GESTIÓN DEL RIESGO – NTC ISO 31000:2018

UNIDADES DE APRENDIZAJE OBJETIVOS DEL CURSO

- Conceptos y modelo referente a la ❑ Entender los conceptos y el modelo de
gestión del riesgo gestión del riesgo
- Aplicación de los elementos que ❑ Aplicar la metodología de gestión del riesgo
conforman el modelo de gestión del identificando, analizando, y valorando los
riesgo, de acuerdo a las directrices riesgos, de acuerdo a su probabilidad e
establecidas en la NTC ISO impacto y que afectan el logro de los
31000:2018. objetivos de la organización

MATERIAL A ENTREGAR CONTENIDO DEL CURSO

DURACIÓN
❑ Conceptos de la gestión del riesgo
8 Horas NTC ISO 31000:2018,
❑ Modelo de gestión del riesgo según la NTC ISO 31000:2018
memorias y cuaderno de
apuntes ❑ Importancia de la gestión del riesgo
BIBLIOGRAFIA ❑ Principios y Marco de referencia
❑ Proceso de gestión del riesgo
NTC ISO 31000:2018 ❑ Comunicación y consulta
ES-P-GM-01-A-006
Versión 2
❑ Alcance, contexto y criterios
PRE REQUISITO ❑ Evaluación del riesgo
N.A ❑ Tratamiento del riesgo
❑ Seguimiento y revisión
❑ Registro e informe

131P08-V2 1
 CURSO: GESTIÓN DEL
RIESGO – NTC ISO
31000:2018

131P08-V2 2
 GESTIÓN DEL RIESGO NTC ISO 31000:2018
8 Horas
Objetivos Contenidos
Unidades de
Conceptos y
aprendizaje
modelo referente Entender los • Conceptos de la gestión del riesgo
a la gestión del conceptos y • Modelo de gestión del riesgo según la
riesgo el modelo de NTC ISO 31000:2018
gestión del • Importancia de la gestión del riesgo
riesgo • Principios y Marco de referencia

GESTIÓN DEL
RIESGO NTC ISO ISO 31000:2018
31000:2018
•Proceso de
gestión del riesgo
Aplicar la •Comunicación y
metodología de consulta
gestión del riesgo •Alcance, T
Aplicación de los identificando, contexto y
elementos que analizando, y criterios
conforman el valorando los •Evaluación del
riesgo T T
modelo de gestión riesgos, de
del riesgo, de acuerdo a su •Tratamiento del
probabilidad e riesgo
acuerdo a las impacto y que •Seguimiento y
ES-P-GM-01-A-006 directrices afectan el logro revisión
Versión 2 establecidas en la de los objetivos •Registro e
NTC ISO de la informe
31000:2018. organización

131P08-V2 3
 DESPLIEGUE DEL CONCEPTO DE GESTIÓN

Definir un marco
PLANIFICAR
de referencia

DIRIGIR

Implementar los
HACER procesos y
GESTIÓN
procedimientos
Hacer seguimiento
VERIFICAR
y medición a lo
planificado
CONTROLAR
ES-P-GM-01-A-006
Versión 2

Tomar acciones
ACTUAR frente a los
resultados
131P08-V2 4
 DESPLIEGUE DEL CONCEPTO DE RIESGO

RIESGO = EFECTO DE LA INCERTIDUMBRE

CONSECUENCIAS PROBABILIDADES

SOBRE LOS OBJETIVOS

OBJETO GESTIÓN DEL RIESGO

Tomado de: NTC ISO 31000:2018

131P08-V2 5
 ¿POR QUÉ ES IMPORTANTE
GESTIONAR LOS RIESGOS?

131P08-V2 6
131P08-V2 7
131P08-V2 8
131P08-V2 9
131P08-V2 10
131P08-V2 11
 NTC ISO 31000:2018

131P08-V2 12
 OBJETO Y CAMPO DE
APLICACIÓN

• Proporciona directrices para

gestionar el riesgo al que se
enfrentan las organizaciones.
• Adaptable a cualquier organización
y a su contexto.
• Proporciona enfoque común para
gestionar cualquier riesgo.

