ISO 31000: 2009

Page 2
ii

establecer una base fiable para la toma de decisiones y la planificación;

mejorar los controles;

asignar y utilizar recursos para el tratamiento de riesgos efectiva;

mejorar la eficacia y la eficiencia operativa;

mejorar la salud y el desempeño de la seguridad, así como la protección del medio ambiente;

mejorar la prevención de pérdidas y la gestión de incidentes;

minimizar las pérdidas;

mejorar el aprendizaje organizacional; y

mejorar la resiliencia organizacional.

Esta norma tiene por objeto satisfacer las necesidades de una amplia gama de partes interesadas, incluyendo:
a) los responsables del desarrollo de políticas de gestión de riesgos dentro de la organización;

b) los responsables de asegurar que el riesgo se gestiona de manera efectiva dentro de la organización como un todo
o
dentro de un área, proyecto o actividad específica;

c) aquellos que necesitan para evaluar la efectividad de una organización en la gestión de riesgos; y

d) los desarrolladores de normas, guías, procedimientos y códigos de conducta que, en su totalidad o en parte, se
establece la forma

riesgo se va a gestionar en el contexto específico de estos documentos.

Las prácticas actuales de gestión y procesos de muchas organizaciones incluyen componentes de riesgo
gestión, y muchas organizaciones ya han adoptado un proceso formal de gestión de riesgo de especial
tipos de riesgo o circunstancias. En tales casos, una organización puede decidir llevar a cabo una revisión crítica de
su
prácticas y procesos existentes a la luz de esta norma internacional.

En esta Norma Internacional, son utilizados las expresiones "gestión del riesgo" y "gestión del riesgo".
En términos generales, "gestión del riesgo" se refiere a la arquitectura (principios, el marco y proceso) para la gestión
de
riesgos de manera efectiva, mientras que "la gestión del riesgo" se refiere a la aplicación de esa arquitectura a
riesgos particulares.

IS / ISO 31000: 2009

Page 3
i
i
i
(4.2) Mandato y compromiso (4.2) Implementación riesgo gestión
(4.4) Diseño de marco para la gestión del riesgo
(4.3) Continua mejora de la marco
(4.6) Monitoreo y revisión de la marco
(4.5) Marco (Cláusula 4)
a) crea valor
b) parte integral deprocesos organizativos
c) Una parte de la toma de decisiones
d) trata de forma explícita incertidumbre
e) sistemática, estructurada y oportuna
f) Sobre la base de la mejor información disponible
g) Tailored
h) Toma humana y factores culturales en cuenta
i) transparente e incluyente
j) dinámico, iterativo y sensible a los cambios
k) Facilita continua mejora y mejora de la organización

(Cláusula 3) Principios, Proceso

(Cláusula 5) Establecimiento del contexto

(5.3) La evaluación del riesg

(5.4) La identificación del riesgo
(5.4.2) El análisis de riesgos
(5.4.3) Evaluación del riesgo
(5.4.4) El tratamiento del riesgo
(5.5) C o m m u n i c un t i o n un n d c o n s u l t un t i o n
(5. 2) M o n i t o r i n g un n d r e v i e w
(5. 6) F i g u r e

1- R e l un t i o n s h i p s b e t w e e n t h e r i s k m un n un g e m e n t p rn ci p l e , f run m e w o r k un n d p r
ocess IS/ISO3100:2 009

Página 4

Página 5
1
1 Ámbito de aplicación

Esta Norma Internacional proporciona principios y directrices genéricas sobre la gestión de riesgos.
Esta norma puede ser utilizada por cualquier empresa pública, privada o comunitaria, asociación, grupo o
individual. Por lo tanto, esta norma no es específica para cualquier industria o sector.

NOTA
Para mayor comodidad, todos los diferentes usuarios de esta norma internacional se denominan con el término
general
"Organización".

Esta norma se puede aplicar en toda la vida de una organización, y para una amplia gama de
actividades, incluidas las estrategias y decisiones, operaciones, procesos, funciones, proyectos, productos, servicios
y activos.
Esta norma se puede aplicar a cualquier tipo de riesgo, cualquiera que sea su naturaleza, ya sea positivo o tener
consecuencias negativas.

Aunque esta Norma Internacional proporciona directrices genéricas, no es la intención de promover la uniformidad de
riesgo
gestión en las organizaciones. El diseño e implementación de planes de gestión del riesgo y
marcos tendrán que tomar en cuenta las diversas necesidades de una organización específica, sus objetivos
particulares,
contexto, estructura, operaciones, procesos, funciones, proyectos, productos, servicios o activos y específica
prácticas empleadas.

Se pretende que se utilice esta norma internacional para armonizar los procesos de gestión de riesgos en el existente
y las normas futuras. Proporciona un enfoque común en apoyo de las normas de control de riesgos específicos
y / o sectores, y no sustituye a esas normas.
Esta Norma Internacional no está prevista para fines de certificación.

2 Términos y definiciones
A los efectos de este documento, los siguientes términos y definiciones.

2.1 riesgo: efecto de la incertidumbre en los objetivos

NOTA 1
Un efecto es una desviación de la esperada - positivo y / o negativo.
NOTA 2
Los objetivos pueden tener diferentes aspectos (tales como financieros, de salud y seguridad, y las metas
ambientales) y puede
aplicar a diferentes niveles (como estratégica, en toda la organización, proyecto, producto y proceso).
NOTA 3
El riesgo se caracteriza a menudo por referencia a los eventos potenciales (2.17) y consecuencias (2,18), o un
combinación de éstos.
NOTA 4
El riesgo se expresa a menudo en términos de una combinación de las consecuencias de un evento (incluyendo los
cambios en
circunstancias) y la probabilidad asociada (2.19) de ocurrencia.
Norma de la India
GESTIÓN DE RIESGOS - PRINCIPIOS Y
DIRECTRICES
IS / ISO 31000: 2009

Página 6
2
NOTA 5
La incertidumbre es el estado, aunque sea parcial, de la deficiencia de información relacionada con, la comprensión o
el conocimiento de un
caso, su consecuencia, o probabilidad.
[Guía ISO 73: 2009, definición 1.1]

2.2 la gestión de riesgos: actividades coordinadas para dirigir y controlar una organización con respecto al riesgo

(2.1) [Guía ISO 73: 2009, definición 2. 1]

2.3 marco de gestión de riesgos: conjunto de componentes que proporcionan los fundamentos y disposiciones de
organización para el diseño, implementación, monitoreo (2.28), la revisión
y la mejora continua de la gestión del riesgo (2.2) en toda la organización

NOTA 1
Las bases incluyen la política, los objetivos, el mandato y el compromiso de gestionar el riesgo (2,1).

NOTA 2
Las disposiciones de organización incluyen planes, relaciones, responsabilidades, recursos, procesos y
actividades.

NOTA 3
El marco de gestión de riesgos está incrustado dentro global estratégica y operativa de la organización
políticas y prácticas.
[Guía ISO 73: 2009, definición 2.1.1]

2.4 política de gestión de riesgos: declaración de las intenciones globales y orientación de una organización
relacionada con la gestión del riesgo (2.2) [Guía ISO 73: 2009, definición 2.1.2]

2.5 actitud ante el riesgo: El enfoque de la organización para evaluar y eventualmente perseguir, retener, tomar o
dar la espalda a riesgo (2.1) [Guía ISO 73: 2009, definición 3.7.1.1]

2.6 plan de gestión de riesgos: asegurarse en el marco de gestión del riesgo (2.3) que especifica el enfoque, la
gestión
componentes y los recursos que se aplicarán a la gestión del riesgo (2.1)

NOTA 1
Componentes de gestión incluyen típicamente procedimientos, prácticas, asignación de responsabilidades, secuencia
y el calendario de actividades.

