I la nueva norma ISO 31000 2018 y la gestion de riesgos
1. La Norma ISO 31000: 2018
y
La Gestión de Riesgos
primera parte
2. Introducción
• La Gestión de Riesgos en las empresas nace en
la década de los 60. Ante la tecnificación y
modernización de ciertos procesos que hasta
ese momento se habían desarrollado de
forma manual, en muchos sectores se puso de
manifiesto la necesidad de realizar un mejor
control de las actividades. La tecnología
supuso mayor agilidad y calidad, pero a la vez
nuevos retos de control y seguimiento.
3. Introducción
• En los años 70 aparecen de las primeras
normas y estándares internacionales. Como el
código de seguridad nuclear que hizo público
la US Nuclear Regulatory Comission, el cual
intentaba minimizar los riesgos a los que
estaba expuesto el sector nuclear
estadounidense.
4. Introducción
• Otras normas, como por ejemplo el COSO, código
emitido por el Comité de Organizaciones Sponsor en
1991 y que incluía prácticas para la gestión interna
del riesgo.
• Dos años más tarde, Australia y Nueva Zelanda
publicaron la norma AS/NZ 4360 sobre el riesgo en
sus empresas públicas, mientras en 2002 el Instituto
Británico de Gestión de Riesgos hizo público el
estándar IRM.
5. Introducción
• Estos estándares y normas internacionales
tenían dos problemas : el primero, que casi
todos estaban dirigidos a empresas de
sectores específicos, lo cual reducía su
impacto y extensión; y el segundo, que había
una notoria disparidad de criterios a la hora
de desarrollarlos.
6. Introducción
• Estos dos problemas llevaron a la
Organización Internacional de Normalización
(ISO) a elaborar una norma que abordara la
Gestión de Riesgos de forma global,
necesidad que en 2009 dio origen a la norma
ISO 31000. Sin embargo, pese a su alcance
genérico, es una norma no certificable; son las
empresas las que se acogen voluntariamente
a sus directrices en el área de Gestión de
Riesgos.
7. Presentación Norma ISO 31000: 2018
• El día 14 de febrero de 2018 se publicó la nueva
norma ISO 31000 2018 “Gestión del riesgo. Principios
y directrices”, que sustituye a la versión de 2009.
• El comité técnico internacional ISO/TC 262 Risk
Management ha estado desde 2014 trabajado para
confeccionar la nueva ISO 31000 2018.
• Con esta nueva versión de la norma ISO 31000, se
busca alinear los requisitos con las versiones 2015 de
las normas ISO 9001 e ISO 14001, y con la
recientemente aprobada ISO 45001 2018
8. Presentación Norma ISO 31000: 2018
• La nueva ISO 31000 2018 se centra en los
conceptos fundamentales del riesgo.
La norma se estructura de la siguiente forma:
9. Presentación Norma ISO 31000: 2018
• Capítulos 1 y 2 de introducción y campo de aplicación.
• Capítulo 3 Términos y definiciones, de las 29 definiciones de
la versión de 2009, se sintetiza a 8 definiciones.
• Capítulo 4 Principios, se hace énfasis en algunos principios
que la versión anterior no contempla.
• Capítulo 5 Marco de referencia , se sustituye el ciclo de
Deming por un ciclo parecido al establecido en la norma ISO
9001 2015 que se centra en el liderazgo y compromiso.
• Capítulo 6 Proceso empezando por Campo de aplicación,
contexto y criterios, del proceso de gestión de riesgos , la
nueva norma trata de ampliar el concepto
de contexto.
10. Presentación Norma ISO 31000: 2018
• La norma ISO 31000 sirve de referencia para
otros estándares sobre Gestión de Riesgos.
Además, complementa la información de
diversas normativas en el plano local,
regional, nacional o incluso continental.
11. Presentación Norma ISO 31000: 2018
Los 8 Principios de la Norma ISO 31000 2018 son:
a. Integrado. La gestión de riesgos es una parte integral de
todas las actividades de la empresa.
b. Estructurado y completo. Un enfoque estructurado e
integral de la gestión de riesgos que contribuye a la
coherencia y a los resultados comparables.
c. Personalizado. El marco y el proceso de gestión de riesgos
son personalizados y proporcionales al contexto externo e
interno de la organización relacionado con sus objetivos.
d. Inclusivo. La participación adecuada y oportuna de las
partes interesadas permite su conocimiento, puntos de
vista y percepciones a considerar. Esto se traduce en una
mejor conciencia y una gestión de riesgos informada.
