1

Editor: Colombian Security

Academy Ltda. - Cosecad Ltda. Y
Asociación Colombiana de
Academias de Seguridad Privada –
ACASEP

Autor: Colombian Security

Academy Ltda. - Cosecad Ltda.

Fecha de publicación:
Agosto de 2018
Bogotá D.C., Colombia

La información de esta cartilla se presenta de manera práctica, sencilla y orientadora, no es

exhaustiva ni producto de nuestra propia investigación; intenta resumir temas específicos y está
basada en fuentes consideradas veraces.

Copyrigth 2018 – Todos los derechos reservados

Prohibida su reproducción total o parcial, así como su traducción

2
 TABLA DE CONTENIDO
Pág

1. UNIDAD TEMÁTICA No. 1

Resolución de problemas complejos 6

1.1. Definiciones 7

1.2. Identificación y selección del problema 8

1.2.1. Percepción y Señales 9

1.3. Procedimientos 11

1.3.1. Hacer un listado de problemas 11

1.3.2. Revisar, combinar, integrar, eliminar y clasificar 13

1.3.3. Formulación de la condición deseada 15

UNIDAD TEMÁTICA No. 2

Prevención de Riesgos 6

2.1. Definiciones 16

2.1.1. Vulnerabilidad 17

2.1.2. Peligro 18

2.1.3. Amenaza 19

2.1.4. Riesgo 20 20

2.1.4.1. Tipos, clases y características 20

2.1.4.1.1. Riesgos por clases 22

2.1.4.1.2. Riesgos de acuerdo con el Modelo Operacional 22

2.1.4.1.3. Riesgos según el tipo de actividad 24

2.1.4.1.4. Riesgos por categorías 25

2.1.4.2. Tipología de la Gestión de Riesgos 29

2.1.4.2.1. Administración del Riesgo 34

2.1.4.3. Nivel de Riesgo 36

2.1.4.3.1. Consecuencia 36

2.1.4.3.2. Probabilidad 37

2.1.4.4. Matriz de evaluación del riesgo 38

2.1.5. Estudio de Seguridad 42

2.1.5.1. Composición 43

2.1.5.2. Preguntas iniciales 44

2.1.5.3. Aspectos a incluir en el estudio 45

2.1.6. Metodologías de Evaluación del Riesgo 45

2.1.6.1. ISO 31000 47

3
 CONTINUACIÓN DE LA TABLA DE CONTENIDO
2.1.6.1.1. Partes de la norma ISO 31000 49

1. Principios y Directrices 49

2. Marco de Referencia 50

3. Proceso de gestión de riesgos 53

4. Definición de objetivos 54

5. Nombramiento de responsables 54

6. Identificación de los riesgos 55

7. Análisis de Riesgos 55

8. Definición de las respuestas a los riesgos 57

9. Plan de Tratamiento 59

10. Problemas de Implementación 61

11. Problemas en el mantenimiento 62

2.1.6.2. What If 64

2.1.6.3. Análisis preliminar de riesgos (APR) 66

2.1.6.4. Cinco (5) porqués 67

2.1.6.5. FMEA (Failure mode and effective analysis) 68

2.1.6.6. Lista de chequeo 69

2.1.7. Actividades de Gestión de Riesgo 71

2.1.8. Protocolo de Seguridad 74

2.1.9. Control de Accesos 74

2.1.9.1. Procedimientos de Control de Accesos a

personas 74

2.1.10. Normatividad técnica en Seguridad y Salud en el

Trabajo (SST) 80

2.1.10.1. Antecedentes del Decreto 1072 de 2015 81

2.1.10.2. ¿En qué consiste el Sistema de Gestión de la Seguridad

y Salud en el Trabajo 83

2.1.10.3. Resolución 1111 de 2017 Estándares Mínimos 87

2.1.11. Normas y estándares 88

2.1.11.1. Normativa Colombiana del Sector de Vigilancia y

Seguridad Privada 88

2.1.11.2. Normas y estándares Internacionales 89

2.1.12. Competencia asociada 91

Material de Consulta 92

Bibliografía 92

Infografía 95

4
 Introducción
En nombre del “SENA y del personal tanto administrativo como docente
de la Asociación Colombiana de Academias en Seguridad Privada
“ACASEP”, nos permitimos darles una calurosa bienvenida al Convenio
de Formación Continua Especializada No. 096 de 2018 efectuado
entre el SENA Y ACASEP.

El 80% de este programa académico es cofinanciado por el SENA y el

20% por ACASEP con recursos de las Academias y Empresas afiliadas.

El proyecto de formación incluye tres (3) acciones a saber:

Acción de Formación No.1 Prevención de Riesgos en Seguridad

basado en la ISO 31000”
Acción de Formación No.2 Prevención de riesgos en seguridad basado
en la ISO 31000 con metodología en el puesto de trabajo
Acción de Formación No.3 Habilidades y Herramientas Gerenciales
para empresas del Sector Vigilancia y Seguridad Privada

Este material de formación hace referencia a la Acción de Formación No.

1 denominada “Prevención de Riesgos en Seguridad basado en la ISO
31000” el cual tiene como duración veinte (20) horas académicas que
incluye el siguiente contenido:

UNIDAD TEMÁTICA No.1 RESOLUCION DE PROBLEMAS

COMPLEJOS

UNIDAD TEMÁTICA No. 2 PREVENCIÓN DE RIESGOS

“TODOS LOS SERVICIOS DEL SENA SON

GRATUITOS”

5
 1. UNIDAD TEMÁTICA 1
Resolución de problemas
complejos

1.1. Definiciones

El término problema se define, en un sentido amplio, como aquella tarea

a la que una persona se enfrenta y desea o necesita encontrar una
solución sin poseer un procedimiento accesible y fácil para encontrarla
y, como consecuencia, realiza distintos intentos.

En el proceso para resolver problemas conjuntamente en grupo, una vez

que se ha identificado un problema, lo lógico es obtener una definición
operativa de él. Cuando se define algo, se establecen límites a su
alrededor; se dice lo que es y lo que no es. Cada definición limita las
posibilidades de lo que ha de hacerse al respecto, a esto se le denomina
área del problema. Hay un gran peligro de que, si se estrecha el área del
problema con demasiada rapidez, se dejará fuera el problema real. Las
definiciones son doblemente importantes porque también determinan el
rango de alternativas aceptables, o sea, el área del problema también se
vincula al espacio para la solución.

6
La definición interrelaciona aspectos objetivos y subjetivos del problema.
Se puede decir que se alcanza una definición óptima cuando:

 Está planteado en términos situacionales y no conductuales.

Cambiar las situaciones es más fácil que cambiar a las personas.
 Su planteamiento contiene el objetivo esencial que persigue el
grupo al tratar de resolverlo.
 Su formulación facilita la solución.
 Se plantea de forma tal que despierta interés y entusiasmo.
 Estimula la libertad de pensamiento.
 La definición es breve y comunicable.

En la práctica, las declaraciones verbales se convierten en lo que es

conocido como especificaciones de funcionamiento, definiciones de una
buena solución que se puede utilizar como ayudantes para generar
alternativas y como criterios para evaluarlas.

7
 1.2. Identificación y selección del
problema

La identificación y selección del problema tiene dos objetivos

fundamentales:

 Presentar una definición del problema claramente comprensible para

los miembros del grupo, y,
 Que el grupo defina la “condición deseada” a alcanzar mediante su
solución.

Para identificar un problema se inicia con la fase de percepción del

problema y lo más probable es que se pregunte: ¿hay realmente un
problema?, ¿de quién es?, ¿cómo se ve?, ¿cómo se siente? Esta es la
fase de olfatear, tantear, asir. Incluye todo lo que se hace para agarrar
el problema y micro localizar el área del mismo.

8
 1.2.1. Percepción – Señales

 Las personas por lo general, dedican más tiempo a resolver los

asuntos urgentes y descuidan la proyección.
 Las personas implicadas con los problemas se sienten frustradas.
 Surgen conflictos.
 Existen datos tangibles que demuestran el deterioro de determinados
indicadores.
 La organización parece estar desorientada.
 Este es el momento de olfatear, tantear, asir.

La percepción del problema está estrechamente relacionada con su

posterior definición y análisis. Es necesario cubrir tres fases en la etapa
de percepción del problema:

1. Comprender el problema a través del análisis.

2. Obtener una definición aguda del problema.
3. Verlo y aceptarlo enteramente.

Mientras estas fases no hayan sido cubiertas por completo, el grupo no

deberá continuar en busca de soluciones. Si el grupo no se pone de
acuerdo sobre el problema, nunca se pondrá de acuerdo sobre sus
soluciones. El objetivo fundamental en esta fase es ayudar al grupo a
reconocer que tiene un problema, aceptarlo y ponerse de acuerdo para
intentar resolverlo. Es muy importante que los miembros del grupo
suscriban ese problema, que sientan que les pertenece, que es parte de
ellos.

Para solucionar un problema lo primero que hay que hacer es

identificarlo adecuadamente para evadir la confusión que puede
presentarse en este paso entre problemas sintomáticos y problemas
esenciales, lo que se logra describiéndolo como realmente existe y evita
que se trabaje sobre el problema erróneo. Identificar correctamente el
problema representa tener de antemano el 50 % de su solución. Es un
momento esencial en el proceso, quizás el más difícil y el más

9
importante. Es preferible encontrar soluciones parciales a problemas
reales que soluciones óptimas a problemas ficticios.

Todo el mundo ve las cosas de manera diferente, especialmente los

problemas por lo que es muy importante escuchar y registrar los puntos
de vista de cada miembro, esto facilita encontrar áreas escondidas y,
con un análisis ulterior, causas subyacentes.

Como regla general no se pueden solucionar problemas de otros. Si se

identifica un problema que involucra a otras personas o grupos, hay que
incluir a estas partes antes de continuar con el proceso de hallar
soluciones.

La identificación del problema incluye también establecer con claridad

los requisitos mínimos que debe cumplir la decisión que se toma, es
decir, contener la condición deseada. Por ejemplo, si se está tratando de
10
definir los problemas de la calidad, hay que fijar bien en qué consiste
dicho problema. El enunciado: “la calidad tiene dificultades” no sería una
buena definición ya que ese enunciado es muy genérico y por tanto
ambiguo y no permitiría al grupo continuar con claridad hacia el paso
siguiente. Por ello una mejor formulación podría ser: “sólo el 60 % de la
producción es de primera clase” y a partir de aquí plantear la condición
deseada que podría establecerse de la siguiente forma: “elevar hasta el
80 % la producción de primera clase de calidad”.

