Documentos de Académico
Documentos de Profesional
Documentos de Cultura
GESTIÓN INTEGRAL
DEL RIESGO
MODULO
ESTRATEGÍAS PARA GESTIONAR EL RIESGO
V
BIENVENIDOS AL QUINTO MÓDULO DEL DIPLOMADO EN
GESTIÓN INTEGRAL DEL RIESGO
“Cuando veas un negocio exitoso, alguien alguna vez tomó una difícil decisión”.
Peter Drucker.
Con un gran riesgo, frecuentemente viene una recompensa. Hay fracasos, retrasos y hasta cosas en las que
hay que volver a empezar, pero si no arriesgas algo nunca ganarás. Aventúrate y ve qué recompensas
saldrán de esta decisión tan valiente!
RESULTADO DE APRENDIZAJE:
Una vez analizado y cuantificado los riesgos, así como el impacto que tiene en su
plan de negocio el emprendedor debe analizar cuál es el nivel de oportunidad en caso
de asumir el riesgo.
Para que el tratamiento de los riesgos sea efectivo, es necesario que el emprendedor
adopte determinadas medidas y acciones encaminadas a modificar, reducir o eliminar
el riesgo. Dichas medidas o acciones, tienen un coste de puesta en práctica que debe
ser asumido por el emprendedor. Del mismo modo, si decidimos no adoptar ninguna
medida contra el riesgo, puede tener importantes pérdidas.
Para elegir la estrategia más correcta con la que hacer frente al riesgo en cada caso
concreto, se debe analizar, de un lado, el coste para el emprendedor de cada una de
las diferentes medidas que podríamos adoptar de forma efectiva; de otro lado, debe
evaluar y cuantificar las posibles pérdidas que derivarían de la no adopción de
medidas contra el riesgo.
• Los riesgos de bajo nivel, pueden ser aceptados por el emprendedor, pudiendo
no ser necesaria una acción adicional, aunque se requiera su control y seguimiento.
Una vez el emprendedor ha identificado y analizado los riesgos, debe tener claro
cuales pueden ofrecer una oportunidad de beneficio, y cuales suponen una amenaza,
así como la probabilidad de manifestarse de cada uno de ellos. Dependiendo por
tanto del tipo de riesgo al que se enfrente, y de la situación y características en que
se encuentre la empresa, debemos elegir la estrategia de evitación de riesgos más
adecuada. Disponemos de 4 opciones para tratar de evitar que los riesgos pasen a
ser una realidad negativa para nuestra empresa:
La decisión sobre las coberturas adecuadas a las necesidades y estudio del alcance
de las mismas, sus limitaciones, exclusiones y costos Negociación de las coberturas.
A menudo es más efectivo tomar acciones desde un inicio para mitigar el riesgo que reparar
las consecuencias después que este ocurra:
No es una duplicidad completa del elemento, sino que se diseña otra variante, por si
el original falla.
Se trata de reducir el impacto de riesgos técnicos
Ejemplos:
– Puesta en paralelo de un sistema automatizado
– Servidores redundantes
- Aceptar un riesgo, luego de que el riesgo ha sido reducido o transferido puede quedar
un riesgo residual que se mantiene, en este caso el gerente del proceso simplemente
acepta la pérdida residual probable y elabora planes de contingencia
para su manejo.
Para el manejo de los riesgos se deben analizar las posibles acciones a emprender, las
cuales deben ser factibles y efectivas, tales como: la implementación de las políticas,
definición de estándares, optimización de procesos y procedimientos y cambios físicos entre
otros. La selección de las acciones más conveniente debe considerar la viabilidad jurídica,
técnica, institucional, financiera y económica y se puede realizar con base en los siguientes
criterios:
ESTRATEGÍAS DE MINIMIZACIÓN
Se aplican cuando los riesgos ya han producido sus efectos, y son, por tanto, una realidad.