12. Presentación Norma ISO 31000: 2018
e. Dinámico. Los riesgos pueden surgir, cambiar o
desaparecer a medida que cambia el contexto externo o
interno de la empresa. La gestión de riesgos anticipa,
detecta, reconoce y responde a los cambios y efecto de una
forma apropiada y oportuna.
f. La mejor información disponible. Las aportaciones a la
gestión de riesgos se basan en información histórica y actual,
así como en el futuro. La gestión de riesgos tiene en cuenta
cualquier limitación e incertidumbre asociada a la
información y expectativas. La información debe ser
oportuna, clara y disponible para las partes interesadas
relevantes.
g. Factores humanos y culturales. El comportamiento
humano y la cultura influyen de forma significativa en todos
los aspectos de la gestión del riesgo en cada nivel o etapa.
h. Mejora continua. La gestión del riesgo se mejora de forma
continua mediante el aprendizaje y la experiencia.
13. Presentación Norma ISO 31000: 2018
La nueva versión se enfoca en la gestión del
riesgo en las organizaciones y ayudar a
establecer todos los objetivos alcanzables,
tomando decisiones basadas en hechos.
14. Presentación Norma ISO 31000: 2018
• La norma ISO 31000 se encuentra dirigida a las
personas que protegen el valor de la
organización utilizando la gestión de riesgos,
la toma de decisiones, el establecimiento y la
consecución de objetivos, además de mejorar
el rendimiento.
15. Presentación Norma ISO 31000: 2018
• La revisión se ha realizado para conseguir que
la gestión de riesgos sea mas sencilla y clara.
• Esto se consigue utilizando un lenguaje simple
para expresar los fundamentos de la gestión
de riesgos de una forma mucho más
coherente y comprensible para los usuarios.
16. Presentación Norma ISO 31000: 2018
• La norma ISO 31000 ofrece directrices sobre
los beneficios y los valores de la gestión de
riesgos eficiente y eficaz, además debe ayudar
a las empresas a comprender mucho mejor y
hacer frente a las incertidumbres que se
enfrentan en la búsqueda de los objetivos.
17. Presentación Norma ISO 31000: 2018
• La principal tarea que tuvieron que llevar a cabo
durante la revisión, es conseguir una adecuada
orientación.
• Se debe tener él cuenta, que el texto se ha reducido
a los conceptos fundamentales, por lo que nos
encontramos con un documento mucho más breve,
más claro y más conciso que sea mucho más fácil de
leer y que se ampliamente aplicable. Se ofrecen
mucho más detalles e información.
18. Presentación Norma ISO 31000: 2018
• La norma ISO 31000 sólo cuenta con los conceptos
básicos y pasa ciertos conceptos a la guía ISO 73
“Gestión de riesgos. Vocabulario”, que trata de
forma específica la terminología de gestión de
riesgos y se encuentra destinado para ser leído junto
a la norma ISO 31000
19. Presentación Norma ISO 31000: 2018
• La norma ISO 31000 es una herramienta que
establece una serie de principios para la
implementación de un Sistema de Gestión de
Riesgos en las organizaciones. Puede aplicarse a
cualquier tipo de organización independiente de su
tamaño, razón social, mercado, fuente de capital,
espectro comercial o forma de financiación.
No especifica ningún área o sector en concreto.
20. Presentación Norma ISO 31000: 2018
• La norma parte del hecho de que todas las
organizaciones, en mayor o menor medida,
llevan a cabo prácticas para la gestión de los
riesgos. La diferencia radica en la coordinación
y alineamiento de dichas prácticas.
21. Presentación Norma ISO 31000: 2018
• Aunque no es certificable, el estándar busca minimizar,
gestionar y controlar cualquier tipo de riesgo, más allá de su
naturaleza, causa, origen o grado de incidencia.
