TRADUCCION NO OFICIAL www.consultoresauditores.

com CONAUGES S.A.S

ESTANDAR INTERNACIONAL

ISO 31000

Segunda Edición

02-2018

Gestión del Riesgo – Directrices

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

CONTENIDO

PREFACIO

Introducción

1 Alcance

2 Normas de referencia

3 Términos y definiciones

4 Principios

5 Marco

5.1. Generalidades

5.2. Liderazgo y compromiso

5.3. Integración

5.4. Diseño

5.4.1. Comprendiendo la organización y su contexto

5.4.2. Articulando el compromiso de la gestión de riesgos

5.4.3. Asignación de roles, autoridades, responsabilidades y rendición

de cuentas

5.4.4. Asignación de recursos

5.4.5. Estableciendo la comunicación y consulta

5.5. Implementación

5.6. Evaluación

5.7. Mejora

5.7.1. La adaptación

5.7.2. Mejora continua

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

6 Proceso

6.1. Generalidades

6.2. Comunicación y consulta

6.3. Alcance, contexto y criterios

6.3.1. Generalidades

6.3.2. Definición del alcance

6.3.3. Contexto interno y externo

6.3.4. Definición de los criterios de riesgo

6.4. Valoración del riesgo

6.4.1. Generalidades

6.4.2. Identificación del riesgo

6.4.3. Análisis del riesgo

6.4.4. Evaluación del riesgo

6.5. Tratamiento del riesgo

6.5.1. Generalidades

6.5.2. Selección e implementación de planes de tratamiento del riesgo

6.6. Monitoreo y revisión

6.7. Registros e informes

Bibliografía

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

Prefacio

ISO (la Organización Internacional de Normalización) es una federación mundial de

organismos normativos nacionales (organismos miembros de ISO). El trabajo de

preparación de Normas Internacionales generalmente se lleva a cabo a través de

comités técnicos de ISO. Cada organismo miembro tiene interés en tener el derecho

de estar representado en ese comité. Las organizaciones internacionales,

gubernamentales y no gubernamentales, en colaboración con ISO, también

participan en el trabajo. ISO colabora estrechamente con la Comisión Electrotécnica

Internacional (IEC) en todos los asuntos de normalización electrotécnica.

Directivas ISO / IEC, Parte 1. En particular, se deben tener en cuenta los diferentes

requisitos de aprobación para los diferentes tipos de documentos ISO. Este

documento fue redactado de acuerdo con las Directivas ISO / IEC, Parte 2 (ver

www.iso.org/directivas ).

Se llama la atención sobre la posibilidad de que algunos de los elementos de este

documento puedan ser objeto de derechos de patente. ISO no se responsabilizará

por la identificación de ninguno o todos los derechos de patente. Los detalles de

cualquiera de las patentes mencionadas se encontrarán en el documento (ver

www.iso.org/patentes ).

Cualquier nombre comercial utilizado en este documento es información

proporcionada para comodidad de los usuarios y no constituye un endoso.

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

Para una explicación sobre la naturaleza voluntaria de las normas, el significado de

ISO y su relación con el mundo del comercio. siguiente URL:

www.iso.org/iso/foreword .html

Este documento fue preparado por el Comité Técnico ISO / TC 262, Gestión de

Riesgos.

Esta segunda edición cancela y reemplaza la primera edición (ISO 31000: 2009)

que ha sido revisada técnicamente.

Los principales cambios en comparación con la edición anterior son los siguientes:

- revisión de los principios de gestión de riesgos, que son los criterios clave para su

éxito;

- destacar el liderazgo de la alta dirección y la integración de la gestión de riesgos,

comenzando con la gobernanza de la organización;

- un mayor énfasis en la naturaleza iterativa de la gestión del riesgo, señalando que

las nuevas experiencias, el conocimiento y el análisis pueden llevar a una revisión

de procesos, acciones y controles en cada etapa del proceso;

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

- racionalización del contenido con un mayor enfoque en mantener un modelo de

sistemas abiertos para adaptarse a múltiples necesidades y contextos.

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

Introducción

Este documento está destinado a personas que crean y protegen el valor en las

organizaciones mediante la gestión de riesgos, la toma de decisiones y el logro de

objetivos y la mejora del rendimiento.

Organizaciones de todos los tipos y tamaños con factores internos y externos e

influencias que hacen incierto si van a alcanzar sus objetivos.

La gestión del riesgo es iterativa y ayuda a las organizaciones a establecer

estrategias, alcanzar objetivos y tomar decisiones informadas.

La gestión del riesgo es parte de la gobernanza y el liderazgo, y es fundamental

para la organización en todos los niveles. Contribuye a la mejora de los sistemas de

gestión.