En este momento, lo único que cabe es tomar medidas correctoras con el fin de minimizar
las consecuencias. Estas situaciones producen retrasos en los proyectos, gabinetes de
crisis, etc., por lo que no son aconsejables, y sólo deben ser utilizadas como medida de
emergencia. La principal medida que se puede adoptar en estas situaciones, con el fin de
paliar los efectos derivados de la realización del riesgo, son los Planes de Contingencia.
Aumentando la probabilidad
• La estrategia aceptar es común tanto para las amenazas como para las
oportunidades.
• El equipo de gestión del Riesgo decide no modificar el plan de gestión de la
organización o del proyecto para hacer frente a un riesgo (positivo o negativo) o
porque no se ha identificado ninguna otra estrategia de respuesta adecuada para el
mismo.
MAPAS DE RIESGOS
Es una herramienta que permite organizar la información sobre los riesgos de las empresas
y visualizar su magnitud, con el fin de establecer las estrategias adecuadas para su manejo.
Los mapas de riesgos pueden representarse con gráficos o datos. Los gráficos corresponden
a la calificación de los riesgos con sus respectivas variables y a su evaluación de acuerdo
con el método utilizado en cada empresa. Los datos pueden agruparse en tablas, con
DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO
GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 13
información referente a los riesgos; a su calificación, evaluación, controles y los demás datos
que se requieran para contextualizar la situación de la empresa y sus procesos, con respecto
a los riesgos que la pueden afectar y a las medidas de tratamiento implementadas.
Beneficios:
Es una herramienta administrativa que proporciona información relevante sobre los riesgos
y las estrategias para administrarlos.
En cada uno de ellos se proporciona información útil que permite, en el primero, la definición
de políticas para administrar los riesgos más significativos de la empresa y, en el segundo,
el diseño de controles. También facilita el monitoreo de las medidas e tratamiento definidas
como resultado de estos dos análisis.
Como el método Risicar se basa en el modelo de operación por procesos, el mapa de riesgos
se adjunta al manual de procesos y se actualiza al igual que él. Esta actualización debe
realizarse cada vez que se efectúen nuevos análisis de riesgos y se establezcan nuevas
medidas de respuestas ante los detectados. Normalmente, cuando se presentan cambios
inesperados en el entorno o se inician nuevos proyectos institucionales, se recomienda
revisar el mapa de riesgos para establecer los posibles cambios que se puedan generar e
impliquen mayores riesgos a tratar.
Responsables
En el nivel directivo, a través del Comité de riesgos y con el apoyo de los líderes de los macro
procesos, es el responsable de elaborar el mapa de riesgos estratégico. En el nivel operativo
esta responsabilidad corresponde a los líderes de los procesos.
Para elaborar los mapas estratégicos se requiere: determinar los macro procesos de la
empresa, establecer sus objetivos, sus riesgos, describir como se presentan los riesgos,
establecer los agentes que pueden generar los riesgos y medir los efectos que pueden
generarle a la empresa.
Cuando ya se tienen identificados cada uno de los macro procesos se debe calificar el riesgo
multiplicando el valor de la frecuencia por el impacto, luego se definen las medidas de
tratamiento y de acuerdo a los resultados se priorizan los riesgos; estos riesgos son los que
van a ser analizados con mayor cuidado, debido a que son representativos dentro de la
organización
Con todo lo anterior se logra plantear un esquema para desarrollar estrategias que
contrarresten a los riesgos más críticos.
Para la elaboración del mapa de riesgos operativos, se utiliza la información recopilada por
los líderes de los procesos con su grupo de apoyo, y pasos como: la definición del proceso
para el cual se elabora el mapa, establecer los objetivos, las actividades, identificar y
describir cada uno de los riesgos, también se deben establecer los agentes generadores de
los riesgos, las posibles causas, los efectos.
Luego para cada proceso, se califica el riesgo teniendo en cuenta su impacto y frecuencia,
se evalúan y se plantean las medidas de tratamiento: Para cada proceso se definen los
controles existentes y se proponen unos nuevos, se evalúa la efectividad de los controles
propuestos; y con esto se logra obtener un perfil claro acerca del riesgos y de su respectivos
análisis.
