-
NTC-ISO
31000
2011-02-16
GESTIN DEL RIESGO.PRINCIPIOS Y DIRECTRICES
E: RISK MANAGEMENT. PRINCIPLES AND GUIDELINES
CORRESPONDENCIA: esta norma es una adopcin idntica(IDT) por
traduccin de la normaISO 31000:2009.
gestin; riesgo; incertidumbre.DESCRIPTORES:
I.C.S.: 03.100.01
Editada por el Instituto Colombiano de Normas Tcnicas y
Certificacin (ICONTEC)Apartado 14237 Bogot, D.C. - Tel. (571)
6078888 - Fax (571) 2221435
Prohibida su reproduccin Editada 2011-02-22
-
PRLOGO
El Instituto Colombiano de Normas Tcnicas y Certificacin,
ICONTEC, es el organismonacional de normalizacin, segn el Decreto
2269 de 1993.
ICONTEC es una entidad de carcter privado, sin nimo de lucro,
cuya Misin es fundamentalpara brindar soporte y desarrollo al
productor y proteccin al consumidor. Colabora con elsector
gubernamental y apoya al sector privado del pas, para lograr
ventajas competitivas enlos mercados interno y externo.
La representacin de todos los sectores involucrados en el
proceso de Normalizacin Tcnicaest garantizada por los Comits
Tcnicos y el perodo de Consulta Pblica, este ltimocaracterizado por
la participacin del pblico en general.
La norma NTC-ISO 31000 fue ratificada por el Consejo Directivo
de 2011-02-16.
Esta norma est sujeta a ser actualizada permanentemente con el
objeto de que responda entodo momento a las necesidades y
exigencias actuales.
A continuacin se relacionan las empresas que colaboraron en el
estudio de esta norma atravs de su participacin en el Comit Tcnico
32 Gestin del riesgo.
AON COLOMBIAASEGURADORES TCNICOS LTDA.BANCO AGRARIO DE
COLOMBIACOMPAA NACIONAL DE CHOCOLATES S.A.CONCONCRETO
S.A.CREDIBANCO VISADELIMA MARSH S.A.DIRECCINDEPREVENCINYATENCIN DE
EMERGENCIAS -DPAE-ECOPETROL S.A.EMPRESA DE ACUEDUCTO DE BOGOT
ERNEST & YOUNG COLOMBIAGIT LTDA.INDUSTRIAS SPRING
S.A.ITEAMMINISTERIO DE MEDIO AMBIENTE YDESARROLLO
TERRITORIALREDEBAN MULTICOLORSEGURIDAD ATLASSIKA
COLOMBIA.TECNICONTROL S.A.
Adems de las anteriores, en Consulta Pblica el Proyecto se puso
a consideracin de lassiguientes empresas:
ADAMS CADBURYAEROVAS DEL CONTINENTE AMERICANOS.A. -AVIANCA
S.A.-AJOVER S.A.ALICO COLOMBIA SEGUROS DE VIDA S.A.ARP SEGUROS
BOLVARASETRANS LTDA.ASOCIACION COLOMBIANA DECONTINUIDAD DEL
NEGOCIOATESA S.A. E.S.P.CAJA DE COMPENSACIN FAMILIAR DEFENALCO -
SECCIONAL QUINDO
CAJAS Y SUPLEMENTOSCMARA DE COMERCIO DE BOGOTCENTRO COMERCIAL
CHIPICHAPECHAIN VARGASCHALLENGER S.A.CJE SUPPLIES LTDA.COLCHONES
NUEVO MILENIOCOMPAA AGRCOLA DE SEGUROS DEVIDA S.A.COMPAA DE SEGUROS
BOLVAR S.A.COMPAA MUNDIAL DE SEGUROS S.A.COMPUCABLES NUGER
LTDA.
-
CONCALIDAD LTDA.
COOPERATIVA DE LOS TRABAJADORES
DEL INSTITUTO DE SEGUROS SOCIALES
CRUZ ROJA SECCIONAL CUNDINAMARCA
Y BOGOT
DECEVAL S.A.
DELOITTE COLOMBIA
EMPRESA IBAGUEREA DE ACUEDUCTO
Y ALCANTARILLADO
EMPRESAS PBLICAS DE MEDELLN E.S.P.
ENCLAN S.A.
ENLACE OPERATIVO S.A.
ESCUELA COLOMBIANA DE INGENIERA
FENALCO
FIDUCOLOMBIA S.A. SOCIEDAD FIDUCIARIA
S.A.
FUNDACIN UNIVERSITARIA AGRARIA DE
COLOMBIA -ESPECIALIZACIN EN SISTEMAS
DE GESTIN DE LA CALIDAD-
GESCOP LTDA.
GESTIN & ESTRATEGIA S.A.S.
GRUPO ATLAS DE SEGURIDAD INTEGRAL
HOSPITAL SANTA MARGARITA E.S.E.
ILURAM S.A.
INDUSTRIA FARMACUTICA SYNTOFARMA S.A.
INFOCOMUNICACIONES LTDA.
JARDINE LLOYD THOMPSON VALENCIA &
IRAGORRI CORREDORES DE SEGUROS S.A.
JM INGENIERA LTDA.
KPMG
LA PREVISORA S.A. COMPAA DE
SEGUROS
LINALCA S.A.
MAPFRE SEGUROS GENERALES DE
COLOMBIA S.A.
MATPEL DE COLOMBIA S.A.
MAUDT
ORGANISMO NACIONAL DEACREDITACIN DE COLOMBIAORGANIZACIN
TERPELOVERSIGHT S.A.S. RISK CONSULTING &RISK MANAGEMENT
SERVICESPARQUES Y FUNERARIA S.A. JARDINESDEL RECUERDOPREZ Y VILLA
S.A.PETROTESTING COLOMBIA S.A.POLIPROPILENO DEL CARIBE S.A.POSITIVA
COMPAA DE SEGUROS S.A.PROCESS CONSULTANTS, INC.SUCURSAL COLOMBIA
-PCIB-PRODUCTORES DE SEGUROS DEANTIOQUIA ANPROSEGUROSCORREDORES DE
SEGUROS S.A.PROFESIONALES EN DEPORTE
-PRODEPORTLTDA.-PROTECCINPROTEGIENDO BFR S.A.REDES HUMANAS
S.A.SEGUROS BOLVARSEGUROS DE VIDA ALFA S.A.SEGUROS DE VIDA
COLPATRIA S.A.SERFUNORTESERVICIO OCCIDENTAL DE SALUD S.A.SETELCOM
LTDA.SIS S.A. SERVICIOS INTEGRALES DESEGUROS Y SEGURIDAD
SOCIALSURATEPSURTIDORA DE GAS DEL CARIBE S.A. E.S.P.TEAM FOODS
COLOMBIA S.A.TECFIN INTERNATIONAL S.A.TECSEGUROS S.A. CORREDORES
DESEGUROSTERPELTOTAL SEGUROS CA. ASESORES DESEGUROS
LTDA.TRANSPORTADORA DE VALORES ATLASUNIVERSIDAD SANTIAGO DE
CALIVICEPRESIDENCIADERIESGOSLABORALES DEL INSTITUTO DE
SEGUROSSOCIALES NIVEL NACIONAL BOGOT D.C.WILLIS COLOMBIA CORREDORES
DESEGUROS S.A.
ICONTEC cuenta con un Centro de Informacin que pone a disposicin
de los interesadosnormas internacionales, regionales y nacionales y
otros documentos relacionados.
DIRECCIN DE NORMALIZACIN
-
NTC-ISO 31000
CONTENIDO
Pgina
INTRODUCCIN......................................................................................................................1
1 OBJETO
.......................................................................................................................3
2 TRMINOS Y DEFINICIONES
.....................................................................................4
3. PRINCIPIOS
.................................................................................................................9
4.
4.1
4.2
4.3
4.4
4.5
4.6
MARCO DE REFERENCIA
........................................................................................11
GENERALIDADES
.....................................................................................................11
DIRECCIN Y COMPROMISO
..................................................................................12
DISEO DEL MARCO DE REFERENCIA PARA LA GESTIN DEL RIESGO
........12
IMPLEMENTAR LA GESTIN DEL
RIESGO............................................................15
MONITOREAR Y REVISAR EL MARCO DE
REFERENCIA.....................................16
MEJORA CONTINUA DEL MARCO DE
REFERENCIA............................................16
5.
5.1
5.2
5.3
5.4
5.5
5.6
5.7
PROCESO
..................................................................................................................16
GENERALIDADES
.....................................................................................................16
COMUNICACIN Y CONSULTA
...............................................................................17
ESTABLECIMIENTO DEL
CONTEXTO.....................................................................18
VALORACIN DEL
RIESGO.....................................................................................21
TRATAMIENTO DEL
RIESGO...................................................................................22
MONITOREO Y REVISIN
........................................................................................24
REGISTRO DEL PROCESO PARA LA GESTIN DEL RIESGO
.............................25
-
NTC-ISO 31000
Pgina
BIBLIOGRAFA......................................................................................................................28
DOCUMENTO DE
REFERENCIA..........................................................................................29
ANEXO A (Informativo)ATRIBUTOS DE LA GESTIN MEJORADA DEL RIESGO
.................................................26
FIGURAS
Figura 1. Relaciones entre los principios, el marco de
referenciay los procesos para la gestin del riesgo
............................................................................3
Figura 2. Relacin entre los componentes del marco de
referenciapara la gestin del riesgo
....................................................................................................11
Figura 3. Proceso para la gestin del riesgo
.....................................................................17
-
NTC-ISO 31000
GESTIN DEL RIESGO.PRINCIPIOS Y DIRECTRICES
INTRODUCCIN
Las organizaciones de todo tipo y tamao enfrentan factores e
influencias, internas y externas,que crean incertidumbre sobre si
ellas lograrn o no sus objetivos. El efecto que estaincertidumbre
tiene en los objetivos de una organizacin es el "riesgo".
