Beruflich Dokumente
Kultur Dokumente
INTERNACIONAL 31000
Primera edición
2009-11-15
Este archivo PDF puede contener pólizas de caracteres integradas. De acuerdo con la política de licencias de Adobe, este archivo puede ser impreso o visualizado, pero no deberá ser modificado a
menos que los tipos de letra que están incrustados y tienen licencia para instalarse en el equipo que realiza la edición. Al descargar este archivo, las partes implicadas aceptan la responsabilidad de no
infringir las condiciones de licencia de Adobe. La Secretaría Central de ISO no asume ninguna responsabilidad en esta área.
Los detalles de los productos de software utilizados para crear este archivo PDF se pueden encontrar en la Información General relativa al archivo; los parámetros de creación del PDF han sido optimizados para la
impresión. Cada cuidado se ha tomado para garantizar que el archivo es adecuado para su uso por los miembros de ISO. En el caso improbable de que un problema relacionado con él se encuentra, por favor
informe a la Secretaría Central en la dirección que figura a continuación.
Normen-Download-Beuth-Brokersclub AG-KdNr.7542443-LfNr.5061405001-2010-09-27 15:56
© ISO 2009
Todos los derechos reservados. A menos que se especifique lo contrario, ninguna parte de esta publicación puede ser reproducida o utilizada en cualquier forma o por cualquier medio,
electrónico o mecánico, incluyendo fotocopias y microfilm, sin el permiso por escrito de ISO en la dirección abajo o organismo miembro de ISO en el país de la solicitante.
Contenido Página
Prefacio
La ISO (Organización Internacional de Normalización) es una federación mundial de organismos nacionales de normalización (organismos miembros de ISO). El trabajo de preparación de Normas
Internacionales se lleva a cabo normalmente a través de comités técnicos de ISO. Cada organismo miembro interesado en una materia para la cual se ha establecido un comité técnico, tiene el
derecho a estar representado en dicho comité. Las organizaciones internacionales, gubernamentales y no gubernamentales, en coordinación con ISO, también participan en el trabajo. ISO
colabora estrechamente con la Comisión Electrotécnica Internacional (IEC) en todas las materias de normalización electrotécnica. Las Normas Internacionales se redactan de acuerdo con las
reglas establecidas en las Directivas ISO / IEC, Parte 2. La tarea principal de los comités técnicos es preparar Normas Internacionales. Los Proyectos de Normas Internacionales adoptados por los
comités técnicos son enviados a los organismos miembros para votación. La publicación como Norma Internacional requiere la aprobación por al menos el 75% de los organismos miembros con
derecho a voto. Se llama la atención a la posibilidad de que algunos de los elementos de este documento puede ser objeto de derechos de patente. ISO no se hace responsable de la
identificación de cualquiera o todos los derechos de patente. ISO 31000 fue preparada por el Grupo de Trabajo Consejo de Gestión Técnica de ISO sobre gestión de riesgos. ISO no se hace
responsable de la identificación de cualquiera o todos los derechos de patente. ISO 31000 fue preparada por el Grupo de Trabajo Consejo de Gestión Técnica de ISO sobre gestión de riesgos.
ISO no se hace responsable de la identificación de cualquiera o todos los derechos de patente. ISO 31000 fue preparada por el Grupo de Trabajo Consejo de Gestión Técnica de ISO sobre
gestión de riesgos.
Normen-Download-Beuth-Brokersclub AG-KdNr.7542443-LfNr.5061405001-2010-09-27 15:56
Introducción
Organizaciones de todos los tipos y tamaños se enfrentan a factores e influencias internas y externas que hacen que sea incierto si y cuándo van a lograr
sus objetivos. El efecto que esto tiene sobre la incertidumbre objetivos de una organización es “riesgo”.
Todas las actividades de una organización implican un riesgo. Organizaciones a gestionar el riesgo mediante la identificación, analizarla y luego evaluar
si el riesgo debe ser modificado por el tratamiento del riesgo con el fin de satisfacer sus criterios de riesgo. A lo largo de este proceso, se comunican y
consultar con las partes interesadas y Supervisar los riesgos y los controles que están modificando el riesgo con el fin de garantizar que no se requiere
ningún tratamiento adicional del riesgo. Esta Norma Internacional describe este proceso sistemático y lógico en detalle.
Si bien todas las organizaciones a gestionar el riesgo en cierta medida, esta norma establece una serie de principios que deben ser satisfechas para que
la gestión eficaz del riesgo. Esta Norma Internacional recomienda que las organizaciones a desarrollar, implementar y mejorar continuamente un marco
cuyo objetivo es integrar el proceso de gestión del riesgo en la administración general, la estrategia de la organización y la planificación, la gestión, la
presentación de informes procesos, políticas, valores y cultura.
La gestión del riesgo se puede aplicar a toda una organización, en sus muchas áreas y niveles, en cualquier momento, así como a las funciones, proyectos y
actividades específicas.
Aunque la práctica de la gestión del riesgo se ha desarrollado con el tiempo y dentro de muchos sectores con el fin de satisfacer las diversas
necesidades, la adopción de procesos consistentes en un marco global puede ayudar a asegurar que el riesgo se gestiona con eficacia, eficiencia y
coherencia en toda la organización. El enfoque genérico descrito en esta Norma Internacional proporciona los principios y directrices para la gestión de
cualquier tipo de riesgo de una manera sistemática, transparente y creíble y dentro de cualquier ámbito y contexto. Cada sector o aplicación de gestión
de riesgos específica trae consigo necesidades individuales, audiencias, las percepciones y criterios. Por lo tanto, una característica clave de esta norma
es la inclusión de “establecer el contexto” como una actividad en el inicio de este proceso de gestión del riesgo genérico. Establecimiento del contexto
capturará los objetivos de la organización, el entorno en el que se persigue esos objetivos, sus grupos de interés y la diversidad de criterios de riesgo -
todo lo cual ayudará a revelar y evaluar la naturaleza y complejidad de sus riesgos. La relación entre los principios para la gestión del riesgo, el marco en
el que se produce y el proceso de gestión de riesgos descrita en esta norma se muestra en la Figura 1.
Cuando se implementa y mantiene de acuerdo con esta norma, la gestión de riesgos permite a la organización, por ejemplo:
• cumplir con los requisitos legales y reglamentarios pertinentes y las normas internacionales;
Esta Norma Internacional está destinado a satisfacer las necesidades de una amplia gama de partes interesadas, incluyendo:
un) los responsables del desarrollo de políticas de gestión de riesgos dentro de su organización;
segundo)los responsables de asegurar que el riesgo se gestiona con eficacia dentro de la organización como un todo o dentro de un área, proyecto o
actividad específica;
do) aquellos que necesitan para evaluar la efectividad de una organización en la gestión de riesgos; y
d) los desarrolladores de normas, orientaciones, procedimientos y códigos de prácticas que, en su totalidad o en parte, se establece hasta qué riesgo se va a gestionar
dentro del contexto específico de estos documentos.
