5. AUDITAR o
INSPECCIONAR
de manera
OBJETIVA e
IMPARCIAL
Su Sistema de
Gestión ISO
Sus
Proveedores
Sus Proyectos
Sus Procesos
Su
Infraestructura
o Instalaciones
La Gestión del
Riesgo
Las Buenas
Prácticas
(BPM, BPA,
otros)
CAPACITARSE o
FORMAR el
Talento
Humano de su
ORGANIZACIÓN
en
ISO 9001 Gestión de
Calidad
ISO 14001 Gestión
Ambiental
ISO 45001 OHSAS
18001 Seguridad y
Salud en el Trabajo
ISO 20000 Servicios
de Información
ISO 22000 Seguridad
Alimentaria
ISO 26000
Responsabilidad
Social
ISO 27001 Seguridad
de la Información
ISO 37001 Gestión
Anti-soborno
ISO 39001 Seguridad
Vial
ISO 31000 Gestión
de Riesgos
Buenas Prácticas
(BPM, BPA, otros)
Conocer QUÉ
NECESITA y
CÓMO
CERTIFICARSE…
o MANTENER su
Certificado en
Piense en CIRECOM si usted NECESITA o TIENE INTERÉS en…
CIRECOM - 3
6. Acciones para Abordar Riesgos y
Oportunidades
Contenido
• Términos y definiciones
• Establecer un marco de referencia para la gestión de
riesgos
• Compromiso con la gestión de riesgos
• Implementación de la gestión de riesgos
• Implementación del marco de referencia para la gestión
de riesgos
• Implementación de los procesos de gestión de riesgos
• Seguimiento y revisión del marco de referencia
• Mejora continua del marco de referencia
• Procesos
• Procesos generales
• Comunicación y consulta
• Establecimiento del contexto
• Evaluación del riesgo
• Identificación del riesgo
• Análisis del riesgo
• Evaluación del riesgo
• Tratamiento del riesgo
• Selección de opciones para el tratamiento del
riesgo
• Preparación e implementación de planes para el
tratamiento del riesgo
• Seguimiento y revisión CIRECOM - 4
7. Objetivos
• Objetivo Principal
✓ Fortalecer los conocimientos y habilidades necesarias
para la identificación, evaluación, tratamiento y
mejora continua de la gestión del riesgo en la
organización y su contexto
CIRECOM - 5
• Objetivos de Aprendizaje
✓ Comprender el concepto del “riesgo” en la organización
✓ Conocer el proceso para la identificación, análisis, evaluación,
tratamiento y seguimiento del riesgo
✓ Diseñar e integrar la gestión del riesgo en los sistemas de gestión
✓ Presentar los argumentos para fomentar la cultura de gestión del
riesgo en todas las áreas y actividades de la organización
8. Términos y Definiciones
ISO e IEC mantienen bases de datos
terminológicas para su utilización en
normalización en las siguientes
direcciones• :
• Plataforma de búsqueda en línea de ISO - http://www.iso.org/obp
• Electropedia de IEC - http://www.electropedia.org
CIRECOM - 6
Fuente: ISO 31000:2018 Gestión del riesgo — Directrices, Segunda Edición
9. ¿Qué es el Riesgo?
CIRECOM - 7
Incertidumbre es el estado, incluso parcial, de deficiencia de
información relacionada con la comprensión o el conocimiento de un
evento, su consecuencia o posibilidad.
Un efecto es una desviación respecto a lo previsto. Puede ser
positivo, negativo o ambos, y puede abordar, crear o resultar en
oportunidades y amenazas.
Los objetivos pueden tener diferentes aspectos y categorías (por
ejemplo financieros, salud y seguridad, metas ambientales), y se
pueden aplicar a diferentes niveles (estratégico, en toda la
organización, en proyectos, productos y procesos).
Con frecuencia, el riesgo se expresa en términos de fuentes de riesgo,
eventos potenciales, sus consecuencias y sus probabilidades.
Efecto de la
Incertidumbre
sobre los
objetivos
Fuente: ISO 31000:2018 Gestión del riesgo — Directrices, Segunda Edición
11. CIRECOM - 9
Ocurrencia o
cambio de un
conjunto
particular de
circunstancias
• Un evento puede
tener una o más
ocurrencias y puede
tener varias causas
y varias
consecuencias
• Un evento también
puede ser algo
previsto que no
llega a ocurrir, o
algo no previsto que
ocurre.
