Guia Didactica 3 - Estándares y Normas Relacionados

DIPLOMADO VIRTUAL EN
GESTIÓN INTEGRAL
DEL RIESGO
MODULO
NORMAS Y ESTÁNDARES RELACIONADOS
III
BIENVENIDOS AL TERCER MÓDULO DEL DIPLOMADO VIRTUAL EN
GESTIÓN INTEGRAL DEL RIESGO
Tiempo destinado: 20 horas
MÓDULO 3: NORMAS Y ESTÁNDARES RELACIONADOS
La Gestión de Riesgos como “Integrador” de todos los componentes de Gestión y

Control Organizacional.
RESULTADO DE APRENDIZAJE:
Después de terminar el contenido de este Módulo usted estará en capacidad de Identificar

lo diferentes estándares y normas nacionales e internacionales que gestionan el Riesgo
como parte fundamental de su estructura y su campo de aplicación en las organizaciones.
Podrá identificar la importancia y los beneficios de la implementación de un sistema basado

en ISO 31000 como integrdor de los sistemas de gestión.
DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

GUÍA MÓDULO 3: ESTÁNDARES Y NORMAS RELACIONADAS 1
CONTENIDO
ESTÁNDARES Y NORMAS MUNDIALES EN LA GESTIÓN DEL RIESGO
Todas las acciones y procesos de una organización están sometidas a una serie de
amenazas, aumentando su vulnerabilidad y comprometiendo su rentabilidad. Un
ejemplo de estos riesgos son los accidentes laborales, enfermedades, incendios u otras
catástrofes naturales, sin olvidar las amenazas propias del negocio.
“La Gestión de riesgos debe formar parte de la cultura organizacional…quienes gestionan el

riesgo de forma eficaz y eficiente tienen más probabilidad de alcanzar sus objetivos y hacerlo
a menor costo”.

“La Gestión de riesgos debe formar parte de la cultura organizacional…quienes gestionan
el riesgo de forma eficaz y eficiente tienen más probabilidad de alcanzar sus objetivos y
hacerlo a menor costo”.
Entre las muchas normas y estándares internacionales y nacionales relacionados con la
gestión del Riesgo vamos a identificar y a analizar los más relevantes para la gestión integral
del riesgo:
1. ISO 31000 Gestión de riesgos
2. NTC 5254 Gestión de riesgos ( derogada)

3. AS/NZ 4360 Risk Management (anualada)
4. ISO/IEC Guía 73 Risk Management Vocabulary en Colombia
GTC 137)
5. COSO ERM Risk Management
6. BS 2599 Business Continuity Management.
7. ISO 9001:2004 Gestión de aseguramiento de Calidad
8. ISO 14000 Gestión del Medio Ambiente.
9. OSHAS 18000 Gestión de Seguridad y Salud Ocupacional.
10. ISO 27000 Gestión de la seguridad de la información.
1. ISO 31000 GESTIÓN DEL RIESGO

La Norma ISO 31000 fue publicada en 2009 por la ISO, Organización Internacional de
Normalización y adoptada por AENOR en 2010, con carácter voluntario no certificable.
La familia de las normas ISO 31000 está destinada a proporcionar los principios y directrices
generales de la Gestión del Riesgo, de forma sistemática y transparente. La Norma
persigue organizar la multitud de normas actuales y métodos de todas las industrias, temas
y regiones bajo un estándar homogéneo y universalmente reconocido para ofrecer a los
profesionales y organizaciones que desarrollan procesos de gestión de riesgos una guía
integral de desempeño en cualquier sector de actividad.
La estandarización de todos los protocolos de gestión del riesgo se ha centrado en:
 Cubrir las lagunas legales en la gestión de riesgo empresarial.
 Alinear los objetivos de los marcos de gobernanza con la norma ISO 31000.
 La incorporación de mecanismos de información sobre la gestión del riesgo.
 La creación de criterios uniformes de evaluación y medición de riesgo.
La norma ISO 31000:2009 tiene como objetivo ayudar a las organizaciones de todo tipo y
tamaño a gestionar el riesgo con efectividad. Esta norma internacional recomienda que las
organizaciones desarrollen, implementen y mejoren continuamente un marco de trabajo o
estructura de soporte cuyo objetivo es integrar el proceso de gestión de los riesgos en el
gobierno corporativo de la organización, planificación y estrategia, gestión, procesos de
información, políticas, valores y cultura.
La norma ISO 31000:2009 puede ser utilizada en cualquier entidad pública, privada, entidad
sin fines de lucro, asociación, grupo o individuo. Además no es específica a alguna industria
o sector.
Otra característica de la norma es que puede ser aplicada a lo largo de la vida de una
organización, así como una variada gama de actividades, incluidas las estrategias y de
decisiones, operaciones, procesos, funciones, proyectos, productos, servicios y activos.
La ISO 31000:2009 puede aplicarse a cualquier riesgo, cualquiera que sea su naturaleza,
causa u origen, tanto que sus consecuencias sean positivas como negativas para la
organización.
ESTRUCTURA DE LA NORMA
PRINCIPIOS BASICOS DE LA GESTIÓN DES RIESGO
La ISO 31000:2009 establece los principios y directrices de carácter génerico sobre la

gestión del riesgo.
Para la mayor ificacia, la gestión del riesgo en una organización debe tener en cuenta los
siguientes principios:
a) Crea valor
b) Está integrada en los procesos de la organización
c) Forma parte de la toma de desiciones
d) Trata explicitamnete la incertidumbre
e) Es sistematica,estructurada y adecuada
f) Esta basadaen la mejor información disponible
g) Esta hecha a medida
h) Tiene en cuenta factires humanos y culturales
i) Es transparente e inclusiva
j) Es dinamica, iterativa y sensible al cambio
k) Facilita la mejora continua de la organización
BENEFICIOS DE LA NORMA
 Aumentar la probabilidad de lograr objetivos

 Fomentar la gestión proactiva
 Ser conscientes de la necesidad de identificar y tratar el riesgo en toda la
organización.
 Mejorar en la identificación de oportunidades y amenazas.
 Cumplir con las exigencias legales y reglamentarias pertinentes, así como las normas
internacionales.
 Mejorar la información financiera.

 Mejorar la gobernabilidad.
 Mejorar la confianza de los grupos de interés (stakeholker).
 Establecer una base confiable para la toma de desiciones y planificación.
 Mejorar los controles.
 Asignar y utilizar con eficiencia los recursos pata el tratamiento del riesgo.
 Mejorar la eficacia y eficiencia operacional.
 Mejorar la salud y seguridad, así como la protección del medio ambiente.
 Mejorar la prevención de pérdidas, así como la gestión de incidentes
 Minimizar las pérdidas.
 Mejorar el aprendizaje organizacional.
 Mejorar la capacidad de recuperación de la organización
La NTC 5254 actualmente derogada se conocía en Colombia para la Gestión de riesgo es

una traducción idéntica de la norma técnica Australiana AS/NZ 4360:2004 de amplia
aceptación y reconocimiento a nivel mundial para la gestión de riesgos independiente de la
industria o el negocio la cual fue anulada con la llegada de la ISO 31000. Además, fue
trabajada con la guía ISO 73 (en Colombia la GTC 137), que reúne un vocabulario de gestión
de riesgo, lo que permite una colección de términos y definiciones relativas al tema
2. NTC 5254 GESTIÓN DE RIESGOS
Alcance y aplicación
Este Estándar provee una guía genérica para el establecimiento e implementación el
proceso de administración de riesgos involucrando el establecimiento del contexto y la
identificación, análisis, evaluación, tratamiento, comunicación y el monitoreo en curso de los
riesgos.
Objeto
Esta norma tiene como objeto proporcionar una guía para permitir a cualquier empresa el
logro de:
 Mejor identificación de oportunidades y amenazas
 Tener una base rigurosa para la toma de decisiones y la planificación
 Gestión proactiva y no reactiva
 Mejorar la conformidad con la legislación pertinente
 Mejorar la gestión de incidentes y la reducción de las pérdidas y el costo del riesgo.
VISION GENERAL DEL PROCESO DE GESTIÓN DE RIESGO
Los principales elementos del proceso de gestión de riesgo, como se ilustra en la siguiente
figura son:
Elementos que conforman el proceso de gestión del riesgo:
a. Comunicación y consulta. Comunicar y consultar con interesados internos y

externos según corresponda en cada etapa del proceso de administración de riesgos
y concerniendo al proceso como un todo.
b. Establecer el contexto. Establecer el contexto interno y externo de la gestión del
riesgo en el cual tendrá lugar el resto del proceso.
c. Identificar riesgos. Identificar qué, por qué y cómo pueden surgir las cosas como
base para análisis posterior.
d. Analizar riesgos. Determinar los controles existentes y analizar riesgos en términos
de consecuencias y probabilidades en el contexto de esos controles. El análisis
debería considerar el rango de consecuencias potenciales y cuán probable es que
ocurran esas consecuencias. Consecuencias y probabilidades pueden ser
combinadas para producir un nivel estimado de riesgo.
e. Evaluar riesgos. Comparar niveles estimados de riesgos contra los criterios
preestablecidos. .
f. Tratar los riesgos. Aceptar y monitorear los riesgos de baja prioridad. Para otros
riesgos, desarrollar e implementar un plan de administración específico que incluya
consideraciones de fondeo, reduciendo pérdidas potenciales.
g. Monitoreo y revisión. Es necesario monitorear la eficacia de todas las etapas del
proceso de gestión del riesgo. Esto es importante para la mejora continúa.
La gestión de riesgo se puede aplicar en muchos ámbitos de una organización. Se puede

aplicar en los niveles estratégico, táctico y operacional. Se puede aplicar a proyectos, en la
toma de decisiones específicas o para mejorar áreas reconocidas de riesgo.
PROCESO DE LA GESTIÓN DE RIESGO
Comunicación y consulta
Fuera de lo ya dicho para esta etapa, es importante desarrollar un plan de comunicación
tanto para las partes involucradas internas como externas en las primeras etapas del
proceso. Este plan debería abordar temas relacionados con el riesgo en sí y con el proceso
para gestionarlo. Lo anterior se desarrolla con el objetivo de asegurar que los responsables
de implementar la gestión del riesgo y los directamente interesados entiendan la base sobre
la cual se toman las decisiones y el porqué de las acciones particulares requeridas.
Es útil un enfoque de equipo consultivo para facilitar la definición adecuada del contexto,
asegurar la eficaz identificación de los riesgos, para unir diferentes áreas de pericia para el
análisis de los mismos y así asegurar que se tienen diferentes puntos de vista sobre ellos y
la adecuada gestión durante su tratamiento.
ESTABLECIMIENTO DEL CONTEXTO.

