3TO23-130024G1 GESTIÓN DEL RIESGO

Tema: Normas internacionales específicas para Gestión del Riesgo

ESTUDIANTE

Julio 2023
Índice
COSO...........................................................................................................................................................3

COSO Cube.............................................................................................................................................3

Componentes, Principios y Enfoques......................................................................................................4

ISO 14000....................................................................................................................................................8

Análisis del riesgo....................................................................................................................................8

Identificación fuentes de peligro ambiental.........................................................................................8

ISO 22000:2018.........................................................................................................................................11

Gestión de Riesgos Basado en ISO 22000 2018....................................................................................11

Pasos para hacer un análisis de oportunidades de riesgos.....................................................................12

OHSAS 18001 versus ISO 45001..............................................................................................................13

Principales diferencias en riesgos..........................................................................................................14

AS/NZS 5050.............................................................................................................................................16

ISO 31000..................................................................................................................................................17

Principios...............................................................................................................................................17

Marco de gestión del riesgo...................................................................................................................17

Proceso de gestión de riesgos................................................................................................................19

Conclusiones..............................................................................................................................................22

Bibliografía................................................................................................................................................23

Página 2 de 24
COSO
Es un sistema utilizado para integrar controles internos en los procesos, estos controles proveen una
seguridad razonable de que la organización opera ética, transparentemente y de acuerdo con los
estándares de la industria. (Posey, 2021)

El modelo de control interno COSO2013 está compuesto por cinco componentes y 17 principios y
puntos de enfoque que presentan las características fundamentales de cada componente. (González
Martínez, 2020)

La Administración es responsable de establecer los objetivos del negocio y deben ser fijados antes de la
implementación del sistema de control interno. El Marco COSO establece tres categorías de objetivos
que permiten a las organizaciones centrarse en diferentes aspectos del control interno:

1. Objetivos operativos: se relacionan con el cumplimiento de la misión y visión.

2. Objetivos de información: estos objetivos se refieren a la preparación de reportes.
3. Objetivos de cumplimiento: están relacionados con el cumplimiento de las leyes y regulaciones a
las que está sujeta la entidad. (González Martínez, 2020)

Por otra parte, COSO está divido en cinco componentes que se relacionan con los objetivos de la
empresa, los cinco componentes deben funcionar de manera integrada para reducir a un nivel aceptable
el riesgo de no alcanzar un objetivo:

1. Entorno de control: se busca que todos los procesos estén basados en el uso de las practicas
industriales estándar y cumplimiento de los requisitos normativos.
2. Evaluación de los riesgos: adoptar un plan de manejo de riesgo con el fin de identificarlos,
reducirlos o inclusive eliminarlos.
3. Actividades de control
4. Sistemas de información y comunicación
5. Actividades de monitoreo y supervisión.

COSO Cube
EL cubo COSO es un diagrama que muestra la relación entre las partes de un Sistema de control interno
(GILLIS, 2020) Fue agregado en 2013 al modelo.

Página 3 de 24
Componentes, Principios y Enfoques
El modelo de control interno COSO 2013 actualizado está compuesto por los cinco componentes
integrados y 17 principios que representan los conceptos fundamentales asociados a cada componente y
85 atributos. Dado que estos principios proceden directamente de los componentes, una entidad puede
alcanzar un control interno efectivo aplicando todos los principios, los que son aplicables a los objetivos
operativos, de información y de cumplimiento. (Cotaña, 2015)

Los puntos de enfoque representan las características importantes de cada principio, lo que permite que
sean más fáciles de entender y que la entidad pueda evaluar si el principio está presente y funcionando
en su sistema de control interno. (González Martínez, 2020)

Entorno de control
1. Demostrar compromiso con la
integridad y la ética
2. El consejo de administración
demuestra independencia de la
dirección y ejerce la supervisión del
desempeño del sistema de control
interno
1. Establece el tono de la gerencia.
2. Establece estándares de conducta.
3. Evalúa la adherencia a estándares de
conducta.
4. Aborda y decide sobre desviaciones en
forma oportuna.
5. Establece las responsabilidades de
supervisión de la dirección.
6. Aplica experiencia relevante.
7. Conserva o delega responsabilidades de
supervisión.
8. Opera de manera independiente.
9. Brinda supervisión sobre el Sistema de
Control Interno.

