NORMA ISO 31000:2018

DIRECTRICES PARA LA
GESTIÓN DEL RIESGO
 OBJETIVO GENERAL

Proporcionar a los participantes los fundamentos y

conocimientos de la norma actualizada ISO
31000:2018, para la gestión del riesgo en las
organizaciones.
 CONTENIDO GENERAL
DE LA FORMACIÓN
PARTE 1. ESTRUCTURA E INTERPRETACIÓN DE LA NORMA ISO 31000:2018
- Principios para la gestión del riesgo
- Proceso general de gestión del riesgo ISO 31000:2018.
- Marco de referencia.
- Proceso de la gestión del riesgo.
- Principales elementos de la gestión del riesgo.
- Comunicación y consulta.
- Establecer el contexto.
- Valoración del riesgo.
- Identificación del riesgo
- Análisis del riesgo.
- Evaluación del riesgo.
- Tratamiento del riesgo.
- Monitoreo y revisión.

PARTE 2. METODOLOGIA APLICABLE PARA LA GESTIÓN DEL RIESGO

- Elementos del control para la implementación
- Contexto estratégico
- Identificación del riesgo
- Tipificación básica de riesgos
- Análisis de riesgos
- Valoración de riesgos - controles
- Políticas de administración del riesgo
- Mapa de riesgos
 PARTE 1.
ESTRUCTURA E INTERPRETACIÓN DE LA
NORMA ISO 31000:2018
 OBJETO Y CAMPO DE APLICACIÓN

- Esta norma establece directrices para gestionar el riesgo que

enfrentan las organizaciones.
- La implementación de estas directrices, se adaptan a cualquier tipo
de organización y a su contexto.
- Se establece un enfoque común para cualquier tipo de riesgo y no
es específico de una industria o sector.
- Esta norma se puede implementar a lo largo de la vida de la
organización, aplicarse a todas las actividades, incluso, a la toma
de decisiones.
DIRECTRICES PARA LA GESTIÓN DEL RIESGO
ISO 31000:2018

Riesgo es el efecto de la incertidumbre sobre el logro de los objetivos, es

la probabilidad de que suceda algún tipo de evento que impacta
(consecuencias) los objetivos organizacionales o de los procesos.

La valoración del riesgo se percibe como una amenaza, en este sentido,

los esfuerzos organizacionales se deben dirigir a reducir, mitigar o
eliminar su ocurrencia.

Pero existe también la percepción del riesgo como una oportunidad, lo

cual implica que su gestión está dirigida a maximizar los resultados que
éstos generan.
 ADMINISTRACIÓN DEL RIESGO

Un proceso efectuado por la alta dirección y por todo el

personal para proporcionar a la organización un aseguramiento
razonable con respecto al logro de los objetivos.

El enfoque de riesgos no se determina solamente con el uso de

una metodología, sino logrando que la evaluación de los
riesgos se convierta en una parte habitual de los procesos de
planificación y operación de la organización.
 CONCEPTOS
FUNDAMENTALES

RIESGO
efecto de la incertidumbre sobre los objetivos.

GESTIÓN DEL RIESGO

actividades definidas para dirigir y controlar una organización con respecto al riesgo.

FUENTE DE RIESGO
elemento que, por sí solo o en combinación con otros, tiene el potencial de generar riesgo

EVENTO
ocurrencia o cambio de un conjunto particular de circunstancias
- Un evento puede tener más de una ocurrencias y puede tener varias causas y varias consecuencias.
- Un evento también puede ser algo previsto que no llega a ocurrir, o algo no previsto que ocurre.
- Un evento puede ser una fuente de riesgo.

CONSECUENCIA
resultado de un evento que afecta a los objetivos
- Una consecuencia puede ser cierta o incierta y puede tener efectos positivos o negativos, directos o
indirectos sobre los objetivos. Las consecuencias se pueden manifestar de forma cualitativa o
cuantitativa. Una consecuencia puede incrementar los efectos en cascada y efectos acumulativos.

PROBABILIDAD
posibilidad de que algo suceda
 CONCEPTOS
FUNDAMENTALES
PARTE INTERESADA
persona u organización que puede afectar , verse afectada, o percibirse como afectada
por una decisión o actividad.

CONTROL
medida que mantiene y/o modifica un riesgo.

RIESGO INHERENTE
es aquel al que se enfrenta una entidad en ausencia de acciones de la dirección para
modificar su probabilidad o impacto.

RIESGO RESIDUAL
- nivel de riesgo que permanece luego de tomar medidas de tratamiento del
riesgo.
- es aquel que subsiste, después de haber implementado controles.

INCERTIDUMBRE
es el desconocimiento si un hecho o situación ocurrirá.

IMPACTO O CONSECUENCIAS
resultados si se lega a materializar el riesgo identificado.
 4. PRINCIPIOS DE LA
GESTIÓN DEL RIESGO

INTEGRADA
La gestión del riesgo es parte integral de todas las
actividades de la organización.

ESTRUCTURADA Y EXHAUSTIVA
Un enfoque estructurado y exhaustivo hacia la gestión del riesgo
contribuye a resultados coherentes y comparables.

ADAPTADA
El marco de referencia y el proceso de la gestión del riesgo se adaptan y son
proporcionales a los contextos externo e interno de la organización relacionados
con sus objetivos.

INCLUSIVA
La participación apropiada y oportuna de las partes interesadas
permite que se consideren su conocimiento, puntos de vista y
percepciones.
 PRINCIPIOS DE LA GESTIÓN DEL
RIESGO

DINÁMICA
Los riesgos pueden aparecer, cambiar o desaparecer con los
cambios de los contextos externo e interno de la
organización. La gestión del riesgo anticipa, detecta,
reconoce y responde a esos cambios y eventos de una
manera apropiada y oportuna.

MEJOR INFORMACIÓN DISPONIBLE

Las entradas a la gestión del riesgo se basan en información histórica y
actualizada, así como en expectativas futuras. La gestión del riesgo tiene en
cuenta explícitamente cualquier limitación e incertidumbre asociada con tal
información y expectativas. La información debería ser oportuna, clara y
disponible para las partes interesadas pertinentes.

FACTORES HUMANOS Y CULTURALES

El comportamiento humano y la cultura influyen considerablemente en todos los
aspectos de la gestión del riesgo en todos los niveles y etapas.

