2.2 1ED NORMA IRAM 31000 Gestion de Riesgo (2015)

NORMA IRAM-ISO
ARGENTINA 31000
31000 Primera edición
2015 2015-08-31
Gestión del riesgo
Principios y guías
(ISO 31000:2009, IDT)
Risk management
Principles and guidelines
Referencia Numérica:
IRAM-ISO 31000:2015
* DOCUMENTO PROTEGIDO POR EL DERECHO DE PROPIEDAD INTELECTUAL
IRAM 2015-08-31
No está permitida la reproducción de ninguna de las partes de esta publicación por
cualquier medio, incluyendo fotocopiado y microfilmación, sin permiso escrito del IRAM.
Licenciado por IRAM a Foods Mentor SRL: Domfnguez; Marta Ventura. Orden 00000944331739910422 del 20151221.
Descargado el 20151221. Licencia monousuario. Prohibido su copiado y uso en redes.
IR A M- I SO 31 0 00 :2 0 15
Prefacio
El Instituto Argentino de Normalización y Certificación (IRAM) es
una asociación civil sin fines de lucro cuyas finalidades específicas,
en su carácter de Organismo Argentino de Normalización, son
establecer normas técnicas, sin limitaciones en los ámbitos que
abarquen, además de propender al conocimiento y la aplicación de
la normalización como base de la calidad, promoviendo las
actividades de certificación de productos y de sistemas de la
calidad en las empresas para brindar seguridad al consumidor.
IRAM es el representante de Argentina en la International

Organization for Standardization (ISO), en la Comisión
Panamericana de Normas Técnicas (COPANT) y en la Asociación
MERCOSUR de Normalización (AMN).
Esta norma es el fruto del consenso técnico entre los diversos

sectores involucrados, los que a través de sus representantes han
intervenido en los Organismos de Estudio de Normas
correspondientes.
Esta norma es una adopción idéntica (IDT) de la norma

ISO 31000:2009 - Risk management - Principles and guidelines.
Sólo se han realizado los cambios editoriales siguientes:
Se agregó el capítulo Documentos normativos para consulta.
Se agregaron notas IRAM en el capítulo 2 indicando el origen de

las definiciones.
Se agregó un anexo informativo con la bibliografía considerada y

otro donde se indican los organismos de estudio de la norma.
3
IR A M- I SO 31 0 00 :2 0 15
Prefacio ISO
La International Organization for Standardization (ISO) es una
federación mundial de organismos nacionales de normalización
(organismos miembros de ISO). El desarrollo de normas
internacionales generalmente se realiza a través de comités
técnicos. Cada organismo miembro que esté interesado en un
tema en particular para el cual se haya establecido un comité
técnico tiene derecho de estar representado en ese comité.
Organizaciones internacionales, gubernamentales y no
gubernamentales, en colaboración con ISO, también toman parte
en el trabajo. En el campo de la normalización electrotécnica, ISO
colabora con la International Electrotechnical Commission (IEC).
Las normas internacionales se elaboran de acuerdo a las reglas

dadas en la Directiva ISO/IEC, parte 2.
La tarea principal de los comités técnicos es la de preparar

normas internacionales. Los proyectos de normas internacionales
adoptadas por los comités técnicos son circulados a los
organismos nacionales y sometidos a votación. La publicación
como norma internacional requiere la aprobación de al menos el
75% de los organismos nacionales.
Es importante señalar la posibilidad de que algunos elementos

de esta norma internacional pueden estar sujetos a derechos de
patente. ISO no es responsable de la identificación de alguno o
todos esos derechos de patentes.
La ISO 31000 fue preparada por el ISO Technical Management

Board Working Group on risk management.
4
IR A M- I SO 31 0 00 :2 0 15
Índice
Página
INTRODUCCIÓN ................................................................................................. 7
1 OBJETO Y CAMPO DE APLICACIÓN ........................................................... 10
DOCUMENTOS NORMATIVOS PARA CONSULTA ......................................... 10
2 TÉRMINOS Y DEFINICIONES ...................................................................... 10
3 PRINCIPIOS .................................................................................................. 16
4 MARCO ......................................................................................................... 17
5 PROCESO ..................................................................................................... 23
Anexo A (Informativo) Atributos de una gestión avanzada del riesgo................. 32
Bibliografía ISO.................................................................................................. 34
Anexo B - IRAM (Informativo) Bibliografía .......................................................... 35
Anexo C - IRAM (Informativo) Integrantes de los organismos de estudio........... 36
5
IR A M- I SO 31 0 00 :2 0 15
6
IR A M- I SO 31 0 00 :2 0 15
Gestión del riesgo

Principios y guías
INTRODUCCIÓN
Las organizaciones de todo tipo y tamaño enfrentan influencias y factores internos y externos que
tornan incierto el logro de sus objetivos y el momento en que los alcanzarán. El efecto que esa incer-
tidumbre tiene sobre los objetivos de la organización se llama riesgo.
Todas las actividades de una organización implican riesgo. Las organizaciones gestionan el riesgo,
identificándolo, analizándolo y luego valorando si el riesgo debe ser modificado mediante su trata-
miento con el propósito de satisfacer los criterios de riesgo. A lo largo de este proceso, se comunica
y consulta con las partes interesadas y se realiza seguimiento y control y revisión del riesgo y los
controles que lo modifican a fin de asegurar que no es necesario tratamiento adicional del riesgo. Esta
norma describe en detalle este proceso lógico y sistemático.
Si bien todas las organizaciones gestionan el riesgo en cierta medida, esta norma establece una serie de
principios que deben cumplirse para que la gestión del riesgo sea eficaz. Esta norma recomienda que las
organizaciones desarrollen, implementen y mejoren continuamente un marco cuyo propósito es integrar
el proceso de gestión del riesgo en la gobernanza, la planificación y estrategia, la gestión, los procesos
de presentación de informes, las políticas, los valores y la cultura generales de la organización.
La gestión del riesgo puede aplicarse a toda la organización, en sus diferentes áreas y niveles, en
cualquier momento, como así también a funciones, actividades y proyectos específicos.
Aunque la práctica de la gestión del riesgo se ha desarrollado a lo largo del tiempo y en muchos sec-
tores para satisfacer necesidades diversas, la adopción de procesos coherentes en un marco global
puede ayudar a asegurar que el riesgo se gestiona con eficacia, eficiencia y coherencia a lo largo de
toda la organización. El enfoque genérico descripto en esta norma establece los principios y las guías
para la gestión de cualquier forma de riesgo de una manera sistemática, transparente y confiable,
dentro de cualquier ámbito y contexto.
Cada sector o aplicación específicos de la gestión del riesgo trae consigo necesidades, audiencias,
percepciones y criterios particulares. Por lo tanto, una característica clave de esta norma es incluir el
establecimiento de contexto como una actividad al inicio de este proceso genérico de gestión del
riesgo. El establecimiento de contexto captura los objetivos de la organización, el entorno en el que
ésta persigue estos objetivos, sus partes interesadas y la diversidad de criterios de riesgo, lo que
ayudará a revelar y evaluar la naturaleza y la complejidad de sus riesgos.
La relación entre los principios para la gestión del riesgo, el marco en el cual ésta ocurre y el proceso
de gestión del riesgo descripto en esta norma, se muestra en la figura 1.
Cuando la gestión del riesgo se implementa y se mantiene de acuerdo a esta norma, le permite a una
organización, por ejemplo:
1. aumentar la probabilidad de lograr los objetivos;
2. fomentar una gestión proactiva;
7
IR A M- I SO 31 0 00 :2 0 15
3. ser consciente de la necesidad de identificar y tratar los riesgos en toda la organización;
4. mejorar la identificación de oportunidades y amenazas;
5. cumplir con las normas internacionales y los requisitos legales y reglamentarios pertinentes;
6. mejorar la presentación de informes obligatorios y voluntarios;
7. mejorar la gobernanza;
8. mejorar la confianza de las partes interesadas en sí mismas y en la organización;
9. establecer una base confiable para la toma de decisiones y la planificación;
10. mejorar los controles;
11. asignar y utilizar los recursos para el tratamiento de los riesgos de manera eficaz;
12. mejorar la eficacia y la eficiencia operativa;
13. mejorar el desempeño en salud y seguridad ocupacional y en la protección del medio ambiente;
14. mejorar la prevención de pérdidas y la gestión de incidentes;
15. minimizar las pérdidas;
16. mejorar el aprendizaje organizacional;
17. mejorar la resiliencia de la organización.
Esta norma pretende satisfacer las necesidades de una amplia gama de partes interesadas, incluyendo:
a) los responsables del desarrollo de la política de gestión del riesgo dentro de sus organizaciones;
b) los responsables por cargo de asegurar que el riesgo se gestiona eficazmente dentro toda la orga-
nización, o en un área, actividad o proyecto específico;
c) aquellos que necesitan evaluar la eficacia de una organización en la gestión del riesgo;
d) quienes desarrollan normas, guías, procedimientos y códigos de práctica que, completa o par-
cialmente, establecen de qué forma el riesgo debe gestionarse en el contexto específico de
estos documentos.
Las actuales prácticas y procesos de gestión en muchas organizaciones incluyen componentes de

