente, establecen la manera de gestionar el riesgo dentro del contexto
específico de estos documentos.

La norma ISO 31000:2009 establece una serie de principios que deben ser satisfechos para hacer
una gestión eficaz del riesgo. Esta Norma Internacional recomienda que las organizaciones
desarrollen, implementen y mejoren continuamente un marco de trabajo o estructura de soporte
(framework) cuyo objetivo es integrar el proceso de gestión de riesgos en el gobierno corporativo
de la organización, planificación y estrategia, gestión, procesos de información, políticas, valores y
cultura.
La relación entre los Principios Básicos de la Gestión de Riesgos, el Marco de Trabajo
(Framework), así como el Proceso de Gestión del Riesgo desarrollado en la Norma ISO 31000 se
resume en la figura siguiente:

GESTION DEL RIESGO

GESTIÓN DEL RIESGO – VOCABULARIO

En el marco de la Gestión de Riesgos, se utilizan conceptos para los cuales es muy importante
contar con una adecuada definición. Al respecto, la norma “ISO/Guide 73:2009 Risk management
— Vocabulary” proporciona un vocabulario básico para desarrollar un entendimiento común sobre
los conceptos de gestión de riesgos y las condiciones, entre entidades y funciones, a través de
diferentes aplicaciones y tipos.
En el contexto de la terminología de gestión de riesgos, se pretende que se dará preferencia a las
definiciones que figuran en esta guía.
Esta Guía ISO/Guide 73:2009 es genérica y se compila para abarcar el campo general de
la gestión de riesgos. Los términos están dispuestos en el orden siguiente:
 Las disposiciones relacionadas con el riesgo;
 Los términos relacionados con la gestión de riesgos;
 Los términos relacionados con el proceso de gestión de riesgos;
 Las condiciones relacionadas con la comunicación y la consulta;
 Los términos relacionados con el contexto;
 Término relacionado con la evaluación de riesgos;
 Los términos relativos a la identificación de riesgos;
 Los términos relacionados con el análisis de riesgos;
 Los términos relativos a la evaluación de riesgos;
 Los términos relacionados con el tratamiento del riesgo;
 Las disposiciones relacionadas con el seguimiento y la medición.

PROCESO PARA GESTIÓN DEL RIESGO – APRECIACIÓN DEL RIESGO

Todas las actividades de una organización implican riesgos que se deberían gestionar. El proceso
de gestión del riesgo ayuda a tomar decisiones teniendo en cuenta la incertidumbre y la
posibilidad de futuros sucesos o circunstancias (previstas o imprevistas) y sus efectos sobre los
objetivos acordados.
La gestión del riesgo incluye la aplicación de métodos lógicos y sistemáticos para:
 Comunicar y consultar a lo largo de este proceso;
 Establecer del contexto para la identificación, análisis, evaluación, tratamiento del riesgo
asociado con cualquier actividad, proceso, función o producto;Realizar el seguimiento y revisar
los riesgos;
 Informar y registrar los resultados de manera apropiada.

