Gestión del Riesgo para su

Aplicación según ISO 31000

Alejandro González P.
 Fundamentación
Las organizaciones de todos los tipos y
tamaños se enfrentan a factores e influencias
externas e internas que hacen incierto si
lograrán sus objetivos.
La gestión del riesgo es iterativa y asiste a las
organizaciones a establecer su estrategia,
lograr sus objetivos y tomar decisiones
informadas.

2
AGo
 Objetivo general
• Comprender y adquirir los conocimientos de
la norma ISO 31000:2018, de manera tal que,
al finalizar el curso, los participantes sean
capaces de aplicar los conceptos y técnicas en
los sistemas de gestión de su propia
organización.

3
AGo
 Contenidos
1. Introducción a los conceptos de riesgo según
la norma ISO 31000.
2. Interpretación de requisitos de ISO
9001:2015 en el contexto de la gestión del
riesgo.
3. Modelos de gestión de riesgo según ISO
31000.

4
AGo
 UNIDAD 1:

Introducción a los conceptos de

riesgo según la norma ISO 31000
 Introducción a los conceptos de riesgo según la
norma ISO 31000:2018

6
AGo
 Introducción a los conceptos de
riesgo según la norma ISO 31000

➢ Términos relativos al riesgo

➢ Términos relativos a la gestión del riesgo
➢ Términos relativos al proceso de gestión del
riesgo

7
AGo
 Introducción
ISO 31000:2018 está dirigida a quienes crean y protegen
el valor en las organizaciones gestionando riesgos,
tomando decisiones, estableciendo y logrando objetivos y
mejorando el desempeño.
Ello considera, pero no está limitado a:
• factores e influencias externas e internas que hacen
incierto si lograrán sus objetivos;
• La gestión del riesgo es parte de todas las actividades
asociadas con la organización e incluye la interacción
con las partes interesadas.
• La gestión del riesgo considera los contextos externo e
interno de la organización.

8
AGo
 Introducción
El propósito de la gestión del riesgo es la
creación y la protección del valor. Mejora el
desempeño, fomenta la innovación y contribuye
al logro de objetivos.

9
AGo
 Introducción
La gestión del riesgo está basada en los
principios, el marco de referencia y el proceso
descritos en ISO 31000.
Estos componentes podrían existir previamente
en toda o parte de la organización, sin embargo,
podría ser necesario adaptarlos o mejorarlos
para que la gestión del riesgo sea eficiente,
eficaz y coherente.

10
AGo
 Principios, Marco de referencia y
Proceso

11
AGo
 Términos relativos al riesgo
Riesgo: efecto de la incertidumbre sobre los objetivos
NOTA 1 Un efecto es un desvío respecto a lo previsto, ya sea positivo y/o negativo.
NOTA 2 Los objetivos pueden tener diferentes aspectos (tales como financieros, relativos a
la seguridad y la salud, y ambientales) y pueden aplicarse en diferentes niveles (tales como,
estratégico, organizacional, relativos a proyectos, productos y procesos).
NOTA 3 Generalmente el riesgo está caracterizado por referencia a eventos potenciales y
sus consecuencias, o a una combinación de ambos.
NOTA 4 Por lo general, el riesgo se define en términos de combinación de las consecuencias
de un evento (incluyendo los cambios en las circunstancias) y de su probabilidad de
ocurrencia asociada.
NOTA 5 La incertidumbre es el estado, incluso parcial, de deficiencia de información ,
entendimiento o conocimiento de un evento, su consecuencia o su probabilidad.