Para la ejecución del paso referido a la identificación y selección de

problemas se puede establecer el procedimiento que más abajo se
describe y en el que se hacen referencias a la utilización de
determinadas técnicas e instrumentos que al igual que las que se
mencionarán en cada una de las descripciones de los siguientes pasos,
serán descritas en forma detallada en el aspecto de este trabajo
correspondiente a las técnicas y procedimientos para la solución de
problemas.

En cada etapa del proceso de solución de problemas la discusión puede

revelar nuevos caracteres que nos conduzcan a redefinir el problema.

1.3. Procedimientos
El procedimiento para la identificación y selección de problemas requiere
los siguientes pasos:

1.3.1. Hacer un listado de problemas

Mediante la generación de ideas se trata de lograr un amplio rango de

áreas de problemas para la consideración del grupo por lo que en este
momento no debe preocupar como se formulan los problemas ya que
más tarde estos se definirán como realmente existen.

11
Por ejemplo:

¿Qué delitos afectan más al sector donde se encuentra mi puesto de

trabajo?

¿Existe información sobre delitos en esa instalación?

¿Existe en el sector pandillas, trafico de estupefacientes?

12
 1.3.2. Revisar, combinar, integrar, eliminar y
clasificar

Esta es una forma de procesar la producción de ideas y tiene como

objetivos comprobar que todos en el grupo entiendan cada una de ellas,
esclarecer aquella idea que alguien no entienda por quien la aportó y
modificar la lista mediante la fusión de ideas (dos pueden convertirse en
una).

En este proceso los miembros del grupo elaboran la(s) definición(es) de

(los) problema(s), la(s) que debe(n) describir con precisión la(s)
condición(es) tal como existe(n).

Se procede a realizar la reducción del listado con la finalidad de obtener

una cifra manejable de ideas y además encontrar el (los) problema (s)
que es (son) fundamenta (es) y sobre el (los) cual (es) el grupo desea
influir. Para ello se utilizan algunas preguntas “filtros”, tales como:

 ¿Tiene el grupo control sobre el (los) problema (s) y su (s)

solución(es)?

 ¿Es importante solucionar el (los) problema (s)?

 ¿Dispone el grupo de los recursos necesarios para solucionarlo
(s)? (personas, dinero, equipos, etc.).

Estas preguntas posibilitan, además, precisar aquel o aquellos

problemas que no tiene por el momento solución.

13
Para reducir el listado se utilizan corchetes [ ], encerrando entre ellos
aquellas ideas (problemas) que no se seleccionan, quedando en la lista
aquellas no encerradas en corchetes.

La utilización de los corchetes se hace con el fin de que el grupo pueda

volver sobre las ideas no seleccionadas en un momento determinado, si
fuera necesario, cuando algún miembro considere que ese tópico no ha
sido valorado adecuadamente.

La reducción del listado constituye uno de los instrumentos que se

utilizan para buscar el consenso del grupo. Para lograr el consenso del
grupo en la selección del (los) problema (s) sobre el (los) cual (es) desea
influir para su(s) solución (es) también puede utilizarse un modelo
valoración de criterios cuyos criterios estarán compuestos por factores
que se valoran mediante una escala, tales como, las preguntas “filtros”
anteriormente relacionada, además de otros: tiempo relativo que tome
resolver el (los) problema(s), el beneficio esperado por su solución, etc.
En esta etapa también pueden ser utilizados, con igual finalidad de
obtención de consenso, otros instrumentos como son la votación
ponderada, las comparaciones apareadas, el costo-beneficio y las hojas
de balance.

14
 1.3.3. Formulación de la condición deseada

Se ha logrado identificar el problema cuando existe claridad sobre cuál

es la situación que se desea cambiar. Una vez definido(s), y
seleccionado(s) el (los) problema(s) se procede a plantear cual es la
condición deseada, es decir, el estado en que debe(n) estar la(s)
situación(es), una vez solucionado(s) dicho(s) problema(s). Este punto
de llegada debe someterse al siguiente cuestionamiento:

 ¿Está claramente definido?

 ¿Es atendible?
 ¿Es realizable?
 ¿Es realista?
 ¿Es verificable su alcance?

Para plantear la condición deseada debemos definir qué queremos, ser

claros, concisos y las ideas deben estar bien conectadas.

15
 2. UNIDAD TEMÁTICA 2
Prevención de Riesgos

2.1. Definiciones

16
 2.1.1. Vulnerabilidad
Es la debilidad existente en el sistema de protección. Es el factor
determinante que propicia la ocurrencia de un siniestro. La vulnerabilidad
se entiende también como aquella falencia o faltante que tiene un
sistema de protección en su desempeño.

Toda circunstancia que ante la ausencia o debilidad del sistema de

protección promueve el accionar del agente generador del riesgo.
(Diseño y Evaluación de la Protección – Mary Lynn García ,2003)
Situación, objeto o persona que puede generar o causar riesgo a las
instalaciones, procesos u otras personas. (Sistema de gestión integral)
La vulnerabilidad también se presenta cuando las acciones humanas,
por negligencia, imprudencia, impericia o desconocimiento, no permiten
los cumplimientos adecuados de los protocolos y normas de seguridad
establecidos.

17
La vulnerabilidad, en términos generales, puede clasificarse como de
carácter técnico y de carácter social, siendo la primera más factible de
cuantificar en términos físicos y funcionales, por ejemplo, en pérdidas
potenciales referidas a los daños o la interrupción de los servicios, a
diferencia de la segunda, que prácticamente sólo puede valorarse
cualitativamente y en forma relativa, debido a que está relacionada con
aspectos económicos, educativos, culturales, ideológicos, etc.

El estudio de vulnerabilidad nos ayudará mucho a conocer cada una de

las amenazas detectadas anteriormente.

Cada una de estas amenazas, nos permitirá localizar en los distintos

espacios físicos del objetivo, sus zonas o franjas vulnerables. A mayor
vulnerabilidad estamos incrementando el riesgo o probabilidad de que
cualquier amenaza se transforme en el inicio de un acto de inseguridad.

2.1.2. Peligro
Para efectos metodológicos, la definición que se trabajará en este curso
será la siguiente “Peligro: Circunstancia que se configura en el momento
en que el riesgo ha superado el sistema de protección y se dispone a
«ATACAR» el Bien y producir el daño de forma inminente.”

18
 2.1.3. Amenaza

Circunstancia que se configura en el momento en que el riesgo como

agente generador, «DETECTA» la vulnerabilidad en el sistema de
protección.

Según el origen o causa inicial de la amenaza, pueden ser amenazas

provocadas, amenazas debido a actos de la naturaleza o amenazas por
actos fortuitos o accidentales.
Según el tipo de bien al que puedan afectar, pueden ser amenazas
contra las personas, contra los bienes muebles o inmuebles o contra la
información.
También pueden clasificarse en función de los efectos que puedan
producir, como amenazas muy graves, amenazas graves y amenazas
leves.
De esta manera, en al análisis correspondiente enumeraremos cada una
de las amenazas que se pueden producir, así como, su gravedad o
importancia, clasificándolas en función del bien o bienes a los que pueda
afectar.

19
 2.1.4. Riesgo

Para efectos de esta formación nos basaremos en la ISO 31000:2009,

la cual define “Riesgo como el Efecto de la incertidumbre sobre los
objetivos, describiendo los efectos como una desviación de aquello que
se espera, sea positivo, negativo o ambos”. Continuando con el
lineamiento de la norma la incertidumbre es el estado, incluso parcial, de
deficiencia de información relacionada con la comprensión o el
conocimiento de un evento, su consecuencia o probabilidad.

2.1.4.1. Tipos, clases y características

2.1.4.1.1. Riesgos por clases

De acuerdo a la tipología del análisis de riesgos estos se dividen por

clases en:

 Riesgo Especulativo: son aquellos riesgos que como

consecuencia producen una ganancia o una perdida con
resultados favorables o desfavorables

 Riesgo Puro: son aquellos que únicamente ofrecen la posibilidad

de pérdidas entendidas como resultados no deseados. Este a su
vez se subdivide en:

o Inherente: es el nivel de riesgo al que está expuesta la

entidad, por el solo hecho de desarrollar su objeto social, y
sin considerar los mecanismos o controles existentes para
reducir el riesgo. Este riesgo surge de la exposición que se

20
 tenga a la actividad en particular y de la probabilidad que
un choque negativo afecte la entidad.
o Incorporado es aquel riesgo que no es propio de la
actividad, sino que es producto de conductas de los
trabajadores

 Riesgo residual: Nivel de riesgo resultante después de

implementar controles.

Figura No 1. Tipos de Riesgos por clases

Fuente: Tipos de Riesgos por clases (COSECAD LTDA, 2018)

21
2.1.4.1.2. Riesgos de acuerdo con el Modelo Operacional

El modelo de Gestión Organizacional considera la seguridad en tres

etapas:

 Primera etapa: Prácticas y tácticas operativas (policiales y

militares), aplicadas a la protección a instalaciones. Lo anterior se
realiza a través del Control a Instalaciones, Control de empleados
y Control de Riesgos en especial los antrópicos.

 Segunda etapa: Lineamientos estratégicos y combinación de

ingeniería y técnicas administrativas aplicadas a la seguridad; se
ejecutan con el Control de Pérdidas (retenidas y residuales) y la
Prevención de. Pérdidas.

 Tercera etapa: Protección Integral de patrimonio,

Responsabilidad Integral (Control del Riesgo Operacional),
Responsabilidad civil y Responsabilidad Global.

En la actualidad los departamentos de seguridad, son estructuras que

independiente de la ubicación funcional en el organigrama de la
organización, transversalizan la empresa con el propósito de preservar
la integridad de las personas y los bienes. En el desarrollo de este
cometido, utilizan como herramienta de trabajo la gestión integral de los
riesgos.

Los Riesgos de acuerdo con el Modelo de Gestión Organizacional son

identificados desde el punto de vista de:

 Calidad
 Instalaciones físicas
 Producción
 Mercadeo y la Ventas
 Finanzas
 Personal.
22
Figura No 2. Riesgos de acuerdo con el Modelo Operacional

Fuente: El Riesgo Operacional (Cesar Alvarado Cortes, 2007)

23
2.1.4.1.3. Riesgos según el tipo de actividad

 Riesgo sistemático este se refiere a aquellos riesgos que estén

presentes en un sistema o en un mercado en su conjunto. Sus
consecuencias pueden aquejar a la totalidad del entramado
comercial, como sucede, por ejemplo, con las crisis económicas
de gran envergadura y de las cuales ninguna compañía puede
sustraerse. También pueden ser originados por accidentes,
guerras o desastres naturales.

 Riesgo no sistemático Son los riesgos que se derivan de la

gestión financiera y administrativa de cada organización. Es decir, en
este caso, al igual que la manera en que son gestionados. Las
situaciones de crisis internas o un plan de crecimiento mal implementado
son algunos ejemplos.

