2. Introducción
• La Gestión de Riesgos en las empresas nace
en la década de los 60. Ante la tecnificación y
modernización de ciertos procesos que hasta
ese momento se habían desarrollado de
forma manual, en muchos sectores se puso de
manifiesto la necesidad de realizar un mejor
control de las actividades. La tecnología
supuso mayor agilidad y calidad, pero a la vez
nuevos retos de control y seguimiento.
3. Introducción
• En los años 70 aparecen de las primeras
normas y estándares internacionales. Como el
código de seguridad nuclear que hizo público
la US Nuclear Regulatory Comission, el cual
intentaba minimizar los riesgos a los que
estaba expuesto el sector nuclear
estadounidense.
4. Introducción
• Otras normas, como por ejemplo el COSO, código
emitido por el Comité de Organizaciones Sponsor en
1991 y que incluía prácticas para la gestión interna
del riesgo.
• Dos años más tarde, Australia y Nueva Zelanda
publicaron la norma AS/NZ 4360 sobre el riesgo en
sus empresas públicas, mientras en 2002 el Instituto
Británico de Gestión de Riesgos hizo público el
estándar IRM.
5. Introducción
• Estos estándares y normas internacionales
tenían dos problemas : el primero, que casi
todos estaban dirigidos a empresas de
sectores específicos, lo cual reducía su
impacto y extensión; y el segundo, que había
una notoria disparidad de criterios a la hora
de desarrollarlos.
6. Introducción
• Estos dos problemas llevaron a la
Organización Internacional de Normalización
(ISO) a elaborar una norma que abordara la
Gestión de Riesgos de forma global,
necesidad que en 2009 dio origen a la norma
ISO 31000. Sin embargo, pese a su alcance
genérico, es una norma no certificable; son las
empresas las que se acogen voluntariamente a
sus directrices en el área de Gestión de
Riesgos.
7. Introducción
• La norma ISO 31000 sirve de referencia para
otros estándares sobre Gestión de Riesgos.
Además, complementa la información de
diversas normativas en el plano local,
regional, nacional o incluso continental.
8. Introducción
• El día 14 de febrero de 2018 se publicó la nueva
norma ISO 31000 2018 “Gestión del riesgo. Principios
y directrices”, que sustituye a la versión de 2009.
• El comité técnico ISO/TC 262 Risk Management ha
estado desde 2014 trabajado para confeccionar la
nueva ISO 31000:2018.
• Con esta nueva versión de la norma ISO 31000, se
busca alinear los requisitos con las normas ISO 9001
2015 , ISO 14001 2015, y ISO 45001 2018
9.
10. Introducción
• La norma ISO 31000:2018 sirve de referencia para
otros estándares sobre Gestión de Riesgos.
Además, complementa la información de diversas
normativas en el plano local, regional, nacional o
incluso continental.
• La nueva versión se enfoca en la gestión del riesgo
en las organizaciones y ayudar a establecer todos
los objetivos alcanzables, tomando decisiones
basadas en hechos.
11. Introducción
• La norma ISO 31000:2018 se encuentra dirigida a las
personas que protegen el valor de la organización
utilizando la gestión de riesgos, la toma de
decisiones, el establecimiento y la consecución de
objetivos, además de mejorar el rendimiento.
12. Introducción
• La revisión se ha realizado para conseguir que la
gestión de riesgos sea mas sencilla y clara.
• Esto se consigue utilizando un lenguaje simple para
expresar los fundamentos de la gestión de riesgos de
una forma mucho más coherente y comprensible
para los usuarios.
13. Introducción
• La principal tarea que tuvieron que llevar a cabo
durante la revisión, es conseguir una adecuada
orientación.
• Se debe tener él cuenta, que el texto se ha reducido
a los conceptos fundamentales, por lo que nos
encontramos con un documento mucho más breve,
más claro y más conciso que sea mucho más fácil de
leer y que se ampliamente aplicable. Se ofrecen
mucho más detalles e información.
14. Introducción
• La norma ISO 31000:2018 sólo cuenta con los
conceptos básicos y pasa ciertos conceptos a la guía
ISO 73 “Gestión de riesgos. Vocabulario”, que trata
de forma específica la terminología de gestión de
riesgos y se encuentra destinado para ser leído junto
a la norma ISO 31000:2018
15. 3.1 riesgo
efecto de la incertidumbre sobre los
objetivos
Norma ISO 31000: 2018
• Nota 1 a la entrada: Un efecto es una desviación respecto a lo
previsto. Puede ser positivo, negativo o ambos, y puede
abordar, crear o resultar en oportunidades y amenazas.