Todas las actividades de una organizacin implican riesgo. Las
organizaciones gestionan elriesgo mediante su identificacin y
anlisis y luego evaluando si el riesgo se debera modificarpor medio
del tratamiento del riesgo con el fin de satisfacer los criterios
del riesgo. A travs deeste proceso, las organizaciones se comunican
y consultan con las partes involucradas,monitorean y revisan el
riesgo y los controles que lo estn modificando con el fin de
garantizarque no se requiere tratamiento adicional del riesgo. Esta
norma describe este procesosistemtico y lgico en detalle.
Aunque todas las organizaciones gestionan el riesgo en algn
grado, esta norma establece unnmero de principios que es necesario
satisfacer para hacer que la gestin del riesgo seaeficaz. Esta
norma recomienda que las organizaciones desarrollen, implementen y
mejorencontinuamente un marco de referencia cuyo propsito sea
integrar el proceso para la gestindel riesgo en los procesos
globales de gobierno, estrategia y planificacin, gestin, procesos
depresentacin de informes, polticas, valores y cultura de la
organizacin.
La gestin del riesgo se puede aplicar a toda la organizacin, en
todas sus muchas reas yniveles, en cualquier momento, as como a
funciones, proyectos y actividades especficos.
Aunque la prctica de la gestin del riesgo se ha desarrollado con
el paso del tiempo y enmuchos sectores para satisfacer diversas
necesidades, la adopcin de procesos consistentesdentro de un marco
de referencia exhaustivo puede ayudar a garantizar que el riesgo
segestiona eficaz, eficiente y coherentemente en toda la
organizacin. El enfoque genrico quese describe en esta norma
suministra los principios y las directrices para la gestin de
cualquierforma de riesgo en una manera sistemtica, transparente y
creble, y en cualquier alcance ycontexto.
Cada sector especfico o cada aplicacin de la gestin del riesgo
traen consigo necesidades,audiencias, percepciones y criterios
individuales. Por lo tanto, una caracterstica clave de estanorma es
la inclusin del "establecimiento del contexto" como una actividad
al inicio de esteproceso genrico para la gestin del riesgo. Al
establecer el contexto se capturaran losobjetivos de la
organizacin, el entorno en el cual ella persigue sus objetivos, sus
partesinvolucradas y la diversidad de criterios de riesgo; todo en
conjunto ayudar a revelar y evaluarla naturaleza y la complejidad
de sus riesgos.
1 de 29
-
NTC-ISO 31000
La relacin entre los principios para la gestin del riesgo, el
marco de referencia en el cual stasucede y los procesos de gestin
del riesgo descritos aqu se ilustra en la Figura 1.
Cuando la gestin del riesgo se implementa y se mantiene de
acuerdo con esta norma, dichagestin le permite a la organizacin,
entre otros:
-
-
-
-
aumentar la probabilidad de alcanzar los objetivos;
fomentar la gestin proactiva;
ser consciente de la necesidad de identificar y tratar los
riesgos en toda la organizacin;
cumplir con los requisitos legales y reglamentarios pertinentes
y con las normasinternacionales;
mejorar la presentacin de informes obligatorios y
voluntarios;
mejorar el gobierno;
mejorar la confianza y honestidad de las partes
involucradas,
establecer una base confiable para la toma de decisiones y la
planificacin;
mejorar los controles;
asignar y usar eficazmente los recursos para el tratamiento del
riesgo;
mejorar la eficacia y la eficiencia operativa;
incrementar el desempeo de la salud y la seguridad, as como la
proteccin ambiental;
mejorar la prevencin de prdidas y la gestin de incidentes;
minimizar las prdidas;
mejorar el aprendizaje organizacional; y
mejorar la flexibilidad organizacional.
-
-
-
-
-
-
-
-
-
-
-
-
Esta norma est destinada a satisfacer las necesidades de un
rango amplio de partesinvolucradas, incluyendo:
a) aquellos responsables del desarrollo de la poltica de gestin
del riesgo dentro de laorganizacin;
aquellos responsables de garantizar que el riesgo se gestiona
eficazmente dentro de laorganizacin como unidad o dentro de un rea,
proyecto o actividad especficos;
aquellos que necesitan evaluar la eficacia de una organizacin en
cuanto a la gestindel riesgo; y
aquellos que desarrollan normas, guas, procedimientos y cdigos
de prctica que,parcial o totalmente, establecen la manera de
gestionar el riesgo dentro del contextoespecfico de estos
documentos.
2
b)
c)
d)
-
NTC-ISO 31000
En muchas organizaciones las prcticas y procesos actuales para
la gestin incluyencomponentes de la gestin del riesgo y muchas
organizaciones ya han adoptado un procesoformal para la gestin del
riesgo para tipos particulares de riesgos o circunstancias. En
talescasos, una organizacin puede decidir realizar una revisin
crtica de sus prcticas y procesosexistentes a la luz de esta
norma.
En esta norma, se usan las expresiones "gestin del riesgo" y
"gestionar el riesgo". En trminosgenerales, la "gestin del riesgo"
se refiere a la arquitectura (principios, marco y procesos) parala
gestin eficaz del riesgo, mientras que "gestionar el riesgo" se
refiere a la aplicacin de esaarquitectura a riesgos
particulares.
a) Crear valor
b) Es parte integral de losprocesos de la organizacin
c) Es parte de la toma dedecisiones
d) Aborda explcitamnete laincertidumbre
e) Es sistemtica, estructuraday oportuna
f) Se basa en la mejorinformacin disponible
g) Est adaptado
h) Toma en consideracin a losfactores humanos y culturales
i) Es tranasparente e in clusiva
j) Es dinmica, reiterativa yreceptiva al cambio
k) Facilita la mejora y realzaa la organizacin
Principios(numeral 3)
Marco de referencia (numeral 4)
Proceso(numeral 5)
Mejora continua del marco de referencia (4.6)
Implementacin de la gestin del riesgo (4.4)
Comando ycompromiso (4.2)
Establecimiento del contexto (5.3)
Valoracin del riesgo (5.4)
Comunicacin y consulta (5.2)
Identificacin del riesgo (5.4.2)Monitoreo y revisin (5.6)
Diseo del marco de referencia parala gestin del riesgo (4.3)
Anlisis del riesgo (5.4.3)
Evaluacin del riesgo (5.4.4)
Monitoreo y revisin del marco (4.3) Tratamiento del riesgo
(5.5)
Figura 1. Relaciones entre los principios, el marco de
referencia y los procesos para la gestin del riesgo
1. OBJETO
Esta norma brinda los principios y las directrices genricas
sobre la gestin del riesgo.
Esta norma puede ser utilizada por cualquier empresa pblica,
privada o comunitaria,asociacin, grupo o individuo. Por lo tanto,
no es especfica para ninguna industria o sector.
NOTAPara propsitos de conveniencia, se hace referencia a todos
los diversos usuarios de esta norma con eltrmino general de
"organizacin".
Esta norma se puede aplicar durante toda la duracin de una
organizacin y a un amplio rangode actividades, incluyendo
estrategias y decisiones, operaciones, procesos,
funciones,proyectos, productos, servicios y activos.
Esta norma se puede aplicar a cualquier tipo de riesgo,
cualquiera sea su naturaleza, bien seaque tenga consecuencias
positivas o negativas.
3
-
NTC-ISO 31000
Aunque esta norma suministra directrices genricas, no se
pretende promover la uniformidadde la gestin del riesgo en todas
las organizaciones. Ser necesario que el diseo y laimplementacin de
planes y marcos de referencia para la gestin del riesgo tomen
enconsideracin las diversas necesidades de una organizacin
especfica, sus objetivosparticulares, contexto, estructura,
operaciones, procesos, funciones, proyectos, productos,servicios o
activos, y las prcticas especficas empleadas.
Se pretende que esta norma sea utilizada para armonizar los
procesos de la gestin del riesgoen las normas existentes y futuras.
Suministra un enfoque comn en apoyo de las normas quetratan con
riesgos, sectores especficos, o ambos, y no reemplaza a tales
normas.
Esta norma no est destinada para fines de certificacin.
2 TRMINOS Y DEFINICIONES
Para los fines de este documento, se aplican los siguientes
trminos y definiciones:
2.1 Riesgo. Efecto de la incertidumbre sobre los objetivos.
NOTA 1 Un efecto es una desviacin de aquello que se espera, sea
positivo, negativo o ambos.
NOTA 2 Los objetivos pueden tener aspectos diferentes (por
ejemplo financieros, salud y seguridad, y metasambientales) y se
pueden aplicar en niveles diferentes (estratgico, en toda la
organizacin, en proyectos, productosy procesos).
NOTA 3 A menudo el riesgo est caracterizado por la referencia a
los eventos (vase el numeral 2.17) potencialesy las consecuencias
(vase el numeral 2.18) o a una combinacin de ellos.
NOTA 4 Con frecuencia, el riesgo se expresa en trminos de una
combinacin de las consecuencias de un evento(incluyendo los cambios
en las circunstancias) y en la probabilidad (Likelihood) (vase el
numeral 2.19) de quesuceda.
NOTA 5 Incertidumbre es el estado, incluso parcial, de
deficiencia de informacin relacionada con la comprensino el
conocimiento de un evento, su consecuencia o probabilidad.
GTC 137 (ISO Gua 73:2009, definicin 1.1).
2.2 Gestin del riesgo. Actividades coordinadas para dirigir y
controlar una organizacin conrespecto al riesgo (vase el numeral
2.1).
GTC 137 (ISO Gua 73:2009, definicin 2.1).
2.3 Marco de referencia para la gestin del riesgo. Conjunto de
componentes que brindanlas bases y las disposiciones de la
organizacin para disear, implementar, monitorear (vaseel numeral
2.28), revisar y mejorar continuamente la gestin del riesgo (vase
el numeral 2.2)a travs de toda la organizacin.