Página 4 de 24
Entorno de control
3. Establecer una estructura, autoridad
y responsabilidades.
4. La organización demuestra
compromiso para atraer, desarrollar
y retener a profesionales
competentes, en concordancia con
los objetivos de la organización.
5. La organización define las
responsabilidades de las personas a
nivel de control interno para la
consecución de los objetivos
Evaluación de los riesgos
6. La organización define los objetivos
con suficiente claridad para permitir
la identificación y evaluación de los
riesgos relacionados
7. La organización identifica los
riesgos para la consecución de sus
objetivos en todos los niveles de la
entidad y los analiza como base
sobre la cual determina cómo se
deben gestionar
8. La organización considera la
probabilidad de fraude al evaluar los
riesgos para la consecución de los
objetivos
10. Considera todas las estructuras de la
entidad.
11. Establece líneas de reporte.
12. actividades de la entidad Define, asigna y
delimita autoridades y responsabilidades.
13. Se definen las competencias necesarias para
alcanzar los objetivos
14. Se evaluar periódicamente la competencia
profesional
15. Se cuentan con mecanismos de atracción,
desarrollo y retención de personal
16. Se planea y se prepara la sucesión.
17. Se tienen definidos a los responsables del
control interno a lo largo de la organización
18. Se establecen indicadores de desempeño
19. Se evalúan los indicadores de desempeño
20. Se evalúa la presión asociada a la obtención
de los objetivos
21. Se evalúa el desempeño de los responsables
del control interno a lo largo de la
organización
22. Los objetivos de los reportes financieros
están alineados con los estándares contables
aplicables a la organización
23. Se considera la materialidad
24. Los objetivos reflejan las actividades de la
organización
25. Se incluye a la entidad, subsidiarias,
divisiones, unidades operativas y niveles
funcionales
26. Se analizan factores internos y externos
27. En el análisis de riesgos se involucra al
personal clave de la organización
28. Se estima que tan significativos son los
riesgos identificados
29. Se determina como responder al riesgo
30. Se considera varios tipos de fraude
31. Se evalúan los incentivos y presiones
32. Se analiza la potencial oportunidad de
riesgo
33. Se considera como el personal podría
justificar acciones inapropiadas.
Página 5 de 24
Evaluación de los riesgos
9. La organización idéntica y evalúa
los cambios que podrían afectar
significativamente al sistema de
control interno
Actividades de control
10. La organización define y desarrolla
actividades de control que
contribuyen a la mitigación de los
riesgos.
11. La organización define y desarrolla
actividades de control a nivel de
entidad sobre la tecnología para
apoyar la consecución de los
objetivos.
12. La organización despliega las
actividades de control a través de
políticas que establecen las líneas
generales del control interno y
procedimientos.
Sistemas de información y comunicación
13. La organización obtiene o genera y
utiliza información relevante y de
calidad para apoyar el
funcionamiento del control interno
34. Evalúa cambios en el ambiente externo
35. Evalúa cambios en el modelo de negocios
36. Evalúa cambios en liderazgo
37. Se integra con la evaluación de riesgos
38. Considera factores específicos de la entidad.
39. Determina la importancia de los procesos
del negocio.
40. Evalúa una mezcla de tipos de actividades
de control.
41. Considera en qué nivel las actividades son
aplicadas.
42. Direcciona la segregación de funciones.
43. Determina la relación entre el uso de la
tecnología en los procesos del negocio y los
controles generales de tecnología.
44. Establece actividades de control para la
infraestructura tecnológica relevante
45. Establece las actividades de control para la
administración de procesos relevantes de
seguridad
46. Establece actividades de control relevantes
para los procesos de adquisición, desarrollo
y mantenimiento de la tecnología
47. Establece políticas y procedimientos para
apoyar el despliegue de las directivas de la
administración
48. Establece responsabilidad y rendición de
cuentas para ejecutar las políticas y
procedimientos
49. Funciona oportunamente
50. Toma acciones correctivas
51. Trabaja con personal competente
52. Reevalúa políticas y procedimientos
53. Identifica los requerimientos de información
54. Captura fuentes internas y externas de
información
55. Procesa datos relevantes dentro de la
información
Página 6 de 24
 Sistemas de información y comunicación
14. La organización comunica la
información internamente, incluidos
los objetivos y responsabilidades
que son necesarios para apoyar el
funcionamiento del sistema de
control interno
15. La organización se comunica con los
grupos de interés externos sobre los
aspectos clave que afectan al
funcionamiento del control interno
Actividades de supervisión – monitoreo
16. La organización selecciona,
desarrolla y realiza evaluaciones
continuas y/o independientes para
determinar si los componentes del
sistema están presentes y
funcionando
17. La organización evalúa y comunica
las deficiencias de control interno de
forma oportuna a las partes
responsables de aplicar medidas
correctivas, incluyendo la alta
dirección y el consejo, según
corresponda
(Galaz, Yamazaki, Ruiz Urquiza, S.C, 2015)
56. Mantiene la calidad a través de
procesamiento
57. Considera costos y beneficios
58. Comunica la información de control interno
59. Se comunica con la Junta directive
60. Proporciona líneas de comunicación
separadas
61. Selecciona métodos de comunicación
relevantes
62. Se comunica con grupos de interés externos
63. Permite comunicaciones de entrada
64. Se comunica con la Junta Directiva
65. Proporciona líneas de comunicación
separadas
66. Selecciona métodos de comunicación
relevantes
67. Considera una combinación de evaluaciones
continuas e independientes.
68. Considera tasa de cambio
69. Establece un punto de referencia para el
entendimiento
70. Uso de personal capacitado
71. Se integra con los procesos del negocio
72. Ajusta el alcance y la frecuencia
73. Evalúa objetivamente
74. Evalúa resultados
75. Comunica deficiencias
76. Supervisa acciones correctivas
Página 7 de 24
ISO 14000
En el último tiempo las organizaciones han redoblado sus esfuerzos por conocer el impacto
ambiental que generan o pueden generar a su actividad y el concepto de riesgo ambiental y establecer
mecanismos de prevención.

