Gestión de Riesgos ISO 31000:2018 para La UC SDO: Curso

Curso
Gestión de riesgos ISO 31000:2018

para la UC SDO
Relator: Ing. Mauro Rojas Pizarro

Unidad de Calidad SDO MOP 1
En caso de incendio:
 Conserve la calma
 Ubique la fuente del incendio e informe
 Obedezca las indicaciones del Profesor
 Si puede ayude, sino retírese
 Localice la vía de evacuación y siga al Profesor
 Si el humo es denso arrástrese por el suelo
En caso de sismo:
 Conserve la calma
 Retírese de ventanas y objetos que puedan caer
 No use escaleras hasta después de terminado el Respuesta
sismo
 Ubíquese en zonas seguras ante
 Localice la vía de evacuación y siga al Profesor
emergencias
Unidad de gestión de Calidad -

División de Gestión y Difusión 1
Presentaciones
• Horarios  Nombre y apellido,

• Intermedios  Profesión,
Logística  Actividad laboral,
• Servicios
 Experiencia en el
• Celulares tema, y
 Expectativas.
Proporcionar a los participantes los conocimientos

y las herramientas necesarias para la
implementación, análisis y manejo de la gestión de
riesgos y de las oportunidades de acuerdo a los
requisitos establecidos en las bases de gestión de
calidad de las obras del MOP.
Objetivos

1. Introducción a los conceptos básicos de riesgos
1. Compresión del pensamiento basado en el riesgo
2. Principios de la gestión de riesgos
3. Vocabulario básico
2. La norma ISO31000:2018 Alcance y análisis
1. Estructura de la norma ISO31000
2. Aplicación de la norma según ISO9001 (Marco de referencia)
3. Proceso de análisis de riesgo: Comunicación y consulta, contexto y criterios, Evaluación,
tratamiento, seguimiento y revisión del riesgo
3. El requisito de acciones para abordar riesgos y oportunidades en
las normas de sistemas de gestión
1. ISO 9001:2015 – 6.1
2. ISO/IEC 17025:2017 – 8.5
4. Herramientas básicas de evaluación según IEC 31010
Contenidos 1. Tipos de evaluación
2. Matriz de probabilidad/consecuencia
5. Ejemplo de aplicación de la Matriz de probabilidad/consecuencia
TEMA 1
Introducción a los conceptos
básicos de riesgos
1. Compresión del pensamiento basado en el riesgo
2. Principios de la gestión de riesgos
3. Vocabulario básico
Relator: Mauro Rojas Pizarro


Las organizaciones de todos los tipos y tamaños se enfrentan a
factores e influencias externas e internas que hacen incierto si
lograrán sus objetivos.
La gestión del riesgo es iterativa y asiste a las organizaciones a
establecer su estrategia, lograr sus objetivos y tomar decisiones
informadas.
La gestión del riesgo es parte de la gobernanza y el liderazgo y es
fundamental en la manera en que se gestiona la organización en
todos sus niveles. Esto contribuye a la mejora del sistema de
gestión.
La gestión del riesgo es parte de todas las actividades asociadas con
la organización e incluye la interacción con las partes interesadas.
Introducción La gestión del riesgo considera los contextos externo e interno de la
organización, incluido el comportamiento humano y los factores
culturales.
Propósito
 Explicar el concepto de pensamiento basado en el riesgo de ISO 9001:2015
con un ejemplo
 Explicar en términos simples, cada componente del pensamiento basado en
el riesgo

El pensamiento basado en el riesgo
• El futuro es incierto
• ¡Quien no se moja, no atraviesa el río!
• El Oráculo
• Las Cábalas
¿En la vida cómo se evitan las consecuencias indeseadas?
Enfermarse, lesionarse, deteriorar las relaciones, perder el

trabajo o los bienes o la honra, lo que tiene Valor.
¿Cómo se generan las Expectativas?

Buena Salud, crecimiento económico, calidad de vida,
éxito.
10

La Incertidumbre en la vida cotidiana se puede

enfrentar de 3 maneras:
maneras:
• Preguntándola al oráculo o practicando cábalas.

• Gestionando los riesgos de manera implícita, evaluando,
analizando y decidiendo intuitivamente.
• Gestionando los Riesgos explícitamente, de manera
documentada, comunicada y respaldada técnicamente.
En las organizaciones se puede hacer lo mismo
11
Las organizaciones de todo tipo y tamaño se enfrentan a

factores internos y externos e influencias que generan
incertidumbre respecto al logro de sus objetivos.
El efecto que esta incertidumbre tiene en los objetivos de las

organizaciones, se denomina: RIESGO
Todas las actividades de una organización involucran algún

grado o nivel de … “RIESGO
RIESGO”.
RIESGO
12

¿Qué trae de nuevo ISO 9001:2015?
El pensamiento basado en riesgos
El pensamiento basado en riesgos es esencial para lograr un sistema de

gestión eficaz.
El concepto de pensamiento basado en riesgos ha estado implícito en

ediciones anteriores de ISO 9001:2015, incluyendo, por ejemplo, llevar a
cabo acciones preventivas para eliminar no conformidades potenciales,
analizar cualquier no conformidad que ocurra, y tomar acciones que
sean apropiadas para los efectos de la no conformidad para prevenir su
recurrencia.
13
13
ISO 9001:2015 y el pensamiento basado en riesgos
Para ser conforme con los requisitos de ISO 9001, una organización
necesita planificar e implementar acciones para abordar los riesgos
y las oportunidades.
Abordar tanto los riesgos como las oportunidades establecen una

base para aumentar la eficacia del sistema de gestión de la
organización, alcanzar mejores resultados y prevenir los efectos
negativos.
14

ISO 9001:2015 y el pensamiento basado en riesgos
Las oportunidades pueden surgir como resultado de una situación

favorable para lograr un resultado previsto, por ejemplo, un conjunto de
circunstancias que permita a la organización atraer clientes, desarrollar
nuevos métodos y servicios, reducir los tiempos de respuesta o mejorar la
gestión. Las acciones para abordar las oportunidades también pueden
incluir la consideración de los riesgos asociados.
El riesgo es el efecto de la incertidumbre y dicha incertidumbre puede
tener efectos positivos o negativos.
Una desviación positiva que surge de un riesgo puede proporcionar una
oportunidad, pero no todos los efectos positivos del riesgo tienen como
resultado oportunidades.
15
¿Qué es pensamiento basado en el riesgo?
El pensamiento basado en el riesgo es algo que todos

hacemos de forma automática y, a menudo
inconscientemente, para obtener el mejor resultado
Ejemplo: Si deseo cruzar una carretera, miro el tráfico antes

de comenzar. No me atravieso frente a un vehículo en
movimiento.
16

El Pensamiento basado en el riesgo ya es parte
del enfoque a procesos
No todos los procesos de un sistema de gestión representan el
mismo nivel de riesgo en cuanto a la capacidad de la
organización para cumplir sus objetivos. Algunos necesitan una
planificación formal y controles más cuidadosos que otros.
Ejemplo: Al cruzar la carretera puedo atravesar directamente

o puedo usar un paso bajo nivel o una pasarela peatonal
cercana. El proceso de selección se determinará teniendo en
cuenta los riesgos.
17

En ISO 9001:2015 los riesgos y oportunidades son a menudo citados
juntos. Oportunidad no es el lado positivo del riesgo.
Ejemplo: Cruzando la carretera directamente me da la oportunidad de
llegar al otro lado rápidamente, pero si tomo esa oportunidad hay un
mayor riesgo de lesiones causadas por vehículos en movimiento.
El riesgo se entiende comúnmente en tener sólo consecuencias negativas;
sin embargo, los efectos del riesgo pueden ser positivos o negativos.
Una oportunidad es un conjunto de circunstancias que hace que sea
posible hacer algo. Tomar o no tomar una oportunidad luego presenta
diferentes niveles de riesgo.
18