La gestión del riesgo es parte de todas las actividades asociadas a una organización

e incluye la interacción con los interesados.

La gestión del riesgo considera el contexto externo e interno de la organización,

incluidos el comportamiento humano y los factores culturales.

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

La gestión del riesgo se basa en los principios, el marco y el proceso descritos en

este documento, como se ilustra en la Figura 1. Es posible que estos componentes

ya existan dentro de la organización, sin embargo, es posible que deban adaptarse

o mejorados de manera eficiente, efectiva y consistente.

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

Gestión de riesgos – Directrices

1 Alcance

Este documento proporciona directrices sobre el manejo del riesgo al que se

enfrentan las organizaciones. La aplicación de estas directrices se puede

personalizar a cualquier organización y su contexto.

Este documento proporciona un enfoque común para administrar cualquier tipo de

riesgo.

Este documento puede ser utilizado a lo largo de la vida de la organización y puede

ser aplicado a cualquier actividad, incluyendo la toma de decisiones en todos los

niveles.

2 Normas de referencia

No hay referencias normativas en este documento.

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

3 Términos y definiciones

A los fines de este documento, se aplican los siguientes términos y definiciones.

ISO e IEC mantienen bases de datos terminológicas para su uso en la

estandarización en las siguientes direcciones:

- Plataforma de navegación en línea ISO: disponible en http://www.iso.org/obp

- IEC Electropedia: disponible en http: // www.electropedia.org

3.1.
Riesgo
efecto de la incertidumbre sobre los objetivos.

Nota 1. Un efecto es una desviación respecto de lo esperado. Puede ser positivo,

negativo o ambos, y puede tratar, crear o dar lugar a oportunidades y amenazas.

Nota 2. Los objetivos pueden tener diversos aspectos y categorías, y pueden ser

aplicados en diversos niveles.

Nota 3. El riesgo se expresa generalmente en términos de fuentes de riesgo,

acontecimientos potenciales, sus consecuencias y su probabilidad.

3.2.
Gestión de riesgos
actividades coordinadas para dirigir y controlan la organización con respecto al

riesgo.

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

3.3.
Parte interesada
persona u organización que pueda afectar, verse afectada o percibirse afectada por

una decisión o actividad.

3.4.
Fuente del riesgo
elemento que solo o en combinación tiene el potencial de dar lugar a riesgo

3.5.
Evento
ocurrencia o cambio de un conjunto particular de circunstancias.

Nota 1. Un evento puede tener una o más ocurrencias, y puede tener varias causas

y consecuencias.

Nota 2. Un evento también puede ser algo que se espera que no suceda, o algo que

no se espera que suceda.

Nota 3. Un evento puede ser una fuente de riesgo.

3.6.
Consecuencia
resultado de un evento que afecta a los objetivos.

Nota 1. Una consecuencia puede ser cierta o incierta y puede tener efectos directos

e indirectos, positivos o negativos sobre objetivos.

Nota 2. Las consecuencias se pueden expresar cualitativa o cuantitativamente.

Nota 3. Cualquier consecuencia puede aumentar a través de efectos acumulativos.

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

3.7
Probabilidad
posibilidad de que algo suceda.

Nota 1. En la terminología de gestión del riesgo, se utiliza para referirse a la

posibilidad de que algo suceda, ya sea definido, medido o determinado de manera

objetiva o subjetiva, cualitativa o cuantitativamente, y utilizando términos generales

o específicos (como probabilidad o frecuencia en un período de tiempo

determinado).

3.8
Control
medida que mantiene y/o modifica el riesgo.
Nota 1. Los controles incluyen, pero no limitan, cualquier proceso, política,

dispositivo, práctica u otras condiciones y/o acciones que mantengan y/o modifiquen

el riesgo.

Nota 2. Los controles pueden no siempre ejercer el efecto de modificación previsto

o asumido.

4. Principios

El propósito de la gestión de riesgos es la creación y protección del valor. Mejora el

rendimiento, fomenta la innovación y apoya el logro de objetivos.

