1.

Gestión de riesgos: introducción a la norma ISO 31000

Descripción
En este Bit, el primero de una serie cuatro cursos sobre la gestión de riesgos, se hará una presentación de
la norma ISO 31000, en la que, además, se explicarán cuáles son los requisitos y las tareas a cuyo
cumplimiento se debe comprometer toda organización que desee implementar un sistema de gestión de
riesgos basado en sus estándares.

A quién va dirigido el Bit

Personas que crean y protegen el valor en las organizaciones gestionando riesgos, tomando decisiones,
estableciendo y logrando objetivos y mejorando el desempeño.

Conocimientos previos/Nivel
Tener conocimiento de los procesos de la organización en la que laboras, que te permitan identificar
aspectos en tu actividad que son relevantes en la gestión de riesgos / Básico.

Para tener en cuenta

Este Bit hace parte de la ruta de aprendizaje de Gestión de riesgos. Para tener una mejor experiencia, te
recomendamos seguir el orden a continuación:
1. Gestión de riesgos: introducción a la norma ISO 31000
2. Gestión de riesgos: principios, marco y claves en la implementación
3. Gestión de riesgos: identificación, análisis, evaluación y tratamiento
4. Gestión de riesgos: comunicación y técnicas de evaluación del riesgo

Objetivos
Al finalizar este Bit, estarás en capacidad de:
1. Explicar qué es la gestión del riesgo y cuáles son sus bases según la norma ISO 31000.
2. Reconocer cuáles son las tareas clave que tiene por delante una organización que implemente un
sistema de gestión del riesgo según la norma ISO 31000.
3. Identificar cuáles son los requisitos para la identificación, análisis y valoración del riesgo en una
organización según la norma ISO 31000.

Microbits
Microbit 1: ¿Qué es la gestión del riesgo?
CONCLUSIONES
En suma:

 La ISO 31000 es una norma internacional que ofrece directrices y principios para gestionar el
riesgo en las organizaciones, de forma efectiva y eficiente, a nivel tanto estratégico como
operativo.
 La gestión del riesgo es lo que hace la organización para controlar la probabilidad de que ocurran
diferentes tipos de riesgos que puedan afectar sus resultados esperados. Como tal, permea todas
su actividades y funciones significativas, y contribuye a la mejora general de todos sus procesos.
  El riesgo es el efecto de la incertidumbre sobre los objetivos. Un efecto es una desviación
respecto a lo previsto; la incertidumbre es el estado de deficiencia de información relacionada con
la comprensión o conocimiento de un evento, su consecuencia o su probabilidad; y los objetivos
son los fines o metas previstos por la organización.
 La gestión del riesgo se sustenta en tres grandes bases: los principios, que son los parámetros
que guían y orientan el proceso; el marco de referencia o marco de trabajo, que es la estructura
que soporta el sistema de gestión de riesgos; y el proceso de gestión que es el mecanismo o
metodología que se utiliza para dar tratamiento eficaz a los riesgos.
Microbit 2: ISO 31000: tareas claves
1. Análisis su contexto interno y externo
a. Objetivos
b. Estrategias
c. Politicas
2. Designar Roles, funciones y responsabilidades
3. Generación - Comunicar
4. Garantizar análisis del Riesgo.
5. Registro e Informes
6. Hacer seguimiento y revisión.
HERRAMIENTA DESCARGABLE
Toda organización que implemente una norma ISO de gestión debe estar dispuesta a analizar su contexto
interno y externo. Para este análisis suelen usarse tres herramientas, que podrás descargar a continuación:
Análisis FODA (SWOT Analysis):
Esta herramienta te permitirá evaluar la situación actual de tu organización, área, proceso o proyecto antes
de decidir una nueva estrategia. Descubre qué funciona bien y qué no, pregúntate a dónde quieres ir,
cómo podrías llegar allí y qué podría interponerse en tu camino, evaluando cuatro aspectos: fortalezas,
oportunidades, debilidades y amenazas.
Análisis PESTAL (PEST Analysis):
Esta herramienta te servirá para a analizar los cambios políticos, económicos, socioculturales,
tecnológicos, ambientales, legales y éticos que se producen en tu entorno empresarial. Esto te permitirá
comprender las fuerzas de cambio a las que estás expuesto, aprovechar las oportunidades que se te
presentan y preparar tu adaptación al futuro de tu entorno empresarial.
Análisis de las 5 Fuerzas de Porter:
Esta herramienta te servirá para analizar la competitividad y rentabilidad del sector/industria donde se
encuentra tu negocio y determinar estrategias exitosas.

