Inicia sesión 

   Contacta a ventas     Ayuda     Somos Pirani

 

Academia Pirani

Índice

 Introducción
 Norma ISO 31000
 Gestión de riesgos en la norma ISO 3100
 Checklist: qué debe tener y para qué sirve
 Criterios para elaborar una checklist 
 Cómo hacer una checklist
 Principios y directrices
 Proceso de gestión de riesgos
 Ventajas y bene/cios

Descarga gratis este contenido

Checklist para la gestión

de riesgos, según la ISO
31000
Una de las maneras más sencillas y e/caces
para empezar a gestionar el riesgo en tu
empresa es elaborando un plan de riesgo y
una lista de chequeo, herramientas claves
para cualquier proyecto. 

Introducción

Las organizaciones se ven expuestas a

diferentes tipos de riesgos y para poder
de/nirlos y gestionarlos es clave utilizar
herramientas como la checklist o lista de
chequeo, que de acuerdo con la norma ISO
31000 es necesaria para la gestión de riesgos.

En el siguiente especial te contaremos sobre

la importancia de contar con una
checklist para la gestión de riesgos en tu
empresa y sobre los parámetros que debes
seguir para hacerla.

Norma ISO 31000

Antes de entrar en detalle de por qué es

importante tener una checklist o lista de
chequeo para la gestión de riesgos,
recordemos que la norma ISO 31000 es una
guía o referente internacional que ofrece
directrices y principios para poner en marcha
los sistemas de gestión de riesgos.

Fue publicada en noviembre del 2009 por la

Organización Internacional de
Normalización (ISO) para que las compañías
puedan gestionar sus riesgos de una manera
efectiva a través de procedimientos que les
permitan cumplir sus objetivos de negocio.

La norma ISO 31000 cuenta con insumos

globales que permiten realizar una adecuada
y e/ciente gestión de riesgos enfocados en
operatividad, gobierno y con/anza, además,
brinda recomendaciones de mejores prácticas
en la gestión de riesgos las cuales ofrecen
técnicas apropiadas en seguridad en el lugar
de trabajo.

Esta norma puede ser usada por

cualquier tipo de entidad, sin importar el
sector al que pertenezca, pues ofrece
estrategias de decisión, operaciones, y
procesos para los riesgos, ajustándose así a
cualquier escenario. 

Aunque la ISO 31000 no es una norma

certiCcable, implementarla permite
minimizar las amenazas al riesgo en cualquier
momento, además, la mayoría de los entes
reguladores la toman como referencia para la
promulgación de normas aplicables. 

Gestión de riesgos en
la norma ISO 31000

Esta norma internacional deCne la gestión

de riesgos como las actividades que se
realizan para seguir y controlar los riesgos a
los que se ven enfrentadas las compañías. Se
debe tener en cuenta que uno de los
aspectos más importantes es la cuanti/cación
y para eso se divide en:

Consecuencia: son los eventos que afectan

al cumplimiento de los objetivos y que son
procedentes de otros, aquí se tienen en
cuenta aquellos que se clasi/can en causa-
efecto. 

Probabilidad: es la posibilidad de que un

evento pueda suceder. En este punto es
importante que las organizaciones
contemplen que estos hechos pueden
provenir de las decisiones que tomen. Se
divide en cinco escalas: raro, probable,
improbable, posible y muy frecuente.

Checklist: qué debe

tener y para qué
sirve
Una checklist o lista de veriCcación debe
contar con patrones básicos de seguridad
que permitan evaluar e identi/car las
oportunidades o vulnerabilidades de activos,
procedimientos automatizados y no
automatizados y de Sujo de información.

Teniendo como base la lista de veri/cación

podrás determinar si el resultado del impacto
o la ocurrencia de un riesgo es negativo o
positivo. Además, ten presente que para
poder analizar de manera más profunda
requieres información adicional, que
obtienes por medio de documentos ya
existentes en los que se evidencie el análisis
del impacto o la evaluación de criticidad de los
riesgos.

La checklist se utiliza en diferentes

etapas de la gestión de riesgos y debe
contar con un registro y documentación de
todos los datos que se recopilen para validar
así la e/ciencia del sistema.

