SlideShare una empresa de Scribd logo
Una Introducción a la Norma ISO
31000:2018
Gestión del riesgo Directrices
V 2020
Introducción
• Vivimos en un mundo en constante cambio donde
nos vemos obligados a tratar incertidumbre todos los
días, como un organización aborda esa
incertidumbre puede ser clave para su éxito.
• El riesgo es una parte necesaria para hacer negocios,
y en un mundo donde enorme cantidades de datos
están siendo procesadas a tasas cada vez más
rápidas, identificando y mitigar riesgos es un desafío
y no es de extrañar entonces que muchos contratos y
acuerdos de seguro requieren evidencia sólida
práctica de gestión de riesgos.
Introducción
• ISO 31000:2018 proporciona instrucciones sobre
cómo las empresas pueden integrarse en función del
riesgo toma de decisiones en la organización
gobernanza, planificación, gestión, informes,
políticas, valores y cultura.
• Es un sistema abierto, basado en principios, lo que
significa que permite a las organizaciones aplicar los
principios de la norma al contexto organizacional.
Introducción
• La Gestión de Riesgos en las organizaciones nace en
la década de los 60.
• Ante la tecnificación y modernización de ciertos
procesos que hasta ese momento se habían
desarrollado de forma manual, en muchos sectores
se puso de manifiesto la necesidad de realizar un
mejor control de las actividades. La tecnología
supuso mayor agilidad y calidad, pero a la vez nuevos
retos de control y seguimiento.
Introducción
• En los años 70 aparecen de las primeras normas y
estándares internacionales. Como el código de
seguridad nuclear que hizo público la US Nuclear
Regulatory Comission, el cual intentaba minimizar los
riesgos a los que estaba expuesto el sector nuclear
estadounidense.
Introducción
• Otras normas, son por ejemplo el COSO, código
emitido por el Comité de Organizaciones Sponsor en
1991 y que incluía prácticas para la gestión interna
del riesgo.
• Dos años más tarde, Australia y Nueva Zelanda
publicaron la norma AS/NZ 4360 sobre el riesgo en
sus empresas públicas, mientras en 2002 el Instituto
Británico de Gestión de Riesgos hizo público el
estándar IRM.
Introducción
• Estos estándares y normas internacionales tenían
dos problemas : el primero, que casi todos estaban
dirigidos a organizaciones de sectores específicos, lo
cual reducía su impacto y extensión; y el segundo,
que había una notoria disparidad de criterios a la
hora de desarrollarlos.
Introducción
• Estos dos problemas llevaron a la Organización
Internacional de Normalización (ISO) a elaborar una
norma que abordara la Gestión de Riesgos de forma
global, necesidad que en 2009 dio origen a la norma
primera versión de ISO 31000.
• Sin embargo, pese a su alcance genérico, es una
norma no certificable; son las organizaciones las que
se acogen voluntariamente a sus directrices en el
área de Gestión de Riesgos.
Introducción
• ¿Por qué fue revisado?
• Todas las normas ISO se revisan cada cinco años, esto ayuda a
garantizar que sigan siendo herramientas relevantes y útiles,
para tener en cuenta la evolución del mercado y los nuevos
desafíos que enfrentan las empresas y organizaciones desde
que el estándar se lanzó por primera vez en 2009.
• Un ejemplo de esto es la mayor complejidad de los sistemas
económicos y los factores de riesgo emergentes, como la
moneda digital, que pueden presentar riesgos nuevos y
diferentes para una organización a escala internacional.
Introducción
• El día 14 de febrero de 2018 se publicó la nueva
norma ISO 31000 2018 “Gestión del riesgo. Principios
y directrices”, que sustituye a la versión de 2009.
• El comité técnico ISO/TC 262 Risk Management ha
estado desde 2014 trabajado para confeccionar la
nueva ISO 31000:2018.
• Con esta nueva versión de la norma ISO 31000, se
busca alinear los requisitos con las normas ISO 9001
2015 , ISO 14001 2015, y ISO 45001 2018
Iso 31000 2018 v 2020
Introducción
• La norma ISO 31000:2018 sirve de referencia para
otros estándares sobre Gestión de Riesgos.
Además, complementa la información de diversas
normativas en el plano local, regional, nacional o
incluso continental.
• La nueva versión se enfoca en la gestión del riesgo
en las organizaciones y ayudar a establecer todos
los objetivos alcanzables, tomando decisiones
basadas en hechos.
Introducción
• La norma ISO 31000:2018 se encuentra dirigida a las
personas que protegen el valor de la organización
utilizando la gestión de riesgos, la toma de
decisiones, el establecimiento y la consecución de
objetivos, además de mejorar el rendimiento.
Introducción
• La revisión se ha realizado para conseguir que la
gestión de riesgos sea mas sencilla y clara.
• Esto se consigue utilizando un lenguaje simple para
expresar los fundamentos de la gestión de riesgos de
una forma mucho más coherente y comprensible
para los usuarios.
Introducción
• La principal tarea que tuvieron que llevar a cabo
durante la revisión, es conseguir una adecuada
orientación.
• Se debe tener él cuenta, que el texto se ha reducido
a los conceptos fundamentales, por lo que nos
encontramos con un documento mucho más breve,
más claro y más conciso que sea mucho más fácil de
leer y que se ampliamente aplicable. Se ofrecen
mucho más detalles e información.
Introducción
• La norma ISO 31000:2018 sólo cuenta con los
conceptos básicos y pasa ciertos conceptos a la guía
ISO 73 “Gestión de riesgos. Vocabulario”, que trata
de forma específica la terminología de gestión de
riesgos y se encuentra destinado para ser leído junto
a la norma ISO 31000:2018
Introducción
Otras normas, que respalda a ISO 31000, incluyen el
informe técnico ISO / TR 31004, Gestión de riesgos -
Orientación para la implementación de ISO 31000 y
la Norma Internacional ISO / IEC 31010, Gestión de
riesgos: técnicas de evaluación de riesgos,
desarrolladas conjuntamente con la Comisión
Electrotécnica Internacional.
Introducción
• La norma ISO 31000:2018 es una herramienta que
establece una serie de principios para la
implementación de un Sistema de Gestión de Riesgos
en las organizaciones.
• Puede aplicarse a cualquier tipo de organización
independiente de su tamaño, razón social, mercado,
fuente de capital, espectro comercial o forma de
financiación. No especifica ningún área o sector en
concreto.
Introducción
• La norma parte del hecho de que todas las
organizaciones, en mayor o menor medida, llevan a
cabo prácticas para la gestión de los riesgos. La
diferencia radica en la coordinación y alineamiento
de dichas prácticas.
Introducción
• Aunque no es certificable, el estándar busca
minimizar, gestionar y controlar cualquier tipo de
riesgo, más allá de su naturaleza, causa, origen o
grado de incidencia.
• Esto se logra a través de la integración del Sistema
de Gestión de Riesgos a la estrategia de cada
organización, así como a sus procesos, políticas y
cultura.
Introducción
• No es una norma pensada para circunstancias
concretas, sino que busca una aplicación continua y
permanente en el tiempo. De esta manera, beneficia
el grueso de las acciones, decisiones, operaciones,
procesos, funciones, proyectos, servicios y activos
que tengan lugar en las organizaciones.
Introducción
• La norma ISO 31000:2018 ofrece una serie de
directrices sobre los beneficios y los valores de la
gestión de riesgos eficiente y eficaz, además debe
ayudar a las empresas a comprender mucho mejor y
hacer frente a las incertidumbres que se enfrentan
en la búsqueda de los objetivos.
Introducción
• A través de estas directrices y principios, la norma
busca que cada empresa implemente un Sistema de
Gestión del Riesgo para reducir los obstáculos que
impiden la consecución de sus objetivos, siendo
compatible con cada sector.
• Las organizaciones de todos los tipos y tamaños se
enfrentan a factores e influencias externas e
internas que hacen incierto si lograrán sus objetivos.
• La gestión del riesgo es iterativa y le sirven a las
organizaciones para establecer su estrategia, lograr
sus objetivos y tomar decisiones estando
informadas.
Introducción
• La gestión del riesgo es parte de la gobernanza y el
liderazgo y es fundamental en la manera en que se
gestiona la organización en todos sus niveles.
• La gestión del riesgo contribuye a la mejora de los
sistemas de gestión.
• La gestión del riesgo además es parte de todas las
actividades asociadas con la organización e incluye la
interacción con las partes interesadas.
Introducción
La norma se estructura de la siguiente
forma:
• Capítulos 1 y 2 de introducción y campo de aplicación.
• Capítulo 3 Términos y definiciones, de las 29 definiciones de
la versión de 2009, se sintetiza a 8 definiciones.
• Capítulo 4 Principios, se hace énfasis en algunos principios
que la versión anterior no contempla.
• Capítulo 5 Marco de referencia , se sustituye el ciclo de
Deming por un ciclo parecido al establecido en la norma ISO
9001 2015 que se centra en el liderazgo y compromiso.
• Capítulo 6 Proceso empezando por Campo de aplicación,
contexto y criterios, del proceso de gestión de riesgos , la
nueva norma trata de ampliar el concepto
de contexto.
Introducción
La gestión del riesgo considera los contextos externo e interno
de la organización, incluido el comportamiento humano y
los factores culturales.
La gestión del riesgo está basada en:
1. los principios,
2. el marco de referencia
3. el proceso
Estos 3 componentes podrían existir previamente en toda o
parte de la organización, sin embargo, podría ser necesario
adaptarlos o mejorarlos para que la gestión del riesgo sea
eficiente, eficaz y coherente.
Marco de Referencia
Principios
Proceso de Gestión
ISO 31000:2018
Los 3 Componentes de la Gestión de Riesgos
1 Objeto y campo de aplicación
• La Norma ISO 31000:2018 proporciona
directrices para gestionar el riesgo al que se
enfrentan las organizaciones. La aplicación de estas
directrices puede adaptarse a cualquier organización
y a su contexto.
• ISO 31000:2018 proporciona un enfoque común
para gestionar cualquier tipo de riesgo y no es
específico de una industria o un sector.
• Puede utilizarse a lo largo de la vida de la
organización y puede aplicarse a cualquier actividad,
incluyendo la toma de decisiones a todos los
niveles.
2 Referencias normativas
• ISO 31000:2018 no contiene referencias
normativas.
3 Términos y definiciones
• 3.1 riesgo
efecto de la incertidumbre sobre los objetivos
• Nota 1 a la entrada: Un efecto es una desviación respecto a lo
previsto. Puede ser positivo, negativo o ambos, y puede
abordar, crear o resultar en oportunidades y amenazas.
• Nota 2 a la entrada: Los objetivos pueden tener diferentes
aspectos y categorías, y se pueden aplicar a diferentes niveles.
• Nota 3 a la entrada: Con frecuencia, el riesgo se expresa en
términos de fuentes de riesgo (3.4),
eventos (3.5) potenciales,
sus consecuencias (3.6) y sus probabilidades (3.7).
3.1 Riesgo
“Efecto de la incertidumbre”
es el estado, incluso parcial,
de deficiencia de información
relacionada con la comprensión
o conocimiento de un evento,
su consecuencia o su probabilidad
DESVIACION
DE LO ESPERADO
Término común y definición esencial para las normas de sistemas de gestión que se proporcionan en Anexo SL de Directivas
ISO/IEC
3 Términos y definiciones
3 Términos y definiciones
• 3.2 gestión del riesgo
actividades coordinadas para dirigir y controlar la
organización con relación al riesgo
• 3.3 parte interesada
persona u organización que puede afectar, verse
afectada, o percibirse como afectada por una
decisión o actividad
• 3.4 fuente de riesgo
elemento que, por sí solo o en combinación con otros,
tiene el potencial de generar riesgo
3 Términos y definiciones
• 3.5 evento
ocurrencia o cambio de un conjunto particular de
circunstancias
• 3.6 consecuencia
resultado de un evento que afecta a los objetivos
• 3.7 probabilidad (likelihood)
posibilidad de que algo suceda
3 Términos y definiciones
• 3.8 control
medida que mantiene y/o modifica un riesgo
• Nota 1: Los controles incluyen, pero no se limitan a
cualquier proceso, política, dispositivo, práctica u
otras condiciones y/o acciones que mantengan y/o
modifiquen un riesgo.
• Nota 2: Los controles no siempre pueden producir el
efecto de modificación previsto o asumido.
4 Principios
• El propósito de la gestión del riesgo es
la creación y la protección del valor.
• Mejora el desempeño, fomenta la innovación
y contribuye al logro de objetivos.
4 Principios
• Los principios descritos en la figura siguiente
proporcionan orientación sobre las características de
una gestión del riesgo eficaz y eficiente,
comunicando su valor y explicando su intención y
propósito.
• Estos principios son el fundamento de la gestión del
riesgo y se deberían considerar cuando se establece
el marco de referencia y los procesos de la gestión
del riesgo de la organización.
• Estos principios deberían habilitar a la organización
para gestionar los efectos de la incertidumbre
( Riesgos) sobre sus objetivos.
4 Principios
4 Principios
La gestión eficaz del riesgo requiere los elementos de la figura se
puede explicar de la siguiente forma Mediante 8 Principios.
1. Integrada. La gestión de riesgos es una parte integral de
todas las actividades de la organización .
2. Estructurada y exhaustiva. Un enfoque estructurado e
integral de la gestión de riesgos que contribuye a la
coherencia y a los resultados comparables.
3. Adaptada. El marco y el proceso de gestión de riesgos son
adaptados y proporcionales al contexto externo e interno
de la organización relacionado con sus objetivos.
4. Inclusiva. La participación adecuada y oportuna de las
partes interesadas permite su conocimiento, puntos de vista
y percepciones a considerar. Esto se traduce en una mejor
conciencia y una gestión de riesgos informada.
4 Principios
5. Dinámica. Los riesgos pueden surgir, cambiar o desaparecer
a medida que cambia el contexto externo o interno. La
gestión de riesgos anticipa, detecta, reconoce y responde a
los cambios y efecto de una forma apropiada y oportuna.
6. La mejor información disponible. Las aportaciones a la
gestión de riesgos se basan en información histórica y
actual, así como en el futuro. La gestión de riesgos tiene en
cuenta cualquier limitación e incertidumbre asociada a la
información y expectativas. La información debe ser
