Iso 31000 2018 VS Iso 31000 2009

NORMA ISO 31000:2018
DIRECTRICES PARA LA GESTIÓN DEL

RIESGO
OBJETIVO GENERAL
Proporcionar a los participantes los fundamentos y

conocimientos de la norma actualizada ISO
31000:2018, para la gestión del riesgo en las
organizaciones y realizar la comparación con la
versión anterior (ISO 31000:2009).
© SGS SA 2012 ALL RIGHTS RESERVED 2

REFERENCIA CRUZADA
ENTRE LAS NORMAS
ISO 31000:2009 E ISO 31000:2018

ISO 31000:2009 ISO 31000:2018
1. Objeto y campo de aplicación 1. Objeto y campo de aplicación
2. Referencias normativas
2. Términos y definiciones 3. Términos y definiciones
3. Principios 4. Principios
4. Marco de trabajo 5. Marco de referencia
4.1 Generalidades 5.1 Generalidades
4.2 Liderazgo y compromiso 5.2 Liderazgo y compromiso
5.3 Integración
4.3 Diseño del marco de trabajo para la
5.4 Diseño
gestión del riesgo
4.3.1 Comprensión de la organización y su
5.4.1 Comprensión de la organización y su contexto
contexto
5.4.2 Estructuración del compromiso de la gestión
del riesgo
4.3.2 Establecimiento de la política de
5.2 Liderazgo y compromiso
gestión de riesgo

ISO 31000:2009 ISO 31000:2018
5.4.3 Asignación de roles organizacionales,
4.3.3 Rendición de cuentas autoridades, responsabilidades y rendición de
cuentas
4.3.4 Integración en los procesos de la
5.3 Integración en los procesos de la organización
organización
4.3.5 Recursos 5.4.4 Asignación de recursos
4.3.6 Establecimiento de la comunicación
interna y mecanismos de información
5.4.5 Estableciendo la comunicación y consulta
4.3.7 Establecimiento de la comunicación
externa y mecanismos de información
4.4 Implementación de la G.R.
4.4.1 Implementación del marco de trabajo
para la gestión del riesgo 5.5 Implementación
4.4.2 Implementación del proceso de gestión
del riesgo
4.5 Seguimiento y revisión del marco 5.6 Valoración
5.7 Mejora
4.6 Mejora continua del marco de trabajo
5.7.1 Adaptación / 5.7.2 Mejora continua
ISO 31000:2009 ISO 31000:2018
5. Proceso 6. Proceso
5.1 Generalidades 6.1 Generalidades
5.2 Comunicación y consulta 6.2 Comunicación y consulta
5.3 Establecimiento del contexto 6.3 Alcance, contexto y criterios
6.3.1 Generalidades
5.3.1 Generalidades
6.3.2 Definición del alcance
5.3.2 Establecimiento del contexto externo
5.3.3 Establecimiento del contexto interno 6.3.3 Contextos externo e interno
5.3.4 Establecimiento del contexto de la GR

5.3.5 Definición de los criterios de riesgo 6.3.4 Definición de los criterios del riesgo
5.4 Evaluación del riesgo 6.4 Evaluación del riesgo
5.4.1 Generalidades 6.4.1 Generalidades
5.4.2 Identificación del riesgo 6.4.2 Identificación del riesgo
5.4.3 Análisis del riesgo 6.4.3 Análisis del riesgo
5.4.4 Evaluación del riesgo 6.4.4 Evaluación del riesgo

ISO 31000:2009 ISO 31000:2018
5.5 Tratamiento del riesgo 6.5 Tratamiento del riesgo
5.5.1 Generalidades 6.5.1 Generalidades

5.5.2 Selección de opciones de tratamiento de 6.5.2 Selección de opciones para el
riesgos tratamiento del riesgo
5.5.3 Preparación e implementación de los planes 6.5.3 Preparación e implementación de los
de tratamiento del riesgo planes del tratamiento del riesgo
5.6 Seguimiento y revisión 6.6 Seguimiento y revisión
5.7 Registro del proceso de gestión del riesgo 6.7 Registro e informe

ESTRUCTURA E INTERPRETACIÓN
DE LA NORMA ISO 31000:2018

INTRODUCCIÓN
ISO 31000:2009 ISO 31000:2018

 Las organizaciones se enfrentan los factores
internos y externos, creando incertidumbre
sobre si se lograran los objetivos. El efecto que
esto tiene en la incertidumbre en los objetivos
es "el riesgo".  Dirigido a las personas que crean y
protegen el valor en las organizaciones
gestionando riesgos, tomando decisiones,
 Todas las actividades de una organización estableciendo y logrando objetivos y
implican un riesgo. Esta norma escribe este mejorando el desempeño.
proceso sistemático y lógico en detalle.
 Las organizaciones de todos los tipos y

 Establece una serie de principios para que la tamaños se enfrentan a factores e
gestión eficaz del riesgo, integrando la gestión influencias externas e internas que hacen
de riesgos (GR) en la gobernanza de la incierto si lograrán sus objetivos.
organización.

INTRODUCCIÓN
ISO 31000:2009 ISO 31000:2018

 La gestión del riesgo:
 La GR aplica a toda la organización.

 Es iterativa y asiste a las organizaciones a establecer su
 Establece los principios y directrices para la estrategia, lograr sus objetivos y tomar decisiones
GR de manera sistemática, transparente y informadas.
creíble.
 Es parte de la gobernanza y el liderazgo. Fundamental
 Una característica clave de esta norma es para gestionar la organización. Contribuye a la mejora de
la inclusión de "establecer el contexto" los sistemas de gestión.
como una actividad al comienzo de este  Es parte de todas las actividades asociadas con la
proceso de gestión de riesgos genéricos. organización e incluye la interacción con las partes
interesadas.
 Beneficios de su implementación.
 Considera los contextos externo e interno de la
 Esta Norma Internacional está destinada a organización, incluido el comportamiento humano y los
satisfacer las necesidades de una amplia factores culturales.
gama de interesados.  Está basada en los principios, el marco de referencia y el
proceso descritos en este documento, conforme se ilustra
en la Figura 1.

