IRAM_ISO31000_15

NORMA ARGENTINA

31000 2015

Gestin del riesgo

Principios y guas (ISO 31000:2009, IDT)

Risk management Principles and guidelines

IRAM-ISO 31000

Primera edicin 2015-08-31

Referencia Numrica: IRAM-ISO 31000:2015

IRAM 2015-08-31 No est permitida la reproduccin de ninguna de las partes de esta publicacin por cualquier medio, incluyendo fotocopiado y microfilmacin, sin permiso escrito del IRAM.

* DOCUMENTO PROTEGIDO POR EL DERECHO DE PROPIEDAD INTELECTUAL

Licenciado por IRAM a Siderar S.A.I.C.: Org; Techint. Orden 00032867920438524879 del 20150917. Descargado el 20150917. Licencia monousuario. Prohibido su copiado y uso en redes.

IRAM-ISO 31000:2015

3

Prefacio

El Instituto Argentino de Normalizacin y Certificacin (IRAM) es una asociacin civil sin fines de lucro cuyas finalidades especficas, en su carcter de Organismo Argentino de Normalizacin, son establecer normas tcnicas, sin limitaciones en los mbitos que abarquen, adems de propender al conocimiento y la aplicacin de la normalizacin como base de la calidad, promoviendo las actividades de certificacin de productos y de sistemas de la calidad en las empresas para brindar seguridad al consumidor.

IRAM es el representante de Argentina en la International Organization for Standardization (ISO), en la Comisin Panamericana de Normas Tcnicas (COPANT) y en la Asociacin MERCOSUR de Normalizacin (AMN). Esta norma es el fruto del consenso tcnico entre los diversos sectores involucrados, los que a travs de sus representantes han intervenido en los Organismos de Estudio de Normas correspondientes.

Esta norma es una adopcin idntica (IDT) de la norma ISO 31000:2009 - Risk management - Principles and guidelines.

Slo se han realizado los cambios editoriales siguientes:

Se agreg el captulo Documentos normativos para consulta.

Se agregaron notas IRAM en el captulo 2 indicando el origen de las definiciones.

Se agreg un anexo informativo con la bibliografa considerada y otro donde se indican los organismos de estudio de la norma.


IRAM-ISO 31000:2015

4

Prefacio ISO

La International Organization for Standardization (ISO) es una federacin mundial de organismos nacionales de normalizacin (organismos miembros de ISO). El desarrollo de normas internacionales generalmente se realiza a travs de comits tcnicos. Cada organismo miembro que est interesado en un tema en particular para el cual se haya establecido un comit tcnico tiene derecho de estar representado en ese comit. Organizaciones internacionales, gubernamentales y no gubernamentales, en colaboracin con ISO, tambin toman parte en el trabajo. En el campo de la normalizacin electrotcnica, ISO colabora con la International Electrotechnical Commission (IEC).

Las normas internacionales se elaboran de acuerdo a las reglas dadas en la Directiva ISO/IEC, parte 2.

La tarea principal de los comits tcnicos es la de preparar normas internacionales. Los proyectos de normas internacionales adoptadas por los comits tcnicos son circulados a los organismos nacionales y sometidos a votacin. La publicacin como norma internacional requiere la aprobacin de al menos el 75% de los organismos nacionales.

Es importante sealar la posibilidad de que algunos elementos de esta norma internacional pueden estar sujetos a derechos de patente. ISO no es responsable de la identificacin de alguno o todos esos derechos de patentes.

La ISO 31000 fue preparada por el ISO Technical Management Board Working Group on risk management.