• Nota 2 a la entrada: Los objetivos pueden tener diferentes
aspectos y categorías, y se pueden aplicar a diferentes niveles.
• Nota 3 a la entrada: Con frecuencia, el riesgo se expresa en
términos de fuentes de riesgo (3.4), eventos (3.5) potenciales,
sus consecuencias (3.6) y sus probabilidades (3.7).
16. 3.1 Riesgo
“Efecto de la incertidumbre”
es el estado, incluso parcial,
de deficiencia de información
relacionada con la comprensión
o conocimiento de un evento,
su consecuencia o su probabilidad
DESVIACION
DE LO ESPERADO
Término común y definición esencial para las normas de sistemas de gestión que se proporcionan en Anexo SL de Directivas
ISO/IEC
17. Definición del riesgo en una
Organización y sus principales tipos
• Toda actividad en una Organización lleva implícito un
riesgo.
• Algunas en mayor medida que otras, pero ninguna se
encuentra exenta.
• El riesgo es parte de cualquier área de negocio, pues
en cierta forma lo define y ayuda a ponerle límites.
• En el plano corporativo, el riesgo se entiende como
la incertidumbre que surge durante la consecución
de un objetivo.
18. Definición del riesgo en una
Organización y sus principales tipos
• Al concepto también se le asocia a toda
probabilidad de pérdida. Otros sinónimos con
los que suele guardar una relación directa son
los de peligro, amenaza, perjuicio o daño.
19. Definición del riesgo en una
Organización y sus principales tipos
Existen ciertas características esenciales que
definen a los Riesgos como tal:
• Debe estar asociado, de alguna manera, a la
actividad de una Organización .
• Son complejos, no tienen una solución
inmediata.
• Su impacto debe ser significativo.
• Entorpecen, obstaculizan, dificultan o
postergan procesos.
20. Definición del riesgo en una
Organización y sus principales tipos
Principales tipos de riesgos
Según el tipo de actividad
Riesgo sistemático: Se refiere a aquellos riesgos que estén
presentes en un sistema económico o en un mercado en
su conjunto., por ejemplo, las crisis económicas de gran
envergadura. También pueden ser originados por
accidentes, guerras o desastres naturales.
Riesgo no sistemático: Son los riesgos que se derivan de la
gestión financiera y administrativa de cada empresa. Las
crisis internas o un plan de crecimiento mal implementado
son algunos ejemplos.
21. Definición del riesgo en una
Organización y sus principales tipos
Principales tipos de riesgos
Según su naturaleza
Es la manera más extendida a la hora de clasificarlos
• Riesgos financieros: Son todos aquellos relacionados con la
gestión financiera: movimientos, transacciones y inversión,
diversificación, expansión, financiación.
En esta categoría es posible distinguir algunos tipos:
• Riesgo de crédito.
• Riesgo de tasas de interés.
• Riesgo de mercado.
• Riesgo gestión.
• Riesgo de liquidez.
• Riesgo de cambio
22. Definición del riesgo en una
Organización y sus principales tipos
Según su naturaleza
• Riesgos económicos: En este caso, se refiere a los riesgos
asociados a la actividad económica, ya sean de tipo interno o
externo. En el primer caso, hablamos de las pérdidas que
puede sufrir una organización debido a decisiones tomadas en
su interior.
En el segundo, son eventos cuyo origen es externo. El riesgo
económico afecta básicamente a los beneficios monetarios
de las organizaciones, mientras que los financieros tienen que
ver con todos los bienes que tengan las organizaciones a su
disposición.
23. Definición del riesgo en una
Organización y sus principales tipos
Según su naturaleza
• Riesgos ambientales:
• Son aquellos a los que están expuestas las Organizaciones
cuando el entorno en el que operan es especialmente hostil o
puede llegar a serlo.
Tienen dos causas básicas: naturales o sociales.
• En el primer grupo podemos mencionar elementos como la
temperatura, la altitud, la presión atmosférica, las fallas
geológicas, entre otros. En el segundo, cuestiones como los
niveles de violencia y la desigualdad. Son riesgos que no
dependen de las empresas y que su gestión requiere de
planes preventivos más eficaces.