MEJORA CONTINUA
La gestión del riesgo mejora continuamente mediante aprendizaje y
experiencia.
 5 MARCO DE REFERENCIA

5.1 GENERALIDADES
La finalidad del marco de referencia de la gestión del riesgo, es orientar a las organizaciones para
integrar la gestión del riesgo en todas sus actividades y funciones significativas. La eficacia de esta
integración depende de la alta dirección y de su toma de decisiones respecto al riesgo.

5.2 LIDERAZGO Y COMPROMISO

La alta dirección debería establecer que la gestión del riesgo se implemente en todas las actividades
de la organización y evidenciar el liderazgo y compromiso:
Esto le permitirá lograr a la organización:

- orientar la gestión del riesgo con sus objetivos, estratégia y

cultura organizacional;
- implementar el marco de referencia;
- identificar y tener en cuenta las obligaciones y sus
- divulgar la orientación y/o la política, el compromisos voluntarios;
plan para la gestión del riesgo; - identificar la magnitud y tipos de riesgos que puede o no ser
- establecer los recursos para la gestión tomados en cuenta para orientar el desarrollo de los criterios
del riesgo;
del riesgo;
- definir la autoridad y responsabilidad - divulgar la importancia de la gestión del riesgo en la
de rendir cuentas en los distintos organización y en sus partes interesadas;
niveles de la organización; - realizar seguimiento a los riesgos;
- Asegura y verificar que el marco de referencia de la gestión
del riesgo se mantenga eficazmente al contexto de la
organización.
 5 MARCO DE REFERENCIA

5.3 INTEGRACIÓN

La integración de la gestión del riesgo depende del conocimiento de la estructura

y del contexto de la organización.

- El riesgo se gestiona en todas las instancias de la estructura de la

organización.

- Todos los miembros de una organización tienen la responsabilidad de

gestionar el riesgo.

- La gestión del riesgo debería estar alineada al propósito de la organización,

de la alta dirección, al liderazgo y compromiso, a la estrategia, los objetivos y
las operaciones de la organización.
 5 MARCO DE REFERENCIA

5.4 DISEÑO

5.4.1 COMPRENSIÓN DE LA ORGANIZACIÓN Y DE SU CONTEXTO

La organización debería analizar y comprender sus contextos externo e interno para
el diseño del marco de referencia para gestionar el riesgo.

El análisis del contexto externo puede incluir: El análisis del contexto interno puede incluir:

- los factores sociales, culturales, políticos, legales, - la misión, la visión y los valores;
reglamentarios, financieros, tecnológicos, - la alta dirección, la estructura de la organización, los
económicos y ambientales ya sea a nivel roles, las responsabilidades y la rendición de
internacional, nacional, regional o local; cuentas;
- las políticas, la estrategia. los objetivos y cultura org;
- las situaciones y tendencias que pueden afectar - las capacidades, los recursos y conocimientos (por
los objetivos de la organización; ejemplo, capital, tiempo, personas, propiedad
intelectual, procesos, sistemas y tecnologías);
- las relaciones, percepciones, valores, - los datos, los sistemas de información y el flujo de la
necesidades y expectativas de las partes información;
- las relaciones con las partes interesadas internas;
interesadas externas;
- los compromisos contractuales y otros compromisos;
- las relaciones entre las distintas instancias de la
- las relaciones contractuales y los compromisos
organización.
adquiridos, entre otras.
 5 MARCO DE REFERENCIA

5.4.2 ARTICULACIÓN DEL COMPROMISO CON LA GESTIÓN DEL RIESGO

La alta dirección y los niveles de supervisión, deberían demostrar su compromiso

continuo con la gestión del riesgo mediante una política, una declaración u otras
formas que expresen claramente los objetivos y el compromiso de la organización
con la gestión del riesgo.

El compromiso debería incluir, entre otros aspectos:

- la finalidad de la organización para gestionar el

riesgo y la relación con sus objetivos y otras - establecer la disponibilidad de los recursos
políticas; necesarios;

- divulgar e integrar la gestión del riesgo en la - definir las actividades para el manejo de los
cultura de la organización; objetivos en discusión;

- liderar la integración de la gestión del riesgo en - la medición y la información como parte de los
todas las actividades del negocio y en la toma indicadores de desempeño de la organización;
de decisiones;
- la revisión y la mejora.
- establecer la obligatoriedad, las autoridades y
las responsabilidades de rendir cuentas;
 5 MARCO DE REFERENCIA

5.4.3 ASIGNACIÓN DE ROLES, AUTORIDADES,

RESPONSABILIDADES Y OBLIGACIÓN DE RENDIR CUENTAS
EN LA ORGANIZACIÓN

La alta dirección y los niveles de supervisión, deberían asegurarse que

las autoridades, las responsabilidades y la obligación de rendir cuentas
con respecto a la gestión del riesgo, se asignen y comuniquen a todos los
niveles de la organización y deberían:

- precisar que la gestión del riesgo es una responsabilidad fundamental;

- establecer las personas que tienen asignada la responsabilidad de

rendir cuentas y la autoridad para gestionar el riesgo (dueños del
riesgo).
 5 MARCO DE REFERENCIA

5.4.4 ASIGNACIÓN DE RECURSOS

La alta dirección y los niveles de supervisión, deberían asegurar la asignación de

los recursos para la gestión del riesgo:

- las personas, las habilidades, la experiencia y las competencias;

- los procesos, los métodos y las herramientas asignadas para

gestionar el riesgo;

- los procesos y procedimientos documentados;

- los sistemas de gestión de la información y del conocimiento;

- el desarrollo profesional y las necesidades de formación.

La organización debería identificar las competencias y limitaciones de los

recursos existentes.
 5 MARCO DE REFERENCIA

5.4.5 ESTABLECIMIENTO DE LA COMUNICACIÓN Y LA CONSULTA

La organización debería establecer las actividades necesarias para

gestionar la relación entre la comunicación y la consulta, para apoyar
el marco de referencia y facilitar la aplicación eficaz de la gestión del
riesgo.

- La comunicación implica compartir información con las partes

interesadas.

- La consulta implica que los participantes faciliten la retroalimentación

para que contribuya a las decisiones u otras actividades.

