Guia Didactica 3-GIR PDF

Gestión del Riesgo
Organizacional
GUÍA DIDÁCTICA N°3
M2-DV34-GU03
MÓDULO 3: NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL
RIESGO
DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL
© DERECHOS RESERVADOS - POLITÉCNICO SUPERIOR DE COLOMBIA,

2019
Medellín, Colombia
Proceso: Gestión Académica

Realización del texto: Jehison David Posada Hincapié, Asesor Gramatical
Revisión del texto: Duber Castrillón, Rector
Diseño: Cristian Quintero, Diseñador Gráfico
Editado por el Politécnico Superior de Colombia
DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL 2

| GUÍA DIDÁCTICA 3- NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL
RIESGO
Índice
Presentación ..................................................................................4
Competencia específica ...................................................................5
Contenidos temáticos ......................................................................6
TEMA 1 .........................................................................................7
Normas y Estándares Nacionales e Internacionales de la Gestión del

Riesgo Empresarial .........................................................................7
TEMA 2 ....................................................................................... 19
Normas y Estándares Nacionales e Internacionales de la Gestión del

Riesgo Tecnológico ....................................................................... 19
Recursos disponibles para el aprendizaje ......................................... 27
Ejercicio ...................................................................................... 27
Material complementario ............................................................... 28
Aspectos clave ............................................................................. 29
Referencias bibliográficas .............................................................. 30

RIESGO
Presentación
La Guía Didáctica N°3 del MÓDULO 3: NORMAS Y ESTÁNDARES DE LA

GESTIÓN DEL RIESGO, es un material que ha sido desarrollado para el apoyo y
orientación del participante en el diplomado en GESTIÓN DEL RIESGO
ORGANIZACIONAL; especialmente, está orientada a la adquisición y
consolidación de conocimientos respecto a las distintas normas y estándares
que al implementarse, apoyan la gestión integral del riesgo en las
organizaciones.
Ahora bien, el objetivo central de este módulo es reconocer la

importancia de implementar normas y estándares en las organizaciones, con el
fin de realizar una adecuada, eficaz y conveniente administración del riesgo y,
de esta manera, lograr los objetivos organizacionales y preveer,
correctamente, las distintas amenazas que pretendan interferir con el alcance
de estos.
Para ello, se ha organizado esta guía en dos (2) contenidos temáticos,

basados en competencias: (a) Normas y Estándares Nacionales e
Internacionales de la Gestión del Riesgo Empresarial y (b) Normas y
Estándares Nacionales e Internacionales de la Gestión del Riesgo Tecnológico.

RIESGO
Competencia específica
Se espera que con los temas abordados en la Guía Didáctica N°3 del
MÓDULO 3: NORMAS Y ESTÁNDARES DE LA GESTIÓN INTEGRAL DEL
RIESGO, el estudiante logre la siguiente competencia específica:
Conocer las Normas y Estándares para la Gestión Integral

del Riesgo, de tal manera que se implementen
correctamente en la administración de riesgos en las
empresas.
Resultados de aprendizaje:
o Identifique las Normas y Estándares Nacionales e
Internacionales de la Gestión del Riesgo Empresarial,
con el fin de tener criterios suficientes para definir la
más adecuada para cada una de los riesgos hallados
en las empresas.
o Reconozca la importancia de conocer las Normas y
Estándares Nacionales e Internacionales de la Gestión
del Riesgo Tecnológico, dado que todas las acciones
relacionadas con la tecnología de una organización
deben planificarse a lo largo del tiempo.

RIESGO
Contenidos temáticos
Normas y Estándares Normas y Estándares

Nacionales e Nacionales e
Internacionales de la Internacionales de la
Gestión del Riesgo Gestión del Riesgo
Empresarial Tecnológico
NORMAS Y
ESTÁNDARES DE LA
GESTIÓN INTEGRAL
DEL RIESGO
Ilustración 1: Contenidos temáticos.

