Especificación

EA 0031

Sistem
ma de gestión del riesgo

Editada e impresa por AENOR L

LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIG
GIRSE A:
Depósito legal: M 20566:2013
© AENOR Julio 2013

Reproducción prohibida Génova, 6 info@[Link] Te

el.: 902 102 201
29 Páginas 28004 MA
ADRID-España [Link] Fa
ax: 913 104 032

Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
 EA 0031:2013

ÍNDICE

Página

0 INTRODUCCIÓN ........................................................................................................ 5
0.1 Generalidades ............................................................................................................ 5
0.2 Principios generales en la gestión del riesgo ........................................................ 6

1 OBJETO Y CAMPO DE APLICACIÓN ...................................................................... 7

2 NORMAS PARA CONSULTA .................................................................................... 7

3 TÉRMINOS Y DEFINICIONES ................................................................................... 7

4 SISTEMA DE GESTIÓN DEL RIESGO .................................................................... 11

4.1 Establecimiento del contexto................................................................................. 11
4.2 Necesidades y expectativas de los grupos de interés de la organización ....... 12
4.3 Determinación del alcance y los requisitos del sistema
de gestión del riesgo .............................................................................................. 12
4.4 Requisitos de la documentación ........................................................................... 13
4.4.1 Generalidades .......................................................................................................... 13
4.4.2 Manual de Gestión del Riesgo ............................................................................... 13
4.4.3 Control de los documentos .................................................................................... 13
4.4.4 Control de los registros .......................................................................................... 14

5 RESPONSABILIDAD POR LA DIRECCIÓN............................................................ 14

5.1 Compromiso de la dirección .................................................................................. 14
5.2 Política de gestión del riesgo................................................................................. 14
5.3 Planificación ............................................................................................................ 15
5.3.1 Objetivos, metas y programas de gestión del riesgo .......................................... 15
5.3.2 Planificación del sistema de gestión del riesgo .................................................. 15
5.4 Responsabilidad y autoridad ................................................................................. 16
5.4.1 Generalidades .......................................................................................................... 16
5.4.2 Representante de la dirección ............................................................................... 16
5.5 Comunicación e información ................................................................................. 16
5.5.1 Comunicación e información interna .................................................................... 16
5.5.2 Comunicación e información externa. .................................................................. 17
5.6 Revisión por la dirección ........................................................................................ 17
5.6.1 Información de entrada a la revisión ..................................................................... 17
5.6.2 Resultados de la revisión ....................................................................................... 18

6 RECURSOS .............................................................................................................. 18
6.1 Generalidades .......................................................................................................... 18
6.2 Competencia, formación y toma de conciencia ................................................... 18
6.3 Infraestructura ......................................................................................................... 19

7 PROCESO DE GESTIÓN DEL RIESGO .................................................................. 19

7.1 Generalidades .......................................................................................................... 19
7.2 Identificación del riesgo ......................................................................................... 19
7.3 Evaluación del riesgo ............................................................................................. 20
7.3.1 Definición de los criterios de riesgo ..................................................................... 20
7.3.2 Análisis del riesgo ................................................................................................... 21
7.3.3 Evaluación del riesgo ............................................................................................. 21
7.4 Tratamiento del riesgo ............................................................................................ 21

-3-
Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EA 0031:2013

7.5 Control del riesgo .................................................................................................... 22

7.6 Preparación y respuesta ante incidentes ............................................................. 23
7.7 Recuperación ante una interrupción de la actividad de la organización .......... 23

8 MEDICIÓN, ANÁLISIS Y MEJORA .......................................................................... 24

8.1 Generalidades .......................................................................................................... 24
8.2 Seguimiento y medición de las actividades de gestión del riesgo .................... 24
8.3 Análisis de datos ..................................................................................................... 24
8.4 Investigación de sucesos e incidentes, no conformidad,
acción correctiva y acción preventiva .................................................................. 24
8.4.1 Investigación de sucesos e incidentes ................................................................. 24
8.4.2 No conformidad, acción correctiva y acción preventiva .................................... 25
8.5 Auditoría interna ...................................................................................................... 25
8.6 Mejora continua ....................................................................................................... 26

9 BIBLIOGRAFÍA ........................................................................................................ 26

ANEXO A (Informativo) CORRESPONDENCIA ENTRE EL SISTEMA DE GESTIÓN

DEL RIESGO Y LA NORMA UNE-ISO 31000:2010 .................... 28

-4-
Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
 EA 0031:2013

0 INTRODUCCIÓN

0.1 Generalidades
Las organizaciones se enfrentan diariamente a escenarios cada vez más complejos y con mayores
exigencias por parte de los grupos de interés, que provocan que el logro de los objetivos sea incierto. El
efecto que esto produce es en sí el “riesgo”.

Cualquier actividad conlleva un riesgo asociado, la clave está en conocer y poder gestionar la incertidumbre
que existe sobre la consecución de los objetivos. Y para ello hay que identificar los riesgos a los que se
expone la organización, evaluarlos, tratarlos, realizar el seguimiento y la revisión del riesgo y de los
controles que lo modifican, para llevar a cabo una gestión del riesgo más eficaz, eficiente y coherente.

Si bien los riesgos se han gestionado a lo largo del tiempo y en diferentes sectores, en muchos casos no se
ha llevado a cabo de una manera sistemática y coherente. Esta especificación proporciona una base que
establece un conjunto de requisitos que permiten a una organización desarrollar, implementar y mejorar de
manera continua un sistema de gestión del riesgo, cuyo objetivo sea integrarse de forma eficaz en todos los
procesos de la organización, así como en las políticas, los valores, la toma de decisiones y, en general, en
la cultura existente. Con todo ello, se consiguen gestionar los riesgos globales que podrían crear, mejorar,
prevenir, acelerar o retrasar el logro de los objetivos y asegurar eficazmente la sostenibilidad y la
consecución de los objetivos de la organización.

Dicha gestión debe llevarse a cabo con el objeto de que se puedan maximizar las oportunidades y minimizar
las amenazas, logrando un equilibrio entre los costes y efectos de los controles y la modificación del riesgo.
El enfoque genérico que se describe en esta especificación proporciona los requisitos para gestionar
cualquier tipo de riesgo de una manera sistemática, transparente y fiable, dentro de cualquier alcance y de
cualquier contexto.

Los requisitos que establece esta especificación se pueden aplicar en organizaciones de cualquier tipo y
tamaño, a todas sus áreas y niveles principales. Cada aplicación específica de la gestión del riesgo implica
el conocer las necesidades, percepciones y criterios individuales de una organización, lo que nos lleva a
que se comience analizando el contexto interno y externo que rodea a la organización, incluyéndose los
objetivos, estrategias, grupos de interés y criterios del riesgo. Todo ello, contribuirá a identificar y evaluar la
naturaleza y complejidad de sus riesgos, y por tanto, estar preparados para enfrentarse a ellos.

Esta especificación establece un sistema de gestión del riesgo basado en la metodología conocida como
Planificar - Hacer - Verificar - Actuar (PHVA), que se puede describir brevemente como:

– Planificar: establecer los objetivos y requisitos necesarios para conseguir resultados de acuerdo con la
política de gestión del riesgo de la organización.

– Hacer: implementar los requisitos.

– Verificar: realizar el seguimiento y la medición de los requisitos respecto a la política de gestión del
riesgo, los objetivos, las metas y los requisitos legales, reglamentarios y otros requisitos, e informar
sobre los resultados.

– Actuar: llevar a cabo acciones para mejorar continuamente el desempeño del sistema de gestión del
riesgo.

El sistema de gestión del riesgo contenido en esta especificación compone una herramienta de gestión
compatible e integrable con otros sistemas de gestión como ISO 9001:2008 (Sistema de Gestión de
Calidad), ISO 14001 (Sistema de Gestión Ambiental), OHSAS 18001 (Sistema de Gestión de la Seguridad y
Salud en el Trabajo), IQNet SR10 (Sistema de Gestión de la Responsabilidad Social), entre otros.

-5-
Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EA 0031:2013

Esta especificación establece requisitos de carácter certificable.

NOTA La Norma UNE-ISO 31000:2010 se ha establecido como base para llevar a cabo esta especificación, lo que no supone que la
implantación y certificación de este sistema de gestión del riesgo implique la demostración de la conformidad con la Norma
UNE-ISO 31000:2010.

