ISO 31000:2018.

Principios
y directrices. Comparación
general con COSO
Por Francisco Javier Moreno
Contenido
Introducción ............................................................................................................................................................ 3
Entorno .................................................................................................................................................................... 3
Aplicaciones y tipos ................................................................................................................................................. 4
Logros directos e indirectos en la aplicación de la Norma ...................................................................................... 5
Caso base de aplicación de principios de ISO 31000 ............................................................................................... 6
Ámbito de aplicación ............................................................................................................................................... 6
Plan de implantación para su aplicación ................................................................................................................. 8
Fases de implantación......................................................................................................................................... 9
Relación entre implantación y certificación ..................................................................................................... 10
Puntos o hitos de la implantación .................................................................................................................... 10
Manual de gestión ................................................................................................................................................. 12
Funciones .......................................................................................................................................................... 12
Procedimientos ................................................................................................................................................. 13
Análisis de riesgos .................................................................................................................................................. 14
Determinación de la probabilidad .................................................................................................................... 14
Determinación de la severidad ......................................................................................................................... 16
Determinación de la tolerabilidad o tolerancia ............................................................................................... 16
Comparación general con COSO ............................................................................................................................ 18
Situaciones reales ............................................................................................................................................. 22
Conclusiones .......................................................................................................................................................... 24
Material de ampliación y consulta......................................................................................................................... 24

Página 2
Introducción

El propósito de la norma ISO 31000 es proporcionar principios y directrices para la gestión de riesgos
y el proceso implementado en el nivel estratégico y operativo.

La norma no es específica de ninguna industria o sector y puede ser utilizada por cualquier
organización pública o privada y aplicarse a cualquier tipo de riesgo en una amplia serie de actividades
y operaciones.

ISO 31000 es la referencia mundial en sistemas de gestión de riesgos, y elegirla permite colocar a la
organización a la vanguardia del mercado; además los shareholders/stakeholders confiarán en la
eficacia de la toma de decisiones estratégicas.

Fuente: UNIT

Entorno

La ISO 31000 puede aplicarse a cualquier entidad, ya sea pública, privada, asociación o grupo. De
todos modos, los principales interesados serán los encargados de las empresas que quieran garantizar
y demostrar la buena gestión del riesgo, y un compromiso firme frente a sus stakeholders del correcto
entendimiento y gestión del riesgo.

La Norma ISO 31000 no tiene mucha antigüedad, siendo la primera versión del año 2009, sin
embargo, la necesidad de adaptarlo a las nuevas situaciones de las empresas y facilitar su
utilización por ellas hizo necesario realizar una labor de revisión que finalizó con la versión de 2018.

Inicialmente se planeó, en la reunión de Chicago celebrada en septiembre del año 2013, como una
simple adaptación de determinados puntos con el fin de evitar grandes cambios técnicos, pero en la

Página 3
reunión celebrada en París en marzo del 2015 ya se vio la necesidad de realizar una revisión completa
que facilitara la aplicación de la norma por parte de los usuarios y así se ha seguido en todas las
reuniones celebradas desde ese momento.

El grupo ISO/TC 262, creado en el año 2011 y centrado en la normalización en el ámbito de la gestión
del riesgo, fue el encargado de llevar a cabo la revisión, unificando la opinión de los distintos expertos
y adaptando los diversos comentarios recibidos en relación a la aplicación de la Norma ISO 31000 por
parte de las empresas para que sigan siendo estándares de alta calidad y que ofrezcan un
asesoramiento de alto nivel sobre la gestión del riesgo.
Actualmente se sigue trabajando en otras normas relacionadas con la gestión del riesgo
contando para ello con cuatro grupos de trabajo, 52 países participantes y 16 países
observadores.

Aplicación de los principios de la ISO 31000

De esta forma, con la revisión de la Norma ISO

31000 el pasado año 2018, se unifican las
opiniones de los expertos para que el documento
incluya las mejores prácticas en la gestión global
del riesgo de forma que se pueda adaptar a las
necesidades de todas las empresas como parte
esencial de la toma de decisiones y objetivos
estratégicas de cada una de ellas.

Además, se busca en todos los puntos y requisitos del documento facilitar su adaptación a la
situación de las empresas, se simplifican textos y se generaliza para que puedan ser comprendidos
fácilmente.

Aplicaciones y tipos

La aplicación de la Norma abarca prácticamente todas las actividades profesionales y empresariales

posibles, además de aquellas emanadas de organismos nacionales o internacionales de cualquier
característica de creación.

Los tipos y aplicaciones se generan en función del tipo de riesgo al que dan cobertura.

