Bienvenidos

Revisa que tus bocinas y/o audífonos

estén conectados y a un volumen
adecuado.
Apaga tu micrófono hasta que se te pida
encenderlo
Llenando tu
caja de
herramientas
No basta con
tener las
herramientas
correctas.
Gestión de
Riesgos
La Gestión de Riesgo
Evoluciona

Metodologías
 ¿Que Metodología conoces?

• FINE – Método Probabilístico Riesgos de alto costo

• COBIT - Gestión y control de los sistemas de
información TI
• COSO - Gestión del riesgo empresarial (ERM),
Committee of Sponsoring Organizations of the
Treadway.
• COSO II - Gestión de riesgos corporativos
• BASILEA – Comité de Riesgos Bancarios
• MOSLER - Análisis y evaluación de factores de riesgo
• ISO 27000 - Sistemas de Gestión de la Seguridad de la
Información
• ISO 31000 - Sistemas de Gestión de Riesgos.
• ISO 28000 – Seguridad en la cadena de suministro
ISO 31000
Cambios en la vision de la Gestion
de Riesgos.
“Lo que no se define no se puede medir. Lo que no
se mide, no se puede mejorar. Lo que no se mejora
se degrada siempre”

William Thomson Kelvin, Lord Kelvin (1824-1907)

Físico Matemático Británico
 • Comités técnicos
Los sistemas de • Principios y directrices
gestión / ISO • Marco de referencia
• Resolución de problemas
Definición de Riesgo
Efecto de la incertidumbre
sobre los objetivos
Fuente de Riesgo:

Organización • ISO 31000 Gestión del Riesgo

• Objetivo = Expectativa

Internacional de Enfoque general para

Normalización Gestionar Cualquier tipo de
Riesgo.

NO certificable
 • Comités técnicos
Los sistemas de • Principios y directrices
gestión / ISO • Marco de referencia
• Resolución de problemas
Organización • ISO 31000 Gestión del Riesgo
Internacional de Enfoque general para
Normalización Gestionar Cualquier tipo de
Riesgo.
NO certificable
Riesgo:
Efecto de la incertidumbre
sobre los objetivos
Fuente de Riesgo:
Elemento que, por si solo o
en combinación con otros,
tiene potencial de generar
riesgo.
• Objetivo = Expectativa
• Posible desviación de
expectativas
 Gestion • Riegos Industriales • Minimizar la ocurrencia de
• Riesgos laborales Hechos no deseados
Tradicional
• Riesgo Empresarial
del Riesgo • Calidad Riesgos Negativos