(Fuente: ISO GUIA 73:2009)

12
AGo
 Términos relativos a la gestión
del riesgo
Gestión del riesgo: actividades coordinadas para dirigir y
controlar la organización con relación al riesgo.
Marco de gestión del riesgo: conjunto de elementos que
proporcionan los fundamentos y las disposiciones dentro de
la organización para diseñar, la implementar, el seguimiento
y control, revisar y mejorar continuamente la gestión del
riesgo en toda la organización.
NOTA 1 Los fundamentos incluyen la política, los objetivos, los mandatos y los compromisos
para gestionar el riesgo.
NOTA 2 Las disposiciones de la organización incluyen planes, relaciones, rendiciones de
cuentas, recursos, procesos y actividades.
NOTA 3 El marco de gestión del riesgo está contenido en las políticas y las prácticas
estratégicas y operativas globales de la organización.
(Fuente: ISO GUIA 73:2009) 13
AGo
 Términos relativos a la gestión
del riesgo
Política de gestión del riesgo: declaración de las
intenciones y orientaciones generales de una organización
relativas con la gestión del riesgo.
Plan de gestión del riesgo: esquema dentro del marco de
gestión del riesgo que especifica el enfoque, los
componentes de gestión y los recursos que se aplicarán a la
gestión del riesgo.
NOTA 1 Por lo general, los componentes de gestión incluyen los procedimientos,
las prácticas, la asignación de responsabilidades, la secuencia y el cronograma de
las actividades.
NOTA 2 El plan de gestión del riesgo se puede aplicar a un producto, proceso o
proyecto determinado, a toda la organización o parte de ella.
(Fuente: ISO GUIA 73:2009)
14
AGo
 Términos relativos al proceso
de gestión del riesgo
Proceso de gestión del riesgo: aplicación sistemática de las
políticas, los procedimientos y las prácticas de gestión a las
actividades de comunicación, consulta, establecimiento del
contexto, identificación, análisis, valoración, tratamiento,
seguimiento y control y revisión del riesgo.

(Fuente: ISO GUIA 73:2009)

15
AGo
 Términos relativos al proceso
de gestión del riesgo
Comunicación y consulta: procesos continuos e iterativos
llevados a cabo por una organización para brindar,
compartir u obtener información y para entablar un diálogo
con las partes interesadas, en relación a la gestión del
riesgo.
NOTA 1 La información puede estar relacionada con la existencia, la naturaleza, la forma, la
probabilidad, la relevancia, la valoración, la aceptabilidad y el tratamiento de la gestión del
riesgo.
NOTA 2 La consulta es un proceso bidireccional de comunicación entre una organización y
sus partes interesadas, en relación a un tema antes de tomar una decisión o de determinar
un curso de acción al respecto. La consulta es:
− un proceso que impacta sobre una decisión por medio de la influencia más que de una
relación de poder; y
− una entrada en la toma de decisiones, y no la toma de decisiones de manera conjunta.

(Fuente: ISO GUIA 73:2009) 16

AGo
 Términos relativos al proceso
de gestión del riesgo
Parte interesada: persona u organización que puede
afectar, estar afectada, o considerarse afectada por una
decisión o actividad.
NOTA El responsable de la toma decisiones puede ser una parte interesada.

Percepción del riesgo: visión del riesgo que tiene la

parte interesada.
NOTA La percepción del riesgo refleja las necesidades, los problemas, los conocimientos, las
creencias y los valores de la parte interesada.

(Fuente: ISO GUIA 73:2009)

17
AGo
 Términos relativos al proceso
de gestión del riesgo
Riesgo residual
Riesgo que permanece después del tratamiento de
riesgos.
(Fuente: ISO GUIA 73:2009)

18
AGo
 UNIDAD 2:

Interpretación de requisitos de ISO

9001:2015 en el contexto de la
gestión del riesgo
 Interpretación de requisitos de ISO 9001:2015
en el contexto de la gestión del riesgo.

20
AGo
 Términos y definiciones
Evento: ocurrencia o cambio de un conjunto particular de
circunstancias

Consecuencia: resultado de un evento que afecta a los objetivos

Probabilidad (likelihood): posibilidad de que algo suceda

Control: medida que mantiene y/o modifica un riesgo.