Principios (Capítulo 4)
Proceso (capítulo 6)
Marco de referencia (Capítulo 5)
Figura 1- Principios, marco de referencia y proceso. Norma ISO 31000:2018 2da. edición
OBJETO Y CAMPO DE
APLICACIÓN
ISO 31000:2009 ISO 31000:2018

• Esta norma establece directrices para gestionar el riesgo que enfrentan las organizaciones.
• La implementación de estas directrices, se adaptan a cualquier tipo de organización y a su
contexto.
• Se establece un enfoque común para cualquier tipo de riesgo y no es específico de una
industria o sector.
• Esta norma se puede implementar a lo largo de la vida de la organización, aplicarse a
todas las actividades, incluso, a la toma de decisiones a todos los niveles.
Se pretende que esta Norma Internacional se

utilizará para armonizar la gestión del riesgo en
existentes y las normas futuras.
Nota: En color rojo se resaltan los cambios de la norma ISO 31000:2018.

DIRECTRICES PARA LA GESTIÓN DEL RIESGO
ISO 31000:2018
Riesgo es el efecto de la incertidumbre sobre el logro de los objetivos, es
la probabilidad de que suceda algún tipo de evento que impacta
(consecuencias) los objetivos organizacionales o de los procesos.
La valoración del riesgo se percibe como una amenaza, en este sentido,

los esfuerzos organizacionales se deben dirigir a reducir, mitigar o
eliminar su ocurrencia.
Pero existe también la percepción del riesgo como una oportunidad, lo

cual implica que su gestión está dirigida a maximizar los resultados que
éstos generan.

ADMINISTRACIÓN DEL RIESGO
Un proceso efectuado por la alta dirección y por todo el

personal para proporcionar a la organización un aseguramiento
razonable con respecto al logro de los objetivos.
El enfoque de riesgos no se determina solamente con el uso de

una metodología, sino logrando que la evaluación de los
riesgos se convierta en una parte habitual de los procesos de
planificación y operación de la organización.

CONCEPTOS
FUNDAMENTALES
1. RIESGO
• Efecto de la incertidumbre sobre los objetivos.
2. GESTIÓN DEL RIESGO
• Actividades definidas para dirigir y controlar una organización con respecto al riesgo.
3. FUENTE DE RIESGO
• Elemento que, por sí solo o en combinación con otros, tiene el potencial de generar
riesgo
4. EVENTO
• Ocurrencia o cambio de un conjunto particular de circunstancias:

• Un evento puede tener más de una ocurrencias y puede tener varias causas y varias
consecuencias.
• Un evento también puede ser algo previsto que no llega a ocurrir, o algo no previsto
que ocurre.
• Un evento puede ser una fuente de riesgo.
Nota: En color rojo se resaltan los cambios de la norma ISO 31000:2018. Versión 2009: 31 definiciones

CONCEPTOS
FUNDAMENTALES
5. CONSECUENCIA
• Resultado de un evento que afecta a los objetivos:

• Una consecuencia puede ser cierta o incierta y puede tener efectos positivos o
negativos, directos o indirectos sobre los objetivos.
• Las consecuencias se pueden manifestar de forma cualitativa o cuantitativa. Una
consecuencia puede incrementar los efectos en cascada y efectos acumulativos.
6. PROBABILIDAD
• Posibilidad de que algo suceda
7. PARTE INTERESADA
• Persona u organización que puede afectar , verse afectada, o percibirse como

afectada por una decisión o actividad.
8. CONTROL
• Medida que mantiene y/o modifica un riesgo.
Nota: En color rojo se resaltan los cambios de la norma ISO 31000:2018. Versión 2009: 31 definiciones

OTRAS
DEFINICIONES
RIESGO RESIDUAL
RIESGO INHERENTE
Nivel de riesgo que permanece
Es aquel al que se enfrenta luego de tomar medidas de
una entidad en ausencia de tratamiento del riesgo.
acciones de la dirección para
modificar su probabilidad o Es aquel que subsiste,
impacto. después de haber
implementado controles.
IMPACTO O
INCERTIDUMBRE CONSECUENCIAS
Es el desconocimiento si un Resultados si se llegara a
hecho o situación ocurrirá. materializar el riesgo
identificado.

4. PRINCIPIOS DE LA GESTIÓN DEL RIESGO (ISO 31000:2018)
a) Integrada
b)
g) Mejora
Estructurada
continua
y exhaustiva
f) Factores Creación y
humanos y protección c) Adaptada
culturales
del valor
e) Mejor
información d) Inclusiva
disponible
e) Dinámica
Figura 2- Principios. Norma ISO 31000:2018 2da. edición

4. PRINCIPIOS DE LA GESTIÓN
DEL RIESGO (ISO 31000:2018)
INTEGRADA
La gestión del riesgo es parte integral de todas las actividades de la organización.
ESTRUCTURADA Y EXHAUSTIVA
Un enfoque estructurado y exhaustivo hacia la gestión del riesgo contribuye a resultados coherentes y
comparables.
ADAPTADA
El marco de referencia y el proceso de la gestión del riesgo se adaptan y son proporcionales a los
contextos externo e interno de la organización relacionados con sus objetivos.
INCLUSIVA
La participación apropiada y oportuna de las partes interesadas permite que se consideren su
conocimiento, puntos de vista y percepciones.

DEL RIESGO (ISO 31000:2018)
DINÁMICA
Los riesgos pueden aparecer, cambiar o desaparecer con los cambios de los contextos externo e interno
de la organización. La gestión del riesgo anticipa, detecta, reconoce y responde a esos cambios y eventos
de una manera apropiada y oportuna.
MEJOR INFORMACIÓN DISPONIBLE

Las entradas a la gestión del riesgo se basan en información histórica y actualizada, así como en
expectativas futuras. La gestión del riesgo tiene en cuenta explícitamente cualquier limitación e
incertidumbre asociada con tal información y expectativas. La información debería ser oportuna, clara y
disponible para las partes interesadas pertinentes.
FACTORES HUMANOS Y CULTURALES

El comportamiento humano y la cultura influyen considerablemente en todos los aspectos de la gestión
del riesgo en todos los niveles y etapas.
MEJORA CONTINUA
La gestión del riesgo mejora continuamente mediante aprendizaje y experiencia.

DEL RIESGO ISO 31000:2009
La gestión del riesgo...
• Contribuye a la consecución de los objetivos

a) Crea valor y protege
demostrables y la mejora del rendimiento.
b) Es una parte integral de

• Forma parte de las responsabilidades de gestión y
todos los procesos de
de los procesos.
organización
c) Es parte de la toma de
• Ayuda a tomar decisiones y priorizar acciones.
decisiones
d) Tiene en cuenta la
• La incertidumbre y su naturaleza.
explícitamente incertidumbre.
e) Es sistemática, • Contribuye a la eficiencia y resultados consistentes,

estructurada y oportuna comparables y fiables.