IRAM-ISO 31000:2015

5

ndice

INTRODUCCIN ................................................................................................. 7 1 OBJETO Y CAMPO DE APLICACIN ........................................................... 10 DOCUMENTOS NORMATIVOS PARA CONSULTA ......................................... 10

2 TRMINOS Y DEFINICIONES ...................................................................... 10 3 PRINCIPIOS .................................................................................................. 16

4 MARCO ......................................................................................................... 17

5 PROCESO ..................................................................................................... 23

Anexo A (Informativo) Atributos de una gestin avanzada del riesgo ................. 32 Bibliografa ISO .................................................................................................. 34

Anexo B - IRAM (Informativo) Bibliografa .......................................................... 35 Anexo C - IRAM (Informativo) Integrantes de los organismos de estudio ........... 36

Pgina


IRAM-ISO 31000:2015

6Licenciado por IRAM a Siderar S.A.I.C.: Org; Techint. Orden 00032867920438524879 del 20150917. Descargado el 20150917. Licencia monousuario. Prohibido su copiado y uso en redes.

IRAM-ISO 31000:2015

7

Gestin del riesgo Principios y guas

INTRODUCCIN

Las organizaciones de todo tipo y tamao enfrentan influencias y factores internos y externos que tornan incierto el logro de sus objetivos y el momento en que los alcanzarn. El efecto que esa incer-tidumbre tiene sobre los objetivos de la organizacin se llama riesgo.

Todas las actividades de una organizacin implican riesgo. Las organizaciones gestionan el riesgo, identificndolo, analizndolo y luego valorando si el riesgo debe ser modificado mediante su trata-miento con el propsito de satisfacer los criterios de riesgo. A lo largo de este proceso, se comunica y consulta con las partes interesadas y se realiza seguimiento y control y revisin del riesgo y los controles que lo modifican a fin de asegurar que no es necesario tratamiento adicional del riesgo. Esta norma describe en detalle este proceso lgico y sistemtico.

Si bien todas las organizaciones gestionan el riesgo en cierta medida, esta norma establece una serie de principios que deben cumplirse para que la gestin del riesgo sea eficaz. Esta norma recomienda que las organizaciones desarrollen, implementen y mejoren continuamente un marco cuyo propsito es integrar el proceso de gestin del riesgo en la gobernanza, la planificacin y estrategia, la gestin, los procesos de presentacin de informes, las polticas, los valores y la cultura generales de la organizacin.

La gestin del riesgo puede aplicarse a toda la organizacin, en sus diferentes reas y niveles, en cualquier momento, como as tambin a funciones, actividades y proyectos especficos.

Aunque la prctica de la gestin del riesgo se ha desarrollado a lo largo del tiempo y en muchos sec-tores para satisfacer necesidades diversas, la adopcin de procesos coherentes en un marco global puede ayudar a asegurar que el riesgo se gestiona con eficacia, eficiencia y coherencia a lo largo de toda la organizacin. El enfoque genrico descripto en esta norma establece los principios y las guas para la gestin de cualquier forma de riesgo de una manera sistemtica, transparente y confiable, dentro de cualquier mbito y contexto.

Cada sector o aplicacin especficos de la gestin del riesgo trae consigo necesidades, audiencias, percepciones y criterios particulares. Por lo tanto, una caracterstica clave de esta norma es incluir el establecimiento de contexto como una actividad al inicio de este proceso genrico de gestin del riesgo. El establecimiento de contexto captura los objetivos de la organizacin, el entorno en el que sta persigue estos objetivos, sus partes interesadas y la diversidad de criterios de riesgo, lo que ayudar a revelar y evaluar la naturaleza y la complejidad de sus riesgos.

La relacin entre los principios para la gestin del riesgo, el marco en el cual sta ocurre y el proceso de gestin del riesgo descripto en esta norma, se muestra en la figura 1.

Cuando la gestin del riesgo se implementa y se mantiene de acuerdo a esta norma, le permite a una organizacin, por ejemplo:

1. aumentar la probabilidad de lograr los objetivos;

2. fomentar una gestin proactiva;


IRAM-ISO 31000:2015

8

3. ser consciente de la necesidad de identificar y tratar los riesgos en toda la organizacin;

4. mejorar la identificacin de oportunidades y amenazas;

5. cumplir con las normas internacionales y los requisitos legales y reglamentarios pertinentes;

6. mejorar la presentacin de informes obligatorios y voluntarios;

7. mejorar la gobernanza;

