Presentación

“Universidad Dominicana O&M”

Nombre y apellido Matricula
Joerlin Alexander Dionicio Abad……………………….19-MIST-1-061
Wilson David Volquez Peguero………………………….19-SISM-1-082
Melfry Alberto De La Rosa Peña……………………….19-MISM-1-047

Asignatura
Gestión del riesgo
Sección
1103
Tema
Las 6 grandes cláusulas de ISO-31000
Maestro
José Rafael Rojas Beriguete
Las 6 grandes cláusulas de ISO-31000

La ISO 31000 es la norma internacional que sirve como guidebook para the design,
implementación y mantenimiento de la gestión de riesgos. Todos the kinds y tamaños
de organizaciones, acogiendo las cláusulas de ISO 31000, logran afrontar factores e
influencias internas y externas que hacen incierto su camino hacia el logro de goals.
El riesgo está involucrado en cualquier activity de an organization y las cláusulas de
ISO 31000 permiten crear un proceso lógico, mediante el cual, las organizaciones
administran el riesgo al analizarlas y evaluarlas.

1- Cláusula 1: objetivo y campo de aplicación

Objetivo:
El objetivo principal de ISO 31000 es ayudar a la organización a integrar la gestión de
riesgos en sus actividades y funciones significativas, por lo que su efectividad
dependerá de su integración en las actividades de la gobernanza de la organización
(incluyendo la toma de decisiones); para ello se requiere principalmente el apoyo de la
alta dirección, así como de sus integrantes, socios, inversionistas y otras partes
interesadas.
Los riesgos que afectan a las organizaciones pueden tener consecuencias sobre el
rendimiento económico y la reputación profesional, así como resultados ambientales, de
seguridad y sociales.
El objetivo de la norma ISO 31000 es que empresas de distintos tamaños y tipos puedan
administrar los riesgos que puedan ocurrir de forma efectiva, por ese motivo se aconseja
que realicen una implantación y unas mejoras continuas de sistemas de trabajo con el fin
último de integrar un proceso de gestión de riesgos independientemente en cada
actividad.
Para complementar a la norma ISO 31000 se ha creado la norma ISO 31010 “Gestión
del riesgo. Técnicas de evaluación de riesgos”. Esta norma recoge un conjunto de
técnicas que permiten identificar y evaluar los riesgos positivos y los riesgos negativos.

Cuál es el campo de aplicación de la norma ISO 31000

La ISO 31000 es la normativa de benchmark internacional en el ámbito de la Gestión de
Riesgos. Su última actualización es de 2018 y gracias a ella las organizaciones pueden
implementar el pensamiento basado en riesgo en sus sistemas de gestión. En la práctica,
esto permite reducir pérdidas por contingencias inesperadas o evitar problemas de
reputación por incumplimiento de leyes, por ejemplo. En este artículo vamos a
centrarnos en el campo de aplicación de la ISO 31000.
El estándar de la Organización Internacional de Normalización (ISO, según sus siglas
en inglés), está estructurado en seis capítulos. Conocer su estructura y filosofía ayudará
a aplicar posteriormente sus consideraciones técnicas y herramientas para la toma de
decisiones. En este sentido, tras el apartado introductorio, el texto de la norma describe
su objeto y campo de aplicación.

Ámbito de aplicación de la ISO 31000

La norma ISO 31000:2018 está diseñada para poderse aplicar en cualquier tipo de
organización, sea cual sea su sector y tamaño. Así se especifica en su capítulo 1. En
concreto, este apartado recuerda que la norma “proporciona directrices para gestionar el
riesgo al que se enfrentan las organizaciones” y que la aplicación de sus directrices
“puede adaptarse a cualquier organización y a su contexto”.
De igual forma, la versión en español de la ISO 31000 aclara que el enfoque para
gestionar riesgos que aporta es un enfoque común. Por ello, indica “no es específico de
una industria o un sector”.
Por otro lado, este primer capítulo de la norma de benchmark en Risk Management
también realiza una aclaración respecto a su aplicación. Y es que señala, sus directrices
pueden utilizarse “a lo largo de la vida de la organización”, a aplicarse a todo tipo de
actividad dentro de la misma “incluyendo la toma de decisiones a todos los niveles”.

Consideraciones a tener en cuenta

Aunque el texto de la norma es bastante claro, cabe tener en cuenta algunos aspectos
que en ocasiones genera confusión en los profesionales de la gestión del riesgo. Así, por
ejemplo, debe quedar claro que la norma no se refiere a un sistema de gestión concreto.
Más bien, lo que indica es cómo incluir el pensamiento basado en riesgo en cualquier
proceso de gestión.
Por tanto, al no ser un sistema de gestión en sí, como sí lo son la ISO 9001 o la ISO
27001, se trata de una norma no certificable. Por otro lado, aunque sea una norma
integral no quiere decir que su aplicación deba ser obligatoriamente integral. Es decir,
no tiene por qué aplicarse al completo en todos los procesos de una compañía. Puede
implementarse, por ejemplo, ante determinadas circunstancias o contextos donde se
requiera tener muy en cuenta el riesgo. Un caso claro puede ser la pandemia del
COVID-19, que llevará a las empresas a considerar el riesgo en muchos de sus
procesos.

