Gestión Riesgos ISO31000

GESTIÓN DE
RIESGOS
ISO 31000:2018
GESTIÓN DE RIESGO ISO 31000:2018

Reglas del Curso
Ubicación Salidas de Emergencias
Ubicación Extintor Uso del Celular

Presentación
1. Nombres y Apellidos.
2. Empresa y Área donde
labora.
3. Conocimiento de las Norma
ISO 31000:2018
4. Objetivos de asistir al curso.

Objetivos del curso
1. Fortalecer los conceptos clave para la gestión de riesgos.
2. Identificar la importancia de la gestión de riesgos
3. Interpretar los requisitos de la norma ISO 31000 sobre la gestión de riesgos.
4. Entender la aplicación de la ISO 31000.
5. Reflexionar sobre la gestión de riesgos en su organización

ISO 31000
Metodología a seguir
1 Participación activa
2 Ejecución de Talleres
3 Maximizar el intercambio de conocimiento
4 Respeto y libertad de diálogo
“El talento gana juegos, pero el trabajo en equipo y

la inteligencia gana campeonatos”.
Michael Jordan.

Sesion 1
1. Introducción
2. Beneficios de la Gestión de Riesgos
3. Estructura de la Norma
4. Términos y Definiciones

INTRODUCCIÓN

ISO 31000
¿Qué es la Gestión de Riesgos?
¿Qué tienen en común estas fotografías?

¿Qué es un Proceso?
“Conjunto de actividades mutuamente relacionadas o que interactúan, las

cuales transforman elementos de entrada en resultados”

¿Gestionar los Riesgos por procesos es una Necesidad?
El nuevo enfoque de los diferentes sistemas de gestión (ISO 9001:2015, ISO

14001:2015 e ISO 45001:2018) fortalecen la Gestión por Procesos e incorporan
como herramientas para la alta Dirección la Gestión de Riesgos y Controles.
La incorporación de nuevos elementos de la norma, permiten la integración y

simplificación de requisitos y buenas prácticas de gestión y control.

ISO 31000
Riesgo
❑ El riesgo es inherente a toda actividad humana.

❑ Ponemos en práctica la gestión del riesgo todo el tiempo, consciente o
inconscientemente, al tomar decisiones
¿Pido un taxi ? ¿Voy al partido? ¿Operamos o nó? ¿Acepto?
❑ La gestión del riesgo es un proceso clave tanto en la gestión de negocios como

para las personas
El Peligro, es una fuente con potencial de daño (diferentes categorias).
Fuente de Riesgo, elemento que solo o combiando tienen un potencial intrínseco de desencadenar un
riesgo.

ISO 31000
Riesgo
➢ Una gestión eficaz del riesgo puede reducir la incertidumbre y prever el futuro
(no predecirlo)
➢ Para estar preparados para el futuro necesitamos datos fiables como: datos
históricos y simulaciones de modelos de probabilidad.
➢ Los escenarios de riesgo pueden representar oportunidades para las
organizaciones
➢ El riesgo también es una cuestión de percepción:

Niveles de Riesgo
• Peligros comunes del Site que
Nivel 4
vienen del registro de cada área,
tambien se consideran los peligros
externos que pueden impactaar al
Site.
Nivel 3 • Peligros comunes a los que esta

expuesto el trabajador en su área.
Nivel 2 • Desempeño del equipo de trabajo

con la participación del Supervisor
Nivel 1
• Desempeño del trabajador –
análisis de riesgo - Proactivo

DINÁMICA 1
Listar 5 riesgos potenciales que tiene Perú.

¿Para qué Gestionar Riesgos?
Proporciona una seguridad razonable en relación con el logro de los objetivos

de Gestión (Estratégicos, Tácticos y Operativos) de las organizaciones.
Eventos o incertidumbre
¿Para qué sirve ❑ Identificar que puedan afectar
la Gestión de
Riesgos y ❑ Proteger significativamente al
Controles? ❑ Tomar acciones cumplimiento de los
objetivos de las
organizaciones.

La Trilogía de la Gestión de Riesgos
Actividades que nos

Aquello que RIESGO ayudan a responder
queremos lograr OBJETIVO CONTROL a los riesgos
facilitando el logro de
los objetivos
Aquello que puede impedir que

alcancemos estos objetivos
Para definir los controles requeridos en un proceso es importante analizar ¿qué

queremos lograr en la organización? ……OBJETIVOS

Gestión de Riesgos y Controles
RIESGO
OBJETIVO CONTROL
• “Fin al que se desea llegar o la meta que se pretende lograr”
• ESTRATÉGICOS: referidos a metas de alto nivel, alineadas y dando soporte a la misión /

visión de la organización.
• OPERATIVOS: referidos a la eficiencia y eficacia de las actividades de la

organización, incluyendo los objetivos de rentabilidad y desempeño.
• REPORTE: referidos a la fiabilidad de la información suministrada por la organización,

que incluye datos internos y externos, así como información financiera y no financiera.
• CUMPLIMIENTO: referidos al cumplimiento de las leyes y aplicables.

RIESGO
OBJETIVO CONTROL
“Efecto de la incertidumbre sobre los objetivos”
Todo evento de ocurrencia incierta que de materializarse genera un impacto

positivo o negativo en el logro o cumplimiento de los objetivos de los
procesos.

RIESGO
OBJETIVO CONTROL
“Medida que mantiene y/o modifica un riesgo.”
Actividades establecidas para gestionar los riesgos y potenciar el logro

de los objetivos. Deben ser específicas, periódicas, medibles y verificables.
PREVENCION CONTROL MITIGACION

BENEFICIOS DE LA GESTIÓN
DEL RIESGO

VIDEO

Beneficios de la Gestión de Riesgos
Fuente: Enterprise risk management—Applying enterprise risk management to environmental, social and governance-related risks. Executive summary. October, 2018.

ISO 31000
Beneficios de Gestión del Riesgo
➢ ¿Qué pasó?
➢ ¿Por qué se materializó el riesgo?
➢ ¿Cuáles fueron sus causas?
➢ ¿Qué papel tiene la gestión de riesgos?
➢ ¿Cuáles fueron las consecuencias?
➢ ¿Qué acciones se tomaron?
➢ ¿Por qué se repiten este tipo de cosas?

ISO 31000
➢ Incrementa la probabilidad de lograr los

Objetivos y Metas.
➢ Promueve la gestión proactiva.
➢ Mejora la identificación de amenazas y

oportunidades.
➢ Contribuye con el cumplimiento de normas y

regulaciones.
➢ Mejora el gobierno corporativo.
➢ Mejora la seguridad y confianza de las partes

interesadas.
➢ Mejora el aprendizaje organizacional

ISO 31000
➢ Establece una base confiable para la toma de

decisiones.
➢ Mejora los controles internos.
➢ Mejora la eficiencia y efectividad operacional.
➢ Incrementa la salud y seguridad, y el ambiente

de protección.
➢ Asignar y usar eficazmente los recursos para el

tratamiento del riesgo.
➢ Reduce los eventos de pérdida e incidentes y

fomenta su prevención.
➢ Mejora la resiliencia Organizacional e

incrementa la ventaja competitiva.
ESTRUCTURA DE LA NORMA
ISO 31000:2018

¿Qué es ISO?
International Organization for Stardardization

Organización Internacional para la Normalización
La Organización Internacional para la • Está conformado por 164 países.

