Gestión del Riesgo

Ing. Armando Díaz López

 Temario General
• Contexto actual
• Riesgos según ISO-9001:2015
• Introducción
• Definición de riesgo
• Principios de Gestión de riesgos
• ISO-31000
• Proceso de Gestión del Riesgo
• Determinación, análisis, evaluación, tratamiento del riesgo
• Beneficios
• Técnicas de evaluación de Riesgo
• Herramientas para la gestión de riesgos.
• Conclusiones
 Contexto Actual
• Las empresas del siglo XXI tendrán que adaptarse a un nuevo proyecto civilizatorio: la
sociedad del conocimiento.

• Innovación y convergencia de tecnologías digitales.

• Economías basadas en la competitividad : Diferencia Comparativa y Competitiva
• Intercambio científico, cultural y técnico a escala mundial.
• Organizaciones flexibles que respondan al cambio.
• Organizaciones efectivas: eficaces y eficientes.
• Organizaciones en permanente aprendizaje y mejora continua.
• Renovación de los saberes.
• Aprendizajes a lo largo de toda la vida.
• Circulación de la información a través de redes.
 CONCEPTO DE RIESGOS EN LA NORMA ISO
9001:2015
• 0.1 GENERALIDADES
• 0.3 Enfoque a procesos
• 0.3.1 Generalidades
• 0.3.2 Ciclo Planificar-Hacer-
Verificar-Actuar
• 0.3.3 Pensamiento basado en
riesgos
• 0.4 Relación con otras normas
de sistemas de gestión
• 4.4 Sistema de gestión de la
calidad y sus procesos
• 4.4.1.- interacción de los
procesos
• 5.1 Liderazgo y compromiso
• 5.1.1 Generalidades
• 5.1.2 Enfoque al cliente
• 6 Planificación
• 6.1 Acciones para abordar
riesgos y oportunidades
• 9 Evaluación del desempeño
• 9.1 Seguimiento, medición,
análisis y evaluación
• 9.1.3 Análisis y evaluación
• 9.3 Revisión por la dirección
• 10 Mejora
• 10.2 No conformidad y acción
correctiva
Anexo A (informativo)

Aclaración de la nueva estructura, terminología y

conceptos
• A.4 Pensamiento basado en riesgos
• A.5 Aplicabilidad
• A.8 Control de los procesos, productos y servicios
suministrados externamente
 Introducción

• La gestión del riesgo debería ayudar a evitar un exceso de

reacción frente a los riesgos que puede innecesariamente
impedir la actividad y/o distorsionar gravemente la asignación
de recursos.
 Objetivo
• Desarrollar las habilidades para
la identificación, análisis,
evaluación y tratamiento de los
riesgos empresariales para
incrementar la probabilidad de
éxito en los proyectos y
procesos.
 EFECTOS DE LA INCERTIDUMBRE
• Organizaciones de todos los tipos y tamaños se enfrentan a factores e
influencias internas y externas que hacen incierto saber si y cuando
conseguirán sus objetivos. El efecto que esta incertidumbre tiene sobre el
logro de los objetivos de la empresa constituye el riesgo.

¿Cuántos contratos licitará El Sector Energía el próximo año?

¿Habrá una devaluación severa?
¿Podremos conseguir personal competente cuando lo requiera el
proyecto?
¿Llegaron los recursos de forma oportuna?
¿Nos cumplirá el proveedor con la fecha promesa de entrega?
¿Funcionara bien el nuevo sistema?
 Definición de Riesgo
Efecto de la incertidumbre sobre los objetivos
• Un efecto es una desviación de lo esperado, ya sea positivo o negativo.

• Incertidumbre es el estado, incluso parcial, de deficiencia de información

relacionada con la comprensión o conocimiento de un suceso, su
consecuencia o posibilidad.

• Los objetivos pueden tener diferentes aspectos (tales como financieros, de

salud y seguridad, o ambientales) y se pueden aplicar a diferentes niveles
(tales como nivel estratégico, nivel de un proyecto, de un producto, de un
proceso o de una organización completa).

• Con frecuencia el riesgo se expresa en términos de una combinación de

las consecuencias de un evento (severidad) y la posibilidad de que ocurra.
 Principios de Gestión del Riesgo
1. Crea valor. Contribuye a la consecución de objetivos así
como la mejora de aspectos tales como la seguridad y salud
laboral, cumplimiento legal y normativo, protección
ambiental, etc.

2.-Está integrada en los procesos de una organización. No debe

ser entendida como una actividad aislada sino como parte de
las actividades y procesos principales de una organización.

3.- Forma parte de la toma de decisiones. La gestión del riesgo

ayuda a la toma de decisiones evaluando la información sobre
las distintas alternativas.
 Principios de Gestión del Riesgo
4. Trata explícitamente la incertidumbre. La gestión del riesgo
trata aquellos aspectos de la toma de decisiones que son
inciertos, la naturaleza de esa incertidumbre y como puede
tratarse.

5. Es sistemática, estructurada y adecuada. Contribuye a la

eficiencia y, consecuentemente, a la obtención de resultados
fiables.

