Guía del sistema de gestión de riesgos ISO 31000 R…

Guardado en Dropbox • 8/04/2020, 11:40 a. m.

" #

Especiales

Índice

! Introducción
! Gestión de riesgo
! Principios
! Marco de referencia
! Proceso
! Glosario
Guía para
implementar
un sistema de
gestión de
riesgos, según
la ISO 31000
Contar con una adecuada gestión de
riesgos permite cumplir con la
normativa exigida y con los objetivos
planteados de la organización.

Introducción

Ninguna empresa sin importar su

origen o tamaño está exenta de sufrir
algún tipo de riesgo que pueda afectar
de forma directa o indirecta las actividades,
el desarrollo y el cumplimiento de los
objetivos; es por esto que es tan
importante contar con un plan de gestión
de riesgos que permita actuar de manera
e!caz con el !n de evitar consecuencias
fatales.

La ISO 31000 brinda diferentes

herramientas que contribuyen a las
buenas prácticas para gestionar los
riesgos, esta normativa internacional se
adapta a cualquier tipo de compañía y
permite que se cumplan con los requisitos
legales y que a su vez se obtengan
resultados positivos debido a su
implementación.

En la siguiente guía usted encontrará la

información pertinente que le permitirá
establecer un sistema de gestión de riesgos
acorde a lo que necesita su empresa y a la
vez poder cumplir con la normativa
exigida por los entes de control.
Gestión de riesgos

¿Qué es la gestión de riesgos?

Es el proceso que se realiza para identi!car

y gestionar los riesgos a los que puede
estar expuesta la organización, con el !n
validar la e!ciencia de los controles y el
de crear planes de acción que ayude a
mitigarlos, aprovecharlos o en caso de que
no se puedan prevenir contar con una
estrategia que permita que la pérdidas no
sean muy altas.

Hay que tener en cuenta que estas

amenazas en muchas ocasiones
pueden crear valor, ya que las empresas
establecen métodos para generar un
equilibrio entre los objetivos de
crecimiento, rentabilidad y los riesgos a los
que están asociados para contar con una
consecución adecuada.

Aunque la gestión de riesgos es liderada

por los directores o la junta directiva,
se debe tener claro que esto es un tema
que involucra a todos los miembros de la
entidad y por ende se debe crear una
cultura de riesgos en torno a esto.

¿Qué es la norma ISO 31000?

Se de!ne como una guía o un referente
internacional que ofrece directrices y
principios para poner en marcha los
sistemas de gestión de riesgos. Se publicó
en noviembre del 2009 por la
Organización Internacional de
Normalización (ISO) con el !n de que las
compañías puedan gestionar sus riesgos
de una manera efectiva a través de
procedimientos que les permitan cumplir
sus objetivos.

La ISO 31000 cuenta con insumos globales

que permiten realizar una adecuada y
e!ciente gestión de riesgos enfocados en
operatividad, gobierno y con!anza, además,
esta norma brinda recomendaciones de
mejores prácticas en la gestión de riesgos
las cuales ofrecen técnicas apropiadas y
seguridad en el lugar del trabajo.

Cabe resaltar que esta puede ser usada

por cualquier tipo de entidad sin
importar el sector al que pertenezca,
ya que ofrece estrategias de decisión,
operaciones, y procesos para los riesgos, ya
que se ajusta a cualquier escenario.

Es importante saber que la ISO 31000

no es certi!cable, sin embargo la
implementación de esta minimiza a
profundidad la amenaza al riesgo en
cualquier momento que se encuentre y
que la mayoría de los entes reguladores la
toman como referencia para la
promulgación de normas aplicables.

Las ventajas que ofrece la ISO

31000 son:

! Contribuye a mejorar la e!cacia

operativa y la gobernanza.
! Genera con!anza ya que se utilizan
métodos adecuados para la gestión de
riesgo.
! Aplica controles de sistema de gestión
para analizar riesgos y de esta manera
mitigar las posibles pérdidas.
! Mejora la resiliencia de los sistemas de
 gestión.
! Responde de manera e!ciente a los
cambios de forma e!ciente protegiendo
a la organización.
! Se adapta a cualquier tipo de riesgos sin
importar su naturaleza o causa.

Gestión de riesgos en la ISO

31000

Esta normativa de!ne a la gestión de

riesgos como las actividades que se ponen
en marcha para seguir y controlar los
riesgos a los que se ven enfrentadas las
compañías. Se debe tener en cuenta que
uno de los aspectos más importantes es la
cuanti!cación y para eso se debe dividir
en dos frentes:
Consecuencia

Son los eventos que afectan al

cumplimiento de los objetivos y que son
procedentes de otros, en este punto se
deben tener en cuenta aquellos que se
clasi!can en causa-efecto.

