Documentos de Académico
Documentos de Profesional
Documentos de Cultura
RIESGOS
ISO 31000:2018
1. Nombres y Apellidos.
2. Empresa y Área donde
labora.
3. Conocimiento de las Norma
ISO 31000:2018
4. Objetivos de asistir al curso.
1 Participación activa
2 Ejecución de Talleres
1. Introducción
2. Beneficios de la Gestión de Riesgos
3. Estructura de la Norma
4. Términos y Definiciones
Fuente de Riesgo, elemento que solo o combiando tienen un potencial intrínseco de desencadenar un
riesgo.
➢ Una gestión eficaz del riesgo puede reducir la incertidumbre y prever el futuro
(no predecirlo)
➢ Para estar preparados para el futuro necesitamos datos fiables como: datos
históricos y simulaciones de modelos de probabilidad.
➢ Los escenarios de riesgo pueden representar oportunidades para las
organizaciones
➢ El riesgo también es una cuestión de percepción:
Nivel 4
vienen del registro de cada área,
tambien se consideran los peligros
externos que pueden impactaar al
Site.
Nivel 1
• Desempeño del trabajador –
análisis de riesgo - Proactivo
Eventos o incertidumbre
¿Para qué sirve ❑ Identificar que puedan afectar
la Gestión de
Riesgos y ❑ Proteger significativamente al
Controles? ❑ Tomar acciones cumplimiento de los
objetivos de las
organizaciones.
RIESGO
OBJETIVO CONTROL
RIESGO
OBJETIVO CONTROL
RIESGO
OBJETIVO CONTROL
Fuente: Enterprise risk management—Applying enterprise risk management to environmental, social and governance-related risks. Executive summary. October, 2018.
➢ ¿Qué pasó?
➢ ¿Por qué se materializó el riesgo?
➢ ¿Cuáles fueron sus causas?
➢ ¿Qué papel tiene la gestión de riesgos?
➢ ¿Cuáles fueron las consecuencias?
➢ ¿Qué acciones se tomaron?
➢ ¿Por qué se repiten este tipo de cosas?
MISIÓN
Buscar la estandarización de normas de productos y seguridad
para las empresas u organizaciones (públicas o privadas) a nivel
internacional.
GESTIÓN DE RIESGO ISO 31000:2018
Norma VS Metodología
NORMA METODOLOGÍA
La ISO 31000
niveles.
Dirigido a los que crean y protegen el valor en las organizaciones gestionando riesgos,
tomando decisiones, estableciendo y logrando objetivos y mejorando el desempeño.
ISO 31000
1.Objeto y
2. Referencias 3.Términos y 5.Marco de
campo de 4.Principios 6.Proceso
Normativas definiciones Referencia
aplicación
5.1.Generalidades 6.1.Generalidades
6.4.Evaluación del
5.4.Diseño Riesgo
6.5.Tratamiento del
5.5. Implementación Riesgo
6.6.Seguimiento y
5.6.Valoración Revisión
UNIVERSO
DE
RIESGOS
Peligros
Esta segunda edición ha sido Mayor énfasis en la naturaleza iterativa de la gestión del riesgo,
señalando que las nuevas experiencias, el conocimiento y el análisis
revisada técnicamente. pueden llevar a una revisión de los elementos del proceso, las acciones
y los controles en cada etapa del proceso;
Anula y sustituye a la primera
edición
(ISO 31000:2009) Se simplifica el contenido con un mayor enfoque en mantener un modelo
abierto para adaptarse a múltiples necesidades y contextos.
3.1 Riesgo
CAUSAS
CONSECUENCIAS
3.6 Consecuencia
Resultado de un suceso que afecta a los objetivos.
Descrita utilizando términos generales o matemáticos (como una probabilidad matemática o una frecuencia en un periodo
de tiempo determinado).
INTEGRADA
01
• La gestión del riesgo es parte integral de todas las actividades de la organización.
ESTRUCTURADA Y EXAUSTIVA
02 • Un enfoque estructurado y exhaustivo hacia la gestión del riesgo contribuye a
resultados coherentes y comparables.