NOTA 1 Las bases incluyen la poltica, los objetivos, el comando
y el compromiso para gestionar el riesgo (vaseel numeral 2.1).
NOTA 2 Las disposiciones de la organizacin incluyen planes,
relaciones, rendicin de cuentas (Accountability),recursos, procesos
y actividades.
NOTA 3 El marco de referencia para la gestin del riesgo est
incluido en las polticas y prcticas estratgicas yoperacionales
globales de la organizacin.
GTC 137 (ISO Gua 73:2009, definicin 2.1.1).
4
-
NTC-ISO 31000
2.4 Poltica para la gestin del riesgo. Declaracin de la direccin
y las intenciones generalesde una organizacin con respecto a la
gestin del riesgo (vase el numeral 2.2).
GTC 137 (ISO Gua 73:2009, definicin 2.1.2).
2.5 Actitud hacia el riesgo. Enfoque de la organizacin para
evaluar y eventualmente buscar,retener, tomar o alejarse del riesgo
(vase el numeral 2.1).
GTC 137 (ISO Gua 73:2009, definicin 3.7.1.1).
2.6 Plan para la gestin del riesgo. Esquema dentro del marco de
referencia para lagestin del riesgo (vase el numeral 2.3) que
especifica el enfoque, los componentes y losrecursos de la gestin
que se van a aplicar a la gestin del riesgo (vase el numeral
2.1).
NOTA 1 Los componentes de la gestin comnmente incluyen
procedimientos, prcticas, asignacin deresponsabilidades, secuencia
y oportunidad de las actividades.
NOTA 2 El plan para la gestin del riesgo se puede aplicar a
productos, procesos y proyectos particulares, y aparte de la
organizacin o su totalidad.
GTC 137 (ISO Gua 73:2009, definicin 2.1.3).
2.7 Propietario del riesgo. Persona o entidad con la
responsabilidad de rendir cuentas y laautoridad para gestionar un
riesgo (vase el numeral 2.1).
GTC 137 (ISO Gua 73:2009, definicin 3.5.1.5).
2.8 Proceso para la gestin del riesgo. Aplicacin sistemtica de
las polticas, losprocedimientos y las prcticas de gestin a las
actividades de comunicacin, consulta,establecimiento del contexto,
y de identificacin, anlisis, evaluacin, tratamiento, monitoreo(vase
el numeral 2.28) y revisin del riesgo (vase el numeral 2.1).
GTC 137 (ISO Gua 73:2009, definicin 3.1).
2.9 Establecimiento del contexto. Definicin de los parmetros
internos y externos que sehan de tomar en consideracin cuando se
gestiona el riesgo, y establecimiento del alcance ylos criterios
del riesgo (vase el numeral 2.22) para la poltica para la gestin
del riesgo(vase el numeral 2.4).
GTC 137 (ISO Gua 73:2009, definicin 3.3.1).
2.10 Contexto externo. Ambiente externo en el cual la
organizacin busca alcanzar susobjetivos.
NOTA
-
El contexto externo puede incluir:
el ambiente cultural, social, poltico, legal, reglamentario,
financiero, tecnolgico, econmico, natural ycompetitivo, bien sea
internacional, nacional, regional o local;
impulsores clave y tendencias que tienen impacto en los
objetivos de la organizacin; y
relaciones con las partes involucradas (vase el numeral 2.13) y
sus percepciones y valores.
-
-
GTC 137 (ISO Gua 73:2009, definicin 3.3.1.1).
5
-
NTC-ISO 31000
2.11 Contexto interno. Ambiente interno en el cual la
organizacin busca alcanzar susobjetivos.
NOTA
-
-
-
El contexto interno puede incluir:
gobierno, estructura organizacional, funciones y
responsabilidades;
polticas, objetivos y estrategias implementadas para
lograrlos;
las capacidades, entendidas en trminos de recursos y
conocimiento (por ejemplo capital, tiempo,personas, procesos,
sistemas y tecnologas);
sistemas de informacin, flujos de informacin y procesos para la
toma de decisiones (tanto formales comoinformales);
relaciones con las partes involucradas internas y sus
percepciones y valores;
la cultura de la organizacin;
normas, directrices y modelos adoptados por la organizacin;
y
forma y extensin de las relaciones contractuales.
-
-
-
-
-
GTC 137 (ISO Gua 73:2009, definicin 3.3.1.2).
2.12 Comunicacin y consulta. Procesos continuos y reiterativos
que una organizacin llevaa cabo para suministrar, compartir u
obtener informacin e involucrarse en un dilogo con laspartes
involucradas (vase el numeral 2.13) con respecto a la gestin del
riesgo (vase elnumeral 2.1).
NOTA 1 La informacin se puede relacionar con la existencia, la
naturaleza, la forma, la probabilidad (Likelihood)(vase el numeral
2.19), el significado, la evaluacin, la aceptabilidad y el
tratamiento de la gestin del riesgo.
NOTA 2 La consulta es un proceso de doble va de la comunicacin
informada entre una organizacin y sus partesinvolucradas, acerca de
algn tema, antes de tomar una decisin o determinar una direccin
para dicho tema. Laconsulta es:
-
-
un proceso que tiene impacto en la decisin a travs de la
influencia ms que del poder; y
una entrada para la toma de decisiones, no para la toma conjunta
de decisiones.
GTC 137 (ISO Gua 73:2009, definicin 3.2.1).
2.13 Parte involucrada. Persona u organizacin que puede afectar,
verse afectada opercibirse a s misma como afectada por una decisin
o una actividad.
NOTA Una persona que toma decisiones puede ser una parte
involucrada.
GTC 137 (ISO Gua 73:2009, definicin 3.2.1.1).
2.14 Valoracin del riesgo. Proceso global de identificacin del
riesgo (vase el numeral 2.15),anlisis del riesgo (vase el numeral
2.21) y evaluacin del riesgo (vase el numeral 2.24).
GTC 137 (ISO Gua 73:2009, definicin 3.4.1)
2.15 Identificacin del riesgo. Proceso para encontrar, reconocer
y describir el riesgo (vaseel numeral 2.1).
NOTA 1 La identificacin del riesgo implica la identificacin de
las fuentes de riesgo (vase el numeral 2.16), loseventos (vase el
numeral 2.17), sus causas y sus consecuencias (vase el numeral
2.18) potenciales.
6
-
NTC-ISO 31000
NOTA 2 La identificacin del riesgo puede involucrar datos
histricos, anlisis tericos, opiniones informadas yexpertas, y las
necesidades de las partes involucradas (vase el numeral 2.13).
GTC 137 (ISO Gua 73:2009, definicin 3.5.1).
2.16 Fuente de riesgo. Elemento que solo o en combinacin tiene
el potencial intrnseco deoriginar un riesgo (vase el numeral
2.1).
NOTA Una fuente de riesgo puede ser tangible o intangible.
GTC 137 (ISO Gua 73:2009, definicin 3.5.1.2).
2.17 Evento. Presencia o cambio de un conjunto particular de
circunstancias.
NOTA 1
NOTA 2
NOTA 3
Un evento puede ser una o ms ocurrencias y puede tener varias
causas.
Un evento puede consistir en algo que no est sucediendo.
En ocasiones, se puede hacer referencia a un evento como un
"incidente" o "accidente".
NOTA 4 Tambin se puede hacer referencia a un evento sin
consecuencias (vase el numeral 2.18) como un"cuasi accidente",
"incidente", "situacin de peligro" o "conato de accidente".
GTC 137 (ISO Gua 73:2009, definicin 3.5.1.3)
2.18 Consecuencia. Resultado de un evento (vase el numeral 2.17)
que afecta a los objetivos.
NOTA 1
NOTA 2
NOTA 3
NOTA 4
Un evento puede originar un rango de consecuencias.
Una consecuencia puede ser cierta o incierta y puede tener
efectos positivos o negativos en los objetivos.
Las consecuencias se pueden expresar cualitativa o
cuantitativamente.
Las consecuencias iniciales pueden escalar a travs de efectos
secundarios.
GTC 137 (ISO Gua 73:2009, definicin 3.6.1.3)
2.19 Probabilidad (Likelihood). Oportunidad de que algo
suceda.
NOTA 1 En la terminologa de la gestin del riesgo, la palabra
"probabilidad (Likelihood)" se utiliza para hacerreferencia a la
oportunidad de que algo suceda, est o no definido, medido o
determinado objetiva o subjetivamente,cualitativa o
cuantitativamente, y descrito utilizando trminos generales o
matemticos (como la probabilidadnumrica (Probability) o la
frecuencia en un periodo de tiempo determinado).
NOTA 2 El trmino ingls "Likelihood (probabilidad)" no tiene un
equivalente directo en algunos idiomas; en lugarde ello se utiliza
el trmino equivalente de "Probability (probabilidad numrica Sin
embargo en ingls "Probability"con frecuencia se interpreta ms
estrechamente como un trmino matemtico. Por lo tanto, en la
terminologa de lagestin del riesgo, "Likelihood" se usa con la
intensin de que tenga la misma interpretacin amplia que el
trmino"probabilidad" en muchos idiomas diferentes del ingls.
GTC 137 (ISO Gua 73:2009, definicin 3.6.1.1).
2.20 Perfil del riesgo. Descripcin de cualquier conjunto de
riesgos (vase el numeral 2.1).
NOTAEl conjunto de riesgos puede contener aquellos que se
relacionan con la organizacin en su totalidad, conparte de la
organizacin o segn otra definicin.
GTC 137 (ISO Gua 73:2009, definicin 3.8.2.5).
7
-
NTC-ISO 31000
2.21 Anlisis del riesgo. Proceso para comprender la naturaleza
del riesgo (vase elnumeral 2.1) y determinar el nivel de riesgo
(vase el numeral 2.23).