Fuente: Autor

RIESGO
TEMA 1
Normas y Estándares Nacionales e Internacionales de la Gestión
del Riesgo Empresarial
Las normas ISO (International Organization for Standardization)

son documentos que especifican requerimientos que pueden ser
empleados en organizaciones para garantizar que los productos y/o
servicios ofrecidos por dichas organizaciones cumplen con su objetivo.
Hasta el momento la ISO ha publicado alrededor de 19.500 normas
internacionales.
El objetivo de las normas ISO es asegurar que los productos y/o
servicios alcancen la calidad deseada. Para las organizaciones son
instrumentos que permiten minimizar los costos, ya que hace posible la
reducción de errores y, sobre todo, favorecen el incremento de la
productividad.
Los estándares internacionales ISO son clave para acceder a
mercados nacionales e internacionales y, de este modo, estandarizar el
comercio en todos los países favoreciendo a los propios organismos
públicos.
Para la sociedad, las normas ISO también son importantes.
Existen más de 19.500 normas que ayudan a casi todos los aspectos del
día a día de una persona, como aquellas destinadas a garantizar la
seguridad vial o la seguridad de los juguetes. Si un producto y/o servicio
cumple con alguna de estas normativas, la sociedad puede estar segura
que son fiables y que cuentan con la calidad exigida a nivel mundial.
Durante la elaboración de cualquiera de estas normas, ISO
considera que es de gran importancia que los consumidores de estos

RIESGO
servicios y/o productos finales formen parte de los comités de expertos
responsables de dicha elaboración.
En los negocios, los estándares ISO hacen posible que se:
Reduzcan los costos: permite una optimización de las operaciones.
Incremente la satisfacción del cliente: colaboran a mejorar la

calidad de los productos y/o servicios cumpliendo con las
exigencias de los usuarios.
Abra el acceso a nuevos mercados: reducen las barreras al

comercio internacional.
Incremente la cuota de comercio: aportan una ventaja competitiva.
Ilustración 2: Ventajas de los estándares ISO.

Fuente: Autor
A continuación, se detallarán las normas ISO que, a nivel

empresarial, permiten enfrentar los desafíos y riesgos a los que las
organizaciones se ven arremetidas en su afán por brindar un buen
servicio al cliente u ofrecer un producto que cumpla con todos los
requerimientos de calidad.
OHSAS 18001
Sistemas de Gestión de Seguridad y Salud en el Trabajo.
OHSAS 18001 es una norma británica reconocida internacionalmente
que establece los requisitos para la implementación de un Sistema de
Gestión de la Seguridad y Salud en el Trabajo en aquellas
organizaciones que voluntariamente lo deseen.

RIESGO
Este Sistema de Gestión de Seguridad y Salud Ocupacional está
orientado a la identificación y control de riesgos y a la adopción de las
medidas necesarias para prevenir la aparición de accidentes.
Esta Norma es certificable y está destinada a organizaciones
comprometidas con la seguridad y salud laboral y con la prevención de
riesgos laborales siendo una herramienta fundamental y de reconocido
prestigio ante las instituciones.
Estructura de la OHSAS 18001.
Revisión
por la
Objeto y
dirección campo de
Verificación aplicación
Implementación y
operación
Requisitos ESTRUCTURA Publicaciones

Planificación del SG-SST OHSAS 18001 de consulta
Política de SST
Requisitos
generales Términos y
definiciones
Ilustración 3: Estructura OHSAS 18001.

Fuente: Autor
ISO 45001
Será tras su publicación, un estándar internacionalmente reconocido
como la norma ISO que contiene los requisitos necesarios para la

RIESGO
implantación de un Sistema de Gestión de Seguridad y Salud en el
Trabajo.
Aparece para sustituir a OHSAS 18001, pues ésta es una norma
británica y aunque es reconocida internacionalmente no pertenece a la
familia ISO, y viene cargada de potencial para disminuir el número de
accidentes, salvar vidas y aumentar la moral de los trabajadores.
Es una norma que ha sido elaborada en concordancia con el Anexo
SL, documento que está rigiendo el desarrollo de las nuevas normas de
Sistemas de Gestión de la familia ISO y de las que están siendo
revisadas.
Novedades respecto a su antecesora OHSAS 18001:
 Nuevo planteamiento de la definición de riesgo.
 Revisión del concepto lugar de trabajo y trabajador.
 Lenguaje más accesible para el sector servicios, para ello se habla de
identificación de riesgos y control de riesgos en lugar de peligros.
 Cambio de mentalidad para la norma pase de ser un estándar de
cumplimiento a un estándar de negocio.
ISO 22000
Sistema de Gestión de Inocuidad Alimentaria.
ISO 22000 es una norma que define y especifica los requisitos
para desarrollar e implantar un Sistema de Gestión de Inocuidad
Alimentaria.
La intención final de este estándar es lograr la armonización
internacional de la gran variedad de normas que existen en esta materia
y ser un medio que permita alcanzar la mejora continua de la Seguridad
Alimentaria.

