Iso 31000 2009

ESTÁNDAR ISO
INTERNACIONAL 31000
Primera edición
2009-11-15
gestión de riesgos - Principios y directrices
Gestión du risque - Principes et lignes directrices

Normen-Download-Beuth-Brokersclub AG-KdNr.7542443-LfNr.5061405001-2010-09-27 15:56
Número de referencia ISO

31000: 2009 (E)
http://mahdi.hashemitabar.com © ISO 2009

ISO 31000: 2009 (E)
descargo de responsabilidad PDF
Este archivo PDF puede contener pólizas de caracteres integradas. De acuerdo con la política de licencias de Adobe, este archivo puede ser impreso o visualizado, pero no deberá ser modificado a
menos que los tipos de letra que están incrustados y tienen licencia para instalarse en el equipo que realiza la edición. Al descargar este archivo, las partes implicadas aceptan la responsabilidad de no
infringir las condiciones de licencia de Adobe. La Secretaría Central de ISO no asume ninguna responsabilidad en esta área.
Adobe es una marca comercial de Adobe Systems Incorporated.
Los detalles de los productos de software utilizados para crear este archivo PDF se pueden encontrar en la Información General relativa al archivo; los parámetros de creación del PDF han sido optimizados para la
impresión. Cada cuidado se ha tomado para garantizar que el archivo es adecuado para su uso por los miembros de ISO. En el caso improbable de que un problema relacionado con él se encuentra, por favor
informe a la Secretaría Central en la dirección que figura a continuación.
COPYRIGHT documento protegido
© ISO 2009
Todos los derechos reservados. A menos que se especifique lo contrario, ninguna parte de esta publicación puede ser reproducida o utilizada en cualquier forma o por cualquier medio,
electrónico o mecánico, incluyendo fotocopias y microfilm, sin el permiso por escrito de ISO en la dirección abajo o organismo miembro de ISO en el país de la solicitante.
ISO oficina de derechos de autor Case postale 56 • CH-1211

Ginebra 20 Tel. + 41 22 749 01 11 Fax + 41 22 749
09 47 E-mail Web www.iso.org copyright@iso.org
Publicado en Suiza
ii http://mahdi.hashemitabar.com © ISO 2009 - Todos los derechos reservados

ISO 31000: 2009 (E)
Contenido Página
Prólogo ................................................. .................................................. .................................................. ....... iv Introducción .........................................
.................................................. .................................................. ............ v 1
Ámbito ................................................. .................................................. .................................................. 0.1
2 Términos y definiciones ............................................... .................................................. .......................... 1
3 Principios ................................................. .................................................. ............................................. 7
4 Marco de referencia ................................................. .................................................. .......................................... 8

4.1 ................................................. general .................................................. ................................................ 8
4.2 Mandato y compromiso ............................................... .................................................. ................... 9
4.3 Diseño de marco para la gestión de riesgos ............................................ ................................................ 10
4.3.1 Comprensión de la organización y su contexto ........................................... .............................. 10
4.3.2 El establecimiento de la política de gestión de riesgos .............................................. ................................................. 10
4.3.3 Responsabilidad................................................. .................................................. ................................... 11
4.3.4 La integración en los procesos de organización .............................................. .......................................... 11
4.3.5 Recursos ................................................. .................................................. ......................................... 11
4.3.6 El establecimiento de la comunicación interna y de informes mecanismos ............................................ .... 12
4.3.7 El establecimiento de la comunicación externa y de informes mecanismos ............................................ ... 12
4.4 La implementación de la gestión de riesgos ............................................... .................................................. ....... 12
4.4.1 Aplicación del marco para la gestión del riesgo ............................................ .................................. 12
4.4.2 La implementación del proceso de gestión de riesgos ............................................. ...................................... 13
4.5 El seguimiento y la revisión del marco ............................................ .............................................. 13
4.6 La mejora continua del marco ............................................. ........................................... 13
5 Proceso................................................. .................................................. .............................................. 13

5.1 ................................................. general .................................................. .............................................. 13
5.2 Comunicación y consulta ............................................... .................................................. .... 14
5.3 Establecimiento del contexto ............................................... .................................................. ....................15
5.3.1 ................................................. general .................................................. ..............................................15
5.3.2 Establecer el contexto externo .............................................. .................................................. ......15
5.3.3 Establecer el contexto interno .............................................. .................................................. .......15
5.3.4 Establecer el contexto del proceso de gestión de riesgos .......................................... ..................dieciséis
5.3.5 La definición de los criterios de riesgo ............................................... .................................................. ........................... 17
5.4 Evaluación de riesgos ................................................ .................................................. ............................... 17
5.4.1 ................................................. general .................................................. .............................................. 17
5.4.2 Identificación de riesgo................................................ .................................................. .............................. 17
5.4.3 Análisis de riesgo................................................ .................................................. ...................................... 18
5.4.4 Evaluación de riesgo ................................................ .................................................. .................................. 18
5.5 El tratamiento del riesgo ................................................ .................................................. .................................... 18
5.5.1 ................................................. general .................................................. .............................................. 18

5.5.2 La selección de las opciones de tratamiento del riesgo ............................................. .................................................. .... 19
5.5.3 Preparación y ejecución de planes de tratamiento del riesgo ............................................ .............................. 20
5.6 Monitoreo y revisión ............................................... .................................................. ....................... 20
5.7 Grabación del proceso de gestión de riesgos ............................................. ............................................ 21
Anexo A ( informativo) Atributos de gestión de riesgos mejorada ............................................. ................... 22
Bibliografía................................................. .................................................. .................................................. 0.24
© ISO 2009 - Todos los derechos reservados http://mahdi.hashemitabar.com iii

ISO 31000: 2009 (E)
Prefacio
La ISO (Organización Internacional de Normalización) es una federación mundial de organismos nacionales de normalización (organismos miembros de ISO). El trabajo de preparación de Normas
Internacionales se lleva a cabo normalmente a través de comités técnicos de ISO. Cada organismo miembro interesado en una materia para la cual se ha establecido un comité técnico, tiene el
derecho a estar representado en dicho comité. Las organizaciones internacionales, gubernamentales y no gubernamentales, en coordinación con ISO, también participan en el trabajo. ISO
colabora estrechamente con la Comisión Electrotécnica Internacional (IEC) en todas las materias de normalización electrotécnica. Las Normas Internacionales se redactan de acuerdo con las
reglas establecidas en las Directivas ISO / IEC, Parte 2. La tarea principal de los comités técnicos es preparar Normas Internacionales. Los Proyectos de Normas Internacionales adoptados por los
comités técnicos son enviados a los organismos miembros para votación. La publicación como Norma Internacional requiere la aprobación por al menos el 75% de los organismos miembros con
derecho a voto. Se llama la atención a la posibilidad de que algunos de los elementos de este documento puede ser objeto de derechos de patente. ISO no se hace responsable de la
identificación de cualquiera o todos los derechos de patente. ISO 31000 fue preparada por el Grupo de Trabajo Consejo de Gestión Técnica de ISO sobre gestión de riesgos. ISO no se hace
responsable de la identificación de cualquiera o todos los derechos de patente. ISO 31000 fue preparada por el Grupo de Trabajo Consejo de Gestión Técnica de ISO sobre gestión de riesgos.
ISO no se hace responsable de la identificación de cualquiera o todos los derechos de patente. ISO 31000 fue preparada por el Grupo de Trabajo Consejo de Gestión Técnica de ISO sobre
gestión de riesgos.
iv http://mahdi.hashemitabar.com © ISO 2009 - Todos los derechos reservados

ISO 31000: 2009 (E)
Introducción
Organizaciones de todos los tipos y tamaños se enfrentan a factores e influencias internas y externas que hacen que sea incierto si y cuándo van a lograr
sus objetivos. El efecto que esto tiene sobre la incertidumbre objetivos de una organización es “riesgo”.
Todas las actividades de una organización implican un riesgo. Organizaciones a gestionar el riesgo mediante la identificación, analizarla y luego evaluar
si el riesgo debe ser modificado por el tratamiento del riesgo con el fin de satisfacer sus criterios de riesgo. A lo largo de este proceso, se comunican y
consultar con las partes interesadas y Supervisar los riesgos y los controles que están modificando el riesgo con el fin de garantizar que no se requiere
ningún tratamiento adicional del riesgo. Esta Norma Internacional describe este proceso sistemático y lógico en detalle.
Si bien todas las organizaciones a gestionar el riesgo en cierta medida, esta norma establece una serie de principios que deben ser satisfechas para que
la gestión eficaz del riesgo. Esta Norma Internacional recomienda que las organizaciones a desarrollar, implementar y mejorar continuamente un marco
cuyo objetivo es integrar el proceso de gestión del riesgo en la administración general, la estrategia de la organización y la planificación, la gestión, la
presentación de informes procesos, políticas, valores y cultura.
La gestión del riesgo se puede aplicar a toda una organización, en sus muchas áreas y niveles, en cualquier momento, así como a las funciones, proyectos y
actividades específicas.
Aunque la práctica de la gestión del riesgo se ha desarrollado con el tiempo y dentro de muchos sectores con el fin de satisfacer las diversas
necesidades, la adopción de procesos consistentes en un marco global puede ayudar a asegurar que el riesgo se gestiona con eficacia, eficiencia y
coherencia en toda la organización. El enfoque genérico descrito en esta Norma Internacional proporciona los principios y directrices para la gestión de
cualquier tipo de riesgo de una manera sistemática, transparente y creíble y dentro de cualquier ámbito y contexto. Cada sector o aplicación de gestión
de riesgos específica trae consigo necesidades individuales, audiencias, las percepciones y criterios. Por lo tanto, una característica clave de esta norma
es la inclusión de “establecer el contexto” como una actividad en el inicio de este proceso de gestión del riesgo genérico. Establecimiento del contexto
capturará los objetivos de la organización, el entorno en el que se persigue esos objetivos, sus grupos de interés y la diversidad de criterios de riesgo -
todo lo cual ayudará a revelar y evaluar la naturaleza y complejidad de sus riesgos. La relación entre los principios para la gestión del riesgo, el marco en
el que se produce y el proceso de gestión de riesgos descrita en esta norma se muestra en la Figura 1.
Cuando se implementa y mantiene de acuerdo con esta norma, la gestión de riesgos permite a la organización, por ejemplo:
• aumentar la probabilidad de alcanzar los objetivos;