gestión del riesgo, y muchas organizaciones ya han adoptado un proceso formal de gestión del ries-
go para ciertos tipos de riesgo o circunstancias. En tales casos, desde el punto de vista de esta
norma, una organización puede decidir llevar a cabo una revisión crítica de sus prácticas y procesos
actuales.
En esta norma, se utilizan las expresiones gestión del riesgo y gestionar el riesgo. En términos gene-
rales, la gestión del riesgo se refiere a la arquitectura (principios, marco y proceso) para gestionar los
riesgos con eficacia, mientras que gestionar el riesgo se refiere a la aplicación de esta arquitectura a
ciertos riesgos en particular.
8
IR A M- I SO 31 0 00 :2 0 15
Figura 1 - Relaciones entre los principios, el marco y el proceso de gestión del riesgo
9
IR A M- I SO 31 0 00 :2 0 15
1 OBJETO Y CAMPO DE APLICACIÓN
Esta norma establece los principios y las guías generales para la gestión del riesgo.
Esta norma la puede utilizar cualquier empresa pública, privada o comunitaria, asociación, grupo o
individuo. Por lo tanto, esta norma no es específica a ninguna industria o sector.
NOTA. Por conveniencia, a todos los diferentes usuarios de esta norma se los llama por el término general organización.
Esta norma se puede aplicar durante toda la vida de una organización y a una amplia gama de acti-
vidades, incluidas las estrategias y decisiones, las operaciones, los procesos, las funciones, los
proyectos, los productos, los servicios y los activos.
Esta norma se puede aplicar a cualquier tipo de riesgo, independientemente de su naturaleza, que
tenga consecuencias positivas o negativas.
Si bien esta norma proporciona guías genéricas, no es su intención promover la uniformidad en la

gestión del riesgo a través de las organizaciones. El diseño y la implementación de planes y marcos
para la gestión del riesgo deben tener en cuenta las diversas necesidades de una organización es-
pecífica, sus objetivos, contexto, marco, operaciones, procesos, funciones, proyectos, productos,
servicios o activos particulares y las prácticas específicas empleadas.
Se pretende que esta norma se utilice para armonizar los procesos de gestión del riesgo tanto en
normas actuales como futuras. Esta norma proporciona un enfoque amplio para brindar apoyo a
normas enfocadas a riesgos o sectores específicos, en lugar de reemplazarlas.
Esta norma no está destinada a la certificación.
DOCUMENTOS NORMATIVOS PARA CONSULTA
Para la aplicación de esta norma no es necesaria la consulta de ninguna otra.
2 TÉRMINOS Y DEFINICIONES
Para los propósitos de este documento, se aplican los términos y definiciones siguientes.
2.1
riesgo
efecto de la incertidumbre sobre el logro de los objetivos
NOTA 1. Un efecto es un desvío respecto de lo esperado - ya sea positivo y/o negativo.
NOTA 2. Los objetivos pueden tener diferentes aspectos (tales como financieros, relativos a la seguridad y la salud, y al
medio ambiente) y pueden aplicarse en diferentes planos (por ejemplo, estratégico, organizacional, relativos a proyectos,
productos y procesos).
NOTA 3. Generalmente el riesgo está caracterizado por referencia a eventos (2.17) potenciales y sus consecuencias
(2.18) o a una combinación de ambos.
NOTA 4. El riesgo por lo general se define en términos de la combinación de las consecuencias de un evento (incluyendo
cambios en las circunstancias) y la probabilidad (2.19) de ocurrencia relacionada.
10
IR A M- I SO 31 0 00 :2 0 15
NOTA 5. La incertidumbre es el estado, incluso parcial, de la deficiencia de información, entendimiento o conocimiento de

un evento, su consecuencia o probabilidad.
NOTA IRAM. Definición 1.1 de la IRAM-ISO 73:2013.
2.2
gestión del riesgo
actividades coordinadas para dirigir y controlar una organización con respecto al riesgo (2.1)
2.3
marco de gestión del riesgo
conjunto de elementos que sientan los fundamentos y disposiciones dentro de la organización para
diseñar, implementar, hacer el seguimiento y control (2.28), revisar y mejorar continuamente la
gestión del riesgo (2.2) en toda la organización
NOTA 1. Los fundamentos incluyen la política, los objetivos, las obligaciones y los compromisos para gestionar el riesgo (2.1).
NOTA 2. Las disposiciones de la organización incluyen planes, relaciones, responsabilidades por cargo, recursos, procesos
y actividades.
NOTA 3. El marco de gestión del riesgo está contenido en todas las políticas y las prácticas estratégicas y operativas de la
organización.
NOTA IRAM. Definición 2.1.1 de la IRAM-ISO 73:2013.
2.4
política de gestión del riesgo
declaración de las intenciones y orientaciones generales de una organización relativas a la gestión
del riesgo (2.2)
2.5
actitud frente al riesgo
enfoque de la organización con respecto a la evaluación y eventualmente, la búsqueda, la retención,
la aceptación o la evasión del riesgo (2.1)
NOTA IRAM. Definición 3.7.1.1 de la IRAM-ISO 73:2013.
2.6
plan de gestión del riesgo
esquema dentro del marco de gestión del riesgo (2.3) que especifica el enfoque y los elementos de
gestión y recursos que se aplicarán en la gestión del riesgo (2.1)
NOTA 1. Los elementos de gestión por lo general incluyen los procedimientos, las prácticas, la asignación de responsabili-
dades y el cronograma de las actividades.
NOTA 2. El plan de gestión del riesgo se puede aplicar a un producto, proceso y proyecto determinado y a toda la organiza-
ción o a parte de ella.
2.7
propietario del riesgo
persona o entidad que posee la responsabilidad por cargo y la autoridad para gestionar el riesgo (2.1)
11
IR A M- I SO 31 0 00 :2 0 15
2.8
proceso de gestión del riesgo
aplicación sistemática de las políticas, los procedimientos y las prácticas de gestión a las actividades
de comunicación, consulta, establecimiento del contexto, identificación, análisis, valoración, trata-
miento, seguimiento y control (2.28) y revisión del riesgo (2.1)
2.9
establecimiento del contexto
definición de los parámetros externos e internos a considerar al momento de gestionar el riesgo y fijar
el alcance y los criterios de riesgo (2.22) para la política de gestión del riesgo (2.4)
2.10
contexto externo
entorno externo en el cual la organización busca alcanzar sus objetivos
NOTA. El contexto externo puede incluir:
1. el entorno cultural y social, político, legal, reglamentario, financiero, tecnológico, económico, natural y competitivo, ya
sea a nivel local, regional, nacional o internacional;
2. los factores clave y las tendencias que impactan sobre los objetivos de la organización; y
3. las relaciones con las partes interesadas (2.13) externas y sus percepciones y valores.
2.11
contexto interno
entorno interno en el cual la organización busca alcanzar sus objetivos
NOTA. El contexto interno puede incluir:
1. la gobernanza, la estructura de la organización, los roles y las responsabilidades por cargo;
2. las políticas, los objetivos y las estrategias para alcanzar los objetivos;
3. las capacidades, concebidas en términos de recursos y conocimientos (por ejemplo, capital, tiempo, gente, procesos,
sistemas y tecnologías);
4. los sistemas de información, los flujos de información y los procesos de toma de decisiones (tanto formales como in-
formales);
5. las relaciones con las partes interesadas internas y sus percepciones y valores;
6. la cultura de la organización;
7. las normas, las guías y los modelos adoptados por la organización; y
8. la forma y el alcance de las relaciones contractuales.
12
IR A M- I SO 31 0 00 :2 0 15
2.12
comunicación y consulta
procesos continuos e iterados llevados a cabo por una organización para brindar, compartir u obtener
información y para entablar un diálogo con las partes interesadas (2.13) en relación a la gestión del
riesgo (2.1)
NOTA 1. La información puede estar relacionada con la existencia, la naturaleza, la forma, la probabilidad (2.19), la rele-
vancia, la valoración, la aceptabilidad y el tratamiento de la gestión del riesgo.
NOTA 2. La consulta es un proceso bidireccional de comunicación entre una organización y sus partes interesadas en rela-
ción a un tema antes de tomar una decisión o de determinar un curso de acción al respecto. La consulta es:
1. un proceso que impacta sobre una decisión por medio de la influencia más que de una relación de poder; y
2. una entrada en la toma de decisiones, no la toma de decisiones de manera conjunta.
2.13
parte interesada
persona u organización que puede afectar, estar afectada o considerarse afectada por una decisión o
actividad
NOTA. El responsable de la toma de decisiones puede ser una parte interesada.
2.14
evaluación del riesgo
proceso general de identificación del riesgo (2.15), análisis del riesgo (2.21) y valoración del
riesgo (2.24)
2.15
identificación del riesgo
proceso que permite encontrar, reconocer y describir los riesgos (2.1)
NOTA 1. La identificación del riesgo incluye la identificación de las fuentes de riesgo (2.16), los eventos (2.17), sus cau-
sas y sus consecuencias (2.18) potenciales.
NOTA 2. La identificación del riesgo puede incluir datos históricos, análisis teóricos, opiniones informadas y expertas y las
necesidades de las partes interesadas (2.13).
2.16
fuente de riesgo
elemento que sólo o combinado posee potencial intrínseco para originar el riesgo (2.1)
NOTA. Una fuente de riesgo puede ser tangible o intangible.
2.17
evento
ocurrencia o cambio de un conjunto de circunstancias en particular
NOTA 1. Un evento puede ser una o más ocurrencias y puede tener varias causas.
13
IR A M- I SO 31 0 00 :2 0 15
NOTA 2. Un evento puede ser que algo no pase.
NOTA 3. Un evento en determinadas ocasiones puede denominarse incidente o accidente.
NOTA 4. Un evento sin consecuencias (2.18) también puede denominarse cuasi accidente, incidente, cuasi incidente o
accidente potencial.
2.18
consecuencia
resultado de un evento (2.17) que afecta los objetivos
NOTA 1. Se puede derivar más de una consecuencia de un mismo evento.
NOTA 2. Una consecuencia puede ser cierta o incierta y puede tener efectos positivos o negativos sobre los objetivos.
NOTA 3. Las consecuencias se pueden expresar de manera cualitativa o cuantitativa.
NOTA 4. Las consecuencias iniciales pueden incrementarse debido a los efectos secundarios.
2.19
probabilidad
posibilidad de que ocurra algo
NOTA 1. Según la terminología relacionada con la gestión del riesgo, la palabra probabilidad se utiliza para hacer referencia
a la posibilidad de que ocurra algo, ya sea definida, medida o determinada de manera objetiva o subjetiva, cualitativa o
cuantitativamente y descripta matemáticamente o en términos generales [como, por ejemplo, la probabilidad matemática o
la frecuencia durante un período determinado].
NOTA 2. En algunos idiomas el término inglés “likelihood” no posee un equivalente directo. Por lo tanto, generalmente se
utiliza un equivalente del término probabilidad. Sin embargo, en inglés, el término “probability” se interpreta específicamente
como un término matemático. En consecuencia, en la terminología relacionada con la gestión del riesgo, el término de pro-
babilidad “likelihood” se utiliza con el mismo significado amplio que posee el término probabilidad en muchos otros idiomas
distintos del inglés.
2.20
perfil de riesgo
descripción de cualquier conjunto de riesgos (2.1)
NOTA. El conjunto de riesgos puede incluir aquellos riesgos relacionados con toda la organización o con una parte de ella,
o como se lo haya definido en el alcance.
2.21
análisis del riesgo
proceso cuyo objetivo es comprender la naturaleza del riesgo (2.1) y determinar el nivel de riesgo
(2.23)
NOTA 1. El análisis del riesgo proporciona la base para la valoración del riesgo (2.24) y las decisiones con respecto al
tratamiento del riesgo (2.25).
NOTA 2. El análisis del riesgo incluye la estimación del riesgo.
14
IR A M- I SO 31 0 00 :2 0 15
2.22
criterios de riesgo
términos de referencia en base a los cuales se evalúa la relevancia del riesgo (2.1)
NOTA 1. Los criterios de riesgo están basados en los objetivos de la organización y en el contexto interno (2.11) y externo
(2.10).
NOTA 2. Los criterios de riesgo pueden surgir de normas, leyes, políticas y otros requisitos.
2.23
nivel de riesgo
magnitud de un riesgo (2.1) o combinación de riesgos, expresada en términos de la combinación de
sus consecuencias (2.18) y su probabilidad (2.19)
2.24
valoración del riesgo
proceso que consiste en comparar los resultados del análisis del riesgo (2.21) con los criterios de
riesgo (2.22) con el fin de determinar si el riesgo (2.1) y/o su magnitud son aceptables o tolerables
NOTA. La valoración del riesgo contribuye al momento de decidir acerca del tratamiento del riesgo (2.25).
2.25
tratamiento del riesgo
proceso para modificar el riesgo (2.1)
NOTA 1. El tratamiento del riesgo puede implicar:
1. evitar el riesgo al decidir no comenzar o no continuar con la actividad que da origen al riesgo;
2. aceptar el riesgo o aumentarlo en búsqueda de una oportunidad;
3. eliminar la fuente de riesgo (2.16)
4. modificar la probabilidad (2.19);
5. modificar las consecuencias (2.18);
6. compartir el riesgo con otra parte o partes (lo que incluye contratos y financiar el riesgo); y
7. retener el riesgo mediante una decisión informada.
NOTA 2. Los tratamientos de riesgos que abordan las consecuencias negativas suelen denominarse mitigación de riesgos,
eliminación de riesgos, prevención de riesgos y reducción de riesgos.
NOTA 3. El tratamiento del riesgo puede crear nuevos riesgos o modificar los riesgos existentes.
2.26
control
medida que modifica el riesgo (2.1)
NOTA 1. Los controles incluyen cualquier proceso, política, dispositivo, práctica u otras acciones que modifiquen el riesgo.
15
IR A M- I SO 31 0 00 :2 0 15
NOTA 2. Puede ocurrir que los controles no siempre produzcan el efecto de modificación deseado o previsto.
2.27
riesgo residual
riesgo (2.1) remanente luego del tratamiento del riesgo (2.25)
NOTA 1. El riesgo residual puede incluir riesgo no identificado.
NOTA 2. También se lo conoce como riesgo retenido.
2.28
seguimiento y control
control, supervisión, observación crítica o determinación del estado de manera continua con el fin de
identificar cambios en el nivel requerido o esperado de desempeño
NOTA. El seguimiento y control puede aplicarse al marco de gestión del riesgo (2.3), al proceso de gestión del riesgo
(2.8), al riesgo (2.1) o al control (2.26).
2.29
revisión
actividad realizada para determinar la pertinencia, la adecuación y la eficacia del asunto en cuestión
para alcanzar los objetivos establecidos
NOTA. La revisión se puede aplicar al marco de gestión del riesgo (2.3), al proceso de gestión del riesgo (2.8), al ries-
go (2.1) o al control (2.26).
3 PRINCIPIOS
Para que la gestión del riesgo sea eficaz, se recomienda que la organización cumpla, en todos los ni-
veles, con los principios siguientes.
a) La gestión del riesgo crea y protege valor.

