HEIDY ESTHER GALLO URUETA

Ingeniero de Sistemas

Roles Principales
Consultora con más de 10 años de experiencia en la planeación, diseño, implementación y mantenimiento de Sistemas de Gestión
basados en normas ISO 9001, ISO 14001, ISO 45001, ISO/IEC 17025, ISO/IEC 27001, ISO 26000, ISO 31000, Guía para Contratistas RUC,
Sistema de Gestión para la Seguridad y Salud en el Trabajo (SG-SST) y Responsabilidad Social Empresarial y Medioambiental de Sistemas
B. Scrum Master.

Auditor Interno:
Experiencia Relevante: • ISO 9001
• Certificación de empresas de diferentes sectores en normas
• ISO 14001
ISO, de manera independiente e integradas.
• ISO 45001
• Certificaciones de productos basándose en reglamentos
• ISO/IEC 17025
técnicos y/o normas técnicas.
• Evaluación RUC de empresas de diferentes sectores, • ISO/IEC 27001
obteniendo calificación del cumplimiento mayores al 80% en • Guía para Contratistas RUC
todas las empresas evaluadas. Auditor Líder:
• Levantamiento de información y estandarización de procesos • ISO 9001:2015
para empresas de diferentes sectores. Scrum Master:
• Directora HSEQ de la empresa Suelos Ingeniería S.A.S. para
• Certificada por la Scrum Alliance
proyectos especiales a nivel nacional e internacional.
• Certificación Smart Campaign para la Protección del Cliente Otros cursos:
Financiero a empresas originadoras de crédito • Proyectos Agiles con Scrum
• Certificación y de empresas en responsabilidad social • ISO 26000 e ISO 20400 como herramientas de
empresarial y medioambiental bajo el esquema de Sistemas responsabilidad social organizacional y en la cadena de
B. valor
• Auditor de diferentes sistemas de gestión. • Innovación
• Gestión del Riesgo
• Matriz de Riesgos de Lavados de Activos y Financiación
del Terrorismo
 GESTIÓN DEL
RIESGO E
INDICADORES DE
GESTIÓN
 ESTRUCTURA DE ALTO NIVEL ¿QUÉ ES?
La estructura de alto nivel es un sistema de redacción que se ha desarrollado por un comité de
control, que pretende la uniformidad de las normas ISO.

La estructura de alto nivel se encuentra compuesta de una estructura común, que es:

•Introducción
PLANEAR HACER VERIFICAR ACTUAR
•Alcance
0. Introducción
•Referencias normativas 1. Alcance
2. Referencias
•Términos y definiciones 3.
Normativas
Términos y 7. Soporte 9. Evaluación del
10. Mejora
•Contexto de la empresa 4.
definiciones
Contexto de la
8. operaciones Desempeño

Organización
•Liderazgo 5. Liderazgo
6. Planificación
•Planificación
•Soporte
•Operaciones
•Evaluación del desempeño
•Mejora

La estructura de alto nivel de las normas ISO se ha convertido en una herramienta muy útil
para facilitar la implementación de las normas.
 CONCEPTOS FUNDAMENTALES
Son tres los conceptos fundamentales:

 El enfoque basado en procesos

 La metodología PDCA: Plan, Do, Chech

y Act (Planificar, Hacer, Verificar y
Actuar).

 El pensamiento basado en el riesgo.

EJEMPLOS DE NORMAS ISO CERTIFICABLES
 ¿QUÉ ES EL RIESGO?
ISO:
Efecto de la incertidumbre sobre un resultado
esperado (objetivos).

Riesgo es:
La combinación de la probabilidad de que
algo ocurra y las consecuencias que podría
tener.