Página 4
Por citar los más habituales:

Proyectos Anti-terrorismo y Fraude

delincuencia

Sistemas estratégicos Defensa Medio ambiente

Continuidad del negocio Legales, normativos y Financieros

y recuperación de contractuales
desastres

Reputacionales Gobierno corporativo TIC

Mercadotecnia Operacional Seguridad de la

información

Logros directos e indirectos en la aplicación de la Norma

Entre los más evidentes estarían:

•
Aumento de la probabilidad de lograr objetivos estratégicos.

•
Fomento de la proactividad empresarial.

•
Conciencia de la necesidad de identificar y tratar los riesgos de la organización.

•
Mejora de procesos

•
Identificación de riesgos y amenazas, pero también de oportunidades.

•
Cumplimiento normativo y legal.

•
Mejora de informes a nivel obligatorio o voluntario.

•
Mejora de la confianza de las partes interesadas (shareholders).
•
Establecimiento de bases de valor y confianza para la toma de decisiones.
•
Mejora de controles.

•
Visualización y reporting.

•
Asignación de recursos más eficaz y eficiente para el seguimiento de riesgos.
•
Reducción o eliminación de fallas, brechas o pérdidas de información o material sensible.
•
Mejora del conocimiento a nivel global de la organización.
•
Incremento del conocimiento del personal sobre la cadena de valor de la organización.

Página 5
Caso base de aplicación de principios de ISO 31000

Una vez identificados los elementos necesarios para su aplicación, así como los sectores de
aplicabilidad, en esta unidad se va a realizar una aproximación a una aplicación real bajo la perspectiva
de un SGR (sistema de gestión de riesgos) basado en la seguridad aeroportuaria.

Se trata de dar respuesta al apartado imprescindible de la seguridad en la navegación aérea desde la

perspectiva de AESA (Agencia Estatal de Seguridad Área) donde los riesgos inherentes a la actividad,
son intrínsecamente y específicamente elevados a nivel cualitativo y cuantitativo.

Ámbito de aplicación

Siguiendo con el ejemplo que da hilo a la nota técnica, el gestor certificado de AESA implantará un
sistema de gestión de riesgos sobre la seguridad operacional que sea aceptable por la autoridad y que,
como mínimo:
•
Identifique los peligros de seguridad operacional.
•
Asegure la aplicación de las medidas correctivas necesarias para mantener un nivel aceptable de
seguridad operacional.

•
Prevea la supervisión permanente y la evaluación periódica del nivel de seguridad operacional
logrado.

•
Tenga como meta mejorar continuamente el nivel global de seguridad operacional.

El sistema de gestión de la seguridad operacional definirá claramente las líneas de responsabilidad

sobre seguridad operacional en la organización del explotador certificado del aeródromo, incluyendo
la responsabilidad directa de la seguridad operacional por parte del personal administrativo superior.

Para generar un documento guía o manual de actuación, es necesario definir una serie de hechos y su
interpretación para la normalización.

•
Accidente de aviación civil: suceso relacionado con la utilización de una aeronave, desde el
momento en que una persona entre a bordo para realizar un vuelo hasta el desembarco de todos
los pasajeros y miembros de la tripulación, que motive la muerte o lesiones graves de personas,
definidas en la legislación penal vigente, produzca daños o roturas estructurales en la aeronave o
dé lugar a su desaparición o a que sea totalmente inaccesible.
Página 6
•
Análisis de carencias (Gap Analysis): es el proceso mediante el cual se analizan los procesos de
seguridad operacional existentes en la organización, para determinar qué componentes y
elementos del SGRS (sistema de gestión de riesgos de seguridad) están ya introducidos y cuáles
son los componentes y elementos que deben añadirse o modificarse para satisfacer los requisitos
de un SGRS aceptable.

•
Gestión de riesgos: identificación, análisis y eliminación (o mitigación a un nivel aceptable o
tolerable) de los peligros, y los consiguientes riesgos, que amenazan la viabilidad de la
organización.

•
Incidente aeroportuario: todo hecho en el que:

o se hayan producido:
o
lesiones o daños para la salud de las personas,
o daños a aeronaves, equipos, instalaciones o a bienes materiales,
o
pérdidas de productos o efectos negativos para el medio ambiente.
o o bien ha evidenciado la existencia de un riesgo o de un peligro debido a:
o interrupción del funcionamiento, fallos o defectos en equipos o instalaciones,
o
deficiencias o incumplimientos de un procedimiento o,
o
determinados comportamientos, hábitos o actitudes, que pueden dar lugar a la
aparición de un accidente.
o o bien ha provocado la interrupción total o parcial de las operaciones en curso.