2- Cláusula 2: Referencias normativas

La ISO 31000 es una norma internacional que ofrece las directrices y principios para
gestionar el riesgo de las organizaciones. Esta norma provee de una serie de técnicas
para la identificación y evaluación de riesgos, tanto positivos como negativos.
La norma ISO 31000 proporciona directrices sobre la gestión del riesgo a la que se
enfrentan las empresas. Las aplicaciones de diferentes pautas pueden personalizarse
para cualquier organización y su contexto. La norma ISO 31000 proporciona un
enfoque común para la gestión de cualquier tipo de riesgo y no es industria o sector
específico. Se puede utilizar durante toda la vida de la empresa y se puede aplicar a
cualquier actividad, se incluye la toma de decisiones en todos los niveles.
La gestión del riesgo es interactiva y ayuda a las empresas a establecer estrategias,
conseguir metas y tomar decisiones en base a información. La gestión del riesgo es
parte de la gobernanza y el liderazgo, además es fundamental para la empresa en todos
los niveles. Se contribuye a la mejora de los sistemas de gestión. La gestión del riesgo
es parte de todas las actividades que se encuentran asociadas a una empresa e incluye la
Interacción con las partes interesadas. La gestión del riesgo considera el contexto
externo e interno de la empresa, se incluye el comportamiento de las personas y los
diferentes factores culturales.

3- Cláusula 3: Términos y definiciones

Para comprender la norma ISO 31000 se establecen una serie de términos y
definiciones:
Riesgo: es el efecto que genera la incertidumbre en los objetivos. Los objetos pueden
tener un efecto si no los desviamos de lo esperado. Puede ser positivo, negativo o ambos
y puede abordar, crear o dar lugar a oportunidades y amenazas. Los objetivos pueden
tener distintos aspectos y categorías, y se pueden aplicar a distintos niveles. El riesgo se
suele expresar en términos de fuentes de riesgo, eventos potenciales, sus consecuencias
y su probabilidad.
Gestión de riesgos: es las actividades coordinadas para dirigir y controlar una empresa
con respecto al riesgo.
Parte interesada: es la persona que puede afectar, versea afectada o percibir que se ve
afectada por una decisión o actividad. El término parte interesada se puede utilizar con
una alternativa.
Fuente de riesgo: es el elemento que, por si solo o en combinación, tiene el potencial
de generar riesgo.
Evento: ocurre o cambia de un conjunto particular de circunstancias. Un evento puede
tener una o más ocurrencias, y puede tener varias causas y varias consecuencias. Un
evento también puede ser algo que no se espera que suceda. Un evento puede ser una
fuente de riesgo.
Consecuencia: es el resultado de un evento que afecta a los objetivos. Una
consecuencia puede ser cierta o incierta y puede tener un efecto positivo o negativo,
directo o indirecto sobre los objetivos. Las consecuencias se pueden expresar de forma
cualitativa o cuantitativamente. Cualquier consecuencia puede escalar mediante efectos
en cascada y acumulativos.
Probabilidad: es la posibilidad de que algo suceda. En la terminología de gestión de
riesgos, la palabra verisimilitud se utiliza para referirse a la posibilidad de algo que
sucede, ya sea definido, medido o determinado de forma objetiva o subjetivamente, o
cualitativa o cuantitativamente, y se describe utilizando términos generales o
matemáticamente. El término en inglés no tiene un equivalente directo en algunos
idiomas, en cambio, el equivalente del término probabilidad se utiliza a menuda. Sin
embargo, en inglés, probabilidad a menudo se interpreta de forma limitada como un
término matemático. Por lo tanto, en la terminología de gestión de riesgos, la
probabilidad se utiliza con la intención de que debe tener la misma interpretación
amplia que tiene el término probabilidad en muchos idiomas además del inglés.
Controlar: es medir para mantener y modificar el riesgo. Los controles incluyen, entre
otros, cualquier proceso, política, dispositivo, práctica u otras condiciones, además de
las acciones que mantienen o modifican el riesgo. Los controles pueden no siempre
ejercer el efecto de modificación previsto o supuesto.

4- Cláusula 4: Principios de Gestión de Riesgos

Los principios a los que hace referencia esta cláusula son requeridos para que la
organización obtenga una gestión de riesgos efectiva. Estos implican que la gestión de
riesgos:
• Crea y protege el valor.
• Es una parte integral de todos los procesos organizacionales.
• Es parte de la toma de decisiones.
• Aborda la incertidumbre de forma explícita.
• Es sistemática, estructurada y oportuna.
• Se basa en la mejor información disponible.
• Tiene en cuenta los factores humanos y culturales.
• Es transparente e inclusiva.
 • Es dinámica, iterativa y sensible al cambio.
• Promueve la mejora continua de la organización y sus sistemas de gestión.