0.2 Principios generales en la gestión del riesgo

La gestión del riesgo se asienta sobre una serie de principios generales aplicables con independencia del
tamaño de la organización, la naturaleza de las actividades que desarrolla, del contexto que les rodea o de
otras características específicas.

La organización debe respetar los siguientes principios generales que se desarrollan a continuación y que
se encuentran alineados con los principios recogidos en la Norma UNE-ISO 31000, por los cuales la
Gestión del Riesgo:

a) Crea y protege el valor.

b) Es una parte integral de todos los procesos de la organización.

c) Es parte de la toma de decisión.

d) Trata explícitamente la incertidumbre.

e) Es sistemática, estructurada y oportuna.

f) Se basa en la mejor información disponible.

g) Se adapta.

h) Integra los factores humanos y culturales.

i) Es transparente y participativa.

j) Es dinámica, iterativa y responde a los cambios.

k) Facilita la mejora continua de la organización.

NOTA Para más información sobre estos principios, véase la Norma UNE-ISO 31000:2010 Gestión del riesgo. Principios y directrices.

Además de los principios generales de gestión del riesgo descritos anteriormente, la organización debe
respetar los siguientes principios relacionados con el sistema de gestión:

a) Liderazgo: La dirección debe fomentar e involucrar a las personas para el logro de los objetivos de la
organización por parte de los líderes.

b) Enfoque a los grupos de interés: Conocer y considerar las necesidades y expectativas de sus grupos
de interés.

c) Eficiencia: Gestionar el riesgo con criterios de eficiencia, compatible con la creación de valor añadido y
la repercusión en la mejora continua de la organización a medio y largo plazo.

d) Adicionalidad: Integrar voluntariamente en la gestión y en la cultura de la organización, buenas

prácticas que, además de establecer el cumplimiento del marco legal correspondiente, vayan más allá, y
sin que ello pueda considerarse en momento alguno como una alternativa para obviar su cumplimiento.

e) Transversalidad: Integración de la gestión del riesgo en el conjunto de las decisiones y acciones de la

organización, entendiendo ésta como responsabilidad y misión compartida de toda la organización (no
solo de los responsables directos del riego).

-6-
Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
 EA 0031:2013

1 OBJETO Y CAMPO DE APLICACIÓN

Esta especificación establece los requisitos para definir, implantar, mantener y mejorar un sistema de
gestión del riesgo para ayudar a las organizaciones a minimizar aquellos riesgos de consecuencias
negativas y maximizar aquellos de consecuencias positivas (oportunidades), mejorando su desempeño y
teniendo en cuenta las diversas necesidades y expectativas de una organización y de los grupos de interés
implicados.

Esta especificación es de aplicación a cualquier tipo de organización, independientemente de su tamaño,

del sector al que pertenezca y del contexto en el que desarrolle su actividad.

Esta especificación es de aplicación a todas las actividades de la organización y considera cualquier tipo de
riesgo, cualquiera que sea su naturaleza, tanto si sus consecuencias son positivas como negativas.

2 NORMAS PARA CONSULTA

Los documentos que se citan a continuación son indispensables para la aplicación de esta norma.
Únicamente es aplicable la edición de aquellos documentos que aparecen con fecha de publicación. Por el
contrario, se aplicará la última edición (incluyendo cualquier modificación que existiera) de aquellos
documentos que se encuentran referenciados sin fecha.

UNE-ISO 31000:2010 Gestión del riesgo. Principios y directrices.

3 TÉRMINOS Y DEFINICIONES
Para los fines de esta especificación, se aplican los términos y definiciones siguientes:

3.1 actitud ante el riesgo:

Enfoque de la organización para apreciar un riesgo (3.20) y eventualmente buscarlo, retenerlo, tomarlo o
rechazarlo.

[UNE-ISO 31000:2010]

3.2 análisis del riesgo:

Proceso que permite comprender la naturaleza del riesgo (3.20) y determinar el nivel de riesgo (3.14).

NOTA 1 El análisis del riesgo proporciona las bases para la evaluación del riesgo (3.8) y para tomar las decisiones relativas al
tratamiento del riesgo (3.23).

NOTA 2 El análisis del riesgo incluye la estimación del riesgo.

[UNE-ISO 31000:2010]

-7-
Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EA 0031:2013

3.3 consecuencia:
Resultado de un suceso (3.22) que afecta a los objetivos.

NOTA 1 Un suceso puede conducir a una serie de consecuencias.

NOTA 2 Una consecuencia puede ser cierta o incierta y puede tener efectos positivos o negativos sobre la consecución de los
objetivos.

NOTA 3 Las consecuencias se pueden expresar de forma cualitativa o cuantitativa.

NOTA 4 Las consecuencias iniciales pueden convertirse en reacciones en cadena.

[UNE-ISO 31000:2010]

3.4 contexto externo:

Entorno externo en el que la organización busca alcanzar sus objetivos.

NOTA El entorno externo puede incluir:

– el entorno cultural, social, político, legal, reglamentario, financiero, tecnológico, económico, natural y competitivo, a nivel
internacional, nacional, regional o local;

– los factores y las tendencias que tengan impacto sobre los objetivos de la organización; y

– las relaciones con los grupos de interés (3.11) externas, sus percepciones y sus valores.

[UNE-ISO 31000:2010]

3.5 contexto interno:

Entorno interno en el que la organización busca alcanzar sus objetivos.

NOTA El contexto interno puede incluir:

– el gobierno, la estructura de la organización, las funciones y la obligación de rendir cuentas;

– las políticas, los objetivos y las estrategias que se establecen para conseguirlo;

– las capacidades, entendidas en términos de recursos y conocimientos (por ejemplo, capital, tiempo, personas, procesos,
sistemas y tecnologías);

– los sistemas de información, los flujos de información y los procesos de toma de decisiones (tanto formales como
informales);

– las relaciones con, y las percepciones y los valores de las partes interesadas internas;

– la cultura de la organización;

– las normas, las directrices y los modelos adoptados por la organización; y

– la forma y amplitud de las relaciones contractuales.

[UNE-ISO 31000:2010]

3.6 criterios de riesgo:

Términos de referencia respecto a los que se evalúa la importancia de un riesgo (3.20).

NOTA 1 Los criterios de riesgo se basan en los objetivos de la organización, y en el contexto externo e interno.

NOTA 2 Los criterios de riesgo se pueden obtener de normas, leyes, políticas y otros requisitos.

[UNE-ISO 31000:2010]

-8-
Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
 EA 0031:2013

3.7 dueño del riesgo (gestor del riesgo):

Persona o entidad que tiene la responsabilidad y autoridad para gestionar un riesgo (3.20).

[UNE-ISO 31000:2010]

3.8 evaluación del riesgo:

Proceso de comparación de los resultados del análisis del riesgo con los criterios de riesgo (3.6) para
determinar si el riesgo (3.20) y/o su magnitud son aceptables o tolerables.

NOTA La evaluación del riesgo ayuda a la toma de decisiones sobre el tratamiento del riesgo (3.23).

[UNE-ISO 31000:2010]

3.9 fuente del riesgo:

Elemento que, por sí solo o en combinación con otros, presenta el potencial intrínseco de engendrar un
riesgo (3.20).

NOTA 1 Una fuente de riesgo puede ser tangible o intangible.

[UNE-ISO 31000:2010]

NOTA 2 Como fuente del riesgo se consideran todos aquellos elementos denominados en multitud de publicaciones sobre gestión de
riesgo “factores generadores de riesgo”.

3.10 gestión del riesgo:

Actividades coordinadas para dirigir y controlar una organización en lo relativo al riesgo (3.20).

[UNE-ISO 31000:2010]

3.11 grupo de interés (partes interesadas o stakeholders):

Individuo o grupo que tiene interés en cualquier decisión o actividad de la organización.

[UNE-ISO 26000:2012]

3.12 identificación del riesgo:

Proceso que comprende la búsqueda, el reconocimiento y la descripción de los riesgos (3.20).

NOTA 1 La identificación del riesgo implica la identificación de las fuentes de riesgo (3.9), los sucesos (3.22), sus causas y sus
consecuencias (3.3) potenciales.

NOTA 2 La identificación del riesgo puede implicar datos históricos, análisis teóricos, opiniones informadas y de expertos, así como
necesidades de los grupos de interés (3.11).

[UNE-ISO 31000:2010]

3.13 incidente:
Situación que puede dar, o podría dar lugar, a una interrupción, pérdida, emergencia o crisis.

