eBook | Checklist para la gestión del riesgo, según la ISO 31000

Checklist
para la gestión
del riesgo
Según la ISO 31000

www.pirani.co | 02
eBook | Checklist para la gestión del riesgo, según la ISO 31000

Índice
01 Introducción 03

02 ISO 31000 03

03
Gestión de riesgos
en la ISO 3100 05

04
Qué debe contener
y para qué sirve la checklist 06

05 Criterios para elaborar un checklist 08

06 Cómo hacer una checklist 10

07 Principios y directrices 11

08 Proceso de gestión de riesgos 12

09 Establecer Contexto del proceso de SGR 13

10 Ventajas y beneficios 17
eBook | Checklist para la gestión del riesgo, según la ISO 31000

01 Introducción

Teniendo en cuenta que las organizaciones se ven expuestas a

diferentes tipos de riesgos, es de suma importancia definirlos y
gestionarlos, aunque en muchas ocasiones esto puede ser una
tarea compleja, pero necesaria, es allí cuando la checklist enfocada
en la gestión del riesgos, según la ISO 31000 se convierte en un
instrumento necesario.

Hay que tener en cuenta que estas amenazas en muchas

ocasiones pueden crear valor, ya que las empresas establecen
métodos para generar un equilibrio entre los objetivos de
crecimiento, rentabilidad y los riesgos a los que están asociados
para contar con una consecución adecuada.

En el siguiente eBook conocerá la importancia del checklist dentro

de la gestión de riesgos, de acuerdo a la ISO 31000 y los parámetros
que debe seguir para establecerla.

www.pirani.co/es | 03
 eBook | Checklist para la gestión del riesgo, según la ISO 31000

02 ISO 31000

PRIN C I P I O MARCO REFERENCIA PROC ES O

1. Crear valor.
2. Parte integral de los procesos de Establecimiento del contexto
la organización.
3. Parte de la toma de decisión. Comando y compromiso
4. Trata explícitamente las
incertidumbres. Valoración del riesgo
5. Sistemática, estructurada y

Comunicación y consulta
oportuna. Diseño del marco de referencia Identificación de Riesgos

Monitoreo y Revisión
6. Basada en la mejor información para la gestión del riesgo
imposible.
7. Hecha a medida. Análisis de Riesgos
8. Tiene en cuenta factores
humanos y culturales. Mejora continua del marco Implementación de la
9. Transparente e inclusiva. de referencia gestión del riesgo Evaluación del riesgo
10. Dinámica, interactiva y capaz
de reaccionar ante los cambios.
11. Permite la mejora continua de
la organización
Monitoreo y revisiópn del
marco de referencia
Tratamiento de los Riesgos

Proceso

Fuente: Tomada ISO:31000

Se define como una guía o un referente Cabe resaltar que esta puede ser usada
internacional que ofrece directrices y por cualquier tipo de entidad sin
principios para poner en marcha los importar el sector al que pertenezca, ya
sistemas de gestión de riesgos. Se que ofrece estrategias de decisión,
publicó en noviembre del 2009 por la operaciones, y procesos para los riesgos,
Organización Internacional de ya que se ajusta a cualquier escenario.
Normalización (ISO) con el fin de que las
compañías puedan gestionar sus riesgos Es importante saber que la ISO 31000 no
de una manera efectiva a través de es certificable, sin embargo la
procedimientos que les permitan cumplir implementación de esta minimiza a
sus objetivos. profundidad la amenaza al riesgo en
cualquier momento que se encuentre y
La ISO 31000 cuenta con insumos que la mayoría de los entes reguladores
globales que permiten realizar una la toman como referencia para la
adecuada y eficiente gestión de riesgos promulgación de normas aplicables.
enfocados en operatividad, gobierno y
confianza, además, esta norma brinda
recomendaciones de mejores prácticas
en la gestión de riesgos las cuales
ofrecen técnicas apropiadas y seguridad
en el lugar del trabajo.

www.pirani.co/es | 04
eBook | Checklist para la gestión del riesgo, según la ISO 31000

03 Gestión de riesgos en la ISO 31000

Fuente: ISO 31000 - Gerencia de Proyecto

- Sobrepasos de
cronograma.
- Sobrepaso de
- Tareas omitidas en
Tiempo Costo presupuestos.
cronograma.
- Gastos inesperados.
- Oportunidades para
comprimir cronograma.