• Un evento puede
ser una fuente de
riesgo
Evento
Elemento que,
por sí solo o en
combinación
con otros, tiene
el potencial de
generar riesgo
Fuente de Riesgo
Persona u
organización
que puede
afectar, verse
afectada, o
percibirse como
afectada por
una decisión o
actividad
Parte Interesada
Actividades
coordinadas
para dirigir y
controlar la
organización con
relación al
riesgo
Gestión del Riesgo
Fuente: ISO 31000:2018 Gestión del riesgo — Directrices, Segunda Edición
12. CIRECOM - 10
Consecuencia Resultado de un evento
que afecta a los objetivos
Puede ser cierta o incierta y puede
tener efectos positivos o negativos,
directos o indirectos sobre los
objetivos.
Se pueden expresar de manera
cualitativa o cuantitativa.
Cualquier consecuencia puede
incrementarse por efectos en cascada y
efectos acumulativos.
Probabilidad
(likelihood)
Posibilidad de que algo suceda, esté definida, medida o
determinada objetiva o subjetivamente, cualitativa o
cuantitativamente, y descrita utilizando términos
generales o matemáticos (como una probabilidad
matemática o una frecuencia en un periodo de tiempo
determinado).
Control Medida que mantiene y/o
modifica un riesgo
Los controles incluyen, pero no se
limitan a cualquier proceso, política,
dispositivo, práctica u otras
condiciones y/o acciones que
mantengan y/o modifiquen un riesgo.
Los controles no siempre pueden
producir el efecto de modificación
previsto o asumido
Fuente: ISO 31000:2018 Gestión del riesgo — Directrices, Segunda Edición
13. CIRECOM - 11
Pensamiento Basados en Riesgo
• Permite a la organización
• determinar, en su contexto, los factores o
fuentes que podrían causar que
• sus procesos y su sistema de gestión se
• desvíe de los resultados previstos,
• poniendo en marcha controles preventivos
• que minimicen los efectos negativos, y
• se puedan aprovechar al máximo
• las oportunidades que puedan surgir
14. Ejercicio No. 1 Objetivo
Mapa Conceptual del
Pensamiento Basado en
Riesgos
• Grupos de máximo 4 integrantes
• Duración: 15 minutos
Reconocer y afianzar
los conceptos
referentes al
Pensamiento Basado
en Riesgo
CIRECOM - 12
15. Principios de la Gestión de Riesgos
El propósito de la gestión del riesgo es la creación y la protección del
valor. Mejora el desempeño, fomenta la innovación y contribuye al
logro de objetivos
CIRECOM - 13Fuente: ISO 31000:2018 Gestión del riesgo — Directrices, Segunda Edición
16. CIRECOM - 14
Integrada
La gestión del riesgo
es parte integral de
todas las
actividades de la
organización
Estructurada y
exhaustiva
Un enfoque
estructurado y
exhaustivo hacia la
gestión del riesgo
contribuye a
resultados
coherentes y
comparables
Adaptada
El marco de
referencia y el
proceso de la
gestión del riesgo
se adaptan y son
proporcionales a
los contextos
externo e interno
de la organización
relacionados con
sus objetivos
Inclusiva
La participación
apropiada y
oportuna de las
partes interesadas
permite que se
consideren su
conocimiento,
puntos de vista y
percepciones. Esto
resulta en una
mayor toma de
conciencia y una
gestión del riesgo
informada
Fuente: ISO 31000:2018 Gestión del riesgo — Directrices, Segunda Edición
17. CIRECOM - 15
Dinámica
Los riesgos pueden
aparecer, cambiar o
desaparecer con los
cambios de los
contextos externo e
interno de la
organización. La
gestión del riesgo
anticipa, detecta,
reconoce y
responde a esos
cambios y eventos
de una manera
apropiada y
oportuna
Mejor
información
disponible
Las entradas a la
gestión del riesgo se
basan en
información
histórica y
actualizada, así
como en
expectativas futuras.
