Jornada de sensibilización

Piloto de Gestión de Riesgos

NTC-ISO 31000:2009 / gestión de riesgos - principios y
directrices
Enfoque NTC ISO 9001:2015

Sistema Gestión de la Calidad (SGC) del Programa

Ampliado de Inmunizaciones (PAI)

Lunes 12 de septiembre de 2016

Fuente: Manual PAI MSPS
 REGLAS DE JUEGO

Puntualidad.

Evitar interrupciones (ej. celular).

Participación proactiva.

Respeto a quien tiene la palabra y a la opinión de los

demás.

Firmar la lista de asistencia de capacitación,

verificando nombres y apellidos completos.

Primera Jornada Virtual de Sensibilización del SGC para el PAI

EJEMPLOS DE RIESGOS
 Posibilidad de que suceda algún
evento que tendrá un impacto
sobre los objetivos
organizacionales o del proceso

Qué significa
Gestión del Riesgo «Riesgo»?

Principios y Directrices
Causas Riesgos Efectos
Conclusiones

Control
Factor de riesgo
El riesgo……la predicción

El Oráculo de Delfos era el más

importante de la Antigua Grecia,
situado en el Templo del mismo
nombre, considerado como el centro
del mundo. Las predicciones del
oráculo se realizaban sólo un día al
mes, el día siete, por ser la fecha del
nacimiento del Dios Apolo.
ORÁCULO DE DELFOS

6
Objetivos

Identificar elementos de relación entre

la gestión de la calidad y la gestión del

riesgo.

Generar las bases para que la

organización proponga su enfoque de

gestión de riesgos en la Organización.

 Conceptualización
Proceso de comparación de los Se define como la combinación de
resultados del análisis del riesgo la probabilidad de que se produzca
Proceso para comprender la
con los criterios del riesgo para un evento y sus consecuencias
naturaleza del riesgo y determinar
determinar si el riesgo, su negativas. Los factores que lo
el nivel de riesgo
magnitud o ambos son aceptables componen son la amenaza y la
o tolerables. vulnerabilidad.

Evaluación de riesgo Análisis de riesgo Riesgo

Magnitud de un riesgo o de una

Resultado de un evento combinación de riesgos, expresada Nivel de riesgo que permanece
que afecta a los objetivos. en términos de la combinación de luego de tomar medidas de
las consecuencias y su probabilidad tratamiento de riesgo

Consecuencia Nivel de riesgo Riesgo residual

 Conceptualización
Grado en el cual es probable que
ocurra un evento, que se debe
medir a través de la relación entre
los hechos ocurridos realmente y la
cantidad de eventos que puedan
suceder realmente.
Incidente o situación, que ocurre
en un lugar determinado o en un
momento determinado. Este Consecuencia negativa que trae
puede ser cierto o incierto y su consigo un evento
ocurrencia puede ser única o parte
de una serie.

Probabilidad Evento Pérdida

Medida del coeficiente de

ocurrencia de un evento expresado Términos de referencia frente a los
como la cantidad de veces que ha cuales se evalúa la importancia de Proceso para modificar el riesgo
ocurrido un evento en un tiempo un riesgo
dado.

Frecuencia Criterio Tratamiento

Gestión del Riesgo
Antecedentes

10
 ISO 9001:2008 vs.
la Gestión del Riesgo

Numeral 0.1. Generalidades. La adopción de un sistema de gestión de la calidad

debería ser una decisión estratégica de la organización. El diseño y la

implementación del sistema de gestión de la calidad de una organización están

influenciados por:
Diagnóstico del Plan de Desarrollo, Matriz DOFA

a) el entorno de la organización, los cambios en ese entorno y los riesgos asociados

con ese entorno. Identificación de riesgos

 ISO 9001:2008
y la Gestión del Riesgo

Numeral 8.5.3. Acciones Preventivas. La organización debe determinar

acciones para eliminar las causas de no conformidades potenciales para

prevenir su ocurrencia. Las acciones preventivas deben ser apropiadas a

los efectos de los problemas potenciales.