oportuna, clara y disponible para las partes interesadas
relevantes.
7. Factores humanos y culturales. El comportamiento humano
y la cultura influyen de forma significativa en todos los
aspectos de la gestión del riesgo en cada nivel o etapa.
8. Mejora continua. La gestión del riesgo se mejora de forma
continua mediante el aprendizaje y la experiencia.
5 Marco de referencia
5.1 Generalidades
• El propósito del marco de gestión de riesgos es
ayudar a la organización a integrar los riesgos en
todas sus actividades y funciones significativas.
• La eficacia de la gestión de riesgos dependerá sobre
la integración en la gobernanza de la organización,
incluyendo la toma de decisiones. Esto requiere del
apoyo de las partes interesadas, en particular la
alta dirección.
5 Marco de referencia
• 5.1 Generalidades
• El desarrollo del marco de referencia abarca la
integración, el diseño, la implementación, la
evaluación y mejorar la gestión de riesgos en toda
la organización. Se ilustra los componentes de un
marco en la figura siguiente.
• La organización debe evaluar sus prácticas y
procesos de gestión de riesgos existentes, evaluar
cualquier brecha y abordar estas brechas dentro del
marco. Los componentes del marco y la forma en la
que se trabajan juntos deben adaptarse para las
necesidades de la organización.
5 Marco de referencia
5 Marco de referencia
El marco de referencia debe incluir:
5.2 Liderazgo y compromiso.
La alta dirección debe demostrar liderazgo y
compromiso asegurando que la gestión del riesgo
está integrada en todas las actividades de la
organización.
• adaptando e implementando todos los
componentes del marco de referencia;
• publicando una declaración o una política que
establezca un enfoque, un plan o una línea de
acción para la gestión del riesgo;
5 Marco de referencia
5.2 Liderazgo y compromiso.
• asegurando que los recursos necesarios se asignan
para gestionar los riesgos;
• asignando autoridad, responsabilidad y obligación
de rendir cuentas en los niveles apropiados dentro
de la organización;
Esto ayudará a la organización a:
• alinear la gestión del riesgo con sus objetivos,
estrategia y cultura;
• reconocer y abordar todas las obligaciones, así como
sus compromisos voluntarios;
5 Marco de referencia
5.2 Liderazgo y compromiso.
• establecer la magnitud y el tipo de riesgo que puede
o no ser tomado para guiar el desarrollo de los
criterios del riesgo, asegurando que se comunican a
la organización y a sus partes interesadas.
• comunicar el valor de la gestión del riesgo a la
organización y sus partes interesadas;
• promover el seguimiento sistemático de los riesgos;
• asegurarse de que el marco de referencia de la
gestión del riesgo permanezca apropiado al contexto
de la organización.
5 Marco de referencia
5.3 Integración.
• La integración de la gestión del riesgo depende de la
comprensión de las estructuras y el contexto de la
organización.
• Las estructuras difieren dependiendo del propósito,
las metas y la complejidad de la organización.
• El riesgo se gestiona en cada parte de la estructura
de la organización.
• Todos los miembros de una organización tienen la
responsabilidad de gestionar el riesgo.
5 Marco de referencia
5.4 Diseño
1. Comprensión de la organización y de su contexto.
2. Articulación del compromiso con la gestión del
riesgo.
3. Asignación de roles, autoridades, responsabilidades
y obligación de rendir cuentas.
4. Asignación de recursos.
5. Establecimiento de la comunicación y la consulta
5 Marco de referencia
5.4 Diseño
1. Comprensión de la organización y de su contexto.
La organización debería analizar y comprender sus
contextos externo e interno cuando diseñe el
marco de referencia para gestionar el riesgo.
5 Marco de referencia
5.4 Diseño
1. Comprensión de la organización y de su contexto.
El análisis del contexto externo de la organización puede incluir,
pero no limitarse a:
• los factores sociales, culturales, políticos, legales,
reglamentarios, financieros, tecnológicos, económicos y
ambientales ya sea a nivel internacional, nacional, regional o
local;
• los impulsores clave y las tendencias que afectan a los
objetivos de la organización;
• las relaciones, percepciones, valores, necesidades y
expectativas de las partes interesadas externas;
• las relaciones contractuales y los compromisos;
• la complejidad de las redes y dependencias.
5 Marco de referencia
5.4 Diseño
1. Comprensión de la organización y de su contexto.
El análisis del contexto interno de la organización
puede incluir, pero no limitarse a:
• la visión, la misión y los valores;
• la gobernanza, la estructura de la organización, los
roles y la rendición de cuentas;
• la estrategia, los objetivos y las políticas;
• la cultura de la organización;
• las normas, las directrices y los modelos adoptados
por la organización;
5 Marco de referencia
5.4 Diseño
1. Comprensión de la organización y de su contexto.
El análisis del contexto interno de la organización puede incluir,
pero no limitarse a:
• las capacidades, entendidas en términos de recursos y
conocimiento (por ejemplo, capital, tiempo, personas,
propiedad intelectual, procesos, sistemas y tecnologías);
• los datos, los sistemas de información y los flujos de
información;
• las relaciones con partes interesadas internas, teniendo en
cuenta sus percepciones y valores;
• las relaciones contractuales y los compromisos;
• las interdependencias e interconexiones.
5 Marco de referencia
5.4 Diseño
2. Articulación del compromiso con la gestión del
riesgo.
La alta dirección y los organismos de supervisión, cuando sea
aplicable, deberían articular y demostrar su compromiso
continuo con la gestión del riesgo mediante una política,
El compromiso debería incluir, pero no limitarse a:
• el propósito de la organización para gestionar el riesgo y
los vínculos con sus objetivos y otras políticas;
• el refuerzo de la necesidad de integrar la gestión del riesgo
en toda la cultura de la organización;
5 Marco de referencia
5.4 Diseño
2. Articulación del compromiso con la gestión del riesgo.
• el liderazgo en la integración de la gestión del riesgo en las
actividades principales del negocio y la toma de decisiones;
• las autoridades, las responsabilidades y la obligación de
rendir cuentas;
• la disponibilidad de los recursos necesarios;
• la manera de manejar los objetivos en conflicto;
• la medición e informe como parte de los indicadores de
desempeño de la organización;
• la revisión y la mejora.
• El compromiso con la gestión del riesgo se debería comunicar
dentro de la organización y a las partes interesadas
5 Marco de referencia
5.4 Diseño
3. Asignación de roles, autoridades, responsabilidades y
obligación de rendir cuentas.
La alta dirección y los órganos de supervisión deberían
asegurarse de que las autoridades, las responsabilidades y
la obligación de rendir cuentas de los roles relevantes con
respecto a la gestión del riesgo se asignen y comuniquen a
todos los niveles de la organización y deberían:
• enfatizar que la gestión del riesgo es una responsabilidad
principal;
• identificar a las personas que tienen asignada la obligación
de rendir cuentas y la autoridad para gestionar el riesgo
(dueños del riesgo).
5 Marco de referencia
5.4 Diseño
4. Asignación de recursos.
La alta dirección y los órganos de supervisión deberían
asegurar la asignación de los recursos apropiados
para la gestión del riesgo:
• las personas, las habilidades, la experiencia y las
competencias;
• los procesos, los métodos y las herramientas de la
organización a utilizar para gestionar el riesgo;
5 Marco de referencia
5.4 Diseño
4. Asignación de recursos.
• los procesos y procedimientos documentados;
• los sistemas de gestión de la información y del
conocimiento;
• el desarrollo profesional y las necesidades de
formación.
La organización debería considerar las competencias y
limitaciones de los recursos existentes.
5 Marco de referencia
5.4 Diseño
5.Establecimiento de la comunicación y la consulta
• La organización debería establecer un enfoque
aprobado con relación a la comunicación y la
consulta, para apoyar el marco de referencia y
facilitar la aplicación eficaz de la gestión del riesgo.
• La comunicación y la consulta deberían ser
oportunas y asegurar que se recopile, consolide,
sintetice y comparta la información pertinente,
cuando sea apropiado, y que se proporcione
retroalimentación y se lleven a cabo mejoras.
5 Marco de referencia
5.5 Implementación.
• La organización debería implementar el marco de referencia
de la gestión del riesgo mediante:
• El desarrollo de un plan de implementación apropiado
incluyendo plazos y recursos.
• La identificación de dónde, cuándo, cómo y quién toma
decisiones en la organización.
• la modificación de los procesos aplicables para la toma de
decisiones, cuando sea necesario;
• el aseguramiento de que las disposiciones de la organización
para gestionar el riesgo son claramente comprendidas y
puestas en práctica.
5 Marco de referencia
5.6 Valoración
Para valorar la eficacia del marco de referencia de la
gestión del riesgo
• Medir periódicamente el desempeño del marco de
referencia de la gestión del riesgo con relación a su
propósito, sus planes para la implementación, sus
indicadores y el comportamiento esperado.
• Determinar si el marco de referencia permanece
idóneo para apoyar el logro de los objetivos de la
organización.
5 Marco de referencia
5.7 Mejora.
• La organización debería realizar el seguimiento continuo y
adaptar el marco de referencia de la gestión del riesgo en
función de los cambios externos e internos.
• La organización debería mejorar continuamente la idoneidad,
adecuación y eficacia del marco de referencia de la gestión del
riesgo y la manera en la que se integra el proceso de la
gestión del riesgo.
Cuando se identifiquen brechas u oportunidades de mejora
pertinentes, la organización debería desarrollar planes y
tareas y asignarlas a quienes tuviesen que rendir cuentas de
su implementación.
6 Proceso
• 6.1 Generalidades
• El proceso de la gestión del riesgo implica la
aplicación sistemática de políticas, procedimientos y
prácticas a las actividades de comunicación y
consulta, establecimiento del contexto , evaluación,
tratamiento, seguimiento y revisión y registro e
informe del riesgo. Este proceso se ilustra en la figura
siguiente.
6 Proceso
6 Proceso
• El proceso de la gestión del riesgo es una parte
integral de la gestión y de la toma de decisiones y se
debe integrar en la estructura, las operaciones y los
procesos de la organización.
• Puede aplicarse a nivel estratégico, operacional, de
programa o de proyecto.
• Aunque el proceso de la gestión del riesgo se
presenta frecuentemente como secuencial, en la
práctica es iterativo.
6 Proceso
• 6.2 Comunicación y consulta
• El propósito de la comunicación y
consulta es asistir a las partes
interesadas pertinentes externas
e internas, a comprender el
riesgo, las bases con las que se
toman decisiones y las razones
por las que son necesarias
acciones específicas. La consulta
implica obtener
retroalimentación e información
para apoyar la toma de
decisiones. Se debería realizar en
todas y cada una de las etapas
del proceso de la gestión del
riesgo.
6 Proceso
6.3 Alcance, contexto y
criterios
El propósito del
establecimiento del
alcance, contexto y
criterios es adaptar el
proceso de la gestión del
riesgo, para permitir una
evaluación del riesgo eficaz
y un tratamiento apropiado
del riesgo, implican definir
el alcance del proceso, y
comprender los contextos
externo e interno.
6 Proceso
6.3 Alcance, contexto y criterios
6.3.2 Definir el Alcance
• La organización debería definir el alcance de sus
actividades de gestión del riesgo.
• Como el proceso de la gestión del riesgo puede
aplicarse a niveles distintos ,estratégico, operacional,
de programa, de proyecto u otras actividades etc .
6 Proceso
6.3 Alcance, contexto y criterios
6.3.2 Definición del alcance
La definición del alcance implica considerar los siguientes
elementos:
• Objetivos y Decisiones que deben tomarse y objetivos que se
persiguen.
• Resultados que se espera de las etapas a ejecutar en el
proceso.
• Ubicaciones, tiempo, inclusiones y exclusiones.
• Herramientas apropiadas para la evaluación de riesgos.
• Recursos disponibles, responsabilidades asignadas y registros
que se mantendrán.
• Relación de la Gestión de Riesgos con otros proceso,
proyectos o actividades.
6 Proceso
6.3 Alcance, contexto y criterios
6.3.3 Contextos externo e interno El Contexto de la
organización, es el entorno en el que se mueve la
organización y en el que trabaja para alcanzar sus
metas y cumplir con sus objetivos.
• Para comprender el Contexto es importante conocer
los factores que afectan las actividades de la
organización, al interior de sus instalaciones, pero
también en el exterior.
6 Proceso
6.3 Alcance, contexto y criterios
Es importante comprender el contexto de la
organización:
1. Porque la gestión del riesgo tiene lugar en el
contexto de los objetivos y las actividades de la
organización.
2. Porque los factores que conforman el Contexto
pueden ser fuente de riesgos.
3. el propósito y alcance del proceso de la gestión del
riesgo puede estar interrelacionado con los
objetivos de la organización como un todo.
6 Proceso
6.3 Alcance, contexto y criterios
6.3.4 Definición de los criterios del riesgo
• La organización debería precisar la cantidad y el tipo
de riesgo que puede o no puede tomar, con relación
a los objetivos.
• También debería definir los criterios para valorar la
importancia del riesgo y para apoyar los procesos de
toma de decisiones.
6 Proceso
6.3 Alcance, contexto y criterios
6.3.4 Definición de los criterios del riesgo
• Los criterios del riesgo se deberían alinear con el
marco de referencia de la gestión del riesgo y
adaptar al propósito y al alcance específicos de la
actividad considerada.
• Los criterios del riesgo deberían reflejar los valores,
objetivos y recursos de la organización y ser
coherentes con las políticas y declaraciones acerca
de la gestión del riesgo.
• Los criterios se deberían definir teniendo en
consideración las obligaciones de la organización y
los puntos de vista de sus partes interesadas.
6 Proceso
6.3 Alcance, contexto y criterios
• Aunque los Criterios de Riesgo deben definirse al
