GESTION DE RIESGOS

ISO 31000:2009
 OBJETIVOS DEL CURSO

Al final del CURSO los participantes:

1) Obtendrán los conocimientos para la interpretación, implementación,

análisis y manejo de la norma ISO 31000:2009, para la eficaz
administración y gestión del riesgo.

2) Conocerán los requisitos y estructura de la norma ISO 31000.

3) Conocerán cómo elaborar un modelo la gestión de riesgos en base a la
norma ISO 31000.
 1. INTRODUCCIÓN

Todas las actividades de una organización implican

riesgos, que las empresas gestionan; y que además
son consultadas y comunicadas a las partes
interesadas del negocio.
Las organizaciones se enfrentan a factores
externos/internos que hacen incierto saber si se
conseguirán sus objetivos.
Alcance de la gestión de riesgos:
La gestión de riesgos se puede aplicar a toda la
organización, a sus áreas principales, o a sus
proyectos y actividades específicas.
 1. INTRODUCCIÓN
TOP BUSINESS RISK AMERICA

Fuente: Allianz Risk Pulse – Allianz Risk Barometer 2015

 1. INTRODUCCIÓN

A qué riesgos está expuesto

nuestra Organización?
 1. INTRODUCCIÓN:
CONCEPTOS Y FUNDAMENTOS

RIESGO
Efecto de la incertidumbre sobre la consecución de los
objetivos.
NOTA 1 : Un efecto es la desviación, positiva y/o
negativa, respecto a lo previsto.
NOTA 2: Los objetivos pueden tener diferentes
aspectos (tales como financieros, de salud y
seguridad, o ambientales) y se pueden aplicar al
nivel estratégico, de un proyecto, de un producto,
de un proceso o de una organización completa).
NOTA 3: El riesgo se caracteriza por referencia a
sucesos potenciales (probabilidad) y a sus (Fuente: ISO 31000)
consecuencias.
 1. INTRODUCCIÓN:
CONCEPTOS Y FUNDAMENTOS

RIESGO
Combinación de la probabilidad de un suceso y de su consecuencia

Nota 1: El término "riesgo" suele utilizarse sólo en el caso de que exista, al

menos, una posibilidad de consecuencia negativa.
Nota 2: En algunas situaciones, el riesgo surge de la posibilidad de
desviación con respecto al resultado o suceso previsto.
Guía ISO 73:2009

Probabilidad x Consecuencia


De ocurrencia Impacto
Taller: Mitos y realidades
 1. INTRODUCCIÓN: SISTEMAS
DE GESTION

TODO SISTEMA DE GESTION,

CONLLEVA INMERSO UNA GESTION
DE LOS RIESGOS!!
 1. INTRODUCCIÓN: SISTEMAS
DE GESTION

ISO 9001:2015
6.1 Acciones para abordar riesgos y oportunidades
6.1.1 Al planificar el sistema de gestión de la calidad, la organización debe
considerar las cuestiones referidas en el apartado 4.1 y los requisitos
referidos en el apartado 4.2, y determinar los riesgos y oportunidades que es
necesario abordar con el fin de:
a) asegurar que el sistema de gestión de la calidad pueda lograr sus
resultados previstos;
b) aumentar los efectos deseables;
c) prevenir o reducir efectos no deseados;
d) lograr la mejora.
 1. INTRODUCCIÓN: SISTEMAS
DE GESTION

6.1.2 La organización debe planificar:

a) las acciones para abordar estos riesgos y oportunidades;
b) la manera de:
1) integrar e implementar las acciones en sus procesos del sistema de
gestión de la calidad (véase 4.4.);
2) evaluar la eficacia de estas acciones.
Las acciones tomadas para abordar los riesgos y oportunidades deben ser
proporcionales al impacto potencial en la conformidad de los productos y los
servicios.
NOTA 1 Las opciones para abordar los riesgos pueden incluir: evitar riesgos, asumir riesgos para
perseguir una oportunidad, eliminar la fuente de riesgo, cambiar la probabilidad o las consecuencias,
compartir el riesgo o mantener riesgos mediante decisiones informadas.
NOTA 2 Las oportunidades pueden conducir a la adopción de nuevas prácticas, lanzamiento de nuevos
productos, apertura de nuevos mercados, acercamiento a nuevos clientes, establecimiento de
asociaciones, utilización de nuevas tecnologías y otras posibilidades deseables y viables para abordar las
necesidades de la organización o las de sus clientes.
 1. INTRODUCCIÓN: SISTEMAS
DE GESTION

– prevenir o reducir los efectos no deseados, incluida la posibilidad de

que condiciones ambientales externas afecten a la organización;
– lograr la mejora continua.

