Page 2
ii
establecer una base fiable para la toma de decisiones y la planificación;
mejorar la salud y el desempeño de la seguridad, así como la protección del medio ambiente;
b) los responsables de asegurar que el riesgo se gestiona de manera efectiva dentro de la organización como un todo
o
dentro de un área, proyecto o actividad específica;
c) aquellos que necesitan para evaluar la efectividad de una organización en la gestión de riesgos; y
d) los desarrolladores de normas, guías, procedimientos y códigos de conducta que, en su totalidad o en parte, se
establece la forma
Las prácticas actuales de gestión y procesos de muchas organizaciones incluyen componentes de riesgo
gestión, y muchas organizaciones ya han adoptado un proceso formal de gestión de riesgo de especial
tipos de riesgo o circunstancias. En tales casos, una organización puede decidir llevar a cabo una revisión crítica de
su
prácticas y procesos existentes a la luz de esta norma internacional.
En esta Norma Internacional, son utilizados las expresiones "gestión del riesgo" y "gestión del riesgo".
En términos generales, "gestión del riesgo" se refiere a la arquitectura (principios, el marco y proceso) para la gestión
de
riesgos de manera efectiva, mientras que "la gestión del riesgo" se refiere a la aplicación de esa arquitectura a
riesgos particulares.
Page 3
i
i
i
(4.2) Mandato y compromiso (4.2) Implementación riesgo gestión
(4.4) Diseño de marco para la gestión del riesgo
(4.3) Continua mejora de la marco
(4.6) Monitoreo y revisión de la marco
(4.5) Marco (Cláusula 4)
a) crea valor
b) parte integral deprocesos organizativos
c) Una parte de la toma de decisiones
d) trata de forma explícita incertidumbre
e) sistemática, estructurada y oportuna
f) Sobre la base de la mejor información disponible
g) Tailored
h) Toma humana y factores culturales en cuenta
i) transparente e incluyente
j) dinámico, iterativo y sensible a los cambios
k) Facilita continua mejora y mejora de la organización
1- R e l un t i o n s h i p s b e t w e e n t h e r i s k m un n un g e m e n t p rn ci p l e , f run m e w o r k un n d p r
ocess IS/ISO3100:2 009
Página 4
Página 5
1
1 Ámbito de aplicación
Esta Norma Internacional proporciona principios y directrices genéricas sobre la gestión de riesgos.
Esta norma puede ser utilizada por cualquier empresa pública, privada o comunitaria, asociación, grupo o
individual. Por lo tanto, esta norma no es específica para cualquier industria o sector.
NOTA
Para mayor comodidad, todos los diferentes usuarios de esta norma internacional se denominan con el término
general
"Organización".
Esta norma se puede aplicar en toda la vida de una organización, y para una amplia gama de
actividades, incluidas las estrategias y decisiones, operaciones, procesos, funciones, proyectos, productos, servicios
y activos.
Esta norma se puede aplicar a cualquier tipo de riesgo, cualquiera que sea su naturaleza, ya sea positivo o tener
consecuencias negativas.
Aunque esta Norma Internacional proporciona directrices genéricas, no es la intención de promover la uniformidad de
riesgo
gestión en las organizaciones. El diseño e implementación de planes de gestión del riesgo y
marcos tendrán que tomar en cuenta las diversas necesidades de una organización específica, sus objetivos
particulares,
contexto, estructura, operaciones, procesos, funciones, proyectos, productos, servicios o activos y específica
prácticas empleadas.
Se pretende que se utilice esta norma internacional para armonizar los procesos de gestión de riesgos en el existente
y las normas futuras. Proporciona un enfoque común en apoyo de las normas de control de riesgos específicos
y / o sectores, y no sustituye a esas normas.
Esta Norma Internacional no está prevista para fines de certificación.
2 Términos y definiciones
A los efectos de este documento, los siguientes términos y definiciones.
NOTA 1
Un efecto es una desviación de la esperada - positivo y / o negativo.
NOTA 2
Los objetivos pueden tener diferentes aspectos (tales como financieros, de salud y seguridad, y las metas
ambientales) y puede
aplicar a diferentes niveles (como estratégica, en toda la organización, proyecto, producto y proceso).
NOTA 3
El riesgo se caracteriza a menudo por referencia a los eventos potenciales (2.17) y consecuencias (2,18), o un
combinación de éstos.
NOTA 4
El riesgo se expresa a menudo en términos de una combinación de las consecuencias de un evento (incluyendo los
cambios en
circunstancias) y la probabilidad asociada (2.19) de ocurrencia.
Norma de la India
GESTIÓN DE RIESGOS - PRINCIPIOS Y
DIRECTRICES
IS / ISO 31000: 2009
Página 6
2
NOTA 5
La incertidumbre es el estado, aunque sea parcial, de la deficiencia de información relacionada con, la comprensión o
el conocimiento de un
caso, su consecuencia, o probabilidad.
[Guía ISO 73: 2009, definición 1.1]
2.2 la gestión de riesgos: actividades coordinadas para dirigir y controlar una organización con respecto al riesgo
NOTA 1
Las bases incluyen la política, los objetivos, el mandato y el compromiso de gestionar el riesgo (2,1).
NOTA 2
Las disposiciones de organización incluyen planes, relaciones, responsabilidades, recursos, procesos y
actividades.