- Recursos
insuficientes.
- Mala comunicación. - Escacez de recursos.
Comunicación Identificar riesgos Recursos
- Comunicación lenta. - Recursos no
disponibles.
- Falta de habilidades.

- Sobrepasos al alcance.
- Ambiente tenso.
- Alcance mal definido.
Alcance Ambiente - Clima afecta el
- Cambios al proyecto
desarrollo del proyecto.
mal gestionados.

Esta normativa define a la gestión de riesgos como las actividades

que se ponen en marcha para seguir y controlar los riesgos a los
que se ven enfrentadas las compañías. Se debe tener en cuenta
que uno de los aspectos más importantes es la cuantificación y
para eso se debe dividir en dos frentes:

Consecuencia: son los eventos que afectan al cumplimiento de

los objetivos y que son procedentes de otros, en este punto se
deben tener en cuenta aquellos que se clasifican en
causa-efecto.

Probabilidad: es la posibilidad de que un evento pueda suceder.

En este punto es importante que las organizaciones contemplen
que estos hechos pueden provenir de las decisiones que tomen.
Se divide en 5 escalas: raro, probable, improbable, posible y muy
frecuente.

www.pirani.co/es | 05
04 Qué debe contener
y para qué sirve la checklist
Una checklist o lista de verificación debe
contar con patrones básicos de seguridad
los cuales dan la posibilidad de que se
pueda evaluar e identificar las
oportunidades o vulnerabilidades de
activos, procedimientos automatizados y no
automatizados y de flujo de información.
Teniendo como base la lista de verificación, la
cual fue construida teniendo en cuenta los
criterios que mencionamos en el siguiente
ítem, se podrá determinar el resultado del
impacto si es negativo o positivo de la
ocurrencia de un riesgo. De igual manera
para poder analizar de manera más
profunda se requiere de información
adicional, la cual se obtiene por medio de
documentos ya existentes en los que se
evidencie el análisis del impacto o la
evaluación de criticidad de los riesgos.
Esta se utiliza en diferentes etapas de la
gestión de riesgos y también durante las
auditorías internas. Además, debe contar
con un registro y documentación de todos
los datos que se recopilen con el fin de
validar la eficiencia del sistema.
Las listas de chequeo se usan en grupos de
inspección o en auditorías internas para
identificar aspectos críticos de un proceso.
También son utilizadas como complemento
de otros métodos más complejos para
gestionar el riesgo operativo, especialmente
en algunos requerimientos del análisis
“what if”. Incluso en los análisis de causa
raíz se utiliza una lista gráfica de chequeo.
De esa forma se identifican las causas que
generan un problema o un defecto
recurrente.
www.pirani.co/es | 06
Además de las anteriores, existen muchas razones por las cuales es
conveniente incorporar una lista de chequeo al manejo de los
riesgos operativos. A continuación le mostramos algunos de ellos:

Permite plantear una estrategia sistemática basada en datos

históricos de la empresa.
Puede emplearse para refinar análisis más detallados, como por
ejemplo análisis de causa raíz.
Es posible aplicarlos a cualquier actividad o proceso.
Mejora la cultura de riesgo en la organización.
Es fácil de llevar a cabo, ya que puede ser realizada por cualquier
persona de la compañía que esté capacitada para entender las
preguntas de la lista, sin requerir la supervisión de un experto en
gestión de riesgos.
Facilita el proceso de auditorías internas optimizando el tiempo
de entrevistas y documentación.
Genera listas cualitativas para corregir posibles errores o fallos.

Aunque pueden enriquecer el análisis y ayudar a identificar las

amenazas, las listas de chequeo para gestionar el riesgo también
tienen sus limitaciones.

En primer lugar, cuando son usadas como un único método, es

probable que no logren identificar algunos problemas potenciales.
Cómo están basadas en asuntos concretos, si no se direccionan
hacia áreas claves de la compañía o problemas críticos, es posible
que pasen por alto ciertas debilidades que deben ser atendidas.