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

Los principios esbozados en la Figura 2 brindan orientación sobre las

características de una gestión de riesgos efectiva y eficiente, comunicando su valor

y explicando su intención y propósito. Los principios son la base para gestionar el

riesgo y deben considerarse al establecer el marco y los procesos de gestión de

riesgos de la organización. Estos principios deberían permitir a una organización

gestionar los efectos de la incertidumbre en sus objetivos.

a) Integrado

La gestión de riesgos es una parte integral de todas las actividades

organizacionales

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

b) Estructurado y global

Un enfoque estructurado y global de la gestión de riesgos contribuye a

resultados coherentes

c) A la medida

El marco y el proceso de gestión de riesgos son personalizados y

proporcionales al contexto externo e interno de la organización en relación

con sus objetivos.

d) Incluyente

La participación adecuada y oportuna de las partes interesadas permite que

se tengan en cuenta sus conocimientos, puntos de vista y percepciones. Esto

se traduce en una mejor conciencia y una gestión de riesgos informada.

e) Dinámico

Los riesgos pueden surgir, cambiar o desaparecer a medida que cambia el

contexto externo e interno de una organización. La gestión de riesgos
anticipa, detecta, reconoce y responde a esos cambios y eventos de manera
apropiada y oportuna.

f) La mejor información disponible

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

Las aportaciones a la gestión de riesgos se basan en información histórica y

actual, así como en las expectativas futuras. La gestión de riesgos tiene en
cuenta explícitamente las limitaciones e incertidumbres asociadas con dicha
información y expectativas. La información debe ser oportuna, clara y estar
disponible para las partes interesadas relevantes.

g) Factores humanos y culturales

El comportamiento humano y la cultura influyen significativamente en todos
los aspectos de la gestión del riesgo en cada nivel y etapa.

h) Mejora continua
La gestión del riesgo se mejora continuamente a través del aprendizaje y la
experiencia.

5. Marco de trabajo

5.1 Generalidades

El objetivo del marco de trabajo de la gestión de riesgos es ayudar a la organización

a integrar la gestión del riesgo en las actividades y funciones significativas. La

efectividad de la gestión de riesgos dependerá de su integración en la gobernanza

de la organización, incluyendo la toma de decisiones. Esto requiere el apoyo de las

partes interesadas, particularmente la alta dirección.

El desarrollo del marco abarca la integración, el diseño, la implementación, la

evaluación y la mejora de la gestión de riesgos en toda la organización. La Figura 3

ilustra los componentes de un marco.

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

La organización debería evaluar sus prácticas y procesos de gestión de riesgos

existentes, evaluar las brechas y abordar esas brechas dentro del marco.

Los componentes del marco y la forma en que trabajan juntos deben ser adaptados

a las necesidades de la organización.

5.2. Liderazgo y compromiso

Los órganos superiores de gestión y supervisión, cuando proceda, deberían

garantizar que la gestión del riesgo se integre en todas las actividades de la

organización y demuestren liderazgo y compromiso mediante:

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

- Personalizar e implementar todos los componentes del marco de trabajo.

- Elaborar una declaración o política que establezca un enfoque de gestión de

riesgos, plan o curso de acción

- Asegurar que se asignen recursos necesarios a la gestión del riesgo

- Asignar autoridad, responsabilidad y rendición de cuentas en los niveles

apropiados dentro de la organización.

Esto ayudará a la organización a:

- Alinear la gestión de riesgos con sus objetivos, estrategia y cultura

- Reconocer y abordar todas las obligaciones, así como sus compromisos

voluntarios

- Establecer la cuantía y el tipo de riesgo para orientar el desarrollo de los

criterios de riesgo, asegurándose de que se comuniquen a la organización y

a sus partes interesadas.

- Comunicar el valor de la gestión de riesgos a la organización y a sus partes

interesadas

- Promover la vigilancia sistemática de los riesgos

- Garantizar que el marco de gestión de riesgos siga siendo adecuado para el

contexto de la organización.

La alta dirección es responsable de la gestión del riesgo, mientras que los órganos

de supervisión son responsables de supervisar la gestión de riesgos. A menudo se

espera o requiere que los órganos de supervisión:

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

- Aseguren que los riesgos sean considerados adecuadamente cuando se

establezcan los objetivos de la organización

- Comprendan los riesgos a los que se enfrenta la organización en pos de sus

objetivos

- Garanticen que los sistemas de gestión de dichos riesgos se implementen y

operen eficazmente

- Aseguren que dichos riesgos sean apropiados en el contexto de los objetivos

de la organización

- Aseguren que la información sobre dichos riesgos y su gestión se comunique

adecuadamente.

5.3. Integración

La integración de la gestión de riesgos depende de la comprensión de las

estructuras organizacionales y del contexto. Las estructuras difieren según el

propósito, las metas y la complejidad de la organización. El riesgo se gestiona en

cada parte de la estructura de la organización. Todos en una organización tienen la

responsabilidad de manejar el riesgo.

La gobernanza guía el curso de la organización, las relaciones externas e internas,

las reglas, los procesos y las prácticas necesarias para lograr su propósito. Las

estructuras de gestión traducen la dirección de gobernanza en la estrategia y los

objetivos asociados requeridos para alcanzar los niveles deseados de rendimiento

sostenible y viabilidad a largo plazo. La determinación de la responsabilidad de

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

gestión de riesgos y los roles de supervisión dentro de una organización son partes

integrales de la gobernanza de la organización.