6. Está basada en la mejor información disponible. Los inputs del

proceso de gestión del riesgo están basados en fuentes de
información como la experiencia, la observación, las previsiones
y la opinión de expertos.
 Principios de Gestión del Riesgo
7. Está hecha a medida. La gestión del riesgo está alineada con
el contexto externo e interno de la organización y con su perfil
de riesgo.

8. Tiene en cuenta factores humanos y culturales. Reconoce la

capacidad, percepción e intenciones de la gente, tanto
externa como interna, que puede facilitar o dificultar la
consecución de los objetivos de la organización.

9. Es transparente e inclusiva. La apropiada y oportuna

participación de los grupos de interés (stakeholders) y, en
particular, de los responsables a todos los niveles, asegura que
la gestión del riesgo permanece relevante y actualizada.
Principios de Gestión del Riesgo
10. Es dinámica, iterativa y sensible al cambio. La organización
debe velar para que la gestión del riesgo detecte y responda
a los cambios de la empresa.

11. Facilita la mejora continua de la organización. Las

organizaciones deberían desarrollar e implementar estrategias
para mejorar continuamente, tanto en la gestión del riesgo
como en cualquier otro aspecto de la organización.
 Ficha de Definición de Riesgo
Concepto Ejemplo
Objetivo Entregar las obras en el plazo autorizado en el contrato
Incertidumbre ¿llegarán los materiales críticos a tiempo?
Evento • Válvula llega 14 días después de la fecha requerida en el programa de obra
Consecuencias • Retraso en el programa de obra *
• Cambios en la secuencia del programa de obra
• Sobrecostos por traslados urgentes
• Falta de tiempo para hacer inspecciones en recibo en tierra
* Afectación directa al objetivo
Posibilidad (de que ocurra el Alta (ya debió haber iniciado la colocación de órdenes de compras y aún no se
evento) tiene certeza de cuando llegarán los recursos para el pago de anticipos)
Riesgo Incumplimiento en la fecha de entrega de la obra
Nivel de Riesgo Alto
 Ejercicio 1. Aplicación de los
conceptos
Siguiendo el ejemplo anterior complete la tabla para un riesgo que pueda
presentarse en un proceso, departamento o Proyecto.

Concepto Ejemplo
Objetivo
Incertidumbre
Evento
Consecuencias

Posibilidad (de que ocurra el

evento)
Riesgo
Nivel de Riesgo
 Gestión de Riesgos
Actividades coordinadas para dirigir y controlar una organización
en lo relacionado al riesgo.

Las organizaciones gestionan el riesgo identificándolo,

analizándolo y evaluando si el riesgo se debería modificar
mediante un tratamiento que satisfaga sus criterios de
riesgo.

A lo largo de todo este proceso, las organizaciones

comunican y consultan a las partes interesadas y realizan
seguimiento y revisan el riesgo y los controles que lo
modifican para asegurar que no se requiere un
tratamiento adicional del riesgo. La norma ISO-31000
describe este proceso sistemático y lógico en detalle.
ISO-31000 Gestión del Riesgo
Marco de Referencia
 Marco de Referencia
• 4.2 Mandato y compromiso.

• 4.3 Diseño del marco de referencia de la gestión del riesgo.

• 4.3.1 Comprensión de la organización y de su contexto.

• 4.3.2 Establecimiento de la política de gestión del riesgo.

• 4.3.3 Rendición de cuentas.

 Marco de Referencia
• 4.3.4 Integración en los procesos de la organización.

• 4.3.5 Recursos.

• 4.3.6 Establecimiento de los mecanismos internos de

comunicación e información.

• 4.3.7 Establecimiento de los mecanismos externos de

comunicación y de información.

• 4.4 Implementación de la gestión del riesgo.

 Marco de Referencia
• 4.4.1 Implementación del marco de referencia de la
gestión del riesgo.

• 4.4.2 Implementación del proceso de gestión del riesgo.

• 4.5 Seguimiento y revisión del marco de referencia.

• 4.6 Mejora continua del marco de referencia.

 Proceso de Gestión del Riesgo

Figura 1: Relación entre los principios y el marco de procesos.

5,2 Mandato y compromiso

5,3 Marco del diseño para

la gestión del riesgo

5,4 La aplicación de
5,6 Mejora Continua la gestión del riesgo
de la el marco

5,5 Seguimiento y
revisión de la armazón
Proceso de Gestión del Riesgo
 Conocimiento y Comunicación

• El proceso de gestión de riesgos, inicia con la comunicación

y consulta con las partes interesadas para conocer sus
perspectivas e inquietudes sobre los riesgos a los que puede
estar sujeta la organización.
 Establecer el contexto
• Hay dos tipos de contextos:

Interno y Externo.

• A nivel organización, o al de una división, función, departamento o

proyecto.

• En primer lugar el proyecto de diseño de producto tiene que ser definido.

• Seleccionar y clasificar los proyectos, pueden ser analizados a alto nivel

tomando en cuenta su grado de incertidumbre.