DEL RIESGO ISO 31000:2009
La gestión del riesgo...
• Se basa en fuentes de información tales como datos

f) Se basa en la mejor
históricos, experiencia, entre otros. La gestión del
información disponible
riesgo es a la medida.
g) Toma los factores • Reconoce capacidades, percepciones e intenciones

humanos y culturales en de las personas internas y externas relacionadas con
cuenta. los objetivos de la organización.
• Adecuada y oportuna participación de los

h) Es transparente e inclusiva
interesados y los tomadores de decisiones.
i) Dinámica, interactiva y da
• Responde a cambios internos y externos.
respuesta al cambio
j) Facilita la mejora continua

• Mejorar su grado de madurez de gestión de riesgos
de la organización

5. MARCO DE REFERENCIA
ISO 31000:2018 ISO 31000:2009
• 5.1 GENERALIDADES •4.1 General

•El éxito de la gestión del riesgo dependerá
• La finalidad del marco de referencia de la de la eficacia del marco de gestión que
gestión del riesgo, es orientar a las proporciona las bases y disposiciones.
organizaciones para integrar la gestión del •Ayuda en la gestión de riesgos efectiva
riesgo en todas sus actividades y funciones mediante la aplicación del proceso de
significativas. gestión de riesgos
• La eficacia de esta integración depende de la •Garantiza que la información sobre riesgos
alta dirección y de su toma de decisiones derivados de estos procesos está
respecto al riesgo. adecuadamente organizada y se utiliza
• El desarrollo del marco de referencia implica como base para la toma de decisiones y
integrar, diseñar, implementar, valorar y rendición de cuentas.
mejorar la gestión del riesgo a lo largo de •No es la intención de prescribir un sistema
toda la organización (Figura 3). de gestión, sino más bien para ayudar a la
organización a integrar la gestión de riesgos
en su sistema de gestión global.
•Si ya se incluyen los componentes de la
gestión de riesgos o si ya ha adoptado un
proceso formal de gestión del riesgo, estos
deben ser revisados y evaluados
críticamente en contra de esta norma
internacional.

Integración
Mejora Diseño
Liderazgo y
compromiso
Valoración Implementación
Figura 3- Marco de referencia. Norma ISO 31000:2018 2da. edición

5 MARCO DE REFERENCIA
(ISO 31000:2018)
5.2 LIDERAZGO Y COMPROMISO
La alta dirección debería establecer que la gestión del riesgo se implemente en todas las
actividades de la organización y evidenciar el liderazgo y compromiso:
- Implementar el marco de referencia;

- Divulgar la orientación y/o la política, el plan para la Esto le permitirá lograr a la organización:
gestión del riesgo;
- Establecer los recursos para la GR;
- Orientar la gestión del riesgo con sus objetivos,
- Definir la autoridad y responsabilidad de rendir estrategia y cultura organizacional;
cuentas en los distintos niveles de la organización; - Identificar y tener en cuenta las obligaciones y
sus compromisos voluntarios;
(ISO 31000:2009 – No incluido en la versión 2018) – - Identificar la magnitud y tipos de riesgos que
4.2 Liderazgo y compromiso puede o no ser tomados en cuenta para orientar
 Determinar el riesgo de indicadores de gestión del el desarrollo de los criterios del riesgo;
rendimiento que se alinean con los indicadores de - Divulgar la importancia de la gestión del riesgo
rendimiento de la organización;
en la organización y en sus partes interesadas;
 Asegurar el cumplimiento legal y reglamentario;
- Realizar seguimiento sistemático a los riesgos;
 Comunicar beneficios de la GR a todos los
- Asegurar y verificar que el marco de referencia
interesados;
 Asegurarse de que el marco para la GR sigue de la gestión del riesgo se mantenga eficazmente al
estando en consonancia. contexto de la organización.

(ISO 31000:2018)
5.3 INTEGRACIÓN
 La integración de la gestión del riesgo depende del conocimiento de la
estructura y del contexto de la organización.
 El riesgo se gestiona en todas las instancias de la estructura de la

organización.
 Todos los miembros de una organización tienen la responsabilidad de

gestionar el riesgo.
 La gestión del riesgo debería estar alineada al propósito de la

organización, de la alta dirección, al liderazgo y compromiso, a la
estrategia, los objetivos y las operaciones de la organización.

(ISO 31000:2018)
5.4 DISEÑO
(ISO 31000:2009 – 4.3 / 4.3.1 COMPRENSIÓN DE LA ORGANIZACIÓN Y SU CONTEXTO)
5.4.1 COMPRENSIÓN DE LA ORGANIZACIÓN Y DE SU CONTEXTO

La organización debería analizar y comprender sus contextos externo e interno para
el diseño del marco de referencia para gestionar el riesgo.
El análisis del contexto externo puede incluir:
- Los factores sociales, culturales, políticos, legales, reglamentarios, financieros,

tecnológicos, económicos y ambientales ya sea a nivel internacional, nacional,
regional o local;
- Las situaciones y tendencias que pueden afectar los objetivos de la organización;
- Las relaciones, percepciones, valores, necesidades y expectativas de las partes
interesadas externas;
- Las relaciones contractuales y los compromisos adquiridos, entre otras.

(ISO 31000:2018)
5.4 DISEÑO
(ISO 31000:2009 – 4.3 / 4.3.1 COMPRENSIÓN DE LA ORGANIZACIÓN Y SU CONTEXTO)
5.4.1 COMPRENSIÓN DE LA ORGANIZACIÓN Y DE SU CONTEXTO
El análisis del contexto interno puede incluir:
- La misión, la visión y los valores;

- La alta dirección, la estructura de la organización, los roles, las responsabilidades y la
rendición de cuentas;
- Las políticas, la estrategia, los objetivos y cultura organizacional;
- Las capacidades, los recursos y conocimientos (por ejemplo, capital, tiempo, personas,
propiedad intelectual, procesos, sistemas y tecnologías);
- Los datos, los sistemas de información y el flujo de la información;
- Las relaciones con las partes interesadas internas;
- Los compromisos contractuales y otros compromisos;
- Las relaciones entre las distintas instancias de la organización.