Las prácticas y tratamientos de muchas organizaciones de gestión actuales incluyen componentes de la gestión de riesgos, y muchas organizaciones ya
han adoptado un proceso formal de gestión de riesgo de determinados tipos de riesgos o circunstancias. En tales casos, una organización puede decidir
llevar a cabo una revisión crítica de sus prácticas y procesos existentes a la luz de esta norma internacional.
En esta Norma Internacional, ambos se utilizan las expresiones “gestión de riesgos” y “Gestión del riesgo”. En términos generales, “gestión del riesgo” se
refiere a la arquitectura (principios, marcos y procesos) para la gestión de riesgos efectiva, mientras que “la gestión del riesgo” se refiere a la aplicación
de esa arquitectura a riesgos particulares.
Normen-Download-Beuth-Brokersclub AG-KdNr.7542443-LfNr.5061405001-2010-09-27 15:56
Mandato
b) parte integral de y compromiso
procesos de organización (4,2)
d) explícitamente aborda
La evaluación del riesgo (5,4)
incertidumbre Diseño de marco
para la gestión de
e) sistemática, estructurada y riesgos
oportuna (4,3) La identificación de riesgos (5.4.2)
http://mahdi.hashemitabar.com
Establecimiento del contexto
Monitoreo y revisión (5.6)
i) transparente e inclusivo
Comunicación y consulta (5.2)
Figura 1 - Las relaciones entre los principios de gestión de riesgos, marco y un proceso
del marco
(cláusula 3) 4)
Proceso (cláusula 5)
ISO 31000: 2009 (E)
vii
Normen-Download-Beuth-Brokersclub AG-KdNr.7542443-LfNr.5061405001-2010-09-27 15:56
Normen-Download-Beuth-Brokersclub AG-KdNr.7542443-LfNr.5061405001-2010-09-27 15:56
http://mahdi.hashemitabar.com
Esta página está en blanco intencionalmente.
ESTÁNDAR INTERNACIONAL ISO 31000: 2009 (E)
1 Alcance
Esta Norma Internacional proporciona principios y directrices genéricas sobre la gestión de riesgos. Esta Norma Internacional puede ser utilizado por
cualquier empresa pública, privada o comunitaria, asociación, grupo o individuo. Por lo tanto, esta norma no es específica para cualquier industria o
sector. NOTA
Para mayor comodidad, todos los diferentes usuarios de esta norma internacional son referidos por el término general
"organización".
Esta Norma Internacional puede ser aplicado en toda la vida de una organización, y para una amplia gama de actividades, incluidas las estrategias y
decisiones, operaciones, procesos, funciones, proyectos, productos, servicios y activos.
Esta norma internacional se puede aplicar a cualquier tipo de riesgo, cualquiera que sea su naturaleza, ya sea tener consecuencias positivas o negativas.
Aunque esta Norma Internacional proporciona directrices genéricas, no es la intención de promover la uniformidad de la gestión de riesgos en todas las
organizaciones. El diseño e implementación de planes de gestión del riesgo y los marcos tendrán que tomar en cuenta las diversas necesidades de una
organización específica, sus objetivos particulares, el contexto, estructura, operaciones, procesos, funciones, proyectos, productos, servicios o activos y
prácticas específicas empleadas .
Se pretende que esta norma se utiliza para armonizar los procesos de gestión de riesgos en las normas existentes y futuras. Proporciona un enfoque
común en apoyo de las normas que se ocupan de los riesgos y / o sectores específicos, y no pretende sustituir esas normas.
2 Términos y definiciones
2.1
Normen-Download-Beuth-Brokersclub AG-KdNr.7542443-LfNr.5061405001-2010-09-27 15:56
riesgo
efecto de la incertidumbre en los objetivos
NOTA 2 Los objetivos pueden tener diferentes aspectos (tales como metas ambientales financiera, la salud y la seguridad, y) y pueden aplicarse a distintos niveles (como
estratégica, en toda la organización, proyecto, producto y proceso).
NOTA 3 El riesgo se caracteriza a menudo por referencia a potencial eventos ( 2.17) y Consecuencias ( 2.18), o una combinación de éstos.
NOTA 4 El riesgo se expresa a menudo en términos de una combinación de las consecuencias de un evento (incluyendo cambios en las circunstancias) y el asociado verosimilitud
( 2,19) de ocurrencia.
NOTA 5 La incertidumbre es el estado, incluso parcial, de la deficiencia de información relacionada con, la comprensión o conocimiento de un evento, su consecuencia, o la
probabilidad.
2.2
gestión de riesgos
actividades coordinadas para dirigir y controlar una organización con respecto a riesgo ( 2.1) [Guía ISO 73: 2009,
definición 2.1]
2.3
marco de gestión de riesgos
conjunto de componentes que proporcionan las bases y las disposiciones organizativas para el diseño, implementación,
supervisión ( 2,28), revisión y mejora continua gestión de riesgos ( 2.2) en toda la organización NOTA 1 Las bases incluyen la política, objetivos,
NOTA 2 Las disposiciones de organización incluyen planes, relaciones, responsabilidades, recursos, procesos y actividades.
NOTA 3 El marco de gestión de riesgos está incrustado dentro de las políticas estratégicas y operacionales generales de la organización y prácticas.
2.4
la política de gestión de riesgos
declaración de las intenciones globales y orientación de una organización relativas a gestión de riesgos ( 2.2) [Guía ISO 73: 2009,
definición 2.1.2]
2.5
actitud ante el riesgo
El enfoque de la organización para evaluar y eventualmente perseguir, retener, tomar o se alejan de riesgo ( 2.1) [Guía ISO 73: 2009,
definición 3.7.1.1]
2.6
plan de gestión de Riesgos
dentro del esquema marco de gestión de riesgos ( 2.3) especificando el enfoque, los componentes y los recursos de gestión que han de aplicarse a la
gestión de riesgo ( 2.1)
componentes NOTA 1 Gestión incluyen típicamente procedimientos, prácticas, asignación de responsabilidades, la secuencia y el calendario de actividades.
NOTA 2 El plan de gestión de riesgos se puede aplicar a un producto, proceso y proyecto, y una parte o la totalidad de la organización.