El establecimiento del contexto es necesario para definir los parámetros básicos dentro de
los cuales deben administrarse los riesgos y para proveer una guía para las decisiones
dentro de estudios de administración de riesgos más detallados. Esto establece el alcance
para el resto del proceso de administración de riesgos. Deben incluirse el ambiente interno
y externo y sus interfaces correspondientes.
Establecimiento del contexto externo.
Esta etapa define el ambiente externo en el cuál funciona la organización, también la forma
como se relacionan. Puede incluir por ejemplo:
a. Ambiente de negocio, social, reglamentario, cultural, competitivo, financiero y político.

b. Fortalezas, debilidades, oportunidades y amenazas de la organización.
c. Las partes externas involucradas.
d. Las directrices clave del negocio.
Es particularmente importante considerar las concepciones y los valores de las partes

externas involucradas y establecer políticas para la comunicación de esas partes.
Esta etapa es importante porque con ello se puede asegurar que las partes involucradas y
sus objetivos se tienen en cuenta cuando se desarrollan criterios para la gestión de riesgo y
que las amenazas oportunidades y amenazas generadas externamente se consideran de
forma adecuada.
Establecimiento del contexto interno.

Esta se debe realizar al antes de comenzar las actividades de gestión de riesgo para
comprender la organización. Las áreas claves incluyen:
1. Cultura
2. Partes internas involucradas
3. Estructura
4. Capacidades en términos de recursos tales como personas, sistemas, procesos y
capital.
5. Metas, objetivos y las estrategias establecidas para lograrlos.
Es importante establecer el contexto interno porque:
 La gestión del riesgo tiene un lugar en el contexto de las metas y los objetivos de la
organización.
 Las políticas y las metas organizacionales, así como los intereses ayudan a definir la
política de riesgo de la organización.
Definición de la estructura del resto del proceso
Implica subdividir la actividad, el proceso, el proyecto o el cambio en con juntos de elementos

o pasos para proporcionar un marco lógico que ayude a garantizar que no se omitan riesgos
significativos.
IDENTIFICACIÓN DE LOS RIESGOS
Esta fase busca identificar los riesgos que se han de gestionar, usando un proceso
sistemático bien estructurado ya que un riesgo no identificado en esta etapa puede ser
excluido de un análisis posterior.
¿Qué puede suceder, dónde y cuándo?

El propósito es generar una lista de las fuentes de riesgos y de los eventos que pueden tener
impacto en el logro de cada uno de los objetivos identificados en el contexto. Estos eventos
pueden evitar, degradar retrasar o potenciar el logro de estos objetivos.
¿Por qué y cómo puede suceder?

Una vez identificado lo que pueda suceder, es necesario considerar las posibles causas. Ello
a muchas formas en que un evento puede ocurrir.
Herramientas Técnicas
Los enfoques empleados para identificar los riesgos incluyen listas de verificación, juicios
basados en la experiencia y los registros, diagramas de flujo, lluvia de ideas, análisis de
sistemas, análisis de escenarios y técnicas de ingeniería de sistemas. El enfoque utilizado
dependerá de la naturaleza de las actividades que se revisa, los tipos de riesgos, el contexto
organizacional y el propósito del estudio de gestión de riesgo.
ANÁLISIS DE LOS RIESGOS
El análisis del riesgo consiste en desarrollar el entendimiento del riesgo. Suministra una
entrada para las decisiones sobre si es necesario tratar los riesgos y las estrategias de
tratamiento del riesgo más adecuadas y eficaces en términos de costo. El análisis implica la
consideración de las fuentes de riesgo, sus consecuencias positivas y negativas y la
posibilidad de que dichas ocurrencias puedan ocurrir.
El riesgo se analiza combinando las consecuencias con su posibilidad.
Evaluación de los controles existentes

Identificar los procesos, dispositivos o prácticas existentes que puedan actuar para minimizar
los riesgos negativos o para potenciar los riesgos positivos y evaluar sus fortalezas y
debilidades.
Consecuencias y posibilidades
La magnitud de las consecuencias de un evento, si ocurriera, y la posibilidad del evento y
sus consecuencias asociadas se evalúan en el contexto de la eficacia de las estrategias y
controles existentes. Las consecuencias y la posibilidad se combinan para producir un nivel
de riesgo. Las consecuencias y la posibilidad se pueden estimar utilizando análisis y cálculos
estadísticos, igualmente se puede hacer una estimación subjetiva que refleje el grado de
creencia de que se producirá un evento o resultado particular.

Se debería utilizar las fuentes de información y las técnicas más pertinentes en el análisis
de las consecuencias y la posibilidad. Las fuentes de información pueden incluir las
siguientes:
 Registros anteriores
 Experiencia práctica y pertinente
 Literatura pertinente publicada
 Investigación de mercado
 Resultados de consulta pública
 Experimentos y prototipos
 Modelos económicos, de ingeniería y otros
 Conceptos de especialistas y expertos
Las técnicas incluyen

 Entrevistas estructuradas
 Uso de grupos multidisciplinarios de expertos
 Evaluaciones individuales empleando cuestionarios
 Uso de modelos y simulaciones
Tipos de análisis
El análisis del riesgo se puede realizar con diversos grados de detalle dependiendo del
riesgo, el propósito del análisis y la información datos y recursos disponibles. El análisis
puede ser cualitativo, semicuantitativo, cuantitativo o una combinación de ellos. En la
práctica, el análisis cualitativo con frecuencia se emplea primero para obtener una indicación
general del nivel del riesgo y revelar los principales aspectos del riesgo. Posteriormente,
puede ser necesario emprender un análisis más específico o cuantitativo sobre los
principales aspectos de riesgo.
Análisis de sensibilidad
Debido a que de las estimaciones hechas en el análisis de riesgo son imprecisas, es
conveniente realizar un análisis de sensibilidad para probar el efecto de la incertidumbre en

los supuestos y los datos. El análisis de sensibilidad también es una forma de probar la
idoneidad y eficacia de los controles potenciales.
EVALUACIÓN DE LOS RIESGOS

El propósito de la evaluación del riesgo es tomar decisiones, basadas en los resultados del
análisis del riesgo.
La evaluación del riesgo implica comparación del nivel de riego hallado durante el proceso
de análisis con los criterios de riesgo establecidos al considerar el contexto.
TRATAMIENTO DE LOS RIESGOS
El tratamiento del riesgo implica la identificación de opciones para tratar los riesgos, la
valoración de tales opciones y la preparación e implementación de los planes de tratamiento.
Identificación de las opciones para el tratamiento de los riesgos con resultados

positivos
Las opciones de tratamiento para los riesgos que tienen resultados positivos
(oportunidades), que no son necesariamente de exclusión mutua ni adecuados en todas las
circunstancias, incluyen:
 Búsqueda activa de una oportunidad decidiendo empezar o continuar con una

actividad que probablemente la cree o la mantenga.
 Cambiar la posibilidad de la oportunidad para potenciar la posibilidad de los resultados
benéficos.
 Cambiar con las consecuencias para incrementar la extensión de las ganancias.
 Compartir la oportunidad.
 Retención de la oportunidad residual.
Identificación de las opciones para el tratamiento de los riesgos con resultados

negativos.

Las opciones de tratamiento para los riesgos que tienen resultados negativos son similares
en concepto a aquellas para tratar los riesgos para tratar los riesgos positivos. Las opciones
incluyen:
 Evitar el riesgo decidiendo no empezar ni continuar con la actividad que origina el
riesgo.
 Cambiar la posibilidad del riesgo para reducir la posibilidad de resultados negativos.
 Cambiar las consecuencias para reducir la extensión de las perdidas.
 Compartir el riesgo.
 Retención del riesgo.
Valoración de las opciones para tratar el riesgo

La selección de las opciones más adecuadas implica el equilibrio de los costos de
implementación de cada opción frente a los benéficos derivados de ella. Cuando se hacen
dichos juicios de costo frente al beneficio, se debería tener en cuenta el contexto.
El análisis de sensibilidad es una forma de probar la eficacia de diferentes opciones para

tratar el riesgo.
Las opciones del tratamiento del riesgo deberían considerar los valores y percepciones de
las partes involucradas y las formas más adecuadas para comunicarse con ellas.
El tratamiento del riesgo puede introducir riesgos nuevos que es necesario identificar,
valorar, tratar y monitorear.
Preparación e implementación de los planes de tratamiento

El propósito de los planes de tratamiento es documentar la forma en que se van a
implementar las opciones elegidas. Los planes de tratamiento deben incluir:
 Acciones propuestas
 Requisitos de recursos
 Responsabilidades
 Cronograma
 Medidas del desempeño

 Requisitos de presentación de informes y monitoreo
MONITOREO Y REVISIÓN
La revisión continua es esencial para garantizar que el plan de gestión sigua siendo
pertinente. El monitoreo y la revisión implica lecciones de aprendizaje debido a los procesos
de gestión de riesgo, mediante la revisión de eventos, los planes de tratamiento y sus
resultados.
3. AS/NZ 4360 RISK MANGEMET – ERM (Gestión de Riesgos)
Esta norma proporciona una guía genérica para la gestión del riesgo. Esta norma se puede
aplicar a una amplia gama de actividades, decisiones u operaciones de cualquier empresa
pública, privada o de la comunidad, grupo o individuo. Mientras que el estándar tiene muy
amplia aplicabilidad, los procesos de gestión de riesgos son comúnmente aplicados por las
organizaciones o grupos y así, por conveniencia, el término "organización" se ha utilizado a
lo largo de la presente Norma.
Esta norma específica los elementos del proceso de gestión de riesgos, pero no es el
propósito de esta Norma para imponer la uniformidad de los sistemas de gestión de
riesgos. Es genérico e independiente de cualquier sector específico o sector económico. El
diseño e implementación del sistema de gestión de riesgos se verá influido por las diversas
necesidades de una organización, sus objetivos particulares, sus productos y servicios, y los
procesos y prácticas específicas empleadas.
Esta Norma debe ser aplicada en todas las etapas en la vida de una actividad, función,
proyecto, producto o activo. El beneficio máximo se obtiene normalmente mediante la
aplicación del proceso de gestión de riesgos desde el principio. A menudo, un número de
estudios discretos se llevan a cabo en diferentes momentos, y desde perspectivas

estratégicas y operacionales. El proceso descrito aquí se aplica a la gestión de las dos
potenciales ganancias y pérdidas potenciales.
La siguiente información da un breve relato de / NZS 4360 norma AS relevante. Cada

requisito de las normas se desglosa en sub-requisitos más específicos que se pueden
asignar de nuevo a ambos los principios de seguridad que los impulsan y los patrones de
diseño que les satisfagan.
Esquema de la norma:
 Establecer metas y Contexto

 Identificar Riesgos
 Analizar Riesgos
 Evaluar Riesgos
 Determinar los tratamientos para los Riesgos
 Evitar el riesgo de interrupción de la actividad que lo genera.