• Gestión de proyectos
 • Identificación de escenarios • ¿Qué Impactos no deseados
pueden ocurrir?
Gestión • Identificación de fuentes de • Escenarios / Consecuencias
Tradicional peligro.
• ¿Qué tiene la posibilidad de
• Datos Históricos generar un escenario no deseado?
del Riesgo • Fuentes de Peligro
• ¿Que puede materializar el esa
Posibilidad?
• Eventos y Sucesos
• ¿Qué grado de certeza tengo de
que ocurra el suceso?
• Escenarios / Probabilidad de
que ocurra
• ¿Cómo defino el riesgo?
• Listado de escenarios /
Probabilidad x Consecuencias
 Generalidades:
• ¿Qué puede pasar?
• Escenarios / ¿Como se ve
afectado el objetivo?
ISO 31000 • ¿De que depende que suceda?
• Factores y variables de
riesgo
• ¿Qué nivel de control tengo
sobre esos factores y
variables?
• Probabilidad
• ¿Qué efecto tendrá sobre
objetivos?
• Consecuencias positivas y
negativas.
• (skus…)
• NO SE ACTIVA MEDIANTE
DATOS HOSTORICOS
Evento:
Ocurrencia o cambio de un
conjunto particular de
circunstancias.
Consecuencia:
Resultado de un Evento que
afecta los objetivos
Control:
Medida que mantiene y/o
Modifica un riesgo
Riesgo positivo y riesgo
negativo.
• Posibilidad de mejorar
expectativas.
ISO 31000
8 Principios
Creación y Protección de Valor
a) Integrada
La gestión del riesgo es parte integral de todas las actividades de la organización.
b) Estructurada y exhaustiva
Un enfoque estructurado y exhaustivo en la gestión del riesgo contribuye a obtener resultados
coherentes y comparables.
c) Adaptada
El marco de referencia y el proceso de la gestión del riesgo se adaptan y son proporcionales a los
contextos externo e interno de la organización relacionados con sus objetivos.
d) Inclusiva
La participación apropiada y oportuna de las partes interesadas permite que se consideren su
conocimiento, puntos de vista y percepciones. Esto resulta en una mayor toma de conciencia y una
gestión del riesgo informada.
Creación y Protección de Valor
e) Dinámica
Los riesgos pueden aparecer, cambiar o desaparecer con los cambios de los contextos externo e
interno de la organización. La gestión del riesgo anticipa, detecta, reconoce y responde a esos
cambios y eventos de una manera apropiada y oportuna.
f) Mejor información disponible
Las entradas a la gestión del riesgo se basan en información histórica y actualizada, así como en
expectativas futuras. La gestión del riesgo tiene en cuenta explícitamente cualquier limitación e
incertidumbre asociada con tal información y expectativas. La información debería ser oportuna,
clara y disponible para las partes interesadas pertinentes.
g) Factores humanos y culturales
El comportamiento humano y la cultura influyen considerablemente en todos los aspectos de la
gestión del riesgo en todos los niveles y etapas.
h) Mejora continua
La gestión del riesgo mejora continuamente mediante aprendizaje y experiencia.
ISO 31000
8 Principios
 ISO 31000

El propósito es marco de referencia de la gestión de

riesgos es asistir a la organización en integrar la
Gestión de Riesgos en todas sus actividades y
funciones significativas.
La eficacia de la Gestión de Riesgo dependerá de su
integración en la gobernanza de la organización
incluyendo la toma de decisiones.
Esto requiere el apoyo de las partes interesadas,
particularmente de la Alta dirección.
ISO 31000 Desarrollo del marco de referencia

INTEGRAR DISEÑAR IMPLEMENTAR VALORAR MEJORAR

GR- En toda la organización

 INTEGRAR.
Liderazgo y
Compromiso - GR
Responsabilidad de Alta dirección y miembros de Gerencia:
• Asegurar INTEGRACION en todas las actividades de la organización

¿COMO?
• Adaptando e implementando todos los componentes del marco de
referencia.
• Publicando políticas que estableciendo planes o líneas de acción.
• Asegurando los recursos necesarios para la GR.
• Asignación de autoridades, responsabilidades y obligaciones /
rendición de cuentas dentro de ORG.
 • Alinear.
• Reconocer obligaciones.
• Establecer magnitud y tipos de Riesgo.
• Alerta a partes involucradas Comunicando
Beneficios: valor.
• Sistematiza seguimiento.
• Asegura cumplimiento del Marco de
Referencia.
Los riesgos sean considerados
apropiadamente al establecer Objetivos

Que se comprendan los riesgos que hacen

frente para su complimiento
Supervisor del
Que los riesgos sean apropiados con el
proyecto GR:
contexto de la Operación.

Aseguren la comunicación apropiada.

Integración

Consideraciones
• Depende de la comprensión y
contexto de la organización.
• La estructura difiere
dependiendo propósitos de la
organización.
• En riesgo se gestiona en cada
parte.
• Todos los miembros de la
organización tiene
responsabilidad de GR.
Contexto Externo.