21
AGo
 El riesgo en ISO 9001:2015

ISO 9001 plantea gestionar los riesgos en diversas

cláusulas de la norma:
Plantea desde el inicio que los beneficios potenciales
para una organización de implementar un sistema de
gestión de la calidad basado en esta Norma es, entre
otros, abordar los riesgos y oportunidades
asociadas con su contexto y objetivos;

22
AGo
 El riesgo en ISO 9001:2015

Plantea desde el inicio que los beneficios potenciales

para una organización de implementar un sistema de
gestión de la calidad basado en esta Norma es, entre
otros, abordar los riesgos y oportunidades
asociadas con su contexto y objetivos.
La norma emplea el uso del pensamiento basado en
riesgos

23
AGo
 El riesgo en ISO 9001:2015
ISO 9001:2015 no establece ningún requisito en
cuanto a métodos formales para la gestión del riesgo
ni un proceso documentado de la gestión del riesgo.

Las organizaciones pueden decidir si desarrollar o no una

metodología de la gestión del riesgo más amplia de lo que
requiere ISO 9001:2015, por ejemplo mediante la
aplicación de otra orientación u otras normas.

24
AGo
 Pensamiento basado en el Riesgo

Asegurar el logro de los

resultados
En la planificación,
considerar los Contexto 4.1 Aumentar los efectos
deseables
Riesgos y las
Oportunidades
Partes Disminuir o prevenir los
efectos no deseados
(tanto operacionales, interesadas
estratégicos como de 4.2
apoyo)
Lograr la mejora

AGo
 Planificar Hacer Verificar Actuar

4 Contexto 9 Evaluación
5 Liderazgo 6 Planificación 7 Apoyo 8 Operación 10 Mejora
Organización desempeño

4.1 Organización y 5.1 Liderazgo y 6.1 Acciones para 8.1 Planificación y 9.1 Sgto, 10.1
7.1 Recursos
su entorno compromiso riesgos y oport. control medición, an y ev. Generalidades

4.2 Partes 6.2 Objeticos de 8.2 Requisitos 9.2 Auditoría 10.2 No Conf. Y
5.2 Política 7.2 Competencia
interesadas Calidad y Planif. productos y serv. interna Acc. Correctiva

5.3 Roles, resp. y 6.3 Planificación 7.3 Toma de 8.3 Diseño y 9.3 Revisión 10.3 Mejora
4.3 Alcance SGC
autoridad de cambios conciencia desarrollo Dirección continua

4.4 SGC y sus 8.4 Control

7.4 Comunicación
procesos procesos externos

7.5 Información 8.5 Prod. Y

documentada prestación servicio

8.6 Liberación
productos

8.7 Cont. Salida

No Conforme

26
AGo
 El riesgo en ISO 9001:2015

4.4.1.f) Para el SGC y sus procesos se debe abordar los riesgos y

oportunidades determinados de acuerdo con los requisitos del
numeral 6.1 “Acciones para abordar riesgos y oportunidades.”

27
AGo
 El riesgo en ISO 9001:2015

5.1.1 Generalidades - La alta dirección debe demostrar liderazgo y

compromiso con respecto al sistema de gestión de la calidad:
d) promoviendo el uso del enfoque a procesos y el pensamiento
basado en riesgos;

5.1.2 Enfoque al cliente - La alta dirección debe demostrar

liderazgo y compromiso con respecto al enfoque al cliente
asegurándose de que se determinan y se consideran los riesgos y
oportunidades que pueden afectar a la conformidad de los
productos y servicios y a la capacidad de aumentar la satisfacción
del cliente.

28
AGo
 El riesgo en ISO 9001:2015

6.1.1 Al planificar el sistema de gestión de la calidad, la

organización debe considerar las cuestiones referidas en la
Comprensión de la organización y de su contexto y los requisitos
referidos en la Comprensión de las necesidades y expectativas de
las partes interesadas, y determinar los riesgos y oportunidades
que es necesario abordar.

29
AGo
 El riesgo en ISO 9001:2015

9.1.3 Análisis y evaluación - La organización debe analizar y

evaluar los datos y la información apropiados que surgen por el
seguimiento y la medición. Los resultados del análisis deben
utilizarse para evaluar la eficacia de las acciones tomadas para
abordar los riesgos y oportunidades.
9.3.2 Entradas de la revisión por la dirección - La revisión por la
dirección debe planificarse y llevarse a cabo incluyendo
consideraciones sobre la eficacia de las acciones tomadas para
abordar los riesgos y las oportunidades.