Integrar la gestión de riesgos en una organización es un proceso dinámico e

iterativo, y debe ser personalizado a las necesidades y cultura de la organización.

La gestión de riesgos debe formar parte de la finalidad organizativa, la gobernanza,

el liderazgo y el compromiso, la estrategia, los objetivos y las operaciones y no

separarlos de ellos.

5.4. Diseño

5.4.1 Comprender la organización y su contexto

Al diseñar el marco de trabajo para la gestión del riesgo, la organización debería

examinar y entender su contexto externo e interno.

Examinar el contexto externo de la organización puede incluir, pero no se limita a:

- Factores sociales, culturales, políticos, jurídicos, reglamentarios, financieros

tecnológicos, económicos y medioambientales, ya sean internacionales,

nacionales, regionales o locales;

- Principales impulsores y tendencias que afectan a los objetivos de la

organización;

- relaciones externas, percepciones, valores, necesidades y expectativas de

los interesados;

- relaciones contractuales y compromisos;

- complejidad de las redes y las dependencias.

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

Examinar el contexto interno de la organización puede incluir, pero no se limita a:

- Visión, misión y valores;

- Gobernanza, estructura organizativa, roles y responsabilidades;

- Estrategia, objetivos y políticas;

- Cultura de la organización;

- Normas, directrices y modelos adoptados por la organización;

- Capacidades, entendidas en términos de recursos y conocimientos (por

ejemplo, capital, tiempo, personas, propiedad intelectual, procesos, sistemas

y tecnologías);

- Datos, sistemas de información y flujos de información;

- Relaciones las partes interesadas internas, teniendo en cuenta sus

percepciones y valores;

- Relaciones contractuales y compromisos;

- Interdependencias e interconexiones.

5.4.2 Articulando el compromiso de gestión de riesgos

Los órganos superiores de gestión y supervisión deberán demostrar y articular su

compromiso continuo con la gestión de riesgos a través de una política, una

declaración u otras formas que transmitan claramente los objetivos de una

organización y el compromiso con la gestión de riesgos. El compromiso debe incluir,

pero no se limita a:

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

- La finalidad de la organización de gestionar el riesgo y los vínculos con sus

objetivos y otras políticas;

- reforzar la necesidad de integrar la gestión del riesgo en la cultura general de

la organización;

- liderar la integración de la gestión de riesgos en las principales actividades

empresariales y la toma de decisiones; autoridades, responsabilidades y

responsabilidades;

- Hacer disponibles los recursos necesarios;

- La forma en que se tratan los objetivos conflictivos;

- Medición y presentación de informes dentro de los indicadores de

desempeño de la organización;

- Revisión y mejora.

El compromiso de la gestión de riesgos debe comunicarse dentro de una

organización y a las partes interesadas, según corresponda.

5.4.3 Asignación de roles organizacionales, autoridades, responsabilidades y

responsabilidades

Los órganos superiores de gestión y de supervisión, en su caso, deberán velar por

que las autoridades, responsables y responsabilidades de las funciones pertinentes

con respecto a la gestión de riesgos sean asignadas y comunicadas a todos los

niveles de la organización, y deberían:

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

- Enfatizar que la gestión del riesgo sea un núcleo de responsabilidad;

- Identificar a las personas que tienen la responsabilidad y la autoridad para

manejar el riesgo (propietarios de riesgos).

5.4.4 Asignación de recursos

Los órganos superiores de gestión y supervisión, donde es aplicable, deberían

garantizar la asignación de los recursos apropiados para la gestión de riesgos, que

pueden incluir, pero no se limitan a:

- Personas, habilidades, experiencia y competencia;

- Los procesos, métodos y herramientas de la organización que se utilizarán

para gestionar el riesgo;

- Procesos y procedimientos documentados;

- sistemas de gestión de la información y del conocimiento;

- desarrollo profesional y necesidades de formación;

La organización debería considerar las capacidades y limitaciones de los recursos

existentes;

5.4.5 Establecer comunicación y consulta

La organización debería establecer un enfoque aprobado de comunicación y

consulta para apoyar el marco de trabajo y facilitar la aplicación efectiva de la

gestión del riesgo. La comunicación implica compartir información con audiencias

específicas. La consulta también involucra a los participantes que proveen

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

retroalimentación con la expectativa de que contribuirá y formará decisiones u otras

actividades. Los métodos y contenidos de comunicación y consulta deben reflejar

las expectativas de las partes interesadas, cuando sea relevante.

La comunicación y la consulta deben ser oportunas y garantizar que la información

relevante se recopile, coteje, sintetice y comparta, según corresponda, y que se

proporcionen comentarios y se realicen mejoras.