El pensamiento basado en el riesgo considera la situación

actual y las posibilidades de cambio.
Ejemplo: El análisis de esta situación muestra oportunidades

de mejora:
• un paso bajo nivel lleva directamente debajo de la carretera
• semáforos peatonales, pasarelas o
• el desvío de la carretera para que la zona no tenga ningún tráfico
19
ISO 9001:2015, el pensamiento basado en el riesgo se encuentra en:

• Introducción – se explica el concepto de pensamiento basado en el riesgo
• Cláusula 4 – Se requiere que la organización determine los procesos necesarios del SGC y hacer frente a sus
riesgos y oportunidades.
• Cláusula 5 – alta dirección es requiere que:
• Promover el conocimiento del pensamiento basado en el riesgo
• Determinar y abordar los riesgos y oportunidades que pueden afectar la conformidad del producto/servicio
• Cláusula 6 – es necesario que la organización identifique los riesgos y oportunidades relacionados con el
desempeño del SGC y tomen las acciones apropiadas para hacerles frente
• Cláusula 7 – es necesario que la organización determine y proporcione los recursos necesarios (riesgo está
implícito cuando se menciona "conveniente" o "apropiado")
• Cláusula 8 – es necesario que la organización gestione sus procesos operacionales (riesgo está implícito cuando
se menciona "conveniente" o "apropiado")
• Cláusula 9 – es necesario que la organización controle, mida, analice y evalué la efectividad de las medidas
adoptadas para enfrentar los riesgos y oportunidades
• Cláusula 10 – es necesario que la organización corrija, prevenga o reduzca los efectos no deseados y mejore el
SGC y actualice los riesgos y oportunidades
20

¿Por qué usar el pensamiento basado en el
riesgo?
Las organizaciones exitosas aplican de manera intuitiva el pensamiento

basado en el riesgo, ya que trae beneficios que:
• mejoran la gobernabilidad
• establecen una cultura proactiva de mejora
• ayudan con el cumplimiento
• aseguran la consistencia de la calidad de los productos y servicios
• mejoran la confianza y satisfacción del cliente
21
¿Cómo lo hago?
Utilizando el pensamiento basado en el riesgo en el diseño y confección del
sistema de gestión y sus procesos.
Identificar cuáles son los riesgos – que dependen del contexto
Ejemplo: Si cruzo una carretera muy transitada con muchos vehículos
veloces los riesgos no son los mismos como si la carretera es rural con muy
pocos vehículos en movimiento.
También es necesario considerar las cuestiones externas tales como el
tiempo, la visibilidad, la hora del día y el estado del pavimento.
También es necesario considerar las cuestiones internas tales como el estado
físico, la respuesta al estrés y los objetivos personales.
22

¿Cómo lo hago?
Comprender los riesgos
¿Lo que es aceptable, lo que es inaceptable? ¿Qué ventajas o desventajas

existen en un proceso sobre otro?
Ejemplo:
Objetivo: Necesito cruzar con seguridad la carretera para llegar a una reunión
en un momento dado.
• Es inaceptable salir herido.
• Es inaceptable llegar tarde.
23
Comprendamos los riesgos

Llegar a la meta más rápidamente debe ser equilibrado contra la probabilidad
de lesiones. Es más importante llegar a la reunión ileso que llegar a la reunión a
tiempo.
Puede ser aceptable para retrasar el llegar al otro lado de la carretera usar una
pasarela, si es que es alta la probabilidad de heridas mediante el cruce de la
carretera directamente.
Analizo la situación. La pasarela está a 400 metros y añadirá tiempo extra a la
travesía. El tiempo es bueno, la visibilidad es buena y puedo ver que en la
carretera no hay muchos vehículos en este momento.
Decido que caminar directamente a través de la carretera lleva a un nivel
aceptable de bajo riesgo de lesiones y me ayudará a llegar a mi reunión a
tiempo.
24

Plan de acción para hacer frente a los riesgos
¿Cómo puedo evitar o eliminar el riesgo?
¿Cómo puedo mitigar los riesgos?
Ejemplo: podría eliminar el riesgo de lesiones causadas por ser golpeado por un
vehículo si yo uso la pasarela, pero ya he decidido que el riesgo de cruzar la
carretera es aceptable.
Ahora planeo cómo reducir la probabilidad o el impacto de la lesión. No puedo
razonablemente esperar controlar el impacto de un vehículo que me golpea.
Pero puedo reducir la probabilidad de ser golpeado por el vehículo:
- Voy a cruzar en un momento cuando no hay vehículos que se mueven cerca de mí y así
reducir la probabilidad de un accidente.
- También planeo cruzar la carretera en un lugar donde hay buena visibilidad
- También voy a cruzar mirando en dirección de donde vienen los vehículos para considerar
acelerar o reducir mi marcha.
25
Plan de acción para hacer frente a los

riesgos
Implementar el plan – tomar acción
Ejemplo: Me muevo al lado de la carretera, compruebo que no existen

barreras para cruzar. Compruebo que no hay vehículos que vienen. Sigo
buscando vehículos mientras voy cruzando la carretera.
Comprobar la eficacia de la acción – funciona?
Ejemplo: Llegar al otro lado de la carretera sin sufrir ningún daño y a tiempo,
este plan funcionó y se han evitado los efectos no deseados.
26

Plan de acción para hacer frente a los riesgos
Aprender de la experiencia – mejorar
Ejemplo: Repito el plan durante varios días, en diferentes momentos y en diferentes
condiciones climáticas.
Esto me da datos para comprender que el cambio de contexto (la hora del día, el
tiempo, la cantidad de vehículos) afecta directamente a la eficacia del plan y
aumenta la probabilidad de que no voy a lograr mis objetivos (llegar a tiempo y
evitar lesiones).
La experiencia me enseña que cruzar la carretera en determinados momentos del
día es muy difícil porque hay demasiados vehículos. Para limitar el riesgo he de
revisar y mejorar mi proceso mediante el uso de una pasarela en esos momentos.
Sigo a analizar la efectividad de los procesos y revisarlas cuando el contexto cambia.
También podría considerar oportunidades innovadoras…
27
Conclusiones
El pensamiento basado en el riesgo:
• No es nuevo
• Es algo que probablemente ya lo hacen
• Está en marcha
• Asegura un mayor conocimiento de los riesgos y mejora la
preparación
• Aumenta la probabilidad de alcanzar objetivos
• Reduce la probabilidad de resultados negativos
• Hace de la prevención un hábito
28

ISO 9001:2015 y el Pensamiento basado
en el riesgo
29
ISO 31000:2018
Principios
El propósito de la gestión del riesgo es la creación y la protección del valor.
Mejora el desempeño, fomenta la innovación y contribuye al logro de objetivos.
Los principios descritos en la Figura siguiente proporcionan orientación sobre las
características de una gestión del riesgo eficaz y eficiente, comunicando su valor y
explicando su intención y propósito. Los principios son el fundamento de la gestión
del riesgo y se deberían considerar cuando se establece el marco de referencia y
los procesos de la gestión del riesgo de la organización. Estos principios deberían
habilitar a la organización para gestionar los efectos de la incertidumbre sobre sus
objetivos.
30

ISO 31000:2018
Principios
31
ISO 31000:2018
Principios
a) Integrada: La gestión del riesgo es parte integral de todas las
actividades de la organización.
La gestión del riesgo no es una actividad independiente separada de las actividades
y proceso principales de la organización. La gestión del riesgo es parte de las
responsabilidades de gestión y una parte integral de todos los procesos de la
organización, incluyendo la planificación estratégica y todos los procesos de la
gestión de proyectos y de cambios.
32

