ISO 31000 : 2018 GESTION DEL RIESGO

Un daño a la reputación de la empresa o de la marca, pérdidas de información o

económicas , lesiones en los colaboradores, incumplimientos legales y/o regulatorios, un
acto de terrorismo y muchos otros, son los riesgos que las organizaciones pueden
enfrentar. Este tipo de sucesos crean incertidumbre en el logro de los objetivos .
Para poder gestionar estos riesgos se creó el primer estándar internacional de gestión del
riesgo qué se formalizó inicialmente mediante la norma iso 31000: 2009 a través del
comité técnico 206 de la iso teniendo una revisión en 2018 convirtiéndose en guía de
referencia en lo relativo al riesgo para otros sistemas de gestión tales como: iso 9001 ,ISO
14001 , ISO 45001 entre otros, a pesar que NO es una norma certificable.
Sin embargo su implementación trae una serie de beneficios que son:

 Seguridad para los grupos de interés

 eficacia ante situaciones de emergencia
 acciones para posibles amenazas o riesgos
 credibilidad y prestigio
 seguridad y confianza
 competitividad
 seguridad y confianza a colaboradores y clientes
 adecuada gestión de los riesgos
 cultura de prevención
 mejora de los sistemas de gestión

La estructura de la norma 31000

Está diseñada bajo el ciclo PHVA y cuenta con 8 principios
1. la gestión del riesgo debe ser parte integral de los diferentes procesos
2. la gestión del riesgo debe contar con su propia estructura
3. la gestión del riesgo debe adaptarse al contexto específico de la organización
4. la gestión del riesgo debe promover la participación de todas las partes
interesadas
5. los riesgos aparecen, cambian o desaparecen con los cambios en el contexto de la
organización la organización debe responder a estos cambios de manera
apropiada y oportuna
6. la gestión del riesgo se debe hacer con información histórica actualizada, así
como las expectativas en el futuro, la información debe ser oportuna clara y
disponible para las partes interesadas
7. el comportamiento humano y la cultura deben ser considerados por el proceso de
gestión de riesgos
 8. el proceso de gestión de riesgos debe mostrar mejora en el tiempo en eficacia y
eficiencia
La norma ISO 31000 en su versión 2018 ,está estructurada en 6 grandes clausulados
distribuidos así :
1. objeto y campo de aplicación
2. referencias normativas
3. términos y definiciones
4. principios
5. marco de referencia
6. proceso

A nivel general podría definirse que la gestión del riesgo esta enmarcada en:
 Los principios: son las directrices generales del sistema de gestión
 el marco de referencia: es la estructura que soporta el sistema
 el proceso: hace referencia al mecanismo o metodología para dar tratamiento
eficaz a los riesgos
Los 8 términos clave que contiene la norma en su clausulado son:
- riesgo
- gestión del riesgo
- parte interesada
- fuente de riesgo
- evento
- consecuencia
- probabilidad
- control

El marco de referencia
Implica: integrar, diseñar ,implementar, valorar y mejorar la gestión del riesgo a lo largo
de toda la organización.
Por otro lado la alta dirección debe demostrar su compromiso con el sistema de gestión
del riesgo, para ello deberá:
 implementar todo el marco de referencia
 definir y publicar una política de gestión de riesgos
 asignar recursos para la gestión de riesgos
 comunicar los beneficios de la gestión de riesgos
 asignar roles responsabilidades y autoridades
  rendir cuentas por gestionar el riesgo
La integración de la gestión del riesgo depende de la comprensión de las estructuras y el
contexto de la organización es por ello que todos tienen la responsabilidad de gestionarlo,
la organización debe analizar y comprender sus contextos externos e internos cuando
diseñe el marco de referencia para gestionar el riesgo
La implementación del marco de referencia se debe implementar valorando su eficacia
haciendo seguimiento y mejorando continuamente su idoneidad adecuación y eficacia.

El proceso de la Gestión del Riesgo

Implica la aplicación sistemática de políticas, procedimientos y prácticas a las actividades
de comunicación y consulta, establecimiento del contexto y evaluación, tratamiento
seguimiento, revisión, registro e informe del riesgo.
La comunicación y consulta con las partes interesadas: externas e internas deberán
llevarse en todas las etapas del proceso ellas deberán comprender el riesgo y las bases
con las que se toman las decisiones.
Para realizar una eficaz evaluación del riesgo y un apropiado tratamiento, es necesario
establecer el alcance de las actividades, criterios del riesgo y comprender el contexto
interno y externo.