• Es importante establecer un entendimiento general del riesgo esperado / el

retorno del proyecto, con el fin de tener una orientación aproximada de los
niveles aceptables de riesgo.
 Determinación de Riesgos
• Una vez definido se determinan los riesgos, empezando por la identificación, se
clasifican según su naturaleza e impacto (alto, medio y bajo), se establecen los
criterios para la aceptación de riesgos y los riesgos residuales y se conduce un
análisis para determinar el grado de exposición al riesgo en ese tema.

• Se inicia el tratamiento de los riesgos mediante cuatro alternativas:

1. Evitar.
2. Mitigar.
3. Compartir.
4. Aceptar.

• Una vez efectuado el tratamiento en forma periódica, se revisan y analizan los

resultados obtenidos y se vuelven a revisar los perfiles de riesgo, ya que éstos son
cambiantes, decidiendo qué acciones tomar para mejorar la gestión de riesgos.
 Análisis de Riesgos
• El análisis de riesgo, también conocido como evaluación de riesgo
o PHA por sus siglas en inglés Process Hazards Analysis, es el estudio
de las causas de las posibles amenazas y probables eventos no
deseados y los daños y consecuencias que éstas puedan producir.

• El primer paso del análisis es identificar los activos a proteger o

evaluar. La evaluación de riesgos involucra comparar el nivel de
riesgo detectado durante el proceso de análisis con criterios de
riesgo establecidos previamente.

• Los resultados obtenidos del análisis, van a permitir aplicar alguno

de los métodos para el tratamiento de los riesgos, para identificar el
conjunto de opciones que existen para tratar los riesgos, evaluarlas,
preparar planes para este tratamiento y ejecutarlos.
 Análisis de Riesgos

• No es posible identificar absolutamente todos los riesgos

posibles. Ni tampoco es posible saber si todos los riesgos
conocidos han sido identificados.

• Lo que en realidad se persigue es poder identificar las

probables Amenazas, Vulnerabilidades y consecuencias que
tienen mayor impacto en la gestión del negocio y una mayor
probabilidad de ocurrencia.
 Ejercicio 2. Gestión de un Riesgo

• Integren equipos de 4 participantes que participen en un

mismo proceso.
• Elaboren una ficha de Gestión de Riesgos

• Lleven a cabo la identificación, valoración y tratamiento

de los riesgos que identifiquen (mínimo 3).

• Registren los resultados en la Ficha de Identificación de

Riesgos.
 Procesamiento del Riesgo

Identifica Evalúa Tratamiento

Analiza
Reducir la
En función En función probabilidad de
de las Guiones de de la ocurrencia de
actividades causa- posibilidad y eventos negativos
y del efecto. criticidad del hacia valores
producto. riesgo. positivos.
 Evaluación de Riesgo Simple
Frecuencia Muy Improbable que
Poco Probable que Ocurra Raramente Ocurre Ocurre de vez en vez Regularmente Ocurre
Ocurra
2 3 4 5
Efecto 1

No Hay Efecto
A

Efecto No Legible
B

Poco Efecto
C

Efecto Considerable
D

Gran Efecto
E

Muy Grande Efecto

F

Riesgo Tolerable Alto Riesgo Muy Alto Riesgo

Requiere acciones necesarias
Requiere controles
para reducir riesgos
Tratamiento del riesgo
Diferentes formas de tratar los riesgos :

• Evitar el riesgo no continuando con la actividad

correspondiente, o modificando dicha actividad.
• Eliminar la causa raíz que produce el riesgo.
• Modificando (minimizando), su probabilidad de ocurrencia.
• Actuando sobre las consecuencias del correspondiente
riesgo.
• Compartiendo las consecuencias del riesgo con otras partes,
departamentos, proyectos o sitios.
Riesgo residual
• Es muy probable que, una vez tratado el riesgo, continúe
existiendo una probabilidad residual de ocurrencia del
mismo.
• Riesgo residual = Riesgo inicial – Riesgo después de ser
tratado
• En general, el riesgo residual resultante, será entendido y
aceptado por las correspondientes partes interesadas
que estén afectadas por el mismo.
Ejercicio :Definir Tipos de Riesgo

• Hacer una tormenta de ideas para enunciar Riesgos

• El equipo que identifique mas Riesgos es el Ganador
Tipos de Riesgo
• Riesgo de seguridad
• Riesgo de salud
• Riesgo ergonómico
• Riesgo de operación
• Riesgo ambiental • Riesgo de diseño
• Riesgo laboral • Riesgo de planeación
• Riesgo Político • Riesgo Normativo
• Riesgo Social • Riesgo Documental
• Riesgo de Materiales
• Riesgo económico
• Riesgo Metodológico
• Riesgo financiero • Riesgo psicosocial
• Riesgo Biológico
Factores de Riesgo
• Riesgo de política corporativa: es el riesgo de que el diseño de la política sea
deficiente y que no coincida con los objetivos y con la realidad del entorno.

• Riesgo operativo: es el riesgo de que la puesta en marcha de la política

corporativa esté condicionada por procesos y procedimientos inadecuados.

• Riesgo presupuestario: es el riesgo de no asociar correctamente los objetivos, las

metas y los planes con la disponibilidad de fondos o bien que por controles
insuficientes, deficientes o ausentes, el presupuesto no se administre bien e
impida alcanzar los objetivos y las metas.