NOTA 2
El plan de gestión de riesgos se puede aplicar a un producto, proceso y proyecto, y parte o la totalidad de
la organización.
[Guía ISO 73: 2009, definición 2.1.3]

2.7 dueño riesgo: persona o entidad con la responsabilidad y la autoridad para gestionar el riesgo (2.1)
[Guía ISO 73: 2009, definición 3.5.1.5]

IS / ISO 31000: 2009

Página 7
3
2.8 proceso de gestión de riesgos :aplicación sistemática de políticas, procedimientos y prácticas a las actividades
de comunicación, consultoría, estableciendo el contexto, e identificar, analizar, evaluar, tratar, monitorear (2.28) y
riesgo la revisión (2.1) [Guía ISO 73: 2009, definición 3.1]
2.9 establecer el contexto :la definición de los parámetros externos e internos que deben tomarse en cuenta en la
gestión de riesgo, y el establecimiento de la Alcance y criterios de riesgo (2,22) para la política de gestión del
riesgo (2.4)
[Guía ISO 73: 2009, definición 3.3.1]

2.10 contexto externo: entorno externo en el que la organización busca lograr sus objetivos

NOTA
Contexto externo puede incluir:

el entorno cultural, social, político, jurídico, normativo, financiero, tecnológico, económico, natural y competitivo,
ya sea internacional, nacional, regional o local;

conductores y las tendencias claves que tienen impacto en los objetivos de la organización; y

relaciones con los y las percepciones y valores de los grupos de interés externos (2.13).
[Guía ISO 73: 2009, definición 3.3.1.1]

2.11 contexto interno: ambiente interno, en el que la organización busca lograr sus objetivos

NOTA
Contexto interno puede incluir:

gobierno, de organización de la estructura, las funciones y responsabilidades;

las políticas, los objetivos y las estrategias que están en marcha para alcanzarlos;

las capacidades, entendidas en términos de recursos y conocimientos (por ejemplo, de capital, tiempo, personas,
procesos, sistemas y
tecnologías);

sistemas de información, los flujos de información y procesos de toma de decisiones (tanto formales como
informales);

relaciones con los y las percepciones y valores de los grupos de interés, internos;

la cultura de la organización;

normas, directrices y modelos adoptados por la organización; y

forma y el alcance de las relaciones contractuales.

[Guía ISO 73: 2009, definición 3.3.1.2]

2.12
comunicación y consulta: procesos continuos e iterativos que una organización lleva a cabo para proporcionar,
compartir u obtener información y para entablar un diálogo con las partes interesadas (2.13) con respecto a la
gestión del riesgo (2.1)

IS / ISO 31000: 2009

Página 8
4
NOTA 1
La información puede relacionarse con la existencia, la naturaleza, la forma, la probabilidad (2.19), la significación, la
evaluación,
aceptabilidad y el tratamiento de la gestión del riesgo.

NOTA 2
La consulta es un proceso de dos vías de comunicación informada entre una organización y sus grupos de interés
sobre un tema antes de tomar una decisión o determinación de una dirección en ese tema. La consulta es:

un proceso que los impactos sobre la decisión a través de la influencia en lugar de poder; y

un insumo para la toma de decisiones, no la toma de decisiones conjunta.

[Guía ISO 73: 2009, definición 3.2.1]

2.13 las partes interesadas: persona u organización que puede afectar, ser afectado por, o que crean que están
afectadas por una decisión o actividad

NOTA
Un tomador de decisiones puede ser una de las partes interesadas.
[Guía ISO 73: 2009, definición 3.2.1.1]

2.14 Evaluación de riesgos: proceso general de identificación del riesgo (2,15), el análisis de riesgo (2,21) y
la evaluación del riesgo (2,24)
[Guía ISO 73: 2009, definición 3.4.1]

2.15 identificación de riesgos proceso de encontrar, reconocer y describir los riesgos (2.1)

NOTA 1
La identificación del riesgo implica la identificación de las fuentes de riesgo (2,16), eventos (2.17), sus causas y su
consecuencias potenciales (2.18).

NOTA 2
La identificación del riesgo puede afectar a datos históricos, análisis teórico, informados y opiniones de expertos, y
partes interesadas 's (2.13) necesita.
[Guía ISO 73: 2009, definición 3.5.1]

2.16 fuente de riesgo elemento que por sí sola o en combinación tiene el potencial intrínseco para dar lugar
a riesgo (2.1)

NOTA
Una fuente de riesgo puede ser tangible o intangible.
[Guía ISO 73: 2009, definición 3.5.1.2]

2.17 evento aparición o cambio de un conjunto particular de circunstancias

NOTA 1
Un evento puede ser una o más ocurrencias, y puede tener varias causas.
NOTA 2
Un evento puede consistir en algo que no sucede.
NOTA 3
Un evento puede ser a veces referido como un "incidente" o "accidente".
NOTA 4
Un evento sin consecuencias (2.18) también puede ser referido como un "casi", "incidente", "cerca de éxito" o "cierre
llamar ".
[Guía ISO 73: 2009, definición 3.5.1.3]
IS / ISO 31000: 2009
 Page 9
5
2.18 consecuencia resultado de un evento (2.17) que afectan a los objetivos

NOTA 1
Un evento puede dar lugar a una serie de consecuencias.
NOTA 2
Una consecuencia puede ser cierta o incierta y puede tener efectos positivos o negativos sobre los objetivos.
NOTA 3
Las consecuencias pueden ser expresadas de forma cualitativa o cuantitativa.
NOTA 4
Consecuencias iniciales pueden escalar a través de efectos en cadena.
[Guía ISO 73: 2009, definición 3.6.1.3]

2.19 probabilidad probabilidad de que algo suceda

NOTA 1
En la terminología de la gestión de riesgos, la palabra "probabilidad" se utiliza para referirse a la posibilidad de que
algo suceda,
si definido, medido o determinado objetiva o subjetivamente, cualitativa o cuantitativamente, y se describe el uso de
términos generales o matemáticamente (como una probabilidad o una frecuencia en un período de tiempo
determinado).

NOTA 2
El Inglés término "probabilidad" no tiene un equivalente directo en algunos idiomas; en cambio, el equivalente de
el término "probabilidad" se utiliza a menudo. Sin embargo, en Inglés, "probabilidad" Está frecuentemente interpretado
como un término matemático.
Por lo tanto, en la terminología de la gestión de riesgos, "probabilidad" se utiliza con la intención de que debe tener el
mismo ancho
interpretación del término "probabilidad" tiene en muchos otros idiomas aparte del Inglés.
[Guía ISO 73: 2009, definición 3.6.1.1]

2.20 perfil de riesgo descripción de cualquier conjunto de riesgos (2.1)

NOTA
El conjunto de riesgos puede contener los relativos a toda la organización, que forma parte de la organización, o
como
defina de otra manera.
[Guía ISO 73: 2009, definición 3.8.2.5]

2.21 análisis de riesgo proceso de comprender la naturaleza del riesgo (2.1) y para determinar el nivel de
riesgo (2,23)

NOTA 1
El análisis de riesgos es la base para la evaluación del riesgo (2,24) y las decisiones sobre el tratamiento del
riesgo (2,25).

NOTA 2
El análisis de riesgo incluye la estimación del riesgo.
[Guía ISO 73: 2009, definición 3.6.1]
2.22 criterios de riesgo términos de referencia contra el cual se evalúa la importancia de un riesgo (2.1)

NOTA 1
Los criterios de riesgo se basan en los objetivos organizacionales y externa (2.10) y el contexto interno (2.11).