La evaluación del riesgo

Es el proceso global de
1. Identificación: para la identificación del riesgo se debe atender a los siguientes
factores:
1.1 fuentes de riesgos tangibles e intangibles
1.2 las causas y los eventos
1.3 las amenazas
1.4 las oportunidades
1.5 fortalezas y debilidades
1.6 el contexto interno, externo y sus cambios
1.7 los indicadores generales de riesgo
1.8 los activos y recursos de la organización
1.9 las dificultades en el acceso a la información y calidad de la misma hoy análisis
del riesgo se debe atender

2. Análisis : para el análisis del riesgo se debe atender a factores como:

2.1 probabilidad de los eventos y consecuencias
 2.2 naturaleza y magnitud de las consecuencias
2.3 la complejidad
2.4 factores relacionados con el tiempo y volatilidad
2.5 la eficacia de los controles existentes

3. Valoración de los riesgos: se deben comparar los resultados del análisis - con los
criterios del riesgo y decidir si :
3.1 no hacer nada más
3.2 opciones nuevas para el tratamiento del riesgo
3.3 realizar análisis adicional
3.4 mantener los controles existentes, o
3.5 reconsiderar los objetivos
La evaluación de riesgos debe ser: registrada, comunicada y validada en los niveles
pertinentes dentro de la organización.

El tratamiento de los riesgos

Según iso 31000 es un proceso dinámico que requiere:
1. formular opciones para el tratamiento de riesgo
2. seleccionar la opción más adecuada
3. planificar e implementar el tratamiento de riesgos
4. evaluar la efectividad de las acciones implementadas
5. calificar el riesgo residual aceptable o no aceptable
6. tratamiento para el riesgo residual no aceptable
2.seleccionar la opción de tratamiento del riesgo requiere considerar el costo el esfuerzo y
las consecuencias de la implementación. Las opciones de tratamiento de riesgos no son
excluyentes entre sí ,estas pueden incluir una o varias de las siguientes acciones: eliminar
el riesgo, asumir el riesgo, disminuir la probabilidad de ocurrencia , disminuir el impacto
negativo del riesgo, compartir el riesgo, o retener el riesgo.
3.el plan de tratamiento debe identificar el orden en que se deben implementar las
acciones y la forma en que se integrará con los procesos de la organización, para ello se
requiere definir: justificación, responsables, acciones de
tratamiento ,recursos ,mediciones, limitaciones, monitoreo y plazos.
( NOTA: El seguimiento y la revisión deberán tener lugar en todas las etapas del proceso
de la gestión del riesgo cuyos resultados deberán incorporarse a todas las actividades de
la gestión del desempeño, de medición y de informe de la organización , además se
deberán documentar e informar a través de los mecanismos apropiados, el informe es una
parte integral de la gobernanza de la organización)
Para la valoración del riesgo se pueden aplicar varias técnicas y herramientas desde
las más simples y superficiales, hasta las complejas y estructuradas como:
 lluvia de ideas
 entrevistas estructurales
 estudios de peligros
 árbol de decisión
 análisis de árbol de fallas
 simulaciones
 estadísticas
 análisis de curvas FN
 matriz de consecuencia y probabilidad
 análisis de peligros y puntos críticos de control ….. entre muchos otros .
El riesgo se mueve entre 2 fronteras:
1. certeza total : en : la certeza total se conocen las variables las relaciones y las
consecuencias
2. incertidumbre total: en la incertidumbre total no se conocen las variables y las
consecuencias
En medio de estas 2 fronteras está el riesgo desde esta concepción podemos decir que
el riesgo se mide porque no es incertidumbre total ni certeza total , es un evento
probabilístico

Para gestionar el riesgo : se inicia con la identificación de una situación potencial

luego acontece un evento que genera unas consecuencias y luego hay una materialización
de estas es un estado de resultados
Entre la situación potencial y el evento cuando no se desea el riesgo se coloca una barrera
de prevención, evita que las cosas pasen, entre el evento ya acontecido y las
consecuencias se puede colocar una segunda barrera que es una barrera de reducción,
con esta barrera el tamaño de las consecuencias se hace menor, entre las consecuencias y
el estado de resultados se puede colocar una barrera de transferencia entregando o
compartiendo el riesgo con otro, y finalmente está asumir el riesgo bien sea negativo o
positivo .