- Los métodos y el contenido de la comunicación y la consulta deberían

reflejar las expectativas de las partes interesadas, cuando sea
pertinente.
 5 MARCO DE REFERENCIA

5.5 IMPLEMENTACIÓN
La organización debería implementar el marco de referencia de la gestión del riesgo
mediante:
- la modificación de los procesos para la
- La definición de un plan, que incluya
toma de decisiones,
plazos y recursos;
- asegurar que las decisiones de la
- la identificación de dónde, cuándo, organización para gestionar el riesgo, son
cómo y quién toma diferentes tipos de claramente comprendidas y puestas en
decisiones en toda la organización; práctica.

5.6 VALORACIÓN
Para evaluar la eficacia del marco de referencia de la gestión del riesgo, la organización
debería:
- evaluar periódicamente el desempeño de la
gestión del riesgo con relación a su - determinar si se mantiene el desempeño de la
propósito, sus planes para la gestión, para apoyar el logro de los objetivos de
implementación, sus indicadores y el la organización.
comportamiento esperado;
 5 MARCO DE REFERENCIA

5.7 MEJORA

5.7.1 ADAPTACIÓN

La organización debería realizar el seguimiento continuo y adaptar el marco de

referencia de la gestión del riesgo, de acuerdo a los cambios externos e internos.

Al desarrollar esta actividad, la organización puede mejorar su desempeño.

5.7.2 MEJORA CONTINUA

La organización debería mejorar continuamente la idoneidad, adecuación y

eficacia del marco de referencia de la gestión del riesgo y la manera en la que se
integra el proceso de la gestión del riesgo.

Cuando se identifiquen brechas u oportunidades de mejora, la organización

debería implementar planes, actividades y asignar a responsabilidad a quien tenga
que rendir cuentas de sus resultados. Una vez implementadas, estas mejoras
deberían contribuir al fortalecimiento de la gestión del riesgo.
 6 PROCESO

6.1 GENERALIDADES

Las actividades para la gestión del riesgo implican la implementación de:

- políticas,
- procedimientos,
- actividades de comunicación y consulta,
- establecimiento del contexto y evaluación,
- tratamiento,
- seguimiento,
- revisión,
- registro,
- informe del riesgo
 6 PROCESO

6.2 COMUNICACIÓN Y CONSULTA

La finalidad de la comunicación y consulta, es asegurar que las partes
interesadas comprendan el riesgo, las actividades con las que se toman
decisiones y las razones por las que son necesarias tomar acciones
específicas.

La comunicación y consulta pretende:

- reunir diferentes áreas para cada - entregar la información necesaria para
etapa del proceso de la gestión del facilitar el seguimiento del riesgo y la toma
riesgo; de decisiones;

- asegurar que se toma en cuenta, los

diferentes puntos de vista cuando - desarrollar un sentido de inclusión entre
se definen los criterios del riesgo y las personas afectadas por el riesgo.
cuando se valoran los riesgos;
 6 PROCESO

6.3 ALCANCE, CONTEXTO Y CRITERIOS

6.3.1 GENERALIDADES
El objetivo de establecer el alcance, el contexto y los criterios, es implementar el proceso
de la gestión del riesgo, para lograr una evaluación y un tratamiento eficaz del riesgo. El
alcance, el contexto y los criterios implican definir el alcance del proceso, y comprender los
contextos externo e interno.

6.3.2 DEFINICIÓN DEL ALCANCE

La organización definirá definir el alcance de las actividades relacionadas con la gestión
del riesgo, puede aplicarse a diferentes niveles y aspectos (por ejemplo: estratégico,
operacional, de programa, de proyecto u otras actividades).

En la planificación del alcance, debería tener en

- las metodologías y las técnicas utilizadas para la
cuenta:
evaluación del riesgo;
- los objetivos y las decisiones que se requieren
- los recursos necesarios, las responsabilidades
tomar;
definidas y los registros a mantener;
- los resultados esperados de la gestión del riesgo;
- las relaciones establecidas con otros proyectos,
- los tiempos, la ubicación de los riesgos, las procesos y actividades.
inclusiones y las exclusiones definidas;
 6 PROCESO

6.3.3 CONTEXTOS EXTERNO E INTERNO

Los contextos externo e interno son el entorno en el cual la organización

ejecuta sus actividades para definir y lograr sus objetivos.

La comprensión del contexto es importante porque:

- la gestión del riesgo se - el propósito y alcance del

desarrolla en el contexto proceso de la gestión del
de los objetivos y las riesgo puede estar
actividades de la interrelacionado con los
organización. objetivos de la organización
como un todo;

- los aspectos organizacionales pueden

ser una fuente generadora de riesgo;
 6 PROCESO

6.3.4 DEFINICIÓN DE LOS CRITERIOS DEL RIESGO

La organización debería definir la cantidad y el tipo de riesgo que puede o

no puede asumir, con relación a los objetivos.

Definir los criterios Los criterios del riesgo Los criterios del riesgo
para evaluar la se deberían relacionar deberían evidenciar
importancia del con el marco de los valores, objetivos
riesgo y para apoyar referencia de la gestión y recursos de la
la toma de del riesgo y adaptarlos organización y ser
decisiones. al propósito y alcance coherentes con las
de la actividad políticas acerca de la
considerada. gestión del riesgo.

Los riesgos pueden ser cambiantes y se deberían revisar

periódicamente y de ser necesario, se modificados.
 6 PROCESO

Al establecer los criterios del riesgo, tener en cuenta:

- la naturaleza y los tipos de

las incertidumbres (riesgos)
que pueden afectar a los - cómo se va a establecer el nivel de
resultados y objetivos; riesgo;
- cómo se van a establecer y - cómo se tendrán en cuenta las
medir las consecuencias
relaciones y las secuencias de múltiples
(tanto positivas como
negativas) y la probabilidad; riesgos;

- los aspectos relacionados - la capacidad de la organización para la

con el tiempo; gestión.
- la pertinencia en el uso de
las mediciones;
 6 PROCESO

6.4 EVALUACIÓN DEL RIESGO

6.4.1 GENERALIDADES
La evaluación del riesgo es el proceso global de su identificación, análisis y
valoración del riesgo. Definir y utilizar la información disponible para su
evaluación.

