iso 31000

5/10/2018 ISO 31000

1/39

.~~icontecInternaclonal

NORMA TECNICACOLOMBIANA

NTC310002011-02-16

GESTION DEL RIESGO.PRINCIPIOS DIRECTRICES

E: RISK MANAGEMENT. PRINCIPLES AND GUIDELINES

CORRESPONDENCIA: esta norma es una adopcion identica(IDT) por traducci6n de la norma ISO31000:2009.DESCRIPTORES: gesti6n; riesgo; incertidumbre.

I.C.S.: 03.100.01Edilada por el lnsti tuto Colombiano de Normas Tecnicas y Certl ticacion (ICONTEC)Apartado 14237 Boqota, D.C. Tel . (571) 6078888 Fax (571) 2221435

Prohibida su reproduce ion Editada 20110222

5/10/2018 ISO 31000

2/39

PROLOGOEI Instituto Colombiano de Normas Tecnicas y Certificaci6n, ICONTEC, es el organismonacional de normalizaci6n, sequn el Decreto 2269 de 1993.ICONTEC es una ent idad de caracter pr ivado, sin animo de lucro, cuya Misi6n es fundamentalpara brindar soporte y desarrollo al productor y protecci6n al consumidor. Colabora con elsector gubernamental y apoya al sector privado del pafs, para lograr ventajas competitivasen los mercados interne y externo.La representaci6n de todos los sectores involucrados en el proceso de Normalizaci6n Tecnicaesta garantizada por los Comites Tecnicos y el perfodo de Consulta Publica, este ultimocaracterizado por la participaci6n del publico en general.La norma NTC-ISO 31000 fue rat ificada por el Consejo Directivo de 2011-02-16.Esta norma esta sujeta a ser actualizada permanentemente con el objeto de que respondaen todo momento a las necesidades y exigencias actuales.A continuaci6n se relacionan las empresas que colaboraron en el estudio de esta norma atravss de su participaci6n en el Cornite Tecnico 32 Gesti6n del riesgo.

AON COLOMBIAASEGURADORES TECNICOS LTDA.BANCO AGRARIO DE COLOMBIACOMPANIA NACIONAL DE CHOCOLATES SACONCONCRETO SACREDIBANCO VISADELIMA MARSH SADIRECCION DE PREVENCION Y ATENCION DE EMERGENCIAS -DPAE-ECOPETROL SAEMPRESA DE ACUEDUCTO DE BOGOTAERNEST & YOUNG COLOMBIAGIT LTDA.INDUSTRIAS SPRING SAITEAMMINISTERIO DE MEDIO AMBIENTE Y DESARROLLO TERRITORIALREDEBAN MULTICOLORSEGURIDAD ATLASSIKA COLOMBIA.TECNICONTROL SAAdernas de las anteriores, en Consulta Publica el Proyecto se puso a consideraci6n de lassiguientes empresas:

GESTION DEL RIESGO 9

5/10/2018 ISO 31000

3/39

ADAMS CADBURYAEROVIAS DEL CONTINENTE AMERICANO SA -AVIANCA SA-AJOVER SAALiCO COLOMBIA SEGUROS DE VIDA SAARP SEGUROS BOLIVARASETRANS LTDA.ASOCIACION COLOMBIANA DE CONTINUIDAD DEL NEGOCIOATESA SA E.S'p.CAJA DE COMPENSACION FAMILIAR DE FENALCO - SECCIONAL QUINDIOCAJAS Y SUPLEMENTOSCAMARA DE COMERCIO DE BOGOTACENTRO COMERCIAL CHIPICHAPECHAIN VARGASCHALLENGER SACJE SUPPLIES LTDA.COLCHONES NUEVO MILENIOCOMPANIA AGRICOLA DE SEGUROS DE VIDA SACOMPANIA DE SEGUROS BOLIVAR SACOMPANIA MUNDIAL DE SEGUROS SACOMPUCABLES NUGER LTDA.CONCALIDAD LTDA.COOPERATIVA DE LOS TRABAJADORES DEL INSTITUTO DE SEGUROS SOCIALESCRUZ ROJA SECCIONAL CUNDINAMARCA Y BOGOTADECEVAL SADELOITIE COLOMBIAEMPRESA IBAGUERENA DE ACUEDUCTO Y ALCANTARILLADOEMPRESAS PUBLICAS DE MEDELLIN E.S.P.ENCLAN SAENLACE OPERATIVO SAESCUELA COLOMBIANA DE INGENIERIAFENALCOFIDUCOLOMBIA SA SOCIEDAD FIDUCIARIA SAFUNDACION UNIVERSITARIA AGRARIA DECOLOMBIA -ESPECIALIZACION ENSISTEMASDE GESTION DE LA CALI DAD-GESCOP LTDA.GESTION & ESTRATEGIA S.A.S.GRUPO ATLAS DE SEGURIDAD INTEGRALHOSPITAL SANTA MARGARITA E.S.E.ILURAM SAINDUSTRIA FARMACEUTICA SYNTOFARMA SAINFOCOMUNICACIONES LTDA.JARDINE LLOYD THOMPSON VALENCIA & IRAGORRI CORREDORES DESEGUROS SAJM INGENIERIA LTDA.KPMGLA PREVISORA SA COMPANIA DE SEGUROSLlNALCA SAMAPFRE SEGUROS GENERALES DE COLOMBIA SAMATPEL DE COLOMBIA SA

10 GESTION DEL RIESGO

5/10/2018 ISO 31000

4/39

MAUDTMEGALITE LTDA.MERCK S.A.MINISTERIO DE COMERCIO, INDUSTRIA Y TURISMOMINISTERIO DE TRANSPORTEMUNICIPIO DE MEDELLIN - SECRETARfA DE EVALUACION Y CONTROLOCCIDENTAL DE COLOMBIA INCORGANISMO NACIONAL DE ACREDITACION DE COLOMBIAORGANIZACION TERPELOVERSIGHT S.A.S. RISK CONSULTING & RISK MANAGEMENT SERVICESPARQUES Y FUNERARIA S.A. JARDINES DEL RECUERDOPEREZ Y VILLA S.A.PETROTESTING COLOMBIA S.A.POLIPROPILENO DEL CARIBE S.A.POSITIVA COMPANfA DE SEGUROS S.A.PROCESS CONSULTANTS, INC. SUCURSAL COLOMBIA -PCIB-PRODUCTORES DE SEGUROS DE ANTIOQUIA ANPROSEGUROS CORREDORES DESEGUROS S.A.PROFESIONALES EN DEPORTE -PRODEPORT LTDA.-PROTECCIONPROTEGIENDO BFR S.A.REDES HUMANAS S.A.SEGUROS BOLIVARSEGUROS DE VIDA ALFA S.A.SEGUROS DE VIDA COLPATRIA S.A.SERFUNORTESERVICIO OCCIDENTAL DE SALUD S.A.SETELCOM LTDA.SIS S.A. SERVICIOS INTEGRALES DE SEGUROS Y SEGURIDAD SOCIALSURATEPSURTIDORA DE GAS DEL CARIBE S.A. E.S.P.TEAM FOODS COLOMBIA S.A.TECFIN INTERNATIONAL S.A.TECSEGUROS S.A. CORREDORES DE SEGUROSTERPELTOTAL SEGUROS CIA. ASESORES DE SEGUROS LTDA.TRANSPORTADORA DE VALORES ATLASUNIVERSIDAD SANTIAGO DE CALIVICEPRESIDENCIA DE RIESGOS LABORALES DEL INSTITUTO DE SEGUROS SOCIALESNIVEL NACIONAL BOGOTA D.C.WILLIS COLOMBIA CORREDORES DE SEGUROS S.A.ICONTEC cuenta con un Centro de Informaci6n que pone a disposici6n de los interesadosnormas internacionales, regionales y nacionales y otros documentos relacionados.

DIRECCION DE NORMALIZACION

GESTION DELRIESGO 11

5/10/2018 ISO 31000

5/39

CONTENIDO

Pagina

INTRODUCCION 151. OBJETO............................................................................................................... 182 TERMINOS Y DEFINICIONES 183. PRINCIPIOS......................................................................................................... 244. MARCO DE REFERENCIA.................................................................................. 26

4.1 GENERALIDADES............................................................................................... 264.2 DIRECCION Y COMPROMISO 274.3 DISENO DEL MARCO DE REFERENCIA PARA LA GESTION DEL RIESGO... 274.4 IMPLEMENTAR LA GESTION DEL RIESGO...................................................... 314.5 MONITOREAR Y REVISAR EL MARCO DE REFERENCIA............................... 314.6 MEJORA CONTINUA DEL MARCO DE REFERENCIA...................................... 32

5. PROCESO 325.1 GENERALIDADES............................................................................................... 325.2 COMUNICACION Y CONSULTA......................................................................... 325.3 ESTABLECIMIENTO DEL CONTEXTO............................................................... 345.4 VALORACION DEL RIESGO............................................................................... 375.5 TRATAMIENTO DEL RIESGO............................................................................. 395.6 MONITOREO Y REVISION.................................................................................. 415.7 REGISTRO DEL PROCESO PARA LA GESTION DEL RIESGO 42


5/10/2018 ISO 31000

6/39

PaginaANEXO A (Informativo)ATRIBUTOS DE LA GESTION MEJORADA DEL RIESGO 43BIBLIOGRAF[A... 46DOCUMENTO DE REFERENCIA.................................................................................. 47

FIGURASFigura 1. Relaciones entre los principios, el marco de referenciay los procesos para la gesti6n del riesgo 17Figura 2. Relaci6n entre los componentes del marco de referenciapara la gesti6n del riesgo 26Figura 3. Proceso para la gesti6n del riesgo.... 33


5/10/2018 ISO 31000

7/39

NORMA TECNICA COLOMBIANA NTC-ISO 31000

GESTION DEL RIESGO.PRINCIPIOS Y DIRECTRICES

INTRODUCCION

Las organizaciones de todo tipo y tarnario enfrentan facto res e influencias, internas y exter-nas, que crean incertidumbre sobre si elias loqraran 0 no sus objetivos. EI efecto que estaincertidumbre t iene en los objetivos de una orqanizacion es el "riesgo".Todas las actividades de una orqanizacion implican riesgo. Las organizaciones gestionan elriesgo mediante su identificacion y anal isis y luego evaluando si el riesgo se deberia modificarpor medio del tratamiento del riesgo con el fin de satisfacer los criterios del riesgo. A travesde este proceso, las organizaciones se comunican y consultan con las partes involucradas,monitorean y revisan el riesgo y los controles que 10 estan modificando con el fin de garan-tizar que no se requiere tratamiento adicional del riesgo. Esta norma describe este procesosistematico y logico en detalle.Aunque todas las organizaciones gestionan el riesgo en alqun grado, esta norma es!~I.f.?un nurnero de princiRiQs Quees necesano sfltisfC!.C2.Ei!:_ra hacer _ C l l i S l !a_gEZ_sti6rL9SlIiesgo sea~z. Esta norma recomienda que las organizaciones desarro! !.en,jrnR!em~"m_~!lY l1lej9.lencontinuamente un marco de referencTa"c,QYoRropgiitQ"~illnt~'gmr [email protected]_gas.tlQndel riesgo en los~oc_esos globales de gQbierno,estrategia y planificacion, g~sti6n, procesosde presentaci6n de inforrnes:poi"i fi6as, valores y culturade leiorqanizacion.