(ISO 31000:2018)
5.4.2 ARTICULACIÓN DEL COMPROMISO CON LA GESTIÓN DEL RIESGO
La alta dirección y los niveles de supervisión, deberían demostrar su compromiso
continuo con la gestión del riesgo mediante una política, una declaración u otras
formas que expresen claramente los objetivos y el compromiso de la organización
con la gestión del riesgo.
El compromiso debería incluir, entre otros
aspectos: - Establecer la disponibilidad de los recursos
necesarios;
- La finalidad de la organización para gestionar
- Definir las actividades para el manejo de los
el riesgo y la relación con sus objetivos y
objetivos en discusión;
otras políticas;
- La medición y la información como parte de los
- Divulgar e integrar la gestión del riesgo en la
indicadores de desempeño de la organización;
cultura de la organización;
- Liderar la integración de la gestión del riesgo - La revisión y la mejora.
en todas las actividades del negocio y en la
toma de decisiones; El compromiso con la gestión del riesgo, se debería
- Establecer la obligatoriedad, las autoridades y comunicar interna, externamente; y a las partes
las responsabilidades de rendir cuentas; interesadas de manera eficaz

(ISO 31000:2018)
5.4.3 ASIGNACIÓN DE ROLES, AUTORIDADES, RESPONSABILIDADES Y

OBLIGACIÓN DE RENDIR CUENTAS EN LA ORGANIZACIÓN
(ISO 31000:2009 - 4.3.3 RENDICIÓN DE CUENTAS)
La alta dirección y los niveles de supervisión, deberían asegurarse que las

autoridades, las responsabilidades y la obligación de rendir cuentas con respecto
a la gestión del riesgo, se asignen y comuniquen a todos los niveles de la
organización y deberían:
- Precisar que la gestión del riesgo es una responsabilidad fundamental;
- Establecer las personas que tienen asignada la responsabilidad de rendir

cuentas y la autoridad para gestionar el riesgo (dueños del riesgo).

(ISO 31000:2018)
ISO 31000:2018 ISO 31000:2009
5.4.3 ASIGNACIÓN DE ROLES, AUTORIDADES, 4.3.3 RENDICIÓN DE CUENTAS

RESPONSABILIDADES Y OBLIGACIÓN DE
RENDIR CUENTAS EN LA ORGANIZACIÓN
La alta dirección y los niveles de La organización debe garantizar que haya rendición de
supervisión, deberían asegurarse que las cuentas, la autoridad y las competencias adecuadas para la
autoridades, las responsabilidades y la gestión del riesgo, incluida la aplicación y mantenimiento del
obligación de rendir cuentas con respecto proceso de gestión de riesgos y garantizar la adecuación,
a la gestión del riesgo, se asignen y eficacia y eficiencia de los controles. Esto puede ser facilitado
comuniquen a todos los niveles de la por:
organización y deberían:
• Identificación de los propietarios de los riesgos:
- Precisar que la gestión del riesgo es responsabilidad y autoridad para administrar los riesgos;
una responsabilidad fundamental; • Identificar al responsable de la elaboración, aplicación y
mantenimiento del marco para manejar el riesgo;
- Establecer las personas que tienen • Identificación de otras responsabilidades de las personas
asignada la responsabilidad de rendir para la gestión de riesgos;
• Establecer la medición del desempeño y externos y/o
cuentas y la autoridad para gestionar
presentación de informes internos;
el riesgo (dueños del riesgo).
• Garantizar niveles adecuados de reconocimiento.

(ISO 31000:2018)
5.4.4 ASIGNACIÓN DE RECURSOS

La alta dirección y los niveles de supervisión, deberían asegurar la
asignación de los recursos para la gestión del riesgo:
Nota: En la norma ISO 31000:2009 este requisito era responsabilidad de la Organización. (4.3.5 Recursos)
- Las personas, las habilidades, la experiencia y las competencias;

- Los procesos, los métodos y las herramientas asignadas para
gestionar el riesgo;
- Los procesos y procedimientos documentados;
- Los sistemas de gestión de la información y del conocimiento;
- El desarrollo profesional y las necesidades de formación.
La organización debería identificar las competencias y limitaciones

de los recursos existentes.

(ISO 31000:2018)
5.4.5 ESTABLECIMIENTO DE LA COMUNICACIÓN Y LA CONSULTA
La organización debería establecer las actividades necesarias para gestionar la

relación entre la comunicación y la consulta, para apoyar el marco de referencia
y facilitar la aplicación eficaz de la gestión del riesgo.
- La comunicación implica compartir información con las partes interesadas.
- La consulta implica que los participantes faciliten la retroalimentación para que

contribuya a las decisiones u otras actividades.
- Los métodos y el contenido de la comunicación y la consulta deberían reflejar

las expectativas de las partes interesadas, cuando sea pertinente.

(ISO 31000:2018)
5.4.5 ESTABLECIMIENTO DE LA COMUNICACIÓN Y LA CONSULTA

ISO 31000:2018
• La organización debería establecer las actividades necesarias para gestionar la relación entre la comunicación y la
consulta, para apoyar el marco de referencia y facilitar la aplicación eficaz de la gestión del riesgo.
• La comunicación implica compartir información con las partes interesadas.
• La consulta implica que los participantes faciliten la retroalimentación para que contribuya a las decisiones u otras
actividades.
• Los métodos y el contenido de la comunicación y la consulta deberían reflejar las expectativas de las partes
interesadas, cuando sea pertinente.
4.3.6 El establecimiento de la comunicación interna y mecanismos de información
• La organización debe establecer una comunicación interna y los mecanismos de información con el fin de apoyar y
fomentar la responsabilidad y la propiedad de riesgo. Estos mecanismos deberían garantizar que:
• ⎯ Componentes clave del marco de gestión de riesgos, y las modificaciones posteriores, son comunicadas;
• ⎯ Existe información adecuada sobre el marco interno, su eficacia y los resultados;
• ⎯ La información pertinente derivada de la aplicación de gestión de riesgos ISO 31000:2009
• ⎯ Hay procesos de consulta con los grupos de interés internos.
4.3.7 El establecimiento de la comunicación externa y los mecanismos de información
• La organización debe desarrollar e implementar un plan en cuanto a cómo se comunicará con externos las partes
interesadas. Esto implica:
• ⎯ Participar y comunicación eficaz con las partes interesadas externas;
• ⎯ La presentación de informes externos;
• ⎯ Retroalimentación y presentación de informes sobre la comunicación y de consulta;
• ⎯ La comunicación para crear confianza en la organización, y
• ⎯ La comunicación con las partes interesadas en el caso de una crisis o emergencia. ISO 31000:2009
(ISO 31000:2018)
5.5 IMPLEMENTACIÓN
La organización debería implementar el marco de referencia de la gestión del riesgo
mediante:
- La definición de un plan, que incluya plazos y - La modificación de los procesos para la toma de
recursos; decisiones,
- La identificación de dónde, cuándo, cómo y - Asegurar que las decisiones de la organización