La organización debe mantener la información documentada de sus:

– riesgos y oportunidades que es necesario abordar;
 NORMA ISO 31000:2009
PRINCIPIOS Y DIRECTRICES
PARA LA ADMINISTRACIÓN DEL
RIESGO
 PROCESO GENERAL
PARA LA GESTIÓN DEL
RIESGO
a. Crear Valor.
b. Es parte integral de los Comando y
procesos de la organización. compromiso (4.2) Establecimiento del contexto ( 5.3)
c. Es parte de la toma decisión.
d. Aborda explícitamente la
Valoración del Riesgo (5.4)
incertidumbre.
e. Es sistemática estructurada Diseño del marco de
referencia para la

Comunicación y consulta (5.2)

y oportuna.

Monitoreo y revisión (5.6)

Identificación del riesgo ( 5.4.2)
gestión del
f. Se basa en la mejor
riesgo(4.3)
información disponible.
g. Está adaptada.
h. Toma en consideración a los Análisis del riesgo (5.4.3)
factores humanos y
Mejora continua Implementación
culturales.
del marco de de la gestión del
i. Es trasparente e inclusiva. referencia(4.6) riesgo(4.4)
j. Es dinámica, reiterativa, y
receptiva al cambio. Evaluación del riesgo (5.4.4)

k. Facilita la mejora y realza a

la organización. Seguimiento y
Principios (numeral 3) revisión del marco
de referencia (4.5) Tratamiento del riesgo (5.5)

Marco de referencia Proceso

(numeral 4) (numeral 5)
2.
2.
2.
Taller: Principios de la Gestión de
Riesgos
 Establecimiento del contexto (5.3)
COMUNICACIÓN Y CONSULTA(5.2)

MONITOREO Y REVISION (5.6)

Valoración del riesgo (5.4)

Identificación del riesgo (5.4.2)

Análisis del riego (5.4.3)

Evaluación del riesgo (5.4.4)

Tratamiento del riesgo (5.5)

 4. ESTABLECIMIENTO DEL
CONTEXTO
5.3.2. Establecimiento del contexto externo e interno.

Definición de los parámetros internos y externos que se han de tomar en consideración

cuando se gestiona el riesgo, y establecimiento del alcance y los criterios del riesgo
para la política para la gestión del riesgo.
Ambiente externo en el cual la Ambiente interno en el cual la organización
organización busca alcanzar sus busca alcanzar sus objetivos. Puede incluir
objetivos. Puede incluir aspectos, aspectos, pero no se limita a:
pero no se limita a:
- Cultura organizacional
- Social - El modelo de operación
- Cultural - El cumplimiento de los planes y programas
- Económico
- Los sistemas de información
- Tecnológico
- Los procesos y procedimientos
- Político y legal
- Los recursos humanos
- Internacional, nacional o regional
según sea el caso de análisis. - Y los económicos con los que cuenta una entidad.
 4. ESTABLECIMIENTO DEL
CONTEXTO
ASPECTOS PARA EL ESTABLECIMIENTO DEL CONTEXTO
FORTALEZAS / DEBILIDADES

Misión / Visión
Percepción y Objetivos estratégicos
Objetivos Políticas de
Partes interesadas ORGANIZACION
comunicación
Partes interesadas

OPORTUNIDADES / AMENAZAS

Contexto: Aspectos financieros, operacionales, competitivos, percepción / imagen

ante el publico, responsabilidad social, del cliente, culturales, legales
Taller 5: Establecimiento del contexto
de la Organización
 4. ESTABLECIMIENTO DEL
CONTEXTO

5.3.4. Establecimiento de Contexto del proceso de Gestión de Riesgos

La organización deberá establecer los objetivos, las estrategias, el alcance y los

parámetros de las actividades de la organización, o de aquellas partes donde se
aplica le proceso de gestión de riesgos.

Puede implicar:
- Definición de metas y objetivos de las actividades de gestión del riesgo
- Definición de responsabilidades relativas al proceso
- Definición de alcance (inclusiones y exclusiones).
- Definición de actividad del proceso, de la función, del producto o servicio, activo
(tiempo y ubicación).
- Definición de Metodología
 5. DEFINICION DE CRITERIOS
DE RIESGOS
5.3.5. Definición de los Criterios de riesgo.