24. Definición del riesgo en una
Organización y sus principales tipos
Según su naturaleza
• Riesgos políticos:
• Este riesgo puede derivarse de cualquier circunstancia política
del entorno en el que operen las Organizaciones.
Hay de dos tipos: gubernamentales, legales y extralegales.
• En el primer caso se engloban todos aquellos que son el
resultado de acciones que han sido llevadas a cabo por las
instituciones del lugar, por ejemplo un cambio de gobierno o
una modificación en las políticas comerciales.
• En el segundo caso, se sitúan actos al margen de la ley como
acciones terroristas, revoluciones o sabotajes.
25. Definición del riesgo en una
Organización y sus principales tipos
Según su naturaleza
• Riesgos legales:
• Se refiere a los obstáculos legales o normativos que
pueden obstaculizar el rol de una Organización en un
sitio determinado. Por ejemplo, en algunos países
operan leyes restrictivas en el mercado que limitan la
acción de ciertas compañías. Estos riesgos van
generalmente ligados a los de carácter político.
26. Definición del riesgo en una
Organización y sus principales tipos
La naturaleza de los riesgos en una Organización suele
distinguirse entre riesgos puros y riesgos
especulativos.
El riesgo puro es aquél del que sólo puede derivarse un
daño en caso de ocurrencia y, por tanto, una
pérdida económica.
En el riesgo especulativo existe la incertidumbre,
respecto al propio suceso, de que pudiera producirse
indistintamente un beneficio o una pérdida.
27. Definición del riesgo en una
Organización y sus principales tipos
• Dentro de los riesgos puros, con relación a los
peligros desencadenantes de estos riesgos pueden
distinguirse tres grandes áreas:
• Riesgos personales.
• Riesgos de daños materiales sobre las
propiedades.
• Riesgos de responsabilidad civil.
28. Gestión de riesgos
• 3.2 gestión del riesgo
actividades coordinadas para dirigir y controlar la
organización con relación al riesgo
Norma ISO 31000 2018
Su objetivo es trazar un marco de acción para saber
qué aspectos gestionar y cómo hacerlo.
La gestión tiene que ver, sobre todo, con la
cuantificación de los riesgos, para lo cual es
fundamental definir dos elementos dentro de este
proceso: Consecuencia y Probabilidad
29. Gestión de riesgos
• Consecuencia: Se define la consecuencia como los
efectos o aquellos elementos que se derivan directa
o indirectamente de otros.
En este caso, se trata de evaluar los riesgos que
cumplen con la premisa de causa-efecto.
Es cierto que no siempre se pueden prever las
consecuencias de una acción o decisión, pero este
solo acto es el origen de cualquier Sistema de
Gestión de Riesgos.
30. Gestión de riesgos
• Probabilidad: Este término habla de la posibilidad de
que un hecho se produzca.
Para la Gestión de Riesgos, es fundamental que las
organizaciones contemplen la irrupción de hechos
que puedan derivarse o no de las decisiones de la
organización.
Nunca se está del todo preparado para los
acontecimientos, sobre todo si éstos provienen de
factores externos, pero el sólo hecho de pensar en su
materialización ya es un buen indicador
de la Gestión de Riesgos.
31. Metodologías de análisis de riesgos
• Dado que los riesgos no tienen el mismo origen ni la
misma naturaleza, existen varias estrategias para su
gestión.
• Sin embargo, otros factores que inciden
significativamente son el tamaño de las
organizaciones, su número de integrantes, su
estructura, la actividad y el sector en el que operan.
32. Metodologías de análisis de riesgos
• Esto ha propiciado que se desarrollen
metodologías de análisis propias de un sector
o especialidad.
• Su objetivo es la identificación, evaluación,
tratamiento y seguimiento de los riesgos
asociados a una actividad, función o proceso.
33. Metodologías de análisis de riesgos
Las metodologías de análisis de riesgos se dividen en
dos grupos principales:
a) Metodologías de gestión del riesgo:
Son aquellas que están orientadas a la identificación,
valoración y el posterior tratamiento de los riesgos
derivados de una actividad.
Entre ellas está, la norma ISO 31000. También se
encuentran otros estándares, como por ejemplo la
norma AS/NZS 4360 , el sistema APPCC (Análisis de
Peligros y Puntos Críticos de Control) y el método del
ARO (Administración del Riesgo Operacional).