NOTA 2
Los criterios de riesgo se pueden derivar de las normas, leyes, políticas y otros requisitos.
[Guía ISO 73: 2009, definición 3.3.1.3]
IS / ISO 31000: 2009

Página 10
6
2.23 nivel de riesgo magnitud de un riesgo (2,1) o combinación de riesgos, expresada en términos de la
combinación de consecuencias
(2.18) y la probabilidad (2,19)
[Guía ISO 73: 2009, definición 3.6.1.8]

2.24 Evaluación del riesgo proceso de comparación de los resultados del análisis de riesgos (2.21) con los
criterios de riesgo (2.22) para determinar si el riesgo
(2.1) y / o su magnitud es aceptable o tolerable

NOTA
Evaluación de riesgos ayuda a la decisión sobre el tratamiento del riesgo (2,25).
[Guía ISO 73: 2009, definición 3.7.1]

NOTA 1
Tratamiento de riesgos puede implicar:

evitando el riesgo al decidir no iniciar o continuar con la actividad que da lugar al riesgo;

tomar o el aumento del riesgo con el fin de perseguir una oportunidad;

la eliminación de la fuente de riesgo (2,16);

el cambio de la probabilidad (2,19);

el cambio de las consecuencias (2,18);

compartiendo el riesgo con otra parte o partes (incluyendo los contratos y financiación de riesgos); y

retener el riesgo por decisión informada.

NOTA 2
Tratamientos de riesgo que tienen que ver con las consecuencias negativas se refieren a veces como "la mitigación
del riesgo", "riesgo
eliminación "," prevención de riesgos "y" reducción del riesgo ".

NOTA 3
El tratamiento del riesgo puede crear nuevos riesgos o modificar los riesgos existentes.
[Guía ISO 73: 2009, definición 3.8.1]
2.26 el control medir ese riesgo está modificando (2.1)

NOTA 1
Los controles incluyen cualquier proceso, la política, dispositivo, prácticas, u otras acciones que modifican el riesgo.

NOTA 2
Los controles no siempre pueden ejercer el efecto de modificar la intención o asumido.
[Guía ISO 73: 2009, definición 3.8.1.1]

2.27 riesgo residual riesgo (2.1) que queda después del tratamiento del riesgo (2,25)

NOTA 1
El riesgo residual puede contener el riesgo no identificado.

NOTA 2
Riesgo residual también puede ser conocido como "riesgo retenido".
[Guía ISO 73: 2009, definición 3.8.1.6]
IS / ISO 31000: 2009

Página 11
7

2.28 Monitoreo comprobación continua, supervisar, observar críticamente o determinar el estado con el fin de
identificar el cambio de el nivel de rendimiento requerido o esperado

NOTA
El monitoreo puede ser aplicado a un marco de gestión del riesgo (2.3), el proceso de gestión del riesgo (2.8), el
riesgo
(2.1) o el control (2,26).
[Guía ISO 73: 2009, definición 3.8.2.1]

2.29 opinión actividad emprendida para asegurar la conveniencia, adecuación y eficacia de la materia para lograr
objetivos establecidos

NOTA
Revisión se puede aplicar a un marco de gestión del riesgo (2.3), el proceso de gestión del riesgo (2.8), de
riesgo (2.1)
o de control (2,26).
[Guía ISO 73: 2009, definición 3.8.2.2]

3 Principios Para la gestión del riesgo sea eficaz, una organización debe a todos los niveles, con los principios
siguientes.

a) La gestión de riesgos crea y protege el valor.

La gestión del riesgo contribuye al logro demostrable de objetivos y mejora de la
desempeño en, por ejemplo, la salud humana y la seguridad, la seguridad, el cumplimiento legal y regulatorio, público
aceptación, protección del medio ambiente, la calidad del producto, gestión de proyectos, la eficiencia en las
operaciones,
la gobernanza y la reputación.

b) La gestión de riesgos es una parte integral de todos los procesos de la organización.

La gestión del riesgo no es una actividad aislada que está separado de las principales actividades y procesos de
la organización. La gestión del riesgo es parte de las responsabilidades de la dirección y una parte integral de
todos los procesos de la organización, incluyendo la planificación estratégica y la gestión de todos los proyectos y el
cambio
procesos.
c) La gestión del riesgo es parte de la toma de decisiones.
La gestión del riesgo ayuda a quienes toman las decisiones a tomar decisiones informadas, priorizar acciones y
distinguir
entre los cursos de acción alternativos.

d) La gestión de riesgos aborda explícitamente la incertidumbre.

La gestión del riesgo tiene en cuenta explícitamente de la incertidumbre, la naturaleza de esa incertidumbre, y cómo
puede se

e) La gestión de riesgos es sistemática, estructurada y oportuna.

Un enfoque sistemático, oportuno y estructurado para la gestión del riesgo contribuye a la eficiencia y al
resultados consistentes, comparables y fiables.

f) La gestión del riesgo se basa en la mejor información disponible.

Las entradas para el proceso de gestión de riesgos se basan en fuentes de información como los datos históricos,
experiencia, información de los interesados, la observación, las previsiones y la opinión de expertos. Sin embargo, la
decisión los responsables deben informarse de, y deben tener en cuenta, cualquier limitación de los datos o
modelado utilizado o la posibilidad de divergencia entre los expertos.
IS / ISO 31000: 2009

Página 12
8
g) La gestión de riesgos se adapta.
La gestión del riesgo está alineado con el perfil contexto y riesgo externo e interno de la organización.

h) La gestión del riesgo tiene factores humanos y culturales en cuenta.

La gestión de riesgos reconoce las capacidades, percepciones e intenciones de las personas internas y externas
que pueden facilitar o dificultar el logro de los objetivos de la organización.
i)
La gestión del riesgo es transparente e inclusivo.
Participación adecuada y oportuna de las partes interesadas y, en particular, los responsables de tomar decisiones en
todos los niveles de la organización, asegura que la gestión del riesgo sigue siendo relevante y actualizada. La
participación también permite las partes interesadas estén debidamente representadas y que sus opiniones sean
tenidas en cuenta en la determinación del riesgo criterios.
j)
La gestión del riesgo es dinámica, iterativa y sensible al cambio.
La gestión de riesgos detecta continuamente y responde a los cambios. Cuando se producen eventos externos e
internos, contexto y el conocimiento del cambio, el seguimiento y la revisión de los riesgos se llevan a cabo, surgen
nuevos riesgos, algunos cambian y otras desaparecen.

k) La gestión de riesgos facilita la mejora continua de la organización.

Las organizaciones deben desarrollar e implementar estrategias para mejorar la madurez de gestión de riesgos
junto con todos los demás aspectos de su organización.

Anexo A proporciona más asesoramiento para las organizaciones que desean gestionar el riesgo de manera más
eficaz.

4 Marco
4.1 Generalidades
El éxito de la gestión del riesgo dependerá de la eficacia del marco de gestión que proporciona
las bases y arreglos que incrustarla en toda la organización a todos los niveles. El marco
ayuda en la gestión de riesgos efectiva a través de la aplicación del proceso de gestión del riesgo (véase la cláusula
5) en diferentes niveles y dentro de contextos específicos de la organización. El marco se asegura de que la
información acerca riesgo derivado del proceso de gestión de riesgos se informa y se utiliza como base para la toma
adecuada decisiones y la rendición de cuentas en todos los niveles organizativos pertinentes.
Esta cláusula se describen los componentes necesarios del marco de gestión del riesgo y la forma en que
se interrelacionan de manera iterativa, como se muestra en la Figura 2.
IS / ISO 31000: 2009

Página 13
9
Mandato y compromiso (4.2)

Diseño de marco para la gestión del riesgo (4.3)

La comprensión de la organización y su contexto (4.3.1)
El establecimiento de la política de gestión de riesgos (4.3.2)
Rendición de cuentas (4.3.3)
La integración en los procesos de organización (4.3.4)
Recursos (4.3.5)
El establecimiento de la comunicación interna y la presentación de informes mecanismos (4.3.6)
El establecimiento de la comunicación externa y la presentación de informes mecanismos (4.3.7)

La implementación de la gestión del riesgo (4.4)

Aplicación del marco para la gestión de riesgo (4.4.1)
La implementación del proceso de gestión de riesgos (4.4.2)

La mejora continua del marco(4.6)

Seguimiento y revisión del marco (4.5)

Figura 2 - Relación entre los componentes del marco de gestión del riesgo
Este marco no pretende prescribir un sistema de gestión, sino más bien para ayudar a la organización a
integrar la gestión de riesgos en su sistema general de gestión. Por lo tanto, las organizaciones deben adaptarse al
componentes del marco de sus necesidades específicas.