La norma ISO 14001, en su última versión, establece cómo se deberán identificar los riegos, pero no
obliga a hacer una evaluación de riesgos. Se define el riesgo como el efecto de la incertidumbre, es
decir, que engloba efectos potenciales adversos y efectos potenciales beneficiosos.
(escuelaeuropeaexcelencia, 2018)

Análisis del riesgo

Está dividido en 2 partes:

1. Posibles escenarios
2. Consecuencias de los escenarios.

Ambos se combinan dando lugar a lo que denominamos suceso indicador, que es el hecho físico
producido por el escenario causal y que da lugar a la primera consecuencia.

Identificación de causas y peligros indica que se debe identificar, caracterizar y determinar el posible
origen del peligro. Posteriormente, hay que valorarlos y determinar el daño que podría causar al entorno.

Identificación fuentes de peligro ambiental

1. Recursos humanos vinculados con la organización (estructura; sistemas de gestión; cultura
preventiva; procedimientos; comunicación interna y externa; condiciones ambientales del
puesto de trabajo; etc.)
2. Ámbito individual referente a formación; entrenamiento; capacitación; errores humanos, etc.
3. Actividades e instalaciones de almacén. Tener en cuenta materias primas; combustibles;
productos terminados; productos intermedios, etc.
4. Procesos e instalaciones productivas. Implica los equipos; manejo de sustancias; disposición;
medidas de seguridad; condiciones del entorno; condiciones del proceso o la gestión del
mantenimiento, entre otros puntos.
5. Procesos e instalaciones auxiliares. Incluyen: producción de calor; producción de frío;
generación de energía eléctrica; protección contra incendios; tratamiento de agua para

Página 8 de 24
 procesos e instalaciones; instalaciones de prevención y tratamiento de la contaminación
(depuración de aguas residuales, tratamiento de emisiones atmosféricas, almacenamiento y
tratamiento de residuos, ruidos y vibraciones) etc.
6. Elementos externos a la instalación:
 Naturales, tanto físicos (rayos, inundaciones, terremotos, etc.) como bióticos
(proliferación de animales, plagas, etc.);
 Infraestructuras y suministros: vías de transporte, agua, gas, energía, etc.;
 Socio económicos: vandalismo, sabotaje, terrorismo, etc.;
 Características de las instalaciones vecinas.