• Esto se logra a través de la integración del Sistema de Gestión
de Riesgos a la estrategia de cada organización, así como a
sus procesos, políticas y cultura.
• No es una norma pensada para circunstancias concretas, sino
que busca una aplicación continua y permanente en el
tiempo. De esta manera, beneficia el grueso de las acciones,
decisiones, operaciones, procesos, funciones, proyectos,
servicios y activos que tengan lugar en las empresas.
22. Presentación Norma ISO 31000: 2018
• A través de una serie de directrices y
principios, la norma busca que cada empresa
implemente un Sistema de Gestión del Riesgo
para reducir los obstáculos que impiden la
consecución de sus objetivos, siendo
compatible con cada sector.
24. 3.1 riesgo
efecto de la incertidumbre sobre los objetivos
Norma ISO 31000: 2018
• Nota 1 a la entrada: Un efecto es una desviación
respecto a lo previsto. Puede ser positivo, negativo o
ambos, y puede abordar, crear o resultar en
oportunidades y amenazas.
• Nota 2 a la entrada: Los objetivos pueden tener
diferentes aspectos y categorías, y se pueden aplicar a
diferentes niveles.
• Nota 3 a la entrada: Con frecuencia, el riesgo se
expresa en términos de fuentes de riesgo (3.4),
eventos (3.5) potenciales, sus consecuencias (3.6) y sus
probabilidades (3.7).
25. 3.1 Riesgo
“Efecto de la incertidumbre”
es el estado, incluso parcial,
de deficiencia de información
relacionada con la comprensión
o conocimiento de un evento,
su consecuencia o su probabilidad
DESVIACION
DE LO ESPERADO
Término común y definición esencial para las normas de sistemas de gestión que se proporcionan en Anexo SL de Directivas
ISO/IEC
26. Definición del riesgo empresarial y sus
principales tipos
• Toda actividad empresarial lleva implícito un
riesgo. Algunas en mayor medida que otras,
pero ninguna se encuentra exenta.
• El riesgo es parte de cualquier área de
negocio, pues en cierta forma lo define y
ayuda a ponerle límites.
• En el plano corporativo, el riesgo se define
como la incertidumbre que surge durante la
consecución de un objetivo.
27. Definición del riesgo empresarial y sus
principales tipos
• Al concepto también se le asocia a toda
probabilidad de pérdida. Otros sinónimos con
los que suele guardar una relación directa son
los de peligro, amenaza, perjuicio o daño.
28. Definición del riesgo empresarial y sus
principales tipos
Existen ciertas características esenciales que
definen a los Riesgos como tal:
• Debe estar asociado, de alguna manera, a la
actividad de la empresa.
• Son complejos, no tienen una solución
inmediata.
• Su impacto debe ser significativo.
• Entorpecen, obstaculizan, dificultan o
postergan procesos.
29. Definición del riesgo empresarial y sus
principales tipos
Principales tipos de riesgos empresariales
Según el tipo de actividad
Riesgo sistemático: Se refiere a aquellos riesgos que estén
presentes en un sistema económico o en un mercado en su
conjunto., por ejemplo, las crisis económicas de gran
envergadura. También pueden ser originados por
accidentes, guerras o desastres naturales.
Riesgo no sistemático: Son los riesgos que se derivan de la
gestión financiera y administrativa de cada empresa. Las
crisis internas o un plan de crecimiento mal implementado
son algunos ejemplos.
30. Definición del riesgo empresarial y sus
principales tipos
Principales tipos de riesgos empresariales
Según su naturaleza
Es la manera más extendida a la hora de clasificarlos
• Riesgos financieros: Son todos aquellos relacionados con la
gestión financiera de las empresas movimientos,
transacciones y inversión, diversificación, expansión,
financiación. En esta categoría es posible distinguir algunos
tipos:
• Riesgo de crédito.
• Riesgo de tasas de interés.
• Riesgo de mercado.
• Riesgo gestión.
• Riesgo de liquidez.