• fomentar una gestión proactiva;
• ser conscientes de la necesidad de identificar y tratar el riesgo en toda la organización;
• mejorar la identificación de oportunidades y amenazas;
• cumplir con los requisitos legales y reglamentarios pertinentes y las normas internacionales;
• mejorar la información obligatoria y voluntaria;
• mejorar la gestión pública;
• mejorar la confianza de los interesados y la confianza;
© ISO 2009 - Todos los derechos reservados http://mahdi.hashemitabar.com v

ISO 31000: 2009 (E)
• establecer una base fiable para la toma de decisiones y la planificación;
• mejorar los controles;
• efectivamente asignar y utilizar recursos para el tratamiento del riesgo;
• mejorar la eficacia operativa y la eficiencia;
• mejorar la salud y la seguridad, así como la protección del medio ambiente;
• mejorar la prevención de pérdidas y gestión de incidencias;
• minimizar las pérdidas;
• mejorar el aprendizaje organizacional; y
• mejorar la resiliencia organizacional.
Esta Norma Internacional está destinado a satisfacer las necesidades de una amplia gama de partes interesadas, incluyendo:
un) los responsables del desarrollo de políticas de gestión de riesgos dentro de su organización;
segundo)los responsables de asegurar que el riesgo se gestiona con eficacia dentro de la organización como un todo o dentro de un área, proyecto o
actividad específica;
do) aquellos que necesitan para evaluar la efectividad de una organización en la gestión de riesgos; y
d) los desarrolladores de normas, orientaciones, procedimientos y códigos de prácticas que, en su totalidad o en parte, se establece hasta qué riesgo se va a gestionar
dentro del contexto específico de estos documentos.
Las prácticas y tratamientos de muchas organizaciones de gestión actuales incluyen componentes de la gestión de riesgos, y muchas organizaciones ya
han adoptado un proceso formal de gestión de riesgo de determinados tipos de riesgos o circunstancias. En tales casos, una organización puede decidir
llevar a cabo una revisión crítica de sus prácticas y procesos existentes a la luz de esta norma internacional.
En esta Norma Internacional, ambos se utilizan las expresiones “gestión de riesgos” y “Gestión del riesgo”. En términos generales, “gestión del riesgo” se
refiere a la arquitectura (principios, marcos y procesos) para la gestión de riesgos efectiva, mientras que “la gestión del riesgo” se refiere a la aplicación
de esa arquitectura a riesgos particulares.
vi http://mahdi.hashemitabar.com © ISO 2009 - Todos los derechos reservados

a) crea valor
Mandato
b) parte integral de y compromiso
procesos de organización (4,2)
© ISO 2009 - Todos los derechos reservados

c) Una parte de la toma de decisiones (5,3)
d) explícitamente aborda
La evaluación del riesgo (5,4)
incertidumbre Diseño de marco
para la gestión de
e) sistemática, estructurada y riesgos
oportuna (4,3) La identificación de riesgos (5.4.2)
f) Con base en la mejor

información disponible
Mejora continua
Implementar
g) Tailored gestión de
del marco
riesgos El análisis de riesgos (5.4.3)
h) Toma factores humanos y (4,4)
culturales en cuenta (4,6)
http://mahdi.hashemitabar.com
Establecimiento del contexto
Monitoreo y revisión (5.6)
i) transparente e inclusivo
Comunicación y consulta (5.2)
Monitoreo y La evaluación del riesgo (5.4.4)

j) dinámica, iterativa y sensible a
revisión
los cambios
Figura 1 - Las relaciones entre los principios de gestión de riesgos, marco y un proceso
del marco
k) facilita la mejora continua y la

(4,5)
mejora de la organización
El tratamiento del riesgo (5,5)
Principios Marco (Cláusula
(cláusula 3) 4)
Proceso (cláusula 5)
ISO 31000: 2009 (E)
vii
Esta página está en blanco intencionalmente.
ESTÁNDAR INTERNACIONAL ISO 31000: 2009 (E)
gestión de riesgos - Principios y directrices
1 Alcance
Esta Norma Internacional proporciona principios y directrices genéricas sobre la gestión de riesgos. Esta Norma Internacional puede ser utilizado por
cualquier empresa pública, privada o comunitaria, asociación, grupo o individuo. Por lo tanto, esta norma no es específica para cualquier industria o
sector. NOTA
Para mayor comodidad, todos los diferentes usuarios de esta norma internacional son referidos por el término general
"organización".
Esta Norma Internacional puede ser aplicado en toda la vida de una organización, y para una amplia gama de actividades, incluidas las estrategias y
decisiones, operaciones, procesos, funciones, proyectos, productos, servicios y activos.
Esta norma internacional se puede aplicar a cualquier tipo de riesgo, cualquiera que sea su naturaleza, ya sea tener consecuencias positivas o negativas.
Aunque esta Norma Internacional proporciona directrices genéricas, no es la intención de promover la uniformidad de la gestión de riesgos en todas las
organizaciones. El diseño e implementación de planes de gestión del riesgo y los marcos tendrán que tomar en cuenta las diversas necesidades de una
organización específica, sus objetivos particulares, el contexto, estructura, operaciones, procesos, funciones, proyectos, productos, servicios o activos y
prácticas específicas empleadas .
Se pretende que esta norma se utiliza para armonizar los procesos de gestión de riesgos en las normas existentes y futuras. Proporciona un enfoque
común en apoyo de las normas que se ocupan de los riesgos y / o sectores específicos, y no pretende sustituir esas normas.
Esta Norma Internacional no está prevista para fines de certificación.
2 Términos y definiciones
A los efectos de este documento, se aplican los siguientes términos y definiciones.
2.1
riesgo
efecto de la incertidumbre en los objetivos
NOTA 1 Un efecto es una desviación de lo esperado - positivo y / o negativo.
NOTA 2 Los objetivos pueden tener diferentes aspectos (tales como metas ambientales financiera, la salud y la seguridad, y) y pueden aplicarse a distintos niveles (como
estratégica, en toda la organización, proyecto, producto y proceso).
NOTA 3 El riesgo se caracteriza a menudo por referencia a potencial eventos ( 2.17) y Consecuencias ( 2.18), o una combinación de éstos.
NOTA 4 El riesgo se expresa a menudo en términos de una combinación de las consecuencias de un evento (incluyendo cambios en las circunstancias) y el asociado verosimilitud
( 2,19) de ocurrencia.
© ISO 2009 - Todos los derechos reservados http://mahdi.hashemitabar.com 1

ISO 31000: 2009 (E)
NOTA 5 La incertidumbre es el estado, incluso parcial, de la deficiencia de información relacionada con, la comprensión o conocimiento de un evento, su consecuencia, o la
probabilidad.
[Guía ISO 73: 2009, definición 1.1]
2.2
gestión de riesgos
actividades coordinadas para dirigir y controlar una organización con respecto a riesgo ( 2.1) [Guía ISO 73: 2009,
definición 2.1]
2.3
marco de gestión de riesgos
conjunto de componentes que proporcionan las bases y las disposiciones organizativas para el diseño, implementación,
supervisión ( 2,28), revisión y mejora continua gestión de riesgos ( 2.2) en toda la organización NOTA 1 Las bases incluyen la política, objetivos,
mandato y compromiso de gestionar riesgo ( 2.1).
NOTA 2 Las disposiciones de organización incluyen planes, relaciones, responsabilidades, recursos, procesos y actividades.
NOTA 3 El marco de gestión de riesgos está incrustado dentro de las políticas estratégicas y operacionales generales de la organización y prácticas.
[Guía ISO 73: 2009, definición 2.1.1]
2.4
la política de gestión de riesgos
declaración de las intenciones globales y orientación de una organización relativas a gestión de riesgos ( 2.2) [Guía ISO 73: 2009,
definición 2.1.2]
2.5
actitud ante el riesgo
El enfoque de la organización para evaluar y eventualmente perseguir, retener, tomar o se alejan de riesgo ( 2.1) [Guía ISO 73: 2009,
definición 3.7.1.1]
2.6
plan de gestión de Riesgos
dentro del esquema marco de gestión de riesgos ( 2.3) especificando el enfoque, los componentes y los recursos de gestión que han de aplicarse a la
gestión de riesgo ( 2.1)
componentes NOTA 1 Gestión incluyen típicamente procedimientos, prácticas, asignación de responsabilidades, la secuencia y el calendario de actividades.
NOTA 2 El plan de gestión de riesgos se puede aplicar a un producto, proceso y proyecto, y una parte o la totalidad de la organización.
2.7
propietario del riesgo
persona o entidad que tiene la responsabilidad y la autoridad para gestionar una riesgo ( 2.1) [Guía ISO 73:
2009, definición 3.5.1.5]
2 http://mahdi.hashemitabar.com © ISO 2009 - Todos los derechos reservados