Si las prácticas de gestión existentes en la organización y los procesos son componentes de la gestión de riesgos o
si la organización ha adoptado ya un proceso formal de gestión de riesgo de determinados tipos de riesgo o
situaciones, entonces éstos deben ser revisados y evaluados críticamente en contra de esta norma internacional,
incluyendo los atributos contenidos en el Anexo A, a fin de determinar su idoneidad y eficacia.

4.2 Mandato y compromiso

La introducción de la gestión de riesgos y asegurar su eficacia continua requieren de un fuerte y sostenido
compromiso por parte de la gestión de la organización, así como la planificación estratégica y riguroso para lograr
compromiso en todos los niveles. La dirección debería:

definir y aprobar la política de gestión de riesgos;

asegúrese de que la cultura y la gestión de riesgos política de la organización están alineados;

determinar los indicadores de desempeño de gestión de riesgos que se alinean con los indicadores de desempeño de
la
organización;

alinear los objetivos de gestión de riesgos con los objetivos y estrategias de la organización;

asegurar el cumplimiento legal y reglamentario;

IS / ISO 31000: 2009

Página 14
10
asignar responsabilidades y las responsabilidades en los niveles apropiados dentro de la organización;

asegurar que los recursos necesarios se asignan a la gestión de riesgos;

comunicar los beneficios de la gestión de riesgos a todas las partes interesadas; y

asegúrese de que el marco para la gestión del riesgo sigue siendo apropiada.

4.3 Diseño de marco para la gestión del riesgo

4.3.1 Comprensión de la organización y su contexto

Antes de iniciar el diseño y la aplicación del marco para la gestión de riesgos, es importante evaluar
y entender tanto el contexto externo e interno de la organización, ya que éstos pueden significativamente
influir en el diseño del marco.

La evaluación de contexto externo de la organización puede incluir, pero no se limita a:

a) la y social y cultural, político, jurídico, normativo, financiero, tecnológico, económico, natural

entorno competitivo, ya sea internacional, nacional, regional o local;
b) factores clave y las tendencias que tienen impacto en los objetivos de la organización; y
c) las relaciones con los y las percepciones y valores de los grupos de interés externos,.

Evaluación de contexto interno de la organización puede incluir, pero no se limita a:

gobierno, de organización de la estructura, las funciones y responsabilidades;

las políticas, los objetivos y las estrategias que están en marcha para alcanzarlos;

capacidades, entendidas en términos de recursos y conocimientos (por ejemplo, de capital, tiempo, personas,
procesos, sistemas y tecnologías);

sistemas de información, los flujos de información y procesos de toma de decisiones (tanto formales como
informales);

relaciones con los y las percepciones y valores de los grupos de interés, internos;

la cultura de la organización;

normas, directrices y modelos adoptados por la organización; y

la forma y el alcance de las relaciones contractuales.

4.3.2 Establecimiento de políticas de gestión de riesgos

La política de gestión de riesgos debe establecer claramente los objetivos de la organización para, y compromiso con,
el riesgo gestión y por lo general se ocupa de lo siguiente:

justificación de la organización para la gestión de riesgos;

vínculos entre los objetivos y las políticas de la organización y la política de gestión de riesgos;

rendición de cuentas y responsabilidades para la gestión de riesgos;

la forma en que los intereses en conflicto se tratan;

IS / ISO 31000: 2009
 Página 15
11

compromiso de hacer los recursos necesarios para ayudar a los responsables y responsables de
la gestión del riesgo;

la forma en que se mide y se informó resultados de la gestión de riesgos; y

compromiso de revisar y mejorar periódicamente y en la política de gestión de riesgos y marco

respuesta a un evento o cambio en las circunstancias.

La política de gestión de riesgos debe ser comunicado apropiadamente.

4.3.3 Rendición de cuentas

La organización debe asegurarse de que haya rendición de cuentas, la autoridad y la competencia adecuada para
la gestión de riesgos, incluyendo la implementación y mantenimiento del proceso de gestión de riesgos y asegurar la
adecuación, eficacia y eficiencia de los controles. Esto puede ser facilitado por:

identificación de propietarios de los riesgos que tienen la responsabilidad y la autoridad para administrar los riesgos;

identificar quién es responsable del desarrollo, implementación y mantenimiento del marco

para la gestión de riesgos;

identificación de otras responsabilidades de las personas en todos los niveles de la organización para la gestión de
riesgos proceso;

el establecimiento de la medición del desempeño y la o procesos externos y / interno de información y

escalonamiento; y

asegurar niveles adecuados de reconocimiento.

4.3.4 La integración en los procesos organizacionales

La gestión de riesgos debe formar parte de las prácticas y procesos de toda la organización de manera que es
pertinente, eficaz y eficiente. El proceso de gestión de riesgos debe formar parte de, y no separada de,
los procesos organizativos. En particular, la gestión de riesgos debe estar integrada en la política
de desarrollo, comerciales y de planificación estratégica y de revisión, y de gestión de procesos de cambio.

Debe haber un plan de gestión de riesgos en toda la organización para asegurar que la política de gestión de riesgos
es implementado y que la gestión de riesgos está integrada en todas las prácticas y procesos de la organización. El
plan de gestión de riesgos se puede integrar en otros planes de organización, como un plan estratégico.

4.3.5 Recursos
La organización debe asignar los recursos adecuados para la gestión de riesgos. Se debe considerar a lo siguiente:

las personas, las habilidades, la experiencia y la competencia;

recursos necesarios para cada paso del proceso de gestión de riesgos;

procesos, métodos y herramientas de la organización que se utilizarán para la gestión del riesgo;

procesos y procedimientos documentados;

sistemas de información y gestión del conocimiento; y

programas de formación.

IS / ISO 31000: 2009

 Página 16
12

4.3.6 Establecimiento de la comunicación interna y mecanismos de presentación de informes

La organización debe establecer la comunicación interna y los mecanismos de información a fin de apoyar y
fomentar la rendición de cuentas y la propiedad de los riesgos. Estos mecanismos deberían garantizar que:

componentes clave del marco de gestión de riesgos, y sus modificaciones posteriores, son
comunicada apropiadamente;

hay informes internos adecuados en el marco, su eficacia y los resultados;

la información pertinente derivada de la aplicación de la gestión de riesgos es en los niveles adecuados

y los tiempos; y

existen procesos de consulta con las partes interesadas internas.

Estos mecanismos deberán, en su caso, incluir procesos para consolidar la información de riesgos a partir de una
variedad de fuentes, y puede ser necesario tener en cuenta la sensibilidad de la información.

4.3.7 Establecimiento de la comunicación externa y mecanismos de informes

La organización debe desarrollar e implementar un plan de cómo va a comunicarse con externa
grupos de interés. Esto debería incluir:

involucrar a los interesados externos apropiados y garantizar un intercambio eficaz de información;

informes externos para cumplir con los requisitos legales, reglamentarios y de gobernanza;

proporcionando información y presentación de informes sobre la comunicación y la consulta;

uso de la comunicación para fomentar la confianza en la organización; y

comunicación con las partes interesadas en el caso de una crisis o de contingencia.

Estos mecanismos deberán, en su caso, incluir procesos para consolidar la información de riesgos a partir de una
variedad de fuentes, y puede ser necesario tener en cuenta la sensibilidad de la información.