La gestión del riesgo contribuye a demostrar el logro de los objetivos y la mejora en el desempeño
relacionado, por ejemplo, con la salud y seguridad ocupacional, la seguridad, el cumplimiento legal
y reglamentario, la aceptación pública, la protección del medio ambiente, la calidad del producto, la
gestión de proyectos, la eficiencia en las operaciones, la gobernanza y la reputación.
b) La gestión del riesgo es una parte integral de todos los procesos de la organización.
La gestión del riesgo no es una actividad autónoma e independiente de las principales activida-
des y procesos de la organización. La gestión del riesgo forma parte de las responsabilidades de
la dirección y es una parte integral de todos los procesos de la organización, incluyendo la plani-
ficación estratégica y todos los procesos de gestión de proyectos y gestión del cambio.
c) La gestión del riesgo es parte de la toma de decisiones.

La gestión del riesgo ayuda a los responsables de la toma de decisiones a efectuar elecciones
informadas, a priorizar acciones y a distinguir entre varias alternativas.
16
IR A M- I SO 31 0 00 :2 0 15
d) La gestión del riesgo trata explícitamente la incertidumbre.

La gestión del riesgo tiene en cuenta explícitamente la incertidumbre, la naturaleza de esta incer-
tidumbre y cómo puede tratarse.
e) La gestión del riesgo es sistemática, estructurada y oportuna.

Un enfoque sistemático, oportuno y estructurado de la gestión del riesgo contribuye a la eficien-
cia y a la obtención de resultados coherentes, comparables y confiables.
f) La gestión del riesgo se basa en la mejor información disponible.

Las entradas del proceso de gestión del riesgo se basan en fuentes de información, tales como
datos históricos, experiencias, retroalimentación de las partes interesadas, observaciones, pro-
nósticos y la opinión de los expertos. Sin embargo, se recomienda que los responsables de la
toma de decisiones se informen y tengan en cuenta las limitaciones de los datos o del modelo
usado, o la posibilidad de discrepancia entre los expertos.
g) La gestión del riesgo está hecha a medida.

La gestión del riesgo está alineada con el contexto interno y externo de la organización y con su
perfil de riesgo.
h) La gestión del riesgo tiene en cuenta factores humanos y culturales.

La gestión del riesgo reconoce las capacidades, intenciones y percepciones de la gente interna y
externa que pueden facilitar o dificultar el logro de los objetivos de la organización.
i) La gestión del riesgo es transparente e inclusiva.

La participación adecuada y oportuna de las partes interesadas y, en particular de los responsa-
bles de la toma de decisiones en todos los niveles de la organización, asegura que la gestión del
riesgo siga siendo pertinente y estando actualizada. La participación también le permite a las
partes interesadas estar debidamente representadas y que se tenga en cuenta su perspectiva al
determinar los criterios de riesgo.
j) La gestión del riesgo es dinámica, iterativa y capaz de reaccionar ante los cambios.
La gestión del riesgo continuamente detecta y responde al cambio. En la medida en que ocurren
eventos internos y externos, se modifican el contexto y el conocimiento, se realiza el seguimiento y
control y la revisión del riesgo, surgen nuevos riesgos, algunos se modifican y otros desaparecen.
k) La gestión del riesgo permite la mejora continua de la organización.