ISO 31000:2018
Principios
b) Estructurada y exhaustiva: Un enfoque estructurado y exhaustivo hacia la gestión
del riesgo contribuye a resultados coherentes y comparables.
Como aplicar el principio
Un enfoque estructurado para gestionar el riesgo en el momento que se toman las decisiones
creará eficiencias en una organización, y puede proporcionar resultados que fomentan la confianza y
el éxito.
Un enfoque exhaustivo significa que el proceso de gestión del riesgo se aplica en el punto óptimo
del proceso de toma de decisiones.
Esto requiere prácticas organizacionales que consideran los riesgos asociados con todas las
decisiones, y el uso de criterios de riesgo coherentes que se relacionan con los objetivos de las
organizaciones y el alcance de sus actividades.
33
ISO 31000:2018
Principios
c) Adaptada: El marco de referencia y el proceso de la gestión del riesgo se adaptan y son
proporcionales a los contextos externo e interno de la organización relacionados con sus
objetivos.
Cómo aplicar el principio
ISO 31000 proporciona un enfoque genérico para la gestión del riesgo que es aplicable a todos los tipos de
organizaciones y todos los tipos de riesgo. Todas las organizaciones tienen su propia cultura y características,
criterios de riesgo y contextos de operación. La gestión del riesgo se debería adaptar para cumplir las
necesidades de cada operación.
No existe una única, correcta forma de diseñar e implementar los procesos y marco de referencia de la
gestión del riesgo, ya que requieren flexibilidad y adaptación en todas las organizaciones. El diseño se puede
determinar mediante muchos aspectos, incluyendo la configuración, sector, cultura y tamaño organizacional
y el estilo de gestión.
34

ISO 31000:2018
Principios
d) Inclusiva: La participación apropiada y oportuna de las partes interesadas permite
que se consideren su conocimiento, puntos de vista y percepciones. Esto resulta en
una mayor toma de conciencia y una gestión del riesgo informada.
Este principio se puede poner en práctica en varios niveles. Esto se puede reflejar en la política de gestión
del riesgo de la organización.
La consulta a las partes interesadas como parte de la aplicación del proceso de gestión del riesgo necesita
una planificación cuidadosa. Aquí es donde la confianza se puede construir o destruir. Para ser eficiente y
fortalecer la confianza en los resultados, las partes interesadas pertinentes se deberían involucrar en
todos los aspectos del proceso de gestión del riesgo, incluyendo el diseño del proceso de comunicación y
consulta.
35
ISO 31000:2018
Principios
e) Dinámica: Los riesgos pueden aparecer, cambiar o desaparecer con los cambios de
los contextos externo e interno de la organización. La gestión del riesgo anticipa,
detecta, reconoce y responde a esos cambios y eventos de una manera apropiada y
oportuna.
Cualquier cambio en los objetivos de la organización, o cualquier aspecto de las circunstancias externas o
internas, inevitablemente cambiarán el riesgo. Del mismo modo, cambios en el contexto organizacional
puede requerir cambios en el marco de referencia. Los procesos de gestión del riesgo se deberían
diseñar para reflejar las dinámicas de la organización.
ISO 31000 contiene dos regímenes de monitoreo y revisión (para el marco de referencia y el proceso).
Cada uno es específico para su propósito, y cada uno requiere reflexión e implementación.
36

ISO 31000:2018
Principios
f) Mejor información disponible: Las entradas a la gestión del riesgo se basan en
información histórica y actualizada, así como en expectativas futuras. La gestión del
riesgo tiene en cuenta explícitamente cualquier limitación e incertidumbre asociada
con tal información y expectativas. La información debería ser oportuna, clara y
disponible para las partes interesadas pertinentes.
Es importante obtener la mejor información disponible a fin de tener una comprensión correcta de los
riesgos. Consecuentemente, las disposiciones de la gestión del riesgo deberían incluir métodos (por
ejemplo, investigación) para compilar o generar información. Sin embargo, a pesar de los esfuerzos, la
información disponible a veces puede ser limitada, por ejemplo, anticipar lo que ocurrirá en el futuro
puede estar limitado al uso de predicciones estadísticas.
37
ISO 31000:2018
Principios
g) Factores humanos y culturales: El comportamiento humano y la cultura influyen
considerablemente en todos los aspectos de la gestión del riesgo en todos los
niveles y etapas.
Este principio implica obtener los puntos de vista de las partes interesadas, y comprender que aquellos
puntos de vista pueden estar influenciadas por características humanas y culturales. Entre los factores
a considerar están los sociales, políticos y culturales. Errores comunes son los siguientes:
a. falla para detectar y responder a las alertas tempranas;
b. indiferencia hacia los puntos de vista de otros o hacia una falta de conocimiento;
c. sesgo debido a estrategias de procesamiento de información simplificadas para tratar asuntos
complejos;
d. fallas para reconocer la complejidad.
38

ISO 31000:2018
Principios
h) Mejora continua: La gestión del riesgo mejora continuamente mediante
aprendizaje y experiencia.
La mejora continua del desempeño organizacional está relacionada con la mejora continua
del desempeño de la gestión del riesgo. Una gestión del riesgo mejorada, en base a la toma
de decisiones basada en el riesgo, puede reducir la incertidumbre en el logro de los
objetivos, minimizar la volatilidad e incrementar la agilidad. Sin embargo, se debería tener
cuidado de no complicar el desempeño de la gestión del riesgo hasta el punto de ahogar la
búsqueda de oportunidades y la flexibilidad de la respuesta.
39
Vocabulario básico
Revisar algunas definiciones de:

 ISO 31073:2022 Gestión del riesgo – Vocabulario
 ISO 31000:2018 Gestión del riesgo – Directrices
 IEC 31010:2019 Gestión del riesgo – Técnicas de evaluación del riesgo
40

ISO 31073:2022 Gestión del riesgo - Vocabulario
3.1 Términos relacionados con el riesgo

3.1.1 riesgo: efecto de la incertidumbre sobre los objetivos
3.1.2 objetivo: resultado que debe alcanzarse
3.1.3 incertidumbre: estado, incluso parcial, de deficiencia de información relacionada
con la comprensión o el conocimiento
3.2 Términos relacionados con la gestión del riesgo

3.2.1 gestión del riesgo: actividades coordinadas para dirigir y controlar la organización
con relación al riesgo
3.2.2 política de gestión del riesgo
3.2.3 plan de gestión del riesgo: esquema dentro del marco de gestión del riesgo que
especifica el enfoque, los componentes de gestión y los recursos que deben
aplicarse a la gestión del riesgo
41

3.3 Términos relacionados con el proceso de gestión del riesgo
1 proceso de gestión del riesgo 16 probabilidad (likelihood) 31 aceptación del riesgo
2 parte interesada 17 exposición 32 tratamiento del riesgo
3 percepción del riesgo 18 consecuencia 33 control del riesgo
4 contexto externo 19 probabilidad 34 prevención del riesgo
5 contexto interno 20 frecuencia 35 riesgo compartido
6 criterios de riesgo 21 vulnerabilidad 36 financiación del riesgo
7 organización 22 nivel del riesgo 37 retención del riesgo
8 evaluación del riesgo 23 oportunidad 38 riesgo residual
9 identificación del riesgo 24 factor de riesgo 39 resiliencia
10 fuente de riesgo 25 evaluación del riesgo 40 seguimiento (monitoreo)
11 evento 26 actitud al riesgo 41 revisión
12 peligro 27 apetito por el riesgo 42 informe del riesgo
13 amenaza 28 tolerancia al riesgo 43 auditoría de gestión del
14 propietario del riesgo 29 aversión al riesgo riesgo
15análisis del riesgo 30 agregación del riesgo
42