NOTA 1 El anlisis del riesgo proporciona las bases para la
evaluacin del riesgo (vase el numeral 2.24) y lasdecisiones sobre
el tratamiento del riesgo (vase el numeral 2.25).
NOTA 2 El anlisis del riesgo incluye la estimacin del
riesgo.
GTC 137 (ISO Gua 73:2009, definicin 3.6.1).
2.22 Criterios del riesgo. Trminos de referencia frente a los
cuales se evala la importanciade un riesgo (vase el numeral
2.1).
NOTA 1 Los criterios del riesgo se basan en los objetivos y el
contexto externo (vase el numeral 2.10) e interno(vase el numeral
2.11) de la organizacin.
NOTA 2 Los criterios del riesgo se pueden derivar de normas,
leyes, polticas y otros requisitos.
GTC 137 (ISO Gua 73:2009, definicin 3.3.1.3).
2.23 Nivel de riesgo. Magnitud de un riesgo (vase el numeral
2.1) o de una combinacin deriesgos, expresada en trminos de la
combinacin de las consecuencias (vase el numeral 2.18)y su
probabilidad (vase el numeral 2.19).
GTC 137 (ISO Gua 73:2009, definicin 3.6.1.8).
2.24 Evaluacin del riesgo. Proceso de comparacin de los
resultados del anlisis del riesgo(vase el numeral 2.21) con los
criterios del riesgo (vase el numeral 2.22), para determinarsi el
riesgo (vase el numeral 2.1), su magnitud o ambos son aceptables o
tolerables.
NOTA La evaluacin del riesgo ayuda en la decisin acerca del
tratamiento del riesgo (vase el numeral 2.25).
GTC 137 (ISO Gua 73:2009, definicin 3.7.1).
2.25 Tratamiento del riesgo. Proceso para modificar el riesgo
(vase el numeral 2.1).
NOTA 1
-
-
-
-
-
-
-
El tratamiento del riesgo puede implicar:
evitar el riesgo decidiendo no iniciar o continuar la actividad
que lo origin;
tomar o incrementar el riesgo con el fin de perseguir una
oportunidad;
retirar la fuente del riesgo (vase el numeral 2.16);
cambiar la probabilidad (vase el numeral 2.19);
cambiar las consecuencias (vase el numeral 2.18);
compartir el riesgo con una o varias de las partes (incluyendo
los contratos y la financiacin del riesgo); y
retener el riesgo a travs de la decisin informada.
NOTA 2 En ocasiones se hace referencia a los tratamientos del
riesgo relacionados con consecuencias negativascomo "mitigacin del
riesgo", "eliminacin del riesgo", "prevencin del riesgo" y
"reduccin del riesgo".
NOTA 3 El tratamiento del riesgo puede crear riesgos nuevos o
modificar los existentes.
GTC 137 (ISO Gua 73:2009, definicin 3.8.1).
8
-
2.26
NOTA 1
NOTA 2
NTC-ISO 31000
Control. Medida que modifica al riesgo (vase el numeral 2.1)
Los controles incluyen procesos, polticas, dispositivos,
prcticas u otras acciones que modifican al riesgo.
Los controles no siempre pueden ejercer el efecto modificador
previsto o asumido.
GTC 137 (ISO Gua 73:2009, definicin 3.8.1.1).
2.27 Riesgo residualRiesgo (vase el numeral 2.1) remanente
despus del tratamiento del riesgo (vase elnumeral 2.25).
NOTA 1
NOTA 2
El riesgo residual puede contener un riesgo no identificado.
El riesgo residual tambin se conoce como "riesgo retenido".
GTC 137 (ISO Gua 73:2009, definicin 3.8.1.6).
2.28 Monitoreo. Verificacin, supervisin, observacin crtica o
determinacin continua delestado con el fin de identificar cambios
con respecto al nivel de desempeo exigido oesperado.
NOTAEl monitoreo se puede aplicar al marco de referencia para la
gestin del riesgo (vase el numeral 2.3),al proceso para la gestin
del riesgo (vase el numeral 2.8), al riesgo (vase el numeral 2.1) o
al control (vaseel numeral 2.26).
GTC 137 (ISO Gua 73:2009, definicin 3.8.2.1).
2.29 Revisin. Accin que se emprende para determinar la
idoneidad, conveniencia y eficaciade la materia en cuestin para
lograr los objetivos establecidos.
NOTALa revisin se puede aplicar al marco de referencia para la
gestin del riesgo (vase el numeral 2.3), alproceso para la gestin
del riesgo (vase el numeral 2.8), al riesgo (vase el numeral 2.1) o
al control (vase elnumeral 2.26).
GTC 137 (ISO Gua 73:2009, definicin 3.8.2.2)
3. PRINCIPIOS
Para que la gestin del riesgo sea eficaz, la organizacin debera
cumplir con todos lossiguientes principios en todos los
niveles:
a) La gestin del riesgo crea y protege el valor
La gestin del riesgo contribuye al logro demostrable de los
objetivos y a la mejora deldesempeo en, por ejemplo, la salud y la
seguridad humana, la conformidad legal yreglamentaria, la
seguridad, la aceptacin pblica, la proteccin del ambiente, la
calidaddel producto, la gestin de proyectos, la eficiencia en las
operaciones, el gobierno y lareputacin.
b) La gestin del riesgo es una parte integral de todos los
procesos de laorganizacin
La gestin del riesgo no es una actividad independiente que se
separa de lasactividades y los procesos principales de la
organizacin. La gestin del riesgo es parte
9
-
NTC-ISO 31000
de las responsabilidades de la direccin y una parte integral de
todos los procesos de laorganizacin, incluyendo la planificacin
estratgica y todos los procesos de gestin deproyectos y de
cambio.
c) La gestin del riesgo es parte de la toma de decisiones
La gestin del riesgo ayuda a quienes toman las decisiones a
hacer eleccionesinformadas, priorizar acciones y distinguir entre
cursos de accin alternativos.
d) La gestin del riesgo aborda explcitamente la
incertidumbre
La gestin del riesgo toma en consideracin explcitamente a la
incertidumbre, sunaturaleza y la forma en que se puede tratar.
e) La gestin del riesgo es sistemtica, estructurada y
oportuna
Un enfoque sistemtico, oportuno y estructurado para la gestin
del riesgo contribuye ala eficiencia y a resultados consistentes,
comparables y confiables.
f) La gestin del riesgo se basa en la mejor informacin
disponible
Las entradas para el proceso de gestin del riesgo se basan en
fuentes de informacintales como datos histricos, experiencia,
retroalimentacin de las partes involucradas,observacin, previsiones
y examen de expertos. Sin embargo, quienes toman lasdecisiones
deberan informarse y tomar en consideracin todas las limitaciones
de losdatos o de los modelos utilizados, o la posibilidad de
divergencia entre los expertos.
g) La gestin del riesgo est adaptada
La gestin del riesgo se alinea del contexto externo e interno y
del perfil de riesgo de laorganizacin.
h) La gestin del riesgo toma en consideracin los factores
humanos y culturales
La gestin del riesgo reconoce las capacidades, percepciones e
intenciones deindividuos externos e internos, los cuales pueden
facilitar o dificultar el logro de losobjetivos de la
organizacin.
i) La gestin del riesgo es transparente e inclusiva
La correcta y oportuna intervencin de las partes involucradas y,
en particular, deaquellos que toman las decisiones en todos los
niveles de la organizacin, garantizaque la gestin del riesgo siga
siendo pertinente y se actualice. Esta intervencin tambinpermite a
las partes involucradas estar correctamente representadas y hacer
que suspuntos de vista se tomen en consideracin al determinar los
criterios del riesgo.
j) La gestin del riesgo es dinmica, reiterativa y receptiva al
cambio
La gestin del riesgo siente y responde continuamente al cambio.
A medida que sepresentan los eventos externos e internos, el
contexto y el conocimiento cambian, tienenlugar el monitoreo y la
revisin de los riesgos, emergen riesgos nuevos, algunoscambian y
otros desaparecen.
10
-
k)
NTC-ISO 31000
La gestin del riesgo facilita la mejora continua de la
organizacin
Las organizaciones deberan desarrollar e implementar estrategias
para mejorar lamadurez de su gestin de riesgos junto con todos los
otros aspectos de suorganizacin.
El Anexo A suministra asesora adicional para las organizaciones
que requieren gestionar elriesgo ms eficazmente.
4.
4.1
MARCO DE REFERENCIA
GENERALIDADES
El xito de la gestin del riesgo depender de la eficacia del
marco de referencia para lagestin, el cual brinda las bases y las
disposiciones que se introducirn en todos los niveles dela
organizacin. El marco ayuda a la gestin eficaz del riesgo a travs
de la aplicacin delproceso para la gestin del riesgo (vase el
numeral 5) en los diversos niveles y en contextosespecficos de la
organizacin. El marco garantiza que la informacin acerca del
riesgoderivada del proceso para la gestin del riesgo se reporte de
manera adecuada y se utilicecomo base para la toma de decisiones y
la rendicin de cuentas en todos los nivelespertinentes de la
organizacin.
Este numeral describe los componentes necesarios del marco para
gestionar el riesgo y laforma en que ellos se interrelacionan de
manera reiterativa, tal como se ilustra en la Figura 2.
Direccin y compromiso (4.2)
Diseo del marco de referencia para la gestin del riesgo
(4.3)
Entender a la organizacin y su contexto (4.3.1)Establecer la
poltica para la gestin del riesgo (4.3.2)Rendicin de cuentas
(4.3.3)Integracin de los procesos de la organizacin (4.3.4)Recursos
(4.3.5)Establecer mecanismos para la comunicacin internay la
presentacin de informes (4.3.6)Establecer mecanismos para la
comunicacin externay la presentacin de informes (4.3.7)
Implementar la gestin del riesgo (4.4)
Mejora continua del marco de referencia (4.6)
Implementar la aplicacin del marcopara la gestin del riesgo
(4.4.1)Implementar el proceso para lagestin del riesgo (4.4.2)
Monitorear y revisar el marco de referencia (4.5)
Figura 2. Relacin entre los componentes del marco de referencia
para la gestin del riesgo
11
-
NTC-ISO 31000
Este marco de referencia no tiene como finalidad prescribir un
sistema de gestin sino facilitar ala organizacin la integracin de
la gestin del riesgo en su sistema de gestin global. Por lotanto,
las organizaciones deberan adaptar los componentes del marco a sus
necesidadesespecficas.
