PROGRAMA  DE  ADMINISTRACIÓN  DE  LA  SEGURIDAD  Y  SALUD  

OCUPACIONAL  

UNIDAD 2. MARCO DE REFERENCIA PARA LA GESTIÓN

INTEGRAL DEL RIESGO (ISO 31000)

Gestión de riesgo.

Introducción

Las  organizaciones  de  todo  tipo  y  tamaño  se  enfrentan  a  factores  e  influencias,  internas  
y   externas,   que   generan   incertidumbre   cuando   se   trata   de   alcanzar   sus   objetivos.   El  
efecto  que  esta  incertidumbre  tiene  en  los  objetivos  de  la  organización  es  el  "riesgo”.  

Todas   las   actividades   de   una   organización   implican   riesgos.   Las   organizaciones  

gestionan   el   riesgo   mediante   su   identificación   y   análisis,   y   luego   evalúan   si   este   debe  
ser   modificado,   con   el   fin   de   satisfacer   sus   criterios.   A   lo   largo   de   este   proceso,   se  
comunican  y  consultan  con  las  partes  interesadas,  supervisando  y  revisando  los  riesgos  
y   los   controles   que   lo   están   modificando   con   el   fin   de   garantizar   que   no   se   requiere  
tratamiento  adicional  del  riesgo.    

Si   bien   todas   las   organizaciones   gestionan   el   riesgo   en   cierta   medida,   a   través   de   la  

norma   ISO   31000   se   establecen   una   serie   de   principios   que   deben   ser   desarrolladas  
para   hacer   que   la   gestión   del   riesgo   sea   eficaz.   Esta   norma   recomienda   que   las  
organizaciones   desarrollen,   implementen   y   mejoren   continuamente   un   marco   cuyo  
objetivo  sea  el  de  integrar  el  proceso  de  gestión  de  riesgos  en  la  gobierno  global  de  la  
    

PROGRAMA  DE  ADMINISTRACIÓN  DE  LA  SEGURIDAD  Y  SALUD    

OCUPACIONAL  
 
 
organización,  la  estrategia  y  la  planificación,  la  gestión,  los  procesos  de  presentación  de  
informes,  las  políticas,  los  valores  y  la  cultura  organizacional.  

La   gestión   del   riesgo   se   puede   aplicar   a   toda   la   organización,   en   sus   muchas   áreas   y  
niveles,   en   cualquier   momento,   así   como   para   funciones   específicas,   proyectos   y  
actividades.  
 
Aunque  la  práctica  de  la  gestión  del  riesgo  se  ha  desarrollado  con  el  paso  del  tiempo  y  
en   muchos   sectores   con   el   fin   de   satisfacer   las   diversas   necesidades,   la   adopción   de  
procesos   coherentes   dentro   de   un   marco   integral   puede   ayudar   a   asegurar   que   el  
riesgo   se   gestiona   con   eficacia,   eficiencia   y   coherencia   en   toda   la   organización.   El  
enfoque  genérico  descrito  en  esta  norma  establece  los  principios  y  directrices  para  la  
gestión  de  cualquier  tipo  de  riesgo  de  una  manera  sistemática,  transparente  y  creíble  y  
dentro  de  cualquier  ámbito  y  contexto.  
 
Cada  sector  específico  o  la  aplicación  de  gestión  de  riesgos  traen  consigo  necesidades  
individuales,  audiencias,  percepciones  y  criterios.  Por  lo  tanto,  una  característica  clave  
de  esta  norma  es  la  inclusión  del  "establecimiento  del  contexto  "  como  una  actividad  en  
el   inicio   de   este   proceso   genérico   de   gestión   de   riesgos.   Establecer   el   contexto  
capturará   los   objetivos   de   la   organización,   el   entorno   en   el   que   se   persigue   estos  
objetivos,  las  partes  interesadas  y  la  diversidad  de  criterios  de  riesgo,  lo  cual  ayudará  a  
descubrir  y  valorar  la  naturaleza  y  complejidad  de  sus  riesgos.  
 