~ . _ .. - . - - - - _ . . . . .-~- ~. . . . . - _ - _ . .La qestion del riesgo se puede aplicar a toda la organizaci6n, en todas sus muchas areas yniveles, en cualquier momento, asi como a funciones, proyectos y act iv idades especificos.Aunque la practica de la qestion del riesgo se ha desarrollado con el paso del tiempo y enmuchos sectores para satisfacer diversas necesidades, la adopci6n de procesos consisten-tes dentro de un marco de referencia exhaustivo puede ayudar a garantizar que el riesgose gestiona eficaz, eficiente y coherentemente en toda la orqanizacion. EI enfoque genericoque se describe en esta norma suministra los principios y las directrices para la gesti6n decualquier forma de riesgo en una manera sistematica, transparente y creible, y en cualquieralcance y contexto.Cada sector especif ico 0 cada aplicaci6n de la gesti6n del riesgo traen consiqo necesida-des, audiencias, percepciones y criterios indiv iduales. Por 10 tanto, una caracteristica clavede esta norma es la inclusion del "establecimiento del contexto" como una actividad al inicio


5/10/2018 ISO 31000

8/39


de este proceso qenerico para la gestion del riesgo. AI establecer el contexto se capturaranlos objetivos de la orqanlzacion, el entorno en el cual ella persigue sus objetivos, sus partesinvolucradas y la diversidad de cri terios de riesgo; todo en conjunto ayudara a revelar y evaluarla naturaleza y la complejidad de sus riesgos.La relaclon entre los principios para la gestion del riesgo, el m_illco_g.eJ_e.fJ:lI.e.QQigJ~nl....,ualesta sucede y los procesos de gestion del riesgo descritos aqui se ilustra en la Figura 1.Cuando la qestion del riesgo se implementa y se mantiene de acuerdo con esta norma, dichagestion Ie permite a la orqanizacion, entre otros:

aumentar la probabil idad de alcanzar los objetivos;fomentar la qestion proactiva;ser consciente de la necesidad de identificar y tratar los riesgos en toda la organiza-cion;cumplir con los requisitos legales y reglamentarios pertinentes y con las normas inter-nacionales;mejorar la presentacion de informes obligatorios y voluntarios;mejorar el gobiern07~r f O y a . . - \ " i l v Omejorar la confianza y honestidad de las partes involucradas,establecer una base confiable para la toma de decisiones y la planiticacion;mejorar los controles;asignar y usar eficazmente los recursos para el tratamiento del riesgo;mejorar la eficacia y la eficiencia operativa;incrementar el desernpefio de la salud y la seguridad, as! como la proteccion ambien-tal;mejorar la prevencion de perdidas y la qestion de incidentes;minimizar las perdidas;mejorar el aprendizaje organizacional; ymejorar la flexibilidad organizacional.

Esta norma esta destinada a satisfacer las necesidades de un range amplio de partes invo-lucradas, incluyendo:


5/10/2018 ISO 31000

9/39

NORMA TECNICA COLOMBIAN A NTC-ISO 31000

aquellos responsables del desarrollo de la politica de qestion del riesgo dentro de laorqanizacion;aquellos responsables de garantizar que el riesgo se gestiona eficazmente dentro dela orqanizacion como unidad 0 dentro de un area, proyecto 0 actividad especificos;aquellos que necesitan evaluar la eficacia de una orqanlzacion en cuanto a la qestiondel riesgo; yaquellos que desarrollan normas, guias, procedimientos y codiqos de practica que,parcial 0 totalmente, establecen la manera de gestionar el riesgo dentro del contextoespecif ico de estos documentos.

En muchas organizaciones las practicas y procesos actuales para la gestion incluyen com-ponentes de la qestion del riesgo y much as organizaciones ya han adoptado un procesoformal para la qestion del riesgo para tipos particulares de riesgos 0 circunstancias. En talescasos, una orqanizacion puede decidir realizar una revision crit ica de sus practlcas y procesosexistentes a la luz de esta norma.En esta norma, se usan las expresiones "qestion del riesgo" y "gestionar el riesgo". En terrninosgenerales, la "~esgo:' se rgfiere a @.Af.9!:ljtectu'2 (princip~s maLQ.Q..y=pr.oceso$)para la gestion eficaz del riesgo, mientras que "gestionar el riesgo" se refiere a la aplicacionde esa ar uitectur.a_axiesgos~R.Iillj.Q!Jlar!'ls:.., _-._ .-- '"-------~ .. - - .,,-,

. - - - - ' "

/

,,; a)~oJ ~ b)J . _ ~ )~ .~~,j c)ua

d)\

v J _- --IEstablecimiento~ contexto (S.3)J---"

--",

Valor ac i6n del r ieS9t (5A~~ - - r - 1 Identificaci6n del r iesgo (5~~1: r--D- I ' "s ~"~ i. g -H Ana lisis del r iesgo (5.4.3) 1 -- 1 -- ~~ j I.~ , "E8 I - - H Eva luac i6n del r iesgo (5.4.4) l- - ~

I

a) Crear valor

I_I Tratamientoel riesgo5.5) 1 _l__,-------I'-- __ ,- _ ____jl- TI iProcesc

( numera l 5 )

Figura 1. Relaciones entre los principios, el marco de referencia y los procesospara lagestion del riesgo


b ) Es part e i nt eg ra l d e l osprocesos de la organizaci6nc) Es parte d e l a toma dedeclstonesd)Aborda exp ll ci tamnete Iaincertidumbree) Es s is tematica, estructuradayoportunaf) Se bas e en l a mej orinfarmaci6n disponibleg) Esta aoaptadoh) Tome. en conelde racion a losIactores humanos y culturalesi) Es t ranasparen te e in e lusivaj) Es c lnanuca, retterauva yreceptiva a1 cambiak ) Fac il it a Ia mejor a y r ea lz aa la organizaci6n

Principios( numera l 3 )

Marco de referencia( numera l 4 )

5/10/2018 ISO 31000

10/39


1. OBJETOEsta norma brinda los principios y las directrices qenencas sobre la gestion del riesgo.Esta norma puede ser utilizada par cualquier empresa publica, privada 0 comunitaria, asocia-cion, grupo 0 individuo. Por 10 tanto, no es especffica para ninguna industria 0 sector.NOTA Para prop6sitos de conveniencia, se hace referencia a todos los diversos usuarios de esta norma con elterrnino general de "organizaci6n".Esta norma se puede aplicar durante toda la duracion de una orqanizacion y a un ampliorango de actividades, inciuyendo estrategias y decisiones, operaciones, procesos, funciones,proyectos, productos, servicios y activos.Esta norma se puede aplicar a cualquier tipo de riesgo, cualquiera sea su naturaleza, biensea que tenga consecuencias positivas 0 negativas.Aunque esta norma suministra directrices qenericas, no se pretende promover la uniformidadde la qestion del riesgo en todas las organizaciones. Sera necesario que el disefio y la imple-rnentacion de planes y marcos de referencia para la gestion del riesgo tomen en consideracionlas diversas necesidades de una orqanizacion especffica, sus objetivos particulares, contexto,estructura, operaciones, procesos, funciones, proyectos, productos, servicios 0 activos, y laspracticas especfficas empleadas.Se pretende que esta norma sea utilizada para armonizar los procesos de laqestion del riesgoen las normas existentes y futuras. Suministra un enfoque cornun en apoyo de las normas quetratan con riesgos, sectores especfficos, 0 ambos, y no reemplaza a tales normas.Esta norma no esta destinada para fines de certif icacion.

2 TERMINOS Y DEFINICIONESPara los fines de este documento, se aplican los siguientes terrninos y definiciones:2.1 Riesgo. Efecto de la incertidumbre sobre los objetivos.NOTA 1 Un efecto es una desviaci6n de aquello que se espera, sea positive, negativo 0 ambos.NOTA 2 Los objetivos pueden tener aspectos diferentes (por ejemplo financieros, salud y seguridad, y metas am-bien tales) y se pueden apl icar en n ive les di fe rentes (estra teq ico, en toda la organizac i6n, en proyectos, p roductosy procesos).NOTA 3 A menudo el riesgo esta caracterizado por la referencia a los eventos (vease el numeral 2.17) potencialesy las consecuencias (vease el numeral 2.18) 0 a una combinaci6n de ellos.NOTA 4 Con f recuencia, el riesgo se expresa en terrninos de una combinaci6n de las consecuencias de un evento(inc luyendo los cambios en las c ircunstanc ias) y en la probab il idad (Likelihood) (vease el numeral 2.19) de quesuceda.NOTA 5 Incer tidumbre es el estado, inc luso parc ial , de def ic ienc ia de informaci6n re lacionada con la comprensi6no e l conocimiento de un evento, su consecuencia 0 probabilidad.