[ISO 22300:2012]

3.14 nivel de riesgo:

Magnitud de un riesgo (3.20) o combinación de riesgos, expresados en términos de la combinación de las
consecuencias (3.3) y de su probabilidad (3.17).

[UNE-ISO 31000:2010]

-9-
Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EA 0031:2013

3.15 perfil del riesgo:

Descripción de cualquier conjunto de riesgos (3.20).

NOTA El conjunto de riesgos puede incluir los riesgos relativos a toda la organización, a parte de la organización, o definirse de otra
manera.

[UNE-ISO 31000:2010]

3.16 política de gestión del riesgo:

Declaración de las intenciones y orientaciones generales de una organización en relación con la gestión
del riesgo (3.10).

[UNE-ISO 31000:2010]

3.17 probabilidad (likelihood):

Posibilidad de que algún hecho se produzca.

NOTA 1 En la terminología de la gestión del riesgo, la palabra "probabilidad" se utiliza para indicar la posibilidad de que algún hecho
se produzca, que esta posibilidad está definida, medida o determinada objetiva o subjetivamente, cualitativa o cuantitativa-
mente, y descrita utilizando términos generales o de forma matemática (tales como una probabilidad o una frecuencia sobre
un periodo de tiempo dado).

NOTA 2 La palabra inglesa likelihood no tiene una equivalencia directa en algunos idiomas; en su lugar se utiliza con frecuencia la
palabra probability (probabilidad). Sin embargo, en inglés la palabra probability se interpreta frecuentemente de forma más
limitada como un término matemático. Por ello, en la terminología de la gestión del riesgo la palabra likelihood se utiliza con
la misma interpretación amplia que tiene la palabra probability (probabilidad) en otros idiomas distintos del inglés.

[UNE-ISO 31000:2010]

3.18 proceso de gestión del riesgo:

Aplicación sistemática de políticas, procedimientos y prácticas de gestión a las actividades de comuni-
cación, consulta, establecimiento del contexto, e identificación, análisis, evaluación, tratamiento, segui-
miento y revisión del riesgo (3.20).

[UNE-ISO 31000:2010]

3.19 programa de gestión del riesgo:

Conjunto de acciones que especifican la asignación de responsabilidades, recursos y plazos a aplicar para
la gestión del riesgo (3.10).

3.20 riesgo:
Efecto de la incertidumbre sobre la consecución de los objetivos.

NOTA 1 Un efecto es una desviación, positiva y/o negativa, respecto a lo previsto.

NOTA 2 Los objetivos pueden tener diferentes aspectos (tales como financieros, de salud y seguridad, o ambientales) y se pueden
aplicar a diferentes niveles (tales como, nivel estratégico, nivel de un proyecto, de un producto, de un proceso o de una
organización completa).

NOTA 3 Con frecuencia, el riesgo se caracteriza por referencia a sucesos (3.22) potenciales y a sus consecuencias (3.3), o a una
combinación de ambos.

NOTA 4 Con frecuencia, el riesgo se expresa en términos de combinación de las consecuencias de un suceso (incluyendo los
cambios en las circunstancias) y de su probabilidad (3.17).

NOTA 5 La incertidumbre es el estado, incluso parcial, de deficiencia en la información relativa a la comprensión o al conocimiento de
un suceso, de sus consecuencias o de su probabilidad.

[UNE-ISO 31000:2010]

- 10 -
Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
 EA 0031:2013

3.21 riesgo residual:

Riesgo (3.20) remanente después del tratamiento del riesgo (3.23).

NOTA 1 El riesgo residual puede contener riesgos no identificados.

NOTA 2 El riesgo residual también se puede conocer como "riesgo retenido".

[UNE-ISO 31000:2010]

3.22 suceso:
Ocurrencia o cambio de un conjunto particular de circunstancias.

NOTA 1 Un suceso puede ser único o repetirse, y se puede deber a varias causas.

NOTA 2 Un suceso puede consistir en algo que no se llega a producir.

NOTA 3 Algunas veces, un suceso se puede calificar como un "incidente" (3.13) o un "accidente".

NOTA 4 Un suceso sin consecuencias (3.3) también se puede citar como "cuasi accidente" o "incidente" (3.13).

[UNE-ISO 31000:2010]

3.23 tratamiento del riesgo:

Proceso destinado a modificar el riesgo (3.20).

NOTA 1 El tratamiento del riesgo puede implicar:

– evitar el riesgo, decidiendo no iniciar o continuar con la actividad que motiva el riesgo;

– aceptar o aumentar el riesgo con objeto de buscar una oportunidad;

– eliminar la fuente de riesgo (3.9);

– cambiar la probabilidad (3.17);

– cambiar las consecuencias (3.3);

– compartir el riesgo con otra u otras partes (incluyendo los contratos y la financiación del riesgo); y

– mantener el riesgo en base a una decisión informada.

NOTA 2 Los tratamientos del riesgo que conducen a consecuencias negativas, en ocasiones se citan como "mitigación del riesgo",
"eliminación del riesgo", "prevención del riesgo" y "reducción del riesgo".

NOTA 3 El tratamiento del riesgo puede originar nuevos riesgos o modificar los riesgos existentes.

[UNE-ISO 31000:2010]

3.24 tolerancia al riesgo:

Disponibilidad de una organización o de los grupos de interés (3.11) para soportar el riesgo (3.20)
después del tratamiento del riesgo (3.23) con objeto de conseguir sus objetivos.

[UNE-ISO 31000:2010]

4 SISTEMA DE GESTIÓN DEL RIESGO

4.1 Establecimiento del contexto

La organización debe determinar los aspectos externos e internos que son pertinentes para su propósito y
que afectan a su capacidad para lograr los resultados previstos del sistema de gestión del riesgo.

- 11 -
Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EA 0031:2013

El contexto externo debe incluir, entre otros: el entorno legal, reglamentario, tecnológico, económico, social,
político, financiero, competencia, ámbito nacional e internacional, establecimientos de las inmediaciones,
medio ambiente y los grupos de interés externos.

El contexto interno debe incluir, entre otros: el gobierno y la estructura de la organización, instalaciones,
actividades, políticas, valores, objetivos y estrategias, recursos humanos y conocimientos, infraestructuras,
zonas críticas, sistemas de información y los grupos de interés internos.

4.2 Necesidades y expectativas de los grupos de interés de la organización

La organización debe identificar los grupos de interés afectados por su sistema de gestión del riesgo e
identificar los requisitos para estos grupos de interés.

Se debe asegurar que los intereses de los grupos de interés se comprenden y se tienen en consideración.

Los principales grupos de interés afectados por el sistema de gestión de riesgo, según proceda, son: los
propietarios, accionistas e inversores; los empleados; los clientes, usuarios y consumidores; los proveedo-
res de producto y servicios; los aliados y colaboradores; las administraciones públicas; el medio ambiente y
la comunidad y sociedad.

La organización puede considerar el identificar otros grupos de interés que considere afectados por el
sistema de gestión.

4.3 Determinación del alcance y los requisitos del sistema de gestión del riesgo
La organización debe determinar los límites y aplicabilidad del sistema de gestión del riesgo para establecer
su alcance.

Cuando se determina este alcance, la organización debe tener en cuenta los aspectos externos e internos y
los requisitos de los grupos de interés a los que se hace referencia en 4.2.

El alcance debe contemplar, entre otra información, los centros de trabajo, unidades organizativas y
localizaciones.

Al definir el alcance del sistema de gestión del riesgo, la organización debe documentar y explicar aquellas
exclusiones las cuales no deben afectar a la capacidad y responsabilidad de la organización para propor-
cionar el logro de sus objetivos, la continuidad de la organización y sus actividades, así como el cumpli-
miento con los requisitos legales, reglamentarios y de otro tipo.

La organización debe establecer, documentar, implementar, revisar y mejorar continuamente el sistema de

gestión del riesgo de manera eficaz de acuerdo con los requisitos de esta especificación, y determinar cómo
va a dar cumplimiento a estos requisitos.

Cuando una organización opte por contratar externamente cualquier actividad que afecte a la conformidad
con estos requisitos, la organización debe mantener la responsabilidad y control de esas actividades. Se
deben identificar dentro del sistema de gestión del riesgo los controles y responsabilidades necesarios en
dichas actividades contratadas externamente.

NOTA 1 Una actividad contratada externamente es una actividad que la organización necesita para su sistema de gestión del riesgo,
y que la organización decide que sea desempeñada por una parte externa.