Probabilidad

Es la posibilidad de que un evento pueda

suceder. En este punto es importante que
las organizaciones contemplen que estos
hechos pueden provenir de las
decisiones que tomen. Se divide en 5
escalas raro, probable, improbable, posible
y muy frecuente.

Ventajas y bene!cios de
implementar un sistema de
gestión de riesgos

! Aumenta la probabilidad de alcanzar los

objetivos.
! Fomenta la gestión proactiva.
! Se es consciente de la necesidad de
identi!car y tratar los riesgos.
! Cumple con los requisitos legales y
reglamentaciones pertinentes y normas
internacionales.
! Mejora la presentación de informes
obligatorios y voluntarios.
! Mejora el gobierno corporativo.
! Mejora la con!anza y honestidad de las
partes involucradas.
! Minimiza pérdidas.
! Establece una base con!able para la
toma de decisiones y la plani!cación.
! Asigna y usa e!cazmente los recursos
para el tratamiento del riesgo.
! Mejora la e!cacia y la e!ciencia
operativa.
! Incrementa el desempeño de la salud y
la seguridad, así como la protección
ambiental.
! Mejora la prevención de pérdidas y la
gestión de incidentes
! Mejora el aprendizaje organizacional.
! Mejora la "exibilidad organizacional.
! Mejora los controles.

Importancia de contar con un

plan de gestión de riesgos

El propósito de contar con un sistema de

gestión de riesgos se basa en que permite
identi!car, reducir, plani!car y tomar
buenas decisiones referentes a los
riesgos.

Este plan brinda las herramientas

necesarias para tener una gestión de
riesgos adecuada y se puede aplicar
desde el inicio de una organización en
cualquier escenario: estrategias,
decisiones, procesos, funciones, proyectos,
servicios y activos.

Esta es la mejor forma para anticiparse a

las catástrofes que puedan ocurrir y crear
estrategias que permitirán abordar las
amenazas para estar prevenidos y evitar
consecuencias fatales.

Principios

Principios y directrices para la

gestión de riesgos, según la
ISO 31000

La ISO 31000 ofrece algunos principios y

directrices que ayudan en la gestión de
riesgos cómo:

! La compañía tiene más probabilidades

de cumplir los objetivos propuestos.
! Cumplimiento de estándares legales en
diferentes áreas de la compañía.
! El manejo de la administración mejora.
! Se protegen los recursos de la empresa.
! El desarrollo interno se vuelve más
 e!caz y e!ciente.
! La toma de decisiones es más con!able
gracias a la herramienta para evaluar la
gestión de riesgos.
! Se toma conciencia de la importancia de
contar con un sistema de gestión de
riesgos y desastres.
! Se identi!can los riesgos a los que está
expuesta la empresa.
! Reduce y divide los riesgos.
! Da la posibilidad de que exista una
plani!cación.
! Permite la toma de decisiones
oportuna.
! Se motiva a la junta directiva y a cada
uno de los miembros de la compañía.
! La gobernabilidad dentro de la
organización es más e!ciente.
! Se genera con!dencialidad y con!anza.
! Se hacen los controles pertinentes.
! Se minimizan las pérdidas.
! Mejora la cultura organizacional.
! Genera valor a la organización.
! Se le da un adecuado manejo a la
 incertidumbre.
! Es dirigida a la mejora dentro de la
organización.
! Es amigable al cambio.
! Se adapta a cualquier situación.

Estructura para implementar

un sistema de gestión de
riesgos de acuerdo a la ISO
31000

! Crea y protege el valor: logro objetivos /

 mejora de desempeño.
! Parte integral de procesos.
! Toma de decisiones.
! Aborta incertidumbre.
! Sistemática, estructurada y oportuna.
! Adaptable.
! Considera factores humanos y
culturales.
! Dinámica, reiterativa y receptiva al
cambio.
! Facilita la mejor continua de la
organización.
! Información disponible.
! Transparente e inclusiva.

Marco de referencia

Políticas de riesgos: son los lineamientos

generales que las entidades deben adoptar
en relación con el SGR, cada una de las
etapas y elementos del sistema deben
contar con unas políticas claras y
efectivamente, las políticas que se adopten
deben permitir un adecuado
funcionamiento del SGR y traducirse en
reglas de conducta y procedimientos que
orienten la actuación de la entidad.

