Sistema de Gestión

de Riesgos - ISO
31000
 Capítulo I. Introducción a los riesgos -
Enfoque ISO 31000

1.1 Normas y estándares

internacionales aplicados a la
gestión de riesgos
1.2 Modelo COSO
1.1 Normas y estándares internacionales
aplicados a la gestión de riesgos

El análisis de oportunidades y amenazas, incertidumbres y los riesgos o eventos al riesgo

a los que están sometidas todas las actividades de cualquier organización, sin importar su
diligencia o tamaño, son conocidas en la actualidad como “Gestión de Riesgo”, un
término antes utilizado para referirse específicamente a accidentes operacionales,
enfermedades, incendios o catástrofes naturales, entre otros, que pueden afectar el logro
de los objetivos de cualquier tipo empresa y alterar los sistemas de gestión.

La gestión de riesgos es una etapa fundamental en la evaluación económica y financiera.

Se trata de un enfoque riguroso y documentado en todos los niveles de desarrollo de los
eventos analizados, lo que requiere información de todas las áreas de interés, internas y
externas.
La ISO 31000 permite a las organizaciones:

01 Fomentar una gestión proactiva libre de riesgos.

02 Mejorar la identificación de oportunidades y amenazas.

03 Cumplir con todas las exigencias legales y reglamentarias , además de las

normas internacionales

Aumentar la seguridad y confianza , así como mejorar la prevención de pérdidas y

04 manejo de incidentes.

05 Mejorar el aprendizaje organizacional.

06 Mejorar la eficiencia y eficacia operacional.

La gestión de riesgos está diseñada para
ayudar a las organizaciones a:

1. Incrementar la probabilidad de lograr los objetivos .

2. Promover la gestión proactiva.
3. Ser conscientes de la necesidad de identificar y
tratar el riesgo en toda organización .
4. Mejorar en la identificación de oportunidades y
amenazas.
5. Cumplir con las exigencias legales y reglamentarias
pertinentes , así como las normas internacionales.
6. Mejorar la información financiera.
7. Establecer una base confiable para la toma de
decisiones y la planificaciones.
 El exito de la ISO 31000

El éxito de la implantación de los sistemas de gestión basados en

estándares internacionales comenzó con la difusión de las normas ISO
9000 (calidad) e ISO 14000 (medio ambiente), (estándares en proceso
de cambio y actualización), diversificándose ahora con nomas más
específicas. En efecto, en los últimos años se está produciendo,
siguiendo la senda abierta por las exitosas normas, un importante
proceso de emisión de nuevos estándares, tanto nacionales como
internacionales. Se trata de estándares relacionados con ámbitos tan
diversos de la gestión empresarial como la prevención de riesgos
laborales y la seguridad y salud en el trabajo, la responsabilidad social
corporativa o las actividades relacionadas con la gestión de recursos
humanos, entre otros.

Por ejemplo, en el ámbito de la gestión y prevención de riesgos

laborales ―que tiene por objeto mejorar la calidad de la seguridad,
higiene y salud laboral de los trabajadores de la empresa―, está en
evaluación la norma ISO 45001, el primer estándar internacional para
salud y seguridad ocupacional.
1.2 Modelo COSO

El Comité de Organizaciones Patrocinadoras de la Comisión Treadway

(COSO), es una iniciativa de cinco instituciones del sector privado de los
Estados Unidos (Institute of Management Accountants (IMA), American
Accounting Association (AAA), American Institute of Certified Public
Accountants (AICPA), Institute of Internal Auditors (IIA), Financial
Executives International (FEI)) que se formó en 1985, para establecer un
modelo común de control interno que sirva de norma para contrastar y
evaluar los sistemas de control interno de las empresas.. Dicho modelo
ha sido incorporado en las políticas y regulaciones dentro de
organizaciones que buscan mejorar el control de sus actividades y el
cumplimiento de sus objetivos.
Publicación de una versión
actualizada del modelo COSO

El 14 de mayo de 2013, el COSO publicó una versión actualizada de su

Marco Integrado de Control Interno (marco 2013) que proporciona
unas mejoras a las entidades que utilicen el marco de 1992, COSO
Control Interno - Marco Integrado (el “Marco de 1992”) para cumplir
con la Sección 404 de la Ley Sarbanes-Oxley de 2002 (SOX), y la
información sobre cómo hacer la transición del marco 1992 al marco
2013.

El marco 2013 de COSO, crea una estructura que puede ser considera
más formal para el diseño y la evaluación de la efectividad del control
interno a través de 17 principios para describir los componentes del
control interno relevantes para todas las entidades, desarrolla los
conceptos de evaluación de riesgos, riesgo inherente, tolerancia al
riesgo, tratamiento de los riesgos y la vinculación entre riesgos en las
actividades de evaluación y control.
Las empresas que utilizan COSO para informar sobre el control interno en la
presentación de reportes externos podrían considerar:

Identificación de nuevos conceptos y cambios en la norma.