Normalización (ISO) es el mayor desarrollador • Sede central en Ginebra, Suiza
en el mundo de Normas Internacionales
voluntarias, que establecen las Las normas desarrolladas por ISO son
especificaciones técnicas para productos, voluntarias, comprendiendo que ISO
servicios y buenas prácticas, contribuyendo a es un organismo no gubernamental y no
hacer que la industria sea más eficiente y depende de ningún otro organismo
eficaz. internacional; por lo tanto, no tiene
autoridad para imponer normas a ningún
Estas son desarrolladas a través de un país.
consenso global, que ayudan a eliminar las
barreras al comercio.
MISIÓN
Buscar la estandarización de normas de productos y seguridad
para las empresas u organizaciones (públicas o privadas) a nivel
internacional.
Norma VS Metodología
NORMA METODOLOGÍA
• Documento de referencia que cubre un • Estructura rigurosa y formalizada

amplio interés industrial
• Utiliza recursos eficazmente para
• Basado en un proceso voluntario, lograr resultados deseados
aprobado por una organización
reconocida • Depende de herramientas
• Proporciona directrices o • Responde al “Cómo hacer”

especificaciones de las actividades
• Responde al “Por qué” y al “Qué”

ISO 31000: ¿Norma o Metodología?
La ISO 31000
Proporciona directrices para la gestión del riesgo

NO proporciona ningún método específico para la gestión del riesgo
SE PUEDEN UTILIZAR UNA SERIE DE METODOLOGÍAS

EXISTENTES

Enfoque ISO 31000
Organizaciones de todos los tipos y tamaños se

Contribuye a la mejora de los sistemas de enfrentan a factores e influencias externas e
gestión, es parte de todas las actividades internas que hacen incierto el logro de sus
asociadas con la organización e incluye la objetivos.
interacción con las partes interesadas.
Es iterativa y asiste a las
Es parte de la gobernanza y el liderazgo y organizaciones a establecer su
es fundamental en la manera en que se estrategia, lograr sus objetivos y
gestiona la organización en todos sus tomar decisiones informadas.
niveles.
Dirigido a los que crean y protegen el valor en las organizaciones gestionando riesgos,
tomando decisiones, estableciendo y logrando objetivos y mejorando el desempeño.

Enfoque ISO 31000
La gestión del riesgo

está basada en:

Estructura de la Norma ISO 31000:2018
ISO 31000
1.Objeto y
2. Referencias 3.Términos y 5.Marco de
campo de 4.Principios 6.Proceso
Normativas definiciones Referencia
aplicación
5.1.Generalidades 6.1.Generalidades
5.2. Liderazgo y 6.2.Comunicación y

compromiso Consulta
Más allá de la gestión de riesgos

5.3. Integración
6.3.Alcance, contexto y
criterios
6.4.Evaluación del
5.4.Diseño Riesgo
6.5.Tratamiento del
5.5. Implementación Riesgo
6.6.Seguimiento y
5.6.Valoración Revisión
5.7. Mejora 6.7.Registro e informe

2. Objetivo y Campo de Aplicación
Objeto y Campo de Aplicación ISOde31000
Aplicación Gestión del Riesgo
✓ La aplicación de estas directrices puede

adaptarse a cualquier organización y a
su contexto.
✓ Proporciona un enfoque común para

gestionar cualquier tipo de riesgo y no es
específico de una industria o un sector.
✓ A lo largo de la vida de la organización y

puede aplicarse a cualquier actividad,
incluyendo la toma de decisiones a todos
los niveles.

Objeto y Campo de Aplicación ISOde31000
Aplicación Gestión del Riesgo
Considera todas las categorías de riesgos:
UNIVERSO
DE
RIESGOS
Peligros

Principales Cambios en Principales
la Actualización
Cambios en la Actualización
Se revisan los principios de la gestión del riesgo – Criterios claves de éxito.
Se destaca el liderazgo de la alta dirección y la integración de la

gestión del riesgo – Modelo de Gobierno.
Esta segunda edición ha sido Mayor énfasis en la naturaleza iterativa de la gestión del riesgo,
señalando que las nuevas experiencias, el conocimiento y el análisis
revisada técnicamente. pueden llevar a una revisión de los elementos del proceso, las acciones
y los controles en cada etapa del proceso;
Anula y sustituye a la primera
edición
(ISO 31000:2009) Se simplifica el contenido con un mayor enfoque en mantener un modelo
abierto para adaptarse a múltiples necesidades y contextos.

TALLER N° 01

Sesion 2
1. Principios de la Gestión de Riesgos

2. Marco de Referencia para la Gestión de Riesgos

TÉRMINOS Y DEFINICIONES

ISO 31000
Términos y Definiciones
3.1 Riesgo
Efecto de la incertidumbre sobre los objetivos.
Un efecto es una desviación positiva y/o negativa, respecto

a lo previsto.
La incertidumbre es el estado de deficiencia en la

información relativa a la comprensión o conocimiento del Objetivo Riesgo Control Alineación
suceso, de sus consecuencias o probabilidad.
Los objetivos pueden tener diferentes aspectos y

categorías y se pueden aplicar a diferentes niveles.
El riesgo con frecuencia es expresado en términos de fuentes/eventos potenciales, sus

consecuencias y sus probabilidades :
Visión Positiva: Oportunidad
Probabilidad Consecuencia Visión Neutral:

(Ocurrencia) (impacto) Riesgo Probabilidad de sucesos
Visión Negativa: Amenza

CAUSAS
• Sistema Contra Incendio Inoperativo

¿Por qué puede • Inadecuado abastecimiento de agua
suceder? • Personal no calificado
Ejm. Riesgo:
• Sanciones por el Estado

“Inorportuna atención de •
•
Paralización de la Producción
Manifestaciones comunitarias
¿Qué puede • Contaminacion Ambiental
las Emergencia” suceder? • Perdida de informacion
• Retraso en la entrega de mi
producto/servicio
CONSECUENCIAS
• Pérdida de Equipos – OPERACIONAL

¿Qué podría • Pérdidas Humanas – SSO
ocasionar? • Daño Ambiental – AMBIENTAL
• Pérdida de Información – IT
• Pérdida de Producción – ESTRATEGICO
• Pérdida de Confianza PI – REPUTACION

ISO 31000
3.2 Gestión del Riesgo
Actividades coordinadas para dirigir y controlar una organización con relación

al riesgo.
3.3 Parte Interesada

Persona u organización que puede afectar, verse afectada, o percibirse como
afectada por una decisión o actividad.

ISO 31000
3.6 Consecuencia
Resultado de un suceso que afecta a los objetivos.
Puede ser cierta o incierta y puede tener efectos positivos o negativos,

directos o indirectos sobre los objetivos.
Se pueden expresar de manera cualitativa o cuantitativa.
Cualquier consecuencia puede incrementarse por efectos en cascada y efectos

acumulativos.
3.7 Probabilidad (likelihood)
Posibilidad de que un hecho se produzca.

Definida, medida o determinada objetiva o subjetivamente, cualitativa o cuantitativamente
Descrita utilizando términos generales o matemáticos (como una probabilidad matemática o una frecuencia en un periodo
de tiempo determinado).

TALLER N° 02

PRINCIPIOS PARA LA
GESTIÓN DE RIESGOS

Principios para la Gestión de Riesgos

ISO 31000
INTEGRADA
01
• La gestión del riesgo es parte integral de todas las actividades de la organización.
ESTRUCTURADA Y EXAUSTIVA
02 • Un enfoque estructurado y exhaustivo hacia la gestión del riesgo contribuye a
resultados coherentes y comparables.
ADAPTADA
03 • El marco de referencia y el proceso de la gestión del riesgo se adaptan y son

proporcionales a los contextos de la organización relacionados con sus
objetivos.
INCLUSIVA
04 • La participación apropiada y oportuna de las partes interesadas permite que se

consideren su conocimiento, puntos de vista y percepciones. Esto resulta en una
mayor toma de conciencia y una gestión del riesgo informada.

ISO 31000
DINAMICA
05 • Los riesgos pueden aparecer, cambiar o desaparecer con los cambios de los contextos
de la organización. La gestión del riesgo anticipa, detecta, reconoce y responde a esos
cambios y eventos de una manera apropiada y oportuna.
MEJOR INFORMACION DISPONIBLE
06
• La gestión de riesgo se basa en información histórica y actualizada. La información
debería ser oportuna, clara y disponible
FACTORES HUMANOS Y CULTURALES

07
• El comportamiento humano y la cultura influyen considerablemente en todos los
aspectos de la gestión del riesgo en todos los niveles y etapas.
MEJORA CONTINUA
08
• La gestión del riesgo mejora continuamente mediante aprendizaje y experiencia.

MARCO DE REFERENCIA
PARA LA GESTIÓN DE
RIESGOS

ISO 31000
¿Qué es un Marco de Referencia?
Conjunto de elementos que proporcionan los fundamentos y las disposiciones

de la organización para el diseño, implantación, seguimiento, revisión y mejora
continua de la gestión de riesgos en la organización.
Fundamentos: Disposiciones: Es parte de las

políticas y prácticas
Política, objetivos, estratégicas y
Planes, relaciones,
mandato y obligaciones de operacionales
compromiso para rendir cuentas, generales de la
gestionar riesgos recursos, procesos y organización.
actividades

ISO 31000
Marco de Referencia
5.4.1 Comprensión de la
organización y de su
5.3
contexto.
5.7.1 Adaptación 5.4.2 Articulación del
5.7.2 Mejora continua 5.7
5.4 compromiso con la gestión
5.2 del riesgo.
5.4.3 Asignación de roles,
autoridades,
responsabilidades y
obligaciones de rendir
5.6 5.5 cuenta en la organización.
5.4.4 Asignación de recursos.
5.4.5 Establecimiento de la
comunicación y consulta.

