P. 1
7.1 ISO-31000 full español

7.1 ISO-31000 full español

|Views: 24.638|Likes:
Publicado poraldo3ab

More info:

Published by: aldo3ab on Jan 22, 2012
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

10/16/2015

pdf

text

original

ISO/FDIS 31000:2009(E

)
FINAL PROYECTO NORMA INTERNACIONAL

ISO/FDIS 31000

ISO / TMB TC Secretaría: CSAC La votación comienza el: 25/05/2009 Votar termina en: 07/25/2009

LA GESTIÓN DE RIESGOS PRINCIPIOS Y DIRECTRICES
Management du risque directrices Principes et lignes

IS /

IS

E

ontenido de la página
P l g I t du i i 1 Á bit d pli é i s y d fi i i s 3 P i ipi s 4 4,1 G l d t y p is 4. 4.3 Dis ñ d p l g sti d l i sg g i i y su t xt 4.3.1 D s ip i d l 4.3. El st bl i i t d l g sti d p líti s d i sg 4.3.3 sp s bilid d 4.3.4 i t g i l sp s sd g i i us s 4.3. 4.3.6 El st bl i i t d l u i i i t y is i f i u i i xt yp s t i d i f 4.3. El st bl i i t d l 4,4 Apli i d l g sti d l i sg . i d l p l g sti d l i sg 4.4.1 Apli 4.4. I pl t i d lP s d G sti d i sg s isi d l . 4. S gui i t y éli ti ti u 4.6 .P s ,1 G l . u i i y sult .3 Est bl l t xt .3.1 G l .3. Est bl l t xt xt .3.3 Est bl l t xt i t .3.4 Est bl l t xt d l P s d G sti d i sg s .3. D fi i i d it i s d i sg .4 E lu i d l i sg .4.1 G l .4. Id tifi i d i sg s .4.3 A álisis d i sg s .4.4 E lu i d l i sg . t i t d i sg s . .1 G l . . S l i d p i s d t t i t d l i sg . .3 El b i y j u i d l s pl s d t t i t d i sg s .6 S gui i t y isi . El gist d l p s d g sti d i sg s ti ) s t ibut s d l j g sti d l i sg A x A (I f Bibli g fí

d s

IS / P E
IS

IS I
i i g is s p p i t t és d u t d st p s t l s l b . i I t i i . i l g

E

(l u di l d IS ). l i t s d h y gub p ti ip El t té l t té s st bl t P y t é i qui t s fu

i l d li i ) s u f d i i l sd li i ( g is s i b s d d l t b j d s I t i l s s li IS ité é i . d i b d l g is s u ité té i qu h y sid . H st bl id l t d s s ité. g i i si t i l s, gub t l s, di i IS , t bié l b st h t l IS isi l (IE ) t d s l s u sti s d li i s d t IS / IE , p t d . f id d l s gl s

I t

I t id s

l s

p i ip l d l ité é i d s I t i l s AD s dist ibuy l s u p sp l p b i d l i t l gid p l s i b s d l u

s p p s i t i l s. P ADA p l i b d l ité l t i . Añ d publi i h i l "p l s l %d l s p .

S p st dibuj d s s ifi p t d l p sibilid d d qu l s l t sd st d u t "pu d s bj t d p t t l s d h s. IS di s á l sp s bl d id tifi " u lqui t d sl sd h s di h p t t . IS 31 fu b j é i p p d p l s j d s b G sti d i sg s. Ad i ist i IS G up d

l s p s sd i f i . p y t s y ti id d s. li l y. d s l s ti id d s d u g i i i pli u i sg . Au qu l p á ti d l g sti d i sg s h sid d s ll d l ti p y d t d u h ss t s l fi d s tisf l s di s s sid d s. p líti s. sí u t fu i s sp ífi s. l s y ultu . g sti . Si bi t d s l s g i i s g sti l i sg i t did . P l t t . y uá d l sus bj ti s. u d s i pl t y ti d u d st i t i l. pl ifi i y st t gi . l d p i d p s s h t s d t d u gl b l pu d yud g ti qu l i sg s g sti fi i . . i pl t y j ti u t u uy bj ti s p i t g lp s d g sti d i sg s l g b gl b l d l g i i . u i i y sult l s p t s i t s d s y it y lu l i sg y l s t l s qu stá difi d l i sg l fi d g ti qu i gú t t i t d l s i sg s s qui ás. g i i s g sti l i sg di t l id tifi i d ll . d s t sp ífi u pli i d g sti d i sg s t sig l s sid d s i di idu l s. sus á s y i l s. st i t i l st bl u s i d p i ipi s qu d b s qu l g sti fi d l i sg . l s p p i s y it i s. l t Est bl l qu p sigu st s bj ti s. A l l g d st p s . u t ísti l st i t i l s l i lusi d " st bl l t xt " d u ti id d l i d st p s d g sti d i sg s g é i s. t sp t y íbl y d t d u lqui á bit y t xt . fi i i yd h t t d l g i i . u lqui t . gl t i s y l s s l i sg t d l . l t xt ptu á l s bj ti s d l g i i . g sti d i sg s pu d pli s t d u g i i .t d l u l yud á l y lu l tu l y pl jid d d sus i sg s. l s udi i s. i t l g l s bj ti s. l g sti d l i sg it u g i i . l qu s p du y l i sg p s d g sti s d s ib st I t i ls u st l igu 1. j l id tifi i d u pli l s xig i l s. sid d d id tifi y t t p tu id d s y i s l g l s y s.IS / I IS U I E s g i i s d t d s tip s y t ñ ss f t l sf t si t s y xt s y l s i flu i s qu l h i i t si. El g é i f qu d s it st I t i l st bl l s p i ipi s y di t i s p l g sti d u lqui f d i sg d sist áti . ti u i lu si l i sg d b s difi d p l t t i t d l i sg l fi d s tisf sus it i s d i sg . l i t l s p i ipi s d g sti d l i sg . Est I t i l s tisf h s p i d qu l s g i i s d s ll . El f t qu st ti l i tidu b d u g i i bj ti s s "d i sg ". Est I t i l d s ib st p s sist áti y l gi d t ll .p j pl : p u t l p b bilid d d f t l g sti p ti s i t s d l s g i i . sus g up s d i t és y l di sid d d it i s d i sg .

l s lud y d s gu id d. p y t i l g sti d) l s d s ll d s d s. E t l s s s. I t i l stá d sti d d i t s d s. y u h s g i i s y h d pt d u p s d g sti d i sg s f l p p ti ul s tip s d i sg i u st i s. st bl l f sp ífi d st s d u t s. l g b . l p di j g i i l. l fi i p i l y l fi i i . y sit p s gu su d l i sg d qu ju t lu l l i sg s u fi i d u d i ist sp g i fi i d t ífi . guí s. i t s qu "l g sti d l i sg " s fi l pli i d st quit tu p i sg s sp i l s.IS / j j j st bl j fi j j j i i i j j Est pli g IS E l i f i fi i . l s xp si s "g sti d i sg s" y "g sti d l i sg " s utili d s. l s pé did s. u b s fi bl p l t d d isi s y l pl ifi i . y l sist i d l g i i . b) l s sp s bl s d d l g i i ti id d. l fi d l si t s d syl fi . sig y utili u s sp l t t i t d l i sg . t d p t . E st i t i l. l s t l s. st u tu y p s )p l g sti d fi t l s i sg s. ) l s qu d i sg s. E té i s g l s. . i di i t s y dig s d p á ti s i sg s g sti l t xt s p á ti s tu l s d g sti y l s p s s d u h s g i i s luy p t s d i sg g sti . "l g sti d l i sg " s fi l quit tu (p i ipi s. l p i d pé did s y g sti d i id t s. t ll s: ll l p líti s tisf d g sti l s sid d s d u t d su ) l s sp s bl s d d s g i i . p qu . u g i i pu d d idi ll b u x íti d sus p á ti s y p s s xist t s l lu d st I t i l. sí l p t i d l di bi t .