30
AGo
 El riesgo en ISO 9001:2015

10.2 No conformidad y acción correctiva

10.2.1 Cuando ocurra una no conformidad, incluida cualquiera
originada por quejas, la organización debe actualizar los riesgos y
oportunidades determinados durante la planificación si fuera
necesario.

31
AGo
 El riesgo en ISO 9001:2015

El riesgo es el efecto de la incertidumbre y dicha incertidumbre

puede tener efectos positivos o negativos.

Una desviación positiva que surge de un riesgo puede

proporcionar una oportunidad, pero no todos los efectos positivos
del riesgo tienen como resultado oportunidades.

32
AGo
 Planificar Identificar y analizar Modelo de
Definir: Identificar: Gestión de
- Alcance - Activos
- Políticas - Amenazas Riesgo de ISO
- Planes - Vulnerabilidades 27001:2013
- Análisis de Riesgos
- BIA Analizar:
- Riesgos
- Oportunidades

Dirección

- Decidir tratamiento de
riesgos

Mitigar Transferir Aceptar Evitar

riesgo riesgo riesgo riesgo
Controles: - Seguros - No hacer - Cese de la actividad
- Seleccionar - Proveedores nada que lo origina
- SoA
- Implantar

PTR

Evaluación de
BIA = Análisis de Impacto en el Negocio (Bussiness Impact Analysis eficacia
SoA = Declaración de Aplicabilidad (Statement of Applicability) 33
AGo
PTR = Plan de Tratamiento del Riesgo
 UNIDAD 3:

Modelo de gestión de riesgo según

ISO 31000
 Gestión del riesgo
La gestión del riesgo está basada en los principios, el marco de
referencia y el proceso descritos en esta figura.

35
AGo
 Principios
El propósito de la gestión del riesgo es la creación y la
protección del valor. Mejora el desempeño, fomenta la
innovación y contribuye al logro de objetivos.

Los principios son el fundamento de

la gestión del riesgo y se deberían
considerar cuando se establece el
marco de referencia y los procesos
de la gestión del riesgo de una
organización.

Estos principios deberían habilitar a

una organización para gestionar los
efectos de la incertidumbre sobre
sus objetivos.

36
AGo
 Principios
La gestión del riesgo eficaz requiere
de estos 8 elementos y puede
explicarse como sigue:

a) Integrada
b) Estructurada y exhaustiva
c) Adaptada
d) Inclusiva
e) Dinámica
f) Mejor información disponible
g) Factores humanos y culturales
h) Mejora Continua
37
AGo
 Principios

Integrada - La gestión del riesgo es parte integral de todas las

actividades de la organización.

38
AGo
 Principios

Estructurada y exhaustiva - Un enfoque estructurado y

exhaustivo hacia la gestión del riesgo contribuye a resultados
coherentes y comparables.

39
AGo
 Principios
Adaptada - El marco de referencia y el proceso de la gestión del
riesgo se adaptan y son proporcionales a los contextos externo e
interno de la organización relacionados con sus objetivos.

40
AGo
 Principios
Inclusiva - La participación apropiada y oportuna de las partes
interesadas permite que se consideren su conocimiento, puntos
de vista y percepciones. Esto resulta en una mayor toma de
conciencia y una gestión del riesgo informada.

41
AGo
 Principios
Dinámica - Los riesgos pueden aparecer, cambiar o desaparecer
con los cambios de los contextos externo e interno de la
organización. La gestión del riesgo anticipa, detecta, reconoce y
responde a esos cambios y eventos de una manera apropiada y
oportuna.

42
AGo
 Principios
Mejor información disponible - Las entradas a la gestión del
riesgo se basan en información histórica y actualizada, así como
en expectativas futuras. La gestión del riesgo tiene en cuenta
explícitamente cualquier limitación e incertidumbre asociada
con tal información y expectativas. La información debería ser
oportuna, clara y disponible para las partes interesadas
pertinentes.