Se recomienda que las organizaciones desarrollen e implementen estrategias para mejorar su
madurez en la gestión del riesgo, juntamente con todos los demás aspectos de su organización.
El anexo A contiene información adicional para las organizaciones que deseen gestionar el riesgo
con mayor eficacia.
4 MARCO
4.1 Generalidades
El éxito de la gestión del riesgo depende de la eficacia del marco de gestión que proporciona los fun-
damentos y las disposiciones que se deben incorporar en toda la organización y en todos los niveles.
El marco ayuda a gestionar el riesgo con eficacia a través de la aplicación del proceso de gestión del
riesgo (ver capítulo 5) a diferentes niveles y dentro de contextos específicos dentro la organización.
El marco asegura que la información sobre los riesgos que deriva de ese proceso de gestión del
17
IR A M- I SO 31 0 00 :2 0 15
riesgo se informe y utilice adecuadamente como base para la toma de decisiones y la responsabili-
dad por cargo en todos los niveles pertinentes de la organización.
Este capítulo describe los elementos necesarios del marco de gestión del riesgo y la forma en que se
relacionan de manera iterativa, tal como se muestra en la figura 2.
Figura 2 - Relación entre los elementos del marco de gestión del riesgo
Este marco no pretende prescribir un sistema de gestión, sino más bien ayudar a la organización a
integrar la gestión del riesgo en su sistema de gestión general. Por lo tanto, se recomienda que las
organizaciones adapten los elementos del marco a sus necesidades específicas.
Si las prácticas y procesos de gestión existentes dentro de una organización incluyen los elementos de
la gestión del riesgo o si la organización ya ha adoptado un proceso formal de gestión del riesgo para
determinados tipos de riesgo o situaciones, entonces se recomienda revisarlos y evaluarlos críticamen-
te con respecto a esta norma, incluyendo los atributos que figuran en el Anexo A, para determinar su
suficiencia y eficacia.
4.2 Mandato y compromiso
La introducción de la gestión del riesgo y la garantía de su eficacia continua, requiere un compromiso

firme y sostenido por parte de la dirección de la organización, así como una planificación rigurosa y
estratégica para obtener dicho compromiso en todos los niveles. Se recomienda que la dirección:
1. defina y respalde la política de gestión del riesgo;
2. asegure que la cultura de la organización y la política de gestión del riesgo estén alineadas;
3. defina indicadores de desempeño para la gestión del riesgo que estén alineados con los indica-
dores de desempeño de la organización;
18
IR A M- I SO 31 0 00 :2 0 15
4. alinee los objetivos de gestión del riesgo a los objetivos y estrategias de la organización;
5. asegure el cumplimiento legal y reglamentario;
6. asigne responsabilidades por cargo y responsabilidades a niveles apropiados dentro de la orga-

nización;
7. asegure que se asignen los recursos necesarios para la gestión del riesgo;
8. comunique los beneficios de la gestión del riesgo a todas las partes interesadas;
9. asegure que el marco de gestión del riesgo continúa siendo apropiado.
4.3 Diseño de un marco para gestionar el riesgo
4.3.1 Comprensión de la organización y su contexto

Antes de iniciar el diseño y la implementación del marco para gestionar el riesgo, es importante eva-
luar y comprender tanto el contexto interno como el externo de la organización, ya que estos pueden
influir significativamente en el diseño del marco.
La evaluación del contexto externo de la organización puede incluir, pero no está limitada a:
a) el entorno cultural y social, político, legal, reglamentario, financiero, tecnológico, económico, na-
tural y competitivo, ya sea a nivel local, regional, nacional o internacional;
b) los factores clave y las tendencias que impactan sobre los objetivos de la organización;
c) las relaciones con las partes interesadas externas y sus percepciones y valores.
La evaluación del contexto interno de la organización puede incluir, pero no está limitada a:
3. las capacidades, concebidas en términos de recursos y conocimientos (por ejemplo, capital,

tiempo, gente, procesos, sistemas y tecnologías);
4. los sistemas y los flujos de información y los procesos de toma de decisiones (tanto formales
como informales);
6. las normas, las guías y los modelos adoptados por la organización;
4.3.2 Establecimiento de la política de gestión del riesgo

Se recomienda que la política de gestión del riesgo establezca claramente los objetivos de la organi-
zación para la gestión del riesgo y su compromiso con ésta y en general trate lo siguiente:
1. la lógica de la organización para gestionar el riesgo;
2. las conexiones entre los objetivos y políticas de la organización y la política de gestión del riesgo;
19
IR A M- I SO 31 0 00 :2 0 15
3. las responsabilidades por cargo y responsabilidades en materia de gestión del riesgo;
4. la forma en que se gestionan los conflictos de intereses;
5. el compromiso de asignar los recursos necesarios para asistir a los responsables por cargo y
responsables de la gestión del riesgo;
6. la forma en que se va a medir e informar el desempeño de la gestión del riesgo;
7. el compromiso de revisar y mejorar la política y el marco de gestión del riesgo tanto periódica-
mente como en respuesta a un evento o cambio en las circunstancias.
Se recomienda comunicar adecuadamente la política de gestión del riesgo.
4.3.3 Responsabilidad por cargo

Se recomienda que la organización asegure que haya responsabilidad por cargo, autoridad y compe-
tencia adecuada para gestionar el riesgo, incluyendo la implementación y el mantenimiento del
proceso de gestión del riesgo, y asegurando suficiencia, eficacia y eficiencia en los controles. Esto se
puede facilitar mediante:
1. la identificación de los propietarios del riesgo que tienen responsabilidad por cargo y autoridad
para gestionar los riesgos;
2. la identificación de los responsables por cargo del desarrollo, la implementación y el manteni-

miento del marco de gestión del riesgo;
3. la identificación de otras personas responsables del proceso de gestión del riesgo en todos los
niveles de la organización;
4. el establecimiento de la medición del desempeño, y los procesos de presentación de informes in-

ternos y externos y de escalamiento;
5. el aseguramiento de los niveles adecuados de reconocimiento.
4.3.4 Integración con los procesos de la organización

Se recomienda incorporar la gestión del riesgo en todas las prácticas y los procesos de la organiza-
ción de manera pertinente, eficaz y eficiente. Se recomienda que el proceso de gestión del riesgo se
convierta en parte integral de esos procesos y que no se lo separe. En particular, se recomienda que
la gestión del riesgo se incorpore al desarrollo de políticas, a la planificación y la revisión estratégica
y de negocios, y a los procesos de gestión del cambio.
Se recomienda que haya un plan de gestión del riesgo para toda la organización con el fin de asegu-
rar que la política de gestión del riesgo esté implementada y que la gestión del riesgo se incorpore en
todas las prácticas y procesos de la organización. El plan de gestión del riesgo se puede integrar con
otros planes de la organización, tales como el plan estratégico.
4.3.5 Recursos
Se recomienda que la organización asigne los recursos apropiados para la gestión del riesgo.
Se recomienda considerar los siguientes:
1. los recursos humanos, sus habilidades, experiencia y competencias;
20
IR A M- I SO 31 0 00 :2 0 15
2. los recursos necesarios para cada paso del proceso de gestión del riesgo;
3. los procesos, los métodos y las herramientas de la organización que se utilizarán para gestionar
los riesgos;
4. los procesos y procedimientos documentados;
5. los sistemas de gestión de la información y del conocimiento;
6. los programas de capacitación.
4.3.6 Establecimiento de mecanismos de comunicación y presentación de informes internos

Se recomienda que la organización establezca mecanismos de comunicación y presentación de in-
formes internos para apoyar y fomentar la responsabilidad por cargo y la propiedad del riesgo. Se
recomienda que tales mecanismos aseguren que:
1. se comuniquen apropiadamente los componentes clave del marco de gestión del riesgo y sus
subsecuentes modificaciones;
2. exista un proceso adecuado de presentación de informes internos sobre el marco, su eficacia y

sus resultados;
3. la información pertinente derivada de la aplicación de la gestión del riesgo esté disponible en

tiempo y forma en los niveles apropiados;
4. existan procesos de consulta con las partes interesadas internas.
Se recomienda que estos mecanismos incluyan, cuando corresponda, procesos para consolidar la infor-
mación de riesgo a partir de una variedad de fuentes, teniendo en cuenta la sensibilidad de esta
información.
4.3.7 Establecimiento de mecanismos de comunicación y presentación de informes externos

Se recomienda que la organización desarrolle e implemente un plan acerca de la forma de comuni-
cación con las partes interesadas externas. Se recomienda que esto incluya:
1. el compromiso de las partes interesadas externas apropiadas y el aseguramiento de un inter-

cambio eficaz de información;
2. la presentación de informes externos para cumplir con los requisitos legales, reglamentarios y de
gobernanza;
3. la retroalimentación y presentación de informes sobre la comunicación y la consulta;
4. el uso de la comunicación para fomentar la confianza en la organización;
5. la comunicación a las partes interesadas en caso de crisis o contingencia.
Se recomienda que estos mecanismos incluyan, cuando corresponda, procesos para consolidar la in-
formación de riesgo a partir de una variedad de fuentes, teniendo en cuenta la sensibilidad de esta
información.
21
IR A M- I SO 31 0 00 :2 0 15
4.4 Implementación de la gestión del riesgo
4.4.1 Implementación del marco para gestionar el riesgo

Al implementar el marco para gestionar el riesgo, se recomienda que la organización:
1. defina el cronograma y la estrategia apropiados para la implementación del marco;
2. aplique la política y el proceso de gestión del riesgo a los procesos de la organización;
3. cumpla con los requisitos legales y reglamentarios;
4. garantice que la toma de decisiones, incluyendo el desarrollo y establecimiento de los objetivos,

esté alineada con los resultados de los procesos de gestión del riesgo;
5. realice sesiones de información y capacitación;
6. comunique y consulte a las partes interesadas para asegurar que el marco de gestión del riesgo
sigue siendo apropiado.
4.4.2 Implementación del proceso de gestión del riesgo

Se recomienda implementar la gestión del riesgo asegurando que el proceso de gestión del riesgo
descripto en el capítulo 5 se aplique a través de un plan de gestión del riesgo en todos los niveles y
funciones pertinentes de la organización, como parte de sus prácticas y procesos.
4.5 Seguimiento y control, y revisión del marco

Para asegurar que la gestión del riesgo sea eficaz y continúe apoyando el desempeño de la organi-
zación, se recomienda que ésta:
1. mida el desempeño de la gestión del riesgo a través de indicadores, que se revisan periódica-
mente, para asegurar que sea apropiado;
2. mida periódicamente el avance y la desviación con respecto al plan de gestión del riesgo;
3. revise periódicamente si la política, el plan y el marco de gestión del riesgo siguen siendo apro-
piados, según el contexto interno y externo de la organización;
4. informe sobre los riesgos, el avance del plan de gestión del riesgo y el cumplimiento de la políti-
ca de gestión del riesgo;
5. revise la eficacia del marco de gestión del riesgo.
4.6 Mejora continua del marco
Teniendo en cuenta los resultados del seguimiento y control, y de la revisión, se recomienda que se
tomen decisiones sobre la forma en que se puede mejorar la política, el plan y el marco de gestión
del riesgo. Se recomienda que estas decisiones provoquen mejoras en la gestión del riesgo por parte
de la organización y en su cultura de gestión del riesgo.
22
IR A M- I SO 31 0 00 :2 0 15
5 PROCESO
5.1 Generalidades
Se recomienda que el proceso de gestión del riesgo:
1. sea parte integral de la gestión;
2. se incorpore a la cultura y las prácticas;
3. se adapte a los procesos de negocio de la organización.
Éste incluye las actividades descriptas en 5.2 a 5.6. El proceso de gestión del riesgo se muestra en la
figura 3.
Figura 3 - Proceso de gestión del riesgo
5.2 Comunicación y consulta