2 . .Fi ura 1 . .Relació entre los rinci ios e estión e ries os. e tr ct ra a o ort na f So re la a e e lo mejore información i a la me i a Toma mano lo factore c lt rale enc enta i tran arente e incl ivo j in mica. Man ato com romi o . ¥ ¥ ¥ ¥ ¡ ¢ ¡ revi ión 5.5 Princi io Cl e la e tiónrie la o Marco ara la s ió ri s o (Cl usula 4) l Proceso e es ió el ries o (Cl usula 5) ¥  ¤ £ Im lementar rie o a mini tración . o   ¨ ¤ Tratamiento el rie    ¨ ¥ ¥ o 5. iterativo e re e ta al cam ioFacilita k contin a mejora mejora e laor anización oni le I entificación e rie 5. marco y un roceso a Crea valor na arte inte ral elo roce o e or anización c Una arte e la toma e eci ione e a or a e incerti m re re amente i e o e marco ara manejar el rie o . ¦ ¥ Eval ación el rie o 5.   e i tem tica. Se imiento revi ión el marco .2 ¥   ¨  ¨  ¥ ¥  o § ¨ © Com nicación Control  ¢ Contin o mejora e lo marco .2 ISO/FDIS 31000:2009(E) E ta lecer el conte to 5.5 £ Eval ación e rie 5.   ¨  © con lta 5. .   An li i e rie o 5.

p s s. p i s. s l u if id d d i sg g sti l s g i i s. p y t s. fu i s. p s s. l s pi ipi s y di ti s d á t S P I IPI S Y I E I ES ÁMBI Est g éi s b E I t i l g sti Est pi d t t . du t s. s pli d l l g d l id d u g d ti id d s. i i s ti s sp ífi s y p á ti s pl d s. sd l tifi i . s u i s I t Est u lqui qu s g ti s. Est I t i l s d sti l s fi . g up i di idu l s. sus t xt . st t gi s y p du t s. y t s usu i s d g i i ". pli s d p siti u lqui t tip d i sg . u it i d l p s . pl s d g sti d i sg s y s t d á qu s s sid d s d u g i i sp ífi . st i t A P i I t i l pu d s utili d p u lqui tid d públi . p p j I t l u i d t l s di ti ul s. st u tu . P p i u f qu i sg s sp ífi s y / s t s. P l I t i l s sp ífi d u lqui i dust i s t . l pu d tu l s pli i s . Au qu st i d i t El dis ñ y t u bj ti s p p y t s. y ls t fi i sí d isi i i sy i su did d. s i l p p i di t i s g é i s. fu i s. st I Est g i i . st I t i S p t d qu g sti d l i sg xist t s y l s ú f d s qu t t s b y sustituy l s s. s i i . t d s l s dif l té i g l" l pu d u s. l s utili á p i l s futu s.IS / IS ES I E P I E IES I l st bl d l i sg . p ti s. i luid s l s s.

l d l i sg ( . aunque sea parcial. ) [Guí IS 3: . el mandato y el compromiso para gestionar el riesgo (2.19) y consecuencias (2. Ge ti n de rie go A ti id d s di d s p l i sg ( . [Guía ISO 73:2009. NOTA 2 Los objetivos pueden presentarse bajo distintas formas (como servicios financieros. de la deficiencia de la información relacionada con la comprensión o el conocimiento de una caso.1 ie go Ef t d l i NOTA 1 Un efecto es una desviación de lo esperado . i pl t . l d fi i i . y las metas ambientales) y puede se aplican a niveles diferentes (como proyecto estratégico. d fi i i 3. o la probabilidad.IS / IS SY E E I I I u s b É MI Al s f ES t .1) [Guí IS 3: . en toda la organización. .3 ). ctit d de rie go E f qu d l g i i p lu d pt l j s d i sg ( . procesos y las actividades.20). t sd st d tidu b . recursos. NOTA 5 La incertidumbre es el Estado.4La política de ge ti n de rie go D l i d l s i t i s y di i l i d l g sti d l i sg ( .1. t l ( . definición 1. o un combinación de éstos. relaciones. NOTA 2 Los acuerdos incluyen planes de organización. .3 Marco de ge ti n de rie go ju t d p t s qu p p dis ñ .1). l s sigui l s bj ti t s té s i s y d fi i i s. ) t d l g i i isi l s b s s y g i i p y j ti ú d l g sti NOTA 1 Las bases incluyen la política. su consecuencia. NOTA 3 de riesgo a menudo se caracterizan por hacer referencia a los eventos potenciales (2.21) de ocurrencia.1) [Guí IS 3: .1. la definición 2.1] i t l u g i i sp t . ] . s . productos y procesos). d fi i i di igi y . salud y seguridad.1] .1] y ll g l s d u g i i b fi l t . los objetivos. [Guía ISO 73:2009.1.positivos y / o en contra..1] . responsabilidades. NOTA 4 El riesgo se expresa a menudo en términos de una combinación de las consecuencias de un evento (incluyendo los cambios encircunstancias) y la probab ilidad asociada (2. NOTA 3 El marco de gestión de riesgos está incrustado dentro de la organizac ión global estratégica y operativa políticas y prácticas.

[Guí IS 3: . l d l i sg NOTA 1: Los componentes de gestión caracterizada por incluir procedimientos.11E tablecer el contexto d fi i i d l s p á t s i t s y xt s qu d b t l h d g sti d l i sg .1) qu u j . t d pt [Guí IS 3: . ] .1] . y las relaciones con los y las percepciones y los valores de. regional o local. proceso y proyecto. d fi i i 3.1) [Guí IS 3: .1. Rie go propio P s tid d l sp s bilid d y l ( .1) A titud d d l sp ld [Guí IS 3: . económico. Factores clave y las tendencias que tienen un impacto sobre los objetivos de la organización. nacional. y una parte o la totalidad de la organización.1 E t ontexto externo xt qu s i y u t it i s d l g i i p t d l sus bj ti s NOTA: contexto externo pueden incluir: La cultural. natural y competitivo. 4) p l p líti d g sti d i sg ( .3. l d fi i i . st bl l t xt y l id tifi i . social.1. d fi i i 3. tecnológico.1.1] . d fi i i 3. . la secuencia y el calendario de actividades. prácticas.8Plan de ge ti n de rie go égi l d g sti d l i sg ( . las partes interesadas externas (2.3] ut id d p g sti l i sg .ya sea internacional.IS / IS E .4] .4] g i i stá p p d p . . . NOTA 2 El plan de gestión de riesgos se puede aplicar a un determinado producto.1. sult í . financiero.4) [Guí IS 3: .3) sp p t s y l s u s s qu s pli á g sti ( . p di i t s y p á ti s p Apli l s ti id d s d u i i .15). la asignación de responsabilidades.1) ifi d l l g sti f qu . álisis.1) [Guí IS 3: .6 petito por el rie go tid d y tip d i sg ( . La aver i n al rie go i sg ( . político. jurídico. l d fi i i 3. t t i t .1 Proceso de gestión de riesgos i sist áti d p líti s d g sti . d fi i i 3. reglamentario. . y st bl l á bit d pli i sg ( . lu i . s gui i t ( .3 ) y isi d i sg ( .