ISO 31000: 2009 (E)
2.8
proceso de gestión de riesgos
la aplicación sistemática de políticas, procedimientos y prácticas a las actividades de comunicación, consultoría, estableciendo el contexto, e identificar,
analizar, evaluar, tratar, supervisión ( 2,28) y la revisión riesgo ( 2.1)
[Guía ISO 73: 2009, definición 3.1]
2.9
establecer el contexto
la definición de los parámetros externos e internos que deben tenerse en cuenta en la gestión de riesgos, y establecer el alcance y (criterios de riesgo 2,22)
para el la política de gestión del riesgo ( 2.4) [Guía ISO 73: 2009, definición 3.3.1]
2.10
contexto externo
ambiente externo en el que la organización trata de alcanzar su objetivos NOTA
contexto externo puede incluir:
• el entorno cultural, social, político, jurídico, reglamentario, financiero, tecnológico, económico, natural y competitivo,
ya sea internacional, nacional, regional o local;
• los conductores y las tendencias claves que tienen impacto en los objetivos de la organización; y
• relaciones con los y las percepciones y valores de la externa interesados ( 2,13).
[Guía ISO 73: 2009, definición 3.3.1.1]
2.11
contexto interno
ambiente interno, en el que la organización trata de alcanzar su objetivos NOTA
contexto interno puede incluir:
• gobierno, la estructura organizativa, roles y responsabilidades;
• las políticas, los objetivos y las estrategias que están en marcha para alcanzarlos;
• las capacidades, entendidas en términos de recursos y conocimientos de capital (por ejemplo, tiempo, personas, procesos, sistemas y
tecnologías);
• sistemas de información, los flujos de información y procesos de toma de decisiones (formales e informales);
• relaciones con los y las percepciones y valores de las partes interesadas, internas;
• cultura de la organización;
• normas, directrices y modelos adoptados por la organización; y
• forma y el alcance de las relaciones contractuales.
2.12
comunicación y consulta
procesos continuos e iterativos que una organización lleva a cabo para proporcionar, compartir u obtener información y para dialogar con interesados ( 2,13)
con respecto a la gestión de riesgo ( 2.1)

ISO 31000: 2009 (E)
NOTA 1 La información puede relacionarse con la existencia, naturaleza, forma, verosimilitud ( 2.19), la importancia, la evaluación, la aceptabilidad y el tratamiento de la
gestión de riesgos.
NOTA 2 La consulta es un proceso bidireccional de comunicación informados entre una organización y sus grupos de interés en un tema antes de tomar una decisión o
determinación de una dirección en ese tema. La consulta es:
• Un proceso que los impactos sobre la decisión a través de la influencia en lugar de la energía; y
• una entrada a la toma de decisiones, no la toma de decisiones conjunta.
2.13
tenedor de apuestas
persona u organización que puede afectar, ser afectado por, o que crean que están afectadas por una decisión o actividad NOTA
Un tomador de decisiones puede ser una de las partes interesadas.
2.14
Evaluación de riesgos
proceso general de identificación de riesgo ( 2.15), análisis de riesgo ( 2.21) y evaluación de riesgo ( 2,24) [Guía ISO 73: 2009,
definición 3.4.1]
2.15
identificación de riesgo
proceso de encontrar, reconociendo y describiendo (riesgos 2.1) la identificación NOTA 1 Riesgo implica la identificación de fuentes de riesgo ( 2.16), eventos
( 2.17), sus causas y su potencial Consecuencias ( 2,18).
NOTA 2 de identificación de riesgos puede implicar datos históricos, análisis teórico, informados y opiniones de expertos, y
tenedor de apuestas' s (2.13) necesidades.
2.16
fuente de riesgo
elemento que solo o en combinación tiene el potencial intrínseco para dar lugar a riesgo ( 2.1)
NOTA Una fuente de riesgo puede ser tangible o intangible.

2.17
evento
ocurrencia o cambio de un conjunto particular de circunstancias
NOTA 1 Un evento puede ser una o más ocurrencias, y puede tener varias causas. NOTA 2 Un evento puede consistir
en algo que no sucede.
NOTA 3 Un evento a veces puede ser referido como un “incidente” o “accidente”. NOTA 4 Un evento sin Consecuencias ( 2.18) también se puede denominar como una
“falta cercana”, “incidente”, “cerca de éxito” o “pelos”.

ISO 31000: 2009 (E)
2.18
consecuencia
resultado de una evento ( 2.17) que afectan a objetivos
NOTA 1 Un evento puede dar lugar a una serie de consecuencias.
NOTA 2 Una consecuencia puede ser cierto o incierto y puede tener efectos positivos o negativos en los objetivos.
NOTA 3 Las consecuencias pueden ser expresadas de forma cualitativa o cuantitativamente.
NOTA 4 consecuencias iniciales pueden escalar a través de efectos en cadena.
2.19
probabilidad
posibilidad de que ocurra algo NOTA 1
En la terminología de la gestión de riesgos, la palabra “probabilidad” se utiliza para referirse a la posibilidad de que algo suceda,
si definido, medido o determinado objetiva o subjetivamente, cualitativa o cuantitativamente, y se describe el uso de términos generales o matemáticamente (tales como una
probabilidad o una frecuencia durante un período de tiempo dado).
NOTA 2 El término Inglés “probabilidad” no tiene un equivalente directo en algunos idiomas; En su lugar, se utiliza a menudo el equivalente de la expresión “probabilidad”.
Sin embargo, en Inglés, “probabilidad” a menudo se interpreta estrictamente como un término matemático. Por lo tanto, en la terminología de la gestión de riesgos, la
“probabilidad” se utiliza con la intención de que debe tener la misma interpretación amplia que el término “probabilidad” tiene en muchos idiomas distintos del Inglés.
2.20
perfil de riesgo
Descripción de cualquier conjunto de (riesgos 2.1)
NOTA El conjunto de riesgos puede contener aquellas que se refieren a toda la organización, que forma parte de la organización, o como
de otro modo definido.
2.21
análisis de riesgo
proceso para comprender la naturaleza de riesgo ( 2.1) y para determinar la nivel de riesgo ( 2.23) Nota 1 El análisis de riesgos proporciona la base para evaluación
de riesgo ( 2,24) y las decisiones sobre el tratamiento del riesgo ( 2,25).
NOTA 2 El análisis de riesgos incluye la estimación del riesgo.

2.22
criterios de riesgo
términos de referencia contra el cual el significado de una riesgo ( 2.1) se evaluaron NOTA 1 Los criterios de riesgo se basan en objetivos de la
organización, y externo ( 2.10) y contexto interno ( 2.11).
NOTA 2 criterios de riesgo se pueden derivar de las normas, leyes, políticas y otros requisitos.

ISO 31000: 2009 (E)
2.23
nivel de riesgo
magnitud de una riesgo ( 2.1) o combinación de riesgos, expresada en términos de la combinación de Consecuencias
(2.18) y su verosimilitud ( 2.19) [Guía ISO 73: 2009,
2.24
evaluación de riesgo
proceso de comparación de los resultados de análisis de riesgo ( 2,21) con (criterios de riesgo 2.22) para determinar si el riesgo
(2,1) y / o su magnitud es NOTA aceptable o tolerable
Evaluación del riesgo ayuda a la decisión sobre el tratamiento del riesgo ( 2,25).
2.25
tratamiento del riesgo
proceso para modificar riesgo ( 2.1)
NOTA 1 de tratamiento de riesgos puede implicar:
• evitando el riesgo al decidir no iniciar o continuar con la actividad que da lugar al riesgo;
• teniendo o el aumento de riesgo con el fin de perseguir una oportunidad;
• la eliminación de la fuente de riesgo ( 2,16);
• cambiando el verosimilitud ( 2,19);
• cambiando el Consecuencias ( 2,18);
• compartir el riesgo con la otra parte o partes (incluyendo los contratos y la financiación del riesgo); y
• retener el riesgo por decisión informada.
NOTA 2 tratamientos de riesgo que tienen que ver con las consecuencias negativas se refieren a veces como “mitigación de riesgos”, “eliminación de riesgos”, “prevención de riesgos” y
“reducción del riesgo”.
NOTA 3 de tratamiento de riesgos puede crear nuevos riesgos o modificar los riesgos existentes. [Guía
ISO 73: 2009, definición 3.8.1]
2.26
Control
medida que es la modificación riesgo ( 2.1)
NOTA 1 Los controles incluyen cualquier proceso, la política, el dispositivo, práctica, u otras acciones que modifican el riesgo. NOTA 2 Los
controles no siempre pueden ejercer el efecto pretendido modificar o asumido. [Guía ISO 73: 2009, definición 3.8.1.1]
2.27
riesgo riesgo residual ( 2.1) que queda después de el tratamiento del riesgo ( 2.25)
NOTA 1 El riesgo residual puede contener el riesgo identificado. NOTA 2 El riesgo
residual también puede ser conocido como “riesgo retenido”. [Guía ISO 73: 2009,