El mapa de riesgos contiene a nivel estratégico los mayores riesgos a los cuales está
expuesta la entidad, permitiendo conocer las políticas inmediatas de respuesta ante ellos
tendientes a evitar, reducir, dispersar o transferir el riesgo; o asumir el riesgo residual, y la
aplicación de acciones, así como los responsables, el cronograma y los indicadores. No
obstante se considera recomendable, elaborar un mapa de riesgos por cada proceso para
facilitar la administración del riesgo, el cual debe elaborarse al finalizar la etapa de Valoración
del Riesgo.
3. Probabilidad: entendida como la posibilidad de ocurrencia del riesgo; ésta puede ser
medida con criterios de Frecuencia, si se ha materializado (por ejemplo: No. de veces
en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de
factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya
materializado.
10. Cronograma: son las fechas establecidas para implementar las acciones por parte
del grupo de trabajo.
AGENTE
RIESGOS DESCRIPCION GENERADOR CAUSAS EFECTOS
Desacierto Posibilidad de Gerentes Incorrecta Perdidas
equivocación en investigación de económicas y
el diseño y mercados. Perdida de
aplicación de Inadecuado mercado
estrategias de perfil.
mercadeo, pu- Falta de
blicidad y información.
ventas
Demoras Posibilidad de Empleados Falta de Perdidas
tardanza en la segregación de económicas,
comercializació funciones Interrupción
n Ausencia del de servicio y
perfil de Deterioro de
selección de los imagen
empleados
Diseño
inadecuado del
proceso.
Equipos/maqui Obsolescencia
naria
Falta de
mantenimiento
Falta de
segregación de
funciones
Saturación del
mercado con
productos
similares de los
ofrecidos por la
empresa
Una organización define su tolerancia desde niveles de riesgo con tolerancias de bajo
impacto.
Las organizaciones utilizan indicadores de riesgo clave (KRIs) para planificar y responder
al riesgo. Los KRIs pueden revelar riesgos emergentes, identificar los niveles de
exposición de riesgo y detectar cambios o tendencias de exposición al riesgo existentes.
Es importante distinguir entre KRIS y los indicadores clave de desempeño (KPI). Los KPI
miden el riesgo y la volatilidad relacionada al logro de esos objetivos.
Los KRIs miden las consecuencias del cambio que ya ha ocurrido y los KRIs
siempre llevan indicadores predictivos.
Un KRI puede revelar una tendencia al alza en el nivel de riesgo que de continuar
superará el umbral de riesgo que ha sido designado, sin embargo, la
administración puede tomar medidas para mitigar este impacto en la organización.
Los umbrales de riesgo se desarrollan a partir de criterios de riesgo determinados
para cada uno.
En el desarrollo de los KRIs, una organización debe buscar calidad más que cantidad ya
que muchos KRIs desarrollados rápidamente pueden dispersar el foco. Es más eficaz
desarrollara un número limitado de KRis vinculados a riesgos que tienen mayor potencial
en la organización.
Los KRIs pueden establecerse para varios niveles dentro de una organización. El grado
de detalle que se aborda en un KRI depende de los tipos de decisiones necesarias en
cada nivel. Por ejemplo; los KRIs para unidades de negocio son, por lo general, más
específicas que las KRIs de toda l organización.
El KRI de un departamento puntual podría ser menos específico que un KRI a nivel
empresarial y luego agruparse todas las unidades de negocio en un KRI amplio y general
para la alta gerencia.
DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO
GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 25
PÓLIZAS DE SEGUROS
De diversos modos pueden clasificarse los seguros. En primer lugar, según se hallen a cargo
del Estado, en su función de tutela o de la actividad aseguradora privada, se dividen en
seguros sociales y seguros privados.
