https://www.riesgoscero.

com/academia/especiales/guia-del-sistema-de-gestion-de-riesgos-iso-
31000

Guía para implementar

un sistema de gestión de
riesgos, según la ISO
31000
Contar con una adecuada gestión de riesgos permite cumplir con la
normativa exigida y con los objetivos planteados de la organización.

Introducción
Ninguna empresa sin importar su origen o tamaño está exenta de sufrir
algún tipo de riesgo que pueda afectar de forma directa o indirecta las
actividades, el desarrollo y el cumplimiento de los objetivos; es por
esto que es tan importante contar con un plan de gestión de riesgos
que permita actuar de manera eficaz con el fin de evitar
consecuencias fatales.

La ISO 31000 brinda diferentes herramientas que contribuyen a las

buenas prácticas para gestionar los riesgos , esta normativa
internacional se adapta a cualquier tipo de compañía y permite que se
cumplan con los requisitos legales y que a su vez se obtengan
resultados positivos debido a su implementación.

En la siguiente guía usted encontrará la información pertinente que le

permitirá establecer un sistema de gestión de riesgos acorde a lo que
necesita su empresa y a la vez poder cumplir con la normativa exigida
por los entes de control.

Gestión de riesgos
¿Qué es la gestión de riesgos?

Es el proceso que se realiza para identificar y gestionar los riesgos a

los que puede estar expuesta la organización, con el fin validar la
eficiencia de los controles y el de crear planes de acción que ayude a
mitigarlos, aprovecharlos o en caso de que no se puedan prevenir
contar con una estrategia que permita que la pérdidas no sean muy
altas.

Hay que tener en cuenta que estas amenazas en muchas ocasiones

pueden crear valor, ya que las empresas establecen métodos para
generar un equilibrio entre los objetivos de crecimiento, rentabilidad y
los riesgos a los que están asociados para contar con una
consecución adecuada.

Aunque la gestión de riesgos es liderada por los directores o la junta

directiva, se debe tener claro que esto es un tema que involucra a
todos los miembros de la entidad y por ende se debe crear una cultura
de riesgos en torno a esto.
¿Qué es la norma ISO 31000?
Se define como una guía o un referente internacional que ofrece
directrices y principios para poner en marcha los sistemas de gestión
de riesgos. Se publicó en noviembre del 2009 por la Organización
Internacional de Normalización (ISO) con el fin de que las compañías
puedan gestionar sus riesgos de una manera efectiva a través de
procedimientos que les permitan cumplir sus objetivos.

La ISO 31000 cuenta con insumos globales que permiten realizar una
adecuada y eficiente gestión de riesgos enfocados en operatividad,
gobierno y confianza, además, esta norma brinda recomendaciones
de mejores prácticas en la gestión de riesgos las cuales ofrecen
técnicas apropiadas y seguridad en el lugar del trabajo.

Cabe resaltar que esta puede ser usada por cualquier tipo de entidad sin
importar el sector al que pertenezca, ya que ofrece estrategias de
decisión, operaciones, y procesos para los riesgos, ya que se ajusta a
cualquier escenario.

Es importante saber que la ISO 31000 no es certificable, sin embargo la

implementación de esta minimiza a profundidad la amenaza al riesgo
en cualquier momento que se encuentre y que la mayoría de los entes
reguladores la toman como referencia para la promulgación de normas
aplicables.

Las ventajas que ofrece la ISO 31000 son:

 Contribuye a mejorar la eficacia operativa y la gobernanza.

 Genera confianza ya que se utilizan métodos adecuados para la
gestión de riesgo.
 Aplica controles de sistema de gestión para analizar riesgos y de
esta manera mitigar las posibles pérdidas.
 Mejora la resiliencia de los sistemas de gestión.
 Responde de manera eficiente a los cambios de forma eficiente
protegiendo a la organización.
 Se adapta a cualquier tipo de riesgos sin importar su naturaleza
o causa.
Gestión de riesgos en la ISO 31000

Esta normativa define a la gestión de riesgos como las actividades que

se ponen en marcha para seguir y controlar los riesgos a los que se
ven enfrentadas las compañías. Se debe tener en cuenta que uno de
los aspectos más importantes es la cuantificación y para eso se debe
dividir en dos frentes:

Consecuencia

Son los eventos que afectan al cumplimiento de los objetivos y que

son procedentes de otros, en este punto se deben tener en cuenta
aquellos que se clasifican en causa-efecto.