21).1. tiempo.16Eval aci n de rie go P s g l d id tifi i d i sg ( .18). d fi i i f u t . 3) y d . personas. directrices y modelos adoptados por la organización. [Guía ISO 73:2009.1) . ] g i i ll b p f . d fi i i 3.2. grupos de interés internos. la gravedad. estructura organizativa. las relaciones con los y las percepciones y los valores de. lu i d i sg s ( . Las políticas. NOTA 2 La consulta es un proceso bidireccional de la comunicación informada entre una organización y sus grupos de interés u otras personas sobre un tema antes de tomar una decisión o determinar una dirección sobre un tema en particular. los objetivos y las estrategias que existen para su realización. eventos (2.1 Identificaci n de rie go P s d t . . 6) 3: . d fi i i E 3. flujos de información y procesos de toma de decisiones (tanto formales como informales). . la evaluación.s d isi f t d p . Sistemas de información. ti id d p ib sí NOTA Un tomador de decisiones puede ser un actor. y Forma y el alcance de las relaciones contractuales.14Com nicaci n con lta P s s ti u s it ti s qu u p ti bt i f i y i t s d s ( . la definición 3.3.1] [Guí IS . Cultura de la organización.1) NOTA 1 La identificación del riesgo implica la identificación de las fuentes de riesgo (2. no la toma de decisiones conjuntas. t bl u diál g l s p t s l g sti d l i sg ( . y d s ibi l s i sg s ( .1. la aceptabilidad. procesos.19).1] g i i p t d l sus bj ti s .20). sus causas y sus posibles consecuencias (2. la forma.1. tratamiento u otros aspectos de la gestión del riesgo. la probabilidad (2. l d fi i i 3. la naturaleza.1] álisis d i sg ( .3.4.1 La parte intere ada u g i i qu pu d P s is s p d í s f t d sp [Guí IS 3: . capital.1 ). y Una entrada para la toma de decisiones.13 ontexto interno A bi t i t l qu l NOTA contexto interno puede incluir: Gobierno. sistemas ytecnologías).1] . las funciones y responsabilidades. 3. Las percepciones y los valores de grupos de interés internos. La consulta es: Un proceso que repercute en una decisión a través de la influencia en lugar de poder.1 ) y t s l i NOTA 1 La información que pueden relacionarse con la existencia. La capacidad.IS / [Guí IS IS 3: . entendida en términos de recursos y el conocimiento (por ejemplo. Las normas. [Guí IS 3: .

"incidente". NOTA 2 Un evento puede consistir en algo no está sucediendo. "riesgo" se utiliza con la intención de que deben tener la misma ampliainterpretación del término "probabilidad" tiene en muchos idiomas distintos Inglés. 3. medidos o determinarse de manera objetiva o subjetivamente.1) [Guí IS 3: . la palabra "riesgo" se utiliza para referirse a la posibilidad de que algo suceda. NOTA 2 El Inglés término "riesgo" no tiene un equivalente directo en algunas lenguas. [Guí IS 3: .1.18Fuente de rie go t qu p sí s l El d lug i sg ( . en la terminología de gestión de riesgos.3] . Con ecuencia Result d de u event ( . .IS / IS E NOTA 2 identificación de riesgos puede incluir los datos históricos. [Guí IS 3: . NOTA 4 Un evento sin consecuencias también pueden ser referido como un "Near Miss". y describió el usotérminos generales o matemáticamente (por ejemplo. en Inglés. . NOTA 3 Un evento puede ser a veces conocido como un "incidente" o "accidente". y las partes interesadas de (2. . . cualitativa o cuantitativamente. y opiniones de expertos. l d fi i i 3.tanto si están incluidos. 1Probabilidad P ob bilid d de que lgo suced NOTA 1 En la terminología de la gestión del riesgo. d fi i i bi d u NOTA Una fuente de riesgos puede ser tangible o intangible. [Guí IS 3: .6.15) necesidades. análisis teórico. d fi i i 3.1.1] bi i ti lp t i li tí s p . NOTA 3 Las consecuencias pueden ser cualitativa o cuantitativa. y puede tener varias causas.1 Evento Ap i i NOTA 1 Un evento puede ser una o más ocurrencias.1. ] l s bjetivos . una probabilidad o una frecuencia más de un período determinado).1 ) que fect n NOTA 1 Un evento puede dar lugar a una serie de consecuencias. "probabilidad" Está frecuentemente interpretado como un término matemático. definici n 3. "cayó cerca" o "los pelos". sino el equivalente deel término "probabilidad" se utiliza a menudo. NOTA 4 primeras consecuencias pueden escalar a través de efectos en cadena. Por lo tanto.1] ju t p ti ul d i u st i s . Sin embargo. NOTA 2 Una consecuencia puede ser cierto o incierto y puede tener efectos positivos o negativos sobre los objetivos.

la definici n 3. ). [Guí IS 3: . Nivel de rie go Magnitud de un riesgo ( . [Guía IS 3: .1] .1. definici n 3.1) NOTA 1 tratamiento de los riesgos puede implicar: evitar el riesgo al decidir no iniciar o continuar con la actividad que dio lugar al riesgo. 4Criterio de rie go Términos de referencia respecto al cual el significado de un riesgo ( .27). 3) con criterios de riesgo ( .26) y las decisiones sobre el tratamiento del riesgo (2.3. ) NOTA 1 El análisis de riesgos constituye la base para la evaluación de riesgo (2. o comodefinido de otra forma. ratamiento del rie go Proceso para modificar el riesgo ( . definici n 3. ] . expresada en términos de la combinaci n de las consecuencias ( .21).6.IS /FDIS [Guí IS 3: E . 1) [Guía IS 3: . 3: .6.1) y para determinar el nivel de riesgo ( . la eliminación de la fuente de riesgo (2.1] [Guía IS .12) y el marco interior de (2. y externos (2. definici n 3.1) se evalúa NOTA 1 Los criterios de riesgo se basan en objetivos de la organización.13). parte de la organización. . leyes.1). tomando o el incremento del riesgo con el fin de perseguir una oportunidad. [Guía IS 3: .8] .1] . NOTA 2 El análisis de riesgos incluye estimación del riesgo.1) NOTA El conjunto de los riesgos pueden incluir aquellas que se refieren a toda la organización.6. 4) para determinar si el riesgo ( .1.18). definici n 3.1. cambiar la probabilidad (2.1) y / o su magnitud es TA ayuda en la decisi n sobre aceptable o tolerable evaluaci n de riesgos el tratamiento del riesgo ( .3] . 6Evaluaci n de lo rie go Proceso de comparaci n de los resultados de análisis de riesgo ( . la definici n 3. . . políticas y otros requisitos. 3 Análi i de rie go Proceso de comprender l naturaleza del riesgo ( . NOTA 2 criterios de riesgo se pueden derivar de las normas.8. Perfil de rie go Descripci n de un conjunto de riesgos ( . ) y sus probabilidad ( .

[Guía IS 3: . definici n 3. NOTA 2 del riesgo residual también puede ser conocido como "riesgo que subsisten".3). 8Control Medida que puede modificar el riesgo ( .1) NOTA 1 Los controles incluyen cualquier proceso.1. ] . o supone modificar efecto. [Guía IS 3: . definici n 3. NOTA 1 riesgo residual puede contener el riesgo no identificados.1] ) .1) o control (2.3 Seguimiento Control continuo.6] . el riesgo ( .1] . definici n 3.8. el proceso de gesti n del riesgo ( . NOTA 2 tratamientos de riesgos que tienen que ver con consecuencias negativas se refieren a veces como "reducción del riesgo.28).3). adecuaci n y eficacia de la materia para lograrobjetivos establecidos TA examen se puede aplicar a un marco de gesti n de riesgo ( .20). y mantener el riesgo en la elección informada.1) o control ( .1.31Revi i n Actividad que se realice para determinar la conveniencia. el proceso de gestión del riesgo (2. la política.8.10). de prevención de riesgos "y" reducción del riesgo´. [Guía IS 3: . NOTA 3 el tratamiento de los riesgos puede crear nuevos riesgos o modificar los riesgos existentes. NOTA 2 Los controles no siempre pueden ejercer previsto.8." el riesgo "La eliminación".1] .1 ). definici n 3. observaci n o crítica para determinar el carácter con el fin de identificar el cambio d el nivel de rendimiento requerido o esperado NOTA: El seguimiento se puede aplicar a un marco de gestión de riesgo (2. [Guía IS 3: .1) restante después del tratamiento del riesgo ( .IS /FDIS E cambiando las consecuencias (2. Rie go re idual De riesgo ( .8. . [Guía IS 3: . la definici n 3. la supervisi n.8. dispositivo. práctica u otras acciones que modifican el riesgo. el riesgo(2. . 8). la distribución del riesgo a otra parte o las partes (incluidos los contratos y la financiación de riesgo).