RIESGO
Esta norma es aplicable a cualquier organización que esté
involucrada con la Seguridad Alimentaria, independientemente de su
papel en la misma o tamaño; además, fue pensada para reforzar
la Seguridad Alimentaria, fomentar la cooperación entre los entes
implicados, asegurar la protección del consumidor y fortalecer su
confianza, establecer requisitos de referencia para los Sistemas de
Gestión de Inocuidad Alimentaria y para mejorar el rendimiento de los
costes en la cadena de suministro alimentaria.
Estructura de la ISO 22000
Objeto y campo de
aplicación.
Validación,
verificación y mejora
Referencias
del Sistema de normativas.
Gestión de Inocuidad
Alimentaria.
Planificación y
Términos y
realización de
definiciones.
productos inocuos.
Sistema de Gestión
Gestión de
de Inocuidad
recursos.
Alimentaria.
Responsabilidad de la
dirección.
Ilustración 4: Estructura ISO 22000.

Fuente: Autor

RIESGO
ISO 22301
Sistema de Gestión de Continuidad de Negocio.
Es una norma internacional de gestión de continuidad del negocio

Esta ha sido creada en respuesta a la fuerte demanda internacional que
obtuvo la norma británica original, BS 25999-2 y otras normas.
ISO 22301 identifica los fundamentos de un Sistema de Gestión de
la Continuidad de negocio, estableciendo el proceso, los principios y la
terminología de gestión de continuidad de negocio.
Proporciona una base de entendimiento, desarrollo e implantación
de continuidad de negocio dentro de la organización. Se usa para
asegurar a las partes interesadas clave que su empresa está totalmente
preparada y que puede cumplir con los requisitos internos, regulatorios
y del cliente.
La norma proporciona a las organizaciones un marco que asegura
que ellos pueden continuar trabajando durante las circunstancias más
difíciles e inesperadas, siempre protegiendo a sus empleados,
manteniendo su reputación y proporcionando la capacidad de continuar
trabajando y comercializando.
La norma puede ser aplicada a todo tipo y tamaño de
organizaciones que quieran:
 Establecer, implantar, mantener y mejorar un SGCN.
 Demostrar conformidad con la política establecida de la continuidad
de negocio de la organización.
 Dar a las partes interesadas confianza en su conformidad y
compromiso con las buenas prácticas reconocidas
internacionalmente.

RIESGO
Estructura de la norma ISO 22301
Ambito de
Mejora
aplicación
Referencias
Evaluación
normativas
Términos y
Operación
definiciones
Contexto de la
Soporte
organización
Planificación Liderazgo

Fuente: Autor
ISO 27001
Sistemas de Gestión de la Seguridad de la Información.
Es una norma internacional que permite el aseguramiento, la

confidencialidad e integridad de los datos y de la información, así como
de los sistemas que la procesan.
El estándar ISO 27001:2013 para los Sistemas Gestión de la
Seguridad de la Información permite a las organizaciones la evaluación
del riesgo y la aplicación de los controles necesarios para mitigarlos o
eliminarlos.
La aplicación de ISO-27001 significa una diferenciación respecto al
resto, que mejora la competitividad y la imagen de una organización.

RIESGO
Objeto y
campo de
aplicación
Referencias
Mejora
normativas
Términos y
Evaluación
definiciones
Contexto de
Operación la
organización
Soporte Liderazgo
Planificación

Fuente: Autor
Las novedades que manifiesta esta norma son:

 No aparece la sección “enfoque a procesos” con su respectiva
metodología basada en el ciclo PHVA, ahora ofrece mayor flexibilidad.
 Se elimina la obligatoriedad de algunos documentos, conservando
únicamente la declaración de aplicabilidad.
 Se han revisado los requisitos y controles.
 Se apuesta por un enfoque del análisis del riesgo en la fase de
planificación y operación.
ISO 28000
Sistema de Gestión de la Seguridad para la Cadena de

Suministro.

