Está en la página 1de 21

ISO 31000: 2018

Directrices Gestión de Riesgo


NORMA ISO 31000:2018

Gestión del Riesgo - Directrices

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende
superar al estándar original.

AC-GA-I-F-01-01 1
V1 – Agosto 2017
INTERPRETACIÓN NORMA ISO 31000:2018

INTRODUCCIÓN

Esta norma está orientada para crean y proteger a las organizaciones, mediante la
gestión del riesgo, tomando decisiones, definiendo y alcanzando los objetivos y
mejorando el desempeño.
Todas las organizaciones, independiente a su tipo y tamaño, se ven expuestas a
situaciones externas e internas que generan incertidumbre en el logro de sus objetivos.
La gestión del riesgo es participativa y brinda soporte a las organizaciones, para
establecer su estrategia para lograr sus objetivos y tomar decisiones objetivas y
documentadas.
La gestión del riesgo es parte fundamental de la dirección y del liderazgo para orientar
a la organización en todos sus niveles. Esto contribuye al desarrollo y mejora de los
sistemas de gestión.
La gestión del riesgo contempla los contextos externo, interno e incluye el
comportamiento humano y los factores socio culturales.

Objeto y campo de aplicación

Esta norma establece directrices para gestionar el riesgo que enfrentan las
organizaciones. La implementación de estas directrices, se adaptan a cualquier tipo de
organización y a su contexto. Se establece un enfoque común para cualquier tipo de
riesgo y no es específico de una industria o sector. Esta norma se puede implementar
a lo largo de la vida de la organización, aplicarse a todas las actividades, incluso, a la
toma de decisiones.

Referencias normativas

Esta norma no contiene referencias normativas.

Términos y definiciones

Se aplican los siguientes términos y definiciones.

3.1 riesgo

efecto de la incertidumbre sobre los objetivos.

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende
superar al estándar original.

AC-GA-I-F-01-01 2
V1 – Agosto 2017
Nota: Un efecto es una desviación respecto a lo planeado. Puede ser positivo,
negativo o ambos, y puede abordar, crear o resultar en oportunidades y amenazas.
Los objetivos pueden tener diferentes aspectos y categorías, y se pueden aplicar a
diferentes niveles.

Nota: El riesgo se manifiesta en términos de fuentes de riesgo (3.4), eventos (3.5)


potenciales, sus consecuencias (3.6) y sus probabilidades (3.7).

3.2 gestión del riesgo

actividades definidas para dirigir y controlar una organización con respecto al riesgo
(3.1)

3.3 parte interesada

persona u organización que puede afectar, verse afectada, o percibirse como afectada
por una decisión o actividad

3.4 fuente de riesgo

elemento que, por sí solo o en combinación con otros, tiene el potencial de generar
riesgo (3.1)

3.5 evento

ocurrencia o cambio de un conjunto particular de circunstancias

Nota: Un evento puede tener más de una ocurrencias y puede tener varias causas y
varias consecuencias (3.6).

Nota: Un evento también puede ser algo previsto que no llega a ocurrir, o algo
no previsto que ocurre.

Nota: Un evento puede ser una fuente de riesgo.

3.6 consecuencia

resultado de un evento (3.5) que afecta a los objetivos

Nota: Una consecuencia puede ser cierta o incierta y puede tener efectos positivos o
negativos, directos o indirectos sobre los objetivos. Las consecuencias se pueden
manifestar de forma cualitativa o cuantitativa. Una consecuencia puede incrementar
los efectos en cascada y efectos acumulativos.

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende
superar al estándar original.

AC-GA-I-F-01-01 3
V1 – Agosto 2017
3.7 probabilidad

posibilidad de que algo suceda

3.8 control

medida que mantiene y/o modifica un riesgo (3.1)

Nota: Los controles incluyen, cualquier proceso, política, dispositivo, práctica,


condiciones y/o acciones que mantengan y/o modifiquen un riesgo. Los controles no
siempre logran generar el efecto de modificación planificado.

4 Principios

El propósito de la gestión del riesgo es la creación y la protección del valor. Mejora el


desempeño, fomenta la innovación y contribuye al logro de objetivos.

Los principios de la gestión del riesgo, deberían permitirle a la organización, gestionar los
efectos de la incertidumbre sobre sus objetivos.