6.4.2 IDENTIFICACIÓN DEL RIESGO

El objetivo de la identificación del riesgo es reconocer y describir los riesgos

que pueden ayudar o impedir a la organización lograr sus objetivos.

Para la identificación de los riesgos es importante contar con la información

pertinente y actualizada.
 6 PROCESO

La organización puede utilizar diferentes técnicas para identificar

incertidumbres (riesgos) que pueden afectar a uno o varios objetivos. Se
deberían tener en cuenta los siguientes aspectos:
- las fuentes de riesgo; - la naturaleza y el valor de los activos y
los recursos;
- las causas y los eventos,
- las consecuencias y sus impactos en
- las amenazas y las oportunidades; los objetivos;

- las vulnerabilidades y las - las limitaciones de conocimiento y la

capacidades; confiabilidad de la información;

- los cambios en los contextos externo - los factores relacionados con el tiempo;
e interno;
- los prejuicios, los supuestos y las
- los indicadores de riesgos; creencias de las personas involucradas.
La organización debería identificar los riesgos, sus fuentes que estén o
no bajo su control.
 6 PROCESO

6.4.3 ANÁLISIS DEL RIESGO

El análisis del riesgo implica una consideración detallada de las fuentes de

riesgo, consecuencias, probabilidades, eventos, situaciones, controles y su
eficacia. Un evento puede tener múltiples causas y consecuencias y puede
afectar a múltiples objetivos.

El análisis del riesgo debería tener en

cuenta:
- los factores relacionados con el tiempo
- la probabilidad de los eventos y de las
y la variabilidad de las situaciones;
consecuencias;
- la eficacia de los controles existentes;
- la naturaleza y la magnitud de las
consecuencias; - los niveles de percepción y
confiabilidad.
- la complejidad y las múltiples
relaciones;
 6 PROCESO

6.4.4 VALORACIÓN DEL RIESGO

El objetivo de la valoración del riesgo es proporcionar información

para la toma de decisiones. La valoración del riesgo implica
comparar los resultados del análisis del riesgo con los criterios del
riesgo establecidos para determinar, cuándo se requiere una
acción adicional.
Establecer una decisión respecto a:

- no tomar acciones adicionales;

- mantener los controles existentes;
- considerar opciones para el
tratamiento del riesgo; - evaluar los objetivos.

- realizar un análisis adicional

para comprender mejor el riesgo;
 6 PROCESO

6.5 TRATAMIENTO DEL RIESGO

6.5.1 GENERALIDADES

El objetivo del tratamiento del riesgo, es seleccionar e implementar las

actividades necesarias para abordar el riesgo.

formular y planificar e evaluar la decidir si el si no es

seleccionar implementar eficacia del riesgo residual aceptable,
planes y/o
el tratamiento es aceptable; efectuar
actividades
tratamiento implementado; tratamiento
para el
tratamiento del riesgo; adicional.
del riesgo.
 6 PROCESO

6.5.2 SELECCIÓN DE LAS OPCIONES PARA EL TRATAMIENTO DEL

RIESGO

La selección de las acciones más apropiadas para el tratamiento del riesgo,

para esto, se debería realizar un balance entre los beneficios potenciales
generados por el logro de los objetivos vrs. los costos o desventajas de la
implementación.
- evitar el riesgo decidiendo no - modificar las consecuencias;
iniciar o continuar con la actividad
que genera el riesgo;
- compartir el riesgo (por ejemplo: a
- través de contratos, compra de
aceptar o aumentar el riesgo en
seguros);
busca de una oportunidad;
- eliminar la fuente de riesgo;
- retener el riesgo, de acuerdo a una
- modificar la probabilidad; decisión informada.
 6 PROCESO

6.5.3 PREPARACIÓN E IMPLEMENTACIÓN DE LOS PLANES DE

TRATAMIENTO DEL RIESGO

La finalidad del tratamiento del riesgo, es determinar la manera en la que

se implementarán las actividades para el tratamiento, verificando que las
personas involucradas comprendan las actividades, se realice seguimiento
a la ejecución de lo planificado. El plan de tratamiento debería identificar
las actividades, el orden de ejecución e implementación.

El plan del tratamiento puede incluir:

- la justificación de la selección de las acciones

para el tratamiento, incluyendo los beneficios - las medidas del desempeño;
esperados;
- las restricciones;
- las personas que rinden cuentas y aquellas
responsables de la aprobación e - los informes y seguimiento requeridos;
implementación del plan;
- los plazos previstos para la realización y la
- las acciones propuestas; finalización de las acciones.

- los recursos necesarios, incluyendo las

contingencias;
 6 PROCESO

6.6 SEGUIMIENTO Y REVISIÓN

El objetivo del seguimiento y la revisión es asegurar la eficacia del diseño, la
implementación y los resultados del proceso.

Para el seguimiento y la revisión,

asignar responsabilidades.

El seguimiento y la revisión incluyen

planificar, recopilar y analizar
información, registrar resultados y
proporcionar retroalimentación.

Los resultados del seguimiento y la

revisión deberían ser incluidas en todas
las actividades de la gestión del
desempeño, de la medición e informar
a la organización.
 6 PROCESO

6.7 REGISTRO E INFORME

Las actividades de la gestión del riesgo y sus resultados, se deberían
documentar e informar a la organización, a través de los medios apropiados.

- comunicar las actividades de la

gestión del riesgo y sus resultados Los aspectos a tener en cuenta en el informe:
a lo largo de la organización;
- las diferentes partes interesadas, sus
- proporcionar información para la necesidades y requisitos específicos de
toma de decisiones; información;

- mejorar las actividades de la - el costo, la frecuencia y los tiempos del

gestión del riesgo; informe;

- el método del informe;

- apoyar la relación con las partes
interesadas, incluyendo a las - la pertinencia de la información con
personas que tienen la respecto a los objetivos de la organización y
responsabilidad y la obligación de la toma de decisiones.
rendir cuentas de las actividades
de la gestión del riesgo.
 PARTE 2.
METODOLOGIA APLICABLE PARA LA
GESTIÓN DEL RIESGO
 GESTIÓN DEL RIESGO

METODOLOGÍA PROPUESTA PARA SU ORIENTACIÓN E IMPLEMENTACIÓN

CONTEXTUALIZACIÓN EL RIESGO

Posibilidad de que suceda algún evento que tendrá un impacto sobre el cumplimiento de los
objetivos. Se expresa en términos de probabilidad y consecuencias.