RIESGO
La norma ISO 28000 “Especificaciones para los Sistemas de
Gestión de la Seguridad para la Cadena de suministro” se lanzó en el
2007. Fue la primera norma internacional dirigida exclusivamente a
la seguridad de riesgos en la cadena de suministro. El objetivo de la
norma es proporcionar un marco de buenas prácticas para reducir
los riesgos para las personas y las cargas en la cadena de suministro.
Trata temas potenciales de seguridad en todas las fases del
proceso de suministro, centrándose especialmente en las áreas de
logística. También, se concentra en mitigar los efectos de los incidentes
de seguridad.
La estructura de la ISO 28000 es compatible con la norma ISO
9001 e ISO 14001. Esta norma ha sido diseñada para ayudar a la
integración en los sistemas de gestión de calidad, medio ambiente y
la seguridad de la cadena de suministro dentro de una organización.
Se centra en gestionar activamente y reducir los riesgos. Aspectos
críticos de seguridad en la cadena de suministro, pueden incluir
aspectos financieros, de fabricación, gestión de la información y
logística, almacenamiento y depósito de mercancías.
Se aplica a organizaciones de todos los tamaños, en los sectores
de fabricación, servicios, almacenaje o transporte, y en cualquiera de
sus fases de producción o de la cadena de suministro.
La norma ISO 28000 de Seguridad de la Cadena de
suministro proporciona a las organizaciones:
 Probar la existencia de un sistema fuerte y seguro de gestión de
su cadena de suministro frente a los clientes y las partes interesadas.
 Proporcionar un enfoque coherente común a todos los proveedores
dentro de su cadena de suministro.

RIESGO
 Demostrar que la organización se compromete a alcanzar la
satisfacción del cliente.
 Evaluar sus riesgos de seguridad y a implantar controles o
atenuantes para gestionar las amenazas y potenciales impactos en
la seguridad de su cadena de suministro.
 Fácil integración, ya que al utilizar un sistema de gestión basado en
el método “Plan-Do-Check-Act” ya implantado y probado en la norma
ISO 14001, las organizaciones ya familiarizadas con este enfoque
basado en riesgos, podrán utilizar un enfoque similar para analizar
los peligros y los riesgos de seguridad de su cadena de suministro.
Ambito de
aplicación
Referencias
normativas
Términos y
definiciones
Elementos del
sistema de
gestión de
seguridad

Fuente: Autor

RIESGO
ISO 31000
Sistema de Gestión de Riesgos
Es una norma internacional que ofrece las directrices y principios
para gestionar el riesgo de las organizaciones.
Esta norma fue publicada en noviembre del 2009 por la
Organización Internacional de Normalización (ISO) en colaboración con
IEC, y tiene por objetivo que organizaciones de todos los tipos y
tamaños puedan gestionar los riesgos en la empresa de forma efectiva,
por lo que recomienda que las organizaciones desarrollen, implanten y
mejoren continuamente un marco de trabajo cuyo objetivo es integrar el
proceso de gestión de riesgos en cada una de sus actividades.
Como complemento a esta norma se ha desarrollado otro
estándar: la ISO 31010 “Gestión del riesgo. Técnicas de evaluación de
riesgos”. Esta norma provee de una serie de técnicas para la
identificación y evaluación de riesgos, tanto positivos como negativos.

La variedad y complejidad de los riesgos es muy diversa por lo
que este estándar internacional no está pensado para un sistema
particular de gestión, más bien es una guía de buenas prácticas para las
actividades relacionadas con la gestión de riesgos.
El diseño y la implantación de la gestión de riesgos dependerá de
las diversas necesidades de cada organización, de sus objetivos
concretos, contexto, estructura, operaciones, procesos actividades,
servicios, etc.
El estándar ISO 31000:2009 está estructurado en tres elementos
claves para una efectiva gestión de riesgos:

RIESGO
 Los principios para la gestión de riesgos: para una mayor eficacia,
la gestión del riesgo en una organización
 La estructura de soporte o marco de Trabajo. El objetivo de este
elemento es integrar el proceso de gestión de riesgos con la
dirección, para que esta adquiera un fuerte compromiso con la
implantación de la Gestión del Riesgo.
En este caso la norma establece una serie de órdenes que debe
cumplir la gerencia para asegurar la efectividad de la gestión
de riesgos
 El proceso de gestión de riesgos: este proceso consta de tres
etapas: establecimiento del contexto, valoración de riesgos y
tratamiento de los mismos.
Principios para la gestión de riesgos
Crear y proteger el valor

Estar integrada en los procesos de una
organización
Formar parte de la toma de decisiones
Tratar explícitamente la incertidumbre
Ser sistemática, estructurada y adecuada
Basarse en la mejor información disponible
Estar hecha a medida
Tener en cuenta factores humanos y culturales
Ser transparente e inclusiva
Ser dinámica, iterativa y sensible al cambio
Facilitar la mejora continua de la organización
Ilustración 8: Principios para la gestión en la ISO 31000.

Fuente: Autor

RIESGO
TEMA 2
Normas y Estándares Nacionales e Internacionales de la Gestión
del Riesgo Tecnológico
Todas las acciones relacionadas con la tecnología de una

organización deben planificarse a lo largo del tiempo. En momentos
cruciales toman la forma de un Plan Tecnológico, lo que implica la
identificación y secuenciamiento de las actividades, la asignación de
recursos humanos y el empleo de recursos materiales, las necesarias
asignaciones económicas y los métodos de control del proceso de las
actividades. La planificación se realiza suponiendo que todo va a suceder
de acuerdo con lo que se ha pensado y valorado. No obstante, durante
la puesta en marcha de cualquier actuación relacionada con la
tecnología pueden surgir acontecimientos indeseables en la planificación
inicial de actividades. Para contribuir a incrementar el éxito de estos
proyectos se es necesario una adecuada gestión de los riesgos y la
aplicación de planes de contingencia.
La dirección de la gestión de la tecnología de la empresa debe
tener previstas actuaciones en el caso de que los riesgos que se hayan
identificado se presenten realmente. El simple conocimiento de los
riesgos de una actividad ya supone una ventaja al facilitar un estado de
alerta sobre los mismos que disminuye sus consecuencias indeseables
en caso de producirse.
Los riesgos tecnológicos son percibidos como fenómenos controlables
por el hombre o riesgos que son fruto de su actividad.
Algunos riesgos están directamente relacionados con diversas
actividades empresariales.

RIESGO
Los riesgos tecnológicos existen en los países ricos, así como en los
países pobres o en desarrollo.
A continuación, se presentan el Estándar Australiano AS/NZS 4360 y la

Norma Técnica Colombiana NTC 5254 como herramientas que permiten
enfrentar y administrar el riesgo tecnológico en las organizaciones que así lo
requieran.
ESTANDAR AUSTRALIANO AS/NZS 4360

Este estándar provee una guía genérica para el establecimiento e
implementación del proceso de administración de riesgos involucrando el
establecimiento del contexto y la identificación, análisis, evaluación,
tratamiento, comunicación y el monitoreo en curso de los riesgos.
Este estándar puede ser aplicado a todas las etapas de la vida de una
actividad, función, proyecto, producto o activo. El beneficio máximo se obtiene,
generalmente, aplicando el proceso de administración de riesgos desde el
principio.
El ejecutivo de la organización debe definir y documentar su política para
la administración de riesgos, incluyendo objetivos y su compromiso con la
administración de riesgos. La política de administración de riesgos debe ser
relevante para el contexto estratégico de la organización y para sus metas,
objetivos y la naturaleza de su negocio. La gerencia asegurará que esta política
sea comprendida, implementada y mantenida en todos los niveles de la
organización.
Compromiso gerencial.
La organización debería asegurar que:
a) Se ha establecido, implementado y mantenido un sistema de administración
de riesgos, de acuerdo con este Estándar.