 

Objetivos
 

Objetivo general

Conocer   y   comprender   el   contenido   técnico   del   marco   de   referencia   para   la  

implementación  de  un  sistema  de  gestión  integral  del  riesgo,  basado  en  la  norma  ISO  
31000,   a   través   de   las   generalidades,   los   parámetros   de   dirección   y   compromiso,   el  
diseño,   monitoreo,     revisión   y   mejora   continua   del   marco   de   referencia,   e  
implementación  de  la  gestión  del  riesgo.  
 

Objetivos específicos

• Aplicar   los   conocimientos   del   presente   objeto   de   aprendizaje,   en   casos  

específicos  de  la  vida  laboral  y  profesional.    
 
• Diseñar  e  implementar  estrategias  para  la  adecuada  gestión  integral  del  riesgo  
en  las  organizaciones.  
    

PROGRAMA  DE  ADMINISTRACIÓN  DE  LA  SEGURIDAD  Y  SALUD    

OCUPACIONAL  
 
 
2.1 Generalidades

Esta   norma   establece   los   principios   y   directrices   generales   en   materia   de   gestión   de  

riesgos,   y   puede   ser   utilizada   por   cualquier   empresa   pública,   privada   o   comunitaria,  
asociación,  grupo  o  individuo.  Por  lo  tanto,  esta  norma  no  es  específica  para  cualquier  
industria   o   sector.   Puede   aplicarse   en   toda   la   vida   de   una   organización,   y   para   una  
amplia   gama   de   actividades,   incluidas   las   estrategias   y   decisiones,   operaciones,  
procesos,   funciones,   proyectos,   productos,   servicios   y   activos.   Esta   norma   se   puede  
aplicar  a  cualquier  tipo  de  riesgo,  cualquiera  que  sea  su  naturaleza,  ya  sea  que  tengan  
consecuencias  positivas  o  negativas.  
 
Aunque  esta  norma  internacional  proporciona  directrices  genéricas,  no  es  la  intención  
de   promover   la   uniformidad   de   la   gestión   de   riesgos   en   todas   las   organizaciones.   El  
diseño  e  implementación  de  planes  y  marcos  de  gestión  de  riesgos  tendrán  que  tomar  
en   cuenta   las   diversas   necesidades   de   una   organización   específica,   sus   objetivos  
particulares,   contexto,   estructura,   operaciones,   procesos,   funciones,   proyectos,  
productos,  servicios,  o  de  los  activos  y  las  prácticas  específicas  empleadas.  
 
Se   pretende   que   se   utilice   esta   norma   internacional   para   armonizar   los   procesos   de  
gestión   de   riesgos   en   las   normas   actuales   y   futuras.   Proporciona   un   enfoque   común   en  
apoyo  de  las  normas  relativas  a  los  riesgos  específicos  y  /  o  sectores,  y  no  sustituye  a  
las  normas.  Esta  Norma  Internacional  no  está  prevista  para  fines  de  certificación.  
 
Para   que   la   gestión   del   riesgo   sea   eficaz,   las   organizaciones   deben   cumplir   con   los  
siguientes  principios  en  todos  sus  niveles,  así:  

• La  gestión  de  riesgos  crea  y  protege  el  valor.  

• La   gestión   de   riesgos   es   una   parte   integral   de   todos   los   procesos   de   la  
organización.  
• La  gestión  del  riesgo  es  parte  de  la  toma  de  decisiones.  
• La  gestión  de  riesgos  aborda  explícitamente  la  incertidumbre.  
• La  gestión  de  riesgos  es  sistemática,  estructurada  y  oportuna.  
• La  gestión  del  riesgo  se  basa  en  la  mejor  información  disponible.  
• La  gestión  de  riesgos  se  adapta.  
• La  gestión  de  riesgos  tiene  en  cuenta  factores  humanos  y  culturales.  
• La  gestión  de  riesgos  es  transparente  e  inclusiva.  
• El  riesgo  es  dinámico,  reiterativo  y  sensible  al  cambio.  
• La  gestión  de  riesgos  facilita  la  mejora  continua  de  la  organización.  