8. mejorar la confianza de las partes interesadas en s mismas y en la organizacin;

9. establecer una base confiable para la toma de decisiones y la planificacin;

10. mejorar los controles;

11. asignar y utilizar los recursos para el tratamiento de los riesgos de manera eficaz;

12. mejorar la eficacia y la eficiencia operativa;

13. mejorar el desempeo en salud y seguridad ocupacional y en la proteccin del medio ambiente;

14. mejorar la prevencin de prdidas y la gestin de incidentes;

15. minimizar las prdidas;

16. mejorar el aprendizaje organizacional;

17. mejorar la resiliencia de la organizacin.

Esta norma pretende satisfacer las necesidades de una amplia gama de partes interesadas, incluyendo:

a) los responsables del desarrollo de la poltica de gestin del riesgo dentro de sus organizaciones;

b) los responsables por cargo de asegurar que el riesgo se gestiona eficazmente dentro toda la orga-nizacin, o en un rea, actividad o proyecto especfico;

c) aquellos que necesitan evaluar la eficacia de una organizacin en la gestin del riesgo;

d) quienes desarrollan normas, guas, procedimientos y cdigos de prctica que, completa o par-cialmente, establecen de qu forma el riesgo debe gestionarse en el contexto especfico de estos documentos.

Las actuales prcticas y procesos de gestin en muchas organizaciones incluyen componentes de gestin del riesgo, y muchas organizaciones ya han adoptado un proceso formal de gestin del ries-go para ciertos tipos de riesgo o circunstancias. En tales casos, desde el punto de vista de esta norma, una organizacin puede decidir llevar a cabo una revisin crtica de sus prcticas y procesos actuales.

En esta norma, se utilizan las expresiones gestin del riesgo y gestionar el riesgo. En trminos gene-rales, la gestin del riesgo se refiere a la arquitectura (principios, marco y proceso) para gestionar los riesgos con eficacia, mientras que gestionar el riesgo se refiere a la aplicacin de esta arquitectura a ciertos riesgos en particular.


IRAM-ISO 31000:2015

9

Figura 1 - Relaciones entre los principios, el marco y el proceso de gestin del riesgo


IRAM-ISO 31000:2015

10

1 OBJETO Y CAMPO DE APLICACIN

Esta norma establece los principios y las guas generales para la gestin del riesgo.

Esta norma la puede utilizar cualquier empresa pblica, privada o comunitaria, asociacin, grupo o individuo. Por lo tanto, esta norma no es especfica a ninguna industria o sector.

NOTA. Por conveniencia, a todos los diferentes usuarios de esta norma se los llama por el trmino general organizacin.

Esta norma se puede aplicar durante toda la vida de una organizacin y a una amplia gama de acti-vidades, incluidas las estrategias y decisiones, las operaciones, los procesos, las funciones, los proyectos, los productos, los servicios y los activos.

Esta norma se puede aplicar a cualquier tipo de riesgo, independientemente de su naturaleza, que tenga consecuencias positivas o negativas.

Si bien esta norma proporciona guas genricas, no es su intencin promover la uniformidad en la gestin del riesgo a travs de las organizaciones. El diseo y la implementacin de planes y marcos para la gestin del riesgo deben tener en cuenta las diversas necesidades de una organizacin es-pecfica, sus objetivos, contexto, marco, operaciones, procesos, funciones, proyectos, productos, servicios o activos particulares y las prcticas especficas empleadas.

Se pretende que esta norma se utilice para armonizar los procesos de gestin del riesgo tanto en normas actuales como futuras. Esta norma proporciona un enfoque amplio para brindar apoyo a normas enfocadas a riesgos o sectores especficos, en lugar de reemplazarlas.

Esta norma no est destinada a la certificacin.

DOCUMENTOS NORMATIVOS PARA CONSULTA

Para la aplicacin de esta norma no es necesaria la consulta de ninguna otra.

2 TRMINOS Y DEFINICIONES

Para los propsitos de este documento, se aplican los trminos y definiciones siguientes.