quién toma diferentes tipos de decisiones para gestionar el riesgo, son claramente
en toda la organización; comprendidas y puestas en práctica.
La implementación con éxito del marco de referencia requiere el compromiso y la toma de conciencia de
las partes interesadas. Esto permite a las organizaciones abordar explícitamente la incertidumbre en la toma
de decisiones.
Si se diseña e implementa correctamente, el marco de referencia de la gestión del riesgo asegurará que el
proceso de la gestión del riesgo sea parte de todas actividades en toda la organización, incluyendo la toma
de decisiones, y que los cambios en los contextos externo e interno se captarán de manera adecuada.

(ISO 31000:2018)
5.5 IMPLEMENTACIÓN
4.4 Aplicación de gestión de riesgos (ISO 31000:2009)
4.4.1 Aplicación del marco para la gestión del 4.4.2 La implementación del proceso de gestión
riesgo de riesgos
En la aplicación del marco de la organización para la

gestión de riesgos, la organización debe:
• Definir el momento oportuno y la estrategia para

la aplicación del marco; La gestión del riesgo, se aplica a través de un plan
• Aplicar la política de gestión de riesgos y el de gestión de riesgos, en todos los niveles y
proceso a los procesos de organización; funciones pertinentes de la organización como
• Cumplir con requisitos legales y reglamentarios; parte de sus prácticas y procesos.
• Asegurar que la toma de decisiones, incluyendo
los objetivos, están alineados;
• Realizar sesiones de información y formación;
• Comunicación y consulta con las partes
interesadas.

(ISO 31000:2018)
5.6 VALORACIÓN
Para evaluar la eficacia del marco de referencia de la gestión del riesgo, la organización
debería:
Evaluar periódicamente el desempeño de la
Determinar si se mantiene el desempeño de la
gestión del riesgo con relación a su propósito, sus
gestión, para apoyar el logro de los objetivos de la
planes para la implementación, sus indicadores y
organización.
el comportamiento esperado;
4.5 Seguimiento y revisión del marco (ISO 31000:2009)

 Con el fin de garantizar que la gestión de riesgos es eficaz y sigue apoyando el desempeño
organizacional, la organización debe:
 Medida de gestión de riesgos en relación con indicadores de rendimiento,;
 Periódicamente medir la desviación de el plan de gestión de riesgos;
 Revisar periódicamente si el marco de gestión de riesgos, la política y el plan siguen siendo
adecuados;
 Informe sobre el riesgo, el progreso con el plan de gestión de riesgos;
 Evaluar la eficacia del marco de gestión de riesgos.
37
(ISO 31000:2018)
5.7 MEJORA
5.7.1 ADAPTACIÓN
La organización debería realizar el seguimiento continuo y adaptar el marco de referencia de la gestión del
riesgo, de acuerdo a los cambios externos e internos.
• Al desarrollar esta actividad, la organización puede mejorar su desempeño.
5.7.2 MEJORA CONTINUA

La organización debería mejorar continuamente la idoneidad, adecuación y eficacia del marco de
referencia de la gestión del riesgo y la manera en la que se integra el proceso de la gestión del riesgo.
• Cuando se identifiquen brechas u oportunidades de mejora, la organización debería implementar
planes, actividades y asignar a responsabilidad a quien tenga que rendir cuentas de sus resultados.
Una vez implementadas, estas mejoras deberían contribuir al fortalecimiento de la gestión del riesgo.
4.6 La mejora continúa del marco (ISO 31000:2009)

Con base en los resultados del seguimiento y opiniones, las decisiones deben tomarse sobre la forma de
gestión de riesgos. Estas decisiones deben conducir a la mejora de la organización de gestión del riesgo y
su cultura de gestión de riesgos.

6 PROCESO
(ISO 31000:2018)
6.1 GENERALIDADES
Las actividades para Políticas,

la gestión del riesgo
implican la Procedimientos,
implementación de:
Actividades de comunicación y consulta,
Establecimiento del contexto y evaluación,
Tratamiento,
Seguimiento,
Revisión,
Registro,
Informe del riesgo

6 PROCESO
(ISO 31000:2018)
6.1 GENERALIDADES
 El proceso de la gestión del riesgo debería ser una parte integral de la gestión y de la toma de
decisiones. Puede aplicarse a nivel estratégico, operacional, de programa o de proyecto.
 Puede haber muchas aplicaciones del proceso de la gestión del riesgo dentro de la organización,
adaptadas para lograr objetivos, y apropiadas a los contextos externo e interno en los cuales se
aplican.
 A lo largo del proceso de la gestión del riesgo se debería considerar la naturaleza dinámica y variable
del comportamiento humano y de la cultura.
 Aunque el proceso de la gestión del riesgo se presenta frecuentemente como secuencial, en la
práctica es iterativo.
5. PROCESO (ISO 31000:2009)

El proceso de gestión de riesgos debe ser
• Una parte integral de la gestión,
• Incrustado en la cultura y prácticas, y
• Adaptados a los procesos de negocio de la organización.