3.3.1 proceso de gestión del riesgo: aplicación sistemática de políticas, procedimientos y

prácticas de gestión a las actividades de comunicación, consulta, establecimiento del
contexto e identificación, análisis, evaluación, tratamiento, seguimiento y revisión del
riesgo
3.3.10 fuente de riesgo: elemento que, por sí solo o en combinación, puede dar lugar a un
riesgo
3.3.11 evento:
evento ocurrencia o cambio de un conjunto particular de circunstancias
3.3.12 peligro:
peligro fuente de daño potencial
3.3.16 probabilidad (likelihood
(likelihood)
likelihood): probabilidad de que algo suceda
3.3.19 probabilidad:
probabilidad medida de la probabilidad de ocurrencia expresada como un número
de 0 a 1, donde 0 es imposibilidad y 1 es certeza absoluta
3.3.20 frecuencia:
frecuencia número de eventos o resultados por unidad de tiempo definida
43
3.3.22 nivel del riesgo:

riesgo magnitud de un riesgo o combinación de riesgos, expresada en términos
de la combinación de consecuencias y su probabilidad
3.3.25 evaluación del riesgo:
riesgo proceso de comparación de los resultados del análisis de riesgos con
los criterios de riesgo para determinar si el riesgo es aceptable o tolerable
3.3.32 tratamiento del riesgo:
riesgo proceso para modificar el riesgo
Nota 1: El tratamiento del riesgo puede implicar:
— evitar el riesgo decidiendo no iniciar o continuar con la actividad que da lugar al riesgo;
— asumir o aumentar el riesgo para buscar una oportunidad; — cambiar las consecuencias;
— la eliminación de la fuente de riesgo; — cambiar la probabilidad (likelihood);
— compartir el riesgo con otra parte o partes [incluidos los contratos y la financiación del riesgo]; y
— retener el riesgo mediante una decisión informada.
Nota 2: Los tratamientos del riesgo que se ocupan de las consecuencias negativas a veces se denominan
"mitigación de riesgos", "eliminación de riesgos", "prevención de riesgos" y "reducción de riesgos".
Nota 3: El tratamiento de riesgos puede crear nuevos riesgos o modificar los riesgos existentes.
44

3.3.33 control del riesgo:

riesgo medida que mantiene y/o modifica el riesgo
Nota 1: Los controles de riesgo incluyen, entre otros, cualquier proceso, política, dispositivo,
práctica u otras condiciones y/o acciones que mantengan y/o modifiquen el riesgo.
Nota 2: Los controles de riesgo no siempre ejercen el efecto modificador previsto o
asumido
3.3.35 riesgo compartido:
compartido forma de tratamiento del riesgo que implica la distribución
acordada del riesgo con otras partes
Nota 1: Los requisitos legales o reglamentarios pueden limitar, prohibir u exigir el riesgo
compartido.
Nota 2: El riesgo compartido se puede llevar a cabo a través de un seguro u otras formas de
contrato.
Nota 3: La medida en que se distribuye el riesgo puede depender de la fiabilidad y claridad
de los acuerdos de reparto.
3.3.38 riesgo residual:
residual riesgo restante después del tratamiento del riesgo
Nota 1: El riesgo residual puede contener un riesgo no identificado.
Nota 2: El riesgo residual también puede conocerse como "riesgo retenido".
45
IEC 31010:2019 – Conceptos principales
Incertidumbre: La incertidumbre es un término que abarca muchos conceptos subyacentes.

Se han realizado y se continuarán desarrollando muchos intentos para categorizar los tipos de
incertidumbre, los que incluyen:
₋ incertidumbre que reconoce la variabilidad intrínseca de algunos fenómenos, y que no puede
reducirse con más investigación; por ejemplo, tirar los dados (a veces citada como incertidumbre
aleatoria);
₋ incertidumbre que generalmente resulta de una falta de conocimiento y que por lo tanto se puede
reducir mediante la recopilación de más datos, mediante modelos de perfeccionamiento, mejora de
las técnicas de muestreo, etc. (a veces citada como incertidumbre epistémica).
Otras formas reconocidas de incertidumbre incluyen:
₋ la incertidumbre lingüística, la cual reconoce la vaguedad y ambigüedad inherente en el lenguaje
hablado;
₋ incertidumbre de decisión, que tiene una relevancia particular para las estrategias de gestión del
riesgo, y que identifica la incertidumbre asociada con los sistemas de valores, el juicio profesional,
los valores de la empresa y las normas sociales.
46

IEC 31010:2019 – Conceptos principales
Riesgo: El riesgo incluye los efectos de cualquiera de las formas de incertidumbre

descritas anteriormente sobre los objetivos. La incertidumbre puede conducir a
consecuencias positivas, negativas o ambas.
A menudo el riesgo es descrito en términos de las fuentes de riesgo, los eventos
potenciales, sus consecuencias y sus probabilidades. Un evento puede tener múltiples
causas y consecuencias. Las consecuencias pueden tener un número de valores discretos,
ser variables continuas o ser desconocidas.
Las consecuencias pueden no ser discernibles o medibles de primera, pero pueden
acumularse a lo largo del tiempo.
Las fuentes de riesgo pueden incluir la variabilidad inherente, o las incertidumbres
relacionadas a una gama de factores como la conducta humana y las influencias de las
estructuras organizacionales o sociales, a partir de las cuales puede ser difícil predecir
cualquier evento particular que pudiera producirse. De ello se deduce que el riesgo no
siempre se puede tabular fácilmente como un conjunto de eventos, sus consecuencias y
sus probabilidades. Unidad de Calidad SDO MOP 47
47
Tema 2
La norma ISO 31000:2018 Alcance y análisis
1. Estructura de la norma ISO31000
2. Aplicación a la SDO (Marco de referencia)
3. Proceso de análisis de riesgo: Comunicación y consulta, contexto y
criterios, Evaluación, tratamiento, seguimiento y revisión del riesgo

48

Estructura de ISO 31000:
31000:2018
La gestión del riesgo está basada en los principios, el marco de referencia y el proceso descritos en
ISO 31000:2018, conforme se ilustra en la figura. Estos componentes podrían existir previamente en
toda o parte de la organización, sin embargo, podría
ser necesario adaptarlos o mejorarlos para que la
gestión del riesgo sea eficiente, eficaz y coherente.
49
Unidad de Calidad SDO MOP
49
ISO 31000:2018 - Marco de referencia:

Integración de ISO 31000 en un SG
El propósito del marco de referencia de la gestión
del riesgo es asistir a la organización en integrar
la gestión del riesgo en todas sus actividades y
funciones significativas. La eficacia de la gestión
del riesgo dependerá de su integración en la
gobernanza de la organización, incluyendo
la toma de decisiones. Esto requiere el
apoyo de las partes interesadas,
particularmente de la alta dirección.
El desarrollo del marco de referencia
implica integrar, diseñar, implementar,
valorar y mejorar la gestión del riesgo a lo
largo de toda la organización.
La Figura ilustra los componentes del marco de
referencia.
50

ISO 31000:2018
Proceso
El proceso de la gestión del
riesgo implica la aplicación Alcance, contexto,
COMUNICACIÓN Y CONSULTA
criterios
sistemática de políticas,
SEGUIMIENTO Y REVISIÓN
Evaluación del riesgo
procedimientos y prácticas a
Identificación del
las actividades de riesgo
comunicación y consulta, Análisis del riesgo
establecimiento del contexto Valoración del

riesgo
y evaluación, tratamiento,
seguimiento, revisión, Tratamiento del riesgo
registro e informe del riesgo.
REGISTRO E INFORME
51
ISO 31000:2018
Proceso: Comunicación y consulta
El propósito de la comunicación y consulta es asistir a las partes
interesadas pertinentes a comprender el riesgo, las bases con las que se
toman decisiones y las razones por las que son necesarias acciones
específicas.
La comunicación busca promover la toma de conciencia y la comprensión
del riesgo, mientras que la consulta implica obtener retroalimentación e
información para apoyar la toma de decisiones. Una coordinación cercana
entre ambas debería facilitar un intercambio de información basado en
hechos. oportuno, pertinente, exacto y comprensible, teniendo en cuenta
la confidencialidad e integridad de la información, así como el derecho a
la privacidad de las personas.
52