5/10/2018 ISO 31000

11/39

NORMA TECNICA COlOMBIANA NTC-ISO 31000

GTC 137 (ISO Gula 73:2009, definici6n 1.1).2.2 Gestion del riesgo. Actividades coordinadas para dirigir y controlar una organizaci6ncon respecto al riesgo (vease el numeral 2.1).GTC 137 (ISO Guia 73:2009, defin ici6n 2.1).2.3 Marco de referencia para la gestion del riesgo. Conjunto de componentes que brindanlas bases y las disposiciones de la organizaci6n para disefiar, implementar, monitorear (veaseel numeral 2.28), revisar y mejorar continuamente la gestion del riesgo (vease el numeral2.2) a traves de toda la organizaci6n.NOTA 1 Las bases incluyen lapolftica, los objetivos, elcomando y elcompromiso para gestionar el riesgo (veassel numeral 2.1).NOTA2 Lasdisposiciones de la organizaci6n incluyen planes, relaciones, rendici6n de cuentas (Accountability),recursos, procesos yactividades.NOTA3 EImarco de referencia para la gesti6n del riesgo esta incluido en las polit icas y practicas estrateqicas yoperacionales globales de la organizaci6n.GTC 137 (ISO Guia 73:2009, def inici6n 2.1.1).2.4 Politica para la gestion del riesgo. Declaraci6n de la direcci6n y las intenciones gene-rales de una organizaci6n con respecto a la gestion del riesgo (vease el numeral 2.2).GTC 137 (ISO Guia 73:2009, definici6n 2.1.2).2.5 Actitud hacia el riesgo. Enfoque de la organizaci6n para evaluar y eventualmente buscar,retener, tomar 0 alejarse del riesgo (vease el numeral 2.1).GTC 137 (ISO Guia 73:2009, definici6n 3.71.1).2.6 Plan para la gestion del riesgo. Esquema dentro del marco de referencia para lagestion del riesgo (vease el numeral 2.3) que especifica el enfoque, los componentes y losrecursos de la gesti6n que se van a aplicar a la gesti6n del riesgo (vease el numeral 2.1).NOTA 1 Loscomponentes de la gesti6n comunrnente incluyen procedimientos, practicas, asignaci6n de respon-sabilidades, secuencia y oportunidad de las actividades.NOTA2 EIplan para la gesti6n del r iesgo se puede apl icar a productos, procesos y proyectos particulares, y aparte de la organizaci6n 0 su totalidad.GTC 137 (ISO GUla 73:2009, def inici6n 2.1.3).2.7 Propietario del riesgo. Persona 0 entidad con la responsabilidad de rendir cuentas y laautoridad para gestionar un riesgo (vease el numeral 2.1).GTC 137 (ISO Gula 73:2009, definici6n 3.5.1.5).2.8 Proceso para la gestion del riesgo. Apl icaci6n sistematica de las polf ticas, los proce-dimientos y las practicas de gesti6n a las actividades de comunicaci6n, consulta, estableci-


5/10/2018 ISO 31000

12/39


miento del contexto, y de ldenti ficacion, analisis, evaluacion, tratamiento, monitoreo (veaseel numeral 2.28) y revis ion del riesgo (vease el numeral 2.1).GTe 137 (ISO Guia 73:2009, defin icion 3.1).2.9 Establecimiento del contexto. Definic ion de los parametres internos y externos que sehan de tomar en consideraclon cuando se gestiona el riesgo, y establecimiento del alcance ylos criterios del riesgo (vease el numeral 2.22) para la polftlca para la gestion del riesgo(vease el numeral 2.4).GTe 137 (ISO Guia 73:2009, definicion 3.3.1).2.10 Contexto externo. Ambiente externo en el cual la orqanizacion busca alcanzar susobjetivos.NOTA EI contexto ex terno puede inc lui r:

el ambiente cultural , social , politi co, legal , reglamentario, financiero, tecnoloqico, econornl co, natural ycornpe ti tivo , bien sea internaciona l, naciona l, reg iona l 0 local;impulsores clave y tendencias que tienen impacto en los objetivos de la orqanizaclon: yrelac iones con las partes involucradas (vease el numeral 2 .13 ) y sus percepciones y valores.

GTe 137 (ISO Guia 73:2009, def inicion 3.3.1.1).2.11 Contexto interno. Ambiente interne en el cualla orqanizacion busca alcanzar sus ob-jetivos.NOTA EI contexto interne puede incluir:

gobierno, estructura organizacional, funciones y responsabil idades;

po li ticas , objet ivos y estrategias implementadas para lograr los;las capacidades, entend idas en ter rninos de recurs os y conoc imiento (po r ejemplo capi tal , t iempo , pe rsonas,procesos, sistemas y tecnologias);s istemas de informacion, fl ujos de informaci6n y procesos para la t oma de deci siones (tanto formales comoinformales);relac iones con las partes involucradas internas y sus percepciones y valares;la cultura de la organizaci6n;normas, directrices y modelos adoptados par la orqanizacion; yforma y extens ion de las relac iones con trac tua les.

GTe 137 (ISO Guia 73:2009, def inicion 3.3.1.2).2.12 Oomunlcaclcn y consulta. Procesos continuos y reiterativos que una orqanizacionlieva a cabo para suministrar, compartir u obtener informacion e involucrarse en un dialoqo


5/10/2018 ISO 31000

13/39


con las partes involucradas (vease el numeral 2.13) con respecto a la gesti6n del riesgo(vease el numeral 2.1).NOTA 1 La informaci6n se puede relacionar con la existencia, la naturaleza, laforma, la probabilidad (Likelihood)(vease el numeral 2.19),el significado, la evaluaci6n, la aceptabilidad y el tratamiento de la gesti6n del riesgo.NOTA2 Laconsulta es un proceso de doble via dela comunicaci6n informada entre una organizaci6n y sus partesinvolucradas, acerca de alqun tema, antes de tomar una decisi6n 0 determinar una direcci6n para dicho tema. Laconsulta es:

un proceso que tiene impacto en ladecisi6n a traves de la influencia mas que del poder; yuna entrada para la toma de decisiones, no para la toma conjunta de decisiones.

GTe 137 (ISO Gufa 73:2009, definici6n 3.2.1).2.13 Parte involucrada. Persona u organizaci6n que puede afectar, verse afectada 0 perci-birse a sf misma como afectada por una decisi6n 0 una actividad.NOTA Una persona que toma decisiones puede ser una parte involucrada.GTe 137 (ISO Gufa 73:2009, definici6n 3.2.1.1).2.14 Valoraci6n del riesgo. Proceso global de identificaci6n del riesgo (vease el numeral2.15), anallsis del riesgo (vease el numeral 2.21) y evaluaci6n del riesgo (vease el numeral2.24).GTe 137 (ISO Gufa 73:2009, definici6n 3.4.1)2.15 Identificaci6n del riesgo. Proceso para encontrar, reconocer y describir el riesgo(vease el numeral 2.1).NOTA 1 La identificaci6n del riesgo implica la identificaci6n de las fuentes de riesgo (vease el numeral 2.16),loseventos (vease el numeral 2.17),sus causas y sus consecuencias (vease el numeral 2.18) potenciales.NOTA2 La identificaci6n del riesgo puede involucrar datos hist6ricos, analisis te6ricos, opiniones informadas yexpertas, y las necesidades de las partes involucradas (vease el numeral 2.13).GTe 137 (ISO Gufa 73:2009, definici6n 3.5.1).2.16 Fuente de riesgo. Elemento que solo 0 en combinaci6n tiene el potencial intrfnseco deoriginar un riesgo (vease el numeral 2.1).NOTA Una fuente de riesgo puede sertangible 0 intangible.GTe 137 (ISO Gufa 73:2009, definici6n 3.5.1.2).2.17 Evento. Presencia 0 cambio de un conjunto particular de circunstancias.NOTA 1 Un evento puede ser una 0mas ocurrencias y puede tener varias causas.NOTA2 Unevento puede consistir en algo que no esta sucediendo.


5/10/2018 ISO 31000

14/39


NOTA 3 En ocasiones, se puede hacer referencia a un evento como un "incidente" 0 "accidente".NOTA 4 Tarnbien se puede hacer referencia a un evento sin consecuencias (vease el numeral 2.18) como un"cuasi accidente", " incidente", "si tuacion de pel igro" 0 "conato de accidente".GTe 137 (ISO Gufa 73:2009, definici6n 3.5.1.3)2.18 Consecuencia. Resultado de un evento (vease el numeral 2.17) que afecta a los ob-jetivos.NOTA 1 Un evento puede originar un rango de consecuencias.NOTA 2 Una consecuencia puede ser cierta 0 inc ier ta y puede tener e fectos posit ives 0 negat ivos en los objet i-vos.NOTA 3 Las consecuencias se pueden expresar cualitativa 0 cuantitativamente.NOTA 4 Las consecuencias iniciales pueden escalar a traves de efectos secundarios.