• Riesgo de reputación: es el riesgo de que la pérdida de confianza en la

organización o en sus administradores impida el correcto uso de los fondos o que
no se le tenga confianza a lo que se está haciendo, todo ello en detrimento de
la consecución de los planes.
 Beneficios a Obtener:
• Fomentar la gestión proactiva en lugar de la reactiva.

• Ser consciente de la necesidad de identificar y tratar el

riesgo en todos los niveles de la organización.

• Mejorar la identificación de oportunidades y amenazas.

• Cumplir con los requisitos legales y normativos aplicables

así como las normas internacionales.
 Beneficios a Obtener:
• Mejorar la información financiera.

• Mejorar la gestión empresarial.

• Mejorar la confianza de los grupos de interés

(stakeholders).

• Establecer una base fiable para la toma de decisiones y

planificación.
 Beneficios a Obtener:

• Mejorar los controles.

• Repartir y utilizar de forma efectiva los recursos para la

gestión de riesgos.

• Mejorar la eficacia y la eficiencia operacional.

• Aumentar la seguridad y salud.

 Beneficios a Obtener:
• Mejorar la prevención así como la gestión de incidentes.

• Minimizar las pérdidas.

• Mejorar el aprendizaje organizativo.

• Mejorar la resistencia organizativa.

 Técnicas de evaluación de Riesgo
ISO 31010
Nombre Descripción

Una forma sencilla de identificación del riesgo. Una técnica que proporciona una lista de
Listas de verificación incertidumbre (peligros, riesgos y fallos de control) típicos que son necesarios tenerlos en
consideración. Los usuarios pueden consultar listas, códigos o normas previamente desarrolladas.

Un método inductivo sencillo de análisis cuyo objetivo es identificar los riesgos y situaciones de
Análisis preliminar de riesgos
riesgo y los eventos que pueden causar daños en una determinada actividad, instalación o sistema.

Un medio de recopilación de un amplio conjunto de ideas y evaluación, que luego es clasificado por
Entrevista estructurada y
un equipo de personas. La tormenta de ideas se puede estimular mediante proposiciones o técnicas
tormenta de ideas
de entrevistas uno con uno o uno con varios.

Un medio de combinar las opiniones de expertos que puede apoyar la identificación del origen y de
la influencia, la estimación de la probabilidad y de la consecuencia, así como la evaluación del
Técnica Delphi riesgo. Es una técnica de colaboración para crear el consenso entre expertos.
Implica el análisis independiente y la votación de los expertos.
Técnicas de Evaluación de Riesgo ISO
31010
Nombre Descripción
Un sistema para ayudar a un equipo de personas en la identificación de riesgos. Normalmente se
SWIFT estructurado ("Qué
utiliza dentro de un taller de trabajo dirigido. Por lo general está relacionado con una técnica de
pasa si...?")
análisis y de evaluación del riesgo.

La valoración de la confiabilidad humana (HRA) trata acerca del impacto del personal sobre el
Análisis de confiabilidad
rendimiento del sistema, y se puede utilizar para evaluar la influencia de los errores humanos
humana (HRA)
sobre el sistema.

Un daño único que ha ocurrido, se analiza con objeto de comprender las causas que han
contribuido a que se produzca, y como se puede mejorar el sistema o el proceso para evitar estos
Análisis de causa raíz
daños futuros. El análisis debe considerar los controles que estaban establecidos en el momento
(análisis de daño único)
de producirse el daño, así como la manera en que se podrían mejorar los controles.

Los posibles escenarios futuros se identifican por proyección o por extrapolación a partir de
Análisis de escenario riesgos presentes y diferentes, considerados asumiéndose que se podrían presentar en cada uno
de estos escenarios. Esto se puede hacer formal o informalmente, cualitativa o cuantitativamente.
 Técnicas de evaluación de Riesgo
ISO 31010
Nombre Descripción

Los peligros se identifican y analizan, y también se identifican las posibles vías por las que el
objetivo especificado (seguridad de las plantas, animales y personas) se podría exponer al
Valoración de riesgo
peligro. La información sobre el nivel de exposición y la naturaleza del daño causado para un
toxicológico
nivel dado de exposición se combinan para dar una medida de la probabilidad de que ocurra el
daño especificado.

Proporciona un análisis de como los riesgos de interrupción clave podrían afectar las operaciones
Análisis del impacto al
de una organización, e identifica y cuantifica las capacidades que se necesitarían para
negocio
gestionarlos.

Una técnica que comienza con un evento no deseado (evento superior) y determina todas las
maneras por los que podría ocurrir. Estos se representan en un diagrama de árbol lógico. Una vez
Árbol de análisis del de fallos
desarrollado el árbol de fallos, se deben tener en consideración los caminos para reducir o
eliminar las posibles causas u orígenes del evento.