Normen-Download-Beuth-Brokersclub AG-KdNr.7542443-LfNr.5061405001-2010-09-27 15:56
2.7
propietario del riesgo
persona o entidad que tiene la responsabilidad y la autoridad para gestionar una riesgo ( 2.1) [Guía ISO 73:
2.8
proceso de gestión de riesgos
la aplicación sistemática de políticas, procedimientos y prácticas a las actividades de comunicación, consultoría, estableciendo el contexto, e identificar,
analizar, evaluar, tratar, supervisión ( 2,28) y la revisión riesgo ( 2.1)
2.9
establecer el contexto
la definición de los parámetros externos e internos que deben tenerse en cuenta en la gestión de riesgos, y establecer el alcance y (criterios de riesgo 2,22)
para el la política de gestión del riesgo ( 2.4) [Guía ISO 73: 2009, definición 3.3.1]
2.10
contexto externo
ambiente externo en el que la organización trata de alcanzar su objetivos NOTA
• el entorno cultural, social, político, jurídico, reglamentario, financiero, tecnológico, económico, natural y competitivo,
ya sea internacional, nacional, regional o local;
• los conductores y las tendencias claves que tienen impacto en los objetivos de la organización; y
2.11
contexto interno
ambiente interno, en el que la organización trata de alcanzar su objetivos NOTA
• las políticas, los objetivos y las estrategias que están en marcha para alcanzarlos;
• las capacidades, entendidas en términos de recursos y conocimientos de capital (por ejemplo, tiempo, personas, procesos, sistemas y
tecnologías);
• sistemas de información, los flujos de información y procesos de toma de decisiones (formales e informales);
• relaciones con los y las percepciones y valores de las partes interesadas, internas;
Normen-Download-Beuth-Brokersclub AG-KdNr.7542443-LfNr.5061405001-2010-09-27 15:56
• cultura de la organización;
2.12
comunicación y consulta
procesos continuos e iterativos que una organización lleva a cabo para proporcionar, compartir u obtener información y para dialogar con interesados ( 2,13)
con respecto a la gestión de riesgo ( 2.1)
NOTA 1 La información puede relacionarse con la existencia, naturaleza, forma, verosimilitud ( 2.19), la importancia, la evaluación, la aceptabilidad y el tratamiento de la
gestión de riesgos.
NOTA 2 La consulta es un proceso bidireccional de comunicación informados entre una organización y sus grupos de interés en un tema antes de tomar una decisión o
determinación de una dirección en ese tema. La consulta es:
• Un proceso que los impactos sobre la decisión a través de la influencia en lugar de la energía; y
2.13
tenedor de apuestas
persona u organización que puede afectar, ser afectado por, o que crean que están afectadas por una decisión o actividad NOTA
2.14
Evaluación de riesgos
proceso general de identificación de riesgo ( 2.15), análisis de riesgo ( 2.21) y evaluación de riesgo ( 2,24) [Guía ISO 73: 2009,
definición 3.4.1]
2.15
identificación de riesgo
proceso de encontrar, reconociendo y describiendo (riesgos 2.1) la identificación NOTA 1 Riesgo implica la identificación de fuentes de riesgo ( 2.16), eventos
NOTA 2 de identificación de riesgos puede implicar datos históricos, análisis teórico, informados y opiniones de expertos, y
tenedor de apuestas' s (2.13) necesidades.
2.16
fuente de riesgo
elemento que solo o en combinación tiene el potencial intrínseco para dar lugar a riesgo ( 2.1)
2.17
evento
ocurrencia o cambio de un conjunto particular de circunstancias
NOTA 1 Un evento puede ser una o más ocurrencias, y puede tener varias causas. NOTA 2 Un evento puede consistir
NOTA 3 Un evento a veces puede ser referido como un “incidente” o “accidente”. NOTA 4 Un evento sin Consecuencias ( 2.18) también se puede denominar como una
2.18
consecuencia
resultado de una evento ( 2.17) que afectan a objetivos
NOTA 2 Una consecuencia puede ser cierto o incierto y puede tener efectos positivos o negativos en los objetivos.
2.19
probabilidad
posibilidad de que ocurra algo NOTA 1
En la terminología de la gestión de riesgos, la palabra “probabilidad” se utiliza para referirse a la posibilidad de que algo suceda,
si definido, medido o determinado objetiva o subjetivamente, cualitativa o cuantitativamente, y se describe el uso de términos generales o matemáticamente (tales como una
probabilidad o una frecuencia durante un período de tiempo dado).
NOTA 2 El término Inglés “probabilidad” no tiene un equivalente directo en algunos idiomas; En su lugar, se utiliza a menudo el equivalente de la expresión “probabilidad”.
Sin embargo, en Inglés, “probabilidad” a menudo se interpreta estrictamente como un término matemático. Por lo tanto, en la terminología de la gestión de riesgos, la
“probabilidad” se utiliza con la intención de que debe tener la misma interpretación amplia que el término “probabilidad” tiene en muchos idiomas distintos del Inglés.
2.20
perfil de riesgo
Descripción de cualquier conjunto de (riesgos 2.1)
NOTA El conjunto de riesgos puede contener aquellas que se refieren a toda la organización, que forma parte de la organización, o como
de otro modo definido.
2.21
análisis de riesgo
proceso para comprender la naturaleza de riesgo ( 2.1) y para determinar la nivel de riesgo ( 2.23) Nota 1 El análisis de riesgos proporciona la base para evaluación
2.22
criterios de riesgo
términos de referencia contra el cual el significado de una riesgo ( 2.1) se evaluaron NOTA 1 Los criterios de riesgo se basan en objetivos de la
NOTA 2 criterios de riesgo se pueden derivar de las normas, leyes, políticas y otros requisitos.
2.23
nivel de riesgo
magnitud de una riesgo ( 2.1) o combinación de riesgos, expresada en términos de la combinación de Consecuencias
(2.18) y su verosimilitud ( 2.19) [Guía ISO 73: 2009,
definición 3.6.1.8]
2.24
evaluación de riesgo
proceso de comparación de los resultados de análisis de riesgo ( 2,21) con (criterios de riesgo 2.22) para determinar si el riesgo
(2,1) y / o su magnitud es NOTA aceptable o tolerable
Evaluación del riesgo ayuda a la decisión sobre el tratamiento del riesgo ( 2,25).
2.25
tratamiento del riesgo
• evitando el riesgo al decidir no iniciar o continuar con la actividad que da lugar al riesgo;
• compartir el riesgo con la otra parte o partes (incluyendo los contratos y la financiación del riesgo); y
NOTA 2 tratamientos de riesgo que tienen que ver con las consecuencias negativas se refieren a veces como “mitigación de riesgos”, “eliminación de riesgos”, “prevención de riesgos” y
“reducción del riesgo”.
NOTA 3 de tratamiento de riesgos puede crear nuevos riesgos o modificar los riesgos existentes. [Guía
2.26
Control
medida que es la modificación riesgo ( 2.1)
NOTA 1 Los controles incluyen cualquier proceso, la política, el dispositivo, práctica, u otras acciones que modifican el riesgo. NOTA 2 Los
Normen-Download-Beuth-Brokersclub AG-KdNr.7542443-LfNr.5061405001-2010-09-27 15:56
controles no siempre pueden ejercer el efecto pretendido modificar o asumido. [Guía ISO 73: 2009, definición 3.8.1.1]
2.27
riesgo riesgo residual ( 2.1) que queda después de el tratamiento del riesgo ( 2.25)
residual también puede ser conocido como “riesgo retenido”. [Guía ISO 73: 2009,
definición 3.8.1.6]
2.28
supervisión
comprobación continua, supervisión, críticamente observar o determinar el estado con el fin de identificar el cambio del nivel de rendimiento requerido o
esperado NOTA
El seguimiento puede ser aplicado a una marco de gestión de riesgos ( 2.3), proceso de gestión de riesgos ( 2.8), riesgo
(2,1) o de control ( 2,26).