4.4 La implementación de la gestión de riesgos

4.4.1 Aplicación del marco para la gestión del riesgo

Al aplicar el marco de la organización de la gestión de riesgos, la organización debe:

definir el momento y la estrategia adecuada para la aplicación del marco;

aplicar la política de gestión de riesgos y el proceso de los procesos organizativos;

cumplir con los requisitos legales y reglamentarios;

asegúrese de que la toma de decisiones, incluyendo el desarrollo y establecimiento de objetivos, está alineado con el
resultados de los procesos de gestión de riesgos;

celebrar sesiones de información y formación; y

comunicarse y consultar con las partes interesadas para garantizar que su marco de gestión del riesgo sigue siendo
apropiada.
IS / ISO 31000: 2009
 Página 17
13
4.4.2 Implementación del proceso de gestión de riesgos
La gestión del riesgo debe aplicarse al asegurar que el proceso de gestión de riesgos se indica en la cláusula 5
se aplica a través de un plan de gestión de riesgos en todos los niveles y funciones pertinentes de la organización
como parte de su
prácticas y procesos.

4.5 Seguimiento y revisión del marco

Con el fin de garantizar que la gestión de riesgos es eficaz y sigue apoyando el desempeño organizacional, la
organización debería:

desempeño de la gestión del riesgo medida contra los indicadores, que se revisan periódicamente para
adecuación;

medir periódicamente los avances en contra, y la desviación de el plan de gestión de riesgos;

revisar periódicamente si el marco de gestión de riesgos, la política y el plan siguen siendo adecuados, teniendo en
cuenta
contexto externo e interno de las organizaciones;

informar sobre los riesgos, el progreso con el plan de gestión de riesgos y lo bien que está siendo la política de
gestión de riesgos
seguido; y

revisar la eficacia del marco de gestión de riesgos.

4.6 Mejora continua del marco

Con base en los resultados del seguimiento y revisión, las decisiones deben tomarse sobre cómo la gestión de
riesgos
marco, la política y el plan se pueden mejorar. Estas decisiones deben conducir a mejoras en la
la gestión de la organización de los riesgos y su cultura de gestión de riesgos.

5 Proceso

5.1 Generalidades
El proceso de gestión de riesgos debe ser

una parte integral de la gestión,

incrustado en la cultura y las prácticas, y

adaptada a los procesos de negocio de la organización.

Comprende las actividades descritas en 5.2 a 5.6. El proceso de gestión de riesgo se muestra en la Figura 3.
IS / ISO 31000: 2009

Página 18
14
La evaluación del riesgo (5.4)
Comunicación y consulta (5.2)
Monitoreo y revisión (5.6)
Establecimiento del contexto (5.3)
El análisis de riesgos (5.4.3)
Evaluación del riesgo (5.4.4)
El tratamiento del riesgo (5.5)
La identificación del riesgo (5.4.2)

Figura 3 - Proceso de gestión de riesgos

5.2 Comunicación y consulta

La comunicación y consulta con las partes interesadas externas e internas deben tener lugar durante todas las etapas
de el proceso de gestión de riesgos.
Por lo tanto, los planes de comunicación y consulta deben desarrollarse en una etapa temprana. Estos deberían
abordar las cuestiones relacionadas con el riesgo en sí, sus causas, siendo sus consecuencias (si se conoce), y las
medidas tomado para tratarla. Comunicación externa e interna y una consulta eficaces deben llevarse a cabo para
garantizar que los responsables de la implementación del proceso de gestión de riesgos y partes interesadas a
comprender la base en el que se toman las decisiones, y las razones por qué se requieren acciones particulares.

Un enfoque de equipo consultivo podrá:

ayudar a establecer el contexto adecuado;

asegurar que se entienden y consideran los intereses de las partes interesadas;

ayudan a asegurar que los riesgos están adecuadamente identificados;

aportan diferentes áreas de experiencia juntos para analizar los riesgos;

asegurar que los puntos de vista diferentes se consideran adecuadamente al definir criterios de riesgo y en la
evaluación de riesgos;

asegurar el respaldo y el apoyo a un plan de tratamiento;

IS / ISO 31000: 2009

Página 19
15

mejorar la gestión del cambio adecuada durante el proceso de gestión de riesgos; y

desarrollar un plan de comunicación y consulta externa e interna adecuada.

La comunicación y consulta con las partes interesadas es importante, ya que hacen juicios sobre el riesgo basado en
sus percepciones de riesgo. Estas percepciones pueden variar debido a las diferencias en los valores, necesidades,
suposiciones, conceptos y preocupaciones de las partes interesadas. Como sus puntos de vista pueden tener un
impacto significativo en las decisiones que se toman, percepciones de las partes interesadas deben ser identificados,
registrados y tomados en cuenta en la toma de decisiones proceso.
Comunicación y consulta deben facilitar los intercambios veraces, pertinentes, precisos y comprensibles de la
información, teniendo en cuenta los aspectos confidenciales y personales de integridad.

5.3 Establecimiento del contexto

5.3.1 Generalidades
Al establecer el contexto, la organización articula sus objetivos, define el exterior e interior
parámetros que deben tenerse en cuenta en la gestión de riesgos, y establece los criterios de aplicación y de riesgo
para la proceso restante. Mientras que muchos de estos parámetros son similares a los que se consideran en el
diseño del riesgo marco de gestión (véase 4.3.1), al establecer el marco para el proceso de gestión de riesgos, que
Es necesario considerar con mayor detalle y sobre todo cómo se relacionan con el alcance de los riesgos particulares
proceso de gestión.
5.3.2 Establecimiento del contexto externo
El contexto externo es el entorno externo en el que la organización trata de alcanzar sus objetivos.
Entender el contexto externo es importante para asegurar que los objetivos y preocupaciones de exterior
los interesados se consideran en el desarrollo de criterios de riesgo. Se basa en el contexto de toda la organización,
pero con detalles específicos de los requisitos legales y reglamentarios, las percepciones de las partes interesadas y
otros aspectos de los riesgos
específica para el ámbito del proceso de gestión de riesgos.
El contexto externo puede incluir, pero no se limita a:

la y social y cultural, político, jurídico, normativo, financiero, tecnológico, económico, natural

entorno competitivo, ya sea internacional, nacional, regional o local;

conductores y las tendencias claves que tienen impacto en los objetivos de la organización; y

relaciones con, percepciones y valores de los grupos de interés externos.

5.3.3 Establecer el contexto interno
El contexto interno es el ambiente interno, en el que la organización trata de alcanzar sus objetivos.
El proceso de gestión de riesgos debe estar alineada con la cultura, los procesos, la estructura de la organización y
estrategia. Contexto interno es cualquier cosa dentro de la organización que pueden influir en la manera en la que un
organización gestionar el riesgo. Debe establecerse debido a que:
a) la gestión del riesgo se lleva a cabo en el contexto de los objetivos de la organización;
b) los objetivos y criterios de un proyecto en particular, proceso o actividad deben ser considerados a la luz de
objetivos de la organización en su conjunto; y
c) algunas organizaciones no reconocen las oportunidades para lograr su estratégica, proyecto o los objetivos de
negocio,
y esto afecta en curso el compromiso, la credibilidad, la confianza y el valor.
IS / ISO 31000: 2009

Página 20
16
Es necesario entender el contexto interno. Esto puede incluir, pero no se limita a:

gobierno, de organización de la estructura, las funciones y responsabilidades;

las políticas, los objetivos y las estrategias que están en marcha para alcanzarlos;

capacidades, entendidas en términos de recursos y conocimientos (por ejemplo, de capital, tiempo, personas,
procesos,
sistemas y tecnologías);

las relaciones con los y las percepciones y valores de los grupos de interés internos;

la cultura de la organización;

sistemas de información, los flujos de información y procesos de toma de decisiones (tanto formales como
informales);

normas, directrices y modelos adoptados por la organización; y

forma y el alcance de las relaciones contractuales.