La evaluación de su formación y las necesidades de su capacitación.

Asimismo, a diferencia del Marco 1992, incluye explícitamente el concepto de
riesgo de fraude al evaluar los riesgos para el logro de los objetivos de la
organización, teniendo en cuenta:

• Sesgo de la administración.

• Nivel de juicios y estimaciones en informes externos.

• Fraudes y situaciones comunes a los sectores y mercados en los que opera la entidad.

• Las regiones o zonas geográficas en las que opera la entidad.

• Los incentivos que pueden motivar un comportamiento fraudulento.

• La naturaleza de la tecnología y la capacidad de la administración para manejar la información.

• Transacciones inusuales o complejas sujetas a la influencia significativa en su gestión.

• La vulnerabilidad de la administración y los posibles esquemas para eludir las actividades de

control existentes.
El Marco 2013 afecta al diseño y evaluación del informe elaborado por las
entidades debiendo establecer:

● Evaluación de la cobertura de los principios de los procesos existentes y los

controles relacionados.
● Evaluación de los procesos actuales, actividades, y documentación disponible
relacionada con la aplicación de los principios.
● Identificación de las deficiencias existentes en el marco anterior.
● Identificación de las medidas a tomar en la transición.
● Formulación de un plan para la transición para las empresas obligadas a ella.
● Confirmación de la divulgación del marco utilizado en cada momento.
● Coordinación y comunicación interna con todos los grupos que son responsables
de la implementación, seguimiento y presentación de informes de la organización.
● Discutir y coordinar las actividades con la auditoría interna y externa.
Modelo COSO 1992 VS 2013
Muestra cómo han surgido cambios en los objetivos , estructura de la entidad y
componentes. Objetivos

Estructura de la
unidad

Componentes

Modelo COSO 1992

Modelo COSO 2013
¿Qué es control interno?

El control interno es un proceso llevado a cabo por el

consejo de administración, la gerencia y el resto del
personal de la organización, diseñado para proporcionar
una garantía razonable para lograr de objetivos
relacionados con operaciones, reportes y cumplimiento.
Sistema efectivo de control interno

En un sistema efectivo de control interno bajo el marco 2013, cada uno de los cinco
componentes y principios están obligados a estar presentes y en funcionamiento. En
relación a esto, tenemos las siguientes definiciones:

• Presente definido como “la determinación de que existen componentes y principios

pertinentes en el diseño e implementación del sistema de control interno para lograr los
objetivos especificados”.

• Funcionamiento definido como “la determinación de que los componentes y los

principios pertinentes siguen existiendo en la realización del sistema de control interno
para lograr los objetivos especificados”.
Limitaciones del COSO-ERM.

Inserta tu texto aquí

Inserta tu texto aquí
Inserta tu texto aquí

Inserta tu texto aquí Inserta tu texto aquí

Inserta tu texto aquí Inserta tu texto aquí
Inserta tu texto aquí Inserta tu texto aquí
Inserta tu texto aquí Inserta tu texto aquí
Inserta tu texto aquí Inserta tu texto aquí.
Herramienta para
la evaluación del
riesgo
Matriz de riesgo

Herramienta que permite clasificar y visualizar los riesgos mediante la

definición de categorías de consecuencias y de su probabilidad.
Para realizar una evaluación de riesgos efectiva, las
organizaciones utilizan métodos que les permiten garantizar la
identificación de peligros potenciales en el lugar de trabajo. Utilizan
herramientas basadas en enfoques formales.

Es necesario recalcar que todas las actividades cuentan con

riesgos asociados, los cuales se pueden presentar al cruzar la
carretera, conducir un vehículo, practicar algún deporte, etc.
Se tiene que considerar riesgos de proceso y de las actividades que se llevan a cabo.

●El documento elaborado debe ser apropiado para la naturaleza del proceso que se
analiza.

●Debe ser apropiado para ser aplicado en un tiempo razonable.

●Se tiene que enfocar siempre a las prácticas actuales.
●Se tiene que considerar las actividades tanto rutinarias como no rutinarias.
●Se debe considerar cambios en el ambiente laboral.
●Se tiene que considerar la evaluación a los empleados y grupos de riesgos.
●Se tiene que considerar los aspectos que afectan al proceso.
●Una matriz de riesgos debe ser estructurada, práctica y debe alentar la participación
colectiva.
El esquema matriz riesgos
Cómo implementar un
sistema de gestión de
riesgo
ISO 31000 es un estándar de carácter internacional, que
contiene los principios y directrices que permiten gestionar
el riesgo al interior de la organización. ISO 31000 se adapta
a cualquier tipo de organización, pública o privada, ya que
no existe ninguna que no esté expuesta a riesgo alguno.
10 pasos para implementar un plan de Gestión
de Riesgos de acuerdo a ISO 31000