NOTA 2 Asegurar el control de las actividades contratadas externamente no exime a la organización de la responsabilidad de cumplir
con todos los requisitos establecidos, incluyendo los legales y los reglamentarios.

NOTA 3 La Norma UNE-EN 31010:2011 proporciona directrices sobre las técnicas de identificación, análisis y evaluación del riesgo.

- 12 -
Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
 EA 0031:2013

4.4 Requisitos de la documentación

4.4.1 Generalidades
La documentación del sistema de gestión del riesgo debe incluir:

a) un manual de gestión del riesgo;

b) la política y los objetivos, metas y programas en materia de gestión del riesgo;

c) los procedimientos y los registros requeridos por esta especificación;

d) la documentación, incluyendo los registros, que la organización determine que son necesarios para
asegurar la eficaz planificación, operación y control de sus actividades.

NOTA Es importante que la documentación sea proporcional al nivel de complejidad y a los riesgos de la organización, y que se
mantenga al mínimo requerido para alcanzar la eficacia y eficiencia.

4.4.2 Manual de Gestión del Riesgo

La organización debe establecer, implementar y mantener un manual de gestión del riesgo que incluya:

a) el alcance del sistema de gestión del riesgo;

b) la descripción de los elementos principales del sistema de gestión del riesgo y su interacción, así como la
referencia a los documentos relacionados;

c) los tipos de riesgos principales y los criterios del riesgo y;

d) los procedimientos establecidos para el sistema de gestión del riesgo o referencia a los mismos.

4.4.3 Control de los documentos

Los documentos del sistema de gestión se deben controlar. Los registros son un tipo especial de documento
y deben controlarse de acuerdo con los requisitos establecidos en el apartado 4.4.4.

La organización debe establecer, implementar y mantener uno o varios procedimientos que definan los
controles necesarios para:

a) revisar y aprobar los documentos en cuanto a su adecuación antes de su emisión;

b) revisar y actualizar los documentos cuando sea necesario, y aprobarlos nuevamente;

c) asegurarse de que se identifican los cambios y el estado de revisión actual de los documentos;

d) asegurarse de que las versiones pertinentes de los documentos aplicables están disponibles en los
puntos de uso;

e) asegurarse de que los documentos permanecen legibles, accesibles y fácilmente identificables;

f) asegurarse de que se identifican los documentos de origen externo que la organización ha determinado
como necesarios para el sistema de gestión del riesgo, así como que se controla su distribución y;

g) prevenir el uso no intencionado de documentos obsoletos y aplicarles una identificación adecuada en el

caso de que se mantengan por cualquier razón;

- 13 -
Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EA 0031:2013

4.4.4 Control de los registros

La organización debe establecer y mantener los registros que sean necesarios para evidenciar la
conformidad con los requisitos de esta especificación así como la operación eficaz del sistema de gestión
del riesgo de manera que se demuestren los resultados logrados.

La organización debe establecer, implementar y mantener uno o varios procedimientos para definir los
controles necesarios para la identificación, la trazabilidad, el almacenamiento, la protección, la recuperación,
el tiempo de retención y la disposición de los registros.

Los registros deben permanecer legibles, fácilmente identificables, trazables y recuperables. La documen-
tación y registros en formato electrónico y digital deben ser a prueba de manipulaciones y con realización de
copias de seguridad periódicas.

5 RESPONSABILIDAD POR LA DIRECCIÓN

5.1 Compromiso de la dirección

La alta dirección debe proporcionar evidencia de su compromiso con el desarrollo, implementación y
mantenimiento del sistema de gestión del riesgo, así como con la mejora continua de su eficacia:

a) asegurando que se establezca y aprobando la política y los objetivos de gestión del riesgo, y que estos
sean compatibles con la estrategia de la organización;

b) asegurando la integración de los requisitos de gestión del riesgo en los procesos de negocio de la
organización;

c) asegurando que la gestión del riesgo tiene asignados los recursos necesarios;

d) comunicando a la organización y sus grupos de interés los beneficios y la importancia de una gestión del
riesgo eficaz y conforme con los requisitos de esta especificación;

e) asegurando el cumplimiento legal y reglamentario;

f) asignando la responsabilidad y la obligación de rendir cuentas a cada nivel de la organización;

g) determinando la forma en que se tratan los intereses que puedan entrar en conflicto al gestionar los
riesgos entre los distintos grupos de interés;

h) llevando a cabo las revisiones por la dirección y promoviendo la mejora continua.

5.2 Política de gestión del riesgo

La alta dirección debe establecer y aprobar la política de gestión del riesgo de la organización y asegurarse
de que la misma:

a) es adecuada al propósito de la organización, al alcance y a los tipos y niveles de los riesgos que la
organización ha identificado;

b) incluye un compromiso de respetar los principios generales de gestión del riesgo tal, y como se
establecen en la Norma UNE-ISO 31000:2010;

c) incluye un compromiso de cumplir con los requisitos legales, los establecidos en esta especificación y
con otros requisitos que suscriba la organización en materia de riesgos;

d) incluye un compromiso de mejorar continuamente la eficacia del sistema de gestión del riesgo;

e) proporciona un marco de referencia para revisar los objetivos, metas y programas en materia de gestión
del riesgo;

- 14 -
Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
 EA 0031:2013

La política de gestión del riesgo debe:

a) estar documentada, implementada, mantenida y revisada para su continua adecuación;

b) ser comunicada y entendida dentro de la organización y;

c) estar a disposición de los grupos de interés;

5.3 Planificación

5.3.1 Objetivos, metas y programas de gestión del riesgo

La alta dirección debe asegurar que se establecen, documentan, implementan y mantienen objetivos, metas
y programas de gestión del riesgo en los niveles y funciones pertinentes dentro de la organización.

Los objetivos y metas deben:

a) estar alineados y ser coherentes con la política de gestión del riesgo;

b) considerar en su definición los riesgos significativos y los grupos de interés implicados en la organiza-
ción, identificados como consecuencia de las actividades y decisiones de la organización;

c) ser específicos, medibles, alcanzables, relevantes y determinados en el tiempo;

d) comunicarse a las funciones pertinentes con el propósito de que éstas tomen conciencia de sus
obligaciones individuales y;

e) revisarse periódicamente para asegurarse de que siguen siendo relevantes y coherentes, para que en
caso contrario, se modifiquen en consecuencia tanto los objetivos como las metas a conseguir.

Al establecer y revisar sus objetivos, la organización debe considerar los contextos externo e interno en los
que la organización opera y en los que pretende alcanzar sus objetivos. Entre otros parámetros se tienen
que tener en cuenta: los requisitos legales y otros requisitos que la organización suscriba, así como los
riesgos definidos como significativos. Además, debe tener en cuenta sus opciones tecnológicas, sus
requisitos financieros, operacionales y comerciales, así como las opiniones de los grupos de interés.

La organización debe establecer, documentar, implementar y mantener uno o varios programas para
alcanzar sus objetivos y metas. Estos programas deben incluir:

a) la asignación de responsabilidades y autoridad para lograr los objetivos en las funciones y niveles
pertinentes de la organización;

b) los medios y plazos para lograr los objetivos y;

c) una revisión periódica y planificada para asegurarse de que siguen siendo relevantes y coherentes con
los objetivos y las metas de la gestión del riesgo. Cuando sea necesario, los programas deben
modificarse en consecuencia.

5.3.2 Planificación del sistema de gestión del riesgo

La alta dirección debe asegurarse de que:

a) la planificación del sistema de gestión del riesgo se realiza con el fin de cumplir los requisitos citados en
el apartado 4.1, así como los objetivos, metas y programas de gestión del riesgo;

b) los cambios en el sistema de gestión o en las actividades de la organización se gestionan manteniendo

la integridad del sistema de gestión del riesgo;

- 15 -
Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EA 0031:2013

c) el programa de gestión del riesgo abarca todo el alcance del sistema de gestión del riesgo de la
organización y;

d) el programa de gestión integra los diferentes planes de tratamiento de riesgos.

NOTA El programa de gestión del riesgo se puede integrar en otros planes de la organización (por ejemplo, en el plan estratégico)

5.4 Responsabilidad y autoridad

5.4.1 Generalidades
La alta dirección debe asegurarse de que están establecidas las funciones, responsabilidades y autoridad
en la organización, así como la obligación de rendir cuentas para gestionar el riesgo a los diferentes niveles
de la organización. Éstas deben documentarse y comunicarse dentro de la organización para facilitar una
gestión eficaz de los riesgos.

