GESTION DEL RIESGO

EMPRESARIAL BASADO EN
ISO 31000:2018

LUGAR: QUITO –ECUADOR

FECHA: 08 y 09 de MAYO 2018

Tutor: Ing. Armin Pazmiño, Mg

www.icea.com.ec
 Estructura Capítulo 1

 Pensamiento Estratégico, importancia de su aplicabilidad

y prioridad para las organizaciones

 Transversalidad, análisis de su inclusión en los apartados

de estándares internacionales con estructura de Alto
Nivel.

 Ejemplos de Transversalidad – graficas que demuestran

importancia, alcance y aplicación

www.icea.com.ec
 COMPRENSION PENSAMIENTO
ESTRATÉGICO
CONSIDERANDO ENFOQUE INTERNACIONAL ISO –ANEXO SL
El Anexo SL es el estándar que define la nueva estructura de Alto Nivel para todos
los sistemas de gestión de las Normas ISO.
 ESTRUCTURA NORMA ISO 31000:2018

Introducción
1.- Objeto y campo de aplicación
2.- Referencias Normativas
3.- Términos y Definiciones
4.- Principios
5.- Marco de Referencia comprende:
1. Generalidades
2. Liderazgo y Compromiso
3. Integración
4. Diseño
5. Implementación
6. Valoración
7. Mejora
6.- Proceso comprende:
1. Generalidades
2. Comunicación y consulta
3. Alcance, contexto y criterios
4. Evaluación del Riesgo
5. Tratamiento del Riesgo
6. Seguimiento y Revisión
7. Registro e Informe ( Resultados)
www.icea.com.ec
 Capitulo 2:
Términos y
Definiciones

www.icea.com.ec
 TÉRMINOS Y DEFINICIONES
IS0 31000:2018

TÉRMINO DEFINICIÓN COMENTARIO

NOTA 1 : Un efecto es una desviación respecto

a lo previsto. Puede ser positivo, negativo o
ambos, y puede abordar, crear o resultar en
oportunidades y amenazas.

NOTA 2: Los objetivos pueden tener

Riesgo Efecto de la incertidumbre diferentes aspectos y categorías, y se pueden
sobre los objetivos aplicar a diferentes niveles

NOTA 3: Con frecuencia, el riesgo se expresa

en términos de fuentes de riesgo (3.4),
eventos (3.5) potenciales, sus consecuencias
(3.6) y sus probabilidades (3.7).

Actividades coordinadas para

dirigir y controlar la
Gestión del Riesgo
organización con relación al
www.icea.com.ec riesgo (3.1)
 TÉRMINOS Y DEFINICIONES
IS0 31000:2018

TÉRMINO DEFINICIÓN COMENTARIO

NOTA 1: en la versión en
español Los términos en inglés
Persona u organización que puede afectar,
“interested party” y
Parte Interesada verse afectada, o percibirse como afectada
“stakeholder” tienen una
por una decisión o actividad
traducción única al español
como “parte interesada”.
NOTA 1: Un evento puede
tener una o más ocurrencias y
puede tener varias causas y
varias consecuencias (3.6).

Ocurrencia o cambio de un conjunto NOTA 2: Un evento también

Evento puede ser algo previsto que no
particular de circunstancias
llega a ocurrir, o algo no
previsto que ocurre
.
NOTA 3: Un evento puede ser
una fuente de riesgo.
www.icea.com.ec
 TÉRMINOS Y DEFINICIONES
IS0 31000:2018

TÉRMINO DEFINICIÓN COMENTARIO :

Proceso global que comprende la En muchos casos, se plantea
identificación, análisis y la evaluación del la no existencia de un riesgo,
Apreciación del riesgo. pero éste existe, lo que
Riesgo ocurre es que no ha sido
Para que un riesgo sea gestionado debe apreciado.
haber sido previamente apreciado
Proceso que comprende la búsqueda, el
reconocimiento y la descripción del
Identificación del riesgo. Por ejemplo, establecer que
Riesgo existe la probabilidad de que
La identificación del riesgo implica la un comercial haga
identificación de las fuentes o factores de determinados regalos a un
riesgo que lo originan, sus causas y sus cliente refleja que hemos
consecuencias potenciales identificado un riesgo y el
factor de riesgo (el proceso
de compra y venta).
www.icea.com.ec
 TÉRMINOS Y DEFINICIONES
IS0 31000:2018