• Riesgo de cambio
31. Definición del riesgo empresarial y sus
principales tipos
Según su naturaleza
• Riesgos económicos:
• En este caso, se refiere a los riesgos asociados a la
actividad económica, ya sean de tipo interno o
externo. En el primer caso, hablamos de las pérdidas
que puede sufrir una organización debido a
decisiones tomadas en su interior. En el segundo, son
eventos cuyo origen es externo. El riesgo económico
afecta básicamente a los beneficios monetarios de
las empresas, mientras que los financieros tienen
que ver con todos los bienes que tengan las
organizaciones a su disposición.
32. Definición del riesgo empresarial y sus
principales tipos
Según su naturaleza
• Riesgos ambientales:
• Son aquellos a los que están expuestas las empresas cuando
el entorno en el que operan es especialmente hostil o puede
llegar a serlo.
• Tienen dos causas básicas: naturales o sociales. En el primer
grupo podemos mencionar elementos como la temperatura,
la altitud, la presión atmosférica, las fallas geológicas, entre
otros. En el segundo, cuestiones como los niveles de violencia
y la desigualdad. Son riesgos que no dependen de las
empresas y que su gestión requiere de planes
preventivos más eficaces.
33. Definición del riesgo empresarial y sus
principales tipos
Según su naturaleza
• Riesgos políticos:
• Este riesgo puede derivarse de cualquier circunstancia política
del entorno en el que operen las empresas. Hay de dos tipos:
gubernamentales, legales y extralegales.
• En el primer caso se engloban todos aquellos que son el
resultado de acciones que han sido llevadas a cabo por las
instituciones del lugar, por ejemplo un cambio de gobierno o
una modificación en las políticas comerciales.
• En el segundo caso, se sitúan actos al margen de la ley como
acciones terroristas, revoluciones o sabotajes.
34. Definición del riesgo empresarial y sus
principales tipos
Según su naturaleza
• Riesgos legales:
• Se refiere a los obstáculos legales o normativos que
pueden obstaculizar el rol de una empresa en un
sitio determinado. Por ejemplo, en algunos países
operan leyes restrictivas en el mercado que limitan la
acción de ciertas compañías. Estos riesgos van
generalmente ligados a los de carácter político.
35. Definición del riesgo empresarial y sus
principales tipos
La naturaleza de los riesgos empresariales suele
distinguirse entre riesgos puros y riesgos
especulativos.
El riesgo puro es aquél del que sólo puede derivarse un
daño en caso de ocurrencia y, por tanto, una pérdida
económica.
El riesgo especulativo existe la incertidumbre, respecto
al propio suceso, de que pudiera producirse
indistintamente un beneficio o una pérdida.
36. Definición del riesgo empresarial y sus
principales tipos
• Dentro de los riesgos puros, con relación a los
peligros desencadenantes de estos riesgos
pueden distinguirse tres grandes áreas:
• Riesgos personales.
• Riesgos de daños materiales sobre las
propiedades.
• Riesgos de responsabilidad civil.
37. Gestión de riesgos
• 3.2 gestión del riesgo
actividades coordinadas para dirigir y controlar la
organización con relación al riesgo
Norma ISO 31000 2018
Su objetivo es trazar un marco de acción para saber
qué aspectos gestionar y cómo hacerlo. La gestión
tiene que ver, sobre todo, con la cuantificación de
los riesgos, para lo cual es fundamental definir dos
elementos dentro de este proceso:
38. Gestión de riesgos
• Consecuencia: Se define la consecuencia como los
efectos o aquellos elementos que se derivan directa
o indirectamente de otros.
En este caso, se trata de evaluar los riesgos que
cumplen con la premisa de causa-efecto. Es cierto
que no siempre se pueden prever las consecuencias
de una acción o decisión, pero este solo acto es el
origen de cualquier Sistema de Gestión de Riesgos.
39. Gestión de riesgos
• Probabilidad: Este término habla de la posibilidad de
que un hecho se produzca.
Para la Gestión de Riesgos, es fundamental que las
empresas contemplen la irrupción de hechos que
puedan derivarse o no de las decisiones de la
empresa.
Nunca se está del todo preparado para los
acontecimientos, sobre todo si éstos provienen de
factores externos, pero el sólo hecho de pensar en su
materialización ya es un buen indicador
de la Gestión de Riesgos.
