CURSO GESTIÓN DEL RIESGO

BAJO LAS DIRECTRICES DE LA

NORMA ISO 31000:2018

Duración: 16 horas
Modalidad: Virtual

© Todos los derechos reservados.

Prohibida su reproducción total o parcial.
Diseñado y producido por Cotecna Certificadora Services.
Bogotá, Colombia.
V1 2018

Curso Gestión del Riesgo bajo ISO 31000:2018

 MÓDULO 1

Introducción a la gestión del

riesgo

“Acepta los riesgos, toda la vida no es sino una

oportunidad. El hombre que llega más lejos es,
generalmente, el que quiere y se atreve a serlo”.

-Dale Carnegie -

Curso Gestión del Riesgo bajo ISO 31000:2018

 ¿Qué lograrás al finalizar el Módulo 1?

Una vez culminado éste módulo, lograrás:

- Conocer el contexto de aplicación del pensamiento basado en riesgos.

- Comprender el campo de acción de la gestión del riesgo.

¡Motivarte para avanzar lo más rápido posible!

¡¡INICIEMOS!!

Curso Gestión del Riesgo bajo ISO 31000:2018

  UN POCO DE HISTORIA

Seguramente estás esperando la etimología del término “riesgo”, algo así como que
“proviene del latín aracnus, que significa más corto que largo”, pero no, no tenemos una
definición etimológica confiable del término; lo cual ha generado varios problemas
alrededor de nuestro planeta en cuanto a su interpretación y gestión.

Algunos autores atribuyen la definición al término popular griego “Risko”, que representa a
un montículo rocoso que sobresale del mar y que puede llevar a la zozobra de una
embarcación, lo cual nos da una idea del concepto y significado del término “Riesgo”.

Un grupo de académicos, luego de analizar el contexto de la gestión de la prevención de

fallos como una herramienta de control en procesos y aseguramiento de los resultados,
determinó asignar al término común y popular “Riesgo” la definición “Resultado indeseable
de la exposición a un factor potencialmente dañino”, lo cual representa a una descripción
cualitativa de un evento resultante de la exposición a un peligro.

Esta metodología, denominada “Método Determinístico”1 permite determinar una serie de

efectos potenciales derivados de la exposición a peligros, sobre los cuales se plantean
alternativas de solución, incrementando de esta manera la capacidad de lograr los
objetivos que están siendo analizados.

El método “determinístico” ha seguido siendo empleado por décadas y es uno de los más
empleados en diversos ámbitos de análisis de riesgos, sin embargo tiene una serie de
limitaciones (GUEVARA, 2014):

1. Está basado en preselección subjetiva, es decir, que los participantes en el foro de

análisis del riesgo pueden elegir si lo consideran o no, incluso bajo consideraciones
de conveniencia o costos, lo cual le resta en capacidad de generar estrategias
pertinentes.
2. Generalmente no es producto de una priorización, es decir, se abordan
generalmente los riesgos concertados sin una priorización, lo cual puede conducir a
un uso innecesario de recursos de la organización.
3. Los riesgos identificados pueden no abarcar todo el proceso, es decir, no se puede
asegurar que el análisis cubre todo el ciclo de vida dentro de los límites que deben
ser considerados.

1 GUEVARA, Alberto. “Gestión Integral del Riesgo”, 2014.

Curso Gestión del Riesgo bajo ISO 31000:2018

Estas limitaciones empezaron a mostrar deficiencias en los resultados de algunos esfuerzos
por gestionar el riesgo, llevando a muchas organizaciones a dejar de usar esta herramienta
al no conseguir los resultados esperados.

En esta época, otro grupo de personas decidieron dar una nueva configuración al modelo
de gestión de riesgos y denominar al término como “la combinación entre la probabilidad y
las consecuencias de un evento”, lo cual le dio un enfoque más cuantitativo, permitiendo
resolver algunos de los problemas de aplicación del método “determinístico”.

Este esquema cuantitativo, condujo a la aparición de un nuevo modelo de riesgos,

denominado “Método Analítico” (GUEVARA, 2014), en el cual se establecen unas reglas de
gestión del riesgo así:

1. El proceso de identificación de riesgos se basa en el análisis del ciclo de vida del

proceso, producto, servicio, proyecto o actividad.
2. Solo se trabaja un solo tipo de riesgo a la vez, es decir, se pueden hacer análisis
“multidimensionales” de riesgos (GUEVARA, 2014), pero uno cada vez, entendiendo
que pueden haber diversos tipos de riesgos, por ejemplo, los riesgos de
conformidad del producto, los riesgos de la reputación, los riesgos de la percepción
del cliente, los riesgos de incumplir los objetivos trazados, los riesgos de cartera, los
riesgos de seguridad de la información, los riesgos de la seguridad industrial, los
riesgos de la higiene industrial, entre muchos otros.
3. El término “riesgo” es un factor numérico o una expresión cualitativa que expresa
un valor o nivel, de tal manera que puede ser empleado como indicador o como
valorador de la prioridad de acciones.

En aplicación del método “Analítico”, es posible obtener un resultado como el siguiente:

Ejemplo:

Supongamos que una organización ha llevado a cabo un análisis de riesgos de eficacia del
proceso, es decir, ha identificado los eventos que podrían generar el incumplimiento de los
objetivos definidos para el proceso, en este ejemplo el proceso es de “Gestión del Talento
Humano”. La Organización ha utilizado una metodología de tipo “Analítico”, identificando
eventos en cada una de las fases del ciclo de vida del proceso y haciendo una estimación
del riesgo mediante una escala numérica que combina la probabilidad y el impacto del
evento frente a los objetivos. Como resultado se obtuvo esta información, representada de
una manera gráfica:

Curso Gestión del Riesgo bajo ISO 31000:2018

Esta gráfica muestra el valor del riesgo de ineficacia en cada una de las etapas del proceso,
en una escala de 1 a 25 unidades (Esto se basa en una escala semi-cuantitativa donde la
probabilidad se determina en una escala de 1 a 5 unidades adimensionales, igual el
“impacto” o “consecuencia” se determina en una escala de 1 a 5 unidades; el Riesgo se
calcula como la multiplicación entre las dos variables, en consecuencia el riesgo tiene
valores posibles entre 1 y 25 unidades).

Adicionalmente, la organización determinó el valor límite de aceptación del riesgo en “12”

unidades, lo cual significa que en las etapas donde el riesgo es inferior a 12 puntos, se
concluye que el riesgo está bajo control, mientras que valores superiores a 13 significan
que el riesgo es muy alto y debe haber una intervención.

De este modo, se puede concluir por esta organización que:

Curso Gestión del Riesgo bajo ISO 31000:2018

Las etapas del proceso: “Diseño del perfil de competencias”, “Selección del personal”,
“Inducción”, “Transferencia de conocimientos” y “Evaluación inicial de la capacidad” son las
etapas críticas del proceso, donde cualquier error podría llevar al incumplimiento de los
objetivos del proceso, y en consecuencia, son las etapas donde una intervención con unos
controles operacionales, sería más eficaz.

Ahora, que no cunda el pánico, no necesariamente los análisis de riesgos deben tener este
tipo de gráficos; pueden ser realizados en todos los casos en matrices que representen este
mismo concepto.

Las normas ISO de Sistemas de Gestión basadas en el Anexo SL (Estructura de Alto Nivel),
indican que deben ser considerados Riesgos y Oportunidades, haciendo la advertencia que
la Organización puede emplear cualquier metodología de Análisis de Riesgos, en
consecuencia, usted podrá decidir cuál de las metodologías es la que más se ajusta a sus
necesidades.

En este curso abordaremos las metodologías “Determinísticas” y las “Analíticas”, ambas en

el contexto de ISO 31000 versión 2018, para que pueda usted elegir aquella que le
represente una mayor utilidad, facilidad y pertinencia.

Por favor recuerde:

En las metodologías Determinísticas, el término riesgo significa el “Efecto de la

exposición al peligro”, mientras que en las metodologías Analíticas, este
concepto se aplica al término “Evento”, y acá el riesgo es la probabilidad
asociada al impacto de tal evento.

Curso Gestión del Riesgo bajo ISO 31000:2018

  CONCEPTOS Y DEFINICIONES

La Organización Internacional para la Normalización (International Organization for

Standardization – ISO) ha ratificado desde 2009 que la definición del término “Riesgo” es
“El efecto de la incertidumbre”, sin embargo esta definición ha sido objeto de múltiples
críticas y desacuerdos, basados incluso en que en la Guía ISO 73 de 2002, el término de
había definido como “la combinación entre la probabilidad y las consecuencias de un
evento” y en la versión posterior de la mencionada Guia ISO 73 en 2009 se reemplazó la
definición por “El efecto de la incertidumbre en los objetivos”.

Algunos estudiosos del tema han concluido que la expresión “Efecto de la incertidumbre”
es un “sinónimo” de “Efecto de la exposición al peligro”, entre tanto otros han concluido
que el “Efecto de la incertidumbre” es la “combinación entre la probabilidad y las
consecuencias asociadas a un evento”; por lo tanto, la definición correcta será la que usted
logre estructurar en su organización, empleando el método que considere el más
apropiado.

Para efectos de comprender de una mejor manera el texto de los siguientes módulos,
conviene que estudie los siguientes conceptos, tomados del capítulo 3 de la norma ISO
31000:2018.

En las definiciones se usa la numeración original de ISO 31000:2018 en su capítulo 3.

Cuando se indica “Nota a la entrada”, significa que la nota está directamente relacionada al
término que se está definiendo.

3.1. Riesgo
Efecto de la incertidumbre sobre los objetivos

Nota 1 a la entrada: Un efecto es una desviación respecto a lo previsto. Puede ser positivo, negativo o ambos,
y puede abordar, crear o resultar en oportunidades y amenazas.

Nota 2 a la entrada: Los objetivos pueden tener diferentes aspectos y categorías, y se pueden aplicar a
diferentes niveles.

Nota 3 a la entrada: Con frecuencia, el riesgo se expresa en términos de fuentes de riesgo (3.4), eventos (3.5)
potenciales, sus consecuencias (3.6) y sus probabilidades (3.7).

3.2. Gestión del Riesgo

actividades coordinadas para dirigir y controlar la organización con relación al riesgo (3.1)

Curso Gestión del Riesgo bajo ISO 31000:2018

3.3 parte interesada
persona u organización que puede afectar, verse afectada, o percibirse como afectada por
una decisión o actividad.

Nota 1 a la versión en español: Los términos en inglés “interested party” y “stakeholder” tienen una
traducción única al español como “parte interesada”.

3.4 fuente de riesgo

elemento que, por sí solo o en combinación con otros, tiene el potencial de generar riesgo
(3.1).

3.5 evento
ocurrencia o cambio de un conjunto particular de circunstancias.

Nota 1 a la entrada: Un evento puede tener una o más ocurrencias y puede tener varias causas y varias
consecuencias (3.6).
Nota 2 a la entrada: Un evento también puede ser algo previsto que no llega a ocurrir, o algo no previsto que
ocurre.
Nota 3 a la entrada: Un evento puede ser una fuente de riesgo.

3.6 consecuencia
resultado de un evento (3.5) que afecta a los objetivos.

Nota 1 a la entrada: Una consecuencia puede ser cierta o incierta y puede tener efectos positivos o negativos,
directos o indirectos sobre los objetivos.
Nota 2 a la entrada: Las consecuencias se pueden expresar de manera cualitativa o cuantitativa.
Nota 3 a la entrada: Cualquier consecuencia puede incrementarse por efectos en cascada y efectos
acumulativos.

3.7 probabilidad
(likelihood) posibilidad de que algo suceda

Nota 1 a la entrada: En la terminología de gestión del riesgo (3.2), la palabra “probabilidad” se utiliza para
indicar la posibilidad de que algo suceda, esté definida, medida o determinada objetiva o subjetivamente,
cualitativa o cuantitativamente, y descrita utilizando términos generales o matemáticos (como una
probabilidad matemática o una frecuencia en un periodo de tiempo determinado).
Nota 2 a la entrada: El término inglés “likelihood” (probabilidad) no tiene un equivalente directo en algunos
idiomas; en su lugar se utiliza con frecuencia el término probabilidad. Sin embargo, en inglés la palabra
“probability” (probabilidad matemática) se interpreta frecuentemente de manera más limitada como un
término matemático. Por ello, en la terminología de gestión del riesgo, “likelihood” se utiliza con la misma
interpretación amplia que tiene la palabra probabilidad en otros idiomas distintos del inglés.

Curso Gestión del Riesgo bajo ISO 31000:2018

3.8 control
medida que mantiene y/o modifica un riesgo (3.1)
Nota 1 a la entrada: Los controles incluyen, pero no se limitan a cualquier proceso, política, dispositivo,
práctica u otras condiciones y/o acciones que mantengan y/o modifiquen un riesgo.
Nota 2 a la entrada: Los controles no siempre pueden producir el efecto de modificación previsto o asumido.

Curso Gestión del Riesgo bajo ISO 31000:2018

  MODELOS DONDE LA GESTIÓN DEL RIESGO ES APLICADA

Este curso tiene una orientación hacia la aplicación de los conceptos de riesgos y
oportunidades en las normas de Sistemas de Gestión, sin embargo es importante
considerar que muchos modelos, que no se basan en normas ISO de Sistemas de Gestión,
también consideran la gestión del riesgo; por ejemplo:

 BASC – Modelo de Seguridad en la cadena de suministro del Bussiness Alliance for

Secure Commerce.
 Modelo Integrado de Planeación y Gestión (Decreto Colombiano para Entidades
Públicas).
 Modelo COSO.
 Modelos de gestión de proyectos bajo las directrices del PMI ®.
 Entre muchos otros.

Entre las normas de Sistemas de Gestión de ISO que incluyen dentro de sus requisitos la
gestión del Riesgo y las Oportunidades, se encuentran, entre otras:

NORMA NOMBRE
ISO 21001 Sistemas de gestión para organizaciones de educación
Sistemas de gestión de la calidad para la industria del petróleo,
ISO 29001
petroquímica y gas natural
ISO 9001 Sistemas de gestión de la Calidad
ISO 22000 Sistemas de gestión de la seguridad alimentaria
ISO 35001 Sistemas de gestión de bioriesgo en laboratorios
ISO 14001 Sistemas de gestión ambiental
ISO 19600 Sistemas de gestión del compliance
ISO 37001 Sistemas de gestión antisoborno
ISO 55001 Sistemas de gestión de activos
ISO/IEC 27001 Sistemas de gestión de la seguridad de la información
ISO 18788 Sistemas de gestión para operaciones de seguridad privada
ISO 45001 Sistemas de gestión de la Seguridad y Salud en el Trabajo
ISO 28000 Sistemas de gestión de la seguridad en la cadena de suministro

Curso Gestión del Riesgo bajo ISO 31000:2018

  TALLER 1

Hacer una lectura de los siguientes apartes de las normas mencionadas:

NORMA APARTES
6.1
5.1.2.b
ISO 9001:2015
8.3.5.d
8.5.1.g
ISO 14001:2015 6.1
ISO 45001:2018 6.1

Con base en esta información, elaborar un documento de dos (2) páginas en tamaño carta,
márgenes normales de Microsoft Word, letra arial 12 a espacio sencillo; que incluya una
estrategia o plan para gestionar el riesgo y las oportunidades de una organización que
fabrica zapatos de cuero para uniformes escolares.

Envíe el documento al tutor a través de la plataforma.

___________________________FIN MÓDULO 1__________________________

 WEBGRAFÍA/BIBLIOGRAFÍA

- Norma ISO 31000:2018. Gestión del Riesgo – Directrices.

- Norma ISO 9001:2015
- Norma ISO 14001:2015
- Norma ISO 45001:2018

Curso Gestión del Riesgo bajo ISO 31000:2018