La gestión del riesgo
tiene en cuenta
explícitamente
cualquier limitación
e incertidumbre
asociada con tal
información y
expectativas. La
información debería
ser oportuna, clara y
disponible para las
partes interesadas
pertinentes
Factores
humanos y
culturales
El comportamiento
humano y la cultura
influyen
considerablemente
en todos los
aspectos de la
gestión del riesgo en
todos los niveles y
etapas
Mejora continua
La gestión del riesgo
mejora
continuamente
mediante
aprendizaje y
experiencia
Fuente: ISO 31000:2018 Gestión del riesgo — Directrices, Segunda Edición
18. Marco de Referencia de la
Gestión del Riesgo
Su propósito es asistir a la
organización en integrar la gestión
del riesgo en todas sus actividades
y funciones significativas CIRECOM - 16Fuente: ISO 31000:2018 Gestión del riesgo — Directrices, Segunda Edición
19. CIRECOM - 17
Los componentes del MARCO DE REFERENCIA y la manera en la que trabajan juntos, DEBEN
ADAPTARSE a las necesidades de la organización
Valorar todas las prácticas y procesos existentes en la organización para la gestión del riesgo
20. Liderazgo y Compromiso
Asegurar que la Gestión del Riesgo esté INTEGRADA en TODAS LAS
ACTIVIDADES de la Organización
Demostrar
el Liderazgo
y
Compromiso
Adaptando e
implementando
el marco de
referencia
Declaración o una
política para la
gestión del riesgo
Asegurando los
recursos
necesarios para
gestionar los
riesgos
Asignando
autoridad,
responsabilidad y
obligación de
rendir cuentas
CIRECOM - 18
21. Integración
La integración de la gestión del
riesgo depende de la comprensión
de las estructuras y el contexto de
la organización
CIRECOM - 19
22. La integración es un proceso dinámico e iterativo,
y se debe adaptar a las necesidades y a la cultura
de la organización
La gestión del riesgo debe ser una parte de,
y no estar separada del propósito, la
gobernanza, el liderazgo y compromiso, la
estrategia, los objetivos y las operaciones de
la organización
El riesgo se debe gestionar en cada parte de la
estructura de la organización
•Todos los miembros de la organización tienen la
responsabilidad de gestionar el riesgo
CIRECOM - 20
23. Diseño
5.4.1. La organización debe analizar y comprender sus
contextos externo e interno cuando diseñe el marco de
referencia para gestionar el riesgo
ISO 31000:2018
Comprensión
de la
organización y
de su
contexto
CIRECOM - 21
Anexo SL
Alto Nivel
6
Planificación
6.1 Acciones
para abordar
riesgos y
oportunidades
24. CIRECOM - 22
6.1.1 Al planificar el sistema de gestión de la calidad, la organización debe
considerar las cuestiones externas e internas (4.1) y los requisitos de
necesidades y expectativas de las partes interesadas (4.2), y determinar los
riesgos y oportunidades que es necesario abordar…
ISO 9001:2015
6.1.1 Al planificar el sistema de gestión ambiental, la organización debe
considerar: a) las cuestiones externas e internas; b) los requisitos referidos de
necesidades y expectativas de las partes interesadas; c) el alcance de su sistema
de gestión ambiental; y determinar los riesgos y oportunidades relacionados con
sus: aspectos ambientales, requisitos legales y otros requisitos; otras cuestiones
y requisitos identificados en los apartados 4.1 y 4.2;
Que necesitan abordarse…
ISO 14001:2015
25. Análisis del Contexto ¿En qué consiste?
Identificar aquellos factores o variables que constituyen
oportunidades para la organización y aprovecharlas en su
desarrollo. Por otro lado, las posibles amenazas que enfrenta o
deberá enfrentar, con el propósito de neutralizar y minimizar su
impacto negativo
CIRECOM - 23
Análisis del
contexto externo
Análisis del
contexto interno
Análisis
del
contexto
26. Análisis y Comprensión del Contexto Externo
Factores sociales, culturales, políticos, legales, reglamentarios,
financieros, tecnológicos, económicos y ambientales ya sea a
nivel internacional, nacional, regional o local
los impulsores clave y las tendencias que afectan a los objetivos
de la organización
las relaciones, percepciones, valores, necesidades y expectativas
de las partes interesadas externas
las relaciones contractuales y los compromisos
la complejidad de las redes y dependencias
CIRECOM - 24Fuente: ISO 31000:2018 Gestión del riesgo — Directrices, Segunda Edición
27. CIRECOM - 25
Análisis y Comprensión del Contexto Interno
Visión, Misión y
Valores
La gobernanza, la
estructura de la
organización, los roles y
la rendición de cuentas
La estrategia, los
objetivos y las políticas
Cultura de la
organización
Normas, directrices y
modelos adoptados por
la organización
Capacidades, entendidas en
términos de recursos y
conocimiento (por ejemplo,
capital, tiempo, personas,
propiedad intelectual,
procesos, sistemas y
tecnologías)
Datos, sistemas de
información y flujos de
información
Relaciones con partes
interesadas internas,
teniendo en cuenta
sus percepciones y
valores
Relaciones contractuales
y los compromisos
Interdependencias e
interconexiones
Fuente: ISO 31000:2018 Gestión del riesgo — Directrices, Segunda Edición
28. CIRECOM - 26
Método: De libre elección (Tormenta de ideas, panel de
expertos, PEST, DAFO…)
Ejemplos
• Entorno legal: Sector altamente regulado con muchos cambios legislativos y sanciones muy altas.
