ISO 31000 - Módulo 3

ISO 31000 – Gestión de Riesgos
Módulo 3: Marco de referencia para

la gestión del riesgo
Instructor: Oscar Velezmoro
Lima, febrero de 2022

Contenido
1. Definición de los objetivos y alcance del sistema de gestión de riesgos

2. Definición e implementación del apetito de riesgo
3. Técnicas para la identificación, análisis y evaluación de riesgo
4. Taller N° 7: Métodos para la evaluación del riesgo
5. Principios para la definición y medición del riesgo reputacional
6. Opciones para el tratamiento del riesgo
7. Aspectos claves para el diseño e implementación de un plan de comunicaciones
8. Revisión de la Alta Dirección al Sistema de Gestión de Riesgos
9. Taller N° 8: Auditoría a un sistema de gestión de riesgos
10.Registros para el proceso de Gestión de riesgos
11.Atributos para ser tenidos en la mejora continua del sistema de gestión de riesgos
Contenido

Definición de objetivos
• Cumplir políticas de la organización y la política de GR
• Definir una metodología que incluya niveles de valoración
• Capacitar y entrenar a las personas
• Implementar el proceso de gestión de riesgos
• Mantener los riesgos en los niveles aceptables
• Cumplimiento legal y regulatorio
• Medir desempeño a través de monitoreo de avances y resultados
• Hacer seguimiento a mitigación de riesgos / planes de tratamiento
• Realizar mejora continua

Alcance, contexto y criterios
• Establecer el alcance, contexto y criterios permite:

o Adaptar el proceso de la gestión del riesgo
o Desarrollar una evaluación del riesgo eficaz y un tratamiento
apropiado
• El alcance, el contexto y los criterios implican:

o Definir el alcance del proceso
o Comprender los contextos externo e interno
Contenido

Definición e implementación del apetito
de riesgo
• Nivel de riesgo que una organización está dispuesta a aceptar
• Debe ser ajustado a las características de la organización
• Definido dentro de los límites aceptados
• El total de riesgo que las entidades están dispuestas a aceptar al

perseguir sus objetivos
• Incluye la declaración de apetito general y por tipo de riesgo

Tolerancia y capacidad de riesgo
Fuente: “Definición e implantación de apetito de riesgo”. (Instituto de Auditores de España, 2013)
• Tolerancia:
o Desviación respecto al nivel de apetito
o Sirve como alerta para evitar que la empresa llegue al nivel
establecido por su capacidad, lo que pondría en peligro la
continuidad del negocio
• Capacidad: nivel máximo de riesgo que una organización puede

soportar en la persecución de sus objetivos
Ejemplo 1
“Una empresa A decide participar en una subasta para la adjudicación
de una licencia de explotación X”

Ejemplo 2

Ventajas del apetito de riesgo
• El apetito de riesgo
transforma métricas
y métodos de
evaluación de riesgo
en decisiones de
negocio y reporte y
ayuda a optimizar la
consecución de
resultados y la
creación de valor
Fuente: “Definición e implantación de

apetito de riesgo”. (Instituto de Auditores
de España, 2013)
Criterios de riesgo – Características
• Precisar la cantidad y el tipo de riesgo que se puede (o no) tomar
con relación a los objetivos
• Definir los criterios para valorar la importancia del riesgo y para

apoyar los procesos de toma de decisiones
• Debe alinearse al marco de referencia de la GR y adaptarse al

propósito y alcance específicos de las actividades
• Deben reflejar los valores, objetivos y recursos de la organización y

ser coherentes con las políticas y declaraciones acerca de la GR
• Se deben definir teniendo en consideración las obligaciones de la

organización y los puntos de vista de sus partes interesadas
• Son dinámicos y deben revisarse / modificarse continuamente