Se aplican razonamientos inductivos para determinar las probabilidades de que se inicien

Análisis del árbol de eventos
diferentes eventos con sus posibles resultados.
 Técnicas de Evaluación de Riesgo ISO
31010
Nombre Descripción
Una combinación de los análisis del árbol de fallos y del árbol de eventos que permite la inclusión
Análisis de causa y
de demoras de tiempo. Se consideran tanto las causas como las consecuencias de la iniciación
consecuencia
de un evento.
Los diversos factores que contribuyen a que se produzca un efecto se pueden agrupar en
diferentes categorías. Con frecuencia, estos factores contributivos se identifican a través de la
Análisis de causa-y-efecto
tormenta de ideas y se representa mediante una estructura en árbol o de espina de pescado
"Fishbone"

FMEA (Failure Mode and Effect Análisis - Análisis del modo y efecto de falla) es una técnica que identifica los
modos y mecanismos de fallo, y sus efectos.
E xisten varios tipos de análisis FME A: FME A del Diseño (o del
pro- ducto), que se aplica a componentes y a productos; FMEA del Sistema, que se aplica a sistemas; FMEA del
Proceso, que se aplica a procesos de fabricación y de montaje; FMEA del Servicio y FMEA del Software.
FMEA y FMECA
El FMEA puede ir seguido por un análisis de criticidad que defina la importancia de cada modo de fallo de forma
cualitativa, semicuantitativa o cuantitativa (FMECA). El análisis de criticidad se puede basar en la probabilidad
de que el modo de fallo provocara el fallo del sistema, o en el nivel de riesgo asociado al modo de fallo, o en un
número de prioridad del riesgo.
 Técnicas de evaluación de Riesgo
ISO 31010
Nombre
Mantenimiento centrado en la
confiabilidad
Análisis de condiciones de
fuga (Análisis del circuito de
condiciones ocultas)
HAZOP Análisis de riesgos y
de operatividad
Descripción
Un método para identificar las políticas que se deberían implantar para gestionar los fallos, a fin de
conseguir eficaz y acertadamente la seguridad, la disponibilidad y la economía de funcionamiento
requeridas en todos los tipos de equipos.
Una metodología para identificar errores de diseño. Una condición de fuga es una condición latente
en el hardware o en el software o una condición integrada que puede originar un evento no
deseado o que puede inhibir un evento deseado que no es causado por fallo de un componente.
Estas condiciones se caracterizan por su naturaleza aleatoria y por la facilidad de evadir la
detección durante los ensayos más rigurosos de sistemas normalizados. Las condiciones de fuga
pueden causar un funcionamiento inadecuado, la perdida de disponibilidad del sistema, demoras
en el programa, o incluso lesiones o la muerte de personas.
Un proceso general de identificación del riesgo para definir posibles desviaciones con respecto al
rendimiento esperado o previsto. Este proceso utiliza una palabra guía basada en el sistema.
S e
avalan las criticidades de las desviaciones.
 Técnicas de evaluación de Riesgo
ISO 31010
Nombre Descripción
Un sistema metódico, pro-activo y preventivo para asegurar la calidad del producto, y la fiabilidad
HACCP Análisis de peligros y
y seguridad de los procesos, mediante la medición y seguimiento de las características
puntos críticos de control
específicas que se requieren que estén dentro de unos límites definidos.

LOPA
(Análisis de niveles de (También se puede denominar análisis de barrera). Permite evaluar los controles y la eficacia de
protección) estos.

Análisis de nudo de corbatín
Un medio diagramático sencillo para describir y analizar los caminos de un riesgo, desde los
peligros hasta los efectos, incluyendo la revisión de los controles. Se puede considerar que es
una combinación de la lógica de un árbol de fallos que analiza las causas de un evento
(representado por el nudo de una corbatín) y de un árbol de eventos que analiza las
consecuencias.

El análisis Markov, a veces llamado análisis estado-espacio, se utiliza comúnmente para analizar
Análisis Markov sistemas complejos reparables que pueden existir en múltiples estados, incluidos distintos
estados degradados.
Herramientas para la Gestión de un
Riesgo
Herramientas para la Gestión de un
Riesgo
Herramientas para la Gestión de un
Riesgo
 HERRAMIENTAS PARA ANALISIS DE CONTEXTO Y
PLANEACIÓN ESTRATÉGICA

PEST
El análisis PEST identifica
FODA
los factores del entorno
general que van a El análisis FODA se utiliza PROSPECTIVA
afectar a las empresas. para desarrollar un plan
Este análisis se realiza que tome en factores Su finalidad es la previsión de
internos y externos para así futuros, su evaluación y
antes de llevar a cabo el jerarquización; anticipando
maximizar el potencial de
análisis FODA en el las fortalezas y futuros diversos, posibles,
marco de la oportunidades, probables, lógicos, deseables,
planificación estratégica minimizando el impacto en temidos y futuribles.
las debilidades y de las La prospectiva se sostiene en
amenazas. tres estrategias: visión de largo
plazo (teleológica); cobertura
holística (omnicomprensiva) y
el consensuamiento.
 PEST
POLITICO ECONOMICO
Régimen político Actividad Económica
Leyes Mercado
Grupos políticos Recursos
Protección al consumidor Inflación

PEST
SOCIAL
TECNOLÓGICO
Demografía
Acceso a la Tecnología
Cultura ciudadana
Innovación
Costumbres / gastronomía
Infraestructura
Estrato social
Propiedad Intelectual
PEST
PEST
PEST
PEST
PEST
PEST
 FODA
Fortalezas Debilidades
Oportunidades