Una vez determinadas las causas y peligros se requiere identificar las causas o sucesos iniciadores. Así
podemos trabajar en la identificación y solución de sus causas, como definir mejor el escenario
accidental y sus consecuencias, facilitando la gestión del riesgo. (Gabarró, 2021)

Una vez identificados estos sucesos, pasamos a la fase de Postulación de escenarios de accidentes, en
esta fase, se valoran posibles sucesos y la probabilidad de que ocurran en distintos escenarios de
accidente. Con esta probabilidad calculada, se estiman las consecuencias potenciales del posible suceso
que pueda ocurrir (árbol de sucesos). (escuelaeuropeaexcelencia, 2018)

La siguiente fase es la Asignación de probabilidad del escenario de accidente, que es el resultado de

la combinación de las probabilidades del árbol de sucesos.

Hay diferentes criterios para asignar la probabilidad del escenario de accidente:

 Antecedentes del sector o actividad.

 Bibliografía especializada.
 Información del proveedor y fabricante.
 Antecedentes de accidentes de la empresa.

En esta cuarta fase, pasamos a la Estimación de consecuencias asociadas al escenario de

accidente. Consiste en calcular los daños que cada escenario podría producir (escuelaeuropeaexcelencia,
2018)

La última fase de Estimación del riesgo.

Página 9 de 24
Al estimar un riesgo debemos tener en cuenta tanto la definición de riesgo de la que hablábamos al
principio como todas las fases anteriores, es decir, identificar los posibles escenarios de accidente,
asignar la probabilidad de que ocurran al igual que las consecuencias de estos.
(escuelaeuropeaexcelencia, 2018)

Nota imagen: GESTION DE RIESGOS AMBIENTALES Publicado el 1 noviembre, 2017 por Ing.
Hugo Gonzalez (https://calidadgestion.wordpress.com/2017/11/01/gestion-de-riesgos-ambientales/)

Página 10 de 24
ISO 22000:2018
¿Qué es la norma ISO 22000 y para qué sirve?

La norma ISO 22000 está dirigida a cualquier tipo de organización de la cadena alimentaria, con
independencia de su tamaño y complejidad, que busca una gestión integrada y coherente de la inocuidad
de los alimentos, más allá de los requisitos establecidos por la legislación.

La norma ISO 22000 emplea el enfoque a procesos, que incorpora el ciclo Planificar-HacerVerificar-
Actuar (PHVA) y el pensamiento basado en riesgos. (Secretaría Central de ISO, 2018).

 Plan: establecer los objetivos del sistema y sus procesos, proporcionar los recursos necesarios
para entregar los resultados e identificar y abordar los riesgos y oportunidades.
 Hacer: implementar lo planeado
 Verificar: monitorear y medir los procesos y los productos y servicios resultantes, analizar y
evaluar la información y datos de las actividades de monitoreo, medición y verificación e
informar resultados.
 Actuar: tomar medidas para mejorar el rendimiento. (Guarisma, 2020)

Gestión de Riesgos Basado en ISO 22000 2018

En el apartado 6 de la norma, llamado Planificación, se habla de que para planificar el sistema de la
organización hay que considerar la información obtenida del análisis de los apartados anteriores:

1. 4.1: Contexto Organizacional, variables internas y externas

2. 4.2 Información de las partes interesadas
3. 4.3 Alcance de aplicación del sistema (Diaz, 2020)

Una vez identificados los riegos y oportunidades con base en los 3 orígenes se deben considerar
aquellos, que, con base en la norma, son los más relevantes:

a) Asegurar que el SGIA pueda lograr sus resultados previstos;

b) aumentar los efectos deseables;
c) prevenir o reducir efectos no deseados;
d) lograr la mejora continua.

Página 11 de 24
Una vez determinados los riesgos la norma, en el apartado 6.1.2, establece que se debe generar un plan
de acción y evaluar la eficacia de esas acciones.

Las acciones para abordar los riesgos y oportunidades pueden incluir: evitar riesgos, asumir riesgos para
perseguir una oportunidad, eliminar la fuente de riesgo, cambiar la probabilidad o las consecuencias,
compartir el riesgo o aceptar la presencia del riesgo mediante decisión informada. (Secretaría Central de
ISO, 2018)

Pasos para hacer un análisis de oportunidades de riesgos

Requisitos previos

a) objetivos del sistema

b) análisis del contexto organizacional
c) análisis de partes interesadas
d) Determinar el alcance del sistema

Formar un equipo multidisciplinario, con experiencia y entrenamiento

Elegir un método de análisis de riesgo (Diaz, 2020)