comparables y fiables. priorizar acciones y distinguirentre los cursos alternativos de acci n. observaciones. una organizaci n en todos los niveles deben cumplir con los principios siguientes. a gesti n de riesgos ayuda a quienes toman las decisiones tomar decisiones. . a gestión de riesgos está alineada con el contexto externo e interno de la rganización y perfil de riesgo. oportuno y estructurado de gestión de riesgo contribuye a la eficiencia y resultados consistentes. Sin embargo. públicoaceptaci n. n enfoque sistemático. y debe tener en cuenta. separada de las principales actividades y procesos dela organizaci n.IS /FDIS PRINCIPI S E Para la gesti n de riesgos para ser eficaz. y cómo se puede dirigida. la eficiencia en las operaciones. la decisión los responsables deben informarse de. legales y el cumplimiento normativo. a gesti n del riesgo contribuye a la consecuci n de los objetivos demostrables y la mejora delrendimiento. incluida la planificaci n estratégica y el proyecto de todos y de gesti n del cambioprocesos. pronósticos y opiniones de expertos. a gesti n de riesgos tiene en cuenta explícitamente la incertidumbre. experiencia. a gesti n de riesgos forma parte de las responsabilidades de gesti n y como parte integrante de todos los procesos de organizaci n. a gesti n del riesgo no es una actividad aislada. los interesados comentarios. la naturaleza de esa incertidumbre. la salud y la seguridad humanas. e tructurada oportuna.la gobernanza y la reputaci n. c La ge ti n del rie go e parte de la toma de deci ione . a La ge ti n del rie go crea valor protege. por ejemplo. gesti n de proyectos. las limitaciones de los datos o de modelización o la posibilidad de divergencia entre los expertos. as entradas para el proceso de gestión de riesgos se basan en fuentes de información tales como datos históricos. b La ge ti n de rie go e una parte integral de todo lo proce o de organizaci n. e La ge ti n del rie go e i temática. d La ge ti n de rie go explícitamente en cuenta la incertidumbre. protecci n del medio ambiente. g) a gestión del riesgo es a medida. de seguridad. la calidad del producto. f La ge ti n del rie go e ba a en la mejor informaci n di ponible.

Como los acontecimientos externos e internos se producen. el contexto y el conocimiento cambian. a participación también permite las partes interesadas estén debidamente representados y que sus opiniones sean tomadas en cuenta para determinar el riesgo criterios. asegura que la gestión del riesgo sigue siendo pertinente y actualizada. a gestión del riesgo reconoce las capacidades.IS /FDIS E culturale en h La ge ti n de lo rie go e toma lo factore humano cuenta. as organizaciones deben desarrollar e implementar estrategias para mejorar su grado de madurez de gestión de riesgos junto con todos los demás aspectos de su organización. Por lo tanto. percepciones e intenciones de las personas internas y externas que pueden facilitar o dificultar el logro de los objetivos de la organización. los tomadores de decisiones en todos los niveles de la organización. Adecuada y oportuna participación de los interesados y. y desaparecen otros. surgen nuevos riesgos. j La gesti n del riesgo es dinámico. k La gesti n de riesgos facilita la mejora continua de la organizaci n. interactivo de respuesta al cambio. El Anexo A establece un mayor asesoramiento para las organizaciones que deseen gestionar el riesgo con mayor eficacia. la gestión de riesgos continuamente sentidos y responde a los cambios. en particular. algún cambio. seguimiento y revisión tendrá lugar. . i La ge ti n del rie go ea tran parente e inclusivo.

) El establecimiento de la comunicación interna y la presentación de informesmecanismos (4.6) El establecimiento de la comunicación externa y la presentación de informesmecanismos (4. Figura Relaci n entre los componentes del marco para la gesti n del riesgo .4. Esta cláusula se describen los componentes necesarios del marco de la gestión de riesgos y la forma en que se interrelacionan de manera iterativa.3. El marco garantiza que la información sobre riesgos derivados de estos procesos está adecuadamente informada y se utiliza como base para la toma de decisiones y rendición de cuentas en todos los niveles organizativos que sean pertinentes.1) a implementación del proceso de gestión del riesgo (4.6 Aplicaci n de la gesti n de riesgo . Comprender la organización y su contexto (4.IS /FDIS E MARCO . ) Seguimiento revisi n del marco . como se muestra en la igura . Diseño de marco para la gesti n del riesgo . General El éxito de la gestión del riesgo dependerá de la eficacia del marco de gestión que proporciona las bases y disposiciones que lo incrusta en toda la organización en todos los niveles.3.3) a integración en los procesos de organización (4.3. El marco ayuda en la gestión de riesgos efectiva mediante la aplicación del proceso de gestión de riesgos (véase la cláusula ) en diferentes niveles y dentro de contextos específicos de la organización.3.4.3.4) Recursos (4.3. ) Rendición de Cuentas (4. Aplicación del marco para la gestión del riesgo (4. ) La mejora continua del marco . Mandato el compromiso .1) Establecer políticas de gestión de riesgos (4.3.

4. legales. Por lo tanto. . Diseño de marco para la gesti n del riesgo 4. a administración debe: definir y aprobar la política de gestión de riesgos. Descripci n de la organizaci n su contexto Antes de iniciar el diseño y aplicación del marco para la gestión de riesgos. pero no se limita a: a) las consecuencias sociales y culturales. conseguir que la cultura de la organización y la política de gestión de riesgos estén alineadas. las organizaciones deben adaptar las componentes del marco de sus necesidades específicas. ya que estos pueden significativamente influir en el diseño del marco. regional o local. alinear los objetivos de gestión del riesgo con los objetivos y estrategias de la organización. estos deben ser revisados y evaluados críticamente en contra de esta norma internacional. 4. asegurarse de que los recursos necesarios destinados a la gestión de riesgos. comunicar los beneficios de la gestión del riesgo a todos los interesados. es importante evaluar y entender tanto el contexto externo e interno de la organización. con el fin de determinar su adecuación y eficacia. incluyendo los atribut os que figuran en el anexo A. naturales y competitivas medio ambiente. asegurar el cumplimiento legal y reglamentario. nacional. tecnológicos. . Si las prácticas existentes en la organización y procesos de gestión incluyen los componentes de la gestión de riesgos o si la organización ya ha adoptado un proceso formal de gestión del riesgo para determinados tipos de riesgo o situaciones. asignar las responsabilidades y las responsabilidades en los niveles apropiados dentro de la organización. y asegurarse de que el marco para la gestión del riesgo sigue estando en consonancia.ISO/FDIS E Este marco no es la intención de prescribir un sistema de gestión. determinar el riesgo de indicadores de gestión del rendimiento que se alinean con los indicadores de rendimiento de la organización. económicos. regulatorios. así como estratégicos y rigurosa planificación para lograr compromiso en todos los niveles. a evaluación de contexto externo de la organización puede incluir. ya sea internacional. financieros. Mandato y compromiso a introducción de la gestión del riesgo y asegurar su continua eficacia requieren fuerte y sostenido compromiso de gestión de la organización. sino más bien para ayudar a la organización a integrar la gestió n de riesgos en su sistema de gestión global.