Entre otros, se deben identificar a los dueños del riesgo y a las personas que tienen obligación de rendir
cuentas del desempeño, implementación y mantenimiento del sistema de gestión del riesgo a todos los
niveles de la organización, así como asegurar que disponen de las competencias apropiadas para gestionar
los riesgos.

5.4.2 Representante de la dirección

La alta dirección debe designar un miembro de la dirección de la organización quien, independientemente
de otras responsabilidades, debe tener responsabilidad y autoridad para:

a) asegurarse que el sistema de gestión del riesgo se establece, implementa y mantiene de acuerdo con los
requisitos de esta especificación;

b) informar a la alta dirección sobre el desempeño del sistema de gestión del riesgo para su revisión,
incluyendo las recomendaciones para la mejora y;

c) asegurarse que se promueva la toma de conciencia de los requisitos en materia de gestión del riesgo.

NOTA La responsabilidad del representante de la dirección puede incluir relaciones con grupos de interés externos sobre asuntos
relacionados con el sistema de gestión del riesgo.

5.5 Comunicación e información

La alta dirección de la organización se debe asegurar que se establecen mecanismos de comunicación e
información apropiados, tanto interna como externamente, y que éstos se efectúan tomando en conside-
ración la mejora del desempeño del sistema de gestión del riesgo.

5.5.1 Comunicación e información interna

La alta dirección debe asegurarse que se establecen uno o varios procedimientos de comunicación e
información interna con la finalidad de:

a) asegurar un intercambio eficaz de información y una disponibilidad de información de la gestión del

riesgo adecuada en los niveles y tiempos apropiados;

b) establecer un sistema de notificación de sucesos, que incluya la descripción del evento, las circuns-
tancias, una aproximación a su magnitud y trascendencia y la propuesta de medidas de mejora, con el fin
de facilitar la identificación de riesgos;

c) atender las consultas y otras peticiones de información en materia de gestión del riesgo;

- 16 -
Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
 EA 0031:2013

d) fomentar la obligación de rendir cuentas y la propiedad del riesgo, así como la involucración en la
identificación, evaluación y tratamiento de los riesgos;

e) establecer informes internos adecuados sobre la gestión del riesgo, sus resultados y eficacia.

Cuando corresponda, se deben incluir procesos de consolidación de información relativa al riesgo

procedente de diferentes fuentes.

5.5.2 Comunicación e información externa.

La alta dirección debe asegurarse que se establece un plan de comunicación e información externa con la
finalidad de:

a) conocer las necesidades y expectativas en materia de gestión del riesgo;

b) generar confianza en la organización;

c) fomentar una participación adecuada tanto en la investigación de sucesos, como en aquellos cambios
que afecten al sistema de gestión del riesgo;

d) establecer un sistema de reclamaciones, quejas y requerimientos de terceros;

e) establecer una comunicación en caso de situaciones de emergencia, crisis o contingencias;

f) establecer mecanismos de retroalimentación y consulta, garantizando el cumplimiento de los principios

de la transparencia;

g) establecer informes externos adecuados sobre requisitos legales, reglamentarios y de buen gobierno de
la organización.

5.6 Revisión por la dirección

La alta dirección debe revisar el sistema de gestión del riesgo de la organización, a intervalos planificados,
para asegurarse de su conveniencia, adecuación y eficacia continua. La revisión debe incluir la evaluación
de oportunidades de mejora y la necesidad de efectuar cambios en el sistema de gestión del riesgo,
incluyendo la política de gestión del riesgo y los objetivos de gestión del riesgo.

Se deben mantener registros de las revisiones por la dirección (véase 4.4.4).

5.6.1 Información de entrada a la revisión

La información de entrada para la revisión por la dirección debe incluir:

a) los resultados de auditorías internas y externas;

b) información sobre sucesos e incidentes reales o potenciales que puedan afectar a la organización y a los
grupos de interés;

c) los resultados de las evaluaciones del cumplimiento de requisitos legales y reglamentarios y otros
requisitos que la organización suscriba;

d) las comunicaciones con los grupos de interés y retroalimentación, incluyendo sus quejas, reclamaciones
y sugerencias;

e) el desempeño del sistema de gestión del riesgo;

- 17 -
Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EA 0031:2013

f) el grado de cumplimiento de los objetivos, metas y programas;

g) el estado de las acciones preventivas y correctivas;

h) el seguimiento de las acciones resultantes de revisiones previas realizadas por la dirección;

i) los cambios que podrían afectar al sistema de gestión del riesgo;

j) el informe sobre los riesgos de la organización y la verificación de que estos han sido identificados y
evaluados eficazmente, así como que se han establecido los controles apropiados para su prevención y
los resultados obtenidos y;

k) los registros y análisis de los indicadores establecidos para la gestión del riesgo.

5.6.2 Resultados de la revisión

Los resultados de la revisión por la dirección deben incluir todas las decisiones y acciones relacionadas con:

a) posibles cambios en la política de gestión del riesgo, objetivos y metas de gestión del riesgo y otros
elementos del sistema de gestión del riesgo, coherentes con el compromiso de mejora continua;

b) la mejora en el desempeño de la organización en materia de gestión del riesgo de acuerdo con las
expectativas y necesidades de los grupos de interés;

c) la necesidad de los recursos y;

d) otros elementos del sistema de gestión del riesgo.

Los resultados relevantes de la revisión por la dirección deben estar disponibles para su comunicación y
consulta (véase 5.5).

6 RECURSOS

6.1 Generalidades
La alta dirección debe asegurarse de la disponibilidad de recursos esenciales para establecer, implementar,
mantener y mejorar el sistema de gestión del riesgo.

6.2 Competencia, formación y toma de conciencia

La organización debe asegurarse de que el personal, cuyas funciones y/o puestos de trabajo puedan influir
en el sistema de gestión del riesgo sea competente, tomando como base la educación, formación,
habilidades y experiencia apropiadas.

La organización debe:

a) determinar la competencia necesaria del personal que realiza trabajos que afectan al sistema de gestión
del riesgo;

b) identificar las necesidades de formación relacionadas y proporcionar formación u otras acciones para
satisfacer estas necesidades de competencia;

c) evaluar la eficacia de las acciones adoptadas;

d) asegurar que el personal es consciente de la importancia de las actividades que desarrolla y de su

contribución al logro de los objetivos en materia de gestión del riesgo y;

e) mantener los registros apropiados sobre la educación, formación, habilidades y experiencia (véase 4.4.4).

- 18 -
Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
 EA 0031:2013

6.3 Infraestructura
La organización debe determinar, proporcionar y mantener la infraestructura necesaria para lograr la eficaz
gestión del riesgo. La infraestructura incluye:

a) edificios, espacio de trabajo y servicios asociados;

b) equipo para los procesos (tanto hardware como software) y;

c) servicios de apoyo (tales como transporte, comunicación o sistemas de información).

7 PROCESO DE GESTIÓN DEL RIESGO

7.1 Generalidades
Para poder establecer un sistema de gestión del riesgo es necesario que la organización identifique un
proceso de gestión de sus riesgos. Ese proceso debe cumplir con los requisitos establecidos en el presente
capítulo.

A la hora de establecer el proceso de gestión del riesgo se tiene que tener en cuenta el contexto externo e
interno en los que la organización opera y en los que pretende alcanzar sus objetivos.

La organización debe documentar esta información y mantenerla actualizada.

NOTA La Norma UNE-EN 31010:2011 proporciona directrices sobre las técnicas de identificación, análisis y evaluación del riesgo.

7.2 Identificación del riesgo

La organización debe establecer, implementar y mantener uno o varios procedimientos para la identificación
continua del riesgo. Se deben tener en cuenta con carácter general:

a) el análisis de sus operaciones, procesos y actividades (habituales o nuevas) y sus ubicaciones, en sus
distintas áreas de negocio, así como de las empresas vinculadas y filiales, susceptibles de generar
riesgos.

b) el comportamiento y capacidades humanas, la organización del trabajo y otros factores humanos;

c) la infraestructura, servicios de apoyo y equipamiento en la organización;

d) la gestión de proveedores y la subcontratación de actividades;

e) los cambios o propuestas de cambio en la organización, incluyendo aquellos temporales y el impacto que
pueden generar en la organización y en sus grupos de interés;

f) los requisitos legales, reglamentarios y otros suscritos por la organización relativos a la gestión del
riesgo;

g) el diseño de los procesos, de los productos y/o servicios y los procedimientos operativos y;

h) el sistema de notificación de sucesos e incidentes.