ISO 31000:2018
Proceso: Alcance, contexto y criterio
El propósito es adaptar el proceso de la gestión del riesgo, para permitir una
evaluación del riesgo eficaz y un tratamiento apropiado del riesgo. El alcance, el
contexto y los criterios implican definir el alcance del proceso, y comprender los
contextos externo e interno.
Definición del alcance
• La organización debería definir el alcance de sus actividades de gestión del
riesgo.
• Como el proceso de la gestión del riesgo puede aplicarse a niveles distintos
(por ejemplo: estratégico, operacional, de programa u otras actividades), es
importante tener claro el alcance considerado, los objetivos pertinentes a
considerar y su alineamiento con los objetivos de la organización.
53
ISO 31000:2018
Proceso : Alcance, contexto y criterio
Contextos externo e interno
Los contextos externo e interno son el entorno en el cual la organización busca definir y
lograr sus objetivos. El contexto del proceso de la gestión del riesgo se debería establecer a
partir de la comprensión de los entornos externo e interno en los cuales opera la
organización y debería reflejar el entorno específico de la actividad en la cual se va a aplicar el
proceso de la gestión del riesgo.
La comprensión del contexto es importante porque:
• la gestión del riesgo tiene lugar en el contexto de los objetivos y las actividades de la
organización;
• los factores organizacionales pueden ser una fuente de riesgo;
• el propósito y alcance del proceso de la gestión del riesgo puede estar interrelacionado con
los objetivos de la organización como un todo.
54

ISO 31000:2018
Proceso : Alcance, contexto y criterio
Definición de criterios de riesgo
Se debería precisar la cantidad y el tipo de riesgo que se puede o no se puede
tomar, con relación a los objetivos. Definir los criterios para valorar la importancia
del riesgo y para apoyar los procesos de toma de decisiones. Los criterios del
riesgo se deberían adaptar al propósito y al alcance de las actividades
consideradas. Deberían reflejar los valores, objetivos y recursos de la
organización y ser coherentes con las políticas y declaraciones. Se deberían
definir teniendo en consideración las obligaciones de la organización y los puntos
de vista de sus partes interesadas.
Aunque se deberían establecer al principio del proceso de la evaluación del
riesgo, éstos son dinámicos, y deberían revisarse continuamente y si fuese
necesario, modificarse.
55
ISO 31000:2018
Proceso : Evaluación del riesgo
La evaluación del riesgo es el proceso global de identificación del riesgo,
análisis del riesgo y valoración del riesgo.
La evaluación del riesgo se debería llevar a cabo de manera sistemática,
iterativa y colaborativa, basándose en el conocimiento y los puntos de vista
de las partes interesadas. Se debería utilizar la mejor información disponible,
complementada por investigación adicional, si fuese necesario.
- Identificación del riesgo
- Análisis del riesgo
- Valoración del riesgo
56

ISO 31000:2018
Identificación del riesgo
El propósito de la identificación del riesgo es encontrar, reconocer y describir los
riesgos que pueden ayudar o impedir al laboratorio lograr sus objetivos. Para la
identificación de los riesgos es importante contar con información pertinente,
apropiada y actualizada. Se pueden utilizar un rango de técnicas para identificar
incertidumbres que pueden afectar a uno o varios objetivos. Se deberían considerar
los factores siguientes y la relación entre estos:
• las fuentes de riesgo tangibles e intangibles; las causas y los eventos;
• las amenazas y las oportunidades; las vulnerabilidades y las capacidades;
• los cambios en los contextos externo e interno; los indicadores de riesgos emergentes;
• la naturaleza y el valor de los activos y los recursos; las consecuencias y sus impactos en los
objetivos; las limitaciones de conocimiento y la confiabilidad de la información;
• los factores relacionados con el tiempo; los sesgos, los supuestos y las creencias de las personas
involucradas.
57
ISO 31000:2018
Análisis del riesgo
El propósito del análisis del riesgo es comprender la naturaleza del riesgo y sus
características incluyendo, cuando sea apropiado, el nivel del riesgo. El análisis
implica una consideración detallada de incertidumbres, fuentes del riesgo,
consecuencias, probabilidades, eventos, escenarios, controles y su eficacia. Un
evento puede tener múltiples causas y consecuencias y puede afectar a
múltiples objetivos.
El análisis del riesgo se puede realizar con diferentes grados de detalle y
complejidad, dependiendo del propósito del análisis, la disponibilidad y la
confiabilidad de la información y los recursos disponibles. Las técnicas de análisis
pueden ser cualitativas, cuantitativas o una combinación, dependiendo de las
circunstancias y del uso previsto.
58

ISO 31000:2018
El análisis del riesgo debería considerar factores tales como:
• la probabilidad de los eventos y de las consecuencias;
• la naturaleza y la magnitud de las consecuencias;
• la complejidad y la interconexión;
• los factores relacionados con el tiempo y la volatilidad;
• la eficacia de los controles existentes;
• los niveles de sensibilidad y de confianza.
El análisis puede estar influenciado por cualquier divergencia de opiniones, sesgos,
percepciones del riesgo y juicios. Las influencias adicionales son la calidad de la
información utilizada, los supuestos y las exclusiones establecidos, cualquier
limitación de las técnicas y cómo se ejecutan éstas. Estas influencias se deberían
considerar, documentar y comunicar a las personas que toman decisiones.
59
ISO 31000:2018
Valoración del riesgo
El propósito de la valoración del riesgo es apoyar a la toma de decisiones. La valoración del riesgo
implica comparar los resultados del análisis del riesgo con los criterios del riesgo establecidos para
determinar cuándo se requiere una acción adicional. Esto puede conducir a una decisión de:
• hacer nada más (no hacer nada más);
• considerar opciones para el tratamiento del riesgo;
• realizar un análisis adicional para comprender mejor el riesgo;
• mantener los controles existentes;
• reconsiderar los objetivos.
Las decisiones deberían tener en cuenta un contexto más amplio y las consecuencias reales y
percibidas por las partes interesadas externas e internas. Los resultados de la valoración del riesgo
se deberían registrar, comunicar y luego validar a los niveles apropiados de la organización.
60

ISO 31000:2018
Proceso : Tratamiento de riesgo
El propósito del tratamiento del riesgo es seleccionar e implementar opciones
para abordar el riesgo.
El tratamiento del riesgo implica un proceso iterativo de:
• formular y seleccionar opciones para el tratamiento del riesgo;
• planificar e implementar el tratamiento del riesgo;
• evaluar la eficacia de ese tratamiento;
• decidir si el riesgo residual es aceptable;
• si no es aceptable, efectuar tratamiento adicional.
61
ISO 31000:2018
Selección de opciones para el tratamiento del riesgo
La selección de las opciones más apropiadas para el tratamiento del riesgo implica
hacer un balance entre los beneficios potenciales, derivados del logro de los
objetivos contra costos, esfuerzo o desventajas de la implementación.
Las opciones de tratamiento del riesgo no necesariamente son mutuamente
excluyentes o apropiadas en todas las circunstancias. Las opciones para tratar el
riesgo pueden implicar una o más de las siguientes:
• evitar el riesgo decidiendo no iniciar o continuar con la actividad que genera el riesgo;
• aceptar o aumentar el riesgo en busca de una oportunidad;
• eliminar la fuente de riesgo;
• modificar la probabilidad;
• modificar las consecuencias;
• compartir el riesgo (por ejemplo: a través de contratos, compra de seguros);
• retener el riesgo con base en una decisión informada.
62

ISO 31000:2018
Preparación e implementación de planes de tratamiento del riesgo
El plan de tratamiento debería identificar claramente el orden en el cual el
tratamiento del riesgo se debería implementar. Los planes de tratamiento
deberían integrarse en los planes y procesos de la gestión de la organización, en
consulta con las partes interesadas apropiadas.
La información proporcionada en el plan del tratamiento debería incluir:
• el fundamento de la selección de las opciones para el tratamiento, incluyendo los beneficios esperados;
• las personas que rinden cuentas y aquellas responsables de la aprobación e implementación del plan;
• las acciones propuestas;
• los recursos necesarios, incluyendo las contingencias;
• las medidas del desempeño; las restricciones;
• los informes y seguimiento requeridos;
• los plazos previstos para la realización y la finalización de las acciones.
63
ISO 31000:2018
Proceso : Monitoreo y revisión
El propósito del seguimiento y la revisión es asegurar y mejorar la calidad y la
eficacia del diseño, la implementación y los resultados del proceso. El
seguimiento continuo y la revisión periódica del proceso de la gestión del riesgo y
sus resultados debería ser una parte planificada del proceso de la gestión del
riesgo, con responsabilidades claramente definidas.
El seguimiento y la revisión deberían tener lugar en todas etapas del proceso. El
seguimiento y la revisión incluyen planificar, recopilar y analizar información,
registrar resultados y proporcionar retroalimentación.
Los resultados del seguimiento y la revisión deberían incorporarse a todas las
actividades de la gestión del desempeño, de medición y de informe de la
organización.
64