de capital. y c) las relaciones con los y las percepciones y los valores de. el riesgo de gestión y por lo general resuelve los siguientes: Lógica de la organización para la gestión del riesgo. La forma en que será el rendimiento de gestión de riesgos medidos y reportados. procesos. eficacia y eficiencia de los controles. as políticas. as normas. directrices y modelos adoptados por la organización. y Compromiso de revisar y mejorar la política de gestión de riesgos y el marco periódica y. El establecimiento de la gesti n de políticas de riesgo a política de gestión del riesgo debe exponer claramente los objetivos de la organización y su compromiso. Vínculos entre los objetivos de la organización y las políticas y la política de gestión de riesgos. aplicación y mantenimiento del marco para manejar el riesgo. los interesados externos. incluida la aplicación y mantenimiento del proceso de gestión de riesgos y garantizar la adecuación. La rendición de cuentas y responsabilidades de la gestión del riesgo. identificar quién es responsable de la elaboración. pero no se limita a: gobierno. Rendici n de Cuentas La organización debe garantizar que haya rendición de cuentas. .ISO/FDIS E b) factores clave y que tengan impacto en las tendencias de los objetivos de la organización. Compromiso de poner a disposición los recursos necesarios para ayudar a los responsables y responsable de gestión del riesgo. sistemas y tecnologías). . la forma en que los intereses en conflicto se tratan. grupos de interés internos y la cultura de la organización. . 4. las relaciones con los y las percepciones y los valores de. los objetivos y las estrategias que existen para su realización. a evaluación de contexto interno de la or ganización puede incluir. entendida en términos de recursos y el conocimiento (por ejemplo. La política de gestión de riesgos debe ser debidamente comunicada. la autoridad y las competencias adecuadas para la gestión del riesgo. estructura organizativa. en respuesta a un evento o cambio en las circunstancias. 4. Sistemas de información. Capacidades. las funciones y responsabilidades. y a forma y el alcance de las relaciones contractuales. tiempo. Esto puede ser facilitado por: la identificación de los propietarios de los riesgos que tienen la responsabilidad y la autoridad para administrar los riesgos. flujos de información y toma de decisiones (tanto formales como informales). personas.

. .ISO/FDIS E la identificación de otras responsabilidades de las personas en todos los niveles de la organización para la gestión de riesgos proceso. métodos y herramientas que se utilizarán para la gestión de riesgos.4 La integraci n en los procesos de organizaci n Gestión de riesgos debe estar integrada en todas las prácticas de la organización y los procesos de una manera que es pertinente. y los procesos de gestión del cambio. documentado los procesos y procedimientos. 4. Procesos de la organización de riesgos. 4. empresas y la planificación estratégica y el examen. son debidamente comunicada. su eficacia y los resultados. existe información adecuada sobre el marco interno. El plan de gestión de riesgos puede ser integrado en otros planes de la organización. la información pertinente derivada de la aplicación de gestión de riesgos en los niveles adecuados y los tiempos. y garantizar niveles adecuados de reconocimiento. Recursos La organización debe asignar recursos suficientes para la gestión de riesgos. Estos mecanismos deben incluir procesos de consolidación de información sobre .6 El establecimiento de la comunicaci n interna informaci n mecanismos de La organización debe establecer una comunicación interna y los mecanismos de información con el fin de apoyar y fomentar la responsabilidad y la propiedad de riesgo. Los recursos necesarios para cada paso del proceso de gestión del riesgo. los procesos de organización. Debería tenerse en cuenta lo siguiente: Las personas. la gestión del riesgo debe ser empotrado en la política desarrollo. experiencia y competencia. y hay procesos de consulta con los grupos de interés internos. Estos mecanismos deberían garantizar que: componentes clave del marco de gestión de riesgos. eficaz y eficiente. La información y los sistemas de gestión del conocimiento. y no separada de. En particular. 4. Que se establece la medición del desempeño y externos y / o presentación de informes internos y los procesos de escalada. Debe haber un plan de gestión de riesgos en toda la organización para garantizar que la política de gestión de riesgo es a cabo y que la gestión de riesgos está incrustada en todas las prácticas de la organización y procesos. habilidades. y Los programas de formación. El proceso de gestión de riesgos debe formar parte de. . como un plan estratégico. y las modificaciones posteriores.

cumplir con requisitos legales y reglamentarios. y La comunicación con las partes interesadas en el caso de una crisis o emergencia.ISO/FDIS E riesgos en su caso de una variedad de las fuentes. asegurarse de que la toma de decisiones. aplicar la política de gestión de riesgos y el proceso a los procesos de organización. reglamentarios y de gobierno. la organización debe: definir el momento oportuno y la estrategia para la aplicación del marco. La implementaci n del proceso de gesti n de riesgos La gestión del riesgo. teniendo en cuenta su sensibilidad. La comunicación utilizando para crear confianza en la organización. 4. teniendo en cuenta su sensibilidad. Esto implica: participar las partes interesadas externas adecuadas y garan tizar un intercambio eficaz de información. 4. Estos mecanismos deben incluir procesos de consolidación de información sobre riesgos en su caso de una variedad de las fuentes. está alineado con el resultados de los procesos de gestión de riesgos. . Seguimiento revisi n del marco .4 Aplicaci n de gesti n de riesgos 4. debe aplicarse a garantizar que el proceso de gestión del riesgo descrita en la cláusula se aplica a través de un plan de gestión de riesgos en todos los niveles y funciones pertinentes de la organización como parte de sus prácticas y procesos. La presentación de informes externos para cumplir con los requisitos legales.4. celebrar sesiones de información y formación. 4. y Comunicación y consulta con las partes interesadas para garantizar que su marco de gestión del riesgo sigue siendo apropiado.4.7 El establecimiento de la comunicaci n externa informaci n los mecanismos de La organización debe desarrollar e implementar un plan en cuanto a cómo se comunicará con externos las partes interesadas. incluyendo el desarrollo y establecimiento de objetivos. 4. La retroalimentación y la presentación de informes sobre la comunicación y de consulta. Aplicaci n del marco para la gesti n del riesgo En la aplicación del marco de la organización para la gestión de riesgos.

Estas decisiones deben conducir a la mejora de laorganización de gestión del riesgo y su cultura de gestión de ries gos. que se revisan periódicamente parapertinencia.ISO/FDIS E Con el fin de garantizar que la gestión de riesgos es eficaz y sigue apoyando el desempeño organizacional. las decisiones deben tomarse sobre la forma de gestión de riesgosmarco. . laorganización debe: Medida de gestión de riesgos en relación con indicadores de rendimiento. revisar periódicamente si el marco de gestión de riesgos. la política y el plan siguen siendo adecuados. Periódicamente medir el progreso en contra. la política y el plan se puede mejorar. el progreso con el plan de gestión de riesgos y lo bien que la política de gestión de riesgo se está seguir y evaluar la eficacia del marco de gestión de riesgos. teniendo en cuenta contexto de las organizaciones internas y externas. 4.6 La mejora continúa del marco Con base en los resultados del seguimiento y opiniones. informe sobre el riesgo. y la desviación de el plan de gestión de riesgos.