NOTA 3
El marco de gestión de riesgos está incrustado dentro global estratégica y operativa de la organización
políticas y prácticas.
[Guía ISO 73: 2009, definición 2.1.1]
2.4 política de gestión de riesgos: declaración de las intenciones globales y orientación de una organización
relacionada con la gestión del riesgo (2.2) [Guía ISO 73: 2009, definición 2.1.2]
2.5 actitud ante el riesgo: El enfoque de la organización para evaluar y eventualmente perseguir, retener, tomar o
dar la espalda a riesgo (2.1) [Guía ISO 73: 2009, definición 3.7.1.1]
2.6 plan de gestión de riesgos: asegurarse en el marco de gestión del riesgo (2.3) que especifica el enfoque, la
gestión
componentes y los recursos que se aplicarán a la gestión del riesgo (2.1)
NOTA 1
Componentes de gestión incluyen típicamente procedimientos, prácticas, asignación de responsabilidades, secuencia
y el calendario de actividades.
NOTA 2
El plan de gestión de riesgos se puede aplicar a un producto, proceso y proyecto, y parte o la totalidad de
la organización.
[Guía ISO 73: 2009, definición 2.1.3]
2.7 dueño riesgo: persona o entidad con la responsabilidad y la autoridad para gestionar el riesgo (2.1)
[Guía ISO 73: 2009, definición 3.5.1.5]
Página 7
3
2.8 proceso de gestión de riesgos :aplicación sistemática de políticas, procedimientos y prácticas a las actividades
de comunicación, consultoría, estableciendo el contexto, e identificar, analizar, evaluar, tratar, monitorear (2.28) y
riesgo la revisión (2.1) [Guía ISO 73: 2009, definición 3.1]
2.9 establecer el contexto :la definición de los parámetros externos e internos que deben tomarse en cuenta en la
gestión de riesgo, y el establecimiento de la Alcance y criterios de riesgo (2,22) para la política de gestión del
riesgo (2.4)
[Guía ISO 73: 2009, definición 3.3.1]
2.10 contexto externo: entorno externo en el que la organización busca lograr sus objetivos
NOTA
Contexto externo puede incluir:
el entorno cultural, social, político, jurídico, normativo, financiero, tecnológico, económico, natural y competitivo,
ya sea internacional, nacional, regional o local;
conductores y las tendencias claves que tienen impacto en los objetivos de la organización; y
relaciones con los y las percepciones y valores de los grupos de interés externos (2.13).
[Guía ISO 73: 2009, definición 3.3.1.1]
2.11 contexto interno: ambiente interno, en el que la organización busca lograr sus objetivos
NOTA
Contexto interno puede incluir:
las políticas, los objetivos y las estrategias que están en marcha para alcanzarlos;
las capacidades, entendidas en términos de recursos y conocimientos (por ejemplo, de capital, tiempo, personas,
procesos, sistemas y
tecnologías);
sistemas de información, los flujos de información y procesos de toma de decisiones (tanto formales como
informales);
relaciones con los y las percepciones y valores de los grupos de interés, internos;
la cultura de la organización;
2.12
comunicación y consulta: procesos continuos e iterativos que una organización lleva a cabo para proporcionar,
compartir u obtener información y para entablar un diálogo con las partes interesadas (2.13) con respecto a la
gestión del riesgo (2.1)
Página 8
4
NOTA 1
La información puede relacionarse con la existencia, la naturaleza, la forma, la probabilidad (2.19), la significación, la
evaluación,
aceptabilidad y el tratamiento de la gestión del riesgo.
NOTA 2
La consulta es un proceso de dos vías de comunicación informada entre una organización y sus grupos de interés
sobre un tema antes de tomar una decisión o determinación de una dirección en ese tema. La consulta es:
un proceso que los impactos sobre la decisión a través de la influencia en lugar de poder; y
2.13 las partes interesadas: persona u organización que puede afectar, ser afectado por, o que crean que están
afectadas por una decisión o actividad
NOTA
Un tomador de decisiones puede ser una de las partes interesadas.
[Guía ISO 73: 2009, definición 3.2.1.1]
2.14 Evaluación de riesgos: proceso general de identificación del riesgo (2,15), el análisis de riesgo (2,21) y
la evaluación del riesgo (2,24)
[Guía ISO 73: 2009, definición 3.4.1]
2.15 identificación de riesgos proceso de encontrar, reconocer y describir los riesgos (2.1)
NOTA 1
La identificación del riesgo implica la identificación de las fuentes de riesgo (2,16), eventos (2.17), sus causas y su
consecuencias potenciales (2.18).
NOTA 2
La identificación del riesgo puede afectar a datos históricos, análisis teórico, informados y opiniones de expertos, y
partes interesadas 's (2.13) necesita.
[Guía ISO 73: 2009, definición 3.5.1]
2.16 fuente de riesgo elemento que por sí sola o en combinación tiene el potencial intrínseco para dar lugar
a riesgo (2.1)
NOTA
Una fuente de riesgo puede ser tangible o intangible.
[Guía ISO 73: 2009, definición 3.5.1.2]
NOTA 1
Un evento puede ser una o más ocurrencias, y puede tener varias causas.
NOTA 2
Un evento puede consistir en algo que no sucede.
NOTA 3
Un evento puede ser a veces referido como un "incidente" o "accidente".
NOTA 4
Un evento sin consecuencias (2.18) también puede ser referido como un "casi", "incidente", "cerca de éxito" o "cierre
llamar ".