ISO 31000:2018
Proceso: Registro e informe
El proceso de la gestión del riesgo y sus resultados se deberían documentar e
informar a través de los mecanismos apropiados. El registro e informe
pretenden:
• comunicar las actividades de la gestión del riesgo y sus resultados a lo largo de la
organización;
• proporcionar información para la toma de decisiones;
• mejorar las actividades de la gestión del riesgo;
• asistir la interacción con las partes interesadas, incluyendo a las personas que tienen la
responsabilidad y la obligación de rendir cuentas de las actividades de la gestión del riesgo.
Las decisiones con respecto a la creación, conservación y tratamiento de la
información documentada deberían tener en cuenta, pero no limitarse a su
uso, la sensibilidad de la información y los contextos externo e interno.
65
TEMA 4
El requisito de acciones para abordar riesgos
y oportunidades en las normas de sistemas
de gestión
• ISO 9001:2015 Cláusula 6.1
• ISO/IEC 17025 Cláusula 8.5

66

ISO 9001:2015 - 6.PLANIFICACIÓN
6.1 ACCIONES PARA ABORDAR RIESGOS Y OPORTUNIDADES
6.1.1 Al planificar el sistema de gestión de la calidad, la organización debe

considerar las cuestiones referidas en el apartado 4.1 y los requisitos referidos
en el apartado 4.2, y determinar los riesgos y oportunidades que es necesario
abordar con el fin de:
a) asegurar que el sistema de gestión de la calidad pueda lograr sus resultados previstos;
b) aumentar los efectos deseables;
c) prevenir o reducir efectos no deseados;
d) lograr la mejora

67
67
ISO 9001:2015 - 6.PLANIFICACIÓN

6.1.2 La organización debe planificar:

a) las acciones para abordar estos riesgos y oportunidades
b) la manera de:
1. integrar e implementar las acciones en sus procesos del sistema de gestión de
la calidad (véase 4.4.);
2. evaluar la eficacia de estas acciones.
c) Las acciones tomadas para abordar los riesgos y oportunidades
deben ser proporcionales al impacto potencial en la conformidad de
los productos y los servicios.

68
68

ISO/IEC 17025:2017 – 8 Requisitos del SG
8.5.1 El laboratorio debe considerar los riesgos y las oportunidades

asociados con las actividades del laboratorio para:
a) asegurar que el sistema de gestión logre sus resultados previstos;
b) mejorar las oportunidades de lograr el propósito y los objetivos del
laboratorio;
c) prevenir o reducir los impactos indeseados y los incumplimientos
potenciales en las actividades del laboratorio;
d) lograr la mejora.
69
ISO/IEC 17025:2017 – 8 Requisitos del SG

8. 5 ACCIONES PARA ABORDAR RIESGOS Y OPORTUNIDADES
8.5.2 El laboratorio debe planificar:

a) las acciones para abordar estos riesgos y oportunidades;
b) La manera de:
- integrar e implementar estas acciones en su sistema de gestión;
- evaluar la eficacia de estas acciones.
8.5.3 Las acciones tomadas para abordar los riesgos y las oportunidades
deben ser proporcionales al impacto potencial sobre la validez de los
resultados del laboratorio.
70

TEMA 5
Herramientas básicas de evaluación
según IEC 31010:2019
1. Tipos de evaluación
2. Matriz de consecuencia/probabilidad

71
IEC 31010 Gestión del riesgo —

Técnicas de evaluación del riesgo
1. Alcance y campo de aplicación 4. Revisión del análisis
5. Aplicación de las salidas para apoyar la toma de
2. Referencias normativas
decisiones
3. Términos y definiciones 6. Registro e informe del proceso de evaluación del
4. Conceptos principales: Incertidumbre y riesgo y las salidas
Riesgo 7. Selección de las técnicas de evaluación del
5. Usos de las técnicas de evaluación del riesgo: Generalidades y Selección de las
riesgo técnicas
6. Implementación de la evaluación del riesgo Anexo A
1. Planificación de la evaluación 1. Introducción a la categorización de las técnicas
2. Gestión de la información y desarrollo de 2. Aplicación de la categorización de las técnicas
modelos 3. Uso de técnicas durante el proceso de la ISO
3. Aplicación de las técnicas de evaluación del 31000
riesgo
72

Anexo B
B.1 Técnicas para la obtención de puntos de vista de las B.6 Técnicas para analizar dependencias e interacciones
partes interesadas y expertos
• Tormenta de ideas B.7 Técnicas que proporcionan una medición de riesgo
• Evaluación del riesgo toxicológico
B.2 Técnicas para identificar el riesgo
• Listas de verificación, clasificaciones y taxonomías B.8 Técnicas para evaluar la importancia del riesgo
• Tan bajo como sea razonablemente posible y tan lejos
B.3 Técnicas para det. fuentes, causas y factores de riesgo como sea razonablemente posible
• Método de análisis de Ishikawa (espina de pescado) • Gráfico de Pareto
B.4 Técnicas para análisis de controles B.9 Técnicas para la selección entre opciones
• Análisis de corbatín • Análisis de costo/beneficio (CBA, en inglés)
• Análisis de peligros y puntos críticos de control (HACCP) • Teoría de juegos
B.5 Técnicas para comprender las consecuencias y la B.10 Técnicas para registrar e informar
probabilidad • Matriz de consecuencia/probabilidad (matriz de riesgo o
• Análisis de causa-consecuencia (CCA, en inglés) mapa de calor)
73
Características de las técnicas

Detalles
Características Descripción
(por ejemplo, indicadores de características)
Cómo se usa la técnica en la evaluación Obtención de puntos de vistas, identificación, análisis de causa,
Aplicación
Riesgo (ver B.1 a B.10) análisis de los controles, etc.
Aplica al riesgo a nivel organizacional, nivel organización (org)

Alcance departamental o de proyecto o procesos proyecto/departamento (dep)
individuales o nivel de equipo. equipo/proceso (equip/proc)
Analiza el riesgo a corto, mediano o largo plazo o

Horizonte de tiempo Corto, medio, largo, cualquiera
es aplicable a cualquier horizonte temporal
Se aplica al riesgo a nivel estratégico, táctico u
Nivel de decisión Estratégico (1), táctico (2), operativo (3))
operativo.
Información
El nivel de información inicial o datos necesarios Alto, medio, bajo
inicial/necesidad de datos
bajo: entrenamiento intuitivo o de uno o dos días
Especialidad Nivel de experiencia requerido para el uso moderado: curso de entrenamiento de más de dos días
Experto correcto alto: requiere una formación significativa o experiencia
especializada
Cuantitativa
Cualitativo Si el método es cualitativo, semicuantitativo o cualitativa
cuantitativo cuantitativo semicuantitativo
puede usarse tanto cualitativa o cuantitativamente
Esfuerzo para su
Tiempo y costo necesarios
Unidadpara aplicarSDO
de Calidad la técnica.
MOP Alto, medio, bajo 74
aplicación
74

75
Uso de
técnicas
durante
el
proceso
de la ISO
31000
76

Aplicabilidad de técnicas al proceso ISO 31000
A: aplicable; SA: muy aplicable; NA: no aplicable.
Proceso de evaluación del riesgo
Análisis de riesgo Sub