El  éxito  de  la  gestión  del  riesgo  dependerá  de  la  eficacia  del  marco  de  referencia  que  
proporciona  las  bases  y  disposiciones  para  implementarlo  en  toda  la  organización  y  en  
todos   sus   niveles.   El   marco   ayuda   en   la   gestión   de   los   riesgos   de   manera   efectiva   a  
través   de   la   aplicación   del   proceso   de   gestión   del   riesgo   en   los     diferentes   niveles   y  
contextos  específicos  de  la  organización.  El  marco  garantiza  que  la  información  sobre  
    

PROGRAMA  DE  ADMINISTRACIÓN  DE  LA  SEGURIDAD  Y  SALUD    

OCUPACIONAL  
 
 
los  riesgos  derivados  del  proceso  de  gestión  de  riesgo  se  reporte  de  manera  adecuada  y  
se  utiliza  como  base  para  la  toma  de  decisiones  y  la  rendición  de  cuentas  en  todos  los  
niveles  pertenecientes  a  la  organización.  
 
Este   marco   no   tiene   por   objeto   establecer   un   sistema   de   gestión,   sino   más   bien   para  
ayudar   a   la   organización   a   integrar   la   gestión   de   riesgos   en   su   sistema   de   gestión  
global.   Por   lo   tanto,   las   organizaciones   deben   adaptar   los   componentes   del   marco   de  
sus  necesidades  específicas.  

2.2 Dirección y compromiso

Es  el  paso  inicial  en  el  proceso  de  implementación  de  un   sistema  de  gestión  del  riesgo.  
Es   la   decisión   seria   y   firme   de   la   gerencia,   basada   en   el   análisis   de   los   retos   a   que   la  
organización  se  enfrenta  y  el   interés  de  introducir  un  sistema  de  gestión  innovador  en  
la  estructura  de  las    actividades  y  sus  procesos,  superando  eficazmente  las  diferentes  
variables   de   riesgo   con   el   potencial   de   generar   pérdidas,   costos   y   problemas   que  
impacten   en   el   cumplimiento   de   los   objetivos   organizacionales.   Para   el   desarrollo  
eficaz  del  modelo  que  seguirá  el  equipo  de  trabajo  es  fundamental  el  compromiso  de  la  
Gerencia.  
 
La   introducción   de   la   gestión   de   riesgos,   y   asegurar   su   eficacia   constante,   requiere   el  
compromiso   firme   y   sostenido   por   la   dirección   de   la   organización,   así   como   la  
planificación   estratégica   y   rigurosa   para   lograr   el   compromiso   a   todos   los   niveles.   La  
gerencia  debe:  

• Definir  y  aprobar  la  política  de  gestión  de  riesgos;  

• Asegurar   que   la   cultura   de   la   organización   y   la   política   de   gestión   de   riesgos  
estén  alineados;  
• Determinar  los  indicadores  de  desempeño  de  gestión  de  riesgos  que  se  alineen  
con  los  indicadores  de  desempeño  de  la  organización;  
• Alinear  los  objetivos  de  gestión  de  riesgos  con  los  objetivos  y  estrategias  de  la  
organización;  
• Asegurar  el  cumplimiento  legal  y  reglamentario;  
• Asignar   obligaciones   y   responsabilidades   en   los   niveles   apropiados   dentro   de   la  
organización;  
• Asegurar  que  los  recursos  necesarios  están  asignados  a  la  gestión  del  riesgo;  
• Comunicar   los   beneficios   de   la   gestión   de   riesgos   a   todas   las   partes   interesadas,  
y  
• Garantizar   que   el   marco   de   referencia   para   la   gestión   del   riesgo   sigue   siendo  
adecuado.  
    