5.5. Implementación

La organización debería implementar el marco de gestión de riesgos de la siguiente

manera:

- Desarrollar un plan apropiado que incluya tiempo y recursos;

- Identificar dónde, cuándo y cómo se toman diferentes tipos de decisiones en

toda la organización, y por qué;

- Modificar los procesos de toma de decisiones aplicables cuando sea

necesario;

- Garantizar que las disposiciones de la organización para la gestión del riesgo

se entienden y se practican claramente.

La implementación eficaz del marco de trabajo requiere el compromiso y la

concienciación de los interesados. Esto permite a las organizaciones abordar

explícitamente la incertidumbre en la toma de decisiones, al tiempo que garantiza

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

que cualquier incertidumbre nueva o posterior pueda tenerse en cuenta a medida

que surja.

Adecuadamente diseñado e implementado, el marco de gestión de riesgos

asegurará que el proceso de gestión de riesgos sea parte de todas las actividades

en toda la organización, incluyendo la toma de decisiones, y que los cambios en el

contexto externo e interno serán adecuados.

5.6. Evaluación

Para evaluar la efectividad del marco de gestión de riesgos, la organización debería:

- Medir periódicamente el desempeño del marco de gestión de riesgos contra

su propósito, planes de implementación, indicadores y comportamientos

previstos;

- Determinar si sigue siendo adecuado para la consecución de los objetivos de

la organización.

5.7. Mejora

5.7.1 Adaptación

La organización debería supervisar y adaptar continuamente el marco de gestión de

riesgos para abordar los cambios externos e internos. Al hacerlo, la organización

puede mejorar su valor.

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

5.7.2 Mejora continua

La organización debería mejorar continuamente la idoneidad, la adecuación y la

efectividad del marco de gestión de riesgos y la forma en que se integra el proceso

de gestión del riesgo.

A medida que se identifiquen las brechas u oportunidades de mejora pertinentes, la

organización debería desarrollar planes y tareas y asignarlos a los responsables de

su aplicación. Una vez implementadas, estas mejoras deben contribuir a la mejora

de la gestión de riesgos.

6 Proceso

El proceso de gestión de riesgos implica la aplicación sistemática de políticas,

procedimientos y prácticas a las actividades de comunicación y consulta, establecer

el contexto y evaluar, tratar, controlar, revisar, registrar y reportar los riesgos. Este

proceso se ilustra en la Figura 4.

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

El proceso de gestión de riesgos debe ser una parte integral de la gestión y la toma

de decisiones e integrarse en la estructura, las operaciones y los procesos de la

organización. Puede ser aplicado en los niveles estratégicos, operacionales, del

programa o del proyecto.

Puede haber muchas aplicaciones del proceso de gestión de riesgos dentro de una

organización, personalizada para lograr objetivos y para adaptarse al contexto

externo e interno en el que se aplican.

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

La naturaleza dinámica y variable de comportamiento y cultura humana debe ser

considerada a lo largo del proceso de gestión de riesgos.

Aunque el proceso de gestión del riesgo se presenta a menudo como secuencial,

en la práctica es iterativo.

6.2. Comunicación y consulta

El objetivo de la comunicación y la consulta es ayudar a las partes interesadas

relevantes a comprender el riesgo, la base sobre la cual se toman las decisiones y

las razones por las cuales se requieren acciones particulares. La comunicación

busca promover la conciencia y la comprensión del riesgo, mientras que la consulta

implica obtener retroalimentación e información para apoyar la toma de decisiones.

La estrecha coordinación entre los dos debe facilitar el intercambio de información

fáctico, oportuno, relevante, preciso y comprensible, teniendo en cuenta la

confidencialidad e integridad de la información, así como los derechos de privacidad

de las personas.

La comunicación y consulta con las partes interesadas externas e internas

apropiadas deberían tener lugar dentro y a lo largo del proceso de gestión de

riesgos.

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

La comunicación y la consulta pretenden:

- Reunir diferentes áreas de especialización para cada paso del proceso de

gestión de riesgos;

- Asegurarse que se tengan en cuenta las diferentes opiniones al definir los

criterios de riesgo y al evaluar los riesgos;

- Proporcionar información suficiente para facilitar la supervisión de riesgos y

la toma de decisiones;

- Construir un sentido de inclusión y propiedad entre los afectados por el riesgo

6.3 Alcance, Contexto y criterios

6.3.1 Generalidades

El propósito de establecer el alcance, el contexto y los criterios es personalizar el

proceso de gestión de riesgos, permitiendo una evaluación efectiva del riesgo y un

tratamiento de riesgo adecuado. El alcance, el contexto y los criterios implican

definir el alcance del proceso y comprender el contexto interno.