Si las prcticas y procesos de gestin existentes de la
organizacin incluyen componentes dela gestin del riesgo, o si la
organizacin ya ha adoptado un proceso formal para la gestin
delriesgo para tipos particulares de riesgos o situaciones,
entonces stos se deberan revisar yvalorar de forma crtica frente a
esta norma, incluyendo los atributos del Anexo A, con el fin
dedeterminar su eficacia y conveniencia.
4.2 DIRECCIN Y COMPROMISO
La introduccin de la gestin del riesgo, y garantizar su eficacia
continua, requiere de uncompromiso fuerte y sostenido por parte de
la direccin de la organizacin, as como deplanificacin estratgica y
rigurosa para lograr el compromiso a todo nivel. La direccin
debera:
-
-
definir y aprobar la poltica para la gestin del riesgo;
garantizar que la cultura de la organizacin y la poltica para la
gestin del riesgo estnalineadas;
determinar indicadores del desempeo de la gestin para el riesgo
que estn acordescon los indicadores del desempeo de la
organizacin;
alinear los objetivos de la gestin del riesgo con los objetivos
y las estrategias de laorganizacin;
garantizar la conformidad legal y reglamentaria;
asignar obligaciones y responsabilidades en los niveles
respectivos dentro de laorganizacin;
garantizar que se asignan los recursos necesarios para la gestin
del riesgo;
comunicar los beneficios de la gestin del riesgo a todas las
partes involucradas; y
garantizar que el marco de referencia para gestionar el riesgo
sigue siendo adecuado.
DISEO DEL MARCO DE REFERENCIA PARA LA GESTIN DEL RIESGO
Entender a la organizacin y su contexto
-
-
-
-
-
-
-
4.3
4.3.1
Antes de empezar el diseo y la implementacin del marco de
referencia para la gestin delriesgo, es importante evaluar y
entender el contexto, tanto externo como interno de laorganizacin,
dado que ste puede tener influencia significativa en el diseo de
dicho marco.
La evaluacin del contexto externo de la organizacin puede
incluir, entre otros:
a) el ambiente social y cultural, poltico, legal, reglamentario,
financiero, tecnolgico,econmico, natural y competitivo, bien sea
internacional, nacional, regional o local;
impulsores clave y tendencias que tienen impacto en los
objetivos de la organizacin; y
12
b)
-
c)
NTC-ISO 31000
las relaciones con las partes involucradas externas, y sus
percepciones y valores.
La evaluacin del contexto interno de la organizacin puede
incluir, entre otros:
-
-
-
gobierno, estructura organizacional, funciones y
obligaciones;
polticas, objetivos y estrategias que se han implementado para
lograrlos;
capacidades, entendidas en trminos de recursos y conocimiento
(por ejemplo capital,tiempo, personas, procesos, sistemas y
tecnologas);
sistemas de informacin, flujos de informacin y procesos de toma
de decisiones (tantoformales como informales);
relaciones con las partes involucradas internas y sus
percepciones y valores;
la cultura de la organizacin;
normas, directrices y modelos adoptados por la organizacin;
y
forma y extensin de las relaciones contractuales.
Establecer la poltica para la gestin del riesgo
-
-
-
-
-
4.3.2
La poltica para la gestin del riesgo debera establecer
claramente los objetivos de laorganizacin para la gestin del riesgo
y su compromiso con ella, y comnmente deberaabordar los siguientes
aspectos:
-
-
la justificacin de la organizacin para gestionar el riesgo;
los vnculos entre los objetivos y las polticas de la organizacin
y la poltica para lagestin del riesgo;
las obligaciones y responsabilidades para gestionar el
riesgo;
la forma de tratar los conflictos de intereses;
el compromiso para poner a disposicin los recursos necesarios
con el fin de ayudar alos responsables de la gestin del riesgo y de
rendir cuentas con respecto a sta;
la forma en la cual se va a medir y a reportar el desempeo de la
gestin del riesgo; y
el compromiso para revisar y mejorar peridicamente la poltica y
el marco de la gestindel riesgo y en respuesta a un evento o un
cambio en las circunstancias. La polticapara la gestin del riesgo
se debera comunicar de manera adecuada.
Rendicin de cuentas
-
-
-
-
-
4.3.3
La organizacin debera garantizar que existe responsabilidad,
autoridad y competenciaadecuada para gestionar el riesgo,
incluyendo la implementacin y mantenimiento del procesopara la
gestin del riesgo y garantizando la idoneidad, eficacia y
eficiencia de todos loscontroles. Esto se puede facilitar
mediante:
13
-
-NTC-ISO 31000
la identificacin de los propietarios del riesgo a quienes
corresponde rendir cuentas ytienen autoridad para su gestin;
la identificacin de quin debe dar cuentas por el desarrollo, la
implementacin y elmantenimiento del marco para la gestin del
riesgo;
la identificacin de otras responsabilidades en el proceso para
la gestin del riesgo delos individuos en todos los niveles de la
organizacin;
estableciendo la medicin del desempeo y procesos de escalamiento
y reporteexterno, interno, o ambos; y
garantizando niveles adecuados de reconocimiento.
Integracin en los procesos de la organizacin
-
-
-
-
4.3.4
La gestin del riesgo debera estar incluida en todas las prcticas
y los procesos de laorganizacin en una manera que sea pertinente,
eficaz y eficiente. El proceso para la gestindel riesgo se debera
convertir en parte, no independiente, de los procesos de la
organizacin.En particular, la gestin del riesgo se debera incluir
en el desarrollo de la poltica, laplanificacin estratgica y del
negocio, la revisin y en los procesos de gestin del cambio.
Debera existir un plan para la gestin del riesgo a todo lo ancho
de la organizacin paragarantizar que se implementa la poltica para
la gestin del riesgo y que la gestin del riesgoest incluida en
todas las prcticas y los procesos de la organizacin. El plan para
la gestindel riesgo se podra integrar en otros planes de la
organizacin, por ejemplo en el planestratgico.
4.3.5 Recursos
La organizacin debera asignar los recursos adecuados para la
gestin del riesgo.
Se recomienda considerar los siguientes aspectos:
-
-
-
personas, habilidades, experiencia y competencia.
recursos necesarios para cada paso del proceso de gestin del
riesgo
los procesos, mtodos y herramientas de la organizacin que se van
a utilizar paragestionar el riesgo;
procesos y procedimientos documentados;
sistemas de gestin de la informacin y el conocimiento; y
programas de entrenamiento.
-
-
-
4.3.6 Establecer mecanismos para la comunicacin interna y la
presentacin de informes
La organizacin debera establecer mecanismos para la comunicacin
interna y la presentacinde informes con el fin de ayudar y fomentar
la rendicin de cuentas y la pertenencia del riesgo.
14
-
NTC-ISO 31000
Estos mecanismos deberan garantizar que:
- los componentes clave del marco para la gestin del riesgo y
todas las modificacionesposteriores se comunican de manera
correcta;
existe un reporte interno adecuado acerca del marco, su eficacia
y resultados;
la informacin pertinente derivada de la aplicacin de la gestin
del riesgo estdisponible en los niveles y los momentos
convenientes; y
existen procesos para la consulta con las partes involucradas
internas.
-
-
-
Estos mecanismos deberan incluir, cuando as corresponda, los
procesos para consolidar lainformacin del riesgo proveniente de
diversas fuentes, y puede ser necesario que considerenla
sensibilidad de la informacin.
4.3.7 Establecer mecanismos para la comunicacin externa y la
presentacin de informes
La organizacin debera desarrollar e implementar un plan sobre la
forma como se comunicarcon las partes involucradas externas. El
plan debera incluir:
- involucrar apropiadamente las partes interesadas externas y
garantizar un intercambioefectivo de la informacin;
reporte externo para cumplir con los requisitos legales,
reglamentarios y del gobierno;
brindar retroalimentacin e informes sobre la comunicacin y las
consultas;
usar la comunicacin para crear confianza en la organizacin;
y
comunicarse con las partes involucradas en el evento de una
crisis o contingencia.
-
-
-
-
Estos mecanismos deberan incluir, cuando as corresponda, los
procesos para consolidar lainformacin del riesgo proveniente de
diversas fuentes, y puede ser necesario que considerenla
sensibilidad de la informacin.
4.4
4.4.1
IMPLEMENTAR LA GESTIN DEL RIESGO
Implementar el marco de referencia para gestionar el riesgo
Al implementar el marco de referencia de la organizacin para la
gestin del riesgo, laorganizacin debera:
- definir el tiempo y la estrategia adecuados para la
implementacin del marco dereferencia;
aplicar el proceso y la poltica para la gestin del riesgo a los
procesos de laorganizacin;
cumplir con los requisitos legales y reglamentarios;
garantizar que la toma de decisiones, incluyendo el desarrollo y
establecimiento deobjetivos, est en lnea con los resultados de los
procesos para la gestin del riesgo;
15
-
-
-
-
--
NTC-ISO 31000
llevar a cabo sesiones de informacin y entrenamiento; y
comunicarse y consultar a las partes involucradas para
garantizar que el marco para lagestin del riesgo sigue siendo
adecuado.
Implementar el proceso para la gestin del riesgo4.4.2
La gestin del riesgo se debera implementar garantizando que el
proceso para la gestin delriesgo que se describe en el numeral 5 se
aplica a travs de un plan para la gestin del riesgoen todos los
niveles y las funciones pertinentes de la organizacin como parte de
sus prcticasy procesos.