•
Indicadores de Seguridad Operacional: conjunto de parámetros que caracterizan o tipifican el
nivel de seguridad operacional de un sistema. Sus valores son cuantificaciones de diversos
elementos de seguridad operacional.
•
Manual del Sistema de Gestión de Seguridad Operacional: documento que tiene por objeto
garantizar que se alcanza y se mantiene el nivel de seguridad operacional definido en la Política
de Seguridad Operacional, y del que forman parte tanto la Política como los Procedimientos de
Seguridad Operacional.

•
Peligro o amenaza: condición u objeto que potencialmente puede causar lesiones al personal,
daños al equipamiento o estructuras, pérdida de material, o reducción de la habilidad de
desempeñar una función determinada.

•
Plan de Implantación: planificación ordenada del proceso de elaboración y desarrollo de un SGRS
que ayudará al aeropuerto a preparar una estrategia realista para su implantación, proporcionado
una serie manejable de hitos y un marco de seguimiento.

•
Política de Seguridad Operacional: documento que refleja el compromiso adquirido por el gestor
aeroportuario para alcanzar, mantener y promocionar la seguridad operacional de su aeropuerto.

•
Responsable Corporativo: es la persona que posee capacidad plena para gestionar los medios
humanos, lo medios materiales y los recursos financieros del aeropuerto.
•
Riesgo de la Seguridad Operacional: la probabilidad y la severidad previstas de las
consecuencias o resultados de un peligro.

•
Seguridad Operacional: estado en el que los riesgos de seguridad operacional asociados a las
actividades de aviación se reducen y controlan a un nivel aceptable.

Página 7
•
Sistema de Gestión de Riesgos de Seguridad (SGRS): conjunto sistemático de procesos y
actividades para la gestión de la seguridad operacional que incluye las estructuras orgánicas, la
rendición de cuentas, las políticas y los procedimientos necesarios.

Plan de implantación para su aplicación

Deberá en primer lugar establecer un Plan de implantación, por fases y con hitos cronológicos,
que:
• ayudará al aeropuerto a preparar una estrategia realista para la implantación de un SGRS que
satisfaga los objetivos de seguridad operacional de la organización,
• proporcionará una serie manejable de hitos que permitirá orientar y trazar la implantación del
SGRS,
• proporcionará un marco de seguimiento y rendición de cuentas para la implantación del SGRS.

La planificación de esta implantación comienza con la elaboración de un “Análisis de carencias”

que se corresponde con lo que, en terminología se denomina “Gap Analysis” y sigue con la revisión
de este documento, de forma que se garantice la eficiencia de la implantación.
La implantación de un SGRS exige por tanto que el gestor aeroportuario realice un
análisis de su sistema para determinar qué componentes y elementos del SGRS .

Este análisis involucra comparar los requisitos SGRS con los recursos existentes en el aeropuerto,
entendido éste como organización aeronáutica que pretende implantar un Sistema de Gestión de
Seguridad. Así, este análisis de las carencias debe proporcionar, en formato de lista de verificación,
información para ayudar a evaluar los componentes y elementos que integran el marco de la OACI

Página 8
(Organización de Aviación Civil Internacional) para SGRS e identificar los componentes y elementos
que serán necesarios desarrollar.
Una vez completado y documentado, el análisis de las carencias constituirá una de las bases del plan
de implantación del SGRS, no pudiéndose entender que el SGRS de un aeropuerto está
suficientemente implantando hasta que no haya resuelto adecuadamente el análisis de carencias
previamente identificado.

Fases de implantación

Como referencia para el diseño de un Plan de implantación de un SGRS en la organización, se han de

considerar las siguientes fases que se propone, de las que se detallan, a modo de ejemplo, hitos
principales de implantación que pueden ser definidos:

Fase I. Planificación de la Implantación o Análisis de carencias realizado.

o
Política de Seguridad firmada por el Responsable Corporativo.
o
Política de Seguridad comunicada a todo el staff.
o
Plan de Implantación aprobado. o Descripción del Sistema terminada.
o
Estructura organizacional SGRS diseñada. o Borrador inicial Manual SGRS completado.
o
Comités locales de seguridad operacional (disposición adicional primera del 862/09) formalizados.
o
Actualización de la información completa de terceros afectados por la implantación.
o Elaboración y aprobación de un Plan de formación en seguridad operacional.

Fase II. Procesos en la gestión de la seguridad operacional o Biblioteca de Seguridad Operacional

establecida, dentro del ámbito de la gestión documental que forma parte del modelo del SGRS
que se implanta.

o
Diseño de bases de datos y canales de recepción y distribución de información y sucesos
relacionados con la seguridad operacional implantados.
o Estructura organizacional SGRS en funcionamiento.
o
Versión cerrada del Manual de SGRS de la organización.

o
Definición e inicial implantación de los procesos en la gestión de riesgos que se hayan diseñado.
o Indicadores de seguridad operacional y objetivos de seguridad operacional definidos.
o
Definición completa de requisitos a exigir en este ámbito a los terceros que operan en el
aeropuerto.

o
Fase I de formación planificada ejecutada.