2.1 riesgo efecto de la incertidumbre sobre el logro de los objetivos

NOTA 1. Un efecto es un desvo respecto de lo esperado - ya sea positivo y/o negativo.

NOTA 2. Los objetivos pueden tener diferentes aspectos (tales como financieros, relativos a la seguridad y la salud, y al medio ambiente) y pueden aplicarse en diferentes planos (por ejemplo, estratgico, organizacional, relativos a proyectos, productos y procesos).

NOTA 3. Generalmente el riesgo est caracterizado por referencia a eventos (2.17) potenciales y sus consecuencias (2.18) o a una combinacin de ambos.

NOTA 4. El riesgo por lo general se define en trminos de la combinacin de las consecuencias de un evento (incluyendo cambios en las circunstancias) y la probabilidad (2.19) de ocurrencia relacionada.


IRAM-ISO 31000:2015

11

NOTA 5. La incertidumbre es el estado, incluso parcial, de la deficiencia de informacin, entendimiento o conocimiento de un evento, su consecuencia o probabilidad.

NOTA IRAM. Definicin 1.1 de la IRAM-ISO 73:2013.

2.2 gestin del riesgo actividades coordinadas para dirigir y controlar una organizacin con respecto al riesgo (2.1)


2.3 marco de gestin del riesgo conjunto de elementos que sientan los fundamentos y disposiciones dentro de la organizacin para disear, implementar, hacer el seguimiento y control (2.28), revisar y mejorar continuamente la gestin del riesgo (2.2) en toda la organizacin

NOTA 1. Los fundamentos incluyen la poltica, los objetivos, las obligaciones y los compromisos para gestionar el riesgo (2.1).

NOTA 2. Las disposiciones de la organizacin incluyen planes, relaciones, responsabilidades por cargo, recursos, procesos y actividades.

NOTA 3. El marco de gestin del riesgo est contenido en todas las polticas y las prcticas estratgicas y operativas de la organizacin.

NOTA IRAM. Definicin 2.1.1 de la IRAM-ISO 73:2013.

2.4 poltica de gestin del riesgo declaracin de las intenciones y orientaciones generales de una organizacin relativas a la gestin del riesgo (2.2)


2.5 actitud frente al riesgo enfoque de la organizacin con respecto a la evaluacin y eventualmente, la bsqueda, la retencin, la aceptacin o la evasin del riesgo (2.1)

NOTA IRAM. Definicin 3.7.1.1 de la IRAM-ISO 73:2013.

2.6 plan de gestin del riesgo esquema dentro del marco de gestin del riesgo (2.3) que especifica el enfoque y los elementos de gestin y recursos que se aplicarn en la gestin del riesgo (2.1)

NOTA 1. Los elementos de gestin por lo general incluyen los procedimientos, las prcticas, la asignacin de responsabili-dades y el cronograma de las actividades.

NOTA 2. El plan de gestin del riesgo se puede aplicar a un producto, proceso y proyecto determinado y a toda la organiza-cin o a parte de ella.


2.7 propietario del riesgo persona o entidad que posee la responsabilidad por cargo y la autoridad para gestionar el riesgo (2.1)



IRAM-ISO 31000:2015

12

2.8 proceso de gestin del riesgo aplicacin sistemtica de las polticas, los procedimientos y las prcticas de gestin a las actividades de comunicacin, consulta, establecimiento del contexto, identificacin, anlisis, valoracin, trata-miento, seguimiento y control (2.28) y revisin del riesgo (2.1)


2.9 establecimiento del contexto definicin de los parmetros externos e internos a considerar al momento de gestionar el riesgo y fijar el alcance y los criterios de riesgo (2.22) para la poltica de gestin del riesgo (2.4)


2.10 contexto externo entorno externo en el cual la organizacin busca alcanzar sus objetivos

NOTA. El contexto externo puede incluir:

1. el entorno cultural y social, poltico, legal, reglamentario, financiero, tecnolgico, econmico, natural y competitivo, ya sea a nivel local, regional, nacional o internacional;

2. los factores clave y las tendencias que impactan sobre los objetivos de la organizacin; y

3. las relaciones con las partes interesadas (2.13) externas y sus percepciones y valores.


