HISTORIA DE LA ISO 31000

La tecnificación y La Gestión de La asimilación del

modernización de Riesgos entró de término acabó de
ciertos procesos lleno a las completarse gracias
que hasta ese empresas. Esto se la difusión de otras
momento se habían debió a la aparición normas al respecto,

Mitad de los años 70

desarrollado de de las primeras como por ejemplo
Década de los 60

forma manual, en normas y el COSO, código

muchos sectores se estándares emitido por el

En 1991
puso de manifiesto internacionales Comité de
la necesidad de Organizaciones
realizar un mejor Sponsor, que incluía
control de las prácticas para la
actividades. gestión interna del
riesgo. 1
HISTORIA DE LA ISO 31000
PROBLEMAS
Estos estándares
y normas
internacionales
tenían dos
problemas en el
terreno práctico

Casi todos estaban

dirigidos a empresas Había una notoria
de sectores disparidad de
específicos, lo cual criterios a la hora de
reducía su impacto y desarrollarlos
extensión
HISTORIA DE LA ISO 31000

•La Organización Internacional

de Normalización (ISO) elaboró
una norma que aborda la
En el 2009

Gestión de Riesgos de forma

global (Norma ISO 31000),
donde , son las empresas las que
se acogen voluntariamente a sus
directrices en el área de Gestión
de Riesgos.
¿QUÉ ES LA ISO 31000?
Es la norma internacional para la
gestión del riesgo, que al proporcionar
principios integrales y directivas, ayuda
a las organizaciones con su análisis y
evaluación de riesgos.

Este marco de trabajo (framework)

ayuda a gestionar cualquier tipo de
riesgo en una manera transparente,
sistemática y creíble dentro de
cualquier alcance o contexto.

La norma se centra, de forma

exhaustiva, en la atención de la gestión
del riesgo, como una herramienta para
minimizar, de forma anticipada, las
posibles inseguridades que pudieran
producirse.
4
¿A QUIÉN VA DIRIGIDO?

La ISO 31000 puede aplicarse a cualquier

entidad, ya sea pública, privada,
asociación o grupo.
De todos modos, los principales
interesados serán los encargados de las
empresas que quieran garantizar y
demostrar la buena gestión del riesgo, y
un compromiso firme frente a sus
stakeholders del correcto entendimiento
y gestión del riesgo.

5
¿CUÁLES SON LOS BENEFICIOS DE LA
ISO 31000?
o Desarrollar la confianza de las partes interesadas en el uso de sus técnicas de
riesgo.

o Ventaja Competitiva, mejorando la gestión de riesgos contribuirá a cumplir las

metas y objetivos.

o Al ser iterativa, asiste a las organizaciones a establecer su estrategia y en el

proceso de toma de decisiones.

o Mejorar el desempeño y la fiabilidad del sistema de gestión

o Proporciona un enfoque común para gestionar cualquier tipo de riesgo y no es

específico de una industria o un sector.

o Permite ver las amenazas y oportunidades que aparecen en el sector.

o Mejoran los controles internos, tanto desde el punto de vista operacional

como financiero, esto permite aumentar la capacidad de resistencia de la
empresa frente a la competencia y los altibajos del mercado.

6
 GESTIÓN DE RIESGO
Son todas aquellas acciones
coordinadas para dirigir y
controlar los riesgos a los que
puedan estar abocadas las
organizaciones. Donde su
objetivo es trazar un marco de
RIESGO acción para saber qué aspectos
gestionar y cómo hacerlo
Efecto de la incertidumbre sobre los
objetivos. Es decir, que cuando no se
sabe a ciencia cierta que es lo que
puede pasar en el desarrollo de un
proyecto o en la ejecución de un
proceso, se dice que existe un riesgo.
• Un efecto es una desviación PARTE INTERESADA
respecto a lo previsto. Puede ser
positivo, negativo o ambos, y puede
abordar, crear o resultar en
oportunidades y amenazas. Persona u organización que puede
• Los objetivos pueden tener diferentes afectar, verse afectada, o percibirse
aspectos y categorías, y se pueden como afectada por una decisión o
aplicar a diferentes niveles.
actividad
• Con frecuencia, el riesgo se expresa
en términos de fuentes de riesgo ,
eventos potenciales, sus consecuencias
y sus probabilidades .