Fase III. Promoción, comunicación y garantía de la seguridad operacional.

o
Definición y puesta en conocimiento de accesos establecidos para el personal, a la información
de seguridad operacional desarrollada por la organización.
o
Medios de comunicación sobre seguridad operacional establecidos.
Página 9
o
Revisión y comunicación a AESA de los indicadores de seguridad operacional y objetivos de
seguridad operacional.
o
Realización de seminarios, de jornadas y charlas de promulgación del funcionamiento del SGRS
que se implanta.
o
Fase II de formación planificada ejecutada.

Fase IV. Finalización de la implantación e incorporación plena del SGRS a los procesos de
seguridad operacional dentro de la organización.
o
Convocatoria Comités de seguridad operacional para evaluación de la implantación del SGRS en
la organización.
o
Validación de la integración de las empresas terceras que operan en el aeropuerto desde el
punto de vista del funcionamiento del SGRS.
o
Ejecución completa y validación del Plan de formación previamente diseñado.
o
Auditoría interna de supervisión de implantación del SGRS completada.
o
Definición de objetivos de mejora continua.
o
Notificación a AESA de finalización y validación del Plan de implantación previsto.

Relación entre implantación y certificación

Para comenzar el proceso de certificación o verificación de un aeropuerto, se debe haber concluido

completamente la fase I. Antes de la emisión del certificado o informe de verificación debe haberse
desarrollado significativamente los aspectos incluidos en las fases II y III.

Asimismo, deben haberse iniciado tareas correspondientes a la fase IV y, en cualquier caso, tener
fijadas fechas concretas en el calendario de planificación de manera que se dé respuesta satisfactoria
a los aspectos definidos en esta fase, para su validación por AESA.
Desde el punto de vista del tipo y características de plan de implantación a diseñar por un gestor
aeroportuario, se recomienda que se definan tareas concretas de implantación de cada uno de los
procedimientos que formen parte del Sistema de Gestión de Riesgos de Seguridad de la organización,
y en coherencia con las fases aquí descritas.

Puntos o hitos de la implantación

Se proponen los siguientes puntos que podrían formar parte de los compromisos adquiridos por el
gestor aeroportuario en su política de seguridad operacional:

• Elaborar e incorporar una cultura de seguridad operacional en todas las actividades del gestor
aeroportuario, que reconoce la importancia y el valor de una gestión eficaz de la seguridad
operacional de la aviación y en la que, en todo momento, la seguridad operacional es lo más
importante.

Página 10
• Apoyar la gestión de la seguridad operacional mediante el suministro de todos los recursos
apropiados, que resultará en una cultura de la organización que fomente las prácticas seguras,
aliente a la efectiva notificación y comunicación de seguridad operacional y gestione activamente
la seguridad con la misma atención a los resultados que la atención a los resultados de los otros
sistemas de gestión de la organización.

• Definir claramente para todo el personal sus responsabilidades y su obligación de rendir

cuentas respecto a la elaboración y puesta en práctica de una estrategia de seguridad operacional
de la aviación y su eficacia.

• Establecer y operar procesos de identificación de peligros y de gestión de riesgos, incluyendo

un sistema de notificación de peligros, para reducir los riesgos relacionados con la seguridad
operacional hasta el nivel más bajo prácticamente posible o que se puede alcanzar.

• Asegurar que no se adoptará ninguna medida contra ningún empleado que revele un
problema de seguridad operacional mediante el sistema de notificación de peligros, a menos
que dicha revelación indique, más allá de toda duda razonable, que se ha cometido un acto ilícito,
una negligencia grave, o un incumplimiento deliberado o voluntario de reglamentos o
procedimientos.

• Asegurar que los sistemas y servicios obtenidos por contratación externa y que repercuten en
la seguridad de nuestras operaciones cumplen las normas de seguridad operacional pertinentes.

• Elaborar activamente y mejorar nuestros procesos de seguridad operacional para que sean
conformes a las normas nacionales e internacionales.

• Cumplir y, cuando sea posible, sobrepasar los requisitos y las normas de la ley y los
reglamentos.
• Asegurar que todos los miembros del personal poseen información e instrucción sobre
seguridad operacional adecuadas y apropiadas, que son competentes en cuestiones de
seguridad operacional y que solamente se les asignan tareas acordes con sus competencias.