Página 12 de 24
OHSAS 18001 versus ISO 45001
Ambas normas están enfocadas en la gestión de la salud y seguridad laboral, la ISO 45001 fue diseñada
para reemplazar a la OHSAS 18001. La ISO 45001, cuyo énfasis está en el compromiso de la gestión, la
participación de los trabajadores y el control de riesgos tiene como objetivo prevenir lesiones,
enfermedades y fallecimientos relacionados con el trabajo, para lo cual especifica los requisitos para un
sistema de gestión de salud y seguridad ocupacional. (Avetta Marketing, 2021)

La principal diferencia entre ambas normas es que la ISO 45001 adopta un enfoque proactivo que
requiere que los riesgos de peligro se evalúen y corrijan antes de que causen accidentes y lesiones, las
empresas determinan, consideran y toman medidas para abordar tanto los riesgos como las
oportunidades que pueden interrumpir la producción, mientras que la OHSAS 18001 adopta un enfoque
reactivo que se centra únicamente en los riesgos y no en las soluciones. (Avetta Marketing, 2021)

Nota: imagen de Aveta.com

Página 13 de 24
Principales diferencias en riesgos
ISO 45001 OHSAS 18001
3.2 Efecto de incertidumbre
3.21 Combinación de la probabilidad de que 3.21 Combinación de la probabilidad de que
ocurra un evento o exposición peligrosa y la ocurra un suceso o exposición peligrosa y la
severidad del daño o deterioro de la salud que severidad del daño o deterioro de la salud que
puede causar un evento o exposición. puede causar un suceso o exposición.
3.22 Evaluación de riesgos: Proceso de evaluar el
riesgo o riesgos que surgen de uno o varios
peligros, teniendo en cuenta lo adecuado de los
controles existentes, y decidir si el riesgo o
riesgos son o no aceptables.
6 planificación 4.3 Planificación
6.1 Acciones para abordar riesgos y
oportunidades
6.1.1 Generalidades
Al planificar el sistema de gestión de la SST, la
organización debe considerar las cuestiones
referidas en el apartado 4.1 (contexto), los
requisitos referidos en el apartado 4.2 (partes
interesadas) y 4.3 (el alcance de su sistema de
gestión de la SST) y determinar los riesgos y
oportunidades que es necesario abordar con el fin
de:
4. asegurar que el sistema de gestión de la
SST pueda lograr sus resultados previstos;
5. prevenir o reducir efectos no deseados;
6. lograr la mejora continua

La organización debe considerar la participación

eficaz de los trabajadores (véase 5.4) en el
proceso de planificación y, cuando sea apropiado,
la implicación de otras partes interesadas.
6.1.2 Identificación de peligros y evaluación de 4.3.1 Identificación de peligros, evaluación de
los riesgos para la SST riesgos y determinación de controles
6.1.2.1 Identificación de peligros (En la ISO 4.3.1 Identificación de peligros, evaluación de
45001 se subdividieron los temas de riesgos y determinación de controles
Identificación de Peligros y Evaluación de La organización debe establecer, implementar y
Riesgos) mantener uno o varios procedimientos para la
La organización debe establecer, implementar y identificación continua de peligros, evaluación de
mantener un proceso para la identificación riesgos y la determinación de los controles
proactiva continua de los peligros que surgen necesarios (Esta parte se dividió en la ISO 45001
y se aborda en el numeral 6.1.2.2)
6.1.2.2 Evaluación de los riesgos para la SST y 4.3.1 Identificación de peligros, evaluación de
otros riesgos para el sistema de gestión de la SST riesgos y determinación de controles

Página 14 de 24
 ISO 45001 OHSAS 18001
La organización debe establecer, implementar y La organización debe establecer, implementar y
mantener un proceso para: mantener uno o varios procedimientos para la
a) evaluar los riesgos para la SST a partir de los identificación continua de peligros (Esta parte se
peligros identificados teniendo en cuenta los dividió en la ISO 45001 y se aborda en el
requisitos legales aplicables y otros requisitos y la numeral 6.1.2.1)., evaluación de riesgos y la
eficacia de los controles existentes; determinación de los controles necesarios
b) identificar y evaluar los riesgos relacionados La organización debe asegurarse de que los
con el establecimiento, implementación, riesgos para la SST y los controles determinados
operación y mantenimiento del sistema de gestión se tengan en cuenta al establecer, implementar y
de la SST que pueden ocurrir a partir de las mantener su sistema de gestión de la SST.
cuestiones identificadas en el apartado 4.1 y de
las necesidades y expectativas identificadas en el
apartado 4.2.
Las metodologías y criterios de la organización
para la evaluación de los riesgos para la SST
deben definirse con respecto al alcance,
naturaleza y momento en el tiempo, para
asegurarse de que es más proactiva que reactiva y
deben utilizarse de un modo sistemático.