ISO 31000: 2009 (E)
2.28
supervisión
comprobación continua, supervisión, críticamente observar o determinar el estado con el fin de identificar el cambio del nivel de rendimiento requerido o
esperado NOTA
El seguimiento puede ser aplicado a una marco de gestión de riesgos ( 2.3), proceso de gestión de riesgos ( 2.8), riesgo
(2,1) o de control ( 2,26).
2.29
opinión
la actividad emprendida para asegurar la conveniencia, adecuación y eficacia de la materia objeto de alcanzar los objetivos establecidos NOTA
Revisión puede ser aplicado a una marco de gestión de riesgos ( 2.3), proceso de gestión de riesgos ( 2.8), riesgo ( 2.1)
o de control ( 2,26).
3 Principios
Para la gestión del riesgo sea eficaz, una organización debe cumplir en todos los niveles con los principios siguientes.
un) La gestión del riesgo crea y protege el valor.
La gestión del riesgo contribuye al logro demostrable de objetivos y mejora del rendimiento, por ejemplo, la salud humana y la seguridad, la
seguridad, el cumplimiento legal y normativo, la aceptación pública, la protección del medio ambiente, la calidad del producto, gestión de proyectos,
la eficiencia en las operaciones, la gobernabilidad y la reputación.
segundo) La gestión de riesgos es una parte integral de todos los procesos de la organización.
La gestión del riesgo no es una actividad independiente que está separada de las principales actividades y procesos de la organización. La gestión
de riesgos es parte de las responsabilidades de la dirección y una parte integral de todos los procesos de la organización, incluyendo la
planificación estratégica y todos los procesos de gestión de cambios del proyecto y.
do) La gestión del riesgo es parte de la toma de decisiones.
La gestión de riesgos ayuda a quienes toman las decisiones a tomar decisiones informadas, priorizar acciones y distinguen entre cursos alternativos
de acción.
re) La gestión del riesgo aborda explícitamente la incertidumbre.
La gestión de riesgos tiene en cuenta explícitamente la incertidumbre, la naturaleza de esa incertidumbre, y cómo se puede tratar.
mi) La gestión del riesgo es sistemática, estructurada y oportuna.
Un enfoque sistemático, oportuno y estructurado para la gestión del riesgo contribuye a la eficiencia y resultados consistentes, comparables y
fiables.
F) La gestión del riesgo se basa en la mejor información disponible.
Las entradas para el proceso de gestión de riesgos se basan en fuentes de información, tales como datos históricos, la experiencia, la
retroalimentación de las partes interesadas, la observación, las previsiones y la opinión de expertos. Sin embargo, los tomadores de decisiones
deben informarse, y deben tener en cuenta, cualquier limitación de los datos o de modelado utilizado o la posibilidad de divergencia entre los
expertos.

ISO 31000: 2009 (E)
gramo) La gestión del riesgo se adapta.
La gestión del riesgo está alineado con el contexto y perfil de riesgo externo e interno de la organización.
h) la gestión del riesgo se tienen factores humanos y culturales en cuenta.
La gestión de riesgos reconoce las capacidades, percepciones e intenciones de las personas externas e internas que pueden facilitar o dificultar el
logro de los objetivos de la organización.
yo) La gestión del riesgo es transparente e inclusivo.
participación adecuada y oportuna de las partes interesadas y, en particular, los tomadores de decisiones en todos los niveles de la organización, asegura que
la gestión del riesgo sigue siendo relevante y actualizada. Participación también permite a los interesados estén debidamente representados y que sus
opiniones sean tenidas en cuenta en la determinación de los criterios de riesgo.
j) La gestión del riesgo es dinámico, interactivo y sensible a los cambios.
La gestión del riesgo detecta continuamente y responde al cambio. A medida que se producen los acontecimientos externos e internos, el contexto y el
conocimiento del cambio, el seguimiento y la revisión de los riesgos se llevan a cabo, surgen nuevos riesgos, algún cambio, y otros desaparecen.
k) La gestión del riesgo facilita la mejora continua de la organización.
Las organizaciones deben desarrollar e implementar estrategias para mejorar su madurez en la gestión de riesgos junto con todos los demás
aspectos de su organización.
Anexo A proporciona más asesoramiento para las organizaciones que deseen gestionar el riesgo de manera más eficaz.
4 Marco
4.1 Generalidades
El éxito de la gestión del riesgo dependerá de la eficacia del marco de gestión que proporciona las bases y arreglos que incrustarla en toda la
organización en todos los niveles. Las asistencias marco de la gestión de riesgos de manera efectiva a través de la aplicación del proceso de gestión de
riesgos (véase la cláusula 5) a diferentes niveles y dentro de contextos específicos de la organización. El marco garantiza que la información sobre el
riesgo derivado del proceso de gestión de riesgos se informa y se utiliza como base para la toma de decisiones y la rendición de cuentas en todos los
niveles de organización pertinentes de manera adecuada.
Esta cláusula describe los componentes necesarios del marco para la gestión de riesgos y la manera en que se relacionan entre sí de una manera
iterativa, como se muestra en la Figura 2.

ISO 31000: 2009 (E)
Mandato y compromiso (4,2)
Diseño de marco para la gestión de riesgos (4.3)

La comprensión de la organización y su contexto (4.3.1) El establecimiento de la
política de gestión de riesgos (4.3.2) Responsabilidad (4.3.3)
La integración en los procesos de organización (4.3.4) Recursos

(4.3.5)
El establecimiento de la comunicación interna y de informes
mecanismos (4.3.6)
El establecimiento de la comunicación externa y de informes
mecanismos (4.3.7)
La implementación de la gestión de riesgos (4.4)

La mejora continua del marco
Aplicación del marco para la gestión de riesgos (4.4.1)
(4,6)
La implementación del proceso de gestión de riesgos (4.4.2)
El seguimiento y la revisión del marco (4.5)
Figura 2 - Relación entre los componentes del marco para la gestión de riesgo
Este marco no pretende prescribir un sistema de gestión, sino más bien para ayudar a la organización para integrar la gestión de riesgos en su sistema
de gestión global. Por lo tanto, las organizaciones deben adaptarse los componentes del marco a sus necesidades específicas.
Si las prácticas de gestión existentes en la organización y procesos incluyen componentes de la gestión del riesgo o si la organización ya ha adoptado un
proceso formal de gestión de riesgo de determinados tipos de riesgos o situaciones, entonces estos deben ser revisados críticamente y evaluar respecto
a esta norma internacional, incluyendo los atributos contenidos en el anexo a, con el fin de determinar su idoneidad y eficacia.
4.2 Mandato y compromiso
La introducción de la gestión de riesgos y asegurar su eficacia en curso requieren un compromiso firme y sostenido por la dirección de la organización,
así como la planificación estratégica y riguroso para lograr el compromiso a todos los niveles. La dirección debería:
• definir y aprobar la política de gestión de riesgos;
• asegúrese de que la política de la cultura y la gestión de riesgos de la organización están alineados;
• determinar los indicadores de rendimiento de gestión de riesgos que se alinean con los indicadores de rendimiento de la
organización;
• alinear los objetivos de gestión de riesgos con los objetivos y estrategias de la organización;
• asegurar el cumplimiento legal y regulatorio;

ISO 31000: 2009 (E)
• asignar responsabilidades y responsabilidades en los niveles apropiados dentro de la organización;
• asegurar que los recursos necesarios se asignan a la gestión de riesgos;
• comunicar los beneficios de la gestión de riesgos a todas las partes interesadas; y
• asegúrese de que el marco para la gestión del riesgo sigue siendo apropiado.
4.3 Diseño de marco para la gestión de riesgos
4.3.1 La comprensión de la organización y su contexto
Antes de iniciar el diseño y la aplicación del marco para la gestión de riesgos, es importante evaluar y entender tanto el contexto externo e interno de la
organización, ya que estos pueden influir significativamente en el diseño de la estructura.
La evaluación de contexto externo de la organización puede incluir, pero no se limita a:
un) el entorno social y cultural, político, jurídico, reglamentario, financiero, tecnológico, económico, natural y competitivo, ya sea internacional, nacional,
regional o local;
b) los conductores y las tendencias que tienen impacto en los objetivos de la organización clave; y
do) relaciones con los y las percepciones y valores de, los actores externos. La evaluación de contexto
interno de la organización puede incluir, pero no se limita a:
• capacidades, entendidas en términos de recursos y conocimientos de capital (por ejemplo, tiempo, personas, procesos,
sistemas y tecnologías);
• relaciones con los y las percepciones y valores de las partes interesadas, internas;
• la forma y el alcance de las relaciones contractuales.