Figura No 3. Riesgos según el tipo de actividad

Fuente: Tipos de Riesgos por actividad (COSECAD LTDA, 2018

24
2.1.4.1.4. Riesgos por categorías

 Riesgos Financieros: Son aquellos relacionados con la gestión

financiera de las organizaciones. Es decir, aquellos en las finanzas
empresariales inversión, diversificación, expansión, financiación, entre
otros. En esta categoría es posible distinguir algunos tipos de riesgos
como son el desfalco, malas inversiones, hurto continuado, lavado de
activos, crediticio, de tasas de interés, de mercado, gestión, liquidez y de
cambio.

 Riesgos Tecnológicos: Son aquellos que está ligados al uso de

herramientas tecnológicas y de soporte que por su estado y
funcionamiento pueden ocasionar daño. Por ejemplo, la ausencia de
soporte y equipos obsoletos.

25
 Riesgos físicos: Son aquellos que se relacionan con el estudio
de las características de seguridad de las estructuras habitacionales y
laborales.

 Riesgos Informáticos: Son aquellos que están ligados al manejo

de la información en relación al uso de herramientas tecnológicas y de
soporte. Tales como virus, spam, hurto de información, suplantación de
identidad y fuga de información.

26
 Riesgos Operacionales: Son aquellos que se dan como
consecuencia de las operaciones y acciones propias de una empresa
según su objeto social. Ejemplo el incumplimiento legal, sabotaje, hurto
agravado y abuso de confianza.

 Riesgos Industriales: Son aquellos que se dan como

consecuencia de las acciones propias de los trabajadores frente a la
operación y manejo de herramientas y maquinarias. Ejemplo accidentes
laborales con desmembración, rupturas corporales, atrapamiento y
cortaduras.

 Riesgos en Seguridad y Salud en el Trabajo: Son aquellos que

se dan como consecuencia de las condiciones laborales en la salud y
bienestar de los trabajadores. Como ejemplo tenemos las Intoxicaciones
y enfermedades laborales.

 Riesgos del Negocio: Son aquellos que se dan como

consecuencia de las relaciones comerciales entre una empresa, la
competencia y el sector al que pertenecer. Por ejemplo la crisis del
sector, competencia desleal, piratería y Normatividad vigente.

 Riesgos ambientales: Son aquellos a los que están expuestas

las organizaciones cuando el entorno en el que operan es especialmente
hostil o puede llegar a serlo.

Tiene dos causas básicas: naturales o sociales.

En el primer grupo podemos mencionar elementos como la temperatura,

la altitud, la presión atmosférica, las fallas geológicas, entre otros.

27
En el segundo, cuestiones como los niveles de violencia y la
desigualdad. Sea como sea, lo cierto es que son riesgos que no
dependen de las organizaciones y que, por tanto, su gestión requiere de
planes preventivos más eficaces.

 Riesgos naturales: Son aquellos producidos por el influjo de la

naturaleza, por ejemplo, Movimientos telúricos, erupciones volcánicas,
tornados y huracanes, incendios e inundaciones.

 Riesgo económico: En este caso, se refiere a los riesgos

asociados a la actividad económica, ya sean de tipo interno o externo.
En el primer caso, hablamos de las pérdidas que puede sufrir una
organización debido a decisiones tomadas en su interior. En el segundo,
son eventos cuyo origen es externo. Para diferenciarlo del ítem anterior,
es preciso señalar que el riesgo económico afecta básicamente a los
beneficiarios monetarios de las organizaciones, mientras que los
financieros tienen que ver con todos los bienes que tengan las
organizaciones a su disposición.

 Riesgo Político: Se refiere a los obstáculos legales o normativos

que pueden obstaculizar el rol de una organización en un sitio
determinado. Por ejemplo, en algunos países operan leyes restrictivas
en el mercado que limitan la acción de ciertas compañías. Estos riesgos
van generalmente ligados a los de carácter político.

 Riesgo Público: Es el riesgo que se vive en espacios públicos y

que puede poner en riesgo la vida e integridad física de las personas,
este es generado por la delincuencia común, organizada, grupos al
margen de la ley, traficantes y terroristas.

28
 Figura No 4. Riesgos categorías

Fuente: Tipos de Riesgos por categorías (COSECAD LTDA, 2018)

2.1.4.2. Tipología de la Gestión de Riesgos

La Gestión de Riesgos se puede definir como el proceso de toma de

decisiones en un ambiente de incertidumbre sobre una acción que va a
suceder y sobre las consecuencias que existirán si esta acción ocurre.

El éxito en los negocios exige ser excelente en la gestión del riesgo. Por
ello los emprendedores deben ser “inteligentes” en este proceso. El
emprendedor debe tomar conciencia del riesgo, distinguir las distintas
naturalezas del riesgo para conocer la forma de mitigarlo o bien
minimizar sus efectos y optimizar los recursos empleados en la gestión,
todo ello forma parte de la inteligencia de la gestión empresarial.
29
 La gestión del riesgo hace referencia a un complejo proceso social cuyo
objetivo último es la reducción o control del riesgo en la sociedad. Toma
como punto de partida la noción de que el riesgo como manifestación
social es una situación dinámica. La gestión del riesgo puede entenderse
como el conjunto de elementos, medidas y herramientas dirigidas a la
intervención de la amenaza o la vulnerabilidad, con el fin de disminuir o
mitigar los riesgos
Las organizaciones de todo tipo y tamaño enfrentan factores e
influencias, internas y externas, que crean incertidumbre sobre si ellos
lograrán o no sus objetivos. El efecto que esta incertidumbre tiene en los
objetivos de una organización es el “riesgo”.

Su objetivo es articular los diferentes tipos de intervención, dándole un

papel principal a la prevención y mitigación sin abandonar la preparación
para la respuesta en caso de desastre. Una política de gestión de riesgos
no sólo se refiere a la acción de las entidades del Estado, sino por su
propósito a la articulación de las diversas fuerzas sociales, políticas,
institucionales, públicas y privadas. Esto significa la participación
democrática y la suma de esfuerzos y responsabilidades de acuerdo con
el ámbito de competencia de cada cual.

30
La gestión del riesgo colectivo involucra cuatro dimensiones o políticas
públicas bien diferenciadas: la identificación del riesgo (que se relaciona
con la percepción individual y colectiva; y con su análisis y evaluación),
la reducción del riesgo (que se relaciona con las acciones de prevención
y mitigación); el manejo de desastres (que se relaciona con la respuesta
a emergencias, la rehabilitación y la reconstrucción); y la transferencia y
financiación del riesgo (que se refiere a los mecanismos de protección
financiera para cubrir pasivos contingentes y riesgos residuales.

Las organizaciones gestionan el riesgo mediante su identificación,

análisis y evaluación; el riesgo debe ser modificado por medio del
tratamiento con el fin de satisfacer los criterios de aceptación.

La gestión de riesgos es una parte esencial de la gestión estratégica de

cualquier empresa. Es el proceso por el que las empresas tratan los
riesgos relacionados con sus actividades, con el fin de obtener un
beneficio sostenido en cada una de ellas y en el conjunto de todas las
actividades. Una gestión de riesgos eficaz se centra en la identificación
y tratamiento de estos riesgos.

31
En la imagen se muestra de manera general la gestión integral de
riesgos, es decir todos los componentes y factores que interactúan o se
conectan directa o indirectamente, esta correlación se denomina cultura
de seguridad, donde se ven sistemas organizados de seguridad que
integran distintos ámbitos.

Figura No 4. Cultura de Seguridad

Fuente: (COSECAD LTDA 2013)

32
La gestión de riesgos protege y añade valor a la empresa y sus
interesados (“stakeholders”) mediante el apoyo a los objetivos de la
empresa a través de:

 Proveer una estructura que permite que las actividades futuras se

desarrollen de forma consistente y controlada.
 Mejorar la toma de decisiones, la planificación y el establecimiento
de prioridades mediante una visión integrada y estructurada del
negocio, su volatilidad y las oportunidades y amenazas del
proyecto.
 Contribuir a una asignación más eficiente del capital y los recursos
dentro de las organizaciones.
 Reducir la volatilidad en las áreas no esenciales del negocio.
 Proteger y mejorar los activos y la imagen de la compañía.
 Desarrollar y apoyar a los empleados y la base de conocimientos
de la organización.
 Optimizar la eficiencia operacional.

La gestión del riesgo es una cultura, un proceso y unas estructuras que

se dirigen hacia la gestión eficaz de las oportunidades potenciales y los
efectos adversos. Se entiende entonces que la organización debe
establecer e implementar un proceso de gestión del riesgo que permita
la determinación, identificación y comunicación de los riesgos.
Dentro del sistema de gestión debe existir una evaluación de riesgos de
las instalaciones, personas y operaciones de la compañía, como parte
de un proceso de Gestión de Riesgos, que contengan los conceptos de
amenazas, vulnerabilidad, probabilidad y severidad.

Aunque todas las organizaciones gestionan el riesgo en algún grado, la

norma ISO 31000:2009 establece un número de principios que es
necesario satisfacer para hacer que la gestión del riesgo sea eficaz.

Ahora bien, la Gestión del Riesgo corresponde a las actividades

coordinadas para dirigir y controlar una organización con respecto al
riesgo, el cual debe ser enmarcada dentro de un marco de referencia el
cual corresponde a un conjunto de componentes que brindan las bases
y las disposiciones de la organización para diseñar, implementar,
monitorear, revisar y mejorar continuamente la Gestión del Riesgo a
través de toda la organización.
33
2.1.4.2.1. Administración del Riesgo

La Administración de riesgos es un término aplicado a un método lógico

y sistemático para establecer el contexto, identificar, analizar, tratar
monitorear y comunicar los riesgos asociados con una actividad, función
o proceso de una forma que permita a las organizaciones minimizar
pérdidas y maximizar oportunidades. Administrar riesgos es tanto
identificar oportunidades como evitar y mitigar pérdidas.

Figura No 5. Administración del Riesgo

Fuente: Administración del Riesgo(COSECAD LTDA 2013)

34
Entre los objetivos de la administración de los riesgos está por un lado
facilitar el cumplimiento de la misión y de los objetivos estratégicos
(institucionales) de las empresas o entidades a través de la prevención
y administración de los riesgos. Y por otro lado, involucrar y comprometer
a todos los empleados o funcionarios, en la búsqueda de acciones
encaminadas a prevenir y administrar los riesgos.

Para poder entender y aplicar adecuadamente la administración de los

riesgos, es importante en primer lugar entender los conceptos básicos
de seguridad y de cómo se comporta el riesgo.
Se entenderá la seguridad como un estado mental de todo ser humano
frente aquellas cosas que considera propias, o están bajo su
responsabilidad, se encuentran alejadas del riesgo.