Comunicaci n consulta Comunicación y consulta con las partes interesadas externas e internas que tienen lugar durante todas las fases del proceso de gestión de riesgos. )     Control y revisión ( .4) Tratamiento del riesgo ( .4) Análisis de riesgos ( . El proceso de gestión de Establecer el contexto( . ) Figura Proceso de gesti n de riesgos . Comprende las actividades descritas en riesgos se muestra en la igura 3 .3) Evaluación de riesgos ( . Generalidades El proceso de gestión de riesgos debe ser Una parte integral de la gestión. incrustado en la cultura y prácticas. y Adaptados a los procesos de negocio de la organización.6)   . )   Comunicación y consulta ( .4. a .3) Evaluación del riesgo ( .4.6.4.ISO/FDIS E PROCESO . ! Identificación de riesgos ( .

mejorar la gestión del cambio apropiados durante el proceso de gestión de riesgos. Comunicación y consulta con las partes interesadas es importante. se e s necesario considerar con mayor detalle y sobre todo cómo se relacionan con el alcance de los riesgos particulares gestión de procesos. sus consecuencias (si se conoce). Establecer el contexto 5. traer las diferentes áreas de especialización así como para el análisis de riesgos. asegurar que las opiniones diferentes son debidamente en cuenta la hora de definir criterios de riesgo y en la evaluación de riesgos. . ya que emitir juicios sobre el riesgo sobre la base de sus percepciones de riesgo. relevante. y estab lece el alcance y los criterios de riesgo para el proceso restante. sus causas. percepciones de las partes i nteresadas deben ser identificados. los planes de comunicación y consulta deben desarrollarse en una etapa temprana. Comunicación y la consulta debería facilitar veraz. Si bien muchos de estos parámetros son similares a los considerados en el diseño del riesgo marco de gestión (ver 4. Un enfoque de equipo de consulta podrá: ayudar a establecer el marco adecuado. y tomados en cuenta en la toma de decisiones proceso.1). seguro respaldo y apoyo para un plan de tratamiento. General Al establecer el contexto. conceptos y preocupaciones de los interesados. Estas percepciones pueden variar debido a diferencias en los valores. teniendo en cuenta los aspectos confidenciales y la integridad personal. necesidades. y desarrollar una comunicación adecuada externa e interna y un plan de consulta. al establecer el marco para el proceso de gestión de riesgos. y las medidas que se adoptadas para tratarlo. La comunicación efectiva interna y externa y la consulta debe llevarse a cabo para garantizar que los responsables de la aplicación del proceso de gestión del riesgo y los interesados conocer las bases en la que se toman las decisiones y las razones por las acciones particulares son obligatorios. ayudar a asegurar que los riesgos están adecuadamente identificados. Estos deben abordar las cuestiones relacionadas con el propio riesgo.3. suposiciones. garantizar que los intereses de las partes interesadas son entendidas y consideradas. Como sus puntos de vista pueden tener un impacto significativo en las decisiones tomadas. 5. la organización se articula y define sus objetivos internos y externos parámetros que deben tenerse en cuenta a la hora de gestión del riesgo. .ISO/FDIS E Por lo tanto. exacta y comprensible intercambios de información. registrados.

personas. Es necesario entender el contexto interno.ISO/FDIS E 5. procesos.y esto afecta el compromiso continuo de organización. tecnológico. directrices y modelos adoptados por la organización. El proceso de gestión de riesgos debe estar alineado con la cultura de la organización. jurídico. o de negocios. . actores clave y las tendencias que tienen un impacto sobre los objetivos de la organización. estructura yestrategia. Establecer el contexto interno El contexto interno es el ambiente interno en el que la organización pretende alcanzar sus objetivos. natural yentorno competitivo.El contexto externo puede incluir. nacional. Comprender el contexto externo es importante para garantizar que los objetivos y preocupaciones de los exteriores los interesados se consideran en el desarrollo de criterios de riesgo. las funciones y responsabilidades. pero con los detalles específicos de los requisitos legales y reglamentarios. . reglamentario. confianza y valor. Se basa en el contexto de toda la organización. entendida en términos de recursos y el conocimiento (por ejemplo. tiempo. las relaciones con los y las percepciones y los valores de las partes interesadas internas y la cultura de la organización. yrelaciones con las percepciones y los valores de las partes interesadas externas. Capacidades. y orma y el alcance de las relaciones contractuales. económico. credibilidad. y c) algunas organizaciones no reconocen las oportunidades de lograr sus objetivos de proyecto estratégico. b) los objetivos y criterios de un determinado proyecto. . ya sea internacional. las percepciones de los interesados y otros aspectos de los riesgos específicos al ámbito del proceso de gestión de riesgos. político.sistemas y tecnologías). pero no se limita a: Lo social y lo cultural. procesos. los objetivos y las estrategias que existen para su realización. flujos de información y toma de decisiones (tanto formales como informales). Esto puede incluir. estructura organizativa. Contexto interno es cualquier cosa dentro de la organización que puede influir en la manera en que unaorganización gestionar el riesgo. proce so o actividad debe ser considerada a la luz deobjetivos de la organización en su conjunto. Si se comprueba que: a) la gestión de riesgos se lleva a cabo en el contexto de los objetivos de la organización. Sistemas de información. regional o local. de capital. Las políticas. financiero. Establecer el contexto externo El contexto externo es el entorno externo en el que la organización pretende alcanzar sus objetivos. pero no se limita a: gobierno. las normas. 5.

y los recursos necesarios para tales estudios. la definición del alcance. requisitos legales y reglamentarios y otros requisitos que la organización suscriba. proyecto. a la organización y los riesgos que afectan el logro de sus objetivos. . así como la profundidad y amplitud de las actividades de gestión de riesgos que deben llevarse a cabo. Cómo el nivel de riesgo es que se determine. Los criterios deben reflejan los valores de la organización. función.5 Definici n de criterios de riesgo La organización debe definir los criterios que se utilizarán para evaluar la importancia del riesgo. la definición de las relaciones entre un determinado proyecto. la definición de responsabilidades y dentro de los proceso de gestión del riesgo. las responsabilidades y autoridades. definir la forma en que se evaluó el rendimiento y la eficacia en la gestión de riesgos. producto. proceso o actividad y otros proyectos. La atención a estos y otros factores relevantes debería contribuir a garantizar que el enfoque de gestión de riesgos adoptados es adecuado a las circunstancias. alcance o marcos estudios necesarios. o deriva de.ISO/FDIS E 5. incluyendo las inclusiones y exclusiones específicas.3. Cómo probabilidad se define. servicio o activo en términos de tiempo y lugar. así como las actas que vaya a llevarse deben También se especificarán. estrategias. . proceso. factores a considerar deben incluir lo s iguiente: La naturaleza y los tipos de causas y consecuencias que pueden ocurrir y cómo se van a medir. la definición de la actividad. objetivos y recursos. alcance y los parámetros de las actividades de la organización. Los recursos necesarios. Algunos criterios pueden ser impuestas por. debe ser establecido. El marco de tiempo (s) de la probabilidad y / o consecuencia (s). o las partes de la organización donde se desarrolla el proceso de gestión de riesgos aplicado. y la identificación. pero no se limita a: la definición de las metas y objetivos de las actividades de gestión de riesgos. Puede implicar.4 Establecer el contexto del proceso de gesti n de riesgos Los objetivos. se definió al principio de cualquier proceso de gestión de riesgos y revisarse continuamente. la definición de las metodologías de evaluación de riesgos. 5. identificación y especificación de las decisiones que tienen que hacerse. El contexto del proceso de gestión de riesgo varía de acuerdo a las necesidades de una organización. La gestión de riesgo debe realizarse con la plena consideración de la necesidad de justificar los recursos utilizados en la realización de gestión de riesgos. . Los criterios de riesgo deben ser coherentes con la política de la organización de gestión de riesgos (véase 4. su alcance y sus objetivos. Las opiniones de los interesados. ). Al definir los criterios de riesgo. procesos o actividades de la organización.

