UNIVERSIDAD NACIONAL DE SAN AGUSTIN

MAESTRÍA EN CIENCIAS: INGENIERÍA DE PROYECTOS

SISTEMAS INTEGRADOS DE GESTIÓN

Gestión de Riesgos

Docente: Mg. Jorge Rendulich Talavera

1
 Identificar elementos de relación entre la
gestión de la calidad y la gestión del
riesgo.
 Generar las bases para que la
organización proponga su enfoque de
gestión de riesgos en la Organización.

2
 Definiciones de Riesgo

RIESGO. Del it. risico o rischio, y este del ár.

clás. rizq, lo que depara la providencia).1. m.
Contingencia o proximidad de un daño.

(Diccionario de la Real Academia Española)

RIESGO: Posibilidad de que obtengamos un

resultado distinto al que pretendíamos conseguir
con nuestra acción.

(Innovación Financiera “Aplicaciones para la Gestión Empresarial”)

3
El riesgo ha sido tradicionalmente definido
en función de la probabilidad y la
consecuencia que puede potencialmente
generar la ocurrencia de un evento que
tienen la capacidad de producir una pérdida
la cual debería ser registrada de manera
explicita.

E = Evento (con potencial de generar una pérdida)

4
El riesgo ha sido tradicionalmente definido
en función de la probabilidad y la
consecuencia que puede potencialmente
generar la ocurrencia de un evento que
tienen la capacidad de producir una pérdida
la cual debería ser registrada de manera
explicita.

E = Evento (con potencial de generar una pérdida)

5
Posibilidad de que suceda
algún evento que tendrá un
impacto sobre los objetivos
organizacionales o del
proceso

6
Posibilidad de que suceda
algún evento que tendrá un
impacto sobre los objetivos
organizacionales o del
proceso

7
 Causas
Riesgos
Efectos

Factor de riesgo Control

8
Evaluación de riesgo: Proceso de comparación de los resultados del
análisis del riesgo con los criterios del riesgo para determinar si el riesgo,
su magnitud o ambos son aceptables o tolerables.
Análisis de riesgo: Proceso para comprender la naturaleza del riesgo y
determinar el nivel de riesgo
Riesgo: Se define como la combinación de la probabilidad de que se
produzca un evento y sus consecuencias negativas. Los factores que lo
componen son la amenaza y la vulnerabilidad.
Consecuencia: Resultado de un evento que afecta a los objetivos.
Nivel de Riesgo: Magnitud de un riesgo o de una combinación de riesgos,
expresada en términos de la combinación de las consecuencias y su
probabilidad
Riesgo residual: Nivel de riesgo que permanece luego de tomar medidas
de tratamiento de riesgo

9
Probabilidad: Grado en el cual es probable que ocurra un evento, que se
debe medir a través de la relación entre los hechos ocurridos realmente y
la cantidad de eventos que puedan suceder realmente.
Evento: Incidente o situación, que ocurre en un lugar determinado o en un
momento determinado. Este puede ser cierto o incierto y su ocurrencia
puede ser única o parte de una serie.
Pérdida: Consecuencia negativa que trae consigo un evento
Frecuencia: Medida del coeficiente de ocurrencia de un evento expresado
como la cantidad de veces que ha ocurrido un evento en un tiempo dado.
Criterio: Términos de referencia frente a los cuales se evalúa la
importancia de un riesgo
Tratamiento: Proceso para modificar el riesgo

10
Apetito de Riesgo: “Cantidad y tipo de riesgo que una organización está
dispuesta a aceptar o retener”
Riesgo Inherente: Es el riesgo al que esta expuesto una organización en
la ausencia de cualquier acción que la gerencia (management) pudiera
tomar para alterar la probabilidad de ocurrencia o la consecuencia de
dicho riesgo.
Tolerancia de Riesgo: “Riesgo que una organización o grupos de interés
está preparado a manejar después que el riesgo ha sido tratado, con el fin
de conseguir sus objetivos”
Riesgo Residual: “Riesgo remanente después que el riesgo ha sido
tratado”
Tratamiento de Riesgo: “Proceso para modificar el riesgo”
Control: “Medida que esta modificando el riesgo”
Gestión de Riesgos: “Actividades coordinadas para direccionar y controlar
una organización en relación al riesgo”

11
Hoy en día, el desarrollo e implementación de diferentes
modelos estratégicos en las organizaciones, genera que los
planes estratégicos que se derivan de los mismos estén
expuestos a eventos que tienen el potencial de impactar los
diferentes componentes que conforman dichos modelos, sean
estos componentes tangibles o no (personas, tecnología,
procesos internos, clientes, financieros, etc.)