Posibilidad de que una determinada actuación

pueda afectar, en positivo o en negativo, al
resultado de los procesos y/o al logro de los
objetivos de la organización.
 El enfoque basado en el riesgo representa el carácter
preventivo de los Sistemas de Gestión en la actualidad
 Los Sistemas de Gestión
no exigirán un Sistema de
Gestión de Riesgos, sino
que requerirá que la
organización identifique
los riesgos que puedan
afectar al Sistema de
Gestión y su conformidad,
de manera que el sistema
se pueda planificar con
base en esta información.
GESTIÓN DEL RIESGO:
“Actividades coordinadas para dirigir y controlar la organización con
relación al riesgo”.
 HERRAMIENTAS PARA LA IDENTIFICACIÓN

Algunas de las herramientas más utilizadas para llevar a cabo la evaluación

del riesgo son las siguientes:

 El análisis PEST (Análisis de factores Políticos, Económicos, Sociales y

Tecnológicos).
 El análisis DOFA (Debilidades, Oportunidades, Fortalezas y Amenazas).
 El AMFE (Análisis Modal de Fallos y Efectos).
 FMECA (Modo de fallo, Análisis de Efectos y Criticidad)
 Brainstorming o lluvia de ideas.
 Técnica SWIFT (“y si…”).
 Matrices de probabilidad frente a consecuencias.
 Análisis de Peligros y Puntos Críticos de Control (APPCC).
 ISO 31000:2018
Fase 1. Contexto Interno Fase II. Apreciación del Fase 1II. Actividades de
y Externo Riesgo Control y Monitoreo

Etapa 1. Realizar el Etapa 3. Identificación Etapa 6. Tratamiento del

Diagnóstico de la del Riesgo Riesgo
Organización

Etapa 2. Identificación Etapa 4. Evaluación del Etapa 7. Seguimiento y

de Partes Interesadas Riesgo supervisión

Etapa 5. Evaluación del Etapa 8. Toma de

Riesgo Decisiones oportunas
 ANALISIS DOFA
DEBILIDADES OPORTUNIDADES
DI O1
D2 O2
D3 O3
… …
FORTALEZAS AMENAZAS
F1 A1
F2 A2
F3 A3
… …

IDENTIFICACIÓN DE RIESGOS Y OPORTUNIDADES

RIESGOS OPORTUNIDADES
DI O1
D2 O2
D3 O3
ACCIONES PARA ABORDAR … …
RIESGOS Y A1 F1
A2 F2
OPORTUNIDADES A3 F3
… …
 ISO 9001:2015 ISO 14001:2015 ISO 45001:2018
6 PLANIFICACIÓN 6 PLANIFICACIÓN 6 PLANIFICACIÓN
6.1 Acciones para abordar 6.1 Acciones para abordar 6.1 Acciones para abordar
riesgos y oportunidades riesgos y oportunidades riesgos y oportunidades
6.1.1 Determinación 6.1.1 Generalidades 6.1.1 Generalidades
6.1.2 Acciones 6.1.2 Aspectos Ambientales 6.1.2 Identificación de
Peligros y evaluación de los
riesgos y oportunidades
6.1.3 Requisitos legales y 6.1.2.1 Identificación de
otros requisitos Peligros
6.1.4 Planificación de 6.1.2.2 Evaluación de los
Acciones riesgos para la SST y otros
riesgos para el SG SST
6.1.2.3 Evaluación de las
oportunidades para la SST y
otras oportunidades para el
SG SST
ISO 27001:2013
6 PLANIFICACIÓN
6.1 Acciones para abordar
riesgos y oportunidades
6.1.1 Generalidades
6.1.2 Valoración de riesgos
de la seguridad de la
información
6.1.3 Tratamiento de riesgo
de la seguridad de la
información

6.1.3 Determinación de los

requisitos legales y otros
requisitos
6.1.4 Planificación de
Acciones
 MATRIZ DE RIESGOS

RIESGO PROBABILIDAD CONSECUENCIA VALORACIÓN ACCIÓN

(CONTROLES)
R1 PxC
R2
R3
…

PROBABILIDAD CONSECUENCIA VALORACIÓN

1 ALTO 1 ALTO BAJO MEDIO ALTO
2 MEDIO 2 MEDIO BAJO
3 BAJO 3 BAJO
MEDIO
ALTO
 RIESGOS SEGÚN ISO 9001:2015
La identificación de riesgos y oportunidades no es un fin en sí mismo, sino
que es una herramienta que da soporte a la planificación del Sistema de
Gestión de Calidad.