6.3.2 Definición del alcance

La organización debería definir el alcance de sus actividades de gestión de riesgos.

Dado que el proceso de gestión del riesgo puede aplicarse en diferentes niveles

(por ejemplo, actividades estratégicas, operacionales, de programas, de proyectos

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

u otras), es importante tener claro el alcance que se está examinando, los objetivos

pertinentes que deben tenerse en cuenta y su vinculación con objetivos

organizacionales.

Al planear el enfoque, las consideraciones incluyen:

- Objetivos y decisiones que deben adoptarse;

- Los resultados esperados de los pasos que deben adoptarse en el proceso;

- Tiempo, ubicación, inclusiones y exclusiones específicas; herramientas y

técnicas apropiadas de evaluación de riesgos; recursos requeridos,

responsabilidades y registros que se deben mantener; relaciones con otros

proyectos, procesos y actividades.

6.3.3 Contexto externo e interno

El contexto externo e interno es el entorno en el que la organización busca definir y

alcanzar sus objetivos.

El contexto del proceso de gestión del riesgo debe establecerse a partir de la

comprensión del entorno externo e interno en el que opera la organización y debe

reflejar el entorno específico de la actividad a la que se aplicará el proceso de

gestión de riesgos.

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

Entender el contexto es importante porque:

- La gestión de riesgos se lleva a cabo en el contexto de los objetivos y

actividades de la organización;

- Los factores organizacionales pueden ser una fuente de riesgo;

- El objetivo y el alcance del proceso de gestión pueden estar interrelacionados

con los objetivos de la organización en su conjunto;

La organización debería establecer el contexto externo e interno del proceso de

gestión del riesgo considerando los factores mencionados en 5.4.1

6.3.4 Definir criterios de riesgo

La organización debería especificar la cantidad y el tipo de riesgo que puede o no

tomar, en relación con los objetivos. También debería definir criterios para evaluar

la importancia del riesgo y apoyar los procesos de toma de decisiones. Los criterios

de riesgo deben alinearse con el marco de gestión de riesgos y personalizarse

según el propósito específico y el alcance de la actividad que se está examinando.

Los criterios de riesgo deben reflejar los valores, objetivos y recursos de la

organización y ser coherentes con las políticas y las declaraciones sobre la gestión

del riesgo. Los criterios deben definirse teniendo en cuenta las obligaciones de la

organización y las opiniones de los interesados.

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

Si bien los criterios de riesgo deben establecerse al comienzo del proceso de

evaluación del riesgo, son dinámicos y deben revisarse y modificarse

continuamente, si es necesario.

Para establecer los criterios de riesgo, debería tenerse en cuenta lo siguiente:

- La naturaleza y el tipo de incertidumbres que pueden afectar a los resultados

y objetivos (tangibles e intangibles);

- Cómo se definirán y medirán las consecuencias (positivas y negativas) y las

probabilidades;

- Factores relacionados con el tiempo;

- Consistencia en el uso de mediciones;

- Cómo se va a determinar el nivel de riesgo;

- Cómo se tendrán en cuenta las combinaciones y secuencias de múltiples

riesgos;

- La capacidad de la organización.

6.4 Valoración del riesgo

6.4.1 Generalidades

La valoración de riesgos es el proceso general de identificación de riesgos, análisis

de riesgos y evaluación de riesgos.

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

La valoración del riesgo debe llevarse a cabo de forma sistemática, iterativa y

colaborativa, basándose en los conocimientos y las opiniones de los interesados.

Debe utilizar la mejor información disponible, complementada con la consulta

adicional según sea necesario.

6.4.2 Identificación de riesgos

El propósito de la identificación de riesgos es encontrar, reconocer y describir los

riesgos que podrían ayudar o impedir que una organización logre sus objetivos. La

información pertinente, apropiada y actualizada es importante para identificar los

riesgos.

La organización puede utilizar una serie de técnicas para identificar las

incertidumbres que pueden afectar a uno o más objetivos. Deben tenerse en cuenta

los siguientes factores y la relación entre estos factores:

- Fuentes de riesgo tangibles e intangibles;

- Causas y eventos;

- Amenazas y oportunidades;

- Vulnerabilidades y capacidades;

- Cambios en el contexto externo e interno;

- Indicadores de riesgos emergentes;

- La naturaleza y el valor de los activos y recursos;

- consecuencias y su impacto en los objetivos;

- limitaciones de conocimiento y fiabilidad de la información;

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

- factores relacionados con el tiempo;

- Prejuicios, suposiciones y creencias de los involucrados.