[Guía ISO 73: 2009, definición 3.5.1.3]
IS / ISO 31000: 2009
Page 9
5
2.18 consecuencia resultado de un evento (2.17) que afectan a los objetivos
NOTA 1
Un evento puede dar lugar a una serie de consecuencias.
NOTA 2
Una consecuencia puede ser cierta o incierta y puede tener efectos positivos o negativos sobre los objetivos.
NOTA 3
Las consecuencias pueden ser expresadas de forma cualitativa o cuantitativa.
NOTA 4
Consecuencias iniciales pueden escalar a través de efectos en cadena.
[Guía ISO 73: 2009, definición 3.6.1.3]
NOTA 1
En la terminología de la gestión de riesgos, la palabra "probabilidad" se utiliza para referirse a la posibilidad de que
algo suceda,
si definido, medido o determinado objetiva o subjetivamente, cualitativa o cuantitativamente, y se describe el uso de
términos generales o matemáticamente (como una probabilidad o una frecuencia en un período de tiempo
determinado).
NOTA 2
El Inglés término "probabilidad" no tiene un equivalente directo en algunos idiomas; en cambio, el equivalente de
el término "probabilidad" se utiliza a menudo. Sin embargo, en Inglés, "probabilidad" Está frecuentemente interpretado
como un término matemático.
Por lo tanto, en la terminología de la gestión de riesgos, "probabilidad" se utiliza con la intención de que debe tener el
mismo ancho
interpretación del término "probabilidad" tiene en muchos otros idiomas aparte del Inglés.
[Guía ISO 73: 2009, definición 3.6.1.1]
NOTA
El conjunto de riesgos puede contener los relativos a toda la organización, que forma parte de la organización, o
como
defina de otra manera.
[Guía ISO 73: 2009, definición 3.8.2.5]
2.21 análisis de riesgo proceso de comprender la naturaleza del riesgo (2.1) y para determinar el nivel de
riesgo (2,23)
NOTA 1
El análisis de riesgos es la base para la evaluación del riesgo (2,24) y las decisiones sobre el tratamiento del
riesgo (2,25).
NOTA 2
El análisis de riesgo incluye la estimación del riesgo.
[Guía ISO 73: 2009, definición 3.6.1]
2.22 criterios de riesgo términos de referencia contra el cual se evalúa la importancia de un riesgo (2.1)
NOTA 1
Los criterios de riesgo se basan en los objetivos organizacionales y externa (2.10) y el contexto interno (2.11).
NOTA 2
Los criterios de riesgo se pueden derivar de las normas, leyes, políticas y otros requisitos.
[Guía ISO 73: 2009, definición 3.3.1.3]
IS / ISO 31000: 2009
Página 10
6
2.23 nivel de riesgo magnitud de un riesgo (2,1) o combinación de riesgos, expresada en términos de la
combinación de consecuencias
(2.18) y la probabilidad (2,19)
[Guía ISO 73: 2009, definición 3.6.1.8]
2.24 Evaluación del riesgo proceso de comparación de los resultados del análisis de riesgos (2.21) con los
criterios de riesgo (2.22) para determinar si el riesgo
(2.1) y / o su magnitud es aceptable o tolerable
NOTA
Evaluación de riesgos ayuda a la decisión sobre el tratamiento del riesgo (2,25).
[Guía ISO 73: 2009, definición 3.7.1]
NOTA 1
Tratamiento de riesgos puede implicar:
evitando el riesgo al decidir no iniciar o continuar con la actividad que da lugar al riesgo;
compartiendo el riesgo con otra parte o partes (incluyendo los contratos y financiación de riesgos); y
NOTA 2
Tratamientos de riesgo que tienen que ver con las consecuencias negativas se refieren a veces como "la mitigación
del riesgo", "riesgo
eliminación "," prevención de riesgos "y" reducción del riesgo ".
NOTA 3
El tratamiento del riesgo puede crear nuevos riesgos o modificar los riesgos existentes.
[Guía ISO 73: 2009, definición 3.8.1]
2.26 el control medir ese riesgo está modificando (2.1)
NOTA 1
Los controles incluyen cualquier proceso, la política, dispositivo, prácticas, u otras acciones que modifican el riesgo.
NOTA 2
Los controles no siempre pueden ejercer el efecto de modificar la intención o asumido.
[Guía ISO 73: 2009, definición 3.8.1.1]
2.27 riesgo residual riesgo (2.1) que queda después del tratamiento del riesgo (2,25)
NOTA 1
El riesgo residual puede contener el riesgo no identificado.
NOTA 2
Riesgo residual también puede ser conocido como "riesgo retenido".
[Guía ISO 73: 2009, definición 3.8.1.6]
IS / ISO 31000: 2009
Página 11
7
2.28 Monitoreo comprobación continua, supervisar, observar críticamente o determinar el estado con el fin de
identificar el cambio de el nivel de rendimiento requerido o esperado
NOTA
El monitoreo puede ser aplicado a un marco de gestión del riesgo (2.3), el proceso de gestión del riesgo (2.8), el
riesgo
(2.1) o el control (2,26).
[Guía ISO 73: 2009, definición 3.8.2.1]
2.29 opinión actividad emprendida para asegurar la conveniencia, adecuación y eficacia de la materia para lograr
objetivos establecidos
NOTA
Revisión se puede aplicar a un marco de gestión del riesgo (2.3), el proceso de gestión del riesgo (2.8), de
riesgo (2.1)
o de control (2,26).