6.1.1
Al planificar el SGC, la organización debe considerar las cuestiones referidas en el
apartado 4.1 y los requisitos referidos en 4.2, y determinar los riesgos y oportunidades que
es necesario tratar con el fin de:
• Asegurar que el SGC pueda lograr sus resultados previstos.
• Mejorar los efectos deseables.
• Prevenir o reducir efectos indeseados.
• Lograr la mejora continua.

6.1.2
La organización debe planificar:
• Las acciones para tratar estos riesgos y oportunidades
• La manera de a) integrar e implementar las acciones en sus procesos del SGC (ver 4.4)
y b) evaluar la eficacia de estas acciones.
• Las acciones para tratar los riesgos y oportunidades deben ser proporcionales al
impacto potencial en la conformidad de los productos y servicios
 ACEPTAR EL RIESGO REDUCIR EL RIESGO
Se adoptan medidas para reducir
No se adopta ninguna medida la probabilidad o el impacto del
que afecte la probabilidad o el riesgo, o ambos; por lo general
impacto del riesgo. conlleva la implementación de
controles

TRATAMIENTO DEL
RIESGO

COMPARTIR O TRANSFERIR EL
EVITAR EL RIESGO RIESGO

Se abandonan las actividades que

Se reduce la probabilidad o el
dan lugar al riesgo, es decir, no
impacto del riesgo transferido o
iniciar o no continuar con la
compartiendo una parte de este.
actividad que lo provoca
RIESGOS SEGÚN ISO 14001:2015
6.1 Acciones para tratar riesgos y oportunidades
La organización debe determinar los riesgos y oportunidades relacionados con sus:
• Aspectos ambientales (véase 6.1.2).
• Requisitos legales y otros requisitos (véase 6.1.3).
• Otras cuestiones y requisitos identificados en 4.1 y 4.2, que necesitan abordarse para:
• Asegurar que el sistema de gestión ambiental puede lograr sus resultados previstos.
• Prevenir o reducir los efectos no deseados, incluyendo la posibilidad de que las
condiciones ambientales externas afecten a la organización.
• Lograr la mejora continua.

6.1.1 Generalidades
En este punto se establece que la organización debe planificar e implementar un proceso
para cumplir los requisitos de la norma, considerar en estos procesos las cuestiones
internas y externas y mantener la información documentada en la medida necesaria para
tener confianza en que el proceso se ha llevado a cabo como se planeó.

6.1.2 Aspectos ambientales

Todos los factores medioambientales relacionados con la actividad desarrollada por la
Organización han de ser localizados e identificados para poder adoptar medidas al
respecto haciendo uso de la perspectiva del ciclo de vida de los productos/servicios.
6.1.3 Requisitos legales y otros requisitos
Todos los requisitos legales de aplicación a la Organización (Obligaciones de
cumplimiento) y cualquier otro requisito de carácter medioambiental que la
Organización suscriba, deben ser identificados, accesibles, determinar cómo se
aplican en la organización y permanecer actualizados.

6.1.4 Planificación para tomar acciones

La organización debe planificar:
• Tomar acciones para hacer frente a:
• Aspectos ambientales significativos.
• Requisitos legales y otros requisitos.
• Riesgos y oportunidades identificados en 6.1.1.
• La manera de:
• Integrar e implementar las acciones en los procesos del sistema de gestión
ambiental; (ver 6.2, Cláusula 7, Cláusula 8 y 9.1), en otros procesos de negocio.
• Evaluar la eficacia de estas acciones (ver 9.1).
Al planificar estas acciones, la organización debe considerar sus opciones tecnológicas y
sus requisitos financieros, operacionales y de negocio.
(EFECTO) (CAUSA)

Un aspecto es el elemento que origina el cambio en el M.A:

✓Gestionados y controlados directamente por la empresa.
✓Sin control directo pero con influencia
✓Sin ninguna influencia
El impacto se define como las consecuencias o efectos de los aspectos ambientales
MATRIZ DE ASPECTOS E IMPACTOS AMBIENTALES
MATRIZ DE REQUISITOS LEGALES Y OTRA INDOLE
 RIESGOS SEGÚN ISO 45001:2018
6.1 Acciones para abordar riesgos y oportunidades