LECTURA
Una de las principales tareas que deben asumir las compañías al implementar la ISO 31000 es la
designación de roles, funciones y responsabilidades en lo que respecta a la gestión del riesgo. En términos
generales, se espera que cada área asuma, como mínimo, las siguientes responsabilidades:
Administración:

 Toma de decisiones sobre el riesgo.

 Aprobación y adopción de medidas a nivel institución.
Finanzas:

 Análisis de costo/beneficio.
 Preparación de presupuesto y control financiero sobre controles de riesgo.
RR. HH.:

 Identificación de necesidades de formación del personal.

 Desarrollo de sensibilización sobre el riesgo entre el personal.
Seguridad de la información:

 Identificación y propuesta de controles sobre gestión de riesgos relativos a la información.

Tecnología:

 Implementación de soluciones tecnológicas para las operaciones rutinarias en relación con su

medición y gestión.
Legal:

 Identificación de necesidades de cumplimiento y su análisis (leyes, reglamentos, contratos).

Comunicación:

 Validación de cómo la gestión de riesgos influye sobre la reputación de la entidad.

 Gestión de comunicaciones internas y externas.
Auditoría interna:

 Validación del cumplimiento de los controles de seguridad en la gestión de riesgo.

CONCLUSIONES
La ISO 31000 no especifica cómo hacer frente a cada tipo de riesgo, sino que ofrece directrices para
gestionarlos, que pueden adaptarse a cualquier organización. Para aplicar estas directrices, una compañía
deberá estar dispuesta a asumir seis tareas o actividades clave:
1. El análisis completo y permanente de sus contextos interno y externo. Analizar el contexto
interno supone examinar los objetivos, las estrategias y las políticas de la empresa, la forma en la
que se integra la gestión del riesgo a la cultura organizacional, los flujos de información, el modo
como se dispone de los recursos, la forma como se tratan los objetivos que llegan a entrar en
conflicto, la manera como se realizan las revisiones y las mejoras que de ellas derivan, entre otros
procesos. Analizar el contexto externo supone examinar los factores sociales, culturales, políticos,
legales, reglamentarios, financieros, tecnológicos, económicos y ambientales que la afectan.
 2. La designación de roles, funciones y responsabilidades, es decir, convertir a las personas y las
áreas en “propietarias del riesgo”.
3. La generación estrategias para comunicar y consultar las funciones, políticas, alcances,
procesos y demás aspectos de la gestión, para que todas las partes interesadas comprendan el
riesgo y las bases con las que se toman las decisiones.
4. Garantizar que la organización asuma un enfoque de análisis del riesgo, que supone la
consideración de incertidumbres, fuentes de riesgo, consecuencias, probabilidades, eventos,
escenarios, controles y evaluaciones de eficacia, y se puede llevar a cabo mediante técnicas
cualitativas, cuantitativas o combinadas.
5. Adoptar procesos de documentación apropiados, a través de mecanismos que permitan
identificar, almacenar, proteger, disponer, conservar y mantener los registros, las descripciones de
los procesos, controles y procedimientos, las políticas, informes y demás documentos estratégicos
para la gestión del riesgo.
6. Hacer seguimiento y revisión durante todas las etapas del proceso. El seguimiento continuo y
la revisión periódica deben ser actividades juiciosamente planificadas y deben contar con
responsables claramente definidos.