 ISO 9001:2015
y la Gestión del Riesgo
Desaparece el concepto acción preventiva 8.5.3. y es remplazado por
6.1. Acciones para tratar riesgos y oportunidades

Esta Norma internacional hace más explícito el

pensamiento basado en riesgo y lo incorpora en los
requisitos para establecer, implementar, mantener y
mejorar continuamente el sistema de gestión de calidad.
Las organizaciones pueden implementar un programa
formal de gestión de riesgos, tal como 31000, pero no
existe la obligación de hacerlo.
 Pensamiento basado en riesgos

El pensamiento basado en riesgo es algo que hacemos automáticamente y a menudo de manera

inconsciente

El concepto de riesgo siempre ha estado implícito en la ISO 9001, pero ahora ya hace parte del
enfoque basado en procesos

El pensamiento basado en riesgo hace que las acciones preventivas sean rutinarias

A menudo se piensa en riesgo solo en su sentido negativo. El pensamiento basado en riesgo

también puede ayudar a identificar oportunidades. Esto se puede considerar como el lado positivo
del riesgo
ISO 9001:2015 : 6.1.Acciones para tratar riesgos
y oportunidades
Tener en cuenta las cuestiones determinados en el numeral 4.1
(organización y su contexto) y 4.2. (requisitos de las partes
interesadas).

Determinar los riesgos y oportunidades

La organización debe planear las acciones para tratar los riesgos

y las oportunidades.

Adecuado para el impacto potencial.

NOTA: No se requiere un programa formal de gestión de riesgo.
 Conclusión
1987 Enfoque ISO 9001:2008
implícito de
riesgos

2000
ISO 9004:2009
ISO 31000:2009
Enfoque Guía para la Administración
explícito de del Riesgo - DAFP
2015 riesgos ISO 9001:2015
Gestión del Riesgo
Conceptualización

17
 Definiciones de Riesgo

RIESGO. Del it. risico o rischio, y este del ár. clás. rizq, lo que depara la providencia).1. m. Contingencia o
proximidad de un daño.

(Diccionario de la Real Academia Española)

RIESGO: Posibilidad de que obtengamos un resultado distinto al que pretendíamos conseguir con nuestra
acción.

(Innovación Financiera “Aplicaciones para la Gestión Empresarial”)

 Definiciones de Riesgo

1.3.15 Riesgo. Posibilidad de que suceda algo que tendrá impacto en los
objetivos. Se mide en términos de consecuencias y posibilidad de ocurrencia.
(NTC 5254:2004. Gestión del Riesgo – AS/NZS 4360:1999 Estándar
Australiano. Administración de Riesgos)
 Elementos del Riesgo

R = f(A, v)
donde:

A = Amenaza: Cuándo puede ocurrir (frecuencia) y que tan grande es el daño

causado (severidad)

V = Vulnerabilidad: Qué tan preparado estoy para enfrentarlo (capacidad de

detección, controles).
 Partes Interesadas
(STAKEHOLDERS)

Personas y organizaciones que pueden afectar, verse

¡La información demarca
la relación! afectadas, o percibirse ellas mismas como afectadas por
una decisión o actividad.
 Partes Interesadas
(STAKEHOLDERS)
Reguladores Público
USUARIOS

Instituciones
ORGANIZACIÓN
financieras
Empleados PROVEEDORES Identifique las
contratistas partes
interesadas de su
organización

Accionistas Agencias de
Grupos de presión seguros
ambiental
 Riesgos en los Sistemas de Gestión

ISO 9001: Clientes. Riesgo de incumplimiento en las características de calidad del

producto o servicio.

 ISO 14001: Medio Ambiente. Riesgo de impacto ambiental negativo.

 OHSAS 18001: Empleados. Riesgo ocupacional.

 ISO 22000 (HACCP). Puntos críticos de control. Riesgo de contaminación de

alimentos.

 ISO 27001 Seguridad de la información. Riesgo de pérdida o consulta no autorizada de

la información.
 Minimizar riesgos y
mejorar el desempeño

El miedo mueve al
Definir y analizar las mundo!
necesidades y riesgos de las partes
involucradas, pertinentes para su negocio.
AS/NZS 4360:1999
Enfrente los riesgos usando las herramientas
disponibles.

SSO ISO 22000 ISO 27001.

Gestión de
Seguridad de la
información
ISO 9001 ISO 14001
Normas Normas de
contables producto
ISO 18001
Modelos de excelencia
Gestión del Riesgo
Modelo

25
Estructura del Modelo ISO 31000:2011
 Guía para la
administración de
riesgos
del Departamento
Administrativo de
la Función Pública
(DAFP)
 Programa de Gestión del Riesgo

1. Respaldo de la Alta Dirección y Media Dirección. (Ver página 12 de la Guía de Administración del

Riesgo): Recursos, formación, líder directivo y Equipo de Trabajo.