34. Metodologías de análisis de riesgos
b) Metodologías de cuantificación:
En este caso, se trata de aquellas herramientas que se
enfocan exclusivamente en la cuantificación de los
riesgos.
Aplican una serie de indicadores (casi siempre de
carácter numérico) para medir el impacto que tienen
los riesgos en las organizaciones y, a partir de ese
valor, elaborar acciones coordinadas para su gestión,
tratamiento o, incluso, eliminación.
35. Metodologías de análisis de riesgos
b) Metodologías de cuantificación:
• Magerit: se trata de una metodología de análisis y
gestión de riesgos que ha sido elaborada por el
Consejo Superior de Administración de España.
• Está específicamente diseñada para las compañías
que trabajen con información digital y servicios
informático. Su función principal es evaluar cuánto
valor pone en juego una compañía en un proceso y
cómo protegerlo. También ayuda a la planificación
de tratamientos oportunos y a preparar a las
organizaciones de cara a procesos
de auditoría, certificación o acreditación.
36. Metodologías de análisis de riesgos
b) Metodologías de cuantificación:
• Delphi: es un método orientado a conocer la opinión
de expertos. En un primer momento, un grupo de
especialistas anónimos responde a un cuestionario
que elabora una organización sobre un tema
específico, en este caso la Gestión de Riesgos.
• Tras analizar los resultados, los responsables piden
su opinión a cada uno de los integrantes del grupo.
Finalmente, la empresa elabora un segundo
cuestionario, aunque éste con preguntas más
precisas y focalizadas. La idea es que al final
se elabora un texto con las conclusiones.
37. Metodologías de análisis de riesgos
Otra clasificacion es entre Métodos Cualitativos
Métodos Semi-cuantitativos y Métodos Cuantitativos
Métodos Cualitativos
Es el método de análisis de riesgos más utilizado en la toma de
decisiones en proyectos, los emprendedores se apoyan en su
juicio, experiencia e intuición para la toma de decisiones.
Se pueden utilizar cuando el nivel de riesgo sea bajo y no
justifica el tiempo y los recursos necesarios para hacer un
análisis completo.
• Brainstorming
• Cuestionario y entrevistas estructuradas
• Evaluación para grupos multidisciplinarios
• Juicio de especialistas y expertos (Técnica Delphi)
38. Metodologías de análisis de riesgos
• Métodos Semi-cuantitativos
• Se utilizan clasificaciones de palabra como alto,
medio o bajo, o descripciones más detalladas de la
probabilidad y la consecuencia.
• Estas clasificaciones se demuestran en relación con
una escala apropiada para calcular el nivel de
riesgo.
• Se debe poner atención en la escala utilizada a fin de
evitar malos entendidos o malas interpretaciones de
los resultados del cálculo.
39. Metodologías de análisis de riesgos
Métodos Cuantitativos
Se consideran métodos cuantitativos a aquellos que
permiten asignar valores de ocurrencia a los
diferentes riesgos identificados, es decir, calcular el
nivel de riesgo del proyecto.
Los métodos cuantitativos incluyen:
• Análisis de probabilidad
• Análisis de consecuencias
• Simulación computacional
40. Proceso de gestión de riesgos
Alcance, contexto y criterios
Consideraciones:
• Objetivos y las decisiones que se deben tomar
• Resultados esperados en cada etapa
• Tiempo, ubicación, inclusiones y exclusiones
• Herramientas y técnicas apropiadas para la
evaluación del riesgo
• Recursos requeridos, responsabilidades y registros
• Relaciones con otros proyectos, procesos o
actividades
41. Proceso de gestión de riesgos
Alcance, contexto y criterios
1. Definición de objetivos:
• En esta primera etapa se definen los objetivos del
proceso. Qué es lo que se busca con la
implementación del Sistema de Gestión de Riesgos y
cuál debe ser el alcance del mismo.
• La dirección de la empresa debe ser la instancia con
más alto grado de implicación en la comunicación de
los objetivos, pues de lo contrario no logrará que el
resto de niveles se comprometan del modo deseado.
• También es preciso definir un presupuesto y destinar
los recursos necesarios para la materialización del
plan de riesgos.