La organización debería identificar los riesgos, independientemente de que sus

fuentes estén bajo su control. Debe tenerse en cuenta que puede haber más de un

tipo de resultado, lo que puede dar lugar a una variedad de consecuencias tangibles

o intangibles.

6.4.3 Análisis de riesgos

El objetivo del análisis de riesgos es comprender la naturaleza del riesgo y sus

características, incluyendo, en su caso, el nivel. de riesgo. El análisis de riesgos

implica un examen detallado de las incertidumbres, las fuentes de riesgo, las

consecuencias, las probabilidades, los acontecimientos, los escenarios, los

controles y su efectividad. Un evento puede tener múltiples causas y consecuencias

y puede afectar a múltiples objetivos.

El análisis de riesgos se puede realizar con diferentes grados de detalle y

complejidad, dependiendo del propósito del análisis, la disponibilidad y confiabilidad

de la información, y los recursos disponibles. Las técnicas de análisis pueden ser

cualitativas, cuantitativas o combinadas, según las circunstancias y el uso previsto.

El análisis de riesgos debe considerar factores tales como:

- La probabilidad de eventos y consecuencias;

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

- La naturaleza y magnitud de las consecuencias;

- Complejidad y conectividad;

- Factores y volatilidad relacionados con el tiempo;

- La efectividad de los controles existentes;

- Sensibilidad y niveles de confianza.

El análisis de riesgos puede estar influenciado por cualquier divergencia de

opiniones, sesgos, percepciones de riesgo y juicios. Las influencias adicionales son

la calidad de la información utilizada, las suposiciones y exclusiones hechas,

cualquier limitación de las técnicas y cómo se ejecutan. Estas influencias deben ser

consideradas, documentadas y comunicadas a los encargados de tomar decisiones.

Los eventos altamente inciertos pueden ser difíciles de cuantificar. Esto puede ser

un problema al analizar eventos con consecuencias graves. En tales casos, el uso

de una combinación de técnicas generalmente proporciona una mayor penetración.

El análisis de riesgos proporciona una contribución a la evaluación del riesgo, a las

decisiones sobre si es necesario tratar el riesgo y cómo, y sobre la estrategia y los

métodos de tratamiento de riesgo más apropiados. Los resultados proporcionan una

visión de las decisiones, donde se están realizando elecciones, y las opciones

implican diferentes tipos y niveles de riesgo.

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

6.4.4 Evaluación del riesgo

El propósito de la evaluación del riesgo es apoyar las decisiones. La evaluación del

riesgo implica comparar los resultados del análisis de riesgo con los criterios de

riesgo establecidos para determinar dónde se requiere una acción adicional. Esto

puede llevar a decisiones como:

- No hacer nada más;

- Considere las opciones de tratamiento de riesgo;

- Realizar análisis adicionales para comprender mejor el riesgo;

- Mantener los controles existentes;

- Reconsiderar los objetivos.

Las decisiones deben tener en cuenta el contexto más amplio y las consecuencias

reales y percibidas para la externa) y las partes interesadas del internado.

El resultado de la evaluación del riesgo debe ser registrado, comunicado y validado

en los niveles apropiados de la organización.

6.5. Tratamiento del riesgo

6.5.1 Generalidades

El propósito del tratamiento del riesgo es seleccionar e implementar opciones para

abordar el riesgo. El tratamiento del riesgo implica un proceso iterativo de:

- Formular y seleccionar opciones de tratamiento de riesgo;

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

- Planificar e implementar el tratamiento del riesgo;

- Evaluar la efectividad de dicho tratamiento;

- Decidir si el riesgo restante es aceptable;

- Si no es aceptable, tomar más tratamiento;

6.5.2 Selección de opciones de tratamiento de riesgo

La selección de las opciones de tratamiento de riesgo más apropiadas implica

equilibrar los beneficios potenciales derivados en relación con el logro de los

objetivos frente a los costos, el esfuerzo o las desventajas de la aplicación.

Las opciones de tratamiento de riesgo no son necesariamente excluyentes o

apropiadas en todas las circunstancias. Las opciones para tratar el riesgo pueden

implicar uno o más de los siguientes:

- Evitar el riesgo al decidir no iniciar o continuar con la actividad que da lugar

al riesgo;

- Tomar o aumentar el riesgo con el fin de perseguir una oportunidad;

- Eliminación de la fuente de riesgo;

- Cambiar la probabilidad;

- Cambiar las consecuencias;

- Compartiendo el riesgo (por ejemplo, a través de contratos, seguros).;

- Reteniendo el riesgo por decisión informada.

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

La justificación del tratamiento del riesgo es más amplia que las consideraciones

económicas y debe tener en cuenta todas las obligaciones de la organización, los

compromisos voluntarios y las opiniones de los interesados. La selección de las

opciones de tratamiento de riesgo debe hacerse de acuerdo con los objetivos de la

organización, los criterios de riesgo y los recursos disponibles.