• Los factores sociales, culturales, políticos,

legales, reglamentarios, financieros,
tecnológicos, económicos y ambientales
ya sea a nivel internacional, nacional,
regional o local.
• Los impulsores clave y las tendencias que
afectan a los objetivos de la organización.
• Las relaciones, percepciones, valores,
necesidades y expectativas de las partes
interesadas externas.
 Contexto Interno.

• Visión, la misión y los valores; Cultura organizacional.

• La estructura de la organización, roles y la rendición de
cuentas.
• La estrategia, los objetivos y las políticas;
• Las normas y las directrices.
• Las capacidades en términos de recursos y conocimiento
(por ejemplo, capital, tiempo).
• Personas, propiedad intelectual, procesos, sistemas y
tecnologías.
• Los datos, los sistemas de información y los flujos de
información.
• Las relaciones con partes interesadas internas, teniendo en
cuenta sus percepciones y valores.
• Las relaciones contractuales y los compromisos.
 Compromisos de la
alta dirección
• Deberán articular y demostrar su compromiso continuo con
la GR, mediante políticas o declaraciones. El compromiso
deberá incluir:
• El propósito de la organización para gestionar el riesgo.
• El refuerzo de la necesidad de integrar la gestión del riesgo
en toda la cultura de la organización.
• El liderazgo en la integración de la gestión del riesgo en las
actividades principales del negocio y la toma de decisiones
• Las autoridades, las responsabilidades y la obligación de
rendir cuentas;
• La disponibilidad de los recursos necesarios;
• La manera de manejar los objetivos en conflicto;
• La medición e informe como parte de los indicadores de
desempeño de la organización;
• La revisión y la mejora.
 Diseño.

• Asignación de Roles
• Se deben dejar claras las
responsabilidades y líneas de reporte.
• Enfatizar la GR como responsabilidad
principal.
• Identificar las personas asignadas a la
rendición de cuentas DUEÑOS DEL
RIESGO.
Diseño.
Asignación de Recursos

• Las personas, habilidades, la

experiencia y las competencias.
• Los procesos, los métodos y las
herramientas de la organización
a utilizar para GR;
• Procesos y procedimientos
documentados.
• El desarrollo profesional y las
necesidades de formación.
Comunicación
Efectiva / publico
meta
Comunicación y consulta al publico
objetivo.

Expectativas de miembros de la
organizacion.
 • Plan - incluyendo plazos y • Requerimientos:
recursos. • Compromiso y
Implementación • Dónde, cuándo, cómo y conciencia.
quién toma decisiones en • Objetivo:
la organización.
• Abordar
• La modificación de los directamente la
procesos aplicables para incertidumbre en la
la toma de decisiones, toma de
cuando sea necesario. decisiones.
• Disposiciones de la
organización para GR,
claramente
comprendidas y puestas
en práctica.
Valoración.

• Medir periódicamente el desempeño

(vs) su propósito, sus planes para la
implementación, sus indicadores y el
comportamiento esperado;
• Determinar si permanece idóneo para
apoyar el logro de los objetivos de la
organización.
Mejora

Mejorar continuamente la idoneidad,

Seguimiento continuo para adaptar el
adecuación y eficacia del marco de
marco de referencia GR en función de
referencia de la GR y la manera en la
los cambios externos e internos.
que se integra el proceso de GR

Cuando se identifiquen brechas u

oportunidades de mejora pertinentes, Una vez implementadas, estas mejoras
desarrollar planes y tareas y asignarlas a deberían contribuir al fortalecimiento
quienes tienen que rendir cuentas de su de la GR.
implementación.
ISO 31000 Desarrollo del marco de referencia

INTEGRAR DISEÑAR IMPLEMENTAR VALORAR MEJORAR

 Proceso /
Generalidades
Aplicación sistemática de
políticas y procedimientos y
practicas.
Comunicación y Consulta.
Alcance de actividades

OBJETIVOS Y RESULTADOS TIEMPO HERRAMIENTAS Y RECURSOS RELACIONES CON

DECISIONES ESPERADOS TÉCNICAS REQUERIDOS OTROS PROYECTOS
Definición de Criterios de Riesgo
Precisar la cantidad y el tipo de
riesgo.