5.3.4 Establecer el contexto del proceso de gestión de riesgos
Parámetros de los objetivos, estrategias, ámbito de aplicación y de las actividades de la organización, o las partes de
la
organización en la que se está aplicando el proceso de gestión de riesgos, debe ser establecido. La gestión
del riesgo debe llevarse a cabo con la plena consideración de la necesidad de justificar los recursos utilizados en la
realización de
la gestión de riesgos. Los recursos necesarios, responsabilidades y autoridades, y los registros que deberá llevar
deberían
también ser especificado.
El contexto del proceso de gestión del riesgo variará de acuerdo a las necesidades de una organización. Puede
implicar,
pero no se limita a:

la definición de las metas y objetivos de las actividades de gestión de riesgos;

definir las responsabilidades para y dentro del proceso de gestión de riesgos;

la definición del alcance, así como la profundidad y amplitud de las actividades de gestión de riesgos que se lleva a
cabo,
incluyendo inclusiones y exclusiones específicas;

la definición de la actividad, proceso, función, proyecto, producto, servicio o activo en términos de tiempo y lugar;

la definición de las relaciones entre un determinado proyecto, proceso o actividad y otros proyectos, procesos o
actividades de la organización;

la definición de las metodologías de evaluación de riesgos;

definir el rendimiento y la eficacia manera se evalúa en la gestión del riesgo;

identificar y especificar las decisiones que se tienen que hacer; y

la identificación, la determinación del alcance o al encuadrar los estudios necesarios, su alcance y objetivos, y los
recursos necesarios para
tales estudios.
La atención a estos y otros factores pertinentes debe ayudar a asegurar que el enfoque de gestión de riesgos
adoptado
es apropiada a las circunstancias, a la organización ya los riesgos que afectan a la consecución de su
objetivos.
IS / ISO 31000: 2009

Página 21
17
5.3.5 Definición de los criterios de riesgo
La organización debe definir los criterios que se utilizarán para evaluar la importancia del riesgo. Los criterios
deberían
reflejar la organización de los valores, objetivos y recursos. Algunos criterios pueden ser impuestas por, o derivadas
de,
requisitos legales y reglamentarios y otros requisitos que la organización suscriba. Los criterios de riesgo
deben ser coherentes con la política de gestión de riesgos de la organización (ver 4.3.2), se definirá al inicio
de cualquier proceso de gestión de riesgos y se revisarán continuamente.
En la definición de los criterios de riesgo, factores a considerar deben incluir lo siguiente:

la naturaleza y los tipos de causas y consecuencias que pueden ocurrir y cómo van a ser medido;

cómo se define la probabilidad;

el marco de tiempo (s) de la probabilidad y / o consecuencia (s);

cómo el nivel de riesgo es que se determine;

las opiniones de las partes interesadas;

el nivel en el que el riesgo se convierte en aceptable o tolerable; y

si las combinaciones de múltiples riesgos deben tenerse en cuenta y, en caso afirmativo, cómo y qué
combinaciones deben ser consideradas.
5.4 evaluación de riesgos
5.4.1 Generalidades
La evaluación de riesgos es el proceso general de identificación de riesgos, análisis de riesgos y evaluación de
riesgos.
NOTA
ISO / IEC 31010 proporciona orientación sobre las técnicas de evaluación de riesgos.
5.4.2 Identificación de Riesgos
La organización debe identificar las fuentes de riesgo, zonas de impactos, eventos (incluyendo los cambios en
circunstancias) y sus causas y sus posibles consecuencias. El objetivo de este paso es generar una
lista completa de los riesgos sobre la base de aquellos eventos que puedan crear, mejorar, prevenir, degradar,
acelerar o
retrasar el logro de los objetivos. Es importante identificar los riesgos asociados a no llevar a cabo una
oportunidad. Identificación completa es crítica, porque el riesgo de que no se identifica en esta etapa no será
incluido en el análisis adicional.
Identificación de riesgos debe incluir o no su fuente está bajo el control de la organización, incluso
aunque la fuente del riesgo o la causa puede no ser evidente. La identificación del riesgo debe incluir el examen de la
efectos en cadena de consecuencias particulares, incluidas en cascada y los efectos acumulativos. También debe
considerar una amplia gama de consecuencias, incluso si la fuente de riesgo o causa pueden no ser evidentes. Así
como
la identificación de lo que podría suceder, es necesario tener en cuenta las posibles causas y escenarios que
muestran lo que
pueden producirse consecuencias. Todas las causas y consecuencias importantes deben ser considerados.
La organización debe aplicar herramientas de identificación de riesgo y técnicas que se adaptan a sus objetivos y
capacidades, y los riesgos que corren. La información relevante y actualizada es importante en la identificación de
riesgos. Este
debe incluir información básica adecuada cuando sea posible. Las personas con los conocimientos apropiados
deberían
participar en la identificación de riesgos.
IS / ISO 31000: 2009

Página 22
18
5.4.3 Análisis de Riesgo
El análisis de riesgos implica el desarrollo de una comprensión de los riesgos. El análisis de riesgos proporciona una
entrada al riesgo
evaluación y las decisiones sobre si los riesgos deben ser tratados, y en el tratamiento de los riesgos más adecuada
estrategias y métodos. El análisis de riesgos también puede proporcionar un insumo para la toma de decisiones
donde las opciones deben ser
hechos y las opciones implican diferentes tipos y niveles de riesgo.
El análisis de riesgos implica la consideración de las causas y las fuentes de riesgo, sus extremos positivo y negativo
consecuencias y la probabilidad de que puedan producirse esas consecuencias. Los factores que afectan a las
consecuencias y
probabilidad debe ser identificado. El riesgo se analizó mediante la determinación de las consecuencias y la
probabilidad, y otra
atributos del riesgo. Un evento puede tener múltiples consecuencias y puede afectar a múltiples objetivos. Existentes
controles y su eficacia y eficiencia también deben tenerse en cuenta.
La forma en que se expresan las consecuencias y probabilidad y la forma en que se combinan para
determinar un nivel de riesgo debe reflejar el tipo de riesgo, la información disponible y el propósito para el cual la
salida de la evaluación del riesgo se va a utilizar. Todos ellos deben ser coherentes con los criterios de
riesgo. También es importante
considerar la interdependencia de los diferentes riesgos y sus fuentes.
La confianza en la determinación del nivel de riesgo y su sensibilidad a condiciones previas e hipótesis debe
tener en cuenta en el análisis, y comunicar eficazmente a los tomadores de decisiones y, en su caso, otra
grupos de interés. Factores tales como la divergencia de opiniones entre los expertos, la incertidumbre, la
disponibilidad, la calidad, la cantidad
y continuidad de la relevancia de la información, o las limitaciones sobre la modelización debe ser señalado y se
pueden destacar.
El análisis de riesgos puede llevarse a cabo con mayor o menor detalle, en función del riesgo, el propósito de la
el análisis y la información, los datos y los recursos disponibles. El análisis puede ser cualitativo, semi-cuantitativo o
cuantitativa, o una combinación de éstos, dependiendo de las circunstancias.
Consecuencias y su probabilidad se pueden determinar mediante el modelado de los resultados de un evento o
conjunto de eventos,
o por extrapolación a partir de estudios experimentales o de los datos disponibles. Las consecuencias pueden ser
expresados en
términos de impactos tangibles e intangibles. En algunos casos, el descriptor de más de un valor numérico o es
necesaria para especificar las consecuencias y la probabilidad de veces diferentes, lugares, grupos o situaciones.
Evaluación 5.4.4 Riesgo
El objetivo de la evaluación de riesgos es ayudar en la toma de decisiones, con base en los resultados de análisis de
riesgos, sobre
qué riesgos necesitan tratamiento y la prioridad para la aplicación del tratamiento.
La evaluación del riesgo consiste en comparar el nivel de riesgo detectado durante el proceso de análisis con criterios
de riesgo
establecido cuando se consideró el contexto. Sobre la base de esta comparación, la necesidad de tratamiento puede
ser
considerado.
Las decisiones deben tener en cuenta el contexto más amplio del riesgo e incluir la consideración de la tolerancia de
la
riesgos asumidos por partes distintas de la organización que se beneficia de la situación de riesgo. Las decisiones
deben tomarse en
acuerdo con los requisitos legales, reglamentarios y de otro tipo.
En algunas circunstancias, la evaluación del riesgo puede dar lugar a la decisión de realizar un análisis más
detallado. El riesgo
evaluación también puede conducir a la decisión de no tratar el riesgo de ninguna manera que no sea el
mantenimiento de los controles existentes.
Esta decisión se verá influenciada por la actitud de riesgo de la organización y los criterios de riesgo que han sido
establecida.
Tratamiento 5.5 Riesgo
5.5.1 Generalidades
Tratamiento del riesgo consiste en seleccionar una o más opciones para modificar los riesgos, y la aplicación de esas
opciones.
Una vez implementado, tratamientos proporcionan o modificar los controles.
IS / ISO 31000: 2009