Buscar las Oportunidades que están en el

Buscar disminuir o eliminar Debilidades internas
ámbito de las Fortalezas de la Organización y
que están evitando poder abordar las
que pueden ser aprovechadas con relativa
Oportunidades
facilidad y baja inversión
Amenazas

Definir acciones defensivas para prevenir que las

Buscar medios para que la organización pueda
Debilidades internas tengan un impacto muy
usar sus Fortalezas para reducir su
negativo que vienen de las Amenazas externas a la
vulnerabilidad ante las Amenazas externas
organización
 FODA
FODA
FORTALEZAS: OPORTUNIDADES:

•EXPERIENCIA • APERTURA DE MERCADOS

•PERMANENCIA EN EL MERCADO • MAYOR EXIGENCIA EN
•BUEN SERVICIO CAPACITACIÓN Y FORMACIÓN

DEBILIDADES: AMENAZAS:

• MIEDO EN LA TOMA DE DECISIONES • COMPETENCIA EN EL MERCADO

•INADECUADA ESTRUCTURA •CAMBIO TECNOLOGICO
ORGANIZACIONAL •DIFERENCIAS COMPETITIVAS
PROSPECTIVA
PROSPECTIVA

2025

2025

2025
PROSPECTIVA
PROSPECTIVA
 Caso de Estudio
• El proceso de control de documentos tiene por objetivo que
en todos los sitios de trabajo se cuente con copias
controladas de los procedimientos autorizados por PEMEX,
aunque se tiene un procedimiento establecido desde hace
años, de vez en cuando se detecta la presencia de copias
obsoletas o la falta de las copias controladas en alguna
embarcación, lo cual ha sido considerado como un peligro,
ya que puede ocasionar problemas de diversos tamaños
desde tener que pedir prestada la copia de un
procedimiento a un compañero hasta que un barco se pare
por no poder tramitar un permiso de trabajo.

• ¿Podrá ayudarnos la gestión de riesgos en esta situación?

• Identificar Riesgos posibles y consecuencias de esta
situación
 Matriz de Consecuencia y
Probabilidad
Detección de Estimación de la
Nivel de Riesgo
las deficiencias probabilidad de
NR=NPxNS
existentes ocurrencia del
evento

Severidad
esperada de las Controles
consecuencias
 Matriz de Consecuencia y
Probabilidad
I. Detección de las deficiencias existentes

• Consiste en encontrar puntos débiles (vulnerabilidades) en el

proceso o sistema que se está estudiado. Estas vulnerabilidades
surgen de preguntarnos ¿Por qué…. (no se cumple el objetivo, el
desempeño no optimo, se presentó un incidente, se están
consumiendo más recursos, se están generando más residuos, etc.?

• La detección puede hacerse de fuentes documentales (revisión de

procedimientos, bitácoras, registros, informes de auditoría, no
conformidades) u observación directa; seguida de la aplicación de
alguna técnica como lluvia de ideas, 5 porqués o diagramas de
causa-efecto.
 Matriz de Consecuencia y
Probabilidad
• Detección de las deficiencias existentes en el Caso de estudio

1. Se han encontrado copias obsoletas en las embarcaciones, causado por:

Cuando la embarcación cambia de proyecto, las copias controladas del

proyecto anterior se mantienen a bordo.
El usuario de una copia controlada la mantiene permanentemente ya
que no tiene forma de saber si existe una nueva revisión.

2. Se han tenido que enviar copias urgentemente porque no se encontraban

a bordo, las causas de esto ha sido:

Quien recibe las copias controladas, las guarda y el relevo no sabe

donde están.
El usuario a bordo desconoce si tiene todos los procedimientos que
debiera hasta que lo pide el cliente.
 Matriz de Consecuencia y
Probabilidad
II. Estimación de la probabilidad de ocurrencia del evento.

• Consiste en estimar que tan posible es que ocurra un evento o con que
frecuencia ha estado ocurriendo. Como se trata de un método
simplificado la estimación consiste en ubicar el nivel de probabilidad en
la siguiente tabla:
Nivel de NP Significado
Probabilidad
Bajo 1 Una vez por semestre o menos, 10%
de las veces que se ejecuta la
actividad
Medio 2 Una vez cada quince días, entre 10 y
50% de las veces
Medio-alto 3 Mas de una vez por semana la
semana, entre 50 y 90% de las veces
Alto 4 Permanente, entre 90 y 100% de las
veces
 Matriz de Consecuencia y
Probabilidad
II. Estimación de la probabilidad de ocurrencia del evento (Caso de Estudio)

• Se tienen dos eventos posibles

1. Encontrar una copia obsoleta en los barcos, y
2. Falta de una copia controlada en los barcos

• De acuerdo a los registros de no conformidades e informes de auditoría, el

evento 1 ocurre cada vez que se visita una embarcación (trimestralmente
o menos) por lo que se estima en medio
• El evento 2 se ha presentado una sola vez en lo que va del año, registros
de años anteriores muestran solo uno o dos eventos por año, por lo que se
estima bajo
 Matriz de Consecuencia y
Probabilidad
Nivel de Probabilidad NP Significado

Bajo 1 Una vez por semestre o menos, 10% de las veces que se
ejecuta la actividad

Medio 2 Una vez cada quince días, entre 10 y 50% de las veces

Medio-alto 3 Mas de una vez por semana la semana, entre 50 y 90% de

las veces

Alto 4 Permanente, entre 90 y 100% de las veces

 Matriz de Consecuencia y
Probabilidad
III. Severidad esperada de las consecuencias

• Consiste en estimar que tan grave pueden ser las

consecuencias de un evento. Un evento puede tener
consecuencias de diferentes tipos (económicas, de
seguridad, a la salud, al medio ambiente, a la imagen, etc.)