40. La Norma ISO 31000: 2018
y
La Gestión de Riesgos
FIN de la primera parte
41. La Norma ISO 31000: 2018
y
La Gestión de Riesgos
segunda parte
42. Metodologías de análisis de riesgos
• Dado que los riesgos no tienen el mismo
origen ni la misma naturaleza, existen varias
estrategias para su gestión. Sin embargo,
otros factores que inciden significativamente
son el tamaño de las empresas, su número de
integrantes, su estructura, la actividad de
producción y el sector en el que operan.
43. Metodologías de análisis de riesgos
• Esto ha propiciado que se desarrollen
metodologías de análisis propias de un sector
o especialidad. Su objetivo es la
identificación, valoración, tratamiento y
monitoreo de los riesgos asociados a una
actividad, función o proceso.
44. Metodologías de análisis de riesgos
Las metodologías de análisis de riesgos se dividen en
dos grupos principales:
a) Metodologías de gestión del riesgo:
Son aquellas que están orientadas a la identificación,
valoración y el posterior tratamiento de los riesgos
derivados de una actividad. Entre ellas está, la norma
ISO 31000. También se encuentran otros estándares,
como por ejemplo la norma AS/NZS 4360 , el sistema
APPCC (Análisis de Peligros y Puntos Críticos de
Control) y el método del ARO (Administración del
Riesgo Operacional).
45. Metodologías de análisis de riesgos
b) Metodologías de cuantificación:
En este caso, se trata de aquellas herramientas que se
enfocan exclusivamente en la cuantificación de los
riesgos.
Aplican una serie de indicadores (de carácter numérico
casi siempre) para medir el impacto que tienen los
riesgos en las organizaciones y, a partir de ese
cálculo, elaborar acciones coordinadas para su
gestión, tratamiento o, incluso, eliminación.
46. Metodologías de análisis de riesgos
b) Metodologías de cuantificación:
• Magerit: se trata de una metodología de análisis y
gestión de riesgos que ha sido elaborada por el
Consejo Superior de Administración de España.
• Está específicamente diseñada para las compañías
que trabajen con información digital y servicios
informático. Su función principal es evaluar cuánto
valor pone en juego una compañía en un proceso y
cómo protegerlo. También ayuda a la planificación
de tratamientos oportunos y a preparar a las
organizaciones de cara a procesos de auditoría,
certificación o acreditación.
47. Metodologías de análisis de riesgos
b) Metodologías de cuantificación:
• Delphi: es un método orientado a conocer la opinión
de expertos. En un primer momento, un grupo de
especialistas anónimos responde a un cuestionario
que elabora una organización sobre un tema
específico, en este caso la Gestión de Riesgos.
• Tras analizar los resultados, los responsables piden
su opinión a cada uno de los integrantes del grupo.
Finalmente, la empresa elabora un segundo
cuestionario, aunque éste con preguntas más
precisas y focalizadas. La idea es que al final
se elabora un texto con las conclusiones.
48. Metodologías de análisis de riesgos
Métodos Cualitativos
Es el método de análisis de riesgos más utilizado en la
toma de decisiones en proyectos empresariales, los
emprendedores se apoyan en su juicio, experiencia e
intuición para la toma de decisiones.
Se pueden utilizar cuando el nivel de riesgo sea bajo y
no justifica el tiempo y los recursos necesarios para
hacer un análisis completo.
• Brainstorming
• Cuestionario y entrevistas estructuradas
• Evaluación para grupos multidisciplinarios
• Juicio de especialistas y expertos (Técnica Delphi)
49. Metodologías de análisis de riesgos
• Métodos Semi-cuantitativos
• Se utilizan clasificaciones de palabra como alto,
medio o bajo, o descripciones más detalladas de la
probabilidad y la consecuencia.
• Estas clasificaciones se demuestran en relación con
una escala apropiada para calcular el nivel de riesgo.
• Se debe poner atención en la escala utilizada a fin de
evitar malos entendidos o malas interpretaciones de
los resultados del cálculo.
50. Metodologías de análisis de riesgos
Métodos Cuantitativos
Se consideran métodos cuantitativos a aquellos que
permiten asignar valores de ocurrencia a los
diferentes riesgos identificados, es decir, calcular el
nivel de riesgo del proyecto.