1. Seguros sociales: Los seguros sociales tiene por objeto amparar a la clase
trabajadora contra ciertos riesgos, como la muerte, los accidentes, la invalidez,
las enfermedades, la desocupación o la maternidad. Son obligatorios sus primas están a
cargo de los asegurados y empleadores, y en algunos casos el Estado contribuye también
con su aporte para la financiación de las indemnizaciones. Otra de sus características es la
falta de una póliza, con los derechos y obligaciones de las partes, dado que estos seguros
son establecidos por leyes y reglamentados por decretos, en donde se precisan esos
derechos y obligaciones.
2. Seguros privados: Estos seguros son los que el asegurado contrata voluntariamente
para cubrirse de ciertos riesgos, mediante el pago de una prima que se halla a su cargo
exclusivo. Además de estas características podemos señalar:
Los seguros privados se concretan con la emisión de una póliza – el instrumento del contrato
de seguro – en la que constan los derechos y obligaciones del asegurado y asegurador.
En nuestro país ((Colombia)) los seguros privados son explotados, en su mayoría por
compañías privadas, mutualidades y cooperativas. Pero también el Estado, por intermedio
de la Caja Nacional de Ahorro y seguro, hace seguros de distintos tipos, y en algunas
provincias existen aseguradoras oficiales.
De acuerdo con su objeto los seguros privados pueden clasificarse en seguros sobre las
personas y seguros sobre las cosas.
a. Seguros sobre las personas: El seguro sobre las personas comprende los
seguros sobre la vida, los seguros contra accidentes y los seguros contra
enfermedades. En realidad, constituyen un solo grupo denominado seguro de vida,
pues los seguros contra accidentes y enfermedades no son sino una variante de los
seguros de vida.
DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO
GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 1
Clasificación de los seguros de vida, conforme al riesgo que cubren:
Seguros sobre una cabeza: Se paga el seguro cuando fallece la persona asegurada.
Sobre dos o más cabezas: Mediante este contrato se asegura la vida de dos o más
personas y el seguro se paga cuando muere una de ellas a favor de la otra u otras o
más cabezas: Mediante este contrato se asegura la vida de dos o más
Seguros individuales: Son los contratos por medio de los cuales se asegura una
persona con un seguro de muerte, de vida o mixto.
Seguros sin cláusulas adicionales: Son aquellos cuyas pólizas solo prevé el seguro
de muerte, vida o mixto.
Seguro contra incendio: Con este seguro se cubre los bienes muebles e inmuebles
contra el riesgo de los incendios. La compañía aseguradora indemniza al asegurado
por el daño que hubieran sufrido los bienes objeto del seguro, a causa de un incendio,
por su puesto siempre que este no haya sido intencional.
Seguro contra granizo: Las plantaciones pueden resultar muy dañadas, con la caída
del granizo, por lo cual este seguro presta un servicio de verdadera utilidad a los
agricultores que han asegurado sus sementeras contra este riesgo. Solo se indemniza
por los daños que causa el granizo sin tener en cuenta las pérdidas que
pueda haber originado las lluvias o el viento
Seguros de automóviles:
Incendio, accidente y robo: la póliza ampara al propietario del vehículo contra estos
riesgos de acuerdo con la suma asegurada. En el caso de accidentes el seguro cubre
los daños sufridos por al automotor.
Seguro contra robos: Cubre la pérdida que puede experimentar una persona por
robos o hurtos.
Seguro de fidelidad de los empleados: Lo toman las empresas para cubrirse de las
pérdidas que pueden sufrir por infidelidad de sus empleados en caso de maniobras
dolorosas.
A través de una adecuada administración del riesgo de lavado de activos y/o de financiación
del terrorismo se puede controlar los efectos de los riesgos legal, reputacional, operativo y
de contagio a los que se puede ver expuesta una organización, con el consecuente efecto
económico negativo que ello puede representar para su estabilidad financiera.