Para lograr una eficaz gestión del riesgo, se establecen los siguientes principios.

• Integrada: La gestión del riesgo es parte integral de todas las actividades de la


organización.

• Estructurada y exhaustiva: Un enfoque estructurado y exhaustivo hacia la


gestión del riesgo contribuye a resultados coherentes y comparables.

• Adaptada: El marco de referencia y el proceso de la gestión del riesgo se


adaptan y son proporcionales a los contextos externo e interno de la
organización relacionados con sus objetivos.

• Inclusiva: La participación apropiada y oportuna de las partes interesadas


permite que se consideren su conocimiento, puntos de vista y percepciones.
Esto resulta en una mayor toma de conciencia y una gestión del riesgo
informada.

• Dinámica: Los riesgos pueden aparecer, cambiar o desaparecer con los


cambios de los contextos externo e interno de la organización. La gestión del
riesgo anticipa, detecta, reconoce y responde a esos cambios y eventos de una
manera apropiada y oportuna.

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende
superar al estándar original.

AC-GA-I-F-01-01 4
V1 – Agosto 2017
• Mejor información disponible: Las entradas a la gestión del riesgo se basan en
información histórica y actualizada, así como en expectativas futuras. La gestión
del riesgo tiene en cuenta explícitamente cualquier limitación e incertidumbre
asociada con tal información y expectativas. La información debería ser
oportuna, clara y disponible para las partes interesadas pertinentes.

• Factores humanos y culturales: El comportamiento humano y la cultura influyen


considerablemente en todos los aspectos de la gestión del riesgo en todos los
niveles y etapas.

• Mejora continua: La gestión del riesgo mejora continuamente mediante


aprendizaje y experiencia.

5 Marco de referencia

5.1 G ENERALIDADES

La finalidad del marco de referencia de la gestión del riesgo, es orientar a las


organizaciones para integrar la gestión del riesgo en todas sus actividades y funciones
significativas. La eficacia de esta integración depende de la alta dirección y de su toma
de decisiones respecto al riesgo.

La implementación del marco de referencia implica diseñar, implementar, valorar y


mejorar la gestión del riesgo a lo largo de toda la organización.

La organización debería valorar sus actividades y procesos en la gestión del riesgo,


valorar cualquier brecha y abordarlas en el marco de referencia.

Los componentes del marco de referencia y su armonización, deberían adaptarse a


las necesidades y orientaciones de la organización.

5.2 L IDERAZGO Y COMPROMISO

La alta dirección debería establecer que la gestión del riesgo se implemente en todas las
actividades de la organización y evidenciar el liderazgo y compromiso:

- implementar los aspectos del marco de referencia;

- divulgar la orientación y/o la política que defina un enfoque, un plan o una directriz
para la gestión del riesgo;

- establecer los recursos necesarios para la gestión del riesgo;

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende
superar al estándar original.

AC-GA-I-F-01-01 5
V1 – Agosto 2017
- definir la autoridad, responsabilidad y obligatoriedad de rendir cuentas en los
distintos niveles de la organización;

Esto le permitirá lograr a la organización:

- orientar la gestión del riesgo con sus objetivos, estrategia y cultura


organizacional;

- identificar y tener en cuenta todas las obligaciones y sus compromisos


voluntarios;

- identificar la magnitud y los tipos de riesgos que puede o no ser tomados en


cuenta para orientar el desarrollo de los criterios del riesgo, asegurando que se
divulgan a la organización y a sus partes interesadas.

- divulgar la importancia de la gestión del riesgo en la organización y en sus partes


interesadas;

- realizar el seguimiento sistemático de los riesgos;

- Asegura y verificar que el marco de referencia de la gestión del riesgo se mantenga


eficazmente al contexto de la organización.

La alta dirección y los niveles de supervisión, rinden cuentas de la gestión del riesgo
realizada.

Los distintos niveles de supervisión deberán realizar seguimiento periódico para:

— asegurar que los riesgos se establecen eficazmente cuando se definen los objetivos
de la organización;

— comprender los riesgos que la organización enfrenta en el logro de sus objetivos;

— asegurar que en los sistemas se implementa la gestión del riesgo y opera


eficazmente;

— asegurar que los riesgos sean coherentes con el contexto de los objetivos de la
organización;

— asegurar que la información sobre los riesgos y su gestión, se divulgue manera


apropiada.