[Guía ISO 73: 2009, definición 3.8.2.2]
3 Principios Para la gestión del riesgo sea eficaz, una organización debe a todos los niveles, con los principios
siguientes.
Página 12
8
g) La gestión de riesgos se adapta.
La gestión del riesgo está alineado con el perfil contexto y riesgo externo e interno de la organización.
Anexo A proporciona más asesoramiento para las organizaciones que desean gestionar el riesgo de manera más
eficaz.
4 Marco
4.1 Generalidades
El éxito de la gestión del riesgo dependerá de la eficacia del marco de gestión que proporciona
las bases y arreglos que incrustarla en toda la organización a todos los niveles. El marco
ayuda en la gestión de riesgos efectiva a través de la aplicación del proceso de gestión del riesgo (véase la cláusula
5) en diferentes niveles y dentro de contextos específicos de la organización. El marco se asegura de que la
información acerca riesgo derivado del proceso de gestión de riesgos se informa y se utiliza como base para la toma
adecuada decisiones y la rendición de cuentas en todos los niveles organizativos pertinentes.
Esta cláusula se describen los componentes necesarios del marco de gestión del riesgo y la forma en que
se interrelacionan de manera iterativa, como se muestra en la Figura 2.
IS / ISO 31000: 2009
Página 13
9
Mandato y compromiso (4.2)
Figura 2 - Relación entre los componentes del marco de gestión del riesgo
Este marco no pretende prescribir un sistema de gestión, sino más bien para ayudar a la organización a
integrar la gestión de riesgos en su sistema general de gestión. Por lo tanto, las organizaciones deben adaptarse al
componentes del marco de sus necesidades específicas.
Si las prácticas de gestión existentes en la organización y los procesos son componentes de la gestión de riesgos o
si la organización ha adoptado ya un proceso formal de gestión de riesgo de determinados tipos de riesgo o
situaciones, entonces éstos deben ser revisados y evaluados críticamente en contra de esta norma internacional,
incluyendo los atributos contenidos en el Anexo A, a fin de determinar su idoneidad y eficacia.
determinar los indicadores de desempeño de gestión de riesgos que se alinean con los indicadores de desempeño de
la
organización;
alinear los objetivos de gestión de riesgos con los objetivos y estrategias de la organización;
Página 14
10
asignar responsabilidades y las responsabilidades en los niveles apropiados dentro de la organización;
asegúrese de que el marco para la gestión del riesgo sigue siendo apropiada.
las políticas, los objetivos y las estrategias que están en marcha para alcanzarlos;
capacidades, entendidas en términos de recursos y conocimientos (por ejemplo, de capital, tiempo, personas,
procesos, sistemas y tecnologías);
sistemas de información, los flujos de información y procesos de toma de decisiones (tanto formales como
informales);
relaciones con los y las percepciones y valores de los grupos de interés, internos;
la cultura de la organización;
vínculos entre los objetivos y las políticas de la organización y la política de gestión de riesgos;
compromiso de hacer los recursos necesarios para ayudar a los responsables y responsables de
la gestión del riesgo;
identificación de propietarios de los riesgos que tienen la responsabilidad y la autoridad para administrar los riesgos;
identificación de otras responsabilidades de las personas en todos los niveles de la organización para la gestión de
riesgos proceso;
Debe haber un plan de gestión de riesgos en toda la organización para asegurar que la política de gestión de riesgos
es implementado y que la gestión de riesgos está integrada en todas las prácticas y procesos de la organización. El
plan de gestión de riesgos se puede integrar en otros planes de organización, como un plan estratégico.
4.3.5 Recursos
La organización debe asignar los recursos adecuados para la gestión de riesgos. Se debe considerar a lo siguiente:
procesos, métodos y herramientas de la organización que se utilizarán para la gestión del riesgo;
componentes clave del marco de gestión de riesgos, y sus modificaciones posteriores, son
comunicada apropiadamente;
Estos mecanismos deberán, en su caso, incluir procesos para consolidar la información de riesgos a partir de una
variedad de fuentes, y puede ser necesario tener en cuenta la sensibilidad de la información.
informes externos para cumplir con los requisitos legales, reglamentarios y de gobernanza;
asegúrese de que la toma de decisiones, incluyendo el desarrollo y establecimiento de objetivos, está alineado con el
resultados de los procesos de gestión de riesgos;
comunicarse y consultar con las partes interesadas para garantizar que su marco de gestión del riesgo sigue siendo
apropiada.