Riesgo
“Efecto de la incertidumbre en los objetivos”

13
14
15
16
17
“Un proceso efectuado por la junta directiva, la gerencia y el
resto del personal, aplicado en forma de estrategias y a lo
largo de toda la organización, diseñado para identificar
potenciales eventos que puedan afectar la organización y
manejar los riesgos dentro de su apetito de riesgo y proveer
seguridad razonable en relación al logro de los objetivos de
la organización.”
(COSO-ERM Framework)

18
Objetivo: “Hacer del riesgo parte de la mentalidad y de la
responsabilidad de cada empleado de la organización”

James Lam
Enterprise Risk Management
From Incentives to Controls

Dueño del Riesgo (Risk Owner): “Persona o entidad que

tiene la responsabilidad y la autoridad para administrar
riesgos
(ISO GUIDE 73:2009, Risk Management - Vocabulary)

19
1. Comunicación y Consulta
2. Establecimiento del Contexto
3. Evaluación de riesgos (risk assessment)
Identificación de Riesgos
Análisis de Riesgos
Calificación de Riesgos (risk evaluation)
1. Tratamiento de Riesgos
2. Monitoreo y Revisión
3. Registro del Proceso de Administración de Riesgos
.”
ISO 31000: 2009

20
Numeral 0.1. Generalidades.
La adopción de un sistema de gestión de la calidad
debería ser una decisión estratégica de la organización.
El diseño y la implementación del sistema de gestión de
la calidad de una organización están influenciados por:
Diagnóstico del Plan de Desarrollo, Matriz DOFA

a) el entorno de la organización, los cambios en ese

entorno y los riesgos asociados con ese entorno.

Identificación de riesgos

21
Numeral 8.5.3. Acciones Preventivas.
La organización debe determinar acciones para
eliminar las causas de no conformidades
potenciales para prevenir su ocurrencia. Las
acciones preventivas deben ser apropiadas a los
efectos de los problemas potenciales.

22
Desaparece el concepto acción preventiva 8.5.3.
y es remplazado por
6.1. Acciones para tratar riesgos y oportunidades
Esta Norma internacional hace más explícito el
pensamiento basado en riesgo y lo incorpora en
los requisitos para establecer, implementar,
mantener y mejorar continuamente el sistema de
gestión de calidad.
Las organizaciones pueden implementar un
programa formal de gestión de riesgos, tal como
31000, pero no existe la obligación de hacerlo.
23
El pensamiento basado en riesgo es algo que
hacemos automáticamente y a menudo de
manera inconsciente
El concepto de riesgo siempre ha estado
implícito en la ISO 9001, pero ahora ya hace
parte del enfoque basado en procesos
El pensamiento basado en riesgo hace que las
acciones preventivas sean rutinarias
A menudo se piensa en riesgo solo en su
sentido negativo. El pensamiento basado en
riesgo también puede ayudar a identificar
oportunidades. Esto se puede considerar como
el lado positivo del riesgo 24
 Conclusión

ISO 9004:2009
ISO 31000: 2009
ISO Guía para la
9001:2018 Administración del
Riesgo – DAFP
ISO 9001:2015

Enfoque implícito de Enfoque explícito de

riesgos riesgos

2000
1987 2015
25
 Definiciones de Riesgo

1.3.15 Riesgo. Posibilidad de que suceda algo

que tendrá impacto en los objetivos. Se mide en
términos de consecuencias y posibilidad de
ocurrencia.

(NTC 5254:2004. Gestión del Riesgo – AS/NZS 4360:1999 Estándar

Australiano. Administración de Riesgos)

26
 Elementos del Riesgo

R = f(A, v)
donde:
A = Amenaza: Cuándo puede ocurrir
(frecuencia) y que tan grande es el daño
causado (severidad)
V= Vulnerabilidad: Qué tan preparado estoy
para enfrentarlo (capacidad de detección,
controles).)

27
 Partes Interesadas
(STAKEHOLDERS)

Personas y organizaciones que pueden afectar,

verse afectadas, o percibirse ellas mismas como
afectadas por una decisión o actividad.

28
 Partes Interesadas
(STAKEHOLDERS)

Reguladores
Publico

USUARIOS
Empleados Instituciones
contratistas ORGANIZACIÓN Financieras

PROVEEDORES
Agencias de
Accionistas seguros
Grupos de presión
ambiental
29
 Riesgos en los Sistemas de Gestión

 ISO 9001: Clientes. Riesgo de incumplimiento en las

características de calidad del producto o servicio.

 ISO 14001: Medio Ambiente. Riesgo de impacto

ambiental negativo.