política de gestión del riesgo 4.3.2 Establecimiento
La política de gestión de riesgos debe establecer claramente los objetivos de la organización para, y el compromiso con la gestión del riesgo y por lo
general se ocupa de lo siguiente:
• fundamento de la organización para la gestión de riesgos;
• vínculos entre los objetivos y las políticas de la organización y la política de gestión de riesgos;
• rendición de cuentas y responsabilidades para la gestión de riesgos;
• la forma en que los intereses en conflicto se tratan;

ISO 31000: 2009 (E)
• compromiso de hacer los recursos necesarios para ayudar a los responsables y responsables de
la gestión del riesgo;
• la forma en que el rendimiento de gestión del riesgo se mide y se informa; y
• compromiso de revisar y mejorar la política de gestión del riesgo y el marco periódicamente y en

respuesta a un suceso o cambio en las circunstancias. La política de gestión del riesgo
debe ser comunicada de manera apropiada.
4.3.3 Responsabilidad
La organización debe asegurarse de que haya rendición de cuentas, la autoridad y la competencia apropiada para la gestión de riesgos, incluyendo la
implementación y mantenimiento del proceso de gestión de riesgos y garantizar la idoneidad, la eficacia y la eficiencia de los controles. Esto puede ser
facilitado por:
• la identificación de los propietarios del riesgo que tienen la responsabilidad y la autoridad para gestionar los riesgos;
• identificar quién es responsable del desarrollo, implementación y mantenimiento del marco

para la gestión de riesgos;
• la identificación de otras responsabilidades de las personas en todos los niveles de la organización para la gestión de riesgos
proceso;
• el establecimiento de medición del rendimiento y o procesos externos y / interno de información y de escalamiento;

y
• garantizar un nivel adecuado de reconocimiento.
4.3.4 La integración en los procesos de organización
La gestión del riesgo debe formar parte de todas las prácticas y procesos de la organización de una manera que es pertinente, eficaz y eficiente. El
proceso de gestión de riesgos debe formar parte de, y no separada de, los procesos de la organización. En particular, la gestión de riesgos debe ser
embebido en los procesos de gestión de cambios de desarrollo de políticas, de negocios y planificación estratégica y revisión, y. Debe haber un plan de
gestión de riesgos en toda la organización para asegurarse de que la política de gestión de riesgos se lleva a cabo y que la gestión de riesgos está
integrada en todas las prácticas y procesos de la organización. El plan de gestión de riesgos se puede integrar en otros planes de organización, tales
como un plan estratégico.
4.3.5 Recursos
La organización debe asignar los recursos apropiados para la gestión de riesgos. Se debe considerar a lo
siguiente:
• la gente, habilidades, experiencia y competencia;
• los recursos necesarios para cada paso del proceso de gestión de riesgos;
• procesos, métodos y herramientas de la organización que se utilizarán para la gestión del riesgo;
• procesos y procedimientos documentados;
• sistemas de información y gestión del conocimiento; y
• programas de formación.

ISO 31000: 2009 (E)
4.3.6 Establecimiento de la comunicación interna y de informes mecanismos
La organización debe establecer la comunicación interna y mecanismos de información con el fin de apoyar y fomentar la rendición de cuentas y la
propiedad de riesgo. Estos mecanismos deben asegurar que:
• componentes clave de el marco de gestión de riesgos, y cualquier modificación posterior, son

comunicada apropiadamente;
• hay informes internos adecuados en el marco, su eficacia y los resultados;
• información relevante derivado de la aplicación de la gestión de riesgos está disponible en los niveles apropiados
y tiempos; y
• existen procesos de consulta con las partes interesadas internas.
Estos mecanismos deben, en su caso, incluir los procesos para consolidar la información del riesgo de una variedad de fuentes, y puede ser necesario
tener en cuenta la sensibilidad de la información.
4.3.7 Establecimiento de la comunicación externa y de informes mecanismos
La organización debe desarrollar e implementar un plan sobre cómo va a comunicarse con las partes interesadas externas. Esto debe incluir:
• involucrar a los interesados externos apropiados y asegurar un intercambio efectivo de información;
• informes externos para cumplir con los requisitos legales, reglamentarios y de gobierno;
• proporcionar retroalimentación y la información sobre la comunicación y la consulta;
• usar la comunicación para fomentar la confianza en la organización; y
• la comunicación con las partes interesadas en el caso de una crisis o de contingencia.
Estos mecanismos deben, en su caso, incluir los procesos para consolidar la información del riesgo de una variedad de fuentes, y puede ser necesario
tener en cuenta la sensibilidad de la información.
4.4 La aplicación de la gestión de riesgos
4.4.1 Aplicación del marco para la gestión del riesgo
Al poner en práctica el marco de la organización para la gestión de riesgos, la organización debe:
• definir la sincronización y la estrategia apropiada para la aplicación del marco;

• aplicar la política de gestión de riesgos y el proceso de los procesos de la organización;
• cumplir con los requisitos legales y reglamentarios;
• asegúrese de que la toma de decisiones, incluyendo el desarrollo y establecimiento de objetivos, está alineado con el
resultados de los procesos de gestión de riesgos;
• realizar sesiones de información y formación; y
• comunicarse y consultar con las partes interesadas para asegurar que su marco de gestión del riesgo sigue siendo
apropiado.

ISO 31000: 2009 (E)
4.4.2 Implementación del proceso de gestión de riesgos
La gestión del riesgo debe aplicarse al asegurar que el proceso de gestión del riesgo descrita en la cláusula 5 se aplica a través de un plan de gestión de
riesgos en todos los niveles y funciones pertinentes de la organización como parte de sus prácticas y procesos.
4.5 Seguimiento y revisión del marco
Con el fin de garantizar que la gestión de riesgos es eficaz y sigue apoyando el desempeño organizacional, la organización debe:
• desempeño de la gestión del riesgo medida contra indicadores, que se revisan periódicamente para
oportunidad;
• medir periódicamente el progreso contra, y la desviación desde, el plan de gestión de riesgos;
• revisar periódicamente si el marco de la gestión de riesgos, la política y el plan siguen siendo adecuados, teniendo en cuenta
contexto externo e interno de las organizaciones;
• informar sobre los riesgos, los avances en el plan de gestión de riesgos y lo bien que la política de gestión de riesgo es ser
seguido; y
• examinar la eficacia del marco de gestión de riesgos.
4.6 La mejora continua del marco
Sobre la base de los resultados del seguimiento y la revisión, las decisiones deben tomarse sobre cómo se puede mejorar la gestión de riesgos marco, la
política y el plan. Estas decisiones deben conducir a mejoras en la gestión de la organización de los riesgos y su cultura de gestión del riesgo.
5 Proceso
5.1 general
El proceso de gestión de riesgos debe ser
• una parte integral de la gestión,
• incrustado en la cultura y las prácticas, y
• adaptada a los procesos de negocio de la organización.
Se compone de las actividades descritas en 5.2 a 5.6. El proceso de gestión de riesgos se muestra en la Figura 3.

ISO 31000: 2009 (E)
Establecimiento del contexto (5,3)
La evaluación del riesgo (5,4)
identificación de riesgos (5.4.2)
Comunicación Supervisión
y la y revisión
El análisis de riesgos (5.4.3)
consulta (5.6)
(5,2)
La evaluación del riesgo (5.4.4)
El tratamiento del riesgo (5,5) La
Figura 3 - proceso de gestión de riesgos
5.2 Comunicación y consulta
Comunicación y consulta con las partes interesadas externas e internas deben tener lugar durante todas las etapas del proceso de gestión de riesgos.
Por lo tanto, los planes de comunicación y consulta deben ser desarrollados en una etapa temprana. Estos deben abordar cuestiones relacionadas con el
riesgo en sí mismo, sus causas, sus consecuencias (si se conoce), y las medidas que se adoptan para tratarla. La comunicación efectiva externa e
interna y la consulta debería tener lugar para asegurar que los responsables de la ejecución del proceso de gestión de riesgos y partes interesadas a
comprender la base sobre la cual se toman las decisiones, y las razones por las que se requieren acciones particulares. Un enfoque de equipo consultivo
podrá:
• ayudar a establecer el contexto adecuadamente;
• asegurar que los intereses de las partes interesadas se entienden y se consideran;
• ayudan a garantizar que los riesgos se identifican de manera adecuada;
• aportan diferentes áreas de experiencia juntos para el análisis de riesgos;
• asegurar que los diferentes puntos de vista se consideran apropiadamente en la definición de los criterios de riesgo y en la evaluación de riesgos;
• asegurar respaldo y apoyo para un plan de tratamiento;