PROCESO DE GESTION DEL RIESGO

El Proceso para Gestión del Riesgo que establece la norma ISO 31000 comprende, entre otras,
una etapa de Evaluación o Apreciación del Riesgo, que es la parte de la gestión del riesgo que
proporciona un proceso estructurado que identifica la manera en que los objetivos pueden resultar
afectados, y analiza el riesgo en términos de consecuencias y de sus probabilidades antes de
decidir si se necesita un tratamiento adicional.
La apreciación del riesgo trata de dar respuesta a las siguientes cuestiones fundamentales:
 ¿Qué puede suceder y porque (para la identificación del riesgo)?
 ¿Cuáles son las consecuencias?
 ¿Cuál es la probabilidad de su ocurrencia futura?
 ¿Existen factores que mitiguen las consecuencias del riesgo o que reduzcan la probabilidad del
riesgo?
En este punto, resulta de gran utilidad tomar en consideración la norma ISO 31010:2009 Gestión
del riesgo – Técnicas de apreciación del riesgo, que proporciona directricespara la selección y
aplicación de técnicas sistemáticas para la apreciación o evaluación del riesgo.
Esta norma presenta una serie de técnicas, y hace referencia a otras normas donde se describe
con mayor detalle el concepto y la aplicación de algunas de ellas. ISO 31010:2009no especifica el
método de análisis del riesgo que se requiere para una aplicación particular ni hace referencia a
todas las técnicas. El hecho de que una técnica no sea mencionada no significa que no sea válida.
La finalidad de la apreciación del riesgo consiste en proporcionar evidencias basadas en
información y análisis para tomar decisiones informadas sobre cómo tratar riesgos particulares y
cómo hacer la selección entre distintas opciones.
Entre los principales beneficios de realizar la apreciación del riesgo, se incluyen:
 Comprender el riesgo y su impacto potencial sobre los objetivos;
 Proporcionar información a las personas que toman decisiones;
 Contribuir a comprender los riesgos, para ayudar en la selección de las opciones de
tratamiento;
 Identificar a los factores principales que contribuyan a los riesgos, y los puntos débiles en
los sistemas y organizaciones;
 Comparar los riesgos en sistemas, tecnologías o enfoques alternativos;
 Comunicar los riesgos y las incertidumbres;
 Ayudar a establecer prioridades;
 Contribuir a la prevención de incidentes en base a investigaciones posteriores de
incidentes;
 Seleccionar diferentes formas de tratamiento del riesgo;
 Cumplir los requisitos reglamentarios;
 Proporcionar información que ayudará a evaluar si se debería aceptar el riesgo cuando se
compara con criterios predefinidos;
 Realizar la apreciación de los riesgos unidos al final de la vida útil.

SELECCIÓN DE TÉCNICAS DE APRECIACIÓN DEL RIESGO

Las técnicas descritas en la norma ISO 31010:2009 son las siguientes:

 Tormenta de ideas
 Entrevistas estructuradas o semiestructuradas
 Delphi
 Listas de ejemplo
 Análisis de riesgos preliminar (PHA)
 Estudio de Peligros y Operabilidad – HAZOP
 Análisis de peligros y puntos críticos de control (HACCP)
 Evaluación del riesgo ambiental
 Análisis de causas y consecuencias
 Análisis de casa y efecto
 Análisis de Capas de Protección (LOPA)
 Árboles de decisión
 Análisis de la fiabilidad humana
 Árbol de fallos y sucesos iniciadores (bow tie)
 Mantenimiento Centrado en la Fiabilidad (RCM)
 Análisis de circuitos de fugas
 Análisis de cadenas de Markov
 Análisis Qué pasa si
 Análisis de escenarios
 Análisis de Impacto de negocio (BIA)
 Análisis de Causa Raíz (RCA)
 Análisis de modo y efecto de la falla ( FMEA )
 Análisis de árbol de fallos
 Análisis de árbol de eventos
 Simulación de Monte Carlo
 Análisis Bayesiano
 Curvas FN
 Índices de riesgo
 Matrices de probabilidad y consecuencia
 Análisis costo beneficio
 Análisis de decisión multicriterio (MCDA)

La apreciación del riesgo se puede realizar con diferentes grados de profundidad y de detalle, y
utilizando uno o varios de los métodos o técnicas ya mencionados, y que varían desde simples a
complejos. La forma de la apreciación y de sus resultados debería ser consecuente con los
criterios de riesgo desarrollados como parte del establecimiento del contexto.
En términos generales, las técnicas adecuadas deberían tener las siguientes características:
 Deberían ser justificables y apropiadas a la situación u organización que se está
considerando;
 Deberían proporcionar resultados de una forma que mejoren la comprensión de la
naturaleza del riesgo y de cómo se puede tratar;
 Deberían poderse utilizar de una manera que sea trazable, reproducible y verificable.
 Se deberían dar las razones para la elección de técnicas, en cuanto a la importancia y a la
idoneidad. Cuando se integran los resultados procedentes de estudios diferentes, las
técnicas utilizadas y los resultados deberían ser comparables.