Se recomienda que la comunicación y la consulta con las partes interesadas internas y externas se
realicen en todas las etapas del proceso de gestión del riesgo.
23
IR A M- I SO 31 0 00 :2 0 15
Por lo tanto, se recomienda:
1. que los planes de comunicación y consulta se desarrollen en una etapa temprana;
2. que estos planes traten las cuestiones relacionadas con el riesgo en sí mismo, sus causas, sus
consecuencias (si se conocen) y las medidas que se han adoptado para tratarlo;
3. realizar comunicación y consulta, tanto interna como externa, eficaces para asegurar que los res-
ponsables por cargo de la implementación del proceso de gestión del riesgo y las partes
interesadas entiendan los fundamentos con los cuales se toman las decisiones y las razones por las
cuales se requieren acciones específicas.
El enfoque de un equipo consultivo puede:
1. ayudar a establecer el contexto apropiadamente;
2. asegurar que las necesidades de las partes interesadas se comprendan y consideren;
3. contribuir a asegurar que los riesgos estén debidamente identificados;
4. reunir diferentes áreas de especialización para que en forma conjunta analicen los riesgos;
5. asegurar que los distintos puntos de vista sean considerados adecuadamente al definir los criterios y
la valoración del riesgo;
6. asegurar la aprobación y el apoyo a un plan de tratamiento;
7. intensificar una apropiada gestión del cambio durante el proceso de gestión del riesgo;
8. desarrollar un plan adecuado para la comunicación y la consulta interna y externa.
La comunicación y la consulta con las partes interesadas es importante debido a que ellas juzgan el
riesgo basándose en sus percepciones. Estas percepciones pueden variar debido a diferencias en
los valores, las necesidades, las suposiciones, los conceptos y las preocupaciones de las partes in-
teresadas. Como sus puntos de vista pueden tener un impacto significativo sobre las decisiones
tomadas, se recomienda que las percepciones de las partes interesadas se identifiquen, se registren
y se tengan en cuenta en el proceso de la toma de decisiones.
Se recomienda que la comunicación y la consulta faciliten el intercambio de información veraz, perti-

nente, exacta y comprensible, teniendo en cuenta aspectos de integridad personal y confidencialidad.
5.3 Establecimiento del contexto
5.3.1 Generalidades
Al establecer el contexto, la organización articula sus objetivos, define los parámetros internos y ex-
ternos a considerar al gestionar los riesgos, y establece el alcance y los criterios de riesgo para el
resto del proceso.
A pesar de que muchos de estos parámetros son similares a los considerados en el diseño del marco
de gestión del riesgo (ver 4.3.1), cuando se establece el contexto para el proceso de gestión del ries-
go, se los necesita considerar con mayor detalle y, en particular, la forma en que se relacionan con el
alcance del proceso de gestión del riesgo específico.
24
IR A M- I SO 31 0 00 :2 0 15
5.3.2 Establecimiento del contexto externo

El contexto externo es el entorno externo en el cual la organización busca alcanzar sus objetivos.
Comprender el contexto externo es importante para asegurar que los objetivos y las preocupaciones
de las partes interesadas externas se consideren al desarrollar los criterios de riesgo. El contexto ex-
terno se basa en el contexto de toda la organización, pero con detalles específicos acerca de los
requisitos legales y reglamentarios, las percepciones de las partes interesadas y otros aspectos de
los riesgos específicos al alcance del proceso de gestión del riesgo.
El contexto externo puede incluir, pero no está limitado a:
1. el entorno cultural y social, político, legal, reglamentario, financiero, tecnológico, económico, na-
tural y competitivo, ya sea a nivel local, regional, nacional o internacional;
2. los factores clave y las tendencias que impactan sobre los objetivos de la organización;
3. las relaciones con las partes interesadas externas y sus percepciones y valores.
5.3.3 Establecimiento del contexto interno

El contexto interno es el entorno interno en el cual la organización busca alcanzar sus objetivos.
Se recomienda que el proceso de gestión del riesgo esté alineado con la cultura, los procesos, la es-
tructura y la estrategia de la organización. El contexto interno es todo lo que se encuentra dentro de
la organización y que puede influir en la forma en la que la organización gestiona el riesgo. Se reco-
mienda su establecimiento porque:
a) la gestión del riesgo tiene lugar en el contexto de los objetivos de la organización;
b) los objetivos y los criterios para un proyecto, proceso o actividad en particular, se consideran a la
luz de los objetivos de la organización en su conjunto;
c) algunas organizaciones no reconocen las oportunidades para alcanzar sus objetivos estratégicos
de proyecto o de negocio, y esto afecta a la continuidad del compromiso de la organización, su
credibilidad, su confianza y su valor.
Es necesario comprender el contexto interno. Este puede incluir, pero no se limita a:
3. las capacidades, concebidas en términos de recursos y conocimientos (por ejemplo capital,

tiempo, recursos humanos, procesos, sistemas y tecnologías);
4. los sistemas y los flujos de información y los procesos de toma de decisiones (tanto formales
como informales);
6. la cultura de la organización;
7. las normas, las guías y los modelos adoptados por la organización;
25
IR A M- I SO 31 0 00 :2 0 15
5.3.4 Establecimiento del contexto del proceso de gestión del riesgo

Se recomienda establecer los objetivos, las estrategias, el alcance y los parámetros de las actividades de
la organización, o de aquellas partes de la organización en la cuales el proceso de gestión del riesgo se
aplica. Se recomienda emprender la gestión del riesgo teniendo en cuenta la necesidad de justificar los
recursos utilizados para llevar a la práctica la gestión del riesgo. También se recomienda especificar los
recursos necesarios, las responsabilidades y autoridades, y los registros que se deben mantener.
El contexto del proceso de gestión del riesgo varía de acuerdo a las necesidades de la organización.
Este puede incluir, pero no se limita a:
1. la definición de las metas y objetivos de las actividades de gestión del riesgo;
2. la definición de las responsabilidades dentro del proceso de gestión del riesgo;
3. la definición del alcance así como también la profundidad y la amplitud de las actividades de ges-
tión del riesgo a ser llevadas a cabo, agregando las inclusiones y exclusiones específicas;
4. la definición de la actividad, el proceso, la función, el proyecto, el producto, el servicio o el activo

en términos de tiempo y ubicación;
5. la definición de la relación entre un proyecto, proceso o actividad específico y otros proyectos,

procesos o actividades de la organización;
6. la definición de las metodologías de evaluación del riesgo;
7. la definición de la manera en que se evalúan el desempeño y la eficacia de la gestión del riesgo;
8. la identificación y la especificación de las decisiones que se deben tomar;
9. la identificación, la definición del alcance o las limitaciones de los estudios necesarios, su exten-
sión y objetivos, y de los recursos necesarios para tales estudios.
Se recomienda que la atención a estos y otros factores pertinentes asegure que el enfoque de ges-
tión del riesgo adoptado sea apropiado a las circunstancias, a la organización y a los riesgos que
afectan el logro de sus objetivos.
5.3.5 Definición de los criterios de riesgo
Se recomienda que:
a) la organización defina los criterios que se van a utilizar para valorar la importancia del riesgo;
b) los criterios reflejen los valores, objetivos y recursos de la organización. Algunos criterios pueden
ser impuestos por, o derivados de, requisitos legales y reglamentarios y otros requisitos a los
que la organización esté sujeta;
c) los criterios de riesgo sean coherentes con la política de gestión del riesgo de la organización
(ver 4.3.2), se definan al comienzo de cualquier proceso de gestión del riesgo y se revisen conti-
nuamente.
Al definir los criterios de riesgo, se recomienda incluir los factores siguientes:
1. la naturaleza y los tipos de causas y consecuencias que pueden ocurrir y cómo se van a medir;
2. cómo se va a definir la probabilidad;
26
IR A M- I SO 31 0 00 :2 0 15
3. la evolución temporal de la probabilidad y/o de las consecuencias;
4. cómo se va determinar el nivel de riesgo;
5. los puntos de vista de las partes interesadas;
6. el nivel al cual el riesgo se convierte en aceptable o tolerable;
7. si se toma en cuenta la combinación de múltiples riesgos, cómo y qué combinaciones considerar.
5.4 Evaluación del riesgo
5.4.1 Generalidades
La evaluación del riesgo es el proceso general de identificación, análisis y valoración del riesgo.
NOTA. La ISO/IEC 31010 ofrece guías sobre las técnicas de evaluación del riesgo.
5.4.2 Identificación del riesgo