35
2.1.4.3. Nivel de Riesgo

Partiendo del concepto de Riesgo como el Efecto de la incertidumbre

sobre los objetivos, describiendo los efectos como una desviación de
aquello que se espera, sea positivo, negativo o ambos.

El nivel de riesgo de acuerdo a la ISO 31000:2009 es la magnitud de un

riesgo o una combinación de riesgos expresados en términos de la
combinación de las consecuencias y su probabilidad.

2.1.4.3.1. Consecuencia

La ISO 31000 define la consecuencia como los efectos o aquello

elementos que se derivan directa o indirectamente de otros. En este
caso, se trata de evaluar los riesgos que cumplen con la premisa de
causa-efecto. Es cierto que no siempre se pueden prever las
consecuencias de una acción o decisión, pero este solo acto es el origen
de cualquier Sistema de Gestión de Riesgos.
Por ejemplo un ataque a una organización de la cadena de suministro o
por el uso de la cadena de suministro para el transporte de armas o
estupefacientes.

36
2.1.4.3.2. Probabilidad

Es la oportunidad de que algo suceda, esté o no definido, medido o

determinado objetiva o subjetivamente, cualitativa o cuantitativamente.
Para la Gestión de Riesgos, es fundamental que se contemplen la
irrupción de hechos que se puedan derivarse o no de las decisiones de
la organización. Nunca se está del todo preparado para los
acontecimientos, sobre todo si éstos provienen de factores externos,
pero el sólo hecho de pensar en su materialización ya es un buen
indicador de la Gestión de Riesgos.

El proceso de identificar, analizar y valorar, mitigar o transferir el riesgo

es generalmente caracterizado como la valoración del riesgo. Hay una
serie de preguntas que se hacen en este proceso:

 ¿Qué podría ocurrir? (amenaza)

 ¿Si ocurre, cuánto daño podría causar? (impacto)
 ¿Qué tan a menudo podría ocurrir?
 ¿Qué tan ciertas son las respuestas a las anteriores preguntas?

Una vez respondidas acertadamente las anteriores preguntas, se

responden ahora las siguientes:

37
  ¿Qué puede ser hecho? (mitigación del riesgo)
 ¿Cuál es el costo de la medida? (anual)
 ¿Es la medida efectiva? (análisis costo/beneficio)

El manejo de riesgos compara el costo de implementar medidas de

seguridad contra los costos generados al ocurrir un evento desfavorable
en el sistema, que afecte directa o indirectamente la prestación de
servicios.

Se debe realizar el cálculo o asignación del nivel de riesgo. El Riesgo (R)

está definido en función de la amenaza, la vulnerabilidad y el impacto
que produce en la organización.

2.1.4.4. Matriz de evaluación del riesgo

La Matriz de Evaluación del Riesgo es una herramienta de gestión que

permite identificar peligros y evaluar los riesgos asociados a los
procesos de cualquier organización; en la siguiente figura se observa un
ejemplo de Matriz.

38
 Figura No 6. Matriz de evaluación del Riesgo

IMPACTO
Insignifican
Menor Moderada Mayor Catastrófica
te

Alta MODERADO MODERADO IMPORTANTE INACEPTABLE INACEPTABLE 5

PROBABILIDAD

Media alta MODERADO MODERADO IMPORTANTE IMPORTANTE INACEPTABLE 4

Media TOLERABLE MODERADO MODERADO IMPORTANTE IMPORTANTE 3

Media baja ACEPTABLE TOLERABLE MODERADO MODERADO IMPORTANTE 2

Baja ACEPTABLE ACEPTABLE TOLERABLE MODERADO MODERADO 1

1 2 3 4 5
Fuente. Matriz de evaluación del Riesgo (COSECAD LTDA 2013)

39
Con el fin de diligenciar la anterior Matriz de Evaluación del Riesgo, para
la valoración del impacto se debe utilizar la siguiente guía:

Figura No 7. Valoración impacto

Fuente: Valoración Impacto (COSECAD LTDA 2013)

40
Con el fin de diligenciar la anterior Matriz de Evaluación del Riesgo, para
la valoración de la probabilidad se debe utilizar la siguiente guía:

Figura No 8. Valoración probabilidad

Fuente. Valoración Probabilidad (COSECAD LTDA 2013)

41
 2.1.5. Estudio de Seguridad
El Estudio de Seguridad es el método sistemático más aceptado para
identificar los riesgos y como tal es parte del Análisis de Vulnerabilidad.
El estudio de Seguridad no es un fin en sí mismo sino un medio para
alcanzar un buen entendimiento del estado actual de un sistema de
seguridad, las deficiencias o excesos, determinar la protección necesaria
y las recomendaciones para mejorar dicho sistema.

Las pérdidas por criminalidad contra las organizaciones exceden de lejos

las pérdidas causadas por siniestros como incendios y accidentes.

42
2.1.5.1. Composición

El Estudio de Seguridad se compone de:

 La selección y aplicación de la lista de chequeo adecuada

 El trabajo de campo y la recolección de información soporte
 El análisis de la información y el diseño de recomendaciones
 La elaboración del reporte
 La elaboración de anexos
 La presentación

Dependiendo del tipo de instalación, las listas de chequeo hacen un

mayor énfasis en los datos más relevantes de cada operación de
acuerdo al sector de la organización y su contexto externo e interno.

El estudio debe enfocarse en las deficiencias o desviaciones

encontradas y a partir de ella, delinear las posibles recomendaciones.
Los hallazgos deben numerarse y describirse concretamente en frases
cortas.

Las recomendaciones de mejoramiento deben estar relacionadas con

las deficiencias encontradas y no solo deben ser mencionadas, sino que

43
deben ser estudiando su costo, el tiempo de implementación, la
pertinencia o prioridad de aplicación.

2.1.5.2. Preguntas iniciales

Para iniciar el Estudio de Seguridad se debe iniciar con las siguientes

preguntas:

 Fecha del Estudio

 Nombre de la persona entrevistada
 Número de copias requeridas por el cliente
 Incluir un plano de la instalación (con sus límites).
 Cargo de la persona entrevistada
 Nombre y dirección de la organización
 Dedicación de la organización y sector
 Mts² de la instalación

44
2.1.5.3. Aspectos a incluir en el Estudio

 Número de empleados
 Horario de Atención (Turnos y descansos)
 Cafetería
 Bienes y Valores existentes en la empresa
 Operaciones clasificadas
 Historial de Hurtos
 Áreas de pérdidas potenciales
 Medidas de Seguridad existentes

Es importante resaltar que el estudio de seguridad y el Plan de Seguridad

buscan aceptar, eliminar, mitigar, o transferir los riesgos de las
organizaciones.

Las causas de las pérdidas en las organizaciones son en su gran

mayoría debida al factor humano, que interactúa en la organización, el
cual es susceptible de cometer errores por omisión y por acción,
viéndose afectados los procesos y procedimientos y la maquinaria; lo
anterior compromete el aspecto legal de soporte de la organización.

Sumando a la anterior los actos deliberados que se generan bajo el

contexto del delito tanto interno como de personas externas a la
organización.

2.1.6. Metodologías de Evaluación del Riesgo

Las metodologías para la evaluación de los riesgos permiten conocer y
entender los riesgos de un proyecto o un proceso, además nos orientan
hacia la definición de objetivos de control y acciones propias para su
gestión; en esto radica su importancia, porque sobre la coherencia y
validez de los resultados obtenidos se debe construir el Plan de
Seguridad, que garantice un acertado tratamiento de los riesgos y la
mejora continua.

45
El modelo de evaluación del riesgo parte de la existencia de teorías
científicas causales que permiten pronosticar con la suficiente antelación
los impactos de los desarrollos tecnológicos como para dar
eventualmente la alarma anticipada. El análisis de impactos tiene por
objeto la identificación de los impactos específicos, así como su
estimación en términos del análisis económico de los costos-beneficios.
Por último, se trata de analizar, con base en los sistemas actuales
establecidos “científicamente”, las opciones para la decisión e
intervención de cara al control de las consecuencias positivas o
negativas.

46
Es cierto que no existe una única metodología de riesgos. La forma ideal
de realizar la gestión es seleccionar y combinar las mejores técnicas
según el tipo de negocio o proyecto. Por eso, a la hora de escoger, hay
diferentes metodologías a elegir. Para efectos de este curso nos
centraremos en las metodologías de la figura siguiente:

Figura No 9. Metodologías de evaluación del Riesgo

Fuente: Metodologías de evaluación de los riesgos (COSECAD 2018)

2.1.6.1. ISO 31000

La Metodología de la ISO 31000 tiene como propósito el manejo

adecuado de los riesgos el cual favorece el desarrollo y crecimiento de
la organización.

47
La norma ISO 31000 es una herramienta que establece una serie de
principios para la implementación de un Sistema de Gestión de Riesgos
en las empresas. Como se dijo antes, puede aplicarse a cualquier tipo
de organización independiente de su tamaño, razón social, mercado,
fuente de capital, espectro comercial o forma de financiación. No
especifica ningún área o sector en concreto.
La norma parte del hecho de que todas las empresas, en mayor o menor
medida, llevan a cabo prácticas para la gestión de los riesgos. La
diferencia radica en la coordinación y alineamiento de dichas prácticas.

Aunque no es certificable, el estándar busca minimizar, gestionar y

controlar cualquier tipo de riesgo, más allá de su naturaleza, causa,
origen o grado de incidencia. Esto se logra a través de la integración del
Sistema de Gestión de Riesgos a la estrategia de cada organización, así
como a sus procesos, políticas y cultura.
De hecho, no es una norma pensada para circunstancias concretas, sino
que busca una aplicación continua y permanente en el tiempo. De esta
manera, beneficia el grueso de las acciones, decisiones, operaciones,
procesos, funciones, proyectos, servicios y activos que tengan lugar en
las empresas.

48
2.1.6.1.1. Partes de la norma ISO 31000

Para una mejor comprensión de sus principios y directrices, la norma

ISO 31000: 2009 divide su contenido como sigue:

1. Principios y directrices:
La norma ISO 31000 sirve de referencia para otros estándares sobre
Gestión de Riesgos. Además, complementa la información de diversas
normativas en el plano local, regional, nacional o incluso continental. En
este primer apartado, se explica no sólo el alcance de la misma, sino que
se detallan las prácticas básicas que debe tener en cuenta cualquier
organización dispuesta a implementar un Sistema de Gestión de
Riesgos. Ver Figura 11. Principios ISO 31000(COSECAD 2018)

Los 11 principios expuestos son:

 La gestión crea valor a la organización.

 Debe estar integrada a los procesos.