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende
superar al estándar original.

AC-GA-I-F-01-01 6
V1 – Agosto 2017
5.3 I NTEGR ACIÓN

La integración de la gestión del riesgo depende del conocimiento de la estructura y del


contexto de la organización. Las estructuras organizacionales dependen del propósito,
las metas y la complejidad de la organización. El riesgo se gestiona en todas las
instancias de la estructura de la organización. Todos los miembros de una organización
tienen la responsabilidad de gestionar el riesgo.

La alta dirección orienta el desarrollo de la organización, sus relaciones externas e


internas, las reglas, los procesos y las prácticas necesarias para alcanzar su misión.
Las estructuras de gestión convierten la orientación de la gerencia en la estrategia y
los objetivos necesarios para lograr los resultados planificados de desempeño
sostenible y de viabilidad en el largo plazo. La determinación de los roles para la
rendición de cuentas y la supervisión de la gestión del riesgo dentro de la organización
son partes integrales de la alta dirección.

La integración de la gestión del riesgo en la organización es una actividad dinámica e


interactiva, y se debería adaptar a las necesidades y la cultura de la organización. La
gestión del riesgo debería estar alineada al propósito de la organización, de la alta dirección,
al liderazgo y compromiso, a la estrategia, los objetivos y las operaciones de la
organización.

5.4 D ISEÑO

5.4.1 COMPRENSIÓN DE LA ORGANIZACIÓN Y DE SU CONTEXTO

La organización debería analizar y comprender sus contextos externo e interno para el


diseño del marco de referencia para gestionar el riesgo.

El análisis del contexto externo de la organización puede incluir y no limitarse a:

- los factores sociales, culturales, políticos, legales, reglamentarios, financieros,


tecnológicos, económicos y ambientales ya sea a nivel internacional, nacional,
regional o local;

- las situaciones clave y las tendencias que pueden afectar los objetivos de la
organización;

- las relaciones, percepciones, valores, necesidades y expectativas de las partes


interesadas externas;

- las relaciones contractuales y los compromisos adquiridos, entre otras.

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende
superar al estándar original.

AC-GA-I-F-01-01 7
V1 – Agosto 2017
El análisis del contexto interno de la organización puede incluir y no limitarse a:

- la misión, la visión y los valores;

- la alta dirección, la estructura de la organización, los roles, las responsabilidades


y la rendición de cuentas;

- las políticas, la estrategia y los objetivos;

- la cultura de la organización;

- las normas, las directrices y los modelos adoptados por la organización;

- las capacidades, los recursos y conocimientos (por ejemplo, capital, tiempo,


personas, propiedad intelectual, procesos, sistemas y tecnologías);

- los datos, los sistemas de información y el flujo de la información;

- las relaciones con las partes interesadas internas, teniendo en cuenta sus
percepciones y valores;

- los compromisos contractuales y otros compromisos;

- las relaciones entre las distintas instancias de la organización.

5.4.2 ARTICULACIÓN DEL COMPROMISO CON LA GESTIÓN DEL RIESGO

La alta dirección y los niveles de supervisión, deberían demostrar su compromiso


continuo con la gestión del riesgo mediante una política, una declaración u otras formas
que expresen claramente los objetivos y el compromiso de la organización con la
gestión del riesgo.

El compromiso debería incluir, entre otros aspectos:

- la finalidad de la organización para gestionar el riesgo y la relación con sus


objetivos y otras políticas;

- divulgar e integrar la gestión del riesgo en la cultura de la organización;

- liderar la integración de la gestión del riesgo en todas las actividades del


negocio y en la toma de decisiones;

- establecer la obligatoriedad, las autoridades y las responsabilidades de rendir


cuentas;

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende
superar al estándar original.

AC-GA-I-F-01-01 8
V1 – Agosto 2017
- establecer la disponibilidad de los recursos necesarios;

- definir las actividades para el manejo de los objetivos en discusión;

- la medición y la información como parte de los indicadores de desempeño de la


organización;

- la revisión y la mejora.

El compromiso con la gestión del riesgo, se debería comunicar interna, externamente;


y a las partes interesadas de manera eficaz.