IS / ISO 31000: 2009
Página 17
13
4.4.2 Implementación del proceso de gestión de riesgos
La gestión del riesgo debe aplicarse al asegurar que el proceso de gestión de riesgos se indica en la cláusula 5
se aplica a través de un plan de gestión de riesgos en todos los niveles y funciones pertinentes de la organización
como parte de su
prácticas y procesos.
desempeño de la gestión del riesgo medida contra los indicadores, que se revisan periódicamente para
adecuación;
revisar periódicamente si el marco de gestión de riesgos, la política y el plan siguen siendo adecuados, teniendo en
cuenta
contexto externo e interno de las organizaciones;
informar sobre los riesgos, el progreso con el plan de gestión de riesgos y lo bien que está siendo la política de
gestión de riesgos
seguido; y
5 Proceso
5.1 Generalidades
El proceso de gestión de riesgos debe ser
Página 18
14
La evaluación del riesgo (5.4)
Comunicación y consulta (5.2)
Monitoreo y revisión (5.6)
Establecimiento del contexto (5.3)
El análisis de riesgos (5.4.3)
Evaluación del riesgo (5.4.4)
El tratamiento del riesgo (5.5)
La identificación del riesgo (5.4.2)
asegurar que los puntos de vista diferentes se consideran adecuadamente al definir criterios de riesgo y en la
evaluación de riesgos;
Página 19
15
La comunicación y consulta con las partes interesadas es importante, ya que hacen juicios sobre el riesgo basado en
sus percepciones de riesgo. Estas percepciones pueden variar debido a las diferencias en los valores, necesidades,
suposiciones, conceptos y preocupaciones de las partes interesadas. Como sus puntos de vista pueden tener un
impacto significativo en las decisiones que se toman, percepciones de las partes interesadas deben ser identificados,
registrados y tomados en cuenta en la toma de decisiones proceso.
Comunicación y consulta deben facilitar los intercambios veraces, pertinentes, precisos y comprensibles de la
información, teniendo en cuenta los aspectos confidenciales y personales de integridad.
5.3.1 Generalidades
Al establecer el contexto, la organización articula sus objetivos, define el exterior e interior
parámetros que deben tenerse en cuenta en la gestión de riesgos, y establece los criterios de aplicación y de riesgo
para la proceso restante. Mientras que muchos de estos parámetros son similares a los que se consideran en el
diseño del riesgo marco de gestión (véase 4.3.1), al establecer el marco para el proceso de gestión de riesgos, que
Es necesario considerar con mayor detalle y sobre todo cómo se relacionan con el alcance de los riesgos particulares
proceso de gestión.
5.3.2 Establecimiento del contexto externo
El contexto externo es el entorno externo en el que la organización trata de alcanzar sus objetivos.
Entender el contexto externo es importante para asegurar que los objetivos y preocupaciones de exterior
los interesados se consideran en el desarrollo de criterios de riesgo. Se basa en el contexto de toda la organización,
pero con detalles específicos de los requisitos legales y reglamentarios, las percepciones de las partes interesadas y
otros aspectos de los riesgos
específica para el ámbito del proceso de gestión de riesgos.
El contexto externo puede incluir, pero no se limita a:
conductores y las tendencias claves que tienen impacto en los objetivos de la organización; y
Página 20
16
Es necesario entender el contexto interno. Esto puede incluir, pero no se limita a:
las políticas, los objetivos y las estrategias que están en marcha para alcanzarlos;
capacidades, entendidas en términos de recursos y conocimientos (por ejemplo, de capital, tiempo, personas,
procesos,
sistemas y tecnologías);
las relaciones con los y las percepciones y valores de los grupos de interés internos;
la cultura de la organización;
sistemas de información, los flujos de información y procesos de toma de decisiones (tanto formales como
informales);
la definición del alcance, así como la profundidad y amplitud de las actividades de gestión de riesgos que se lleva a
cabo,
incluyendo inclusiones y exclusiones específicas;
la definición de la actividad, proceso, función, proyecto, producto, servicio o activo en términos de tiempo y lugar;
la definición de las relaciones entre un determinado proyecto, proceso o actividad y otros proyectos, procesos o
actividades de la organización;
la identificación, la determinación del alcance o al encuadrar los estudios necesarios, su alcance y objetivos, y los
recursos necesarios para
tales estudios.
La atención a estos y otros factores pertinentes debe ayudar a asegurar que el enfoque de gestión de riesgos
adoptado
es apropiada a las circunstancias, a la organización ya los riesgos que afectan a la consecución de su
objetivos.
IS / ISO 31000: 2009
Página 21
17
5.3.5 Definición de los criterios de riesgo
La organización debe definir los criterios que se utilizarán para evaluar la importancia del riesgo. Los criterios
deberían
reflejar la organización de los valores, objetivos y recursos. Algunos criterios pueden ser impuestas por, o derivadas
de,
requisitos legales y reglamentarios y otros requisitos que la organización suscriba. Los criterios de riesgo
deben ser coherentes con la política de gestión de riesgos de la organización (ver 4.3.2), se definirá al inicio
de cualquier proceso de gestión de riesgos y se revisarán continuamente.
En la definición de los criterios de riesgo, factores a considerar deben incluir lo siguiente:
la naturaleza y los tipos de causas y consecuencias que pueden ocurrir y cómo van a ser medido;
si las combinaciones de múltiples riesgos deben tenerse en cuenta y, en caso afirmativo, cómo y qué
combinaciones deben ser consideradas.
5.4 evaluación de riesgos
5.4.1 Generalidades
La evaluación de riesgos es el proceso general de identificación de riesgos, análisis de riesgos y evaluación de
riesgos.
NOTA
ISO / IEC 31010 proporciona orientación sobre las técnicas de evaluación de riesgos.
5.4.2 Identificación de Riesgos
La organización debe identificar las fuentes de riesgo, zonas de impactos, eventos (incluyendo los cambios en
circunstancias) y sus causas y sus posibles consecuencias. El objetivo de este paso es generar una
lista completa de los riesgos sobre la base de aquellos eventos que puedan crear, mejorar, prevenir, degradar,
acelerar o
retrasar el logro de los objetivos. Es importante identificar los riesgos asociados a no llevar a cabo una
oportunidad. Identificación completa es crítica, porque el riesgo de que no se identifica en esta etapa no será
incluido en el análisis adicional.