Criterios de riesgo – Consideraciones
• La naturaleza y los tipos de las incertidumbres que pueden afectar a
los resultados y objetivos (tanto tangibles como intangibles)
• Cómo se van a definir y medir las consecuencias (tanto positivas

como negativas) y la probabilidad
• Los factores relacionados con el tiempo
• La coherencia en el uso de las mediciones
• Cómo se va a determinar el nivel de riesgo
• Cómo se tendrán en cuenta las combinaciones y las secuencias de

múltiples riesgos
• La capacidad de la organización
Evaluación / Apreciación de riesgo
• La evaluación del riesgo es el proceso

de Proceso de
o Identificación del riesgo Evaluación de Riesgo
o Análisis del riesgo
o Valoración del riesgo Identificación
• Los riesgos se pueden evaluar a nivel de

la organización, a nivel de un
departamento, por proyectos, por Análisis
actividades individuales o por riesgos
específicos
• La evaluación del riesgo proporciona un Valoración

conocimiento de los riesgos, sus causas,
consecuencias y sus probabilidades
Matriz de consecuencias / probabilidad
• Es un medio de combinar clasificaciones cualitativas o

semicuantitativas de consecuencia y probabilidad para obtener una
clasificación o nivel de riesgo
• Es importante que se utilice un diseño apropiado a la organización
• Permite priorizar riesgos y tratamientos del riesgo sobre la base del

nivel de riesgo y una comprensión común de los niveles de riesgos
• El formato de la matriz y las definiciones que se apliquen dependen

del contexto en el que se utiliza (escalas y criterios por nivel)
• Las reglas de decisión están asignadas a aquellos que deberían estar

alineados con el apetito del riesgo de la organización
Matriz de consecuencias / probabilidad –
Ejemplo
Escalas de Consecuencias / Impacto
1. Insignificante: el impacto no representa un problema para la

organización o es mínimo respecto al volumen de operaciones
2. Menor: el impacto que causa la materialización del riesgo en los
objetivos de la empresa es menor en términos de servicio al cliente,
operaciones y eficiencia
3. Moderado: la materialización del riesgo puede causar una pérdida
momentánea o ineficiencia, reclamos, interrupciones
4. Mayor: genera retrasos importantes que afectan el cumplimiento de
los objetivos, impacto significativo en operaciones, servicio al
cliente, interrupciones importantes, afecta la reputación
5. Catastrófico: puede detener la operación de la empresa, incluso,
tener consecuencias como el cierre definitivo
Matriz de consecuencias / probabilidad –
Ejemplo
Escalas de Probabilidad
1. Raro: la probabilidad de que ocurra un riesgo, es decir, que se

materialice, es muy baja o casi nula
2. Improbable: la probabilidad de que ocurra es baja, aunque puede
presentarse
3. Posible: el riesgo puede materializarse en cualquier momento
4. Probable: la materialización del riesgo es alta, de hecho, suele
presentarse
5. Frecuente: es muy alta la probabilidad de ocurrencia del riesgo
Matriz cualitativa de riesgos - Ejemplos
Contenido

Identificación de riesgo
• La identificación del riesgo es el proceso con el que se descubren,
reconocen y registran los riesgos
• El propósito de la identificación del riesgo es identificar qué puede

pasar o qué situaciones se pueden presentar que pueden afectar el
logro de los objetivos
• Se debe identificar los controles existentes y sus características
• El proceso de identificación del riesgo incluye la identificación de las

causas y del origen del riesgo, eventos, situaciones o circunstancias
que podrían tener un impacto material sobre los objetivos y la
naturaleza del impacto
Identificación de riesgo – Factores
• Fuentes de riesgo tangibles e intangibles
• Causas y eventos
• Amenazas y oportunidades
• Vulnerabilidades y capacidades
• Cambios en los contextos externo e interno
• Indicadores de riesgos emergentes
• Naturaleza y valor de los activos y recursos
• Consecuencias y sus impactos en los objetivos
• Limitaciones de conocimiento y la confiabilidad de la información
• Factores relacionados con el tiempo
• Los sesgos, los supuestos y las creencias de las personas involucradas
Análisis de riesgo
• Permite comprender la naturaleza del riesgo y sus características
incluyendo, cuando sea apropiado, el nivel del riesgo
• Implica una consideración detallada de incertidumbres, fuentes de