ES-P-GM-01-A-006
Versión 2

131P08-V2 13
 OBJETO Y CAMPO DE
APLICACIÓN

• No es específico de una
industria o un sector.
• Puede utilizarse a lo largo de
la vida de una organización.
• Aplicable a cualquier
actividad, (la toma de
decisiones a todos los
ES-P-GM-01-A-006
Versión 2
niveles).

131P08-V2 14
 PRINCIPIOS DE LA GESTION DEL RIESGO

Integrada

Mejora Estructurada
Continua y Exhaustiva

Factores Creación y
Humanos y Protección del Adaptada
Culturales valor

Mejor
ES-P-GM-01-A-006
Información Inclusiva
Versión 2 Disponible

Dinámica

131P08-V2 15
 MARCO DE REFERENCIA

Integración

Mejora Diseño
Liderazgo y
Compromiso

ES-P-GM-01-A-006
Versión 2
Valoración Implementación

131P08-V2 16
 PROCESO DE GESTIÓN DEL
RIESGO

131P08-V2 17
 ESQUEMA PARA LA GESTIÓN DEL RIESGO
Alcance, Contexto, Criterios

Evaluación del Riesgo

Identificación del Riesgo

Análisis del Riesgo

Valoración del Riesgo

ES-P-GM-01-A-006
Versión 2
Tratamiento del Riesgo

REGISTRO E INFORME

131P08-V2 18
 1. COMUNICACIÓN Y CONSULTA

COMUNICACIÓN: Busca promover la toma de

conciencia y la comprensión del riesgo.
CONSULTA: Implica obtener retroalimentación e
información para la toma de decisiones.

ES-P-GM-01-A-006
Versión 2

131P08-V2 19
 2.1 ALCANCE
La definición del alcance implica considerar los
siguientes elementos:
• Objetivos y las decisiones que se necesitan tomar
• Resultados esperados de las etapas a ejecutar en el
proceso
• Ubicación, tiempo, inclusiones y exclusiones
específicas.
• Herramientas y técnicas apropiadas para la evaluación
de riesgos.
• Recursos requeridos, responsabilidades y registros a
ES-P-GM-01-A-006
conservar
Versión 2

• Relación de la Gestión de Riesgos con otros, procesos,

proyectos o actividades.
131P08-V2 20
 2.2 CONTEXTO EXTERNO E INTERNO

ES-P-GM-01-A-006
Versión 2

131P08-V2 21
 2.2 CONTEXTO EXTERNO E INTERNO
Ejemplo:
CONTEXTO EXTERNO
El contexto externo puede incluir, entre
otros:
•Partes involucradas externas / partes
interesadas
•Requisitos legales y reglamentarios
•El ambiente social y cultural, político,
•El ambiente financiero, económico, natural y
competitivo
•El contexto internacional, nacional, regional o
local;
•Los factores tecnológicos
•Los impulsores clave y las tendencias que
tienen impacto en los objetivos de la
organización; y
•Las relaciones con las partes involucradas
externas y sus percepciones y valores
22
131P08-V2
CONTEXTO INTERNO
El contexto interno que puede incluir, entre
otros:
•El gobierno, estructura de la organización,
funciones y responsabilidades;
•La cultura de la organización y sus procesos
•Las políticas, objetivos y las estrategias
implementadas para lograrlos;
•Los factores productivos
•Las relaciones con las partes involucradas
internas y sus percepciones y valores;
•Los sistemas de información, flujos de
información y procesos de toma de decisiones
(tanto formales como informales);
•Las normas, directrices y modelos adoptados
por la organización; y forma y extensión de las
relaciones contractuales.
22
 2.2 CONTEXTO EXTERNO E INTERNO

Ejemplo:

ES-P-GM-01-A-006
Versión 2

131P08-V2 23
 2.3 DEFINICIÓN DE LOS CRITERIOS DE
RIESGO

Se debería considerar lo
siguiente: La naturaleza y los tipos de incertidumbre que
pueden afectar los resultados y los objetivos
Como se van a definir y medir las
consecuencias y la probabilidad
Factores relacionados con el tiempo