PROBABILIDAD
Oportunidad de que algo
suceda, esté definido o no,
medido o determinado de
forma objetiva o subjetiva, de
modo cuantitativo o cualitativo.
CONTROL
Medida que mantiene y/o modifica
un riesgo.
En otras palabras, es un conjunto
de actividades orientadas a
preservar la integridad de los
bienes de la empresa, y evitar que
se produzcan siniestros.
EVENTO
Ocurrencia o cambio de un
conjunto particular de
circunstancias, donde puede
tener una o más ocurrencias y
puede tener varias causas y
consecuencias.
CONSECUENCIA
Resultado de un evento que afecta
los objetivos. Una consecuencia
puede ser cierta o incierta y puede
tener efectos positivos o negativos,
directos o indirectos en los
objetivos.
Así mismo las consecuencias se
pueden expresar de manera
cualitativa o cuantitativa.
 ISO 31000:2018
La gestión de riesgos se basa en :
Principios, el marco de
referenciayelproceso
Estos 3 componentes
podrían existir
previamente en toda o
parte de la organización,
sin embargo, podría ser
necesario adaptarlos o
mejorarlos para que la
gestión del riesgo sea
eficiente, eficaz y
coherente.
PRINCIPIOS

Los principios proporcionan orientación sobre las

características de una gestión del riesgo eficaz y
eficiente, comunicando su valor y explicando su
intención y propósito. En otras palabras, se desea
saber a donde quiere llegar con la gestión de
riesgos
Los principios son el fundamento de la gestión de
riesgos, y se deberían considerar cuando se
establecen el marco de referencia y los procesos
de la gestión de riesgos en la organización.

10
PRINCIPIOS
Para que la gestión de riesgos sea eficaz, requiere los 8 principios. Donde se explicará
como se deben seguir.

Integrado Estructurado y exhaustiva

La gestión de riesgos es una Un enfoque estructurado e integral de la

parte integral de todas las gestión de riesgos que contribuye a la
actividades de la empresa. coherencia y a los resultados comparables.

Adaptada Inclusiva
El marco y el proceso de La participación adecuada y oportuna de las
gestión de riesgos son partes interesadas permite su conocimiento,
personalizados y puntos de vista y percepciones a considerar.
proporcionales al contexto Esto se traduce en una mejor conciencia y
externo e interno de la una gestión de riesgos informada
organización relacionado con
sus objetivos.

11

FIRSTUP
CONSULTANTS
 Dinámica Mejor información disponible

Los riesgos pueden surgir, cambiar o Las aportaciones a la gestión de riesgos se

desaparecer a medida que cambia el
contexto externo o interno de la
empresa. La gestión de riesgos
anticipa, detecta, reconoce y responde
a los cambios y efecto de una forma
apropiada y oportuna.
basan en información histórica y actual, así
como en el futuro. La gestión de riesgos tiene
en cuenta cualquier limitación e
incertidumbre asociada a la información y
expectativas. La información debe ser
oportuna, clara y disponible para las partes
interesadas relevantes.

Factores humanos y culturales

Mejora continua
El comportamiento humano y la
cultura influyen de forma
La gestión del riesgo se mejora de forma
significativa en todos los aspectos
continua mediante el aprendizaje y la
de la gestión del riesgo en cada nivel
experiencia.
o etapa.

12

FIRSTUP
CONSULTANTS
MARCO DE REFERENCIA

OBJETIVO COMPONENTES

• El propósito del marco de gestión • El desarrollo del marco de

de riesgos es ayudar a la referencia abarca la integración, el
organización en integrar los riesgos diseño, la implementación, la
en todas sus actividades y funciones evaluación y la mejora gestión de
significativas.Asi mismo, brinda los
riesgos en toda la empresa.
medios para lograr los objetivos de
la gestión de riesgos. • La manera en que trabajan juntos
estos componentes, deberían
• Es por ello, que la eficacia de la
adaptarse a las necesidades de la
gestión de riesgo dependerá de la
organización.
integración en la organización.

• Así mismo, se requerirá el apoyo

de todas las partes interesadas, en
particular de la alta dirección.

Add a Footer 13
Liderazgo y compromiso

• La alta dirección debe demostrar

liderazgo y compromiso asegurando que
la gestión del riesgo está integrada en
todas las actividades de la organización.
• En otras palabras, la norma refuerza el
liderazgo de la dirección en el sistema de • Esto ayudará a la organización en:

gestión, dándole un enfoque de arriba
hacia abajo. Por tanto se trata de “crear
valor”, de utilizar la gestión de los riesgos
como herramienta de seguimiento y
control y como apoyo en la toma de
decisiones con base al establecimiento
claro de los objetivos estratégicos de la
organización, que incluyen los objetivos
de gestión de estos riesgos.
Jens Martensson
 Alinear la gestión del riesgo con los
objetivos de la organización, su estrategia y
cultura.
 Comunicar el valor de la gestión del riesgo
a la organización y sus partes interesadas.
 Promover el seguimiento a los riesgos.
 Asegurar que los recursos necesarios se
asignen para gestionar los riesgos.