Además, la lista de chequeo se usa en

grupos de inspección o en auditorías
internas para identiCcar aspectos críticos
de un proceso y puede ser utilizada como
complemento de otros métodos más
complejos para gestionar el riesgo operativo,
especialmente en algunos requerimientos del
análisis what if.  

Incluso en los análisis de causa raíz se utiliza

una lista grá/ca de chequeo, pues ayuda a
identi/car las causas que generan un
problema o un defecto recurrente.

Son muchas las razones por las cuales es

conveniente incorporar una lista de
chequeo para la administración y gestión de
riesgos en las organizaciones, estas son
algunas:

 Permite plantear una estrategia

sistemática basada en datos históricos de
la empresa.
 Puede emplearse para re/nar análisis más
detallados, por ejemplo, análisis de causa
raíz.
 Puede aplicarse a cualquier actividad o
proceso.
 Mejora la cultura de riesgo en la
organización.
 Es fácil de implementar, de hecho, puede
hacerla cualquier persona de la compañía
que esté capacitada para entender las
preguntas de la lista, sin requerir la
supervisión de un experto en gestión de
riesgos.
 Facilita el proceso de auditorías internas
optimizando el tiempo de entrevistas y
documentación.
 Genera listas cualitativas para corregir
posibles errores o fallos.

Por otro lado, aunque las listas de veri/cación

pueden enriquecer el análisis y ayudar a
identi/car las amenazas, también tienen
algunas limitaciones.

Por ejemplo, cuando son usadas como un

único método es probable que no
permitan identiCcar algunos problemas
potenciales. Dado que están basadas en
asuntos concretos, si no se direccionan hacia
áreas claves de la compañía o problemas
críticos, es posible que pasen por alto ciertas
debilidades que deben ser atendidas.

Adicionalmente, las listas de chequeo solo

ofrecen información cualitativa. Este
análisis simpli/cado puede servir para
gestionar el riesgo en áreas especí/cas de la
compañía, pero si se requiere una evaluación
integral, es conveniente que utilizarlo como
complemento de algún recurso que incorpore
cuanti/cación al análisis, por ejemplo, una
herramienta como Pirani para la gestión
integral de riesgos.

Criterios para elaborar una

checklist

Lo primero que debes tener en cuenta es que

una checklist para la gestión del riesgo
siguiendo la norma ISO 31000 te permite
identi/car los riesgos evidentes a los que
puede estar expuesta la compañía y también
los de poca probabilidad, así mismo, puedes
crear un cuestionario de preguntas para
veri/car si realmente esos riesgos existen.

Recordemos lo que dice la norma sobre el

riesgo, "es el impacto negativo o positivo
generado por una vulnerabilidad u
oportunidad, considerando tanto la
probabilidad de ocurrencia como el
impacto”. 

De acuerdo con esto, una adecuada gestión

de riesgos permite a las empresas llevar a
cabo sus operaciones de manera normal en
caso de que se presente alguna amenaza.

Una checklist o lista de veriCcación debe

incluir criterios como los siguientes por
área:

Alta Dirección

1. Asignación de responsabilidades.
2. Soporte para la continuidad del negocio.
3. Competencias para la respuesta a
incidentes.
4. Revisión periódica de los controles de
seguridad.
5. Análisis de riesgos.
6. Entrenamiento técnico y de seguridad.
7. Segregación de servicios.
8. Plan de Seguridad.

Operaciones

1. Control de la contaminación del aire.

2. Control para garantizar la calidad de la
energía eléctrica.
3. Acceso y uso de los medios de datos.
4. Control de humedad y temperatura.
5. Control de equipos informáticos
(ordenadores portátiles o de escritorio).
6. Control de máquinas y equipos
destinados a la producción.

Técnica

1. Comunicaciones.
2. Criptografía.
3. Controles de accesos.
4. Identi/caciones y autenticaciones.
5. Detección de intrusos.
6. Auditorías del sistema.

Tomado de: Escuela Europea de Excelencia. 

Cómo hacer una

checklist
Para elaborar una lista de chequeo, hay que
basarse en una serie de criterios que ayuden
a formular las preguntas pertinentes y a
abordar los asuntos más importantes.