La organización deberá definir los criterios que se aplican para evaluar la

importancia del riesgo y que está dispuesta a aceptar.

Aquellos riesgos iniciales que estén fuera del nivel aceptable de riesgos deberán
ser mitigados mediante el proceso de Tratamiento de riesgos, para esto es
necesario contar con una Política de Riesgos adecuada.
NIVELES DE RIESGO
 6. IDENTIFICACION Y
VALORACION DE RIESGOS

5.4 Apreciación del Riesgo.

4.4.2. Identificación del Riesgo.

La identificación del riesgo se realiza determinando las fuentes, causas y

consecuencias potenciales, con base en los factores internos y/o externos
analizados para la organización, y que pueden afectar el logro de los objetivos.

Es importante centrarse en los riesgos más significativos para la organización,

relacionados con los objetivos de los procesos y los objetivos organizacionales.
 6. IDENTIFICACION Y
VALORACION DE RIESGOS

5.4 Apreciación del Riesgo.

5.4.3. Análisis de Riesgo.
El análisis del riesgo busca establecer la probabilidad de ocurrencia del mismo y sus
consecuencias, éste último aspecto puede orientar la clasificación del riesgo, con el
fin de obtener información para establecer el nivel de riesgo y las acciones que se
van a implementar. Busca establecer:

Probabilidad Frecuencia Impacto de sus

De ocurrencia Factibilidad consecuencias

Pasos claves en el análisis de riesgos

- Determinar probabilidad
- Determinar consecuencias
- Clasificación del Riesgo
- Estimar el nivel del riesgo
 6. IDENTIFICACION Y
VALORACION DE RIESGOS

5.4 Apreciación del Riesgo.

5.4.3. Análisis de Riesgo.
EJEMPLO: TABLA DE PROBABILIDAD

NIVEL PROBABILIDAD DESCRIPCIÓN FRECUENCIA

El evento puede ocurrir solo en No se ha presentado en los
1 Raro
circunstancias excepcionales. últimos 5 años.

El evento puede ocurrir en algún Al menos de 1 vez en los

2 Improbable
momento. últimos 5 años.

El evento podría ocurrir en algún Al menos de 1 vez en los

3 Posible
momento. últimos 2 años.

El evento probablemente ocurrirá en la Al menos de 1 vez en el

4 Probable
mayoría de las circunstancias. último año.

Se espera que el evento ocurra en la

5 Casi Seguro Más de una vez al año.
mayoría de las circunstancias.
 6. IDENTIFICACION Y
VALORACION DE RIESGOS

5.4 Apreciación del Riesgo.

5.4.3. Análisis de Riesgo.

Nivel Probabilidad Descripción

Se espera que ocurra en la mayoría de las
A Casi cierto
circunstancias.
Puede probablemente ocurrir en la mayoría de las
B Probable
circunstancias.
C Posible Es posible que ocurra algunas veces.
D Improbable Podría ocurrir algunas veces.
Puede ocurrir solamente en circunstancias
E Raro
excepcionales.

Nota.- Todos los criterios de evaluación deben estar claramente definidos para darle a la
evaluación del riesgo las características de repetibilidad y reproducibilidad.
 6. IDENTIFICACION Y
VALORACION DE RIESGOS

5.4 Apreciación del Riesgo.

5.4.3. Análisis de Riesgo.
EJEMPLO: TABLA DE IMPACTO

NIVEL IMPACTO DESCRIPCIÓN

Si el hecho llegara a presentarse, tendría consecuencias o efectos mínimos sobre la
1 Insignificante entidad.

2 Menor Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la entidad.

Si el hecho llegara a presentarse, tendría medianas consecuencias o efectos sobre la

3 Moderado entidad.

4 Mayor Si el hecho llegara a presentarse, tendría altas consecuencias o efectos sobre la entidad.

Si el hecho llegara a presentarse, tendría desastrosas consecuencias o efectos sobre la