Probabilidad

Es la posibilidad de que un evento pueda suceder. En este punto es

importante que las organizaciones contemplen que estos hechos
pueden provenir de las decisiones que tomen. Se divide en 5 escalas
raro, probable, improbable, posible y muy frecuente.
Ventajas y beneficios de implementar un sistema de gestión de
riesgos

 Aumenta la probabilidad de alcanzar los objetivos.

 Fomenta la gestión proactiva.
 Se es consciente de la necesidad de identificar y tratar los
riesgos.
 Cumple con los requisitos legales y reglamentaciones
pertinentes y normas internacionales.
 Mejora la presentación de informes obligatorios y voluntarios.
 Mejora el gobierno corporativo.
 Mejora la confianza y honestidad de las partes involucradas.
 Minimiza pérdidas.
 Establece una base confiable para la toma de decisiones y la
planificación.
 Asigna y usa eficazmente los recursos para el tratamiento del
riesgo.
 Mejora la eficacia y la eficiencia operativa.
 Incrementa el desempeño de la salud y la seguridad, así como
la protección ambiental.
 Mejora la prevención de pérdidas y la gestión de incidentes
  Mejora el aprendizaje organizacional.
 Mejora la flexibilidad organizacional.
 Mejora los controles.

Importancia de contar con un plan de gestión de riesgos

El propósito de contar con un sistema de gestión de riesgos se basa

en que permite identificar, reducir, planificar y tomar buenas decisiones
referentes a los riesgos.

Este plan brinda las herramientas necesarias para tener una gestión
de riesgos adecuada y se puede aplicar desde el inicio de una
organización en cualquier escenario: estrategias, decisiones, procesos,
funciones, proyectos, servicios y activos.

Esta es la mejor forma para anticiparse a las catástrofes que puedan

ocurrir y crear estrategias que permitirán abordar las amenazas para
estar prevenidos y evitar consecuencias fatales.

Principios
Principios y directrices para la gestión de riesgos, según la ISO
31000

La ISO 31000 ofrece algunos principios y directrices que ayudan en la

gestión de riesgos cómo:
  La compañía tiene más probabilidades de cumplir los objetivos
propuestos.
 Cumplimiento de estándares legales en diferentes áreas de la
compañía.
 El manejo de la administración mejora.
 Se protegen los recursos de la empresa.
 El desarrollo interno se vuelve más eficaz y eficiente.
 La toma de decisiones es más confiable gracias a la herramienta
para evaluar la gestión de riesgos.
 Se toma conciencia de la importancia de contar con un sistema
de gestión de riesgos y desastres.
 Se identifican los riesgos a los que está expuesta la empresa.
 Reduce y divide los riesgos.
 Da la posibilidad de que exista una planificación.
 Permite la toma de decisiones oportuna.
 Se motiva a la junta directiva y a cada uno de los miembros de
la compañía.
 La gobernabilidad dentro de la organización es más eficiente.
 Se genera confidencialidad y confianza.
 Se hacen los controles pertinentes.
 Se minimizan las pérdidas.
 Mejora la cultura organizacional.
 Genera valor a la organización.
 Se le da un adecuado manejo a la incertidumbre.
 Es dirigida a la mejora dentro de la organización.
 Es amigable al cambio.
 Se adapta a cualquier situación.

Estructura para implementar un sistema de gestión de riesgos de

acuerdo a la ISO 31000
 Crea y protege el valor: logro objetivos / mejora de desempeño.
 Parte integral de procesos.
 Toma de decisiones.
 Aborta incertidumbre.
 Sistemática, estructurada y oportuna.
 Adaptable.
 Considera factores humanos y culturales.
 Dinámica, reiterativa y receptiva al cambio.
 Facilita la mejor continua de la organización.
 Información disponible.
 Transparente e inclusiva.
Marco de referencia
Políticas de riesgos: son los lineamientos generales que las entidades
deben adoptar en relación con el SGR, cada una de las etapas y
elementos del sistema deben contar con unas políticas claras y
efectivamente, las políticas que se adopten deben permitir
un adecuado funcionamiento del SGR y traducirse en reglas de
conducta y procedimientos que orienten la actuación de la entidad.

