BRAULIO REYES ° PAUL HENRY ° OLIVER PEÑA

TS:AUDITORIA

ISO 31000
PRINCIPIOS Y DIRECTRICES
COMPARACIÓN GENERAL CON COSO
 INTRODUCCIÓN
El propósito de la norma ISO 31000 es proporcionar principios y directrices para la gestión de riesgos y el proceso
implementado en el nivel estratégico y operativo.

La norma no es específica de ninguna industria o sector y puede ser utilizada por cualquier organización pública o
privada y aplicarse a cualquier tipo de riesgo en una amplia serie de actividades y operaciones.

ISO 31000 es la referencia

mundial en sistemas de
gestión de riesgos, y
elegirla permite colocar a
la organización a la
vanguardia del mercado;
además los
shareholders/stakeholder
s confiarán en la eficacia
de la toma de decisiones
estratégicas.
 *aquellos individuos o grupos que tienen interés e impacto en una

ENTORNO
organización y en los resultados de sus acciones. Algunos de los
ejemplos más comunes de stakeholders son los empleados, los
accionistas, los clientes, los proveedores, los gobiernos y las
ISO 31000
comunidades.*

La ISO 31000 es apta para cualquier entidad, y los principales interesados

serán los encargados de las empresas que quieran garantizar y demostrar la
buena gestión del riesgo, y un compromiso firme frente a sus stakeholders*
del correcto entendimiento y gestión del riesgo.

No tiene mucha antigüedad, siendo la primera versión del año 2009, sin
embargo, la necesidad de adaptarlo a las nuevas situaciones de las empresas
y facilitar su utilización por ellas hizo necesario realizar una labor de revisión
que finalizó con la versión de 2018.

El grupo ISO/TC 262, creado en el año 2011 y centrado en la normalización en el

ámbito de la gestión del riesgo, fue el encargado de llevar a cabo la revisión

De esta forma, con la revisión de la Norma ISO 31000 el pasado año 2018, se
unifican las opiniones de los expertos para que el documento incluya las
mejores prácticas en la gestión global del riesgo de forma que se pueda
adaptar a las necesidades de todas las empresas como parte esencial de la
toma de decisiones y objetivos estratégicas de cada una de ellas.
 APLICACIONES Y
TIPOS
La aplicación de la Norma abarca prácticamente todas las actividades
profesionales y empresariales posibles, además de aquellas emanadas de
organismos nacionales o internacionales de cualquier característica de creación.

Algunos habituales son:

LOGROS DIRECTOS E INDIRECTOS
EN LA APLICACIÓN DE LA NORMA
Aumento de la probabilidad de lograr objetivos estratégicos.
Fomento de la proactividad empresarial.
Mejora de procesos
Conciencia de la necesidad de identificar y tratar los riesgos de la
organización
Identificación de riesgos y amenazas, pero también de
oportunidades
Mejora de la confianza de las partes interesadas (shareholders).
Cumplimiento normativo y legal
Mejora de informes a nivel obligatorio o voluntario.
Reducción o eliminación de fallas, brechas o pérdidas de
información o material sensible
Incremento del conocimiento del personal sobre la cadena de valor
de la organización.
Reducción o eliminación de fallas, brechas o pérdidas de
información o material sensible.
Incremento del conocimiento del personal sobre la cadena de valor
de la organización.
Establecimiento de bases de valor y confianza para la toma de
decisiones
Caso base de aplicación de
principios de la ISO 31000
UNA VEZ IDENTIFICADOS LOS ELEMENTOS SE TRATA DE DAR RESPUESTA AL APARTADO
NECESARIOS PARA SU APLICACIÓN, ASÍ COMO IMPRESCINDIBLE DE LA SEGURIDAD EN LA
LOS SECTORES DE APLICABILIDAD, EN ESTA NAVEGACIÓN AÉREA DESDE LA PERSPECTIVA DE
UNIDAD SE VA A REALIZAR UNA APROXIMACIÓN A AESA (AGENCIA ESTATAL DE SEGURIDAD ÁREA)
UNA APLICACIÓN REAL BAJO LA PERSPECTIVA DE DONDE LOS RIESGOS INHERENTES A LA
UN SGR (SISTEMA DE GESTIÓN DE RIESGOS) ACTIVIDAD, SON INTRÍNSECAMENTE Y
BASADO EN LA SEGURIDAD AEROPORTUARIA. ESPECÍFICAMENTE ELEVADOS A NIVEL
CUALITATIVO Y CUANTITATIVO.
 ÁMBITO DE APLICACIÓN
El gestor certificado de AESA implantará un sistema de gestión de
riesgos sobre la seguridad operacional que sea aceptable por la
autoridad y que, como mínimo:

Identifique los peligros de seguridad operacional.

Asegure la aplicación de las medidas correctivas necesarias para
mantener un nivel aceptable de seguridad operacional.
Prevea la supervisión permanente y la evaluación periódica del
nivel de seguridad operacional logrado
Tenga como meta mejorar continuamente el nivel global de
seguridad operacional.

El sistema de gestión de la seguridad operacional definirá claramente

las líneas de responsabilidad sobre seguridad operacional en la
organización del explotador certificado del aeródromo, incluyendo la
responsabilidad directa de la seguridad operacional por parte del
personal administrativo superior
Para generar un documento guía o manual de actuación, es necesario definir
una serie de hechos y su interpretación para la normalización.:

Accidente de aviación civil: suceso relacionado con la utilización de una

aeronave, desde el momento en que una persona entre a bordo para realizar un
vuelo hasta el desembarco de todos los pasajeros y miembros de la tripulación,
que motive la muerte o lesiones graves de personas, definidas en la legislación
penal vigente, produzca daños o roturas estructurales en la aeronave o dé lugar
a su desaparición o a que sea totalmente inaccesible
Análisis de carencias (Gap Analysis): es el proceso mediante el cual se analizan
los procesos de seguridad operacional existentes en la organización, para
determinar qué componentes y elementos del SGRS (sistema de gestión de
riesgos de seguridad) están ya introducidos y cuáles son los componentes y
elementos que deben añadirse o modificarse para satisfacer los requisitos de un
SGRS aceptable
Gestión de riesgos: identificación, análisis y eliminación (o mitigación a un nivel
aceptable o tolerable) de los peligros, y los consiguientes riesgos, que amenazan
la viabilidad de la organización.
Indicadores de Seguridad Operacional: conjunto de parámetros que caracterizan
o tipifican el nivel de seguridad operacional de un sistema. Sus valores son
cuantificaciones de diversos elementos de seguridad operacional.
Manual del Sistema de Gestión de Seguridad Operacional: documento que tiene
por objeto garantizar que se alcanza y se mantiene el nivel de seguridad
operacional definido en la Política de Seguridad Operacional, y del que forman
parte tanto la Política como los Procedimientos de Seguridad Operacional.
Peligro o amenaza: condición u objeto que potencialmente puede causar
lesiones al personal, daños al equipamiento o estructuras, pérdida de material, o
reducción de la habilidad de desempeñar una función determinada.
Plan de Implantación: planificación ordenada del proceso de elaboración y
desarrollo de un SGRS que ayudará al aeropuerto a preparar una estrategia
realista para su implantación, proporcionado una serie manejable de hitos y un
marco de seguimiento.
Política de Seguridad Operacional: documento que refleja el compromiso
adquirido por el gestor aeroportuario para alcanzar, mantener y promocionar la
seguridad operacional de su aeropuerto.
Responsable Corporativo: es la persona que posee capacidad plena para
gestionar los medios humanos, lo medios materiales y los recursos financieros
del aeropuerto.
Riesgo de la Seguridad Operacional: la probabilidad y la severidad previstas de
las consecuencias o resultados de un peligro.
Seguridad Operacional: estado en el que los riesgos de seguridad operacional
asociados a las actividades de aviación se reducen y controlan a un nivel
aceptable.
Sistema de Gestión de Riesgos de Seguridad (SGRS): conjunto sistemático de
procesos y actividades para la gestión de la seguridad operacional que incluye
las estructuras orgánicas, la rendición de cuentas, las políticas y los
procedimientos necesarios
 PLAN DE IMPLANTACIÓN
Deberá en primer lugar establecer un Plan de implantación, por fases y con hitos cronológicos