• Asegurar que se dispone de recursos humanos con conocimientos e instrucción suficientes

para poner en práctica la estrategia y la política de seguridad operacional.

• Establecer y medir la eficacia del gestor aeroportuario en relación a la seguridad operacional

de acuerdo con objetivos y metas realistas.

• Alcanzar los niveles más altos de las normas y la eficacia de la seguridad operacional en todas
nuestras actividades de aviación.

• Mejorar continuamente la eficacia del gestor aeroportuario en materia de seguridad

operacional.

Página 11
• Realizar exámenes de gestión y de seguridad operacional y asegurar que se adoptan las
medidas pertinentes.

• Asegurar que la aplicación de sistemas eficaces de gestión de la seguridad operacional es

parte integrante de todas las actividades del gestor aeroportuario, con el objetivo de lograr los
niveles más altos de las normas y la eficacia de la seguridad operacional.

Manual de gestión

El Manual del SGRS debe servir como herramienta para desarrollar técnicamente el Sistema de
Gestión de la Seguridad Operacional de cada aeropuerto, y sus objetivos principales son:
• Permitir la implantación y el mantenimiento del SGRS de cada aeropuerto.
• Establecer la estructura orgánica, o cadena de mando, dentro del aeropuerto en cuestiones de
seguridad operacional.
• Asignar responsabilidades.
• Aplicar un sistema de gestión de riesgos.
• Recoger todos los procesos que forman parte de la gestión de seguridad operacional de cada
aeropuerto.

Se pretende que este documento sea la recopilación de toda la información relativa al sistema, con lo
que formalmente se deberá estructurar con los siguientes apartados:
• Introducción.
• Descripción del SGRS.
• Responsable del SGRS.
• Organización y responsabilidades.
• Comités de aeropuerto relacionados con la Seguridad Operacional.
• Coordinación del plan de respuesta ante emergencias
• Procedimientos del SGRS.

Funciones

Las funciones deben de ser, al menos:

•
• Gestionar la implantación del SGRS por encargo del Responsable Corporativo.
• Desarrollar/participar en la identificación de peligros y en los análisis de riesgos.
• Monitorizar las acciones correctoras y evaluar sus resultados.
• Realizar análisis periódicos en el desarrollo de la seguridad operacional de la organización.
• Mantener registros y otra documentación de seguridad operacional.
• Conocer y colaborar en la planificación y organización de la formación en seguridad operacional
de los responsables de producción.
Página 12
• Suministrar asesoría en aspectos de seguridad operacional.
• Monitorizar el estado general de la seguridad operacional en el sector y su relación con el
aeropuerto.
• Coordinar y comunicar, por indicación del responsable corporativo, con AESA y otras entidades
externas los aspectos de seguridad operacional pertinentes.

Procedimientos

Los procedimientos del SGRS desarrollan de forma detallada cada uno de los procesos incluidos
en el Manual del SGRS y que deben ponerse en práctica para conseguir una buena gestión de la
seguridad operacional.

Se detallan los requisitos específicos para cada uno de estos procedimientos, que deben ser, al
menos:
•
Sistema de gestión de riesgos.
•
Requisitos y supervisión de aspectos de seguridad operacional de proveedores externos.
•
Indicadores de seguridad operacional.
•
Notificación de sucesos, incidentes y accidentes y tratamiento de la información.
•
Gestión de la documentación.
•
Auditorías de seguridad operacional.
•
Formación en materia de seguridad operacional.
•
Comunicaciones en materia de seguridad operacional.
•
Programa de seguridad operacional.

Para definir cómo se va a llevar a cabo la activación del sistema de gestión de riesgos y el análisis
de los mismos deberán desarrollarse, al menos, los siguientes contenidos:

Activación del sistema de gestión de riesgos

o Causas de activación del sistema de gestión de riesgos.

o Registro de la activación del sistema de gestión de riesgos.

Descripción del escenario

o Contenido del documento de descripción del sistema.

Identificación de peligros y riesgos

o Concepto de peligro y riesgo.

o Herramientas de identificación de peligros y riesgos.

o Registro de peligros identificados.

Página 13
 Análisis de riesgos

o Determinación de la probabilidad.

o Determinación de la severidad.

o Determinación de la tolerabilidad.

o Registro de análisis de riesgos.

Mitigación de riesgos

o Definición de medidas de mitigación.

o Evaluación de la eficacia de las medidas.

o Seguimiento de peligros, riesgos y medidas mitigadoras.

Estudios aeronáuticos de seguridad

o Definición de estudio aeronáutico de seguridad.

o Documentación de referencia.

o Tipología de estudios aeronáuticos de seguridad.

o Metodología para la realización de estudios aeronáuticos de seguridad.