RIESGO
b) Se reporta el desempeño del sistema de administración de riesgos a la
gerencia de la organización para revisión y como base para su mejora.
Responsabilidad y autoridad.
Deberá definirse y documentarse la responsabilidad, autoridad e
interrelaciones del personal que realiza y verifica el trabajo que afecta la
administración de riesgos, particularmente para la gente que necesita la
libertad y autoridad organizacional para realizar una o más de las siguientes
acciones:
a) Iniciar acciones para prevenir o reducir los efectos adversos de los riesgos.
b) Controlar el tratamiento posterior de los riesgos hasta que el nivel de riesgo
sea aceptable.
c) Identificar y registrar cualquier problema relativo a la administración de
riesgos.
d) Iniciar, recomendar o proveer soluciones a través de los canales asignados.
e) Verificar la implementación de soluciones.
f) Comunicar y consultar interna y externamente según corresponda.
Recursos
La organización debe identificar los requerimientos de recursos y proveer
recursos adecuados, incluyendo la asignación de personal entrenado para las
actividades de administración, desempeño del trabajo y verificación incluyendo
la revisión interna.
Programa de implementación.
Se requiere seguir una cantidad de pasos para implementar un sistema
efectivo de administración de riesgos dentro de una organización. Dependiendo
de la filosofía, cultura y estructura general de administración de riesgos de la
organización, debería ser posible combinar u omitir ciertos pasos. Sin
embargo, deberían considerarse todos los pasos.

RIESGO
Revisión gerencial.
El ejecutivo de la organización debe asegurar que se lleve a cabo una
revisión del sistema de administración de riesgos a intervalos especificados,
suficiente para asegurar su continua conformidad y efectividad para satisfacer
los requerimientos de este estándar, y las políticas y objetivos de
administración de riesgos establecidos en la organización. Deberá llevarse un
registro de tales revisiones.
Elementos principales.
Ilustración 9: Elementos principales Estándar Australiano AZ/NZS 4360.

Fuente: Autor

RIESGO
Norma técnica colombiana NTC 5254
La norma técnica colombiana de gestión del riesgo 5254 es una
norma de amplia aceptación y reconocimiento a nivel mundial para la
gestión de riesgos independiente de la industria o el negocio que desee
emplearla.
Alcance y aplicación.
Este estándar provee una guía genérica para el establecimiento e
implementación el proceso de administración de riesgos involucrando el
establecimiento del contexto y la identificación, análisis, evaluación,
tratamiento, comunicación y el monitoreo en curso de los riesgos.
Objeto.
Esta norma tiene como objeto proporcionar una guía para permitir a
cualquier empresa el logro de:
 Mejor identificación de oportunidades y amenazas
Tener una base rigurosa para la toma de decisiones y la planificación
 Gestión proactiva y no reactiva
Mejorar la conformidad con la legislación pertinente
 Mejorar la gestión de incidentes y la reducción de las pérdidas y el
costo del riesgo.
Comunicación y consulta.
Fuera de lo ya dicho para esta etapa, es importante desarrollar un
plan de comunicación tanto para las partes involucradas internas como
externas en las primeras etapas del proceso. Este plan debería abordar
temas relacionados con el riesgo en sí y con el proceso para gestionarlo.

RIESGO
Lo anterior se desarrolla con el objetivo de asegurar que los
responsables de implementar la gestión del riesgo y los directamente
interesados entiendan la base sobre la cual se toman las decisiones y
por qué́ de las acciones particulares requeridas.
Es útil un enfoque de equipo consultivo para facilitar la definición
adecuada del contexto, asegurar la eficaz identificación de los riesgos,
para unir diferentes áreas de pericia para el análisis de los mismos y,
así, asegurar que se tienen diferentes puntos de vista sobre ellos y la
adecuada gestión durante su tratamiento.
Los registros de este proceso dependerán de factores tales como
la escala y la sensibilidad de la actividad.
Establecimiento Del Contexto.

El establecimiento del contexto es necesario para definir los
parámetros básicos dentro de los cuales deben administrarse los riesgos
y para proveer una guía para las decisiones dentro de estudios de
administración de riesgos más detallados. Esto establece el alcance para
el resto del proceso de administración de riesgos. Deben incluirse el
ambiente interno y externo y sus interfaces correspondientes.
Identificación De Los Riesgos.

Esta fase busca identificar los riesgos que se han de gestionar,
usando un proceso sistemático bien estructurado, ya que un riesgo no
identificado en esta etapa puede ser excluido de un análisis posterior.