5.4.3 ASIGNACIÓN DE ROLES, AUTORIDADES, RESPONSABILIDADES Y OBLIGACIÓN DE RENDIR


CUENTAS EN LA ORGANIZACIÓN

La alta dirección y los niveles de supervisión, deberían asegurarse que las autoridades,
las responsabilidades y la obligación de rendir cuentas con respecto a la gestión del
riesgo, se asignen y comuniquen a todos los niveles de la organización y deberían:

- precisar que la gestión del riesgo es una responsabilidad fundamental;

- establecer las personas que tienen asignada la responsabilidad de rendir cuentas


y la autoridad para gestionar el riesgo (dueños del riesgo).

5.4.4 ASIGNACIÓN DE RECURSOS

La alta dirección y los niveles de supervisión, deberían asegurar la asignación de los


recursos para la gestión del riesgo, que pueden incluir:

- las personas, las habilidades, la experiencia y las competencias;

- los procesos, los métodos y las herramientas asignadas para gestionar el riesgo;

- los procesos y procedimientos documentados;

- los sistemas de gestión de la información y del conocimiento;

- el desarrollo profesional y las necesidades de formación.

La organización debería identificar las competencias y limitaciones de los recursos


existentes.

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende
superar al estándar original.

AC-GA-I-F-01-01 9
V1 – Agosto 2017
5.4.5 ESTABLECIMIENTO DE LA COMUNICACIÓN Y LA CONSULTA

La organización debería establecer las actividades necesarias para gestionar la relación


entre la comunicación y la consulta, para apoyar el marco de referencia y facilitar la
aplicación eficaz de la gestión del riesgo. La comunicación implica compartir
información con las partes interesadas. La consulta implica que los participantes faciliten la
retroalimentación para que contribuya a las decisiones u otras actividades. Los
métodos y el contenido de la comunicación y la consulta deberían reflejar las
expectativas de las partes interesadas, cuando sea pertinente.

La comunicación y la consulta deberían ser oportunas y asegurar que se recopile,


consolide, sintetice y comparta la información pertinente y que se proporcione
retroalimentación y se lleven a cabo mejoras.

5.5 I MPLEMENTACIÓN

La organización debería implementar el marco de referencia de la gestión del riesgo


mediante:

- La definición de un plan, que incluya plazos y recursos;

- la identificación de dónde, cuándo, cómo y quién toma diferentes tipos de


decisiones en toda la organización;

- la modificación de los procesos para la toma de decisiones,

- asegurar que las decisiones de la organización para gestionar el riesgo, son


claramente comprendidas y puestas en práctica.

La implementación del marco de referencia requiere el compromiso y la toma de


conciencia de las partes interesadas. Esto permite a las organizaciones analizar la
incertidumbre en la toma de decisiones, al tiempo que asegura que cualquier
incertidumbre nueva o subsiguiente se pueda tener en cuenta cuando surja.

El marco de referencia de la gestión del riesgo asegura, que sea parte de todas
actividades en toda la organización, incluyendo la toma de decisiones, y que los
cambios en los contextos externo e interno se identifican de manera eficaz.

5.6 V ALOR ACIÓN

Para evaluar la eficacia del marco de referencia de la gestión del riesgo, la


organización debería:

- evaluar periódicamente el desempeño de la gestión del riesgo con relación a su

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende
superar al estándar original.

AC-GA-I-F-01-01 10
V1 – Agosto 2017
propósito, sus planes para la implementación, sus indicadores y el
comportamiento esperado;

- determinar si se mantiene el desempeño de la gestión, para apoyar el logro de


los objetivos de la organización.

5.7 M EJOR A

5.7.1 ADAPTACIÓN

La organización debería realizar el seguimiento continuo y adaptar el marco de


referencia de la gestión del riesgo, de acuerdo a los cambios externos e internos. Al
desarrollar esta actividad, la organización puede mejorar su desempeño.

5.7.2 MEJORA CONTINUA

La organización debería mejorar continuamente la idoneidad, adecuación y eficacia


del marco de referencia de la gestión del riesgo y la manera en la que se integra el
proceso de la gestión del riesgo.

Cuando se identifiquen brechas u oportunidades de mejora, la organización debería


implementar planes, actividades y asignar a responsabilidad a quien tenga que rendir
cuentas de sus resultados. Una vez implementadas, estas mejoras deberían contribuir
al fortalecimiento de la gestión del riesgo.