En segundo lugar, las listas de chequeo solo ofrecen

información cualitativa. Este análisis simplificado puede servir
para gestionar el riesgo en áreas específicas de la compañía, pero,
si se requiere una evaluación integral, es conveniente que se utilice
como complemento de algún recurso que incorpore cuantificación
al análisis, como por ejemplo un software para gestionar el riesgo.

www.pirani.co/es | 07
eBook | Checklist para la gestión del riesgo, según la ISO 31000

05 Criterios para elaborar

un checklist
Fuente: Escuela Europea de Excelencia.

Hay que tener en cuenta que una checklist para la gestión del riesgo
ISO 31000 permite identificar los riesgos evidentes a los que puede
estar expuesta la compañía y también los de poca
probabilidad, como lo puede ser sufrir una pandemia global,
además, allí también se puede crear un cuestionario de preguntas
para verificar si realmente esos riesgos existen.

Según la ISO 31000 “el riesgo es el impacto negativo o positivo

generado por una vulnerabilidad u oportunidad, considerando
tanto la probabilidad como el impacto de la ocurrencia.”

De acuerdo a lo anterior, una adecuada gestión de riesgos le da la

posibilidad a la empresa de que pueda llevar a cabo sus
operaciones de manera normal, en caso de que se presente alguna
amenaza.

Vea qué debe contener una lista verificación:

Alta Dirección:

1. Asignación de responsabilidades.
2. Soporte para la continuidad del negocio.
3. Competencias para la respuesta a incidentes.
4. Revisión periódica de los controles de seguridad.
5. Análisis de riesgos.
6. Entrenamiento técnico y de seguridad.
7. Segregación de servicios.
8. Plan de Seguridad.

www.pirani.co/es | 08
eBook | Checklist para la gestión del riesgo, según la ISO 31000

Operaciones:

1. Control de la contaminación del aire.

2. Control para garantizar la calidad de la energía eléctrica.
3. Acceso y uso de los medios de datos.
4. Control de humedad y temperatura.
5. Control de equipos informáticos, como ordenadores
portátiles, o de escritorio.
6. Control de máquinas y equipos destinados a la
producción.

Técnica:

1. Comunicaciones.
2. Criptografía.
3. Controles de accesos.
4. Identificaciones y autenticaciones.
5. Detección de intrusos.
6. Auditorías del sistema.

www.pirani.co/es | 09
06 Cómo hacer una checklist

Para elaborar una lista de chequeo, deben tenerse en cuenta una

serie de criterios que ayudarán a formular las preguntas pertinentes
y a abordar los asuntos más importantes. Aquí le explicaremos qué
debe tener en cuenta, y al final podrá descargar una guía para que
usted mismo haga su lista de chequeo según las necesidades de su
empresa o proyecto.

Defina los focos de riesgo, ya sean de seguridad, ambientales,

económicos y todo lo que pueda afectar el desarrollo de la
organización.
Divida los aspectos del proyecto: actividades, personal, tiempos
de entrega, presupuesto y procesos.
Recoja o cree listas de chequeo para cada uno de los problemas.
Formule diferentes preguntas relacionadas con el tipo de
problemas potenciales que quiere analizar.
Responda a las preguntas formuladas en la lista de chequeo.
Designe un equipo guiado o compuesto por expertos para
responder cada uno de los ítems de la lista. Al final del proceso,
incluya recomendaciones para mejorar o mitigar los riesgos que
parecen inminentes o probables.
Use los resultados para tomar decisiones. Evalúe las
recomendaciones incluidas en el análisis e implemente aquellas
que traerán más beneficios que costos. Asigne responsables
para cada riesgo y haga un monitoreo del proceso.

www.pirani.co/es | 10
eBook | Checklist para la gestión del riesgo, según la ISO 31000

07 Principios y directrices
para la gestión de riesgos,
según la ISO 31000
La ISO 31000 ofrece algunos principios y directrices que ayudan en
la gestión de riesgos cómo:

La compañía tiene más probabilidades de cumplir los objetivos

propuestos.
Cumplimiento de estándares legales en diferentes áreas de la
compañía.
El manejo de la administración mejora.
Se protegen los recursos de la empresa.
El desarrollo interno se vuelve más eficaz y eficiente.
La toma de decisiones es más confiable gracias a la herramienta
para evaluar la gestión de riesgos.
Se toma conciencia de la importancia de contar con un sistema
de gestión de riesgos y desastres.
Se identifican los riesgos a los que está expuesta la empresa.
Reduce y divide los riesgos.
Da la posibilidad de que exista una planificación.
Permite la toma de decisiones oportuna.
Se motiva a la junta directiva y a cada uno de los miembros de la
compañía.
La gobernabilidad dentro de la organización es más eficiente.
Se genera confidencialidad y confianza.
Se hacen los controles pertinentes.
Se minimizan las pérdidas.
Mejora la cultura organizacional.
Genera valor a la organización.
Se le da un adecuado manejo a la incertidumbre.
Es dirigida a la mejora dentro de la organización.
Es amigable al cambio.
Se adapta a cualquier situación.

www.pirani.co/es | 11
eBook | Checklist para la gestión del riesgo, según la ISO 31000

08 Proceso de gestión de riesgos,

según la ISO 31000

Establecer el contexto
El contexto estrátegico
El contexto organizacional
El contexto de gestión de riesgos
Criterio desarrollado
Definir la estructura

Identificar riesgos
¿Qué puede suceder?
¿Cómo puede suceder?

Analizar riesgos
Determinar los controles existentes
Comunicación y consulta

Determinar la Determinar las

Monitoreo y revisar
probabilidad consecuencias

Calcular el nivel de riesgo

Evaluar riesgos
Comparar contra criterios.
Establecer prioridades de riesgo.

SÍ
Aceptar

NO

Tratar los riesgos

Identificar opciones de tratamiento.
Evaluar las opciones de tratamiento.
Seleccionar las opciones de tratamiento.
Preparar planes de tratamiento.
Implementar planes.

www.pirani.co/es | 12
eBook | Checklist para la gestión del riesgo, según la ISO 31000

09 Establecer Contexto
del proceso de SGR

Para empezar con el sistema de gestión de riesgos es importante

darle un puntaje a cada uno de ellos, ya sean internos o externos.

Es importante entender que los externos son aquellos que se dan

por temas naturales, culturales, políticos, etc.
Los riesgos internos son los que están directamente relacionados a
la compañía y todo lo que sucede dentro de ella, funciones,
estrategias planteadas, temas financieros, procesos y recurso
humano.

Identificación de riesgos:
Se reconocerá cuáles son los principales riesgos a los que está
expuesta la organización, una vez estos se definan, se plantearán
otros secundarios que podrían también generar ciertos desajustes
dentro de la empresa y a los objetivos propuestos.

Una vez estén establecidos, cada una de las áreas encargadas los
asumirá como propios, para que de esta manera puedan ejecutar el
plan que se va a llevar a cabo.
Cada área definirá un responsable y estos se reunirán para empezar
a identificar los riesgos, conocer cuáles son los factores que los
pueden generar.
Se recomienda hacerse las siguientes preguntas para poder tener
mayor impacto en esta etapa.

¿Cuál área se puede ver afectada por x riesgo?

¿De qué forma lo afecta?
¿Qué consecuencias trae al área y a la organización en general?
¿Cuál es la probabilidad de que se de?
¿Qué consecuencias traerá?
¿Es posible su prevención?
¿Qué estrategia se debe poner en marcha?

www.pirani.co/es | 13
eBook | Checklist para la gestión del riesgo, según la ISO 31000

Análisis de riesgo:
Luego de que estén definidos y consignados los riesgos se valorará
en qué escala se determinarán y cuáles serán las actividades de
control que se ejecutarán, esto con el fin de identificar el impacto
que causará, este se divide en:

Significativo
Alto
Moderado
Bajo
Limitado

Luego de que estén definidos y consignados los riesgos se

valorará en qué escala se determinarán y cuáles serán las
actividades de control que se ejecutarán, esto con el fin de
identificar el impacto que causará.