Los métodos cuantitativos incluyen:
• Análisis de probabilidad
• Análisis de consecuencias
• Simulación computacional
51. Proceso de gestión de riesgos
• La norma ISO 31000: 2018 tiene un enfoque de
procesos.
La implementación de un Sistema de Gestión de
Riesgos, por tanto, debe seguir una serie de pasos
para que sea eficaz y cumpla con los objetivos
trazados al inicio. Los pasos básicos son:
52.
53. Proceso de gestión de riesgos
Alcance, contexto y criterios
Consideraciones:
• Objetivos y las decisiones que se deben tomar
• Resultados esperados en cada etapa
• Tiempo, ubicación, inclusiones y exclusiones
• Herramientas y técnicas apropiadas para la
evaluación del riesgo
• Recursos requeridos, responsabilidades y registros
• Relaciones con otros proyectos, procesos o
actividades
54. Proceso de gestión de riesgos
Alcance, contexto y criterios
1. Definición de objetivos:
• En esta primera etapa se definen los objetivos del proceso.
Qué es lo que se busca con la implementación del Sistema de
Gestión de Riesgos y cuál debe ser el alcance del mismo.
• La dirección de la empresa debe ser la instancia con más alto
grado de implicación en la difusión de estos objetivos, pues
de lo contrario no logrará que el resto de niveles se
comprometan del modo deseado. También es preciso definir
un presupuesto y destinar los recursos necesarios para la
materialización del plan de riesgos.
55. Proceso de gestión de riesgos
Alcance, contexto y criterios
2. Nombramiento de responsables:
• La dirección debe delegar la coordinación de las
labores de Gestión de Riesgos en uno o más
responsables. Esto dependerá del tamaño de cada
organización y del número de sus empleados.
• Los grupos de trabajo no deberían superar los 10
miembros. Para las empresas pequeñas, el grupo no
debe exceder los 5 miembros.
56. Proceso de gestión de riesgos
Alcance, contexto y criterios
2. Nombramiento de responsables:
• Si el personal es interno, la dirección tiene la
garantía de que conocen el área sobre el que se
realiza la evaluación. Puede recurrir a aquellos
cargos que tengan una visión más o menos global de
los procesos.
• Cuando la empresa es demasiado pequeña o no
tiene la capacidad ni la formación para llevar a cabo
estas tareas, la dirección puede apoyarse en los
servicios de una consultora.
57. Proceso de gestión de riesgos
Evaluación del riesgo (Risk assessment)
Evaluación del riesgo
IDENTIFACACION ANALISIS VALORACION
Realizar de manera sistemática, iterativa y colaborativa,
basándose en el conocimiento y los puntos de vista de las
partes interesadas este proceso tiene 3 partes
58. Proceso de gestión de riesgos
Evaluación del riesgo
3. Identificación de los riesgos:
• A través de reuniones entre los diversos
responsables, la empresa debe definir cuáles son los
factores que influyen en los procesos. Y de todos
esos, priorizarlos en función del impacto que tengan.
Recordemos que en un proceso no todas las acciones
tienen el mismo grado de importancia.
59. Proceso de gestión de riesgos
Evaluación del riesgo
3. Identificación de los riesgos:
a) ¿A qué área de la empresa afecta?
b) ¿Cómo la afecta?
c) ¿Qué efectos tiene sobre dicha área?
d) ¿Qué efectos tiene sobre la organización en su conjunto?
e) ¿Qué margen de maniobra otorga?
f) ¿Qué tiempo de reacción permite a la dirección?
g) ¿Qué grado de complejidad requieren sus soluciones?
h) ¿Qué consecuencias implicará el no afrontarlo?
60. Proceso de gestión de riesgos
Evaluación del riesgo
3. Identificación
• Identificar fuentes de incertidumbre y predecir sus
efectos
• Qué ha sucedido en el pasado y como puede
relacionarse con el futuro
• Analizar interacciones y dependencias
61. Proceso de gestión de riesgos
Evaluación del riesgo
• 4 . Análisis de Riesgos
• El objetivo es establecer una valoración y
priorización de los riesgos con el fin de clasificarlos.