Integración de procesos: propios del sistema y todos los procesos de la

compañía ya que es transversal.

Recursos: necesarios para implementar y mantener en

funcionamiento, de forma efectiva y eficiente.

Contexto externo: factores del entorno cultural, político, legal,

reglamentario, financiero, económico y competitivo, bien sea
internacional, nacional, regional o local. Tendencias y motivadores
clave que tienen impacto en los objetivos de la organización.

Contexto interno las capacidades de la organización en términos de

recursos y conocimiento, los flujos de información y los procesos de
toma de decisiones, las partes involucradas internas, los objetivos y
las estrategias implementadas para lograrlos, las percepciones, los
valores y la cultura, las políticas y los procesos, las normas y los
modelos de referencia adoptados por la organización y las estructuras
(por ejemplo de dirección, las funciones y las responsabilidades).

Rendición de cuentas: las pérdidas cuando afecten el estado de

resultados, deben registrarse en cuentas de gastos en el período en el
que se materializó la pérdida y las recuperaciones cuando afecten el
estado de resultados deben registrarse en cuentas de ingreso en el
período en el que se materializó la recuperación.

Divulgación de la información: la divulgación de la información debe

hacerse en forma periódica y estar disponible, cuando así se requiera
y diseñar un sistema adecuado de reportes tanto internos como
externos, que garantice el funcionamiento de sus propios
procedimientos.

Contexto del proceso de gestión de riesgos: definir la rendición de

cuentas y las responsabilidades, definir la extensión de las actividades
de gestión de riesgos que se van a llevar a cabo, incluyendo las
exclusiones e inclusiones específicas, definir la extensión del proyecto,
el proceso, la función o la actividad en términos de tiempo y
localización, definir las relaciones entre un proyecto o actividad
particular y otros proyectos o actividades de la organización, definir las
metodologías para la valoración del riesgo, definir los criterios del
riesgo, definir la manera en que se evalúa el desempeño de la gestión
de riesgos, identificar y especificar las decisiones y las acciones que
se deben emprender e identificar los estudios que son necesarios para
la elaboración del alcance y el marco de referencia, y la extensión, los
objetivos y los recursos necesarios para tales estudios.

Criterios del riesgo involucra tomar decisiones sobre: la naturaleza y los

tipos de consecuencias que se van a incluir y cómo se van a medir, la
manera en que se van a expresar las probabilidades, la manera en
que se determinará el nivel de un riesgo, los criterios frente a los
cuales se decidirá cuándo un riesgo necesita tratamiento, los criterios
para decidir cuándo un riesgo es aceptable y/o tolerable y si se van a
tomar en consideración las combinaciones de riesgos y cómo se van a
considerar.

Comunicación y consulta: el desarrollo de un plan de comunicación, la

definición correcta del contexto, garantizar que se entienden y toman
en consideración los intereses de las partes involucradas, la unión de
diversas áreas de experticia para identificar y analizar el riesgo,
garantizar que se consideran adecuadamente los diversos puntos de
vista en la evaluación de los riesgos, garantizar que los riesgos se
identifican correctamente, asegurar la aprobación y el soporte para el
plan de tratamiento.

Documentación: objetivos y alcance, descripción de las partes

pertinentes del sistema y sus funciones, un resumen del contexto
externo y del interno de la organización y cómo se relaciona con la
situación, el sistema o las circunstancias que se están valorando, los
criterios de riesgo aplicados y su justificación, las limitaciones,
afirmaciones y justificaciones de las hipótesis, la metodología de la
valoración, los resultados de la identificación del riesgo, los datos, las
afirmaciones y sus fuentes y validación, los resultados del análisis del
riesgo y su evaluación, el análisis de sensibilidad e incertidumbre, las
afirmaciones críticas y otros factores que es necesario controlar, la
discusión de los resultados, las conclusiones y recomendaciones de
las referencias.