CONSECUENCIAS

MENOR MODERADA MAYOR

IMPROBABLE BAJO BAJO MEDIO

PROBABILIDAD

POSIBLE BAJO MEDIO ALTO

PROBABLE MEDIO ALTO ALTO

Acción inmediata, especificar planes de acción y atención de la alta dirección.

Gestionar mediante procedimientos de monitores o respuesta específicos.

Gestionar mediante procedimientos de rutina, es improbable que se necesite

la aplicación específica de recursos.

Fuente: Tomada de fundamentos de la gestión del riesgo Icontec

www.pirani.co/es | 14
eBook | Checklist para la gestión del riesgo, según la ISO 31000

Comunicación consulta:
Se busca recopilar información a través de diferentes medios, con el
fin de dar a conocer lo que cada una de las áreas han encontrado
durante el proceso de implementación de la gestión de riesgos.

Análisis crítico:
Se puede definir como la evaluación del plan de gestión de riesgos
que se está poniendo en marcha. La idea de esto resaltar las cosas
positivas que ha traído la gestión y mejorar en ciertos aspectos que
no estén siendo tan efectivos.

Tratamiento del riesgo:

Preparación e Identificación de las

implementación de los opciones de los riesgos
planes de tratamiento. con resultados positivos.

Acciones propuestas. Comprensión de la cauda.

Recursos. Planifiación de las contigencias.
Responsabilidades. Compartir el riesgo.
Cronograma. Contratación.
Medidas del desempeño. Seguros.
Requisitos de presentación
de informes y monitoreo.

Valoración de las Identificación de las

opciones para tratar el opciones de los riesgos
riesgo. con resultados negativos.

Análisis costo - beneficio

Fuente: Tomada de fundamentos de la gestión del riesgo Icontec.

www.pirani.co/es | 15
eBook | Checklist para la gestión del riesgo, según la ISO 31000

Monitoreo:
Es importante tener revisiones periódicas que harán saber y
entender si los planes de acción que se han implementado en
cada uno de los riesgos son los correctos, esto ayudará a
entender si la tarea se está haciendo bien y trayendo resultados
positivos, o si por el contrario se debe mejorar y en algunos
casos cambiar, ya que la gestión de riesgos es un proceso
dinámico y se debe retroalimentar de acuerdo a los cambios
que se van presentando.

¿Quiere aplicar los

conceptos de este e-book
con nuestro software?

Obtenga una prueba gratuita

durante 30 días.

Solicitar demo

www.pirani.co/es | 16
10 Ventajas y beneficios
Contribuye a mejorar la eficacia operativa y la gobernanza.

Genera confianza ya que se utilizan métodos adecuados para la

gestión de riesgo.

Aplica controles de sistema de gestión para analizar riesgos y de

esta manera mitigar las posibles pérdidas.

Mejora la resiliencia de los sistemas de gestión.

Responde de manera eficiente a los cambios de forma eficiente

protegiendo a la organización.

Se adapta a cualquier tipo de riesgos sin importar su naturaleza o

causa.

www.pirani.co/es | 17
Luego de haber conocido la importancia de contar
con un checklist para la gestión del riesgo, según la
ISO 31000, lo invitamos a que conozca las
soluciones y beneficios que CERO tiene para usted
y su organización.

Cero Riskment Suite es una solución enfocada en

la gestión integral del riesgo. Esta fue creada con
el fin de automatizar los principales procesos
del Gobierno Corporativo, apoyados en las
mejores prácticas y en estándares internacionales
que ayudan a las organizaciones en el
cumplimiento de marcos como: ISO 31000,
COSO-ERM, Basilea, AS/NZS 4360, Sarbanes-Oxley,
ISO 27001, ISO 19600, entre otras.

Si está interesado en conocer más a fondo nuestro

aplicativo contáctenos: info@riesgoscero.com

Conozca qué contiene CERO Riskment Suite

edando clic al botón y lleve la gestión de riesgos
de su empresa a otro nivel con la ayuda de CERO.

Conocer más