 La reducción de la probabilidad de la ocurrencia.
 La reducción de las consecuencias de la ocurrencia.
 Transferencia del riesgo.
 Conservando el riesgo.
 Supervisar e informar sobre la eficacia de los tratamientos de riesgo
Objetivos y ventajas de / NZS 4360 norma AS son:
 Ofrece un enfoque integral y flexible para la gestión de riesgos. Los AS / NZ 4360

direcciones estándar todos los tipos de riesgo en todo tipo de organizaciones e
industrias. Este proceso de adaptación permite un enfoque coherente de la gestión de
riesgos en toda la organización.
 Establece un contexto externo para la gestión del riesgo. AS / NZ 4360 hace hincapié en
el establecimiento de un marco para la gestión de riesgos - tanto externos como

internos. ERM no es una función de silos. Se puede tener una cabeza central, como un
director de riesgos, para coordinar la gestión de riesgos en toda la organización, pero la
titularidad de riesgo cae a través de diferentes áreas de la empresa y está influenciado
por factores externos. La norma AS / NZ 4360 comienza con la comprensión del amplio
alcance de los conductores y personas influyentes de ambos contextos internos y
externos.
 Construye consulta y comunicación en el proceso de ERM. MTC no ocurre en un vacío,

sino que exige un entorno de colaboración para tener éxito. Esto significa que todas las
partes interesadas (por ejemplo, ejecutivos de riesgo, legal, propietarios de procesos de
negocio / gerente y socio de negocios) tienen que ser capaces de tener participación en
todas las etapas del proceso de riesgo.
 Define las amenazas y oportunidades en su definición de riesgo. AS / NZ 4360 forma

clara y concisa de manifiesto que el riesgo es acerca de tomar ventaja de las
oportunidades, así como la mitigación de amenazas. AS / NZ 4360 capta el lado de
oportunidad de la gestión de riesgos, haciendo hincapié en la creación de valor y
preservación.
 Proporciona una gran cantidad de manuales de riesgo de consejos prácticos. AS / NZ

4360 incluye un conjunto de manuales de aplicación para el uso de la norma en diferentes
situaciones. Este conjunto en expansión de recursos ofrece ejecutores con una amplia
cartera de ayuda práctica.
 Suministros las bases de un nuevo estándar de gestión de riesgos ISO. AS / NZ 4360 se

convertirá en la base de una nueva norma internacional de gestión de riesgos de la
Organización Internacional de Normalización (ISO). Uso de la norma AS / NZ 4360, un
grupo de trabajo ISO está preparando un proyecto de norma sobre la gestión del riesgo
que planea lanzar un proyecto de trabajo en el año 2007. El objetivo es tener un estándar
de gestión de riesgos internacional publicada final en 2008.
La AS / NZ 4360, Proporciona una guía genérica para establecer y ejecutar el proceso de

gestión del riesgo que implica el establecimiento de contexto, identificación, análisis,
evaluación, tratamiento, seguimiento y revisión y consulta y comunicación. Esta norma
puede aplicarse en todas las etapas en la vida de una actividad, función, proyecto o activo
generado por cualquier, empresa o grupo privado o una comunidad pública.
Elementos de las Normas de Gestión de Cómo AS / NZS ISO 31000 se basa en AS

Riesgos / NZS 4360: 2004
Aplicación del marco de riesgo Expande el marco y, además desarrolla el

de gestión marco 2004
Principios para la gestión del riesgo Mucho más claro y explícito
Atributos de gestión de riesgos mejorados Nueva incorporación incluido en el anexo
Guía para el establecimiento y la aplicación Nueva incorporación incluido en el anexo

de proceso eficaz de gestión de riesgos comparación con suministrada previamente
en HB 436: 2004
Contexto de gestión de riesgos También aplicable en todas las industrias a

cualquier entidad ejecutora objetivos de la
organización que puede implicar resultados
inciertos
4. ISO/IEC Guía 73 Risk Management Vocabulary

Para Colombia La GTC 137
LA GTC 137 Esta guía suministra las definiciones de términos genéricos relacionados con
la gestión del riesgo.
El objetivo es fomentar un entendimiento mutuo y consistente de la descripción de las

actividades relacionadas con esta gestión, así como un enfoque coherente de ésta, así el
uso de terminología de gestión de riesgo uniforme en los procesos y los marcos de referencia
relacionados con la gestión del riesgo.
Esta guía está destinada para el uso por parte de:
- Aquellos involucrados en la gestión de riesgos.
- Aquellos involucrados en actividades de ISO, IEC.
- Aquellos a cargo de desarrollar normas, guías, procedimientos y códigos de práctica
nacionales o específicos del sector relacionados con la gestión del riesgo.
Podemos concluir que tanto la NZS 4360 cómo la NTC 5254 fueron derogadas con la
aparición de la ISO 31000, que contempla esta estructura que compartían ambas.
5. COSO ERM Risk Management
Podemos desglosar COSO como el Committee os Sponsoring Organization og

Treadway Commission, y se crea en 1985 como consecuencia de las malas prácticas
empresariales y los años anteriores de crisis. Lo que se pretendía con esta iniciática era
llevar a cabo un liderazgo intelectual para la gestión de riesgo empresarial, la disuasión del
fraude y el control interno.
En el año 1992, se publica el denominado COSO I con el fin de ayudar a las organizaciones
a evaluar y mejorar sus sistemas de control interno. Dicho informe definió al control
interno como un proceso generado por la dirección y demás trabajadores de una entidad y
diseñado para proporcionar un grado de seguridad adecuado para la consecución de
objetivos respecto a:

 Confiabilidad de cualquier información financiera de la organización.
 Cumplimiento de la normativa aplicable.
 Eficacia y eficiencia en operaciones.
 Dicho estándar se disponía dividido en 5 capítulos, siendo éstos:
 Ambiente de control.
 Evaluación de Riesgos.
 Actividades de control.
 Información y comunicación.
 Supervisión.
En 2004, se publica COSO II o también, Enterprise Risk Management – Integrated

Framework (ERM). Nosotros lo conocemos como Marco Integrado de Riesgos, el que
extendió el concepto de control interno de COSO I a la gestión de riesgos en la que se
implica a la totalidad de la plantilla de la entidad.
La metodología COSO II cuenta con 8 componentes a tener en cuenta para la

gestión de riesgo
Se pasó a tener de 5 componentes en COSO I, a 8 en COSO II, siendo éstos:
 Ambiente de control.
Trata de los valores y filosofía de la entidad, este aspecto influye en la visión de los
empleados de los riesgos y sus actividades de control. Es la base de sobre la que posicionan
al resto de elementos, e influye fundamentalmente en los objetivos y en la estrategia.
 Establecimiento de objetivos.
Se lleva a cabo el establecimiento de objetivos tanto estratégicos como operativos, de

información y de cumplimiento. Tiene que establecerse antes de la identificación de posibles
acontecimientos que dificulten su consecución. Tienen que alinearse con la estrategia de la
empresa.
 Identificación de eventos.

Nos interesa todo evento que pueda tener impacto sobre el cumplimiento de objetivos,
pudiendo ser tanto negativos como positivos.
 Evaluación de Riesgos.
Se basa en la identificación y análisis de los riesgos fundamentales en la consecución

de objetivos. Es necesario para poder determinar el efecto que podrían tener, de
materializarse, en la consecución de objetivos. Se llevaran a cabo técnicas cuantitativas y
cualitativas. La evaluación del riesgo primero se centrará en el riesgo inherente y, a
continuación de éste, en el riesgo residual.
 Respuesta a los Riesgos.
La respuesta al riesgo será evaluada en base a cuatro clases: evitar, reducir, compartir y
aceptar. En el momento que se tenga la respuesta al riesgo más correcta para una situación
en cuestión, se efectuará otra evaluación del riesgo residual.
 Actividades de control.
Se trata de políticas y procedimientos que aseguran la adecuada ejecución de acciones

contra riesgos. Dichas actividades serán generadas en toda la entidad, a todos los niveles y
funciones.
 Información y comunicación.
La información tiene que estar disponible para la totalidad de niveles de la empresa, para
no cometer errores en la identificación, evaluación al riesgo y no comprometa la consecución
de objetivos.
 Supervisión.
La supervisión consiste en el seguimiento de la metodología con el fin de garantizar que

funciona adecuadamente y que está ofreciendo datos de calidad.
COSO II es una metodología capaz de abordar la gestión de riesgos en las empresas

desde un enfoque integrador y que signifique una gran oportunidad para crear valor para sus
partes interesadas o stakeholders.

COSO II define la gestión de riesgos corporativos de la siguiente manera: “La gestión de
riesgos corporativos es un proceso efectuado por el consejo de administración de una
entidad, su dirección y restante personal, aplicable a la definición de estrategias en toda la
organización y diseñado para identificar eventos potenciales que puedan perjudicar a ésta,
gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable
sobre el logro de los objetivos”.
La definición se caracteriza por:
 Proporciona seguridad.
 Ser un proceso continuo.
 Se orienta hacia la consecución de unos objetivos.
 Estar diseñada para identificar peligros potenciales y gestionar los riesgos.
 Se traslada a todos los niveles de la organización
En este ámbito, el modelo clasifica los objetivos de toda entidad en cuatro:
 Objetivos estratégicos.
Son los objetivos generados desde el mayor nivel de la empresa y están conectados con la
misión y visión de la misma.
 Objetivos operativos.
Los objetivos operativos son aquellos relacionados con la eficacia y eficiencia de las
operaciones de la entidad, sin olvidar los relativos al desempeño y la rentabilidad.

 Objetivos relativos a la información suministrada a terceros.
Son objetivos que perjudican a la efectividad del reporten de información suministrada.
 Objetivos relativos al cumplimiento regulatorio.
Incluye cualquier objetivo relacionado con el cumplimiento, por parte de la empresa, de todos
los requisitos legales, reglamentarios y normativos y aplicables.
COSO II interrelaciona cada uno de los objetivos antes descritos con los ocho elementos
que lo llevan a cabo y que más arriba definimos.
En último lugar es necesario nombrar los beneficios que aporta la aplicación de este modelo,
cabe destacar:
 Ayuda a las exigencias normativas en la gestión y control de riesgos.

 Permite una respuesta más rápida y mejor a los cambios del entorno, a los mercados y
a las partes interesadas.
 Permite obtener un conocimiento íntegro de los riesgos de la organización.
 Mejora la reputación de la organización.
 Aumenta la probabilidad de éxito en la implantación de la estrategia.
 Proporciona un notable aumento de la credibilidad y confianza entre los mercados y
grupos de interés.
 Hace de la toma de decisiones un proceso más seguro.
 Asigna mejor y más eficientemente los recursos para la gestión de riesgos y
oportunidades.
 Ofrece una gestión eficaz del control sobre los riesgos.
 Identificación proactiva y aprovechamiento de oportunidades.
 Permite prever mejor los impactos de los riesgos que afectan a una organización.
Como hemos podido observar, COSO II se orienta a la gestión del riesgo, materia que
preocupa en el mundo de la calidad. La norma ISO9001:2015 no nos impondrá a usar
ninguna metodología para este tema, por lo que evaluaremos esta opción entre otras y
adoptaremos la que más nos convenga.