 Forma parte de la toma de decisiones en la empresa.

 Trata de forma explícita la incertidumbre.

 Debe ser sistemática, estructurada y adecuada.

 Es necesario que esté basada en la mejor información disponible.

 Debe adaptarse a la medida de cada caso.

 Implica la inclusión de factores humanos y culturales.

 Debe ser transparente, eficaz e inclusiva.

 Es necesario que sea iterativa y sensible al cambio.

 Tiene que ir orientada a la mejora continua de la organización.

49
 Figura No 10. Principios de la ISO 31000

Fuente: Principios ISO 31000(COSECAD 2018)

2. Marco de referencia:
El éxito de la gestión del riesgo dependerá de la eficacia del marco de
referencia para la gestión, el cual brinda las bases y las disposiciones
que se introducirán en todos los niveles de la organización. El marco
ayuda a la gestión eficaz del riesgo a través de la aplicación del proceso
para la gestión en los diversos niveles y contextos específicos de la
organización. El marco garantiza que la información acerca del riesgo
derivada del proceso para la gestión del riesgo se reporte de manera
adecuada y se utilice como base para la toma de decisiones y la
rendición de cuentas en todos los niveles pertinentes de la organización.

La gestión del riesgo debe garantizar su eficacia continua demostrando

compromiso de la dirección de la organización, así como de la
planeación estratégica a través del liderazgo en la cultura organizacional
de Gestión del Riesgo.

50
Para el diseño del marco de referencia para la Gestión del Riesgo se
requiere iniciar desde el diseño hasta la implementación para la Gestión
del Riesgo, para ello se debe entender el contexto externo e interno de
la organización.

La evaluación del contexto externo debe incluir:

 El ambiente social, cultural, político, legal, reglamentario,
financiero, tecnológico, económico, natural y competitivo.

 Impulsores clave y tendencias que tienen impacto en los objetivos

de la organización.

 Las relaciones con las partes involucradas externas.

La evaluación del contexto interno debe incluir:

 Gobierno, estructura organizacional, funciones y obligaciones.

 Políticas, objetivos y estrategias que se han implementado para

lograrlos.

 Capacidades, entendidas en términos de recursos y

conocimiento.

 Sistemas de información y procesos de toma de decisiones.

 Relaciones con las partes involucradas internas.

 La cultura de la organización

 Normas, directrices y modelos adoptados por la organización

 Forma y extensión de las relaciones contractuales.

Una vez realizado lo anterior, se debe establecer la política para la

Gestión del Riesgo e integrarse todo lo anteriormente mencionado en los
procesos de la organización. Lo anterior se logra incluyendo la Gestión
del Riesgo en todas las prácticas y procesos de la organización a través
del Plan para la Gestión del riesgo.

51
Con el fin de diseñar e implementar la norma para la Gestión del Riesgo
se debe contar con unos recursos representados en:
 Personas capacitadas
 Procesos, herramientas y procedimientos documentados
 Programas de capacitación

Complementario a lo anterior se deben establecer mecanismos para la

comunicación interna y externa, desarrollar e implementar un plan sobre
la forma como se comunicará con las partes involucradas externas.

Figura No 10. Principios, Marco de Referencia y Proceso Gestión de

Riesgo de la ISO 31000

Fuente: ISO 31000(ICONTEC 2009)

52
Con el fin de garantizar la mejora continua de la Gestión del Riesgo se
monitorea y revisa el marco de referencia con el fin de tomar decisiones
que generen mejoras en la Gestión de Riesgos.

3. Proceso de gestión de riesgos

La norma ISO 31000 tiene un enfoque por procesos, por tanto, debe
seguir una serie de pasos para que sea eficaz y cumpla con los objetivos
trazados al inicio. Los pasos básicos son:

53
 4. Definición de objetivos
En esta primera etapa se definen los objetivos del proceso. Es decir, se
deja claro qué es lo que se busca con la implementación del Sistema de
Gestión de Riesgos y cuál debe ser el alcance del mismo. La dirección
de la empresa debe ser la instancia con más alto grado de implicación
en la difusión de estos objetivos, pues de lo contrario no logrará que el
resto de niveles se comprometan del modo deseado. Pero no sólo se
apoya en una buena difusión. También es preciso definir un presupuesto
y destinar los recursos necesarios para la materialización del plan de
riesgos

5. Nombramiento de responsables
A continuación, la dirección debe delegar la coordinación de las labores
de Gestión de Riesgos en uno o más responsables. Esto dependerá del
tamaño de cada organización y del número de sus empleados. Sea como
sea, lo único cierto es que la estrategia debe involucrar a las distintas
personas en el proceso.
Aunque la empresa tenga muchos trabajadores y departamentos, lo más
recomendable es que los grupos de trabajo no superen los 10 miembros.
Cuando esto sucede, tienden a la descentralización excesiva de
funciones y los procesos se dilatan. Para las empresas pequeñas, el
grupo no debe exceder los 5 miembros.

54
Hay dos maneras de nombrar a los responsables de un proyecto de
Gestión de Riesgos:

 Personal interno: Lo más usual en estos casos es que el personal

delegado para tales tareas sea de la propia organización. Si es así,
la dirección tiene la garantía de que conocen el área sobre el que se
realiza la evaluación. De hecho, puede recurrir a aquellos cargos que
tengan una visión más o menos global de los procesos.
 Personal externo: Cuando la empresa es demasiado pequeña o no
tiene la capacidad ni la formación para llevar a cabo estas tareas, la
dirección puede apoyarse en los servicios de una consultora. Sin
embargo, la desventaja de esta opción es que requiere de una labor
previa de empalme en la que el personal que realizará la evaluación
se pone al día en todo lo relacionado a la Gestión de Riesgos.

6. Identificación de los riesgos

A través de reuniones entre los diversos responsables, la empresa debe
definir cuáles son los factores que influyen en los procesos. Y de todos
esos, es preciso priorizarlos en función del impacto que tengan.
Recordemos que en un proceso no todas las acciones tienen el mismo
grado de importancia. Una buena manera de medir el impacto de un
riesgo es a través de la siguiente tabla de valores: a) ¿A qué área de la
empresa afecta? b) ¿Cómo la afecta? c) ¿Qué efectos tiene sobre dicha
área? d) ¿Qué efectos tiene sobre la organización en su conjunto? e)
¿Qué margen de maniobra otorga? f) ¿Qué tiempo de reacción permite
a la dirección? g) ¿Qué grado de complejidad requieren sus soluciones?
h) ¿Qué consecuencias implicará el no afrontarlo?

7. Análisis de Riesgos
El objetivo es establecer una valoración y priorización de los riesgos con
el fin de clasificarlos.
El análisis dependerá de la información disponible sobre el riesgo y de
su origen.
Para adelantarlo es necesario diseñar escalas que pueden ser
cualitativas o cuantitativas.

55
Se han definido criterios la probabilidad y el impacto.

Figura No 11. Criterios para el análisis del riesgo

Fuentes: Norma ISO 31000(ebook-iso-31000)

Figura No 12. Esquema de priorización de riesgos

Fuentes: Norma ISO 31000(ebook-iso-31000)

56
 8. Definición de las respuestas a los riesgos
La definición obedecerá a los pasos anteriores, sobre todo a la
identificación de los riesgos y sus efectos en los procesos. La idea es
plantear las soluciones más adecuadas para poner cara a aquellos
elementos que obstaculizan la consecución de los objetivos estratégicos
de las empresas.

Pero, así como cada organización tiene sus propios retos en esta
materia, de la misma manera debe reaccionar a los riesgos que
eventualmente pueden perjudicarle. Existen cinco estrategias principales
a la hora de gestionar un riesgo:

 Supresión del riesgo: No es lo más habitual, pero a veces las

organizaciones logran que desaparezcan los riesgos asociados a
sus procesos. Esto se consigue cuando la labor de previsión se
ha implementado de forma exitosa: obteniendo información
adicional, adquiriendo apoyo de expertos, añadiendo recursos
adicionales o modificando los elementos de la planificación, entre
otros elementos.

 Transferencia del riesgo: Bajo esta figura, el riesgo es

transferido a otra dependencia de la organización o, incluso, a una
segunda empresa asociada. Se trata de un recurso muy común
entre los grupos de compañías filiales o que comparten algún tipo
de vínculo que permite esta transferencia. Por ejemplo, cuando
hablamos de responsabilidad solidaria, una empresa puede
asumir las deudas de otra que haga parte del conglomerado que
las integra a las dos. El riesgo no se anula; sólo se re direcciona.

 Mitigación del riesgo: Es una estrategia de gestión de riesgos

que consiste en reducir la probabilidad o el impacto de un riesgo
sobre la organización. Es decir, que si llega a producirse, sus
efectos serán mucho menores que si no se hubiesen adoptado
medidas al respecto. Esta opción se usa sobre todo en aquellos
casos en que los riesgos son inevitables o no dependen de la
empresa en sí misma. La clave para una acertada mitigación del
riesgo está en las acciones. Algunos ejemplos son: - Adopción de
procesos más sencillos en la organización. - Puesta en marcha
57
 de ensayos adicionales. - Elección de proveedores o
suministrador más fiables. - Adición de recursos para la labor
preventiva.

 Explotación del riesgo: Recordemos que no todos los riesgos

son negativos. Algunas veces, su irrupción es una oportunidad
para las organizaciones. Cuando eso ocurre, en vez de mitigarla
o eliminarla, la estrategia de la empresa debe centrarse en sacar
el máximo provecho de la circunstancia. Un riesgo con efectos
positivos se puede potenciar gracias a la designación de más
personal cualificado, mayor apoyo económico o una adaptación a
la planificación realizada al inicio.

 Aceptación del riesgo: En estos casos, se trata de riesgos que

no suponen mayores impedimentos para la consecución de los
objetivos y que, por tanto, pueden convivir con la empresa. Pero
no se trata de una actitud resignada. Por el contrario, implica la
elaboración de un plan de contingencia para, de este modo,
adaptar el riesgo a las actividades de las empresas. Por ejemplo,
las compañías que operan en zonas montañosas y con una alta
probabilidad de sismos, desarrollan toda una política de
emergencia en torno a la evacuación y la asistencia en casos de
emergencia.