Marco de Referencia: 5.1 Generalidades
➢ Asistir a la organización en integrar la gestión del riesgo en

todas sus actividades y funciones significativas.
➢ La eficacia de la gestión del riesgo dependerá de su integración

en la gobernanza de la organización, incluyendo la toma de
decisiones. Esto requiere el apoyo de las partes interesadas,
particularmente de la alta dirección.
➢ Implica integrar, diseñar, implementar, valorar y mejorar la

gestión del riesgo a lo largo de toda la organización.
➢ La organización debería valorar sus prácticas y procesos

existentes de la gestión del riesgo, valorar cualquier brecha y
abordar estas brechas en el marco de referencia.
➢ Los componentes del marco de referencia y la manera en la que

trabajan juntos, deberían adaptarse a las necesidades de la
organización.

Marco de Referencia: 5.2 Liderazgo y Compromiso
➢ Adaptar e implementar todos los componentes del marco de

referencia.
➢ Publicar una declaración o una política que establezca un enfoque,

un plan o una línea de acción para la gestión del riesgo.
La alta dirección y los
➢ Asegurar que los recursos necesarios se asignan para gestionar los
órganos de supervisión,
deberían asegurar que la riesgos.
gestión del riesgo esté
➢ Asignar autoridad, responsabilidad y obligación de rendir cuentas
integrada en todas las
en los niveles apropiados dentro de la organización.
actividades de la
organización y deberían ➢ Comunicar apropiada y asertivamente toda la información
demostrar el liderazgo
relacionada sobre la gestión y tratamiento de los riesgos.
y compromiso con:

ISO 31000
Esto ayudará a la organización:
Alinear la gestión del riesgo con sus objetivos, estrategia y

cultura.
Reconocer y abordar todas las obligaciones.
Establecer magnitud y tipo de riesgo que puede o no ser

tomado para guiar el desarrollo de los criterios del riesgo.
Comunicar el valor de la gestión del riesgo a la organización y

sus partes interesadas.
Promover el seguimiento sistemático de los riesgos;
Asegurarse de que el marco de referencia de la gestión del

riesgo permanezca apropiado al contexto de la
Organización.

ISO 31000
La alta dirección rinde cuentas por gestionar el riesgo.

Los órganos de supervisión rinden cuentas por la supervisión de la gestión
del riesgo:
Los riesgos se consideran apropiadamente cuando se

establezcan los objetivos de la organización.
Comprendan los riesgos a los que hace frente la organización.
Que los sistemas para gestionar estos riesgos se implementen y

operen eficazmente.
Que estos riesgos sean apropiados en el contexto de los

objetivos de la organización.
La información sobre estos riesgos y su gestión se comunique

de la manera apropiada.
Pilares de Gobierno de la Gestión de Riesgos
STAKEHOLDERS
Proveedores/ Sociedad/ Gobierno/ Acreedores/ Accionistas/ Dirección/ Empleados
CONSEJO DE ADMINISTRACION
Responsabilidad Cultura Estrategia Monitoreo
COMITES ALTA DIRECCION

Practicas societarias / Finanzas / Auditoría /
Evaluación y Compensación CEO / COO / CFO / CIO / CMO / CTO / CCO
REQUERIMIENTOS GOBIERNO Y CONTROL FRAUDE

Regulatorios y de Reporte
REGULATORIOS Evaluación del

Circular única, SOX Evaluación de
Consejo (JD) Vulnerabilidad
Solvencia, CPM, Comités
Superintendencias
Prevención
Adm integral
Marco, Riesgos
Ambiente de
documentación y (Técnico, financiero
Control
pruebas de contraparte, crédito
(Ética, Cultura)
controles Operacional
Estrategico,
regulatorio) Reportes
Evaluación de Auditoría interna Financiero
procesos reporte Controles internos
Este Gráfico es ilustrativo sobre un modelo de gobierno de riesgos. Pero no esta descrito en la norma.
Marco de Referencia: 5.3 Integración
La integración de la gestión del riesgo depende de la comprensión de las

estructuras y el contexto de la organización. El riesgo se gestiona en cada parte
de la estructura y todos tienen la responsabilidad de gestionar el riesgo.
► La integración de la gestión del riesgo en la
organización es un proceso dinámico e

iterativo.
► Se debería adaptar a las necesidades y a la
cultura de la organización.
► Debería ser una parte del propósito, la
gobernanza, el liderazgo y compromiso, la

estrategia, los objetivos y las operaciones de la
organización

Marco de Referencia: 5.3 Integración
Misión
Objetivos Organización Valores Objetivos de la

gestión del riesgo
Alineación
Estratégica
Estrategias
Política de la empresa Política de Gestión de Riesgos

ISO 31000
Marco de Referencia: 5.4.1 Diseño - Contexto
Entender el ENTORNO en el que la
Contexto organización opera. Define las
1.Comprensión de
Interno relaciones de la organización y su
ambiente externo de negocios y
la organización y
de su contexto Demografía,
pretende identificar:
Responsabilidad social
Influencia Stakeholders
Terrorismo, presión medios y publico
Cambio de Emisiones
2.Articulación del Gobierno Residuos
compromiso con la
EXTERNOS (Impulsores)
gestión del riesgo Legislación Energía
FACTORES DE RIESGO
OPORTUNIDAD
DEBILIDADES
Políticas ES Catastrofes
3.Asignación de
Diseño
Publicas naturales
roles, autoridades,
responsabilidades Regulación EMPRESA Desarrollo
y obligaciones de Misión, Visión sostenible OBJETIVOS
rendir cuenta en la
organización EXPECTATIVAS
PERCEPCIONES
Tecnologias FORTALEZAS AMENAZAS Disponibilidad
Emergentes de Capital
4.Asignación de Alianzas ANÁLISIS

Bases de Datos Estratégicas
recursos
Inteligencia de Competitividad ACCIONES
Negocios Mercado
Estándares Desempleo
tecnológicos Competencia Contexto
5.Establecimiento Externo
de la comunicación
y consulta

ISO 31000
Marco de Referencia: 5.4.2 Diseño – Compromiso
1.Comprensión de El mecanismo que defina la organización puede ser: una política,

la organización y
de su contexto
una declaración, otras formas que expresen claramente los objetivos
y el compromiso de la organización con la gestión del riesgo e
2.Articulación del incluye:
compromiso con la
gestión del riesgo
► Propósito de la organización para gestionar el riesgo y los vínculos
con sus objetivos y otras políticas.
Diseño
3.Asignación de
roles, autoridades, ► Necesidad de integrar la gestión del riesgo en la cultura de la
responsabilidades organización.
y obligaciones de
rendir cuenta en la ► Integración de la gestión del riesgo en las actividades principales del
organización
negocio y toma de decisiones.
► Autoridades, las responsabilidades y la obligación de rendir cuentas.
► Disponibilidad de los recursos necesarios.
4.Asignación de
recursos ► La manera de manejar los objetivos en conflicto.
► La medición e informe como parte de los indicadores de desempeño.
► La revisión y la mejora.
5.Establecimiento
de la comunicación
y consulta
Debe comunicarse en todos los niveles de la organización y a sus partes interesadas.
ISO 31000
Marco de Referencia: 5.4.3 Diseño – Roles y Responsabilidades
1.Comprensión de La Alta Dirección y los órganos de supervisión, deberían asegurarse

la organización y
de su contexto
de que las autoridades, las responsabilidades y la obligación de
rendir cuentas de los roles relevantes con respecto a la gestión del
2.Articulación del riesgo se asignen y comuniquen a todos los niveles de la
compromiso con la
gestión del riesgo
organización:
Diseño
3.Asignación de
roles, autoridades,
responsabilidades Enfatizar que la gestión del riesgo es una responsabilidad principal.
y obligaciones de
rendir cuenta en la Identificar a las personas que tienen asignada la obligación de rendir cuentas, e
organización
Identificar la autoridad para gestionar el riesgo (dueños del riesgo).
4.Asignación de
recursos
5.Establecimiento
de la comunicación
y consulta