Coherencia en el uso de las mediciones

Cómo se va a determinar el nivel de riesgo

ES-P-GM-01-A-006
La capacidad de la organización
Versión 2
Cómo se tendrán en cuenta las
combinaciones y secuencias de múltiples
riesgos

131P08-V2 24
 3. EVALUACIÓN DEL RIESGO

Proceso global de identificación del riesgo, análisis del riesgo y valoración

del riesgo

131P08-V2 25
 3.1 IDENTIFICACIÓN DEL RIESGO

Proceso para encontrar, reconocer y describir el riesgo.

ES-P-GM-01-A-006
Versión 2

131P08-V2 26
 3.1 IDENTIFICACIÓN DEL RIESGO
Considerar:
• Fuentes de riesgo
• Causas/eventos
• Amenazas/oportunidades
• Vulnerabilidades/capacidades
• Cambios contexto externo/interno
• Naturaleza/valor de activos/recursos
• Consecuencias/impactos
• Limitaciones de conocimiento/confiabilidad de
la información
• Sesgos/supuestos/creencias de personas
involucradas
ES-P-GM-01-A-006
• Indicadores
Versión 2 de riesgos emergentes
• Factores relacionados con el tiempo

131P08-V2 27
 3.1 IDENTIFICACIÓN DEL RIESGO
Organización
Proceso

Fuentes potenciales Riesgos y Oportunidades

Objeto de Gestión ¿Qué podría afectar positiva y ¿Qué efectos potenciales
del Riesgo negativamente al objeto de positivos y negativos genera el
gestión del riesgo? evento?

Aumentar la
satisfacción del
cliente
Mejorar el
desempeño
ambiental
Proveer espacios
de trabajo seguros
ES-P-GM-01-A-006
Versión 2
y saludables
…

131P08-V2 28
 3.2 ANÁLISIS DEL RIESGO

Considerar:
• Probabilidad de los eventos y de las
consecuencias
• Naturaleza y magnitud de las
consecuencias
• Complejidad y la interconexión
• Factores relacionados con el
tiempo y la volatilidad
• Eficacia de los controles existentes
• Niveles de sensibilidad y confianza
ES-P-GM-01-A-006
Versión 2

131P08-V2 29
 CRITERIOS DE VALORACIÓN DE
PROBABILIDAD
Ejemplo:
Valor Clasificación Descripción Probabilidad de ocurrencia
Muy alta probabilidad de
ocurrencia
5 Muy alta Mayor del 85%
Es probable que ocurra muchas
veces
Alta probabilidad de ocurrencia
4 Alta Es probable que ocurra varias 60.1% - 85%
veces
Mediana probabilidad de
ocurrencia
3 Media 25.1% - 60%
Es probable que ocurra algunas
veces
Baja probabilidad de ocurrencia
2 Baja Es poco probable que ocurra, pero 5.1% - 25%
es posible.
Es casi imposible que ocurra
1 Muy baja Puede ocurrir en circunstancias Menor o igual al 5%
excepcionales

131P08-V2 30
 CRITERIOS DE VALORACIÓN DE
CONSECUENCIAS
Ejemplo: Nivel de Pérdida
Valor Impacto Económicos Humanas Imagen
Solo de
Pérdidas hasta conocimiento de
5 Leve Sin lesiones
$500.000 un cliente o
beneficiario.
Pérdidas entre Solo de
Lesiones leves sin
10 Moderado $500.001 y conocimiento en
y con incapacidad
$2´000.000 las instalaciones
Pérdidas entre
De conocimiento
20 Grave $2´000.001 y Victimas graves
a nivel local
$10’000.000
Mas de De conocimiento
50 Catastrófico Muertos
$10’000.000 a nivel regional
Se puede basar en los aspectos mas importantes que pueden ser afectadas por la materialización
de los riesgos.
Tomado de : La Administración de Riesgos Empresariales
Quijano Mejía Rubi Consuelo .Publicaciones EAFIT

131P08-V2 31
Ejemplo:
CRITERIOS DE VALORACIÓN DE CONSECUENCIAS
Clasificación Imagen / Reputación

Se afecta la reputación significativamente: algunos de los valores corporativos son afectados en forma muy negativa.