PROGRAMA  DE  ADMINISTRACIÓN  DE  LA  SEGURIDAD  Y  SALUD    

OCUPACIONAL  
 
 
2.3 Diseño de marco para la gestión del riesgo

Comprensión   de   la   organización   y   su   contexto:   Antes   de   iniciar   el   diseño   y   la  

aplicación  del  marco  para  la  gestión  de  riesgos,  es  importante  evaluar  y  entender  tanto  
el   contexto   externo   e   interno   de   la   organización,   ya   que   estos   pueden   influir  
significativamente  en  el  diseño  de  la  estructura.  
 
Establecimiento   de   la   política   de   gestión   de   riesgos:   La   política   de   gestión   de  
riesgos   debe   establecer   claramente   los   objetivos   de   la   organización,   para   la   gestión   del  
riesgo  y  su  compromiso  con  ella.  
 
Rendición   de   cuentas:   La   organización   debe   asegurarse   de   exista   responsabilidad,  
autoridad   y   competencia   adecuada   para   la   gestión   de   riesgos,   incluyendo   la  
implementación   y   el   mantenimiento   de   los   procesos   de   gestión   de   riesgos   y  
garantizando  la  adecuación,  la  eficacia  y  la  eficiencia  de  los  controles.    
 
La  integración  en  los  procesos  de  organización:  La  gestión  de  riesgos  debe  formar  
parte   de   todas   las   prácticas   y   procesos   de   la   organización   de   manera   que   sea  
pertinente,   eficaz   y   eficiente.   El   proceso   de   gestión   de   riesgos   debe   formar   parte   de   los  
procesos  de  la  organización.  En  particular,  la  gestión  de  riesgos  debe  estar  integrada  en  
el  desarrollo  de  la  política,  la  planificación  estratégica  y  del  negocio,  la  revisión  y  en  los  
procesos  de  gestión  del  cambio.    
 
Recursos:   La   organización   debe   asignar   los   recursos   adecuados   para   la   gestión   de  
riesgos.  
 
Establecimiento   de   la   comunicación   interna   y   los   mecanismos   de   presentación  
de   informes:   La   organización   debe   establecer   la   comunicación   interna   y   los  
mecanismos  de  presentación  de  informes  con  el  fin  de  apoyar  y  fomentar  la  rendición  
de  cuentas  y  la  propiedad  de  los  riesgos.  Estos  mecanismos  deberán,  en  su  caso,  incluir  
procesos   de   consolidación   de   la   información   de   riesgo   de   una   variedad   de   fuentes,   y  
puede  ser  necesario  tener  en  cuenta  la  sensibilidad  de  la  información.  
 
Establecimiento  de  mecanismos  para  la  comunicación  externa  y  la  presentación  
de   informes:   La   organización   debe   desarrollar   e   implementar   un   plan   de   cómo   va   a  
comunicarse   con   las   partes   interesadas   externas.   Estos   mecanismos   deberán,   en   su  
caso,   incluir   procesos   de   consolidación   de   la   información   de   riesgo   de   una   variedad   de  
fuentes,  y  puede  ser  necesario  tener  en  cuenta  la  sensibilidad  de  la  información.  
    

PROGRAMA  DE  ADMINISTRACIÓN  DE  LA  SEGURIDAD  Y  SALUD    

OCUPACIONAL  
 
 
2.4 Implementación de la gestión del riesgo

Al  aplicar  el  marco  de  la  organización  de  la  gestión  de  riesgos,  la  organización  debe:  
 
• Definir   el   momento   y   la   estrategia   adecuada   para   la   aplicación   del   marco   de  
referencia;  
• Aplicar   la   política   de   gestión   de   riesgos   y   el   proceso   de   los   procesos   de   la  
organización;  
• Cumplir  con  los  requisitos  legales  y  reglamentarios;  
• Asegurarse   de   qué   hacer,   incluyendo   el   desarrollo   y   establecimiento   de  
objetivos,  la  decisión  está  en  consonancia  con  los  resultados  de  los  procesos  de  
gestión  de  riesgos;  
• Celebrar  sesiones  de  información  y  entrenamiento;  
• Comunicarse   y   consultar   con   las   partes   interesadas   para   garantizar   que   su  
marco  de  gestión  del  riesgo  sigue  siendo  apropiado.  
 