Marco de Referencia: 5.4.3 Diseño
1.Comprensión de Responsable
la organización y
de su contexto Realiza el trabajo y es responsable por su
realización. Lo más habitual es que exista sólo un
R, si existe más de uno, entonces el trabajo debería
ser subdividido a un nivel más bajo, usando para
ello las matrices RACI. Es quien debe ejecutar las
2.Articulación del tareas.
compromiso con la
gestión del riesgo Aprobador
Se encarga de aprobar el trabajo finalizado y a
R A C I partir de ese momento, se vuelve responsable por
Diseño
3.Asignación de
roles, autoridades, él. Sólo puede existir un A por cada tarea. Es quien
responsabilidades debe asegurar que se ejecutan las tareas..
y obligaciones de Esta herramienta es una matriz o
rendir cuenta en la tabla, cuyo propósito es describir
organización
qué grado de responsabilidad tienen Consultado
diferentes recursos (personas, Este rol posee alguna información o capacidad
grupos, roles) necesaria para terminar el trabajo. Se le informa y
4.Asignación de se le consulta información (comunicación
recursos bidireccional).
Informado
Este rol debe ser informado sobre el progreso y los
5.Establecimiento resultados del trabajo. A diferencia del Consultado,
de la comunicación
y consulta la comunicación es unidireccional.

R-A-C-I
El concepto del análisis Vertical

Si se
Entonces se pregunta:
encuentra:
Análisis Vertical ¿Es posible que ese individuo pueda manejar tanto? ¿Se
Muchas R’s podrá separar la actividad / decisión en funciones mas
• Muchas R’s
pequeñas y más manejables?
• No deben haber espacios vacíos
• Falta de R’s o A’s
• Calificaciones ¿Es necesario que ese individuo este involucrado en tantas
No hay actividades? ¿Existe la delegación de actividades? ¿Se
Ejemplo espacios puede utilizar la gerencia por excepción? ¿Se pueden
vacíos reducir las C’s a I’s o Se podrá dejar a discreción del
Rol Rol Rol Rol Rol Rol individuo decidir cuando algo necesita atención?
A B C D E F
¿Debería eliminarse este papel funcional? ¿Habrán
Tarea 1 A C I No hay R’s ni
cambiado los procesos al punto donde recursos deben ser
A’s
re-utilizados?
Tarea 2 R C I
Tarea 3 C I R A ¿Existe una optima separación de deberes? ¿Deberían otros
grupos ser responsables con consecuencia “accountable”
Tarea 4 R Demasiadas por algunas de estas actividades para asegurar que haya
A’s verificaciones y equilibrio y una toma de decisiones precisa a
lo largo del proceso? ¿Hay cuellos de botella? ¿Todo el
Tarea 5 I A C mundo esta esperando instrucciones?
Calificacione ¿Tenemos el nivel de participación alineado con las

s calificaciones requeridas para este rol?

R-A-C-I
El concepto del análisis Horizontal
Si se
Entonces se pregunta:
encuentra:
Análisis Horizontal ¿Se está llevando a cabo la tarea? Otros roles pueden estar
Falta de R’s esperando para aprobar, ser consultados o informados.
• Falta de o demasiadas R’s • Cada recuadro lleno Nadie ve la actividad como parte de su trabajo.
• Falta de o demasiadas A’s • Demasiadas C’s
• Muy pocas A’s/R’s • Demasiadas I’s Demasiadas ¿Es esta una señal de actividades “over the wall”? “Llévatela
R’s ya de mi escritorio!”
¿Por qué no? Debe haber una “A”. La imputabilidad debe

Ejemplo Falta de A’s
ser empujada hacia abajo hasta los niveles apropiados
Rol Rol Rol Rol Rol Rol
A B C D E F ¿Hay confusión? “Yo pensé que tu lo tenías!?” También
Demasiadas crea confusión porque cada persona con una “A” tiene una
Tarea 1 A C I A’s manera diferente de cómo son las cosas y quién debe
hacerlo
Tarea 2 R C I ¿Se está llevando a cabo la tarea? Otros roles pueden estar
Falta de R’s
esperando para aprobar, ser consultados o informados.
Tarea 3 C I R A Nadie ve la actividad como parte de su trabajo.
Demasiadas ¿Es esta una señal de actividades “over the wall”? “Llévatela
Tarea 4 R R’s ya de mi escritorio!”
¿Por qué no? Debe haber una “A”. La imputabilidad debe
Tarea 5 I A C Falta de A’s
ser empujada hacia abajo hasta los niveles apropiados
¿Hay confusión? “Yo pensé que tu lo tenías!?” También
Demasiadas crea confusión porque cada persona con una “A” tiene una
A’s manera diferente de cómo son las cosas y quién debe
hacerlo

TALLER N° 03

ISO 31000
Marco de Referencia: 5.4.4 Diseño - Recursos
1.Comprensión de Debería proporcionar los recursos apropiados, considerando lo

la organización y
de su contexto
siguiente:
Las personas, habilidades, a experiencia y las competencias

2.Articulación del
compromiso con la Recursos necesarios para las etapas del proceso de gestión del riesgo
gestión del riesgo
Procesos de la organización, métodos y herramientas
Procesos y procedimientos documentados

Diseño
3.Asignación de
roles, autoridades,
responsabilidades Sistemas de gestión de la información y del conocimiento
y obligaciones de
rendir cuenta en la Desarrollo profesional y las necesidades de formación.
organización
4.Asignación de
recursos
5.Establecimiento
de la comunicación
y consulta

ISO 31000
Marco de Referencia: 4.5.5 Diseño – Comunicación y Consulta
Establecer un enfoque aprobado con relación a la comunicación y la consulta.

1.Comprensión de
la organización y
de su contexto La comunicación implica compartir información con el público objetivo.
La consulta implica que los participantes proporcionen retroalimentación con la

expectativa de que ésta contribuya y dé forma a las decisiones u otras actividades.
2.Articulación del
compromiso con la
gestión del riesgo Los métodos y el contenido de la comunicación y la consulta deberían reflejar las
expectativas de las partes interesadas, cuando sea pertinente.
Diseño
3.Asignación de
roles, autoridades, La comunicación y la consulta deberían ser oportunas y asegurar que se recopile,
responsabilidades
y obligaciones de
rendir cuenta en la consolide, sintetice y comparta la información pertinente, cuando sea apropiado, y
organización
que se proporcione retroalimentación y se lleven a cabo mejoras.
4.Asignación de
recursos
5.Establecimiento
de la comunicación
y consulta

ISO 31000
Marco de Referencia: 5.5 Implementación
La organización debería implementar el marco de referencia mediante:
Desarrollo de un plan apropiado incluyendo plazos y recursos.
Identificación de dónde, cuándo, cómo y quién toma diferentes tipos de

decisiones en toda la organización.
Modificación de los procesos aplicables para la toma de decisiones.
Aseguramiento de que las disposiciones para gestionar el riesgo son

claramente comprendidas y puestas en práctica.
Abordar la incertidumbre en la toma de decisiones y asegura que

cualquier incertidumbre nueva o subsiguiente se pueda tener en cuenta
cuando surja.
Si se diseña e implementa correctamente:

Se asegurará que el proceso de la gestión del riesgo sea parte de
todas actividades en toda la organización, incluyendo la toma de
decisiones.
Y que los cambios en los contextos externo e interno se captarán
de manera adecuada.

ISO 31000
Marco de Referencia: 5.6 Valoración
Para valorar la eficacia del marco de referencia de la gestión

del riesgo, la organización debería:
► Medir periódicamente el desempeño del marco de

referencia de la gestión del riesgo:
o Con relación a su propósito
o Planes para la implementación
o Indicadores
o Comportamiento esperado,
► Determinar si permanece idóneo para apoyar el logro de los

objetivos de la organización.

ISO 31000
Marco de Referencia: 5.7 Mejora
Adaptación
La organización debería realizar el seguimiento continuo

y adaptar el marco de referencia de la gestión del riesgo
en función de los cambios externos e internos.
Al hacer esto, la organización puede mejorar su valor.
Mejora continua
► Debería mejorar continuamente la idoneidad,
adecuación y eficacia del marco de referencia de la
gestión del riesgo y la manera en la que se integra el
proceso de la gestión del riesgo.
► Desarrollar planes y tareas y asignarlas a quienes
tuviesen que rendir cuentas de su implementación para
contribuir al fortalecimiento de la gestión del riesgo.

5. Marco de Referencia
“La rendición de cuentas es el proceso por
Liderazgo y Compromiso
medio del cual una organización se
compromete y ayuda a equilibrar las
necesidades de los actores en su toma de
decisiones y actividades, y entrega resultados
de acuerdo con este compromiso…
(Adaptado de One World Trust 2005)

Sesion 3
1. Procesos para la Gestión de Riesgos

PROCESO PARA LA GESTIÓN
DE RIESGOS

ISO 31000
Proceso: 6.1 Generalidades
Implica la aplicación sistemática de políticas, procedimientos y prácticas a las actividades

de comunicación y consulta, establecimiento del contexto y evaluación, tratamiento,
seguimiento, revisión, registro e informe del riesgo.
► Debería ser una parte integral de la gestión y

de la toma de decisiones.
► Se debería integrar en la estructura, las
operaciones y los procesos de la
organización.
► Puede aplicarse a nivel estratégico,
operacional, de programa o de proyecto.
► Adaptadas para lograr objetivos, y
apropiadas a los contextos externo e interno
en los cuales se aplican.
► Considerar la naturaleza dinámica y variable
del comportamiento humano y de la cultura.
► Aunque el proceso de la gestión del riesgo
se presenta frecuentemente como
secuencial, en la práctica es iterativo.

ISO 31000
Proceso: 6.2 Comunicación y Consulta
El propósito de la comunicación y consulta es asistir a las partes interesadas a

comprender el riesgo, las bases con las que se toman decisiones y las
razones por las que son necesarias acciones específicas.
La comunicación, busca promover la La consulta, consulta implica obtener

toma de conciencia y la comprensión del retroalimentación e información para
riesgo apoyar la toma de decisiones.
► Intercambio de información basado en hechos, oportuno, pertinente, exacto y comprensible,
teniendo en cuenta la confidencialidad e integridad de la información y derecho a la privacidad

de las personas.
► Se debería realizar en todas y cada una de las etapas del proceso.

ISO 31000
Proceso: 6.2 Comunicación y Consulta
La comunicación y consulta pretende:
Reunir diferentes áreas de experiencia.
Considerar los diferentes puntos de vista

cuando se definen los criterios del riesgo y
cuando se valoran los riesgos.
Proporcionar información para la

supervisión del riesgo y la toma de
decisiones.
Proveedores
Construir un sentido de inclusión y

propiedad entre las personas afectadas por el
riesgo.

DINÁMICA 3
Identificar las partes interesadas

ISO 31000
Proceso: 6.3 Alcance, Contexto y Criterios - Generalidades
El propósito del establecimiento del alcance, contexto y criterios

1. Generalidades
es adaptar el proceso de la gestión del riesgo, para permitir
una evaluación eficaz y un tratamiento apropiado.
Alcance, Contexto y Criterios
El alcance, el contexto y los criterios implican:

2.Definición del
Alcance Definir el alcance del proceso.
Comprender los contextos externo e interno.
3.Contexto
Externo e Interno
4.Definición de
los criterios del
riesgo

ISO 31000
Proceso: 6.3.2 Alcance, Contexto y Criterios - Alcance
El propósito del establecimiento del alcance, contexto y criterios es

1. Generalidades adaptar el proceso de la gestión del riesgo, para permitir una
evaluación del riesgo eficaz y un tratamiento apropiado del riesgo.
Se debe tener en cuenta:

2.Definición del
► Los objetivos y las decisiones que se necesitan tomar.
Alcance ► Los resultados esperados de las etapas a ejecutar en el proceso.
► El tiempo, la ubicación, las inclusiones y las exclusiones especificas.
► Las herramientas y las técnicas apropiadas de evaluación del riesgo.
► Los recursos requeridos, responsabilidades y registros a conservar.
► Las relaciones con otros proyectos, procesos y actividades.
3.Contexto
Externo e Interno
Alcance Sistema
4.Definición de
los criterios del
riesgo
Alcance Gestión de Riesgos

Proceso:ISO
6.3.3 Alcance, Contexto y Criterios – Contexto Interno y
31000
Contexto Externo
Los contextos externo El contexto del proceso de la gestión se

1. Generalidades
e interno son el debería establecer a partir de la comprensión
entorno en el cual la de los entornos externo e interno en los
organización busca cuales opera la organización.
definir y lograr sus *Debería reflejar el entorno específico de la actividad
objetivos. en la cual se va a aplicar el proceso.
2.Definición del
Alcance
La comprensión del contexto es importante
porque:
► La Gestión del Riesgo tiene lugar en el contexto de
los objetivos y las actividades de la organización.
3.Contexto ► Los factores organizacionales pueden ser una
Externo e Interno fuente de riesgo.
► El propósito y alcance del proceso de la gestión del
riesgo puede estar interrelacionado con los
objetivos de la organización como un todo.
4.Definición de
los criterios del
riesgo La organización debería establecer los contextos externo e interno del proceso de la gestión
del riesgo considerando los factores mencionados en 5.4.1.

Proceso: 6.3.3 Alcance, Contexto y Criterios
CATEGORIAS DE RIESGO
CONTEXTO EXTERNO
MATERIA PRIMA PROCESAMIENTO DISTRIBUCION CONSUMIDOR
CONTEXTO INTERNO
PROVEEDORES COMUNIDAD TRABAJADORES CLIENTES CONSUMIDOR GOBIERNO ONG

TALLER N° 04

ISO 31000
Proceso: 6.3.4 Alcance, Contexto y Criterios – Criterios del Riesgo
1. Generalidades
La organización debería precisar la cantidad y el tipo de
riesgo que puede o no puede tomar, con relación a los
objetivos:
2.Definición del ► Definir los criterios para valorar la importancia del riesgo y para apoyar los
Alcance procesos de toma de decisiones.
► Alinear al marco de referencia y adaptar al propósito y al alcance específicos
de la actividad considerada.
► Reflejar los valores, objetivos y recursos de la organización y ser coherentes
con las políticas y declaraciones acerca de la GR.
► Los criterios se deberían definir teniendo en consideración las obligaciones de
3.Contexto
Externo e Interno la organización y las partes interesadas.
► Los criterios del riesgo se establecen al principio del proceso de la evaluación del
riesgo; pero son dinámicos, y deberían revisarse continuamente y modificarse.
4.Definición de
los criterios del
riesgo

ISO 31000
Proceso: 6.3.4 Alcance, Contexto y Criterios – Criterios del Riesgo
1. Generalidades
Para establecer los criterios del riesgo, se debería
considerar lo siguiente:
► La naturaleza y los tipos de las incertidumbres que pueden afectar a los

resultados y objetivos (tanto tangibles como intangibles);

2.Definición del ► Cómo se van a definir y medir las consecuencias (tanto positivas como
Alcance negativas) y la probabilidad.
► Factores relacionados con el tiempo.
► Coherencia en el uso de las mediciones.
► Cómo se va a determinar el nivel de riesgo.
► Combinaciones y las secuencias de múltiples riesgos.
► Capacidad de la organización.
3.Contexto
Externo e Interno
4.Definición de
los criterios del
riesgo

ISO 31000
Definición de los Criterios del Riesgo
➢ Nivel de riesgo: Magnitud de un riesgo o de una combinación de riesgos, expresada en términos de

la combinación de las consecuencias y su probabilidad.
➢ Consecuencia: Resultado de un proceso que afecta los objetivos.
➢ Probabilidad: Posibilidad que un hecho se produzca.
Consecuencia Valor Probabilidad Valor
Catastrófico 5 Seguro 5
Mayor 4
Moderado 3
X Probable
Posible
4
3
= Nivel de
riesgo
Menor 2 Improbable 2
Insignificante 1 Raro 1

Definición de los Criterios del Riesgo
Cuantitativa Cualitativa
Uso de matemáticas Uso de escenarios de riesgo
Datos Objetivos (números) Datos subjetivos
Expresados en unidades monetarias Expresado en una escala gradual
Sobre la base de capacidad de los Basado en las percepciones de

expertos para estimar el riesgo en riesgo por parte de los interesados
términos financieros

ISO 31000
Proceso: 6.4.1 Evaluación del riesgo - Generalidades
La evaluación del riesgo es el proceso global de

1. Generalidades
identificación del riesgo, análisis del riesgo y valoración
del riesgo.
Evaluación del Riesgo
2.Identificación
del Riesgo
3.Análisis del
Riesgo
4.Valoración del
riesgo

ISO 31000
Proceso: 6.4.2 Evaluación del riesgo – Identificación del Riesgos
Permitirá encontrar, reconocer y describir los riesgos que están

bajo su control o fuera de este.
1. Generalidades
Se puede utilizar un rango de técnicas para identificar
incertidumbres. Considerar:
► Contar con información pertinente, apropiada y actualizada

2.Identificación ► Fuentes de riesgo tangibles e intangibles.

del Riesgo
► Causas y los eventos.
► Las amenazas y las oportunidades.
► Las vulnerabilidades y las capacidades.
3.Análisis del ► Los cambios en los contextos externo e interno.