• Entorno tecnológico: Se imponen canales de servicio al público on line. El mecanizado de alta precisión sólo
se puede conseguir con alta tecnología.
• Entorno competitivo: Competencia agresiva, basada en precios.
• Entorno del mercado: Periodo de fusiones de proveedores y centrales de compras.
• Ámbito internacional, nacional, regional o local: Crisis global, fluctuaciones de divisas.
• Valores de la organización: Enfoque importante al cliente pero cumplimiento laxo de la ley.
• Cultura Interna: Resistencia al cambio tecnológico.
• Conocimientos Internos: Personal con mucha experiencia, pero con educación básica.
• Desempeño de la organización: Altos valores de productividad, bajo índice de ROI, buen desempeño
presupuestario.
29. Ejercicio No. 2 Objetivo
• Análisis de Contexto Interno y Externo
Instrucciones:
- Grupos de Máximo 2 personas
- Analice y diligencie el formulario, NO HAY
RESPUESTAS BUENAS NI MALAS
Determinar de MANERA
PRÁCTICA las cuestiones
del CONTEXTO EXTERNO
e INTERNO de la
organización,
PERTINENTES CON SU
PROPÓSITO, que pueden
AFECTAR SU CAPACIDAD
para LOGRAR LOS
RESULTADOS PREVISTOS
CIRECOM - 27
30. Comprensión de las necesidades y las expectativas
de las partes interesadas
CIRECOM - 28
Persona u organización que puede afectar, verse afectada, o percibirse como
afectada por una decisión o actividad
ISO 31000:2018 & ISO 9000:2015
31. Ejemplo – Partes Interesadas
CIRECOM - 29
Organización
Partes Interesadas Internas
Empleados
Gerencia / Alta
Dirección
Propietarios
Partes Interesadas Externas
Clientes Sociedad Proveedores Acreedores Gobierno
32. CIRECOM - 30
¿Quiénes son mis
PARTES
INTERESADAS?
¿Qué me REQUIEREN
o ESPERAN de mi?
¿Qué ESPERAMOS
de ellos?
¿RIESGOS?
¿OPORTUNIDADES?
• Los requisitos de las partes
interesadas no son
necesariamente requisitos de la
organización. Pueden
desestimarse pero nunca
ignorarse.
Por ejemplo: Se puede desestimar
incrementar salarios, pero si se
decide trabajar, se convierte en un
requisito a cumplir.
NO SE ESPERA UN DOCUMENTO DETALLADO, pero sí que
la organización pueda RESPONDER CLARAMENTE cuáles
son sus partes interesadas, si las ha ESCUCHADO y si
traducen los mismos en REQUISITOS suscritos
Comprensión de las necesidades y las expectativas
de las partes interesadas
33. Ejemplo
CIRECOM - 31
Int /
Ext
Parte
Interesada
Necesidad y/o Expectativa Riesgo y/o Oportunidad
Ext Sociedad • Cumplimiento de
requisitos.
• Servicios que satisfagan
las necesidades.
• Personal competente,
ético y calificado.
• Cumplimiento de
objetivos y metas.
• Servicios oportunos y
adecuados a las
necesidades de la
sociedad.
• Comunicación fluida y
oportuna.
Riesgos:
• Incumplimientos contractuales.
• Incumplimiento de los requisitos, objetivos o metas por mala
planificación.
• Detrimento de los servicios por fallas en la gestión pública.