Definir los criterios para valorar la

importancia del riesgo.
Los criterios del riesgo deberán
reflejar los valores, objetivos y
recursos de la organización.

Definir criterios.

los criterios del riesgo son dinámicos

y deberían revisarse continuamente.
Definición de Criterios de Riesgo
Precisar la cantidad y el tipo de riesgo que puede o no puede tomar, con relación a los objetivos.

Definir los criterios para valorar la importancia del riesgo y para apoyar los procesos de toma de
decisiones.

Los criterios del riesgo deberán reflejar los valores, objetivos y recursos de la organización y ser
coherentes VS las políticas y declaraciones.

Definir criterios teniendo en consideración las obligaciones de la organización y los puntos de vista
de sus partes interesadas.

Aunque los criterios del riesgo se deberían establecer al principio del proceso de la evaluación del
riesgo, éstos son dinámicos, y deberían revisarse continuamente y si fuese necesario, modificarse.
Establecimiento de los criterios del riesgo
La naturaleza y los tipos de las
Cómo se van a definir y medir las
incertidumbres que pueden afectar Los factores relacionados con el
consecuencias (tanto positivas
a los resultados y objetivos (tanto tiempo.
como negativas) y la probabilidad.
tangibles como intangibles).

Cómo se tendrán en cuenta las

La coherencia en el uso de las Cómo se va a determinar el nivel
combinaciones y las secuencias de
mediciones. de riesgo.
múltiples riesgos.

La capacidad de la organización.
Evaluacion de
Riesgos
 La evaluación del riesgo es el proceso global de
Evaluación de identificación del riesgo, análisis del riesgo y
valoración del riesgo.

Riesgos. La evaluación del riesgo se debería llevar a cabo de

manera sistemática, iterativa y colaborativa,
basándose en el conocimiento y los puntos de vista
de las partes interesadas. Se debería utilizar la
mejor información disponible, complementada por
Definición iso31000 investigación adicional, si fuese necesario.
 Identificación del Riesgo.
Propósito:

Encontrar Reconocer Describir

importante contar con información pertinente actualizada.

 Las fuentes de riesgo Las causas y los Las amenazas y las
tangibles e intangibles; eventos; oportunidades;

Los cambios en los

Las vulnerabilidades y Los indicadores de
contextos externo e
las capacidades; riesgos emergentes;
interno;

Relación de
factores: La naturaleza y el valor Las consecuencias y
Las limitaciones de
conocimiento y la
de los activos y los sus impactos en los
confiabilidad de la
recursos; objetivos;
información;

Los sesgos, los

Los factores
supuestos y las
relacionados con el
creencias de las
tiempo;
personas involucradas.
Análisis de Riesgo.

COMPRENDER LA NATURALEZA DEL INCLUYENDO EL NIVEL DEL RIESGO, EL ANÁLISIS DEL RIESGO SE PUEDE LAS TÉCNICAS DE ANÁLISIS PUEDEN
RIESGO Y SUS CARACTERÍSTICAS INCERTIDUMBRES, FUENTES DE RIESGO, REALIZAR CON DIFERENTES GRADOS DE VARIAR DEPENDIENDO DE LAS
CONSECUENCIAS. DETALLE Y COMPLEJIDAD. CIRCUNSTANCIAS Y DEL USO PREVISTO.
 Análisis de Riesgo.
El propósito del análisis del riesgo es comprender la naturaleza del riesgo y sus características

incluyendo, cuando sea apropiado, el nivel del riesgo. El análisis del riesgo implica considerar a detalle las
incertidumbres, fuentes de riesgo, consecuencias, probabilidades, eventos, escenarios, controles y nivel de efectividad
al ejecutarlos
Un evento puede tener múltiples causas y consecuencias y cada uno de ellos puede afectar a múltiples objetivos como
lo hemos venido mencionando.