5 Catastrófico entidad.
 6. IDENTIFICACION Y
VALORACION DE RIESGOS

5.4 Apreciación del Riesgo.

5.4.3. Análisis de Riesgo.
IMPACTO DEFINICION

Severa La mayoría de los objetivos no se pueden lograr

Mayor Algunos objetivos importantes no se pueden lograr

Moderada Algunos objetivos afectados

Menor Efectos menores que se remedian fácilmente

Insignificante Impacto insignificante sobre los objetivos

 6. IDENTIFICACION Y
VALORACION DE RIESGOS

5.4 Apreciación del Riesgo.

5.4.3. Análisis de Riesgo.
Impacto
Nivel Descripción
(Consecuencia)

1 Insignificante Nivel de daño y pérdidas financieras pequeñas.

Pérdida financiera media; tratamiento de primeros auxilios en

2 Menor
el sitio; efectos ambientales detenidos en el sitio.
Pérdida financiera alta; requiere tratamiento médico;
3 Moderada
descargas se detienen en el sitio con ayuda externa.
Pérdidas financieras considerables; lesiones grandes; pérdidas
4 Mayor de capacidad de producción; descargas fuera del sitio sin
efectos perjudiciales.
Pérdida financiera enorme; muerte; liberación de tóxicos fuera
5 Catastrófica
del sitio con efecto perjudicial.
Nota.- Los criterios descritos, ya sean de probabilidad o severidad, pueden determinarse para uno o más sistemas de
gestión (ISO 9001, ISO 14001, OHSAS 18001, etc.); es decir puede o no encontrarse de manera integrada.
 6. IDENTIFICACION Y
VALORACION DE RIESGOS

IMPACTO REDUCCION DE SEGURIDAD Y MEDIO AMBIENTE SOCIAL Y CULTURAL COMUNIDAD, GOBIERNO, LEGAL
UTILIDADES SALUD REPUTACION, MEDIOS

Muchas muertes Enjuiciamientos y

> 500 millones o efectos multas significativas
Muy alto significativos
irreversibles >50
personas Daño ambiental muy
grave y a largo plazo,
de las funciones del
Una sola muerte Problemas sociales en Protestas graves al público o Violación mayor de
ecosistema
y/o discapacidad curso. Daño de los medios (cobertura los reglamentos.
Alto > 400 millones severa irreversible significativo a internacional) Litigios mayores
(>30%) a una o elementos de
más personas importancia cultural

Discapacidad o Efectos ambientales Atención significativa Violación grave de los

> 300 millones daño irreversible graves a término adversa a los medios, reglamentos, con
Medio moderado (<30%) medio público, ONG investigación o
a una o más informe a la
personas autoridad, con
enjuiciamiento y/o
Discapacidad Efectos moderados a Problemas sociales en Atención de los medios, posibles hallazgos
> 200 millones objetiva pero corto plazo, que no curso. Daño preocupación intensificada moderados
Bajo reversible que afectan las funciones permanente a por la comunidad local.
requiere del ecosistema elementos de Críticas de las ONG
hospitalización importancia cultural
No se requiere Efectos menores Impactos ambientales Atención médica o quejas Aspectos legales, no
tratamiento sobre el medio sociales menores a adversas menores del conformidades y
Muy bajo > 100 millones médico ambiente mediano plazo, sobre la público local violaciones menores
población local. En su
mayoría es subsanable
 7. EVALAUCION Y
TRATAMIENTO DE RIESGOS

5.4 Apreciación del Riesgo.

5.4.4. Evaluación del Riesgo.
Implica comparar el nivel de riesgo identificado en la fase de análisis de riesgo
con los criterios de riesgo establecido cuando se consideró el contexto. En base a
esta comparación, se puede considerar la necesidad de tratamiento.
Permite establecer el grado de exposición de la organización al riesgo
identificado; de esta forma es posible distinguir entre los riesgos:
- Aceptables
- Tolerables
- Moderados
- Importantes o inaceptables
- Fijar las prioridades de las acciones requeridas para su tratamiento.

En algunas situaciones, la evaluación de riesgos puede llevar a la decisión de

realizar un análisis de mayor profundidad.
 7. EVALAUCION Y
TRATAMIENTO DE RIESGOS

MATRIZ RIESGOS

PROBABILIDAD IMPACTO

Insignificante (1) Menor (2) Moderado (3) Mayor (4) Catastrófico (5)

Raro (1) B B M A A

Improbable (2) B B M A E

Posible (3) B M A E E

Probable (4) M A A E E

Casi Seguro (5) A A E E E

B: Zona de riesgo Baja: Asumir el riesgo
M: Zona de riesgo Moderada: Asumir el riesgo, Reducir el riesgo
A: Zona de riesgo Alta: Reducir el riesgo, Evitar, Compartir o Transferir
E: Zona de riesgo Extrema: Reducir el riesgo, Evitar, Compartir o Transferir
 8. OPCIONES DE
TRATAMIENTO DE RIESGOS