2.29
opinión
la actividad emprendida para asegurar la conveniencia, adecuación y eficacia de la materia objeto de alcanzar los objetivos establecidos NOTA
Revisión puede ser aplicado a una marco de gestión de riesgos ( 2.3), proceso de gestión de riesgos ( 2.8), riesgo ( 2.1)
o de control ( 2,26).
3 Principios
Para la gestión del riesgo sea eficaz, una organización debe cumplir en todos los niveles con los principios siguientes.
La gestión del riesgo contribuye al logro demostrable de objetivos y mejora del rendimiento, por ejemplo, la salud humana y la seguridad, la
seguridad, el cumplimiento legal y normativo, la aceptación pública, la protección del medio ambiente, la calidad del producto, gestión de proyectos,
la eficiencia en las operaciones, la gobernabilidad y la reputación.
segundo) La gestión de riesgos es una parte integral de todos los procesos de la organización.
La gestión del riesgo no es una actividad independiente que está separada de las principales actividades y procesos de la organización. La gestión
de riesgos es parte de las responsabilidades de la dirección y una parte integral de todos los procesos de la organización, incluyendo la
planificación estratégica y todos los procesos de gestión de cambios del proyecto y.
La gestión de riesgos ayuda a quienes toman las decisiones a tomar decisiones informadas, priorizar acciones y distinguen entre cursos alternativos
de acción.
La gestión de riesgos tiene en cuenta explícitamente la incertidumbre, la naturaleza de esa incertidumbre, y cómo se puede tratar.
Normen-Download-Beuth-Brokersclub AG-KdNr.7542443-LfNr.5061405001-2010-09-27 15:56
Un enfoque sistemático, oportuno y estructurado para la gestión del riesgo contribuye a la eficiencia y resultados consistentes, comparables y
fiables.
Las entradas para el proceso de gestión de riesgos se basan en fuentes de información, tales como datos históricos, la experiencia, la
retroalimentación de las partes interesadas, la observación, las previsiones y la opinión de expertos. Sin embargo, los tomadores de decisiones
deben informarse, y deben tener en cuenta, cualquier limitación de los datos o de modelado utilizado o la posibilidad de divergencia entre los
expertos.
La gestión del riesgo está alineado con el contexto y perfil de riesgo externo e interno de la organización.
La gestión de riesgos reconoce las capacidades, percepciones e intenciones de las personas externas e internas que pueden facilitar o dificultar el
logro de los objetivos de la organización.
participación adecuada y oportuna de las partes interesadas y, en particular, los tomadores de decisiones en todos los niveles de la organización, asegura que
la gestión del riesgo sigue siendo relevante y actualizada. Participación también permite a los interesados estén debidamente representados y que sus
opiniones sean tenidas en cuenta en la determinación de los criterios de riesgo.
La gestión del riesgo detecta continuamente y responde al cambio. A medida que se producen los acontecimientos externos e internos, el contexto y el
conocimiento del cambio, el seguimiento y la revisión de los riesgos se llevan a cabo, surgen nuevos riesgos, algún cambio, y otros desaparecen.
Las organizaciones deben desarrollar e implementar estrategias para mejorar su madurez en la gestión de riesgos junto con todos los demás
aspectos de su organización.
Anexo A proporciona más asesoramiento para las organizaciones que deseen gestionar el riesgo de manera más eficaz.
4 Marco
4.1 Generalidades
El éxito de la gestión del riesgo dependerá de la eficacia del marco de gestión que proporciona las bases y arreglos que incrustarla en toda la
organización en todos los niveles. Las asistencias marco de la gestión de riesgos de manera efectiva a través de la aplicación del proceso de gestión de
riesgos (véase la cláusula 5) a diferentes niveles y dentro de contextos específicos de la organización. El marco garantiza que la información sobre el
riesgo derivado del proceso de gestión de riesgos se informa y se utiliza como base para la toma de decisiones y la rendición de cuentas en todos los
niveles de organización pertinentes de manera adecuada.
Esta cláusula describe los componentes necesarios del marco para la gestión de riesgos y la manera en que se relacionan entre sí de una manera
iterativa, como se muestra en la Figura 2.
Normen-Download-Beuth-Brokersclub AG-KdNr.7542443-LfNr.5061405001-2010-09-27 15:56
Figura 2 - Relación entre los componentes del marco para la gestión de riesgo
Este marco no pretende prescribir un sistema de gestión, sino más bien para ayudar a la organización para integrar la gestión de riesgos en su sistema
de gestión global. Por lo tanto, las organizaciones deben adaptarse los componentes del marco a sus necesidades específicas.
Si las prácticas de gestión existentes en la organización y procesos incluyen componentes de la gestión del riesgo o si la organización ya ha adoptado un
proceso formal de gestión de riesgo de determinados tipos de riesgos o situaciones, entonces estos deben ser revisados críticamente y evaluar respecto
a esta norma internacional, incluyendo los atributos contenidos en el anexo a, con el fin de determinar su idoneidad y eficacia.
La introducción de la gestión de riesgos y asegurar su eficacia en curso requieren un compromiso firme y sostenido por la dirección de la organización,
así como la planificación estratégica y riguroso para lograr el compromiso a todos los niveles. La dirección debería:
Normen-Download-Beuth-Brokersclub AG-KdNr.7542443-LfNr.5061405001-2010-09-27 15:56
• determinar los indicadores de rendimiento de gestión de riesgos que se alinean con los indicadores de rendimiento de la
organización;
• alinear los objetivos de gestión de riesgos con los objetivos y estrategias de la organización;
• asegúrese de que el marco para la gestión del riesgo sigue siendo apropiado.