También debeconsiderar una amplia gama de consecuencias. degradar. Pertinente y actualizada información es importante en la identificación de riesgos. acelerar o retrasar la consecución de los objetivos. NOTA IEC 31010 proporciona orientación sobre las técnicas de evaluación de riesgos. El análisis de riesgos también puede aportar su contribución en la toma de decisiones en las que las opciones deben sery en las opciones implican diferentes tipos y niveles de riesgo. zonas de impactos. General Evaluación de riesgos es el proceso general de identificación de riesgos. incluso si la fuente d e riesgo o causa puede no ser evidente.4. Es importante identificar los riesgos asociados a que no ejercen unaoportunidad. El análisis de riesgos proporciona una entrada al riesgo evaluación y las decisiones sobre si los riesgos deben ser tratados.4. La identificación debe incluir los riesgos o no su fuente se encuentra bajo el control de la organización. El objetivo de este paso es generar unalista completa de los riesgos sobre la base de los acontecimientos que puedan crear. y en el tratamiento de los riesgos más adecuadaestrategias y métodos. 5. mejorar.ISO/FDIS E El nivel en que se convierte en riesgo aceptable o tolerable.La organización debe aplicar herramientas de identificación de riesgos y técnicas que se adaptan a sus objetivos ycapacidades. en caso afirmativo. La identificación del riesgo debe incluir el examen de los efectos en cadena de consecuencias particulares.4 Evaluaci n de riesgos 5. es necesario considerar las posibles causas y escenarios que muestran lo queconsecuencias pueden ocurrir. Identificaci n del riesgo La organización debe identificar las fuentes de riesgo. prevenir. y Si las combinaciones de los múltiples riesgos que deben tenerse en cuenta y. Estadebe incluir información de antecedentes en su caso posible. Así comoidentificar lo que podría suceder. Las personas con los conocimientos adecuados deben participar en la identificación de riesgos.4.El análisis de riesgos implica la consideración de las causas y las fuentes de riesgo. su positivo y negativoconsecuencias y la probabil idad de que esas . análisis de riesgos y evaluación del riesgo. la identificación completa es f undamental. porque el riesgo de que no se identifica en esta etapa no seincluidos en el análisis posterior. 5. cómo y qué combinaciones deben ser consideradas. 5. Análisis de riesgos El análisis de riesgos consiste en desarrollar una mayor comprensión del riesgo. los eventos (incluyendo los cambios en circunstancias) y sus causas y sus posibles consecuencias. Todas las causas y consecuencias importantes deben ser consideradas. inclusoaunque la fuente de riesgo o caus a puede no ser evidente. y los riesgos que corren. como en cascada y los efectos acumulativos.

El riesgo se analizó mediante la determinación de las consecuencias y su probabilidad.La confianza en la determinación del nivel de riesgo y su sensibilidad a las condiciones previas y las hipótesis debenser considerados en el análisis. grupos o situaciones.ISO/FDIS E actores que afectan a las consecuencias consecuencias pueden ocurrir. En algunas circunstancias. o las limitaciones en el modelado debería ser especificado y puede ser destacada. el objetivo delanálisis. la incertidumbre. Las consecuencias y la probabilidad se pueden determinar mediante el modelado de los resultados de un evento o una serie de eventos. y la información. con base en los resultados de análisis de riesgos.La evaluación del riesgo que supone la comparación del nivel de riesgo detectado durante el proceso de análisis con criterios de riesgoestablece cuando el contexto era considerado. En algunos casos. otroslas partes interesadas. y comunicarse eficazmente a los tomadores de decisiones y. datos y recursos disponibles. la disponibilidad. 5. cantidady la pertinencia permanente de información. Las decisiones deben tomarse enconformidad con los requisitos legales. la información disponible y el propósito para el cual elsalida de la evaluación de riesgos se va a utilizar. dependiendo de las circunstancias.El análisis de riesgos puede llevarse a cabo con diferentes grados de detalle. yriesgo deben ser identificados. la necesidad de que el tratamiento puede serconsiderado. semi cuantitativo ocuantitativos. Un evento puede t ener múltiples consecuencias y puede afectar a múltiples objetivos. o una combinación de ambos.4 Evaluaci n de riesgos El propósito de la evaluación de riesgos es ayudar en la toma de decisiones. más de un valor es numérico o descriptornecesarios para especificar las consecuencias y la probabilidad d e diferentes épocas. y otrosatributos del riesgo. Estos deben ser coherentes con los criterios de riesgo. reglamentarios y de otro. Existentecontroles y su eficacia y eficiencia también debe tenerse en cuenta. lugares. sobre riesgos que necesitan tratamiento y la prioridad para la aplicación del tratamiento. También es importanteconsiderar la interd ependencia de los distintos riesgos y sus fuentes. Las consecuencias pueden ser expresadas en términos de efectos tangibles e intangibles. la evaluación del riesgo puede llevar a una decisión de proceder a su posterior análisis. en su caso.4. calidad.o mediante la extrapolación de estudio s experimentales o de los datos disponibles. En base a esta comparación. El riesgo evaluación también puede conducir a una decisión de no tratar el riesgo de cualquier otra forma de . El análisis puede ser cualitativo. en función del riesgo.La forma en que las consecuencias y la probabilidad se expresan y la forma en que se combinan paradeterminar un nivel de riesgo debe reflejar el tipo de riesgo. Las decisiones deben tener en cuenta el contexto más amplio del riesgo y de incluir la consideración de la tolerancia de los riesgos asumidos por partes distintas de la organización que se beneficia d el riesgo. actores tales como la divergencia de opinión entre los expertos.

c) eliminar la fuente de riesgo. por ejemplo.Una vez implementado. Las decisiones también deben ten er en cuentariesgos que pueden justificar un tratamiento de riesgo que no está justificado por motivos económicos. los tratamientos de proporcionar o modificar los controles. Selecci n de las opciones de tratamiento del riesgo Selección de la opción más adecuada el tratamiento de riesgos consiste en equilibrar los costes y esfuerzos deaplicación frente a los beneficios derivados. Riesgo opciones de tratamiento no son necesariamente excluyentes entre sí o adecuado en todas las circunstancias.Aunque igual de efectivos. decidir si los niveles residuales de riesgo son tolerables. d) los cambios en el riesgo.ISO/FDIS E mantener los controles existentes. y evaluar la eficacia de ese tratamiento. éstas deben e star involucradas en la decisión.5. generando un nuevo tratamiento de los riesgos. y g) mantener el riesgo por la decisión informada. si no tolerables. b) la toma o el aumento del riesgo con el fin de perseguir una oportunidad. y la aplicación de esas opciones. 5.Al seleccionar las opciones de tratamiento de riesgos. Las opcionespueden incluir los siguientes: a) evitar el riesgo al decidir no iniciar o continuar co n la actividad que dio lugar al riesgo. grave (alta negativosconsecuencia). f) la distribución del riesgo a otra part e o las partes (incluidos los contratos y la financiación de riesgo).5 ratamiento del riesgo 5. algunos tratamientos de . El tratamiento de riesgos implica un proceso cíclico de: la evaluación de un tratamiento de los riesgos.5. pero rara riesgos (riesgo bajo).Esta decisión se verá influida por la actitud de riesgo de la organización y los criterios de riesgo que han sido establecidos. e) los cambios en las consecuencias. Cuando las opciones de tratamiento del riesgo puedeimpacto sobre el riesgo en otras partes de la organización o con las partes interesadas. General El tratamiento del riesgo consiste en seleccionar una o más opciones para modificar los riesgos. en lo que respecta a personas jurídicas. normativas y otros requisitos comoresponsabilidad social y la protección del medio ambiente natural. 5. la organización debe considerar los valores y percepciones delas partes interesadas y los medios más adecuados para comunicarse con ellos. Un número de opciones de tratamiento pueden ser considerada s y aplicadas de forma individual o en combinación. Laorganización que normalmente se pueden beneficiar de la adopción de una combinación de opciones de tratamiento.