GTe 137 (ISO Gufa 73:2009, def inici6n 3.6.1.3)2.19 Probabilidad (Likelihood). Oportunidad de que algo suceda.NOTA 1 En la terminologia de la qestion del riesgo, la palabra "probabilidad (Likelihood)" se utiliza para hacerreferencia a la oportunidad de que algo suceda, este 0 no definido, medido 0 determinado objetiva 0 subjetivamen-te, cualitativa 0 cuant itat ivamente, y descri to u ti li zando terminos generales 0 maternaticos (como la probabi lidadnumerica (Probability) 0 la f recuencia en un periodo de t iempo determinado) .NOTA 2 EI terrnino ingles "Likelihood (probabilidad)" no tiene un equivalente directo en algunos idiomas; en lugarde ello se utiliza el terrnlno equivalente de "Probability (p robab il idad numerics Sin embargo en inqles "Probability"con frecuencia se interpreta mas estrechamente como un ter rn ino rna terna tico. Por 1 0 tanto, en la terminologia de laqestion del r iesgo, "Likelihood" se usa con la intension de que tenga la misma interpretacion amplia que el terrnino"probab il idad" en muchos idiomas d iferentes del inq les.GTe 137 (ISO Gufa 73:2009, definici6n 3.6.1.1).2.20 Perfil del riesgo. Descripci6n de cualquier conjunto de riesgos (vease el numeral2.1).NOTA EI conjunto de riesgos puede contener aquellos que se relacionan con la orpanizacion en su totalidad,con parte de la orqanizacion 0 sequn otra definicion.GTe 137 (ISO Guia 73:2009, def inici6n 3.8.2.5).2.21 Amilisis del riesgo. Proceso para comprender la naturaleza del riesgo (vease el numeral2.1) y determinar el nivel de riesgo (vease el numeral 2.23).NOTA 1 EI anal isis del riesgo proporciona las bases para la evaluacion del riesgo (veass el numeral 2.24) y lasdecisiones sobre el tratamiento del riesgo (vease el numeral 2.25).NOTA 2 EI anal isis del riesgo incluye la estimacron del riesgo.GTe 137 (ISO Gufa 73:2009, definici6n 3.6.1).2.22 Criterios del riesgo. Terrninos de referencia frente a los cuales se evalua la importanciade un riesgo (vease el numeral 2.1).


5/10/2018 ISO 31000

15/39

NORMA TeCNICA COLOMBIANA NTC-ISO 31000

NOTA 1 Los criterios del riesgo se basan en los objetivos y el contexte externo (vease el numeral 2.10) e interne(vease el numeral 2.11)de la organizaci6n.NOTA 2 Los criterios del riesgo se pueden derivar de normas, leyes, politicas y otros requisitos.GTe 137 (ISO Gufa 73:2009, definicion 3.3.1.3).2.23 Nivel de riesgo. Magnitud de un riesgo (vease el numeral 2.1) 0de una combinacion deriesgos, expresada en terminos de la cornbinacion de las consecuencias (vease el numeral2.18) y su probabilidad (vease el numeral 2.19).GTe 137 (ISO Gufa 73:2009, definicion 3.6.1.8).2.24 Evaluaci6n del riesgo. Proceso de cornparacion de los resultados del anallsis del r iesgo(vease el numeral 2.21) con los criterios del riesgo (vease el numeral 2.22), para determinarsi el riesgo (vease el numeral 2.1), su magnitud 0 ambos son aceptables 0 tolerables.NOTA La evaluaci6n del riesgo ayuda en la decisi6n acerca del tratamiento del riesgo (vease el numeral2.25).GTe 137 (ISO Gufa 73:2009, definicion 3.7.1).2.25 Tratamiento del riesgo. Proceso para modificar el riesgo (vease el numeral 2.1).NOTA 1 EItratamiento del riesgo puede implicar:

evitar el riesgo decidiendo no iniciar 0 continuar la actividad que 10origin6;tomar 0 incrementar el riesgo con el fin de perseguir una oportunidad;retirar la fuente del riesgo (vease el numeral 2.16);cambiar la probabilidad (vease el numeral 2.19);cambiar las consecuencias (vease el numeral 2.18);compartir el riesgo con una 0 varias de las partes (incluyendo los contratos y la financiaci6n del riesgo); yretener el riesgo a traves de la decisi6n informada.

NOTA 2 Enocasiones sehace referencia a los tratamientos del riesgo relacionados con consecuencias negativascomo "mitigaci6n del riesgo", "eliminaci6n del riesgo", "prevenci6n del riesgo" y "reducci6n del riesgo".NOTA 3 EItratamiento del riesgo puede crear riesgos nuevas 0modificar los existentes.GTe 137 (ISO Gufa 73:2009, definicion 3.8.1).2.26 Control. Medida que modifica al riesgo (vease el numeral 2.1)NOTA 1 Los controles incluyen procesos, politicas, dispositivos, practicas u otras acciones que modifican alriesgo.NOTA 2 Los controles no siempre pueden ejercer el electo modificador previsto 0 asumido.GTe 137 (ISO Gufa 73:2009, definicion 3.8.1.1).


5/10/2018 ISO 31000

16/39


2.27 Riesgo residualRiesgo (vease el numeral 2.1) remanente despues del tratamiento del riesgo (vease elnumeral 2.25).NOTA 1 EI r iesgo residual puede contener un r iesgo no identificado.NOTA 2 EI r iesgo residual tarnoien se conoce como " riesgo retenido'"GTe 137 (ISO Guia 73:2009, definicion 3.8.1.6).2.28 Monitoreo. Verificacion, supervision, observacion critica 0 determinacion continua delestado con el f in de identificar cam bios con respecto al nivel de desempefio exigido 0 espe-rado.NOTA EI monitoreo se puede aplicar al marco de referencia para la gestion del riesgo (vease el numeral2.3), al proceso para la gestion del riesgo (vease el numeral 2.8), al riesgo (vease el numeral 2.1) 0 al control(vease el numeral 2.26).

GTe 137 (ISO Guia 73:2009, definicion 3.8.2.1).2.29 Revision. Accion que se emprende para determinar la idoneidad, conveniencia y eficaciade la materia en cuestion para lograr los objetivos establecidos.NOTA La revision se puede aplicar al marco de referencia para la gestion del riesgo (vease el numeral 2.3),al proceso para la gestion del riesgo (vease el numeral 2.8), al riesgo (vease el numeral 2.1) 0 al control (veaseel numeral 2.26).GTe 137 (ISO Gufa 73:2009, definicion 3.8.2.2)

3. PRINCIPIOSPara que la qestion del riesgo sea eficaz, la orqanizaclon deberfa cumplir con todos los si-guientes principios en todos los niveles:a) La gestion del riesgo crea y protege el valor

La qestion del riesgo contribuye al logro demostrable de los objetivos y a la mejora deldesempefio en, por ejemplo, la salud y la seguridad humana, la conformidad legal yreglamentaria, la seguridad, la aceptacion publica, la proteccion del ambiente, la calidaddel producto, la gestion de proyectos, la eficiencia en las operaciones, el gobierno y lareputacion.

b) La gestion del riesgo es una parte integral de todos los procesos de la organi-zaclonLa gestion del riesgo no es una actividad independiente que se separa de las activi-dades y los procesos principales de la orqanizacion. La gestion del riesgo es parte delas responsabilidades de la direccion y una parte integral de todos los procesos de laorqanizacion, incluyendo la planificacion estrateqica y todos los procesos de qestionde proyectos y de cambio.


5/10/2018 ISO 31000

17/39


c) La gestion del riesgo es parte de la toma de decisionesLa gestion del riesgo ayuda a quienes toman las decisiones a hacer elecciones infor-madas, priorizar acciones y distinguir entre cursos de accion alternativos.

d) La gestion del riesgo aborda expllcitamente la incertidumbreLa gestion del riesgo toma en consideracion explfcitamente a la incertidumbre, sunaturaleza y la forma en que se puede tratar.

e) La gestion del riesgo es sistematica, estructurada y oportunaUn enfoque sistematico, oportuno y estructurado para la qest ion del riesgo contr ibuyea la eficiencia y a resultados consistentes, comparables y confiables.

f ) La gestion del riesgo se basa en la mejor informacion disponibleLas entradas para el proceso de qestion del riesgo se basan en fuentes de informaciontales como datos histoncos, experiencia, retroalirnentacion de las partes involucradas,observacion, previsiones y exam en de expertos. Sin embargo, quienes toman las de-cisiones deberfan informarse y tomar en consideracion todas las limitaciones de losdatos 0 de los modelos ut ilizados, 0 la posibilidad de divergencia entre los expertos.

g) La gestion del riesgo esta adaptadaLa qestion del riesgo se alinea del contexte externo e interne y del perfil de riesgo dela orqanizacion,

h) La gestion del riesgo toma en conslderaclcn los facto res humanos y culturalesLa gestion del riesgo reconoce las capacidades, percepciones e intenciones de indivi-duos externos e internos, los cuales pueden facilitar 0 dificultar ellogro de los objetivosde la orqanizacion.

i) La gestion del riesgo es transparente e inclusivaLa correcta y oportuna intervencion de las partes involucradas y, en part icular, de aque-1I0sque toman las decisiones en todos los niveles de la orqanizacion, garantiza quela qest ion del riesgo siga siendo pertinente y se actual ice. Esta intervencion tarnbienpermite a las partes involucradas estar correctamente representadas y hacer que suspuntos de vista se tomen en consideracion al determinar los criter ios del riesgo.

j) La gestion del riesgo es dlnamlca, reiterativa y receptiva al cambioLa gestion del riesgo siente y responde continuamente al cambio. A medida que sepresentan los eventos externos e internos, el contexte y el conocimiento cambian, tie-nen lugar el monitoreo y la revision de los riesgos, emergen riesgos nuevos, algunoscambian y otros desaparecen.


5/10/2018 ISO 31000

18/39


k) La gestion del riesgo facilita la mejora continua de la orqanlzacionLas organizaciones deberfan desarrollar e implementar estrategias para mejorar lamadurez de su gestion de riesgos junto con todos los otros aspectos de su organiza-cion.

EI Anexo A suministra asesoria adicional para las organizaciones que requieren gestionar elriesgo mas eficazmente.