43
AGo
 Principios
Factores humanos y culturales - El comportamiento humano y la
cultura influyen considerablemente en todos los aspectos de la
gestión del riesgo en todos los niveles y etapas.

44
AGo
 Principios
Mejora continua - La gestión del
riesgo mejora continuamente
mediante aprendizaje y
experiencia.

45
AGo
 Marco de referencia

El propósito del marco de referencia de la gestión del

riesgo es asistir a la organización en integrar la gestión
del riesgo en todas sus actividades y funciones
significativas.
La eficacia de la gestión del riesgo dependerá de su
integración en la gobernanza de la organización,
incluyendo la toma de decisiones.
Requiere el apoyo de las partes interesadas,
particularmente de la alta dirección.

El desarrollo del marco de referencia implica integrar, diseñar, implementar,

valorar y mejorar la gestión del riesgo a lo largo de toda la organización.

46
AGo
 Liderazgo y compromiso
La alta dirección y los adaptando e implementando todos los componentes
órganos de supervisión del marco de referencia;
deberían
asegurar que la gestión publicando una declaración o una política que
del riesgo esté establezca un enfoque, un plan o una línea de acción
integrada en todas las
para la gestión del riesgo;
actividades de la
organización.
asegurando que los recursos necesarios se asignan
para gestionar los riesgos;

asignando autoridad, responsabilidad y obligación de

rendir cuentas en los niveles apropiados dentro de la
organización;

47
AGo
 Liderazgo y compromiso
alinear la gestión del riesgo con sus objetivos, estrategia y
cultura;

reconocer y abordar todas las obligaciones, así como sus

compromisos voluntarios;

establecer la magnitud y el tipo de riesgo que puede o no ser

tomado para guiar el desarrollo de los criterios del riesgo,
asegurando que se comunican a la organización y a sus
Ayuda a la partes interesadas;
organización
comunicar el valor de la gestión del riesgo a la organización y
a sus partes interesadas;

comunicar el valor de la gestión del riesgo a la organización y

sus partes interesadas;

promover el seguimiento sistemático de los riesgos;

asegurar que el marco de referencia de gestión del riesgo

permanezca apropiado al contexto de la organización.
48
AGo
 Liderazgo y compromiso
La alta dirección rinde se aseguren de que los riesgos se consideran
cuentas por apropiadamente cuando se establezcan los objetivos de la
gestionar el riesgo organización;
Los órganos de
supervisión rinden
cuentas por la comprendan los riesgos a los que hace frente la organización
supervisión de la gestión en la búsqueda de sus objetivos;
del riesgo.
se aseguren de que los sistemas para gestionar estos riesgos
se implementen y operen eficazmente;

se aseguren de que estos riesgos sean apropiados en el

contexto de los objetivos de la organización;

se aseguren de que la información sobre estos riesgos y su

gestión se comunique de la manera apropiada;

49
AGo
 integrar, diseñar, implementar, valorar y
mejorar
Integración en todas las actividades:
La integración de la gestión del riesgo depende de la comprensión de las
estructuras y el contexto de la organización. Esta integración es un
proceso dinámico e iterativo y no estar separada del propósito, la
gobernanza, el liderazgo y compromiso, la estrategia, los objetivos y las
operaciones de la organización.
Liderazgo y
Compromiso
Diseño de la Infraestructura para la gestión del riesgo:
- Comprensión de la organización y de su contexto
- Articulación del compromiso con la gestión del riesgo
- Asignación de roles, autoridades, responsabilidades y obligación de
rendir cuentas en la organización
- Asignación de recursos
- Establecimiento de la comunicación y la consulta

50
AGo
 integrar, diseñar, implementar, valorar y
mejorar
Implementación de la gestión del riesgo:
- desarrollar de un plan apropiado incluyendo plazos y recursos;
- identificar de dónde, cuándo, cómo y quién toma diferentes tipos de
decisiones en toda la organización;
- modificar los procesos aplicables para la toma de decisiones;
- asegurar que las disposiciones de la organización para gestionar el
Liderazgo y riesgo son claramente comprendidas y puestas en práctica.
Compromiso
Valorar
- medir periódicamente el desempeño del marco de referencia de la
gestión del riesgo con relación a su propósito, sus planes para la
implementación, sus indicadores y el comportamiento esperado;
- determinar si permanece idóneo para apoyar el logro de los objetivos
de la organización.