TÉRMINO DEFINICIÓN COMENTARIO

Una fuente o factor de riesgos es un
Fuentes o
elemento que, por sí solo o en
Factores de
combinación con otros, presenta el
Riesgo
potencial de que se presente un riesgo
Una fuente de riesgos, por
ejemplo, es el hecho de
“realizar licitaciones a la
administración” que podrían
generar un problema de
corrupción por el intento de
soborno de un funcionario

por ejemplo, se ha
Suceso Denominamos suceso a la producido un soborno
materialización de un riesgo.

www.icea.com.ec
 TÉRMINOS Y DEFINICIONES
IS0 31000:2018

TÉRMINO DEFINICIÓN COMENTARIO

resultado de un evento (3.5) que afecta a los Ejemplos de

objetivos consecuencias: daños
-Una consecuencia puede ser cierta o financieros, daños
incierta y puede tener efectos positivos o reputacionales,
negativos, directos o indirectos sobre los sanciones, etc.).
objetivos.
Consecuencia -Las consecuencias se pueden expresar de
manera cualitativa o cuantitativa.
-Cualquier consecuencia puede Ejemplo cuantitativa: el
incrementarse por efectos en cascada y pago de una sanción o
efectos acumulativos. cualitativa la pérdida de
imagen.

www.icea.com.ec
 TÉRMINOS Y DEFINICIONES
IS0 31000:2018

TÉRMINO DEFINICIÓN COMENTARIO

Ejemplos conjunto de riesgos: Un
Descripción de cualquier conjunto área organizativa, Un cliente o un
de riesgos tipo de clientes; una actividad
transversal ej calidad

Perfil de Riesgo Ejemplos: poder comparar los

Los perfiles de riesgo se lo utiliza
fundamentalmente para comparar
los riesgos de dos conjuntos
homogéneos
Términos de referencia respecto a
los que se evalúa la importancia
de un riesgo.
Criterios de Los criterios de riesgos se basan
Riesgo en los objetivos de la organización
y en el
www.icea.com.ec
contexto externo e interno.
riesgos de diferentes delegaciones
en diferentes países, como
información para la toma de
Decisiones.
Por ejemplo: Los criterios de riesgo
se pueden obtener de normas,
leyes, políticas y otros
requisitos de las partes interesadas
 TÉRMINOS Y DEFINICIONES
IS0 31000:2018

TÉRMINO DEFINICIÓN COMENTARIO

El nivel de riesgo nos lo
dará la conjunción de la
Magnitud de un riesgo o probabilidad y
combinación de riesgos, consecuencias en
expresados en términos de la función del método de
Nivel de Riesgo combinación de las consecuencias
evaluación que
y probabilidad. adoptemos

www.icea.com.ec
 TÉRMINOS Y DEFINICIONES
IS0 31000:2018

TÉRMINO DEFINICIÓN COMENTARIO

El tratamiento del riesgo puede implicar:

 Evitar el riesgo, decidiendo no iniciar o

continuar con la actividad que motiva el
Proceso destinado riesgo.
a modificar el
riesgo.  Reducir el riesgo, actuando sobre la
Tratamiento del probabilidad, las consecuencias o ambas
Riesgo simultáneamente.

 Asumir el riesgo, mientras se busca una

opción de mejora.

 Aceptar el riesgo, con base a una decisión

informada
www.icea.com.ec
 TÉRMINOS Y DEFINICIONES
IS0 31000:2018

TÉRMINO DEFINICIÓN COMENTARIO

Medida que modifica un riesgo al
reducir la probabilidad de ocurrencia Por ejemplo, si
o las consecuencias posibles implantamos un sistema
de supervisión de regalos
La modificación de un riesgo puede que implique una doble
venir a través de diferentes medidas o autorización para
Control controles. realizarlos, tendrían que
ponerse de acuerdo dos
Generalmente, todas ellas actúan personas para saltarse los
sobre la probabilidad de que se criterios, por lo tanto,
produzca ya que la disminución de las estamos reduciendo la
consecuencias suele ser más difícil o probabilidad
incontrolable por la organización.

www.icea.com.ec
 TÉRMINOS Y DEFINICIONES
RELACIONADOS

TÉRMINO DEFINICIÓN NOTA

Política Intenciones y dirección de una organización,

como las expresa formalmente su alta dirección
Resultado a lograr: Un objetivo puede ser
estratégico, táctico u operativo.