4. MARCODE REFERENCIA

4.1 GENERALIDADES

EI exito de la gestion del riesgo depandera de la eficacia del t D _ g f . 9 . Q - d.e..rernrencia para lagestion, el cual.brinda las bases y las disR.o.sici9n~s._que se_intr_odJ!gjran erUodos los nivelesde lao195lnizaci61). EI marco 9 Y l J _ _ d i i[a-gestion eficaz del riesgo a traves de la ap'licacion del~!2~eso para la Q.il l>_ti .Qnel rLe..s.govease el numeral 5) en los diversos niveles y ~}).!exill..e_J2.e

5/10/2018 ISO 31000

19/39


Este marco de referencia no tiene como finalidad prescribir un sistema de gesti6n sino facilitara la organizaci6n la integraci6n de la gesti6n del riesgo en su sistema de gesti6n global. Por10tanto, las organizaciones deberian adaptar los componentes del marco a sus necesidadesespedficas.Si las practicas y procesos de gest i6n existentes de la organizaci6n incluyen componentes dela gesti6n del riesgo, 0 si la organizaci6n ya ha adoptado un proceso formal para la gesti6ndel r iesgo para tipos particulares de riesgos 0 situaciones, entonces estos se deberian revisary valorar de forma critica frente a esta norma, incluyendo los atributos del Anexo A, con el finde determinar su eficacia y conveniencia.4.2 DIRECCION Y COMPROMISOLa introducci6n de la gesti6n del riesgo, y garantizar su eficacia continua, requiere de uncompromiso fuerte y sostenido por parte de la direcci6n de la organizaci6n, asf como de plan i-ficaci6n estrateqica y rigurosa para lograr el compromiso a todo nivel. La direcci6n deberia:

definir y aprobar la polftica para la gesti6n del riesgo;garantizar que la cultura de la organizaci6n y la polftica para la gesti6n del riesgo estanalineadas;determinar indicadores del desempefio de la gesti6n para el riesgo que esten acordescon los indicadores del desempefio de la organizaci6n;alinear los objetivos de la gesti6n del riesgo con los objetivos y las estrategias de laorganizaci6n;garantizar la conformidad legal y reglamentaria;asignar obligaciones y responsabilidades en los niveles respect ivos dentro de la orga-nizaci6n;garantizar que se asignan los recursos necesarios para la gesti6n del riesgo;comunicar los beneficios de la gesti6n del riesgo a todas las partes involucradas; ygarantizar que el marco de referencia para gestionar el riesgo sigue siendo adecua-do.

4.3 DISENO DEL MARCO DE RE FE R E N C IA PARALA GESTION DEL RIESGO4.3.1 Entender a la orqanlzaclcn y su contextoAntes de empezar el disefio y la implementaci6n del marco de referencia para la gesti6n delriesgo, es importante evaluar y entender el contexto, tanto externo como interno de la organi-zaci6n, dado que este puede tener influencia significativa en el disefio de dicho marco.


5/10/2018 ISO 31000

20/39


La evaluaci6n del contexte externo de la organizaci6n puede incluir , entre otros:a) el ambiente social y cultural, politico, legal, reglamentario, financiero, tecnol6gico,econ6mico, natural y competitive, bien sea internacional, nacional, regional 0 local;b) impulsores clave y tendencias que tienen impacto en los objetivos de la organizaci6n;

yc) las relaciones con las partes involucradas externas, y sus percepciones y valores.La evaluaci6n del contexto interne de la organizaci6n puede incluir , entre otros:

gobierno, estructura organizacional, funciones y obligaciones;polft icas, objetivos y estrategias que se han implementado para lograrlos;capacidades, entendidas en terrninos de recursos y conocimiento (por ejemplo capital,tiempo, personas, procesos, sistemas y tecnologfas);sistemas de informaci6n, flujos de informaci6n y procesos de toma de decisiones (tantoformales como informales);relaciones con las partes involucradas internas y sus percepciones y valores;la cultura de la organizaci6n;

". normas, directr ices y modelos adoptados por la organizaci6n; yforma y extensi6n de las relaciones contractu ales.

4.3.2 Establecer la polltica para la gestion del riesgoLa politica para la gesti6n del riesgo deberfa establecer claramente los objetivos de la orga-nizaci6n para la gesti6n del r iesgo y su compromise con ella, y comunmente deberfa abordarlos siguientes aspectos:

la justificaci6n de la organizaci6n para gestionar el r iesgo;los vfnculos entre los objetivos y las polfticas de la organizaci6n y la polftica para lagesti6n del riesgo;las obligaciones y responsabilidades para gestionar el riesgo;la forma de tratar los conflictos de intereses;el compromiso para poner a disposici6n los recursos necesarios con el fin de ayudara los responsables de la gesti6n del riesgo y de rendir cuentas con respecto a esta;


5/10/2018 ISO 31000

21/39


la forma en la cual se va a medir y a reportar el desempefio de la gesti6n del riesgo;yel compromiso para revisar y mejorar peri6dicamente la polftica y el marco de la qestiondel riesgo yen respuesta a un evento 0 un cambio en las circunstancias. La polfticapara la qestion del riesgo se deberfa comunicar de manera adecuada.

4.3.3 Rendicion de cuentasLa organizaci6n deberfa garantizar que existe responsabilidad, autoridad y competenciaadecuada para gestionar el riesgo, incluyendo la implementaci6n y mantenimiento del pro-ceso para la gesti6n del r iesgo y garantizando la idoneidad, eficacia y eficiencia de todos loscontroles. Esto se puede facil itar mediante:

la identificacion de los propietar ios del riesgo a quienes corresponde rendir cuentas ytienen autoridad para su gesti6n;la identificaci6n de quien debe dar cuentas por el desarrollo, la implernentacion y elmantenimiento del marco para la qestion del riesgo;la identificacion de otras responsabilidades en el proceso para la qestion del riesgo delos individuos en todos los niveles de la orqanizacicn;estableciendo la medicion del desempefio y procesos de escalamiento y reporte ex-terno, interne, 0 ambos; ygarantizando niveles adecuados de reconocimiento.

4.3.4 lnteqraclon en los procesos de la orqanlzaclonLa gesti6n del riesgo deberfa estar incluida en todas las practicas y los procesos de la orga-nizacion en una manera que sea pertinente, eficaz y eficiente. EI proceso para la gestion delr iesgo se deberfa convert ir en parte, no independiente, de los procesos de la organizaci6n. Enparticular, la qestion del riesgo se deberfa incluir en el desarrollo de la polft ica, la planificacionestrateqica y del negocio, la revision y en los procesos de gesti6n del cambio.Deberfa existir un plan para la gestion del riesgo a todo 10ancho de la organizaci6n paragarantizar que se implementa la potltica para la gestion del riesgo y que la qestion del riesgoesta incluida en todas las practicas y los procesos de la orqanlzacion, EI plan para la ges-ti6n del riesgo se podrfa integrar en otros planes de la orqanlzacion, por ejemplo en el planestrateqlco.4.3.5 RecursosLa organizaci6n deberfa asignar los recursos adecuados para la gesti6n del riesgo.


5/10/2018 ISO 31000

22/39


Se recomienda considerar los siguientes aspectos:personas, habilidades, experiencia y competencia.recursos necesarios para cada paso del proceso de qestion del riesgolos procesos, rnetodos y herramientas de la orqanlzacion que se van a utilizar paragestionar el riesgo;procesos y procedimientos documentados;sistemas de gestion de la informacion y el conocimiento; yprogramas de entrenamiento.

4.3.6 Establecer mecanismos para la comunicaci6n interna y la presentaci6n deinformesLa orqanizacion deberfa establecer mecanismos para la comunicacion interna y la presen-taclon de informes con el fin de ayudar y fomentar la rendicion de cuentas y la pertenenciadel riesgo.Estos mecanismos deberfan garantizar que:

t ::

los componentes clave del marco para la qestion del riesgo y todas las modif icacionesposteriores se comunican de manera correcta;existe un reporte interno adecuado acerca del marco, su eficacia y resultados;la informacion pertinente derivada de la aplicacion de la qsstion del riesgo esta dispo-nible en los niveles y los momentos convenientes; yexisten procesos para la consulta con las partes involucradas internas.

Estos mecanismos deberfan incluir, cuando asl corresponda, los procesos para consolidar lainformacion del riesgo proveniente de diversas fuentes, y puede ser necesario que considerenla sensibilidad de la informacion.4.3.7 Establecer mecanismos para la comunicaci6n externa y la presentaci6n deinformesLa orqanizacion deberfa desarrollar e implementar un plan sobre laforma como se cornunicaracon las partes involucradas externas. EI plan deberia incluir:

involucrar apropiadamente las partes interesadas externas y garantizar un intercambioefectivo de la informacion;


5/10/2018 ISO 31000

23/39


reporte externo para cumplir con los requisitos legales, reglamentarios y del go-bierno;brindar retroalimentaci6n e informes sobre la comunicaci6n y las consultas;usar la comunicaci6n para crear confianza en la organizaci6n; ycomunicarse con las partes involucradas en el evento de una crisis 0 contingencia.

Estos mecanismos deberian incluir, cuando as! corresponda, los procesos para consolidar lainformaci6n del riesgo proveniente de diversas fuentes, y puede ser necesario que considerenla sensibi lidad de la informaci6n.4.4 IMPLEMENTAR LA GESTION DEL RIESGO4.4.1 Implementar el marco de referencia para gestionar el riesgoAI implementar el marco de referencia de la organizaci6n para la gesti6n del riesgo, la orga-nizaci6n deberia:

definir el tiempo y la estrategia adecuados para la implementaci6n del marco de refe-rencia;aplicar el proceso y la politica para la gesti6n del riesgo a los procesos de la organiza-ci6n;cumplir con los requisitos legales y reglamentarios;garantizar que la toma de decisiones, incluyendo el desarrollo y establecimiento deobjetivos, est a en linea con los resultados de los procesos para la gesti6n del riesgo;Ilevar a cabo sesiones de informaci6n y entrenamiento; ycomunicarse y consultar a las partes involucradas para garantizar que el marco parala gesti6n del riesgo sigue siendo adecuado.

4.4.2 Implementar el proceso para la gestion del riesgoLa gesti6n del riesgo se debe ria implementar garantizando que el proceso para la gesti6ndel riesgo que se describe en el numeral 5 se aplica a traves de un plan para la gesti6n delriesgo en todos los niveles y las funciones pertinentes de la organizaci6n como parte de suspracticas y procesos.