- 19 -
Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EA 0031:2013

Se debe realizar una identificación exhaustiva de los riesgos que incluya:

a) aquellos sucesos que podrían crear, mejorar, prevenir, degradar, acelerar o retrasar el logro de los
objetivos;

b) fuentes de riesgo y factores generadores de riesgos, tanto si están o no bajo el control de la organización;

c) áreas de impactos de los riesgos en las operaciones, procesos y actividades de la organización y;

d) las causas y consecuencias potenciales de los riesgos, así como un examen de los efectos en cadena
de consecuencias particulares, incluyendo los efectos en cascada o acumulativos, e identificando los
escenarios y niveles de riesgo.

NOTA 1 Es esencial realizar una identificación exhaustiva, puesto que el riesgo no identificado es un riesgo no evaluado
posteriormente.

NOTA 2 Todas las causas y consecuencias significativas (positivas o negativas) se deben tener en consideración.

La organización debe aplicar herramientas y técnicas de identificación del riesgo, alineadas con su alcance,
sus objetivos y su naturaleza, y disponer de la información adecuada, actualizada y proveniente de fuentes
fiables.

NOTA 3 La información puede obtenerse a partir de datos históricos, observaciones, opiniones de expertos, retroalimentación de los
grupos de interés, entre otros.

Los riesgos una vez identificados deben ser registrados y comunicados a la persona o personas adecuadas
para decidir sobre su necesidad de tratamiento.

7.3 Evaluación del riesgo

La organización debe establecer, implementar y mantener uno o varios procedimientos para la evaluación
del riesgo, de manera que se comprenda la naturaleza y nivel del riesgo para priorizar los riesgos que
deben tratarse y así facilitar la toma de decisiones en la organización.

7.3.1 Definición de los criterios de riesgo

Como paso previo a llevar a cabo una evaluación del riesgo eficaz, se deben definir los criterios del riesgo.
Entre otros factores, a la hora de definir los criterios de riesgo se deben considerar los siguientes:

a) el contexto interno y externo en el que se encuentra la organización;

b) los valores, la política, los objetivos y los recursos de la organización;

c) los requisitos legales o reglamentarios, o de otros requisitos suscritos por la organización;

d) la naturaleza, las causas y las consecuencias de los riesgos;

e) la metodología para determinar el nivel de riesgo, definiendo la probabilidad de ocurrencia, las

consecuencias positivas o negativas que pueden producir, y los límites en los que el riesgo comienza a
ser aceptable;

f) los escenarios de probabilidad y/o de las consecuencias;

g) las opiniones, percepciones e inquietudes de los grupos de interés;

h) la interdependencia de los diferentes tipos de riesgos y de sus fuentes y las posibles combinaciones de
riesgos múltiples;

- 20 -
Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
 EA 0031:2013

i) los controles existentes, así como su eficacia y su eficiencia;

j) el nivel para el cual el riesgo cuyas consecuencias son negativas es aceptable o tolerable.

NOTA Los criterios de gestión del riesgo deben ser documentados y comunicados a los grupos de interés relevantes para facilitar la
comprensión y consistencia de su aplicación.

7.3.2 Análisis del riesgo

El análisis de los riesgos implica la asignación de un nivel de riesgo para cada riesgo identificado.

El nivel de riesgo está determinado por la combinación de la probabilidad de ocurrencia y las

consecuencias, negativas o positivas, de cada riesgo, así como de otros atributos del riesgo. Dicho nivel
está relacionado con el tipo de riesgo, la información disponible y el objetivo al que afecta su resultado.

Debe existir una coherencia entre los riesgos analizados y los criterios del riesgo definidos. Se deben tener
en cuenta los controles existentes sobre los riesgos identificados, su eficacia y la eficiencia de los mismos;
así como la interrelación entre los diferentes tipos de riesgos y las fuentes de riesgo que las originan.

7.3.3 Evaluación del riesgo

La evaluación del riesgo implica la comparación del nivel de riesgo encontrado con los criterios del riesgo
establecidos previamente. Con ello, la organización debe tomar decisiones sobre la necesidad de trata-
miento de un riesgo y la prioridad a la hora de realizar el tratamiento del riesgo.

En la toma de decisiones se debe tener en cuenta la actitud ante el riesgo de la organización y sus grupos
de interés, así como los requisitos legales, reglamentarios y de otro tipo.

7.4 Tratamiento del riesgo

La organización debe establecer, implementar y mantener uno o varios procedimientos para la identifi-
cación, selección y la implementación de una o varias opciones de tratamiento del riesgo con el fin de
modificar los riesgos que afectan al logro de los objetivos de la organización.

Las opciones de tratamiento del riesgo se deben considerar en función de las necesidades y circunstancias
particulares de la organización siguiendo la siguiente jerarquía:

a) eliminar el riesgo, finalizando la actividad que lo provoca;

b) aceptar o aumentar el riesgo a fin de obtener una oportunidad;

c) eliminar la fuente del riesgo;

d) modificar la probabilidad de ocurrencia;

e) modificar las consecuencias que producen el riesgo;

f) compartir el riesgo con otras partes y;

g) mantener el riesgo en base a una decisión informada.

La organización debe periódicamente realizar evaluaciones de tratamientos del riesgo, decidir si los niveles
de riesgo residual son aceptables o tolerables; y si no lo son, generar un nuevo tratamiento y evaluar la
eficacia de cada tratamiento.

- 21 -
Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EA 0031:2013

La selección del tratamiento del riesgo más adecuado supone establecer un equilibrio entre los costes y el
esfuerzo de implementación del tratamiento y las ventajas que éste le proporcione a la organización,
teniendo siempre en cuenta los distintos requisitos suscritos por la organización y la participación de los
grupos de interés para conocer sus necesidades y expectativas con respecto a los riesgos a tratar.

Las opciones de tratamiento del riesgo seleccionadas se deben incluir en los programas de gestión del
riesgo (véase 5.3.) y/o asignar un control del riesgo (véase 7.5) para asegurar la adecuación de su gestión.
Además, la organización debe establecer planes específicos de tratamiento del riesgo que deben incluir, al
menos:

a) los motivos por los que se ha decidido implementar la opción de tratamiento seleccionada;

b) el objetivo a conseguir con el plan de tratamiento del riesgo;

c) los responsables de aprobar e implementar el plan de tratamiento del riesgo;

d) la planificación de las acciones y actividades propuestas;

e) los recursos necesarios;

f) la comunicación de la información adecuada a los grupos de interés afectados y;

g) los riesgos residuales derivados del tratamiento del riesgo.

Los planes específicos de tratamiento del riesgo deben identificar con claridad el orden de prioridad en que
se debe implementar los tratamientos de riesgo individuales. También deben someterse a seguimiento y
revisión, integrándose dentro del sistema de gestión de la organización.

El tratamiento del riesgo implica en algunas ocasiones la introducción de nuevos riesgos o riesgos
secundarios, que deben integrarse dentro de los planes y/o controles junto al riesgo original, y realizar un
adecuado seguimiento y revisión de los mismos.

7.5 Control del riesgo

La organización debe identificar aquellas operaciones y actividades que están asociadas con los riesgos
identificados de acuerdo con su política y objetivos de gestión del riesgo para los que es necesaria la
implementación de controles para asegurar que la gestión del riesgo se efectúa bajo las condiciones
adecuadas. Esto debe incluir la gestión de los cambios que se pueden producir dentro de la organización.

NOTA La gestión de cambios puede incluir cambios en la estructura, personal, sistema de gestión, procesos, actividades, uso de
materiales, etc. de la organización.

Para esas operaciones y actividades, la organización debe establecer, implementar y mantener:

a) procedimientos documentados, para cubrir las situaciones en las que su ausencia podría llevar a
desviaciones de su política y sus objetivos de la gestión del riesgo;

b) criterios operativos estipulados en los procedimientos;

c) controles operacionales cuando sea aplicable para la organización y sus actividades;

d) controles relacionados con los bienes y servicios utilizados por la organización, y la comunicación de los
procedimientos y requisitos aplicables por los grupos de interés y;

e) controles relacionados con los grupos de interés de la organización.

- 22 -
Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
 EA 0031:2013

7.6 Preparación y respuesta ante incidentes

La organización debe establecer, implementar y mantener uno o varios procedimientos para identificar,
incidentes reales o potenciales que puedan suponer un riesgo significativo para la organización y/o los
grupos de interés y cómo responder ante ellos.