Se recomienda que la organización identifique las fuentes de riesgo, las áreas de impacto, los eventos
(incluyendo cambios en las circunstancias) y sus causas y potenciales consecuencias. El propósito de
este paso es generar una lista completa de los riesgos sobre la base de aquellos eventos que puedan
originar, incrementar, prevenir, disminuir, retrasar o acelerar el logro de objetivos. Es importante identifi-
car aquellos riesgos asociados a no aprovechar una oportunidad. La identificación completa es crítica,
porque el riesgo que no se identifica en esta etapa no se incluirá en el análisis posterior.
Se recomienda que la identificación del riesgo incluya todos los riesgos, estén o no sus fuentes bajo
el control de la organización, aún cuando la fuente o causa del riesgo no sea evidente. Se recomien-
da que la identificación del riesgo incluya la consideración de los efectos secundarios de
consecuencias concretas, incluyendo efectos acumulativos y en cascada. También es recomendable
considerar una amplia gama de consecuencias, incluso cuando la fuente o causa del riesgo no sea
evidente. Además de identificar lo que puede suceder, es necesario considerar las posibles causas y
escenarios que muestran las consecuencias que pueden ocurrir. Se recomienda considerar todas las
causas y consecuencias significativas.
Se recomienda que la organización utilice herramientas y técnicas de identificación del riesgo que
sean apropiadas a sus objetivos y capacidades y a los riesgos que enfrenta. En la identificación del
riesgo es importante contar con información actualizada y pertinente. Cuando sea posible, se reco-
mienda incluir antecedentes apropiados. También se recomienda involucrar a personas que cuenten
con el conocimiento apropiado para la identificación del riesgo.
5.4.3 Análisis del riesgo

El análisis del riesgo consiste en desarrollar una comprensión del riesgo. El análisis del riesgo pro-
porciona una entrada para la valoración del riesgo, para decidir si éste necesita tratarse y sobre las
estrategias y los métodos de tratamiento más adecuados. El análisis del riesgo también puede servir
de entrada para la toma de decisiones cuando es necesario elegir alternativas y las opciones impli-
can diferentes tipos y niveles de riesgo.
El análisis del riesgo implica considerar las causas y las fuentes de riesgo, sus consecuencias positi-
vas o negativas, y la probabilidad de que esas consecuencias ocurran. Se recomienda identificar los
factores que afectan la probabilidad y las consecuencias. El riesgo se analiza determinando las con-
secuencias y su probabilidad y otros atributos del riesgo. Un evento puede tener múltiples
27
IR A M- I SO 31 0 00 :2 0 15
consecuencias y puede afectar múltiples objetivos. También se recomienda tener en cuenta los con-
troles existentes y su eficacia y eficiencia.
Se recomienda que la forma en que las consecuencias y la probabilidad se expresan y la forma en

que se combinan para determinar un nivel de riesgo reflejen el tipo de riesgo, la información disponi-
ble y el propósito para el cual se va a utilizar el resultado de la evaluación. Es recomendable que
todo esto sea coherente con los criterios de riesgo. También es importante tener en cuenta la inter-
dependencia de los distintos riesgos y sus fuentes.
Se recomienda considerar en el análisis la confianza en la determinación del nivel de riesgo y su sensibi-

lidad a los prerrequisitos y a los supuestos y comunicarlo eficazmente a los responsables de la toma de
decisiones y, cuando corresponda, a otras partes interesadas. Se recomienda definir y recalcar los facto-
res, como la diferencia de opinión entre los expertos, la incertidumbre, la disponibilidad, la calidad, la
cantidad y la pertinencia continua de la información, o las limitaciones del modelado.
El análisis del riesgo se puede realizar con diferentes grados de detalle, dependiendo del riesgo, del
propósito del análisis, y de la información, los datos y los recursos disponibles. Dependiendo de las
circunstancias, el análisis puede ser cualitativo, semicuantitativo o cuantitativo o una combinación de
éstos.
Las consecuencias y su probabilidad se pueden determinar mediante el modelado de los resultados

de un evento o conjunto de eventos, o por la extrapolación de los estudios experimentales o de los
datos disponibles. Las consecuencias se pueden expresar en términos de impacto tangible o intangi-
ble. En algunos casos, se requiere más de un valor numérico o descriptor para especificar las
consecuencias y su probabilidad en diferentes momentos, lugares, grupos o situaciones.
5.4.4 Valoración del riesgo

Basados en los resultados del análisis del riesgo, el propósito de la valoración es ayudar a decidir,
cuáles riesgos necesitan tratamiento y la prioridad en la implementación de éste.
La valoración del riesgo implica la comparación del nivel de riesgo detectado durante el proceso de
análisis con los criterios de riesgo que fueron establecidos cuando se consideró el contexto. Basán-
dose en esta comparación, se puede considerar la necesidad de tratamiento.
Se recomienda que las decisiones tengan en cuenta el contexto más amplio del riesgo e incluyan
consideraciones acerca de la tolerancia al riesgo de las partes que no son la organización implicada
en el riesgo. Se recomienda tomar decisiones de acuerdo a los requisitos legales, reglamentarios y a
otros requisitos.
En algunas circunstancias, la valoración del riesgo puede dar lugar a la decisión de realizar un análisis
más detallado. También, la valoración del riesgo puede conducir a la decisión de no tratar el riesgo de
ninguna otra manera salvo la de mantener los controles existentes. Esta decisión se verá influenciada por
la actitud de la organización frente al riesgo y de los criterios de riesgo que se hayan establecido.
5.5 Tratamiento del riesgo
5.5.1 Generalidades
El tratamiento del riesgo implica la selección de una o más opciones para modificar los riesgos, y la
implementación de tales opciones. Una vez implementado, el tratamiento ofrece nuevos controles o
modifica los ya existentes.
28
IR A M- I SO 31 0 00 :2 0 15
El tratamiento del riesgo implica el proceso cíclico de:
1. evaluar un tratamiento del riesgo;
2. decidir si los niveles de riesgo residual son tolerables;
3. si no fuesen tolerables, implementar un nuevo tratamiento del riesgo;
4. evaluar la eficacia del tratamiento.
Las opciones para el tratamiento del riesgo no son, necesariamente, mutuamente excluyentes, o
apropiadas en todas las circunstancias. Las opciones pueden incluir las siguientes:
a) evitar el riesgo al decidir no comenzar o no continuar con la actividad que da origen al riesgo;
b) aceptar el riesgo o aumentarlo en búsqueda de una oportunidad;
c) eliminar la fuente de riesgo;
d) modificar la probabilidad;
e) modificar las consecuencias;
f) compartir el riesgo con otra parte o partes (lo que incluye contratos y financiar el riesgo);
g) retener el riesgo mediante una decisión informada.
5.5.2 Selección de las opciones para el tratamiento del riesgo
Seleccionar la opción más adecuada para el tratamiento del riesgo implica balancear los costos y los
esfuerzos de implementación versus los beneficios obtenidos, con respecto a los requisitos legales,
reglamentarios u otros requisitos, tales como la responsabilidad social y la protección del medio am-
biente. Se recomienda que las decisiones, además, tengan en cuenta los riesgos que requieren un
tratamiento que no es económicamente justificable, por ejemplo, los riesgos graves (gran conse-
cuencia negativa) pero raros (probabilidad baja).
Algunas opciones para el tratamiento se pueden considerar y aplicar tanto individualmente como
combinadas. La organización normalmente puede beneficiarse con la adopción de una combinación
de opciones para el tratamiento.
Al seleccionar las opciones para el tratamiento del riesgo, se recomienda que la organización consi-
dere los valores y las percepciones de las partes interesadas y los medios más adecuados para
comunicarse con ellas. Cuando las opciones para el tratamiento del riesgo pueden tener algún im-
pacto sobre el riesgo en alguna otra parte de la organización o sobre las partes interesadas, se
recomienda que estas estén involucradas en la decisión. Aunque sean igualmente efectivos, algunos
tratamientos pueden ser más aceptables para algunas partes interesadas que para otras.
Se recomienda que el plan de tratamiento identifique claramente el orden de prioridad en que se re-
comienda implementar cada tratamiento del riesgo en particular.
El tratamiento del riesgo, por sí mismo, puede introducir riesgos. Un riesgo significativo puede ser la fa-
lla o ineficacia de las medidas de tratamiento del riesgo. El seguimiento y control tiene que ser parte
integral del plan de tratamiento del riesgo para asegurar que las medidas continúan siendo eficaces.
El tratamiento del riesgo también puede introducir riesgos secundarios a los cuales se necesita evaluar,
tratar, hacer seguimiento y control, y revisar. Estos riesgos secundarios se pueden incorporar dentro del
29
IR A M- I SO 31 0 00 :2 0 15
mismo plan de tratamiento que el riesgo original y no tratarse como un nuevo riesgo. Se recomienda
identificar y preservar el vínculo entre ambos riesgos.
5.5.3 Elaboración e implementación de planes de tratamiento del riesgo

El propósito de los planes de tratamiento del riesgo es documentar cómo se implementarán las op-
ciones seleccionadas para el tratamiento. Se recomienda que la información contenida en los planes
de tratamiento incluya:
1. las razones para la selección de las opciones para el tratamiento, incluyendo los beneficios que
se espera obtener;
2. los responsables por cargo de la aprobación del plan y los responsables de la implementación
del plan;
3. las acciones propuestas;
4. los recursos necesarios, incluidas las contingencias;
5. las medidas y las restricciones de desempeño;
6. los requisitos para la presentación de informes y el seguimiento y control;
7. el cronograma y la programación.
Se recomienda que los planes de tratamiento estén integrados a los procesos de gestión de la orga-
nización y debatidos con las partes interesadas apropiadas.
Se recomienda que los responsables de la toma de decisiones y otras partes interesadas se concien-
ticen acerca de la naturaleza y el grado del riesgo residual después del tratamiento del riesgo. Se
recomienda que el riesgo residual se documente y someta a seguimiento y control, y revisión y,
cuando corresponda, a un tratamiento adicional.
5.6 Seguimiento y control y revisión