Elaborar e implementar planes de tratamiento de los riesgos El propósito de los planes de tratamiento de los riesgos es documentar cómo las opciones de tratamiento elegido se llevarán a cabo. analizar y aprender las lecciones de los acontecimientos (incluyendo a punto de chocar). Un riesgo significativo puede ser la insuficiencia o ineficacia de los riesgos medidas de tratamiento.ISO/FDIS E riesgo pueden ser más aceptables para algunos grupos de interés que a otros. El riesgo residual debe ser documentado y sometido a seguimiento. El plan de tratamiento debe identificar claramente el orden de prioridad en que los tratamientos individuales de riesgo deben ser práctica. Los planes de tratamiento deben ser integrados con los procesos de gestión de la organización y discutir conlos interesados que corresponda.La información proporcionada en los planes de tratamiento debe incluir: las razones para la selección de opciones de tratamie nto. más allá. Los tomadores de decisiones y otras partes interesadas deben ser conscientes de la naturaleza y el alcance del riesgo residual después de los riesgos del tratamiento. y Calendario y horario. Medidas de rendimiento y las limitaciones. controlados y revisados.6 Seguimiento revisi n Tanto el seguimiento y la revisión debe ser una parte planificada del proceso de gestión de riesgos y participación regularcontrol o vigilancia.5. El tratamiento de riesgos también puede introducir riesgos secundarios que deben ser evaluados.Las responsabilidades de seguimiento y de evaluación deben estar claramente definidas. obtener más información para mejorar la evaluación de riesgos. 5. Puede ser periódica o ad hoc. 5. acciones propuestas.Estos riesgos secundarios deben ser incorporados en el plan de tratamiento igual que el riesgo original y no se tratacomo un nuevo riesgo. Seguimiento de las necesidades para ser una parte integral del plan de tratamiento del riesgo de dar garantías de quelas medidas siguen siendo eficaces. los cambios. la revisión y. éxitos yfracasos. El tratamiento de los riesgos se puede introducir riesgos. Información y control de los requisitos. en sutratamiento adecuado. . tendencias. El vínculo entre los dos riesgos debe ser identificado y mantenidos. incluyendo contingencias. Los que son responsables de aprobar el plan y los responsables de la ejecución del plan.vigilancia de la organización y procesos de revisión debe abarcar todos los aspectos de la gestión del riesgo proceso a efectos de: asegurar que los controles son eficaces y eficientes tanto en el diseño y funcionamiento. incluidos los beneficios que se espera obtener. Requisitos de recursos. tratados.

proporcionar los registros pilar para la mejora en los métodos y herramientas. Las decisiones relativas a la creación de registros deben tener en cuenta: ecesidades de la organización para el aprendizaje continuo. Los resultados pueden serincorporados en la gestión de la organización rendimiento general. 5.7 El registro del proceso de gesti n de riesgos Las actividades de gestión de riesgos deberían ser rastreable. Método de acceso.y también debe utilizarse como un aporte para la revisión del marco de gestión de riesgo (ver 4. incluidos los cambios en los criterios de riesgo y el propio riesgoque puede requerir una revisión de los tratamientos de riesgos y prioridades. Costos y esfuerzos involucrados en la creación y el mantenimiento de registros. . El progreso en la aplicación de planes de tratamiento del riesgo proporciona una medida de rendimiento. y la identificación de riesgos emergentes. Las necesidades legales. reglamentarias y operativas de los archivos. la medición y externa e internaactividades de información. así como en el proceso global.ISO/FDIS E detectar cambios en el contexto externo e interno. en su caso. y La sensibilidad de la información. ). la facilidad de recuperabilidad y medios de almacenamiento. Los beneficios de la reutilización de la información a efectos de gestión. Los resultados del monitoreo y de evaluación deben ser registrados y en el exterior y de información interna. En el proceso de gestión del riesgo. Período de retención.

ormalmente. controles y tareas para que sean responsables. Para ayudar a las organizaciones en la medición de su propia actuación en contra de estascriterios. . las responsabilidades y las responsabilidades debe estar parte de los programas de inducción de toda la .3. Esta gestión del riesgo evaluación del desempeño es una parte integral del desempeño de la organización global deevaluación y medición del sistema para los departamentos y los individuos. correcta y completa de sus riesgos. bases de datos o sistemas de información. El desempeño de la organización se pueden publicar y comunicado. cont roles y tareas de riesgo del tratamiento. Atributos A. General Todas las organizaciones deberían tener por objeto el nivel adecuado de cumplimiento de su marco de gestión de riesgos enconsonancia con el carácter crítico de las decisiones que se deben hacer. capacidades y habilidades. esto se guardará en el Trabajo / descripciones de puestos. no será por lo menos una revisión anual de rendimiento y. ormalmente. estén debidamente recursos suficientes y cualificados tienen que comprobar los controles. re cursos. mejorada incluye la gestión de riesgos completo y totalmente definido y aceptado plenamente la rendición de cuentasde riesgos. . Esto puede ser indicado por todos los miembros de una organización que está siendo plenamente consciente de los riesgos. los riesgos monitor. y la fijación de objetivos de rendimiento revisadas para el período siguiente. A. La definición de las funciones de gestión de riesgos. sistemas.3. mejorar los controles y comunicar eficaz sobre los riesgos y su gestión a los interesados externos e internos. A. a continuación una revisión de procesos.Esto puede ser indicado por la existencia de objetivos de rendimiento explícito contra el que la organización y Performance Manager individuo se mide. La lista de atributos a continuación representa un alto nivelde actuación en la gestión de riesgos. Entre los principales resultados A. Las personas designadas aceptan plenamente la rendición de cuentas. riesgos de la organización están dentro de su s criterios de riesgo. algunos indicadores tangibles se indican para cada atributo.ISO/FDIS E Anexo A Informativo Atributos de la mejor gesti n del riesgo A.1 La organización tiene una comprensión actual. A. A.1 Se hace hincapié en la mejora continua en la gestión del riesgo mediante el establecimiento demetas de desempeño organizacional. la revisión y la posterior modificación de los procesos. la medición.

Gestión efectiva del riesgo. proporcionándolescon la autoridad. Amplia e informes frecuentes externa e interna en ambos riesgos significativos y en la gestión de riesgos desempeño contribuye sustancialmente a la gobernabilidad efectiva en una organización. sea cual sea el nivel de importancia y significación. el riesgo de una base sólida la gestión se ve dentro de la organización que ofrece la base para una gobernanza eficaz.3. recursos y habilidades suficientes para asumir sus responsabilidades.3 toma de decisiones dentro de la organización Todos. Esto puede ser indicado por la comunicación con las partes interesadas como parte integrante y esencial de riesgo de gestión. Esto puede ser indicada por los registros de las reuniones y decisiones para mostrar que las discusiones explícitas sobre los riesgos se lugar. Esto se indica por el lenguaje de los gerentes e importante material escrito en la organización el uso del término "Incertidumbre" en relación con los riesgos. La gestión de riesgos se considera como elemento central de los procesos de gestión de la organización. Además. de manera que las decisiones debidamente informadas pueden hacerse sobre el nivel de riesgo y la necesidad de un tratamiento contra el riesgo debidamente establecida ycriterios generales de riesgo. sobre los grandes proyectos y en la reestructuración y los cambios organizativos.3. La comunicación es ju stamente como un proceso bidireccional. tiempo. este atributo se verifica a través entrevistas con los directores ya través de las pruebas de sus acciones y declaraciones. como parte deel buen gobierno. capacitación.ISO/FDIS E organización.3. por ejemplo. incluidas los informes completos y frecuentes de los resultados de gestión de riesgos. A. . Por estas razones. para las decisiones sobre la asignación de capital. a juicio de los administradores como esencial para laconsecución de los objetivos de la organización. A. Este atributo también se refleja normalmente en las declaraciones de la organización de la política. debería ser posible ver que todos los componentes de gestión de riesgos están representados dentro deprocesos clave para la toma de decisio nes en la organización. de tal manera que los riesgosse consideran en términos de efecto de la incertidumbre sobre los objetivos. La estructura de gobernanza y proceso son basado en la gestión del riesgo.implica la consideración explícita de los riesgos y la aplicación de gestión de riesgos en cierta medida apropiada. A. en particular las relativas a la gestión del riesgo. La organización garantiza que aquellos que son responsables están equipados para cumplir esa función.4 mejor gestión del riesgo se incluyen las comunicaciones continuas con la externa e interna interesadas. ormalmente.

las directrices de evaluación de riesgos . Gestión del riesgo ± Vocabulario [ ] IEC 31 1 .ISO/FDIS E Bibliografía [1] Guía IS 3: . Gestión del riesgo .

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->