La planificación de esta implantación comienza con la elaboración de un “Análisis de carencias” (Gap Analysis)
se profundiza la revisión de este documento, de forma que se garantice la eficiencia de la implantación.

La implantación de un SGRS exige por tanto que el gestor aeroportuario realice un análisis de su sistema para
determinar qué componentes y elementos del SGRS están ya introducidos y cuáles son los componentes y
elementos que deben añadirse o modificarse para satisfacer los requisitos de implantación.

Una vez completado y documentado, el análisis de las carencias constituirá una de las bases del plan de
implantación del SGRS, no pudiéndose entender que el SGRS de un aeropuerto está suficientemente
implantando hasta que no haya resuelto adecuadamente el análisis de carencias previamente identificado.
 FASES DE IMPLANTACIÓN
Fase I. Planificación de la Implantación o 3
Fase III. Promoción, comunicación y
1
Análisis de carencias realizado. garantía de la seguridad operacional.
Política de Seguridad firmada por el Responsable Corporativo. Definición y puesta en conocimiento de accesos establecidos para el
Política de Seguridad comunicada a todo el staff personal, a la información de seguridad operacional desarrollada por la
Plan de Implantación aprobado. o Descripción del Sistema terminada. organización.
Estructura organizacional SGRS diseñada. o Borrador inicial Manual SGRS Medios de comunicación sobre seguridad operacional establecidos.
completado. Revisión y comunicación a AESA de los indicadores de seguridad operacional
Comités locales de seguridad operacional (disposición adicional primera del y objetivos de seguridad operacional.
862/09) formalizados. Realización de seminarios, de jornadas y charlas de promulgación del
Actualización de la información completa de terceros afectados por la funcionamiento del SGRS que se implanta.
implantación. Fase II de formación planificada ejecutada.

Fase II. Procesos en la gestión de la seguridad

2 Finalización de la implantación e incorporación
operacional o Biblioteca de Seguridad Operacional 4
plena del SGRS a los procesos de seguridad
establecida, dentro del ámbito de la gestión documental
operacional dentro de la organización.
que forma parte del modelo del SGRS que se implanta.
Convocatoria Comités de seguridad operacional para evaluación de la
Diseño de bases de datos y canales de recepción y distribución de información
implantación del SGRS en la organización.
y sucesos relacionados con la seguridad operacional implantados
Validación de la integración de las empresas terceras que operan en el
Estructura organizacional SGRS en funcionamiento
aeropuerto desde el punto de vista del funcionamiento del SGRS.
Versión cerrada del Manual de SGRS de la organización.
Ejecución completa y validación del Plan de formación previamente diseñado.
Definición e inicial implantación de los procesos en la gestión de riesgos que se
Auditoría interna de supervisión de implantación del SGRS completada.
hayan diseñado. o Indicadores de seguridad operacional y objetivos de
Definición de objetivos de mejora continua
seguridad operacional definidos.
Notificación a AESA de finalización y validación del Plan de implantación
Definición completa de requisitos a exigir en este ámbito a los terceros que
previsto.
operan en el aeropuerto.
Fase I de formación planificada ejecutada.
MANUAL DE GESTIÓN
El Manual del SGRS debe servir como herramienta para desarrollar técnicamente
el Sistema de Gestión de la Seguridad Operacional de cada aeropuerto, y sus
objetivos principales son:

Permitir la implantación y el mantenimiento del SGRS de cada

aeropuerto.
Establecer la estructura orgánica, o cadena de mando, dentro del
aeropuerto en cuestiones de seguridad operacional.
Asignar responsabilidades
Aplicar un sistema de gestión de riesgos.
Recoger todos los procesos que forman parte de la gestión de
seguridad operacional de cada aeropuerto.