2. Desarrollo de la política y estructura de gestión del riesgo.

3. Comunicación de las políticas.

4. Gestión del riesgo a escala organizacional.

Equipo

5. Gestión de riesgo en procesos, programas, proyectos y equipos.

6. Monitoreo y revisión permanente (revisión por la dirección. Ítem 5.6.2 h) de la NTCGP
1000:2009).

“Anexo B” NTC 5254

Gestión del Riesgo
Etapas

29
 Etapas
1. Contexto estratégico

Contexto de riesgo

30
 1. Determinar el Contexto
Permite establecer los factores internos (F y D) y externos (O y A) que generan
posibles situaciones de riesgo:
Acciones Acciones Acciones Acciones
correctivas (D) preventivas (D y A) protección (D y A) mejora (F y O)
• Técnicas: relación entre la organización y su entorno (FODA), entrevistas,
reuniones, cuestionarios, información histórica, entre otros.

• Situaciones del entorno tanto de carácter social, económico, cultural, de

orden público, político, legal, y/o cambios tecnológicos.

• Requisitos del cliente.

Actualizar la
• Identificación de las partes interesadas. matriz FODA

• Direccionamiento estratégico de la organización (estructura organizacional,

planes y programas).

• Planificación de la gestión del riesgo.

 Factores Internos

• Manejo de los recursos. • Disponibilidad de la

• La estructura organizacional. Información.
• La disponibilidad • Infraestructura.
presupuestal. • Continuidad de la
• Procesos. operación.
• Capacidad directiva. • Cultura.
• Capacidad financiera. • Imagen.
• Capacidad tecnológica. • La motivación y los niveles
• Capacidad competitiva. salariales.
• El nivel del talento humano.
• Comunicación organizacional.
Factores Externos

Oportunidades de
• Legales. beneficios.
Hacerlas realidad
• Reformas a la administración.
• Recortes presupuestales.
• Reducción del presupuesto de inversión.
• Económicos.
• Políticos.
• Sociales.
• Tecnológicos.
• Competitivos.
• Geográficos. Amenazas para
alcanzar el éxito.
• Ambientales. Desviarlas
• Productos sustitutos.
 IMPACTO DEL RIESGO
DEPENDIENDO DEL CONTEXTO
TALLER CONTEXTO DE RIESGOS
 Etapas
2. Identificación del riesgo

36
 Clases de Riesgos

Clases de riesgos
Estratégico Imagen Operativos Financieros

Cumplimiento Tecnología Ambiental

?
 Identificación de Riesgos
 ¿Qué puede suceder? Se requiere la participación
de los empleados de la
 ¿Cómo y por qué puede suceder? entidad en la identificación
de los riesgos
 Herramientas y técnicas:
• Lluvia de ideas
• Causa - efecto Desviación frente al
• Listas de chequeo resultado o evento
• Juicio de expertos (Método Delphi) esperado
• Diagramas de flujo
• Análisis de escenarios (variables claves, actores, eventos portadores de futuro,
interrelaciones entre variables, diferentes escenarios)
• Inspección – observación
• Entrevista
• AMEF Modo de falla, causa y efecto (procesos / servicios / productos)
• Análisis de información (financiera, siniestralidad, documentos contractuales,
manuales técnicos, entre otros)
Formato de Identificación de Riesgos
Formato de Identificación de Riesgos
 Frente al logro del objetivo se
presentan muchos riesgos
Riesgo

Riesgo

Se debe identificar ¿cuál es la deriva práctica? Riesgo

Que tanto estoy dispuesto a ser permisivo en mi proceso, de acuerdo a sus

características
 Etapas
3. Análisis del riesgo

42
 Análisis de Riesgos

Elemento de Control que permite establecer la probabilidad de ocurrencia de

los riesgos y la severidad de sus consecuencias, 1) calificándolos y 2)
evaluándolos, a fin de determinar la capacidad de la organización para su
aceptación o manejo.

Si no hay posibilidad no
hay riesgo
 Análisis de Riesgos

Determinar los controles existentes.