riesgo, consecuencias, probabilidades, eventos, escenarios, controles
y su eficacia
• Se puede realizar con diferentes grados de detalle y complejidad,

dependiendo del propósito del análisis, la disponibilidad y la
confiabilidad de la información y los recursos disponibles
• Las técnicas de análisis pueden ser cualitativas, cuantitativas o una

combinación de éstas, dependiendo de las circunstancias y del uso
previsto
• Proporciona una entrada para la valoración del riesgo y las decisiones

de tratamiento de riesgos
Análisis de riesgo – Factores
• La probabilidad de los eventos y de las consecuencias
• La naturaleza y la magnitud de las consecuencias
• La complejidad y la interconexión
• Los factores relacionados con el tiempo y la volatilidad
• La eficacia de los controles existentes
• Los niveles de sensibilidad y de confianza

Valoración de riesgo
• El propósito es apoyar a la toma de decisiones
• Implica comparar los resultados del análisis del riesgo con los criterios
del riesgo establecidos para determinar acciones necesarias:
o No hacer nada más
o Considerar opciones para el tratamiento del riesgo
o Realizar un análisis adicional para comprender mejor el riesgo
o Mantener los controles existentes
o Reconsiderar los objetivos
• Las decisiones deberían tener en cuenta un contexto más amplio y las

consecuencias reales y percibidas por las partes interesadas externas
e internas
• Los resultados de la valoración del riesgo se deberían registrar,

comunicar y luego validar a los niveles apropiados de la organización
Tratamiento de riesgo
• Implica hacer un balance entre los beneficios potenciales, derivados
del logro de los objetivos contra costos, esfuerzo o desventajas de la
implementación
• Opciones: mitigar probabilidad, mitigar impacto, transferir, aceptar,

evitar
• Debe realizarse de acuerdo con los objetivos de la organización, los

criterios del riesgo y los recursos disponibles
• Se requiere seguimiento y revisión a la implementación del

tratamiento del riesgo para asegurar su eficacia
• El riesgo residual se debe documentar, seguir, revisar y, cuando sea

apropiado, realizar un tratamiento adicional
Técnicas para la identificación, análisis y
Leyenda:
 Muy aplicable
 No aplicable
 Aplicable
Fuente: ISO IEC 31010: 2013. Gestión de Riesgos: Técnicas de Evaluación de Riesgos
Leyenda:
 Muy aplicable
 No aplicable
 Aplicable
Leyenda:
 Muy aplicable
 No aplicable
 Aplicable
Tratamiento de riesgo
• El propósito es especificar la manera en la que se implementarán las
opciones elegidas, para que los involucrados comprendan las
disposiciones y pueda realizarse seguimiento al avance
• Se debe identificar claramente el orden de tratamiento
• La información de los planes del tratamiento debe incluir:

o El fundamento de la selección de las opciones para el tratamiento,
incluyendo los beneficios esperados
o Las personas que rinden cuentas y aquellas responsables de la
aprobación e implementación del plan
o Las acciones propuestas
o Los recursos necesarios, incluyendo las contingencias
o Las medidas del desempeño
o Las restricciones
o Los informes y seguimiento requeridos
o Los plazos previstos para la realización y la finalización de las acciones
Contenido

Taller N° 7: Métodos para la evaluación
del riesgo
• Realizar una evaluación cualitativa de riesgos para el Poder Judicial
que incluya:
• Identificación de riesgos
• Clasificación por tipo de riesgo
• Identificación de controles
• Evaluación de riesgo - autoevaluación
• Tratamiento de riesgo
• Presentar resultados
Contenido