5- Cláusula 5: Marco
ISO 31000 establece que el éxito de la gestión de riesgos depende de la eficacia del
marco de gestión. Esto es porque el marco proporciona las bases y los ajustes que
permiten incorporar dicha gestión en todas las áreas y todos los niveles de la
organización. Principalmente esto lo hace con las siguientes acciones:
• Asiste en la gestión efectiva de riesgos.
• Garantiza que la información sobre los riesgos, derivada del proceso de gestión
de riesgos, sea informada de forma adecuada.
• Garantiza que esta información sea utilizada como base para la toma de
decisiones y la asignación de responsabilidades, en todos los niveles
organizacionales relevantes.
Esta cláusula describe los componentes del marco necesarios para la gestión del riesgo y
la forma en que se interrelacionan de manera iterativa.

Liderazgo y compromiso
La Alta Dirección de la organización necesita demostrar un compromiso sólido y
sostenido con la gestión de riesgos. Por ello, se han de definir una política y unos
objetivos, asegurando el cumplimiento de las normativas gubernamentales, y
comunicando los beneficios de la gestión de riesgos a todas las partes interesadas.
Diseño del marco para la gestión de riesgos
Antes de la implementación, la organización debe diseñar un marco adecuado para la
gestión de riesgos. Esto incluye:
• La comprensión de la organización y su contexto.
• El establecimiento de la política de gestión de riesgos.
• Asegurar la responsabilidad, la autoridad y la competencia apropiada para la
gestión de riesgos.
• La integración de la gestión de riesgos en los procesos organizacionales.
• La asignación de los recursos apropiados.
• El establecimiento de mecanismos internos y externos de comunicación y
reporte.
Implementación de la gestión de riesgos
La organización debe establecer el marco e implementar los procesos necesarios para la
gestión de riesgos. Se trata de un punto esencial para que la gestión de riesgos se
materialice.

Monitoreo y revisión del marco

Este proceso es requerido para asegurar la efectividad de la gestión de riesgos. Para
llevarla a cabo, la organización debe medir el rendimiento del sistema, el progreso y
revisar si el marco, la política y El plan siguen siendo apropiados para garantizar la
efectividad de la gestión.

Mejora continua
Basados en los resultados del monitoreo y revisión, se deben tomar decisiones sobre el
marco de gestión, la política y El plan, tendientes a obtener la mejora continua.

Evaluación de riesgos
Es el proceso general de identificación de riesgos. La organización debe identificar las
fuentes de riesgo, las áreas de impacto, los eventos catastróficos, sus causas y sus
posibles consecuencias, así se debe llevar a cabo:
Análisis de riesgos: implica la identificación y comprensión del riesgo, considerando
sus causas y su fuente, así como sus efectos positivos y negativos, la probabilidad de
ocurrencia, sus consecuencias y las estrategias de tratamiento más adecuadas (eliminar,
aceptar, compartir, mitigar…).
Evaluación de riesgos: tiene por objeto ayudar en la toma de decisiones sobre los
riesgos que requieren tratamiento y prioridad en la implementación de ese tratamiento.

Tratamiento de riesgos
Las opciones de tratamiento de riesgos deben seleccionarse en función del resultado de
la evaluación de riesgos y el coste esperado para implementar esas opciones.

Monitoreo y revisión de la gestión de riesgos

El monitoreo y la revisión pueden ser periódicos o de acuerdo con los cambios que
presenten los factores internos y externos. Debe constituir una labor planificada dentro
del proceso general de gestión de riegos.
Registro del proceso de gestión de riesgos
La gestión de riesgos debe ser rastreable. Esto significa que se debe registrar, y que
estos registros tienen que proporcionar la base para la mejora en los métodos y las
herramientas utilizadas, así como en el sistema en general.

6- Cláusula 6: Proceso
Las cláusulas de ISO 31000 establecen que el éxito de la gestión de riesgos depende de
la eficacia del proceso. El proceso de gestión de riesgos debe ser:
• Parte integral de la gestión.
• Estar incrustado en la cultura y las prácticas de la organización.
• Estar adaptado a los procesos de negocios de la organización.
El proceso de gestión de riesgos comprende las siguientes actividades:
• Comunicación y consulta: con partes interesadas internas y externas, durante
todas las etapas de la gestión de riesgos.
• Establecer el contexto: la organización articula sus objetivos, define los
parámetros externos e internos necesarios para llevar a cabo la gestión de
riesgos, y establece el alcance y los criterios de riesgo para el resto del proceso.