ISO 31000: 2009 (E)
• mejorar la gestión del cambio adecuada durante el proceso de gestión de riesgos; y
• desarrollar un plan de comunicación y consulta externa e interna adecuada. Comunicación y consulta con las partes interesadas es importante, ya que
hacen juicios sobre el riesgo basado en su percepción de riesgo. Estas percepciones pueden variar debido a las diferencias en los valores, necesidades,
suposiciones, conceptos y preocupaciones de los interesados. A medida que sus puntos de vista pueden tener un impacto significativo en las decisiones
tomadas, las percepciones de las partes interesadas deben ser identificados, registrados, y tenido en cuenta en el proceso de toma de decisiones.
Comunicación y consulta deben facilitar los intercambios veraz, relevante, precisa y comprensible de información, teniendo en cuenta los aspectos
confidenciales y personales de integridad.
5.3 Establecimiento del contexto
5.3.1 Generalidades
Mediante el establecimiento del contexto, la organización articula sus objetivos, define los parámetros externos e internos que deben tenerse en cuenta
en la gestión de riesgos, y establece los criterios de aplicación y de riesgo para el proceso restante. Mientras que muchos de estos parámetros son
similares a los considerados en el diseño del marco de gestión del riesgo (véase 4.3.1), al establecer el contexto para el proceso de gestión de riesgos,
que deben tenerse en cuenta en mayor detalle y en particular la forma en que se relacionan con el alcance del proceso de gestión del riesgo particular.
5.3.2 Establecimiento del contexto externo
El contexto externo es el entorno externo en el que la organización busca alcanzar sus objetivos. La comprensión del contexto externo es importante con
el fin de asegurar que los objetivos y las preocupaciones de las partes interesadas externas se consideran en el desarrollo de criterios de riesgo. Se basa
en el contexto de toda la organización, pero con detalles específicos de los requisitos legales y reglamentarios, percepciones de los interesados y otros
aspectos de los riesgos específicos del alcance del proceso de gestión de riesgos. El contexto externo puede incluir, pero no se limitan a:
• la social y cultural, político, jurídico, reglamentario, financiero, tecnológico, económico, natural y

entorno competitivo, ya sea internacional, nacional, regional o local;
• los conductores y las tendencias claves que tienen impacto en los objetivos de la organización; y
• relaciones con, percepciones y valores de los grupos de interés externos.
5.3.3 Establecimiento del contexto interno

El contexto interno es el ambiente interno, en el que la organización busca alcanzar sus objetivos. El proceso de gestión de riesgos debe estar alineada
con la cultura, procesos, estructura y estrategia de la organización. contexto interno es cualquier cosa dentro de la organización que pueden influir en la
manera en que una organización va a gestionar el riesgo. Debe establecerse debido a que:
un) la gestión de riesgos se lleva a cabo en el contexto de los objetivos de la organización;
b) objetivos y criterios de un proyecto particular, proceso o actividad deben considerarse a la luz de objetivos de la organización como un todo; y
c) algunas organizaciones no reconocen oportunidades para alcanzar sus objetivos estratégicos, proyecto o negocio, y esto afecta a la organización en
curso compromiso, credibilidad, confianza y valor.

ISO 31000: 2009 (E)
Es necesario entender el contexto interno. Esto puede incluir, pero no se limitan a:
• capacidades, entendidas en términos de recursos y conocimientos de capital (por ejemplo, tiempo, personas, procesos,
sistemas y tecnologías);
• las relaciones con los y las percepciones y valores de los grupos de interés internos;
• forma y el alcance de las relaciones contractuales.
5.3.4 Establecimiento del contexto del proceso de gestión de riesgos
Los objetivos, las estrategias, el alcance y los parámetros de las actividades de la organización, o aquellas partes de la organización donde se aplica el
proceso de gestión del riesgo, deben establecerse. La gestión del riesgo debe llevarse a cabo con plena consideración de la necesidad de justificar los
recursos utilizados en la realización de la gestión de riesgos. Los recursos requeridos, responsabilidades y autoridades, y los registros que se le
mantenga también debe especificarse.
El contexto del proceso de gestión del riesgo variará de acuerdo a las necesidades de una organización. Puede incluir, pero no se limitan a:
• la definición de las metas y objetivos de las actividades de gestión de riesgos;
• la definición de responsabilidades para y dentro del proceso de gestión de riesgos;
• definir el alcance, así como la profundidad y amplitud de las actividades de gestión de riesgos para llevarse a cabo,
incluyendo inclusiones y exclusiones específicas;
• la definición de la actividad, proceso, función, proyecto, producto, servicio o activo en términos de tiempo y lugar;
• definir las relaciones entre un determinado proyecto, proceso o actividad y otros proyectos, procesos o
actividades de la organización;
• la definición de las metodologías de evaluación de riesgos;
• definiendo el rendimiento y la eficacia manera se evalúa en la gestión de riesgos;

• la identificación y especificación de las decisiones que se tienen que hacer; y
• la identificación, la determinación del alcance o la elaboración de los estudios necesarios, su alcance y objetivos, y los recursos necesarios para
este tipo de estudios.
La atención a estos y otros factores pertinentes debe ayudar a asegurar que el enfoque de gestión de riesgos adoptado es apropiada a las
circunstancias, con la organización y con los riesgos que afectan a la consecución de sus objetivos.
dieciséis http://mahdi.hashemitabar.com © ISO 2009 - Todos los derechos reservados

ISO 31000: 2009 (E)
5.3.5 Definición de los criterios de riesgo
La organización debería definir los criterios a utilizar para evaluar la importancia del riesgo. Los criterios deben reflejar los valores, objetivos y recursos de
la organización. Algunos criterios pueden ser impuestas por, o derivan de, los requisitos legales y reglamentarios y otros requisitos que la organización
suscriba. Los criterios de riesgo deben ser coherentes con la política de gestión de riesgos de la organización (véase 4.3.2), se definen al comienzo de
cualquier proceso de gestión de riesgos y se revisan continuamente. Al definir los criterios de riesgo, factores que deben ser considerados deben incluir lo
siguiente:
• la naturaleza y los tipos de causas y consecuencias que pueden ocurrir y cómo van a ser medido;
• cómo se definirá probabilidad;
• el marco de tiempo (s) de la probabilidad y / o la consecuencia (s);
• cómo el nivel de riesgo es que se determine;
• las opiniones de los interesados;
• el nivel en el que el riesgo se convierte en aceptable o tolerable; y
• si las combinaciones de múltiples riesgos deben tenerse en cuenta y, si es así, cómo y qué
combinaciones deben ser considerados.
5.4 evaluación de riesgos
5.4.1 Generalidades
La evaluación del riesgo es el proceso general de identificación de riesgos, análisis de riesgos y evaluación de riesgo. NOTA
ISO / IEC 31010 proporciona orientación sobre técnicas de evaluación de riesgos.
identificación 5.4.2 Riesgo
La organización debería identificar las fuentes de riesgo, áreas de impactos, eventos (incluyendo cambios en la
circunstancias) y sus causas y sus posibles consecuencias. El objetivo de este paso es generar una lista completa de los riesgos sobre la base de esos
eventos que puedan crear, mejorar, prevenir, degradar, acelerar o retardar la consecución de los objetivos. Es importante identificar los riesgos asociados
a no perseguir una oportunidad. identificación exhaustiva es crítica, porque el riesgo de que no se identifica en esta etapa no será incluido en el análisis
adicional.
La identificación debe incluir riesgos si o no su fuente está bajo el control de la organización, a pesar de que la fuente de riesgo o causa pueden no ser
evidentes. La identificación de riesgos debe incluir el examen de los efectos reacción en cadena de consecuencias particulares, incluidas en cascada y los
efectos acumulativos. También se debe tener en cuenta una amplia gama de consecuencias, incluso si la fuente o causa del riesgo pueden no ser
evidentes. Así como la identificación de lo que podría suceder, es necesario tener en cuenta las posibles causas y escenarios que muestran lo que
pueden producirse consecuencias. Todas las causas y consecuencias significativas deben ser considerados. La organización debe aplicar herramientas
de identificación de riesgos y técnicas que se adapten a sus objetivos y capacidades, y los riesgos que enfrentan. La información relevante y actualizada
es importante en la identificación de riesgos. Esto debe incluir información básica adecuada siempre que sea posible. Las personas con conocimientos
apropiados deben participar en la identificación de riesgos.