Antes de iniciar el diseño y la aplicación del marco para la gestión de riesgos, es importante evaluar y entender tanto el contexto externo e interno de la
organización, ya que estos pueden influir significativamente en el diseño de la estructura.
un) el entorno social y cultural, político, jurídico, reglamentario, financiero, tecnológico, económico, natural y competitivo, ya sea internacional, nacional,
regional o local;
b) los conductores y las tendencias que tienen impacto en los objetivos de la organización clave; y
do) relaciones con los y las percepciones y valores de, los actores externos. La evaluación de contexto
• las políticas, los objetivos y las estrategias que están en marcha para alcanzarlos;
• capacidades, entendidas en términos de recursos y conocimientos de capital (por ejemplo, tiempo, personas, procesos,
sistemas y tecnologías);
• sistemas de información, los flujos de información y procesos de toma de decisiones (formales e informales);
• relaciones con los y las percepciones y valores de las partes interesadas, internas;
• cultura de la organización;
La política de gestión de riesgos debe establecer claramente los objetivos de la organización para, y el compromiso con la gestión del riesgo y por lo
general se ocupa de lo siguiente:
• vínculos entre los objetivos y las políticas de la organización y la política de gestión de riesgos;
• compromiso de hacer los recursos necesarios para ayudar a los responsables y responsables de
la gestión del riesgo;
4.3.3 Responsabilidad
La organización debe asegurarse de que haya rendición de cuentas, la autoridad y la competencia apropiada para la gestión de riesgos, incluyendo la
implementación y mantenimiento del proceso de gestión de riesgos y garantizar la idoneidad, la eficacia y la eficiencia de los controles. Esto puede ser
facilitado por:
• la identificación de los propietarios del riesgo que tienen la responsabilidad y la autoridad para gestionar los riesgos;
• la identificación de otras responsabilidades de las personas en todos los niveles de la organización para la gestión de riesgos
proceso;
La gestión del riesgo debe formar parte de todas las prácticas y procesos de la organización de una manera que es pertinente, eficaz y eficiente. El
proceso de gestión de riesgos debe formar parte de, y no separada de, los procesos de la organización. En particular, la gestión de riesgos debe ser
embebido en los procesos de gestión de cambios de desarrollo de políticas, de negocios y planificación estratégica y revisión, y. Debe haber un plan de
gestión de riesgos en toda la organización para asegurarse de que la política de gestión de riesgos se lleva a cabo y que la gestión de riesgos está
integrada en todas las prácticas y procesos de la organización. El plan de gestión de riesgos se puede integrar en otros planes de organización, tales
como un plan estratégico.
4.3.5 Recursos
La organización debe asignar los recursos apropiados para la gestión de riesgos. Se debe considerar a lo
siguiente:
Normen-Download-Beuth-Brokersclub AG-KdNr.7542443-LfNr.5061405001-2010-09-27 15:56
• los recursos necesarios para cada paso del proceso de gestión de riesgos;
• procesos, métodos y herramientas de la organización que se utilizarán para la gestión del riesgo;
• programas de formación.
La organización debe establecer la comunicación interna y mecanismos de información con el fin de apoyar y fomentar la rendición de cuentas y la
propiedad de riesgo. Estos mecanismos deben asegurar que:
• información relevante derivado de la aplicación de la gestión de riesgos está disponible en los niveles apropiados
y tiempos; y
Estos mecanismos deben, en su caso, incluir los procesos para consolidar la información del riesgo de una variedad de fuentes, y puede ser necesario
tener en cuenta la sensibilidad de la información.
La organización debe desarrollar e implementar un plan sobre cómo va a comunicarse con las partes interesadas externas. Esto debe incluir:
• informes externos para cumplir con los requisitos legales, reglamentarios y de gobierno;
Estos mecanismos deben, en su caso, incluir los procesos para consolidar la información del riesgo de una variedad de fuentes, y puede ser necesario
tener en cuenta la sensibilidad de la información.
• asegúrese de que la toma de decisiones, incluyendo el desarrollo y establecimiento de objetivos, está alineado con el
resultados de los procesos de gestión de riesgos;
• comunicarse y consultar con las partes interesadas para asegurar que su marco de gestión del riesgo sigue siendo
apropiado.
La gestión del riesgo debe aplicarse al asegurar que el proceso de gestión del riesgo descrita en la cláusula 5 se aplica a través de un plan de gestión de
riesgos en todos los niveles y funciones pertinentes de la organización como parte de sus prácticas y procesos.
Con el fin de garantizar que la gestión de riesgos es eficaz y sigue apoyando el desempeño organizacional, la organización debe:
• desempeño de la gestión del riesgo medida contra indicadores, que se revisan periódicamente para
oportunidad;
• revisar periódicamente si el marco de la gestión de riesgos, la política y el plan siguen siendo adecuados, teniendo en cuenta
contexto externo e interno de las organizaciones;
• informar sobre los riesgos, los avances en el plan de gestión de riesgos y lo bien que la política de gestión de riesgo es ser
seguido; y
Sobre la base de los resultados del seguimiento y la revisión, las decisiones deben tomarse sobre cómo se puede mejorar la gestión de riesgos marco, la
política y el plan. Estas decisiones deben conducir a mejoras en la gestión de la organización de los riesgos y su cultura de gestión del riesgo.
5 Proceso
5.1 general
Se compone de las actividades descritas en 5.2 a 5.6. El proceso de gestión de riesgos se muestra en la Figura 3.
Normen-Download-Beuth-Brokersclub AG-KdNr.7542443-LfNr.5061405001-2010-09-27 15:56
Comunicación Supervisión
y la y revisión
El análisis de riesgos (5.4.3)
consulta (5.6)
(5,2)
Comunicación y consulta con las partes interesadas externas e internas deben tener lugar durante todas las etapas del proceso de gestión de riesgos.
Por lo tanto, los planes de comunicación y consulta deben ser desarrollados en una etapa temprana. Estos deben abordar cuestiones relacionadas con el
riesgo en sí mismo, sus causas, sus consecuencias (si se conoce), y las medidas que se adoptan para tratarla. La comunicación efectiva externa e
interna y la consulta debería tener lugar para asegurar que los responsables de la ejecución del proceso de gestión de riesgos y partes interesadas a
comprender la base sobre la cual se toman las decisiones, y las razones por las que se requieren acciones particulares. Un enfoque de equipo consultivo
podrá:
Normen-Download-Beuth-Brokersclub AG-KdNr.7542443-LfNr.5061405001-2010-09-27 15:56
• asegurar que los diferentes puntos de vista se consideran apropiadamente en la definición de los criterios de riesgo y en la evaluación de riesgos;
• desarrollar un plan de comunicación y consulta externa e interna adecuada. Comunicación y consulta con las partes interesadas es importante, ya que
hacen juicios sobre el riesgo basado en su percepción de riesgo. Estas percepciones pueden variar debido a las diferencias en los valores, necesidades,
suposiciones, conceptos y preocupaciones de los interesados. A medida que sus puntos de vista pueden tener un impacto significativo en las decisiones
tomadas, las percepciones de las partes interesadas deben ser identificados, registrados, y tenido en cuenta en el proceso de toma de decisiones.
Comunicación y consulta deben facilitar los intercambios veraz, relevante, precisa y comprensible de información, teniendo en cuenta los aspectos
confidenciales y personales de integridad.
5.3.1 Generalidades
Mediante el establecimiento del contexto, la organización articula sus objetivos, define los parámetros externos e internos que deben tenerse en cuenta
en la gestión de riesgos, y establece los criterios de aplicación y de riesgo para el proceso restante. Mientras que muchos de estos parámetros son
similares a los considerados en el diseño del marco de gestión del riesgo (véase 4.3.1), al establecer el contexto para el proceso de gestión de riesgos,
que deben tenerse en cuenta en mayor detalle y en particular la forma en que se relacionan con el alcance del proceso de gestión del riesgo particular.