6. BS 2599 Business Continuity Management.
El BS-25999 es un estándar británico que establece mejores prácticas, recomendaciones y

actividades específicas para lograr la continuidad de negocio teniendo en cuenta los
riesgos a los que se enfrenta una organización. Este estándar se basa en el Plan de
Continuidad del Negocio – o BCM por sus siglas en inglés (Business Continuity Planning) el
cual, al ser implementado en una organización, se le debe hacer un seguimiento con el fin
de conocer su evolución permanente en los procesos de la empresa. El BS- 25999 posee
dos partes esenciales: Desarrollo del BCM e Implementación del mismo.
La norma se creó ante la necesidad que tienen las organizaciones de implementar

mecanismos o técnicas, que minimicen los riesgos a los que están expuestas, para
conseguir una alta disponibilidad de las actividades de su negocio.
La norma consiste en una serie de «recomendaciones o buenas prácticas» para facilitar la

recuperación de los recursos que permiten el funcionamiento normal de un negocio, en caso
de que ocurra un desastre. En este contexto, se tienen en cuenta tanto los recursos
humanos, como las infraestructuras, la información vital, las tecnologías de la información y
los equipos que la soportan.
El Desarrollo del BCM básicamente se centra en recopilar la información necesaria para

entender el negocio. Para la implementación del BCM en una organización se deben tener
en cuenta varios estados o fases que son necesarias para el funcionamiento eficaz y ágil de
las actividades en una empresa. Estas fases son:
• Inicio y gestión del proyecto.

• Evaluación y control del riesgo.
• Análisis de impacto del negocio (BIA).
• Desarrollo de estrategias para la continuidad del negocio.
• Respuesta ante emergencias.
• Desarrollo e implementación del BCM.
• Programa de concientización y capacitación.
• Mantenimiento y ejercicio del BCM.
• Comunicación de crisis.
• Coordinación con Autoridades públicas.
La realización del BCM en la organización traerá grandes ventajas como por ejemplo:
• Administrar la continuidad del negocio
• Resistencia del negocio ante interrupciones
• Protege y asegura la imagen de la empresa
• Abre nuevas oportunidades de mercado y ayuda a ganar nuevos negocios.
• Aumenta la disponibilidad del negocio.
El desarrollo de un BCM en la organización permitirá estar preparados para afrontar

situaciones de interrupción de sus procesos críticos. Un BCM involucra todos los recursos
de la organización. Por lo cual con su realización analizaremos y podremos establecer
estrategias que garanticen una continuidad del negocio, buscando minimizar la dependencia
de los recursos con lo que cuenta la empresa (IT, Humano, infraestructura, Económicos,
etc.) brindando una alta disponibilidad de los servicios ofrecidos Una vez dada la introducción
a este artículo a continuación se describe el Plan de Continuidad de Negocio BCM de
acuerdo a la metodología expuesta por la organización DRI (Disaster Recovery Institute
Internacional).
7. ISO 9001:2015 GESTIÓN DE ASEGURAMIENTO DE CALIDAD
La ISO 9001:2008 es la base del sistema de gestión de la calidad ya que es una norma
internacional y que se centra en todos los elementos de administración de calidad con los

que una empresa debe contar para tener un sistema efectivo que le permita administrar y
mejorar la calidad de sus productos o servicios.
La nueva norma ISO 9001:2015 se encuentra reforzada por el concepto de riesgo. Podemos
observar en el ISO/DIS 9001 que el término riesgo viene para quedarse.
Toda persona que se posicione al mando de un Sistema de Gestión de Calidad tiene que
tener bien definido el concepto de riesgo. Con el fin de facilitarlo, contamos con la norma ISO
9000:2005 de fundamentos y vocabulario. Se trata de un estándar actualizado en 2015
también y tenemos que tenerlo siempre presente a la hora de trabajar con este tipo de
sistema de gestión.
El objetivo de la ISO es llegar a un consenso con respecto a las soluciones que cumplan con
las exigencias comerciales y sociales (tanto para los clientes como para los usuarios). Estas
normas se cumplen de forma voluntaria ya que la ISO, siendo una entidad no gubernamental,
no cuenta con la autoridad para exigir su cumplimiento. Sin embargo, tal como ha ocurrido
con los sistemas de administración de calidad adaptados a la norma ISO 9000, estas normas
pueden convertirse en un requisito para que una empresa se mantenga en una posición
competitiva dentro del mercado.
La ISO 9001 es una norma internacional que se aplica a los sistemas de gestión de calidad
(SGC) y que se centra en todos los elementos de administración de calidad con los que una
empresa debe contar para tener un sistema efectivo que le permita administrar y mejorar la
calidad de sus productos o servicios. Los clientes se inclinan por los proveedores que
cuentan con esta acreditación porque de este modo se aseguran de que la empresa
seleccionada disponga de un buen sistema de gestión de calidad (SGC). Esta acreditación
demuestra que la organización está reconocida por más de 640.000 empresas en todo el
mundo.
En la nueva norma ISO 9001:2015 la innovación que más está llamando la atención a los
usuarios del Sistema de Gestión de Calidad es la gestión de riesgos.

En todo negocio aparecen riesgos, ya sea en su actividad o cualquier tamaño que
comprenda, ya que son elementos inherentes a ellos.
La adecuada gestión del riesgo desemboca en la mitigación de sus efectos además de no

provocar consecuencias tan adversas como lo serían si el riesgo no se gestionase.
En la norma ISO 9001, el fundamento de pensamiento desarrollado en el riesgo siempre ha

estado implícito, aunque en esta versión actualizada se endurece y se incluye a
cualquier Sistema de Gestión de la Calidad. En ISO 9001:2015 este concepto fortalecido se
incorpora en los requisitos de mejora, mantenimiento, establecimiento e implementación
del Sistema de Gestión de la Calidad.
Cualquier proceso de una empresa son inherentes a una serie de riesgos, y en

consecuencia, el Sistema de Gestión de la Calidad también se vincula a dichos riesgos.
Se considera necesario encontrar una balanza entre los esfuerzos producidos en su gestión
y el riesgo residual que nos queda, ya que no es posible eliminar completamente el riesgo
de una entidad.
Toda organización que entable esta actividad, tiene que saber que la gestión de riesgos no
es una labor complicada, pero en cambio, tampoco se puede reducir en adquirir distintos
seguros de protección sin tomar en cuenta distintas formas de atender el riesgo.
Damos comienzo con un proyecto sencillo y fácil de seguir, compuesto por cinco pasos que
iremos desarrollando a continuación.

RECONOCER RIESGOS
La generalidad de los comercios comparte riesgos comunes y contienen otros específicos

de su empresa. Hay una serie de guías o listas que nos pueden amparar a verificar si dichos
riesgos comunes que comparten la generalidad de negocios nos perjudica también a la
nuestra.
En primer lugar, se nos puede ocurrir pensar en algunos riesgos como:
 Pérdidas de propiedad. Una entidad puede perder propiedades en base a actos delictivos
o por todo daño físico acontecido.
 Daños ocasionados en los trabajadores. Si un trabajador sufre un accidente a lo largo del

desempeño de sus funciones la entidad tendrá que ocuparse de unos costos que
dependerán de la magnitud de la lesión.
 Pérdidas por responsabilidad. En este caso hablaríamos de responsabilidad legal por

haber causado daños y perjuicios a los demás.
 Pérdidas provocadas por interrupción de la actividad del negocio. La actividad de un

negocio puede interrumpirse por muchos accidentes o incidentes, como puede ser un
incendio o una inundación. En este caso la organización no solo deja de vender sus
productos o servicios, sino que también pierde bienes como equipos, maquinarias o
instalaciones con los que contaba para satisfacer al cliente. Si nos anticipamos a estas
cuestiones podemos tratar este tipo de riesgo.
 Pérdidas de personal clave. Una entidad puede perder un trabajador relevante por muerte,
discapacidad o enfermedad, lo que implicaría unos costos económicos elevados. Otro
ejemplo puede ser una persona que deja su puesto actual de trabajo para irse a otro lugar
distinto. Si se trata de una persona clave en nuestra organización las consecuencias pueden
muy perjudiciales.
IDENTIFICACIÓN DE RIESGOS
En el Sistema de Gestión de la Calidad identificamos una serie de riesgos como pueden ser:

 Los indicadores no nos den información sobre la eficacia y eficiencia de los procesos.
 La metodología que tenemos para evaluar la satisfacción de los clientes no sea la más
correcta.
 Uso de documentación deteriorada.
 Duplicar tareas o actividades.
 Los planes de formación carezcan de eficacia.
 Los objetivos del Sistema de Gestión de la Calidad no se lleven a cabo por falta de recursos.
 Las auditorías internas del sistema de gestión no sean eficaces.
 La gestión de la documentación sea excesivamente burocrática.
 Los sujetos no conozcan los procedimientos de trabajo.
 Que no se detecten todas las disconformidades que se están produciendo.
ANALIZAR EL GRADO DE VULNERABILIDAD ANTE RIESGOS IDENTIFICADOS
La vulnerabilidad de una organización será mayor o menor en función de la probabilidad de

que el riesgo se haga evidente y del costo asociado que este deriva.
Es vital que una organización se encargue de llevar a cabo una cuantificación de

aquellos riesgos que considere que es importante tratar. Por ello, la empresa trabajará con
los riesgos que crea necesarios manipular y siempre se realizará un esfuerzo por garantizar
la protección de la organización.
En los casos en los que la materialización de cierto riesgo conlleve un costo menor de lo que
implicaría su gestión, será necesario realizar una valoración más concreta.
DESARROLLAR PLANES DE CONTINGENCIA
Los planes de contingencia se consideran herramientas perfectas para desarrollar una

correcta gestión de los riesgos de una organización. Para gestionar los riesgos podremos:
 Elaborar políticas que incrementen la seguridad de los empleados ante cualquier
situación que suponga un riesgo.
 Instalar sistemas de seguridad que colaboren con la organización a la hora de eludir
la pérdida de bienes materiales.
 Formar a ciertos trabajadores en las responsabilidades y funciones desarrolladas por
sus superiores, como estrategia para evitar que el negocio no deje de funcionar como
consecuencia de ausencia de aquel personal considerado clave.
La organización deberá establecer un plan de contingencia con carácter integral y dinámico

para evitar quedarse en lo simple.
ADQUIRIR SEGUROS
Estos seguros tienen la finalidad de disminuir el riesgo, se convierten en un instrumento

básico durante la gestión de dichos riesgos. Entre los seguros existentes, en una
organización podemos recurrir a:
 Seguros de responsabilidad de producto.

 Seguros de responsabilidad profesional.
 Seguros de responsabilidad civil.
 Seguros de responsabilidad comercial.
El costo de estos seguros se puede incrementar si en nuestra organización no existen planes

de gestión de riesgos.
MEJORA CONTINUA
Para asegurar que los planes de gestión de riesgos son los adecuados para nuestra
organización, la alta dirección, los responsables de los departamentos involucrados y el
consultor encargado de la gestión de riesgos deben involucrarse en su revisión.