Máxima
El evento genera pérdida de confianza (credibilidad) en los compromisos por parte de varios de los grupos de interés.
5

La confianza se recupera, con acciones de intervención de naturaleza reparadora, en un periodo superior a 15 años.

Se afecta la reputación: algunos de los valores corporativos son afectados en forma negativa.

Mayor El evento genera pérdida de confianza (credibilidad) en los compromisos por parte de alguno de los grupos de interés.
4
La confianza se recupera, con acciones de intervención reparadoras, en un periodo superior a 5 años y menor o igual a 15
años.

La afectación de la imagen (percepción negativa respecto a la promesa de valor o compromisos) es moderada.

Además de generar desconfianza en la prestación los servicios, compromisos y relacionamiento con los grupos de interés, se
Moderada comienza a cuestionar la credibilidad.
3
Inicia un proceso de desconfianza entre el talento humano.
La pérdida de confianza conlleva a la difusión masiva y al seguimiento por parte de los líderes de opinión.
La confianza se recupera en un periodo entre 2 y 5 años con acciones de intervención reparadoras.
La afectación de la imagen es menor.
Comienza un proceso de desconfianza en los productos y servicios, compromisos y relacionamiento por parte de los grupos
Menor de interés
2
Comienza un proceso de generación de opiniones que pueden llegar a medios masivos de comunicación.
La confianza se recupera en un periodo menor a 2 años con acciones de intervención reparadoras.
La afectación de la imagen es insignificante.
Mínima
1 La confianza por parte del grupo de interés se recupera en forma inmediata o en un periodo menor a 1 año con acciones de
intervención reparadoras.

131P08-V2 32
Ejemplo:
Ejemplo:
CRITERIOS DE VALORACIÓN DE CONSECUENCIAS
Clasificación Personas Calidad
• Muerte o invalidez total de una (1) persona El grado de afectación de la calidad del
• Secuestro de una (1) persona producto o servicio genera un incumplimiento
• Incapacidad permanente parcial en más del de los requisitos y expectativas de los grupos
Máxima
20% de los trabajadores. de interés.
5
• Incapacidad temporal en más del 60% de los
trabajadores

• Incapacidad permanente parcial del 10% al El grado de afectación de la calidad del

Mayor 20% de los trabajadores.
4 • Incapacidad temporal del 40% al 60% de los
trabajadores
• Incapacidad permanente parcial en menos
del 10% de los trabajadores.
Moderada • Incapacidad temporal del 20% al 40% de los
3 trabajadores
producto o servicio genera insatisfacción a los
grupos de interés, por lo cual se requieren
grandes modificaciones y reprocesos.
El grado de afectación de la calidad del
producto o servicio genera consecuencias que
remediables pero que requieren de acciones
aprobadas por una instancia jerárquica.

• Incapacidad temporal para menos del 20% El grado de afectación en la calidad del
de los trabajadores producto o servicio genera consecuencias
remediables que se atienden a través de
Menor
acciones de corrección que no requieren
2
aprobación por parte de una instancia
jerárquica

• Lesiones sin incapacidad El grado de afectación en la calidad del

Mínima
producto o servicio es mínimo.
1

131P08-V2 33
 3.3 VALORACIÓN DEL RIESGO

¿Aceptable?

¿Tolerable
con control
específico?

¿Inaceptable?

34

131P08-V2 34
 3.3 VALORACIÓN DEL RIESGO
Ejemplo:

Alto riesgo: se necesita

atención de la alta
dirección, especificar
planes de acción y
responsabilidad de la
dirección.
Medio riesgo: Gestionar
mediante procedimientos
de monitoreo o respuesta
específicos, con
responsabilidad
especificada de la alta
dirección.
Bajo riesgo: Gestionar
mediante procedimientos
de rutina, es poco
probable que se necesite
la aplicación específica de
recursos.