4.5 MONITOREAR Y REVISAR EL MARCO DE REFERENCIA
Con el fin de garantizar que la gestin del riesgo es eficaz y
contina sustentando eldesempeo de la organizacin, la organizacin
debera:
- medir el desempeo de la gestin del riesgo frente a los
indicadores, los cuales serevisan peridicamente para determinar su
idoneidad;
medir peridicamente el progreso frente al plan para la gestin
del riesgo y lasdesviaciones con respecto a ste;
revisar peridicamente si el marco de referencia, la poltica y el
plan para la gestin delriesgo siguen siendo adecuados, segn el
contexto externo e interno de la organizacin;
presentar informes sobre el riesgo, el progreso con el plan para
la gestin del riesgo ysobre que tanto se cumple la poltica para la
gestin del riesgo; y
revisar la eficacia del marco de referencia para la gestin del
riesgo.
MEJORA CONTINUA DEL MARCO DE REFERENCIA
-
-
-
-
4.6
Con base en los resultados del monitoreo y las revisiones, se
deberan tomar decisiones sobrela forma en que se podran mejorar el
marco de referencia, la poltica y el plan para la gestindel riesgo.
Estas decisiones deberan originar mejoras en la gestin del riesgo
de laorganizacin y en su cultura de la gestin del riesgo.
5.
5.1
PROCESO
GENERALIDADES
El proceso para la gestin del riesgo debera:
-
-
-
ser parte integral de la gestin,
estar incluido en la cultura y las prcticas, y
estar adaptado a los procesos de negocio de la organizacin.
El proceso comprende las actividades que se describen en los
numerales 5.2 al 5.6. El procesopara la gestin del riesgo se
ilustra en la Figura 3.
16
-
NTC-ISO 31000
Establecimiento del contexto (5.3)
Valoracin del riesgo (5.4)
Comunicacin y consulta (5.2)
Identificacin del riesgo (5.4.2)Monitoreo y revisin (5.6)
Anlisis del riesgo (5.4.3)
Evaluacin del riesgo (5.4.4)
Tratamiento del riesgo (5.5)
Figura 3. Proceso para la gestin del riesgo
5.2 COMUNICACIN Y CONSULTA
La comunicacin y la consulta con las partes involucradas
externas e internas deberan tenerlugar durante todas las etapas del
proceso para la gestin del riesgo.
Por lo tanto, se deberan desarrollar tempranamente los planes
para la comunicacin y laconsulta. stos deberan abordar aspectos
relacionados con el propio riesgo, sus causas, susconsecuencias (si
se conocen), y las medidas que se toman para tratarlo. Es
conveniente quetengan lugar la comunicacin y las consultas externas
e internas eficaces para garantizar queaquellos responsables de la
implementacin del proceso para la gestin del riesgo y las
partesinvolucradas entiendan las bases sobre las cuales se toman
las decisiones, y las razones porlas cuales se requieren acciones
particulares.
Un enfoque de equipo consultor puede:
-
-
ayudar a establecer correctamente el contexto;
garantizar que se entienden y se toman en consideracin los
intereses de las partesinvolucradas;
ayudar a garantizar que los riesgos estn correctamente
identificados;
reunir diferentes reas de experticia para analizar los
riesgos,
garantizar que los diversos puntos de vista se toman en
consideracin adecuadamenteal definir los criterios del riesgo y al
evaluar los riesgos;
17
-
-
-
-
--
NTC-ISO 31000
asegurar la aprobacin y el soporte para el plan de
tratamiento;
fomentar la gestin adecuada del cambio durante el proceso para
la gestin del riesgo;y
desarrollar un plan adecuado de comunicacin y consulta externo e
interno.-
La comunicacin y la consulta con las partes involucradas son
importantes dado que ellas dansus opiniones acerca del riesgo con
base en sus percepciones de ste. Estas percepcionespueden variar
debido a las diferencias en los valores, las necesidades, las
asunciones, losconceptos y los intereses de las partes
involucradas. Dado que sus puntos de vista puedentener un impacto
significativo en las decisiones que se toman, las percepciones de
las partesinvolucradas se deberan identificar, registrar y tomar en
consideracin en el proceso de tomade decisiones.
La comunicacin y la consulta deberan facilitar los intercambios
de informacin veraz,pertinente, precisa y fcil de entender,
teniendo en cuenta los aspectos de la integridadpersonal y
confidencial.
5.3
5.3.1
ESTABLECIMIENTO DEL CONTEXTO
Generalidades
Al establecer el contexto, la organizacin articula sus
objetivos, define los parmetros externose internos que se van a
considerar al gestionar el riesgo y establece el alcance y los
criteriosdel riesgo para el resto del proceso. Aunque muchos de
estos parmetros son similares aaquellos que se consideran en el
diseo del marco de referencia para la gestin del riesgo(vase el
numeral 4.3.1), al establecer el contexto del proceso para la
gestin del riesgo, esnecesario que estos parmetros se consideren en
mayor detalle y, en particular, la maneracomo se relacionan con el
alcance del proceso para la gestin del riesgo particular.
5.3.2 Establecer el contexto externo
El contexto externo es el ambiente externo en el cual la
organizacin busca alcanzar susobjetivos.
Entender el contexto externo es importante con el fin de
garantizar que los objetivos y laspreocupaciones de las partes
involucradas externas se toman en consideracin al desarrollarlos
criterios del riesgo. Esto se basa en el contexto a todo lo ancho
de la organizacin, pero condetalles especficos de los requisitos
legales y reglamentarios, las percepciones de las
partesinvolucradas y otros aspectos de los riesgos especficos para
el alcance del proceso paragestionar el riesgo.
El contexto externo puede incluir, entre otros:
- el ambiente social y cultural, poltico, legal, reglamentario,
financiero, tecnolgico,econmico, natural y competitivo, bien sea
internacional, nacional, regional o local;
los impulsores clave y las tendencias que tienen impacto en los
objetivos de laorganizacin; y
las relaciones con las partes involucradas externas y sus
percepciones y valores.
-
-
18
-
5.3.3 Establecer el contexto interno
NTC-ISO 31000
El contexto interno es el ambiente interno en el cual la
organizacin busca alcanzar susobjetivos.
El proceso para la gestin del riesgo debera estar alineado con
la cultura, los procesos, laestructura y la estrategia de la
organizacin. El contexto interno es todo aquello dentro de
laorganizacin que pueda tener influencia en la forma en que la
organizacin gestionar elriesgo. Este contexto se debe establecer
porque:
a)
b)
la gestin del riesgo tiene lugar en el contexto de los objetivos
de la organizacin;
los objetivos y los criterios de un proyecto, proceso o
actividad en particular se deberanconsiderar a la luz de los
objetivos de la organizacin como un todo; y
algunas organizaciones fracasan en reconocer las oportunidades
para alcanzar susobjetivos estratgicos, del proyecto o el negocio,
y esto afecta la continuidad delcompromiso, la credibilidad, la
confianza y el valor de la organizacin.
c)
Es necesario entender el contexto interno. ste puede incluir,
entre otros:
-
-
-
gobierno, estructura de la organizacin, funciones y
responsabilidades;
polticas, objetivos y las estrategias implementadas para
lograrlos;
capacidades, entendidas en trminos de recursos y conocimientos
(por ejemplo capital,tiempo, personas, procesos, sistemas y
tecnologas);
las relaciones con las partes involucradas internas y sus
percepciones y valores;
la cultura de la organizacin;
sistemas de informacin, flujos de informacin y procesos de toma
de decisiones (tantoformales como informales);
normas, directrices y modelos adoptados por la organizacin;
y
forma y extensin de las relaciones contractuales.
Establecer el contexto del proceso para la gestin del riesgo
-
-
-
-
-
5.3.4
Se recomienda establecer los objetivos, las estrategias, el
alcance y los parmetros de lasactividades de la organizacin, o de
aquellas partes de la organizacin en donde se aplica elproceso para
la gestin del riesgo. La gestin del riesgo se debera emprender con
totalconsideracin de la necesidad de justificar los recursos
utilizados para llevar a cabo dichagestin. Tambin se deberan
especificar los recursos necesarios, las responsabilidades
yautoridades, y los registros que se deben conservar.
El contexto del proceso para la gestin del riesgo variar de
acuerdo con las necesidades de laorganizacin. Este contexto puede
involucrar, entre otros:
- definicin de las metas y los objetivos de las actividades de
gestin del riesgo;
19
-
-NTC-ISO 31000
definicin de las responsabilidades del proceso para la gestin
del riesgo y dentro deeste;
definicin del alcance, as como de la profundidad y extensin de
las actividades degestin del riesgo que se van a llevar a cabo,
incluyendo las exclusiones e inclusionesespecficas;
definir actividad, proceso, funcin, proyecto, producto, servicio
o activo en trminos detiempo y ubicacin;
definicin de las relaciones entre el proyecto, el proceso o la
actividad particulares yotros proyectos, procesos o actividades de
la organizacin;
definicin de las metodologas para la valoracin del riesgo;
definicin de la forma de evaluar el desempeo y la eficacia en la
gestin del riesgo;
identificacin y especificacin de las decisiones que se deben
tomar; y
identificacin, establecimiento del alcance o el marco de los
estudios necesarios, suextensin y objetivos, y los recursos
necesarios para tales estudios.
-
-
-
-
-
-
-
La atencin a estos y otros factores importantes debera ayudar a
garantizar que el enfoquepara la gestin del riesgo que se ha
adoptado es el adecuado para las circunstancias, laorganizacin y
los riesgos que afectan el logro de sus objetivos.