El SARLAFT abarca todas las actividades que realiza una Compañía en desarrollo de su
objeto social principal y prevé procedimientos y metodologías para protegerse de ser
utilizada a través de sus accionistas, administradores y vinculados como instrumento para el
Por otra parte los artículos 102 y subsiguientes del Estatuto Orgánico del Sistema Financiero
y la Circular Externa 026 de 2008 emitida por la SFC, con sus circulares modificatorias,
Con el fin de mitigar los riesgos que se derivan de la materialización de las conductas
anteriormente señaladas, la Superintendencia Financiera de Colombia estableció el
SARLAFT, sistema de administración del riesgo de lavado de activos y financiación al
terrorismo, cuya aplicación debe abarcar todas las actividades que realiza una organización,
en desarrollo de su objeto social principal y deberá prever además procedimientos y
metodologías para evitar que la compañía sea utilizada en forma directa, es decir a través
de sus accionistas, administradores y vinculados, como instrumento para el lavado de
activos y/o la canalización de recursos hacia la realización de actividades terroristas, o
cuando se pretenda el ocultamiento de activos provenientes de dichas actividades.
El SARLAFT que implementen las entidades vigiladas debe comprender como mínimo las
siguientes etapas: Identificación, Medición o evaluación, Control, y Monitoreo
Identificación: Como resultado de esta etapa las entidades vigiladas deben estar en
capacidad de identificar los factores de riesgo y los riesgos asociados a los cuales se
ven expuestas en relación al riesgo de LA/FT.
Medición o Evaluación: Como resultado de esta etapa las entidades deben estar en
capacidad de establecer el perfil de riesgo inherente de LA/FT de la entidad y las
mediciones agregadas en cada factor de riesgo y en sus riesgos asociados.
Control: Como resultado de esta etapa la entidad debe establecer el perfil de riesgo
residual de LA/FT. El control debe traducirse en una disminución de la posibilidad de
ocurrencia y/o del impacto del riesgo de LA/FT en caso de materializarse.
Monitoreo: Esta etapa debe permitir a las entidades vigiladas hacer seguimiento del
perfil de riesgo y, en general, del SARLAFT, así como llevar a cabo la detección de
operaciones inusuales y/o sospechosas. (fuente:Superfinanciera)
Para tratar esta etapa es necesario contar con los siguientes insumos.
Productos.
Canales de distribución.
Clientes.
Jurisdicciones.
Las entidades vigiladas deben tener como mínimo los siguientes elementos, los cuales
deben desarrollar.
Políticas.
Procedimientos.
Documentación.
Estructura organizacional.
Plataforma Tecnológica.
Divulgación de la información.
Capacitación.
El SARO aplica a todas las entidades sometidas a la inspección y vigilancia de la SFC con
excepción de las oficinas de representación y reaseguradoras del Exterior.
La administración del riesgo debe ser implementada en todos los procesos de la compañía
de acuerdo con la estructura, tamaño, riesgo y complejidad de las operaciones.
Su clasificación es la siguiente:
Previo a la implementación de las etapas del SARO, la entidad debió establecerlas políticas,
objetivos, procedimientos y estructura para la administración de riesgo operativo, teniendo
en cuenta que este sistema debe estar alineado con los planes estratégicos de la compañía.
Documentación: Todas las etapas y elementos del SARO, deben estar sustentadas
en documentos como el manual, documentos y registros que evidencien la operación
efectiva del sistema.
Todos los eventos de Riesgo Operacional, deben tener asignada una clase o categoría de
riesgo dependiendo de la causa que originó el evento; las pérdidas registradas pueden ser
agrupadas atendiendo a sus causas últimas. Para ello, se utilizan una serie de categorías
elementales que suministran una visión sintética de la distribución del riesgo global existente
en la compañía. Las clases o categorías más usuales definidas son las siguientes:
Capítulo
MEDIDAS DE CONTROL
El método de prevención y control de factores de riesgo tiene como objetivo evitar los
accidentes antes de que estos se den. Los métodos de control se dividen en:
Los mecanismos que se emplean para este tipo de control en la fuente son los siguientes:
Mantenimiento preventivo:
Mantenimiento correctivo:
Es la atención que se hace después que se presenta el daño que constituye el factor de
riesgo.