En el paso 2 de identificación encontramos, el análisis del contexto estratégico y las

técnicas para identificar el riesgo.

En el paso 3 de análisis y valoración encontramos:

El riesgo en su tendencia más común es valorado como una amenaza, en este sentido, los
esfuerzos organizacionales se dirigen a reducirlo, evitarlo, transferirlo o mitigarlo; sin
embargo, el riesgo puede ser analizado como una oportunidad, lo cual implica que su
gestión sea dirigida a maximizar los resultados que éstos generan.
 1. CONOCIMIENTO DE LA
ORGANIZACIÓN

Aspectos claves para el conocimiento de la organización.

La cadena de
Misió
valor
n
de los procesos

Caracterización
Visión de los procesos

Objetivos Mapa de
estratégicos procesos
 POLÍTICA PARA LA GESTIÓN DEL RIESGO

Declaración de la dirección y las intenciones generales de una organización con

respecto a la gestión del riesgo. La gestión del riesgo establece lineamientos
precisos acerca del tratamiento, manejo y seguimiento a los riesgos.

Aspectos a tener en cuenta para elaborar la política

- Objetivo: Se debe establecer su alineación con los objetivos estratégicos de la
organización.
- Alcance: La gestión del riesgo debe ser extensible y aplicable a todos los
procesos de la organización.
- Niveles de aceptación del riesgo: Decisión informada de tomar un riesgo
particular
- Niveles de calificación del impacto: El análisis variará de acuerdo con la
complejidad de cada organización, será necesario considerar el sector al que
pertenece.
- Tratamiento del riesgo: Proceso para modificar el riesgo
 ELEMENTOS DE CONTROL PARA LA
IMPLEMENTACION
1. CONTEXTO ESTRATEGICO

2. IDENTIFICACION DEL RIESGO

3. ANALISIS DE RIESGOS

4. VALORACION DE RIESGOS

5. POLITICAS DE ADMINISTRACION DE RIESGOS

 1. ESTABLECIMIENTO DEL
CONTEXTO
Identificación de los aspectos internos y externos de la organización y de los procesos,
que se han de tomar en consideración cuando se gestiona el riesgo. Establecer el
alcance y los criterios del riesgo para la política de la gestión del riesgo.

Ambiente externo en el cual la Ambiente interno en el cual la organización

organización busca alcanzar busca alcanzar sus objetivos. Las
sus objetivos. Son situaciones situaciones internas están relacionadas
del entorno o externas con:
pueden ser de carácter:
- La estructura
- Social
- Cultura organizacional
- Cultural
- El modelo de operación
- Económico
- El cumplimiento de los planes y
- Tecnológico
- Político y legal programas
- Internacional, nacional o - Los sistemas de información
regional según sea el caso - Los procesos y procedimientos
de análisis. - Los recursos humanos
- Y los económicos con los que cuenta
una entidad.
 ESTABLECIMIENTO DEL CONTEXTO

FORTALEZAS / DEBILIDADES

Misión / Visión
Objetivos
Percepción y estratégicos
Objetivos Políticas de
Partes ORGANIZACION
comunicación
interesadas Partes
interesadas

OPORTUNIDADES / AMENAZAS

Contexto: Aspectos financieros, operacionales, competitivos, percepción /

imagen ante el publico, responsabilidad social, del cliente, culturales, legales
 FACTORES PARA CADA CATEGORÍA DEL
CONTEXTO
ECONÓMICOS: Disponibilidad de capital, liquidez, mercados financieros, desempleo, competencia.

POLÍTICOS: Cambios de gobierno, legislación, políticas públicas, regulación.

CONTEXTO SOCIALES: Demografía, responsabilidad social, orden público.

EXTERNO TECNOLÓGICOS: Avances en tecnología, acceso a sistemas de información externos.

MEDIOAMBIENTALES: Emisiones y residuos, energía, catástrofes naturales, desarrollo sostenible.

COMUNICACIÓN EXTERNA: Mecanismos utilizados para entrar en contacto con los clientes o partes interesadas.

FINANCIEROS: Presupuesto de funcionamiento, recursos de inversión, infraestructura, capacidad instalada.

PERSONAL: Competencia del personal, disponibilidad del personal, seguridad y salud en el trabajo.

CONTEXTO PROCESOS: Capacidad, diseño, ejecución, proveedores, entradas, salidas, gestión del conocimiento.

INTERNO TECNOLOGÍA: Integridad y disponibilidad de datos y sistemas, desarrollo, producción, mantenimiento de sistemas de información.

ESTRATÉGICOS: Direccionamiento estratégico, planeación institucional, liderazgo, trabajo en equipo.

COMUNICACIÓN INTERNA: Canales utilizados y efectividad, flujo de información necesaria para el desarrollo de las operaciones.

DISEÑO DEL PROCESO: Claridad en la descripción del alcance y objetivo del proceso.

CONTEXTO INTERACCIONES CON OTROS PROCESOS: Relación con otros procesos en cuanto a insumos, proveedores, productos o clientes.

DEL TRANSVERSALIDAD: Procesos que determinan lineamientos necesarios para el desarrollo de todos los procesos de la organización.

PROCESO PROCEDIMIENTOS ASOCIADOS: Pertinencia en los procedimientos que desarrollan los procesos.

RESPONSABLES DEL PROCESO: Grado de autoridad y responsabilidad de los colaboradores frente al proceso.

COMUNICACIÓN ENTRE LOS PROCESOS: Efectividad en los flujos de información determinados en la interacción de los procesos.
 2. IDENTIFICACIÓN DEL RIESGO

EN QUE CONSISTE.

En esta etapa se deben establecer las fuentes o factores de riesgo, los

eventos o riesgos, sus causas y sus consecuencias. Para el análisis se
pueden involucrar datos históricos, análisis teóricos, opiniones informadas
y expertas y las necesidades de las partes involucradas.