6.1.1 Generalidades
Cuando se planifica el Sistema de Gestión de Seguridad y Salud en el Trabajo, la empresa
tiene que considerar las cuestiones que se refieren al apartado 4.1, los recursos referidos en
los apartados 4.2 y 4.3, además se tiene que determinar los riesgos y las oportunidades que
se necesitan para abordar con el fin de:
•Asegurar que el Sistema de Gestión de Seguridad y Salud en el Trabajo que puede
conseguir los resultados previstos.
•Prevenir y minimizar los efectos no deseados.
•Conseguir la mejora continua.
Es necesario determinar todos los riesgos y las oportunidades para el Sistema de Gestión de
Seguridad y Salud en el Trabajo y los resultados previstos que es necesario abordar, la
empresa deberá tener en cuenta:
•Todos los peligros.
•Los riesgos para el Sistema de Gestión de Seguridad y Salud en el Trabajo y otras
oportunidades.
•Las oportunidades para la seguridad y salud en el trabajo.
•Los requisitos legales.
La empresa, en sus procesos de planificación tiene que determinar y evaluar los riesgos y
oportunidades que son necesarios para que se obtengan los resultados previstos. En el caso
de los cambios que han sido planificados, de forma permanente o temporales, esta
evaluación debe llevarse a cabo antes de que se implante el cambio.
La empresa tiene que mantener información documentada sobre:
•Los riesgos y oportunidades.
•Los procesos y acciones necesarias para determinar y abordar los riesgos y oportunidades.

6.1.2 Identificación de peligros y evaluación de los riesgos y oportunidades

6.1.2.1 Identificación de peligros
La empresa tiene que establecer, implantar y mantener procesos de identificación de
peligros. Los procesos deben tener en cuenta, pero no limitarse a:
•Como se organiza el trabajo, los diferentes factores sociales que intervienen, el liderazgo y
la cultura de la empresa.
•Las actividades y situaciones rutinarias y no rutinarias, se incluyen peligros que surgen de
la infraestructura de la organización, el material que se utiliza y las condiciones físicas del
lugar del trabajo, el diseño de productos, la investigación, el desarrollo, la producción, el
montaje y finalmente, el factor humano.
•Los incidentes pasados pertinentes internos o externos a la empresa, se incluyen las
emergencias y sus causas.
•Las situaciones de emergencia potenciales.
•Las personas, incluyendo la consideración del acceso al lugar de trabajo, las inmediaciones
al lugar de trabajo y los empleados.
•Otras cuestiones, incluyen la consideración del diseño de las áreas de trabajo, procesos,
instalaciones, maquinaria, procedimientos operativos, etc.
•Los cambios reales o propuestos en la organización, operacionales, procesos, actividades y
el sistema de gestión.
•Los cambios en el conocimiento y la información sobre todos los peligros.

6.1.2.2 Evaluación de los riesgos para la SST y otros riesgos para el sistema de
gestión de la SST
La empresa tiene que establecer, implantar y mantener procesos para:
•Evaluar todos los riesgos a partir de los peligros que han sido identificados, se debe tener
en cuenta la eficacia de los controles existentes.
•Determinar y evaluar los otros riesgos relacionados con el establecimiento, implantación,
operación y mantenimiento del sistema de gestión.
•Metodologías y criterios de la empresa para evaluar de los riesgos, es necesario definir el
alcance, naturaleza y tiempo, es necesario asegurarse que son más proactivas que reactiva
y que se utilicen de una forma sistemática.

6.1.2.3 Evaluación de las oportunidades para la SST y otras oportunidades para el

sistema de gestión de la SST
La empresa tiene que establecer, implantar y mantener procesos para evaluar:
•Las oportunidades para la seguridad y salud en el trabajo permiten mejorar el desempeño
de la seguridad y salud en el trabajo. Es necesario tener en cuenta todos los cambios que se
han planificado en la empresa.
•Otras oportunidades de mejora del sistema de gestión.
6.1.3 Determinación de los requisitos legales y otros requisitos
La empresa tiene que establecer, implantar y mantener procesos para:
•Determinar y tener acceso a los requisitos legales y otros requisitos actualizados que se
han aplicado a sus peligros, sus riesgos para la seguridad y salud en el trabajo.
•Determinar cómo se aplican los requisitos legales.
•Tener en cuenta los requisitos legales y otros requisitos.
la empresa tiene que mantener y conservar la información documentada que tratan los
requisitos legales, además es necesario que se actualice para reflejar cualquier cambio.