Objetivo En el contexto de los sistemas de gestión, la

organización establecer los objetivos de forma
coherente con la política, para lograr resultados
específicos
Conjunto de actividades mutuamente
relacionadas o que interactúan, que transforma
Proceso
los elementos de entrada en elementos de
salida.
 TÉRMINOS Y DEFINICIONES
RELACIONADOS

TÉRMINO DEFINICIÓN NOTA

Determinación del estado de un

Seguimiento
sistema, un proceso o una actividad

Resultado medible, puede ser

Desempeño cuantitativo o cualitativo.

Medición Proceso para determinar un valor

www.icea.com.ec
 TÉRMINOS Y DEFINICIONES
RELACIONADOS

TÉRMINO DEFINICIÓN NOTA

Examen detallado de una cosa para
conocer sus características o cualidades,
o su estado, y extraer conclusiones, que
Análisis
se realiza separando o considerando por
separado las partes que la constituyen.

Atribución o determinación del valor de

Evaluación algo o de alguien

Dato o información que sirve para

conocer o valorar las características y la
Indicador
intensidad de un hecho o para determinar
su evolución futura.
www.icea.com.ec
 Capitulo 3:
Gestión del Riesgo - Requisitos
con base en la Norma ISO 31000:
2018

www.icea.com.ec
 INTRODUCCIÓN ISO 31000:2018

Es aplicable para cualquier tipo de empresa, tamaño y

sector.

- Es iterativa y se vincula a la estrategia de las

organizaciones con la finalidad de poder lograr sus
objetivos.

- Es parte de la gobernanza y liderazgo y es fundamental

en la manera que se gestiona en todos los niveles,
contribuyendo de manera significativa a la mejora de
los Sistemas de Gestión.
www.icea.com.ec
 INTRODUCCIÓN ISO 31000:2018

- Es aplicable a todas las actividades de la organización

y su interacción con las Partes Interesadas.

- La gestión del riesgo considera su contexto externo e

interno incluyendo el comportamiento humano y
factores culturales.

- La gestión de riesgo a fin de garantizar su

integridad esta basado en 8 principios que se
establecen en este documento

www.icea.com.ec
 PRINCIPIOS DE LA GESTÓN DE RIESGOS
ISO 31000:2018

a) Integrada: es parte integral de todas las actividades

de la organización- aplicación transversal.

b) Estructurada y exhaustiva: contribuye a resultados

coherentes y comparables- etapas proceso gestión
de riesgos – Proceso capitulo 6

c) Adaptada: se adaptan y son proporcionales a los

contextos externo e interno de la organización
relacionados con sus objetivos.

d) Inclusiva : La participación apropiada y oportuna de

las partes interesadas
 PRINCIPIOS DE LA GESTÓN DE RIESGOS
ISO 31000:2018

f) Dinámica: Los riesgos pueden aparecer,

cambiar o desaparecer con los cambios de los
contextos externo e interno de la organización

g) Mejor información disponible: se basan en

información histórica y actualizada, así como
en expectativas futuras.

h) Factores humanos y culturales: influyen

considerablemente
i) Mejora continua:Mediante aprendizaje y
experiencia
 5.- MARCO DE REFERENCIA ISO 31000:2018

5.1 Generalidades: El propósito del marco de referencia de la gestión del riesgo

es asistir a la organización en integrar la gestión del riesgo en todas sus
actividades y funciones significativas; esto requiere el apoyo de las partes
interesadas, particularmente de la alta dirección.
5.2 Liderazgo y Compromiso: La alta dirección y los órganos de supervisión,
cuando sea aplicable, deberían asegurar que la gestión del riesgo esté integrada
en todas las actividades de la organización y deberían demostrar el liderazgo y
compromiso.

5.3 Integración: La integración de la gestión del riesgo depende de la comprensión

de las estructuras y el contexto de la organización. Las estructuras difieren
dependiendo del propósito, las metas y la complejidad de la organización. El riesgo
se gestiona en cada parte de la estructura de la organización. Todos los miembros
de una organización tienen la responsabilidad de gestionar el riesgo. (ALCANCE
APLICACION)
 5.- MARCO DE REFERENCIA ISO 31000:2018

5.4 Diseño

1. Comprensión organización y su contexto:

2. Articulación del compromiso con la gestión del
riesgo:

3. Asignación de roles y responsabilidades y

rendición de cuentas.
4. Asignación de recursos:

5. Comunicación y Consulta:
 5.- MARCO DE REFERENCIA ISO 31000:2018

5.5 Implementación: La organización debería

implementar el marco de referencia de la gestión del
riesgo mediante:

-el desarrollo de un plan apropiado incluyendo plazos y

recursos;
-la identificación de dónde, cuándo, cómo y quién toma
diferentes tipos de decisiones
-la modificación de los procesos aplicables, cuando sea
necesario;
- el aseguramiento de que las disposiciones son
comprendidas y puestas en práctica.
 5.- MARCO DE REFERENCIA ISO 31000:2018

5.6 Valoración: Para valorar la eficacia del marco

de referencia se debería:

-medir periódicamente el desempeño del marco

de referencia de la gestión riesgo con relación a
su propósito, sus planes para la implementación,
sus indicadores y el comportamiento esperado;
- determinar si permanece idóneo para apoyar
el logro de los objetivos.
 5.- MARCO DE REFERENCIA ISO 31000:2018

5.7 Mejora Continua: La organización

debería hacer seguimiento y adaptar
el marco de referencia de la gestión
del riesgo en base de los cambios
externos e internos .
 Propuesta Ficha Indicador Equipos de
laboratorio UNE 66175

Seguimiento y Trazabilidad
Característica: Efectividad resultados
Equipos
mediciones equipos 20
Indicador: Nivel atención de mejoras 15
10
establecidas 5
Formula: numero mejoras atendidas/numero 0

Febrero
Marzo

Mayo
Abril

Junio
Julio
Agosto

Noviembre
Octubre
Enero

Septiembre

Diciembre
mejoras solicitadas
Medida: %
Meta: 100%
Umbral: 95%-100%
Riesgo: < = 95% Resultado
Periodicidad: Anual
Responsables: Jefe Proceso Laboratorio;
Provisión externa
Representación Grafica: seleccionar técnica Desempeño-
estadística Meta 100%

www.icea.com.ec
 6.- PROCESO DE GESTIÓN DE RIESGOS
ISO 31000:2018

6.1 Generalidades: El proceso de la

gestión del riesgo implica la aplicación
sistemática de políticas, procedimientos y
prácticas a las actividades de
comunicación y consulta, establecimiento
del contexto y evaluación, tratamiento,
seguimiento, revisión, registro e informe
del riesgo.

www.icea.com.ec
6.- PROCESO DE GESTIÓN DE RIESGOS
ISO 31000:2018
 6.- PROCESO DE GESTIÓN DE RIESGOS
ISO 31000:2018

6.2 comunicación y Consulta : El propósito de la

comunicación y consulta es asistir a las partes
interesadas pertinentes a comprender el riesgo,
las bases con las que se toman decisiones y las
razones por las que son necesarias acciones
específicas.

La comunicación busca promover la toma de

conciencia y la comprensión del riesgo, mientras
que la consulta implica obtener retroalimentación
e información para apoyar la toma de decisiones.

www.icea.com.ec
 6.3 ALCANCE, CONTEXTO Y CRITERIOS

1.Generalidades: El propósito del alcance, contexto y criterios es adaptar el

proceso de la gestión del riesgo, para permitir una evaluación del riesgo eficaz
y un tratamiento apropiado del riesgo; implican definir el alcance del proceso,
y comprender los contextos externo e interno.

2.Definición del alcance: La organización debería definir el alcance de sus

actividades de gestión del riesgo. El proceso de la gestión del riesgo puede
aplicarse a niveles distintos (por ejemplo: estratégico, operacional, de
programa, de proyecto u otras actividades), es importante tener su
alineamiento con los objetivos de la organización.

3.Contexto externo e interno: Los contextos externo e interno son el entorno

en el cual la organización busca definir y lograr sus objetivos, para ello
debería considerar: la gestión del riesgo tiene lugar en el contexto de los
objetivos y las actividades de la organización; los factores organizacionales
pueden ser una fuente de riesgo; el propósito y alcance puede estar
interrelacionado con los objetivos de la organización.
 6.3 ALCANCE, CONTEXTO Y CRITERIOS

6.3.4 Definición de los criterios del Riesgo: Para establecer

los criterios del riesgo, se debería considerar lo siguiente:

-la naturaleza y los tipos de las incertidumbres que pueden

afectar a los resultados y objetivos (tanto tangibles como
intangibles);
-cómo se van a definir y medir las consecuencias (tanto
positivas como negativas) y la probabilidad;
-los factores relacionados con el tiempo; la coherencia en el
uso de las mediciones;
-cómo se va a determinar el nivel de riesgo;
-cómo se tendrán en cuenta las combinaciones y las
secuencias de múltiples riesgos;
-la capacidad de la organización.
 6.4 EVALUACION DEL RIESGO

1.Generalidades: La evaluación del riesgo es el proceso global de

identificación del riesgo, análisis del riesgo y valoración del riesgo, y se lo
debería llevar a cabo de manera sistémica.