2.11 contexto interno entorno interno en el cual la organizacin busca alcanzar sus objetivos

NOTA. El contexto interno puede incluir:

1. la gobernanza, la estructura de la organizacin, los roles y las responsabilidades por cargo;

2. las polticas, los objetivos y las estrategias para alcanzar los objetivos;

3. las capacidades, concebidas en trminos de recursos y conocimientos (por ejemplo, capital, tiempo, gente, procesos, sistemas y tecnologas);

4. los sistemas de informacin, los flujos de informacin y los procesos de toma de decisiones (tanto formales como in-formales);

5. las relaciones con las partes interesadas internas y sus percepciones y valores;

6. la cultura de la organizacin;

7. las normas, las guas y los modelos adoptados por la organizacin; y

8. la forma y el alcance de las relaciones contractuales.



IRAM-ISO 31000:2015

13

2.12 comunicacin y consulta procesos continuos e iterados llevados a cabo por una organizacin para brindar, compartir u obtener informacin y para entablar un dilogo con las partes interesadas (2.13) en relacin a la gestin del riesgo (2.1)

NOTA 1. La informacin puede estar relacionada con la existencia, la naturaleza, la forma, la probabilidad (2.19), la rele-vancia, la valoracin, la aceptabilidad y el tratamiento de la gestin del riesgo.

NOTA 2. La consulta es un proceso bidireccional de comunicacin entre una organizacin y sus partes interesadas en rela-cin a un tema antes de tomar una decisin o de determinar un curso de accin al respecto. La consulta es:

1. un proceso que impacta sobre una decisin por medio de la influencia ms que de una relacin de poder; y

2. una entrada en la toma de decisiones, no la toma de decisiones de manera conjunta.


2.13 parte interesada persona u organizacin que puede afectar, estar afectada o considerarse afectada por una decisin o actividad

NOTA. El responsable de la toma de decisiones puede ser una parte interesada.


2.14 evaluacin del riesgo proceso general de identificacin del riesgo (2.15), anlisis del riesgo (2.21) y valoracin del riesgo (2.24)


2.15 identificacin del riesgo proceso que permite encontrar, reconocer y describir los riesgos (2.1)

NOTA 1. La identificacin del riesgo incluye la identificacin de las fuentes de riesgo (2.16), los eventos (2.17), sus cau-sas y sus consecuencias (2.18) potenciales.

NOTA 2. La identificacin del riesgo puede incluir datos histricos, anlisis tericos, opiniones informadas y expertas y las necesidades de las partes interesadas (2.13).


2.16 fuente de riesgo elemento que slo o combinado posee potencial intrnseco para originar el riesgo (2.1)

NOTA. Una fuente de riesgo puede ser tangible o intangible.


2.17 evento ocurrencia o cambio de un conjunto de circunstancias en particular

NOTA 1. Un evento puede ser una o ms ocurrencias y puede tener varias causas.


IRAM-ISO 31000:2015

14

NOTA 2. Un evento puede ser que algo no pase.

NOTA 3. Un evento en determinadas ocasiones puede denominarse incidente o accidente.

NOTA 4. Un evento sin consecuencias (2.18) tambin puede denominarse cuasi accidente, incidente, cuasi incidente o accidente potencial.


2.18 consecuencia resultado de un evento (2.17) que afecta los objetivos

NOTA 1. Se puede derivar ms de una consecuencia de un mismo evento.

NOTA 2. Una consecuencia puede ser cierta o incierta y puede tener efectos positivos o negativos sobre los objetivos.

NOTA 3. Las consecuencias se pueden expresar de manera cualitativa o cuantitativa.

NOTA 4. Las consecuencias iniciales pueden incrementarse debido a los efectos secundarios.


