GESTIÓN DE RIESGOS

NORMA ISO 9001:2015

Córdoba 08 y 22 de Marzo 2021

 TEMARIO

-
- Concepto de riesgo
- El riesgo en las organizaciones
- La norma ISO 9001:2015 y la gestión de riesgos
- La gestión de riesgos y la norma ISO 31000
- Riesgos estratégicos
- Riesgos de procesos
- Metodologias para la gestión de riesgos
- Casos practicos
 CONCEPTO DE RIESGO

Riesgo: Un evento o condición incierta que, si se produce, tiene un efecto

positivo o negativo en uno o más de los objetivos de un proyecto.
(Guía de los Fundamentos para la Dirección de Proyectos (PMBOK)
(5ªedición)

Riesgo
Situación o circunstancia no deseable que tiene tanto una probabilidad de
que ocurra y una consecuencia potencialmente negativa. Se mide en
términos de consecuencias y de probabilidad de que se produzca. Suceso
incierto o circunstancia que podría tener un impacto negativo en los
objetivos del programa.
(Diccionario IAQG)
 CONCEPTO DE RIESGO

3.7.9 Riesgo
Efecto de la incertidumbre sobre la consecución de los objetivos.
Nota1: Un efecto es una desviación de lo esperado – positiva o negativa
respecto a lo previsto.
CONCEPTO DE RIESGO
 CONCEPTO DE RIESGO

Concepto de “Riesgo” en el Contexto ISO

ISO9000:2015Sistemasdegestió[Link].
3.7.9riesgo
“efecto de la incertidumbre sobre la consecución de los objetivos”.
Nota 1: Un efecto es una desviación de lo esperado – positiva o negativa
respecto a lo previsto.
Nota 2: La incertidumbre es el estado, incluso parcial, de deficiencia en la
información relacionada a la comprensión o al conocimiento de un suceso,
de sus consecuencias, o de su probabilidad.
Nota 3: Con frecuencia, el riesgo se caracteriza por referencia a sucesos
potenciales (como se define en la Guía ISO 73:2009, [Link]) y a sus
consecuencias (como se define en la Guía ISO 73:2009, [Link]), o a una
combinación de ambos.
Nota 4: Con frecuencia, el riesgo se expresa en términos de combinación de
las consecuencias de un suceso (incluyendo los cambios en las
circunstancias) y de su probabilidad (tal como se define en la Guía ISO
73:2009, [Link].)
 CONCEPTO DE RIESGO

Concepto de “Riesgo” en el Contexto ISO

ISO9000:2015Sistemasdegestió[Link].
3.7.9riesgo
“efecto de la incertidumbre sobre la consecución de los objetivos”.
Nota 5: La palabra "riesgo“ se utiliza a veces, cuando existe la posibilidad de
consecuencias negativas solamente.
Nota 6: Este constituye uno de los términos comunes y definiciones básicas
de las normas de sistemas de gestión ISO que figuran en el Anexo de
Consolidated ISO Supplement to the ISO/IEC Directives, Part1. La definición
original ha sido modificada añadiendo la Nota 5.

NOTA: Los objetivos pueden tener diferentes aspectos (tales como

financieros, de salud y seguridad, o ambientales) y se pueden aplicar a
diferentes niveles (tales como, nivel estratégico, nivel de un proyecto, de un
producto, de un proceso o de una organización completa).
 Concepto de “Gestión de Riesgos”

ARAMP – 1 NATO Risk Management Guide for Acquisition Programmes

Edition 1
Gestión para ayudar a garantizar la consecución de los objetivos relativos al
costo, al calendario y a las prestaciones en todas las etapas del ciclo de vida,
así como en comunicar a todas las partes interesadas el proceso para
detectar, determinar el alcance y gestionar las incertidumbres.

prEN9239:2014 Aerospace series - Programme Management - Guide for the

risk management
Parte integral de la gestión del programa cuyo objetivo final es contribuir a
una definición adecuada de los objetivos del programa (costos, horarios y
actuaciones ...) y asegurar de forma continua que se cumplan o mejoren, a
pesar de cualquier suceso que pueda afectar el programa a lo largo de su
ciclo de vida.
 Concepto de “Gestión de Riesgos”