Figura No 14. Definición de respuesta a los Riesgos

58
 Fuente: Definición de respuesta a los Riesgos (COSECAD LTDA 2018)
9. Plan de Tratamiento
El plan de tratamiento, último paso del proceso de Gestión de Riesgos,
tiene como fin la mejora de los controles para el tratamiento del riesgo.
Esta etapa debe ser dinámica y flexible ante los cambios que puedan
presentarse. El tratamiento de los riesgos necesita labores adicionales
de registro, monitorización, actualización e intervención.
Por supuesto, este plan depende de la estrategia que se haya definido
en el apartado anterior. Pensamos que muchas veces los riesgos no
tienen el impacto o los efectos que en un principio habíamos creído, con
lo cual es necesario modificar la estrategia y, por consiguiente, el plan
de tratamiento.
Los planes de tratamiento suelen proyectarse a corto plazo, pues con
esto se evita que las condiciones iniciales se modifiquen cuando llegue
el momento de la intervención. La manera más habitual de realizar el
monitoreo es través de evaluaciones periódicas o auditorías, las cuales
son efectuadas por el equipo delegado.
Aunque todo esté previsto y las acciones se proyecten en el corto plazo,
conviene contemplar alguno de los siguientes escenarios: - La gestión
de los riesgos ha sido aplicada tal como estaba previsto. - Las
respuestas a los riesgos han sido efectivas. - Se están siguiendo las
políticas y las estrategias adecuadas. - La exposición del riesgo ha
cambiado desde el último análisis. - Se han manifestado síntomas de la
aparición de riesgos. - Han aparecido riesgos que no habían sido
contemplados al inicio.

59
Figura No 15. Pasos de la ISO 31000

Fuente: ISO 31000(ICONTEC 2009)

60
 10. Problemas en la implementación

Es evidente que los procesos de Gestión de Riesgos no están exentos

de problemas. Tal como hemos visto en los apartados anteriores, están
compuestos por pasos complejos y que requieren de coordinación y
seguimiento permanentes. En este sentido, la norma ISO 31000 ayuda
a disminuir los obstáculos en dos sentidos: en la implementación y en el
mantenimiento.

Se trata de aquellos obstáculos relacionados con la etapa de

implementación. Es decir, cuando la empresa ha decidido dar este paso
y se presta a realizar las actividades necesarias para la implementación
de un Sistema de Gestión de Riesgos.

En esta categoría, se pueden distinguir varios tipos de problemas:

a) Resistencia al cambio: Algunas organizaciones no están lo

suficientemente preparadas para llevar a la práctica un sistema de este
tipo. Bien sea por falta de formación o bien porque no existe un
verdadero empoderamiento del proceso, lo cierto es que la clave para
atajar este asunto radica en las técnicas de grupo que la dirección ponga
en marcha para aumentar el nivel de confianza de sus trabajadores.
b) Inmediatez: Un buen número de organizaciones no están dispuestas
a esperar los plazos que se han convenido para la implementación del
sistema. Quisieran que todo fuese de una sola vez y sin que tuviesen
que invertir tiempo en ello

c) Criterios distintos: Sucede sobre todo en las grandes empresas.

Cuando los grupos de responsables tienen demasiados miembros o su
elección no ha seguido parámetros de cierta unidad, lo más común es
que entre estas personas se presenten diferencias de criterio a la hora
de implementar el plan. Esto se traduce en retrasos, reuniones excesivas
y, posiblemente, nombramiento de nuevos integrantes.
d) Falta de una figura coordinadora: Del mismo modo, algunos grupos
suelen notar la ausencia de una persona líder que direccione los
procesos. De ahí la importancia de la elección de esa persona en los
primeros pasos de la implementación.
e) Incumplimiento de plazos: Por causa de una mala planificación,
61
recursos insuficientes o una comunicación deficiente entre los
responsables, algunas veces los procesos de implementación de
Gestión de Riesgos incurren en incumplimiento de los plazos previstos.
En estos casos, el perjuicio es doble: primero, porque obstaculiza la
realización del proyecto en sí mismo; y segundo, porque se pierde
tiempo valioso para mitigar o gestionar riesgos que, en muchos casos,
tienen carácter urgente.

f) Aplazamiento: Esto sucede cuando el plan ni siquiera llega a

implementarse. Se han definido las directrices, las estrategias, los
responsables y los recursos, pero por la razón que sea el plan acaba
guardado en un archivo de la dirección.

Figura No 16. Problemas en la implementación de la ISO 31000

Fuentes: Problemas en la implementación de la ISO 31000 (COSECAD LTDA, 2018)

62
 11. Problemas en el mantenimiento
En este caso, hablamos de obstáculos que surgen en la etapa de
ejecución del plan de Gestión de Riesgos. Las empresas que ya han
dado el paso y se encuentran en las etapas de monitorización pueden
encontrarse con los siguientes problemas:

a) Omisión de recursos:
Llegados a esta etapa, las empresas descubren que los recursos
destinados para el mantenimiento y la supervisión del plan de Gestión
de Riesgos no alcanzan; son insuficientes, con lo cual se compromete la
continuidad del mismo y se deja en el aire el conjunto de avances
realizados hasta la fecha.

b) Ausencia de diagnóstico previo: Si se han hecho cálculos errados

en las primeras etapas, lo más probable es que las proyecciones también
lo sean. En estos casos, los procesos requieren de un replanteamiento
general.

63
 Figura No 17. Definición en el mantenimiento de la Gestión de Riesgos

PROBLEMAS
EN EL
MANTENIMIENTO

Fuente: Problemas en el mantenimiento de la ISO 31000 (COSECAD LTDA, 2018)

2.1.6.2. What if

El análisis what if (¿qué pasaría si…?) es una herramienta sencilla y

fácil de entender para cualquier gestor de riesgos.

64
Después, este método puede complementarse con un análisis más
profundo de los riesgos y sus causas a través de otras técnicas
adicionales.

Esta metodología de administración de riesgos consiste en programar

reuniones entre funcionarios o colaboradores que conozcan a fondo el
proceso que se analiza. La primera reunión se programa para hacer
lluvia de ideas. Se formulan preguntas que ayuden a visibilizar posibles
problemas. De ahí el nombre de what if, pues cada una de esas
cuestiones comienza de ese modo.

 ¿Qué pasaría si hay un daño en el CCTV?

 ¿Qué pasaría si hay un fallo en el control de accesos?

65
En las reuniones posteriores el grupo de expertos encontrará respuestas
pertinentes para abordar las preguntas que se formularon, procurando
hallar causas, consecuencias y recomendaciones. Justamente esa es
una de las principales ventajas del análisis what if, pues permite realizar
una revisión exhaustiva de una amplia categoría de riesgos.

2.1.6.3. Análisis preliminar de riesgos (APR)

Esta metodología de gestión de riesgos también forma parte del análisis

inicial. Se utiliza para identificar posibles riesgos cuando el proyecto
apenas está comenzando.
El primer paso en el análisis preliminar de riesgos es identificar todas las
actividades que forman parte de un proyecto o de un proceso, intentando
reconocer los posibles problemas que se puedan enfrentar en cada fase.

Con esos datos se llena una tabla de registro. En una de las columnas
se describen los riesgos que se identificaron, en otra se ubican las
posibles causas, en la tercera se listan las consecuencias y en la última
se sitúan las categorías de riesgos, combinando la frecuencia y la
gravedad del riesgo para crear una clasificación de prioridades.

66
Cuanto más probable sea un riesgo y más graves sus consecuencias,
mayor atención debe dársele. Con esos criterios, los riesgos se clasifican
en menores, moderados, serios o catastróficos.

Para llevar a cabo esa priorización del riesgo, es conveniente utilizar una
matriz de riesgo.

2.1.6.4. Cinco (5) porqués

El objetivo de esta metodología es llegar a la causa raíz de un problema

específico, descartando las respuestas inmediatas y superficiales. Así
como los niños que empiezan a preguntar sobre el porqué de asuntos
aleatorios, este método de análisis de riesgo es una indagación que
consiste en formular preguntas iterativas sobre un problema
determinado.

Esta metodología de riesgos debe desarrollarse en grupo. En primer

lugar, se plantea el problema. Después, se pasa a la formulación de
preguntas. Finalmente, a partir de las respuestas, se encuentra la causa
raíz.

Contrario a lo que indica el nombre de la técnica, no es necesario que se

restrinja el análisis a cinco preguntas. La cantidad de cuestiones estará
67
determinada por la complejidad del problema que se pretende abordar.

2.1.6.5. FMEA (Failure mode and effective analysis)

El método FMEA empieza identificando las posibles fallas y efectos.

Posteriormente, se crea una clasificación de ellos. La puntuación de los
riesgos se determina teniendo en cuenta tres criterios:

1. Frecuencia
2. Gravedad
3. Detección

Con estos tres puntos se aplica una fórmula que permite establecer
cuales fallas son más o menos graves. Los riesgos más críticos deben
ser atendidos primero que los demás.

El Análisis de modos y efectos de fallas potenciales, AMEF es un

proceso sistemático para la identificación de las fallas potenciales del
diseño de un producto o de un proceso antes de que éstas ocurran,
con el propósito de eliminarlas o de minimizar el riesgo asociado a las

68
mismas.
Por lo tanto, el AMEF puede ser considerado como un método analítico
estandarizado para detectar y eliminar problemas de forma sistemática
y total, cuyos objetivos principales son:

 Reconocer y evaluar los modos de fallas potenciales y las

causas asociadas con el diseño y manufactura de un producto.

 Determinar los efectos de las fallas potenciales en el desempeño

del sistema.

 Identificar las acciones que podrán eliminar o reducir la

oportunidad de que ocurra la falla potencial.

 Analizar la confiabilidad del sistema.

 Documentar el proceso.

2.1.6.6. Lista de chequeo

Es una herramienta para gestionar el riesgo, su construcción al principio

es difícil, pero una vez se domina la técnica, los métodos y las acciones
que deben realizarse, el proceso se vuelve cada vez más sencillo, casi
automático.

69
Las listas de chequeo se usan en las inspecciones o auditorías internas
para identificar aspectos críticos. También son utilizadas como
complemento de otros métodos más complejos para gestionar el riesgo,
especialmente en algunos requeridos del análisis “what if”.

a) Las listas de chequeo nos permiten:

 Plantear una estrategia basada en los datos históricos de

seguridad.
 Sirve para refinar análisis más detallado de la situación actual.
 Aplicarla a cualquier actividad o proceso
 Mejora la cultura de riesgo en la organización.
 Es fácil de llevar a cabo, ya que puede ser realizada por cualquier
persona de la compañía que esté capacitada para entender las
preguntas de la lista, sin requerir la supervisión de un experto en
gestión de riesgos.
 Genera listas cualitativas para corregir posibles errores o fallos.

b) ¿Cómo hacer una lista de chequeo para gestionar el Riesgo en

Seguridad?