ADAPTADA
INCLUSIVA
DINAMICA
05 • Los riesgos pueden aparecer, cambiar o desaparecer con los cambios de los contextos
de la organización. La gestión del riesgo anticipa, detecta, reconoce y responde a esos
cambios y eventos de una manera apropiada y oportuna.
MEJOR INFORMACION DISPONIBLE
06
• La gestión de riesgo se basa en información histórica y actualizada. La información
debería ser oportuna, clara y disponible
MEJORA CONTINUA
08
• La gestión del riesgo mejora continuamente mediante aprendizaje y experiencia.
5.4.1 Comprensión de la
organización y de su
5.3
contexto.
5.7.1 Adaptación 5.4.2 Articulación del
5.7.2 Mejora continua 5.7
5.4 compromiso con la gestión
5.2 del riesgo.
5.4.3 Asignación de roles,
autoridades,
responsabilidades y
obligaciones de rendir
5.6 5.5 cuenta en la organización.
5.4.4 Asignación de recursos.
5.4.5 Establecimiento de la
comunicación y consulta.
STAKEHOLDERS
Proveedores/ Sociedad/ Gobierno/ Acreedores/ Accionistas/ Dirección/ Empleados
CONSEJO DE ADMINISTRACION
Responsabilidad Cultura Estrategia Monitoreo
Este Gráfico es ilustrativo sobre un modelo de gobierno de riesgos. Pero no esta descrito en la norma.
GESTIÓN DE RIESGO ISO 31000:2018
Marco de Referencia: 5.3 Integración
cultura de la organización.
► Debería ser una parte del propósito, la
Misión
Estrategias
1.Comprensión de
Interno relaciones de la organización y su
ambiente externo de negocios y
la organización y
de su contexto Demografía,
pretende identificar:
Responsabilidad social
Influencia Stakeholders
Terrorismo, presión medios y publico
Cambio de Emisiones
2.Articulación del Gobierno Residuos
compromiso con la
EXTERNOS (Impulsores)
gestión del riesgo Legislación Energía
FACTORES DE RIESGO
OPORTUNIDAD
DEBILIDADES
Políticas ES Catastrofes
3.Asignación de
Diseño
Publicas naturales
roles, autoridades,
responsabilidades Regulación EMPRESA Desarrollo
y obligaciones de Misión, Visión sostenible OBJETIVOS
rendir cuenta en la
organización EXPECTATIVAS
PERCEPCIONES
Tecnologias FORTALEZAS AMENAZAS Disponibilidad
Emergentes de Capital
3.Asignación de
roles, autoridades, ► Necesidad de integrar la gestión del riesgo en la cultura de la
responsabilidades organización.
y obligaciones de
rendir cuenta en la ► Integración de la gestión del riesgo en las actividades principales del
organización
negocio y toma de decisiones.
► Autoridades, las responsabilidades y la obligación de rendir cuentas.
► Disponibilidad de los recursos necesarios.
4.Asignación de
recursos ► La manera de manejar los objetivos en conflicto.
► La medición e informe como parte de los indicadores de desempeño.
► La revisión y la mejora.
5.Establecimiento
de la comunicación
y consulta
Debe comunicarse en todos los niveles de la organización y a sus partes interesadas.
GESTIÓN DE RIESGO ISO 31000:2018
ISO 31000
Marco de Referencia: 5.4.3 Diseño – Roles y Responsabilidades
3.Asignación de
roles, autoridades,
responsabilidades Enfatizar que la gestión del riesgo es una responsabilidad principal.
y obligaciones de
rendir cuenta en la Identificar a las personas que tienen asignada la obligación de rendir cuentas, e
organización
Identificar la autoridad para gestionar el riesgo (dueños del riesgo).