6.1.4 Planificación de acciones

La empresa tiene que planificar:
•Las acciones para abordar todos los riesgos y oportunidades, enfrentarse a los requisitos
legales, estar preparado para responder ante situaciones de emergencias.
•La forma de integrar las acciones en los procesos del sistema de gestión, evaluar la eficacia
de las acciones.
•La empresa debe tener en cuenta la jerarquía de los controles y las salidas del sistema de
gestión cuando planifique las tomas de decisiones.
•Al planificar las acciones de la empresa tiene que considerar las mejores prácticas, la
opción tecnológica y los requisitos.
MATRIZ DE PELIGROS
 RIESGOS SEGÚN ISO 27001:2013

Información correcta,
para la persona
correcta en el tiempo
correcto
 ANEXO A

14 Dominios 35 Objetivos 114

de Control de Control Controles
MATRIZ DE RIESGOS
Por tanto, el "enfoque basado en el riesgo" significa considerar el
riesgo cualitativamente y, dependiendo del contexto de la
organización, cuantitativamente, al definir el rigor y el grado de
formalidad necesario para planificar y controlar el sistema de
gestión de la calidad, así como los procesos y actividades que lo
componen.
 INDICADORES DE GESTIÓN

Los siete principios en los que se basa un Sistema de Gestión de la Calidad

ISO 9001, son:
•Enfoque al cliente.
•Liderazgo.
•Compromiso de las personas.
•Enfoque basado en procesos.
•Mejora.
•Toma de decisiones basada en la evidencia
•Gestión de las relaciones
Expresión cuantitativa del comportamiento
y desempeño de un proceso, cuya
magnitud, al ser comparada con algún
nivel de referencia, determina si la
organización está cumpliendo con los
objetivos planificados.
• Indicadores de Cumplimiento: Indican
el grado de conclusión de tares y/o
trabajo
• Indicadores de Evaluación:
Rendimiento que se obtiene de una
tarea, trabajo o proceso.
• Indicadores de Eficiencia: Recursos
invertidos para la finalización de
tareas y/o trabajos.
• Indicadores de Eficacia: Capacidad
para la finalización de tareas y/o
trabajos.
Las decisiones basadas en el análisis y la evaluación de datos e información
tienen mayor probabilidad de producir los resultados deseados.
ISO 9000:2015. Sistemas de Gestión de la Calidad. Fundamentos y
Vocabulario.

La toma de decisiones es un punto clave en el buen funcionamiento de una

organización, por ello, han de estar correctamente meditadas, basadas en una
información precisa y fiable y a través de un acertado análisis de los datos.

En cualquier momento y a todos los niveles de la empresa es preciso tomar

una decisión, por ello los datos deben estar a disposición de aquellos que los
necesitan para que la decisión sea lo más acertada posible. En la medida que
sea posible disponer de la información adecuada, se consigue disminuir el
riesgo en las decisiones.
Objetivos de los Indicadores de Gestión
• Asegurar que los datos y la información tienen la suficiente exactitud y fiabilidad.
• Conseguir que los datos sean accesibles para quienes los necesiten.
• Analizar los datos y la información mediante métodos válidos.
• Tomar decisiones y acciones basadas en el análisis de los datos.