6 Proceso

6.1 G ENERALIDADES

Las actividades para la gestión del riesgo implican la implementación sistemática de


políticas, procedimientos y prácticas a las actividades de comunicación y consulta,
establecimiento del contexto y evaluación, tratamiento, seguimiento, revisión, registro
e informe del riesgo.

Las actividades de la gestión del riesgo deberían ser parte integral de la gestión y de la
toma de decisiones, se debería integrar a la estructura, a las operaciones y a los procesos
de la organización. Estas actividades se pueden aplicar a nivel estratégico, operacional, a
programas y proyectos.

Se pueden aplicar las actividades de la gestión del riesgo al interior de la organización,


a los objetivos y a los contextos externo e interno.

A lo largo del proceso de la gestión del riesgo se debería considerar la naturaleza


dinámica y variable del comportamiento humano y de la cultura.
Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende
superar al estándar original.

AC-GA-I-F-01-01 11
V1 – Agosto 2017
Las actividades de la gestión del riesgo se presentan de manera secuencial, y en la
práctica es interactivo.

6.2 C OMUNICACIÓN Y CONSULTA

La finalidad de la comunicación y consulta, es asegurar que las partes interesadas


comprendan el riesgo, las actividades con las que se toman decisiones y las razones
por las que son necesarias tomar acciones específicas. La comunicación promueve la
toma de conciencia y la comprensión del riesgo, mientras que la consulta implica
obtener retroalimentación e información para apoyar la toma de decisiones. Una
coordinación cercana entre ambas debería facilitar un intercambio de información
basado en hechos, oportuno, pertinente, exacto y comprensible, teniendo en cuenta la
confidencialidad e integridad de la información, así como el derecho a la privacidad de
las personas.

La comunicación y consulta con las partes interesadas externas e internas, se debería


realizar en todas y cada una de las etapas del proceso de la gestión del riesgo.

La comunicación y consulta pretende:

- reunir diferentes áreas para cada etapa del proceso de la gestión del riesgo;

- asegurar que se toma en cuenta, los diferentes puntos de vista cuando se definen
los criterios del riesgo y cuando se valoran los riesgos;

- entregar la información necesaria para facilitar el seguimiento del riesgo y la toma de


decisiones;

- desarrollar un sentido de inclusión entre las personas afectadas por el riesgo.

6.3 A LCANCE , CONTEXTO Y CRITERIOS

6.3.1 GENERALIDADES

El objetivo de establecer el alcance, el contexto y los criterios, es implementar el proceso


de la gestión del riesgo, para lograr una evaluación y un tratamiento eficaz del riesgo. El
alcance, el contexto y los criterios implican definir el alcance del proceso, y comprender
los contextos externo e interno.

6.3.2 DEFINICIÓN DEL ALCANCE

La organización debería definir el alcance de sus actividades de gestión del riesgo.

El proceso de la gestión del riesgo se puede aplicarse a niveles distintos (por ejemplo:
estratégico, operacional, de programa, de proyecto u otras actividades), es
Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende
superar al estándar original.

AC-GA-I-F-01-01 12
V1 – Agosto 2017
fundamental definir el alcance, teniendo en cuenta, los objetivos de la gestión y su
alineamiento con los objetivos de la organización.

En la planificación del alcance, debería tener en cuenta:

- los objetivos y las decisiones que se requieren tomar;

- los resultados esperados de la gestión del riesgo;

- los tiempos, la ubicación de los riesgos, las inclusiones y las exclusiones


definidas;

- las metodologías y las técnicas utilizadas para la evaluación del riesgo;

- los recursos necesarios, las responsabilidades definidas y los registros a


mantener;

- las relaciones establecidas con otros proyectos, procesos y actividades.

6.3.3 CONTEXTOS EXTERNO E INTERNO

Los contextos externo e interno son el entorno en el cual la organización ejecuta sus
actividades para definir y lograr sus objetivos.

El contexto del proceso de la gestión del riesgo se debería establecer a partir de la


comprensión de los entornos externo e interno en los cuales opera la organización y
debería evidenciar el entorno específico de la actividad, en la cual se implementará la
gestión del riesgo.