RIESGO
Análisis De Los Riesgos.
El análisis del riesgo consiste en desarrollar el entendimiento del
riesgo. Suministra una entrada para las decisiones sobre si es necesario
tratar los riesgos y las estrategias de tratamiento del riesgo más
adecuadas y eficaces en términos de costo. El análisis implica la
consideración de las fuentes de riesgo, sus consecuencias positivas y
negativas y la posibilidad de que dichas ocurrencias puedan ocurrir.
Análisis de sensibilidad.
Debido a que de las estimaciones hechas en el análisis de riesgo
son imprecisas, es conveniente realizar un análisis de sensibilidad para
probar el efecto de la incertidumbre en los supuestos y los datos. El
análisis de sensibilidad también es una forma de probar la idoneidad y
eficacia de los controles potenciales.
Evaluación De Los Riesgos.

El propósito de la evaluación del riesgo es tomar decisiones,
basadas en los resultados del análisis del riesgo.
La evaluación del riesgo implica comparación del nivel de riego
hallado durante el proceso de análisis con los criterios de riesgo
establecidos al considerar el contexto.
Tratamiento De Los Riesgos.

El tratamiento del riesgo implica la identificación de opciones para
tratar los riesgos, la valoración de tales opciones y la preparación e
implementación de los planes de tratamiento.

RIESGO
Monitoreo Y Revisión.
La revisión continua es esencial para garantizar que el plan de
gestión sigua siendo pertinente. El monitoreo y la revisión implica
lecciones de aprendizaje debido a los procesos de gestión de riesgo,
mediante la revisión de eventos, los planes de tratamiento y sus
resultados.

RIESGO
Recursos disponibles para el aprendizaje
Para desarrollar las habilidades y destrezas necesarias en cada

competencia, es muy importante que tengas acceso a los
recursos didácticos adecuados.
Ahora bien, si quieres ampliar la información que se ha

presentado, te sugerimos revisar el Vídeo: “La administración
Integral de Riesgos”, disponible en:
https://www.youtube.com/watch?v=jk5jyefCNk0
Te recomendamos
Si quieres profundizar en las cinco disciplinas que nos propone el

autor Peter Senge para generar organizaciones inteligentes u
organizaciones que aprenden, te sugerimos la lectura del
documento de apoyo denominado “Gestión de Riesgos
Empresariales: Marco de Revisión ISO 31000”. Disponible en
el Campus Virtual.
Ejercicio
Ahora que has revisado algunos conceptos y que conoces su alcance de

acuerdo a la temática planteada en este módulo de formación, te invitamos a
realizar una revisión de la matriz de requisitos legales a la luz de la
información expuesta en la guía y, a partir de los recursos de aprendizaje
propuestos, con el fin de documentar aquellos requisitos que la gestión del
riesgo propone para su implementación. ¡Inténtalo!

RIESGO
Material complementario
Si quieres ampliar la información, te sugerimos revisar el Vídeo

sobre la administración integral de riesgos, disponible en:
https://www.youtube.com/watch?v=jk5jyefCNk0
Igualmente, te sugerimos revisar las siguientes lecturas:
 “Gestión de Riesgos Empresariales: Marco de Revisión ISO

31000”, disponible en:
http://www.revistaespacios.com/a17v38n59/a17v38n59p08.pdf
 “Aplicación del estándar australiano de administración del riesgo
AZ/NZS en la empresa GECELCA”, disponible en:
rcientificas.uninorte.edu.co/index.php/pensamiento/article/view/
 “Estándar Australiano AS-NZ 4360-1999 y Norma Técnica
Colombiana NTC 5254”, disponible en: www.prezi.com

RIESGO
Aspectos clave
Recuerda algunos aspectos abordados en el módulo:

 El objetivo de las normas ISO es asegurar que los productos y/o
servicios alcancen la calidad deseada. Para las organizaciones son
instrumentos que permiten minimizar los costos, ya que hace
posible la reducción de errores y, sobre todo, favorecen el
incremento de la productividad.
 La dirección de la gestión de la tecnología de la empresa debe
tener previstas actuaciones en el caso de que los riesgos que se
hayan identificado se presenten realmente.
 Los riesgos tecnológicos son percibidos como fenómenos
controlables por el hombre o riesgos que son fruto de su actividad.
 El estándar australiano AZ/NZS puede ser aplicado a todas las
etapas de la vida de una actividad, función, proyecto, producto o
activo. El beneficio máximo se obtiene, generalmente, aplicando el
proceso de administración de riesgos desde el principio.