CONTROL EN EL MEDIO.
- Encerrando el área donde se encuentra la fuente. Por ejemplo: Cortinas para talleres de
soldadura, barreras físicas, cabinas, entre otros.
El “British Continuity Institute BCI y British Standar Institute BSI define “Business Continuity
Management” (BCM) como “un proceso de gestión integral que identifica potenciales
impactos de una amenaza a la organización y provee una estructura flexible y una capacidad
de efectiva respuesta que resguarde los intereses de sus inversionistas, clientes, empleados,
reputación, marca y creación de valor. Teniendo en cuenta las siguientes aclaraciones:
• BCM no es solo una respuesta, es la capacidad de una empresa para hacer frente a los
impactos de un medio incierto.
• BCM no es solo apagar fuego, es entender que pueden existir riesgos y establecer
estrategias si pensamos que vamos hacia ello.
• BCM no es solo tener planes súper elaborados, es tener planes que se acomoden a la
naturaleza de su negocio.
La realización del BCM en la organización traerá grandes ventajas como por ejemplo:
Mientras el BCM es un programa de nivel estratégico, para llevar a la práctica este se debe
elaborar un Business Continuity Management Program BCMP (Programa de gerenciamiento
y Continuidad del Negocio) el cual se define como un proceso de gerenciamiento continuo,
para asegurarse que regularmente se revisen los escenarios de posibles emergencias,
accidentes , desastres y amenazas .Lo que también involucra ;evaluación de los impactos
de dichos eventos ; elaboración de estrategias de recuperación y planes ;mantenimiento,
documentación y entrenamiento al personal; la realización de pruebas o simulacros.
La importancia de este paso es clave en la elaboración del programa, si evaluamos mal los
riesgos obviamente se obtendrá un plan que no servirá. Para realizar una evaluación y
control de riesgos y amenazas se debe tener en cuenta lo siguiente:
El análisis BIA tiene en cuenta el RTO (Recovery Time Objective) y RPO (Recovery Point
Objective) que deben ser establecidos por la organización. Están definidos como:
• RPO (Recovery Point Objective): El punto en el cuál fueron interrumpidas las actividades
del sistema debido a la ocurrencia de un determinado evento
También hay que señalar que en algunos países las prácticas de regulación y / o las normas
ISO pueden ser incorporadas a la legislación nacional, dando así el documento adicional con
importancia en los países específicos que deseen adquirir la certificación pertinente. BCM
se encuentra dentro de los estándares de mitigación de riesgos que le dará a la empresa en
un momento dado los parámetros para levantarse de un mal momento de cualquier índole,
siempre y cuando se cuente con un plan bien diseñado que pueda abordar cada uno de los
problemas presentados ante cualquier circunstancia que afecta la empresa negativamente.
El primer paso para implementar BCM en la empresa es que debe haber una aceptación por
parte del jefe y los directivos y ver que se trata de un proceso útil.
El coordinador general de la continuidad del negocio debe ser designado para informar
directamente al jefe o equipo de alta gerencia. Esta persona es alguien que entiende
perfectamente las estructuras de negocios y la gente, tiene buena gestión del proyecto, la
comunicación y las habilidades interpersonales y es un buen líder de equipo. Sin embargo
se debe tener en cuenta que el objetivo es garantizar que pensar en la continuidad del
negocio es parte de las responsabilidades normales de cada empleado.
RESUMÉN
PROCESO
5.1 GENERALIDADES
El proceso comprende las actividades que se describen en los numerales 5.2 al 5.6. El
proceso para la gestión del riesgo:
La comunicación y la consulta con las partes involucradas externas e internas deberían tener
lugar durante todas las etapas del proceso para la gestión del riesgo. Por lo tanto, se
deberían desarrollar tempranamente los planes para la comunicación y la consulta. Éstos
deberían abordar aspectos relacionados con el propio riesgo, sus causas, sus
consecuencias (si se conocen), y las medidas que se toman para tratarlo.