La organización debe responder ante situaciones de emergencia y accidentes reales y prevenir o mitigar los
riesgos asociados. La organización debe planificar su respuesta ante incidentes y tener en cuenta las
necesidades de los grupos de interés pertinentes.

La organización también debe realizar pruebas periódicas de tales procedimientos, cuando sea factible,
implicando a los grupos de interés pertinentes según sea apropiado.

La organización debe revisar periódicamente, y modificar cuando sea necesario sus procedimientos de
preparación y respuesta ante incidentes, en particular después de las pruebas periódicas y después de que
ocurran sucesos, incidentes y/o accidentes o situaciones de emergencia (véase 8.4).

NOTA 1 La comunicación en caso de crisis, contingencias o emergencias debe realizarse de manera eficaz con los grupos de interés
involucrados.

NOTA 2 La Norma ISO 22320 sobre gestión de emergencias establece los requisitos mínimos sobre la respuesta ante incidentes.

7.7 Recuperación ante una interrupción de la actividad de la organización

La organización debe establecer uno o varios procedimientos que permitan asegurar la continuidad de las
actividades de la organización ante sucesos que puedan suponer una interrupción de las mismas. Se debe
tener en cuenta en especial aquellas actividades que dan soporte a los productos y/o servicios de la
organización.

Estos procedimientos deben garantizar la capacidad de recuperación de la organización a unas condiciones

mínimas establecidas para continuar su actividad de la manera más eficaz.

Los procedimientos de recuperación de la actividad ante una interrupción de la misma deben determinar:

a) las condiciones mínimas necesarias para la continuidad de las actividades de la organización;

b) los plazos en los que la actividad debe ser recuperada a las condiciones establecidas tras una
interrupción;

c) los pasos y acciones a seguir una vez se produzca la interrupción,

d) los protocolos de comunicación internos y externos apropiados;

e) las personas responsables de gestionar la recuperación de dichas actividades y;

f) los recursos necesarios para hacer frente a la recuperación de la actividad.

La organización debe revisar periódicamente, y modificar cuando sea necesario, los procedimientos de
recuperación de la actividad ante una interrupción de la actividad de la organización, teniendo en cuenta las
necesidades de los grupos de interés pertinentes según sea apropiado.

NOTA La Norma ISO 22301 establece los requisitos mínimos sobre un sistema de gestión de la continuidad del negocio de una
organización.

- 23 -
Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EA 0031:2013

8 MEDICIÓN, ANÁLISIS Y MEJORA

8.1 Generalidades
La organización debe establecer, implementar y mantener procedimientos para el seguimiento, la medición,
el análisis y la mejora del desempeño del sistema de gestión del riesgo.

8.2 Seguimiento y medición de las actividades de gestión del riesgo

La organización debe establecer, implementar y mantener uno o varios procedimientos para hacer el
seguimiento y medir de forma regular el desempeño de la gestión del riesgo. Los procedimientos deben
incluir:

a) las medidas del desempeño (indicadores) que hacen un seguimiento de la conformidad con los
programas, controles y criterios operacionales de la gestión del riesgo; así como las medidas cualitativas
y cuantitativas apropiadas a las necesidades de la organización;

b) el seguimiento del grado de cumplimiento de los objetivos de gestión del riesgo y el grado de progreso
del plan de gestión del riesgo de la organización;

c) el seguimiento de la eficacia de los controles establecidos;

d) el registro de resultados del seguimiento y medición, para facilitar el posterior análisis de las acciones
correctivas y las acciones preventivas;

e) analizar los sucesos, incidentes, accidentes, cambios, tendencias, éxitos, errores y fallos que se han
producido para sacar conclusiones de ello;

f) detectar los cambios que se puedan producir en el contexto de la organización y que pueden dar lugar a
cambios en los criterios del riesgo definidos, así como cambios en el propio riesgo en sí, teniendo en
cuenta la revisión de los tratamientos del riesgo implantados y las prioridades establecidas e;

g) identificar nuevos riesgos emergentes.

Con la implantación progresiva de los programas de tratamiento del riesgo, se proporciona una medida del
funcionamiento del sistema de gestión del riesgo. Los resultados se pueden incorporar en el sistema de
gestión global de la organización, en su medición y en las actividades que se realicen.

Las responsabilidades del seguimiento y de la medición deben estar claramente definidas.

8.3 Análisis de datos

La organización debe determinar, recopilar y analizar los datos apropiados para demostrar la idoneidad y la
eficacia del sistema de gestión del riesgo, y para evaluar dónde puede realizarse la mejora continua de la
eficacia del sistema de gestión del riesgo. Esto debe incluir datos generados del seguimiento y medición de
las actividades de gestión del riesgo y de cualesquiera otras fuentes pertinentes.

8.4 Investigación de sucesos e incidentes, no conformidad, acción correctiva y acción preventiva

8.4.1 Investigación de sucesos e incidentes

La organización debe establecer, implementar y mantener uno o varios procedimientos para registrar,
investigar y analizar los sucesos e incidentes para:

a) determinar las deficiencias del sistema de gestión del riesgo y otros factores que podrían causar o
contribuir a la aparición de incidentes o cuasi-accidentes;

b) mejorar la apreciación del riesgo sobre la evaluación;

- 24 -
Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
 EA 0031:2013

c) identificar la necesidad de una acción correctiva;

d) identificar oportunidades para una acción preventiva;

e) identificar oportunidades para la mejora continua y;

f) comunicar los resultados de tales investigaciones mediante el sistema de notificación de sucesos.

Las investigaciones se deben llevar a cabo en el momento oportuno.

Cualquier necesidad identificada de acciones correctivas o de oportunidades para una acción preventiva
debe tratarse de acuerdo con las partes pertinentes del apartado 8.4.2.

Se deben documentar y mantener los resultados de las investigaciones de los sucesos, incidentes y/o
accidentes.

8.4.2 No conformidad, acción correctiva y acción preventiva

La organización debe establecer, implementar y mantener uno o varios procedimientos para tratar las no
conformidades reales y potenciales, y adoptar las acciones correctivas y las acciones preventivas. Los
procedimientos deben definir requisitos para:

a) la identificación y corrección de no conformidades;

b) la investigación de las no conformidades, determinando sus causas y tomando las acciones correctivas
con el fin de prevenir que vuelvan a ocurrir;

c) la evaluación de la necesidad de acciones para prevenir las no conformidades y la adopción de acciones

apropiadas definidas para prevenir su ocurrencia;

d) el registro de los resultados de las acciones preventivas y acciones correctivas adoptadas (véase 4.4.4) y;

e) la revisión de la eficacia de las acciones preventivas y acciones correctivas adoptadas.

Las acciones tomadas deben ser apropiadas teniendo en cuenta los efectos de las no conformidades
encontradas o los efectos de los problemas potenciales.

La organización debe asegurarse de que cualquier cambio necesario que surja de una acción correctiva o
de una acción preventiva se incorpora a la documentación del sistema de gestión del riesgo.

8.5 Auditoría interna

La organización debe llevar a cabo auditorías internas a intervalos planificados para determinar si el sistema
de gestión del riesgo:

a) es conforme con los requisitos planificados para la gestión del riesgo, con los requisitos de este
documento y con los requisitos del sistema de gestión del riesgo establecidos por la organización y;

b) se ha implementado y se mantiene de manera eficaz.

Se debe planificar un programa de auditorías internas tomando en consideración el estado y la importancia

de los requisitos en materia de gestión del riesgo, las áreas a auditar, así como los resultados de auditorías
previas. Se deben definir los criterios de auditoría, el alcance de la misma, su frecuencia y la metodología.
La selección de los auditores y la realización de las auditorías deben asegurar la objetividad e imparcialidad
del proceso de auditoría. Los auditores no deben auditar su propio trabajo.

- 25 -
Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EA 0031:2013

Se deben establecer, implementar y mantener uno o varios procedimientos para definir las responsa-
bilidades y los requisitos para planificar y realizar las auditorías, establecer los registros e informar de los
resultados.
Deben mantenerse registros de las auditorías y de sus resultados (véase 4.4.4).
La dirección responsable del área que esté siendo auditada debe asegurarse de que se realizan las
correcciones y se toman las acciones correctivas necesarias sin demoras injustificadas para eliminar las no
conformidades detectadas y sus causas. Las actividades de seguimiento deben incluir la verificación de las
acciones tomadas y el informe de los resultados de la verificación.