Riesgo
► Indicadores de riesgos emergentes.
► Naturaleza y el valor de los activos y los recursos.
► Consecuencias y sus impactos en los objetivos;
4.Valoración del ► Limitaciones de conocimiento y la confiabilidad de la información.

riesgo
► Factores relacionados con el tiempo.
► Sesgos, los supuestos y las creencias de las personas involucradas.

ISO 31000
Proceso: 6.4.2 Evaluación del riesgo – Identificación del Riesgo
Proceso que comprende la búsqueda, reconocimiento y la descripción de los riesgos.
Identificar Todo individuo, grupo humano, entidad, elemento físico, o fenómeno

orígenes de del entorno, de los cuales se pueden derivar eventos que podrían
riesgo afectar o beneficiar las áreas de impacto (objetos en riesgo)
Es todo recurso, bien u oportunidad al cual la Organización le ha (o

Definir áreas de debe) asignar un valor y su afectación (en mayor o menor valor) podría
impacto comprometer el cumplimiento de sus objetivos y metas.
Sucesos Ocurrencia o cambio de un conjunto particular de circunstancias
Factores generador del riesgo

Causas y
consecuencias
Resultado de un proceso que afecta los objetivos

ISO 31000
EJEMPLO
Objetivo: Atender los gastos semanales oportunamente
Suceso /
Riesgo
= Evento + Causa + Consecuencia
Hecho o situación Impacto en la

que puede ocasionar Factor generador de organización si se
la materialización de la situación llegara a materializar
un riesgo el evento
Fraude en el cajero Debido a la aceptación Pérdida de $1.200.000

automático de ayuda de un (monto máximo a retirar
extraño en el momento por día), incumpliendo
del ingreso de la compromisos de pago
tarjeta y digitación de de la semana
la clave
Medios y Ayudas en la Identificación de Riesgos
Una información de buena calidad es importante para la identificación de

riesgos (Adicional al Contexto Externo / Interno):
Fuente de Entradas para la Identificación de Riesgo
► Experiencia local o en el extranjero.

► Informes de declaraciones de seguros.
► Registros de incidentes, y de análisis de fallas y de riesgos anteriores.
► Resultados e informes de auditorias, inspecciones y visitas en el sitio.
► Encuestas y cuestionarios.
► Listas de chequeo.
► Juicio de expertos.




Facilitator in the incident investigation processes with the ICAM
method. TALLER N° 05

ISO 31000
Proceso: 6.4.3 Evaluación del riesgo – Análisis de Riesgo
► Comprender la naturaleza del riesgo y sus características

1. Generalidades incluyendo, el nivel del riesgo.
► Implica el detalle de incertidumbres, fuentes de riesgo, consecuencias,

probabilidades, eventos, escenarios, controles y su eficacia.
► Puede tener múltiples causas y consecuencias y afectar a múltiples

2.Identificación
objetivos.
del Riesgo
► Las técnicas de análisis pueden ser cualitativas, cuantitativas o una
combinación de éstas.
► El análisis puede estar influenciado por factores, los que se deberían

considerar, documentar y comunicar a quienes toman decisiones.
3.Análisis del
Riesgo
► Los eventos de alta incertidumbre pueden ser difíciles de cuantificar.
Una combinación de técnicas generalmente proporciona una visión
más amplia.
► Entrada para la valoración del riesgo y el tratamiento. Entendimiento

del riesgos
Análisis de
impacto y
probabilidad
(Riesgo
4.Valoración del inherente)
riesgo Análisis del

Evaluación de
los controles
riesgo residual
existentes

Proceso: 6.4.3 Evaluación del riesgo – Análisis de Riesgos
¿Qué es el análisis del riesgo?

Proceso que permite comprender la naturaleza del riesgo y determinar el nivel de riesgo.
El análisis del riesgo debería considerar factores

Análisis de tales como:
impacto y ► La probabilidad de los eventos y de las
Entendimiento probabilidad consecuencias.
del riesgos ► La naturaleza y la magnitud de las consecuencias.
(Riesgo
inherente) ► La complejidad y la interconexión.
► Los factores relacionados con el tiempo y la
volatilidad.
► La eficacia de los controles existentes
Evaluación de
Análisis del
los controles ► Los niveles de sensibilidad y de confianza.
riesgo residual
existentes

ISO 31000
Proceso: 6.4.3 Evaluación del riesgo – Análisis de Riesgos

Sesion 4
1. Procesos para la Gestión de Riesgos

2. Otros Estandares para la Gestión de Riesgos

➢ Comprender a qué se refiere el riesgo (descripción, interacción con otros

Análisis del
Análisis
riesgodel Entendimiento riesgos, riesgos transversales)
riesgo residual
residual del riesgos
➢ Entender las causas generadoras
Análisis de ➢ Entender las consecuencias como resultado a la materialización del

Evaluación de impacto y
los controles probabilidad mismo.
existentes (Riesgo
inherente) ➢ Identificar fuentes de información que puedan ayudar a mejorar el
entendimiento del riesgo.
RIESGO = PROBABILIDAD X CONSECUENCIA

ISO 31000
Probabilidad
Raro Improbable Posible Probable Casi seguro

(1) (2) (3) (4) (5)
Ha ocurrido en la Ha ocurrido en Ha ocurrido en Ha ocurrido en el Ha ocurrido más
industria / Puede los últimos 5 los últimos 3 último año / de una vez en el
ocurrir en años / Poco años / Probablemente último año /
circunstancias probable que Posiblemente ocurra Existe un alto
excepcionales ocurra ocurra nivel de certeza
que ocurrirá
Error cada Error cada 1.000 Error cada 100 Error cada 10 Error cada dos
10.000 operaciones operaciones operaciones operaciones
operaciones
< 10 % 10.1 % - 40 % 40.1 % - 60 % a 60.1 % y < a > 90%

90%

ISO 31000
Consecuencia
Categoría Financiero Reputacional Personas Ambiente
Insignificante Hasta USD Conocimiento de dueños Lesión leve, no afecta Afectación ambiental leve,
(1) 50.000 de proceso rendimiento laboral no genera contaminación,
acciones de remediación
inmediata
Menor Entre USD Conocimiento interno de Lesión menor, no afecta Afectación ambiental sin
(2) 50.001 Y la alta gerencia rendimiento laboral, no efectos duraderos,
100.000 SUD genera incapacidad requiere reparación en el
corto plazo
Moderado Entre USD Conocimiento de la Limitación en ciertas Afectación ambiental a
(3) 100.001 y Junta Directiva, apertura actividades mientras se predios vecinos, requiere
USD 500.000 de investigación por parte recupera, genera reparación en el mediano
de entes de control incapacidad, afecta plazo
rendimiento laboral
Mayor Entre USD Conocimiento por parte Incapacidad permanente, Afectación ambiental
(4) 500.001 y de los medios nacionales, daños irreversibles de salud grave, requiere reparación
USD afectación del nombre y a largo plazo, quejas de la
1.000.000 marca a largo plazo comunidad ante
organismos ambientales
Catastrófico Más de USD Conocimiento por parte Muerte de un trabajador Afectación ambiental
(5) 1.000.000 de los medios, irreparable, requiere
internacionales, daño medidas de compensación
irreparable del nombre y
de la marca de la
empresa

CONSECUENCIA
Insignificante Menor Moderado Mayor Catastrófico
1 2 3 4 5
PROBABILIDAD
Esperado 5 11 16 20 23 25
Probable 4 7 12 17 21 24
Posible 3 4 8 13 18 22
Improbable 2 2 5 9 14 19
Raro 1 1 3 6 10 15

Análisis del ➢ Expresar el impacto y la probabilidad del riesgo

Análisis
riesgodel Entendimiento
riesgo residual
residual del riesgos ➢ Coherencia de la expresión de impacto y probabilidad con los criterios
de riesgo
Análisis de
Evaluación de impacto y ➢ Analizar de forma cualitativa, semi cuantitativo, cuantitativo (o
los controles probabilidad
existentes (Riesgo combinación)
inherente)
➢ Comunicar a partes interesadas
Riesgo inherente Controles Riesgo Residual

“Es el riesgo al que está expuesta
una organización en la ausencia de
cualquier acción que la gerencia “Medida que mantiene y/o modifica un “Riesgo restante después del
pudiera tomar para alterar la riesgo ” tratamiento del riesgo” (ISO
probabilidad de ocurrencia o a la (ISO 31000:2018) 73:2009)
consecuencia de dicho riesgo”
(COSO, 2017)

ISO 31000
➢ Identificar los controles existentes
Análisis del ➢ Identificar controles transversales

Análisis
riesgodel Entendimiento
riesgo residual
residual del riesgos ➢ Eficacia y eficiencia de los controles
➢ Ausencia o debilidades en los controles

Análisis de
existentes (Riesgo
inherente) Atributos Otros Efectividad del
de control + factores = control
➢Informes de auditoría Calificación Valor

➢Informes de entes de
Pobre 10%
control
➢Cambios en el proceso, Insatisfactoria 30%
entre otros Moderado 50%
Buena 70%
Excelente 90%
ISO 31000
Atributos de Control
Frecuencia Grado de Momento de Objetivo de Aserción de los Control anti
automatización ejecución procesamiento de estados fraude
información financieros
Múltiples veces Manual Preventivo Completitud Existencia / Si
por día Ocurrencia
Diario Automático Defectivo Validez Completitud No
Semanal Semiautomático Correctivo Exactitud Valuación /
Asignación
Mensual Acceso restringido Derechos y
obligaciones
Semestral Presentación y
revelación
Anual
➢ El control debe estar alineado al riesgo (Regla de oro)
➢ El control es una actividad específica que se realiza de forma sistemática
➢ Debe estar dentro del alcance del proceso a evaluar
➢ Debe asegurar que exista una adecuada segregación de funciones en su ejecución
➢ Debe estar soportado con evidencia
➢ Debe ser ejecutado por personal idóneo y responsable

ISO 31000
➢ Analizar que sucede al aplicar controles
➢ Documentar el resultado del análisis realizado.

Análisis del Entendimiento
riesgo residual del riesgos
Análisis de
existentes (Riesgo
inherente)

ISO 31000
Protocolos de Acción
N
Calificación Acción
O
N
Requiere acción inmediata. A i N
Planes de tratamiento requeridos, C v i
Extremo implementados y reportados a la E
e v
Junta Directiva y al Presidente P
T l e
Requiere atención de la alta A l
gerencia. B J
Alto Planes de tratamiento requeridos, L e D
implementados y reportados a los E r e
gerentes de unidades á c
La responsabilidad gerencial debe r i
A q s
ser especificada.
Medio Riesgo aceptable, administrado con
C
u i
E
procedimientos normales de control
P i ó
T c n
Se administra con procedimientos
A o
Bajo rutinarios.
No requiere ninguna acción. B
L
E
ISO 31000
Proceso: 6.4.4 Evaluación del riesgo - Valoración
El propósito es apoyar a la toma de decisiones. Implica comparar los
1. Generalidades
resultados del análisis del riesgo con los criterios del riesgo
establecidos para determinar cuándo se requiere una acción adicional.
Esto puede conducir a una decisión de:

2.Identificación
del Riesgo ► No hacer nada más.
► Considerar opciones para el

► Realizar un análisis adicional para
comprender mejor el riesgo.
3.Análisis del
Riesgo ► Mantener los controles existentes.
► Reconsiderar los objetivos.
*Las decisiones deberían tener en cuenta un contexto más amplio y las consecuencias reales y
4.Valoración del
percibidas por las partes interesadas externas e internas.
riesgo
*Los resultados de la valoración del riesgo se deberían registrar, comunicar y luego validar a los
niveles apropiados de la organización.

TALLER N° 06

ISO 31000
Proceso: 6.5 Tratamiento del Riesgo
El propósito del tratamiento del riesgo es seleccionar e implementar

opciones para abordar el riesgo.
1. Generalidades
El tratamiento del riesgo implica un proceso iterativo de:

Tratamiento del Riesgo
► Formular y seleccionar opciones para el

2.Selección de
Opciones de ► Planificar e implementar el tratamiento
Tratamiento
del riesgo. Evaluar la Evaluar
eficacia de este tratamiento del
► Evaluar la eficacia de ese tratamiento. tratamiento riesgo
► Decidir si el riesgo residual es

aceptable. Si no son
Decidir si los
tolerables,
► Si no es aceptable, efectuar tratamiento generar nuevo
niveles de
3.Preparación e riesgo residual
implementación adicional. tratamiento del
son tolerables
de los planes de riesgo
Tratamiento del
Riesgo

ISO 31000
La selección de las opciones más apropiadas para el tratamiento

del riesgo implica hacer un balance entre los beneficios
1. Generalidades
potenciales, derivados del logro de los objetivos contra costos,
esfuerzo o desventajas de la implementación.
► Las opciones de tratamiento no son mutuamente excluyentes o apropiadas en
todas las circunstancias.

2.Selección de
Opciones de
Tratamiento ► La justificación para el tratamiento debe tener en cuenta lo económico, las
obligaciones de la organización, los compromisos voluntarios y los puntos de

vista de las partes interesadas.
► La selección de las opciones debería realizarse de acuerdo con

3.Preparación e los objetivos de la organización, los criterios del
implementación
de los planes de riesgo y los recursos disponibles.
Tratamiento del
Riesgo
► Involucrar a las partes interesadas.

ISO 31000
❑ Los tratamientos pueden no producir los resultados esperados y

puede producir consecuencias no previstas.
1. Generalidades
❑ El seguimiento y la revisión necesitan ser parte de la implementación

para asegurar que sean y permanezcan eficaces.
❑ El tratamiento puede introducir nuevos riesgos.
2.Selección de
Opciones de
❑ Si no hay opciones disponibles o si las opciones no modifican
Tratamiento
suficientemente el riesgo, se debería registrar y mantener en revisión.
❑ Las personas que toman decisiones y otras partes

interesadas deberían ser conscientes de la
3.Preparación e naturaleza y el nivel del riesgo residual.
implementación
de los planes de
Tratamiento del ❑ El riesgo residual se debería documentar y ser
Riesgo
objeto de seguimiento y revisión.

ISO 31000
Escenarios de riesgo son muy altos:
Cancelación o modificando condiciones
en las que funciona
Cumple con los
criterios de aceptación Evitar
del riesgo Si se puede tomar
Debe ser documentado ventaja
Si los gastos exceden a
Retener Aceptar los beneficios
Con otra parte Si la organización tiene

interesada que pueda la posibilidad de retirar
gestionarlo con más Tratamiento la fuente del riesgo
eficacia (seguros, riesgo
tercerización)
Compartir Eliminar
Modificar Modificar Mediante introducción,

Mediante introducción,
extracción o
consecue Probabilid extracción o
modificación de los ncias ad modificación de los
controles
controles

ISO 31000
El propósito de los planes de tratamiento del riesgo es especificar
1. Generalidades
la manera en la que se implementarán las opciones elegidas
para el tratamiento, de manera tal que los involucrados
comprendan las disposiciones, y que pueda realizarse el
seguimiento del avance.
2.Selección de
Opciones de El plan de tratamiento debería identificar el orden de la implementación.
Tratamiento
Los planes de tratamiento deberían integrarse en los planes y procesos de la
gestión de la organización y en consulta.
3.Preparación e
implementación
de los planes de
Tratamiento del
Riesgo

ISO 31000
La información proporcionada en el plan del tratamiento debería

1. Generalidades incluir:
► El fundamento de la selección de las opciones para el tratamiento, incluyendo los

beneficios.
► Personas que rinden cuentas y aquellas responsables de la aprobación e

implementación del plan.
2.Selección de
Opciones de ► Acciones propuestas.
Tratamiento
► Recursos necesarios, incluyendo las contingencias.
► Medidas del desempeño.
► Restricciones.
3.Preparación e ► Informes y seguimiento requeridos.

implementación
de los planes de ► Plazos previstos para la realización y la
Tratamiento del finalización de las acciones.
Riesgo

RIESGO NO 20 - 25 CRITICO
TOLERABLE 10 - 16 ALTO
4-9 MEDIO POLITICAS
RIESGO ESTANDARES
TOLERABLE 1-3 BAJO PROTOCOLOS
✓ Referencia (de ser posible) al factor determinante de riesgos que la acción

pretende mitigar,
✓ Descripciones de controles implementados o que se implementarán, o
tareas asignadas a diversos individuos, con fechas de vencimiento,
✓ Identificación de métricas clave utilizadas para evaluar la efectividad del plan
(¿Cómo sabemos que el plan está funcionando?),
✓ Lista de materiales, equipos y recursos necesarios,
✓ Una estimación del costo para implementar y mantener la acción y
responsable.

TALLER N° 07

ISO 31000
Proceso: 6.6 Seguimiento y Revisión
El propósito del seguimiento y la revisión es asegurar y mejorar la calidad y

la eficacia del diseño, la implementación y los resultados del proceso:
El seguimiento continuo y la revisión periódica del proceso de la gestión del riesgo y sus resultados
debería ser una parte planificada del proceso y con responsabilidades definidas.
Deberían tener lugar en todas etapas del proceso.
Deberían incorporarse a todas las actividades de la gestión del desempeño, de medición y de

informe de la organización.
Registrar Retroalimenta
Planificar Recopilar Analizar
resultados ción

Proceso: 6.6 Seguimiento y Revisión
DUEÑO DEL DUEÑO DEL DUEÑO

CONTROL RIESGO VERIFICADOR
Semanal Mensual Semestral Anual

ISO 31000
Proceso: 6.7 Registro e Informe
El proceso de la gestión del riesgo y sus resultados se deberían documentar e

informar a través de los mecanismos apropiados.
El registro e informe pretenden:
► Comunicar las actividades de la gestión del riesgo y sus

resultados en la organización.
► Proporcionar información para la toma de decisiones.
► Mejorar las actividades de la gestión del riesgo.
► Asistir la interacción con las partes interesadas, personas
que tienen responsabilidad y obligación de rendir cuentas.
► Las decisiones con respecto a la creación, conservación y
tratamiento de la información documentada deberían tener
en cuenta, la sensibilidad de la información y los contextos
externo e interno.

ISO 31000
Proceso: 6.7 Registro e Informe
El informe es una parte integral de la gobernanza de la organización y debería

mejorar la calidad del diálogo con las partes interesadas, apoyar a la alta
dirección y a los órganos de supervisión.
Los factores a considerar en el informe incluyen, pero no se limitan a:
► Diferentes partes interesadas, sus necesidades y

requisitos específicos de información.
► Costo, la frecuencia y los tiempos del informe.
► Método del informe.
► Pertinencia de la información con respecto a los objetivos
de la organización y la toma de decisiones.

OTROS ESTÁNDARES PARA
LA GESTIÓN DE RIESGOS

Otros Estándares
ASNZ4360:2004 / NTC 5254 ISO 31000
Más allá de la gestión de riesgos

Otros Estándares

Otros Estándares
Sistemas de administración de riesgo según la SFC
Identificar
✓SARO: Sistema de administración de riesgo operativo
Medir ✓SARC: Sistema de administración de riesgo de crédito
✓SARLAFT: Sistema de administración de riesgo de

lavado de activos y financiación del terrorismo
Controlar
✓SARM: Sistema de administración de riesgo de mercado
✓SARL: Sistema de administración de riesgo de liquidez,

entre otros.
Monitorear

Su opinión es muy importante, por lo que
agradeceremos responder a una breve encuesta en
el link:
https://docs.google.com/forms/d/e/1FAIpQLSfaLj-
6wQ67ajlTZZnyHeBNTIVZ9S3CYmGumSUjSJDMGPWJwg/vie
wform?usp=sf_link
Gracias.

MUCHAS GRACIAS
POR SU
PARTICIPACIÓN


Gestión Riesgos ISO31000

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Gestión Riesgos ISO31000

Cargado por

Copyright:

Formatos disponibles

GESTIÓN DE

GESTIÓN DE RIESGO ISO 31000:2018

Ubicación Salidas de Emergencias

Ubicación Extintor Uso del Celular

GESTIÓN DE RIESGO ISO 31000:2018

GESTIÓN DE RIESGO ISO 31000:2018

1. Fortalecer los conceptos clave para la gestión de riesgos.

2. Identificar la importancia de la gestión de riesgos

3. Interpretar los requisitos de la norma ISO 31000 sobre la gestión de riesgos.

4. Entender la aplicación de la ISO 31000.

5. Reflexionar sobre la gestión de riesgos en su organización

GESTIÓN DE RIESGO ISO 31000:2018

3 Maximizar el intercambio de conocimiento

4 Respeto y libertad de diálogo

“El talento gana juegos, pero el trabajo en equipo y

GESTIÓN DE RIESGO ISO 31000:2018

GESTIÓN DE RIESGO ISO 31000:2018

GESTIÓN DE RIESGO ISO 31000:2018

¿Qué tienen en común estas fotografías?

GESTIÓN DE RIESGO ISO 31000:2018

“Conjunto de actividades mutuamente relacionadas o que interactúan, las

GESTIÓN DE RIESGO ISO 31000:2018

El nuevo enfoque de los diferentes sistemas de gestión (ISO 9001:2015, ISO

La incorporación de nuevos elementos de la norma, permiten la integración y

GESTIÓN DE RIESGO ISO 31000:2018

❑ El riesgo es inherente a toda actividad humana.

❑ La gestión del riesgo es un proceso clave tanto en la gestión de negocios como

El Peligro, es una fuente con potencial de daño (diferentes categorias).

GESTIÓN DE RIESGO ISO 31000:2018

GESTIÓN DE RIESGO ISO 31000:2018

• Peligros comunes del Site que

Nivel 3 • Peligros comunes a los que esta

Nivel 2 • Desempeño del equipo de trabajo

GESTIÓN DE RIESGO ISO 31000:2018

Listar 5 riesgos potenciales que tiene Perú.

GESTIÓN DE RIESGO ISO 31000:2018

Proporciona una seguridad razonable en relación con el logro de los objetivos

GESTIÓN DE RIESGO ISO 31000:2018

Actividades que nos

Aquello que puede impedir que

Para definir los controles requeridos en un proceso es importante analizar ¿qué

GESTIÓN DE RIESGO ISO 31000:2018

• “Fin al que se desea llegar o la meta que se pretende lograr”

• ESTRATÉGICOS: referidos a metas de alto nivel, alineadas y dando soporte a la misión /

• OPERATIVOS: referidos a la eficiencia y eficacia de las actividades de la

• REPORTE: referidos a la fiabilidad de la información suministrada por la organización,

• CUMPLIMIENTO: referidos al cumplimiento de las leyes y aplicables.

“Efecto de la incertidumbre sobre los objetivos”

Todo evento de ocurrencia incierta que de materializarse genera un impacto

GESTIÓN DE RIESGO ISO 31000:2018

“Medida que mantiene y/o modifica un riesgo.”

Actividades establecidas para gestionar los riesgos y potenciar el logro

PREVENCION CONTROL MITIGACION

GESTIÓN DE RIESGO ISO 31000:2018

GESTIÓN DE RIESGO ISO 31000:2018

GESTIÓN DE RIESGO ISO 31000:2018

GESTIÓN DE RIESGO ISO 31000:2018

GESTIÓN DE RIESGO ISO 31000:2018

➢ Incrementa la probabilidad de lograr los

➢ Promueve la gestión proactiva.

➢ Mejora la identificación de amenazas y

➢ Contribuye con el cumplimiento de normas y

➢ Mejora el gobierno corporativo.

➢ Mejora la seguridad y confianza de las partes