1) calificándolos

 Determinar la probabilidad.
Métodos cualitativos, semi-
cuantitativos y cuantitativos
 Determinar la severidad de las

consecuencias.
No necesariamente todo se tiene
que cuantificar, se debe evaluar
frente al costo / beneficio
 Determinar el nivel de riesgo.
 Probabilidad de Ocurrencia

Basada en grados de creencia:

Basada en datos:
• Raro
• Poco probable
1 = muy bajo ( Menor de 1 en 1000) • Moderado
2 = bajo (3 en 1000) • Probable
• Casi cierto
3 = medio (5 en 1000)
4 = alto (7 en 1000)  Increíble
 Improbable
5 = muy alto (Mayor de 9 en 1000)  Remoto
 Ocasional
 Probable
Tomado de Juran et Gryna. Análisis y  Frecuente
Planeación de Calidad.
Tomado de la GTC 137.
 Probabilidad de Ocurrencia
«Basada en criterios de experiencia o experticia»

Probabilidad Probabilidad Probabilidad Probabilidad Probabilidad

Nivel Descripción (DAFP) Descripción (ICAO) Frecuencia (DAFP)
(DAFP) (GTC 137) (Juran) (Juran) (ICAO)

El evento puede ocurrir solo en Extremadamente Casi inconcebible que el No se ha presentado en los
1 Raro Raro Muy bajo ≤ de 1 en 1000
circunstancias excepcionales improble evento ocurra últimos 5 años

Muy improbable que

El evento puede ocurrir en
2 Improbable
algún momento
El evento podría ocurrir en
3 Posible
algún momento
El evento probablemente
4 Probable ocurrirá en la mayoría de las Probable
circunstancias
Se espera que el evento ocurra
5 Casi seguro en la mayoría de las
circunstancias
Al menos de una vez en los
Poco probable Bajo ≤ de 3 en 1000 Improbable ocurra (No se conoce que
últimos 5 años
haya ocurrido)
Improbable, pero es
Al menos de una vez en los
Moderado Medio ≤ de 5 en 1000 Remoto posible que ocurra (Ocurre
últimos 2 años.
raramente)
Probable que ocurra
Al menos de una vez en el
Alto ≤ de 7 en 1000 Ocasional algunas veces (ha ocurrido
último año.
infrecuentemente)
Probable que ocurra
Casi cierto Muy alto > de 7 en 1000 Frecuente muchas veces (ha ocurrido Más de una vez al año.
frecuentemente)

Fuente:
a) Guía para la administración del riesgo. DAFP. Pág. 14.
b) Juran et Gryna. Análisis y Planeación de Calidad.
c) Manual de gestión de la seguridad operacional. Página 5-6.

46
 MODELO
Probabilidad de Ocurrencia RIESGO
SGC PAI
«Basada en criterios de experiencia o experticia»

47
 Tipos de análisis

Cualitativo

Tipos Semicuantitativo

Cuantitativo

Análisis estadístico y
numérico
2) evaluándolos

Evaluación del Riesgo

Elemento de Control que determina el nivel o grado de exposición

de la entidad a los impactos del riesgo, permitiendo estimar las

prioridades para su tratamiento.

Nivel de riesgo Vs. Políticas y criterios

= Tratamiento

ISO 31010:2009. Risk Management. Risk assessment techniques

«Técnicas de evaluación de riesgos»
 Evaluación del Riesgo

Establecer a nivel estratégico los mayores riesgos a los cuales está expuesta
la entidad, permitiendo emprender acciones inmediatas de respuesta ante
ellos a través de la aplicación de políticas y de medidas tendientes a la
reducción o la eliminación del riesgo, su transferencia, la aceptación de
los efectos causados por su ocurrencia, o buscar la forma de compartir el
riesgo con un tercero.
 Evaluación del Riesgo

Comparación del nivel de riesgo encontrado durante el análisis contra

los criterios de riesgo previamente establecidos.

Evaluación por
resultados

LISTA PRIORIZADA DE RIESGOS

 Matriz de Calificación
y Evaluación del riesgo
EJEMPLO
 Matriz de Calificación MODELO
y Evaluación del riesgo RIESGO
SGC PAI
EJEMPLO
 Matriz de Calificación
y Evaluación del riesgo
 Mapa de Riesgos
Analizar los Riesgos
EVALUACIÓN VALORACIÓN
No. RIESGO I P CONTROL EXISTENTE NI NP ACCIONES RESPONSABLES CRONOGRAMA INDICADOR
DEL RIESGO DEL RIESGO

01 0 0

02 0 0

03 0 0
 Etapas
4. Valoración del riesgo

56
 Controles

Agente generador Controles

complementarios

Controles Controles
Causa detectivos Efecto correctivos

Controles Riesgo Controles Recuperación

preventivos de Protección
Controles básicos
Administración del Riesgo, Un Enfoque Empresarial - Página 137
 Controles o barreras

Identificación controles
asociados a los riesgos
Políticas.
Normas.
Procedimientos.
Ver listado de
Indicadores. controles para la
gestión del
Sistemas de información. riesgo

Acciones de Acciones de Acciones de

protección protección protección
 Valoración del Riesgo
– Evaluación de Controles

1. ¿Los controles están documentados?