2.19 probabilidad posibilidad de que ocurra algo

NOTA 1. Segn la terminologa relacionada con la gestin del riesgo, la palabra probabilidad se utiliza para hacer referencia a la posibilidad de que ocurra algo, ya sea definida, medida o determinada de manera objetiva o subjetiva, cualitativa o cuantitativamente y descripta matemticamente o en trminos generales [como, por ejemplo, la probabilidad matemtica o la frecuencia durante un perodo determinado].

NOTA 2. En algunos idiomas el trmino ingls likelihood no posee un equivalente directo. Por lo tanto, generalmente se utiliza un equivalente del trmino probabilidad. Sin embargo, en ingls, el trmino probability se interpreta especficamente como un trmino matemtico. En consecuencia, en la terminologa relacionada con la gestin del riesgo, el trmino de pro-babilidad likelihood se utiliza con el mismo significado amplio que posee el trmino probabilidad en muchos otros idiomas distintos del ingls.


2.20 perfil de riesgo descripcin de cualquier conjunto de riesgos (2.1)

NOTA. El conjunto de riesgos puede incluir aquellos riesgos relacionados con toda la organizacin o con una parte de ella, o como se lo haya definido en el alcance.


2.21 anlisis del riesgo proceso cuyo objetivo es comprender la naturaleza del riesgo (2.1) y determinar el nivel de riesgo (2.23)

NOTA 1. El anlisis del riesgo proporciona la base para la valoracin del riesgo (2.24) y las decisiones con respecto al tratamiento del riesgo (2.25).

NOTA 2. El anlisis del riesgo incluye la estimacin del riesgo.



IRAM-ISO 31000:2015

15

2.22 criterios de riesgo trminos de referencia en base a los cuales se evala la relevancia del riesgo (2.1)

NOTA 1. Los criterios de riesgo estn basados en los objetivos de la organizacin y en el contexto interno (2.11) y externo (2.10).

NOTA 2. Los criterios de riesgo pueden surgir de normas, leyes, polticas y otros requisitos.


2.23 nivel de riesgo magnitud de un riesgo (2.1) o combinacin de riesgos, expresada en trminos de la combinacin de sus consecuencias (2.18) y su probabilidad (2.19)


2.24 valoracin del riesgo proceso que consiste en comparar los resultados del anlisis del riesgo (2.21) con los criterios de riesgo (2.22) con el fin de determinar si el riesgo (2.1) y/o su magnitud son aceptables o tolerables

NOTA. La valoracin del riesgo contribuye al momento de decidir acerca del tratamiento del riesgo (2.25).


2.25 tratamiento del riesgo proceso para modificar el riesgo (2.1)

NOTA 1. El tratamiento del riesgo puede implicar:

1. evitar el riesgo al decidir no comenzar o no continuar con la actividad que da origen al riesgo;

2. aceptar el riesgo o aumentarlo en bsqueda de una oportunidad;

3. eliminar la fuente de riesgo (2.16)

4. modificar la probabilidad (2.19);

5. modificar las consecuencias (2.18);

6. compartir el riesgo con otra parte o partes (lo que incluye contratos y financiar el riesgo); y

7. retener el riesgo mediante una decisin informada.

NOTA 2. Los tratamientos de riesgos que abordan las consecuencias negativas suelen denominarse mitigacin de riesgos, eliminacin de riesgos, prevencin de riesgos y reduccin de riesgos.

NOTA 3. El tratamiento del riesgo puede crear nuevos riesgos o modificar los riesgos existentes.


2.26 control medida que modifica el riesgo (2.1)

NOTA 1. Los controles incluyen cualquier proceso, poltica, dispositivo, prctica u otras acciones que modifiquen el riesgo.


IRAM-ISO 31000:2015

16

NOTA 2. Puede ocurrir que los controles no siempre produzcan el efecto de modificacin deseado o previsto.


2.27 riesgo residual riesgo (2.1) remanente luego del tratamiento del riesgo (2.25)

NOTA 1. El riesgo residual puede incluir riesgo no identificado.

NOTA 2. Tambin se lo conoce como riesgo retenido.