5.3.5 Definir los criterios del riesgo
La organizacin debera definir los criterios que se van a
utilizar para evaluar la importancia delriesgo. Los criterios
deberan reflejar los valores, objetivos y recursos de la
organizacin.Algunos criterios pueden estar impuestos por lo
requisitos legales y reglamentarios o derivarsede ellos y de otros
requisitos a los cuales la organizacin se suscribe. Los criterios
del riesgodeberan ser consistentes con la poltica para la gestin
del riesgo de la organizacin (vase elnumeral 4.3.2), estar
definidos al comienzo de todo proceso para la gestin del riesgo y
serrevisados continuamente.
Al definir los criterios del riesgo, los factores que se van a
considerar deberan incluir lossiguientes:
- la naturaleza y los tipos de causas y consecuencias que se
pueden presentar y la formaen que se van a medir;
cmo se va a definir la probabilidad;
los marcos temporales de la probabilidad, las consecuencias, o
ambas;
cmo se va a determinar el nivel de riesgo;
los puntos de vista de las partes involucradas;
el nivel en el cual el riesgo se torna aceptable o tolerable;
y
si se debera o no tener en cuenta combinaciones de riesgos
mltiples y, si es as, cmoy cules combinaciones se deberan
considerar.
20
-
-
-
-
-
-
-
5.4
5.4.1
VALORACIN DEL RIESGO
Generalidades
NTC-ISO 31000
La valoracin del riesgo es el proceso total de identificacin del
riesgo, anlisis del riesgo yevaluacin del riesgo.
NOTA ISO/IEC 31010 brinda directrices sobre las tcnicas de
valoracin del riesgo.
5.4.2 Identificacin del riesgo
La organizacin debera identificar las fuentes de riesgo, las
reas de impacto, los eventos(incluyendo los cambios en las
circunstancias) y sus causas y consecuencias potenciales. Elobjeto
de esta fase es generar una lista exhaustiva de riesgos con base en
aquellos eventosque podran crear, aumentar, prevenir, degradar,
acelerar o retrasar el logro de los objetivos.Es importante
identificar los riesgos asociados a la no bsqueda de una
oportunidad. Laidentificacin exhaustiva es crtica porque un riesgo
que no se identifique en esta fase no serincluido en el anlisis
posterior.
La identificacin debera incluir los riesgos independientemente
de si su origen est o no bajocontrol de la organizacin, an cuando
el origen del riesgo o su causa pueden no serevidentes. La
identificacin del riesgo debera incluir el examen de los efectos
colaterales delas consecuencias particulares, incluyendo los
efectos en cascada y acumulativos. Tambin sedebera considerar un
rango amplio de consecuencias incluso si el origen del riesgo o su
causapueden no ser evidentes. Al igual que la identificacin de lo
que podra suceder, es necesarioconsiderar las causas y los
escenarios posibles que muestran que las consecuencias sepodran
presentar. Se recomienda considerar todas las causas y
consecuencias significativas.
La organizacin debera aplicar herramientas y tcnicas para la
identificacin del riesgo quesean adecuadas a sus objetivos y
capacidades, y a los riesgos que se enfrentan. Lainformacin
pertinente y actualizada es importante para identificar los
riesgos. Esta informacindebera incluir, siempre que sea posible, la
informacin bsica. En la identificacin del riesgo sedeberan
involucrar las personas con el conocimiento apropiado.
5.4.3 Anlisis del riesgo
El anlisis del riesgo implica el desarrollo y la comprensin del
riesgo. Este anlisis brinda unaentrada para la evaluacin del riesgo
y para las decisiones sobre si es necesario o no tratar losriesgos
y sobre las estrategias y mtodos ms adecuados para su tratamiento.
El anlisis delriesgo tambin brinda una entrada para la toma de
decisiones, en la cual se deben hacerelecciones y las opciones
implican diversos tipos y niveles de riesgo.
El anlisis del riesgo involucra la consideracin de las causas y
las fuentes de riesgo, susconsecuencias positivas y negativas, y la
probabilidad de que tales consecuencias puedanocurrir. Se deberan
identificar los factores que afectan a las consecuencias y a la
probabilidad.El riesgo es analizado determinando las consecuencias
y su probabilidad, y otros atributos delriesgo. Un evento puede
tener consecuencias mltiples y puede afectar a objetivos
mltiples.Tambin se deberan considerar los controles existentes y su
eficacia y eficiencia.
La forma en la cual las consecuencias y la probabilidad se
expresan y la forma en la cual ellasse combinan para determinar un
nivel de riesgo debera reflejar el tipo de riesgo, la
informacindisponible y el propsito para el cual se va a usar la
salida de la valoracin del riesgo. Todoesto debera ser consistente
con los criterios del riesgo. Tambin es importante considerar
lainterdependencia de los diferentes riesgos y sus orgenes.
21
-
NTC-ISO 31000
La confianza en la determinacin del nivel de riesgo y su
sensibilidad a las precondiciones yasunciones se debera considerar
en el anlisis y comunicar eficazmente a quienes toman lasdecisiones
y, segn corresponda, a otras partes involucradas. Factores tales
como ladivergencia de opinin entre los expertos, la incertidumbre,
la disponibilidad, la calidad, lacantidad y la pertinencia continua
de la informacin, o los limitantes en el modelado sedeberan
establecer y se pueden enfatizar.
El anlisis del riesgo se puede realizar con diversos grados de
detalle, dependiendo del riesgo,el propsito del anlisis y la
informacin, datos y recursos disponibles. El anlisis puede
sercualitativo, semicuantitativo o cuantitativo, o una combinacin
de ellos, dependiendo de lascircunstancias.
Las consecuencias y su probabilidad se pueden determinar
modelando los resultados de unevento o grupo de eventos, o mediante
extrapolacin a partir de estudios experimentales o delos datos
disponibles. Las consecuencias se pueden expresar en trminos de
impactostangibles e intangibles. En algunos casos, se requiere ms
de un valor numrico o descriptorpara especificar las consecuencias
y su probabilidad en diferentes momentos, lugares, gruposo
situaciones.
5.4.4 Evaluacin del riesgo
El propsito de la evaluacin del riesgo es facilitar la toma de
decisiones, basada en losresultados de dicho anlisis, a acerca de
cules riesgos necesitan tratamiento y la prioridadvara la
implementacin del tratamiento.
La evaluacin del riesgo implica la comparacin del nivel de
riesgo observado durante elproceso de anlisis y de los criterios
del riesgo establecidos al considerar el contexto. Con baseen esta
comparacin, se puede considerar la necesidad de tratamiento.
En las decisiones se debera tener en cuenta el contexto ms
amplio del riesgo e incluirconsideracin de la tolerancia de los
riesgos que acarrean otras partes diferentes de laorganizacin que
se benefician de los riesgos. Las decisiones se deberan tomar de
acuerdocon los requisitos legales, reglamentarios y otros.
En algunas circunstancias, la evaluacin del riesgo puede llevar
a la decisin de emprender unanlisis adicional. La evaluacin del
riesgo tambin puede tener como resultado la decisin deno tratar el
riesgo de ninguna manera diferente del mantenimiento de los
controles existentes.Esta decisin estar influida por la actitud de
la organizacin hacia el riesgo y por los criteriosdel riesgo que se
han establecido.
5.5
5.5.1
TRATAMIENTO DEL RIESGO
Generalidades
El tratamiento del riesgo involucra la seleccin de una o ms
opciones para modificar losriesgos y la implementacin de tales
opciones. Una vez implementado, el tratamientosuministra controles
o los modifica.
El tratamiento del riesgo implica un proceso cclico de:
-
-
valoracin del tratamiento del riesgo;
decisin sobre si los niveles de riesgo residual son
tolerables;
22
-
--
NTC-ISO 31000
si no son tolerables, generacin de un nuevo tratamiento para el
riesgo; y
valoracin de la eficacia de dicho tratamiento.
Las opciones para el tratamiento del riesgo no necesariamente
son mutuamente excluyentes niadecuadas en todas las circunstancias.
Las opciones pueden incluir las siguientes:
a)
b)
c)
d)
e)
f)
evitar el riesgo al decidir no iniciar o continuar la actividad
que lo origin;
tomar o incrementar el riesgo para perseguir una
oportunidad;
retirar la fuente de riesgo;
cambiar la probabilidad;
cambiar las consecuencias;
compartir el riesgo con una o varias de las partes, (incluyendo
los contratos y lafinanciacin del riesgo); y
retener el riesgo mediante una decisin informada.
Seleccin de las opciones para el tratamiento del riesgo
g)
5.5.2
La seleccin de las opciones ms adecuadas para el tratamiento del
riesgo implica equilibrarlos costos y los esfuerzos de la
implementacin frente a los beneficios derivados con respectoa los
requisitos legales, reglamentarios y otros, como por ejemplo la
responsabilidad social y laproteccin del ambiente natural. En las
decisiones tambin se deberan considerar los riesgosque pueden
ameritar el tratamiento que no es justificable en trminos
econmicos, por ejemplolos riesgos graves (consecuencia negativa
alta) pero raros (baja probabilidad).
Se puede considerar y aplicar una cantidad de opciones para el
tratamiento ya seaindividualmente o en combinacin. Normalmente, la
organizacin se puede beneficiar de laadopcin de una combinacin de
opciones de tratamiento.
Al seleccionar las opciones para tratar el riesgo, la
organizacin debera considerar los valoresy las percepciones de las
partes involucradas, y las vas ms adecuadas para comunicarse
conellos. Cuando las opciones para tratar el riesgo pueden tener
impacto en el riesgo en otraspartes de la organizacin o para otras
partes involucradas, estas opciones se deberan incluiren la
decisin. Aunque tienen igual eficacia, algunos tratamientos para el
riesgo pueden serms aceptables para algunas partes involucradas que
para otras.
El plan de tratamiento debera identificar claramente el orden de
prioridad en el cual sedeberan implementar los tratamientos
individuales para el riesgo.
El tratamiento en s mismo puede introducir riesgos. Un riesgo
significativo puede ser la falla ola ineficacia de las medidas del
tratamiento. Es necesario que el monitoreo sea parte integraldel
plan de tratamiento del riesgo para garantizar que las medidas
sigan siendo eficaces.
El tratamiento tambin puede introducir riesgos secundarios que
es necesario valorar, tratar,monitorear y revisar. Estos riesgos
secundarios se deberan incorporar en el mismo plan detratamiento
definido para el riesgo original y no se deberan tratar como
riesgos nuevos. Esrecomendable identificar y mantener el vnculo
entre los dos riesgos.
23
-
5.5.3
NTC-ISO 31000
Preparacin e implementacin de los planes para el tratamiento del
riesgo
El propsito de los planes para el tratamiento del riesgo es
documentar la forma en que se vana implementar las opciones de
tratamiento seleccionadas. La informacin suministrada en losplanes
de tratamiento debera incluir:
- las razones para la seleccin de las opciones de tratamiento,
que incluyan losbeneficios que se espera obtener;
aquellos que son responsables de aprobar el plan y los
responsables de implementarlo;
acciones propuestas;
requisitos de recursos, incluyendo las contingencias;
medidas y restricciones de desempeo;
requisitos de monitoreo y reporte; y
tiempo y cronograma.
-
-
-
-
-
-
Los planes de tratamiento se deberan integrar con los procesos
de gestin de la organizaciny se deberan discutir con las partes
involucradas pertinentes.
Los encargados de tomar las decisiones y otras partes
involucradas deberan conocer lanaturaleza y la extensin del riesgo
residual despus del tratamiento del riesgo. El riesgoresidual se
debera documentar y someter a monitoreo, revisin y, cuando as
corresponda, atratamiento adicional.
5.6 MONITOREO Y REVISIN
Tanto el monitoreo como la reedicin debera ser una parte
planificada del proceso para lagestin del riesgo e incluir
verificacin o vigilancia regulares. Pueden ser peridicos o
segnconvenga.
Las responsabilidades del monitoreo y la revisin deberan estar
claramente definidas.
Los procesos de monitoreo y revisin de la organizacin deberan
comprender todos losaspectos del proceso para la gestin del riesgo
con el fin de:
- garantizar que los controles son eficaces y eficientes tanto
en el diseo como en laoperacin;
obtener informacin adicional para mejorar la valoracin del
riesgo;
analizar y aprender lecciones a partir de los eventos
(incluyendo los cuasi accidentes),los cambios, las tendencias, los
xitos y los fracasos;
detectar cambios en el contexto externo e interno, incluyendo
los cambios en loscriterios del riesgo y en el riesgo mismo que
puedan exigir revisin de los tratamientosdel riesgo y las
prioridades; y
identificar los riesgos emergentes.
24
-
-
-
-
-
NTC-ISO 31000
El avance en la implementacin de los planes para tratamiento del
riesgo suministra unamedida de desempeo. Los resultados se pueden
incorporar en las actividades globales degestin del desempeo,
medicin y reporte externo e interno de la organizacin.
Los resultados del monitoreo y la revisin se deberan registrar y
reportar interna yexternamente segn corresponda, y se deberan
utilizar como una entrada para la revisin delmarco de referencia
para la gestin del riesgo (vase el numeral 4.5).
5.7 REGISTRO DEL PROCESO PARA LA GESTIN DEL RIESGO
Las actividades para la gestin del riesgo deberan tener
trazabilidad. En el proceso para lagestin del riesgo, los registros
brindan la base para la mejora de los mtodos y lasherramientas, as
como del proceso global.
En las decisiones con respecto a la creacin de registros se
debera tener en cuenta:
-
-
-
-
-
-
-
las necesidades de la organizacin con respecto al aprendizaje
continuo;
los beneficios de reutilizar la informacin con propsitos de
gestin;
los costos y esfuerzos involucrados en la creacin y el
mantenimiento de los registros;
las necesidades legales, reglamentarias y operativas para los
registros;
los mtodos de acceso, la facilidad de recuperacin y los medios
de almacenamiento;
el periodo de retencin; y
la sensibilidad de la informacin.
25
-
NTC-ISO 31000
ANEXO A(Informativo)
ATRIBUTOS DE LA GESTIN MEJORADA DEL RIESGO
A.1 GENERALIDADES
Todas las organizaciones deberan tener como meta el nivel
adecuado de desempeo de sumarco de referencia para la gestin del
riesgo en concordancia con la importancia crtica de lasdecisiones
que se deben tomar. La lista de atributos que se indica a
continuacin representa unnivel alto de desempeo en la gestin del
riesgo. Para ayudar a las organizaciones a medir supropio desempeo
en comparacin con estos criterios, se brindan algunos
indicadorestangibles para cada atributo.
A.2 RESULTADOS IMPORTANTES
A.2.1 La organizacin tiene una comprensin actual, correcta y
exhaustiva de sus riesgos.
A.2.2 Los riesgos de la organizacin se encuentran dentro de sus
criterios del riesgo.
A.3 ATRIBUTOS
A.3.1 Mejora continua
Se hace nfasis en la mejora continua de la gestin del riesgo a
travs del establecimiento delas metas de desempeo de la
organizacin, la medicin, revisin y modificacin posterior
deprocesos, sistemas, recursos, capacidad y habilidades.
El indicador podra ser la existencia de metas explcitas de
desempeo en comparacin con lascuales se mide el desempeo de la
organizacin y del director individual. El desempeo de laorganizacin
se puede publicar y comunicar. Normalmente, habr por lo menos una
revisinanual del desempeo, despus una revisin de los procesos, y
luego el establecimiento deobjetivos revisados de desempeo para el
perodo siguiente.
La valoracin del desempeo de la gestin del riesgo es una parte
integral de la valoracinglobal del desempeo de la organizacin y del
sistema de medicin para los departamentos ylos individuos.
A.3.2 Rendicin total de cuentas con respecto a los riesgos
La gestin mejorada del riesgo incluye la rendicin de cuentas
exhaustiva, totalmente definida yaceptada de los riesgos, los
controles y las tareas para el tratamiento del riesgo. Los
individuosasignados aceptan totalmente la responsabilidad, tienen
las habilidades adecuadas y losrecursos pertinentes para verificar
los controles, monitorear los riesgos, mejorar los controles
ycomunicarse eficazmente acerca de los riesgos y su gestin con las
partes involucradasexternas e internas.
El indicador podra estar constituido por todos los miembros de
una organizacin que conocentotalmente los riesgos, los controles y
las labores de las cuales son responsables.Normalmente, la
responsabilidad estar registrada en las descripciones del trabajo o
el cargo,en las bases de datos o los sistemas de informacin. La
definicin de las funciones,
26
-
NTC-ISO 31000
obligaciones y responsabilidades en la gestin del riesgo debera
ser parte de los programasde induccin de la organizacin
La organizacin garantiza que los responsables estn equipados
para cumplir esa funcinbrindndoles la autoridad, el tiempo, el
entrenamiento, los recursos y las habilidades suficientespara
asumir sus obligaciones.
A.3.3 Aplicacin de la gestin del riesgo en la toma de
decisiones
La toma de decisiones en la organizacin, independientemente del
nivel de importancia ysignificado, involucra la consideracin
explcita de los riesgos y la aplicacin, en algn grado,de la gestin
de riesgos.
El indicador podra consistir en registros de las reuniones y las
decisiones que muestren quetuvieron lugar las discusiones explcitas
sobre los riesgos. Adems, debera ser posible ver quetodos los
componentes de la gestin del riesgo estn representados en los
procesos clave parala toma de decisiones en la organizacin, por
ejemplo para las decisiones sobre asignacin decapital o proyectos
principales y sobre los cambios de estructurales y
organizacionales. Porestas razones, una base slida para la gestin
del riesgo se considera en la organizacinaquella que brinda las
bases para el gobierno eficaz.
A.3.4 Comunicaciones continuas
La gestin mejorada del riesgo incluye las comunicaciones
continuas con las partesinvolucradas externas e internas, que
incluyan el reporte exhaustivo y frecuente del desempeode la gestin
del riesgo como parte del buen gobierno.
El indicador podra ser la comunicacin con las partes
involucradas como componente integraly esencial de la gestin del
riesgo. La comunicacin puede bien considerarse un proceso dedoble
va, de modo que se pueden tomar decisiones correctamente informadas
acerca del niveldel riesgo y la necesidad de tratamiento frente a
criterios del riesgo adecuadamenteestablecidos y exhaustivos.
El reporte exhaustivo y frecuente, externo e interno, tanto
sobre los riesgos significativos comosobre el desempeo de la gestin
del riesgo contribuye significativamente al gobierno eficazdentro
de la organizacin.
A.3.5 Integracin completa en la estructura de gobierno de la
organizacin
La gestin del riesgo se considera parte central de los procesos
de gestin de la organizacin,de modo que los riesgos estn
considerados en trminos del efecto de la incertidumbre en
losobjetivos. La estructura y los procesos de gobierno se basan en
la gestin del riesgo. Lagestin eficaz del riesgo es considerada por
los directores un factor esencial para el logro delos objetivos de
la organizacin.
El indicador podra ser el lenguaje de los directores y el
material escrito importante en laorganizacin que utiliza el trmino
"incertidumbre" en conexin con los riesgos. Este atributotambin est
reflejado normalmente en las declaraciones de la poltica de la
organizacin, enparticular las que se relacionan con la gestin del
riesgo. Normalmente, este atributo severificara a travs de
entrevistas con los directores y a travs de la evidencia de sus
actos ydeclaraciones.
27
-
NTC-ISO 31000
BIBLIOGRAFA
[1]
[2]
ISO Guide 73:2009, Risk Management. Vocabulary.
ISO/IEC 31010, Risk Management. Risk Assessment Techniques.
28
-
DOCUMENTO DE REFERENCIA
NTC-ISO 31000
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Risk Management.
Principlesand Guidelines. Geneva: ISO, 2009, 24p (ISO /IEC
31000:2009 (E)).
29