14
COMPONENTES
Integración Diseño
• El riesgo se gestiona en cada parte de la 1. La organización debe comprender sus
estructura de la organización, donde contextos internos y externos cuando se
todos los miembros de la organización diseñe el marco de referencia.
tienen la responsabilidad de gestionar el
riesgo. 2. La alta dirección debe demostrar su
• La gobernanza guía el curso de la compromiso continuo con la gestión de
organización para alcanzar su propósito. riesgos.
Es por ello que, la determinación de los 3. Asignación de roles, autoridades,
roles para la rendición de cuentas y la responsabilidades y obligación de rendir
supervisión de la gestión del riesgo son cuentas.
partes integrales.
• La integración es un proceso dinámico e 4. Asignar recursos, ya sea personas,
iterativo. procesos, procedimientos, etc.
5. Establecer la comunicación y la consulta
Implementación para facilitar la aplicación eficaz de la
gestión de riesgo.
• La organización deberá implementar el
desarrollo de un plan apropiado
Valoración
incluyendo plazos y recursos. • Se debe medir periódicamente el desempeño del
marco de referencia de la gestión del riesgo con
• Se debe identificar de dónde, cuándo,
relación a su propósito, sus planes para la
cómo y quién toma decisiones en la
implementación, sus indicadores y el
organización. 15
comportamiento esperado.
• Para que la implementación del marco
• Determinar si el marco de referencia permanece
sea exitosa, requiere el compromiso de
idóneo para apoyar el logro de los objetivos de la FIRSTUP
las partes interesadas.
organización. CONSULTANTS
COMPONENTES

MEJORA

•Se debe realizar un seguimiento continuo

ya que puedes existir cambios internos o
externos.
• La organización debería mejorar
continuamente la idoneidad, adecuación y
eficacia del marco de referencia de la
gestión del riesgo y la manera en la que se
integra el proceso de la gestión del riesgo

16

FIRSTUP
CONSULTANTS
 PROCESO
• El proceso de la gestión del riesgo implica la aplicación sistemática de
políticas, procedimientos y prácticas a las actividades de comunicación
y consulta, establecimiento del contexto y evaluación, tratamiento,
seguimiento, revisión, registro e informe del riesgo.

• La norma ISO 31000:2018 recomienda un proceso, paso a paso, para la

gestión efectiva de riesgos.

• El proceso, puede aplicarse a nivel estratégico, operacional, de

programa o de proyecto.

• Así mismo, este componente implica lo que la organización debe

realizar para tener éxito.

17
COMPONENTES
Comunicación y consulta
• El propósito de la comunicación y consulta es asistir a las
partes interesadas pertinentes externas e internas, a
comprender el riesgo, las bases con las que se toman
decisiones y las razones por las que son necesarias
acciones específicas.
• La comunicación busca promover la toma de conciencia
del riesgo en la empresa.Por otro lado, la consulta implica
obtener la retroalimentación para apoyar la toma de
decisiones.

Alcance, contexto y criterios

• El propósito es adaptar el proceso de la gestión del riesgo, para

permitir una evaluación del riesgo eficaz y un tratamiento
apropiado del riesgo. Así mismo, implican definir el alcance del
proceso, y comprender los contextos externo e interno.