4.5 MONITOREAR Y REVISAR EL MARCO DE REFERENCIACon el fin de garantizar que la gesti6n del riesgo es eficaz y continua sustentando el desem-pefio de la organizaci6n, la organizaci6n deberia:


5/10/2018 ISO 31000

24/39

estar adaptado a los procesos de negocio de la organizaci6n.


medir el desempefio de la gesti6n del riesgo frente a los indicadores, los cuales serevisan peri6dicamente para determinar su idoneidad;medir periodicamente el progreso frente al plan para la gesti6n del riesgo y las desvia-ciones con respecto a este;revisar peri6dicamente si el marco de referencia, la polftica y el plan para la gesti6ndel riesgo siguen siendo adecuados, sequn el contexto externo e interno de la organi-zaci6n;presentar informes sobre el riesgo, el progreso con el plan para la gesti6n del riesgo ysobre que tanto se cumple la polftica para la gesti6n del riesgo; yrevisar la eficacia del marco de referencia para la gesti6n del riesgo.

4.6 MEJORA CONTINUA DEL MARCO DE REFERENCIACon base en los resultados del monitoreo y las revisiones, se deberfan tomar decisionessobre la forma en que se podrfan mejorar el marco de referencia, la polftica y el plan para lagesti6n del riesgo. Estas decisiones deberfan originar mejoras en la gesti6n del riesgo de laorganizaci6n y en su cultura de la gesti6n del riesgo.

5. PROCESO5.1 GENERALIDADES",t;'EI proceso para la gesti6n del riesgo deberfa:

. . . . "i : . . ser parte integral de la gesti6n,

estar incluido en la cultura y las practicas, y

EI proceso comprende las actividades que se describen en los numerales 5.2 al 5.6. EI procesopara la gesti6n del riesgo se ilustra en la Figura 3.

5.2 COMUNICACION Y CONSULTALa comunicaci6n y la consulta con las partes involucradas extern as e internas deberfan tenerlugar durante todas las etapas del proceso para la gesti6n del riesgo.Por 10 t anto, se deberfan desarrollar tempranamente los planes para la comunicaci6n y laconsulta. Estos deberfan abordar aspectos relacionados con el propio riesgo, sus causas,sus consecuencias (si se conocen), y las medidas que se toman para tratarlo. Es conveniente


5/10/2018 ISO 31000

25/39


Establecimiento del contexto (5.3) __

Identificaci6n del riesgo (5.4.2)

Analisis del riesgo (5.4.3)

Evaluaci6n del riesgo (5.4.4)

Tratamiento del riesgo (5.5)

Figura 3. Proceso para la gestion del riesgo

que tengan lugar la comunlcaclon y las consultas externas e internas eficaces para garantizarque aquellos responsables de la lrnplementacion del proceso para la qestion del riesgo ylas partes involucradas entiendan las bases sobre las cuales se toman las decisiones, y lasrazones por las cuales se requieren acciones particulares.Un enfoque de equipo consultor puede:

ayudar a establecer correctamente el contexto;garantizar que se entienden y se toman en considaraclon los intereses de las partesinvolucradas;ayudar a garantizar que los riesgos esten correctamente identif icados;reunir diferentes areas de experticia para analizar los riesgos,garantizar que los diversos puntos de vista se toman en conslderaclon adecuadamenteal def inir los criter ios del riesgo y al evaluar los riesgos;

GESTION DEL RIESGO33

5/10/2018 ISO 31000

26/39

NORMA TECNICA COLOMBIAN A NTC-ISO 31000

asegurar la aprobacion y el soporte para el plan de tratamiento;fomentar la qestion adecuada del cambio durante el proceso para lagestion del riesgo;ydesarrollar un plan adecuado de cornunicacion y consulta externo e interno.

La cornunicacion y laconsulta con las partes involucradas son importantes dado que elias dansus opiniones acerca del riesgo con base en sus percepciones de este, Estas percepcionespueden variar debido a las diferencias en los valores, las necesidades, las asunciones, losconceptos y los intereses de las partes involucradas. Dado que sus puntos de vista puedentener un impacto significativo en las decisiones que se toman, las percepciones de las partesinvolucradas se deberfan identificar, registrar y tomar en consideracion en el proceso de tomade decisiones.La cornunicacion y la consulta deberfan tacilitar los intercambios de informacion veraz, perti-nente, precisa y tacil de entender, teniendo en cuenta los aspectos de la integridad personaly confidencial.5.3 ESTABLECIMIENTODELCONTEXTO

5.3.1 GeneralidadesAIestablecer el contexto, la orqanizacion articula sus objetivos, define los parametres externose internos que se van a considerar al gestionar el riesgo y establece el alcance y los criteriosdel riesgo para el resto del proceso. Aunque muchos de estos parametres son sirnilares aaquellos que se consideran en el disefio del marco de referencia para la qestion del riesgo(vease el numeral 4.3.1), al establecer el contexto del proceso para la gestion del riesgo, esnecesario que estos parametres se consideren en mayor detalle y, en particular, la maneracomo se relacionan con el alcance del proceso para la gestion del riesgo particular.5.3.2 Establecer el contexto externoEI contexto externo es el ambiente externo en el cual la orqanizacion busca alcanzar susobjetivos.Entender el contexto externo es importante con el fin de garantizar que los objetivos y laspreocupaciones de las partes involucradas externas se toman en consideracion al desarrollarlos criterios del r iesgo. Esto se basa en el contexto a todo 1 0 ancho de la orqanlzacion, perocon detalles especfficos de los requisitos legales y reglamentarios, las percepciones de laspartes involucradas y otros aspectos de los riesgos especfficos para el alcance del procesopara gestionar el riesgo.EI contexto externo puede incluir, entre otros:

el ambiente social y cultural, politico, legal, reglamentario, financiero, tecnoloqico,econornico, natural y competitivo, bien sea internacional, nacional, regional 0 local;


I

5/10/2018 ISO 31000

27/39


los impulsores clave y las tendencias que tienen impacto en los objetivos de la orga-nizacion: ylas relaciones con las partes involucradas externas y sus percepciones y valores.

5.3.3 Establecer el contexto interneEI contexte interno es el ambiente interno en el cual la orqanizacion busca alcanzar susobjetivos.EI proceso para la qestlon del riesgo deberfa estar alineado con la cultura, los procesos, laestructura y la estrategia de la orqanizacion, EI contexto interno es todo aquello dentro dela orqanizacion que pueda tener influencia en la forma en que la orqanizacion gestionara elriesgo. Este contexto se debe establecer porque:a) la qestlon del riesgo tiene lugar en el contexto de los objetivos de la orqanizacion;b) los objetivos y los criterios de un proyecto, proceso 0actividad en particular se deberfanconsiderar a la luz de los objetivos de la orqanizaclon como un todo; Yc) algunas organizaciones fracasan en reconocer las oportunidades para alcanzar susobjetivos estrateqicos, del proyecto 0 el negocio, y esto afecta la continuidad del com-promiso, la credibil idad, la confianza y el valor de la orqanizacion.Es necesario entender el contexte interno. Este puede incluir , entre otros:

gobierno, estructura de la orqaruzacion, funciones y responsabilidades;polit icas, objetivos y las estrategias implementadas para lograrlos;

capacidades, entendidas en terminos de recursos y conocimientos (por ejemplo capital,tiempo, personas, procesos, sistemas y tecnologfas);las relaciones con las partes involucradas internas y sus percepciones y valores;la cultura de la orqanizacion;sistemas de informacion, flujos de informacion y procesos de toma de decisiones (tantoformales como informales);normas, directrices y modelos adoptados por la orqanizacion; yforma y extension de las relaciones contractu ales.

5.3.4 Establecer el contexte del proceso para la gestion del riesgoSe recomienda establecer los objetivos, las estrategias, el alcance y los parametres de lasactividades de la orqanizacion, 0 de aquellas partes de la orqanizaclon en donde se aplica


5/10/2018 ISO 31000

28/39


el proceso para la gesti6n del riesgo. La gesti6n del riesgo se deberfa emprender con totalconsideraci6n de la necesidad de justificar los recursos utilizados para Ilevar a cabo dichagesti6n. Tarnbien se deberfan especificar los recursos necesarios, las responsabilidades yautoridades, y los registros que se deben conservar.EI contexte del proceso para la gest i6n del riesgo variara de acuerdo con las necesidades dela organizaci6n. Este contexte puede involucrar, entre otros:

definici6n de las metas y los objetivos de las act ividades de gesti6n del riesgo;definici6n de las responsabilidades del proceso para la gesti6n del riesgo y dentro deeste;definici6n del alcance, asi como de la profundidad y extensi6n de las actividades degesti6n del riesgo que se van a lIevar a cabo, incluyendo las exclusiones e inclusionesespecfficas;definir actividad, proceso, funci6n, proyecto, producto, servicio 0 activo en terminos detiempo y ubicaci6n;def inici6n de las relaciones entre el proyecto, el proceso 0 la actividad particulares yotros proyectos, procesos 0 actividades de la organizaci6n;definici6n de las metodologfas para la valoraci6n del riesgo;definici6n de la forma de evaluar el desernpefio y la eficacia en la gesti6n del riesgo;identificaci6n y especif icaci6n de las decisiones que se deben tomar; yidentificaci6n, establecimiento del alcance 0 el marco de los estudios necesarios, suextensi6n y objetivos, y los recursos necesarios para tales estudios.