2.28 seguimiento y control control, supervisin, observacin crtica o determinacin del estado de manera continua con el fin de identificar cambios en el nivel requerido o esperado de desempeo

NOTA. El seguimiento y control puede aplicarse al marco de gestin del riesgo (2.3), al proceso de gestin del riesgo (2.8), al riesgo (2.1) o al control (2.26).


2.29 revisin actividad realizada para determinar la pertinencia, la adecuacin y la eficacia del asunto en cuestin para alcanzar los objetivos establecidos

NOTA. La revisin se puede aplicar al marco de gestin del riesgo (2.3), al proceso de gestin del riesgo (2.8), al ries-go (2.1) o al control (2.26).


3 PRINCIPIOS

Para que la gestin del riesgo sea eficaz, se recomienda que la organizacin cumpla, en todos los ni-veles, con los principios siguientes.

a) La gestin del riesgo crea y protege valor. La gestin del riesgo contribuye a demostrar el logro de los objetivos y la mejora en el desempeo

relacionado, por ejemplo, con la salud y seguridad ocupacional, la seguridad, el cumplimiento legal y reglamentario, la aceptacin pblica, la proteccin del medio ambiente, la calidad del producto, la gestin de proyectos, la eficiencia en las operaciones, la gobernanza y la reputacin.

b) La gestin del riesgo es una parte integral de todos los procesos de la organizacin. La gestin del riesgo no es una actividad autnoma e independiente de las principales activida-

des y procesos de la organizacin. La gestin del riesgo forma parte de las responsabilidades de la direccin y es una parte integral de todos los procesos de la organizacin, incluyendo la plani-ficacin estratgica y todos los procesos de gestin de proyectos y gestin del cambio.

c) La gestin del riesgo es parte de la toma de decisiones. La gestin del riesgo ayuda a los responsables de la toma de decisiones a efectuar elecciones

informadas, a priorizar acciones y a distinguir entre varias alternativas.


IRAM-ISO 31000:2015

17

d) La gestin del riesgo trata explcitamente la incertidumbre. La gestin del riesgo tiene en cuenta explcitamente la incertidumbre, la naturaleza de esta incer-

tidumbre y cmo puede tratarse.

e) La gestin del riesgo es sistemtica, estructurada y oportuna. Un enfoque sistemtico, oportuno y estructurado de la gestin del riesgo contribuye a la eficien-

cia y a la obtencin de resultados coherentes, comparables y confiables.

f) La gestin del riesgo se basa en la mejor informacin disponible. Las entradas del proceso de gestin del riesgo se basan en fuentes de informacin, tales como

datos histricos, experiencias, retroalimentacin de las partes interesadas, observaciones, pro-nsticos y la opinin de los expertos. Sin embargo, se recomienda que los responsables de la toma de decisiones se informen y tengan en cuenta las limitaciones de los datos o del modelo usado, o la posibilidad de discrepancia entre los expertos.

g) La gestin del riesgo est hecha a medida. La gestin del riesgo est alineada con el contexto interno y externo de la organizacin y con su

perfil de riesgo.

h) La gestin del riesgo tiene en cuenta factores humanos y culturales. La gestin del riesgo reconoce las capacidades, intenciones y percepciones de la gente interna y

externa que pueden facilitar o dificultar el logro de los objetivos de la organizacin.

i) La gestin del riesgo es transparente e inclusiva. La participacin adecuada y oportuna de las partes interesadas y, en particular de los responsa-

bles de la toma de decisiones en todos los niveles de la organizacin, asegura que la gestin del riesgo siga siendo pertinente y estando actualizada. La participacin tambin le permite a las partes interesadas estar debidamente representadas y que se tenga en cuenta su perspectiva al determinar los criterios de riesgo.

j) La gestin del riesgo es dinmica, iterativa y capaz de reaccionar ante los cambios. La gestin del riesgo continuamente detecta y responde al cambio. En la medida en que ocurren

eventos internos y externos, se modifican el contexto y el conocimiento, se realiza el seguimiento y control y la revisin del riesgo, surgen nuevos riesgos, algunos se modifican y otros desaparecen.

k) La gestin del riesgo permite la mejora continua de la organizacin. Se recomienda que las organizaciones desarrollen e implementen estrategias para mejorar su

madurez en la gestin del riesgo, juntamente con todos los dems aspectos de su organizacin.