51
AGo
 integrar, diseñar, implementar, valorar y
mejorar

Mejorar:

- Adaptación - La organización debería realizar el seguimiento continuo y

adaptar el marco de referencia de la gestión del riesgo en función de
los cambios externos e internos. Al hacer esto, la organización puede
Liderazgo y mejorar su valor.
Compromiso
- Mejora continua - La organización debería mejorar continuamente la
idoneidad, adecuación y eficacia del marco de referencia de la gestión
del riesgo y la manera en la que se integra el proceso de la gestión del
riesgo y cuando se identifiquen brechas u oportunidades de mejora
pertinentes, la organización debería desarrollar planes y tareas y
asignarlas a quienes tuviesen que rendir cuentas de su
implementación.

52
AGo
 El proceso
El proceso de la gestión del
riesgo implica la aplicación
sistemática de políticas,
procedimientos y prácticas a las
actividades de comunicación y
consulta, establecimiento del
contexto y evaluación,
tratamiento, seguimiento,
revisión, registro e informe del
riesgo.

53
AGo
 Recordemos…
Estructura de ISO 31000:2018

Los principios son el fundamento El marco de referencia asiste a El proceso de la gestión del riesgo
de la Norma y proporcionan la organización en integrar la implica la aplicación de políticas,
orientación sobre las gestión del riesgo en todas sus procedimientos y prácticas a las
características de una gestión del actividades y funciones actividades de comunicación y
riesgo eficaz y eficiente, significativas. consulta, establecimiento del
comunicando su valor y contexto y evaluación,
explicando su intención y tratamiento, seguimiento,
propósito. revisión, registro e informe del
riesgo

Mejorar la gestión del riesgo es un proceso iterativo.

54
AGo
 Proceso de gestión del riesgo
Comunicación y consulta
Asistir a las partes interesadas pertinentes a comprender
el riesgo, las bases con las que se toman decisiones y las
razones por las que son necesarias acciones específicas.

Busca promover la toma de conciencia y la comprensión del riesgo,

mientras que la consulta implica obtener retroalimentación e
información para apoyar la toma de decisiones.

Una coordinación cercana entre ambas debería facilitar un

intercambio de información basado en hechos, oportuno,
pertinente, exacto y comprensible, teniendo en cuenta la
confidencialidad e integridad de la información, así como el
derecho a la privacidad de las personas.

55
AGo
 Proceso de gestión del riesgo
Alcance, contexto y criterios

Definición del alcance

La organización debiera definir el alcance de sus
actividades de gestión del riesgo.

Contextos externo e interno

Los contextos externo e interno son el entorno en el cual
la organización busca definir y lograr sus objetivos.

Definición de los criterios del riesgo

La organización debería precisar la cantidad y el tipo de
riesgo que puede o no puede tomar, con relación a los
objetivos.
56
AGo
 Proceso de gestión del riesgo
Evaluación del riesgo
Identificación del riesgo
El propósito de la identificación del riesgo es encontrar,
reconocer y describir los riesgos que pueden ayudar o
impedir a una organización lograr sus objetivos.

Análisis del riesgo

El propósito del análisis del riesgo es comprender la
naturaleza del riesgo y sus características incluyendo el
nivel del riesgo. El análisis del riesgo implica una
consideración detallada de incertidumbres, fuentes de
riesgo, consecuencias, probabilidades, eventos,
escenarios, controles y su eficacia.

Valoración del riesgo

El propósito de la valoración del riesgo es apoyar a la
toma de decisiones. La valoración del riesgo implica
comparar los resultados del análisis del riesgo con los
criterios del riesgo establecidos para determinar cuándo
57
AGo se requiere una acción adicional.
 Proceso de gestión del riesgo
Tratamiento del riesgo
Tratamiento del riesgo
El propósito es seleccionar e implementar opciones para
abordar el riesgo

Selección de las opciones para el tratamiento del riesgo

La selección de las opciones más apropiadas para el
tratamiento del riesgo implica hacer un balance entre los
beneficios potenciales, derivados del logro de los
objetivos contra costos, esfuerzo o desventajas de la
implementación.