Herramientas y técnicas Identificación Valoración del cláusula
del riesgo Nivel de riesgo
Consecuencia Probabilidad
riesgo
Análisis de corbatín (de moño) A SA A A A B.4.2
Tormenta de ideas SA A NA NA NA B.1.2
Matriz de
NA A A SA A B.10.3
consecuencia/probabilidad
Análisis de peligros y Puntos
SA SA NA NA SA B.4.3
críticos (HACCP)
Gráfico de Pareto NA A A A SA B.8.4
Evaluación del riesgo
SA SA SA SA SA B.7.1
toxicológico
Ishikawa (espina de pescado) SA A NA NA NA B.4.4
Listas de verificación,
SA NA NA NA NA B.2.2
clasificaciones y taxonomías
77
Matriz de consecuencia/probabilidad
(matriz de riesgo o mapa de calor)
Descripción general
La matriz de consecuencia/probabilidad (también se la refiere como matriz de riesgo o mapa de
calor) es una forma de mostrar los riesgos de acuerdo a su consecuencia y probabilidad y la
combinación de estas características para mostrar una calificación para la importancia de los
riesgos.
Las escalas personalizadas de consecuencia y probabilidad se definen para los ejes de la matriz.
Las escalas pueden tener un número de puntajes – las escalas de cuatro o cinco puntajes son las
más comunes - y pueden ser cualitativas, semicuantitativas o cuantitativas. Si las descripciones
numéricas se utilizan para definir las etapas de las escalas, deberían ser coherentes con los
datos disponibles y deberían darse sus unidades. Generalmente, para ser coherente con los
datos, cada escala de puntos de las dos escalas necesita ser un orden de magnitud mayor que el
anterior.
78

Se pueden usar menos o más categorías de consecuencia y las escalas pueden tener menos o más
de cinco puntos, según el contexto. Las columnas de calificación de las consecuencias pueden ser
palabras, números o letras.
Clasificación Financiero Salud y seguridad Ambiente y comunidad Etc. (tema)

Daño significativo irreversible; Lo peor que pueda
a Máxima pérdida creíble ($) Múltiples fatalidades
indignación de la comunidad pasar
d
Solo se requieren
e Intereses mínimos ($)
primeros auxilios
Daño temporal menor Lo menos malo
79
La escala de probabilidad debería abarcar el rango relevante a los datos para los riesgos a ser
calificados. Un ejemplo parcial de una escala de probabilidad se muestra en la Figura.
Clasificación Descriptor Significado del descriptor
5 Probable Se espera que ocurra en semanas
4
3
2
Teóricamente posible pero extremadamente
1 Remotamente posible
improbable
La escala de calificación de probabilidad puede tener más o menos de cinco puntos y las
calificaciones se pueden dar como palabras, números o letras.
La escala de probabilidad debería ser adaptada a la situación, lo que pueda ser necesario para
cubrir un rango de diferentes consecuencias positivas o negativas
80

Si la más alta consecuencia se considera tolerable para alguna probabilidad baja, entonces el nivel
más bajo en la escala de probabilidad debería representar una probabilidad aceptable para la
mayor consecuencia definida (a menos que las actividades con la consecuencia más alta se definan
como intolerable y no se pueda tomar como tolerable).
En la decisión sobre qué probabilidad es tolerable para una consecuencia alta, se debería tomar en
cuenta que varios riesgos pueden llevar a la misma consecuencia. Se dibuja una matriz con las
consecuencias en un eje y las probabilidades en el otro, correspondiéndose con las escalas
definidas. Una calificación de prioridad puede vincularse a cada celda. En la matriz ejemplo a
continuación, se establecen cinco clasificaciones de prioridad, indicadas por números romanos.
Por lo general, los cuadros están coloreados para indicar la magnitud del riesgo (de ahí el nombre
de mapa de calor). También pueden vincularse a las celdas de la matriz, las reglas de decisión (tales
como el nivel de atención necesario de la dirección o la urgencia de la respuesta).
81

Uso
La matriz de consecuencia/probabilidad se
utiliza para evaluar y comunicar la
magnitud relativa de los riesgos en la base
de un par consecuencia/probabilidad que
está típicamente asociado con un evento.
Para evaluar un riesgo, el usuario primero
encuentra el descriptor consecuencia que
mejor se adapte a la situación y luego
define la probabilidad con la que se cree
que se produzca la consecuencia. Se
coloca un punto en la celda que combina
estos valores, y el nivel de riesgo y la regla
asociada se leen fuera de la matriz.
82

Uso
Los riesgos con consecuencias potencialmente altas son a menudo de mayor preocupación para
los tomadores de decisiones, incluso cuando la probabilidad sea muy baja, pero un riesgo de
impacto frecuente pero bajo puede tener grandes consecuencias acumulativas a largo plazo.
Puede ser necesario analizar ambos tipos de riesgos, ya que los tratamientos de riesgo
relevantes pueden ser bastante diferentes.
Cuando es posible un rango de diferentes valores de consecuencia para un evento, la
probabilidad de cualquier consecuencia particular diferirá de la probabilidad del evento que
produce esa consecuencia.
Generalmente se usa la probabilidad de la consecuencia especificada. La forma en que se
interpreta y utiliza esa probabilidad debería ser coherente en todos los riesgos que se
comparan.
83

Uso
La matriz se puede usar para comparar riesgos con diferentes tipos de consecuencias potenciales y
tiene aplicación a cualquier nivel en una organización.
Comúnmente es utilizado como una herramienta de proyección cuando han sido identificados
muchos riesgos, por ejemplo, para definir qué riesgos deberían ser referidos a un nivel alto de
gestión.
También puede ser utilizada para ayudar a determinar si un determinado riesgo es ampliamente
aceptable, o no aceptable de acuerdo a la zona en la que se encuentra en la matriz. Se puede
utilizar en situaciones donde existe insuficiencia de datos para un análisis detallado o la situación
no justifica el tiempo y esfuerzo para un análisis mayor o detallado o un análisis cuantitativo.
Una forma de matriz de consecuencia/probabilidad puede ser utilizada para el análisis de criticidad
FMECA (B.2.3) o para configurar prioridades siguientes a un HAZOP (B.2.4) o SWIFT (B.2.6).
84


Las fortalezas incluyen lo siguiente: • Es difícil definir escalas sin ambigüedades, de
• Es relativamente fácil de usar. modo de permitirle a los usuarios la ponderación
• Proporciona una rápida clasificación de los riesgos de las consecuencias y probabilidades de forma
en diferentes niveles de significación. consistente.
• Se proporciona una visualización clara de la • La validez de las clasificaciones de riesgo depende
importancia relevante de los riesgos por de qué tan bien se desarrollaron y calibraron las
consecuencia, probabilidad o nivel de riesgo. escalas.
• Puede ser utilizada para comparar los riesgos con • Se requiere de un único indicativo de valor para las
diferentes tipos de consecuencias. consecuencias que se definen, mientras que en
Las limitaciones incluyen lo siguiente: muchas situaciones es posibles un rango de valores
• Se requiere de bastante experiencia para diseñar de consecuencias y la clasificación para el riesgo
una matriz válida. depende de cual se elige.
• Puede ser difícil de definir escalas comunes que se
apliquen a una gama de circunstancias pertinentes
a una organización.
85

Las limitaciones incluyen lo siguiente: • Es difícil de combinar o comparar el nivel de riesgo

• Una matriz debidamente calibrada requiere la para diferentes categorías de consecuencias.
inclusión de muchos riesgos individuales de muy • Una clasificación válida requiere una formulación
baja probabilidad que pueden ser difíciles de consistente de riesgos (que es difícil de lograr).
conceptualizar. • Cada calificación dependerá de la forma en que se
• Su uso es muy subjetivo y diferentes personas describa un riesgo y del nivel de detalle dado (es
suelen asignar calificaciones muy diferentes para el decir, la identificación más detallada, el mayor
mismo riesgo. Esto lo deja abierto a la número de escenarios registrados, cada uno con
manipulación. una menor probabilidad). La forma en que los
• Los riesgos no se pueden agregar directamente escenarios se agrupan para describir el riesgo
(por ejemplo, uno no puede definir si un número debería ser coherente y ser definida antes de la
particular de riesgos bajos, o un riesgo bajo clasificación
identificado un número particular de veces, es
equivalente a un riesgo medio).
86

Aplicaciones
87
TEMA 5
Ejemplo de aplicación de la matriz de
consecuencia/probabilidad