2.Identificación del Riesgo: El propósito de la identificación del riesgo es

encontrar, reconocer y describir los riesgos que pueden ayudar o
impedir a una organización lograr sus objetivos. Para la identificación de
los riesgos es importante contar con información pertinente, apropiada y
actualizada.

3.Análisis del Riesgo : El propósito del análisis del riesgo es comprender la

naturaleza del riesgo y sus características incluyendo, cuando sea
apropiado, el nivel del riesgo. El análisis del riesgo implica una
consideración detallada de incertidumbres, fuentes de riesgo,
consecuencias, probabilidades, eventos, escenarios, controles y su eficacia.

Las técnicas de análisis pueden ser cualitativas, cuantitativas o una

cowmbwinwac.iiócneade.céostmas.,edcependiendode las circunstancias y del uso previsto.
 6.4 EVALUACION DEL RIESGO

6.4.4 Valoración del Riesgo: El propósito de la valoración del riesgo es

apoyar a la toma de decisiones. La valoración del riesgo implica
comparar los resultados del análisis del riesgo con los criterios del
riesgo establecidos para determinar cuándo se requiere una acción
adicional.

Esto puede conducir a una decisión de:

- no hacer nada más;

- considerar opciones para el tratamiento del riesgo;
- realizar un análisis adicional para comprender mejor el riesgo;
- mantener los controles existentes;
- reconsiderar los objetivos.

Los resultados de la valoración del riesgo se deberían registrar,

comunicar y luego validar a los niveles apropiados de la organización
www.icea.com.ec
 6.5 TRATAMIENTO DEL RIESGO

6.5.1 Generalidades : El propósito del tratamiento del

riesgo es seleccionar e implementar opciones para
abordar el riesgo.

El tratamiento del riesgo implica un proceso iterativo de:

 formular y seleccionar opciones para el tratamiento del
riesgo;
 planificar e implementar el tratamiento del riesgo;
 evaluar la eficacia de ese tratamiento;
 decidir si el riesgo residual es aceptable;
 si no es aceptable, efectuar tratamiento adicional.

www.icea.com.ec
 6.5 TRATAMIENTO DEL RIESGO

6.5.2 Selecciones de opciones para el tratamiento: Las opciones para tratar

el riesgo pueden implicar una o más de las siguientes:

-evitar el riesgo decidiendo no iniciar o continuar con la actividad que

genera el riesgo;
-aceptar o aumentar el riesgo en busca de una oportunidad; eliminar la
fuente de riesgo;
- modificar la probabilidad;
-modificar las consecuencias compartir el riesgo (por ejemplo: a través de
contratos, compra de seguros);
- retener el riesgo con base en una decisión informada.

La justificación para el tratamiento del riesgo es más amplia que las simples
consideraciones económicas y debería tener en cuenta todas las
obligaciones de la organización, los compromisos voluntarios y los puntos de
vista de las partes interesadas.

www.icea.com.ec
 6.5 TRATAMIENTO DEL RIESGO/ 6.6
SEGUIMIENTO/ 6.7 REGISTRO

6.5.3 Preparación e implementación de los planes de tratamiento : El

propósito de los planes de tratamiento del riesgo es especificar la manera
en la que se implementarán las opciones elegidas para el tratamiento,
de manera tal que los involucrados comprendan las disposiciones, y que
pueda realizarse el seguimiento del avance respecto de lo planificado.

6.Seguimiento y Revisión: El propósito del seguimiento y la revisión es

asegurar y mejorar la calidad y la eficacia del diseño, la implementación y
los resultados del proceso . Los resultados del seguimiento y la revisión
deberían incorporarse a todas las actividades de la gestión del
desempeño, de medición y de informe de la organización.

7.Registro e Informe: El proceso de la gestión del riesgo y sus

resultados se deberían documentar e informar a través de los
mecanismos apropiados.

www.icea.com.ec