La identificación se realiza determinando las causas, fuentes del riesgo y

los eventos con base en el análisis de contexto para la organización y del
proceso, que pueden afectar el logro de los objetivos. Es importante
centrarse en los riesgos más significativos para la organización
relacionados con los objetivos de los procesos y los objetivos
institucionales.
TIPIFICACIÓN BÁSICA DE LAS CLASES DE RIESGO

RIESGO ESTRATÉGICO
Se asocia con la forma en que se administra la organización. El manejo del riesgo
estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento
de los objetivos estratégicos, la clara definición de políticas, diseño y
conceptualización de la organización por parte de la alta gerencia.

RIESGOS DE IMAGEN - REPUTACIONALES

Están relacionados con la percepción y la confianza por parte de los clientes, la
comunidad y diferentes grupos sociales hacia la organización.

RIESGOS OPERATIVOS
Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas
de información organizacional, de la definición de los procesos, de la estructura de la
organización, de la articulación entre dependencias y procesos.
TIPIFICACIÓN BÁSICA DE LAS CLASES DE RIESGO

RIESGOS FINANCIEROS
Se relacionan con el manejo de los recursos de la organización que incluyen: la
ejecución presupuestal, la elaboración de los estados financieros, los pagos,
manejos de excedentes de tesorería y el manejo sobre los bienes.

RIESGOS DE CUMPLIMIENTO
Se asocian con la capacidad de la organización para cumplir con los requisitos
legales, contractuales, de ética pública y en general con su compromiso ante la
sociedad y comunidad.

RIESGOS DE TECNOLOGÍA
Están relacionados con la capacidad tecnológica de la organización para
satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión.

RIESGO DE CORRUPCIÓN
Relacionados con acciones, omisiones, uso indebido del poder, de los recursos
o de la información para la obtención de un beneficio particular o de un tercero.
 MODELO BÁSICO DE IDENTIFICACIÓN DEL
RIESGO

PROCESO:
OBJETIVO DEL RIESGO CAUSA (S) CONSECUENCIAS
PROCESO POTENCIALES

Preguntas claves para la identificación del

riesgo.
Qué puede suceder?
Cómo puede suceder?
Cuando puede suceder?
Que consecuencias traería su materialización?
 3. ANÁLISIS DEL RIESGO

El análisis del riesgo busca establecer la probabilidad de ocurrencia del mismo y sus
consecuencias, éste último aspecto puede orientar la clasificación del riesgo, con el fin de
obtener información para establecer el nivel de riesgo y las acciones que se van a
implementar.

Busca establecer:

Probabilidad Frecuencia
Impacto de sus
De ocurrencia Factibilidad
consecuencias

Pasos claves en el análisis de riesgos

- Determinar probabilidad
- Determinar consecuencias
- Clasificación del Riesgo
- Estimar el nivel del riesgo
TABLA MODELO PARA EL ANÁLISIS DEL RIESGO

TABLA DE PROBABILIDAD

DESCRIPT
NIVEL OR DESCRIPCIÓN FRECUENCIA
El evento puede ocurrir solo en No se ha presentado en
1 Raro circunstancias excepcionales. los últimos 5 años.

El evento puede ocurrir en algún Al menos de 1 vez en los

2 Improbable momento. últimos 5 años.

El evento podría ocurrir en algún Al menos de 1 vez en los

3 Posible momento. últimos 2 años.

El evento probablemente ocurrirá Al menos de 1 vez en el

4 Probable en la mayoría de las circunstancias. último año.

Se espera que el evento ocurra en

5 Casi Seguro la mayoría de las circunstancias. Más de una vez al año.
TABLA MODELO PARA EL ANÁLISIS DEL RIESGO

TABLA DE IMPACTO

NIVEL DESCRIPTOR DESCRIPCIÓN

Si el hecho llegara a presentarse, tendría consecuencias o efectos
1 Insignificante mínimos sobre la organización.

Si el hecho llegara a presentarse, tendría bajo impacto o efecto

2 Menor sobre la organización.

Si el hecho llegara a presentarse, tendría medianas consecuencias o

3 Moderado efectos sobre la organización.

Si el hecho llegara a presentarse, tendría altas consecuencias o

4 Mayor efectos sobre la organización.

Si el hecho llegara a presentarse, tendría desastrosas consecuencias

5 Catastrófico o efectos sobre la organización.
 CALIFICACIÓN DEL RIESGO

Se logra a través de la estimación de la probabilidad de su ocurrencia y el

impacto que puede causar la materialización del riesgo.

Para determinar el impacto se pueden utilizar los siguientes conceptos:

- Impacto de confidencialidad de la información

- Impacto de credibilidad o imagen

- Impacto legal

- Impacto operativo
 EVALUACIÓN DEL RIESGO

Permite comparar los resultados de la calificación del riesgo, con los

criterios definidos para establecer el grado de exposición de la
organización al mismo; de esta forma es posible distinguir entre los
riesgos:

- Aceptables

- Tolerables

- Moderados

- Importantes o inaceptables

- Fijar las prioridades de las acciones requeridas para su tratamiento.

 MATRIZ MODELO DE CALIFICACIÓN,
EVALUACIÓN Y RESPUESTA A LOS RIESGOS

PROBABILIDAD IMPACTO
Insignificante Catastrofico
(1) Menor (2) Moderado (3) Mayor (4) (5)

Raro (1) B B M A A

Improbable (2) B B M A E

Posible (3) B M A E E

Probable (4) M A A E E

Casi Seguro (5) A A E E E

B: Zona de riesgo Baja: Asumir el riesgo

M: Zona de riesgo Moderada: Asumir el riesgo, Reducir el riesgo
A: Zona de riesgo Alta: Reducir el riesgo, Evitar, Compartir o
Transferir
E: Zona de riesgo Extrema: Reducir el riesgo, Evitar, Compartir o
 3. VALORACIÓN DEL RIESGO

La valoración del riesgo es el producto de confrontar los resultados de la

evaluación del riesgo con los controles identificados, esto se hace con el
objetivo de establecer prioridades para su manejo y para la fijación de
políticas.

Para adelantar esta etapa se hace necesario tener claridad sobre los puntos
de control existentes en los diferentes procesos, los cuales permiten obtener
información para efectos de tomar decisiones.

Acciones fundamentales para valorar el riesgo.