RIESGO
Referencias bibliográficas
Norma Técnica Colombiana NTC 18001. Sistema de Gestión de
Seguridad y Salud Ocupacional.
Norma Técnica Colombiana NTC 45001. Sistema de Gestión de
Seguridad y Salud Ocupacional.
Norma Técnica Colombiana NTC 22000. Sistema de Gestión de la
Seguridad Alimentaria.
Continuidad del Negocio.
Seguridad de la Información.
Seguridad para la Cadena de Suministro.
Norma Técnica Colombiana NTC 31000. Sistema de Gestión de Riesgos.
Norma Técnica Colombiana para la Gestión del Riesgo Tecnológico NTC
5254.
Estándar australiano de administración del riesgo AS/NZS: 4360

RIESGO
Esta guía fue elaborada para ser utilizada con fines didácticos
como material de consulta de los participantes en el Diplomado
Virtual en Gestión del Riesgo Organizacional del Politécnico
Superior de Colombia, y solo podrá ser reproducida con esos
fines. Por lo tanto, se agradece a los usuarios referirla en los
escritos donde se utilice la información que aquí se presenta.
Derechos reservados
POLITÉCNICO SUPERIOR DE COLOMBIA, 2019
Medellín, Colombia

RIESGO

Guia Didactica 3-GIR PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guia Didactica 3-GIR PDF

Cargado por

Copyright:

Formatos disponibles

Gestión del Riesgo

© DERECHOS RESERVADOS - POLITÉCNICO SUPERIOR DE COLOMBIA,

Proceso: Gestión Académica

Editado por el Politécnico Superior de Colombia

DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL 2

Competencia específica ...................................................................5

Contenidos temáticos ......................................................................6

Normas y Estándares Nacionales e Internacionales de la Gestión del

Normas y Estándares Nacionales e Internacionales de la Gestión del

Recursos disponibles para el aprendizaje ......................................... 27

Material complementario ............................................................... 28

Aspectos clave ............................................................................. 29

Referencias bibliográficas .............................................................. 30

DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL 3

La Guía Didáctica N°3 del MÓDULO 3: NORMAS Y ESTÁNDARES DE LA

Ahora bien, el objetivo central de este módulo es reconocer la

Para ello, se ha organizado esta guía en dos (2) contenidos temáticos,

DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL 4

Conocer las Normas y Estándares para la Gestión Integral

DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL 5

Normas y Estándares Normas y Estándares

Ilustración 1: Contenidos temáticos.

DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL 6

Las normas ISO (International Organization for Standardization)

DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL 7

Reduzcan los costos: permite una optimización de las operaciones.

Incremente la satisfacción del cliente: colaboran a mejorar la

Abra el acceso a nuevos mercados: reducen las barreras al

Incremente la cuota de comercio: aportan una ventaja competitiva.

Ilustración 2: Ventajas de los estándares ISO.

A continuación, se detallarán las normas ISO que, a nivel

DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL 8

Estructura de la OHSAS 18001.

Requisitos ESTRUCTURA Publicaciones

Ilustración 3: Estructura OHSAS 18001.

DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL 9

DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL 10

Estructura de la ISO 22000

Ilustración 4: Estructura ISO 22000.

DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL 11

Sistema de Gestión de Continuidad de Negocio.

Es una norma internacional de gestión de continuidad del negocio

DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL 12

Ilustración 5: Estructura ISO 22301.

Sistemas de Gestión de la Seguridad de la Información.

Es una norma internacional que permite el aseguramiento, la

DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL 13

Ilustración 6: Estructura ISO 27001.

Las novedades que manifiesta esta norma son:

Sistema de Gestión de la Seguridad para la Cadena de

DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL 14

DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL 15

Estructura de la norma ISO 28000

Ilustración 7: Estructura ISO 28000.

DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL 16

Estructura de la norma ISO 31000

DIPLOMADO EN GESTIÓN DEL RIESGO ORGANIZACIONAL 17

Crear y proteger el valor

Tratar explícitamente la incertidumbre

Ser sistemática, estructurada y adecuada

Basarse en la mejor información disponible

Estar hecha a medida

Tener en cuenta factores humanos y culturales