La comprensión del contexto es importante porque:

- la gestión del riesgo se desarrolla en el contexto de los objetivos y las actividades de


la organización;

- los aspectos organizacionales pueden ser una fuente generadora de riesgo;

- el propósito y alcance del proceso de la gestión del riesgo puede estar


interrelacionado con los objetivos de la organización como un todo;

La organización debería establecer los contextos externo e interno del proceso de la


gestión del riesgo considerando los factores mencionados en 5.4.1.

6.3.4 DEFINICIÓN DE LOS CRITERIOS DEL RIESGO

La organización debería definir la cantidad y el tipo de riesgo que puede o no puede


Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende
superar al estándar original.

AC-GA-I-F-01-01 13
V1 – Agosto 2017
asumir, con relación a los objetivos. También debería definir los criterios para evaluar
la importancia del riesgo y para apoyar la toma de decisiones. Los criterios del riesgo
se deberían relacionar con el marco de referencia de la gestión del riesgo y adaptarlos
al propósito y alcance de la actividad considerada. Los criterios del riesgo deberían
evidenciar los valores, objetivos y recursos de la organización y ser coherentes con las
políticas y declaraciones acerca de la gestión del riesgo. Los criterios del riesgo, se
deberían determinar teniendo en cuenta las obligaciones de la organización y los puntos
de vista de sus partes interesadas.

Aunque los criterios del riesgo se deberían establecer al principio del proceso de la
evaluación del riesgo, éstos pueden ser cambiantes y se deberían revisarse
periódicamente y de ser necesario, se modificados.

Para establecer los criterios del riesgo, se debería tener en cuenta:

- la naturaleza y los tipos de las incertidumbres (riesgos) que pueden


afectar a los resultados y objetivos;

- cómo se van a establecer y medir las consecuencias (tanto positivas como


negativas) y la probabilidad;

- los aspectos relacionados con el tiempo;

- la pertinencia en el uso de las mediciones;

- cómo se va a establecer el nivel de riesgo;

- cómo se tendrán en cuenta las relaciones y las secuencias de múltiples riesgos;

- la capacidad de la organización para la gestión.

6.4 E VALUACIÓN DEL RIESGO

6.4.1 GENERALIDADES

La evaluación del riesgo es el proceso global de su identificación, análisis y valoración


del riesgo.

La evaluación del riesgo se debería llevar a cabo de manera sistemática, interactiva y


colaborativa, basándose en el conocimiento y los puntos de vista de las partes
interesadas. Se debería definir y utilizar la información disponible para su evaluación.

6.4.2 IDENTIFICACIÓN DEL RIESGO

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende
superar al estándar original.

AC-GA-I-F-01-01 14
V1 – Agosto 2017
El objetivo de la identificación del riesgo es reconocer y describir los riesgos que
pueden ayudar o impedir a la organización lograr sus objetivos. Para la identificación
de los riesgos es importante contar con la información pertinente y actualizada.

La organización puede utilizar diferentes técnicas para identificar incertidumbres (riesgos)


que pueden afectar a uno o varios objetivos. Se deberían tener en cuenta los siguientes
aspectos:

- las fuentes de riesgo;

- las causas y los eventos,

- las amenazas y las oportunidades;

- las vulnerabilidades y las capacidades;

- los cambios en los contextos externo e interno;

- los indicadores de riesgos;

- la naturaleza y el valor de los activos y los recursos;

- las consecuencias y sus impactos en los objetivos;

- las limitaciones de conocimiento y la confiabilidad de la información;

- los factores relacionados con el tiempo;

- los prejuicios, los supuestos y las creencias de las personas involucradas.

La organización debería identificar los riesgos, sus fuentes que estén o no bajo su control.
Se debería considerar que puede haber más de un tipo de resultado, que puede dar
lugar a una variedad de consecuencias.

6.4.3 ANÁLISIS DEL RIESGO

El objetivo del análisis del riesgo es comprender las características y el nivel del riesgo.
El análisis del riesgo implica una consideración detallada de las fuentes de riesgo,
consecuencias, probabilidades, eventos, situaciones, controles y su eficacia. Un
evento puede tener múltiples causas y consecuencias y puede afectar a múltiples
objetivos.

El análisis del riesgo se puede ejecutar con diferentes niveles de detalle, depende de la
finalidad del análisis, la disponibilidad de la información y de los recursos. Las técnicas
de análisis pueden ser cualitativas, cuantitativas o una combinación de éstas,

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende
superar al estándar original.