- Identificar controles existentes

- Verificar efectividad de los controles

- Establecer prioridades de tratamiento

 VALORACIÓN DEL RIESGO - CONTROLES

Acciones fundamentales para valorar el riesgo - CONTROLES

- Identificar controles existentes

- Quién lleva a cabo el control (responsable)

- Qué busca hacer el control (objetivo)

- Cómo se lleva a cabo el control (procedimiento)

- Evidencia de la ejecución del control

- Tipo de control (manual o automático)

- Cuándo se realiza el control (periodicidad

 EJEMPLOS DE TIPOS DE CONTROL
Políticas claras aplicadas
Seguimiento al plan estratégico y operativo
Controles Indicadores de gestión
de Tableros de control
Gestión Seguimiento a cronograma
Evaluación del desempeño
Informes de gestión
Monitoreo de riesgos
Conciliaciones
Consecutivos
Verificación de firmas
Controles Listas de chequeo
Operativos Registro controlado
Segregación de funciones
Niveles de autorización
Custodia apropiada
Personal capacitado
Aseguramiento y calidad
Controles Normas claras y aplicadas
Legales Control de términos
 ANÁLISIS Y EVALUACIÓN DE CONTROLES

1. DETERMINAR SU NATURALEZA

Preventivos:
Evitan que un evento suceda. Por ejemplo el requerimiento de un login y password en un sistema
de información es un control preventivo. Dentro de esta categoría pueden existir controles de tipo
detectivo, los cuales permiten registrar un evento después de que ha sucedido, por ejemplo,
registro de las entradas de todas las actividades llevadas a cabo en el sistema de información,
traza de los registros realizados, de las personas que ingresaron, entre otros.

Correctivos:
Éstos no prevén que un evento suceda, pero permiten enfrentar la situación una vez se ha
presentado. Por ejemplo en caso de un desastre natural u otra emergencia mediante las pólizas
de seguro y otros mecanismos de recuperación de negocio o respaldo, es posible volver a
recuperar las operaciones.

2. DETERMINAR SI LOS CONTROLES ESTÁN DOCUMENTADOS

Permite conocer cómo se lleva a cabo el control, quién es el responsable de su ejecución y cuál
es la periodicidad para su ejecución, lo cual determinará las evidencias que van a respaldar la
ejecución del mismo.
 ANÁLISIS Y EVALUACIÓN DE CONTROLES

3. ESTABLECER SI EL CONTROL QUE SE IMPLEMENTA ES AUTOMÁTICO O

MANUAL

CONTROLES AUTOMÁTICOS:
Utilizan herramientas tecnológicas como sistemas de información o software que
permiten incluir contraseñas de acceso, o con controles de seguimiento a aprobaciones o
ejecuciones que se realizan a través de éste, generación de reportes o indicadores,
sistemas de seguridad con scanner, sistemas de grabación, entre otros. Este tipo de
controles suelen ser más efectivos en algunos ámbitos dada su complejidad.

CONTROLES MANUALES:
Políticas de operación aplicables, autorizaciones a través de firmas o confirmaciones vía
correo electrónico, archivos físicos, consecutivos, listas de chequeo, controles de
seguridad con personal especializado, entre otros.

4. DETERMINAR SI LOS CONTROLES SE ESTÁN APLICANDO EN LA ACTUALIDAD

Han sido efectivos para minimizar el riesgo.

 ANÁLISIS Y EVALUACIÓN DE CONTROLES
Se evalúan el control determinado, de acuerdo a los valores de la evaluación de cada pregunta, y se realizan
las observaciones del caso, para determinar el puntaje final, el cual se utiliza para determinar el rango de
calificación final del riesgo, de acuerdo a la tabla siguiente.

ANÁLISIS Y EVALUACIÓN DE CONTROLES

DESCRIPCIÓN EVALUACIÓN
DEL CRITERIOS PARA LA EVALUACIÓN OBSERVACIONES
SI NO
CONTROL
¿El control previene la materialización del riesgo (afecta Este criterio no puntúa, es relevante determinar si el
probabilidad) control es preventivo (probabilidad) o si es correctivo
N/A N/A que permite enfrentar el evento una vez materializado
¿El control permite enfrentar la situación en caso de (impacto), con el fin de establecer el desplazamiento
materialización (afecta impacto)? en la matriz de evaluación de riesgos.
¿Existen manuales, instructivos o procedimientos para el
manejo del control? 15 0
¿Está(n) definido(s) el(los) responsable(s) de la ejecución 5 0
del control y del seguimiento?
¿El control es automático?
DESCRIBA EL (Sistemas o Software que permiten incluir contraseñas de
CONTROL acceso, o con controles de seguimiento a aprobaciones o 15 0
DETERMINADO ejecuciones que se realizan a través de éste, generación
PARA EL de reportes o indicadores, sistemas de seguridad con
RIESGO scanner, sistemas de grabación, entre otros).
IDENTIFICADO ¿El control es manual?
(Políticas de operación aplicables, autorizaciones a través
de firmas o confirmaciones vía correo electrónico, archivos
físicos, consecutivos, listas de chequeo, controles de
seguridad con personal especializado, entre otros) 10 0
¿La frecuencia de ejecución del control y seguimiento es
adecuada? 15 0
¿Se cuenta con evidencias de la ejecución y seguimiento
del control? 10 0
¿En el tiempo que lleva la herramienta ha demostrado ser
efectiva? 30 0
TOTAL 100
 ANÁLISIS Y EVALUACIÓN DE CONTROLES

El valor total de la valoración de los controles, se revisa contra los rangos de

calificación de controles y se determina la disminución de la probabilidad e impacto.
Como resultado final, se genera una segunda evaluación del riesgo.

RANGOS DE Dependiendo si el control afecta probabilidad o impacto

CALIFICACIÓN desplaza en la matriz de evaluación del riesgo así:

DE CONTROLES EN PROBABILIDAD AVANZA HACIA ARRIBA

EN IMPACTO AVANZA HACIA LA IZQUIERDA

ENTRE 0 - 50 0

ENTRE 51 - 75 1

ENTRE 76 - 100 2
 ASPECTOS A EVALUAR EN LA ELECCIÓN DE
CONTROLES

Viabilidad
Jurídica
Se debe tener en cuenta Viabilidad Técnica
Viabilidad
Organizacional
Viabilidad
Financiera

Análisis de Costo - Beneficio

4. TRATAMIENTO DEL RIESGO
 ACTIVIDADES PARA LA GESTIÓN DEL RIESGO

Las políticas identifican las opciones para tratar y manejar los riesgos basadas en la
valoración de los mismos, permiten tomar decisiones adecuadas y fijar los
lineamientos, que van a transmitir la posición de la dirección y establecen las guías de
acción necesarias a todos los colaboradores de la organización.
Debe contener:

- Los objetivos que se esperan lograr.