Estas revisiones se realizaran con frecuencia y con el objetivo de que la organización
obtenga mejoras en la gestión de riesgos. Esta correcta gestión de riesgos permitirá agradar
a nuevos inversores y como consecuencia, se obtendrá un incremento del capital.
8. ISO 14000 GESTIÓN DEL MEDIO AMBIENTE
La norma ISO 14001 es la norma internacional de sistemas de gestión ambiental (SGA), que
ayuda a su organización a identificar, priorizar y gestionar los riesgos ambientales, como
parte de sus prácticas de negocios habituales.
ISO 14001 es obra de la Organización Mundial para la Estandarización (ISO), una ONG de
miembros, constituida en 1947 y compuesta por organizaciones de normalización de 133
países, cuya misión es promover el desarrollo de la estandarización mundial con el propósito
de facilitar el intercambio internacional de bienes y servicios. La norma ISO 14001, referida
a los sistemas de gestión ambiental, fue implementada en 1996. Desde entonces más de 20
mil empresas en todo el mundo la han certificado. Además, se estima que un número de
organizaciones diez veces mayor ha decidido cumplir con la norma sin postular a la
certificación.

El riesgo ambiental es un factor que se debe considerar dentro de la gestión de riesgos de
una institución, debido a que la frecuencia y probabilidad de un suceso o incidente se pueda
presentar en cualquier momento o en un determinado lugar. Con frecuencia que en una
institución o empresa se presentan riesgos que están asociados a la infraestructura, al
entorno o a los procesos mismos del desarrollo, pero se olvida que si no se tratan con
oportunidad, las consecuencias podrían ser graves y acarrear a futuro problemas legales,
económicos, sociales y ambientales.
Son muchos los factores y agentes a tener en cuenta para que se presente un riesgo
ambiental, por eso es necesario que cada organización incorpore la gestión del riesgo a sus
procesos, esto implica que se necesita invertir en una serie de aspectos que ayudaran a
garantizar la máxima tranquilidad y seguridad a la organización y a la comunidad de su zona
de impacto
El riesgo ambiental es inherente a

cualquier actividad, en mayor o menor
grado, por lo que la gestión de los riesgos
ambientales, deberá ser un tema que
ocupe y abarque a todos los procesos y
áreas de la organización, incluyendo la alta
dirección, por lo que inminentemente se
hace necesario comenzar a trabajar en su
identificación y evaluación.
La norma ISO 14001 ha sido diseñada para poder ser implementada en cualquier
organización independientemente de su tamaño, sector y ubicación geográfica.
La certificación ISO 14001 ofrece una gama de beneficios para su organización:
 Reducir los costes: como la norma ISO 14001 requiere un compromiso con la
mejora continua del SGA, el establecimiento de objetivos de mejora ayuda a la

organización a un uso más eficiente de las materias primas, ayudando así a reducir
los costes
 Gestión del cumplimiento de la legislación: la certificación ISO 14001 puede

ayudar a reducir el esfuerzo necesario para gestionar el cumplimiento legal y a la
gestión de sus riesgos ambientales.
 Reducir la duplicación de esfuerzos: su sistema de gestión permite integrar los

requisitos de ésta y otras normas de gestión en un único sistema de negocio para
reducir la duplicación de esfuerzos y los costes
 Gestionar su reputación: la certificación ISO 14001 le ayuda a reducir los riesgos

asociados a cualquier coste o daño a su reputación asociada a sanciones, y construye
su imagen pública hacia sus clientes, organismos reguladores y principales partes
interesadas.
 Ser el proveedor elegido y aumentar su ventaja competitiva: le permite trabajar

con las empresas que valoran las organizaciones que son respetuosas con el medio
ambiente.
 Facilidad de integración con otras normas de sistemas de gestión con la norma

ISO 9001(Calidad), OHSAS 18001 (Seguridad y Salud laboral), ISO 50001 (Energía),
y otras normas basadas en sistemas de gestión
La nueva versión ISO 14001:2015 surge tras los cambios ambientales que vienen
ocurriendo día a día la sociedad, con motivo de la escasez de recursos naturales y desastres
ecológicos motivados por la actividad industrial desarrollada en los últimos tiempos.
El objetivo final de la ISO 14001 es lograr que las organizaciones consideren por sí mismas
el efecto positivo que origina implantar un Sistema de Gestión Ambiental en sus
organizaciones.

9. OSHAS 18000 Gestión de Seguridad y Salud Ocupacional.
Durante el segundo semestre de 1999, fue publicada la normativa OHSAS18.000, dando

inicio así a la serie de normas internacionales relacionadas con el tema “Salud y Seguridad
en el Trabajo”, que viene a complementar a la serie ISO 9.000 (calidad) e ISO 14.000 (Medio
Ambiente). Podemos indicar, entonces, que esta nueva serie de estándares en materia de
salud ocupacional y administración de los riesgos laborales, integra las experiencias más
avanzadas en este campo, y por ello está llamada a constituirse en el modelo global de
gestión de prevención de riesgos y control de pérdidas
OHSAS 18.000 (Occupational Health and Safety Assessment Series)
Las normas OHSAS 18,000 son una serie de estándares voluntarios internacionales
relacionados con la gestión de seguridad y salud ocupacional, toman como base para su
elaboración las normas 8800 de la British Standard. Participaron en su desarrollo las
principales organizaciones certificadoras del mundo, abarcando más de 15 países de

Europa, Asia y América. Estas normas buscan a través de una gestión sistemática y
estructurada asegurar el mejoramiento de la salud y seguridad en el lugar de trabajo.
Sistema de Salud y Seguridad Ocupacional basado en la OHSAS 18.000
OHSAS 18.000 es un sistema que entrega requisitos para implementar un sistema de

gestión de salud y seguridad ocupacional, habilitando a una empresa para formular una
política y objetivos específicos asociados al tema, considerando requisitos legales e
información sobre los riesgos inherentes a su actividad.
PROCEDIMIENTOS BASADOS EN LAS NORMAS OSHAS 18000
Estas normas son aplicables a los riesgos de salud y seguridad ocupacional y a aquellos
riesgos relacionados a la gestión de la empresa que puedan causar algún tipo de impacto
en su operación y que además sean controlables.
Requisitos para su ejecución OHSAS 18.000
Las normas OHSAS 18.000 no exigen requisitos para su aplicación, han sido elaboradas
para que las apliquen empresas y organizaciones de todo tipo y tamaño, sin importar su
origen geográfico, social o cultural. Esta norma es aplicable a cualquier empresa que desee:
 Establecer un sistema de gestión de Salud y Seguridad Ocupacional, para proteger

el patrimonio expuesto a riesgos en sus actividades cotidianas;
 Implementar, mantener y mejorar continuamente un sistema de gestión en salud y
seguridad ocupacional;
 Asegurar la conformidad de su política de seguridad y salud ocupacional establecida;
 Demostrar esta conformidad a otros;
 Buscar certificación de sus sistema de gestión de salud y seguridad ocupacional,
otorgada por un organismo externo;
 Hacer una autodeterminación y una declaración de su conformidad y cumplimiento
con estas normas OHSAS

Estas normas y sus requisitos pueden ser aplicados a cualquier sistema de salud y seguridad
ocupacional. La extensión de la aplicación dependerá de los factores que considere la
política de la empresa, la naturaleza de sus actividades y las condiciones en las cuales
opera.
¿Cómo describe OHSAS 18.000 un Sistema de Salud Ocupacional y Administración

de Riesgos?
La gestión de estas actividades en forma sistemática y estructurada es la forma más

adecuada para asegurar el mejoramiento continuo de la salud y seguridad en el trabajo. El
objetivo principal de un sistema de gestión de salud y seguridad ocupacional es prevenir y
controlar los riesgos en el lugar de trabajo y asegurar que el proceso de mejoramiento
continuo permita minimizarlos. El éxito de este sistema de salud y seguridad ocupacional
depende del compromiso de todos los niveles de la empresa y especialmente de la alta
gerencia. Asimismo, el sistema debe incluir una gama importante de actividades de gestión,
entre las que destacan:
 Una política de salud y seguridad ocupacional;

 Identificar los riesgos de salud y seguridad ocupacional y las normativas legales
relacionadas.
 Objetivos, metas y programas para asegurar el mejoramiento continúo de la salud y
seguridad ocupacional.
 Verificación del rendimiento del sistema de salud y seguridad ocupacional
Revisión, evaluación y mejoramiento del sistema.
Implementación de la OHSAS 18,000
La normativa no establece un procedimiento oficial o único de implementación; dependiendo

de las características y realidades de cada empresa este proceso tendrá sus propias
variantes. De todas formas presentamos un esquema en el cual se detallan los elementos
de este sistema de gestión de salud y seguridad ocupacional.

Este proceso comienza con la definición de una política de salud y seguridad ocupacional
en la empresa, en la cual se establece un sentido general de orientación y los principios de
acciones a tomar respecto de este tema. Así también establece las responsabilidades y la
evaluación requerida por el proceso. Y demuestra además, el compromiso de la alta gerencia
para el mejoramiento continúo de la salud y la seguridad en el trabajo.
Una vez definida la política, se deberá determinar íntegramente los riesgos significativos de
la empresa, utilizando procesos de identificación, análisis y control de riesgos. Permitiendo
así poder planificar las acciones para controlar y/o reducir los efectos de éstos.
Así también, la empresa deberá estar vigilante de la legislación relativa al tema, no con la
finalidad de mantener una biblioteca legal, sino que para promover el entrenamiento y
entendimiento de las responsabilidades legales de todos los involucrados en la salud y
seguridad ocupacional.
En cuanto a la implementación de la planificación diseñada por la empresa, es necesario

que para lograr la efectividad de la gestión, las responsabilidades y autoridades estén
claramente definidas, documentadas y comunicadas. Respecto del proceso propiamente tal,
este considera seis partes; Capacitación; Comunicación; Documentación; Control de
Documentos y Datos; Control Operacional, y Preparación y Respuesta ante Situaciones de
Emergencia.