AC-GA-I-F-01-01 15
V1 – Agosto 2017
dependiendo de las circunstancias y del uso previsto.

El análisis del riesgo debería tener en cuenta:

- la probabilidad de los eventos y de las consecuencias;

- la naturaleza y la magnitud de las consecuencias;

- la complejidad y las múltiples relaciones;

- los factores relacionados con el tiempo y la variabilidad de las situaciones;

- la eficacia de los controles existentes;

- los niveles de percepción y confiabilidad.

El análisis del riesgo puede influenciar por opiniones, supuestos, percepciones del
riesgo y juicios de valor y la calidad de la información utilizada, las limitaciones de las
técnicas utilizadas. Estas situaciones se deberían documentar y comunicar a las
personas que toman decisiones.

Los eventos de riesgo pueden ser complejos de cuantificar. Esto puede ser una
situación importante cuando se analizan eventos con consecuencias severas.

El análisis del riesgo proporciona una entrada para la valoración del riesgo, para las
decisiones sobre la manera y tratamiento a implementar para abordar los riesgos. Los
resultados proporcionan una comprensión de la información para tomar decisiones,
cuando se está eligiendo entre distintas alternativas, y las opciones implican diferentes
tipos y niveles de riesgo.

6.4.4 VALORACIÓN DEL RIESGO

El objetivo de la valoración del riesgo es proporcionar información para la toma de


decisiones. La valoración del riesgo implica comparar los resultados del análisis del
riesgo con los criterios del riesgo establecidos para determinar, cuándo se requiere
una acción adicional.

Esto puede establecer una decisión respecto a:

- no tomar acciones adicionales;

- considerar opciones para el tratamiento del riesgo;

- realizar un análisis adicional para comprender mejor el riesgo;

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende
superar al estándar original.

AC-GA-I-F-01-01 16
V1 – Agosto 2017
- mantener los controles existentes;

- evaluar los objetivos.

Las decisiones deberían tener en cuenta un contexto más amplio y las consecuencias
reales y percibidas por las partes interesadas externas e internas.

Los resultados de la valoración del riesgo se deberían registrar, comunicar y revisar con
los distintos niveles que corresponda al interior de la organización.

6.5 T RATAM IENTO DEL RIESGO

6.5.1 GENERALIDADES

El objetivo del tratamiento del riesgo, es seleccionar e implementar las actividades necesarias

para abordar el riesgo.

El tratamiento del riesgo implica:

- formular y seleccionar planes y/o actividades para el tratamiento del riesgo;

- planificar e implementar el tratamiento del riesgo;

- evaluar la eficacia del tratamiento implementado;

- decidir si el riesgo residual es aceptable;

- si no es aceptable, efectuar tratamiento adicional.

6.5.2 SELECCIÓN DE LAS OPCIONES PARA EL TRATAMIENTO DEL RIESGO

La selección de las acciones más apropiadas para el tratamiento del riesgo, para esto,
se debería realizar un balance entre los beneficios potenciales generados por el logro
de los objetivos vrs. los costos o desventajas de la implementación.

Las acciones de tratamiento del riesgo no son necesariamente excluyentes o adecuadas


en todas las circunstancias.

Las acciones para tratar el riesgo pueden tener relación con:

- evitar el riesgo decidiendo no iniciar o continuar con la actividad que genera el


riesgo;

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende
superar al estándar original.

AC-GA-I-F-01-01 17
V1 – Agosto 2017
- aceptar o aumentar el riesgo en busca de una oportunidad;

- eliminar la fuente de riesgo;

- modificar la probabilidad;

- modificar las consecuencias;

- compartir el riesgo (por ejemplo: a través de contratos, compra de seguros);

- retener el riesgo, de acuerdo a una decisión informada.

La justificación para el tratamiento del riesgo debería tener en cuenta lo económico,


las obligaciones de la organización, los compromisos voluntarios y la percepción de
las partes interesadas. La selección de las acciones para el tratamiento del riesgo
debería realizarse de acuerdo con los objetivos de la organización, los criterios del
riesgo y los recursos disponibles, los valores, las percepciones, el involucramiento de
las partes interesadas y los medios más apropiados para comunicarse con ellas y
consultarlas. Algunas partes interesadas pueden aceptar mejor que otras, los diferentes
tratamientos del riesgo.