42. Proceso de gestión de riesgos
Alcance, contexto y criterios
2. Nombramiento de responsables:
• La dirección debe designar en la coordinación de las
labores de Gestión de Riesgos a uno o más
responsables. Esto dependerá del tamaño de cada
organización y del número de sus empleados.
• Los grupos de trabajo no deberían superar los 10
miembros. Para las empresas pequeñas, el grupo no
debe exceder los 5 miembros.
43. Proceso de gestión de riesgos
Alcance, contexto y criterios
2. Nombramiento de responsables:
• Si el personal es interno, la dirección tiene la
garantía de que conocen el área sobre el que se
realiza la evaluación. Puede recurrir a aquellos cargos
que tengan una visión más o menos global de los
procesos.
• Cuando la empresa es demasiado pequeña o no
tiene la capacidad ni la formación para llevar a cabo
estas tareas, la dirección puede apoyarse en los
servicios de una consultora.
44. Proceso de gestión de riesgos
• La implementación de un Sistema de Gestión de
Riesgos debe seguir una serie de pasos para que sea
eficaz y cumpla con los objetivos trazados al inicio.
Los pasos básicos son:
45. Proceso de gestión de riesgos
EVALUACION DE RIESGOS
VALORACION DE RIESGOS
REPORTE Y REGISTRO
46. Establecer el contexto
¿Qué hacer?
Desarrollar un enfoque basado en el riesgo adecuado al
contexto de la organización.
Las Consecuencias del proceso, producto, servicio o
sistema, no son los mismos para todas las
organizaciones.
El riesgo puede ser considerado cuantitativa o
cualitativamente.
48. (Risk assessment)
Evaluación del riesgo
IDENTIFACACION ANALISIS VALORACION
Realizar de manera sistemática, iterativa y colaborativa,
basándose en el conocimiento y los puntos de vista de las
partes interesadas este proceso tiene 3 partes
Evaluación del Riesgo
49. Evaluación del Riesgo
Como Evaluar el Riesgo?
ISO 31000 ?
Diagrama de Ishikawa?
Pareto?
Utilice la herramienta más
simple que sea apropiada
50. Identificación de los riesgos
Proceso por el que se descubren
reconocen y registran los riesgos
51. La finalidad de la identificación de los
riesgos es definir los sucesos y las
situaciones que pudiesen presentarse y
poner en riesgo los objetivos de la
organización.
53. • A través de reuniones entre los diversos
responsables, la organización debe definir cuáles son
los factores que influyen en los procesos. Y de todos
esos, priorizarlos en función del impacto que tengan.
Recordemos que en un proceso no todas las acciones
tienen el mismo grado de importancia.
Identificación de los riesgos
54. a) ¿A qué área de la organización afecta?
b) ¿Cómo la afecta?
c) ¿Qué efectos tiene sobre dicha área?
d) ¿Qué efectos tiene sobre la organización en su conjunto?
e) ¿Qué margen de maniobra otorga?
f) ¿Qué tiempo de reacción permite a la dirección?
g) ¿Qué grado de complejidad requieren sus soluciones?
h) ¿Qué consecuencias implicará el no afrontarlo?
Identificación de los riesgos
55. • Identificar fuentes de incertidumbre y predecir sus
efectos
• Qué ha sucedido en el pasado y como puede
relacionarse con el futuro
• Analizar interacciones y dependencias
Identificación de los riesgos
58. El análisis del riesgo
consiste en determinar las
consecuencias y sus
probabilidades de que estas
consecuencias puedan
ocurrir
Análisis de Riesgos
59. Análisis de Riesgos
Las causas ( una o varias)
Las fuentes del riesgo
Probabilidad de los eventos y sus consecuencias (una o varias)
Naturaleza y la magnitud de las consecuencias (una o varias)
complejidad y la interconexión
Factores relacionados con el tiempo y la volatilidad
Eficacia de los controles actuales existentes
60. • El objetivo es establecer una valoración y
priorización de los riesgos con el fin de clasificarlos.
• El análisis dependerá de la información disponible
sobre el riesgo y de su origen.
• Es necesario diseñar escalas que pueden ser
cualitativas o cuantitativas.
Análisis de Riesgos
63. Valoración De Riesgos
El propósito de la valoración del
riesgo es apoyar a la toma de
decisiones.