ISO 31000: 2009 (E)
análisis 5.4.3 Riesgo
El análisis de riesgos implica el desarrollo de una comprensión del riesgo. El análisis de riesgos proporciona una entrada a la evaluación de riesgos y a las
decisiones sobre si los riesgos necesitan ser tratados, y sobre las estrategias y los métodos de tratamiento de riesgo más apropiadas. El análisis de riesgos
también puede proporcionar elementos para la toma de decisiones, donde habrá que elegir y las opciones implican diferentes tipos y niveles de riesgo.
El análisis de riesgos implica la consideración de las causas y las fuentes de riesgo, sus consecuencias positivas y negativas, y la probabilidad de que
pueden ocurrir esas consecuencias. Los factores que afectan consecuencias y probabilidad deben ser identificados. El riesgo se analizó mediante la
determinación de las consecuencias y la probabilidad, y otros atributos del riesgo. Un evento puede tener múltiples consecuencias y puede afectar a
múltiples objetivos. Los controles existentes y su efectividad y la eficiencia también deben tenerse en cuenta.
La forma en que se expresan las consecuencias y probabilidad y la forma en que se combinan para determinar un nivel de riesgo debe reflejar el tipo de
riesgo, la información disponible y de la finalidad para la que la salida de la evaluación de riesgos se va a utilizar. Todos ellos deben ser coherentes con
los criterios de riesgo. También es importante tener en cuenta la interdependencia de los diferentes riesgos y sus fuentes.
La confianza en la determinación del nivel de riesgo y su sensibilidad a las condiciones previas e hipótesis debe ser considerada en el análisis, y se
comunica con eficacia a los tomadores de decisiones y, en su caso, otras partes interesadas. Factores tales como la divergencia de opiniones entre los
expertos, la incertidumbre, la disponibilidad, la calidad, cantidad y relevancia de la información, o limitaciones en el modelado deben expresarse y pueden
ser destacadas. El análisis de riesgos puede llevarse a cabo con diferentes grados de detalle, en función del riesgo, el propósito del análisis y la
información, los datos y los recursos disponibles. El análisis puede ser cualitativa, semicuantitativa o cuantitativa, o una combinación de éstos,
dependiendo de las circunstancias.
Las consecuencias y sus probabilidades se pueden determinar mediante el modelado de los resultados de un evento o conjunto de eventos, o por
extrapolación a partir de estudios experimentales o de los datos disponibles. Las consecuencias pueden ser expresados en términos de impactos tangibles e
intangibles. En algunos casos, se requiere más de un valor numérico o descriptor para especificar las consecuencias y la probabilidad de diferentes épocas,
lugares, grupos o situaciones.
Evaluación de Riesgos 5.4.4
El propósito de la evaluación de riesgos es ayudar en la toma de decisiones, con base en los resultados de análisis de riesgos, sobre los cuales los riesgos necesitan
tratamiento y la prioridad para la implementación del tratamiento.
La evaluación del riesgo implica comparar el nivel de riesgo encontrado durante el proceso de análisis con criterios de riesgo establecidos cuando se
consideró el contexto. Sobre la base de esta comparación, la necesidad de tratamiento puede ser considerado.
Las decisiones deben tener en cuenta el contexto más amplio del riesgo y de incluir la consideración de la tolerancia de los riesgos asumidos por las
partes distintas de la organización que se beneficia del riesgo. Las decisiones deben tomarse de conformidad con los requisitos legales, reglamentarios y
otros.
En algunas circunstancias, la evaluación del riesgo puede conducir a una decisión de realizar un análisis más detallado. La evaluación de riesgos también puede
conducir a una decisión de no tratar el riesgo de cualquier manera distinta del mantenimiento de los controles existentes. Esta decisión se verá influido por la
actitud de riesgos de la organización y los criterios de riesgo que se han establecido.
5.5 Riesgo de tratamiento
5.5.1 Generalidades
El tratamiento del riesgo consiste en seleccionar una o más opciones para modificar los riesgos y la aplicación de esas opciones. Una vez implementado,
tratamientos proporcionan o modifican los controles.

ISO 31000: 2009 (E)
tratamiento del riesgo implica un proceso cíclico de:
• la evaluación de un tratamiento del riesgo;
• decidir si los niveles de riesgo residuales son tolerables;
• si no tolerable, generando un nuevo tratamiento del riesgo; y
• evaluar la eficacia de ese tratamiento.
Opciones de tratamiento del riesgo no son necesariamente excluyentes entre sí o apropiado en todas las circunstancias. Las opciones pueden incluir lo siguiente:
a) evitar el riesgo al decidir no iniciar o continuar con la actividad que da lugar al riesgo;
segundo)tomar o aumentando el riesgo con el fin de perseguir una oportunidad;
do) eliminación de la fuente de riesgos;
d) cambiar la probabilidad;
e) el cambio de las consecuencias;
F) compartir el riesgo con la otra parte o partes (incluyendo los contratos y la financiación del riesgo); y
gramo) retener el riesgo por decisión informada.
5.5.2 Selección de las opciones de tratamiento del riesgo
Selección de la opción de tratamiento más adecuada del riesgo implica equilibrar los costes y los esfuerzos de aplicación en contra de los beneficios que
se derivan, en relación con los requisitos legales, reglamentarios, y otras como la responsabilidad social y la protección del medio ambiente natural.
Decisiones deberían tener en cuenta los riesgos que pueden justificar el tratamiento del riesgo de que no se justifica por razones económicas, por
ejemplo grave (alta consecuencia negativa), pero los riesgos de baja probabilidad () raros.
Un número de opciones de tratamiento puede ser considerado y aplicado de forma individual o en combinación. La organización normalmente puede
beneficiarse de la adopción de una combinación de opciones de tratamiento. Al seleccionar las opciones de tratamiento de riesgos, la organización debería
considerar los valores y percepciones de las partes interesadas y las formas más adecuadas para comunicar con ellos. Donde las opciones de tratamiento
del riesgo pueden tener un impacto sobre el riesgo de otras partes de la organización o con los interesados, éstos deben participar en la decisión. Aunque
igualmente eficaces, algunos tratamientos de riesgo pueden ser más aceptable para algunos grupos de interés que a otros. El plan de tratamiento debe
identificar claramente el orden de prioridad en que deben aplicarse tratamientos de riesgo individuales.
tratamiento mismo riesgo puede introducir riesgos. Un riesgo importante puede ser la insuficiencia o ineficacia de las medidas de tratamiento del riesgo. Supervisión de
las necesidades para ser una parte integral del plan de tratamiento de riesgos para dar seguridad de que las medidas siguen siendo eficaces.
El tratamiento del riesgo también puede introducir riesgos secundarios que deben ser evaluadas, se trató, monitoreado y revisado. Estos riesgos secundarios
deben ser incorporados en el mismo plan de tratamiento ya que el riesgo original y no tratados como un nuevo riesgo. El vínculo entre los dos riesgos deben
ser identificados y mantenido.

ISO 31000: 2009 (E)
5.5.3 preparación y ejecución de los planes de tratamiento de riesgo
El propósito de los planes de tratamiento del riesgo es documentar cómo se implementarán las opciones de tratamiento elegido. La información proporcionada en
los planes de tratamiento debe incluir:
• las razones para la selección de las opciones de tratamiento, incluyendo los beneficios que se espera obtener;
• los que son responsables de aprobar el plan y los responsables de la ejecución del plan;
• acciones propuestas;
• necesidades de recursos incluyendo contingencias;
• medidas de rendimiento y limitaciones;
• información y control de los requisitos; y
• sincronización y horario.
Los planes de tratamiento deben integrarse con los procesos de gestión de la organización y discutidas con las partes interesadas pertinentes.
Los tomadores de decisiones y otras partes interesadas deben ser conscientes de la naturaleza y extensión del riesgo residual después del tratamiento
del riesgo. El riesgo residual debe ser documentada y se sometió a seguimiento, revisión y, en su caso, el tratamiento adicional.
5.6 Seguimiento y revisión
Tanto el seguimiento y la revisión deben ser una parte planificada del proceso de gestión de riesgos e implicar la comprobación periódica o vigilancia.
Puede ser periódica o ad hoc.
Responsabilidades de seguimiento y revisión deben estar claramente definidos.
procesos de control y examen de la organización deben abarcar todos los aspectos del proceso de gestión de riesgos para los fines de:
• asegurar que los controles son eficaces y eficientes tanto en el diseño y operación;
• obtener más información para mejorar la evaluación del riesgo;
• análisis y lecciones de eventos de aprendizaje (incluyendo cuasi accidentes), cambios, tendencias, éxitos y
fracasos;
• detectar cambios en el contexto externo e interno, incluyendo cambios en los criterios de riesgo y el riesgo en sí
que puede requerir una revisión de los tratamientos y las prioridades de riesgo; y
• la identificación de los riesgos emergentes.
El progreso en la aplicación de los planes de tratamiento del riesgo proporciona una medida de rendimiento. Los resultados se pueden incorporar en el
rendimiento general las actividades de presentación de informes externos e internos de gestión, la medición y de la organización.
Los resultados de seguimiento y examen deben ser registrados y externa e internamente informaron como sea apropiado, y también deben utilizarse
como una entrada a la revisión del marco de gestión de riesgos (véase 4.5).

ISO 31000: 2009 (E)
5.7 Registro del proceso de gestión de riesgos
actividades de gestión de riesgos deben ser trazables. En el proceso de gestión de riesgos, los registros proporcionan la base para la mejora de los
métodos y herramientas, así como en el proceso global. Las decisiones relativas a la creación de registros debe tener en cuenta:
• necesidades de la organización para el aprendizaje continuo;
• beneficios de la reutilización de la información con fines de gestión;
• costes y esfuerzos involucrados en la creación y el mantenimiento de registros;
• necesidades legales, reglamentarias y de funcionamiento registros;
• método de acceso, la facilidad de los medios de recuperabilidad y de almacenamiento;
• periodo de retención; y
• sensibilidad de la información.