Identificación de riesgos debe incluir o no su fuente está bajo el control de la organización, incluso
aunque la fuente del riesgo o la causa puede no ser evidente. La identificación del riesgo debe incluir el examen de la
efectos en cadena de consecuencias particulares, incluidas en cascada y los efectos acumulativos. También debe
considerar una amplia gama de consecuencias, incluso si la fuente de riesgo o causa pueden no ser evidentes. Así
como
la identificación de lo que podría suceder, es necesario tener en cuenta las posibles causas y escenarios que
muestran lo que
pueden producirse consecuencias. Todas las causas y consecuencias importantes deben ser considerados.
La organización debe aplicar herramientas de identificación de riesgo y técnicas que se adaptan a sus objetivos y
capacidades, y los riesgos que corren. La información relevante y actualizada es importante en la identificación de
riesgos. Este
debe incluir información básica adecuada cuando sea posible. Las personas con los conocimientos apropiados
deberían
participar en la identificación de riesgos.
IS / ISO 31000: 2009
Página 22
18
5.4.3 Análisis de Riesgo
El análisis de riesgos implica el desarrollo de una comprensión de los riesgos. El análisis de riesgos proporciona una
entrada al riesgo
evaluación y las decisiones sobre si los riesgos deben ser tratados, y en el tratamiento de los riesgos más adecuada
estrategias y métodos. El análisis de riesgos también puede proporcionar un insumo para la toma de decisiones
donde las opciones deben ser
hechos y las opciones implican diferentes tipos y niveles de riesgo.
El análisis de riesgos implica la consideración de las causas y las fuentes de riesgo, sus extremos positivo y negativo
consecuencias y la probabilidad de que puedan producirse esas consecuencias. Los factores que afectan a las
consecuencias y
probabilidad debe ser identificado. El riesgo se analizó mediante la determinación de las consecuencias y la
probabilidad, y otra
atributos del riesgo. Un evento puede tener múltiples consecuencias y puede afectar a múltiples objetivos. Existentes
controles y su eficacia y eficiencia también deben tenerse en cuenta.
La forma en que se expresan las consecuencias y probabilidad y la forma en que se combinan para
determinar un nivel de riesgo debe reflejar el tipo de riesgo, la información disponible y el propósito para el cual la
salida de la evaluación del riesgo se va a utilizar. Todos ellos deben ser coherentes con los criterios de
riesgo. También es importante
considerar la interdependencia de los diferentes riesgos y sus fuentes.
La confianza en la determinación del nivel de riesgo y su sensibilidad a condiciones previas e hipótesis debe
tener en cuenta en el análisis, y comunicar eficazmente a los tomadores de decisiones y, en su caso, otra
grupos de interés. Factores tales como la divergencia de opiniones entre los expertos, la incertidumbre, la
disponibilidad, la calidad, la cantidad
y continuidad de la relevancia de la información, o las limitaciones sobre la modelización debe ser señalado y se
pueden destacar.
El análisis de riesgos puede llevarse a cabo con mayor o menor detalle, en función del riesgo, el propósito de la
el análisis y la información, los datos y los recursos disponibles. El análisis puede ser cualitativo, semi-cuantitativo o
cuantitativa, o una combinación de éstos, dependiendo de las circunstancias.
Consecuencias y su probabilidad se pueden determinar mediante el modelado de los resultados de un evento o
conjunto de eventos,
o por extrapolación a partir de estudios experimentales o de los datos disponibles. Las consecuencias pueden ser
expresados en
términos de impactos tangibles e intangibles. En algunos casos, el descriptor de más de un valor numérico o es
necesaria para especificar las consecuencias y la probabilidad de veces diferentes, lugares, grupos o situaciones.
Evaluación 5.4.4 Riesgo
El objetivo de la evaluación de riesgos es ayudar en la toma de decisiones, con base en los resultados de análisis de
riesgos, sobre
qué riesgos necesitan tratamiento y la prioridad para la aplicación del tratamiento.
La evaluación del riesgo consiste en comparar el nivel de riesgo detectado durante el proceso de análisis con criterios
de riesgo
establecido cuando se consideró el contexto. Sobre la base de esta comparación, la necesidad de tratamiento puede
ser
considerado.
Las decisiones deben tener en cuenta el contexto más amplio del riesgo e incluir la consideración de la tolerancia de
la
riesgos asumidos por partes distintas de la organización que se beneficia de la situación de riesgo. Las decisiones
deben tomarse en
acuerdo con los requisitos legales, reglamentarios y de otro tipo.
En algunas circunstancias, la evaluación del riesgo puede dar lugar a la decisión de realizar un análisis más
detallado. El riesgo
evaluación también puede conducir a la decisión de no tratar el riesgo de ninguna manera que no sea el
mantenimiento de los controles existentes.
Esta decisión se verá influenciada por la actitud de riesgo de la organización y los criterios de riesgo que han sido
establecida.
Tratamiento 5.5 Riesgo
5.5.1 Generalidades
Tratamiento del riesgo consiste en seleccionar una o más opciones para modificar los riesgos, y la aplicación de esas
opciones.