Principios para la definición y medición
del riesgo reputacional
“cualquier evento que daña la confianza y el respeto de las partes
interesadas hacia una organización.”
– Agencia de Ingresos de Canadá (CRA)
“Posibilidad de pérdida o merma en la reputación de una organización de

forma que afecte de forma negativa a la percepción que el entorno social
tiene sobre la misma. Este daño reputacional puede producir una pérdida
directa o indirecta del valor de una compañía.”
- EALDE
“El riesgo de reputación puede surgir de múltiples fuentes, incluidos,

entre otros, los impactos ambientales y sociales, problemas con el perfil
de una contraparte, industrias de alto riesgo y/o problemas potenciales
con la existencia o naturaleza de una transacción o producto / servicio”
– Deutsche Bank
Principios para la definición y medición
del riesgo reputacional
• El riesgo reputacional incluye toda la cadena de valor
• Es fundamental realizar un seguimiento de las expectativas de las

partes interesadas y sus cambios o nuevos requerimientos
• El riesgo reputacional siempre está asociado a un comportamiento

incorrecto de la empresa
• Proteger la reputación de una empresa es hacerla mejor
• Manejar este riesgo implica:

o Que una organización se proteja de manera proactiva contra eventos
que dañan la reputación
o Gestionar efectivamente los eventos en caso de que ocurran
o Implementar y mantener una cultura preventiva
Riesgo reputacional – Requisitos clave
• Gobierno corporativo
Componentes de la Gestión del
Riesgo Reputacional
• Código de ética y reglas de conducta
• Políticas de trabajo claras

Gestión de riesgos
• Conocer las expectativas de las partes
interesadas
• La tolerancia al riesgo de las partes

interesadas es diferente Comunicaciones Gestión de crisis
• Incluirlo en las comunicaciones y estrategias
• Manejo de Crisis e incidentes reputacionales Fuente: OECD (2020), Forum on Tax

Administration: Enhancing Reputational Risk
Management, OECD, Paris
• Monitorear y tomar acción integralmente
Riesgo reputacional – Ejemplo caso real
“En septiembre de 2015, Volkswagen es acusado de haber instalado ilegalmente
un software para alterar los resultados de los controles técnicos de emisiones
contaminantes en 11 millones de automóviles con motor diésel, vendidos entre
2009 y 2015. Logró sortear los controles de la Agencia de Protección Ambiental de
Estados Unidos (EPA) y de otras agencias europeas.
Los vehículos implicados emitían hasta cuarenta veces el límite legal de óxido de
nitrógeno. La compañía perdió millones de euros en Bolsa en solamente dos días
y se enfrentó a multas que ascendían a los 18.000 millones de dólares.
En el ranking Global RepTrack elaborado por Reputation Institute, fue la empresa

más damnificada en 2016. No obstante, la empresa reaccionó reconociendo el
error y paralizando la comercialización de los modelos afectados. Volkswagen
cerró 2017 con un beneficio operativo antes de extraordinarios un 77% superior al
año anterior.”
Fuente: Blog de EALDE – “Cómo gestionar y mitigar el riesgo reputacional en las organizaciones”
Contenido

Opciones para el tratamiento del riesgo
• Evitar el riesgo decidiendo no iniciar o continuar con la actividad que
genera el riesgo
• Aceptar o aumentar el riesgo en busca de una oportunidad
• Eliminar la fuente de riesgo
• Modificar la probabilidad
• Modificar las consecuencias
• Compartir el riesgo (por ejemplo: a través de contratos, compra de

seguros)
• Retener el riesgo con base en una decisión informada

Contenido

Aspectos claves para el diseño e
implementación de un plan de
comunicaciones
• El propósito de la comunicación y consulta es asistir a las partes
interesadas pertinentes a comprender el riesgo, las bases con las que
se toman decisiones y las razones de las acciones específicas
• La comunicación busca promover la toma de conciencia y la