Microbit 3: Identificación, análisis y valoración del riesgo

CONCLUSIONES

 La identificación del riesgo permite reconocer y describir los riesgos que podrían ayudar o
impedir el logro de objetivos en una organización. Para identificar los riesgos oportunamente es
necesario contar con información pertinente, apropiada y actualizada, que se haya recabado
de manera sistemática, iterativa y colaborativa.
 Cada organización puede utilizar distintas técnicas para identificar sus riesgos, lo importante
es que considere factores como las fuentes tangibles e intangibles; las causas y los eventos; las
amenazas y oportunidades; las vulnerabilidades y capacidades; los cambios en los contextos
externo e interno; los indicadores de riesgos emergentes; la naturaleza y valor de los activos y los
recursos; la confiabilidad de la información; los sesgos de las personas involucradas, entre otros.
 Luego de identificar los riesgos, estos deben ser analizados para poder tomar decisiones sobre las
estrategias y métodos más adecuados de tratarlos. Este análisis debe considerar factores, tales
como la probabilidad de materialización de los eventos y sus consecuencias; la naturaleza y la
magnitud de estas; su complejidad e interconexión; la eficacia de los controles existentes; la
existencia de una relación entre probabilidad, impacto y efecto en el tiempo con base en la
frecuencia, entre otros.
 El análisis del riesgo proporciona un insumo para su valoración. Valorar un riesgo consiste en
comparar los resultados de su análisis con los criterios establecidos para determinar cuándo se
requiere una acción adicional.
2. Gestión de riesgos: principios, marco y claves en la
implementación
Descripción
En este Bit aprenderás cuáles son las normas asociadas a la ISO 31000 y los trabajos regulatorios
que en ella se evidencian. También, verás algunos conceptos, los principios básicos, el marco de
referencia y el proceso de implementación de la gestión del riesgo, así como su contexto y
delimitación.
Conocimientos previos/Nivel
Haber visto el Bit 1 y tener conocimiento de los procesos de la organización en la que laboras,
que te permitan identificar aspectos en tu actividad que son relevantes en la gestión de riesgos /
Básico.
A tener en cuenta
Este Bit hace parte de la ruta de aprendizaje de Gestión de riesgos. Para tener una mejor
experiencia, te recomendamos seguir el orden a continuación:
1. Gestión de riesgos: introducción a la norma ISO 31000
2. Gestión de riesgos: principios, marco y claves en la implementación
3. Gestión de riesgos: identificación, análisis, evaluación y tratamiento
4. Gestión de riesgos: comunicación y técnicas de evaluación del riesgo
Objetivos
Al finalizar este Bit, estarás en capacidad de:
1. Identificar normas y aspectos regulatorios presentes en la norma ISO 31000.
2. Reconocer los principios básicos que integran la norma.
3. Entender cuáles variables son indispensables en la implementación de la gestión del
riesgo.
Microbits
Microbit 1: Normas ISO y su relación con la 31000
INFOGRAFÍA
A continuación, encontrarás pasos y componentes de las normas más importantes relacionadas
con riesgos que antecedieron a la ISO 31000. (N313_M1_Infografia)
CONCLUSIONES
El riesgo es un concepto que ha sido abordado por diferentes normativas en distintos lugares y
momentos, y lo importante con su análisis e identificación es que permite estandarizar los
esfuerzos para su mitigación. Lo ideal es ir consolidando prácticas para su manejo que sean
pertinentes y de aceptación general bajo estándares establecidos.
Algunas normas vistas en este Microbit son:
-La norma NIST 800-30: es la guía de gestión del riesgo para los sistemas de tecnología de la
información.
-La norma AS/NZS 4360: es el estándar australiano de administración de riesgos que brinda una
guía genérica para la gestión del riesgo.

Microbit 2: Principios y marco de gestión del riesgo

ISO TR-31004 – Clausula 4


Lectura
A continuación, encontrarás un repaso de los principios y unos datos importantes del marco de
referencia de la norma ISO 31000. Veamos. N313_M2_PDF

Microbit 3: Claves en la implementación