Una vez implementado, tratamientos proporcionan o modificar los controles.
IS / ISO 31000: 2009
Página 23
19
Tratamiento del riesgo implica un proceso cíclico de:
Página 24
20
5.5.3 Preparación y ejecución de los planes de tratamiento de riesgo
El objetivo de los planes de tratamiento del riesgo es documentar cómo se implementarán las opciones de tratamiento
elegido.
La información proporcionada en los planes de tratamiento debe incluir:
las razones para la selección de las opciones de tratamiento, incluyendo los beneficios que se espera obtener;
los que son responsables de la aprobación del plan y los responsables de la ejecución del plan;
acciones propuestas;
calendario y horario.
Los planes de tratamiento deben integrarse con los procesos de gestión de la organización y discutidos con
las partes interesadas pertinentes.
Los tomadores de decisiones y otras partes interesadas deben ser conscientes de la naturaleza y alcance del riesgo
residual después
tratamiento del riesgo. El riesgo residual debe ser documentado y sometido a vigilancia, el examen y, en su
apropiado, el tratamiento adicional.
5.6 Seguimiento y revisión
Tanto el seguimiento y la revisión debe ser una parte planificada del proceso de gestión de riesgos y la participación
regular de
comprobación o vigilancia. Puede ser periódica o ad hoc .
Las responsabilidades para el seguimiento y la revisión deben estar claramente definidas.
Procesos de monitoreo y revisión de la organización deben abarcar todos los aspectos de la gestión de riesgos
proceso a los efectos de:
asegurar que los controles son eficaces y eficientes tanto en el diseño y funcionamiento;
análisis y lecciones de eventos de aprendizaje (incluyendo cuasi accidentes), los cambios, las tendencias, éxitos y
fracasos;
detección de cambios en el contexto externo e interno, incluyendo cambios en los criterios de riesgo y el propio riesgo
que puede requerir una revisión de los tratamientos de riesgo y prioridades; y
Página 25
21
5.7 Registro del proceso de gestión de riesgos
Actividades de gestión de riesgos deberían ser trazables. En el proceso de gestión de riesgos, los registros
proporcionan la
base para la mejora en los métodos y herramientas, así como en el proceso global.
Las decisiones relativas a la creación de registros debe tener en cuenta:
sensibilidad de la información.
IS / ISO 31000: 2009
Página 26
22
Anexo A
(Informativo)
Atributos de mejora de la gestión de riesgos
A.1 general
Todas las organizaciones deben tener como objetivo el nivel adecuado de rendimiento de su marco de gestión del
riesgo en
consonancia con el carácter crítico de las decisiones que han de hacerse. La lista de atributos a continuación
representa un alto nivel
de desempeño en la gestión de riesgos. Para ayudar a las organizaciones a medir su propio desempeño contra estos
criterios, algunos indicadores tangibles se dan para cada atributo.
Los resultados clave A.2
A.2.1
La organización tiene una comprensión actual, correcta y completa de sus riesgos.
A.2.2
Riesgos de la organización son dentro de sus criterios de riesgo.
Atributos A.3
A.3.1 Mejora continua
Se hace hincapié en la mejora continua en la gestión de riesgos mediante el establecimiento de la organización
metas de desempeño, medición, revisión y la posterior modificación de procesos, sistemas, recursos,
capacidad y habilidades.
Esto puede ser indicado por la existencia de objetivos explícitos de desempeño contra el cual de la organización y
se mide el desempeño del gerente individual. El desempeño de la organización se puede publicar y
comunicado. Normalmente, habrá por lo menos una revisión anual de desempeño y luego una revisión de
procesos y el establecimiento de objetivos de rendimiento revisados para el período siguiente.
Esta evaluación del desempeño de la gestión de riesgos es una parte integral del desempeño de la organización en
general
sistema de evaluación y medición de los departamentos y los individuos.
A.3.2 responsabilidad completa de los riesgos
Gestión de riesgos mejorada incluye amplia, totalmente definido y la rendición de cuentas plenamente aceptado por
los riesgos,
controles y tareas de tratamiento del riesgo. Designados los individuos aceptan plenamente la responsabilidad, son
las habilidades acordes
y disponer de recursos adecuados para comprobar los controles, monitorear los riesgos, mejorar los controles y
comunicarse efectivamente
acerca de los riesgos y su gestión a grupos de interés externos e internos.
Esto puede ser indicado por todos los miembros de una organización son plenamente conscientes de los riesgos, los
controles y las tareas para
los que son responsables. Normalmente, esto se registrará en trabajo / descripciones de puestos, bases de datos o
los sistemas de información. La definición de gestión de riesgos roles, responsabilidades y responsabilidades debe
ser
parte de todo un programa de orientación de la organización.
La organización asegura que aquellos que son responsables están equipadas para cumplir ese papel,
proporcionándoles
con la autoridad, tiempo, formación, recursos y habilidades suficientes para asumir sus responsabilidades.
IS / ISO 31000: 2009
Página 27
23
Aplicación A.3.3 de la gestión de riesgos en toda la toma de decisiones
Toda toma de decisiones dentro de la organización, sea cual sea el nivel de importancia y trascendencia, implica la
consideración explícita de los riesgos y la aplicación de la gestión de riesgos en cierta medida adecuada.