Aquí te explicaremos qué debes tener en

cuenta, además, podrás descargar una guía
para que hagas la checklist según las
necesidades de tu empresa o proyecto:

 De/ne los focos de riesgo, pueden ser de

seguridad, ambientales, económicos, entre
otros, y todo lo que pueda afectar el
desarrollo de la organización.
 Divide los aspectos del proyecto:
actividades, personal, tiempos de entrega,
presupuesto y procesos.
 Recoge o crea listas de chequeo para cada
uno de los problemas y formula diferentes
preguntas relacionadas con el tipo de
problemas potenciales que quieres
analizar.
 Responde a las preguntas formuladas en
la lista de chequeo y designa un equipo
guiado o compuesto por expertos para
responder cada uno de los ítems de la
lista. Al /nal del proceso, incluye
recomendaciones para mejorar o mitigar
los riesgos que parecen inminentes o
probables.
 Usa los resultados para tomar decisiones,
evalúa las recomendaciones incluidas en el
análisis e implementa aquellas que traerán
más bene/cios que costos. Asigna
responsables para cada riesgo y haz un
monitoreo del proceso. 

Principios para la gestión

de riesgos, según la ISO
31000

La norma ISO 31000 ofrece algunos principios

y directrices que ayudan a la gestión de
riesgos:

 La compañía tiene más probabilidades de

cumplir los objetivos propuestos.
 Cumplimiento de estándares legales en
diferentes áreas de la compañía.
 El manejo de la administración mejora.
 Se protegen los recursos de la empresa.
 El desarrollo interno se vuelve más e/caz y
e/ciente.
 La toma de decisiones es más con/able
gracias a la herramienta para evaluar la
gestión de riesgos.
 Se toma conciencia de la importancia de
contar con un sistema de gestión de
riesgos y desastres.
 Se identi/can los riesgos a los que está
expuesta la empresa.
 Reduce y divide los riesgos.
 Da la posibilidad de que exista una
plani/cación.
 Permite la toma de decisiones oportuna.
 Se motiva a la junta directiva y a cada uno
de los miembros de la compañía.
 La gobernabilidad dentro de la
organización es más e/ciente.  
 Se genera con/dencialidad y con/anza.
 Se hacen los controles pertinentes.
 Se minimizan las pérdidas.
 Mejora la cultura organizacional. 
 Genera valor a la organización.
 Se le da un adecuado manejo a la
incertidumbre.
 Es dirigida a la mejora dentro de la
organización.
 Es amigable al cambio.
 Se adapta a cualquier situación. 

Proceso de gestión de
riesgos, según la ISO 31000

1. Establecer el contexto del

Sistema de Gestión de
Riesgos

Para empezar con el sistema de gestión de

riesgos es importante darle un puntaje a cada
uno de estos, ya sean internos o externos.
Estos últimos son aquellos que se dan por
temas naturales, culturales, políticos, etc.,
mientras que los internos son los que
están directamente relacionados con la
compañía y todo lo que sucede en ella,
funciones, estrategias planteadas, temas
/nancieros, procesos y recurso humano.

2. Identi@cación de los
riesgos

En este punto se deben reconocer cuáles

son los principales riesgos a los que está
expuesta la organización, una vez estos se
de/nan, se plantearán otros secundarios que
podrían también generar ciertos desajustes
dentro de la empresa y a los objetivos
propuestos.

Después de establecidos los riesgos, cada una

de las áreas encargadas los asumirá como
propios, para que de esta manera puedan
ejecutar el plan que se va a llevar a cabo.

Cada área de/nirá un responsable y estos se

reunirán para empezar a identi/car los
riesgos, conocer cuáles son los factores que
los pueden generar. Es recomendable
hacer preguntas como las siguientes para
tener mayor impacto en esta etapa.

 ¿Cuál área se puede ver afectada por X

riesgo?
 ¿De qué forma lo afecta?
 ¿Qué consecuencias trae al área y a la
organización en general?
 ¿Cuál es la probabilidad de que ocurra?
 ¿Qué consecuencias traerá?
 ¿Es posible su prevención?
 ¿Qué estrategia se debe poner en
marcha? 

3. Análisis de riesgos

Luego de que estén de/nidos y consignados

los riesgos se valorará en qué escala se