ISO 31000 Gestión del Riesgo –Principios y Directrices

2.2 gestión del riesgo:
Actividades coordinadas para dirigir y controlar una organización en lo
relativo al riesgo (2.1).
[ISO Guía 73:2009, definición 2.1]

“Un proceso para identificar, evaluar, manejar y controlar acontecimientos o

situaciones potenciales, con el fin de proporcionar un aseguramiento
razonable respecto del alcance de los objetivos de la organización”

“Un proceso efectuado por el consejo de administración de una entidad, su

dirección y restante personal, aplicable a la definición de estrategias en toda
la empresa y diseñado para identificar eventos potenciales que puedan
afectar a la organización, gestionar sus riesgos dentro del riesgo aceptado y
proporcionar una seguridad razonable sobre el logro de los objetivos”
Concepto de “Gestión de Riesgos”
Concepto de “Gestión de Riesgos”
 Concepto de “Gestión de Riesgos”

Un Marco (Framework) constituye un conjunto estandarizado de conceptos,

prácticas y criterios para enfocar un tipo de problemática particular, que
sirve como referencia para enfrentar y resolver nuevos problemas de índole
similar

Marcos Conceptuales Para la Gestión de Riesgos

Algunas organizaciones que han emitido marcos para la gestión de riesgos:
- The International Organization for Standardization (ISO)
- Committee of Sponsoring Organizations of the Treadway Commission
(COSO)
-The Information Systems Audit and Control Association (ISACA)
- The Risk Management Society (RIMS)
- Federation of European Risk Management Associations (FERMA)
- Open Compliance and Ethics Group (OCGE)…
Concepto de “Gestión de Riesgos”
 Concepto de “Gestión de Riesgos”

ISO 31000:2017. Gestión de Riesgos - Marco y Proceso - Directrices

Proporciona directrices sobre cómo establecer y mantener un marco de

gestión de riesgos que puede ser adoptado por cualquier tipo de
organización, gama de actividades, estrategias, procesos, funciones,
proyectos, productos, servicios, etc. Proporciona un enfoque común en favor
de otras normativas que tratan sobre riesgos específicos y/o sectores, y no
las sustituye.
 Concepto de “Gestión de Riesgos”

ISO 31000:2017. Gestión de Riesgos - Marco y Proceso - Directrices

 Concepto de “Gestión de Riesgos”

ISO 31000:2017. Gestión de Riesgos - Marco y Proceso - Directrices

 Concepto de “Gestión de Riesgos”

ISO 31000:2017. Gestión de Riesgos - Marco y Proceso - Directrices

 Concepto de “Gestión de Riesgos”

ISO 31000:2017. Gestión de Riesgos - Marco y Proceso - Directrices

 Concepto de “Gestión de Riesgos”

ISO 31000:2017. Gestión de Riesgos - Marco y Proceso - Directrices

 Concepto de “Gestión de Riesgos”

Concepto de Gestión de Riesgos en el Contexto ISO

Concepto de “Gestión de Riesgos”
 Gestión de Riesgos – Nivel Estratégico

Enterprise Risk Management – Riesgos Corporativos

Capacidad den una organización de entender, controlar y articular la

naturaleza y nivel de los riesgos tomados en la búsqueda de una rentabilidad
ajustada al riesgo.
 9001:2015
Pensamiento Basado en Riesgos
¿Cómo lo Implementamos?
 9001:2015 Pensamiento Basado en Riesgos
¿Cómo lo Implementamos?

Utilizar el pensamiento basado en riesgos en la construcción de su

Sistema de Gestión y sus procesos.