La   gestión   del   riesgo   se   debería   implementar   garantizando   que   el   proceso   de   gestión  
del   riesgo   se   aplique   a   través   de   un   plan   de   gestión   de   riesgos   en   todos   los   niveles   y  
funciones  pertinentes  de  la  organización  como  parte  de  sus  prácticas  y  procesos.  

Monitoreo y revisión del marco de referencia

Con   el   fin   de   garantizar   que   la   gestión   de   riesgos   es   eficaz   y   sigue   apoyando   el  

desempeño  organizacional,  la  organización  debe:  
 
• Medir  el  desempeño  de  la  gestión  del  riesgo  frente  a  los  indicadores,  los  cuales  
se  revisan  periódicamente  para  comprobar  su  idoneidad;  
• Medir   periódicamente   los   avances   y   desviaciones   de   el   plan   de   gestión   de  
riesgos;  
• Revisar   periódicamente   si   el   marco   de   gestión   de   riesgos,   la   política   y   el   plan  
siguen  siendo  adecuados,  teniendo  en  cuenta  el  contexto  externo  e  interno  de  la  
organización;  
• Presentar  informe  sobre  riesgos,  los  avances  en  el  plan  de  gestión  de  riesgos  y  
sobre  que  tanto  se  cumple  la  política  de  gestión  de  riesgos,  y  
• Revisar  la  eficacia  del  marco  de  referencia  para  la  gestión  de  riesgos.  

Mejora continua del marco de referencia

Con  base  en  los  resultados  del  monitoreo  y  revisión,  deberán  tomarse  decisiones  sobre  
cómo   se   puede   mejorar   el   marco   de   referencia,   la   política   y   el   plan   de   gestión   de  
riesgos.   Estas   decisiones   deben   conducir   a   mejoras   en   la   gestión   de   riesgos   de   la  
organización  y  en  su  cultura  de  la  gestión  del  riesgo.  
    

PROGRAMA  DE  ADMINISTRACIÓN  DE  LA  SEGURIDAD  Y  SALUD    

OCUPACIONAL  
 
 
Resumen

Durante  el  desarrollo  de  la  presente  unidad  se  evidenció  que  en  todas  las  actividades  
que  desarrolla  una  organización,  esta  trae  implícitamente  la  implicación  de  riesgos.  Las  
organizaciones   gestionan   el   riesgo   mediante   su   identificación   y   análisis,   y   luego  
evalúan   si   el   riesgo   debe   ser   modificado   por   el   tratamiento   del   riesgo   con   el   fin   de  
satisfacer  sus  criterios  de  riesgo.  A  lo  largo  de  este  proceso,  se  comunican  y  consultan  
con  las  partes  interesadas,  supervisando  y  revisando  los  riesgos  y  los  controles  que  lo  
están  modificando  con  el  fin  de  garantizar  que  no  se  requiere  tratamiento  adicional  del  
riesgo.  Las  organizaciones  de  todo  tipo  y  tamaño  se  enfrentan  a  factores  e  influencias,  
internas   y   externas,   que   generan   incertidumbre   cuando   se   trata   de   alcanzar   sus  
objetivos.  El  efecto  que  esta  incertidumbre  tiene  en  los  objetivos  de  la  organización  es  
el   "riesgo”.   La   norma   ISO   31000   establece   una   serie   de   principios   que   deben   ser  
desarrollados  para  hacer  que  la  gestión  del  riesgo  sea  eficaz.    
 