18

FIRSTUP
CONSULTANTS
 ALCANCE
ALCANCE,CONTEXTO
Y CRITERIOS La organización debe definir el
alcance de sus actividades de
gestión de Riesgo y que se
puedan aplicar a niveles
distintos.
Pero para poder planificar el
alcance, implica considerar:
• Decisiones que deben
tomarse y objetivos que se
persiguen.
• Resultados que se espera
obtener de la gestión de
riesgos.
• Herramientas disponibles
para la evaluación de riesgos.
• Recursos disponibles,
responsabilidades asignadas.
• Relación de la gestión de
riesgos con otros sistemas,
proceso, proyectos o interno o externo y los
actividades.
CONTEXTO
El contexto de la organización, es el
entorno en el que se mueve la
organización y en el que trabaja
para alcanzar sus metas.
Para comprender el contexto es
importante conocer los factores
que afectan las actividades de la
organización, al interior de sus
instalaciones, pero también en el
exterior.
¿Porqué es importante?
1. Porque la gestión de riesgos
se produce precisamente
dentro de la organización.
2. Porque los factores que
conforman el contexto
pueden ser fuente de riesgos.
3. Porque puede existir una
relación entre los factores
que conforman el contexto
objetivos de la organización,
por ello es necesario
analizarlos en su conjunto
como un todo.
ALCANCE,CONTEXTO CRITERIOS
Y CRITERIOS
• La empresa debe especificar que tipo de riesgo puede
asumir con relación a sus objetivos.
• Definir los criterios de riesgo implica valorar la importancia
del riesgo y apoyar en la toma de decisiones.
• Los criterios de riesgo deben estar alineados con el marco
de gestión de riesgos y deben reflejar los valores, objetivos y
recursos de la organización. Así mismo, ser coherentes con
la política y la declaración sobre gestión de riesgos hechas
por la organización.
• Los criterios de riesgo, son una actividad dinámica que debe
ser revisada y modificada en forma continua.
• Para establecer los criterios de riesgo, se debe considerar:
 La naturaleza y el tipo de riesgo, sea tangible o intangible.

 Cómo se van a definir y medir las consecuencias (tanto

positivas como negativas) y la probabilidad.
 El tiempo y la ubicación.

 La forma en que se determina el nivel de riesgo.

 La capacidad de la organización.
COMPONENTES
Evaluación del riesgo
Es el proceso global de identificación del riesgo, análisis del riesgo y valoración del riesgo, de la cuál,
se debería llevar a cabo de manera sistemática, iterativa y colaborativa, basándose en el conocimiento y
los puntos de vista de las partes interesadas. Así mismo, se debería utilizar la mejor información
disponible, complementada por una investigación.

Análisis del
• El propósito es encontrar, riesgo
reconocer y describir los • El propósito es apoyar a
riesgos que pueden ayudar la toma de decisiones,
o impedir a una donde compara los
organización lograr sus • El propósito es comprender la resultados del análisis
objetivos. naturaleza y el nivel del riesgo. del riesgo con los
• Para la identificación de • El análisis implica considerar criterios establecidos
los riesgos, es necesario detalladamente los siniestros, para verificar si se
contar con información consecuencias, probabilidad e requiere de una acción
pertinente y actualizada. impacto. adicional.
• La organización puede • El análisis del riesgo
proporciona una entrada para la • Los resultados de la
utilizar diferentes técnicas valoración del riesgo se
para descubrir siniestros. valoración del riesgo, para las
decisiones sobre la manera de deberían registrar,
• Se deben considerar las tratar los riesgos y si es comunicar y validar los
amenazas, oportunidades, necesario, hacerlo y sobre la niveles apropiados para
vulnerabilidades y estrategia y los métodos más la organización.
capacidades. apropiados de tratamiento del
21
riesgo. Valoración del
Identificación
del riesgo riesgo
FIRSTUP
CONSULTANTS
COMPONENTES
Tratamiento del riesgo
• El propósito es seleccionar e implementar opciones para
abordar el riesgo. De la cual, para seleccionar las
opciones más apropiadas para tratar el riesgo, es hacer un
balance entre los beneficios potenciales(derivados de los
logros de los objetivos) contra los costos o desventajas de
la implementación.
• Se debe planificar e implementar el tratamiento del riesgos
y evaluar la eficacia del mísmo. Así mismo, decidir si el
riesgos residual es acceptable, sino se debe efectuar un
tratamiento adicional.

Seguimiento y revisión

• El propósito es asegurar y mejorar la calidad y eficacia del

diseño, implementación y resultados del proceso.
• Por otro lado, el seguimiento continuo y la revisión periódica del
proceso de la gestión del riesgo y sus resultados debería ser una
parte planificada del proceso de la gestión del riesgo, con
22
responsabilidades claramente definidas.
• El seguimiento y la revisión deberían tener lugar en todas etapas
del proceso. FIRSTUP
CONSULTANTS
COMPONENTES
Registro e informe

El proceso de la gestión del riesgo y sus resultados se deberían documentar e informar a través de los
mecanismos apropiados. El registro e informe pretenden:
 Comunicar las actividades de la gestión del riesgo y sus resultados a lo largo de la organización
 Proporcionar información para la toma de decisiones
 Mejorar las actividades de la gestión del riesgo;
 Asistir la interacción con las partes interesadas, incluyendo a las personas que tienen la
responsabilidad y la obligación de rendir cuentas de las actividades de la gestión del riesgo.