Se recomienda que tanto el seguimiento y control como la revisión sean una parte planificada del
proceso de gestión del riesgo e involucren la verificación o supervisión regulares. Puede ser periódi-
ca o ad hoc.
Se recomienda definir claramente las responsabilidades en el seguimiento y control y en la revisión.
Se recomienda que los procesos de seguimiento y control, y revisión de la organización abarquen todos
los aspectos del proceso de gestión del riesgo con el fin de:
1. asegurar que los controles son eficaces y eficientes tanto en el diseño como en la operación;
2. obtener información adicional para mejorar la evaluación de riesgos;
3. analizar y aprender de los eventos (incluyendo los cuasi accidentes), los cambios, las tenden-
cias, los éxitos y los fracasos;
4. detectar cambios en el contexto externo e interno, incluyendo los cambios en los criterios de riesgo y
en el riesgo mismo, que podrían requerir la revisión de los tratamientos del riesgo y sus prioridades;
5. identificar los riesgos emergentes.
30
IR A M- I SO 31 0 00 :2 0 15
El avance en la implementación de los planes de tratamiento del riesgo proporciona una medida del
desempeño. Con respecto al desempeño general de la organización, los resultados se pueden incorpo-
rar en la gestión, la medición y la presentación de informes tanto externos como internos.
Se recomienda registrar los resultados del seguimiento y control y la revisión e informarlos tanto interna
como externamente, cuando corresponda y también se recomienda utilizarlos como entrada para la re-
visión del marco de gestión del riesgo (ver 4.5).
5.7 Registro del proceso de gestión del riesgo

Se recomienda que las actividades de gestión del riesgo sean trazables. En el proceso de gestión de
riesgos, los registros proporcionan los fundamentos para mejorar los métodos y las herramientas, así
como todo el proceso general.
Al tomar decisiones concernientes a la creación de registros, se recomienda tener en cuenta los si-
guientes:
1. las necesidades de aprendizaje continuo por parte de la organización;
2. los beneficios de la reutilización de información con propósitos de gestión;
3. los costos y los esfuerzos involucrados en la creación y el mantenimiento de los registros;
4. las necesidades legales, reglamentarias y operacionales en la creación de registros;
5. el método de acceso, la facilidad de recuperación y los medios de almacenamiento;
6. el período de retención;
7. la sensibilidad de la información.
31
IR A M- I SO 31 0 00 :2 0 15
Anexo A
(Informativo)
Atributos de una gestión avanzada del riesgo
A.1 Generalidades
Se recomienda que todas las organizaciones aspiren a tener un nivel de desempeño de su marco de
gestión del riesgo apropiado a la criticidad de las decisiones que deben tomarse. La lista de atributos
siguiente representa un alto nivel de desempeño en la gestión del riesgo. Para ayudar a las organi-
zaciones a medir su propio desempeño en función de estos criterios, se proporcionan algunos
indicadores tangibles para cada atributo.
A.2 Resultados clave
A.2.1 La organización tiene una comprensión actual, precisa y completa de sus riesgos.
A.2.2 Los riesgos de la organización están dentro de sus criterios de riesgo.
A.3 Atributos
A.3.1 Mejora continua
Se hace hincapié en la mejora continua de la gestión del riesgo a través del establecimiento de me-
tas de desempeño de la organización, a través de la medición, la revisión y la subsecuente
modificación de los procesos, los sistemas, los recursos, la capacidad y las habilidades.
Esto se puede evidenciar por la existencia de metas explícitas de desempeño frente a las cuales se
mide el desempeño de la gestión individual de un directivo así como el de toda la organización. El
desempeño de la organización se puede publicar y comunicar. Normalmente, habrá como mínimo
una revisión anual del desempeño y luego una revisión de los procesos, y el establecimiento de obje-
tivos revisados de desempeño para el período siguiente.
Esta evaluación del desempeño de la gestión del riesgo es parte integral del sistema de evaluación y
medición del desempeño de toda la organización para los sectores y los individuos.
A.3.2 Responsabilidad total por cargo de los riesgos
La gestión avanzada del riesgo incluye la responsabilidad por cargo completa, totalmente definida y
plenamente aceptada por los riesgos, los controles y las tareas de tratamiento del riesgo. Los indivi-
duos designados deben aceptar plenamente su responsabilidad por cargo, estar debidamente
calificados y contar con los recursos adecuados para verificar controles, hacer seguimiento y control
de los riesgos, mejorar los controles y comunicarse eficazmente con las partes interesadas internas y
externas sobre los riesgos y su gestión.
Esto se puede evidenciar cuando todos los miembros de una organización son plenamente conscien-
tes de los riesgos, los controles y las tareas por las cuales son responsables por cargo.
Normalmente, esto está registrado en las descripciones de puesto o cargo, en bases de datos o en
sistemas de información. Se recomienda que la definición de roles, responsabilidades y responsabili-
dades por cargo, relativas a la gestión del riesgo, sea parte de todos los programas de inducción de
la organización.
32
IR A M- I SO 31 0 00 :2 0 15
La organización asegura que los responsables por cargo están preparados para llevar a cabo sus
funciones, proporcionándoles la autoridad, el tiempo, la capacitación, los recursos y las habilidades
suficientes para asumir sus responsabilidades por cargo.
A.3.3 Aplicación de la gestión del riesgo en la toma de todas las decisiones
Toda toma de decisiones dentro de la organización, cualquiera sea su nivel de importancia y tras-
cendencia, implica la consideración explícita de los riesgos y la aplicación de la gestión del riesgo en
algún grado apropiado.
Esto se puede evidenciar mediante los registros de reuniones y decisiones que muestren que se lle-
vó a cabo una discusión explícita sobre los riesgos. Además, se recomienda que se evidencie que
todos los componentes de la gestión del riesgo estén representados dentro de los procesos clave de
toma de decisiones en la organización, por ejemplo, las decisiones sobre la asignación de capital en
grandes proyectos y en la reestructuración y cambios en la organización. Por estas razones, se con-
sidera que una gestión del riesgo con bases sólidas dentro de la organización provee las bases para
una gobernanza eficaz.
A.3.4 Comunicación continua
La gestión avanzada del riesgo incluye comunicaciones continuas con las partes interesadas internas
y externas, incluyendo la presentación de informes completos y frecuentes sobre el desempeño de la
gestión del riesgo, como parte de la buena gobernanza.
Esto se puede evidenciar mediante la comunicación con las partes interesadas como parte integral y
esencial de la gestión del riesgo. La comunicación se considera un proceso bidireccional, de manera
que se puedan tomar apropiadamente decisiones informadas acerca del nivel de riesgo y de la nece-
sidad de su tratamiento, en función de los criterios de riesgo completos adecuadamente establecidos.
La presentación de informes externos e internos, completos y frecuentes tanto sobre los riesgos sig-
nificativos como sobre el desempeño de la gestión del riesgo, contribuyen sustancialmente a la
gobernanza efectiva de una organización.
A.3.5 Integración total con la estructura de gobernanza de la organización
La gestión del riesgo se considera fundamental para los procesos de gestión de la organización, tal
que los riesgos se consideran en términos del efecto de la incertidumbre sobre los objetivos. El pro-
ceso y la estructura de gobernanza se basan en la gestión del riesgo. Los directivos consideran la
gestión eficaz del riesgo como esencial para el logro de los objetivos de la organización.
Esto se evidencia por el lenguaje y los principales materiales escritos por los directivos en la organi-
zación que utilizan el término incertidumbre en relación con los riesgos. Este atributo también
aparece normalmente reflejado en las declaraciones de la política de la organización, en particular,
las relativas a la gestión del riesgo. Normalmente, este atributo se puede comprobar a través de en-
trevistas con los directivos y a través de las evidencias de sus acciones y declaraciones.
33
IR A M- I SO 31 0 00 :2 0 15
Bibliografía ISO
[1] ISO Guide 73:2009, Risk management - Vocabulary.
[2] ISO/IEC 31010, Risk management - Risk assessment techniques.
34
IR A M- I SO 31 0 00 :2 0 15
Anexo B - IRAM
(Informativo)
Bibliografía
En el estudio de esta norma se ha tenido en cuenta la bibliografía siguiente:
ISO - INTERNATIONAL ORGANIZATION FOR STANDARDIZATION

ISO 31000:2009 - Risk management - Principles and guidelines.
35
IR A M- I SO 31 0 00 :2 0 15
Anexo C - IRAM
(Informativo)
Integrantes de los organismos de estudio
El estudio de esta norma ha estado a cargo de los organismos respectivos, integrados en la forma
siguiente:
Subcomité de Gestión de riesgos
Integrante Representa a:
Ing. Alberto ALONSO ANTICIPAR