35

131P08-V2 35
 4. TRATAMIENTO DEL RIESGO

Control de Financiamiento
Riesgos Del Riesgo

Evitar Aceptar
Prevenir Retener
Proteger Transferir

Una vez identificados y evaluados los riesgos se determinan medidas con las cuales se va a
gestionar, una relacionada con el control y otra con en el financiamiento del riesgo

36

131P08-V2 36
 4.1 SELECCIÓN DE LAS OPCIONES
PARA EL TRATAMIENTO DEL RIESGO

Control de
Riesgos

EVITAR: No emprender PROTEGER: Actuar sobre

una actividad o proyecto recursos amenazados

PREVENIR: Anticiparse, actuar antes de

que ocurra algo
Las personas que toman decisiones y otras partes interesadas deberían ser conscientes de la
naturaleza y el nivel del riesgo residual después del tratamiento del riesgo

37

131P08-V2 37
 4.1 SELECCIÓN DE LAS OPCIONES
PARA EL TRATAMIENTO DEL RIESGO

PREVENIR
• Inspecciones y pruebas de
seguridad
• Entrenamiento
• Inversión en información
• Diversificación de PROTEGER
servicios/productos • Sistemas automáticos de
• Disminución del nivel de exposición protección.
• Mantenimiento preventivo • Equipo de protección personal.
• Antivirus
Backup de la información

131P08-V2 38
 4.1 SELECCIÓN DE LAS OPCIONES
PARA EL TRATAMIENTO DEL RIESGO

Financiamiento
Del Riesgo

TRANSFERIR: Trasladar
ACEPTAR: Asumir o
la pérdida a otras
responsabilizarse de la
empresas a través de
consecuencia cuando pase
RETENER: Se afronta de contratos o de seguro
manera planeada a través de
una cuenta de gasto o fondo.

Una vez identificados y evaluados los riesgos se determinan medidas con las cuales se va a
gestionar. Una relacionada con el control y otra con en el financiamiento del riesgo

131P08-V2 39
 4.2 PREPARACIÓN E
IMPLEMENTACIÓN DE LOS PLANES
DE TRATAMIENTO DEL RIESGO
Riesgo u
Acciones a Eficacia de
Oportunidad Responsable Plazos Recursos
tomar las acciones
Relevante

También debería incluir:

• El fundamento de la selección de las opciones para el tratamiento, incluyendo
beneficios esperados.
• Medidas de desempeño
ES-P-GM-01-A-006
• Restricciones
Versión 2

• Informes y seguimiento requeridos

131P08-V2 40
 5. SEGUIMIENTO Y REVISIÓN

Debería ser una parte planificada del

proceso de gestión del riesgo, con
responsabilidades claramente definidas
y debería incluir:
• Planificar, recopilar y analizar la
información,
• Registrar resultados
• Proporcionar retroalimentación

ES-P-GM-01-A-006
Versión 2

Los resultados del seguimiento y la revisión deberían incorporarse a todas las

actividades de la gestión del desempeño, de medición y de informe de la organización

131P08-V2 41
 6. REGISTRO E INFORME

El informe debería incluir:

• Partes interesadas, sus necesidades
y requisitos específicos de
información
• Costo, frecuencia y tiempos del
informe
• Método del informe
• Pertinencia de la información con
respecto a los objetivos de la
organización y la toma de decisiones.
ES-P-GM-01-A-006
Versión 2

131P08-V2 42
 “EN UN MUNDO QUE CAMBIA REALMENTE
RÁPIDO, LA ÚNICA ESTRATEGIA EN LA QUE EL
FRACASO ESTÁ GARANTIZADO ES NO ASUMIR
RIESGOS”.
(MARK ZUCKERBERG)

131P08-V2 43
 Quieres darnos tu
opinión?, presentar una Te invitamos a
queja o reclamo?...
sugerencia o
escribirnos al correo
electrónico GRACIAS
reconocimiento?... cliente@icontec.org

131P08-V2 44
131P08-V2 45