Gestión del cambio

o Definición de cambio.

o Tipología de cambios.

o Metodología de gestión del cambio.

Análisis de riesgos

Determinación de la probabilidad
La probabilidad de que un riesgo pueda contribuir a la ocurrencia de un accidente/incidente se
puede determinar tanto en términos cualitativos como cuantitativos.

Para analizar algunos de los riesgos se podrán utilizar análisis numéricos (método cuantitativo) en
los que se hace un ajuste estadístico de los datos históricos referidos a accidentes e incidentes
relacionados con el escenario de análisis, o bien se utilizan modelos matemáticos fundados en las
características y naturaleza de la operación que se analiza.

Página 14
Sin embargo, pudiera ocurrir que los datos de accidentes/ incidentes fueran escasos y no bastaran
para elaborar un análisis cuantitativo preciso de todos los riesgos que pueden existir en el
aeropuerto, por lo que, adicionalmente se deberá aplicar la experiencia previa para realizar un
juicio sobre la probabilidad de que un riesgo pueda contribuir a la ocurrencia de un accidente/
incidente (método cualitativo). Deben por tanto describirse en el procedimiento estas dos
metodologías para calcular/estimar la probabilidad de ocurrencia de los
riesgos, así como la aplicación que de ellas hace el aeropuerto para realizar dicho cálculo.

En cualquier caso, deben priorizarse los razonamientos cuantitativos sobre los cualitativos siempre
que sea posible.

Para facilitar la fase de evaluación de riesgos, puede ser necesario utilizar el concepto de riesgo
potencial y riesgo final, por tanto, debe describirse en el sistema de gestión de riesgos la
metodología a aplicar para calcular la probabilidad de los riesgos finales a partir de los potenciales.

Se presentan a continuación, un conjunto de valores umbrales de referencia que se pueden

utilizar, para aquellas situaciones en las que sea recomendable el establecimiento de órdenes de
magnitud de frecuencia de ocurrencia de riesgos potenciales del sistema, que pueden contribuir al
incremento de la probabilidad de ocurrencia de un riesgo identificado.

Página 15
Determinación de la severidad
Para cada uno de los efectos de los riesgos identificados se debe realizar una evaluación de su
severidad. Es necesario definir una matriz para facilitar la asignación de severidad de los riesgos
identificados. Una clasificación aceptable para AESA, de tipos de severidad que deben definirse
sería la siguiente:

Determinación de la tolerabilidad o tolerancia

Una vez determinadas la probabilidad y la severidad de los riesgos asociados a cada uno de los
peligros identificados en el aeropuerto, debe determinarse la tolerabilidad del riesgo existente.
Para realizar esta tarea, debe definirse una Matriz de tolerabilidad en la que se exprese la
aceptabilidad de los riesgos en función de la probabilidad y la severidad.

A continuación, se incluye como ejemplo una propuesta de matriz de tolerabilidad. Pueden

utilizarse otras matrices aceptadas internacionalmente (por ejemplo, OACI) o validadas por AESA.

Página 16
La matriz debe incluir tres categorías de tolerabilidad para los riesgos:

Aceptable: el nivel de riesgo asociado al peligro puede ser aceptado por el aeropuerto sin
recurrir a ninguna acción para reducirlo o eliminarlo. Los riesgos que se clasifican así
introducen un nivel de riesgo bajo en la operación y se considera que están adecuadamente
controlados con las medidas que ya se toman en el aeropuerto. No obstante, siempre se
recomienda tomar medidas para reducir el riesgo a un nivel tan bajo como prácticamente sea
posible (As Low As Reasonably Practical, ALARP).

Inaceptable: el riesgo es demasiado elevado como para que el aeropuerto lo pueda aceptar. Un
riesgo clasificado en esta categoría debe ser mitigado hasta un nivel tan bajo como
prácticamente sea posible. Tras la mitigación el riesgo debe caer en la categoría de Aceptable
o Tolerable, pero nunca quedarse como Inaceptable.

Tolerable: en este caso el riesgo asociado al peligro no es inaceptable, pero se encuentra en

una zona que requiere una especial atención. Cuando un riesgo cae en esta clasificación se
deben tomar las medidas de mitigación que se consideren factibles para reducir el riesgo hasta
un nivel tan bajo como prácticamente sea posible, con revisiones periódicas cuyo objetivo sea
pasar el riesgo a la categoría de aceptable, y se mantendrá un control permanente para
garantizar que el nivel de riesgo no aumenta hasta inaceptable.