- Las estrategias para establecer cómo se va a desarrollar las políticas, a largo,

mediano y corto plazo.

- Los riesgos que se van a controlar.

- Las acciones a desarrollar contemplando el tiempo, los recursos, los responsables y

el talento humano requerido.

- El seguimiento y evaluación a la implementación y efectividad de las políticas.

 DEFINICIONES CLAVE
TRATAMIENTO DEL RIESGO
Proceso para modificar el riesgo.

Nota 1: El tratamiento del riesgo puede implicar:

 evitar el riesgo decidiendo no iniciar o continuar la actividad que lo originó
 tomar o incrementar el riesgo con el fin de perseguir una oportunidad
 retirar la fuente del riesgo
 cambiar la probabilidad
 cambiar las consecuencias
 compartir el riesgo con una o varias de las partes (incluyendo los contratos y la
financiación del riesgo)
 retener el riesgo a través de la decisión informada.

Nota 2: En ocasiones se hace referencia a los tratamientos del riesgo relacionados

con consecuencias negativas como "mitigación del riesgo", "eliminación del riesgo",
"prevención del riesgo" y "reducción del riesgo".

Nota 3: El tratamiento del riesgo puede crear riesgos nuevos o modificar los existentes
 4. TRATAMIENTO DEL RIESGO

ESTRUCTURACION DE CRITERIOS PARA TOMA DE DECISIONES

Tratamiento de Riesgos Efectos al

interior de la

Organización
 ACTIVIDADES BÁSICAS PARA LA GESTIÓN DEL
RIESGO

Se pueden manejar independientes, interrelacionadas o en conjunto

EVITAR EL RIESGO

Prevenir la materialización del Riesgo mediante

Mejoramiento Rediseño Eliminación Adecuados Controles

ACTIVIDADES BÁSICAS PARA LA GESTIÓN DEL
RIESGO

REDUCIR EL RIESGO
Disminuir la Probabilidad y el Impacto

Medidas de Prevención
Medidas de Protección

Optimización de Procedimientos
Implementación y/o cambio de los controles existentes.
 ACTIVIDADES BÁSICAS PARA LA GESTIÓN DEL
RIESGO

COMPARTIR O TRANSFERIR EL RIESGO

Reducir el efecto a partir de la transferencia de las perdidas a otro proceso u

organización.

ASUMIR EL RIESGO

El riesgo ha sido manejado (reducido o transferido) pero han quedado vestigios del
riesgo, se establecen planes de contingencia para su manejo y seguimiento.
 MONITOREO Y REVISIÓN

El monitoreo es esencial para asegurar que las acciones se están llevando a cabo y
evaluar la eficiencia en su implementación adelantando revisiones sobre la marcha
para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en
la aplicación de las acciones preventivas.

DEFINICIONES CLAVE

REPORTE DEL RIESGO

Forma de comunicación destinada a informar a las partes involucradas internas y
externas, proporcionando información relacionada con el estado del riesgo y su
gestión.

REGISTRO DEL RIESGO

Registro de la información acerca de los riesgos identificados.

PERFIL DEL RIESGO

Descripción de cualquier conjunto de riesgos.
 MAPA DE RIESGOS POR PROCESO

Facilita la elaboración del mapa organizacional, que se alimenta de

éstos, teniendo en cuenta que solamente se trasladan al
organizacional aquellos riesgos que permanecieron en las zonas más
altas de riesgo y que afecten el cumplimiento de la misión de la
organización y objetivos.
 TIPOS DE MAPAS DE RIESGOS
MAPA DE RIESGOS ORGANIZACIONAL

Contiene a nivel estratégico los mayores riesgos a los cuales está expuesta la
organización, se alimenta con los riesgos residuales altos o extremos de cada
uno de los procesos que pueden afectar el cumplimiento de la misión y
objetivos de la organización.

MAPA DE RIESGOS POR PROCESO

Recoge los riesgos identificados para cada uno de los procesos, los cuales
pueden afectar el logro de sus objetivos.
 MODELO MAPA DE RIESGOS
MAPA DE RIESGOS

PROCESO:
OBJETIVO DEL
PROCESO:

CALIFICACIÓN EVALUACIÓN CONTROLES NUEVA CALIFICACION NUEVA POLÍTICAS

RIESGO PROBABILIDAD IMPACTO RIESGO PROBABILIDAD IMPACTO CALIFICACIÓN DE MANEJO ACCIONES RESPONSABLE INDICADOR
 EJEMPLO MAPA DE RIESGOS

PROCESO: Gestión Administratuva

OBJETIVO: Asegurar la administración y entrega de bienes y servicios solicitados por los procesos.

CALIFICACIÓN EVALUACIÓN NUEVA CALIFICACIÓN NUEVA OPCIONES INDICADOR

RIESGO PROBABILIDAD IMPACTO DEL RIESGO CONTROLES PROBABILIDAD IMPACTO EVALUACIÓN DE MANEJO ACCIONES RESPONSABLE DE GESTIÓN

1. Establecer
políticas para
la definición
de
necesidades
y elaboración
Elaboración del plan de
Retrasos o de un plan compras. #días
incumplimientos general de 2. Verificar implementad
en la entrega de compras, y aprobar 1. Líderes de os en la
los bienes y estableciend anteproyecto proceso. entrega /
servicios que 5 4 Extrema o los 4 3 Alta Reducir de 2. Líder #días
requieren los tiempos de presupuesto. proceso proyectados
procesos para el entrega y los 3. administrativo para la
cumplimiento de recursos Establecer y entrega X
su gestión. para su ejecutar y 100
ejecución. cumplir los
tiempos
asignados
para la
entrega de
bienes y
servicios.
 ¿Dudas e
inquietudes?
GRACIAS