Documentos de Académico
Documentos de Profesional
Documentos de Cultura
5.7 Registro del proceso de gestión del riesgo 6.7 Registro e informe
Proceso (capítulo 6)
Marco de referencia (Capítulo 5)
Figura 1- Principios, marco de referencia y proceso. Norma ISO 31000:2018 2da. edición
OBJETO Y CAMPO DE
APLICACIÓN
1. RIESGO
• Actividades definidas para dirigir y controlar una organización con respecto al riesgo.
3. FUENTE DE RIESGO
• Elemento que, por sí solo o en combinación con otros, tiene el potencial de generar
riesgo
4. EVENTO
Nota: En color rojo se resaltan los cambios de la norma ISO 31000:2018. Versión 2009: 31 definiciones
5. CONSECUENCIA
6. PROBABILIDAD
7. PARTE INTERESADA
8. CONTROL
Nota: En color rojo se resaltan los cambios de la norma ISO 31000:2018. Versión 2009: 31 definiciones
RIESGO RESIDUAL
RIESGO INHERENTE
Nivel de riesgo que permanece
Es aquel al que se enfrenta luego de tomar medidas de
una entidad en ausencia de tratamiento del riesgo.
acciones de la dirección para
modificar su probabilidad o Es aquel que subsiste,
impacto. después de haber
implementado controles.
IMPACTO O
INCERTIDUMBRE CONSECUENCIAS
Es el desconocimiento si un Resultados si se llegara a
hecho o situación ocurrirá. materializar el riesgo
identificado.
a) Integrada
b)
g) Mejora
Estructurada
continua
y exhaustiva
f) Factores Creación y
humanos y protección c) Adaptada
culturales
del valor
e) Mejor
información d) Inclusiva
disponible
e) Dinámica
INTEGRADA
La gestión del riesgo es parte integral de todas las actividades de la organización.
ESTRUCTURADA Y EXHAUSTIVA
Un enfoque estructurado y exhaustivo hacia la gestión del riesgo contribuye a resultados coherentes y
comparables.
ADAPTADA
El marco de referencia y el proceso de la gestión del riesgo se adaptan y son proporcionales a los
contextos externo e interno de la organización relacionados con sus objetivos.
INCLUSIVA
La participación apropiada y oportuna de las partes interesadas permite que se consideren su
conocimiento, puntos de vista y percepciones.
DINÁMICA
Los riesgos pueden aparecer, cambiar o desaparecer con los cambios de los contextos externo e interno
de la organización. La gestión del riesgo anticipa, detecta, reconoce y responde a esos cambios y eventos
de una manera apropiada y oportuna.
MEJORA CONTINUA
La gestión del riesgo mejora continuamente mediante aprendizaje y experiencia.
c) Es parte de la toma de
• Ayuda a tomar decisiones y priorizar acciones.
decisiones
d) Tiene en cuenta la
• La incertidumbre y su naturaleza.
explícitamente incertidumbre.
i) Dinámica, interactiva y da
• Responde a cambios internos y externos.
respuesta al cambio
Mejora Diseño
Liderazgo y
compromiso
Valoración Implementación
5.3 INTEGRACIÓN
La integración de la gestión del riesgo depende del conocimiento de la
estructura y del contexto de la organización.
La alta dirección y los niveles de La organización debe garantizar que haya rendición de
supervisión, deberían asegurarse que las cuentas, la autoridad y las competencias adecuadas para la
autoridades, las responsabilidades y la gestión del riesgo, incluida la aplicación y mantenimiento del
obligación de rendir cuentas con respecto proceso de gestión de riesgos y garantizar la adecuación,
a la gestión del riesgo, se asignen y eficacia y eficiencia de los controles. Esto puede ser facilitado
comuniquen a todos los niveles de la por:
organización y deberían:
• Identificación de los propietarios de los riesgos:
- Precisar que la gestión del riesgo es responsabilidad y autoridad para administrar los riesgos;
una responsabilidad fundamental; • Identificar al responsable de la elaboración, aplicación y
mantenimiento del marco para manejar el riesgo;
- Establecer las personas que tienen • Identificación de otras responsabilidades de las personas
asignada la responsabilidad de rendir para la gestión de riesgos;
• Establecer la medición del desempeño y externos y/o
cuentas y la autoridad para gestionar
presentación de informes internos;
el riesgo (dueños del riesgo).