Preparación e implementación de los planes de

tratamiento del riesgo
Especificar la manera en la que se implementarán las
opciones elegidas para el tratamiento, de manera tal que
los involucrados comprendan las disposiciones, y que
pueda realizarse el seguimiento del avance respecto de lo
planificado. 58
AGo
 Proceso de gestión del riesgo
Seguimiento y revisión
El propósito es asegurar y mejorar la calidad y la eficacia
del diseño, la implementación y los resultados del
proceso.
El seguimiento continuo y la revisión periódica del
proceso de la gestión del riesgo y sus resultados debería
ser una parte planificada del proceso de la gestión del
riesgo, con responsabilidades claramente definidas.

59
AGo
 Proceso de gestión del riesgo
Registro e informe
El registro e informe pretenden:
- comunicar las actividades de la gestión del riesgo y sus
resultados a lo largo de la organización;
- proporcionar información para la toma de decisiones;
- mejorar las actividades de la gestión del riesgo;
- asistir la interacción con las partes interesadas,
incluyendo a las personas que tienen la
responsabilidad y la obligación de rendir cuentas de
las actividades de la gestión del riesgo.

60
AGo
 Desarrollo de un
Modelo de gestión de riesgo
 No olvidemos…
La evaluación del riesgo comprende los elementos centrales del proceso de
gestión del riesgo que se definen en ISO 31000, y contiene los siguientes
elementos:
• comunicación y consulta;
• establecimiento del contexto;
• evaluación del riesgo (que comprende la identificación del riesgo, el
análisis del riesgo y la valoración del riesgo);
• tratamiento del riesgo;
• monitoreo y revisión.

La evaluación del riesgo no es una actividad aislada, y debe estar totalmente

integrada con los otros componentes del proceso de gestión del riesgo.

62
AGo
 Técnicas de tratamiento de riesgos
ISO 31010:2019 describe 31 herramientas utilizadas para la
evaluación del riesgo

63
AGo
 64
AGo
 Comunicación y consulta

Desarrollar un plan de comunicación;

• definir el contexto de manera apropiada;
• asegurar que los intereses de las partes interesadas se
comprenden y se tienen en consideración;
• reunir las diferentes áreas de conocimiento técnico para la
identificación y el análisis del riesgo;
• asegurar que las diferentes opiniones se tienen en cuenta de
forma adecuada en la valoración de los riesgos;
• asegurar que los riesgos se identifican adecuadamente;
• obtener la aprobación y el soporte para un plan de
tratamiento.
65
AGo
 Comunicación y consulta

Definir el contexto de manera apropiada

• Cultural
• Social
Externo •
•
Político
Legal, reglamentario
a nivel internacional, nacional, regional o • Financiero, económico
local • Tecnológico
• Natural y competitivo

• Gobierno corporativo
• Estructura de la organización y
funciones
Interno •
•
Políticas, objetivos y estrategias
Recursos y conocimientos
Organización
• Sistemas de información
• Cultura de la organización
• Relaciones contractuales

66
AGo
 Evaluación del riesgo
La evaluación del riesgo es el proceso global de identificación del riesgo,
análisis del riesgo y valoración del riesgo.

La evaluación del riesgo proporciona un conocimiento de los riesgos, sus

causas, consecuencias y sus probabilidades. Esto proporciona datos de
entrada para tomar decisiones acerca de:

- si se debería realizar una actividad;

- cómo maximizar las oportunidades;
- si los riesgos necesitan tratarse;
- la elección entre opciones con riesgos diferentes;
- la asignación de prioridades a las opciones de tratamiento del riesgo;
- la selección más apropiada de las estrategias de tratamiento del riesgo
que llevarán a los riesgos adversos hasta un nivel tolerable.