El contexto externo es el entorno externo en el que la organización busca alcanzar sus objetivos. La comprensión del contexto externo es importante con
el fin de asegurar que los objetivos y las preocupaciones de las partes interesadas externas se consideran en el desarrollo de criterios de riesgo. Se basa
en el contexto de toda la organización, pero con detalles específicos de los requisitos legales y reglamentarios, percepciones de los interesados y otros
aspectos de los riesgos específicos del alcance del proceso de gestión de riesgos. El contexto externo puede incluir, pero no se limitan a:
• los conductores y las tendencias claves que tienen impacto en los objetivos de la organización; y
El contexto interno es el ambiente interno, en el que la organización busca alcanzar sus objetivos. El proceso de gestión de riesgos debe estar alineada
con la cultura, procesos, estructura y estrategia de la organización. contexto interno es cualquier cosa dentro de la organización que pueden influir en la
manera en que una organización va a gestionar el riesgo. Debe establecerse debido a que:
b) objetivos y criterios de un proyecto particular, proceso o actividad deben considerarse a la luz de objetivos de la organización como un todo; y
c) algunas organizaciones no reconocen oportunidades para alcanzar sus objetivos estratégicos, proyecto o negocio, y esto afecta a la organización en
curso compromiso, credibilidad, confianza y valor.
• las políticas, los objetivos y las estrategias que están en marcha para alcanzarlos;
• capacidades, entendidas en términos de recursos y conocimientos de capital (por ejemplo, tiempo, personas, procesos,
sistemas y tecnologías);
• las relaciones con los y las percepciones y valores de los grupos de interés internos;
• cultura de la organización;
• sistemas de información, los flujos de información y procesos de toma de decisiones (formales e informales);
Los objetivos, las estrategias, el alcance y los parámetros de las actividades de la organización, o aquellas partes de la organización donde se aplica el
proceso de gestión del riesgo, deben establecerse. La gestión del riesgo debe llevarse a cabo con plena consideración de la necesidad de justificar los
recursos utilizados en la realización de la gestión de riesgos. Los recursos requeridos, responsabilidades y autoridades, y los registros que se le
mantenga también debe especificarse.
El contexto del proceso de gestión del riesgo variará de acuerdo a las necesidades de una organización. Puede incluir, pero no se limitan a:
• definir el alcance, así como la profundidad y amplitud de las actividades de gestión de riesgos para llevarse a cabo,
incluyendo inclusiones y exclusiones específicas;
• la definición de la actividad, proceso, función, proyecto, producto, servicio o activo en términos de tiempo y lugar;
• definir las relaciones entre un determinado proyecto, proceso o actividad y otros proyectos, procesos o
actividades de la organización;
• la identificación, la determinación del alcance o la elaboración de los estudios necesarios, su alcance y objetivos, y los recursos necesarios para
este tipo de estudios.
La atención a estos y otros factores pertinentes debe ayudar a asegurar que el enfoque de gestión de riesgos adoptado es apropiada a las
circunstancias, con la organización y con los riesgos que afectan a la consecución de sus objetivos.
La organización debería definir los criterios a utilizar para evaluar la importancia del riesgo. Los criterios deben reflejar los valores, objetivos y recursos de
la organización. Algunos criterios pueden ser impuestas por, o derivan de, los requisitos legales y reglamentarios y otros requisitos que la organización
suscriba. Los criterios de riesgo deben ser coherentes con la política de gestión de riesgos de la organización (véase 4.3.2), se definen al comienzo de
cualquier proceso de gestión de riesgos y se revisan continuamente. Al definir los criterios de riesgo, factores que deben ser considerados deben incluir lo
siguiente:
• la naturaleza y los tipos de causas y consecuencias que pueden ocurrir y cómo van a ser medido;
• si las combinaciones de múltiples riesgos deben tenerse en cuenta y, si es así, cómo y qué
combinaciones deben ser considerados.
5.4.1 Generalidades
La evaluación del riesgo es el proceso general de identificación de riesgos, análisis de riesgos y evaluación de riesgo. NOTA
La organización debería identificar las fuentes de riesgo, áreas de impactos, eventos (incluyendo cambios en la
circunstancias) y sus causas y sus posibles consecuencias. El objetivo de este paso es generar una lista completa de los riesgos sobre la base de esos
eventos que puedan crear, mejorar, prevenir, degradar, acelerar o retardar la consecución de los objetivos. Es importante identificar los riesgos asociados
a no perseguir una oportunidad. identificación exhaustiva es crítica, porque el riesgo de que no se identifica en esta etapa no será incluido en el análisis
adicional.
La identificación debe incluir riesgos si o no su fuente está bajo el control de la organización, a pesar de que la fuente de riesgo o causa pueden no ser
evidentes. La identificación de riesgos debe incluir el examen de los efectos reacción en cadena de consecuencias particulares, incluidas en cascada y los
Normen-Download-Beuth-Brokersclub AG-KdNr.7542443-LfNr.5061405001-2010-09-27 15:56
efectos acumulativos. También se debe tener en cuenta una amplia gama de consecuencias, incluso si la fuente o causa del riesgo pueden no ser
evidentes. Así como la identificación de lo que podría suceder, es necesario tener en cuenta las posibles causas y escenarios que muestran lo que
pueden producirse consecuencias. Todas las causas y consecuencias significativas deben ser considerados. La organización debe aplicar herramientas
de identificación de riesgos y técnicas que se adapten a sus objetivos y capacidades, y los riesgos que enfrentan. La información relevante y actualizada
es importante en la identificación de riesgos. Esto debe incluir información básica adecuada siempre que sea posible. Las personas con conocimientos
apropiados deben participar en la identificación de riesgos.
El análisis de riesgos implica el desarrollo de una comprensión del riesgo. El análisis de riesgos proporciona una entrada a la evaluación de riesgos y a las
decisiones sobre si los riesgos necesitan ser tratados, y sobre las estrategias y los métodos de tratamiento de riesgo más apropiadas. El análisis de riesgos
también puede proporcionar elementos para la toma de decisiones, donde habrá que elegir y las opciones implican diferentes tipos y niveles de riesgo.
El análisis de riesgos implica la consideración de las causas y las fuentes de riesgo, sus consecuencias positivas y negativas, y la probabilidad de que
pueden ocurrir esas consecuencias. Los factores que afectan consecuencias y probabilidad deben ser identificados. El riesgo se analizó mediante la
determinación de las consecuencias y la probabilidad, y otros atributos del riesgo. Un evento puede tener múltiples consecuencias y puede afectar a
múltiples objetivos. Los controles existentes y su efectividad y la eficiencia también deben tenerse en cuenta.