iniciar el proceso de evaluación, esta es una
actividad dinámica que debe ser revisada y
modificada en forma continua.
6 Proceso
6.3 Alcance, contexto y criterios
Para establecer los Criterios de Riesgo, se deben considerar los
siguientes aspectos:
• La naturaleza y el tipo de riesgo, que pueden afectar a los
resultados y objetivos sea tangible o intangible.
• Cómo se van a definir y medir las consecuencias (tanto
positivas como negativas) y la probabilidad.
• El tiempo y la ubicación.
• la coherencia en el uso de las mediciones;
• cómo se va a determinar el nivel de riesgo;
• cómo se tendrán en cuenta las combinaciones y las
secuencias de múltiples riesgos;
• La capacidad de la organización.
6 Proceso
• 6.4 Evaluación del
riesgo
• 6.4.1 Generalidades
La evaluación del riesgo
es el proceso global de
identificación del
riesgo, análisis del
riesgo y valoración del
riesgo.
6 Proceso
• 6.4 Evaluación del riesgo
• 6.4.1 Generalidades
La evaluación del riesgo se debería llevar a cabo de
manera sistemática, iterativa y colaborativa,
basándose en el conocimiento y los puntos de vista
de las partes interesadas.
• Se debería utilizar la mejor información disponible,
complementada por investigación adicional, si fuese
necesario.
6 Proceso
6.4 Evaluación del riesgo
6.4.2 Identificación del
riesgo
6 Proceso
6.4 Evaluación del riesgo
6.4.2 Identificación del riesgo
El propósito de la identificación del riesgo es encontrar,
reconocer y describir los riesgos que pueden ayudar
o impedir a una organización lograr sus objetivos.
Para la identificación de los riesgos es importante
contar con información pertinente, apropiada y
actualizada.
• Las organizaciones pueden utilizar varias técnicas
para identificar riesgos que pueden afectar a uno o
varios objetivos.
6 Proceso
6.4 Evaluación del riesgo
6.4.2 Identificación del riesgo
Se deberían considerar los factores siguientes y la relación entre estos
factores:
las fuentes de riesgo tangibles e intangibles;
las causas y los eventos,
las amenazas y las oportunidades;
las vulnerabilidades y las capacidades;
los cambios en los contextos externo e interno;
los indicadores de riesgos emergentes;
la naturaleza y el valor de los activos y los recursos;
las consecuencias y sus impactos en los objetivos;
las limitaciones de conocimiento y la confiabilidad de la información;
los factores relacionados con el tiempo;
los sesgos, los supuestos y las creencias de las personas involucradas
6 Proceso
6.4 Evaluación del riesgo
6.4.2 Identificación del riesgo
• La organización debería identificar los riesgos, tanto
si sus fuentes están o no bajo su control.
• Se debería considerar que puede haber más de un
tipo de resultado, que puede dar lugar a una
variedad de consecuencias tangibles o intangibles.
6 Proceso
6.4 Evaluación del riesgo
6.4.3 Análisis del riesgo
6 Proceso
6.4 Evaluación del riesgo
6.4.3 Análisis del riesgo
• El propósito del análisis de riesgos es comprender la
naturaleza del riesgo y sus características
incluyendo, cuando sea apropiado, el nivel del riesgo,
lo que requiere considerar la probabilidad de
ocurrencia del evento, el escenario, el posible
impacto y los escenarios en los que se puede dar.
El análisis, dentro de la evaluación de riesgos, puede
efectuarse con diferentes niveles de detalle.
6 Proceso
6.4 Evaluación del riesgo
6.4.3 Análisis del riesgo
• Por supuesto, la complejidad depende del propósito
del análisis y la calidad de la información disponible y
los recursos disponibles.
• Las técnicas de análisis pueden ser cualitativas,
cuantitativas o una combinación de éstas,
dependiendo de las circunstancias y del uso previsto.
6 Proceso
6.4 Evaluación del riesgo
6.4.3 Análisis del riesgo
El análisis del riesgo debería considerar factores tales
como:
• la probabilidad de los eventos y de las
consecuencias;
• la naturaleza y la magnitud de las consecuencias;
• la complejidad y la interconexión;
• los factores relacionados con el tiempo y la
volatilidad;
• la eficacia de los controles existentes;
• los niveles de sensibilidad y de confianza.
6 Proceso
6.4 Evaluación del riesgo
6.4.3 Análisis del riesgo
El análisis de riesgos puede afectase por causa de la
diferencia de opiniones entre las partes interesadas,
los sesgos, las diferencia entre las percepciones del
riesgo, e, incluso, por suposiciones infundadas que
conducen a exclusiones que limitan el efecto final del
análisis.
6 Proceso
6.4 Evaluación del riesgo
6.4.3 Análisis del riesgo
• Los eventos de alta incertidumbre pueden ser
difíciles de cuantificar. Esto puede ser una cuestión
importante cuando se analizan eventos con
consecuencias severas. En tales casos, el uso de una
combinación de técnicas generalmente proporciona
una visión más amplia.
6 Proceso
6.4 Evaluación del riesgo
6.4.3 Análisis del riesgo
• El análisis del riesgo proporciona una entrada para
la valoración del riesgo, para las decisiones sobre la
manera de tratar los riesgos y si es necesario hacerlo
y sobre la estrategia y los métodos más apropiados
de tratamiento del riesgo. Los resultados
proporcionan un entendimiento profundo para
tomar decisiones, cuando se está eligiendo entre
distintas alternativas, y las opciones implican
diferentes tipos y niveles de riesgo.
6 Proceso
6.4 Evaluación del riesgo
6.4.4 Valoración del
riesgo
6 Proceso
6.4 Evaluación del riesgo
6.4.4 Valoración del riesgo
El propósito de la valoración del riesgo es apoyar a la
toma de decisiones. La valoración del riesgo implica
comparar los resultados del análisis del riesgo con
los criterios del riesgo establecidos para determinar
cuándo se requiere una acción adicional.
6 Proceso
6.4 Evaluación del riesgo
6.4.4 Valoración del riesgo
Esto puede conducir a una decisión de:
• no hacer nada más;
• considerar opciones para el tratamiento del riesgo;
• realizar un análisis adicional para comprender mejor
el riesgo;
• mantener los controles existentes;
• reconsiderar los objetivos.
6 Proceso
6.4 Evaluación del riesgo
6.4.4 Valoración del riesgo
• Las decisiones deberían tener en cuenta un contexto
más amplio y las consecuencias reales y percibidas
por las partes interesadas externas e internas.
• Los resultados de la valoración del riesgo se deberían
registrar, comunicar y luego validar a los niveles
apropiados de la organización.
6 Proceso
• 6.5 Tratamiento del
riesgo
• 6.5.1 Generalidades
El propósito del
tratamiento del riesgo
es seleccionar e
implementar las
opciones para abordar
el riesgo.
6 Proceso
• 6.5 Tratamiento del riesgo
• 6.5.1 Generalidades
El tratamiento del riesgo implica un proceso iterativo:
• formular y seleccionar opciones para el tratamiento
del riesgo;
• planificar e implementar el tratamiento del riesgo;
• evaluar la eficacia de ese tratamiento;
• decidir si el riesgo residual es aceptable;
• si no es aceptable, efectuar tratamiento adicional.
6 Proceso
• 6.5 Tratamiento del riesgo
• 6.5.2 Selección de las opciones para el tratamiento
del riesgo
La selección de las opciones de tratamiento de riesgo
que resulten más efectivas, requiere poner en una
balanza los beneficios potenciales derivados de la
efectividad de la acción propuesta, por un lado, y el
costo, el esfuerzo y las desventajas que
eventualmente pudiesen surgir como consecuencia
de la implementación.
6 Proceso
• 6.5 Tratamiento del riesgo
• 6.5.2 Selección de las opciones para el tratamiento
del riesgo
Las opciones de tratamiento de riesgos según ISO
31000:2018 no son excluyentes o apropiadas entre
sí.
Tampoco resultan eficaces en todas las circunstancias.
6 Proceso
• 6.5 Tratamiento del riesgo
• 6.5.2 Selección de las opciones para el tratamiento del
riesgo
Las opciones para tratar el riesgo pueden implicar una o más de
las siguientes:
1. evitar el riesgo decidiendo no iniciar o continuar con la
actividad que genera el riesgo;
2. aceptar o aumentar el riesgo en busca de una oportunidad;
3. eliminar la fuente de riesgo;
4. modificar la probabilidad;
5. modificar las consecuencias;
6. compartir el riesgo (por ejemplo: a través de contratos,
compra de seguros);
7. retener el riesgo con base en una decisión informada
6 Proceso
• 6.5 Tratamiento del riesgo
• 6.5.2 Selección de las opciones para el tratamiento del riesgo
• Las variables con base en las cuales se realiza el tratamiento
de riesgos van más allá de las consideraciones económicas.
Es preciso tener en cuenta las opiniones de las partes
interesadas, las obligaciones La selección de las opciones
para el tratamiento del riesgo debería realizarse de acuerdo
con los objetivos de la organización, los criterios del riesgo y
los recursos disponibles. El tratamiento de riesgos aunque se
diseñe e implemente en forma cuidadosa, puede no ofrecer
los resultados esperados para la organización o para algunas
partes interesadas.
6 Proceso
• 6.5 Tratamiento del riesgo
• 6.5.2 Selección de las opciones para el tratamiento del riesgo
• El seguimiento y la revisión deben formar parte integral del
proceso de tratamiento de riesgos a fin de garantizar que las
acciones implementadas sigan siempre siendo efectivas. El
tratamiento del riesgo a su vez puede introducir nuevos
riesgos que necesiten gestionarse.
• Si no hay opciones disponibles para el tratamiento o si las
opciones para el tratamiento no modifican suficientemente el
riesgo, éste se debería registrar y mantener en continua
revisión.
6 Proceso
• 6.5 Tratamiento del riesgo
• 6.5.2 Selección de las opciones para el tratamiento
del riesgo
• Las personas que toman decisiones y otras partes
interesadas deberían ser conscientes de la naturaleza
y el nivel del riesgo residual después del tratamiento
del riesgo.
• El riesgo residual se debería documentar y ser objeto
de seguimiento, revisión y, cuando sea apropiado, de
tratamiento adicional.
6 Proceso
• 6.5 Tratamiento del riesgo
• 6.5.3 Preparación e implementación de los planes de
tratamiento del riesgo
• El propósito de los planes de tratamiento del riesgo es
especificar la manera en la que se implementarán las
opciones elegidas para el tratamiento, de manera tal que los
involucrados comprendan las disposiciones, y que pueda
realizarse el seguimiento del avance respecto de lo
planificado.
• El plan de tratamiento debería identificar claramente el orden
en el cual el tratamiento del riesgo se debería implementar.
• Los planes de tratamiento deberían integrarse en los planes y
procesos de la gestión de la organización, en consulta con las
partes interesadas apropiadas.
6 Proceso
• 6.5 Tratamiento del riesgo
• 6.5.3 Preparación e implementación de los planes
de tratamiento del riesgo
La información provista en el plan de tratamiento de
riesgos debe incluir:
• el fundamento de la elección de las opciones de
tratamiento, incluyendo beneficios esperados.
• Quiénes son los responsables de aprobar e
implementar el plan.
6 Proceso
• 6.5 Tratamiento del riesgo
• 6.5.3 Preparación e implementación de los planes
de tratamiento del riesgo
• Las acciones de tratamiento propuestas.
• Recursos requeridos, incluyendo los necesarios en
caso de contingencia.
• Mediciones de desempeño del plan.
• las restricciones;
• los informes y seguimiento requeridos;
• los plazos previstos para la realización y la
finalización de las acciones
6 Proceso
• 6.6 Seguimiento y
revisión
El propósito del
seguimiento y la
revisión es asegurar y
mejorar la calidad y la
eficacia del diseño, la
implementación y los
resultados del proceso.
6 Proceso
• 6.6 Seguimiento y revisión
El seguimiento continuo y la revisión periódica del proceso de la
gestión del riesgo y sus resultados debería ser una parte
planificada del proceso de la gestión del riesgo, con
responsabilidades claramente definidas.
• El seguimiento y la revisión deberían tener lugar en todas
etapas del proceso.
• El seguimiento y la revisión incluyen planificar, recopilar y
analizar información, registrar resultados y proporcionar
retroalimentación.
• Los resultados del seguimiento y la revisión deberían
incorporarse a todas las actividades de la gestión del
desempeño, de medición y de informe de la organización.
6 Proceso
• 6.7 Registro e informe
• El proceso de la gestión
del riesgo y sus
resultados se deberían
documentar e informar
a través de los
mecanismos
apropiados.
6 Proceso
• 6.7 Registro e informe
El registro e informe pretenden:
• comunicar las actividades de la gestión del riesgo y
sus resultados a lo largo de la organización;
• proporcionar información para la toma de
decisiones;
• mejorar las actividades de la gestión del riesgo;
• asistir la interacción con las partes interesadas,
incluyendo a las personas que tienen la
responsabilidad y la obligación de rendir cuentas de
las actividades de la gestión del riesgo.
6 Proceso
• 6.7 Registro e informe
• El informe es una parte integral de la gobernanza de la
organización y debería mejorar la calidad del diálogo con las
partes interesadas, y apoyar a la alta dirección y a los órganos
de supervisión a cumplir sus responsabilidades.
Los factores a considerar en el informe incluyen, pero no se
limitan a:
• las diferentes partes interesadas, sus necesidades y requisitos
específicos de información;
• el costo, la frecuencia y los tiempos del informe;
• el método del informe;
• la pertinencia de la información con respecto a los objetivos
de la organización y la toma de decisiones.
Conclusión
• ISO 31000 ayuda a las organizaciones a desarrollar una
estrategia de gestión de riesgos para identificar y mitigar los
riesgos de manera efectiva, mejorando así la probabilidad de
lograr sus objetivos y aumentando la protección de sus
bienes.
• Su objetivo general es desarrollar una cultura de gestión de
riesgos en la que los empleados y las partes interesadas sean
conscientes de la importancia de supervisar y gestionar los
riesgos.
• La implementación de ISO 31000 también ayuda a las
organizaciones a ver tanto las oportunidades positivas como
las consecuencias negativas asociadas con el riesgo, y permite
una decisión más informada y, por lo tanto, más efectiva , es
decir, en la asignación de recursos. Además, puede ser un
componente activo para mejorar el gobierno de una
organización y, en última instancia, su desempeño.
V 2020
FIN
Una Introducción a la Norma ISO
31000:2018
Gestión del riesgo Directrices