67
AGo
 Identificación del riesgo

Identificar qué puede pasar o qué situaciones se pueden

presentar que pueden afectar el logro de los objetivos del
sistema o de la organización.

Una vez que el riesgo está identificado, la organización debe

identificar cualquiera de los controles existentes, tales como
características de diseño, personas, procesos y sistemas.

El proceso de identificación del riesgo incluye la identificación de

las causas y del origen del riesgo (peligro en el contexto de los
daños físicos), eventos, situaciones o circunstancias que podrían
tener un impacto material sobre los objetivos y la naturaleza del
impacto.
68
AGo
 Análisis del riesgo
Consiste en desarrollar una comprensión del riesgo. Proporciona
un elemento de entrada para la evaluación del riesgo y para
tomar decisiones acerca de si es necesario tratar los riesgos, y
de las estrategias y los métodos de tratamiento del riesgo más
apropiados.

Consiste en determinar las consecuencias y sus probabilidades

para eventos de riesgo identificados, teniendo en cuenta la
presencia (o no) y la eficacia de todos los controles existentes.
Las consecuencias y sus probabilidades se combinan después
para determinar un nivel de riesgo.

69
AGo
 Valoración del riesgo
implica la comparación de niveles estimados de riesgo con los
criterios de riesgo definidos cuando se estableció el contexto,
con objeto de determinar la importancia del nivel y tipo de
riesgo.

En la valoración del riesgo se aplica el conocimiento del riesgo

obtenido durante el análisis del riesgo, para tomar decisiones
sobre acciones futuras. Las consideraciones éticas, legales,
financieras y de otros tipos, incluidas las percepciones de riesgo,
también son factores de entrada para la toma de decisiones. Las
decisiones pueden incluir:
- si se necesita tratar el riesgo;
- las prioridades de tratamiento;
- si se debe emprender una actividad;
- el camino que se debe seguir.
70
AGo
 Valoración del riesgo
Un enfoque común consiste en dividir los riesgos en tres bandas:

a) una banda superior, donde el nivel de riesgo se considera

intolerable, cualesquiera que sean los beneficios que la
actividad puede proporcionar, y donde el tratamiento del
riesgo es esencial cualquiera que sea su costo;
b) una banda media (o zona gris), donde los costos y los
beneficios se tienen en cuenta y las oportunidades se
compensan con respecto a las consecuencias potenciales;
c) una banda inferior, donde el nivel de riesgo se considera
insignificante o tan pequeño que no es necesario tomar
medidas para el tratamiento del riesgo.

71
AGo
 Cuál técnica seleccionar

La evaluación del riesgo se puede realizar con diferentes grados

de profundidad y de detalle, y utilizando uno o varios métodos
que varían desde simples a complejos.

La forma de la evaluación y de sus resultados debe ser

consecuente con los criterios de riesgo desarrollados como parte
del establecimiento del contexto.

72
AGo
 Determinar el contexto
Se puede utilizar herramientas como Análisis de Fortalezas, Debilidades,
Oportunidades y Amenazas (FODA) y/o Análisis Político, Económico, Social,
Tecnológico, Legal y Entorno (PESTLE), o un enfoque simple como la lluvia de
ideas y preguntas de "qué pasa si".

73
AGo
 Dónde ocurren los riesgos
Procesos de
Gestión
Necesidades y expectativas de las partes

Dirección Planificación Control

Satisfacción del receptor

Estratégicos
interesadas

Planificación
Procesos

Comercial Producción Realización

Proyectos Logística
Procesos de
Apoyo

Entorno de Compras y Gestión de

Infraestructura operación proveedores personas

74
AGo
 Elementos tradicionales de un proceso

75
AGo
 Matriz de Probabilidad / Impacto /
Consecuencia

76
AGo
 Dependiendo del resultado de la consecuencia obtenida, se
determina que hacer (plan de tratamiento del riesgo)

77
AGo
 Aviso
El texto en de ISO 31000:2018 está hoy disponible para consulta
en:

https://www.iso.org/obp/ui#iso:std:iso:31000:ed-2:v1:es

78
AGo
 Gracias

Alejandro González P.