• Infraestructura, salarios y ambiente inadecuado para la prestación
de servicios.
Oportunidades:
• Disponibilidad de profesionales con elevado compromiso ético y
moral para la prestación de servicios.
• Compensaciones basadas en calificaciones y experiencia
profesional.
• Acuerdos con diversos organismos de control y apoyo a la
administración pública.
34. Ejercicio No. 3 Objetivo
• NECESIDADES Y EXPECTATIVAS DE LAS PARTES
INTERESADAS
Instrucciones:
- Grupos de Máximo 2 personas
- Analice y diligencie el formulario, NO HAY
RESPUESTAS BUENAS NI MALAS.
DETERMINAR de manera práctica
las NECESIDADES Y EXPECTATIVAS
de las PARTES INTERESADAS,
teniendo en cuenta su EFECTO o
EFECTO POTENCIAL en la
CAPACIDAD de la organización de
PROPORCIONAR REGULARMENTE
productos o servicios que
SATISFAGAN los REQUISITOS DEL
CLIENTE, LEGALES Y
REGLAMENTARIOS APLICABLES
CIRECOM - 32
35. Por último en Diseño..
CIRECOM - 33
Articulación del compromiso con la
gestión del riesgo
Asignación de roles, autoridades,
responsabilidades y obligación de
rendir cuentas en la organización
Asignación de recursos
Establecimiento de la comunicación
y la consulta
Fuente: ISO 31000:2018 Gestión del riesgo — Directrices, Segunda Edición
36. Marco Referencia: Implementación, Valoración y Mejora
CIRECOM - 34
•Plan: Plazos y Recursos
•Compromiso y Toma de
Conciencia
Implementación
•Medir periódicamente el
desempeño
Valoración
•Adaptación: seguimiento continuo y
adaptar en función de los cambios
externos e internos
•Mejora Continua: Idoneidad,
adecuación y eficacia
Mejora
Fuente: ISO 31000:2018 Gestión del riesgo — Directrices, Segunda Edición
38. Proceso de la Gestión del
Riesgo Aplicación sistemática de
políticas, procedimientos
y prácticas, a las
actividades de
comunicación y consulta,
establecimiento del
contexto y evaluación,
tratamiento, seguimiento,
revisión, registro e
informe del riesgo
CIRECOM - 36Fuente: ISO 31000:2018 Gestión del riesgo — Directrices, Segunda Edición
39. Comunicación y Consulta
Propósito: Asistir a las partes interesadas pertinentes a
comprender el riesgo, las bases con las que se toman decisiones y
las razones por las que son necesarias acciones específicas.
CIRECOM - 37
Comunicación
•Busca promover la toma de
conciencia y la
comprensión del riesgo
Consulta
•Implica obtener
retroalimentación e información
para apoyar la toma de
decisiones
Construir un sentido de inclusión y propiedad
entre las personas afectadas por el riesgo
Fuente: ISO 31000:2018 Gestión del riesgo — Directrices, Segunda Edición
40. Evaluación del
Riesgo
CIRECOM - 37
Identificación
del riesgo
Análisis del
riesgo
Valoración
del riesgo
Proceso
Global de
Evaluación
Se debe llevar a cabo de manera sistemática, iterativa y colaborativa
Fuente: ISO 31000:2018 Gestión del riesgo — Directrices, Segunda Edición
41. Identificación del Riesgo
Propósito: Encontrar, reconocer y describir los riesgos
que pueden ayudar o impedir a la organización lograr sus
objetivos.
CIRECOM - 38
Fuentes de riesgo
Áreas de impacto
Eventos y sus causas
Consecuencias potenciales
42. Análisis del Riesgo
Propósito: Comprender la naturaleza del riesgo y sus características incluyendo,
cuando sea apropiado, el nivel del riesgo.
CIRECOM - 39
Implica una
consideración detallada
de incertidumbres,
fuentes de riesgo,
consecuencias,
probabilidades,
eventos, escenarios,
controles y su eficacia.