Al seleccionar opciones de tratamiento de riesgo, la organización debería considerar

los valores, percepciones y participación potencial de las partes interesadas y las

formas más apropiadas de comunicarse y consultar con ellos. Aunque igualmente

efectivos, los tratamientos de riesgo Sorne pueden ser más aceptables para los

Sorne interesados que para otros.

Los tratamientos de riesgo, incluso si están cuidadosamente diseñados e

implementados podrían no producir los resultados esperados y podrían producir

consecuencias no intencionadas. El seguimiento y la revisión deben ser parte

integrante del tratamiento de riesgo que aplicación para garantizar que las diferentes

formas de tratamiento se vuelvan y sigan siendo eficaces.

El tratamiento del riesgo también puede introducir nuevos riesgos que necesitan ser

administrados.

Si no hay opciones de tratamiento disponibles o si las opciones de tratamiento no

modifican suficientemente el riesgo, el riesgo debe registrarse y mantenerse bajo

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

revisión en curso.

Los encargados de tomar decisiones y otras partes interesadas deberían ser

conscientes de la naturaleza y el alcance del riesgo restante después del

tratamiento del riesgo. El riesgo restante debe documentarse y someterse a

seguimiento, revisión y, en su caso, tratamiento adicional.

6.5.3 Preparación e implementación de planes de tratamiento de riesgos

El propósito de los planes de tratamiento de riesgos es especificar cómo se

implementarán las opciones elegidas de tratamiento, de manera que las mejoras

sean entendidos por los involucrados, y el progreso del plan pueda ser monitoreado.

El plan de tratamiento debe identificar claramente el orden en que debe aplicarse el

tratamiento del riesgo.

Los planes de tratamiento deben integrarse en los planes y procesos de gestión de

la organización, en consulta con las partes interesadas apropiadas.

La información proporcionada en el plan de tratamiento debe incluir:

- Justificación para la selección de las opciones de tratamiento, incluidos los

beneficios esperados que se deben obtener;

- Responsables de aprobar y aplicar el plan;

- Acciones propuestas;

- Recursos necesarios, incluidas las contingencias;

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

- Medidas de actuación;

- Limitaciones;

- Informes y la supervisión requeridos;

- Cuando se espera que las acciones se emprendan y se completen.

6.6. Monitoreo y revisión

El propósito del monitoreo y revisión es asegurar y mejorar la calidad y efectividad

del diseño, implementación y resultados de los procesos. El monitoreo continuo y la

revisión periódica del proceso de gestión de riesgos y sus resultados debe ser una

parte planificada del proceso de gestión de riesgos, con responsabilidades

claramente definidas.

El seguimiento y la revisión deben realizarse en todas las etapas del proceso. El

monitoreo y revisión incluye la planificación, recopilación y análisis de información,

registro de resultados y retroalimentación.

Los resultados de la supervisión y la revisión deben incorporarse a lo largo de las

actividades de gestión, medición y presentación de informes de la organización.

6.7 Registros e informes

El proceso de gestión de riesgos y sus resultados deben documentarse y reportarse

mediante mecanismos apropiados. Los informes y registros pretenden:

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

- Comunicar las actividades y los resultados de la gestión de riesgos en toda

la organización;

- Proporcionar información para la toma de decisiones;

- Mejorar las actividades de gestión de riesgos;

- Ayudar a la interacción con las partes interesadas, incluyendo aquellas con

responsabilidad y rendición de cuentas por las actividades de gestión de

riesgos.

Las decisiones relativas a la creación, retención y manejo de la información

documentada deben tener en cuenta, pero no limitarse a su uso, la sensibilidad del

contexto externo e interno.

La presentación de informes es una parte integral de la gobernanza de la

organización y debería mejorar la calidad del diálogo con los interesados y apoyar

a los órganos de alta dirección y supervisión en el cumplimiento de sus

responsabilidades. Los factores a considerar para la presentación de informes

incluyen, pero no se limitan a:

- Diferentes partes interesadas y sus necesidades y requisitos de información

específicos;

- Costo, frecuencia y puntualidad de la presentación de informes;

- Método de presentación de informes;

- Relevancia de la información para los objetivos organizacionales y la toma

de decisiones.

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/
 TRADUCCION NO OFICIAL www.consultoresauditores.com CONAUGES S.A.S

Bibliografía

ISO/IEC 31010, gestión de riesgos-técnicas de valoración del riesgo.

Ing. Miller Alexis Romero Cárdenas / Master en Gestión de Riesgos

https://www.linkedin.com/in/ingmillerromero/