1.Establecer el contexto
En esta etapa, calificamos los riesgos y establecemos si son de contexto interno o
externo.
Se entiende por contexto externo, aquel riesgo que se deriva de factores culturales,
sociales, políticos, jurídicos, reglamentarios, etc.
El riesgo de control interno, está relacionado con el capital, el tiempo, el recurso
humano, los procesos, la estructura organizativa, las responsabilidades,etc.
2. El enfoque

Delimitar el contexto, ayuda a mejorar el enfoque en la definición de los riesgos

en su organización, sincronizandolo con los objetivos que se desea alcanzar.
Esto es de vital importancia, porque si se comete un error aquí, se perderá el
trabajo en el resto de los pasos subsiguientes

3. Identificación de Riesgos

En este paso, tomamos los riesgos específicos, los reconocemos, describimos y

obtenemos una lista completa de ellos y de los eventos que los pueden
generar, aumentar, acelerar, o, por el contrario, reducir o retardar.Lo
importante es contar con un registro detallado de estos riesgos, sobre los que
ya conocemos su contexto y el enfoque con que debemos gestionarlos.
4. Análisis de riesgos

En este punto, evaluamos las causas y las fuentes de riesgos, sus

consecuencias, negativas y positivas – pueden existir -, y las probabilidades de
que se produzcan tales consecuencias. El análisis tiene como objetivo
fundamental, entender la probabilidad real de que el riesgo ocurra, y el
impacto que tendrá en caso de suceder.

5. Evaluación de riesgos

La evaluación ayuda a tomar decisiones, sobre la base obtenida del análisis. Si

el análisis nos arroja una probabilidad de un 90%, por ejemplo, definitivamente
el riesgo es inminente y de alto impacto. Es preciso generar acciones
inmediatas para prevenir ese riesgo o minimizar su impacto.
6. Tratamiento de los riesgos

Este es el paso en el que se toman decisiones. Es el momento de actuar, y

emprender acciones que modifiquen el riesgo. ¿Qué es modificar un riesgo?:
Aliviarlo, prevenirlo, eliminarlo, cambiar su rumbo…

7. Comunicación y consulta

Este paso tiene una característica especial. Es continuo e iterativo. Resulta de la

obtención de información, mediante la participación en diferentes espacios –
diálogo, foros, debates – con las partes interesadas.
8. Monitoreo

Se trata de un proceso continuo de verificación, supervisión y observación crítica, que

pretende identificar cambios en la situación que pudiesen generar nuevos riesgos, o
afectar la eficacia del plan de Gestión de Riesgos.

9. Análisis crítico

El análisis crítico es la actividad llevada a cabo para determinar la idoneidad,

adecuación y eficacia del plan de Gestión de Riesgos. Más que una evaluación de
resultados, es una evaluación al plan en sí mismo, señalando las mejoras sucesivas o,
por el contrario, sus falencias.

10. Auditoría

El siguiente paso de cualquier proceso de implementación de un estándar de ISO,

siempre será la auditoría de certificación. La auditoría, aunque creamos que es el
final, en realidad es un nuevo comienzo.
Sus beneficios
 Beneficios
Si estás evaluando si implementar un Sistema de Gestión de Riesgos, a continuación,
puedes conocer cuáles son los beneficios de gestionar los riesgos de acuerdo a ISO 31000
que obtienen las organizaciones que ya la han implementado y se han certificado:

Aumentar la probabilidad de que se logren los objetivos.

Mejorar la capacidad de la organización para identificar amenazas y oportunidades.
Establecer una base sólida para la planificación y toma de decisiones.
· Conocer cómo asignar y usar los recursos necesarios para el tratamiento del riesgo.
Mejorar la eficiencia y eficacia operativa.
Alentar al personal para identificar y tratar los riesgos.
Mejorar los controles de gestión de riesgos.
Mejorar la eficacia de la gestión de la Dirección.
Minimizar las pérdidas de la organización.
Estimular y apoyar el aprendizaje organizacional continuo.
Cumplir con los requisitos legales.
Mejorar la confianza de los grupos de interés.
Mejorar la resistencia general de la organización.

Mejorar la prevención de pérdidas y las actividades de gestión de incidencias.

Una mejor gestión de la protección del medio ambiente y de la seguridad y salud del trabajo en la
organización.
Reducción de costes.
Mayor nivel de satisfacción de clientes y empleados.
Incremento de la productividad, al reducirse los siniestros.
Disminución drástica de la incertidumbre.
Asegurar que el riesgo se gestiona adecuadamente.
Gestionar y controlar el riesgo dentro de una organización.
Evaluar las prácticas y procesos de gestión del riesgo.
Conocer cómo el riesgo deber ser gestionado y controlado.
Desarrollar los procedimientos y guías de gestión del riesgo.
Preparar las normas y códigos de prácticas relacionadas.
Muchas gracias por su atención