comprensión del riesgo, mientras que la consulta implica obtener
retroalimentación e información para apoyar la toma de decisiones
• Una coordinación cercana entre ambas debería facilitar un

intercambio de información basado en hechos, oportuno, pertinente,
exacto y comprensible, teniendo en cuenta la confidencialidad e
integridad de la información, así como el derecho a la privacidad de
las personas
Aspectos claves para el diseño e
implementación de un plan de
comunicaciones
• La comunicación y consulta con las partes interesadas apropiadas,
externas e internas, se debería realizar en todas y cada una de las
etapas del proceso de la GR
• La comunicación y consulta pretende:

o Reunir diferentes áreas de experiencia para cada etapa del proceso de la
gestión del riesgo
o Asegurar que se consideren de manera apropiada los diferentes puntos
de vista cuando se definen los criterios del riesgo y cuando se valoran los
riesgos
o Proporcionar suficiente información para facilitar la supervisión del
riesgo y la toma de decisiones
o Construir un sentido de inclusión y propiedad entre las personas
afectadas por el riesgo
Contenido

Revisión de la Alta Dirección al Sistema de
Gestión de Riesgos
• El propósito del seguimiento y la revisión es asegurar y mejorar la
calidad y la eficacia del diseño, la implementación y sus resultados
• Debe ser parte del proceso de GR con responsabilidades definidas
• Se debe realizar en todas etapas del proceso
• Incluye:
o Planificar
o Recopilar y analizar información
o Registrar resultados
o Proporcionar retroalimentación
• Los resultados deberían incorporarse a todas las actividades de la

gestión del desempeño, de medición e informes de la organización
Contenido

Taller N° 8: Auditoría a un sistema de
gestión de riesgos
• Sobre la base del video mostrado en clase, comente la importancia de
realizar auditorías a un sistema de gestión de riesgos.
Contenido

Registros para el proceso de Gestión de
riesgos
• El proceso de la gestión del riesgo y sus resultados se deben
documentar e informar a través de los mecanismos apropiados
• Son objetivos del registro e informe:

o Comunicar las actividades de la gestión del riesgo y sus resultados a lo
largo de la organización
o Proporcionar información para la toma de decisiones
o Mejorar las actividades de la gestión del riesgo
o Asistir la interacción con las partes interesadas incluyendo a las
personas obligadas a rendir cuentas
• Las decisiones con respecto a la creación, conservación y tratamiento

de la información documentada deben considerar:
o La sensibilidad de la información
o Contexto externo
o Contexto interno
Informe para el proceso de GR
• El informe es una parte integral del gobierno de la organización y

debe mejorar la calidad del diálogo con las partes interesadas, y
apoyar a la alta dirección y a los órganos de supervisión a cumplir sus
responsabilidades
• Los factores a considerar en el informe incluyen:

o Las diferentes partes interesadas, sus necesidades y requisitos
específicos de información
o El costo, la frecuencia y los tiempos del informe
o El método del informe
o La pertinencia de la información con respecto a los objetivos de la
organización y la toma de decisiones
Contenido

Atributos para ser tenidos en la mejora
continua del sistema de gestión de riesgos
• La organización debe mejorar continuamente:
o La idoneidad
o La adecuación y eficacia del marco de referencia de la GR
o La manera en la que se integra el proceso de la GR
• Cuando se identifiquen brechas u oportunidades de mejora

pertinentes, la organización debe:
o Desarrollar planes y tareas
o Asignar responsabilidades a los encargados de rendir cuentas de su
implementación y gestión
• Una vez implementadas, estas mejoras deben contribuir al

fortalecimiento de la GR
• Se debe medir los avances y el grado de madurez de la GR

“23 años Comprometidos con la capacitación de
profesionales en el Perú”

ISO 31000 - Módulo 3

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ISO 31000 - Módulo 3

Cargado por

Copyright:

Formatos disponibles

ISO 31000 – Gestión de Riesgos

Módulo 3: Marco de referencia para

Instructor: Oscar Velezmoro

Lima, febrero de 2022

1. Definición de los objetivos y alcance del sistema de gestión de riesgos

1. Definición de los objetivos y alcance del sistema de gestión de riesgos

• Definir una metodología que incluya niveles de valoración

• Capacitar y entrenar a las personas

• Implementar el proceso de gestión de riesgos

• Mantener los riesgos en los niveles aceptables

• Cumplimiento legal y regulatorio

• Medir desempeño a través de monitoreo de avances y resultados

• Hacer seguimiento a mitigación de riesgos / planes de tratamiento

• Realizar mejora continua

• Establecer el alcance, contexto y criterios permite:

• El alcance, el contexto y los criterios implican:

1. Definición de los objetivos y alcance del sistema de gestión de riesgos

• Nivel de riesgo que una organización está dispuesta a aceptar

• Debe ser ajustado a las características de la organización

• Definido dentro de los límites aceptados

• El total de riesgo que las entidades están dispuestas a aceptar al

• Incluye la declaración de apetito general y por tipo de riesgo

Fuente: “Definición e implantación de apetito de riesgo”. (Instituto de Auditores de España, 2013)

• Capacidad: nivel máximo de riesgo que una organización puede

Fuente: “Definición e implantación de apetito de riesgo”. (Instituto de Auditores de España, 2013)

Fuente: “Definición e implantación de apetito de riesgo”. (Instituto de Auditores de España, 2013)

Fuente: “Definición e implantación de

• Definir los criterios para valorar la importancia del riesgo y para

• Debe alinearse al marco de referencia de la GR y adaptarse al

• Deben reflejar los valores, objetivos y recursos de la organización y

• Se deben definir teniendo en consideración las obligaciones de la

• Son dinámicos y deben revisarse / modificarse continuamente

• Cómo se van a definir y medir las consecuencias (tanto positivas

• Los factores relacionados con el tiempo

• La coherencia en el uso de las mediciones

• Cómo se va a determinar el nivel de riesgo

• Cómo se tendrán en cuenta las combinaciones y las secuencias de

• La evaluación del riesgo es el proceso

• Los riesgos se pueden evaluar a nivel de

• La evaluación del riesgo proporciona un Valoración

• Es un medio de combinar clasificaciones cualitativas o

• Es importante que se utilice un diseño apropiado a la organización

• Permite priorizar riesgos y tratamientos del riesgo sobre la base del

• El formato de la matriz y las definiciones que se apliquen dependen

• Las reglas de decisión están asignadas a aquellos que deberían estar

1. Insignificante: el impacto no representa un problema para la

1. Raro: la probabilidad de que ocurra un riesgo, es decir, que se

1. Definición de los objetivos y alcance del sistema de gestión de riesgos

• El propósito de la identificación del riesgo es identificar qué puede

• Se debe identificar los controles existentes y sus características

• El proceso de identificación del riesgo incluye la identificación de las

• Implica una consideración detallada de incertidumbres, fuentes de

• Se puede realizar con diferentes grados de detalle y complejidad,

• Las técnicas de análisis pueden ser cualitativas, cuantitativas o una

• Proporciona una entrada para la valoración del riesgo y las decisiones

• La naturaleza y la magnitud de las consecuencias

• Los factores relacionados con el tiempo y la volatilidad

• La eficacia de los controles existentes

• Los niveles de sensibilidad y de confianza

• Las decisiones deberían tener en cuenta un contexto más amplio y las

• Los resultados de la valoración del riesgo se deberían registrar,

• Opciones: mitigar probabilidad, mitigar impacto, transferir, aceptar,

• Debe realizarse de acuerdo con los objetivos de la organización, los

• Se requiere seguimiento y revisión a la implementación del