• El análisis dependerá de la información disponible
sobre el riesgo y de su origen.
• Para adelantarlo es necesario diseñar escalas que
pueden ser cualitativas o cuantitativas.
62. Proceso de gestión de riesgos
Evaluación del riesgo
4. Análisis
Considerar:
• Probabilidad de los eventos y de las consecuencias
• Naturaleza y la magnitud de las consecuencias
• complejidad y la interconexión
• Factores relacionados con el tiempo y la volatilidad
• Eficacia de los controles existentes
• Niveles de sensibilidad y de confianza.
63. Proceso de gestión de riesgos
Evaluación del riesgo
4. Análisis
El análisis del riesgo implica una consideración
detallada de incertidumbres, fuentes de
riesgo, consecuencias, probabilidades,
eventos, escenarios, controles y su eficacia
64. Proceso de gestión de riesgos
Evaluación del riesgo
Esquema de priorización de riesgos
66. Proceso de gestión de riesgos
Tratamiento del Riesgo
5 . Definición de las respuestas a los riesgos:
• La definición obedecerá a los tres pasos
anteriores, sobre todo a la identificación de
los riesgos y sus efectos en los procesos.
Existen cinco estrategias principales a la hora
de gestionar un riesgo:
67. Proceso de gestión de riesgos
Tratamiento del Riesgo
5 . Definición de las respuestas a los riesgos:
• Supresión del riesgo:
No es lo más habitual. Esto se consigue
obteniendo información adicional,
adquiriendo apoyo de expertos, añadiendo
recursos adicionales o modificando los
elementos de la planificación, entre otros
elementos.
68. Proceso de gestión de riesgos
Tratamiento del Riesgo
5 . Definición de las respuestas a los riesgos:
• Transferencia del riesgo:
• El riesgo es transferido a otra dependencia de la
organización o, incluso, a una segunda empresa
asociada. Se trata de un recurso muy común entre
los grupos de compañías filiales o que comparten
algún tipo de vínculo que permite esta transferencia.
Por ejemplo, cuando hablamos de responsabilidad
solidaria, una empresa puede asumir las deudas de
otra que es parte del conglomerado que las integra a
las dos. El riesgo no se anula; sólo se redirecciona.
69. Proceso de gestión de riesgos
Tratamiento del Riesgo
5 . Definición de las respuestas a los riesgos:
• Mitigación del riesgo:
• Es una estrategia de gestión de riesgos que consiste
en reducir la probabilidad o el impacto de un riesgo
sobre la organización. Esta opción se usa sobre todo
en aquellos casos en que los riesgos son inevitables o
no dependen de la empresa en sí misma. La clave
para una acertada mitigación del riesgo está en las
acciones.
70. Proceso de gestión de riesgos
Tratamiento del Riesgo
5 . Definición de las respuestas a los riesgos:
• Mitigación del riesgo:
Algunos ejemplos son:
• Adopción de procesos más sencillos en la
organización.
• Puesta en marcha de ensayos adicionales.
• Elección de proveedores o suministrador más fiables.
• Adición de recursos para la labor preventiva
71. Proceso de gestión de riesgos
Tratamiento del Riesgo
5 . Definición de las respuestas a los riesgos:
• Explotación del riesgo:
• Recordemos que no todos los riesgos son negativos.
Algunas veces, su irrupción es una oportunidad para
las organizaciones. Cuando eso ocurre, en vez de
mitigarla o eliminarla, la estrategia de la empresa
debe centrarse en sacar el máximo provecho de la
circunstancia. Un riesgo con efectos positivos se
puede potenciar gracias a la designación de más
personal cualificado, mayor apoyo económico o una
adaptación a la planificación realizada al inicio.
72. Proceso de gestión de riesgos
Tratamiento del Riesgo
5 . Definición de las respuestas a los riesgos:
• Aceptación del riesgo:
• En estos casos, se trata de riesgos que no suponen mayores
impedimentos para la consecución de los objetivos y que
pueden convivir con la empresa. Implica la elaboración de un
plan de contingencia para adaptar el riesgo a las actividades
de las empresas. Por ejemplo, las compañías que operan en
zonas montañosas y con una alta probabilidad de sismos,
desarrollan toda una política de emergencia en torno a la
evacuación y la asistencia en casos de emergencia.