88
88

Ejemplo de aplicación
Superior 5 Tolerable (5) Intolerable (10) Intolerable (15) Intolerable (20) Intolerable (20)
Alta 4 Aceptable (4) Tolerable (8) Intolerable (12) Intolerable (16) Intolerable (20)
Media 3 Probabilidad
Aceptable (3) Tolerable (6) Tolerable (9) Intolerable (12) Intolerable (15)
Baja 2 Aceptable (2) Aceptable (4) Tolerable (6) Tolerable (8) Intolerable (10)
Ínfima 1 Aceptable (1) Aceptable (2) Aceptable (3) Aceptable (4) Tolerable (5)
Importancia: Consecuencia
Aceptable < 5
5 ≤ Tolerable ≤ 9 1 2 3 4 5
Intolerable >
9 Insignificante Menor Moderado Mayor Extremo
89
Nº Proceso relacionado Riesgos
Excavación de corte en terreno de Elevación de polvo producto del transito de

1
cualquier naturaleza maquinaria
2 Transporte de materiales a obra Agotamiento de suministros locales
Caída de material a cuerpos de

Caída de material a cuerpos de agua; agotamiento de
3 agua; agotamiento de vertederos
vertederos autorizados
autorizados
Error en las ubicaciones relativas de elementos y/o

4 Topografía
cotas
90

R Riesgo Causas
Consecuencias Descripción P I NR
Los recursos
Elevación de polvo Incomodidad y quejas
Falta de humectación disponibles para
1 producto del transito de de los vecinos y/o 4 5 20
maquinaria del camino humectación son
comunidades
escasos
Los suministros de
Falta de previsión por
Agotamiento de suministros Atraso en la entrega materiales se
2 locales
parte de la oficina 3 3 9
de partidas encuentra en
técnica
ubicaciones lejanas
Problemas medio
Caída de material a cuerpos El material removido es
No es posible usar el ambientales, daño a
3 de agua; agotamiento de de características 4 4 16
vertederos autorizados material removido ecosistemas y
arcillosas
humedales
Error en las ubicaciones Equipos topográficos Atraso en la entrega, Equipos topográficos
4 relativas de elementos y/o no cuentan con rehacer terraplenes no han sido calibrados 2 5 10
cotas trazabilidad y/o excavaciones desde su compra
91
Superior 5
Probabilidad
Alta 4 R3 R1
Media 3 R2
Baja 2 R4
Ínfima 1
Consecuencia
Aceptable < 5
5 ≤ Tolerable ≤ 9 1 2 3 4 5
Intolerable > 9 Insignificante Menor Moderado Mayor Extremo
Aceptable
Criterios de Tolerable Nivel de

Importancia riesgo (NR)
Intolerable
92

Análisis Residual
Nº Riesgo Controles
P I NR
Elevación de polvo producto Adquirir y/o arrendar camiones aljibes para

1 del transito de maquinaria humectación de terreno
3 2 6
Agotamiento de suministros Realizar búsqueda de suministros con

2 locales anticipación al agotamiento
2 2 4
Caída de material a cuerpos Relacionarse con las autoridades locales para
3 de agua; agotamiento de la búsqueda y autorización de nuevos 3 3 9
vertederos autorizados vertederos
Error en las ubicaciones Asegurar la trazabilidad de las mediciones con
4 relativas de elementos y/o la calibración y verificación periódica de los 2 3 6
cotas equipos topográficos
93
Superior 5
Probabilidad
Alta 4 R3 R1
Media 3 R1 R2 R3
Baja 2 R2 R4 R4
Ínfima 1
Consecuencia
Aceptable < 5
5 ≤ Tolerable ≤ 9 1 2 3 4 5
Intolerable > 9 Insignificante Menor Moderado Mayor Extremo
Aceptable
Criterios de Tolerable Nivel de

Importancia riesgo (NR)
Intolerable
94

Nº Riesgo Controles Oportunidades
Aumento de la frecuencia de la
Elevación de polvo producto Adquirir y/o arrendar camiones aljibes para
1 del transito de maquinaria humectación de terreno
humectación de los caminos, mejora
las relación con las comunidades
Agotamiento de suministros Realizar búsqueda de suministros con

2 locales anticipación al agotamiento
Cumplir con la programación definida
Caída de material a cuerpos

Relacionarse con las autoridades locales para la Mejora la relación con las autoridades
3 de agua; agotamiento de
búsqueda y autorización de nuevos vertederos y grupos ambientalistas
vertederos autorizados
Error en las ubicaciones Asegurar la trazabilidad de las mediciones con la
Cumplir con la programación definida,
4 relativas de elementos y/o calibración y verificación periódica de los
mejorar la precisión
cotas equipos topográficos
95
CURSO
Gestión de riesgos ISO 31000:2018 para la
UC SDO

96


Gestión de Riesgos ISO 31000:2018 para La UC SDO: Curso

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Gestión de Riesgos ISO 31000:2018 para La UC SDO: Curso

Cargado por

Copyright:

Formatos disponibles

Curso

Gestión de riesgos ISO 31000:2018

Relator: Ing. Mauro Rojas Pizarro

Unidad de gestión de Calidad -

• Horarios  Nombre y apellido,

Unidad de Calidad SDO MOP 3

Proporcionar a los participantes los conocimientos

Unidad de gestión de Calidad -

Unidad de Calidad SDO MOP 5

Relator: Mauro Rojas Pizarro

Unidad de gestión de Calidad -

Unidad de gestión de Calidad -

• ¡Quien no se moja, no atraviesa el río!

Unidad de Calidad SDO MOP 9

El pensamiento basado en el riesgo

¿En la vida cómo se evitan las consecuencias indeseadas?

Enfermarse, lesionarse, deteriorar las relaciones, perder el

¿Cómo se generan las Expectativas?

Unidad de Calidad SDO MOP 10

Unidad de gestión de Calidad -

La Incertidumbre en la vida cotidiana se puede

• Preguntándola al oráculo o practicando cábalas.

El pensamiento basado en el riesgo

Las organizaciones de todo tipo y tamaño se enfrentan a

El efecto que esta incertidumbre tiene en los objetivos de las

Todas las actividades de una organización involucran algún

Unidad de Calidad SDO MOP 12

Unidad de gestión de Calidad -

El pensamiento basado en riesgos es esencial para lograr un sistema de

El concepto de pensamiento basado en riesgos ha estado implícito en

ISO 9001:2015 y el pensamiento basado en riesgos

Abordar tanto los riesgos como las oportunidades establecen una

Unidad de Calidad SDO MOP 14

Unidad de gestión de Calidad -

Las oportunidades pueden surgir como resultado de una situación

Unidad de Calidad SDO MOP 15

¿Qué es pensamiento basado en el riesgo?

El pensamiento basado en el riesgo es algo que todos

Ejemplo: Si deseo cruzar una carretera, miro el tráfico antes

Unidad de gestión de Calidad -

Ejemplo: Al cruzar la carretera puedo atravesar directamente

Unidad de Calidad SDO MOP 17

El Pensamiento basado en el riesgo ya es parte

Unidad de Calidad SDO MOP 18

Unidad de gestión de Calidad -

El pensamiento basado en el riesgo considera la situación

Ejemplo: El análisis de esta situación muestra oportunidades

Unidad de Calidad SDO MOP 19

ISO 9001:2015, el pensamiento basado en el riesgo se encuentra en:

Unidad de gestión de Calidad -

Las organizaciones exitosas aplican de manera intuitiva el pensamiento

Unidad de Calidad SDO MOP 21

Unidad de Calidad SDO MOP 22

Unidad de gestión de Calidad -

Comprender los riesgos

¿Lo que es aceptable, lo que es inaceptable? ¿Qué ventajas o desventajas

Unidad de Calidad SDO MOP 23

Comprendamos los riesgos

Unidad de gestión de Calidad -

Plan de acción para hacer frente a los

Ejemplo: Me muevo al lado de la carretera, compruebo que no existen

Comprobar la eficacia de la acción – funciona?

Unidad de gestión de Calidad -