La valoración del riesgo implica
comparar los resultados del
análisis del riesgo con los criterios
del riesgo establecidos para
determinar cuándo se requiere una
acción adicional. Esto puede
conducir a una decisión de:
Probabilidad
Consecuencias
64. Valoración De Riesgos
• no hacer nada más;
• considerar opciones para el tratamiento del riesgo;
• realizar un análisis adicional para comprender mejor
el riesgo;
• mantener los controles existentes;
• reconsiderar los objetivos.
66. Valoración De Riesgos
• Las decisiones deberían tener en cuenta un contexto
más amplio y las consecuencias reales y percibidas
por las partes interesadas externas e internas.
• Los resultados de la valoración del riesgo se deberían
registrar, comunicar y luego validar a los niveles
apropiados de la organización.
67. Los Riesgos
que necesitan tratarse
Las prioridades en tratamiento
de los Riesgos
Como se va a realizar
el tratamiento de los Riesgos
Tratar los Riesgos
69. Tratar los Riesgos
Definición de las respuestas a los riesgos:
• La definición obedecerá a los tres pasos anteriores,
sobre todo a la identificación de los riesgos y sus
efectos en los procesos. Existen cinco estrategias
principales a la hora de gestionar un riesgo:
70. Tratar los Riesgos
Definición de las respuestas a los riesgos:
1. Supresión del riesgo:
No es lo más habitual. Esto se consigue obteniendo
información adicional, adquiriendo apoyo de
expertos, añadiendo recursos adicionales o
modificando los elementos de la planificación, entre
otros elementos.
71. Tratar los Riesgos
Definición de las respuestas a los riesgos:
2. Transferencia del riesgo:
• El riesgo es transferido a otra dependencia de la
organización o, incluso, a una segunda empresa
asociada. Se trata de un recurso muy común entre
los grupos de compañías filiales o que comparten
algún tipo de vínculo que permite esta transferencia.
Por ejemplo, cuando hablamos de responsabilidad
solidaria, una empresa puede asumir las deudas de
otra que es parte del conglomerado que las integra a
las dos. El riesgo no se anula; sólo se redirecciona.
72. Tratar los Riesgos
Definición de las respuestas a los riesgos:
3. Mitigación del riesgo:
• Es una estrategia de gestión de riesgos que consiste
en reducir la probabilidad o el impacto de un riesgo
sobre la organización. Esta opción se usa sobre todo
en aquellos casos en que los riesgos son inevitables o
no dependen de la empresa en sí misma. La clave
para una acertada mitigación del riesgo está en las
acciones.
73. Tratar los Riesgos
Definición de las respuestas a los riesgos:
3. Mitigación del riesgo:
Algunos ejemplos son:
• Adopción de procesos más sencillos en la
organización.
• Puesta en marcha de ensayos adicionales.
• Elección de proveedores o suministrador más fiables.
• Adición de recursos para la labor preventiva
74. Tratar los Riesgos
Definición de las respuestas a los riesgos:
4. Explotación del riesgo:
• Recordemos que no todos los riesgos son negativos.
Algunas veces, su irrupción es una oportunidad para
las organizaciones. Cuando eso ocurre, en vez de
mitigarla o eliminarla, la estrategia de la empresa
debe centrarse en sacar el máximo provecho de la
circunstancia. Un riesgo con efectos positivos se
puede potenciar gracias a la designación de más
personal cualificado, mayor apoyo económico o una
adaptación a la planificación realizada al inicio.
75. Tratar los Riesgos
Definición de las respuestas a los riesgos:
5. Aceptación del riesgo:
• En estos casos, se trata de riesgos que no suponen
mayores impedimentos para la consecución de los
objetivos y que pueden convivir con la empresa.
Implica la elaboración de un plan de contingencia
para adaptar el riesgo a las actividades de las
empresas. Por ejemplo, las compañías que operan en
zonas montañosas y con una alta probabilidad de
sismos, desarrollan toda una política de emergencia
en torno a la evacuación y la asistencia en
casos de emergencia.
77. Plan de tratamiento
• El plan de tratamiento es el último paso del proceso
de Gestión de Riesgos, tiene como fin la mejora de
los controles para el tratamiento del riesgo.
• Esta etapa debe ser dinámica y flexible ante los
cambios que puedan presentarse.
• El tratamiento de los riesgos necesita labores
adicionales de registro, monitoreo, actualización e
intervención.