• Garantizar niveles adecuados de reconocimiento.
• La organización debería establecer las actividades necesarias para gestionar la relación entre la comunicación y la
consulta, para apoyar el marco de referencia y facilitar la aplicación eficaz de la gestión del riesgo.
• La comunicación implica compartir información con las partes interesadas.
• La consulta implica que los participantes faciliten la retroalimentación para que contribuya a las decisiones u otras
actividades.
• Los métodos y el contenido de la comunicación y la consulta deberían reflejar las expectativas de las partes
interesadas, cuando sea pertinente.
• La organización debe establecer una comunicación interna y los mecanismos de información con el fin de apoyar y
fomentar la responsabilidad y la propiedad de riesgo. Estos mecanismos deberían garantizar que:
• ⎯ Componentes clave del marco de gestión de riesgos, y las modificaciones posteriores, son comunicadas;
• ⎯ Existe información adecuada sobre el marco interno, su eficacia y los resultados;
• ⎯ La información pertinente derivada de la aplicación de gestión de riesgos ISO 31000:2009
• ⎯ Hay procesos de consulta con los grupos de interés internos.
• La organización debe desarrollar e implementar un plan en cuanto a cómo se comunicará con externos las partes
interesadas. Esto implica:
• ⎯ Participar y comunicación eficaz con las partes interesadas externas;
• ⎯ La presentación de informes externos;
• ⎯ Retroalimentación y presentación de informes sobre la comunicación y de consulta;
• ⎯ La comunicación para crear confianza en la organización, y
• ⎯ La comunicación con las partes interesadas en el caso de una crisis o emergencia. ISO 31000:2009
5 MARCO DE REFERENCIA
(ISO 31000:2018)
5.5 IMPLEMENTACIÓN
La organización debería implementar el marco de referencia de la gestión del riesgo
mediante:
- La definición de un plan, que incluya plazos y - La modificación de los procesos para la toma de
recursos; decisiones,
La implementación con éxito del marco de referencia requiere el compromiso y la toma de conciencia de
las partes interesadas. Esto permite a las organizaciones abordar explícitamente la incertidumbre en la toma
de decisiones.
Si se diseña e implementa correctamente, el marco de referencia de la gestión del riesgo asegurará que el
proceso de la gestión del riesgo sea parte de todas actividades en toda la organización, incluyendo la toma
de decisiones, y que los cambios en los contextos externo e interno se captarán de manera adecuada.
5.5 IMPLEMENTACIÓN
4.4 Aplicación de gestión de riesgos (ISO 31000:2009)
4.4.1 Aplicación del marco para la gestión del 4.4.2 La implementación del proceso de gestión
riesgo de riesgos
5.6 VALORACIÓN
Para evaluar la eficacia del marco de referencia de la gestión del riesgo, la organización
debería:
Evaluar periódicamente el desempeño de la
Determinar si se mantiene el desempeño de la
gestión del riesgo con relación a su propósito, sus
gestión, para apoyar el logro de los objetivos de la
planes para la implementación, sus indicadores y
organización.
el comportamiento esperado;
37
5 MARCO DE REFERENCIA
(ISO 31000:2018)
5.7 MEJORA
5.7.1 ADAPTACIÓN
La organización debería realizar el seguimiento continuo y adaptar el marco de referencia de la gestión del
riesgo, de acuerdo a los cambios externos e internos.
• Al desarrollar esta actividad, la organización puede mejorar su desempeño.
Tratamiento,
Seguimiento,
Revisión,
Registro,
6.1 GENERALIDADES
El proceso de la gestión del riesgo debería ser una parte integral de la gestión y de la toma de
decisiones. Puede aplicarse a nivel estratégico, operacional, de programa o de proyecto.
Puede haber muchas aplicaciones del proceso de la gestión del riesgo dentro de la organización,
adaptadas para lograr objetivos, y apropiadas a los contextos externo e interno en los cuales se
aplican.
A lo largo del proceso de la gestión del riesgo se debería considerar la naturaleza dinámica y variable
del comportamiento humano y de la cultura.
Aunque el proceso de la gestión del riesgo se presenta frecuentemente como secuencial, en la
práctica es iterativo.