Figura 4- Proceso. Norma ISO 31000:2018 2da. edición
6 PROCESO
(ISO 31000:2018)
6.2 COMUNICACIÓN Y CONSULTA

La finalidad de la comunicación y consulta, es asegurar que las partes interesadas
comprendan el riesgo, las actividades con las que se toman decisiones y las razones por las
que son necesarias tomar acciones específicas.
La comunicación y consulta pretende:
• Reunir diferentes áreas para cada etapa del proceso de la
gestión del riesgo;
• Asegurar que se toma en cuenta, los diferentes puntos de Intercambio de información basado en hechos,
vista cuando se definen los criterios del riesgo y cuando
se valoran los riesgos; oportuno, pertinente, exacto y comprensible,
• Entregar la información necesaria para facilitar el seguimiento teniendo en cuenta la confidencialidad e integridad
del riesgo y la toma de decisiones; de la información
• Desarrollar un sentido de inclusión entre las personas
afectadas por el riesgo.
5.2 Comunicación y consulta (ISO 31000:2009) (No incluido en la versión 2018)
El enfoque de equipo de consulta podrá

• Seguro respaldo y apoyo para un plan de tratamiento;
• Mejorar la gestión del cambio apropiados durante el proceso de gestión de riesgos,

6 PROCESO
(ISO 31000:2018)
6.3 ALCANCE, CONTEXTO Y CRITERIOS
6.3.1 GENERALIDADES
El objetivo de establecer el alcance, el contexto y los criterios, es implementar el
proceso de la gestión del riesgo, para lograr una evaluación y un tratamiento eficaz
del riesgo. El alcance, el contexto y los criterios implican definir el alcance del
proceso, y comprender los contextos externo e interno.
5.3 Establecer el contexto (ISO 31000:2009)
5.3.1 General
Al establecer el contexto, la organización se articula y define sus objetivos
internos y externos parámetros que deben tenerse en cuenta a la hora de gestión
del riesgo, y establece el alcance y los criterios de riesgo para el proceso
restante.

6 PROCESO
(ISO 31000:2018)
6.3 ALCANCE, CONTEXTO Y CRITERIOS
6.3.2 DEFINICIÓN DEL ALCANCE

La organización definirá definir el alcance de las actividades relacionadas con la gestión del
riesgo, puede aplicarse a diferentes niveles y aspectos (por ejemplo: estratégico, operacional,
de programa, de proyecto u otras actividades).
En la planificación del alcance, debería tener en cuenta:

• Los objetivos y las decisiones que se requieren tomar;
• Los resultados esperados de la gestión del riesgo;
• Los tiempos, la ubicación de los riesgos, las inclusiones y las exclusiones definidas;
• Las metodologías y las técnicas utilizadas para la evaluación del riesgo;
• Los recursos necesarios, las responsabilidades definidas y los registros a mantener;
• Las relaciones establecidas con otros proyectos, procesos y actividades.
5.3 Establecer el contexto (ISO 31000:2009)
5.3.1 General
Al establecer el contexto, la organización se articula y define sus objetivos internos y externos parámetros
que deben tenerse en cuenta a la hora de gestión del riesgo, y establece el alcance y los criterios de
riesgo para el proceso restante.
6 PROCESO
(ISO 31000:2018)
6.3.3 CONTEXTOS EXTERNO E INTERNO

Los contextos externo e interno son el entorno en el cual la organización ejecuta sus
actividades para definir y lograr sus objetivos.
La comprensión del contexto es
La gestión del riesgo se desarrolla en el contexto de los objetivos y las

actividades de la organización.
importante porque:
Los aspectos organizacionales pueden ser una fuente generadora de

riesgo;
El propósito y alcance del proceso de la gestión del riesgo puede estar

interrelacionado con los objetivos de la organización como un todo;
ISO 31000:2009
5.3.2 Establecimiento del contexto externo
5.3.3 Establecimiento del contexto interno
5.3.4 Establecimiento del contexto del proceso de gestión del riesgo
6 PROCESO
(ISO 31000:2018)
6.3.4 DEFINICIÓN DE LOS CRITERIOS DEL RIESGO
La organización debería definir la cantidad y el tipo de riesgo que puede o

no puede asumir, con relación a los objetivos.
Definir los criterios para Los criterios del riesgo se Los criterios del riesgo
evaluar la importancia del deberían relacionar con el deberían evidenciar los
riesgo y para apoyar la marco de referencia de la valores, objetivos y
toma de decisiones. gestión del riesgo y recursos de la organización
adaptarlos al propósito y y ser coherentes con las
alcance de la actividad políticas acerca de la
considerada. gestión del riesgo.
Los riesgos pueden ser cambiantes y se deberían revisar

periódicamente y de ser necesario, se modificados.

6 PROCESO
(ISO 31000:2018)
6.3.4 DEFINICIÓN DE LOS CRITERIOS DEL RIESGO
Al establecer los criterios del riesgo, tener en cuenta:
• La naturaleza y los tipos de las incertidumbres (riesgos) que pueden afectar a los
resultados y objetivos;
• Cómo se van a establecer y medir las consecuencias (tanto positivas como negativas) y la
probabilidad;
• Los aspectos relacionados con el tiempo;
• La pertinencia en el uso de las mediciones;
• Cómo se va a establecer el nivel de riesgo;
• Cómo se tendrán en cuenta las relaciones y las secuencias de múltiples riesgos;
• La capacidad de la organización para la gestión.

(ISO 31000:2009 - 5.3.5 Definición de criterios de riesgo)
6 PROCESO
(ISO 31000:2018)
6.4 EVALUACIÓN DEL RIESGO
6.4.1 GENERALIDADES
La evaluación del riesgo es el proceso global de su identificación, análisis y valoración del
riesgo. Definir y utilizar la información disponible para su evaluación.
6.4.2 IDENTIFICACIÓN DEL RIESGO
El objetivo de la identificación del riesgo es reconocer y describir los riesgos que pueden
ayudar o impedir a la organización lograr sus objetivos.
Para la identificación de los riesgos es importante contar con la información pertinente y

actualizada.

(ISO 31000:2009 - 5.4 Evaluación de riesgos / 5.4.1 Generalidades
6 PROCESO
(ISO 31000:2018)
La organización puede utilizar diferentes técnicas para identificar incertidumbres (riesgos) que
pueden afectar a uno o varios objetivos. Se deberían tener en cuenta los siguientes aspectos:
Las
Las fuentes de Las causas y los Las amenazas y las
vulnerabilidades y
riesgo; eventos, oportunidades;
las capacidades;
Los cambios en los La naturaleza y el Las consecuencias

Los indicadores de
contextos externo e valor de los activos y sus impactos en
riesgos;
interno; y los recursos; los objetivos;
Los prejuicios, los

Las limitaciones de
Los factores supuestos y las
conocimiento y la
relacionados con el creencias de las
confiabilidad de la
tiempo; personas
información;
involucradas.
La organización debería identificar los riesgos, sus fuentes que estén o no bajo su control.
6 PROCESO
(ISO 31000:2018)
6.4.3 ANÁLISIS DEL RIESGO
El análisis del riesgo implica una consideración detallada de las fuentes de riesgo,
consecuencias, probabilidades, eventos, situaciones, controles y su eficacia. Un evento puede
tener múltiples causas y consecuencias y puede afectar a múltiples objetivos.
El análisis del riesgo debería tener en cuenta:

• La probabilidad de los eventos y de las consecuencias;
• La naturaleza y la magnitud de las consecuencias;
• La complejidad y las múltiples relaciones;
• Los factores relacionados con el tiempo y la variabilidad de las situaciones;
• La eficacia de los controles existentes;
• Los niveles de percepción y confiabilidad.
Nota: (ISO 31000:2009 - 5.4.3 Análisis de riesgos

6 PROCESO
(ISO 31000:2018)
6.4.4 VALORACIÓN DEL RIESGO
El objetivo de la valoración del riesgo es proporcionar información para la toma de

decisiones. La valoración del riesgo implica comparar los resultados del análisis del riesgo
con los criterios del riesgo establecidos para determinar, cuándo se requiere una acción
adicional.
Establecer una decisión respecto a:
• No tomar acciones adicionales;

• Considerar opciones para el tratamiento del riesgo;
• Realizar un análisis adicional para comprender mejor el riesgo;
• Mantener los controles existentes;
• Evaluar los objetivos.
Los resultados de la valoración del riesgo se deberían registrar, comunicar y revisar

con los distintos niveles que corresponda al interior de la organización

6 PROCESO
(ISO 31000:2018)
6.5 TRATAMIENTO DEL RIESGO
6.5.1 GENERALIDADES
El objetivo del tratamiento del riesgo, es seleccionar e implementar las

actividades necesarias para abordar el riesgo.
Formular y Planificar e Evaluar la Decidir si el Si no es aceptable,

seleccionar implementar eficacia del riesgo residual efectuar tratamiento
planes y/o el tratamiento tratamiento es aceptable; adicional.
actividades
del riesgo; implementado;
para el
tratamiento
del riesgo.

(ISO 31000:2009 - 5.5 Tratamiento del riesgos / 5.5.1 Generalidades
6 PROCESO
(ISO 31000:2018)
6.5.2 SELECCIÓN DE LAS OPCIONES PARA EL TRATAMIENTO DEL RIESGO
La selección de las acciones más apropiadas para el tratamiento del riesgo, para esto, se
debería realizar un balance entre los beneficios potenciales generados por el logro de los
objetivos vrs. los costos o desventajas de la implementación.
Evitar el riesgo
decidiendo no iniciar Aceptar o aumentar
Eliminar la fuente de Modificar la
o continuar con la el riesgo en busca de
riesgo; probabilidad;
actividad que genera una oportunidad;
el riesgo;
Compartir el riesgo
Retener el riesgo, de
Modificar las (por ejemplo: a
acuerdo a una
consecuencias; través de contratos,
decisión informada.
compra de seguros);
La justificación para el tratamiento del riesgo debería tener en cuenta lo económico, las
obligaciones de la organización, los compromisos voluntarios y la percepción de las
partes interesadas.
6 PROCESO
(ISO 31000:2018)
5.5.2 Selección de las opciones de tratamiento del riesgo (ISO 31000:2009)

 La selección de la opción más adecuada el tratamiento de riesgos consiste en equilibrar
los costes y esfuerzos de aplicación frente a los beneficios derivados, en lo que respecta
a personas jurídicas, normativas y otros requisitos como responsabilidad social y la
protección del medio ambiente natural.
 Un número de opciones de tratamiento pueden ser consideradas y aplicadas de forma
individual o en combinación. Para la selección se deben considerar los valores y
percepciones de las partes interesadas y los medios más adecuados para comunicarse
con ellos.
 El plan de tratamiento debe identificar claramente el orden de prioridad en que los
tratamientos individuales de riesgo deben ser práctica. Un riesgo significativo puede ser
la insuficiencia o ineficacia de los riesgos y medidas de tratamiento. El tratamiento de
riesgos también puede introducir riesgos secundarios que deben ser evaluados, tratados,
controlados y revisados.

6 PROCESO
(ISO 31000:2018)
6.5.3 PREPARACIÓN E IMPLEMENTACIÓN DE LOS PLANES DE TRATAMIENTO DEL RIESGO

La finalidad del tratamiento del riesgo, es determinar la manera en la que se implementarán las
actividades para el tratamiento, verificando que las personas involucradas comprendan las
actividades, se realice seguimiento a la ejecución de lo planificado. El plan de tratamiento
debería identificar las actividades, el orden de ejecución e implementación.
El plan del tratamiento puede incluir:
• La justificación de la selección de las acciones para el tratamiento, incluyendo los

beneficios esperados;
• Las personas que rinden cuentas y aquellas responsables de la aprobación e
implementación del plan;
• Las acciones propuestas;
• Los recursos necesarios, incluyendo las contingencias;
• Las medidas del desempeño;
• Las restricciones;
• Los informes y seguimiento requeridos;
• Los plazos previstos para la realización y la finalización de las acciones.

(ISO 31000:2009 - 5.5.3 Elaborar e implementar planes de tratamiento de los riesgos
6 PROCESO
(ISO 31000:2018)
6.6 SEGUIMIENTO Y REVISIÓN

El objetivo del seguimiento y la revisión es asegurar la eficacia del diseño, la implementación y
los resultados del proceso.
Para el seguimiento y la revisión, asignar

responsabilidades.
El seguimiento y la revisión incluyen planificar,

recopilar y analizar información, registrar
resultados y proporcionar retroalimentación.
Los resultados del seguimiento y la revisión

deberían ser incluidas en todas las
actividades de la gestión del desempeño, de
la medición e informar a la organización.

6 PROCESO
(ISO 31000:2018)
5.6 Seguimiento y revisión (ISO 31000:2009)

• Tanto el seguimiento y la revisión debe ser una parte planificada del proceso de gestión
de riesgos y participación regular control o vigilancia. Las responsabilidades de
seguimiento y de evaluación deben estar claramente definidas.
• La vigilancia de la organización y procesos de revisión debe abarcar todos los aspectos
de la gestión del riesgo a efectos de:
• Asegurar que los controles son eficaces y eficientes tanto en el diseño y
funcionamiento;
• Obtener más información para mejorar la evaluación de riesgos;
• Analizar y aprender las lecciones de los acontecimientos
• Detectar cambios en el contexto externo e interno,
• La identificación de riesgos emergentes.
• El progreso en la aplicación de planes de tratamiento del riesgo proporciona una medida
de rendimiento. Los resultados del monitoreo y de evaluación deben ser registrados.