70
  Defina los focos de riesgo de seguridad y todo lo que pueda
afectar el desarrollo de la organización
 Divida los aspectos de la actividad actividades a realizar,
personal, tiempos de entrega, presupuesto y procesos.
 Recoja o cree listas de chequeo para cada uno de los
problemas Formule diferentes preguntas relacionadas con el tipo
de problemas potenciales que quiere analizar.
 Responda a las preguntas formuladas en la lista de chequeo
al final del proceso, incluye recomendaciones para mejorar o
mitigar los riesgos que aparezcan inminentes o probables.
 Use los resultados para tomar decisiones Evalúe las
recomendaciones incluidas en el análisis e implemente aquellas
que traerán más beneficios que costos. Asigne responsabilidades
para cada riesgo y haga monitoreo del proceso.

2.1.7. Actividades de Gestión del Riesgo

La definición de cómo realizar las actividades de gestión de riesgos, se
lleva a cabo mediante el proceso Planificar la Gestión de Riesgos.
Una planificación cuidadosa y explícita mejoran las posibilidades de éxito
de los demás procesos de la Gestión de Riesgos. Consiste en decidir
cómo abordar y llevar a cabo todas las actividades de Gestión de los
Riesgos. De esta manera, la planificación es importante para garantizar
que el nivel, el tipo y la visibilidad de la Gestión de Riesgos estén de
acuerdo con la importancia de la organización.
Durante este proceso, es interesante plantearse las siguientes
cuestiones:

 ¿Quiénes serán los responsables de identificar los riesgos?

 ¿En qué momento y cómo llevaremos a cabo la identificación de

riesgos?

 ¿Qué escala utilizaremos para el proceso Realizar el Análisis

Cualitativo de Riesgos?

 ¿Cómo priorizaremos los riesgos?

71
 ¿Es necesario Realizar el Análisis Cuantitativo de Riesgos? ¿Qué
herramientas utilizaremos?

 ¿Qué estrategia adoptaremos para cada riesgo?

 ¿Cada cuánto tiempo realizaremos el control y seguimiento de

riesgos?

A la hora de hablar de riesgos, es importante aclarar cuáles son los tipos

de riesgos a los que estamos expuestos.

De esta forma, es posible identificar tres actividades básicas en la

Gestión de Riesgo:

 Pensar continuamente en qué puede suceder mal. Esta

etapa es la base de la Gestión de Riesgo, pues permite identificar a
priori cuales son las potenciales dificultades que pueden ocurrir a lo
largo del desarrollo. En la medida en que se haga un reconocimiento
a fondo de las principales trabas para llevar a cabo el producto será
posible tratarlos de manera efectiva, para que no se transformen en
eventos que generen más dificultades. Para ello, es necesario contar
con buenos procedimientos, ojalá estandarizados, de definición de
requerimientos, ya que esto permitirá, junto con la experiencia en el
desarrollo, mantener un repositorio de datos para poder tener una
idea en el siguiente proyecto, de cuáles son las fortalezas y
debilidades del equipo.
 Determinar cuáles riesgos son relevantes. En este punto,
conviene indicar que existen tres tipos de riesgo.
o Aquellos que por su impacto o probabilidad de
ocurrencia son tan irrelevantes que, al hacer un análisis de
costo versus beneficio, se obtiene como conclusión que es
más conveniente no considerarlos. Por ejemplo, si existe el
riesgo que un integrante del equipo se vaya inesperadamente
del proyecto, pero eso no ha ocurrido nunca, entonces es
posible obviar ese riesgo bajo ciertas circunstancias.
o Los que tienen una probabilidad de ocurrencia e
impacto considerables. En este caso es necesario realizar un
análisis de él y elaborar estrategias para su mitigación o
control. Este es el común de los riesgos.
72
 o Aquellos que por su impacto no es posible tratarlos. En
ese caso, no queda más remedio que aceptarlos.

 Implementar estrategias para contrarrestar sus efectos. No

sólo basta con identificar cuáles son los principales riesgos que
podrían afectar el desarrollo, sino que además es necesario mantener
procedimientos que indiquen qué pasos se deben seguir para el
correcto tratamiento de los riesgos. Al respecto se puede señalar que
existen básicamente dos planes para el tratamiento de los riesgos:

o Estrategias de mitigación: Se implementan estrategias

que ayuden a disminuir el efecto que provocaría el eventual
desencadenamiento del riesgo. Este plan debe incluir
acciones a seguir y diferentes opciones para aminorar la
adversidad del impacto. Además, se deben incluir criterios que
permitan vislumbrar anticipadamente la presencia del riesgo.
o Estrategias de contingencia: Para ello se implementa
una planificación que permita eliminar parcial o completamente
el efecto adverso del riesgo. Las estrategias de contingencia
implican un mayor gasto de recursos, por lo tanto, debe ser
elaborada cuidadosamente y sólo para aquellos riesgos cuyo
impacto y probabilidad lo ameriten.

Figura No 18. Definición en el mantenimiento de la Gestión de

Riesgos

Fuente: Problemas en el mantenimiento de la ISO 31000 (COSECAD LTDA, 2018)

73
La Gestión de Riesgo es un proceso continuo a través de todas las
fases del desarrollo, ya que aparte de intentar descubrir riesgos, se
debe crear estrategias para mitigarlos.

2.1.8. Protocolo de Seguridad

El Protocolo de seguridad es un documento donde se consignan
estrategias con los pasos a seguir para ejecutar medidas de protección
y acciones seguras en los servicios de vigilancia y seguridad privada. De
esta manera, se establecen las condiciones mínimas de prestación del
servicio de vigilancia dirigido a los subsectores y así las personas que
contraten este tipo de servicios, podrán conocer las normas básicas
operativas.

En el sector se cuenta con tres (3) protocolos oficiales emitidos por la

Superintendencia de Vigilancia y Seguridad Privada a saber:
 Protocolo de Operación servicios de vigilancia y seguridad
privada para el Sector Residencial.
 Protocolo de Operación servicios de vigilancia y seguridad
privada para el Sector Financiero.
 Protocolo de Operación servicios de vigilancia electrónica.

Ver material de Consulta.

2.1.9. Control de Accesos

El Control de Acceso se entiende como el conjunto de medios,
normas y Acciones que tienen como finalidad, restringir o permitir
el ingreso o salida de personas, Animales o cosas. El personal de
vigilancia que ejerza este tipo de función, debe adoptar
procedimientos tendientes a prevenir, minimizar y evitar actos que
vayan en contra de la seguridad de bienes y personas a su cargo.
Para un buen control de accesos usted debe:

74
  Identificar
 Anunciar
 Registrar
 Revisar

Un procedimiento se elabora con el fin de establecer los pasos a seguir

para registrar y controlar el acceso de personas y vehículos a las
diferentes instalaciones y dependencias de un bien a proteger, a
continuación, presentamos algunos de ellos:

2.1.9.1. Procedimientos de Control de Accesos a

personas

a) Ingreso y Salida de usuarios: Antes de permitir el ingreso o activar

el control de apertura y cierre de las puertas se debe identificar
claramente a los usuarios.

75
Si al momento de ingreso se presentan varias personas, se debe
verificar si las personas que ingresan al tiempo son todos acompañantes
de los mismos.

Figura No 19. Control de accesos a personas

Fuente:. Control de accesos a personas. (COSECAD LTDA,2018)

b) Ingreso y Salida de visitantes

Toda persona que no pertenece al inmueble, y que concurre por vez

primera, o asiduamente, a visitar a alguno de los residentes, debe ser
anunciada y su ingreso autorizado mediante alguna de las siguientes
formas:

Verbal
A viva voz

76
Telefónicamente
Escrita
Memorandos (internos y Externos)
Listados
Procedimientos

Electrónica
E-mail
Intranet
Mensajería instantánea

Toda persona que no pertenece al inmueble, y que concurre por vez

primera, o asiduamente, a visitar alguno de los residentes o a laborar,
se deberá registrar así como revisar la entrada y salida de paquetes.

Los servicios de vigilancia y seguridad privada no podrán realizar

ningún tipo de requisa y mucho menos con contacto físico, toda vez
que es la Fuerza Pública la única facultada para tal fin.

Los servicios de vigilancia y seguridad privada pueden utilizar equipos

de detección, visión y detección que permiten llevar a cabo este tipo

77
 de controles sin que haya contacto de ninguna naturaleza.
c) Ingreso y salida de Paquetes
Todo paquete que ingrese o sea retirado de las instalaciones por
personas diferentes a los propietarios debe ser requisado y registrado
en la minuta.

d) Ingreso y salida de Vehículos

Básicamente, se podrá tener en cuenta, para su clasificación, tres (3)

categorías, a saber:

 Vehículos de propiedad de los residentes o empleados

 Vehículos de visitantes en general
 Vehículos de trasteos y mantenimiento

La importancia del control para el ingreso y salida de los vehículos

para todos es la misma, debe realizarse sobre la totalidad de los
vehículos cuantas veces sea necesario, a diferencia del ingreso de
las personas.

78
Los vehículos que se encuentren en los estacionamientos deben ser
revisados en sus condiciones de permanencia, haciendo las
anotaciones respectivas (ventanas abiertas, puertas sin seguro,
puertas de baúl abiertas, elementos de valor en su interior), así como
también si presenta fallas que afecten el ambiente de los residentes
(escapes de humo, alarmas encendidas etc.).

79
2.1.10. Normatividad técnica en Seguridad y
Salud en el Trabajo (SST)
La salud de la población trabajadora es uno de los componentes
fundamentales del desarrollo de un país y a su vez refleja el estado de
progreso de una sociedad; visto así, un individuo sano se constituye en
el factor más importante de los procesos productivos.

El trabajo tiene una función constructora de la individualidad y se

relaciona estrechamente con la salud, dado que las condiciones
laborales predominantes en un lugar de trabajo afectan, modificando el
estado de salud del individuo; de tal manera que trabajando se puede
perder la salud, circunstancia que conlleva a la pérdida de la capacidad
de trabajar y por tanto repercute también en el desarrollo
socioeconómico de un país.

Lo anterior se evidencia en la situación de la persona, ya que la

enfermedad, el accidente y las secuelas e incapacidades que generan,
inciden en los procesos de prestación de servicios y sobre el bienestar
de la familia, la sociedad y el País.

Las circunstancias mencionadas justifican la existencia de un SISTEMA

DE GESTIÓN EN SEGURIDAD, SALUD EN EL TRABAJO al interior de
las empresas, que oriente, ejecute y evalúe las acciones encaminadas a
asegurar el bienestar integral de todos sus empleados.