Integración de procesos: propios del

sistema y todos los procesos de la
compañía ya que es transversal.

Recursos: necesarios para implementar y

mantener en funcionamiento, de forma
efectiva y e!ciente.

Contexto externo: factores del entorno

cultural, político, legal, reglamentario,
!nanciero, económico y competitivo, bien
sea internacional, nacional, regional o local.
Tendencias y motivadores clave que tienen
impacto en los objetivos de la organización.

Contexto interno las capacidades de la

organización en términos de recursos y
conocimiento, los "ujos de información y
los procesos de toma de decisiones, las
partes involucradas internas, los objetivos y
las estrategias implementadas para
lograrlos, las percepciones, los valores y la
cultura, las políticas y los procesos, las
normas y los modelos de referencia
adoptados por la organización y las
estructuras (por ejemplo de dirección, las
funciones y las responsabilidades).

Rendición de cuentas: las pérdidas

cuando afecten el estado de resultados,
deben registrarse en cuentas de gastos en
el período en el que se materializó la
pérdida y las recuperaciones cuando
afecten el estado de resultados deben
registrarse en cuentas de ingreso en el
período en el que se materializó la
recuperación.

Divulgación de la información: la
divulgación de la información debe hacerse
en forma periódica y estar disponible,
cuando así se requiera y diseñar un
sistema adecuado de reportes tanto
internos como externos, que garantice el
funcionamiento de sus propios
procedimientos.
Contexto del proceso de gestión de
riesgos: de!nir la rendición de cuentas y
las responsabilidades, de!nir la extensión
de las actividades de gestión de riesgos
que se van a llevar a cabo, incluyendo las
exclusiones e inclusiones especí!cas,
de!nir la extensión del proyecto, el
proceso, la función o la actividad en
términos de tiempo y localización, de!nir
las relaciones entre un proyecto o actividad
particular y otros proyectos o actividades
de la organización, de!nir las metodologías
para la valoración del riesgo, de!nir los
criterios del riesgo, de!nir la manera en
que se evalúa el desempeño de la gestión
de riesgos, identi!car y especi!car las
decisiones y las acciones que se deben
emprender e identi!car los estudios que
son necesarios para la elaboración del
alcance y el marco de referencia, y la
extensión, los objetivos y los recursos
necesarios para tales estudios.

Criterios del riesgo involucra tomar

decisiones sobre: la naturaleza y los tipos
de consecuencias que se van a incluir y
cómo se van a medir, la manera en que se
van a expresar las probabilidades, la
manera en que se determinará el nivel de
un riesgo, los criterios frente a los cuales se
decidirá cuándo un riesgo necesita
tratamiento, los criterios para decidir
cuándo un riesgo es aceptable y/o tolerable
y si se van a tomar en consideración las
combinaciones de riesgos y cómo se van a
considerar.

Comunicación y consulta: el desarrollo

de un plan de comunicación, la de!nición
correcta del contexto, garantizar que se
entienden y toman en consideración los
intereses de las partes involucradas, la
unión de diversas áreas de experticia para
identi!car y analizar el riesgo, garantizar
que se consideran adecuadamente los
diversos puntos de vista en la evaluación
de los riesgos, garantizar que los riesgos se
identi!can correctamente, asegurar la
aprobación y el soporte para el plan de
tratamiento.

Documentación: objetivos y alcance,

descripción de las partes pertinentes del
sistema y sus funciones, un resumen del
contexto externo y del interno de la
organización y cómo se relaciona con la
situación, el sistema o las circunstancias
que se están valorando, los criterios de
riesgo aplicados y su justi!cación, las
limitaciones, a!rmaciones y justi!caciones
de las hipótesis, la metodología de la
valoración, los resultados de la
identi!cación del riesgo, los datos, las
a!rmaciones y sus fuentes y validación, los
resultados del análisis del riesgo y su
evaluación, el análisis de sensibilidad e
incertidumbre, las a!rmaciones críticas y
otros factores que es necesario controlar,
la discusión de los resultados, las
conclusiones y recomendaciones de las
referencias.

Proceso

Proceso de gestión de riesgos,

según la ISO 31000

Establecer Contexto del proceso

de SGR

Para empezar con el sistema de gestión de

riesgos es importante darle un puntaje a
cada uno de ellos, ya sean internos o
externos.

Es importante entender que los externos

son aquellos que se dan por temas
naturales, culturales, políticos, etc.