La forma en que se expresan las consecuencias y probabilidad y la forma en que se combinan para determinar un nivel de riesgo debe reflejar el tipo de
riesgo, la información disponible y de la finalidad para la que la salida de la evaluación de riesgos se va a utilizar. Todos ellos deben ser coherentes con
los criterios de riesgo. También es importante tener en cuenta la interdependencia de los diferentes riesgos y sus fuentes.
La confianza en la determinación del nivel de riesgo y su sensibilidad a las condiciones previas e hipótesis debe ser considerada en el análisis, y se
comunica con eficacia a los tomadores de decisiones y, en su caso, otras partes interesadas. Factores tales como la divergencia de opiniones entre los
expertos, la incertidumbre, la disponibilidad, la calidad, cantidad y relevancia de la información, o limitaciones en el modelado deben expresarse y pueden
ser destacadas. El análisis de riesgos puede llevarse a cabo con diferentes grados de detalle, en función del riesgo, el propósito del análisis y la
información, los datos y los recursos disponibles. El análisis puede ser cualitativa, semicuantitativa o cuantitativa, o una combinación de éstos,
dependiendo de las circunstancias.
Las consecuencias y sus probabilidades se pueden determinar mediante el modelado de los resultados de un evento o conjunto de eventos, o por
extrapolación a partir de estudios experimentales o de los datos disponibles. Las consecuencias pueden ser expresados en términos de impactos tangibles e
intangibles. En algunos casos, se requiere más de un valor numérico o descriptor para especificar las consecuencias y la probabilidad de diferentes épocas,
lugares, grupos o situaciones.
El propósito de la evaluación de riesgos es ayudar en la toma de decisiones, con base en los resultados de análisis de riesgos, sobre los cuales los riesgos necesitan
tratamiento y la prioridad para la implementación del tratamiento.
La evaluación del riesgo implica comparar el nivel de riesgo encontrado durante el proceso de análisis con criterios de riesgo establecidos cuando se
consideró el contexto. Sobre la base de esta comparación, la necesidad de tratamiento puede ser considerado.
Las decisiones deben tener en cuenta el contexto más amplio del riesgo y de incluir la consideración de la tolerancia de los riesgos asumidos por las
partes distintas de la organización que se beneficia del riesgo. Las decisiones deben tomarse de conformidad con los requisitos legales, reglamentarios y
otros.
En algunas circunstancias, la evaluación del riesgo puede conducir a una decisión de realizar un análisis más detallado. La evaluación de riesgos también puede
Normen-Download-Beuth-Brokersclub AG-KdNr.7542443-LfNr.5061405001-2010-09-27 15:56
conducir a una decisión de no tratar el riesgo de cualquier manera distinta del mantenimiento de los controles existentes. Esta decisión se verá influido por la
actitud de riesgos de la organización y los criterios de riesgo que se han establecido.
5.5.1 Generalidades
El tratamiento del riesgo consiste en seleccionar una o más opciones para modificar los riesgos y la aplicación de esas opciones. Una vez implementado,
tratamientos proporcionan o modifican los controles.
Opciones de tratamiento del riesgo no son necesariamente excluyentes entre sí o apropiado en todas las circunstancias. Las opciones pueden incluir lo siguiente:
a) evitar el riesgo al decidir no iniciar o continuar con la actividad que da lugar al riesgo;
d) cambiar la probabilidad;
F) compartir el riesgo con la otra parte o partes (incluyendo los contratos y la financiación del riesgo); y
Selección de la opción de tratamiento más adecuada del riesgo implica equilibrar los costes y los esfuerzos de aplicación en contra de los beneficios que
se derivan, en relación con los requisitos legales, reglamentarios, y otras como la responsabilidad social y la protección del medio ambiente natural.
Decisiones deberían tener en cuenta los riesgos que pueden justificar el tratamiento del riesgo de que no se justifica por razones económicas, por
ejemplo grave (alta consecuencia negativa), pero los riesgos de baja probabilidad () raros.
Un número de opciones de tratamiento puede ser considerado y aplicado de forma individual o en combinación. La organización normalmente puede
beneficiarse de la adopción de una combinación de opciones de tratamiento. Al seleccionar las opciones de tratamiento de riesgos, la organización debería
considerar los valores y percepciones de las partes interesadas y las formas más adecuadas para comunicar con ellos. Donde las opciones de tratamiento
del riesgo pueden tener un impacto sobre el riesgo de otras partes de la organización o con los interesados, éstos deben participar en la decisión. Aunque
igualmente eficaces, algunos tratamientos de riesgo pueden ser más aceptable para algunos grupos de interés que a otros. El plan de tratamiento debe
identificar claramente el orden de prioridad en que deben aplicarse tratamientos de riesgo individuales.
Normen-Download-Beuth-Brokersclub AG-KdNr.7542443-LfNr.5061405001-2010-09-27 15:56
tratamiento mismo riesgo puede introducir riesgos. Un riesgo importante puede ser la insuficiencia o ineficacia de las medidas de tratamiento del riesgo. Supervisión de
las necesidades para ser una parte integral del plan de tratamiento de riesgos para dar seguridad de que las medidas siguen siendo eficaces.
El tratamiento del riesgo también puede introducir riesgos secundarios que deben ser evaluadas, se trató, monitoreado y revisado. Estos riesgos secundarios
deben ser incorporados en el mismo plan de tratamiento ya que el riesgo original y no tratados como un nuevo riesgo. El vínculo entre los dos riesgos deben
ser identificados y mantenido.
El propósito de los planes de tratamiento del riesgo es documentar cómo se implementarán las opciones de tratamiento elegido. La información proporcionada en
los planes de tratamiento debe incluir:
• las razones para la selección de las opciones de tratamiento, incluyendo los beneficios que se espera obtener;
• los que son responsables de aprobar el plan y los responsables de la ejecución del plan;
• acciones propuestas;
• sincronización y horario.
Los planes de tratamiento deben integrarse con los procesos de gestión de la organización y discutidas con las partes interesadas pertinentes.
Los tomadores de decisiones y otras partes interesadas deben ser conscientes de la naturaleza y extensión del riesgo residual después del tratamiento
del riesgo. El riesgo residual debe ser documentada y se sometió a seguimiento, revisión y, en su caso, el tratamiento adicional.
Tanto el seguimiento y la revisión deben ser una parte planificada del proceso de gestión de riesgos e implicar la comprobación periódica o vigilancia.