Se pretende que este documento sea la recopilación de toda la información

relativa al sistema, con lo que formalmente se deberá estructurar con los
siguientes apartados:
introducción
Descripción del SGRS.
Responsable del SGRS.
Responsable del SGRS.
Comités de aeropuerto relacionados con la Seguridad Operacional.
Coordinación del plan de respuesta ante emergencias
Procedimientos del SGRS.
Funciones Mantener registros y otra documentación de seguridad operacional
Las funciones deben de ser, al menos: Conocer y colaborar en la planificación y organización de la
formación en seguridad operacional de los responsables de
Gestionar la implantación del SGRS por encargo del Responsable producción.
Corporativo Suministrar asesoría en aspectos de seguridad operacional.
Desarrollar/participar en la identificación de peligros y en los análisis Monitorizar el estado general de la seguridad operacional en el sector
de riesgos. y su relación con el aeropuerto.
Monitorizar las acciones correctoras y evaluar sus resultados. Coordinar y comunicar, por indicación del responsable corporativo,
Realizar análisis periódicos en el desarrollo de la seguridad con AESA y otras entidades externas los aspectos de seguridad
operacional de la organización. operacional pertinentes.

Procedimientos
Los procedimientos del SGRS desarrollan de forma detallada cada uno de los procesos incluidos en el Manual
del SGRS y que deben ponerse en práctica para conseguir una buena gestión de la seguridad operacional.
deben ser al menos:
Formación en materia de seguridad operacional.
Sistema de gestión de riesgos.
Requisitos y supervisión de aspectos de seguridad operacional Comunicaciones en materia de seguridad operacional
de proveedores externos.
Indicadores de seguridad operacional Auditorías de seguridad operacional.
Notificación de sucesos, incidentes y accidentes y tratamiento
de la información. Programa de seguridad operacional.
Gestión de la documentación
Para definir cómo se va a llevar a cabo la activación del sistema de gestión de riesgos y el análisis de los
mismos deberán desarrollarse, al menos, los siguientes contenidos:

Activación del sistema de gestión de riesgos Análisis de riesgos

Causas de activación del sistema de gestión de riesgos. Determinación de la probabilidad.
Registro de la activación del sistema de gestión de riesgos. Determinación de la severidad.
Descripción del escenario Determinación de la tolerabilidad.
Contenido del documento de descripción del sistema. Registro de análisis de riesgos.
Identificación de peligros y riesgos Mitigación de riesgos
Concepto de peligro y riesgo. Definición de medidas de mitigación.
Herramientas de identificación de peligros y riesgos. Evaluación de la eficacia de las medidas.
Registro de peligros identificados. Seguimiento de peligros, riesgos y medidas mitigadoras.

ANALISIS DE RIESGO DETERMINACIÓN DE LA PROBABILIDAD

La probabilidad de que un riesgo pueda contribuir

a la ocurrencia de un accidente/incidente se puede
determinar tanto en términos cualitativos como
cuantitativos. por tanto describirse en el
procedimiento estas dos metodologías para
calcular/estimar la probabilidad de ocurrencia de
los riesgos
Determinación de la severidad Para cada uno de los efectos de los riesgos identificados
se debe realizar una evaluación de su severidad. Es
necesario definir una matriz para facilitar la asignación
Se presentan a continuación un conjunto de valores de severidad de los riesgos identificados.
umbrales de referencia que se pueden utilizar, para
aquellas situaciones en las que sea recomendable el
establecimiento de órdenes de magnitud de frecuencia
de ocurrencia de riesgos potenciales del sistema, que
pueden contribuir al incremento de la probabilidad de
ocurrencia de un riesgo identificado.
Determinación de la severidad Para cada uno de los efectos de los riesgos identificados
se debe realizar una evaluación de su severidad. Es
necesario definir una matriz para facilitar la asignación
Se presentan a continuación un conjunto de valores de severidad de los riesgos identificados.
umbrales de referencia que se pueden utilizar, para
aquellas situaciones en las que sea recomendable el
establecimiento de órdenes de magnitud de frecuencia
de ocurrencia de riesgos potenciales del sistema, que
pueden contribuir al incremento de la probabilidad de
ocurrencia de un riesgo identificado.
Determinación de la
severidad
Una vez determinadas la probabilidad y la severidad
de los riesgos asociados a cada uno de los peligros
identificados en el aeropuerto, debe determinarse la
tolerabilidad del riesgo existente.
La matriz debe incluir tres categorías de
tolerabilidad para los riesgos:

Aceptable: el nivel de riesgo asociado al peligro puede ser aceptado por el

aeropuerto sin recurrir a ninguna acción para reducirlo o eliminarlo.

Inaceptable: el riesgo es demasiado elevado como para que el aeropuerto lo pueda

aceptar. Un riesgo clasificado en esta categoría debe ser mitigado hasta un nivel
tan bajo como prácticamente sea posible.

Tolerable: en este caso el riesgo asociado al peligro no es inaceptable, pero se

encuentra en una zona que requiere una especial atención.
Comparación general
con COSO
COSO ERM 2017 e ISO 31000:2018 comparten
visiones similares en cuanto a metodología y
desarrollo, si bien tienen algunas diferencias,
que no por ellas, no les permitan una cierta
complementariedad, por tanto, unas
posibilidades muy interesantes de aunar
ambas herramientas
 CONCLUSIONES
Se hace imprescindible que las organizaciones cuenten con un modelo de
SGR, ya sea COSO, ISO 31000, una combinación de ambos o cualquier otro
que aporte valor y un sistema adecuado de medir, controlar y gestionar los
riesgos.

La Alta Dirección o Gerencia es parte fundamental en la creación,

mantenimiento e impulso del adecuado modelo de gestión de riesgos.

La estrategia de riesgo se consolida como pilar imprescindible en las

organizaciones junto a la ayuda inestimable de las normas internacional a su
disposición.

La reputación de las organizaciones comienza a descansar sobre una toma de

decisiones acorde con principios y auspicios que las normas como COSO ERM
y/o ISO aportan, sobre todo con su evolución y adaptación, mediante
actualizaciones, a los nuevos tiempos.

Las oportunidades que aporta a una organización bien gestionada en riesgos

son mucho mayores que los de otras empresas que no lo tienen implantado o
peor aún, todavía no lo tienen previsto como modelo estratégico de
funcionamiento en base a sus objetivos de negocio.
 PREGUNTAS
¿Qué grupo fue el encargado de revisar la ISO 31000? ¿Aceptable, Inaceptable y tolerable son categorías de
El grupo ISO/TC 262 tolerabilidad de riesgos?
Cierto/falso... cierto
¿Para qué tipo de entidad es apta la ISO 31000?
La ISO 31000 puede aplicarse a cualquier entidad, ya sea pública, ¿Cuantas fases de implantación hay en la ISO 31000 ?
privada, asociación o grupo 4

Menciona 3 logros directos e indirectos en la aplicación de la ¿En qué año se presentó por primera vez la ISO 31000?
norma ISO 31000 2009
Aumento de la probabilidad de lograr objetivos estratégicos,
Fomento de la proactividad empresarial, Mejora de procesos ¿Cuál es el propósito de la ISO 31000?
proporcionar principios y directrices para la gestión de riesgos y el
¿Qué significan las siglas SGR? proceso implementado en el nivel estratégico y operativo
Sistema de Gestión de Riesgos
¿Se puede usar el modelo COSO e ISO 31000 en una misma
¿Qué significan las siglas "ISO"? organización?
Internacional Organization for Standardization cierto/falso... Cierto