5.5 Tratamiento del Riesgo.

5.5.2. Selección de Opciones de Tratamiento del riesgo.
Implica obtener una compensación de los costes y los esfuerzos de
implementación, se debe tener en consideración los requisitos legales,
reglamentarios y de otros tipos (responsabilidad social, entorno natural,
económico, etc.)
 8. OPCIONES DE
TRATAMIENTO DE RIESGOS

5.5 Tratamiento del Riesgo.

5.5.2. Selección de Opciones de Tratamiento del riesgo.

a) REDUCIR EL RIESGO
Es el Proceso de selección e implementación de controles para
modificar el riesgo de acuerdo a los niveles de riesgo establecidos por la
organización. REDUCIR EL RIESGO
Disminuir la Probabilidad y el Impacto

Medidas de Prevención Medidas de Protección

Optimización de Procedimientos
Implementación y/o cambio de los controles existentes.
 8. OPCIONES DE
TRATAMIENTO DE RIESGOS

5.5 Tratamiento del Riesgo.

5.5.2. Selección de Opciones de Tratamiento del riesgo.

b) ACEPTACIÓN DEL RIESGO

Es posible que existan algunos riesgos para los cuales la organización no
puede identificar controles o el costo del control sobrepasa la potencial
pérdida si ocurriese el riesgo. En estos casos se puede tomar la decisión
de aceptar el riesgo y vivir con las consecuencias, si ocurriera.
 8. OPCIONES DE
TRATAMIENTO DE RIESGOS

5.5 Tratamiento del Riesgo.

5.5.2. Selección de Opciones de Tratamiento del riesgo.
c) COMPARTIR DEL RIESGO
La transferencia del riesgo es una opción cuando es difícil para una compañía
reducir o controlar el riesgo a un nivel aceptable. Ejemplo: empresas
aseguradoras y outsourcing.

d) EVITAR DEL RIESGO

El evitar el riesgo describe acciones donde, actividades del negocio o maneras de
realizarlas son modificadas para evitar la ocurrencia del riesgo.
Ilustración de formas para evitar el riesgo:
- No conducir ciertas actividades.
- Mover los activos de una zona considerada riesgosa.
- Decidir no procesar información particularmente sensitiva.
 8. OPCIONES DE
TRATAMIENTO DE RIESGOS

RIESGO RESIDUAL
Después que las decisiones relacionadas con el
tratamiento del riesgo han sido implantadas,
siempre habrá riesgo remanente.

El riesgo residual puede ser difícil de evaluar, pero

por lo menos un estimado debe ser hecho para
asegurar que se tiene instaurada la suficiente
protección.
 8. OPCIONES DE
TRATAMIENTO DE RIESGOS

5.6 Seguimiento y Revisión.

El seguimiento es esencial para asegurar que las acciones se están llevando a cabo
y evaluar la eficacia de la implementación del control.
Esta verificación o seguimiento puede ser periódica o eventual, deberá abarcar los
aspectos de la gestión de riesgos con la finalidad de:

- Asegurar que los controles son eficaces

- Obtener información adicional para mejorar la apreciación del riesgo
- Analizar y sacar conclusiones
- Detectar cambios en el contexto interno y externo, incluido los criterios de riesgo.

5.7 Registro del Proceso de Gestión del Riesgo.

Las actividades de la gestión de riesgos deberían ser trazables. Los registros
proporcionan la base para la mejora de los métodos y herramientas, deberá tener en
cuenta:
-Necesidades de la organización de aprendizaje continuo.
-Los beneficios de reutilizar la información para fines de gestión.
 CONCLUSIONES

• La implementación de un Marco de Gestión de Riesgos, es una decisión

estratégica de la Alta Dirección.

• La gestión de riesgos es clave para el cumplimiento de los objetivos de las

organizaciones.

• La Gestión de Riesgos, orienta la identificación de los diferentes tipos de

riesgo a los que está expuesto las organizaciones.

• Se requiere el involucramiento y compromiso de la Alta Dirección para

implantar el Marco de Gestión de Riegos.
Jr. Francisco Graña 335 – Magdalena del Mar