Página 17
Comparación general con COSO

COSO e ISO 31000 son dos herramientas de plena utilidad y capacidad, ampliamente contrastada, a
nivel internacional sobre metodologías de gestión de riesgos. Pero además entran en juego otras
también de especial relevancia, tal y como se pueden ver añadidas COSO ERM:

MODELOS Y NORMAS DE GESTION DE RIESGO

ISO 9001:2015 ISO 27001:2018 ISO 31000:2018 COSO ERM 2017

Evalúa y trata Métodos y procesos

los riesgos de seguridad Une principios Utilizados por
Habla de riesgos y de la información Y directrices para las
oportunidades adoptados a las La gestión de todo tipo organizaciones para
asociados con necesidades y políticas de de riesgos de forma gestionar los
el contexto seguridad de la sistemática riesgos y aprovechar
y los objetivos generales organización. y transparente. las oportunidades
de la organización. Es No es relacionadas con el
Es certificable. certificable. certificable. logro de sus objetivos.

COSO ERM 2017 e ISO 31000:2018 comparten visiones similares en cuanto a metodología y
desarrollo, si bien tienen algunas diferencias, que no por ellas, no les permitan una cierta
complementariedad, por tanto, unas posibilidades muy interesantes de aunar ambas
herramientas.

ISO 31000:2018 COSO ERM 2017

Se puede hacer corto Es más profundo y amplio

Enfoca a un modelo integral y global de Enfoque más específico

riesgo

Cuenta con principios, marco y proceso Se visualiza y materializa en un cubo

El riesgo tiene dos componentes: + / - Tiende a focalizarse en lo negativo

Se alinea con el modelo estratégico El modelo de riesgo ya está presente

Crea oportunidades desde el modelo de Se centra en riesgos vs oportunidades

riesgo

Sigue un modelo de repetición/iteración Sigue un sistema más secuencial

COSO por su parte ha evolucionado de forma lógica adaptándose a los nuevos tiempos y
requerimientos de las organizaciones.

Página 18
En origen, COSO o COSO I evolucionó de 5 a 8 componentes:

COSO (COSO I) COSO ERM (II)

1. Ambiente de Control. 1. Ambiente de Control (1 de COSO)

2. Evaluación de Riesgos. 2. Establecimiento de objetivos. (1 de

COSO)
3. Actividades de Control.
3. Identificación de eventos (2 de COSO).
4. Información y Comunicación.
4. Evaluación de riesgos (2 de COSO).
5. Supervisión.
5. Respuesta a los riesgos (2 de COSO).

6. Actividades de Control (3 de COSO)

7. Información y Comunicación (4 de
COSO)

8. Supervisión (5 de COSO).

Por otro lado, se identifican del cubo, aquellas actividades primarias de Gestión de Riesgos sobre
aquellas basadas en Dirección y Soporte técnico.

Fuente: UCN

Página 19
En la siguiente ilustración se pueden apreciar las ventajas de la evolución de
COSO:

COSO I COSO II COSO III

Alinea los objetivos del Mejora las decisiones de Globalización de

grupo con los objetivos de respuesta al riesgo y mercados y operaciones y
proporciona conocimiento un cambio continuo en
las diferentes unidades de
para identificarlos y mayor complejidad en los
negocio.
seleccionar entre las negocios.
posibles alternativas.
Priorización de los
Mayor demanda y
objetivos.
Permite a la Dirección complejidad en leyes,
tener una visión global del reglas, regulaciones y
Permite dar soporte a las riesgo y accionar planes estándares.
actividades de de gestión.
Expectativas de
planificación estratégica y
Reduce las pérdidas competencias y
Control Interno.
operativas ya que las responsabilidades.
entidades consiguen
Fomenta que la gestión de
Más nivel de confianza en
mejorar su capacidad
riesgos pase a formar
tecnologías de rápida
para identificar los
parte de la cultura del
eventos potenciales. evolución.
grupo.
Identifica y gestiona la Expectativas relacionadas
con prevenir y detectar el
diversidad de riesgos en la
fraude (precursor ISO
empresa.
37001)

Página 20
A continuación, lo vemos a través de las diferentes componentes en el tiempo:

Página 21
 Por último, COSO III.

Situaciones reales

La no observancia de las medidas de seguridad y control de riesgos en un ámbito tan importante

como la navegación área, puede generar altísimos costos: humanos, económicos, de credibilidad de
un sector, sobre la marca implicada, sobre los controles y la normativa, etc.

Las normas son insuficientes si no existe una cultura extendida sobre las graves consecuencias por
errores, negligencias o ineficiencias en los procesos y procedimiento.

http://www.elconfidencial.com/espana/2015-03-26/accidente-de-avion-si-el-suicidio-no-es-
una-negligencia-se-dara-la-indemnizacion-minima_740675/

“Lufthansa informó hoy de que pagará 50.000€ por cada pasajero a los familiares de las víctimas del
vuelo 4U 9525 de su filial Germanwings, independientemente de las indemnizaciones que reciban por
parte de la aseguradora Allianz, responsable de la cobertura de la compañía aérea.