Página 23
19
Tratamiento del riesgo implica un proceso cíclico de:

la evaluación de un tratamiento del riesgo;

decidir si los niveles de riesgo residuales son tolerables;

si no es tolerable, generando un nuevo tratamiento del riesgo; y

evaluar la eficacia de ese tratamiento.

Las opciones de tratamiento del riesgo no son necesariamente mutuamente excluyentes o apropiadas en todas las
circunstancias. Las opciones
puede incluir lo siguiente:
a) evitar el riesgo al decidir no iniciar o continuar con la actividad que da lugar al riesgo;
b) tomar o aumentar el riesgo a fin de perseguir una oportunidad;
c) eliminación de la fuente de riesgo;
d) cambio de la probabilidad;
e) el cambio de las consecuencias;
f)
compartiendo el riesgo con otra parte o partes (incluyendo los contratos y financiación de riesgos); y
g) reteniendo el riesgo por decisión informada.
5.5.2 Selección de las opciones de tratamiento del riesgo
Selección de la opción de tratamiento más adecuada del riesgo implica equilibrar los costos y los esfuerzos de
aplicación frente a los beneficios deriva, en lo que respecta a los requisitos legales, reglamentarios y otros, tales
como
la responsabilidad social y la protección del medio ambiente natural. Las decisiones también deben tener en cuenta
riesgos que puede justificar el tratamiento del riesgo de que no se justifica por razones económicas, por ejemplo
grave (alta negativo
consecuencia) pero baja probabilidad) riesgos (raras.
Un número de opciones de tratamiento puede ser considerada y aplicada de forma individual o en combinación. El
organización que normalmente se puede beneficiar de la adopción de una combinación de las opciones de
tratamiento.
Al seleccionar las opciones de tratamiento de riesgos, la organización debe considerar los valores y percepciones de
las partes interesadas y los medios más adecuados para comunicarse con ellos. Cuando las opciones de tratamiento
del riesgo puede
impacto en el riesgo en la organización o con las partes interesadas en otros lugares, estos deben participar en la
decisión.
Aunque igualmente eficaces, algunos tratamientos de riesgo pueden ser más aceptable para algunos grupos de
interés que a otros.
El plan de tratamiento debe identificar claramente el orden de prioridad en la que los tratamientos individuales de
riesgo deben ser
implementado.
El tratamiento del riesgo en sí puede introducir riesgos. Un riesgo significativo puede ser la insuficiencia o ineficacia
de los riesgos
medidas de tratamiento. Necesidades de Monitoreo a ser una parte integral del plan de tratamiento de riesgos para
dar garantías de que
las medidas siguen siendo eficaces.
Tratamiento del riesgo también puede introducir riesgos secundarios que deben ser evaluados, tratados, supervisado
y revisado.
Estos riesgos secundarios deben ser incorporados en el mismo plan de tratamiento ya que el riesgo original y no
tratados
como un nuevo riesgo. El vínculo entre los dos riesgos deben ser identificados y mantenido.
IS / ISO 31000: 2009

Página 24
20
5.5.3 Preparación y ejecución de los planes de tratamiento de riesgo
El objetivo de los planes de tratamiento del riesgo es documentar cómo se implementarán las opciones de tratamiento
elegido.
La información proporcionada en los planes de tratamiento debe incluir:

las razones para la selección de las opciones de tratamiento, incluyendo los beneficios que se espera obtener;

los que son responsables de la aprobación del plan y los responsables de la ejecución del plan;

acciones propuestas;

las necesidades de recursos, incluidos los imprevistos;

medidas y restricciones de rendimiento;

obligaciones de información y monitoreo; y

calendario y horario.
Los planes de tratamiento deben integrarse con los procesos de gestión de la organización y discutidos con
las partes interesadas pertinentes.
Los tomadores de decisiones y otras partes interesadas deben ser conscientes de la naturaleza y alcance del riesgo
residual después
tratamiento del riesgo. El riesgo residual debe ser documentado y sometido a vigilancia, el examen y, en su
apropiado, el tratamiento adicional.
5.6 Seguimiento y revisión
Tanto el seguimiento y la revisión debe ser una parte planificada del proceso de gestión de riesgos y la participación
regular de
comprobación o vigilancia. Puede ser periódica o ad hoc .
Las responsabilidades para el seguimiento y la revisión deben estar claramente definidas.
Procesos de monitoreo y revisión de la organización deben abarcar todos los aspectos de la gestión de riesgos
proceso a los efectos de:

asegurar que los controles son eficaces y eficientes tanto en el diseño y funcionamiento;

obtener más información para mejorar la evaluación de riesgos;

análisis y lecciones de eventos de aprendizaje (incluyendo cuasi accidentes), los cambios, las tendencias, éxitos y
fracasos;

detección de cambios en el contexto externo e interno, incluyendo cambios en los criterios de riesgo y el propio riesgo
que puede requerir una revisión de los tratamientos de riesgo y prioridades; y

la identificación de riesgos emergentes.

El progreso en la implementación de los planes de tratamiento del riesgo proporciona una medida de desempeño. Los
resultados pueden ser
incorporado en la gestión del desempeño global de la organización, medición y externa e interna
actividades de presentación de informes.
Los resultados del seguimiento y la revisión deben ser registrados y externa como internamente informaron en su
caso,
y también debe ser utilizado como insumo para la revisión del marco de gestión de riesgos (véase 4.5).
IS / ISO 31000: 2009

Página 25
21
5.7 Registro del proceso de gestión de riesgos
Actividades de gestión de riesgos deberían ser trazables. En el proceso de gestión de riesgos, los registros
proporcionan la
base para la mejora en los métodos y herramientas, así como en el proceso global.
Las decisiones relativas a la creación de registros debe tener en cuenta:

necesidades de la organización para el aprendizaje continuo;

beneficios de la información re-utilizar con fines de gestión;

costos y esfuerzos involucrados en la creación y el mantenimiento de registros;

necesidades legales, reglamentarias y de funcionamiento los registros;

método de acceso, la facilidad de los medios de comunicación y la recuperabilidad de almacenamiento;