 OHSAS 18001: Empleados. Riesgo ocupacional.

 ISO 22000 (HACCP). Puntos críticos de control.

Riesgo de contaminación de alimentos.

 ISO 27001 Seguridad de la información. Riesgo de

pérdida o consulta no autorizada de la información. 30
Minimizar riesgos y mejorar el desempeño

Definir y analizar las necesidades y riesgos de las

partes involucradas, pertinentes para su negocio.

Enfrente los riesgos usando las herramientas

disponibles.

31
 Identificación de Riesgos

¿Qué puede suceder?

Se requiere la participación de los
¿Cómo y por qué puede suceder? empleados de la entidad en la
identificación de los riesgos

Herramientas y técnicas:
•Lluvia de ideas
•Causa -efecto
•Listas de chequeo
Desviación frente al resultado
•Juicio de expertos (Método Delphi)
o evento esperado
•Diagramas de flujo
•Análisis de escenarios (variables claves, actores, eventos portadores
de futuro, interrelaciones entre variables, diferentes escenarios)
•Inspección –observación
•Entrevista
•AMEF Modo de falla, causa y efecto (procesos / servicios / productos)
•Análisis de información (financiera, siniestralidad, documentos
contractuales, 32
 Identificación de Riesgos

Riesgo: Representa la capacidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de
las funciones y afectar el logro de los objetivos.
Causas: (Factores internos o externos) son los medios, las circunstancias y agentes generadores de riesgo.
Los agentes generadores que se entienden como todos los sujetos u objetos que tienen la capacidad de
originar un riesgo, se pueden clasificar en seis categorias: personas, materiales e insumos, comites,
instalaciones, metodos y entorno.
Descripcion: Se refiere a las caracteristicas generales o las formas en que se observa o manifiesta el riesgo
identificado.
Efectos: (Consecuencias) Constituye las consecuencias de la ocurrencia del riesgo sobre los objetivos de la
entidad, generalmente se dan sobre las personas o los bienes materiales o inmateriales con incidencias
importantes como daños fisicos y fallecimiento, sanciones, perdidas economicas, de informacion, de bienes,
33
de imagen, de credibilidad y de confianza, interrupcion del servicio y daño ambiental.
Análisis de Riesgos

34
 Análisis de Riesgos

1) Calificándolos, utilizando métodos cualitativos,

semi-cuantitativos y cuantitativos, para:

Determinar los controles existentes.

Determinar la probabilidad.
Determinar la severidad de las consecuencias.
Determinar el nivel de riesgo.

No necesariamente todo se tiene que cuantificar, se

debe evaluar frente al costo / beneficio

35
 Probabilidad de Ocurrencia

Basada en datos:
1= muy bajo ( Menor de 1 en 1000)
2= bajo (3 en 1000)
3= medio (5 en 1000)
4= alto (7 en 1000)
5= muy alto (Mayor de 9 en 1000)
Tomado de Juran et Gryna. Análisis y Planeación de Calidad.

36
 Probabilidad de Ocurrencia

Basada en grados de creencia:

•Raro
•Poco probable
•Moderado
•Probable
•Casi cierto

Increíble
Improbable
Remoto
Ocasional
Probable
Frecuente
Tomado de la GTC 137.. 37
Probabilidad de Ocurrencia

38
Probabilidad de Ocurrencia

39
 Evaluación del Riesgo

Establecer a nivel estratégico los mayores riesgos a los

cuales está expuesta la entidad, permitiendo emprender
acciones inmediatas de respuesta ante ellos a través de la
aplicación de políticas y de medidas tendientes a la reducción
o la eliminación del riesgo, su transferencia, la aceptación de
los efectos causados por su ocurrencia, o buscar la forma de
compartir el riesgo con un tercero.

40
Evaluación del Riesgo

41
Mapa de Riesgos

42
 Gestión del Riesgo

Identificar, evaluar y seleccionar las opciones de tratamiento:

• Afrontar el riesgo (Eliminarlo).
• Reducir la posibilidad de ocurrencia. Minimizar (evitar las
causas).
• Mitigar las consecuencias (Minimizar).
• Transferir el riesgo mediante pólizas (Compartirlo).
• Retener el riesgo (Aceptar).

Preparar e implementar planes de tratamiento

43
 Comunicación y Consulta

Desarrollar un plan de comunicación para las partes

interesadas internas y externas, acerca del riesgo y de su
gestión.

Debería ser un proceso de consulta y consenso.

44
 Monitoreo y Revisión

Eficacia de las medidas de control.

Cambios en el contexto.
Pertinencia de los controles.
Conveniencia del tratamiento.
Costo del tratamiento.

45