Los riesgos internos son los que están

directamente relacionados a la
compañía y todo lo que sucede dentro de
ella, funciones, estrategias planteadas,
temas !nancieros, procesos y recurso
humano.

Identi!cación de riesgos

Se reconocerá cuáles son los principales

riesgos a los que está expuesta la
organización, una vez estos se de!nan, se
plantearán otros secundarios que podrían
también generar ciertos desajustes dentro
de la empresa y a los objetivos propuestos.

Una vez estén establecidos, cada una de

las áreas encargadas los asumirá como
propios, para que de esta manera puedan
ejecutar el plan que se va a llevar a cabo.

Cada área de!nirá un responsable y

estos se reunirán para empezar a
identi!car los riesgos, conocer cuáles son
los factores que los pueden generar.

Se recomienda hacerse las siguientes

preguntas para poder tener mayor
impacto en esta etapa.

! ¿Cuál área se puede ver afectada por x

riesgo?
! ¿De qué forma lo afecta?
! ¿Qué consecuencias trae al área y a la
organización en general?
! ¿Cuál es la probabilidad de que se de?
! ¿Qué consecuencias traerá?
! ¿Es posible su prevención?
! ¿Qué estrategia se debe poner en
 marcha?

Análisis de riesgo

Luego de que estén de!nidos y

consignados los riesgos se valorará en
qué escala se determinarán y cuáles serán
las actividades de control que se
ejecutarán, esto con el !n de identi!car el
impacto que causará, este se divide en:

! Signi!cativo
! Alto
! Moderado
! Bajo
! Limitado

Esto permitirá crear un mapa de riesgos el

cual servirá como guía para priorizar los
riesgos, clasi!carlos en una escala de uno a
diez, siendo diez el más alto y uno el más
bajo, identi!car el área encargada y
cuál es el plan de acción que deben
poner en práctica.
Comunicación consulta

Se busca recopilar información a través

de diferentes medios, con el !n de dar a
conocer lo que cada una de las áreas han
encontrado durante el proceso de
implementación de la gestión de riesgos.

Análisis crítico

Se puede de!nir como la evaluación del

plan de gestión de riesgos que se está
poniendo en marcha. La idea de esto
resaltar las cosas positivas que ha traído
la gestión y mejorar en ciertos aspectos
que no estén siendo tan efectivos.

Tratamiento del riesgo

Monitoreo

Es importante tener revisiones periódicas

que harán saber y entender si los planes de
acción que se han implementado en cada
uno de los riesgos son los correctos, esto
ayudará a entender si la tarea se está
haciendo bien y trayendo resultados
positivos, o si por el contrario se debe
mejorar y en algunos casos cambiar, ya que
la gestión de riesgos es un proceso
dinámico y se debe retroalimentar de
acuerdo a los cambios que se van
presentando.

Glosario

Riesgo
Es la posibilidad de que ocurra un
incidente que impacte negativamente
alguna área de la compañía o al
cumplimiento de los objetivos de la misma.
Este se pueden presentar por fallas
humanas, tecnológicas, de infraestructura,
procesos y eventos externos.

Gestión de riesgo

Es la actividad que permite identi!car,

analizar y actuar frente a los factores
de riesgos a los que se pueda enfrentar la
empresa o un proyecto en especí!co.

Proceso de gestión de riesgo

Son los procedimientos que se llevan a

cabo dentro del sistema de gestión:
de!nición, identi!cación, evaluación,
monitoreo y controles de los riesgos.

Sistema para la gestión de

riesgo
Está diseñado para que las entidades
puedan establecer las políticas, objetivos,
procedimientos y estructura para la
administración del riesgo. El sistema debe
estar alineado con los planes
estratégicos de cada organización.

Compártalo en sus redes sociales

! " # !
← Volver

Manténgase al día
en la prevención de riesgos
siguiéndonos en nuestras redes.

$ # "

Contáctenos

Bogotá

Dirección: Calle 99 # 13A-30, Piso 3

Teléfono: +57 (1) 745 2523

Medellín
Dirección: Carrera 50 C # 10 Sur-80
Teléfono: +57 (4) 605 2523

Lima: +51 (1) 222 8032

Argentina: +54 (9) 11 4094 0343
Guatemala: +502 (4) 067 3399
Ciudad de México: +52 (558) 421 3223
Santiago de Chile: +56 (2) 257 09988

e-Mail: info@riesgoscero.com

Skype: pragmacero

Copyright Pragma S.A. 2019. Todos los derechos

reservados.