Los tratamientos del riesgo, pueden no generar los resultados esperados y puede
producir consecuencias no previstas. La realización del seguimiento y la revisión,
necesitan ser parte integral de la implementación del tratamiento del riesgo, para
asegurar que el tratamiento sea eficaz.

El tratamiento del riesgo puede generar nuevos riesgos que requieran ser tratados.

Si por algún motivo, no se tienen disponibles acciones adicionales para el tratamiento


o si las acciones no modifican eficazmente el riesgo, ésta situación se debería registrar
y mantener en continua revisión.

Las personas que toman las decisiones y las otras partes interesadas, deberían tener
conocimiento de la naturaleza y el nivel del riesgo residual después del tratamiento del
riesgo. El riesgo residual se debería documentar y ser objeto de seguimiento, revisión y
de tratamiento adicional, si lo requiere.

6.5.3 PREPARACIÓN E IMPLEMENTACIÓN DE LOS PLANES DE TRATAMIENTO DEL RIESGO

El objetivo de las acciones de tratamiento del riesgo, es determinar la manera en la


que se implementarán las opciones elegidas para el tratamiento, asegurando que las
personas involucradas comprendan las actividades, y que se pueda realizar el
seguimiento a la ejecución de lo planificado. El plan de tratamiento debería identificar

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende
superar al estándar original.

AC-GA-I-F-01-01 18
V1 – Agosto 2017
las actividades, el orden de ejecución e implementación.

Las acciones de tratamiento deberían integrarse en los planes y procesos de la gestión


de la organización, en consulta con las partes interesadas definidas.

La información definida en el plan del tratamiento debería incluir:

- la justificación de la selección de las acciones para el tratamiento, incluyendo los


beneficios esperados;

- las personas que rinden cuentas y aquellas responsables de la aprobación e


implementación del plan;

- las acciones propuestas;

- los recursos necesarios, incluyendo las contingencias;

- las medidas del desempeño;

- las restricciones;

- los informes y seguimiento requeridos;

- los plazos previstos para la realización y la finalización de las acciones.

6.6 S EGUIMIENTO Y REVISIÓN

El objetivo del seguimiento y la revisión es asegurar la eficacia del diseño, la


implementación y los resultados del proceso. El seguimiento y la revisión continua del
proceso de la gestión del riesgo y sus resultados, debería ser una parte planificada del
proceso de la gestión del riesgo, con responsabilidades definidas.

El seguimiento y la revisión deberían tener lugar en todas etapas del proceso. El


seguimiento y la revisión incluyen planificar, recopilar y analizar información, registrar
resultados y proporcionar retroalimentación.

Los resultados del seguimiento y la revisión deberían ser incluidas en todas las
actividades de la gestión del desempeño, de la medición e informar a la organización.

6.7 R EGISTRO E INFORME

Las actividades de la gestión del riesgo y sus resultados, se deberían documentar e


informar a la organización, a través de los medios apropiados.

El informe pretende:

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende
superar al estándar original.

AC-GA-I-F-01-01 19
V1 – Agosto 2017
- comunicar las actividades de la gestión del riesgo y sus resultados a lo largo de
la organización;

- proporcionar información para la toma de decisiones;

- mejorar las actividades de la gestión del riesgo;

- apoyar la relación con las partes interesadas, incluyendo a las personas que
tienen la responsabilidad y la obligación de rendir cuentas de las actividades de
la gestión del riesgo.

Las decisiones con respecto a la creación, conservación y tratamiento de la información


documentada deberían tener en cuenta, las características de la información y los
contextos externo e interno.

El informe es parte integral de la dirección de la organización y debería mejorar la


relación con las partes interesadas, y apoyar a la alta dirección y a los niveles de
supervisión a cumplir sus responsabilidades.

Los aspectos a tener en cuenta en el informe incluyen:

- las diferentes partes interesadas, sus necesidades y requisitos específicos de


información;

- el costo, la frecuencia y los tiempos del informe;

- el método del informe;

- la pertinencia de la información con respecto a los objetivos de la organización


y la toma de decisiones.

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende
superar al estándar original.

AC-GA-I-F-01-01 20
V1 – Agosto 2017