La atenci6n a estos y otros facto res importantes deberfa ayudar a garantizar que el enfoquepara la gesti6n del riesgo que se ha adoptado es el adecuado para las circunstancias, laorganizaci6n y los riesgos que afectan el logro de sus objetivos.5.3.5 Definir los criterios del riesgoLa organizaci6n deberfa definir los criterios que se van a utilizar para evaluar la importanciadel r iesgo. Los criterios deberfan reflejar los valores, objetivos y recursos de la organizaci6n.Algunos criterios pueden estar impuestos por 10 requisitos legales y reglamentarios 0 derivarsede ellos y de otros requisitos a los cuales la organizaci6n se suscribe. Los criterios del riesgodeberfan ser consistentes con la polftica para la gesti6n del riesgo de la organizaci6n (veaseel numeral 4.3.2), estar definidos al comienzo de todo proceso para la gesti6n del riesgo yser revisados continuamente.AI definir los criterios del riesgo, los facto res que se van a considerar deberfan incluir lossiguientes:


5/10/2018 ISO 31000

29/39

rECNICA COLOMBIANA NTC-ISO 31000

la naturaleza y los tipos de causas y consecuencias que se pueden presentar y la formaen que se van a medir;como se va a definir la probabilidad;los marcos temporales de la probabil idad, las consecuencias, 0 ambas;como se va a determinar el nivel de riesgo;los puntos de vista de las partes involucradas;el nivel en el cual el riesgo se torna aceptable 0 tolerable; ysi se deberia 0 no tener en cuenta combinaciones de riesgos multiples y, si es asf,como y cuales combinaciones se deberfan considerar.

5.4 VALORACION DEL RIESGO5.4.1 GeneralidadesLa valoracion del riesgo es el proceso total de identificacion del riesgo, anal isis del riesgo yevaluacion del riesgo.NOTA ISO/lEG 31010 brinda directrices sobre las tecnicas de valoraci6n del riesgo.5.4.2 ldentlficaclon del riesgoLa orqanizacion deberfa identificar las fuentes de riesgo, las areas de impacto, los eventos(incluyendo los cambios en las circunstancias) y sus causas y consecuencias potenciales. EIobjeto de esta fase es generar una lista exhaustiva de riesgos con base en aquellos eventosque podrfan crear, aumentar, prevenir, degradar, acelerar 0 retrasar ellogro de los objetivos.Es importante identificar los riesgos asociados a la no busqueda de una oportunidad. Laidentiticacion exhaustiva es critica porque un riesgo que no se identifique en esta fase nosera incluido en el anal isis posterior.La identificacion deberfa incluir los riesgos independientemente de si su origen esta 0 nobajo control de la orqanizaclon, aun cuando el origen del riesgo 0 su causa pueden no serevidentes. La identificacion del riesgo deberfa incluir el examen de los efectos colaterales delas consecuencias particulares, incluyendo los efectos en cascada y acumulativos. Tarnbiense deberfa considerar un rango amplio de consecuencias incluso si el origen del riesgo 0su causa pueden no ser evidentes. AI igual que la identificacion de 1 0 que podrfa suceder,es necesario considerar las causas y los escenarios posibles que muestran que las conse-cuencias se podrfan presentar. Se recomienda considerar todas las causas y consecuenciassignificativas.La orqaruzacion deberfa aplicar herramientas y tecnicas para la identificacion del r iesgo quesean adecuadas a sus objetivos y capacidades, y a los riesgos que se enfrentan. La infor-macion pertinente y actualizada es importante para identificar los riesgos. Esta informacion


5/10/2018 ISO 31000

30/39


deberfa incluir, siempre que sea posible, la informacion basica. En la identificacion del riesgose deberfan involucrar las personas con el conocimiento apropiado.5.4.3 Analists del riesgoEI anal is is del riesgo implica el desarrollo y la cornprension del riesgo. Este analisis brinda unaentrada para la evaluacion del riesgo y para las decisiones sobre si es necesario 0 no tratarlos riesgos y sobre las estrategias y metodos mas adecuados para su tratamiento. EI anal isisdel riesgo tambien brinda una entrada para la toma de decisiones, en la cual se deben hacerelecciones y las opciones implican diversos tipos y niveles de riesgo.EI anal isis del riesgo involucra la consideracion de las causas y las fuentes de riesgo, susconsecuencias positivas y negativas, y la probabilidad de que tales consecuencias puedanocurrir. Se deberfan identif icar los factores que afectan a las consecuencias y a la probabilidad.EI riesgo es analizado determinando las consecuencias y su probabilidad, y otros atributos delriesgo. Un evento puede tener consecuencias multiples y puede afectar a objetivos multiples.Tarnbien se deberfan considerar los controles existentes y su eficacia y eficiencia.La forma en la cual las consecuencias y la probabilidad se expresan y la forma en la cualelias se combinan para determinar un nivel de riesgo deberfa reflejar el tipo de riesgo, lainformacion disponible y el proposito para el cual se va a usar la salida de la valoracion delr iesgo. Todo esto deberfa ser consistente con los criterios del r iesgo. Tarnbien es importanteconsiderar la interdependencia de los diferentes riesgos y sus orfgenes.La confianza en la determinacion del nivel de riesgo y su sensibilidad a las precondiciones yasunciones se deberfa considerar en el anal isis y comunicar eficazmente a quienes tomanlas decisiones y, sequn corresponda, a otras partes involucradas. Factores tales como ladivergencia de opinion entre los expertos, la incertidumbre, la disponibilidad, la calidad, lacantidad y la pertinencia continua de la informacion, 0 los limitantes en el modelado se de-berfan establecer y se pueden enfatizar.EI analisis del riesgo se puede realizar con diversos grados de detalle, dependiendo del ries-go, el proposito del analis is y la informacion, datos y recursos disponibles. EI anal isis puedeser cualitativo, semicuantitativo 0 cuantitativo, 0 una cornbinacion de ellos, dependiendo delas circunstancias.Las consecuencias y su probabilidad se pueden determinar modelando los resultados de unevento 0 grupo de eventos, 0 mediante extrapolacion a partir de estudios experimentales 0de los datos disponibles. Las consecuencias se pueden expresar en terminos de impactostangibles e intangibles. En algunos casos, se requiere mas de un valor numerico 0 descrip-tor para especif icar las consecuencias y su probabilidad en diferentes mementos, lugares,grupos 0 situaciones.5.4.4 Evaluaci6n del riesgoEI prop6sito de la evaluacion del riesgo es facilitar la toma de decisiones, basada en losresultados de dicho analisis, a acerca de cuales riesgos necesitan tratamiento y la prioridadvara la implernentacion del tratamiento.


5/10/2018 ISO 31000

31/39


La evaluacion del riesgo implica la comparacion del nivel de riesgo observado durante elproceso de analisis y de los criterios del riesgo establecidos al considerar el contexto. Conbase en esta cornparacion, se puede considerar la necesidad de tratamiento.En las decisiones se deberfa tener en cuenta el contexto mas amplio del riesgo e incluirconsideracion de la tolerancia de los riesgos que acarrean otras partes diferentes de la orga-nizacion que se benefician de los riesgos. Las decisiones se deberfan tomar de acuerdo conlos requisitos legales, reglamentarios y otros.En algunas circunstancias, la evaluacion del r iesgo puede Ilevar a la decision de emprenderun anal isis adicional. La evaluacion del riesgo tambien puede tener como resultado la deci-sion de no tratar el riesgo de ninguna manera diferente del mantenimiento de los controlesexistentes. Esta decision sstara inf luida por la actitud de la orqanizacion hacia el riesgo y porlos criterios del riesgo que se han establecido.5.5 TRATAMIENTO DEL RIESGO

5.5.1 Generalidades

EI tratamiento del riesgo involucra la seleccion de una 0 mas opciones para modif icar losriesgos y la irnplernentacion de tales opciones. Una vez implementado, el tratamiento sumi-nistra controles 0 los modifica.EI tratamiento del riesgo implica un proceso cfclico de:

valoracion del tratamiento del riesgo;decision sobre si los niveles de riesgo residual son tolerables;si no son tolerables, qeneracion de un nuevo tratamiento para el riesgo; yvaloracion de la eficacia de dicho tratamiento.

Las opciones para el tratamiento del r iesgo no necesariamente son mutuamente excluyentesni adecuadas en todas las circunstancias. Las opciones pueden incluir las siguientes:a) evitar el riesgo al decidir no iniciar 0 continuar la actividad que 10 oriqino;b) tomar 0 incrementar el riesgo para perseguir una oportunidad;c) retirar la fuente de riesgo;d) cambiar la probabilidad;e) cambiar las consecuencias;f) compartir el riesgo con una 0 varias de las partes, ( incluyendo los contratos y la finan-ciacion del r iesgo); y


5/10/2018 ISO 31000

32/39


g) retener el riesgo mediante una decision informada.

5.5.2 setecclon de las opciones para el tratamiento del riesgoLa seleccion de las opciones mas adecuadas para el t ratamiento del riesgo implica equilibrarlos costos y los esfuerzos de la implementacion frente a los benefic ios derivados con respectoa los requisitos legales, reglamentarios y otros, como por ejemplo la responsabilidad socialy la proteccion del ambiente natural. En las decisiones tarnbien se deberfan considerar losriesgos que pueden ameritar el tratamiento que no es justificable en terminos econornicos,por ejemplo los r iesgos graves (consecuencia negativa alta) pero raros (baja probabilidad).Se puede considerar y aplicar una cantidad de opciones para el tratamiento ya sea individual-mente 0en combinacion, Normalmente, la orqanizacion se puede benef iciar de la adopcionde una cornbinacion de opciones de tratamiento.AI seleccionar las opciones para tratar el riesgo, la orqanizacion deberfa considerar los valoresy las percepciones de las partes involucradas, y las vlas mas adecuadas para comunicarsecon ellos. Cuando las opciones para tratar et riesgo pueden tener impacto en el riesgo enotras partes de la orqanizacion 0 para otras partes involucradas, estas opciones se deberfanincluir en la decision. Aunque tienen igual eficacia, algunos tratamientos para el riesgo puedenser mas aceptables para algunas partes involucradas que para otras.EI plan de tratamiento deberfa identificar claramente el orden de prioridad en el cual se de-berfan implementar los tratamientos individuates para el riesgo.