SEVERIDAD
PROBABILIDAD
Ligeramente
Dañino
Dañino
Extremadamente
Dañino
Baja Riesgo Aceptable Riesgo Aceptable Riesgo Moderado
Media Riesgo Aceptable Riesgo Moderado Riesgo No Tolerable
Alta Riesgo Moderado Riesgo No Tolerable Riesgo No Tolerable
43. Ejemplo – Análisis del Riesgo
CIRECOM - 40
CONTEXTO/
PARTE
INTERESAD
A INTERNO/
EXTERNO
Riesgo
(Descripción)
Causas Efecto / Impacto
Probabilidad Severidad
Nivel de
Riesgo
Inherente
CONTROLES EXISTENTES
(Tecnología,
Comportamiento/Capacitación, Recursos
Humanos, Procedimientos Aplicables,
Otros)
Nivel de
Riesgo
Residual
* Baja
*Media
*Alta
* Ligeramente
Dañino
* Dañino
* Extremadamente
Dañino
* No
Tolerable
*Moderado
* Aceptable
Sustitución
Controles Administrativos
/ Técnicos
* No
Tolerable
*Moderado
* Aceptable
Gerencia /
Alta
Dirección
Inadecuada
ejecución
presupuestaria
• Mala planificación
• Controles insuficientes o inadecuados
• Incumplimiento de objetivos y metas
• Aumento en la productividad
• Incremento de costos
- Incumplimiento de
objetivos y metas
- Impagos
- Pérdidas financieras
- Fallas en la prestación
del servicio
- Pérdida de imagen
- Sanciones y multas
- Afectación en la
credibilidad
- Incumplimientos legales
y/o contractuales
Baja
Extremadamente
Dañino
Moderado
- Compras basadas en
disponibilidad
presupuestaria
- Controles financieros y
operativos
- Auditorías Financieras
- Auditorías de Contraloría
- Informes Periódicos de
Ejecución Presupuestaria
Aceptable
Empleado
Interrupciones
en la prestación
del servicio o
realización del
producto
• Inadecuados y/o Insuficientes
recursos para prestar servicios o
realizar productos (infraestructura
física, tecnológica, equipos y demás)
• Personal no competente.
• Personal no comprometido.
• Ambiente de trabajo y clima laboral
no adecuado.
• Mala planificación o re-planificación
de planes de trabajo, incluyendo
recursos, en caso de modificar metas.
• Fallas humanas y/o tecnológicas.
• Rotación de personal
• Procesos no estandarizados o
inadecuados
- Incumplimiento de
objetivos y metas
- Falta de efectividad en la
gestión
- Pérdida de
contratos/clientes
- Incumplimientos legales
y/o contractuales
- Afectación de la imagen
- Sobrecarga de trabajo
Media
Extremadamente
Dañino
No
Tolerable
- Seguimiento continuo al
cumplimiento de la
promesa de servicio y/o
planes de producción
- Indicadores de
seguimiento y control en la
prestación´del
servicio/producción.
- Informes Periódicos de
Ejecución Opertativa y
Presupuestaria
- Reuniones periódicas de
seguimiento
No
Tolerable
44. Valoración del Riesgo (TEMA)
CIRECOM - 41
Propósito: Apoyar a la toma de decisiones. Implica comparar los
resultados del análisis con los criterios del riesgo establecidos para
determinar cuándo se requiere una acción adicional.
No hacer nada
más
Considerar
opciones para el
tratamiento del
riesgo
Realizar un análisis
adicional para
comprender mejor
el riesgo
Mantener los
controles
existentes
Reconsiderar los
objetivos
Fuente: ISO 31000:2018 Gestión del riesgo — Directrices, Segunda Edición
45. Ejemplo – Valoración del Riesgo
CIRECOM - 42
CONTEXTO/
PARTE
INTERESADA
INTERNO/
EXTERNO
Riesgo
(Descripción
)
Causas Efecto / Impacto
Probabilidad
Severidad
NiveldeRiesgo
Inherente
CONTROLES EXISTENTES
(Tecnología,
Comportamiento/Capacitación,
Recursos Humanos, Procedimientos
Aplicables, Otros)
NiveldeRiesgo
Residual
FORMA DE
MONITOREO
CONTROLES A IPLEMENTAR
(Tecnología,
Comportamiento/Capacitación,
Recursos Humanos,
Procedimientos Aplicables,
Otros)
NiveldeRiesgo
Residual
*Baja
*Media
*Alta
*Ligeramente
Dañino
*Dañino
*Extremadamente
Dañino
*NoTolerable
*Moderado
*Aceptable
Sustitución
Controles Administrativos
/ Técnicos
*NoTolerable
*Moderado
*Aceptable
Sustitución
Controles
Administrativos /
Técnicos
*NoTolerable
*Moderado
*Aceptable
Empleado
Interrupcion
es en la
prestación
del servicio o
realización
del producto
• Inadecuados y/o
Insuficientes recursos para
prestar servicios o realizar
productos (infraestructura
física, tecnológica, equipos
y demás)
• Personal no competente.