período de retención; y

sensibilidad de la información.
IS / ISO 31000: 2009

Página 26
22
Anexo A
(Informativo)
Atributos de mejora de la gestión de riesgos
A.1 general
Todas las organizaciones deben tener como objetivo el nivel adecuado de rendimiento de su marco de gestión del
riesgo en
consonancia con el carácter crítico de las decisiones que han de hacerse. La lista de atributos a continuación
representa un alto nivel
de desempeño en la gestión de riesgos. Para ayudar a las organizaciones a medir su propio desempeño contra estos
criterios, algunos indicadores tangibles se dan para cada atributo.
Los resultados clave A.2
A.2.1
La organización tiene una comprensión actual, correcta y completa de sus riesgos.
A.2.2
Riesgos de la organización son dentro de sus criterios de riesgo.
Atributos A.3
A.3.1 Mejora continua
Se hace hincapié en la mejora continua en la gestión de riesgos mediante el establecimiento de la organización
metas de desempeño, medición, revisión y la posterior modificación de procesos, sistemas, recursos,
capacidad y habilidades.
Esto puede ser indicado por la existencia de objetivos explícitos de desempeño contra el cual de la organización y
se mide el desempeño del gerente individual. El desempeño de la organización se puede publicar y
comunicado. Normalmente, habrá por lo menos una revisión anual de desempeño y luego una revisión de
procesos y el establecimiento de objetivos de rendimiento revisados para el período siguiente.
Esta evaluación del desempeño de la gestión de riesgos es una parte integral del desempeño de la organización en
general
sistema de evaluación y medición de los departamentos y los individuos.
A.3.2 responsabilidad completa de los riesgos
Gestión de riesgos mejorada incluye amplia, totalmente definido y la rendición de cuentas plenamente aceptado por
los riesgos,
controles y tareas de tratamiento del riesgo. Designados los individuos aceptan plenamente la responsabilidad, son
las habilidades acordes
y disponer de recursos adecuados para comprobar los controles, monitorear los riesgos, mejorar los controles y
comunicarse efectivamente
acerca de los riesgos y su gestión a grupos de interés externos e internos.
Esto puede ser indicado por todos los miembros de una organización son plenamente conscientes de los riesgos, los
controles y las tareas para
los que son responsables. Normalmente, esto se registrará en trabajo / descripciones de puestos, bases de datos o
los sistemas de información. La definición de gestión de riesgos roles, responsabilidades y responsabilidades debe
ser
parte de todo un programa de orientación de la organización.
La organización asegura que aquellos que son responsables están equipadas para cumplir ese papel,
proporcionándoles
con la autoridad, tiempo, formación, recursos y habilidades suficientes para asumir sus responsabilidades.
IS / ISO 31000: 2009

Página 27
23
Aplicación A.3.3 de la gestión de riesgos en toda la toma de decisiones
Toda toma de decisiones dentro de la organización, sea cual sea el nivel de importancia y trascendencia, implica la
consideración explícita de los riesgos y la aplicación de la gestión de riesgos en cierta medida adecuada.
Esto puede ser indicada por los registros de las reuniones y decisiones para mostrar que las discusiones explícitas
sobre los riesgos tomaron
lugar. Además, debería ser posible para ver que todos los componentes de la gestión de riesgos se representan
dentro de
procesos clave para la toma de decisiones en la organización, por ejemplo para las decisiones sobre la asignación de
capital, en gran
proyectos y en la re-estructuración y cambios organizativos. Por estas razones, el riesgo con base sólida
gestión se ve dentro de la organización como proporcionar la base para la gobernabilidad efectiva.
A.3.4 comunicaciones continuas
Gestión de riesgos mejorada incluye comunicaciones continuas con las partes interesadas externas e internas,
incluyendo información completa y frecuente del desempeño de la gestión de riesgos, como parte de una buena
gobernabilidad.
Esto puede ser indicado por la comunicación con las partes interesadas como un componente integral y esencial de
riesgo
gestión. La comunicación es visto con razón como un proceso de dos vías, tales decisiones que debidamente
informados pueden
ser hechas sobre el nivel de los riesgos y la necesidad de tratamiento de riesgos contra establecida correctamente y
criterios de riesgo integrales.
Presentación de informes externos e internos Integral y frecuente en ambos riesgos significativos y en la gestión de
riesgos
rendimiento contribuye sustancialmente a una gobernanza eficaz dentro de una organización.
A.3.5 La plena integración en la estructura de gobierno de la organización
La gestión del riesgo es visto como fundamental para los procesos de gestión de la organización, de manera que los
riesgos son
considerado en términos de efecto de la incertidumbre en los objetivos. La estructura de gobierno y el proceso se
basan en
la gestión del riesgo. La gestión eficaz del riesgo es considerado por los administradores como esenciales para el
logro
de los objetivos de la organización.
Esto se indica mediante el lenguaje de los directivos e importantes materiales escritos en la organización utilizando el
término
"Incertidumbre" en relación con los riesgos. Este atributo también se refleja normalmente en las declaraciones de la
organización
de la política, en particular las relativas a la gestión de riesgos. Normalmente, este atributo se verifica a través de
entrevistas con los gerentes y a través de la evidencia de sus acciones y declaraciones.
IS / ISO 31000: 2009

Página 28
24
Bibliografía
[1]
Guía ISO 73: 2009, Gestión del riesgo - Vocabulario
[2]
, ISO / IEC 31010 de gestión de riesgos - las técnicas de evaluación de riesgos
IS / ISO 31000: 2009

Página 29
Oficina de Normas de la India
BIS es una institución de derecho público establecido en virtud de la Oficina de Ley de Normas de la India de 1986
para promover la
desarrollo armonioso de las actividades de normalización, marcado y certificación de la calidad de los bienes
y atendiendo a disposiciones afines en el país.
Derecho de Autor
BIS tiene los derechos de autor de todas sus publicaciones. Ninguna parte de esta publicación puede ser reproducida
en cualquier forma
sin el permiso previo por escrito de BPI. Esto no excluye el uso gratuito, en curso de aplicación
Menting la norma, de los detalles necesarios, como los símbolos y tamaños, tipo o designaciones de calidad.
Las consultas relativas a los derechos de autor pueden dirigirse al Director (Publicaciones), BIS.
Revisión de Normas de la India
Las enmiendas se emiten las normas cuando sea necesario sobre la base de los comentarios. Las normas son
también
revisarse periódicamente; un estándar junto con las enmiendas se reafirma cuando tal revisión indica que
no se necesitan cambios; Si la revisión indica que los cambios son necesarios, que se recoge para su
revisión. Usuarios
de Normas de la India debe cerciorarse de que están en posesión de las últimas enmiendas o edición por
refiriéndose a la última edición de 'BIS Catálogo "y" Normas: Las adiciones mensuales'.
Esta Norma de la India ha sido desarrollado a partir de Documento .: MSD 4 (401).
Modificaciones emitidas desde la publicación
______________________________________________________________________________________
Enmienda No.
Fecha de emisión
Texto Afectados
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
Oficina de Normas de INDIOS
Sede:
Manak Bhavan, 9 Bahadur Shah Zafar Marg, Nueva Delhi 110002
Teléfonos : 2323 0131, 2323 3375, 2323 9402
Sitio web : www.bis.org.in
Oficinas Regionales
Teléfonos
Centroamérica: Manak Bhavan, 9 Bahadur Shah Zafar Marg
2323 7617
NUEVA DELHI 110002
2323 3841
Este: 01.14, CIT Esquema VII M, VIP Road, Kankurgachi
2337 8499, 2337 8561
CALCUTA 700054
2337 8626, 2337 9120
Norte: SCO 335-336, Sector 34-A, de Chandigarh 160022
260 3843
260 9285
Sur: Campus CIT, IV Cross Road, Chennai 600113
2254 1216, 2254 1442
2254 2519, 2254 2315
Occidental: Manakalaya, E9 MIDC, Marol, Andheri (Este)
2832 9295, 2832 7858
BOMBAY 400093
2832 7891, 2832 7892
Sucursales: Ahmedabad. BANGALORE. Bhopal. BHUBANESHWAR. COIMBATORE. DEHRADUN.
Faridabad. Ghaziabad. Guwahati. HYDERABAD. JAIPUR. KANPUR. Lucknow.
Nagpur. Parwanoo. Patna. PUNE. Rajkot. Thiruvanathapuram. VISAKHAPATNAM.
Publicado por