74. Proceso de gestión de riesgos
Tratamiento del Riesgo
6. Plan de tratamiento
• El plan de tratamiento es el último paso del proceso
de Gestión de Riesgos, tiene como fin la mejora de
los controles para el tratamiento del riesgo. Esta
etapa debe ser dinámica y flexible ante los cambios
que puedan presentarse. El tratamiento de los
riesgos necesita labores adicionales de registro,
monitoreo, actualización e intervención.
75. Proceso de gestión de riesgos
Tratamiento del Riesgo
6. Plan de tratamiento
• Los planes de tratamiento suelen proyectarse a
corto plazo, pues con esto se evita que las
condiciones iniciales se modifiquen cuando llegue el
momento de la intervención.
• La manera más habitual de realizar el monitoreo es
través de evaluaciones periódicas o auditorías.
Se evalúa sí:
76. Proceso de gestión de riesgos
Tratamiento del Riesgo
6. Plan de tratamiento
1. La gestión de los riesgos ha sido aplicada tal como estaba
previsto.
2. Las respuestas a los riesgos han sido efectivas.
3. Se están siguiendo las políticas y las estrategias adecuadas.
4. La exposición del riesgo ha cambiado desde el último
análisis.
5. Se han manifestado síntomas de la aparición de riesgos.
6. Han aparecido riesgos que no habían sido contemplados al
inicio.
77. Problemas habituales en la gestión de
riesgos
• Problemas en la implementación:
a) Resistencia al cambio:
Algunas organizaciones no están lo suficientemente
preparadas para llevar a la práctica un sistema de
este tipo. Por falta de formación, la dirección debe
aumentar el nivel de confianza de sus trabajadores
en el SG e implementar planes para la formación.
b) Inmediatez:
Un buen número de organizaciones no están
dispuestas a esperar los plazos para la
implementación del sistema.
78. Problemas habituales en la gestión de
riesgos
• Problemas en la implementación:
c) Criterios distintos:
Cuando los grupos de responsables tienen demasiados
miembros o su elección no ha seguido parámetros de cierta
unidad, lo más común es que entre estas personas se
presenten diferencias de criterio a la hora de implementar el
plan. Esto se traduce en retrasos, reuniones etc.
d) Falta de una figura coordinadora:
Del mismo modo, algunos grupos suelen notar la ausencia de
una persona líder que direccione los procesos.
79. Problemas habituales en la gestión de
riesgos
• Problemas en la implementación:
e) Incumplimiento de plazos:
Por causa de una mala planificación, recursos insuficientes o una
comunicación deficiente entre los responsables, algunas
veces los procesos de implementación de Gestión de Riesgos
incurren en incumplimiento de los plazos previstos. En estos
casos, el perjuicio es doble: primero, porque obstaculiza la
realización del proyecto en sí mismo; y segundo, porque se
pierde tiempo valioso para mitigar o gestionar riesgos que, en
muchos casos, tienen carácter urgente.
f) Aplazamiento:
Esto sucede cuando el plan ni siquiera llega a implementarse. Se
han definido las directrices, las estrategias, los responsables y
los recursos, pero por la razón que sea el plan acaba
guardado en un archivo de la dirección.
80. Problemas habituales en la gestión de
riesgos
• Problemas en el mantenimiento:
Las empresas que se encuentran en las etapas de monitorización
pueden encontrarse con los siguientes problemas:
a) Omisión de recursos:
Llegados a esta etapa, las empresas descubren que los recursos
destinados para el mantenimiento y la supervisión del plan de
Gestión de Riesgos no alcanzan; son insuficientes, con lo cual
se compromete la continuidad del mismo.
b) Ausencia de diagnóstico previo:
Si se han hecho cálculos errados en las primeras etapas, lo más
probable es que las proyecciones también lo sean. En estos
casos, los procesos requieren de un replanteo.
81. La Norma ISO 31000: 2018
y
La Gestión de Riesgos
FIN