El análisis del riesgo se puede realizar con diferentes grados de detalle y complejidad, dependiendo esto dependerá
del propósito del análisis, la disponibilidad y la confiabilidad de la información y los recursos disponibles.

Las técnicas de análisis serán cualitativas, cuantitativas o ambas dependiendo de las circunstancias y del uso previsto.
 • La probabilidad de los eventos y de las
consecuencias.
Relación de factores • La naturaleza y la magnitud de las consecuencias.
• La complejidad y la interconexión.
Análisis de Riesgos: • Los factores relacionados con el tiempo.
• La eficacia de los controles existentes.
 El propósito de la
valoración del riesgo es
apoyar a la toma de
decisiones.

Valoración del Comparar los resultados

del análisis del riesgo
Riesgo con los criterios del
riesgo establecidos.

Determinar cuándo se
requiere una acción
adicional.
 • No hacer nada más.
• Considerar opciones para el tratamiento
Decisiones del riesgo.
resultantes de • Realizar un análisis adicional para
comprender mejor el riesgo;
la valoración • Mantener los controles existentes.
• Reconsiderar los objetivos.
Tratamiento
del riesgo
Seleccionar e implementar opciones
para abordar el riesgo.
 • Formular y seleccionar opciones para el
tratamiento del riesgo;
Proceso - • Planificar e implementar el tratamiento del
riesgo;
Tratamiento • Evaluar la eficacia de ese tratamiento;
del riesgo • Decidir si el riesgo residual es aceptable;
• Si no es aceptable, efectuar tratamiento
adicional.
 Balance costo beneficio / desventajas de la implementación.

Evitar el riesgo decidiendo no iniciar o continuar con la actividad que

genera el riesgo.

Aceptar o aumentar el riesgo en busca de una oportunidad;

Tratamiento Eliminar la fuente de riesgo.

del Riesgo /
Modificar la probabilidad.
Implicaciones
Modificar las consecuencias.

Compartir el riesgo (por ejemplo: a través de contratos, compra de

seguros)

Retener el riesgo con base en una decisión informada.

 Es especificar la manera en la que se
implementarán las opciones elegidas para
Preparación e el tratamiento, de manera tal que los
implementación involucrados comprendan las
disposiciones, y que pueda realizarse el
de PDA de seguimiento del avance respecto de lo
planificado. El plan de tratamiento debería
Tratamiento del identificar claramente el orden en el cual
riesgo el tratamiento del riesgo se debería
implementar.
 El fundamento de la selección de las opciones para
el tratamiento, incluyendo los beneficios esperados.
¿Quien rinde cuentas? ¿Quiénes aprueban? ¿Quién
Implementa? .
Acciones propuestas.
PDA de
Recursos necesarios, incluyendo las contingencias.
Tratamiento
del Riesgo Los KPIs

Restricciones.

Plazos previstos para la realización y la finalización de

las acciones.
 • Asegurar y mejorar la calidad y la eficacia del
diseño, la implementación y los resultados del
proceso. El seguimiento continuo y la revisión
periódica del proceso de la GR.
• Seguimiento y la revisión en todas etapas del
Seguimiento y proceso.
• Incluyen planificar, recopilar y analizar información,
revisión / registrar resultados y proporcionar
retroalimentación.

Propósito. • Los resultados del seguimiento y la revisión deberían

incorporarse a todas las actividades de la gestión del
desempeño, de medición y de informe de la
organización.
 • Comunicar las actividades de la gestión del
Registro e riesgo y sus resultados a lo largo de la
organización.

informe / • Información para la toma de decisiones.

• Mejorar la GR.

Propósito. • Respaldo a las personas que tienen la

responsabilidad y la obligación de rendir cuentas.
Gestion de
Riesgos
ISO 31000
Gracias, buenas noches