El  proceso  de  implementación  de  un  sistema  de  gestión  del  riesgo,  es  la  decisión  seria  y  
firme  de  la  gerencia,  basada  en  el  análisis  de  los  retos  a  que  la  organización  se  enfrenta  
y   el   interés   de   introducir   un   sistema   de   gestión   innovador   en   la   estructura   de   las    
actividades   y   sus   procesos,   superando   eficazmente   las   diferentes   variables   de   riesgo  
con   el   potencial   de   generar   perdidas,   costos   y   problemas   que   impacten   en   el  
cumplimiento   de   los   objetivos   organizacionales.   Para   el   desarrollo   eficaz   del   modelo  
que  seguirá  el  equipo  de  trabajo  es  fundamental  el  compromiso  de  la  Gerencia.  
 
 
 
 
 
 
 
    

PROGRAMA  DE  ADMINISTRACIÓN  DE  LA  SEGURIDAD  Y  SALUD    

OCUPACIONAL  
 
 
Bibliografía

• ASIS  International.  2003.  General  security  risk  assessment  guideline.  Alexandria,  

VA:  ASIS  International.  
 
• Baker   engineering   &   energy.   2004.   Emergency   Management   Program   Services:  
Business  Continuity.  
 
• Broder.   J.   2000.   Risk   analysis   and   the   security   survey.   CPP.   Ed.   Butterworth-­‐
Heinemann,  segunda  edición.    
 
• Broder,  J.  (s.f)  Risk  analisis  and  the  security  survey.  CPP  Security.  
 
• Childs,   D.   &   Dietrich,   S.     2002.   Contingency   planning   and   disaster   Recovery:   A  
Small  Business  Guide.  New  York:  John  Wiley  &  Sons,  2002.  
 
• Cruz   Roja   Americana.   (s.f)   Preparing   your   business   for   the   unthinkable.    
Washington,  DC:  American  Red  Cross,  www.redcross.org  
 
• De  la  Mota  M.  1995.  Manual  de  seguridad  contra  atentados  y  secuestros.  Limusa  
Noriega  Editores.  Méjico    
 
• Doughty,   K.   2000.   Business   continuity   planning,   protecting   your   organization’s  
life.  Boston:  Auerbach  Publicationes.  
 
• Federal   Emergency   Management   Agency.   2001.   Understanding   your   risks:  
Identifying  hazards  and  estimating  losses.  FEMA  386-­‐2  Washington,  DC:  Federal  
Emergency  Management  Agency.  
 
• Federal   Emergency   Management   Agency.   2003.   Developing   the   mitigation   Plan;  
identifying   mitigation   actions   and   implementing   strategies.   FEMA   386-­‐3.  
Washington,  DC:  Federal  Emergency  Management  Agency.    
 
• Federal   Emergency   Management   Agency.   2003.   Reference   manual   to   mitigate  
potential  terrorist  attacks  against  buildings.  FEMA  426.  Washington,  DC:  Federal  
Emergency  Management  Agency.  
 
• Federal  Emergency  Management  Agency.  2003.  Primer  for  design  of  commercial  
buildings   to   mitigate   terrorist   attacks.   FEMA   427   Washington,   DC:   Federal  
Emergency  Management  Agency.    
 
    

PROGRAMA  DE  ADMINISTRACIÓN  DE  LA  SEGURIDAD  Y  SALUD    

OCUPACIONAL  
 
 
• Mortiz,   M.   (s.f).     Manual   de   repaso   para   el   examen   de   CPP   y   guía   de   estudio,  
Moritz,  CPP.  
 
• Norma  Técnica  ISO  31000:2009  
 
• Norma  Técnica  UNE  UN  31010:2010  
 
• Silvio   Vallejo   Rosero.   1997.   Seguridad   privada.   Editorial   Graficolor   (Pasto)    
Primera  edición.  
 
• Vallejo,   S.1995.   Seguridad   para   gerentes,   directivos   y   administradores.   Editorial  
Graficolor.  Pasto    Primera  edición.  
 
• Varossi,  C.  1997.  Secuestro,  temible  azote  de  fines  del  milenio.  Primera  edición.  J