Siguiendo con los elementos del proceso de mejoramiento continuo de la salud y seguridad
ocupacional, tenemos la Verificación y las Acciones Correctivas. Para ello, la empresa
deberá identificar parámetros claves del rendimiento para que se dé cumplimiento a la
política establecida de salud y seguridad. Estos deben incluir, pero no limitar, parámetros
que determinen:
a) El cumplimiento de los objetivos.

b) Si se han implementado y son efectivos los controles de riesgo.
c) Si se aprende de los fracasos producidos en el programa.
d) Si son efectivos los procesos de capacitación, entrenamiento y comunicación y
finalmente.
e) si la información que puede ser utilizada para mejorar y/o revisar los aspectos del
programa están siendo producidos e implementados.
Finalizando con el ciclo nos encontramos con la revisión de la alta Gerencia. Esto, dado el
compromiso asumido al elaborar la política de salud y seguridad ocupacional en la empresa,
implica que la gerencia debe asumir
10. ISO 27000 Gestión de la seguridad de la información.
ISO 27001 es una norma internacional emitida por la Organización Internacional de

Normalización (ISO) y describe cómo gestionar la seguridad de la información en una
empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre
completo es ISO/IEC 27001:2013
BENEFICIOS QUE APORTA A LOS OBJETIVOS DE LA ORGANIZACIÓN
 Demuestra la garantía independiente de los controles internos y cumple los

requisitos de gestión corporativa y de continuidad de la actividad comercial.
 Demuestra independientemente que se respetan las leyes y normativas que
sean de aplicación.
 Proporciona una ventaja competitiva al cumplir los requisitos contractuales y
demostrar a los clientes que la seguridad de su información es primordial.
 Verifica independientemente que los riesgos de la organización estén
correctamente identificados, evaluados y gestionados al tiempo que formaliza
unos procesos, procedimientos y documentación de protección de la
información.
 Demuestra el compromiso de la cúpula directiva de su organización con la
seguridad de la información.
 El proceso de evaluaciones periódicas ayuda a supervisar continuamente el
rendimiento y la mejora.
PASOS PARA IMPLEMENTAR LA POLITICA DE SEGURIDAD Y LOS

PROCEDIMINETOS DE UN SGSI (Sistema de Gestión en Seguridad Informática):

1. En primer lugar, debemos de estudiar los requisitos del sistema, es decir, tenemos que
saber si hay alguna legislación que nos obligue a incluir algún elemento específico por escrito
(como, por ejemplo, pudiera ser el contrato de un cliente). Igualmente, debemos conocer la
legislación que nos influye y, sobre todo, los documentos con los que ya cuenta nuestra
entidad. Sin olvidar, todos los requisitos de la norma ISO-27001, siempre y cuando se tenga
la intención de cumplirlas.
2. En segundo lugar, debemos tener en cuenta todos los resultados recibidos del análisis de
riesgos que determinará todos los temas que se deben abordar en el documento -hablamos
del grado-, es decir, es probable que sea necesario clasificar la información de acuerdo a la
confidencialidad.
Este último paso puede tener menor importancia dependiendo de si el procedimiento o la

política no se encuentra relacionada con la seguridad de la información o la continuidad del
negocio. Los principios de gestión de riesgos se pueden aplicar a distintas áreas de la
empresa, como pueden ser:
 Gestión de la Calidad ISO 9001
 Gestión Ambiental ISO 14001, etc.
3. tercer paso es alinear y optimizar los documentos del Sistema de Gestión de Seguridad
de la Información basado en la ISO 27001 ya que es fundamental conocer la cantidad total
de documentos. Lo buen es administrar un solo documento, especialmente si el grupo de
lectores se dirige al mismo. No es aconsejable redactar un documento de cien páginas ya
que no se puede administrar de una forma coherente.
Es importante tener en cuenta el cuidar minuciosamente la alineación de los

documentos con otros que se encuentren redactados de forma muy similar, ya que es
posible definir los temas que ya han sido definidos en otro documento. Por ello, es muy
importante conocer si se debe ampliar el documento ya existente o redactar uno nuevo.
En el caso de que tengamos que redactar un nuevo documento sobre un tema que ya se
encuentre en otro, debes asegurarte de no repetirte y no escribir el mismo tema en los dos
documentos. En este caso, sería una pesadilla actualizar los dos documentos. En el

momento que sea necesario, es mucho mejor que un documento haga referencia a otro pero
sin repetir lo mismo.
4. El cuarto paso sería el de la estructura del documento, es decir, la empresa tiene que
definir un formato para todos sus documentos, debe tener disponible una plantilla con las
fuentes, los encabezados, los pies de página, la distancia en los márgenes y demás aspectos
predeterminados.
En el caso de que ya tenga implementada la norma ISO 27001, tiene que respetar el
procedimiento para controlar los documentos. El tipo de procedimiento no define el
formato en el que se debe encontrar el documento sino que genera las reglas para su
aprobación, distribución, etc.
5. El quinto paso será el de redactar el documento. El criterio que debemos seguir es que
cuanto más pequeña sea la organización y menores los riesgos, menos complejo será el
documento. No nos sirve de nada redactar un extenso y completo documento que nadie
leerá. Las personas que lean el documento, le prestarán la atención adecuada en función
del tiempo del que dispongan y la cantidad de líneas que se encuentre.
Un buen sistema debe involucrar a los empleados en la redacción o facilitándoles que

aporten información a la hora de redactar el mismo. De esta forma, comprenderán lo
necesario que es.
6. El sexto paso es conseguir la aprobación del documento ya que, una vez que esté
redactado, lo importante es que se apruebe el documento. Además, se debe conocer quién
es la persona con suficiente poder en la organización para poder aprobar el documento.
La persona con suficiente poder para aprobarlo debe comprenderlo, aprobarlo y requerir
activamente su implementación. Parece un aspecto sencillo pero no lo es. Este paso es el
que genera más fracasos durante la implementación.
7. El último paso que debemos seguir es la capacitación y la concienciación de sus

empleados. Este paso puede ser el más importante pero, por desgracia, es el que más se
olvida. Los empleados deben encontrarse mucho más involucrados en el proceso ya que
si solo reciben cambios que le van a hacer trabajar más no lo van a recibir con el suficiente
interés.

Por todo esto, es fundamental explicarles a los trabajadores por qué es necesaria la política
de seguridad de la información los procedimientos. Tanto es así que es importante no solo
para la organización sino también para todas las personas que trabajan en ésta.
De vez en cuando hace falta capacitar a los empleados ya que sería incorrecto que
asumieran responsabilidades sin contar con la preparación y conocimientos necesarios.
Aunque parezca que se ha llegado al final de la implementación de sus documentos, no es

así. No es suficiente contar con una política de seguridad y un procedimiento perfecto,
sino que lo más importante es mantenerlo.
El documento debe ser actualizado y mejorado continuamente, y de eso, se tiene que

responsabilizar alguien. Normalmente suele ser la misma persona que lo redacta.
No es suficiente con contar con una buena plantilla para poder redactar los documentos
necesarios, sino que se necesita un enfoque sistemático para poder contar con la política de
seguridad o los procedimientos exitosos. Lo necesario es realizar un enfoque sistemático a
la hora de llevar a cabo la implementación del Sistema de Gestión de Seguridad de la
Información según la norma ISO-27001.
10.GUÍA TÉCNICA COLOMBIANA GTC 45
Esta guía presenta un marco integrado de principios, prácticas y criterios para la

implementación de la mejor práctica en la identificación de peligros y la valoración de riesgos,
en el marco de la gestión del riesgo de seguridad y salud ocupacional. Ofrece un modelo
claro, y consistente para la gestión del riesgo de seguridad y salud ocupacional, su proceso
y sus componentes. Este documento tiene en cuenta los principios fundamentales de la
norma NTC-OHSAS 18001 y se basa en el proceso de gestión del riesgo desarrollado en la
norma BS 8800 (British Standard) y la NTP 330 del Instituto Nacional de Seguridad e Higiene
en el Trabajo de España (INSHT), así como en la NTC ISO 31000. Gestión del riesgo.
Principios y directrices.
Objetivo de la Guía

Esta guía proporciona directrices para identificar los peligros y valorar los riesgos en
seguridad y salud ocupacional. Las organizaciones podrán ajustar estos lineamientos a sus
necesidades, tomando en cuenta su naturaleza, el alcance de sus actividades y los recursos
establecidos.
El propósito general de la identificación de los peligros y la valoración de los riesgos en

Seguridad y salud Ocupacional (S y SO), es entender los peligros que se pueden generar
en el desarrollo de las actividades, con el fin que la organización pueda establecer los
controles necesarios, al punto de asegurar que cualquier riesgo sea aceptable.
La valoración de los riesgos es la base para la gestión proactiva de S y SO, liderada por la
alta dirección como parte de la gestión integral del riesgo, con la participación y compromiso
de todos los niveles de la organización y otras partes interesadas. Independientemente de
la complejidad de la valoración de los riesgos, ésta debería ser un proceso sistemático que
garantice el cumplimiento de su propósito.
El procedimiento de valoración de riesgos que se describe en esta guía está destinado a

ser utilizado en:
 situaciones en que los peligros puedan afectar la seguridad o la salud y no haya
certeza de que los controles existentes o planificados sean adecuados, en principio o
en la práctica.
 organizaciones que buscan la mejora continua del Sistema de Gestión del S y SO y
el cumplimiento de los requisitos legales, y
 situaciones previas a la implementación de cambios en sus procesos e instalaciones.
La metodología utilizada para la valoración de los riesgos debería estructurarse y aplicarse

de tal forma que ayude a la organización a:
 Identificar los peligros asociados a las actividades en el lugar de trabajo y valorar los
riesgos derivados de estos peligros, para poder determinar las medidas de control
que se deberían tomar para establecer y mantener la seguridad y salud de sus
trabajadores y otras partes interesadas;

 Tomar decisiones en cuanto a la selección de maquinaria, materiales, herramientas,
métodos, procedimientos, equipo y organización del trabajo con base en la
información recolectada en la valoración de los riesgos;
 Comprobar si las medidas de control existentes en el lugar de trabajo son efectivas

para reducir los riesgos;
 Priorizar la ejecución de acciones de mejora resultantes del proceso de valoración de

los riesgos, y
 Demostrar a las partes interesadas que se han identificado todos los peligros
asociados al trabajo y que se han dado los criterios para la implementación de las
medidas de control necesarias para proteger la seguridad y la salud de los trabajadores
ACTIVIDADES PARA IDENTIFICAR LOS PELIGROS Y VALORAR LOS RIESGOS
Las siguientes actividades son necesarias para que las organizaciones realicen la
identificación de los peligros y la valoración de los riesgos.
a) Definir el instrumento para recopilar la información: una herramienta donde se registre

la información para la identificación de peligros y valoración de los riesgos.
b) Clasificar los procesos, actividades y las tareas: preparar una lista de los procesos de
trabajo y de cada una de las actividades que lo componen y clasificarlas; esta lista debería
incluir instalaciones, planta, personas y procedimientos.
c) Identificar los peligros: incluir todos aquellos relacionados con cada actividad laboral.
Considerar quién, cuándo y cómo puede resultar afectado.

d) Identificar los controles existentes: relacionar todos los controles que la organización
ha implementado para reducir el riesgo asociado a cada peligro.
e) Valorar riesgo
 Evaluar el riesgo: calificar el riesgo asociado a cada peligro, incluyendo los controles
existentes que están implementados. Se debería considerar la eficacia de dichos
controles, así como la probabilidad y las consecuencias si éstos fallan.
 Definir los criterios para determinar la aceptabilidad del riesgo.
 Definir si el riesgo es aceptable: determinar la aceptabilidad de los riesgos y decidir si

los controles de S y SO existentes o planificados son suficientes para mantener los
riesgos bajo control y cumplir los requisitos legales.
f) Elaborar el plan de acción para el control de los riesgos, con el fin de mejorar los
controles existentes si es necesario, o atender cualquier otro asunto que lo requiera.
g) Revisar la conveniencia del plan de acción: re-valorar los riesgos con base en los
controles propuestos y verificar que los riesgos serán aceptables.
h) Mantener y actualizar:
 Realizar seguimiento a los controles nuevos y existentes y asegurar que sean

efectivos;
 Asegurar que los controles implementados son efectivos y que la valoración de los
riesgos está actualizada.
i) Documentar el seguimiento a la implementación de los controles establecidos en el

plan de acción que incluya responsables, fechas de programación y ejecución y estado
actual, como parte de la trazabilidad de la gestión en S y SO.