Nota: figura de Universidad Tecnológica de El Salvador,

https://www.studocu.com/latam/document/universidad-tecnologica-de-el-salvador/seguridad-humana/
cuadro-comparativo-entre-la-iso-45001-y-ohsas-18001-1/36250487

Página 15 de 24
AS/NZS 5050
Esta norma proporciona orientación sobre la naturaleza única del riesgo relacionado con la interrupción
y los diferentes enfoques necesarios para su gestión. Esta orientación debe utilizarse junto con los
acuerdos de gestión de riesgos existentes que una organización pueda utilizar. (Standards Australia,
Standards New Zealand, 2010)

Este estándar usa una implementación similar al ISO 31000, el modelo incluye principios, un marco de
aplicación y procesos.

El diseño del plan incluye

1. establecer el contexto interno y externo de la organización

2. tomar en cuenta la cultura de la organización
3. establecer las políticas
4. establecer responsabilidades por el trabajo
5. asignación de recursos
6. comunicación y reporteo (Standards Australia, Standards New Zealand, 2010)

Página 16 de 24
ISO 31000
ISO 31000 es la norma internacional para la gestión del riesgo. Al proporcionar principios integrales y
directivas, esta norma ayuda a las organizaciones con su análisis y evaluación de riesgos. Mientras que
todas las organizaciones manejan el riesgo en cierta medida, las recomendaciones de mejores prácticas
de esta norma internacional se desarrollaron para mejorar las técnicas de gestión y garantizar la
seguridad y protección en todo momento en el lugar de trabajo. (GlobalSuite Solutions, 2023)

En el website de global Solutions (2023) se explica brevemente los principios, el marco y el proceso de
gestión de riesgos de la norma:

Principios
1. Integración: La gestión de riesgos debe integrarse en todos los niveles de la organización y en
todos los procesos.

2. Estructurada: La gestión de riesgos debe tener un enfoque estructurado en la gobernanza de la

organización.

3. Personalización: La gestión de riesgos debe adaptarse a las necesidades y características

específicas de cada organización.

4. Inclusión: Todos los interesados relevantes deben participar en el proceso de gestión de riesgos.

5. Dinamismo: La gestión de riesgos debe ser proactiva y capaz de adaptarse a cambios en el

entorno interno y externo.

6. Mejora continua: La organización debe buscar constantemente oportunidades para mejorar su

enfoque de gestión de riesgos.

7. Basada en la información: La toma de decisiones en la gestión de riesgos debe basarse en

información precisa y actualizada.

8. Factores humanos y culturales: El comportamiento humano y la cultura influyen en la gestión

de riesgos.

Página 17 de 24
Marco de gestión del riesgo
La ISO 31000 establece un marco de referencia que tiene como objetivo ayudar a las organizaciones a
integrar la gestión del riesgo en todas sus actividades y funciones principales.

 El liderazgo y el compromiso de la alta dirección son fundamentales para alinear la gestión del
riesgo con los objetivos, la estrategia y la cultura de la organización. También se debe asignar
autoridad y responsabilidad adecuadas en los diferentes niveles de la organización.
 La integración de la gestión del riesgo depende de comprender las estructuras y el contexto de la
organización. La gobernanza y las estructuras de gestión convierten la orientación estratégica en
acciones concretas para lograr un desempeño sostenible.
 El diseño del marco de referencia implica comprender el contexto interno y externo de la
organización, establecer el compromiso con la gestión del riesgo, asignar roles y
responsabilidades, asignar recursos adecuados y establecer una comunicación efectiva y una
consulta con las partes interesadas.
 La implementación exitosa del marco de referencia requiere un plan adecuado, la identificación
de los responsables de la toma de decisiones y la modificación de los procesos pertinentes. La
valoración periódica del desempeño y la mejora continua son fundamentales para asegurar la
eficacia y la adecuación del marco de referencia.
 La organización debe adaptar y mejorar continuamente el marco de referencia de la gestión
del riesgo en función de los cambios internos y externos, identificando brechas y oportunidades
de mejora, y asignando responsabilidades para su implementación.