La valoración del riesgo es el proceso total de identificación del riesgo, análisis del riesgo y
Evaluación del riesgo.
NOTA ISO/IEC 31010 brinda directrices sobre las técnicas de valoración del riesgo.
La organización debería identificar las fuentes de riesgo, las áreas de impacto, los eventos
(incluyendo los cambios en las circunstancias) y sus causas y consecuencias potenciales.
El objeto de esta fase es generar una lista exhaustiva de riesgos con base en aquellos
eventos que podrían crear, aumentar, prevenir, degradar, acelerar o retrasar el logro de los
objetivos.
La organización debería aplicar herramientas y técnicas para la identificación del riesgo que
sean adecuadas a sus objetivos y capacidades, y a los riesgos que se enfrentan. La
información pertinente y actualizada es importante para identificar los riesgos. Esta
información debería incluir, siempre que sea posible, la información básica. En la
identificación del riesgo se deberían involucrar las personas con el conocimiento apropiado.
El análisis del riesgo implica el desarrollo y la comprensión del riesgo. Este análisis brinda
una entrada para la evaluación del riesgo y para las decisiones sobre si es necesario o no
El análisis del riesgo involucra la consideración de las causas y las fuentes de riesgo, sus
consecuencias positivas y negativas, y la probabilidad de que tales consecuencias puedan
ocurrir. Se deberían identificar los factores que afectan a las consecuencias y a la
probabilidad.
En las decisiones se debería tener en cuenta el contexto más amplio del riesgo e incluir
consideración de la tolerancia de los riesgos que acarrean otras partes diferentes de la
organización que se benefician de los riesgos. Las decisiones se deberían tomar de acuerdo
con los requisitos legales, reglamentarios y otros.
El tratamiento del riesgo involucra la selección de una o más opciones para modificar los
riesgos y la implementación de tales opciones. Una vez implementado, el tratamiento
suministra controles o los modifica.
Las opciones para el tratamiento del riesgo no necesariamente son mutuamente excluyentes
ni adecuadas en todas las circunstancias. Las opciones pueden incluir las siguientes:
Las razones para la selección de las opciones de tratamiento, que incluyan los
beneficios que se espera obtener;
Aquellos que son responsables de aprobar el plan y los responsables de
implementarlo;
Acciones propuestas;
Requisitos de recursos, incluyendo las contingencias;
Medidas y restricciones de desempeño;
Requisitos de monitoreo y reporte; y
Tiempo y cronograma.
Tanto el monitoreo como la reedición debería ser una parte planificada del proceso para la
gestión del riesgo e incluir verificación o vigilancia regulares. Pueden ser periódicos o según
convenga. Las responsabilidades del monitoreo y la revisión deberían estar claramente
definidas. Los procesos de monitoreo y revisión de la organización deberían comprender
todos los aspectos del proceso para la gestión del riesgo con el fin de:
Garantizar que los controles son eficaces y eficientes tanto en el diseño como en la
operación;
Obtener información adicional para mejorar la valoración del riesgo;
Analizar y aprender lecciones a partir de los eventos (incluyendo los cuasi
accidentes),
Los cambios, las tendencias, los éxitos y los fracasos;
Detectar cambios en el contexto externo e interno, incluyendo los cambios en los
criterios del riesgo y en el riesgo mismo que puedan exigir revisión de los tratamientos
del riesgo y las prioridades; y
Identificar los riesgos emergentes.
DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO
GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 31
Véase NORMA TÉCNICA COLOMBIANA NTC-ISO 31000
BIBLIOGRAFÍA
CIBERGRAFÍA
http://www.sisteseg.com/files/Microsoft_Word_-_Articulo_BS_25999_DEF1.pdf
https://www.fogafin.gov.co/Default/que-es-fogafin/generalidades/sistema-integrado-
de-gesti%C3%B3n/saro
http://www.sarlaft.com/html/capitulo_11.pdf
https://www.isotools.org/normas/riesgos-y-seguridad/