Puede ser periódica o ad hoc.
procesos de control y examen de la organización deben abarcar todos los aspectos del proceso de gestión de riesgos para los fines de:
• asegurar que los controles son eficaces y eficientes tanto en el diseño y operación;
• análisis y lecciones de eventos de aprendizaje (incluyendo cuasi accidentes), cambios, tendencias, éxitos y
fracasos;
• detectar cambios en el contexto externo e interno, incluyendo cambios en los criterios de riesgo y el riesgo en sí
que puede requerir una revisión de los tratamientos y las prioridades de riesgo; y
Normen-Download-Beuth-Brokersclub AG-KdNr.7542443-LfNr.5061405001-2010-09-27 15:56
El progreso en la aplicación de los planes de tratamiento del riesgo proporciona una medida de rendimiento. Los resultados se pueden incorporar en el
rendimiento general las actividades de presentación de informes externos e internos de gestión, la medición y de la organización.
Los resultados de seguimiento y examen deben ser registrados y externa e internamente informaron como sea apropiado, y también deben utilizarse
como una entrada a la revisión del marco de gestión de riesgos (véase 4.5).
actividades de gestión de riesgos deben ser trazables. En el proceso de gestión de riesgos, los registros proporcionan la base para la mejora de los
métodos y herramientas, así como en el proceso global. Las decisiones relativas a la creación de registros debe tener en cuenta:
• periodo de retención; y
• sensibilidad de la información.
Normen-Download-Beuth-Brokersclub AG-KdNr.7542443-LfNr.5061405001-2010-09-27 15:56
Anexo A
(informativo)
A.1 Generalidades
Todas las organizaciones deben tener como objetivo el nivel adecuado de rendimiento de su marco de gestión del riesgo en línea con el carácter crítico de
las decisiones que se van a realizar. La lista de atributos a continuación representa un alto nivel de rendimiento en la gestión de riesgos. Para ayudar a las
organizaciones en la medición de sus resultados con respecto a estos criterios, algunos indicadores tangibles se dan para cada atributo.
A.2.1 La organización tiene una comprensión actual, correcta y completa de sus riesgos.
A.3 Atributos
Se pone énfasis en la mejora continua en la gestión de riesgos a través de la fijación de objetivos de la organización de rendimiento, la medición, la
revisión y la posterior modificación de los procesos, sistemas, recursos, capacidad y habilidades.
Esto puede ser indicado por la existencia de objetivos explícitos de desempeño contra el cual se mide el rendimiento del gestor individual de organización
y. El desempeño de la organización se puede publicar y comunicar. Normalmente, habrá al menos una revisión anual de desempeño y luego una revisión
de los procesos, y la fijación de objetivos de rendimiento revisados para el período siguiente.
Esta evaluación del desempeño de la gestión de riesgos es una parte integral del sistema de evaluación del rendimiento y la medición de la organización
general de los departamentos y los individuos.
mejor gestión del riesgo incluye la rendición de cuentas completa, totalmente definido y plenamente aceptado para riesgos, controles y tareas de tratamiento del
Normen-Download-Beuth-Brokersclub AG-KdNr.7542443-LfNr.5061405001-2010-09-27 15:56
riesgo. Designan individuos aceptan plenamente la responsabilidad, son debidamente capacitado y tienen recursos suficientes para comprobar los controles,
monitorear los riesgos, mejorar los controles y comunicarse de manera efectiva sobre los riesgos y su gestión a las partes interesadas externas e internas.
Esto puede ser indicado por todos los miembros de una organización ser plenamente conscientes de los riesgos, los controles y las tareas de las que son
responsables. Normalmente, esto se registrará en las descripciones de trabajo / posición, bases de datos o sistemas de información. La definición de las funciones
de gestión de riesgos, responsabilidades y responsabilidades debe ser parte de todo un programa de orientación de la organización.
La organización asegura que los que son responsables están equipados para cumplir esa función, proporcionándoles la autoridad, tiempo, formación,
recursos y capacidades suficientes para asumir sus responsabilidades.
Todo decisiones dentro de la organización, cualquiera que sea el nivel de importancia y significado, implica la consideración explícita de los riesgos y la
aplicación de la gestión del riesgo en cierta medida apropiada decisión. Esto puede ser indicado por actas de las reuniones y decisiones para mostrar que
las discusiones explícitas sobre los riesgos tuvieron lugar. Además, debería ser posible ver que todos los componentes de la gestión de riesgos están
representados dentro de los procesos clave para la toma de decisiones en la organización, por ejemplo para las decisiones sobre la asignación de capital,
en grandes proyectos y en la re-estructuración y cambios en la organización. Por estas razones, la gestión del riesgo en base a fondo se ve dentro de la
organización como proporcionar la base para un gobierno eficaz.
mejor gestión del riesgo incluye las comunicaciones continuas con las partes interesadas externas e internas, incluyendo información completa y
frecuente de los resultados de la gestión de riesgos, como parte de un buen gobierno.
Esto puede ser indicado por la comunicación con las partes interesadas como un componente integral y esencial de la gestión del riesgo. La comunicación se ve
con razón como un proceso bidireccional, de manera que las decisiones informadas adecuadamente se pueden hacer sobre el nivel de riesgo y la necesidad de
tratamiento de los riesgos frente a los criterios de riesgo establecidos adecuadamente y completos.
información externa e interna amplia y frecuente en ambos riesgos significativos en el rendimiento y la gestión del riesgo contribuye sustancialmente a la
gobernabilidad efectiva dentro de una organización.
La gestión del riesgo es visto como elemento central de los procesos de gestión de la organización, de manera que los riesgos se consideran en términos
de efecto de la incertidumbre en los objetivos. La estructura y el proceso de gobierno se basan en la gestión del riesgo. gestión eficaz del riesgo es
considerado por los administradores como esenciales para el logro de los objetivos de la organización.
Esto se indica mediante el lenguaje de los directivos y los materiales escritos importantes en la organización utilizando el término ‘incertidumbre’ en
relación con los riesgos. Este atributo también se refleja normalmente en las declaraciones de la organización de la política, en particular las relativas a la
gestión de riesgos. Normalmente, este atributo se verifica a través de entrevistas con los gerentes ya través de la evidencia de sus acciones y
declaraciones.
Normen-Download-Beuth-Brokersclub AG-KdNr.7542443-LfNr.5061405001-2010-09-27 15:56
Bibliografía
[2] ISO / IEC 31010, La gestión del riesgo - las técnicas de evaluación de riesgos
Normen-Download-Beuth-Brokersclub AG-KdNr.7542443-LfNr.5061405001-2010-09-27 15:56
http://mahdi.hashemitabar.com
Esta página está en blanco intencionalmente.
Normen-Download-Beuth-Brokersclub AG-KdNr.7542443-LfNr.5061405001-2010-09-27 15:56
http://mahdi.hashemitabar.com
Esta página está en blanco intencionalmente.
Normen-Download-Beuth-Brokersclub AG-KdNr.7542443-LfNr.5061405001-2010-09-27 15:56
http://mahdi.hashemitabar.com
Esta página está en blanco intencionalmente.
ISO 31000: 2009 (E)
Normen-Download-Beuth-Brokersclub AG-KdNr.7542443-LfNr.5061405001-2010-09-27 15:56
ICS 03.100.01
Precio basado en 24 páginas