Página 18 de 24
Nota: imagen de https://www.globalsuitesolutions.com/wp-content/uploads/2023/05/marco-de-
referencia-riesgos.svg

Proceso de gestión de riesgos

La norma ISO 31000 describe un proceso de gestión de riesgos que consta de varias etapas:

Generalidades:

 Establecer el marco y los principios para la gestión de riesgos en la organización.

 Definir los roles y responsabilidades de las partes involucradas en el proceso de gestión de
riesgos.

Comunicación y consulta:

 Establecer un enfoque de comunicación y consulta para apoyar la gestión de riesgos.

 Compartir información relevante con las partes interesadas y recopilar su retroalimentación.
 Asegurar que la comunicación y la consulta sean oportunas y efectivas.

Alcance, contexto y criterios:

 Definir el alcance del proceso de gestión de riesgos, incluyendo los límites y las fronteras de
aplicación.
 Comprender el contexto interno y externo de la organización, incluyendo factores ambientales,
culturales, legales, financieros, entre otros.
 Establecer los criterios para evaluar y comparar los riesgos.

Evaluación del riesgo:

 Identificar los riesgos relevantes para la organización.

 Evaluar la probabilidad de que ocurran los riesgos y el impacto potencial de los mismos.
 Analizar la interrelación entre los riesgos y su posible acumulación.
 Priorizar los riesgos en función de su importancia y establecer la base para la toma de decisiones
informadas.

Tratamiento del riesgo:

 Desarrollar e implementar estrategias y acciones para tratar los riesgos identificados.

Página 19 de 24
  Seleccionar las opciones más adecuadas para tratar los riesgos, que pueden incluir evitar,
transferir, mitigar o aceptar los riesgos.
 Establecer controles y medidas para reducir la probabilidad de que ocurran los riesgos y
minimizar su impacto.
 Monitorear y revisar continuamente las estrategias de tratamiento del riesgo para asegurar su
efectividad.

Seguimiento y revisión:

 Establecer un proceso de seguimiento continuo para supervisar la implementación de las

estrategias de gestión de riesgos.
 Evaluar periódicamente el desempeño del proceso de gestión de riesgos y su eficacia en relación
con los objetivos establecidos.
 Realizar revisiones regulares para adaptar y mejorar el proceso de gestión de riesgos en función
de los cambios internos y externos.

Registro e informe:

 Mantener registros adecuados de los riesgos identificados, las acciones tomadas y los resultados
obtenidos.
 Generar informes sobre el estado de los riesgos y las actividades de gestión de riesgos para
informar a las partes interesadas.
 Comunicar de manera clara y efectiva los resultados del proceso de gestión de riesgos y
cualquier cambio relevante a las partes interesadas.

Es importante destacar que el proceso de gestión de riesgos es iterativo y continuo, y se adapta según las
necesidades y el contexto de la organización, buscando mejorar de manera constante la capacidad de
identificar, evaluar y tratar los riesgos de manera efectiva.

Página 20 de 24
Nota: imagen de https://www.globalsuitesolutions.com/wp-content/uploads/2023/05/analisis-de-riesgos-
proceso-600x600.png

Página 21 de 24
Conclusiones
Los riesgos son básicamente inherentes a cualquier actividad humana, inclusive estar vivo representa un
riesgo, podemos morir en cualquier momento. Las consecuencias de los riesgos pueden implicar
perdidas millonarias para una organización, afectación de recursos y hasta lo mas preciado como una
vida humana, en vista de que los recursos de una organización son limitados y se espera el mejor
rendimiento de su uso, vemos que existe una gran cantidad de métodos que buscan controlar o mitigar y
hasta eliminar esos riesgos, se busca evitar cualquier tipo de perdida y en un proyecto inclusive
minimizar el impacto que pueda tener en el desarrollo de nuestro trabajo.

Referente a los estándares analizados, se nota que tienen algo en común, buscan identificar dichos
riesgos antes de que ocurran y establecer planes específicos para cada riesgo, inclusive se busca tomar
acciones que mitiguen el impacto de la ocurrencia de un riesgo. Todos estos estándares requieren que se
conozca a cabalidad la organización, desde sus bases, estructura, gente, ambiente, partes interesadas, en
fin, todo aquello que pueda ser el lugar de origen de un riesgo con tal de tener un plan de acción.