ACTIVIDADES A SEGUIR EN LA IDENTIFICACIÓN DE PELIGROS Y VALORACIÓN DE
RIESGOS
Definir el instrumento para recolectar información
Las organizaciones deberían contar con una herramienta para consignar de forma
sistemática la información proveniente del proceso de la identificación de los peligros y la

valoración de los riesgos, la cual debería ser actualizada periódicamente. Para efectos de
esta guía se propone como ejemplo la siguiente matriz de riesgo
Clasificar los procesos, actividades y las tareas
Un trabajo preliminar indispensable para la evaluación de riesgos es preparar una lista de

actividades de trabajo, agruparlas de manera racional y manejable y reunir la información
necesaria sobre ellas. Es vital incluir tareas no rutinarias de mantenimiento, al igual que el
trabajo diario o tareas rutinarias de producción.
Es importante que la clasificación de las actividades de trabajo y el alcance de la valoración

del riesgo individual, se comunique claramente a todo el equipo de valoración.
Para la descripción y clasificación de los peligros se podrá tener en cuenta la siguiente tabla
Este cuadro no es un listado exhaustivo. Las organizaciones deberían desarrollar su propia
lista de peligros tomando en cuenta el carácter de sus actividades laborales y los sitios en
que se realiza el trabajo.

Descripción y clasificación de peligros
Para identificar los peligros, se recomienda plantear una serie de preguntas como las
siguientes:
 ¿Existe una situación que pueda

generar daño?
 ¿Quién (o qué) puede sufrir daño?
 ¿Cómo puede ocurrir el daño?
 ¿Cuándo puede ocurrir el daño?
Riesgo biológico: Derivado de la manipulación o exposición a organismos que pueden

actuar como agentes patógenos. Cuando se determina este riesgo se ve un efecto en la
salud que es el riesgo de infección, esto debido a la manipulación de sustancias o fluidos
que pueden generar peligro en la salud de los trabajadores, como ejemplo se puede
mencionar, los fluidos corporales de pacientes en un hospital. Así, para mitigar y generar
una barrera protectora en los trabajadores, es importante conocer los principios de la

Bioseguridad, que contienen medidas preventivas destinadas a mantener el control de los
factores mencionados. De tal forma, se logra la prevención de efectos nocivos, permitiendo
que los procedimientos realizados no atenten contra la salud y la seguridad de trabajadores
de la salud, población en general y medio ambiente. Se evalúan dentro de estos peligros los
siguientes: Virus, bacterias, hongos, parásitos, venenos, picaduras, mordeduras, entre otros.
Riesgo Químico: Derivado del contacto con sustancias orgánicas, inorgánicas, naturales o
sintéticas que pueden presentarse en diversos estados físicos en el ambiente de trabajo con
efectos irritantes, corrosivos, asfixiantes o tóxicos y que según su cantidad puede generar
lesiones en la salud de las personas que las manipulan. Algunos de estos químicos según
su estado sólido, líquido o gaseoso (Gases y Vapores) son: Aerosoles, polvos, humos por
metales, hollín, condensación del estado gaseoso (neblina) y material articulado. Los
químicos mencionados pueden ingresar al organismo por las vías: respiratoria (pulmones),
dérmica (a través de la piel), digestiva (boca y parenteral- penetración directa del
contaminante en el organismo a través de una discontinuidad de la piel: herida o punción).
Riesgo psicosocial: Derivado de las condiciones que se encuentran presentes en una

situación laboral y que están directamente relacionadas con la organización, el contenido del
trabajo y la realización de las tareas. Este riesgo afecta el bienestar o la salud física, psíquica
y social del trabajador en el desarrollo de su labor. Entre estas condiciones, es posible
determinar: la gestión organizacional, los estilos de mando, la contratación, las evaluaciones
de desempeño, la organización del trabajo, características del grupo social; condiciones de
la tarea como lo son: carga mental, contenido de la tarea, sistemas de control, habilidades
personales, conocimientos, iniciativa, entre otras.
Temperatura: El cuerpo humano posee una temperatura normal de 37°c, cualquier

condición que altere la misma puede generar afectaciones en la salud de los trabajadores.
Iluminación: Las lesiones por deficiencia de iluminación, pueden ser desde irritación en los
ojos, cansancio o fatiga, dolor de cabeza, hasta neuralgias, entre otras.
Ruido: Cualquier exposición mayor a 80 dBA puede producir efectos en la salud del
trabajador, como la sordera profesional.
Ventilación: La ventilación permite controlar los contaminantes como: polvos, neblinas,
humos y malos olores, para de esta manera corregir condiciones térmicas inadecuadas y
evitar la contaminación ambiental. Cuando no hay ventilación, todos los factores
mencionados pueden poner en riesgo la salud del trabajador.
Vibración: los primeros efectos de las vibraciones los sufre la parte del cuerpo en contacto
con la maquina o equipo cuya transmisión puede afectar miembros superiores (brazos,
manos) hasta la columna vertebral. Las vibraciones de mayor frecuencia es la de 20 a 1000
Hz, producidas por maquinaria de tipo industrial y genera afectaciones a nivel
osteomuscular.
Movimientos Repetitivos: Movimientos continuos efectuados de manera cíclica durante el

trabajo, cuando la duración del ciclo de trabajo es menor de 30 segundos.
Posturas mantenidas: Posturas que se mantienen de manera estática durante una buena
parte de la jornada laboral.
Posturas extremas: Posición incómoda de una articulación o del cuerpo entero durante un
tiempo prolongado.
Fuerza y Manipulación de cargas pesadas: El levantamiento de objetos pesados se

caracteriza por mover o alzar un objeto de una altura baja a otra superior que se diferencian
de la fuerza de tirar, empujar u otros esfuerzos similares , por ende requiere y demanda
consumo de mucha energía, generando efectos nocivos en el metabolismo del ser humano.
Radiaciones no Ionizantes: Producen efectos nocivos en el metabolismo humano

Identificar los peligros
EFECTOS POSIBLES
Cuando se busca establecer los efectos posibles de los peligros sobre la integridad o salud
de los trabajadores, se debería tener en cuenta preguntas como las siguientes:
 ¿Cómo pueden ser afectados el trabajador o la parte interesada expuesta?
 ¿Cuál es el daño que le(s) puede ocurrir?
Se debería tener cuidado para garantizar que los efectos descritos reflejen las
consecuencias de cada peligro identificado, es decir que se tengan en cuenta consecuencias
a corto plazo como los de seguridad (accidente de trabajo), y las de largo plazo como las
enfermedades (ejemplo: pérdida de audición).
Igualmente se debería tener en cuenta el nivel de daño que puede generar en las personas.
A continuación se proporciona un ejemplo de niveles de daño:
Las organizaciones deberían adaptar este tipo de estructura con el fin de reflejar sus
objetivos. Por ejemplo la estructura ilustrada en el cuadro anterior podría ampliarse a tres
categorías, incluyendo efectos que no se relacionan directamente con la salud y seguridad
de los trabajadores como por ejemplo daños a la propiedad, fallas en los procesos, pérdidas
económicas, entre otros.
Identifique las condiciones de seguridad, es decir los factores que se caracterizan por ser
fuente de accidentes e incidentes de trabajo. Estos pueden ser:
Mecánicos: Condiciones en las cuales intervienen las maquinas, las herramientas y demás
objetos presentes durante el trabajo que puedan producir: caídas, aplastamientos cortes,
atrapamientos, proyecciones de partículas en los ojos, contusiones en la cabeza, tronco y

extremidades, heridas, hematomas, y en general lesiones que son consideradas accidentes
de trabajo.
Eléctricos: se hace referencia a los sistemas eléctricos de las maquinas, equipos e

instalaciones locativas que conducen o generan energía dinámica o estática. Éstos al entrar
en contacto con las personas pueden provocar quemaduras y fibrilación ventricular.
Locativos: Condiciones en las cuales intervienen superficies de trabajo, sistemas de

almacenamiento, organización del área, estructuras, instalaciones, y en general el espacio
de trabajo.
Trabajo en Alturas: Condiciones en las cuales, la actividad laboral se realiza a una altura
física igual o superior a 1.50 mts, medidos desde el piso. Los riesgos a los cuales se puede
ver expuesto el trabajador en dichas condiciones son: Desplome de andamios, caídas al
vacío por plataformas de trabajo inadecuadas, caídas al vacío por no usar arnés de
seguridad, riesgo al subir, al trabajar y al bajar, riesgo ante eventual rescate, caída desde
distinto nivel al realizar trabajos sobre andamios, escalas, plataformas, etc., caída de
materiales, herramientas, despuntes, escorias, cascos, etc., sobre personas que transitan
bajo el área de trabajo.
Trabajo en espacios confinados: Condiciones de trabajo en las cuales, los trabajadores

realizan sus labores en cualquier espacio con aberturas limitadas de entrada y salida, y
ventilación desfavorable o poco eficiente, en el que puedan acumularse contaminantes
tóxicos o inflamables, o tener una atmósfera deficiente de oxígeno, y que no está concebido
para una ocupación continuada por parte del trabajador. Entre ellos se tiene: depósitos,
pozos, silos, furgones,
Establezca los fenómenos que generan emergencias, es decir situaciones que generan
peligro en la población trabajadora. Éstos son determinados por su origen Natural,
Tecnológico o Antrópico (social) y pueden generar daños y lesiones tanto a la empresa como
a los colaboradores. Algunos de ellos son: inundación, terremoto, incendio, explosión,
deslizamiento, entre otros.

Identificación de los controles existentes
Las organizaciones deberían identificar los controles existentes para cada uno de los
peligros identificados y clasificarlos en: Fuente, Medio e Individuo
Valorar el riesgo
La valoración del riesgo incluye:

a) La evaluación de los riesgos teniendo en cuenta la suficiencia de los controles existentes,
b) La definición de los criterios de aceptabilidad del riesgo,
c) La decisión de si son aceptables o no, con base en los criterios definidos.
Evaluación de los riesgos
La evaluación de los riesgos corresponde al proceso de determinar la probabilidad de que

ocurran eventos específicos y la magnitud de sus consecuencias, mediante el uso
sistemático de la información disponible.
Decidir si el riesgo es aceptable o no
Una vez determinado el nivel de riesgo, la organización debería decidir cuáles riesgos son
aceptables y cuáles no. En una evaluación completamente cuantitativa es posible evaluar el
riesgo antes de decidir el nivel que se considera aceptable o no aceptable. Sin embargo, con
métodos semicuantitativos tales como el de la matriz de riesgos, la organización debería
establecer que categorías son aceptables y cuáles no.
Elaborar el plan de acción para el control de los riesgos
Los niveles de riesgo, como se muestra en la Tabla 8, forman la base para decidir si se
requiere mejorar los controles y el plazo para la acción. Igualmente muestra el tipo de control
y la urgencia que se debería proporcionar al control del riesgo.