2. ¿Se está aplicando en la actualidad?

3. ¿Es efectivo para minimizar el riesgo?

 Valoración del Riesgo
– Evaluación de Controles Referencia: Guía Riesgos DAFP
CONTROL
ELEMENTO CRITERIO PUNTAJE
PROB. CONSEC.
Posee una herramienta reactiva para ejercer el control. 5
Tipo de herramientas
Posee una herramienta correctiva para ejercer el control. 10
para ejercer el control
Posee una herramienta preventiva para ejercer el control. 15
Existen manuales, instructivos o procedimientos para el manejo de la herramienta
de conocimiento solo por los líderes del proceso 5
Estructura documental
Existen manuales, instructivos o procedimientos para el manejo de la herramienta
de la herramienta
de conocimiento por parte de los líderes del proceso y algunos involucrados. 10
Existen manuales, instructivos o procedimientos para el manejo de la herramienta
de conocimiento por parte de todos los involucrados. 15
Controles claves incorporados en el proceso, cuya aplicación no considera uso
de sistemas de información 5
Controles claves incorporados en el proceso, cuya aplicación es parcialmente
Automatización de la
desarrollada mediante sistemas de información 10
herramienta
Controles claves incorporados en el proceso, cuya aplicación es completamente
informatizada. Están incorporados en los sistemas información. 15

Seguimiento a la Seguimiento esporádico, su revisión se realiza solo cuando se presentan cambios 5

ejecución del control Seguimiento periódico, se da solo en instancias superiores al proceso 10
Seguimiento continúo por parte del líder del proceso. 15

Controles claves que alcanzan resultados sólo en forma ocasional en un proceso 10

Controles claves aplicados en forma constante, alcanzan su eficacia sólo cuando
Eficacia del control
ha transcurrido un período específico de tiempo. 20
Controles claves aplicados durante todo el proceso, y logran su eficacia en cada
operación. 40
TOTAL
 Valoración del Riesgo MODELO
– Evaluación de Controles RIESGO
SGC PAI
 MAPA DE RIESGOS
Periodicidad de los
seguimientos

Analizar los Riesgos Valoración de los Riesgos

EVALUACIÓN VALORACIÓN
No. RIESGO I P CONTROL EXISTENTE NI NP ACCIONES RESPONSABLES CRONOGRAMA INDICADOR
DEL RIESGO DEL RIESGO

01 0 0

02 0 0

03 0 0
MAPA DE RIESGOS
 Etapas
5. Políticas de administración del riesgo

64
 Política de Gestión del Riesgo

 Identificar, evaluar y seleccionar las opciones de tratamiento:

• Afrontar el riesgo (Eliminarlo).
• Reducir la posibilidad de ocurrencia. Minimizar (evitar las causas).
• Mitigar las consecuencias (Minimizar).
• Transferir el riesgo mediante pólizas (Compartirlo).
• Retener el riesgo (Aceptar).

 Preparar e implementar planes de tratamiento.

Reducir el riesgo

Es el riesgo intrínseco
de cada actividad, sin
tener en cuenta los
controles que de éste
Un suceso o circunstancia se hagan a su interior
indeterminada que
permanece después de
haber ejecutado las
respuestas a los riesgos.
 MAPA DE RIESGOS

Analizar los Riesgos Valoración de los Riesgos Tratamiento de los Riesgos

EVALUACIÓN VALORACIÓN
No. RIESGO I P CONTROL EXISTENTE NI NP ACCIONES RESPONSABLES CRONOGRAMA INDICADOR
DEL RIESGO DEL RIESGO

01 0 0

02 0 0

03 0 0
 Etapas
6. Comunicación y consulta

68
 6. Comunicación y Consulta

Desarrollar un plan de comunicación para las partes interesadas internas y

externas, acerca del riesgo y de su gestión.

Debería ser un proceso de consulta y consenso.

 Etapas
7. Monitoreo y revisión

70
 7. Monitoreo y Revisión

Eficacia de las medidas de control.

 Cambios en el contexto.

 Pertinencia de los controles.

 Conveniencia del tratamiento.

 Costo del tratamiento.

GRACIAS POR SU
ATENCIÓN