En el caso de los proyectos, ya sabemos que son esfuerzos extraordinarios, temporales y de consumo de
recursos organizacionales, por lo que me parece importante que antes de enrutarse en el desarrollo del
mismo, se haga un análisis a profundidad de los posibles riesgos y sus consecuencias, y si su costo está
dentro del presupuesto o de lo que la organización está dispuesta a invertir para el proyecto, esto con el
fin de que si un riesgo se hace realidad a mitad de ejecución de un proyecto, no se pierdan los recursos
ni el tiempo invertido por una mala planeación.

Página 22 de 24
Bibliografía
Avetta Marketing. (2 de Marzo de 2021). La norma OHSAS 18001 frente a la norma ISO 45001.
Recuperado el 30 de Julio de 2023, de https://www.avetta.com/:
https://www.avetta.com/es/blog/la-norma-ohsas-18001-frente-la-norma-iso-45001

Cotaña, M. (1 de SETIEMBRE de 2015). GABINETE DE AUDITORIA DE SISTEMAS. Recuperado el

29 de JULIO de 2023, de cotana.informatica.edu.bo:
http://cotana.informatica.edu.bo/downloads/Control%20interno%20-%20COSO.pdf

Diaz, C. (10 de Julio de 2020). Análisis de Riesgos y Oportunidades ISO 22000:2018 | Conferencia
gratuita. Obtenido de YouTube: https://www.youtube.com/watch?v=2wpLG9mXlZQ

escuelaeuropeaexcelencia. (16 de abril de 2018). Riesgo ambiental y análisis de los riesgos según la ISO
14001 2015. Obtenido de https://www.escuelaeuropeaexcelencia.com/: https://www.nueva-iso-
14001.com/2018/04/riesgo-ambiental-segun-la-iso-14001-2015/

Gabarró, J. (20 de Enero de 2021). Análisis del riesgo ambiental en ISO 14001. Obtenido de Normes
ISO: https://iso.cat/es/analisis-del-riesgo-ambiental/#:~:text=El%20an%C3%A1lisis%20del
%20riesgo%20ambiental,y%20gestionar%20el%20riesgo%20ambiental.

Galaz, Yamazaki, Ruiz Urquiza, S.C. (1 de Enero de 2015). COSO Marco de referencia para la
implementación, gestión y control de un adecuado Sistema de Control Interno. Recuperado el 29
de Julio de 2023, de Deloitte.com:
https://www2.deloitte.com/content/dam/Deloitte/mx/Documents/risk/COSO-Sesion1.pdf

GILLIS, A. S. (1 de JULIO de 2020). COSO CUBE. Obtenido de techtarget:

https://www.techtarget.com/whatis/definition/COSO-cube

GlobalSuite Solutions. (25 de Mayo de 2023). ¿Qué es la norma ISO 31000 y para qué sirve? Descubre
la importancia de la gestión de riesgos en tu organización. Obtenido de
www.globalsuitesolutions.com: https://www.globalsuitesolutions.com/es/que-es-la-norma-iso-
31000-y-para-que-sirve/

González Martínez, R. (5 de Febrero de 2020). Marco Integrado de Control Interno. Modelo COSO III.
Obtenido de ofstlaxcala.gob.mx: https://www.ofstlaxcala.gob.mx/doc/material/27.pdf

Página 23 de 24
Guarisma, F. (28 de abril de 2020). Gestión de Riesgos Basado en ISO 22000 2018. Obtenido de
YouTube: https://www.youtube.com/watch?v=j00bL43pDIg

Posey, B. (1 de Octubre de 2021). COSO Framework. Recuperado el 29 de Julio de 2023, de

TechTarget: https://www.techtarget.com/searchcio/definition/COSO-Framework

Secretaría Central de ISO. (2018). Sistemas de gestión de la inocuidad de los alimentos — Requisitos
para cualquier organización en la cadena alimentaria (2nd ed.). Ginebra, Suiza: ISO. Obtenido
de https://iestpcabana.edu.pe/wp-content/uploads/2021/11/NORMA-ISO-22000.pdf

Standards Australia, Standards New Zealand. (10 de Enero de 2010). www.unisdr.org Business
continuity„Managing disruption-related risk. Obtenido de preventionweb:
https://www.unisdr.org/preventionweb/files/41414_505020101.pdf

Página 24 de 24