• Personal no
comprometido.
• Ambiente de trabajo y
clima laboral no adecuado.
• Mala planificación o re-
planificación de planes de
trabajo, incluyendo
recursos, en caso de
modificar metas.
• Fallas humanas y/o
tecnológicas.
• Rotación de personal
• Procesos no
estandarizados o
inadecuados
-
Incumplimiento
de objetivos y
metas
- Falta de
efectividad en la
gestión
-
Incumplimientos
legales y/o
contractuales
- Afectación de
la imagen
- Sobrecarga de
trabajo
Media
ExtremadamenteDañino
NoTolerable
- Seguimiento continuo
al cumplimiento de la
promesa de servicio y/o
planes de producción
- Indicadores de
seguimiento y control
en la prestación del
servicio/producción
- Informes Periódicos de
Ejecución Opertativa y
Presupuestaria
- Reuniones periódicas
de seguimiento
NoTolerable
- Indicadores de
seguimiento y
control de los
servicios/productos
- Informes de
ejecución
presupuestaria y
resultados
operativos
- Informes de
Resultados y
Efectividad de
Planes de
Contingencia
- Auditorías Internas
- Planes de
contingencia
- Seguimiento
continuo al
cumplimiento de la
promesa de servicio
y/o planes de
producción
- Indicadores de
seguimiento y
control en la
prestación del
servicio/producción.
- Informes
Periódicos de
Ejecución Opertativa
y Presupuestaria
- Reuniones
periódicas de
seguimiento
- Procesos
estandarizados y
comunicados
Aceptable
46. Tratamiento del Riesgo
Propósito: Seleccionar e implementar opciones
para abordar el riesgo.
Formular y
seleccionar
opciones
Planificar e
implementarlas
Evaluar la eficacia
Riesgo residual es
aceptable?
¿No? Efectuar
tratamiento
adicional
CIRECOM - 43Fuente: ISO 31000:2018 Gestión del riesgo — Directrices, Segunda Edición
47. Selección de las opciones para
el tratamiento del riesgo
CIRECOM - 44
Beneficios
Potenciales
Desventajas de la
Implementación
48. Opciones para Tratar Riesgos
Evitar el riesgo (Decidiendo no iniciar o
continuar con la actividad que genera el
riesgo)
Aceptar o aumentar el riesgo en busca de una
oportunidad
Eliminar la fuente de riesgo
Modificar la probabilidad
Modificar las consecuencias
Compartir el riesgo (Ej: a través de contratos,
compra de seguros)
Retener el riesgo con base en una decisión
informada.
CIRECOM - 45
49. Preparación e Implementación de Planes
CIRECOM - 46
Situación Evento Consecuencia Resultado
Especificar cómo se implementarán las opciones elegidas para el tratamiento, de
manera tal que los involucrados comprendan las disposiciones, y que pueda realizarse
el seguimiento del avance respecto de lo planificado
50. Seguimiento y Medición
Propósito: Asegurar y mejorar la calidad y la eficacia del
diseño, la implementación y los resultados del proceso.
CIRECOM - 47
Planificar
Recopilar y
analizar
información
Registrar
resultados
Proporcionar
retroalimentación
51. Registro e Informe
Pretenden
• Comunicar las actividades de la gestión del riesgo y sus
resultados a lo largo de la organización
• Proporcionar información para la toma de decisiones
• Mejorar las actividades de la gestión del riesgo
• Mejorar la calidad del diálogo con las partes interesadas
• Apoyar a la alta dirección a cumplir sus responsabilidades
CIRECOM - 48Fuente: ISO 31000:2018 Gestión del riesgo — Directrices, Segunda Edición
52. Ejercicio No. 4
Matriz de Riesgos
Instrucciones:
• Grupos de Máximo 2 personas
• Duración: 2 Horas Reconocer, analizar y diseñar los
criterios necesarios para la
identificación, análisis y valoración de
riesgos en la organización
CIRECOM - P