Fuentes de la Unión Europea han recordado que la investigación en curso para determinar las causas
del accidente de Germanwings, por un lado, y la determinación de la compensación a las familias de
las víctimas y sus posibles procesos judiciales, por otro, son "dos procedimientos diferentes". Las
fuentes apuntaron que este último se basa en la "evaluación legal de los hechos" y que pretende
"establecer y reparar los daños sufridos".

Página 22
"Las personas afectadas por el reciente accidente pueden así invocar las mencionadas legislaciones
internacional y europea, cuyas condiciones y límites no dependen necesariamente de la causa del
accidente como tal, sino más bien del hecho de que dicho accidente causó daños", precisaron a Efe
las fuentes comunitarias.

Las últimas revelaciones sobre las causas del accidente de avión en el que viajaban 150 personas
alterarán sustancialmente el importe económico de las indemnizaciones a las que deberán hacer
frente la aseguradora del avión, Allianz Global Corporate, y la compañía aérea Germanwings.

En un inicio ascenderían a 316.882 euros, en base al reglamento vigente europeo y a las características
de la nave, sin embargo, esta cantidad se limita a la obligación básica por un principio objetivo sin
negligencia. De acreditarse el supuesto de negligencia, la aseguradora cubrirá este máximo incluido
en la póliza y la compañía aérea deberá hacerse cargo del resto.

Allianz Global Corporate ha rehusado comentar los detalles del trágico accidente, así como el tipo de
póliza que cubría el vuelo estrellado en los Alpes de manera deliberada por el copiloto, según la
Fiscalía de Düsseldorf. Para el abogado José María Fuster-Fabra, si se demuestra la hipótesis del
suicidio del copiloto, "habría variaciones al alza en la indemnización, puesto que podría demostrarse
que la compañía no detectó que esa persona no estaba capacitada para llevar un avión o, por ejemplo,
que estuviese pasando por una fase depresiva”.

En cambio, si no se demuestra una negligencia, la indemnización será la estipulada por el reglamento

europeo.”.

Como se puede observar de la propia noticia, los riesgos siguen estando ahí.

A continuación, se aporta otra noticia en el mismo sentido sobre los accidentes del Boeing 737 MAX
8 de plena actualidad acaecidos durante 2018 y 2019.

https://www.bbc.com/mundo/noticias-internacional-47813550

Página 23
Conclusiones

Podemos destacar las siguientes:

•
Se hace imprescindible que las organizaciones cuenten con un modelo de SGR, ya sea COSO, ISO
31000, una combinación de ambos o cualquier otro que aporte valor y un sistema adecuado de
medir, controlar y gestionar los riesgos.
•
La Alta Dirección o Gerencia es parte fundamental en la creación, mantenimiento e impulso del
adecuado modelo de gestión de riesgos.
•
La estrategia de riesgo se consolida como pilar imprescindible en las organizaciones junto a la
ayuda inestimable de las normas internacional a su disposición.
•
La reputación de las organizaciones comienza a descansar sobre una toma de decisiones acorde
con principios y auspicios que las normas como COSO ERM y/o ISO aportan, sobre todo con su
evolución y adaptación, mediante actualizaciones, a los nuevos tiempos.

•
Las oportunidades que aporta a una organización bien gestionada en riesgos son mucho mayores
que los de otras empresas que no lo tienen implantado o peor aún, todavía no lo tienen previsto
como modelo estratégico de funcionamiento en base a sus objetivos de negocio.

Material de ampliación y consulta

• https://coladca.wordpress.com/2018/10/30/procesos-acorde-con-iso-31000-una-manera-
efectiva-en-mejoramiento-de-la-administracion-y-gestion-de-los-riesgos-en-asojuegos-
colombia/
• http://rincondelsueko.blogspot.com/2018/08/que-es-coso.html

• https://www.compromisoempresarial.com/rsc/2018/06/nuevo-marco-para-la-gestion-de-
los-riesgos-de-rsc/

• http://www.grupoalbe.com/iso-9001-riesgos-empresariales-basado-en-la-norm-iso-
310002018/

• http://www.acueductopopayan.com.co/wp-content/uploads/2019/03/GUIA-GESTION-
DEL-RIESGO.pdf
• https://www.gb-advisors.com/es/normas-y-estandares-internacionales/

• https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_
Metodolog/pae_Magerit.html#.XKsfaJgzbIU

Página 24