Tratar los Riesgos
78. Plan de tratamiento
• Los planes de tratamiento suelen proyectarse a corto
plazo, pues con esto se evita que las condiciones
iniciales se modifiquen cuando llegue el momento
de la intervención.
Tratar los Riesgos
79. Registro e informe
El registro e informe pretenden:
• comunicar las actividades de la gestión del riesgo y
sus resultados a lo largo de la organización;
• proporcionar información para la toma de
decisiones;
• mejorar las actividades de la gestión del riesgo;
• asistir la interacción con las partes interesadas,
incluyendo a las personas que tienen la
responsabilidad y la obligación de rendir
cuentas de las actividades de la gestión del riesgo.
81. • La manera más habitual de realizar el seguimiento es través
de evaluaciones periódicas o auditorías.
Se evalúa sí:
1. La gestión de los riesgos ha sido aplicada tal como estaba
previsto.
2. Las respuestas a los riesgos han sido efectivas.
3. Se están siguiendo las políticas y las estrategias adecuadas.
4. La exposición del riesgo ha cambiado desde el último
análisis.
5. Se han manifestado síntomas de la aparición de riesgos.
6. Han aparecido riesgos que no habían sido contemplados al
inicio.
Seguimiento y Control
83. Para tener en cuenta
ISO 9001:2015 e ISO 14001:2015 no requieren
evaluaciones de riesgo según algún proceso
especifico de gestión de riesgos.
ISO 31000:2018 Gestión del riesgo Principios y
directrices puede ser una referencia útil para
organizaciones que desean o necesitan un enfoque
más formal del riesgo (uso no obligatorio)
84. Para tener en cuenta
Para integrar la gestión del riesgo en
ISO 9001: 2015 o ISO 14000:2015, podemos seguir
los criterios de la familia de normas sobre
Gestión de Riesgos, entre ellas ISO 31000 :2018
ISO 31000:2018
ISO9001:2015
ISO14001:2015
86. Problemas habituales en la gestión de
riesgos
• Problemas en la implementación:
a) Resistencia al cambio:
Algunas organizaciones no están lo suficientemente
preparadas para llevar a la práctica un sistema de
este tipo. Por falta de formación, la dirección debe
aumentar el nivel de confianza de sus trabajadores
en el Sistema de Gestión e implementar planes para
la formación.
b) Inmediatez:
Un buen número de organizaciones no están dispuestas
a esperar los plazos para la implementación del
sistema.
87. Problemas habituales en la gestión de
riesgos
• Problemas en la implementación:
c) Criterios distintos:
Cuando los grupos de responsables tienen demasiados
miembros o su elección no ha seguido parámetros de
cierta unidad, lo más común es que entre estas
personas se presenten diferencias de criterio a la
hora de implementar el plan. Esto se traduce en
retrasos, reuniones etc.
d) Falta de una figura coordinadora:
Del mismo modo, algunos grupos suelen notar la
ausencia de una persona que lidere los procesos.
88. Problemas habituales en la gestión de
riesgos
• Problemas en la implementación:
e) Incumplimiento de plazos:
Por causa de una mala planificación, recursos insuficientes o una
comunicación deficiente entre los responsables, algunas veces
los procesos de implementación de Gestión de Riesgos
incurren en incumplimiento de los plazos previstos. En estos
casos, el perjuicio es doble: primero, porque obstaculiza la
realización del proyecto en sí mismo; y segundo, porque se
pierde tiempo valioso para mitigar o gestionar riesgos que, en
muchos casos, tienen carácter urgente.
f) Aplazamiento:
Esto sucede cuando el plan ni siquiera llega a implementarse. Se
han definido las directrices, las estrategias, los responsables y
los recursos, pero por la razón que sea el plan acaba guardado
en un archivo de la dirección.
89. Problemas habituales en la gestión de
riesgos
• Problemas en el mantenimiento:
Las organizaciones pueden encontrarse con los siguientes
problemas:
a) Omisión de recursos:
Llegados a esta etapa, las empresas descubren que los recursos
destinados para el mantenimiento y la supervisión del plan de
Gestión de Riesgos no alcanzan; son insuficientes, con lo cual
se compromete la continuidad del mismo.
b) Ausencia de diagnóstico previo:
Si se han hecho cálculos errados en las primeras etapas, lo más
probable es que las proyecciones también lo sean. En estos
casos, los procesos requieren de un replanteo.