En el idioma inglés se ha definido una manera de recordar las características de los

objetivos de la calidad. Cada una de dichas características empieza con una letra
que en conjunto forman la palabra “S.M.A.R.T.” que significa “listo”, dando a
entender que esta sería una manera inteligente de establecer objetivos:
 Specific: Específico
 Measurable: Medible
 Achievable: Alcanzable
 Realistic: Realista
 Time-bound: Tiempo límite
“En el próximo ejercicio anual, la organización pondrá en marcha 10 nuevos
puntos de distribución y servicio posventa de nuestros productos en el país,
para asegurar que ningún cliente tenga un punto de venta y atención al cliente a
una distancia mayor de 100 Km”.
Indicadores Cualitativos vs. Cuantitativos
Algunos ejemplos:
Indicadores Cualitativos: Índice de corrupción internacional, Nivel de satisfacción del cliente,
Calificación de la calidad del servicio.
Indicadores Cuantitativos: Tasa de conversión de cierre de ventas, Volumen de ingresos por
ventas, Porcentaje de productos con defectos.

Indicadores de Largo Plazo vs. Corto Plazo

Algunos ejemplos:
Indicadores de Largo plazo: Valor del tiempo de vida del cliente
Indicadores de Corto plazo: Dólares gastados por mes en la ejecución de un proyecto.

Indicadores Inductores o Predictivos vs. Históricos o Rezagados

Algunos Ejemplos:
Indicador Inductor o Predictivo: Las utilidades de una organización, para el KPI presupuesto de
capacitación.
Indicador histórico o rezagado: Las utilidades de una organización, para el KPI de porcentaje de
procesos optimizados. 
Indicadores Primarios o Simples vs. Secundarios o Compuestos
Algunos ejemplos: 
Indicadores Primarios: Tiempo para procesar un pedido.
Indicadores Compuestos: Margen operativo que se calcula como la relación entre el ingreso
operativo y las ventas  netas, o el costo de adquisición del cliente.

Indicadores  de Eficacia vs. Indicadores de Eficiencia 

Algunos Ejemplos:
Indicadores de Eficacia: Cantidad de artículos entregados, Cantidad de Transacciones
procesadas, Porcentaje de pedidos procesados.
Indicadores de Eficiencia:  Costo de envío de un producto, Cantidad de Transacciones
procesadas por persona.
Indicadores de Entrada / Proceso / Salida / Resultado
Realizar un análisis de la cadena o del flujo de valor para cada objetivo estratégico
proporciona más información al medir el KPI asociado. Los KPI relevantes se pueden
identificar para cada una de las 4 etapas del análisis: entrada, proceso, salida y resultado.
• Los KPI de entrada miden los recursos involucrados en el logro de los objetivos, ya
sea que estén relacionados con el tiempo, el capital humano o los costos. Ejemplos:
Cantidad de miembros del equipo, Presupuesto del proyecto.
• Los KPI de proceso indican las actividades requeridas para producir los resultados
esperados. Ejemplos: Tiempo para procesar las facturas, Tasa de utilización de los
equipos.
• Los KPI de salida se refieren a la calidad o la cantidad de los productos o servicios
creados. Ejemplos: Cantidad de artículos vendidos, Cantidad de electricidad generada.
• Los KPI de resultados miden el impacto logrado a través de la provisión de bienes y
servicios. Ejemplos: Porcentaje de participación de mercado, Índice de satisfacción del
cliente.
Este análisis de la cadena de valor genera varios KPI que pueden usarse para hacer
seguimiento al logro de cada objetivo. Clasificando con base en la importancia y el
esfuerzo requerido para medir, se pueden seleccionar 2 o 3 indicadores de gestión para
incluirlos en el Balanced Scorecard.
Indicadores Estratégicos vs. Operativos
Agrupar los KPI de acuerdo el nivel organizacional en el que impactan es algo que
depende en gran medida del contexto, de manera parecida a lo que ocurre con los
indicadores inductores e históricos. Sin embargo, hay algunos KPI que frecuentemente se
reconocen como estratégicos, como por ejemplo la Cuota de mercado, el Índice de
satisfacción del cliente, el Margen de rentabilidad y los Ingresos. 

Algunos KPI operativos pueden ser: Cantidad de tiempo para cargar un pedido, Tasa de
productos sin defectos o Porcentaje de procesos optimizados. Se debe tener en cuenta
que cualquiera de estos KPI puede convertirse en estratégico si la compañía lo identifica
como un factor crítico de generación de valor.
GRACIAS…!!!