"." EI tratamiento en sf mismo puede introducir r iesgos. Un riesgo significativo puede ser la falla 0la ineficacia de las medidas del tratamiento. Es necesario que el monitoreo sea parte integraldel plan de tratamiento del riesgo para garantizar que las medidas sigan siendo eficaces.EI tratamiento tambien puede introducir r iesgos secundarios que es necesario valorar, tratar,monitorear y revisar. Estos riesgos secundarios se deberfan incorporar en el mismo plan detratamiento definido para el riesgo original y no se deberfan tratar como riesgos nuevos. Esrecomendable identificar y mantener el vinculo entre los dos riesgos.5.5.3 Preparaclon e lmplementaclon de los planes para el tratamiento del riesgoEI proposito de los planes para el tratamiento del riesgo es documentar la forma en que sevan a implementar las opciones de tratamiento seleccionadas. La informacion suministradaen los planes de tratamiento deberfa incluir :

las razones para la seleccion de las opciones de tratamiento, que incluyan los beneficiosque se espera obtener;

aquellos que son responsables de aprobar el plan y los responsables de implementarlo;acciones propuestas;


5/10/2018 ISO 31000

33/39


requisitos de recursos, incluyendo las contingencias;medidas y restricciones de desempefio;requisitos de monitoreo y reporte; ytiempo y cronograma.

Los planes de tratamiento se deberfan integrar con los procesos de gestion de la organizaci6ny se deberfan discutir con las partes involucradas pertinentes.Los encargados de tomar las decisiones y otras partes involucradas deberfan conocer lanaturaleza y la extension del riesgo residual despues del tratamiento del riesgo. EI riesgoresidual se deberfa documentar y someter a monitoreo, revisi6n y, cuando asf corresponda,a tratamiento adicional.

5.6 MONITOREO Y REVISIONTanto el monitoreo como la reedlcion deberfa ser una parte planificada del proceso para laqestion del riesgo e incluir vertf icacion 0 vigilancia regulares. Pueden ser periodlcos 0 sequnconvenga.Las responsabilidades del monitoreo y la revision deberfan estar claramente definidas.Los procesos de monitoreo y revisi6n de la orqanizacion deberfan comprender todos losaspectos del proceso para la gestion del riesgo con el fin de:

garantizar que los controles son eficaces y eficientes tanto en el disefio como en laoperacion;obtener informacion adicional para mejorar la valoracion del r iesgo;analizar y aprender lecciones a partir de los eventos (incluyendo los cuasi accidentes),los cambios, las tendencias, los exitos y los fracasos;detectar cambios en el contexto externo e interno, incluyendo los cambios en los crite-rios del riesgo y en el riesgo mismo que puedan exigir revision de los tratamientos delriesgo y las prioridades; yidentificar los riesgos emergentes.

EI avance en la irnplementacion de los planes para tratamiento del riesgo suministra unamedida de desempefio. Los resultados se pueden incorporar en las actividades globales deqestion del desempefio, rnedlcion y reporte externo e interne de la orqanizacion.Los resultados del monitoreo y la revision se deberfan registrar y reportar interna y externa-mente ssqun corresponda, y se deberfan utilizar como una entrada para la revision del marcode referencia para la qesnon del riesgo (vease el numeral 4.5).


5/10/2018 ISO 31000

34/39

NORMA TeCNICA COLOMBIANA NTC-ISO 31000

5.7 REGISTRO DEL PROCESO PARA LA GESTION DEL RIESGOLas actividades para la qestion del riesgo deberian tener trazabilidad. En el proceso para laqestion del riesgo, los registros brindan la base para la mejora de los rnetodos y las herra-mientas, asi como del proceso global.En las decisiones con respecto a la creacion de registros se deberia tener en cuenta:

las necesidades de la orqanizacion con respecto al aprendizaje continuo;los beneficios de reut ilizar la informacion con propositos de qestion:los costos y esfuerzos involucrados en la creacion y el mantenimiento de los regis-tros;las necesidades legales, reglamentarias y operativas para los registros;los rnetodos de acceso, la facilidad de recuperacion y los medios de almacena-miento;el periodo de retencion; yla sensibi lidad de la informacion.


5/10/2018 ISO 31000

35/39


ANEXO A(Informativo)

ATRIBUTOS DE LA GESTION MEJORADA DEL RIESGO

Aj GENERAUDADESTodas las organizaciones deberfan tener como meta el nivel adecuado de desempefio de sumarco de referencia para laqestion del r iesgo en concordancia con la importancia crftica de lasdecisiones que se deben tomar. La lista de atributos que se indica a continuacion representaun nivel alto de desempefio en la qestion del riesgo. Para ayudar a las organizaciones a medirsu propio desempefio en comparacion con estos criterios, se brindan algunos indicadorestangibles para cada atributo.

A.2 RESULTADOS IMPORTANTESA.2.1 La orqanizacion tiene una comprension actual, correcta y exhaustiva de sus ries-gos.A.2.2 Los riesgos de la orqanizacion se encuentran dentro de sus criterios del riesgo.

A.3 ATRIBUTOSA.3.1 Mejora continuaSe hace entasis en la mejora continua de la qestion del riesgo a traves del establecimientode las metas de desempefio de la orqanizacion, la medicion, revision y rnocificacion posteriorde procesos, sistemas, recursos, capacidad y habil idades.EI indicador podrfa ser la existencia de metas explfcitas de desempefio en comparacion conlas cuales se mide el desempefio de la orqanizacion y del director individual. EI desempefiode la orqanizacion se puede publicar y comunicar. Normalmente, habra por 10menos unarevision anual del desempefio, despues una revision de los procesos, y luego el estableci-miento de objetivos revisados de desempefio para el perfodo siguiente.La valoracion del desempefio de la qestion del riesgo es una parte integral de la valoracionglobal del desempefio de la orqanizacion y del sistema de medicion para los departamentosy los individuos.A.3.2 Rendici6n total de cuentas con respecto a los riesgos

La qestion mejorada del riesgo incluye la rendicion de cuentas exhaustiva, totalmente defi-nida y aceptada de los riesgos, los controles y las tareas para el tratamiento del riesgo. Losindividuos asignados aceptan total mente la responsabilidad, tienen las habil idades adecua-das y los recursos pertinentes para verificar los controles, monitorear los riesgos, mejorar


5/10/2018 ISO 31000

36/39


los controles y comunicarse eficazmente ace rca de los riesgos y su qestion con las partesinvolucradas externas e internas.EIindicador podria estar constituido por todos los miembros de una orqanizacion que conocentotalmente los riesgos, los controles y las labores de las cuales son responsables. Normal-mente, la responsabil idad estara registrada en las descripciones del trabajo 0 el cargo, en lasbases de datos 0 los sistemas de informacion. La definicion de las funciones, obligaciones yresponsabilidades en la qestion del riesgo deberia ser parte de los programas de inducci6nde la orqanizacionLa orqanizacion garantiza que los responsables estan equipados para cumplir esa funci6nbrlndandoles laautoridad, el tiempo, el entrenamiento, los recursos y las habilidades suficientespara asumir sus obligaciones.A.3.3 Aplicacion de la gestion del riesgo en latoma de decisionesLa toma de decisiones en la orqanlzacion, independientemente del nivel de importancia ysignif icado, involucra la consideracion explfci ta de los riesgos y la aplicaci6n, en alqun grado,de la gestion de riesgos.EI indicador pod ria consistir en registros de las reuniones y lasdecisiones que muestren quetuvieron lugar las discusiones explicitas sobre los riesgos. Adernas, deberia ser posible verque todos los componentes de la qestion del riesgo estan representados en los procesosclave para la toma de decisiones en la orqanizacion, por ejemplo para las decisiones sobreasiqnacion de capital 0 proyectos principales y sobre los cam bios de estructurales y organi-zacionales. Por estas razones, una base s61ida para la gesti6n del riesgo se considera en laorqanizacion aquella que brinda las bases para el gobierno eficaz.A.3.4 Comunicaciones continuasLa gesti6n mejorada del riesgo incluye las comunicaciones continuas con las partes involu-cradas externas e internas, que incluyan el reporte exhaustivo y frecuente del desernperio dela gesti6n del riesgo como parte del buen gobierno.EIindicador podrfa ser la comunicacion con las partes involucradas como componente integraly esencial de la qestion del riesgo. La comunicaci6n puede bien considerarse un proceso dedoble via, de modo que se pueden tomar decisiones correctamente informadas acerca delnivel del riesgo y la necesidad de tratamiento frente a criterios del riesgo adecuadamenteestablecidos y exhaustivos.EI reporte exhaustivo y frecuente, externo e interno, tanto sobre los riesgos significativoscomo sobre el desernperio de la gesti6n del riesgo contribuye significativamente al gobiernoeficaz dentro de la orqanlzaclon.A.3.5 lnteqraclon completa en la estructura de gobierno de la orqanfzaclonLa gesti6n del riesgo se considera parte central de los procesos de gestion de la organizaci6n,de modo que los riesgos estan considerados en terminos del efecto de la incertidumbre en


5/10/2018 ISO 31000

37/39


los objetivos. La estructura y los procesos de gobierno se basan en la gesti6n del riesgo. Lagesti6n eficaz del r iesgo es considerada por los directores un factor esencial para ellogro delos objetivos de la organizaci6n.EI indicador podrfa ser el lenguaje de los directores y el material escrito importante en laorganizaci6n que uti liza el terrnino "incertidumbre" en conexi6n con los riesgos. Este atributotambien esta reflejado normal mente en las declaraciones de la polftica de la organizaci6n,en particular las que se relacionan con la gesti6n del riesgo. Normalmente, este atributo severificarfa a traves de entrevistas con los directores y a traves de la evidencia de sus actosy deciaraciones.


5/10/2018 ISO 31000

38/39

- . ,,'"


BIBLIOGRAFIA

[1] ISO Guide73:2009, Risk Management. Vocabulary.[2] ISO/IEC31010,Risk Management. Risk Assessment Techniques.


5/10/2018 ISO 31000

39/39

DOCUMENTO DE REFERENCIAERNATIONAL ORGANIZATION FOR STANDARDIZATION. Risk Management. Principlesand Guidelines. Geneva: ISO, 2009, 24p (ISO flEe 31000:2009 (E)).


iso 31000

Documents

seguros ltda

caribe s

recuerdoperez y villa

merck s

salud s

petrotesting colombia

segurosterpeltotal seguros

seguros bolivarseguros