Más contenido relacionado

La actualidad más candente

ISO 31000 2018 Gestion de Riesgos
ISO 31000 2018 Gestion de RiesgosISO 31000 2018 Gestion de Riesgos
ISO 31000 2018 Gestion de Riesgos
Primala Sistema de Gestion
 
ISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOSISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOS
Juan Carlos Bajo Albarracín
 
Iso 27001 interpretación introducción
Iso 27001   interpretación introducciónIso 27001   interpretación introducción
Iso 27001 interpretación introducción
Maria Jose Buigues
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
Jaime Andrés Bello Vieda
 
Iso estructura de alto nivel (hsl)
Iso estructura de alto nivel (hsl)Iso estructura de alto nivel (hsl)
Iso estructura de alto nivel (hsl)
Primala Sistema de Gestion
 
Iso 370012016 sgas
Iso 370012016 sgasIso 370012016 sgas
Iso 370012016 sgas
Primala Sistema de Gestion
 
Iso 45001
Iso 45001Iso 45001
Introduccion a la norma iso 9001 2015
Introduccion a la norma iso 9001 2015Introduccion a la norma iso 9001 2015
Introduccion a la norma iso 9001 2015
Primala Sistema de Gestion
 
Iso 9 norma iso 19011 actualizacion
Iso 9 norma iso 19011 actualizacionIso 9 norma iso 19011 actualizacion
Iso 9 norma iso 19011 actualizacion
Primala Sistema de Gestion
 
OHSAS 18000, 18001, 18002
OHSAS 18000, 18001, 18002OHSAS 18000, 18001, 18002
OHSAS 18000, 18001, 18002
Genesis Acosta
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
julianabh
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
SISTEMAS DE GESTIÓN INTEGRADOS
SISTEMAS DE GESTIÓN INTEGRADOSSISTEMAS DE GESTIÓN INTEGRADOS
SISTEMAS DE GESTIÓN INTEGRADOS
Oxford Group
 
Historia iso
Historia isoHistoria iso
Iso sistema integrado de gestion v 2020
Iso  sistema integrado de gestion v 2020Iso  sistema integrado de gestion v 2020
Iso sistema integrado de gestion v 2020
Primala Sistema de Gestion
 
Sistema de gestión integral - ¿Qué es?
Sistema de gestión integral - ¿Qué es?Sistema de gestión integral - ¿Qué es?
Sistema de gestión integral - ¿Qué es?
DQS de México
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
navidisey
 
ISO 21500 vs PMI - Comparación
ISO 21500 vs PMI - ComparaciónISO 21500 vs PMI - Comparación
ISO 21500 vs PMI - Comparación
Sergio Salimbeni
 
2 modulo n°2 iso 19011
2 modulo n°2 iso 190112 modulo n°2 iso 19011
2 modulo n°2 iso 19011
Alejandro Arbelaez
 
Implantar cap. 6 Planificación ISO14001
Implantar cap. 6 Planificación ISO14001Implantar cap. 6 Planificación ISO14001
Implantar cap. 6 Planificación ISO14001
Fsc. Xavier Trujillo Rius
 

La actualidad más candente (20)

ISO 31000 2018 Gestion de Riesgos
ISO 31000 2018 Gestion de RiesgosISO 31000 2018 Gestion de Riesgos
ISO 31000 2018 Gestion de Riesgos
 
ISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOSISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOS
 
Iso 27001 interpretación introducción
Iso 27001   interpretación introducciónIso 27001   interpretación introducción
Iso 27001 interpretación introducción
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
 
Iso estructura de alto nivel (hsl)
Iso estructura de alto nivel (hsl)Iso estructura de alto nivel (hsl)
Iso estructura de alto nivel (hsl)
 
Iso 370012016 sgas
Iso 370012016 sgasIso 370012016 sgas
Iso 370012016 sgas
 
Iso 45001
Iso 45001Iso 45001
Iso 45001
 
Introduccion a la norma iso 9001 2015
Introduccion a la norma iso 9001 2015Introduccion a la norma iso 9001 2015
Introduccion a la norma iso 9001 2015
 
Iso 9 norma iso 19011 actualizacion
Iso 9 norma iso 19011 actualizacionIso 9 norma iso 19011 actualizacion
Iso 9 norma iso 19011 actualizacion
 
OHSAS 18000, 18001, 18002
OHSAS 18000, 18001, 18002OHSAS 18000, 18001, 18002
OHSAS 18000, 18001, 18002
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
SISTEMAS DE GESTIÓN INTEGRADOS
SISTEMAS DE GESTIÓN INTEGRADOSSISTEMAS DE GESTIÓN INTEGRADOS
SISTEMAS DE GESTIÓN INTEGRADOS
 
Historia iso
Historia isoHistoria iso
Historia iso
 
Iso sistema integrado de gestion v 2020
Iso  sistema integrado de gestion v 2020Iso  sistema integrado de gestion v 2020
Iso sistema integrado de gestion v 2020
 
Sistema de gestión integral - ¿Qué es?
Sistema de gestión integral - ¿Qué es?Sistema de gestión integral - ¿Qué es?
Sistema de gestión integral - ¿Qué es?
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
ISO 21500 vs PMI - Comparación
ISO 21500 vs PMI - ComparaciónISO 21500 vs PMI - Comparación
ISO 21500 vs PMI - Comparación
 
2 modulo n°2 iso 19011
2 modulo n°2 iso 190112 modulo n°2 iso 19011
2 modulo n°2 iso 19011
 
Implantar cap. 6 Planificación ISO14001
Implantar cap. 6 Planificación ISO14001Implantar cap. 6 Planificación ISO14001
Implantar cap. 6 Planificación ISO14001
 

Similar a Iso 31000 2018 v 2020

Curso asincrónico ISO 37001 2016 – Sistema de Gestión Antisoborno.pdf.docx
Curso asincrónico ISO 37001 2016 – Sistema de Gestión Antisoborno.pdf.docxCurso asincrónico ISO 37001 2016 – Sistema de Gestión Antisoborno.pdf.docx
Curso asincrónico ISO 37001 2016 – Sistema de Gestión Antisoborno.pdf.docx
luis k
 
Iso norma iso 45001 presentacion v 2020
Iso  norma iso 45001 presentacion v 2020Iso  norma iso 45001 presentacion v 2020
Iso norma iso 45001 presentacion v 2020
Primala Sistema de Gestion
 
Iso norma iso 55001
Iso norma  iso 55001Iso norma  iso 55001
Iso norma iso 55001
Primala Sistema de Gestion
 
Iso 31000 2009 risk management
Iso 31000 2009 risk managementIso 31000 2009 risk management
Iso 31000 2009 risk management
Alexander Velasque Rimac
 
ISO 31000:2009 GESTION DE RIESGO
ISO 31000:2009 GESTION DE RIESGOISO 31000:2009 GESTION DE RIESGO
ISO 31000:2009 GESTION DE RIESGO
Warwick Fabrics (Australia) Pty. Ltd.
 
ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005
Melvin Jáquez
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
krn kdna cadena
 
Calidad en Proyectos de TI
Calidad en Proyectos de TICalidad en Proyectos de TI
Calidad en Proyectos de TI
Jesus Cisneros Morales
 
La gestión de riesgos v 2020
La gestión de  riesgos v 2020La gestión de  riesgos v 2020
La gestión de riesgos v 2020
Primala Sistema de Gestion
 
Ensayo u4
Ensayo u4Ensayo u4
Ensayo u4
sergio
 
Trabajo final isos
Trabajo final isosTrabajo final isos
Trabajo final isos
Ivan Martinez
 
WEBINAR GESTIÓN DE RIESGOS 2 HORAS.pptx
WEBINAR GESTIÓN DE RIESGOS 2 HORAS.pptxWEBINAR GESTIÓN DE RIESGOS 2 HORAS.pptx
WEBINAR GESTIÓN DE RIESGOS 2 HORAS.pptx
CarlosRamos605522
 
T2- SISTEMA INTEGRADOS DE GESTION.pptx
T2- SISTEMA INTEGRADOS DE GESTION.pptxT2- SISTEMA INTEGRADOS DE GESTION.pptx
T2- SISTEMA INTEGRADOS DE GESTION.pptx
MonicaAlejandraCHAVA1
 
unidad2_pdf1.pdf
unidad2_pdf1.pdfunidad2_pdf1.pdf
unidad2_pdf1.pdf
FundacionSemillasDEE
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Manuel Garcia Ramos
 
Marcos ISO 31.000 y COSO ERM para Controles Internos - De la competencia a la...
Marcos ISO 31.000 y COSO ERM para Controles Internos - De la competencia a la...Marcos ISO 31.000 y COSO ERM para Controles Internos - De la competencia a la...
Marcos ISO 31.000 y COSO ERM para Controles Internos - De la competencia a la...
Hernan Huwyler, MBA CPA
 
documento 1.pdf
documento 1.pdfdocumento 1.pdf
documento 1.pdf
CarlosMontoyaHerrers
 
Plática informativa ISO 31000 Gestión de Riesgos
Plática informativa ISO 31000 Gestión de RiesgosPlática informativa ISO 31000 Gestión de Riesgos
Plática informativa ISO 31000 Gestión de Riesgos
Horacio Javier Martinez Rivera
 
Normas Iso
Normas IsoNormas Iso
Normas Iso
Anthony Intriago
 
Blogg
BloggBlogg

Similar a Iso 31000 2018 v 2020 (20)

Curso asincrónico ISO 37001 2016 – Sistema de Gestión Antisoborno.pdf.docx
Curso asincrónico ISO 37001 2016 – Sistema de Gestión Antisoborno.pdf.docxCurso asincrónico ISO 37001 2016 – Sistema de Gestión Antisoborno.pdf.docx
Curso asincrónico ISO 37001 2016 – Sistema de Gestión Antisoborno.pdf.docx
 
Iso norma iso 45001 presentacion v 2020
Iso  norma iso 45001 presentacion v 2020Iso  norma iso 45001 presentacion v 2020
Iso norma iso 45001 presentacion v 2020
 
Iso norma iso 55001
Iso norma  iso 55001Iso norma  iso 55001
Iso norma iso 55001
 
Iso 31000 2009 risk management
Iso 31000 2009 risk managementIso 31000 2009 risk management
Iso 31000 2009 risk management
 
ISO 31000:2009 GESTION DE RIESGO
ISO 31000:2009 GESTION DE RIESGOISO 31000:2009 GESTION DE RIESGO
ISO 31000:2009 GESTION DE RIESGO
 
ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Calidad en Proyectos de TI
Calidad en Proyectos de TICalidad en Proyectos de TI
Calidad en Proyectos de TI
 
La gestión de riesgos v 2020
La gestión de  riesgos v 2020La gestión de  riesgos v 2020
La gestión de riesgos v 2020
 
Ensayo u4
Ensayo u4Ensayo u4
Ensayo u4
 
Trabajo final isos
Trabajo final isosTrabajo final isos
Trabajo final isos
 
WEBINAR GESTIÓN DE RIESGOS 2 HORAS.pptx
WEBINAR GESTIÓN DE RIESGOS 2 HORAS.pptxWEBINAR GESTIÓN DE RIESGOS 2 HORAS.pptx
WEBINAR GESTIÓN DE RIESGOS 2 HORAS.pptx
 
T2- SISTEMA INTEGRADOS DE GESTION.pptx
T2- SISTEMA INTEGRADOS DE GESTION.pptxT2- SISTEMA INTEGRADOS DE GESTION.pptx
T2- SISTEMA INTEGRADOS DE GESTION.pptx
 
unidad2_pdf1.pdf
unidad2_pdf1.pdfunidad2_pdf1.pdf
unidad2_pdf1.pdf
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Marcos ISO 31.000 y COSO ERM para Controles Internos - De la competencia a la...
Marcos ISO 31.000 y COSO ERM para Controles Internos - De la competencia a la...Marcos ISO 31.000 y COSO ERM para Controles Internos - De la competencia a la...
Marcos ISO 31.000 y COSO ERM para Controles Internos - De la competencia a la...
 
documento 1.pdf
documento 1.pdfdocumento 1.pdf
documento 1.pdf
 
Plática informativa ISO 31000 Gestión de Riesgos
Plática informativa ISO 31000 Gestión de RiesgosPlática informativa ISO 31000 Gestión de Riesgos
Plática informativa ISO 31000 Gestión de Riesgos
 