Proceso
Proceso de gestión de riesgos, según la ISO 31000
Establecer Contexto del proceso de SGR

Para empezar con el sistema de gestión de riesgos es importante

darle un puntaje a cada uno de ellos, ya sean internos o externos.

Es importante entender que los externos son aquellos que se dan por
temas naturales, culturales, políticos, etc.

Los riesgos internos son los que están directamente relacionados a la

compañía y todo lo que sucede dentro de ella, funciones, estrategias
planteadas, temas financieros, procesos y recurso humano.
Identificación de riesgos

Se reconocerá cuáles son los principales riesgos a los que está expuesta
la organización, una vez estos se definan, se plantearán otros
secundarios que podrían también generar ciertos desajustes dentro de
la empresa y a los objetivos propuestos.

Una vez estén establecidos, cada una de las áreas encargadas los
asumirá como propios, para que de esta manera puedan ejecutar el
plan que se va a llevar a cabo.

Cada área definirá un responsable y estos se reunirán para empezar

a identificar los riesgos, conocer cuáles son los factores que los
pueden generar.

Se recomienda hacerse las siguientes preguntas para poder tener

mayor impacto en esta etapa.

 ¿Cuál área se puede ver afectada por x riesgo?

 ¿De qué forma lo afecta?
 ¿Qué consecuencias trae al área y a la organización en
general?
 ¿Cuál es la probabilidad de que se de?
 ¿Qué consecuencias traerá?
 ¿Es posible su prevención?
 ¿Qué estrategia se debe poner en marcha?

Análisis de riesgo

Luego de que estén definidos y consignados los riesgos se valorará en

qué escala se determinarán y cuáles serán las actividades de control
que se ejecutarán, esto con el fin de identificar el impacto que
causará, este se divide en:

 Significativo
 Alto
 Moderado
 Bajo
 Limitado

Esto permitirá crear un mapa de riesgos el cual servirá como guía para
priorizar los riesgos, clasificarlos en una escala de uno a diez, siendo
diez el más alto y uno el más bajo, identificar el área encargada y cuál
es el plan de acción que deben poner en práctica.

Comunicación consulta

Se busca recopilar información a través de diferentes medios, con el fin

de dar a conocer lo que cada una de las áreas han encontrado
durante el proceso de implementación de la gestión de riesgos.

Análisis crítico

Se puede definir como la evaluación del plan de gestión de riesgos

que se está poniendo en marcha. La idea de esto resaltar las cosas
positivas que ha traído la gestión y mejorar en ciertos aspectos que no
estén siendo tan efectivos.

Tratamiento del riesgo

Monitoreo

Es importante tener revisiones periódicas que harán saber y entender

si los planes de acción que se han implementado en cada uno de los
riesgos son los correctos, esto ayudará a entender si la tarea se está
haciendo bien y trayendo resultados positivos, o si por el contrario se
debe mejorar y en algunos casos cambiar, ya que la gestión de
riesgos es un proceso dinámico y se debe retroalimentar de acuerdo a
los cambios que se van presentando.

Glosario
Riesgo

Es la posibilidad de que ocurra un incidente que impacte negativamente

alguna área de la compañía o al cumplimiento de los objetivos de la
misma. Este se pueden presentar por fallas humanas, tecnológicas, de
infraestructura, procesos y eventos externos.

Gestión de riesgo

Es la actividad que permite identificar, analizar y actuar frente a los

factores de riesgos a los que se pueda enfrentar la empresa o un
proyecto en específico.
Proceso de gestión de riesgo

Son los procedimientos que se llevan a cabo dentro del sistema de

gestión: definición, identificación, evaluación, monitoreo y controles de
los riesgos.

Sistema para la gestión de riesgo

Está diseñado para que las entidades puedan establecer las políticas,
objetivos, procedimientos y estructura para la administración del
riesgo. El sistema debe estar alineado con los planes estratégicos de
cada organización.