8.6 Mejora continua

La organización debe mejorar continuamente la eficacia del sistema de gestión del riesgo mediante el uso
de la política de gestión del riesgo, los objetivos, los resultados de las auditorías, el análisis de datos, las
acciones correctivas y preventivas y la revisión por la dirección.

9 BIBLIOGRAFÍA
Los documentos que se citan a continuación pueden servir de ayuda para la implantación de los diferentes
elementos del sistema de gestión del riesgo:

Gestión del Riesgo

UNE-EN 31010:2011 Gestión del riesgo. Técnicas de apreciación del riesgo.

UNE-ISO GUÍA 73:2010 IN Gestión del riesgo. Vocabulario.

Seguridad de los ciudadanos

ISO 22301:2012 Protección y seguridad de los ciudadanos. Sistema de Gestión de la Continuidad del
Negocio (SGCN). Especificaciones.

ISO 22313:2012 Protección y seguridad de los ciudadanos. Sistema de Gestión de la Continuidad del
Negocio (SGCN). Directrices.

ISO 22320:2011 Protección y seguridad de los ciudadanos. Gestión de las emergencias. Requisitos para la
respuesta ante incidentes.

ISO/PAS 22399:2007 Protección y seguridad de los ciudadanos. Guía para la preparación ante incidentes y
la gestión de la continuidad operacional.

Gestión de la prevención de riesgos laborales

OHSAS 18001:2007 Sistemas de gestión de la seguridad y salud en el trabajo. Requisitos.

OHSAS 18002:2008 Sistemas de gestión de la seguridad y salud en el trabajo. Directrices para la imple-
mentación de OHSAS 18001:2007.

Responsabilidad social

IQNet SR 10 Sistemas de gestión de la responsabilidad social. Requisitos.

UNE-ISO 26000:2012 Guía de responsabilidad social.

- 26 -
Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
 EA 0031:2013

Gestión de la Calidad

UNE-EN ISO 9001:2008 Sistemas de gestión de la calidad. Requisitos.

UNE-EN ISO 9001:2008/AC:2009 Sistemas de gestión de la calidad. Requisitos.

UNE-EN ISO 9004:2009 Gestión para el éxito sostenido de una organización. Enfoque de gestión de la
calidad.

Gestión ambiental

UNE 150008:2008 Análisis y evaluación del riesgo ambiental.

UNE-EN ISO 14001:2004 Sistemas de gestión ambiental. Requisitos con orientación para su uso.

UNE-EN ISO 14001:2004/AC:2009 Sistemas de gestión ambiental. Requisitos con orientación para su uso.

UNE-EN ISO 14004:2010 Sistemas de gestión ambiental. Directrices generales sobre principios, sistemas y
técnicas de apoyo.

Gestión de la Seguridad de la Información

UNE 71504:2008 Metodología de análisis y gestión de riesgos para los sistemas de información.

UNE-ISO/IEC 27000:2012 Tecnologías de la información. Técnicas de seguridad. Sistemas de Gestión de la

Seguridad de la Información (SGSI). Visión de conjunto y vocabulario.

UNE-ISO/IEC 27001:2007 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la

Seguridad de la Información (SGSI). Requisitos.

UNE-ISO/IEC 27001:2007/1M:2009 Tecnología de la información. Técnicas de seguridad. Sistemas de

Gestión de la Seguridad de la Información (SGSI). Requisitos.

ISO/IEC 27005:2011 Information technology. Security techniques. Information security risk management.

Normas sectoriales

UNE 179003:2013 Servicios sanitarios. Gestión de riesgos para la seguridad del paciente.

UNE-EN 15975-1:2011 Seguridad en el suministro de agua potable. Directrices para la gestión del riesgo y
las crisis. Parte 1: Gestión de las crisis.

UNE-EN ISO 14971:2012 Productos sanitarios. Aplicación de la gestión de riesgos a los productos
sanitarios.

UNE-EN ISO 22000:2005 Sistemas de gestión de la inocuidad de los alimentos. Requisitos para cualquier
organización en la cadena alimentaria.

UNE-ISO 28000:2008 Especificación para los sistemas de gestión de la seguridad para la cadena de
suministro.

EN ISO 17666:2003 Sistemas espaciales. Gestión de riesgos.

- 27 -
Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EA 0031:2013

ANEXO A (Informativo)

CORRESPONDENCIA ENTRE EL SISTEMA DE GESTIÓN DEL RIESGO

Y LA NORMA UNE-ISO 31000:2010

Sistema de Gestión del Riesgo UNE-ISO 31000:2010

INTRODUCCIÓN 0 INTRODUCCIÓN
Generalidades 0.1
Principios generales en la gestión del riesgo 0.2 3 PRINCIPIOS
OBJETO Y CAMPO DE APLICACIÓN 1 1 OBJETO Y CAMPO DE APLICACIÓN
NORMAS PARA CONSULTA 2
TÉRMINOS Y DEFINICIONES 3 2 TÉRMINOS Y DEFINICIONES
SISTEMA DE GESTIÓN DEL RIESGO 4 4.3 Diseño del marco de trabajo
(título solamente)
4.4 Implementación del marco de trabajo de
la gestión del riesgo
Establecimiento del contexto 4.1 4.1 Generalidades
4.3.1 Comprensión de la organización y de su
contexto
4.3.4 Integración en los procesos de la
organización
Necesidades y expectativas de los grupos de 4.2
interés
Determinación del alcance y los requisitos del 4.3 4.1 Generalidades
sistema de gestión del riesgo
Requisitos de la documentación 4.4 5.7 Registro del proceso de gestión del
riesgo
Generalidades 4.4.1
Manual de Gestión del Riesgo 4.4.2
Control de documentos 4.4.3
Control de registros 4.4.4
RESPONSABILIDAD POR LA DIRECCIÓN 5
Compromiso de la dirección 5.1 4.2 Mandato y compromiso
Política de gestión del riesgo 5.2 4.3.2 Establecimiento de la política de gestión
del riesgo
Planificación (título solamente) 5.3 4.4 Implementación del marco de trabajo de
la gestión del riesgo
Objetivos, metas y programas de gestión del 5.3.1
riesgo
Planificación del sistema de gestión del riesgo 5.3.2
Responsabilidad y autoridad 5.4 4.3.3 Obligación de rendir cuentas
Generalidades 5.4.1
Representante de la dirección 5.4.2

- 28 -
Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
 EA 0031:2013

Sistema de Gestión del Riesgo UNE-ISO 31000:2010

Comunicación e información 5.5 4.3.6 Establecimiento de los mecanismos
internos de comunicación y consulta
4.3.7 Establecimiento de los mecanismos
externos de comunicación y consulta
5.2 Comunicación y consulta
Revisión del sistema por la dirección 5.6 4.2 Mandato y compromiso
Información de entrada a la revisión 5.6.1
Resultados de la revisión 5.6.2
GESTIÓN DE LOS RECURSOS 6 4.3.5 Recursos
Generalidades 6.1
Competencia, formación y toma de conciencia 6.2
Infraestructura 6.3
PROCESOS DE GESTIÓN DEL RIESGO 7 5.4 Apreciación del riesgo (título
solamente)
Generalidades 7.1 5.4.1 Generalidades
Identificación del riesgo 7.2 5.4.2 Identificación del riesgo
Evaluación del riesgo 7.3 5.3 Establecimiento del contexto
5.3.5 Definición de los criterios del riesgo
5.4.3 Análisis del riesgo
5.4.4 Evaluación del riesgo
Tratamiento del riesgo 7.4 5.5 Tratamiento del riesgo
Control del riesgo 7.5
Preparación y respuesta ante incidentes 7.6
Recuperación ante una interrupción de la 7.7
actividad de la organización
MEDICIÓN, ANÁLISIS Y MEJORA 8
Generalidades 8.1
Seguimiento y medición de las actividades de 8.2 4.5 Seguimiento y revisión del marco de
gestión del riesgo trabajo
5.6 Seguimiento y revisión
Análisis de datos 8.3
Investigación de sucesos e incidentes, no 8.4
conformidad, acción correctiva y acción
preventiva
Auditoría interna 8.5
Mejora continua 8.6 4.6 Mejora continua del marco de trabajo

- 29 -
Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Génova, 6 info@[Link] Tel.: 902 102 201
28004 MADRID-España [Link] Fax: 913 104 032

Este documento ha sido adquirido por AUDISEC, SEGURIDAD DE LA INFORMACIÓN S.L. el 15 de Enero de 2016.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR