La Gestión de Riesgos

Que es gestión de riesgos

Es una buena práctica de Gestión
Es un proceso en etapas que permite la toma de mejores decisiones
Es un enfoque lógico y sistemático
Es un proceso que permite evitar o minimizar las pérdidas e identificar oportunidades
Es una metodología que ayuda a los administradores a optimizar el uso de los recursos

Aplicación de la gestión de riesgos

Las prácticas de gestión de riesgos son utilizadas en Organizaciones públicas y privadas, en una amplia gama de
actividades y niveles operaciones.
Ejemplos de actividades en las que se aplica: financieras, inversiones, seguros, salud, proyectos, tecnología
informática, medio ambiente, salud y seguridad ocupacional, calidad, etc
Ejemplos de niveles operacionales: plan estratégico, todas las áreas de una Organización, proyectos, productos,
servicios, procesos, etc

Las Normas ISO de Sistemas de Gestión más utilizadas, incluyen la gestión de riesgos:
IRAM ISO 14001 Sistema de Gestión Ambiental, IRAM ISO 27000 Sistema de Gestión de la Seguridad de la
Información, IRAM ISO 22000 Sistema de Gestión de la inocuidad de los alimentos, IRAM ISO ISO/TS 16949 Sistema de
gestión de la calidad. Requisitos particulares para la aplicación de la norma ISO 9001:2008 para la producción en serie y de piezas
de recambio en la industria del automóvil, IRAM ISO 13485 Dispositivos médicos. Sistema de Gestión de la Calidad, OHSAS
18001 Sistema de Gestión de la Salud y la Seguridad Ocupacional

Actualmente, la gestión de riesgos forma parte de la planificación empresarial.

La Gestión de Riesgos y la Norma ISO 31000: 2008

Todas las organizaciones hacen gestión de riesgos en algún grado, las Normas contienen requisitos con el fin de
lograr una gestión eficaz.
La Norma “ISO 31000 Gestión del riesgo. Principios y directrices”, fue escrita para ser utilizada por todo tipo de
Organización: pública, privada o social. No es específica de una industria o actividad. Tiene un enfoque genérico para gestionar
todo tipo de riesgo, y provee principios y guías para gestionar riesgos en una forma sistemática, transparente y creíble dentro de
cualquier alcance y contexto.
En la Introducción, la Norma considera que la aplicación de la gestión de riesgos en cada Organización trae consigo
necesidades individuales, audiencias (personas), percepciones y criterios específicos. Esto lleva a la necesidad de "establecer el
contexto", como una actividad en el inicio del proceso de gestión de riesgos genérico. El establecimiento del contexto lleva a
establecer los objetivos de la organización, el entorno en el que persigue esos objetivos, sus grupos de interés y la diversidad de
criterios de riesgo, todo lo cual ayudará a revelar y evaluar la naturaleza y complejidad de sus riesgos.

Para la gestión de riesgos la Norma establece procesos, su secuencia e interacción; de la siguiente forma:

Establecer el contexto

Valorar los riesgos

Comunicación y consulta

contexto
Seguimiento y revisión

Identificar los riesgos

Analizar los riesgos

Evaluar los riesgos

Tratar los riesgos

contexto

Gestión de Riesgos Página 1

 La Gestión de Riesgos

A continuación una descripción de los procesos de la figura anterior, basada en la serie de Normas de Sistemas de
Gestión de Riesgos:

Establecer el contexto

Definición de los parámetros internos y externos que se han de tomar en consideración cuando se gestiona el riesgo,
determinación del alcance y los criterios del riesgo para la política de gestión del riesgo.
Los criterios de riesgos se utilizan en la evaluación de la importancia de los riesgos. Algunos ejemplos son: costos y
beneficios asociados, requisitos legales y estatutarios, aspectos socioeconómicos y ambientales, las preocupaciones de los
interesados, prioridades.

Comunicación y consulta

Las comunicaciones y consultas con las partes interesadas internas y externas se deberían realizar en todas las etapas
del proceso de gestión de riesgos. Se podrían desarrollar planes de comunicación y consulta, que podrían tratar temas relativos al
riesgo en sí mismo, sus causas, sus consecuencias, y las medidas a tomar para tratarlo.
Las comunicaciones y consultas con las partes interesadas son importantes ya que estas pueden emitir juicios sobre
riesgos basados en su percepción del riesgo. Estas percepciones pueden variar debido a diferencias en los valores, las
necesidades, conceptos e inquietudes de las partes interesadas. Como sus opiniones pueden influir fuertemente en las decisiones
tomadas, las percepciones de las partes podrían identificarse, registrarse, y ser tenidas en cuenta en la toma de decisiones.

Valorar los riesgos

contexto
El proceso total de valoración de riesgos, incluye los procesos de identificación, análisis y evaluación de riesgos. Una
descripción de cada uno de ellos es

Identificar los riesgos

El objetivo de este proceso es generar una lista completa de los riesgos sobre la base de aquellos sucesos que puedan
crear, mejorar, prevenir, degradar, acelerar o retrasar el logro de los objetivos. Es importante identificar los riesgos asociados con
no llevar a cabo una oportunidad. La identificación completa es fundamental, porque el riesgo que no se identifica en esta etapa no
será incluido en el análisis adicional.
Existen herramientas y técnicas de identificación de riesgo, al seleccionarlas debiera tomarse en cuenta que se adapten a los
objetivos, capacidades y riesgos que enfrenta la Organización.
Contar con información relevante y actualizada es importante para la identificación de riesgos.
Deberían participar personas con conocimientos apropiados.

Analizar los riesgos

El análisis de riesgos debiera llevar a una comprensión del riesgo.

El análisis de riesgos proporciona elementos de entrada para: el proceso siguiente (evaluación del riesgo), para decidir
que riesgos tratar, y sobre los métodos y estrategias más apropiados para el tratamiento del riesgo.
El análisis de riesgos implica la consideración de las causas y las fuentes de riesgo, sus consecuencias positivas y
negativas, y la probabilidad de que pueden ocurrir esas consecuencias.
El riesgo se analiza considerando las consecuencias y su probabilidad, así como otros atributos del riesgo. Un suceso puede
tener múltiples consecuencias y afectar múltiples objetivos.
La confianza en la determinación del nivel de riesgo y su sensibilidad a las condiciones previas e hipótesis debería ser
considerada en el análisis, y comunicarse eficazmente a los tomadores de decisiones y, en su caso, otros grupos de interés.
Factores como la divergencia de opiniones entre los expertos, la incertidumbre, la disponibilidad, la calidad, la cantidad y
continuidad de la relevancia de la información, o limitaciones en el modelado se deberían indicar y se podrían destacar.
El análisis del riesgo puede llevarse a cabo con mayor o menor detalle, en función del riesgo, el propósito del análisis y de la
información, los datos y los recursos disponibles. El análisis puede ser cualitativo, semicuantitativo o cuantitativo, o una
combinación de éstos, dependiendo de las circunstancias.

Consecuencias y su probabilidad pueden determinarse mediante el modelado de los resultados de un suceso o un conjunto de
sucesos, o por extrapolación a partir de estudios experimentales o de los datos disponibles. Las consecuencias pueden ser
expresadas en términos de impactos tangibles e intangibles. En algunos casos se requiere más de un valor numérico o descriptor
para especificar las consecuencias y su probabilidad para diferentes momentos, lugares, grupos o situaciones.

Gestión de Riesgos Página 2

 La Gestión de Riesgos

Evaluar los riesgos

En base a los resultados del análisis de riesgos, se lleva a cabo la evaluación de los riesgos, en la que se determina qué
riesgos necesitan tratamiento, y la prioridad para implementar el tratamiento, con el fin de ayudar a la toma de decisiones.
Evaluación de riesgos consiste en comparar el nivel de riesgo encontrado durante el proceso de análisis con criterios de
riesgo establecido cuando se consideró el contexto. Sobre la base de esta comparación, se puede considerar la necesidad de
tratamiento.
Las decisiones deben tener en cuenta el contexto más amplio de los riesgos e incluirá la consideración de la tolerancia de
riesgos asumidos por las distintas partes de la organización que se beneficia de la situación de riesgo. Las decisiones deberían
tomarse considerando la conformidad con los requisitos legales, reglamentarios y de otro tipo.
En algunas circunstancias, la evaluación del riesgo puede dar lugar a la decisión de realizar un análisis más profundo. La
evaluación del riesgo puede también conducir a una decisión de no tratar el riesgo y mantener los controles existentes.
Esta decisión se verá influenciada por la actitud de riesgo de la organización y los criterios de riesgo que han sido establecidos.

Tratar los riesgos

contexto
El tratamiento del riesgo consiste en seleccionar una o más opciones para modificar los riesgos, y la implementación de
esas opciones. Una vez realizada la implementación, los tratamientos proporcionan o modifican los controles.
Tratamiento del riesgo implica un proceso cíclico de:
⎯ evaluar un tratamiento de riesgos;
⎯ decidir si los niveles de riesgo residuales son tolerables;
⎯ si no son tolerables, generar un nuevo tratamiento del riesgo; y
⎯ la evaluación de la eficacia de ese tratamiento.
Las opciones de tratamiento del riesgo no son necesariamente excluyentes o apropiadas en todas las circunstancias.
Las opciones pueden incluir lo siguiente:
a) evitar el riesgo al decidir no iniciar o continuar con la actividad que da lugar al riesgo;
b) aceptar o aumentar el riesgo con el fin de perseguir una oportunidad;
c) eliminar la fuente de riesgo;
d) modificar la probabilidad;
e) modificar las consecuencias;
f) compartir el riesgo con otras partes (incluyendo los contratos y la financiación del riesgo); y
g) retener el riesgo basado en una decisión informada.
La selección de la opción más adecuada de tratamiento del riesgo implica equilibrar los costos y esfuerzos de la
implementación en función de los beneficios que se obtengan, teniendo en cuenta los requisitos legales, reglamentarios y de otro
tipo, tales como la responsabilidad social y la protección del entorno natural. Las decisiones también se deberían tomar teniendo
en cuenta los riesgos cuyo tratamiento no es justificable en el plano económico, por ejemplo riesgos severos (consecuencias
altamente negativas) pero raros (baja probabilidad de ocurrencia).
El plan de tratamiento debe identificar claramente el orden de prioridad en la que se deberían implementar los
tratamientos de riesgo individuales.
Un plan de tratamiento de riesgos, es un documento con información de la manera de implementar las opciones de
tratamiento. El plan debiera incluir lo siguiente:
las razones que justifican la selección de las opciones de tratamiento, incluyendo los beneficios que se espera obtener;
que personas son responsables de la aprobación del plan y que personas son responsables de la ejecución del plan
las acciones propuestas acciones propuestas
las necesidades de recursos, incluyendo las contingencias
las medidas del desempeño y las limitaciones
los requisitos de información y seguimiento
la programación

Seguimiento y revisión

El seguimiento y la revisión debe ser una parte planificada del proceso de gestión de riesgos y someterse a una
verificación o una vigilancia regular. Esta verificación puede ser periódica o eventual.
Las responsabilidades del seguimiento y de la revisión deben estar claramente definidas.
Los procesos de monitoreo y revisión de la organización podrían abarcar todos los aspectos del proceso de gestión del
riesgo, con el fin de:
- asegurar que los controles son eficaces y eficientes tanto en el diseño y como en su utilización;
- obtener información adicional para mejorar la evaluación de riesgos;
- analizar y aprender lecciones de eventos (incluyendo cuasi accidentes), cambios, tendencias, éxitos y fracasos;

Gestión de Riesgos Página 3

 La Gestión de Riesgos
- la detección de cambios en el contexto externo e interno, incluidos los cambios en los criterios de riesgo y el
propio riesgo que puedan requerir la revisión de los tratamientos de riesgo y prioridades; y
- la identificación de riesgos emergentes.
El avance en la implementación de los planes de tratamiento del riesgo proporciona una medida de desempeño. Los
resultados obtenidos pueden ser incorporados.
Los resultados del monitoreo y la revisión podrían ser registrados e incluidos en informes externos e internos en algunos casos.

Herramientas y técnicas de valoración de riesgos

La “Norma ISO 31010 Gestión de Riesgo – Técnicas de valoración del riesgo” menciona varias técnicas que se aplican en
la identificación, análisis y evaluación de los riesgos, es decir los procesos de valoración de riesgos.

En el anexo A contiene información de la influencia de algunos factores (recursos y capacidades, naturaleza y grado de la
incertidumbre, complejidad) en cada una de las técnicas y herramientas mencionadas.

Por último el anexo B tiene información de: el uso, una descripción básica, los elementos de entrada, el proceso de
aplicación, los resultados, fortalezas y limitaciones de cada técnica.

ISO 31000 e ISO 31010 mencionan que HACCP, Análisis de causa, Análisis de causa y efecto (AMFE), son utilizadas en
temas de calidad. AMFE se aplica en procesos y en el diseño y desarrollo del producto.

Algunas técnicas son de aplicación general, por ejemplo “Diagrama de decisiones” se aplica en gestión de riesgos de
proyectos.

Gestión de Riesgos Página 4