A.4 Pensamiento basado en riesgos

❶ No hay ningún requisito en cuanto a métodos formales para la gestión
del riesgo ni un proceso documentado de la gestión del riesgo.
❷ No todos los procesos de un sistema de gestión de la calidad representan
el mismo nivel de riesgo en términos de la capacidad de la organización para
cumplir sus objetivos, y los efectos de la incertidumbre no son los mismos
para todas las organizaciones.
Bajo los requisitos del apartado 6.1, la organización es responsable de la
aplicación del pensamiento basado en riesgos y de las acciones que toma
para abordar los riesgos, incluyendo si conserva o no información
documentada como evidencia de su determinación de riesgos.
 9001:2015 Pensamiento Basado en Riesgos
¿Cómo lo Implementamos?
A.4 Pensamiento basado en riesgos
❸Las organizaciones pueden decidir si desarrollar o no una metodología de
la gestión del riesgo más amplia de lo que requiere esta Norma
Internacional, por ejemplo mediante la aplicación de otra orientación u otras
normas.
9001:2015 Pensamiento Basado en Riesgos
¿Cómo lo Implementamos?
9001:2015
Pensamiento Basado en Riesgos
¿Cómo se debe auditar el Pensamiento
Basado en Riesgos?
9001:2015
Pensamiento Basado en Riesgos
¿Cómo se debe auditar el Pensamiento Basado en Riesgos?

La auditoría del Pensamiento Basado en Riesgos en una organización no

puede realizarse como una actividad independiente.
Debe estar implícita durante toda la auditoría del SGC, incluyendo la
entrevista a la Alta Dirección.
 9001:2015 Pensamiento Basado en Riesgos
¿Cómo se debe auditar el Pensamiento Basado en Riesgos?
 9001:2015 Pensamiento Basado en Riesgos
¿Cómo se debe auditar el Pensamiento Basado en Riesgos?

❷ Información Documentada
El auditor debe tener en cuenta que la organización tiene que determinar la
extensión de la información documentada necesaria para proporcionar
evidencia objetiva de la aplicación del pensamiento basado en riesgos.
No hay ningún requisito específico en la norma ISO 9001:2015 sobre cómo
documentar los resultados de la determinación de riesgos y oportunidades.
Las necesidades de una organización, en lo que respecta a la extensión y tipo de
información documentada, variarán considerablemente debido:
- al contexto de la organización
- su tamaño
-cultura
- naturaleza de los productos y servicios
- los requisitos legales y reglamentarios aplicables
- los requisitos del cliente con respecto a los riesgos de los pr
 9001:2015 Pensamiento Basado en Riesgos
¿Cómo se debe auditar el Pensamiento Basado en Riesgos?

❸ Evidencia Objetiva (Documentación Procedimental conservada)

La evidencia objetiva podría estar en diversas formas, por ejemplo:
-actas de reuniones
- análisis SWOT
-informes de retroinformación de los clientes.
- actividades de tormenta de ideas
- análisis de los competidores.
- actividades de planificación, análisis y evaluación relacionadas con varios
procesos, por ejemplo, planificación estratégica, diseño y desarrollo, marketing,
producción y prestación del servicio, acciones correctivas, ...
 revisión por la dirección
 registros de la determinación o evaluación de riesgos, si se determina aplicable o
necesaria por la organización,? etcétera
 9001:2015 Pensamiento Basado en Riesgos
¿Cómo se debe auditar el Pensamiento Basado en Riesgos?
❹ Tratamiento de los riesgos y oportunidades
Acciones tomadas, por ejemplo:

- revisión de los objetivos antiguos, o establecimiento de nuevos objetivos.

-planes de acción.
- formación reglada, en el puesto de trabajo
-instrucciones de trabajo
- objetivos y proyectos de mejora,
etc.
 9001:2015 Pensamiento Basado en Riesgos
¿Cómo se debe auditar el Pensamiento Basado en Riesgos?
 9001:2015 Pensamiento Basado en Riesgos
¿Cómo se debe auditar el Pensamiento Basado en Riesgos?

❺ Evaluación por la organización la eficacia de las acciones antes mencionadas

9 Evaluación del desempeño
9.1 Seguimiento, medición, análisis y evaluación
9.1.3 Análisis y evaluación
La organización debe analizar y evaluar los datos y la información apropiados que surgen
por el seguimiento y la medición. Los resultados del análisis deben utilizarse para evaluar:
…………………
e) la eficacia de las acciones tomadas para abordar los riesgos y oportunidades;
 9001:2015 Pensamiento Basado en Riesgos

Conclusiones

Pensamiento basado en riesgos:

•no es nuevo
•es algo que ya hacemos
•se hace de forma continuada
•asegura un mayor conocimiento de los riesgos y mejor a la preparación para abordarlos.
•aumenta la probabilidad de alcanzar objetivos
•reduce la probabilidad de resultados negativos
•hace de la prevención un hábito
Modelo: Las tres lineas de defensa para una eficaz gestión de riesgos
 Modelo: Las tres lineas de defensa para una eficaz gestión de riesgos
Organismos de gobierno corporativo y alta dirección
 Modelo: Las tres lineas de defensa para una eficaz gestión de riesgos
Organismos de gobierno corporativo y alta dirección

Rol: Responsables del Proceso de Gestión de Riesgos y de establecer y aprobar estructuras y

procesos para gestionar los riesgos de acuerdo a los objetivos de la organización.
Motiva su participación, apoyo y compromiso al proceso de gestión de riesgos (Marco –
Liderazgo y Compromiso).
Fomenta la aprobación de políticas, roles y funciones en todo el proceso de gestión de
riesgos (Marco – Diseño). Contribuye a establecer una estructura de comunicación y
reportes desde las áreas operativas, de cumplimiento y auditoría interna (Proceso).
 Modelo: Las tres lineas de defensa para una eficaz gestión de riesgos
Organismos de gobierno corporativo y alta dirección

Rol: Responsables del Proceso de Gestión de Riesgos y de establecer y aprobar estructuras y

procesos para gestionar los riesgos de acuerdo a los objetivos de la organización.
Motiva su participación, apoyo y compromiso al proceso de gestión de riesgos (Marco –
Liderazgo y Compromiso).
Fomenta la aprobación de políticas, roles y funciones en todo el proceso de gestión de
riesgos (Marco – Diseño).
Contribuye a establecer una estructura de comunicación y reportes desde las áreas
operativas, de cumplimiento y auditoría interna (Proceso).
Modelo: Las tres lineas de defensa para una eficaz gestión de riesgos
 Modelo: Las tres lineas de defensa para una eficaz gestión de riesgos

Rol: “Propietarios” de los riesgos y su gestión.

Entrega un enfoque cohesionado y coordinado para diseñar, estructurar e implementar la
gestión de riesgos en las áreas operativas (Principios, Marco y Proceso).

Contribuye en la definición de roles y tareas específicas en el proceso y cómo estas podrían

ser asignadas y coordinadas en las áreas operativas (Marco y Proceso).

Contribuye a la implementación de acciones correctivas del proceso y de los controles

(Marco y Proceso).
 Modelo: Las tres lineas de defensa para una eficaz gestión de riesgos

Línea de Defensa: Funciones de Gestión de Riesgos y Cumplimiento

Rol: Supervisión o monitoreo de los riesgos.

Aporta un enfoque cohesionado y coordinado, así como métodos que ayudan a monitorear
el cumplimiento de la gestión de riesgos en la organización (Principios, Marco y Proceso)
(Anexo A).
Ayuda a retroalimentar y mejorar la efectividad de los sistemas de gestión de riesgos en la
organización (Principios, Marco y Proceso) (Anexo A).
Contribuye a evitar brechas en la cobertura y duplicaciones de trabajo con otras funciones
de control (Marco y Proceso).
 Modelo: Las tres lineas de defensa para una eficaz gestión de riesgos

Línea de Defensa: Funciones de Gestión de Riesgos y Cumplimiento

 Modelo: Las tres lineas de defensa para una eficaz gestión de riesgos

Línea de Defensa: Auditoría Interna – Aseguramiento

Rol: Aseguramiento Independiente de la Gestión de Riesgos. Incluye estructuras

que pueden ser utilizados como criterios para realizar el aseguramiento, e
informar de su resultado a los organismos de gobierno y alta dirección (Principios,
Marco y Proceso) (Anexo A).
Aporta una serie de métodos de evaluación que pueden ser adoptados
(adaptados) en el trabajo de campo de aseguramiento a la gestión de riesgos
(Anexo A).
Los métodos de evaluación son consistentes con directrices del IIA. Publicación:
“Delivering assurance based on ISO 31000:2009 Risk management— Principles
and guidelines” y GP: “Assessing the Adequacy of Risk Management Using ISO
31000” (Anexo A).
Contribuye a evitar brechas en la cobertura y duplicaciones del trabajo de los
auditores internos con las funciones de control y monitoreo (Marco y Proceso).