ISO 31000: 2009 (E)
Anexo A
(informativo)
Atributos de mejor gestión del riesgo
A.1 Generalidades
Todas las organizaciones deben tener como objetivo el nivel adecuado de rendimiento de su marco de gestión del riesgo en línea con el carácter crítico de
las decisiones que se van a realizar. La lista de atributos a continuación representa un alto nivel de rendimiento en la gestión de riesgos. Para ayudar a las
organizaciones en la medición de sus resultados con respecto a estos criterios, algunos indicadores tangibles se dan para cada atributo.
Los resultados clave A.2
A.2.1 La organización tiene una comprensión actual, correcta y completa de sus riesgos.
A.2.2 riesgos de la organización están dentro de sus criterios de riesgo.
A.3 Atributos
A.3.1 La mejora continua
Se pone énfasis en la mejora continua en la gestión de riesgos a través de la fijación de objetivos de la organización de rendimiento, la medición, la
revisión y la posterior modificación de los procesos, sistemas, recursos, capacidad y habilidades.
Esto puede ser indicado por la existencia de objetivos explícitos de desempeño contra el cual se mide el rendimiento del gestor individual de organización
y. El desempeño de la organización se puede publicar y comunicar. Normalmente, habrá al menos una revisión anual de desempeño y luego una revisión
de los procesos, y la fijación de objetivos de rendimiento revisados para el período siguiente.
Esta evaluación del desempeño de la gestión de riesgos es una parte integral del sistema de evaluación del rendimiento y la medición de la organización
general de los departamentos y los individuos.
A.3.2 la responsabilidad completa de los riesgos
mejor gestión del riesgo incluye la rendición de cuentas completa, totalmente definido y plenamente aceptado para riesgos, controles y tareas de tratamiento del
riesgo. Designan individuos aceptan plenamente la responsabilidad, son debidamente capacitado y tienen recursos suficientes para comprobar los controles,
monitorear los riesgos, mejorar los controles y comunicarse de manera efectiva sobre los riesgos y su gestión a las partes interesadas externas e internas.
Esto puede ser indicado por todos los miembros de una organización ser plenamente conscientes de los riesgos, los controles y las tareas de las que son
responsables. Normalmente, esto se registrará en las descripciones de trabajo / posición, bases de datos o sistemas de información. La definición de las funciones
de gestión de riesgos, responsabilidades y responsabilidades debe ser parte de todo un programa de orientación de la organización.
La organización asegura que los que son responsables están equipados para cumplir esa función, proporcionándoles la autoridad, tiempo, formación,
recursos y capacidades suficientes para asumir sus responsabilidades.

ISO 31000: 2009 (E)
Aplicación A.3.3 de la gestión del riesgo en toda la toma de decisiones
Todo decisiones dentro de la organización, cualquiera que sea el nivel de importancia y significado, implica la consideración explícita de los riesgos y la
aplicación de la gestión del riesgo en cierta medida apropiada decisión. Esto puede ser indicado por actas de las reuniones y decisiones para mostrar que
las discusiones explícitas sobre los riesgos tuvieron lugar. Además, debería ser posible ver que todos los componentes de la gestión de riesgos están
representados dentro de los procesos clave para la toma de decisiones en la organización, por ejemplo para las decisiones sobre la asignación de capital,
en grandes proyectos y en la re-estructuración y cambios en la organización. Por estas razones, la gestión del riesgo en base a fondo se ve dentro de la
organización como proporcionar la base para un gobierno eficaz.
A.3.4 continuas comunicaciones
mejor gestión del riesgo incluye las comunicaciones continuas con las partes interesadas externas e internas, incluyendo información completa y
frecuente de los resultados de la gestión de riesgos, como parte de un buen gobierno.
Esto puede ser indicado por la comunicación con las partes interesadas como un componente integral y esencial de la gestión del riesgo. La comunicación se ve
con razón como un proceso bidireccional, de manera que las decisiones informadas adecuadamente se pueden hacer sobre el nivel de riesgo y la necesidad de
tratamiento de los riesgos frente a los criterios de riesgo establecidos adecuadamente y completos.
información externa e interna amplia y frecuente en ambos riesgos significativos en el rendimiento y la gestión del riesgo contribuye sustancialmente a la
gobernabilidad efectiva dentro de una organización.
A.3.5 La plena integración en la estructura de gobierno de la organización
La gestión del riesgo es visto como elemento central de los procesos de gestión de la organización, de manera que los riesgos se consideran en términos
de efecto de la incertidumbre en los objetivos. La estructura y el proceso de gobierno se basan en la gestión del riesgo. gestión eficaz del riesgo es
considerado por los administradores como esenciales para el logro de los objetivos de la organización.
Esto se indica mediante el lenguaje de los directivos y los materiales escritos importantes en la organización utilizando el término ‘incertidumbre’ en
relación con los riesgos. Este atributo también se refleja normalmente en las declaraciones de la organización de la política, en particular las relativas a la
gestión de riesgos. Normalmente, este atributo se verifica a través de entrevistas con los gerentes ya través de la evidencia de sus acciones y
declaraciones.

ISO 31000: 2009 (E)
Bibliografía
[1] Guía ISO 73: 2009, La gestión de riesgos - Vocabulario
[2] ISO / IEC 31010, La gestión del riesgo - las técnicas de evaluación de riesgos

ISO 31000: 2009 (E)
ICS 03.100.01
Precio basado en 24 páginas
© ISO 2009 - Todos los derechos reservados http://mahdi.hashemitabar.com

Iso 31000 2009

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Iso 31000 2009

Hochgeladen von

Copyright:

Verfügbare Formate

ESTÁNDAR ISO

gestión de riesgos - Principios y directrices

Gestión du risque - Principes et lignes directrices

Número de referencia ISO

http://mahdi.hashemitabar.com © ISO 2009

descargo de responsabilidad PDF

Adobe es una marca comercial de Adobe Systems Incorporated.

COPYRIGHT documento protegido

ISO oficina de derechos de autor Case postale 56 • CH-1211

ii http://mahdi.hashemitabar.com © ISO 2009 - Todos los derechos reservados

Prólogo ................................................. .................................................. .................................................. ....... iv Introducción .........................................

.................................................. .................................................. ............ v 1

Ámbito ................................................. .................................................. .................................................. 0.1

2 Términos y definiciones ............................................... .................................................. .......................... 1

3 Principios ................................................. .................................................. ............................................. 7

4 Marco de referencia ................................................. .................................................. .......................................... 8

5 Proceso................................................. .................................................. .............................................. 13

5.5.1 ................................................. general .................................................. .............................................. 18

Anexo A ( informativo) Atributos de gestión de riesgos mejorada ............................................. ................... 22

Bibliografía................................................. .................................................. .................................................. 0.24

© ISO 2009 - Todos los derechos reservados http://mahdi.hashemitabar.com iii

iv http://mahdi.hashemitabar.com © ISO 2009 - Todos los derechos reservados

• aumentar la probabilidad de alcanzar los objetivos;

• fomentar una gestión proactiva;

• ser conscientes de la necesidad de identificar y tratar el riesgo en toda la organización;

• mejorar la identificación de oportunidades y amenazas;

• mejorar la información obligatoria y voluntaria;

• mejorar la gestión pública;

• mejorar la confianza de los interesados ​y la confianza;

© ISO 2009 - Todos los derechos reservados http://mahdi.hashemitabar.com v

• establecer una base fiable para la toma de decisiones y la planificación;

• mejorar los controles;

• efectivamente asignar y utilizar recursos para el tratamiento del riesgo;

• mejorar la eficacia operativa y la eficiencia;

• mejorar la salud y la seguridad, así como la protección del medio ambiente;

• mejorar la prevención de pérdidas y gestión de incidencias;

• minimizar las pérdidas;

• mejorar el aprendizaje organizacional; y

• mejorar la resiliencia organizacional.

vi http://mahdi.hashemitabar.com © ISO 2009 - Todos los derechos reservados

© ISO 2009 - Todos los derechos reservados

f) Con base en la mejor

Monitoreo y La evaluación del riesgo (5.4.4)

k) facilita la mejora continua y la

El tratamiento del riesgo (5,5)

Principios Marco (Cláusula

gestión de riesgos - Principios y directrices

Esta Norma Internacional no está prevista para fines de certificación.

A los efectos de este documento, se aplican los siguientes términos y definiciones.

NOTA 1 Un efecto es una desviación de lo esperado - positivo y / o negativo.

© ISO 2009 - Todos los derechos reservados http://mahdi.hashemitabar.com 1

[Guía ISO 73: 2009, definición 1.1]

mandato y compromiso de gestionar riesgo ( 2.1).

[Guía ISO 73: 2009, definición 2.1.1]

[Guía ISO 73: 2009, definición 2.1.3]

2009, definición 3.5.1.5]

2 http://mahdi.hashemitabar.com © ISO 2009 - Todos los derechos reservados

[Guía ISO 73: 2009, definición 3.1]

contexto externo puede incluir:

• relaciones con los y las percepciones y valores de la externa interesados ​( 2,13).

[Guía ISO 73: 2009, definición 3.3.1.1]

contexto interno puede incluir:

• gobierno, la estructura organizativa, roles y responsabilidades;

• mejorar la confianza de los interesados y la confianza;

• relaciones con los y las percepciones y valores de la externa interesados ( 2,13).