80
2.1.10.1. Antecedentes del Decreto 1072 de 2015

Los programas de salud ocupacional son uno de los grandes logros de

los trabajadores. En Colombia vienen implementándose formalmente
desde finales de los años setenta, cuando la Ley 9 de 1979 dedicó el
Título III al particular. Progresivamente fueron ampliándose las normas
y procedimientos hasta llegar al Decreto 1295 de 1994, por el cual el
Ministerio de Trabajo y Seguridad Social establece la organización y
administración del Sistema General de Riesgos Profesionales –SGRP,
posteriormente la Ley 1562 de 2012 cambio de Sistema General de
Riesgos Profesionales –SGRP a Sistema General de Riesgos Laborales
–SGRL y de los programas de Salud Ocupacional e Higiene y Seguridad
al Sistema de Gestión de la Seguridad y la Salud en el Trabajo. –SG-
SST.

El objetivo general del Sistema General de Riesgos Laborales -SGRL es

la promoción de la seguridad y la salud. Fundamentalmente busca
prevenir riesgos en el trabajo, para evitar accidentes y enfermedades
laborales. Constituye pues un amplio campo de estudio y de acción, que
en los últimos veinte años ha venido adquiriendo rigor profesional. Son
muchos los médicos, psicólogos, ingenieros, abogados, y
administradores—principalmente— que se han especializado en esta
rama, recientemente denominada HSEQ (Salud, Seguridad, Ambiente y
Calidad, por sus siglas en inglés).

Con tantos actores interesados, es razonable que este campo haya

tenido una rápida evolución. Cada vez se incorporan procedimientos
más novedosos y efectivos.
Precisamente para actualizar la normativa colombiana, se expidió la Ley
1562 de 2012, cuyo principal aporte consistió en reemplazar el Programa
de Salud Ocupacional, por el Sistema de Gestión de la Seguridad y la

81
Salud en el Trabajo -SG-SST. La reglamentación de esta ley llegó dos
años después, con el Decreto 1443 de 2014, el cual constituye un
manual para implementar el SG-SST en todas las organizaciones.

Ver material de Consulta

Posteriormente, en el año 2015, el gobierno nacional unificó todas las

normas laborales en el Decreto Único Reglamentario del Sector
Trabajo. Todo el contenido del decreto 1443 de 2014 quedó unificado
en el Libro 2, parte 2, título 4, capítulo 6 del Decreto 1072 de 2015.

82
2.1.10.2. ¿En qué consiste el Sistema de Gestión de
la Seguridad y Salud en el Trabajo

Consiste en realizar un desarrollo de un proceso lógico y por etapas, se

basa en la mejora continua, con el fin de anticipar, reconocer, evaluar y
controlar todos los riesgos que puedan afectar a la seguridad y la salud
en el trabajo.
El SG-SST debe ser liderado e implantado por el jefe, con
la participación de todos los empleados, garantizando la aplicación de
las medidas de seguridad y salud en el trabajo, el mejoramiento del
comportamiento de los empleados, las condiciones y el medio ambiente
laboral, y el control eficaz de los peligros y riesgos en el lugar de trabajo.

Siendo un sistema de gestión, sus principios deben estar enfocados

al ciclo PHVA (planificar, hacer, verificar y actuar).

83
 Figura No 20. Responsabilidades de los jefes

- Definir, firmar y divulgar la política de seguridad y

salud en el trabajo.
- Rendir cuentas a las personas que conforman la
organización.

- Cumplir con los requisitos normativos

- Realizar el plan de trabajo anual en seguridad y
salud en el trabajo.

-Fomentar la participación de los empleados.

Obligaciones de los jefes -Asignar los responsables y comunicarlo a todos los
miembros de la organización.

- Definir y asignar los recursos necesarios para

establecer, mantener y mejorar el SG-SST.
- Gestionar los riesgos y los peligros que se puedan dar
en la organización.

Prevenir los riesgos laborales.

Darle rumbo al SG-SST en la organización.
Integrar los aspectos de seguridad y salud en el trabajo, al
conjunto de sistemas de gestión, procesos, procedimientos y
decisiones de la organización.

Fuentes:. Responsabilidad Jefe (COSECAD 2017)

84
 Figura No 21. Responsabilidades de las ARL

- Capacitar al vigilante de seguridad y salud en el

trabajo en los aspectos relativos al SG-SST.
- Prestar asesoría y asistencia técnica a las
organizaciones afiliadas, para implementar el SG-SST
4.2 Obligaciones de la
administración en cuanto a
riesgos laborales

Realizar la vigilancia delegada del cumplimiento del

SG-SST e informar a las direcciones territoriales los
casos en los que la evidencia no ofrezca cumplimento
por parte de sus organizaciones filiadas.

Fuente. Responsabilidad ARL (COSECAD 2017)

85
Figura No 22. Responsabilidades de los trabajadores

Fuente: Responsabilidad Trabajadores (COSECAD 2017)

86
2.1.10.3. Resolución 1111 de 2017 – Estándares
mínimos

Los estándares mínimos del SG-SST son el conjunto de normas,

procedimientos y requisitos de obligatorio cumplimiento dirigidos a los
empleadores, contratantes y entidades señaladas, mediante los cuales
se verifica, establece, y controlan las condiciones básicas de capacidad
tecnológica y científica; de suficiencia patrimonial y financiera; y de
capacidad técnico-administrativa, indispensables para el
funcionamiento, ejercicio y desarrollo de actividades en el Sistema
General de Riesgos Laborales –SGRL–.

87
2.1.11. Normas y estándares

2.1.11.1. Normativa Colombiana del Sector de Vigilancia

y Seguridad Privada

1. Decreto 356 de 1994(Febrero de 1994)

http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=1540

2. Decreto 2535 de 1993(Diciembre de 1993)

http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=1341

3. Decreto 3222 de 2002 (Diciembre de 2002)

http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=6880

4. Ley 1920 de 2018 (Julio de 2018)

http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=79999#8

5. Protocolo de Operación servicios de vigilancia y seguridad

privada Sector Residencial
https://www.supervigilancia.gov.co/publicaciones/5562/protocolos-
operativos-del-sector-vigilancia-y-seguridad-privada/

6. Protocolo de Operación servicios de vigilancia y seguridad

privada Sector Financiero

88
https://www.supervigilancia.gov.co/publicaciones/5562/protocolos-
operativos-del-sector-vigilancia-y-seguridad-privada/

7. Protocolo de Operación servicios de vigilancia electrónica

https://www.supervigilancia.gov.co/publicaciones/5562/protocolos-
operativos-del-sector-vigilancia-y-seguridad-privada/

2.1.11.2. Normas y estándares Internacionales

Actualmente la implementación de Sistemas de Gestión al interior de las

organizaciones es de vital importancia a la hora de poder estandarizar y
controlar efectivamente los procesos y los procedimientos a los que hace
referencia cada una de las normas.

Figura No 23. Normas Internacionales

Fuente: Normas internacionales (Recuperado Internet)

89
Figura No 23. Estándar Australiano/neozelandes AS/NZS
4360:1999

Fuente:Norma AS/NZS 4360:1999

90
 2.1.12. Competencia asociada

La Norma Sectorial de Competencia Laboral (NSCL) del SENA asociada

a esta formación corresponde a la:

NSCL 260401022 VRS 1- Prevenir incidentes en seguridad y

vigilanciade acuerdo con normativa técnica perteneciente a la Mesa
Sectorial de Vigilancia y Seguridad Privada.

La norma puede ser descargada a través del siguiente link

http://certificados.sena.edu.co/claborales/default.asp

91
 Material de Consulta

1. Decreto 356 de 1994(Febrero de 1994)

http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=1540

2. Decreto 2535 de 1993(Diciembre de 1993)

http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=1341

3. Decreto 3222 de 2002 (Diciembre de 2002)

http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=6880

4. Ley 1920 de 2018 (Julio de 2018)

http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=79999#8

5. Protocolo de Operación servicios de vigilancia y seguridad

privada Sector Residencial
https://www.supervigilancia.gov.co/publicaciones/5562/protocolos-
operativos-del-sector-vigilancia-y-seguridad-privada/

6. Protocolo de Operación servicios de vigilancia y seguridad

privada Sector Financiero
https://www.supervigilancia.gov.co/publicaciones/5562/protocolos-
operativos-del-sector-vigilancia-y-seguridad-privada/

92
7. Protocolo de Operación servicios de vigilancia electrónica

https://www.supervigilancia.gov.co/publicaciones/5562/protocolos-
operativos-del-sector-vigilancia-y-seguridad-privada/Decreto 1072)26
de Mayo de 2015)

8. ISO 9000

9. ISO 31000

10. Decreto 1072 de 2015

11. Resolución 1111 de 2017

12. NSCL 260401022 VRS 1- Prevenir incidentes en seguridad y

vigilancia de acuerdo con normativa técnica

93
 Bibliografía
Cosecad (2012), Programa de capacitación para el personal de Vigilancia y
Seguridad Privada.

José Luis Hernán Gómez de Mateo. (2010).Seguridad pública y privada:

reflexiones acerca de la metodología en el análisis y la gestión del riesgo.

Organización Internacional de Normalización ISO . (2008) ISO 9001:2008.

Organización Internacional de Normalización ISO . (2007) ISO 2800:2007.

Organización Internacional de Normalización ISO . (2009) ISO 3100:2009.

Oscar Bravo Mendoza y Marleny Sánchez. (2012) Gestión Integral de Riesgos

Tomo I y II. 621p.

Philipp Purpura. (1998). Prevención de Pérdidas

Restituto Valero. (2000). Manual de Seguridad. p527.

Superintendencia de Vigilancia y Seguridad Privada. Protocolo de operación:

servicio de vigilancia y seguridad privada física — sector residencial (2011).

Superintendencia de Vigilancia y Seguridad Privada. Protocolo de operación:

servicio de vigilancia y seguridad privada física — sector financiero (2011).

Superintendencia de Vigilancia y Seguridad Privada. Protocolo de operación:

servicios de vigilancia electrónica (2011).

World BASC Organization. (2012) BASC V4:2012

94
 Infografía
FOPAE. (2012).Metodología del Análisis del Riesgo. Recuperado en:
www.sire.gov.co/documents/13276/69801/A.3.4+Metodologias+AR.pdf/288b6
5be-c4d8-4d3f-a5f6-51942324e699

http://www.eumed.net/libros-
gratis/2010f/870/PROCESO%20DE%20SOLUCION%20DE%20PROBLEMAS
%20COMPLEJOS%20QUE%20REQUIEREN%20ALTA%20CALIDAD%20Y%
20ALTA%20ACEPTACION.htm

https://www.isotools.org/pdfs-pro/ebook-iso-31000-gestion-riesgos-
organizaciones.pdf?_hsenc=p2ANqtz-8fGjSJB5wNPn9ayOF-
fHHNJZeVOzby4CAj5Op4XTBIyqAfj-
eX6f3drEonaU9N7moQQMVnA77aEW6DMZ5MMiBYgoxHmg&_hsmi=25816
197

https://www.riesgoscero.com/blog/5-metodos-de-analisis-de-riesgos

95
96