Normas Iso
Normas IsoNormas Iso
Normas Iso
 
Blogg
BloggBlogg
Blogg
 

Más de Primala Sistema de Gestion

Reseña historica de ISO v 2020
Reseña historica de ISO v 2020Reseña historica de ISO v 2020
Reseña historica de ISO v 2020
Primala Sistema de Gestion
 
Lean manufacturing kanban v 2020
Lean manufacturing  kanban v 2020Lean manufacturing  kanban v 2020
Lean manufacturing kanban v 2020
Primala Sistema de Gestion
 
Lean manufacturing smed v 2020
Lean manufacturing smed v 2020Lean manufacturing smed v 2020
Lean manufacturing smed v 2020
Primala Sistema de Gestion
 
Lean nivelado v 2020
Lean nivelado v 2020Lean nivelado v 2020
Lean nivelado v 2020
Primala Sistema de Gestion
 
Lean jit v 2020
Lean jit v 2020Lean jit v 2020
Lean tpm v 2020
Lean  tpm v 2020Lean  tpm v 2020
Lean manufacturing celularizacion v 2020
Lean manufacturing  celularizacion v 2020Lean manufacturing  celularizacion v 2020
Lean manufacturing celularizacion v 2020
Primala Sistema de Gestion
 
Lean hk nk 2020
Lean hk nk 2020Lean hk nk 2020
Lean jidoka 2020
Lean jidoka 2020Lean jidoka 2020
Lean jidoka 2020
Primala Sistema de Gestion
 
Lean manufacturing gestion visual v 2020
Lean manufacturing gestion  visual  v 2020Lean manufacturing gestion  visual  v 2020
Lean manufacturing gestion visual v 2020
Primala Sistema de Gestion
 
Lean poka yoke v 2020
Lean poka yoke  v 2020Lean poka yoke  v 2020
Lean poka yoke v 2020
Primala Sistema de Gestion
 
La fabrica visual v 2020
La fabrica visual v 2020La fabrica visual v 2020
La fabrica visual v 2020
Primala Sistema de Gestion
 
Iso norma iso 45001 analisis v 2020
Iso norma iso 45001 analisis v 2020Iso norma iso 45001 analisis v 2020
Iso norma iso 45001 analisis v 2020
Primala Sistema de Gestion
 
Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...
Norma iso  28000  sistema de gestion de seguridad  la cadena de suministros v...Norma iso  28000  sistema de gestion de seguridad  la cadena de suministros v...
Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...
Primala Sistema de Gestion
 
Iso 22301 sgcn bcms v 2020
Iso 22301 sgcn bcms v 2020Iso 22301 sgcn bcms v 2020
Iso 22301 sgcn bcms v 2020
Primala Sistema de Gestion
 
Gestion de activos rs y ods v 2020
Gestion de activos rs y ods v 2020Gestion de activos rs y ods v 2020
Gestion de activos rs y ods v 2020
Primala Sistema de Gestion
 
Panorama sobre la gestion de activos modelos conceptuales v 2020
Panorama sobre la gestion de activos modelos conceptuales v 2020Panorama sobre la gestion de activos modelos conceptuales v 2020
Panorama sobre la gestion de activos modelos conceptuales v 2020
Primala Sistema de Gestion
 
Accion sobre los activos gestion de activos y sga v 2020
Accion sobre los activos  gestion de activos y sga v 2020Accion sobre los activos  gestion de activos y sga v 2020
Accion sobre los activos gestion de activos y sga v 2020
Primala Sistema de Gestion
 
Iso norma iso 55001 v 2020
Iso norma  iso 55001 v 2020 Iso norma  iso 55001 v 2020
Iso norma iso 55001 v 2020
Primala Sistema de Gestion
 
Iso 39001 2012 sgsv v 2020
Iso 39001 2012 sgsv v 2020Iso 39001 2012 sgsv v 2020
Iso 39001 2012 sgsv v 2020
Primala Sistema de Gestion
 

Más de Primala Sistema de Gestion (20)

Reseña historica de ISO v 2020
Reseña historica de ISO v 2020Reseña historica de ISO v 2020
Reseña historica de ISO v 2020
 
Lean manufacturing kanban v 2020
Lean manufacturing  kanban v 2020Lean manufacturing  kanban v 2020
Lean manufacturing kanban v 2020
 
Lean manufacturing smed v 2020
Lean manufacturing smed v 2020Lean manufacturing smed v 2020
Lean manufacturing smed v 2020
 
Lean nivelado v 2020
Lean nivelado v 2020Lean nivelado v 2020
Lean nivelado v 2020
 
Lean jit v 2020
Lean jit v 2020Lean jit v 2020
Lean jit v 2020
 
Lean tpm v 2020
Lean  tpm v 2020Lean  tpm v 2020
Lean tpm v 2020
 
Lean manufacturing celularizacion v 2020
Lean manufacturing  celularizacion v 2020Lean manufacturing  celularizacion v 2020
Lean manufacturing celularizacion v 2020
 
Lean hk nk 2020
Lean hk nk 2020Lean hk nk 2020
Lean hk nk 2020
 
Lean jidoka 2020
Lean jidoka 2020Lean jidoka 2020
Lean jidoka 2020
 
Lean manufacturing gestion visual v 2020
Lean manufacturing gestion  visual  v 2020Lean manufacturing gestion  visual  v 2020
Lean manufacturing gestion visual v 2020
 
Lean poka yoke v 2020
Lean poka yoke  v 2020Lean poka yoke  v 2020
Lean poka yoke v 2020
 
La fabrica visual v 2020
La fabrica visual v 2020La fabrica visual v 2020
La fabrica visual v 2020
 
Iso norma iso 45001 analisis v 2020
Iso norma iso 45001 analisis v 2020Iso norma iso 45001 analisis v 2020
Iso norma iso 45001 analisis v 2020
 
Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...
Norma iso  28000  sistema de gestion de seguridad  la cadena de suministros v...Norma iso  28000  sistema de gestion de seguridad  la cadena de suministros v...
Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...
 
Iso 22301 sgcn bcms v 2020
Iso 22301 sgcn bcms v 2020Iso 22301 sgcn bcms v 2020
Iso 22301 sgcn bcms v 2020
 
Gestion de activos rs y ods v 2020
Gestion de activos rs y ods v 2020Gestion de activos rs y ods v 2020
Gestion de activos rs y ods v 2020
 
Panorama sobre la gestion de activos modelos conceptuales v 2020
Panorama sobre la gestion de activos modelos conceptuales v 2020Panorama sobre la gestion de activos modelos conceptuales v 2020
Panorama sobre la gestion de activos modelos conceptuales v 2020
 
Accion sobre los activos gestion de activos y sga v 2020
Accion sobre los activos  gestion de activos y sga v 2020Accion sobre los activos  gestion de activos y sga v 2020
Accion sobre los activos gestion de activos y sga v 2020
 
Iso norma iso 55001 v 2020
Iso norma  iso 55001 v 2020 Iso norma  iso 55001 v 2020
Iso norma iso 55001 v 2020
 
Iso 39001 2012 sgsv v 2020
Iso 39001 2012 sgsv v 2020Iso 39001 2012 sgsv v 2020
Iso 39001 2012 sgsv v 2020
 

Último

CARTA AL MAESTRO BERESHIT hoy que se rinde homenaje al maestro
CARTA AL MAESTRO BERESHIT hoy que se rinde homenaje al maestroCARTA AL MAESTRO BERESHIT hoy que se rinde homenaje al maestro
CARTA AL MAESTRO BERESHIT hoy que se rinde homenaje al maestro
Edward Chero Valdivieso
 
Demonios marinos - Jonh Eckhardtttt5tt.pdf
Demonios marinos - Jonh Eckhardtttt5tt.pdfDemonios marinos - Jonh Eckhardtttt5tt.pdf
Demonios marinos - Jonh Eckhardtttt5tt.pdf
BorisStevanBoniekHer
 
Libro Misionero Adventista para 2025 .pptx
Libro Misionero Adventista para 2025 .pptxLibro Misionero Adventista para 2025 .pptx
Libro Misionero Adventista para 2025 .pptx
alguienjoshep
 
PROYEDC LOS DOS SORAS CATEDRA VALLEJO UCV
PROYEDC LOS DOS SORAS CATEDRA VALLEJO UCVPROYEDC LOS DOS SORAS CATEDRA VALLEJO UCV
PROYEDC LOS DOS SORAS CATEDRA VALLEJO UCV
juandavidllontosolis
 
Empleo, inclusión y bienestar. Discapacidad intelectual o del desarrollo.pdf
Empleo, inclusión y bienestar. Discapacidad intelectual o del desarrollo.pdfEmpleo, inclusión y bienestar. Discapacidad intelectual o del desarrollo.pdf
Empleo, inclusión y bienestar. Discapacidad intelectual o del desarrollo.pdf
José María
 
Evis Carballosa - Romanos.pdf libro de texto
Evis Carballosa - Romanos.pdf libro de textoEvis Carballosa - Romanos.pdf libro de texto
Evis Carballosa - Romanos.pdf libro de texto
Ivonne126228
 
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_8.pptx
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_8.pptxW0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_8.pptx
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_8.pptx
Giovanny Puente
 
Capacitación Ley Karin - Colaboral Consultores
Capacitación Ley Karin - Colaboral ConsultoresCapacitación Ley Karin - Colaboral Consultores
Capacitación Ley Karin - Colaboral Consultores
comunidadcolaboral
 
CASO LISA BENTON FINAL-GRUPO B.pptx analisis
CASO LISA BENTON FINAL-GRUPO B.pptx analisisCASO LISA BENTON FINAL-GRUPO B.pptx analisis
CASO LISA BENTON FINAL-GRUPO B.pptx analisis
jzegarrapa
 
Acompañamiento social en los procesos de inclusión. La perspectiva de género....
Acompañamiento social en los procesos de inclusión. La perspectiva de género....Acompañamiento social en los procesos de inclusión. La perspectiva de género....
Acompañamiento social en los procesos de inclusión. La perspectiva de género....
José María
 
el codigo de campeon libro de Dante gebel
el codigo de campeon libro de Dante gebelel codigo de campeon libro de Dante gebel
el codigo de campeon libro de Dante gebel
filadelfiaibague
 

Último (11)

CARTA AL MAESTRO BERESHIT hoy que se rinde homenaje al maestro
CARTA AL MAESTRO BERESHIT hoy que se rinde homenaje al maestroCARTA AL MAESTRO BERESHIT hoy que se rinde homenaje al maestro
CARTA AL MAESTRO BERESHIT hoy que se rinde homenaje al maestro
 
Demonios marinos - Jonh Eckhardtttt5tt.pdf
Demonios marinos - Jonh Eckhardtttt5tt.pdfDemonios marinos - Jonh Eckhardtttt5tt.pdf
Demonios marinos - Jonh Eckhardtttt5tt.pdf
 
Libro Misionero Adventista para 2025 .pptx
Libro Misionero Adventista para 2025 .pptxLibro Misionero Adventista para 2025 .pptx
Libro Misionero Adventista para 2025 .pptx
 
PROYEDC LOS DOS SORAS CATEDRA VALLEJO UCV
PROYEDC LOS DOS SORAS CATEDRA VALLEJO UCVPROYEDC LOS DOS SORAS CATEDRA VALLEJO UCV
PROYEDC LOS DOS SORAS CATEDRA VALLEJO UCV
 
Empleo, inclusión y bienestar. Discapacidad intelectual o del desarrollo.pdf
Empleo, inclusión y bienestar. Discapacidad intelectual o del desarrollo.pdfEmpleo, inclusión y bienestar. Discapacidad intelectual o del desarrollo.pdf
Empleo, inclusión y bienestar. Discapacidad intelectual o del desarrollo.pdf
 
Evis Carballosa - Romanos.pdf libro de texto
Evis Carballosa - Romanos.pdf libro de textoEvis Carballosa - Romanos.pdf libro de texto
Evis Carballosa - Romanos.pdf libro de texto
 
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_8.pptx
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_8.pptxW0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_8.pptx
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_8.pptx
 
Capacitación Ley Karin - Colaboral Consultores
Capacitación Ley Karin - Colaboral ConsultoresCapacitación Ley Karin - Colaboral Consultores
Capacitación Ley Karin - Colaboral Consultores
 
CASO LISA BENTON FINAL-GRUPO B.pptx analisis
CASO LISA BENTON FINAL-GRUPO B.pptx analisisCASO LISA BENTON FINAL-GRUPO B.pptx analisis
CASO LISA BENTON FINAL-GRUPO B.pptx analisis
 
Acompañamiento social en los procesos de inclusión. La perspectiva de género....
Acompañamiento social en los procesos de inclusión. La perspectiva de género....Acompañamiento social en los procesos de inclusión. La perspectiva de género....
Acompañamiento social en los procesos de inclusión. La perspectiva de género....
 
el codigo de campeon libro de Dante gebel
el codigo de campeon libro de Dante gebelel codigo de campeon libro de Dante gebel
el codigo de campeon libro de Dante gebel
 

Iso 31000 2018 v 2020

  • 1. Una Introducción a la Norma ISO 31000:2018 Gestión del riesgo Directrices V 2020
  • 2. Introducción • Vivimos en un mundo en constante cambio donde nos vemos obligados a tratar incertidumbre todos los días, como un organización aborda esa incertidumbre puede ser clave para su éxito. • El riesgo es una parte necesaria para hacer negocios, y en un mundo donde enorme cantidades de datos están siendo procesadas a tasas cada vez más rápidas, identificando y mitigar riesgos es un desafío y no es de extrañar entonces que muchos contratos y acuerdos de seguro requieren evidencia sólida práctica de gestión de riesgos.
  • 3. Introducción • ISO 31000:2018 proporciona instrucciones sobre cómo las empresas pueden integrarse en función del riesgo toma de decisiones en la organización gobernanza, planificación, gestión, informes, políticas, valores y cultura. • Es un sistema abierto, basado en principios, lo que significa que permite a las organizaciones aplicar los principios de la norma al contexto organizacional.
  • 4. Introducción • La Gestión de Riesgos en las organizaciones nace en la década de los 60. • Ante la tecnificación y modernización de ciertos procesos que hasta ese momento se habían desarrollado de forma manual, en muchos sectores se puso de manifiesto la necesidad de realizar un mejor control de las actividades. La tecnología supuso mayor agilidad y calidad, pero a la vez nuevos retos de control y seguimiento.
  • 5. Introducción • En los años 70 aparecen de las primeras normas y estándares internacionales. Como el código de seguridad nuclear que hizo público la US Nuclear Regulatory Comission, el cual intentaba minimizar los riesgos a los que estaba expuesto el sector nuclear estadounidense.
  • 6. Introducción • Otras normas, son por ejemplo el COSO, código emitido por el Comité de Organizaciones Sponsor en 1991 y que incluía prácticas para la gestión interna del riesgo. • Dos años más tarde, Australia y Nueva Zelanda publicaron la norma AS/NZ 4360 sobre el riesgo en sus empresas públicas, mientras en 2002 el Instituto Británico de Gestión de Riesgos hizo público el estándar IRM.
  • 7. Introducción • Estos estándares y normas internacionales tenían dos problemas : el primero, que casi todos estaban dirigidos a organizaciones de sectores específicos, lo cual reducía su impacto y extensión; y el segundo, que había una notoria disparidad de criterios a la hora de desarrollarlos.
  • 8. Introducción • Estos dos problemas llevaron a la Organización Internacional de Normalización (ISO) a elaborar una norma que abordara la Gestión de Riesgos de forma global, necesidad que en 2009 dio origen a la norma primera versión de ISO 31000. • Sin embargo, pese a su alcance genérico, es una norma no certificable; son las organizaciones las que se acogen voluntariamente a sus directrices en el área de Gestión de Riesgos.
  • 9. Introducción • ¿Por qué fue revisado? • Todas las normas ISO se revisan cada cinco años, esto ayuda a garantizar que sigan siendo herramientas relevantes y útiles, para tener en cuenta la evolución del mercado y los nuevos desafíos que enfrentan las empresas y organizaciones desde que el estándar se lanzó por primera vez en 2009. • Un ejemplo de esto es la mayor complejidad de los sistemas económicos y los factores de riesgo emergentes, como la moneda digital, que pueden presentar riesgos nuevos y diferentes para una organización a escala internacional.
  • 10. Introducción • El día 14 de febrero de 2018 se publicó la nueva norma ISO 31000 2018 “Gestión del riesgo. Principios y directrices”, que sustituye a la versión de 2009. • El comité técnico ISO/TC 262 Risk Management ha estado desde 2014 trabajado para confeccionar la nueva ISO 31000:2018. • Con esta nueva versión de la norma ISO 31000, se busca alinear los requisitos con las normas ISO 9001 2015 , ISO 14001 2015, y ISO 45001 2018
  • 12. Introducción • La norma ISO 31000:2018 sirve de referencia para otros estándares sobre Gestión de Riesgos. Además, complementa la información de diversas normativas en el plano local, regional, nacional o incluso continental. • La nueva versión se enfoca en la gestión del riesgo en las organizaciones y ayudar a establecer todos los objetivos alcanzables, tomando decisiones basadas en hechos.
  • 13. Introducción • La norma ISO 31000:2018 se encuentra dirigida a las personas que protegen el valor de la organización utilizando la gestión de riesgos, la toma de decisiones, el establecimiento y la consecución de objetivos, además de mejorar el rendimiento.
  • 14. Introducción • La revisión se ha realizado para conseguir que la gestión de riesgos sea mas sencilla y clara. • Esto se consigue utilizando un lenguaje simple para expresar los fundamentos de la gestión de riesgos de una forma mucho más coherente y comprensible para los usuarios.
  • 15. Introducción • La principal tarea que tuvieron que llevar a cabo durante la revisión, es conseguir una adecuada orientación. • Se debe tener él cuenta, que el texto se ha reducido a los conceptos fundamentales, por lo que nos encontramos con un documento mucho más breve, más claro y más conciso que sea mucho más fácil de leer y que se ampliamente aplicable. Se ofrecen mucho más detalles e información.
  • 16. Introducción • La norma ISO 31000:2018 sólo cuenta con los conceptos básicos y pasa ciertos conceptos a la guía ISO 73 “Gestión de riesgos. Vocabulario”, que trata de forma específica la terminología de gestión de riesgos y se encuentra destinado para ser leído junto a la norma ISO 31000:2018
  • 17. Introducción Otras normas, que respalda a ISO 31000, incluyen el informe técnico ISO / TR 31004, Gestión de riesgos - Orientación para la implementación de ISO 31000 y la Norma Internacional ISO / IEC 31010, Gestión de riesgos: técnicas de evaluación de riesgos, desarrolladas conjuntamente con la Comisión Electrotécnica Internacional.
  • 18. Introducción • La norma ISO 31000:2018 es una herramienta que establece una serie de principios para la implementación de un Sistema de Gestión de Riesgos en las organizaciones. • Puede aplicarse a cualquier tipo de organización independiente de su tamaño, razón social, mercado, fuente de capital, espectro comercial o forma de financiación. No especifica ningún área o sector en concreto.
  • 19. Introducción • La norma parte del hecho de que todas las organizaciones, en mayor o menor medida, llevan a cabo prácticas para la gestión de los riesgos. La diferencia radica en la coordinación y alineamiento de dichas prácticas.
  • 20. Introducción • Aunque no es certificable, el estándar busca minimizar, gestionar y controlar cualquier tipo de riesgo, más allá de su naturaleza, causa, origen o grado de incidencia. • Esto se logra a través de la integración del Sistema de Gestión de Riesgos a la estrategia de cada organización, así como a sus procesos, políticas y cultura.
  • 21. Introducción • No es una norma pensada para circunstancias concretas, sino que busca una aplicación continua y permanente en el tiempo. De esta manera, beneficia el grueso de las acciones, decisiones, operaciones, procesos, funciones, proyectos, servicios y activos que tengan lugar en las organizaciones.
  • 22. Introducción • La norma ISO 31000:2018 ofrece una serie de directrices sobre los beneficios y los valores de la gestión de riesgos eficiente y eficaz, además debe ayudar a las empresas a comprender mucho mejor y hacer frente a las incertidumbres que se enfrentan en la búsqueda de los objetivos.
  • 23. Introducción • A través de estas directrices y principios, la norma busca que cada empresa implemente un Sistema de Gestión del Riesgo para reducir los obstáculos que impiden la consecución de sus objetivos, siendo compatible con cada sector.
  • 24. • Las organizaciones de todos los tipos y tamaños se enfrentan a factores e influencias externas e internas que hacen incierto si lograrán sus objetivos. • La gestión del riesgo es iterativa y le sirven a las organizaciones para establecer su estrategia, lograr sus objetivos y tomar decisiones estando informadas. Introducción
  • 25. • La gestión del riesgo es parte de la gobernanza y el liderazgo y es fundamental en la manera en que se gestiona la organización en todos sus niveles. • La gestión del riesgo contribuye a la mejora de los sistemas de gestión. • La gestión del riesgo además es parte de todas las actividades asociadas con la organización e incluye la interacción con las partes interesadas. Introducción
  • 26. La norma se estructura de la siguiente forma: • Capítulos 1 y 2 de introducción y campo de aplicación. • Capítulo 3 Términos y definiciones, de las 29 definiciones de la versión de 2009, se sintetiza a 8 definiciones. • Capítulo 4 Principios, se hace énfasis en algunos principios que la versión anterior no contempla. • Capítulo 5 Marco de referencia , se sustituye el ciclo de Deming por un ciclo parecido al establecido en la norma ISO 9001 2015 que se centra en el liderazgo y compromiso. • Capítulo 6 Proceso empezando por Campo de aplicación, contexto y criterios, del proceso de gestión de riesgos , la nueva norma trata de ampliar el concepto de contexto.
  • 27. Introducción La gestión del riesgo considera los contextos externo e interno de la organización, incluido el comportamiento humano y los factores culturales. La gestión del riesgo está basada en: 1. los principios, 2. el marco de referencia 3. el proceso Estos 3 componentes podrían existir previamente en toda o parte de la organización, sin embargo, podría ser necesario adaptarlos o mejorarlos para que la gestión del riesgo sea eficiente, eficaz y coherente.
  • 28. Marco de Referencia Principios Proceso de Gestión ISO 31000:2018 Los 3 Componentes de la Gestión de Riesgos
  • 29. 1 Objeto y campo de aplicación • La Norma ISO 31000:2018 proporciona directrices para gestionar el riesgo al que se enfrentan las organizaciones. La aplicación de estas directrices puede adaptarse a cualquier organización y a su contexto. • ISO 31000:2018 proporciona un enfoque común para gestionar cualquier tipo de riesgo y no es específico de una industria o un sector. • Puede utilizarse a lo largo de la vida de la organización y puede aplicarse a cualquier actividad, incluyendo la toma de decisiones a todos los niveles.
  • 30. 2 Referencias normativas • ISO 31000:2018 no contiene referencias normativas.
  • 31. 3 Términos y definiciones • 3.1 riesgo efecto de la incertidumbre sobre los objetivos • Nota 1 a la entrada: Un efecto es una desviación respecto a lo previsto. Puede ser positivo, negativo o ambos, y puede abordar, crear o resultar en oportunidades y amenazas. • Nota 2 a la entrada: Los objetivos pueden tener diferentes aspectos y categorías, y se pueden aplicar a diferentes niveles. • Nota 3 a la entrada: Con frecuencia, el riesgo se expresa en términos de fuentes de riesgo (3.4), eventos (3.5) potenciales, sus consecuencias (3.6) y sus probabilidades (3.7).
  • 32. 3.1 Riesgo “Efecto de la incertidumbre” es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o conocimiento de un evento, su consecuencia o su probabilidad DESVIACION DE LO ESPERADO Término común y definición esencial para las normas de sistemas de gestión que se proporcionan en Anexo SL de Directivas ISO/IEC 3 Términos y definiciones
  • 33. 3 Términos y definiciones • 3.2 gestión del riesgo actividades coordinadas para dirigir y controlar la organización con relación al riesgo • 3.3 parte interesada persona u organización que puede afectar, verse afectada, o percibirse como afectada por una decisión o actividad • 3.4 fuente de riesgo elemento que, por sí solo o en combinación con otros, tiene el potencial de generar riesgo
  • 34. 3 Términos y definiciones • 3.5 evento ocurrencia o cambio de un conjunto particular de circunstancias • 3.6 consecuencia resultado de un evento que afecta a los objetivos • 3.7 probabilidad (likelihood) posibilidad de que algo suceda
  • 35. 3 Términos y definiciones • 3.8 control medida que mantiene y/o modifica un riesgo • Nota 1: Los controles incluyen, pero no se limitan a cualquier proceso, política, dispositivo, práctica u otras condiciones y/o acciones que mantengan y/o modifiquen un riesgo. • Nota 2: Los controles no siempre pueden producir el efecto de modificación previsto o asumido.
  • 36. 4 Principios • El propósito de la gestión del riesgo es la creación y la protección del valor. • Mejora el desempeño, fomenta la innovación y contribuye al logro de objetivos.
  • 37. 4 Principios • Los principios descritos en la figura siguiente proporcionan orientación sobre las características de una gestión del riesgo eficaz y eficiente, comunicando su valor y explicando su intención y propósito. • Estos principios son el fundamento de la gestión del riesgo y se deberían considerar cuando se establece el marco de referencia y los procesos de la gestión del riesgo de la organización. • Estos principios deberían habilitar a la organización para gestionar los efectos de la incertidumbre ( Riesgos) sobre sus objetivos.
  • 39. 4 Principios La gestión eficaz del riesgo requiere los elementos de la figura se puede explicar de la siguiente forma Mediante 8 Principios. 1. Integrada. La gestión de riesgos es una parte integral de todas las actividades de la organización . 2. Estructurada y exhaustiva. Un enfoque estructurado e integral de la gestión de riesgos que contribuye a la coherencia y a los resultados comparables. 3. Adaptada. El marco y el proceso de gestión de riesgos son adaptados y proporcionales al contexto externo e interno de la organización relacionado con sus objetivos. 4. Inclusiva. La participación adecuada y oportuna de las partes interesadas permite su conocimiento, puntos de vista y percepciones a considerar. Esto se traduce en una mejor conciencia y una gestión de riesgos informada.
  • 40. 4 Principios 5. Dinámica. Los riesgos pueden surgir, cambiar o desaparecer a medida que cambia el contexto externo o interno. La gestión de riesgos anticipa, detecta, reconoce y responde a los cambios y efecto de una forma apropiada y oportuna. 6. La mejor información disponible. Las aportaciones a la gestión de riesgos se basan en información histórica y actual, así como en el futuro. La gestión de riesgos tiene en cuenta cualquier limitación e incertidumbre asociada a la información y expectativas. La información debe ser oportuna, clara y disponible para las partes interesadas relevantes. 7. Factores humanos y culturales. El comportamiento humano y la cultura influyen de forma significativa en todos los aspectos de la gestión del riesgo en cada nivel o etapa. 8. Mejora continua. La gestión del riesgo se mejora de forma continua mediante el aprendizaje y la experiencia.
  • 41. 5 Marco de referencia 5.1 Generalidades • El propósito del marco de gestión de riesgos es ayudar a la organización a integrar los riesgos en todas sus actividades y funciones significativas. • La eficacia de la gestión de riesgos dependerá sobre la integración en la gobernanza de la organización, incluyendo la toma de decisiones. Esto requiere del apoyo de las partes interesadas, en particular la alta dirección.
  • 42. 5 Marco de referencia • 5.1 Generalidades • El desarrollo del marco de referencia abarca la integración, el diseño, la implementación, la evaluación y mejorar la gestión de riesgos en toda la organización. Se ilustra los componentes de un marco en la figura siguiente. • La organización debe evaluar sus prácticas y procesos de gestión de riesgos existentes, evaluar cualquier brecha y abordar estas brechas dentro del marco. Los componentes del marco y la forma en la que se trabajan juntos deben adaptarse para las necesidades de la organización.
  • 43. 5 Marco de referencia
  • 44. 5 Marco de referencia El marco de referencia debe incluir: 5.2 Liderazgo y compromiso. La alta dirección debe demostrar liderazgo y compromiso asegurando que la gestión del riesgo está integrada en todas las actividades de la organización. • adaptando e implementando todos los componentes del marco de referencia; • publicando una declaración o una política que establezca un enfoque, un plan o una línea de acción para la gestión del riesgo;
  • 45. 5 Marco de referencia 5.2 Liderazgo y compromiso. • asegurando que los recursos necesarios se asignan para gestionar los riesgos; • asignando autoridad, responsabilidad y obligación de rendir cuentas en los niveles apropiados dentro de la organización; Esto ayudará a la organización a: • alinear la gestión del riesgo con sus objetivos, estrategia y cultura; • reconocer y abordar todas las obligaciones, así como sus compromisos voluntarios;
  • 46. 5 Marco de referencia 5.2 Liderazgo y compromiso. • establecer la magnitud y el tipo de riesgo que puede o no ser tomado para guiar el desarrollo de los criterios del riesgo, asegurando que se comunican a la organización y a sus partes interesadas. • comunicar el valor de la gestión del riesgo a la organización y sus partes interesadas; • promover el seguimiento sistemático de los riesgos; • asegurarse de que el marco de referencia de la gestión del riesgo permanezca apropiado al contexto de la organización.
  • 47. 5 Marco de referencia 5.3 Integración. • La integración de la gestión del riesgo depende de la comprensión de las estructuras y el contexto de la organización. • Las estructuras difieren dependiendo del propósito, las metas y la complejidad de la organización. • El riesgo se gestiona en cada parte de la estructura de la organización. • Todos los miembros de una organización tienen la responsabilidad de gestionar el riesgo.
  • 48. 5 Marco de referencia 5.4 Diseño 1. Comprensión de la organización y de su contexto. 2. Articulación del compromiso con la gestión del riesgo. 3. Asignación de roles, autoridades, responsabilidades y obligación de rendir cuentas. 4. Asignación de recursos. 5. Establecimiento de la comunicación y la consulta
  • 49. 5 Marco de referencia 5.4 Diseño 1. Comprensión de la organización y de su contexto. La organización debería analizar y comprender sus contextos externo e interno cuando diseñe el marco de referencia para gestionar el riesgo.
  • 50. 5 Marco de referencia 5.4 Diseño 1. Comprensión de la organización y de su contexto. El análisis del contexto externo de la organización puede incluir, pero no limitarse a: • los factores sociales, culturales, políticos, legales, reglamentarios, financieros, tecnológicos, económicos y ambientales ya sea a nivel internacional, nacional, regional o local; • los impulsores clave y las tendencias que afectan a los objetivos de la organización; • las relaciones, percepciones, valores, necesidades y expectativas de las partes interesadas externas; • las relaciones contractuales y los compromisos; • la complejidad de las redes y dependencias.
  • 51. 5 Marco de referencia 5.4 Diseño 1. Comprensión de la organización y de su contexto. El análisis del contexto interno de la organización puede incluir, pero no limitarse a: • la visión, la misión y los valores; • la gobernanza, la estructura de la organización, los roles y la rendición de cuentas; • la estrategia, los objetivos y las políticas; • la cultura de la organización; • las normas, las directrices y los modelos adoptados por la organización;
  • 52. 5 Marco de referencia 5.4 Diseño 1. Comprensión de la organización y de su contexto. El análisis del contexto interno de la organización puede incluir, pero no limitarse a: • las capacidades, entendidas en términos de recursos y conocimiento (por ejemplo, capital, tiempo, personas, propiedad intelectual, procesos, sistemas y tecnologías); • los datos, los sistemas de información y los flujos de información; • las relaciones con partes interesadas internas, teniendo en cuenta sus percepciones y valores; • las relaciones contractuales y los compromisos; • las interdependencias e interconexiones.
  • 53. 5 Marco de referencia 5.4 Diseño 2. Articulación del compromiso con la gestión del riesgo. La alta dirección y los organismos de supervisión, cuando sea aplicable, deberían articular y demostrar su compromiso continuo con la gestión del riesgo mediante una política, El compromiso debería incluir, pero no limitarse a: • el propósito de la organización para gestionar el riesgo y los vínculos con sus objetivos y otras políticas; • el refuerzo de la necesidad de integrar la gestión del riesgo en toda la cultura de la organización;
  • 54. 5 Marco de referencia 5.4 Diseño 2. Articulación del compromiso con la gestión del riesgo. • el liderazgo en la integración de la gestión del riesgo en las actividades principales del negocio y la toma de decisiones; • las autoridades, las responsabilidades y la obligación de rendir cuentas; • la disponibilidad de los recursos necesarios; • la manera de manejar los objetivos en conflicto; • la medición e informe como parte de los indicadores de desempeño de la organización; • la revisión y la mejora. • El compromiso con la gestión del riesgo se debería comunicar dentro de la organización y a las partes interesadas
  • 55. 5 Marco de referencia 5.4 Diseño 3. Asignación de roles, autoridades, responsabilidades y obligación de rendir cuentas. La alta dirección y los órganos de supervisión deberían asegurarse de que las autoridades, las responsabilidades y la obligación de rendir cuentas de los roles relevantes con respecto a la gestión del riesgo se asignen y comuniquen a todos los niveles de la organización y deberían: • enfatizar que la gestión del riesgo es una responsabilidad principal; • identificar a las personas que tienen asignada la obligación de rendir cuentas y la autoridad para gestionar el riesgo (dueños del riesgo).
  • 56. 5 Marco de referencia 5.4 Diseño 4. Asignación de recursos. La alta dirección y los órganos de supervisión deberían asegurar la asignación de los recursos apropiados para la gestión del riesgo: • las personas, las habilidades, la experiencia y las competencias; • los procesos, los métodos y las herramientas de la organización a utilizar para gestionar el riesgo;
  • 57. 5 Marco de referencia 5.4 Diseño 4. Asignación de recursos. • los procesos y procedimientos documentados; • los sistemas de gestión de la información y del conocimiento; • el desarrollo profesional y las necesidades de formación. La organización debería considerar las competencias y limitaciones de los recursos existentes.
  • 58. 5 Marco de referencia 5.4 Diseño 5.Establecimiento de la comunicación y la consulta • La organización debería establecer un enfoque aprobado con relación a la comunicación y la consulta, para apoyar el marco de referencia y facilitar la aplicación eficaz de la gestión del riesgo. • La comunicación y la consulta deberían ser oportunas y asegurar que se recopile, consolide, sintetice y comparta la información pertinente, cuando sea apropiado, y que se proporcione retroalimentación y se lleven a cabo mejoras.
  • 59. 5 Marco de referencia 5.5 Implementación. • La organización debería implementar el marco de referencia de la gestión del riesgo mediante: • El desarrollo de un plan de implementación apropiado incluyendo plazos y recursos. • La identificación de dónde, cuándo, cómo y quién toma decisiones en la organización. • la modificación de los procesos aplicables para la toma de decisiones, cuando sea necesario; • el aseguramiento de que las disposiciones de la organización para gestionar el riesgo son claramente comprendidas y puestas en práctica.
  • 60. 5 Marco de referencia 5.6 Valoración Para valorar la eficacia del marco de referencia de la gestión del riesgo • Medir periódicamente el desempeño del marco de referencia de la gestión del riesgo con relación a su propósito, sus planes para la implementación, sus indicadores y el comportamiento esperado. • Determinar si el marco de referencia permanece idóneo para apoyar el logro de los objetivos de la organización.
  • 61. 5 Marco de referencia 5.7 Mejora. • La organización debería realizar el seguimiento continuo y adaptar el marco de referencia de la gestión del riesgo en función de los cambios externos e internos. • La organización debería mejorar continuamente la idoneidad, adecuación y eficacia del marco de referencia de la gestión del riesgo y la manera en la que se integra el proceso de la gestión del riesgo. Cuando se identifiquen brechas u oportunidades de mejora pertinentes, la organización debería desarrollar planes y tareas y asignarlas a quienes tuviesen que rendir cuentas de su implementación.
  • 62. 6 Proceso • 6.1 Generalidades • El proceso de la gestión del riesgo implica la aplicación sistemática de políticas, procedimientos y prácticas a las actividades de comunicación y consulta, establecimiento del contexto , evaluación, tratamiento, seguimiento y revisión y registro e informe del riesgo. Este proceso se ilustra en la figura siguiente.
  • 64. 6 Proceso • El proceso de la gestión del riesgo es una parte integral de la gestión y de la toma de decisiones y se debe integrar en la estructura, las operaciones y los procesos de la organización. • Puede aplicarse a nivel estratégico, operacional, de programa o de proyecto. • Aunque el proceso de la gestión del riesgo se presenta frecuentemente como secuencial, en la práctica es iterativo.
  • 65. 6 Proceso • 6.2 Comunicación y consulta • El propósito de la comunicación y consulta es asistir a las partes interesadas pertinentes externas e internas, a comprender el riesgo, las bases con las que se toman decisiones y las razones por las que son necesarias acciones específicas. La consulta implica obtener retroalimentación e información para apoyar la toma de decisiones. Se debería realizar en todas y cada una de las etapas del proceso de la gestión del riesgo.
  • 66. 6 Proceso 6.3 Alcance, contexto y criterios El propósito del establecimiento del alcance, contexto y criterios es adaptar el proceso de la gestión del riesgo, para permitir una evaluación del riesgo eficaz y un tratamiento apropiado del riesgo, implican definir el alcance del proceso, y comprender los contextos externo e interno.
  • 67. 6 Proceso 6.3 Alcance, contexto y criterios 6.3.2 Definir el Alcance • La organización debería definir el alcance de sus actividades de gestión del riesgo. • Como el proceso de la gestión del riesgo puede aplicarse a niveles distintos ,estratégico, operacional, de programa, de proyecto u otras actividades etc .
  • 68. 6 Proceso 6.3 Alcance, contexto y criterios 6.3.2 Definición del alcance La definición del alcance implica considerar los siguientes elementos: • Objetivos y Decisiones que deben tomarse y objetivos que se persiguen. • Resultados que se espera de las etapas a ejecutar en el proceso. • Ubicaciones, tiempo, inclusiones y exclusiones. • Herramientas apropiadas para la evaluación de riesgos. • Recursos disponibles, responsabilidades asignadas y registros que se mantendrán. • Relación de la Gestión de Riesgos con otros proceso, proyectos o actividades.
  • 69. 6 Proceso 6.3 Alcance, contexto y criterios 6.3.3 Contextos externo e interno El Contexto de la organización, es el entorno en el que se mueve la organización y en el que trabaja para alcanzar sus metas y cumplir con sus objetivos. • Para comprender el Contexto es importante conocer los factores que afectan las actividades de la organización, al interior de sus instalaciones, pero también en el exterior.
  • 70. 6 Proceso 6.3 Alcance, contexto y criterios Es importante comprender el contexto de la organización: 1. Porque la gestión del riesgo tiene lugar en el contexto de los objetivos y las actividades de la organización. 2. Porque los factores que conforman el Contexto pueden ser fuente de riesgos. 3. el propósito y alcance del proceso de la gestión del riesgo puede estar interrelacionado con los objetivos de la organización como un todo.
  • 71. 6 Proceso 6.3 Alcance, contexto y criterios 6.3.4 Definición de los criterios del riesgo • La organización debería precisar la cantidad y el tipo de riesgo que puede o no puede tomar, con relación a los objetivos. • También debería definir los criterios para valorar la importancia del riesgo y para apoyar los procesos de toma de decisiones.
  • 72. 6 Proceso 6.3 Alcance, contexto y criterios 6.3.4 Definición de los criterios del riesgo • Los criterios del riesgo se deberían alinear con el marco de referencia de la gestión del riesgo y adaptar al propósito y al alcance específicos de la actividad considerada. • Los criterios del riesgo deberían reflejar los valores, objetivos y recursos de la organización y ser coherentes con las políticas y declaraciones acerca de la gestión del riesgo. • Los criterios se deberían definir teniendo en consideración las obligaciones de la organización y los puntos de vista de sus partes interesadas.
  • 73. 6 Proceso 6.3 Alcance, contexto y criterios • Aunque los Criterios de Riesgo deben definirse al iniciar el proceso de evaluación, esta es una actividad dinámica que debe ser revisada y modificada en forma continua.
  • 74. 6 Proceso 6.3 Alcance, contexto y criterios Para establecer los Criterios de Riesgo, se deben considerar los siguientes aspectos: • La naturaleza y el tipo de riesgo, que pueden afectar a los resultados y objetivos sea tangible o intangible. • Cómo se van a definir y medir las consecuencias (tanto positivas como negativas) y la probabilidad. • El tiempo y la ubicación. • la coherencia en el uso de las mediciones; • cómo se va a determinar el nivel de riesgo; • cómo se tendrán en cuenta las combinaciones y las secuencias de múltiples riesgos; • La capacidad de la organización.
  • 75. 6 Proceso • 6.4 Evaluación del riesgo • 6.4.1 Generalidades La evaluación del riesgo es el proceso global de identificación del riesgo, análisis del riesgo y valoración del riesgo.
  • 76. 6 Proceso • 6.4 Evaluación del riesgo • 6.4.1 Generalidades La evaluación del riesgo se debería llevar a cabo de manera sistemática, iterativa y colaborativa, basándose en el conocimiento y los puntos de vista de las partes interesadas. • Se debería utilizar la mejor información disponible, complementada por investigación adicional, si fuese necesario.
  • 77. 6 Proceso 6.4 Evaluación del riesgo 6.4.2 Identificación del riesgo
  • 78. 6 Proceso 6.4 Evaluación del riesgo 6.4.2 Identificación del riesgo El propósito de la identificación del riesgo es encontrar, reconocer y describir los riesgos que pueden ayudar o impedir a una organización lograr sus objetivos. Para la identificación de los riesgos es importante contar con información pertinente, apropiada y actualizada. • Las organizaciones pueden utilizar varias técnicas para identificar riesgos que pueden afectar a uno o varios objetivos.
  • 79. 6 Proceso 6.4 Evaluación del riesgo 6.4.2 Identificación del riesgo Se deberían considerar los factores siguientes y la relación entre estos factores: las fuentes de riesgo tangibles e intangibles; las causas y los eventos, las amenazas y las oportunidades; las vulnerabilidades y las capacidades; los cambios en los contextos externo e interno; los indicadores de riesgos emergentes; la naturaleza y el valor de los activos y los recursos; las consecuencias y sus impactos en los objetivos; las limitaciones de conocimiento y la confiabilidad de la información; los factores relacionados con el tiempo; los sesgos, los supuestos y las creencias de las personas involucradas
  • 80. 6 Proceso 6.4 Evaluación del riesgo 6.4.2 Identificación del riesgo • La organización debería identificar los riesgos, tanto si sus fuentes están o no bajo su control. • Se debería considerar que puede haber más de un tipo de resultado, que puede dar lugar a una variedad de consecuencias tangibles o intangibles.
  • 81. 6 Proceso 6.4 Evaluación del riesgo 6.4.3 Análisis del riesgo
  • 82. 6 Proceso 6.4 Evaluación del riesgo 6.4.3 Análisis del riesgo • El propósito del análisis de riesgos es comprender la naturaleza del riesgo y sus características incluyendo, cuando sea apropiado, el nivel del riesgo, lo que requiere considerar la probabilidad de ocurrencia del evento, el escenario, el posible impacto y los escenarios en los que se puede dar. El análisis, dentro de la evaluación de riesgos, puede efectuarse con diferentes niveles de detalle.
  • 83. 6 Proceso 6.4 Evaluación del riesgo 6.4.3 Análisis del riesgo • Por supuesto, la complejidad depende del propósito del análisis y la calidad de la información disponible y los recursos disponibles. • Las técnicas de análisis pueden ser cualitativas, cuantitativas o una combinación de éstas, dependiendo de las circunstancias y del uso previsto.
  • 84. 6 Proceso 6.4 Evaluación del riesgo 6.4.3 Análisis del riesgo El análisis del riesgo debería considerar factores tales como: • la probabilidad de los eventos y de las consecuencias; • la naturaleza y la magnitud de las consecuencias; • la complejidad y la interconexión; • los factores relacionados con el tiempo y la volatilidad; • la eficacia de los controles existentes; • los niveles de sensibilidad y de confianza.
  • 85. 6 Proceso 6.4 Evaluación del riesgo 6.4.3 Análisis del riesgo El análisis de riesgos puede afectase por causa de la diferencia de opiniones entre las partes interesadas, los sesgos, las diferencia entre las percepciones del riesgo, e, incluso, por suposiciones infundadas que conducen a exclusiones que limitan el efecto final del análisis.
  • 86. 6 Proceso 6.4 Evaluación del riesgo 6.4.3 Análisis del riesgo • Los eventos de alta incertidumbre pueden ser difíciles de cuantificar. Esto puede ser una cuestión importante cuando se analizan eventos con consecuencias severas. En tales casos, el uso de una combinación de técnicas generalmente proporciona una visión más amplia.
  • 87. 6 Proceso 6.4 Evaluación del riesgo 6.4.3 Análisis del riesgo • El análisis del riesgo proporciona una entrada para la valoración del riesgo, para las decisiones sobre la manera de tratar los riesgos y si es necesario hacerlo y sobre la estrategia y los métodos más apropiados de tratamiento del riesgo. Los resultados proporcionan un entendimiento profundo para tomar decisiones, cuando se está eligiendo entre distintas alternativas, y las opciones implican diferentes tipos y niveles de riesgo.
  • 88. 6 Proceso 6.4 Evaluación del riesgo 6.4.4 Valoración del riesgo
  • 89. 6 Proceso 6.4 Evaluación del riesgo 6.4.4 Valoración del riesgo El propósito de la valoración del riesgo es apoyar a la toma de decisiones. La valoración del riesgo implica comparar los resultados del análisis del riesgo con los criterios del riesgo establecidos para determinar cuándo se requiere una acción adicional.
  • 90. 6 Proceso 6.4 Evaluación del riesgo 6.4.4 Valoración del riesgo Esto puede conducir a una decisión de: • no hacer nada más; • considerar opciones para el tratamiento del riesgo; • realizar un análisis adicional para comprender mejor el riesgo; • mantener los controles existentes; • reconsiderar los objetivos.
  • 91. 6 Proceso 6.4 Evaluación del riesgo 6.4.4 Valoración del riesgo • Las decisiones deberían tener en cuenta un contexto más amplio y las consecuencias reales y percibidas por las partes interesadas externas e internas. • Los resultados de la valoración del riesgo se deberían registrar, comunicar y luego validar a los niveles apropiados de la organización.
  • 92. 6 Proceso • 6.5 Tratamiento del riesgo • 6.5.1 Generalidades El propósito del tratamiento del riesgo es seleccionar e implementar las opciones para abordar el riesgo.
  • 93. 6 Proceso • 6.5 Tratamiento del riesgo • 6.5.1 Generalidades El tratamiento del riesgo implica un proceso iterativo: • formular y seleccionar opciones para el tratamiento del riesgo; • planificar e implementar el tratamiento del riesgo; • evaluar la eficacia de ese tratamiento; • decidir si el riesgo residual es aceptable; • si no es aceptable, efectuar tratamiento adicional.
  • 94. 6 Proceso • 6.5 Tratamiento del riesgo • 6.5.2 Selección de las opciones para el tratamiento del riesgo La selección de las opciones de tratamiento de riesgo que resulten más efectivas, requiere poner en una balanza los beneficios potenciales derivados de la efectividad de la acción propuesta, por un lado, y el costo, el esfuerzo y las desventajas que eventualmente pudiesen surgir como consecuencia de la implementación.
  • 95. 6 Proceso • 6.5 Tratamiento del riesgo • 6.5.2 Selección de las opciones para el tratamiento del riesgo Las opciones de tratamiento de riesgos según ISO 31000:2018 no son excluyentes o apropiadas entre sí. Tampoco resultan eficaces en todas las circunstancias.
  • 96. 6 Proceso • 6.5 Tratamiento del riesgo • 6.5.2 Selección de las opciones para el tratamiento del riesgo Las opciones para tratar el riesgo pueden implicar una o más de las siguientes: 1. evitar el riesgo decidiendo no iniciar o continuar con la actividad que genera el riesgo; 2. aceptar o aumentar el riesgo en busca de una oportunidad; 3. eliminar la fuente de riesgo; 4. modificar la probabilidad; 5. modificar las consecuencias; 6. compartir el riesgo (por ejemplo: a través de contratos, compra de seguros); 7. retener el riesgo con base en una decisión informada
  • 97. 6 Proceso • 6.5 Tratamiento del riesgo • 6.5.2 Selección de las opciones para el tratamiento del riesgo • Las variables con base en las cuales se realiza el tratamiento de riesgos van más allá de las consideraciones económicas. Es preciso tener en cuenta las opiniones de las partes interesadas, las obligaciones La selección de las opciones para el tratamiento del riesgo debería realizarse de acuerdo con los objetivos de la organización, los criterios del riesgo y los recursos disponibles. El tratamiento de riesgos aunque se diseñe e implemente en forma cuidadosa, puede no ofrecer los resultados esperados para la organización o para algunas partes interesadas.
  • 98. 6 Proceso • 6.5 Tratamiento del riesgo • 6.5.2 Selección de las opciones para el tratamiento del riesgo • El seguimiento y la revisión deben formar parte integral del proceso de tratamiento de riesgos a fin de garantizar que las acciones implementadas sigan siempre siendo efectivas. El tratamiento del riesgo a su vez puede introducir nuevos riesgos que necesiten gestionarse. • Si no hay opciones disponibles para el tratamiento o si las opciones para el tratamiento no modifican suficientemente el riesgo, éste se debería registrar y mantener en continua revisión.
  • 99. 6 Proceso • 6.5 Tratamiento del riesgo • 6.5.2 Selección de las opciones para el tratamiento del riesgo • Las personas que toman decisiones y otras partes interesadas deberían ser conscientes de la naturaleza y el nivel del riesgo residual después del tratamiento del riesgo. • El riesgo residual se debería documentar y ser objeto de seguimiento, revisión y, cuando sea apropiado, de tratamiento adicional.
  • 100. 6 Proceso • 6.5 Tratamiento del riesgo • 6.5.3 Preparación e implementación de los planes de tratamiento del riesgo • El propósito de los planes de tratamiento del riesgo es especificar la manera en la que se implementarán las opciones elegidas para el tratamiento, de manera tal que los involucrados comprendan las disposiciones, y que pueda realizarse el seguimiento del avance respecto de lo planificado. • El plan de tratamiento debería identificar claramente el orden en el cual el tratamiento del riesgo se debería implementar. • Los planes de tratamiento deberían integrarse en los planes y procesos de la gestión de la organización, en consulta con las partes interesadas apropiadas.
  • 101. 6 Proceso • 6.5 Tratamiento del riesgo • 6.5.3 Preparación e implementación de los planes de tratamiento del riesgo La información provista en el plan de tratamiento de riesgos debe incluir: • el fundamento de la elección de las opciones de tratamiento, incluyendo beneficios esperados. • Quiénes son los responsables de aprobar e implementar el plan.
  • 102. 6 Proceso • 6.5 Tratamiento del riesgo • 6.5.3 Preparación e implementación de los planes de tratamiento del riesgo • Las acciones de tratamiento propuestas. • Recursos requeridos, incluyendo los necesarios en caso de contingencia. • Mediciones de desempeño del plan. • las restricciones; • los informes y seguimiento requeridos; • los plazos previstos para la realización y la finalización de las acciones
  • 103. 6 Proceso • 6.6 Seguimiento y revisión El propósito del seguimiento y la revisión es asegurar y mejorar la calidad y la eficacia del diseño, la implementación y los resultados del proceso.
  • 104. 6 Proceso • 6.6 Seguimiento y revisión El seguimiento continuo y la revisión periódica del proceso de la gestión del riesgo y sus resultados debería ser una parte planificada del proceso de la gestión del riesgo, con responsabilidades claramente definidas. • El seguimiento y la revisión deberían tener lugar en todas etapas del proceso. • El seguimiento y la revisión incluyen planificar, recopilar y analizar información, registrar resultados y proporcionar retroalimentación. • Los resultados del seguimiento y la revisión deberían incorporarse a todas las actividades de la gestión del desempeño, de medición y de informe de la organización.
  • 105. 6 Proceso • 6.7 Registro e informe • El proceso de la gestión del riesgo y sus resultados se deberían documentar e informar a través de los mecanismos apropiados.
  • 106. 6 Proceso • 6.7 Registro e informe El registro e informe pretenden: • comunicar las actividades de la gestión del riesgo y sus resultados a lo largo de la organización; • proporcionar información para la toma de decisiones; • mejorar las actividades de la gestión del riesgo; • asistir la interacción con las partes interesadas, incluyendo a las personas que tienen la responsabilidad y la obligación de rendir cuentas de las actividades de la gestión del riesgo.
  • 107. 6 Proceso • 6.7 Registro e informe • El informe es una parte integral de la gobernanza de la organización y debería mejorar la calidad del diálogo con las partes interesadas, y apoyar a la alta dirección y a los órganos de supervisión a cumplir sus responsabilidades. Los factores a considerar en el informe incluyen, pero no se limitan a: • las diferentes partes interesadas, sus necesidades y requisitos específicos de información; • el costo, la frecuencia y los tiempos del informe; • el método del informe; • la pertinencia de la información con respecto a los objetivos de la organización y la toma de decisiones.
  • 108. Conclusión • ISO 31000 ayuda a las organizaciones a desarrollar una estrategia de gestión de riesgos para identificar y mitigar los riesgos de manera efectiva, mejorando así la probabilidad de lograr sus objetivos y aumentando la protección de sus bienes. • Su objetivo general es desarrollar una cultura de gestión de riesgos en la que los empleados y las partes interesadas sean conscientes de la importancia de supervisar y gestionar los riesgos. • La implementación de ISO 31000 también ayuda a las organizaciones a ver tanto las oportunidades positivas como las consecuencias negativas asociadas con el riesgo, y permite una decisión más informada y, por lo tanto, más efectiva , es decir, en la asignación de recursos. Además, puede ser un componente activo para mejorar el gobierno de una organización y, en última instancia, su desempeño.
  • 109. V 2020 FIN Una Introducción a la Norma ISO 31000:2018 Gestión del riesgo Directrices