Mg. Paula M. ANGELERI UNIVERSIDAD DE BELGRANO - FACULTAD DE
TECNOLOGÍA INFORMÁTICA
Sr. Emilio Germán ARIAS GOBIERNO DE LA PROVINCIA DEL NEUQUÉN
Sr. Alberto BESTEIRO PROFESOR DE SISTEMAS
Dr. Guillermo BILICK NUCLEOELÉCTRICA ARGENTINA S.A.
Sr. Ramón BRENNA UNIVERSIDAD DE BUENOS AIRES - FACULTAD
DE DERECHO
Sra. María Celeste CABEZAS NUCLEOELÉCTRICA ARGENTINA S.A.
Ing. Hernán CANTILO CHUBB ARGENTINA SEGUROS
Act. Carolina CASTRO X-PROJECT S.A.
Ing. Néstor CAVA POLICÍA FEDERAL ARGENTINA (PFA) - INSTITUTO
UNIVERSITARIO POLICÍA FEDERAL ARGENTINA
(IUPFA)
Sr. Oscar DÍAZ UNIVERSIDAD DE BUENOS AIRES - FACULTAD
DE MEDICINA
Ing. Norberto A. ESARTE GATECH S.R.L.
Sr. Juan Martín GALGANO AEROLÍNEAS ARGENTINAS S.A. / AUSTRAL
LÍNEAS AÉREAS
Sr. Eric Daniel Abel GARCÍA POLICÍA FEDERAL ARGENTINA (PFA) - INSTITUTO
(IUPFA)
Ing. Gustavo Mario GARFINKIEL MINISTERIO DE TRABAJO, EMPLEO Y SEGURIDAD
SOCIAL (MTSS)
Subcrio. Hugo Sergio GONGORA POLICÍA FEDERAL ARGENTINA (PFA) - DIVISIÓN
DEFENSA CIVIL - SUPERINTENDENCIA FEDERAL
DE BOMBEROS
Dra. Silvia IGLESIAS IT FOR SECURE BUSINESS - SILVIA IGLESIAS Y
ASOC.
Cont. Sonia INSAURRALDE NACIÓN SERVICIOS S.A.
Ing. Raúl José Mario LÓPEZ CONSULTORES DE TECNOLOGÍA E INGENIERÍA
(CTI) S.R.L.
Cont. Luis MALASPINA ACSEG BROKER DE GARANTÍAS S.R.L.
Ay. Nelson MALISZ POLICIA FEDERAL ARGENTINA (PFA) -
SUPERINTENDENCIA FEDERAL DE BOMBEROS -
DIVISIÓN DEFENSA CIVIL
Sra. María Verónica MARCHESE ARMADA ARGENTINA
Sr. Gabriel MAZZINI ECOTEDU EDUCACIONAL
Ing. Liliana MIRA SAYQA SOLUTION PARTNER
36
IR A M- I SO 31 0 00 :2 0 15
Integrante Representa a:
Sra. Fernanda NAVARRO UNIÓN INDUSTRIAL ARGENTINA (UIA)

Sr. Héctor NAIDICH MERCONSULT - CONSULTORA
Lic. Ricardo NIEVAS DEFENSA CIVIL DE LA PROVINCIA DE BUENOS
AIRES (DCPB)
Ing. Flora OTERO UNIÓN INDUSTRIAL ARGENTINA (UIA)
Sr. Jorge H. PAEZ GOBIERNO DE LA CIUDAD DE BUENOS AIRES
(GCBA)
Sr. Ricardo PARAMOS ORGANISMO REGULADOR DE SEGURIDAD DE
PRESAS (ORSEP)
Lic. Espedito PASSARELLO CONSEJO PROFESIONAL DE INGENIERÍA DE
TELECOMUNICACIONES, ELECTRÓNICA Y
COMPUTACIÓN (COPITEC)
Mg. Osvaldo PEREZ INSTITUTO DE INGENIEROS ELÉCTRICOS Y
ELECTRÓNICOS DE ARGENTINA (IEEE)
Cont. Nora PONCE ADMINISTRACIÓN FEDERAL DE INGRESOS
PÚBLICOS (AFIP)
Sra. Evangelina PRANDI NUCLEOELÉCTRICA ARGENTINA S.A.
Lic. Fernando RADICCHI BANCO DE LA NACIÓN ARGENTINA
Sra. Noemí REGENAHS ORGANISMO REGULADOR DE SEGURIDAD
DE PRESAS (ORSEP)
Lic. Leda S. REPETUR NACIÓN SERVICIOS S.A.
Ing. Pablo Miguel F. ROMANOS GREEN 40/CONSULTOR INDEPENDIENTE
Dr. Carlos Fernando ROZEN BDO BECHER Y ASOCIADOS S.R.L.
Lic. Carlos SABAINI UNIÓN INDUSTRIAL ARGENTINA (UIA)
Sr. Luis TORRES X-PROJECT S.A.
Cdr. María Luisa VIVES I.E.B.A. S.A. (COMITÉ DE AUDITORÍA)
Sr. Jonatan WILDER POLICÍA FEDERAL ARGENTINA (PFA) - INSTITUTO
(IUPFA) - TIERRA DEL FUEGO
Ing. Jorge Luis CEBALLOS IRAM
Ing. Flavio DURANTE IRAM
Mg. Carlos SAID IRAM
Lic. Verónica MARINELLI IRAM
Comité General de Normas (C.G.N.)
Integrante Integrante
Ing. Alberto BUSTOS ROYER Dr. Ricardo MACCHI

Dr. José M. CARACUEL Ing. Jorge MANGOSIO
Lic. Alberto CERINI Téc. Hugo D. MARCH
Ing. Ramiro FERNÁNDEZ Lic. Héctor MUGICA
Lic. Alicia GUTIÉRREZ Ing. Tulio PALACIOS
Ing. Jorge KOSTIC Ing. Raúl DELLA PORTA
37
IR A M- I SO 31 0 00 :2 0 15
IR A M- I SO 31 0 00 :2 0 15
IR A M- I SO 31 0 00 :2 0 15
ICS 03.100.01
* CNA 00.00
* Corresponde a la Clasificación Nacional de Abastecimiento asignada por el Servicio Nacional de Catalogación del Ministerio de Defensa.

2.2 1ED NORMA IRAM 31000 Gestion de Riesgo (2015)

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

2.2 1ED NORMA IRAM 31000 Gestion de Riesgo (2015)

Cargado por

Copyright:

Formatos disponibles

NORMA IRAM-ISO

Gestión del riesgo

IRAM es el representante de Argentina en la International

Esta norma es el fruto del consenso técnico entre los diversos

Esta norma es una adopción idéntica (IDT) de la norma

Sólo se han realizado los cambios editoriales siguientes:

Se agregó el capítulo Documentos normativos para consulta.

Se agregaron notas IRAM en el capítulo 2 indicando el origen de

Se agregó un anexo informativo con la bibliografía considerada y

Las normas internacionales se elaboran de acuerdo a las reglas

La tarea principal de los comités técnicos es la de preparar

Es importante señalar la posibilidad de que algunos elementos

La ISO 31000 fue preparada por el ISO Technical Management

1 OBJETO Y CAMPO DE APLICACIÓN ........................................................... 10

DOCUMENTOS NORMATIVOS PARA CONSULTA ......................................... 10

2 TÉRMINOS Y DEFINICIONES ...................................................................... 10

Anexo A (Informativo) Atributos de una gestión avanzada del riesgo................. 32

Anexo B - IRAM (Informativo) Bibliografía .......................................................... 35

Anexo C - IRAM (Informativo) Integrantes de los organismos de estudio........... 36

Gestión del riesgo

1. aumentar la probabilidad de lograr los objetivos;

2. fomentar una gestión proactiva;

3. ser consciente de la necesidad de identificar y tratar los riesgos en toda la organización;

4. mejorar la identificación de oportunidades y amenazas;

6. mejorar la presentación de informes obligatorios y voluntarios;

8. mejorar la confianza de las partes interesadas en sí mismas y en la organización;

9. establecer una base confiable para la toma de decisiones y la planificación;

10. mejorar los controles;

12. mejorar la eficacia y la eficiencia operativa;

14. mejorar la prevención de pérdidas y la gestión de incidentes;

15. minimizar las pérdidas;

16. mejorar el aprendizaje organizacional;

17. mejorar la resiliencia de la organización.

Las actuales prácticas y procesos de gestión en muchas organizaciones incluyen componentes de

1 OBJETO Y CAMPO DE APLICACIÓN

Si bien esta norma proporciona guías genéricas, no es su intención promover la uniformidad en la

Esta norma no está destinada a la certificación.

DOCUMENTOS NORMATIVOS PARA CONSULTA

Para la aplicación de esta norma no es necesaria la consulta de ninguna otra.

NOTA 1. Un efecto es un desvío respecto de lo esperado - ya sea positivo y/o negativo.

NOTA 5. La incertidumbre es el estado, incluso parcial, de la deficiencia de información, entendimiento o conocimiento de

NOTA IRAM. Definición 1.1 de la IRAM-ISO 73:2013.

NOTA IRAM. Definición 2.1.1 de la IRAM-ISO 73:2013.

NOTA IRAM. Definición 2.1.3 de la IRAM-ISO 73:2013.

NOTA IRAM. Definición 3.1 de la IRAM-ISO 73:2013.

NOTA IRAM. Definición 3.3.1 de la IRAM-ISO 73:2013.

NOTA. El contexto externo puede incluir:

NOTA IRAM. Definición 3.3.1.1 de la IRAM-ISO 73:2013.

NOTA. El contexto interno puede incluir:

1. la gobernanza, la estructura de la organización, los roles y las responsabilidades por cargo;

7. las normas, las guías y los modelos adoptados por la organización; y

8. la forma y el alcance de las relaciones contractuales.

NOTA IRAM. Definición 3.3.1.2 de la IRAM-ISO 73:2013.

2. una entrada en la toma de decisiones, no la toma de decisiones de manera conjunta.

NOTA IRAM. Definición 3.2.1 de la IRAM-ISO 73:2013.

NOTA IRAM. Definición 3.2.1.1 de la IRAM-ISO 73:2013.

NOTA IRAM. Definición 3.5.1 de la IRAM-ISO 73:2013.

NOTA IRAM. Definición 3.5.1.2 de la IRAM-ISO 73:2013.

NOTA 2. Un evento puede ser que algo no pase.

NOTA 3. Un evento en determinadas ocasiones puede denominarse incidente o accidente.

NOTA IRAM. Definición 3.5.1.3 de la IRAM-ISO 73:2013.

NOTA 3. Las consecuencias se pueden expresar de manera cualitativa o cuantitativa.

NOTA IRAM. Definición 3.6.1.3 de la IRAM-ISO 73:2013.

NOTA IRAM. Definición 3.6.1.1 de la IRAM-ISO 73:2013.