4.Asignación de
recursos
5.Establecimiento
de la comunicación
y consulta
1.Comprensión de Responsable
la organización y
de su contexto Realiza el trabajo y es responsable por su
realización. Lo más habitual es que exista sólo un
R, si existe más de uno, entonces el trabajo debería
ser subdividido a un nivel más bajo, usando para
ello las matrices RACI. Es quien debe ejecutar las
2.Articulación del tareas.
compromiso con la
gestión del riesgo Aprobador
Se encarga de aprobar el trabajo finalizado y a
R A C I partir de ese momento, se vuelve responsable por
Diseño
3.Asignación de
roles, autoridades, él. Sólo puede existir un A por cada tarea. Es quien
responsabilidades debe asegurar que se ejecutan las tareas..
y obligaciones de Esta herramienta es una matriz o
rendir cuenta en la tabla, cuyo propósito es describir
organización
qué grado de responsabilidad tienen Consultado
diferentes recursos (personas, Este rol posee alguna información o capacidad
grupos, roles) necesaria para terminar el trabajo. Se le informa y
4.Asignación de se le consulta información (comunicación
recursos bidireccional).
Informado
Este rol debe ser informado sobre el progreso y los
5.Establecimiento resultados del trabajo. A diferencia del Consultado,
de la comunicación
y consulta la comunicación es unidireccional.
Análisis Vertical ¿Es posible que ese individuo pueda manejar tanto? ¿Se
Muchas R’s podrá separar la actividad / decisión en funciones mas
• Muchas R’s
pequeñas y más manejables?
• No deben haber espacios vacíos
• Falta de R’s o A’s
• Calificaciones ¿Es necesario que ese individuo este involucrado en tantas
No hay actividades? ¿Existe la delegación de actividades? ¿Se
Ejemplo espacios puede utilizar la gerencia por excepción? ¿Se pueden
vacíos reducir las C’s a I’s o Se podrá dejar a discreción del
Rol Rol Rol Rol Rol Rol individuo decidir cuando algo necesita atención?
A B C D E F
¿Debería eliminarse este papel funcional? ¿Habrán
Tarea 1 A C I No hay R’s ni
cambiado los procesos al punto donde recursos deben ser
A’s
re-utilizados?
Tarea 2 R C I
Tarea 3 C I R A ¿Existe una optima separación de deberes? ¿Deberían otros
grupos ser responsables con consecuencia “accountable”
Tarea 4 R Demasiadas por algunas de estas actividades para asegurar que haya
A’s verificaciones y equilibrio y una toma de decisiones precisa a
lo largo del proceso? ¿Hay cuellos de botella? ¿Todo el
Tarea 5 I A C mundo esta esperando instrucciones?
Análisis Horizontal ¿Se está llevando a cabo la tarea? Otros roles pueden estar
Falta de R’s esperando para aprobar, ser consultados o informados.
• Falta de o demasiadas R’s • Cada recuadro lleno Nadie ve la actividad como parte de su trabajo.
• Falta de o demasiadas A’s • Demasiadas C’s
• Muy pocas A’s/R’s • Demasiadas I’s Demasiadas ¿Es esta una señal de actividades “over the wall”? “Llévatela
R’s ya de mi escritorio!”
3.Asignación de
roles, autoridades,
responsabilidades Sistemas de gestión de la información y del conocimiento
y obligaciones de
rendir cuenta en la Desarrollo profesional y las necesidades de formación.
organización
4.Asignación de
recursos
5.Establecimiento
de la comunicación
y consulta
3.Asignación de
roles, autoridades, La comunicación y la consulta deberían ser oportunas y asegurar que se recopile,
responsabilidades
y obligaciones de
rendir cuenta en la consolide, sintetice y comparta la información pertinente, cuando sea apropiado, y
organización
que se proporcione retroalimentación y se lleven a cabo mejoras.
4.Asignación de
recursos
5.Establecimiento
de la comunicación
y consulta
o Indicadores
o Comportamiento esperado,
Adaptación
Mejora continua
► Debería mejorar continuamente la idoneidad,
adecuación y eficacia del marco de referencia de la
gestión del riesgo y la manera en la que se integra el
proceso de la gestión del riesgo.
► Desarrollar planes y tareas y asignarlas a quienes
tuviesen que rendir cuentas de su implementación para
contribuir al fortalecimiento de la gestión del riesgo.
3.Contexto
Externo e Interno
4.Definición de
los criterios del
riesgo
3.Contexto
Externo e Interno
Alcance Sistema
4.Definición de
los criterios del
riesgo
2.Definición del
Alcance
La comprensión del contexto es importante
porque:
► La Gestión del Riesgo tiene lugar en el contexto de
los objetivos y las actividades de la organización.
3.Contexto ► Los factores organizacionales pueden ser una
Externo e Interno fuente de riesgo.
► El propósito y alcance del proceso de la gestión del
riesgo puede estar interrelacionado con los
objetivos de la organización como un todo.
4.Definición de
los criterios del
riesgo La organización debería establecer los contextos externo e interno del proceso de la gestión
del riesgo considerando los factores mencionados en 5.4.1.
CATEGORIAS DE RIESGO
CONTEXTO EXTERNO
CONTEXTO INTERNO
1. Generalidades
La organización debería precisar la cantidad y el tipo de
riesgo que puede o no puede tomar, con relación a los
objetivos:
Alcance, Contexto y Criterios
2.Definición del ► Definir los criterios para valorar la importancia del riesgo y para apoyar los
Alcance procesos de toma de decisiones.
► Alinear al marco de referencia y adaptar al propósito y al alcance específicos
de la actividad considerada.
► Reflejar los valores, objetivos y recursos de la organización y ser coherentes
con las políticas y declaraciones acerca de la GR.
► Los criterios se deberían definir teniendo en consideración las obligaciones de
3.Contexto
Externo e Interno la organización y las partes interesadas.
► Los criterios del riesgo se establecen al principio del proceso de la evaluación del
riesgo; pero son dinámicos, y deberían revisarse continuamente y modificarse.
4.Definición de
los criterios del
riesgo
1. Generalidades
Para establecer los criterios del riesgo, se debería
considerar lo siguiente:
4.Definición de
los criterios del
riesgo
Catastrófico 5 Seguro 5
Mayor 4
Moderado 3
X Probable
Posible
4
3
= Nivel de
riesgo
Menor 2 Improbable 2
Insignificante 1 Raro 1
Cuantitativa Cualitativa
2.Identificación
del Riesgo
3.Análisis del
Riesgo
4.Valoración del
riesgo
EJEMPLO
Suceso /
Riesgo
= Evento + Causa + Consecuencia
2.Identificación
objetivos.
del Riesgo
► Las técnicas de análisis pueden ser cualitativas, cuantitativas o una
combinación de éstas.
Probabilidad
Error cada Error cada 1.000 Error cada 100 Error cada 10 Error cada dos
10.000 operaciones operaciones operaciones operaciones
operaciones
Consecuencia
Categoría Financiero Reputacional Personas Ambiente
Insignificante Hasta USD Conocimiento de dueños Lesión leve, no afecta Afectación ambiental leve,
(1) 50.000 de proceso rendimiento laboral no genera contaminación,
acciones de remediación
inmediata
Menor Entre USD Conocimiento interno de Lesión menor, no afecta Afectación ambiental sin
(2) 50.001 Y la alta gerencia rendimiento laboral, no efectos duraderos,
100.000 SUD genera incapacidad requiere reparación en el
corto plazo
Moderado Entre USD Conocimiento de la Limitación en ciertas Afectación ambiental a
(3) 100.001 y Junta Directiva, apertura actividades mientras se predios vecinos, requiere
USD 500.000 de investigación por parte recupera, genera reparación en el mediano
de entes de control incapacidad, afecta plazo
rendimiento laboral
Mayor Entre USD Conocimiento por parte Incapacidad permanente, Afectación ambiental
(4) 500.001 y de los medios nacionales, daños irreversibles de salud grave, requiere reparación
USD afectación del nombre y a largo plazo, quejas de la
1.000.000 marca a largo plazo comunidad ante
organismos ambientales
Catastrófico Más de USD Conocimiento por parte Muerte de un trabajador Afectación ambiental
(5) 1.000.000 de los medios, irreparable, requiere
internacionales, daño medidas de compensación
irreparable del nombre y
de la marca de la
empresa
CONSECUENCIA
Insignificante Menor Moderado Mayor Catastrófico
1 2 3 4 5
PROBABILIDAD
Esperado 5 11 16 20 23 25
Probable 4 7 12 17 21 24
Posible 3 4 8 13 18 22
Improbable 2 2 5 9 14 19
Raro 1 1 3 6 10 15
de riesgo
Análisis de
Evaluación de impacto y ➢ Analizar de forma cualitativa, semi cuantitativo, cuantitativo (o
los controles probabilidad
existentes (Riesgo combinación)
inherente)
➢ Comunicar a partes interesadas
Atributos de Control
Frecuencia Grado de Momento de Objetivo de Aserción de los Control anti
automatización ejecución procesamiento de estados fraude
información financieros
Múltiples veces Manual Preventivo Completitud Existencia / Si
por día Ocurrencia
Diario Automático Defectivo Validez Completitud No
Semanal Semiautomático Correctivo Exactitud Valuación /
Asignación
Mensual Acceso restringido Derechos y
obligaciones
Semestral Presentación y
revelación
Anual
Análisis de
Evaluación de impacto y
los controles probabilidad
existentes (Riesgo
inherente)
Protocolos de Acción
N
Calificación Acción
O
N
Requiere acción inmediata. A i N
Planes de tratamiento requeridos, C v i
Extremo implementados y reportados a la E
e v
Junta Directiva y al Presidente P
T l e
Requiere atención de la alta A l
gerencia. B J
Alto Planes de tratamiento requeridos, L e D
implementados y reportados a los E r e
gerentes de unidades á c
La responsabilidad gerencial debe r i
A q s
ser especificada.
Medio Riesgo aceptable, administrado con
C
u i
E
procedimientos normales de control
P i ó
T c n
Se administra con procedimientos
A o
Bajo rutinarios.
No requiere ninguna acción. B
L
E
GESTIÓN DE RIESGO ISO 31000:2018
ISO 31000
Proceso: 6.4.4 Evaluación del riesgo - Valoración
1. Generalidades
resultados del análisis del riesgo con los criterios del riesgo
establecidos para determinar cuándo se requiere una acción adicional.
2.Identificación
del Riesgo ► No hacer nada más.
*Las decisiones deberían tener en cuenta un contexto más amplio y las consecuencias reales y
4.Valoración del
percibidas por las partes interesadas externas e internas.
riesgo
*Los resultados de la valoración del riesgo se deberían registrar, comunicar y luego validar a los
niveles apropiados de la organización.
2.Selección de
Opciones de
❑ Si no hay opciones disponibles o si las opciones no modifican
Tratamiento
suficientemente el riesgo, se debería registrar y mantener en revisión.
1. Generalidades
la manera en la que se implementarán las opciones elegidas
para el tratamiento, de manera tal que los involucrados
comprendan las disposiciones, y que pueda realizarse el
Tratamiento del Riesgo
2.Selección de
Opciones de El plan de tratamiento debería identificar el orden de la implementación.
Tratamiento
Los planes de tratamiento deberían integrarse en los planes y procesos de la
gestión de la organización y en consulta.
3.Preparación e
implementación
de los planes de
Tratamiento del
Riesgo
beneficios.
► Restricciones.
RIESGO NO 20 - 25 CRITICO
TOLERABLE 10 - 16 ALTO
4-9 MEDIO POLITICAS
RIESGO ESTANDARES
TOLERABLE 1-3 BAJO PROTOCOLOS
El seguimiento continuo y la revisión periódica del proceso de la gestión del riesgo y sus resultados
debería ser una parte planificada del proceso y con responsabilidades definidas.
Registrar Retroalimenta
Planificar Recopilar Analizar
resultados ción
Identificar
https://docs.google.com/forms/d/e/1FAIpQLSfaLj-
6wQ67ajlTZZnyHeBNTIVZ9S3CYmGumSUjSJDMGPWJwg/vie
wform?usp=sf_link
Gracias.