• Como se trata de un método simplificado la estimación

consiste en ubicar el nivel de consecuencia en una tabla. Si
existe más de un tipo de consecuencia, se toma el nivel más
alto.
 Matriz de Consecuencia y
Probabilidad
III. Severidad esperada de las consecuencias.
INSIGNIFICANTE SIGNIFICANTE CRITICO ESTRATEGICO
TIPO DE CONSECUENCIA
1 2 3 4

SEGURIDAD Y SALUD Molestias superficiales y/o Lesiones incapacitantes Muerte de más de tres
Muerte de un trabajador.
OCUPACIONAL pérdida de confort. temporales. trabajadores.

Impacto puntual. Se requiere Impacto local y persistente. Se

intervención humana. Costo requiere intervención humana. Impacto global y persistente,
IMPACTO AMBIENTAL Sin impacto aparente.
de remediación menor a Costo de remediación entre aún con intervención humana.
$50,000 $50,000 y $1,000,000
CUMPLIMIENTO LEGAL,
Sin repercusiones legales ni Con sanciones por valor menor Cierre parcial de la empresa por Cierre total de la empresa.
CONTRACTUAL Y
contractuales. a $100,000 tres días o menos. Rescisión del contrato.
NORMATIVO
Pérdidas económicas
Pérdidas económicas de Pérdidas económicas entre Pérdidas económicas entre
ASPECTO ECONÓMICO equivalentes a más de
hasta $500,000 menores a $2,000,000 $2,000,000 y $10,000,000
$10,000,000

Afectaciones moderadas que Afectaciones que afectan los Afectaciones que pongan en
Pequeñas afectaciones que
DESEMPEÑO afectan los plazos de entrega plazos de entrega por más de un peligro la continuidad de las
no retrasan las operaciones.
hasta por siete días. mes. operaciones.

Quejas o reclamos internos

Pérdida de reputación a nivel Pérdida de reputación a nivel
IMAGEN DE LA EMPRESA que no generan Inconformidad con vecinos.
regional internacional
inconformidades.
 Matriz de Consecuencia y
Probabilidad

III. Severidad esperada de las consecuencias (caso de estudio)

1. Tener una copia obsoleta a bordo tiene como consecuencia el

buscar o solicitar una copia válida, por lo que su nivel de
consecuencia (NC) se estima en 1 (Insignificante).

2. Lo más grave que se visualiza de no contar con una copia a

bordo es que una embarcación se detenga un día por falta de
procedimientos que deben ser anexados para la autorización de
un permiso de trabajo, lo que tendría repercusiones económicas,
de desempeño del proyecto y de cumplimiento contractual. El
nivel de consecuencia (NC) se estima en 3 (Crítico).
 Matriz de Consecuencia y
Probabilidad
TIPO DE CONSECUENCIA 1. INSIGNIFICANTE
SEGURIDAD Y SALUD Molestias superficiales y/o
OCUPACIONAL pérdida de confort.
IMPACTO AMBIENTAL Sin impacto aparente.
CUMPLIMIENTO LEGAL, Sin repercusiones legales ni
CONTRACTUAL Y NORMATIVO contractuales.
Pérdidas económicas de
ASPECTO ECONÓMICO
hasta $500,000
Pequeñas afectaciones que
DESEMPEÑO
no retrasan las operaciones.
Quejas o reclamos internos
IMAGEN DE LA EMPRESA que no generan inconformi-
dades.
2. SIGNIFICANTE 3. CRITICO 4. ESTRATEGICO
Lesiones incapacitantes
Muerte de un trabajador. Muerte de más de tres trabajadores.
temporales.
Impacto puntual. Se
Impacto local y persistente. Se
requiere intervención
requiere intervención humana. Impacto global y persistente, aún con
humana. Costo de
Costo de remediación entre intervención humana.
remediación menor a
$50,000 y $1,000,000
$50,000
Con sanciones por valor Cierre parcial de la empresa por Cierre total de la empresa. Rescisión
menor a $100,000 tres días o menos. del contrato.
Pérdidas económicas Pérdidas económicas entre Pérdidas económicas equivalentes a
entre menores a $2,000,000 $2,000,000 y $10,000,000 más de $10,000,000
Afectaciones moderadas
Afectaciones que afectan los
que afectan los plazos de Afectaciones que pongan en peligro
plazos de entrega por más de un
entrega hasta por siete la continuidad de las operaciones.
mes.
días.
Inconformidad con Pérdida de reputación a nivel Pérdida de reputación a nivel
vecinos y cliente regional internacional
 Matriz de Consecuencia y
IV. Nivel de Riesgo
Probabilidad
• Se calcula el nivel de riesgo con la fórmula NR=NPxNC