Medidas de intervención
Una vez completada la valoración de los riesgos la organización debería estar en capacidad
de determinar si los controles existentes son suficientes o necesitan mejorarse, o si se
requieren nuevos controles.
Si se requieren controles nuevos o mejorados, siempre que sea viable, se deberían priorizar
y determinar de acuerdo con el principio de eliminación de peligros, seguidos por la
reducción de riesgos (es decir, reducción de la probabilidad de ocurrencia, o la severidad
potencial de la lesión o daño), de acuerdo con la jerarquía de los controles contemplada en
la Norma NTC-OHSAS 18001.
A continuación se presentan ejemplos de implementación de la jerarquía de controles:
- Eliminación: modificar un diseño para eliminar el peligro, por ejemplo, introducir

dispositivos mecánicos de alzamiento para eliminar el peligro de manipulación manual.
- Sustitución: reemplazar por un material menos peligroso o reducir la energía del sistema
(por ejemplo, reducir la fuerza, el amperaje, la presión, la temperatura, etc.).
- Controles de ingeniería: instalar sistemas de ventilación, protección para las máquinas,

enclavamiento, cerramientos acústicos, etc.
- Controles administrativos, señalización, advertencias: instalación de alarmas,

procedimientos de seguridad, inspecciones de los equipos, controles de acceso,
capacitación del personal.
- Equipos / elementos de protección personal: gafas de seguridad, protección auditiva,

máscaras faciales, sistemas de detención de caídas, respiradores y guantes.
Al aplicar un control determinado se deberían considerar los costos relativos, los beneficios
de la reducción de riesgos, y la confiabilidad de las opciones disponibles.

Revisión de la conveniencia del plan de acción
La organización debería generar un proceso de revisión del plan de acción seleccionado con
personal experto interno y/o externo, o ambos, esto garantizaría que el proceso de valoración
de los riesgos y de establecimiento de criterios es correcto y la ejecución del proceso es
eficaz.
Mantenimiento y actualización
La organización debería identificar los peligros y valorar los riesgos periódicamente. La

determinación de la frecuencia se puede dar por alguno de los siguientes aspectos:
- La necesidad de determinar si los controles para el riesgo existentes son eficaces y

suficientes.
- La necesidad de responder a nuevos peligros.
- La necesidad de responder a cambios que la propia organización ha llevado a cabo.
- La necesidad de responder a retroalimentación de las actividades de seguimiento,

investigación de incidentes, situaciones de emergencia o los resultados de las pruebas de
los procedimientos de emergencia.
- Cambios en la legislación.
- Factores externos, por ejemplo, problemas de salud ocupacional que se presenten.
- Avances en las tecnologías de control.
- La diversidad cambiante en la fuerza de trabajo, incluidos los contratistas.

Las revisiones periódicas pueden ayudar a asegurar la consistencia en las valoraciones de
los riesgos llevadas a cabo por diferente personal en diferentes momentos. En donde las
condiciones hayan cambiado o haya disponibles mejores tecnologías para manejo de
riesgos, se deberían hacer las mejoras necesarias.
No es necesario llevar a cabo nuevas valoraciones de los riesgos cuando una revisión puede
demostrar que los controles existentes o los planificados siguen siendo eficaces.
INTEGRACIÓN DE NORMAS , ESTÁNDARES Y SISTEMAS
Un SGSI es en primera instancia, un sistema de gestión, es decir, una herramienta de la que

dispone la gerencia para dirigir y controlar un determinado ámbito, en este caso, la seguridad
de la información.
La gestión de las actividades de las organizaciones se realiza, cada vez con más frecuencia,
según sistemas de gestión basados en estándares internacionales: se gestiona la calidad

según ISO 9001, el impacto medio-ambiental según ISO 14001 o la prevención de riesgos
laborales según OHSAS 18001. Ahora, se añade ISO 27001 como estándar de gestión de
seguridad de la información.
Las empresas tienen la posibilidad de implantar un número variable de estos sistemas de

gestión para mejorar la organización y beneficios sin imponer una carga a la organización.
Las normas OHSAS 18,000 han sido diseñadas para ser compatibles con los estándares
de gestión ISO 9.000 e ISO 14.000, relacionados con materias de Calidad y Medio Ambiente
respectivamente. De este modo facilita la integración de los sistemas de gestión para la
calidad, el medio ambiente, la salud ocupacional y la seguridad en las empresas. Estos
sistemas comparten principios sistemáticos comunes de gestión basados, entre otros, en el
mejoramiento continuo, el compromiso de toda la organización y en el cumplimiento de las
normativas legales.
Las empresas que adoptan estas normativas de mejoramiento continuo, tales como ISO
9.000, ISO 14.000 y ahora las OHSAS 18.000, se ven beneficiadas en el engrandecimiento
de su imagen interna, como externa. Se benefician y fortalecen las relaciones con sindicatos
y gremios laborales y sociales.
Negociación: Un factor importante para toda empresa es asegurar a sus trabajadores, a sus
procesos e instalaciones, para ello recurren a compañías de seguros o instituciones
especializadas, que sin un respaldo confiable de los riesgos que tomarán, difícilmente
otorgarán primas preferenciales o flexibilidad en sus productos. Al adoptar estas normas, las
empresas tienen mayor poder de negociación, debido a que sus riesgos estarán identificados
y controlados por procedimientos claramente identificados.
Competitividad: Actualmente, y con mayor fuerza en el futuro, la globalización elimina las

fronteras y las barreras de los diferentes productos y servicios que se ofrecen en los
mercados mundiales. Esto nos obliga a mantener altos estándares de calidad, y a cumplir
rigurosamente con los estándares de los mercados en los cuales queremos competir. El
hecho de asumir como propios estos estándares OHSAS 18.000, hará que las empresas

puedan competir de igual a igual en los mercados mundiales, sin temor a ser demandados
por un efecto dumping en esta materia.
Respaldo: Otro beneficio que obtienen las empresas al adoptar estas normas OHSAS
18.000, es obtener el respaldo necesario para aportar antecedentes de su gestión ante
posibles demandas laborales por negligencia en algún siniestro del trabajo. El potencial de
estos beneficios además, se ven incrementados si el sistema está certificado.
BIBLIOGRAFÍA
 Icontec. Norma Técnica Colombiana NTC 5254, Gestión del Riesgo, Colombia, 2004
 Standards Australia. AS/nzs (Australian/New Zealand Standard ) AS/nzs 4360:1999.
 COSO. Committee of sponsoring Organizations of the treadway commission, Enterprise Risk
Management (erm), Integrated framework, Sep. 2004. USA.
 Instituto Colombiano de Normas Técnicas y certificación. Norma Técnica Colombiana NTC:
31000 GESTIÓN DEL RIESGO.
CIBERGRAFÍA
 http://tienda.icontec.org/brief/NTC-ISO31000.pdf
 file:///C:/Users/Usuario/Downloads/NTC5254%20(2).pdf
 http://www.sisteseg.com/files/Microsoft_Word_-_Articulo_BS_25999_DEF1.pdf
 https://www.iso.org/obp/ui/#iso:std:iso:guide:73:ed-1:v1:en
 https://www.isotools.org/normas/riesgos-y-seguridad/


Guia Didactica 3 - Estándares y Normas Relacionados

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guia Didactica 3 - Estándares y Normas Relacionados

Cargado por

Copyright:

Formatos disponibles

DIPLOMADO VIRTUAL EN

Tiempo destinado: 20 horas

MÓDULO 3: NORMAS Y ESTÁNDARES RELACIONADOS

La Gestión de Riesgos como “Integrador” de todos los componentes de Gestión y

Después de terminar el contenido de este Módulo usted estará en capacidad de Identificar

Podrá identificar la importancia y los beneficios de la implementación de un sistema basado

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

ESTÁNDARES Y NORMAS MUNDIALES EN LA GESTIÓN DEL RIESGO

“La Gestión de riesgos debe formar parte de la cultura organizacional…quienes gestionan el

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

2. NTC 5254 Gestión de riesgos ( derogada)

1. ISO 31000 GESTIÓN DEL RIESGO

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

La estandarización de todos los protocolos de gestión del riesgo se ha centrado en:

 Cubrir las lagunas legales en la gestión de riesgo empresarial.

 La incorporación de mecanismos de información sobre la gestión del riesgo.

 La creación de criterios uniformes de evaluación y medición de riesgo.

PRINCIPIOS BASICOS DE LA GESTIÓN DES RIESGO

La ISO 31000:2009 establece los principios y directrices de carácter génerico sobre la

 Aumentar la probabilidad de lograr objetivos

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

La NTC 5254 actualmente derogada se conocía en Colombia para la Gestión de riesgo es

2. NTC 5254 GESTIÓN DE RIESGOS

VISION GENERAL DEL PROCESO DE GESTIÓN DE RIESGO

Elementos que conforman el proceso de gestión del riesgo:

a. Comunicación y consulta. Comunicar y consultar con interesados internos y

La gestión de riesgo se puede aplicar en muchos ámbitos de una organización. Se puede

PROCESO DE LA GESTIÓN DE RIESGO

ESTABLECIMIENTO DEL CONTEXTO.

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

Establecimiento del contexto externo.

a. Ambiente de negocio, social, reglamentario, cultural, competitivo, financiero y político.

Es particularmente importante considerar las concepciones y los valores de las partes

Establecimiento del contexto interno.

Es importante establecer el contexto interno porque:

Definición de la estructura del resto del proceso

Implica subdividir la actividad, el proceso, el proyecto o el cambio en con juntos de elementos

IDENTIFICACIÓN DE LOS RIESGOS

¿Qué puede suceder, dónde y cuándo?

¿Por qué y cómo puede suceder?

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

ANÁLISIS DE LOS RIESGOS

El riesgo se analiza combinando las consecuencias con su posibilidad.

Evaluación de los controles existentes

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

Las técnicas incluyen

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

EVALUACIÓN DE LOS RIESGOS

TRATAMIENTO DE LOS RIESGOS

Identificación de las opciones para el tratamiento de los riesgos con resultados

 Búsqueda activa de una oportunidad decidiendo empezar o continuar con una

Identificación de las opciones para el tratamiento de los riesgos con resultados

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

Valoración de las opciones para tratar el riesgo

El análisis de sensibilidad es una forma de probar la eficacia de diferentes opciones para

Preparación e implementación de los planes de tratamiento

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

3. AS/NZ 4360 RISK MANGEMET – ERM (Gestión de Riesgos)

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO

La siguiente información da un breve relato de / NZS 4360 norma AS relevante. Cada

 Establecer metas y Contexto

 Evitar el riesgo de interrupción de la actividad que lo genera.

 Supervisar e informar sobre la eficacia de los tratamientos de riesgo