6.3.1 GENERALIDADES
El objetivo de establecer el alcance, el contexto y los criterios, es implementar el
proceso de la gestión del riesgo, para lograr una evaluación y un tratamiento eficaz
del riesgo. El alcance, el contexto y los criterios implican definir el alcance del
proceso, y comprender los contextos externo e interno.
5.3.1 General
Al establecer el contexto, la organización se articula y define sus objetivos
internos y externos parámetros que deben tenerse en cuenta a la hora de gestión
del riesgo, y establece el alcance y los criterios de riesgo para el proceso
restante.
5.3.1 General
Al establecer el contexto, la organización se articula y define sus objetivos internos y externos parámetros
que deben tenerse en cuenta a la hora de gestión del riesgo, y establece el alcance y los criterios de
riesgo para el proceso restante.
© SGS SA 2012 ALL RIGHTS RESERVED 44
6 PROCESO
(ISO 31000:2018)
ISO 31000:2009
5.3.2 Establecimiento del contexto externo
5.3.3 Establecimiento del contexto interno
5.3.4 Establecimiento del contexto del proceso de gestión del riesgo
© SGS SA 2012 ALL RIGHTS RESERVED 45
6 PROCESO
(ISO 31000:2018)
Definir los criterios para Los criterios del riesgo se Los criterios del riesgo
evaluar la importancia del deberían relacionar con el deberían evidenciar los
riesgo y para apoyar la marco de referencia de la valores, objetivos y
toma de decisiones. gestión del riesgo y recursos de la organización
adaptarlos al propósito y y ser coherentes con las
alcance de la actividad políticas acerca de la
considerada. gestión del riesgo.
• La naturaleza y los tipos de las incertidumbres (riesgos) que pueden afectar a los
resultados y objetivos;
• Cómo se van a establecer y medir las consecuencias (tanto positivas como negativas) y la
probabilidad;
• Los aspectos relacionados con el tiempo;
• La pertinencia en el uso de las mediciones;
• Cómo se va a establecer el nivel de riesgo;
• Cómo se tendrán en cuenta las relaciones y las secuencias de múltiples riesgos;
• La capacidad de la organización para la gestión.
6.4.1 GENERALIDADES
La evaluación del riesgo es el proceso global de su identificación, análisis y valoración del
riesgo. Definir y utilizar la información disponible para su evaluación.
El objetivo de la identificación del riesgo es reconocer y describir los riesgos que pueden
ayudar o impedir a la organización lograr sus objetivos.
La organización puede utilizar diferentes técnicas para identificar incertidumbres (riesgos) que
pueden afectar a uno o varios objetivos. Se deberían tener en cuenta los siguientes aspectos:
Las
Las fuentes de Las causas y los Las amenazas y las
vulnerabilidades y
riesgo; eventos, oportunidades;
las capacidades;
La organización debería identificar los riesgos, sus fuentes que estén o no bajo su control.
© SGS SA 2012 ALL RIGHTS RESERVED 49
6 PROCESO
(ISO 31000:2018)
El análisis del riesgo implica una consideración detallada de las fuentes de riesgo,
consecuencias, probabilidades, eventos, situaciones, controles y su eficacia. Un evento puede
tener múltiples causas y consecuencias y puede afectar a múltiples objetivos.
6.5.1 GENERALIDADES
La selección de las acciones más apropiadas para el tratamiento del riesgo, para esto, se
debería realizar un balance entre los beneficios potenciales generados por el logro de los
objetivos vrs. los costos o desventajas de la implementación.
Evitar el riesgo
decidiendo no iniciar Aceptar o aumentar
Eliminar la fuente de Modificar la
o continuar con la el riesgo en busca de
riesgo; probabilidad;
actividad que genera una oportunidad;
el riesgo;
Compartir el riesgo
Retener el riesgo, de
Modificar las (por ejemplo: a
acuerdo a una
consecuencias; través de contratos,
decisión informada.
compra de seguros);
La justificación para el tratamiento del riesgo debería tener en cuenta lo económico, las
obligaciones de la organización, los compromisos voluntarios y la percepción de las
partes interesadas.
© SGS SA 2012 ALL RIGHTS RESERVED 53
6 PROCESO
(ISO 31000:2018)