6 PROCESO
(ISO 31000:2018)
6.7 REGISTRO E INFORME
Las actividades de la gestión del riesgo y sus resultados, se deberían
documentar e informar a la organización, a través de los medios apropiados.
- Comunicar las actividades de la gestión del

riesgo y sus resultados a lo largo de la Los aspectos a tener en cuenta en el
organización; informe:
- Proporcionar información para la toma de
decisiones;
- Las diferentes partes interesadas, sus
necesidades y requisitos específicos de
- Mejorar las actividades de la gestión del información;
riesgo; - El costo, la frecuencia y los tiempos del
informe;
- Apoyar la relación con las partes - El método del informe;
interesadas, incluyendo a las personas que
tienen la responsabilidad y la obligación de
- La pertinencia de la información con
rendir cuentas de las actividades de la respecto a los objetivos de la
gestión del riesgo. organización y la toma de decisiones.

6 PROCESO
(ISO 31000:2018)
• 5.7 El registro del proceso de gestión de riesgos (ISO 31000:2009)

• Las actividades de gestión de riesgos deberían ser rastreables. Las
decisiones relativas a la creación de registros deben tener en cuenta:
• Necesidades de la organización para el aprendizaje continuo;
• Los beneficios de la reutilización de la información a efectos de gestión;
• Costos y esfuerzos involucrados en la creación y el mantenimiento de
registros;
• Las necesidades legales, reglamentarias y operativas de los archivos;
• Método de acceso, la facilidad de recuperabilidad y medios de
almacenamiento;
• Período de retención, y
• La sensibilidad de la información.

BIBLIOGRAFÍA
- DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA.

Guía para la administración del riesgo. Bogotá. Diciembre 2014.
- INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN

ICONTEC. Guía Técnica Colombiana. GTC 137. Bogotá 2011
- INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN -

ICONTEC. Norma Técnica Colombiana NTC-IEC/ISO31010. Bogotá. 2013
- ORGANIZACIÓN INTERNACIONAL DE ESTANDARIZACIÓN - ISO

Norma Internacional ISO31000. Ginebra, Suiza 2018

Iso 31000 2018 VS Iso 31000 2009

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Iso 31000 2018 VS Iso 31000 2009

Cargado por

Copyright:

Formatos disponibles

NORMA ISO 31000:2018

DIRECTRICES PARA LA GESTIÓN DEL

Proporcionar a los participantes los fundamentos y

© SGS SA 2012 ALL RIGHTS RESERVED 2

© SGS SA 2012 ALL RIGHTS RESERVED 3

© SGS SA 2012 ALL RIGHTS RESERVED 4

5.3.3 Establecimiento del contexto interno 6.3.3 Contextos externo e interno

5.3.4 Establecimiento del contexto de la GR

5.4.1 Generalidades 6.4.1 Generalidades

5.4.2 Identificación del riesgo 6.4.2 Identificación del riesgo

5.4.3 Análisis del riesgo 6.4.3 Análisis del riesgo

5.4.4 Evaluación del riesgo 6.4.4 Evaluación del riesgo

© SGS SA 2012 ALL RIGHTS RESERVED 6

5.5 Tratamiento del riesgo 6.5 Tratamiento del riesgo

5.5.1 Generalidades 6.5.1 Generalidades

© SGS SA 2012 ALL RIGHTS RESERVED 7

© SGS SA 2012 ALL RIGHTS RESERVED 8

ISO 31000:2009 ISO 31000:2018

 Las organizaciones de todos los tipos y

© SGS SA 2012 ALL RIGHTS RESERVED 9

ISO 31000:2009 ISO 31000:2018

 La GR aplica a toda la organización.

© SGS SA 2012 ALL RIGHTS RESERVED 10

ISO 31000:2009 ISO 31000:2018

Se pretende que esta Norma Internacional se

Nota: En color rojo se resaltan los cambios de la norma ISO 31000:2018.

© SGS SA 2012 ALL RIGHTS RESERVED 12

La valoración del riesgo se percibe como una amenaza, en este sentido,

Pero existe también la percepción del riesgo como una oportunidad, lo

© SGS SA 2012 ALL RIGHTS RESERVED 13

Un proceso efectuado por la alta dirección y por todo el

El enfoque de riesgos no se determina solamente con el uso de

© SGS SA 2012 ALL RIGHTS RESERVED 14

• Efecto de la incertidumbre sobre los objetivos.

2. GESTIÓN DEL RIESGO

• Ocurrencia o cambio de un conjunto particular de circunstancias:

© SGS SA 2012 ALL RIGHTS RESERVED 15

• Resultado de un evento que afecta a los objetivos:

• Posibilidad de que algo suceda

• Persona u organización que puede afectar , verse afectada, o percibirse como

• Medida que mantiene y/o modifica un riesgo.

© SGS SA 2012 ALL RIGHTS RESERVED 16

© SGS SA 2012 ALL RIGHTS RESERVED 17

Figura 2- Principios. Norma ISO 31000:2018 2da. edición

Nota: En color rojo se resaltan los cambios de la norma ISO 31000:2018.

MEJOR INFORMACIÓN DISPONIBLE

FACTORES HUMANOS Y CULTURALES

Nota: En color rojo se resaltan los cambios de la norma ISO 31000:2018.

• Contribuye a la consecución de los objetivos

b) Es una parte integral de

e) Es sistemática, • Contribuye a la eficiencia y resultados consistentes,

© SGS SA 2012 ALL RIGHTS RESERVED 21

• Se basa en fuentes de información tales como datos

g) Toma los factores • Reconoce capacidades, percepciones e intenciones

• Adecuada y oportuna participación de los

j) Facilita la mejora continua

© SGS SA 2012 ALL RIGHTS RESERVED 22

ISO 31000:2018 ISO 31000:2009

• 5.1 GENERALIDADES •4.1 General

© SGS SA 2012 ALL RIGHTS RESERVED 23

Figura 3- Marco de referencia. Norma ISO 31000:2018 2da. edición

- Implementar el marco de referencia;

© SGS SA 2012 ALL RIGHTS RESERVED 25