• Para interpretar que tan significativo es el riesgo se utiliza la matriz de

consecuencia y probabilidad.
Alto 4 8 12 16
Probabilidad

Medio-alto 3 6 9 12
Medio 2 4 6 8
Bajo 1 2 3 4
Insignificante Significante Crítico Estratégico

Nivel de Riesgo Aceptable Recomendación

Consecuencia
Bajo SI
Medio SI
Alto NO
 Matriz de Consecuencia y
Probabilidad
IV. Nivel de Riesgo (caso de estudio)

A. Para encontrar copias obsoletas NR = NPxNC = 2x1 = 2 (Bajo).

B. Para no contar con copias NR = NPxNC = 1x3 = 3 (Medio).

• Tomando el valor más alto y el objetivo del proceso de control de documentos podemos
concluir que “la empresa tiene un riesgo medio de no contar con documentos validos en
los puntos de uso”.
Alto
Probabilidad

Medio-alto

Medio A
Bajo B
Insignificante Significante Crítico Estratégico

Consecuencia
 Matriz de Consecuencia y
Probabilidad
V. Controles

Factores de Estado de
Evento Consecuencias
Riesgo Resultados

Controles Controles Controles

Preventivos Correctivos Curativos
 Matriz de Consecuencia y Probabilidad
V. Controles (Caso de Estudio)
Fuentes de
Riesgo
• Personal no Evento Consecuencias
devuelve Al momento
Estado de
copias de de tramitar un PEP suspende
Resultados
proyectos permiso de trabajos, el
anteriores trabajo no se barco se
Ingresos
• Personal cuenta con detiene un día
menores a los
recibe una copia con pérdidas
estimados en
copias y no valida de un estimadas en
2.5 mmd
las archiva procedimiento 2.5 mm
correctamen
te
Controles
Controles
Correctivos Controles
Preventivos
Acceso a base Curativos
Capacitación al
electrónica de Acelerar
personal
documentos al personal trabajos para
Visitas de
costa fuera. recuperar el
verificación de
Línea de atención 24/7 día perdido
documentos
para documentos
Ejercicio 3. Gestión de un Riesgo
En un plan estratégico se plantean los siguientes objetivos:
1. Entrega oportuna de las obras
2. Cumplimiento financiero (que el % de operación de un
proyecto sea el prometido)

• Identifique un riesgo para cada uno de estos objetivos.

• Llenar la ficha de riesgo
 Monitoreo y reporte de riesgos
• Definir indicadores de desempeño, indicadores de control e
indicadores de riesgo necesarios para monitorear el nivel de
exposición de la Organización.

• Formular y realizar seguimiento a los planes de

tratamiento/mitigación definidos con el fin de verificar su
implementación en trabajo conjunto con los dueños de
proceso a través de la autoevaluación, Gestión Integral quien
realiza un plan de seguimiento incluyendo auditorías internas.

• Registro de eventos de riesgo y reportes necesarios para

analizar el comportamiento de los mismos y toma de
decisiones.
 Comunicación y Consulta
• Durante todo el proceso de gestión de riesgos se debe
promover la participación del personal.

• Los resultados de la valoración del riesgo debe estar

disponible para el personal (intranet, tableros,
procedimientos) de tal forma que el personal esté consiente
de los riesgos a los que está expuesto y que controles debe
aplicar.

• La comunicación y consulta es una obligación legal para

riesgos relacionados con la seguridad y salud ocupacional.
 ¿Qué pasará con el SGI?
• El Sistema de Gestión Integral está basado en las normas ISO-
9001:2008, ISO-14001:2004 y OHSAS-18001:2007, estas normas han
sido revisadas y ya han sido reemplazadas, únicamente falta la ISO
45001, que remplaza a OHSAS 1800:2007.

• Las nuevas versiones de las normas comparten como elementos

comunes la gestión de riesgos y la gestión por procesos, por lo que
la gestión de riesgos deberá incorporarse al SGI para dar
cumplimiento a los nuevos requisitos y lograr las recertificaciones.

• Actualmente se cuenta con una plataforma de modelado de

procesos de negocios la cual está preparada para la gestión de
riesgos; en la misma ya se tienen documentados más de 1,500
riesgos en materia de protección ambiental, seguridad industrial y
salud ocupacional.
Los Riesgos en la auditoria interna
La auditoría interna debe regirse por principios de administración de riesgo que se
pueden resumir en los siguientes aspectos:

• Incorporar al universo de los asuntos de auditoría la visión de riesgo que tiene la

organización.

• Desarrollar procesos de auditoría basada en riesgos e incorporarlos en los planes

anuales de la auditoría.

• Darle seguimiento al plan de negocio y ajustar el plan de la auditoría ante

cambios en el primero.

• Utilizar técnicas y procedimientos de riesgo cuando se realiza la auditoría.

• Informar a los administradores y responsables de la organización los resultados

de las auditorías con un lenguaje de riesgos y no de control interno.
Gracias por su atencion!!!