Esto puede ser indicada por los registros de las reuniones y decisiones para mostrar que las discusiones explícitas
sobre los riesgos tomaron
lugar. Además, debería ser posible para ver que todos los componentes de la gestión de riesgos se representan
dentro de
procesos clave para la toma de decisiones en la organización, por ejemplo para las decisiones sobre la asignación de
capital, en gran
proyectos y en la re-estructuración y cambios organizativos. Por estas razones, el riesgo con base sólida
gestión se ve dentro de la organización como proporcionar la base para la gobernabilidad efectiva.
A.3.4 comunicaciones continuas
Gestión de riesgos mejorada incluye comunicaciones continuas con las partes interesadas externas e internas,
incluyendo información completa y frecuente del desempeño de la gestión de riesgos, como parte de una buena
gobernabilidad.
Esto puede ser indicado por la comunicación con las partes interesadas como un componente integral y esencial de
riesgo
gestión. La comunicación es visto con razón como un proceso de dos vías, tales decisiones que debidamente
informados pueden
ser hechas sobre el nivel de los riesgos y la necesidad de tratamiento de riesgos contra establecida correctamente y
criterios de riesgo integrales.
Presentación de informes externos e internos Integral y frecuente en ambos riesgos significativos y en la gestión de
riesgos
rendimiento contribuye sustancialmente a una gobernanza eficaz dentro de una organización.
A.3.5 La plena integración en la estructura de gobierno de la organización
La gestión del riesgo es visto como fundamental para los procesos de gestión de la organización, de manera que los
riesgos son
considerado en términos de efecto de la incertidumbre en los objetivos. La estructura de gobierno y el proceso se
basan en
la gestión del riesgo. La gestión eficaz del riesgo es considerado por los administradores como esenciales para el
logro
de los objetivos de la organización.
Esto se indica mediante el lenguaje de los directivos e importantes materiales escritos en la organización utilizando el
término
"Incertidumbre" en relación con los riesgos. Este atributo también se refleja normalmente en las declaraciones de la
organización
de la política, en particular las relativas a la gestión de riesgos. Normalmente, este atributo se verifica a través de
entrevistas con los gerentes y a través de la evidencia de sus acciones y declaraciones.
IS / ISO 31000: 2009
Página 28
24
Bibliografía
[1]
Guía ISO 73: 2009, Gestión del riesgo - Vocabulario
[2]
, ISO / IEC 31010 de gestión de riesgos - las técnicas de evaluación de riesgos
IS / ISO 31000: 2009
Página 29
Oficina de Normas de la India
BIS es una institución de derecho público establecido en virtud de la Oficina de Ley de Normas de la India de 1986
para promover la
desarrollo armonioso de las actividades de normalización, marcado y certificación de la calidad de los bienes
y atendiendo a disposiciones afines en el país.
Derecho de Autor
BIS tiene los derechos de autor de todas sus publicaciones. Ninguna parte de esta publicación puede ser reproducida
en cualquier forma
sin el permiso previo por escrito de BPI. Esto no excluye el uso gratuito, en curso de aplicación
Menting la norma, de los detalles necesarios, como los símbolos y tamaños, tipo o designaciones de calidad.
Las consultas relativas a los derechos de autor pueden dirigirse al Director (Publicaciones), BIS.
Revisión de Normas de la India
Las enmiendas se emiten las normas cuando sea necesario sobre la base de los comentarios. Las normas son
también
revisarse periódicamente; un estándar junto con las enmiendas se reafirma cuando tal revisión indica que
no se necesitan cambios; Si la revisión indica que los cambios son necesarios, que se recoge para su
revisión. Usuarios
de Normas de la India debe cerciorarse de que están en posesión de las últimas enmiendas o edición por
refiriéndose a la última edición de 'BIS Catálogo "y" Normas: Las adiciones mensuales'.
Esta Norma de la India ha sido desarrollado a partir de Documento .: MSD 4 (401).
Modificaciones emitidas desde la publicación
______________________________________________________________________________________
Enmienda No.
Fecha de emisión
Texto Afectados
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
Oficina de Normas de INDIOS
Sede:
Manak Bhavan, 9 Bahadur Shah Zafar Marg, Nueva Delhi 110002
Teléfonos : 2323 0131, 2323 3375, 2323 9402
Sitio web : www.bis.org.in
Oficinas Regionales
Teléfonos
Centroamérica: Manak Bhavan, 9 Bahadur Shah Zafar Marg
2323 7617
NUEVA DELHI 110002
2323 3841
Este: 01.14, CIT Esquema VII M, VIP Road, Kankurgachi
2337 8499, 2337 8561
CALCUTA 700054
2337 8626, 2337 9120
Norte: SCO 335-336, Sector 34-A, de Chandigarh 160022
260 3843
260 9285
Sur: Campus CIT, IV Cross Road, Chennai 600113
2254 1216, 2254 1442
2254 2519, 2254 2315
Occidental: Manakalaya, E9 MIDC, Marol, Andheri (Este)
2832 9295, 2832 7858
BOMBAY 400093
2832 7891, 2832 7892
Sucursales: Ahmedabad. BANGALORE. Bhopal. BHUBANESHWAR. COIMBATORE. DEHRADUN.
Faridabad. Ghaziabad. Guwahati. HYDERABAD. JAIPUR. KANPUR. Lucknow.
Nagpur. Parwanoo. Patna. PUNE. Rajkot. Thiruvanathapuram. VISAKHAPATNAM.
Publicado por