23

FIRSTUP
CONSULTANTS
 TÉCNICAS

CHECK-LISTS:
Se trata de una manera simple de identificar los riesgos.
Esta técnica proporciona una lista de las incertidumbres
típicas a considerar. Los usuarios se refieren a una lista
previamente desarrollada, códigos o normas.

YOUR COMPANY NAME 24

TÉCNICAS

ANÁLISIS DE ÁRBOL DE FALLAS:

Esta técnica se inicia con un evento no deseado y determina todas las maneras en las que podría ocurrir.
Estos eventos se muestran gráficamente en un diagrama de árbol lógico. Una vez que el árbol de fallas se ha
desarrollado, debe considerarse la posibilidad de formas de reducir o eliminar las posibles causas/fuentes.

25
TÉCNICAS

DIAGRAMA CAUSA-EFECTO:
Un efecto puede tener un número de factores que se pueden agrupar en distintas categorías. Estos factores
se identifican a menudo a través del intercambio de ideas y se muestran en una estructura de “espina de
pescado”. Permite conocer la raíz del problema y cuellos de botella en procesos.

26
TÉCNICAS

ANÁLISIS FUNCIONAL DE OPERATIVIDAD (HAZOP):

Se trata de un proceso general de identificación de riesgos para definir posibles desviaciones del rendimiento
esperado o deseado. Se utiliza para detectar situaciones de inseguridad en plantas industriales, debido a la
operación o a los procesos productivos.
ANÁLISIS DE CAPAS DE PROTECCIÓN (LOPA).
Permite la evaluación de controles, así como su eficacia.

27
VIDEOS
1 https://www.youtube.com/watc
h?v=quzO5QPxevs

2 https://www.youtube.com/watc
h?v=oHshLwSWJiY

3 https://www.youtube.com/watc
h?v=A4Uiz3S-eYo
CONCLUSIONES:

• Las organizaciones que manejan riesgos de manera eficiente tienen más

probabilidades de protegerse a sí mismas y de hacer crecer su organización. El
desafío para cualquier organización es integrar las buenas prácticas en sus
operaciones diarias y aplicarlas a aspectos más amplios de su práctica
organizativa.
• La ISO 31000 tiene como objetivo principal ayudar a la organización a integrar la
gestión de riesgos en sus actividades, donde su efectividad dependerá de su
integración en las actividades de la gobernanza de la organización.
• Implementar la ISO 31000 trae muchas ventajas para la organización, como por
ejemplo, incrementar la credibilidad y prestigio. Asi mismo, brinda seguridad y
confianza a sus interesados y aumenta la eficacia en respuesta a las situaciones de
emergencia.
• La gestión del riesgos toma en consideración el contexto interno y externo de una
organización, incluyendo el comportamiento humano.

FIRSTUP
CONSULTANTS 29
 BIBLIOGRAFÍA
• http://www.foncodes.gob.pe/portal/index.php/convo
catorias-a-myperu/archivos-pdf-sci/1387-
capacitacion-sistema-gestion-de-riesgos-iso-31000-
aenor-franco-gamboni-30-05-a-11-06-2018/file
• HTTPS://WWW.THEIRM.ORG/MEDIA/3513119/IRM-
REPORT-ISO-31000-2018- V3.PDF
• HTTPS://STATSWIKI.UNECE.ORG/DISPLAY/GORM/1.5
+ADOPTING+AN+INTEGRAT
ED+RISK+APPROACH+CONNECTED+TO+STATISTICAL+
QUALITY+MANAGEMENT
• HTTPS://WWW.ISO.ORG/FILES/LIVE/SITES/ISOORG/FIL
ES/STORE/EN/PUB100426.PD F
• HTTP://WWW.ABA.ORG.DO/IMAGES/CIFA2018/ENTR
EGA_CARLOS_RESTREPO. PDF
• https://igpperu.com/iso-31000/
• http://ocacert.com/certificacionISO31000.php
• https://www.bsigroup.com/es-PE/gestion-de-
riesgo-iso-31000-/
• http://www.worldcomplianceassociation.com/1512/
articulo-la-nueva-version-de-la-norma-iso-
310002018-gestion-de-riesgos-aplicada-a-sistemas-
de-prevencion-de-lavado-de-activos-y-
financiamiento-del-terrorismo.html

30