El anexo A contiene informacin adicional para las organizaciones que deseen gestionar el riesgo con mayor eficacia.

4 MARCO

4.1 Generalidades

El xito de la gestin del riesgo depende de la eficacia del marco de gestin que proporciona los fun-damentos y las disposiciones que se deben incorporar en toda la organizacin y en todos los niveles. El marco ayuda a gestionar el riesgo con eficacia a travs de la aplicacin del proceso de gestin del riesgo (ver captulo 5) a diferentes niveles y dentro de contextos especficos dentro la organizacin. El marco asegura que la informacin sobre los riesgos que deriva de ese proceso de gestin del


IRAM-ISO 31000:2015

18

riesgo se informe y utilice adecuadamente como base para la toma de decisiones y la responsabili-dad por cargo en todos los niveles pertinentes de la organizacin.

Este captulo describe los elementos necesarios del marco de gestin del riesgo y la forma en que se relacionan de manera iterativa, tal como se muestra en la figura 2.

Figura 2 - Relacin entre los elementos del marco de gestin del riesgo

Este marco no pretende prescribir un sistema de gestin, sino ms bien ayudar a la organizacin a integrar la gestin del riesgo en su sistema de gestin general. Por lo tanto, se recomienda que las organizaciones adapten los elementos del marco a sus necesidades especficas.

Si las prcticas y procesos de gestin existentes dentro de una organizacin incluyen los elementos de la gestin del riesgo o si la organizacin ya ha adoptado un proceso formal de gestin del riesgo para determinados tipos de riesgo o situaciones, entonces se recomienda revisarlos y evaluarlos crticamen-te con respecto a esta norma, incluyendo los atributos que figuran en el Anexo A, para determinar su suficiencia y eficacia.

4.2 Mandato y compromiso

La introduccin de la gestin del riesgo y la garanta de su eficacia continua, requiere un compromiso firme y sostenido por parte de la direccin de la organizacin, as como una planificacin rigurosa y estratgica para obtener dicho compromiso en todos los niveles. Se recomienda que la direccin:

1. defina y respalde la poltica de gestin del riesgo;

2. asegure que la cultura de la organizacin y la poltica de gestin del riesgo estn alineadas;

3. defina indicadores de desempeo para la gestin del riesgo que estn alineados con los indica-dores de desempeo de la organizacin;


IRAM-ISO 31000:2015

19

4. alinee los objetivos de gestin del riesgo a los objetivos y estrategias de la organizacin;

5. asegure el cumplimiento legal y reglamentario;

6. asigne responsabilidades por cargo y responsabilidades a niveles apropiados dentro de la orga-nizacin;

7. asegure que se asignen los recursos necesarios para la gestin del riesgo;

8. comunique los beneficios de la gestin del riesgo a todas las partes interesadas;

9. asegure que el marco de gestin del riesgo contina siendo apropiado.

4.3 Diseo de un marco para gestionar el riesgo

4.3.1 Comprensin de la organizacin y su contexto

Antes de iniciar el diseo y la implementacin del marco para gestionar el riesgo, es importante eva-luar y comprender tanto el contexto interno como el externo de la organizacin, ya que estos pueden influir significativamente en el diseo del marco.

La evaluacin del contexto externo de la organizacin puede incluir, pero no est limitada a:

a) el entorno cultural y social, poltico, legal, reglamentario, financiero, tecnolgico, econmico, na-tural y competitivo, ya sea a nivel local, regional, nacional o internacional;

b) los factores clave y las tendencias que impactan sobre los objetivos de la organizacin;

c) las relaciones con las partes interesadas externas y sus percepciones y valores.

La evaluacin del contexto interno de la organizacin puede incluir, pero no est limitada a:



3. las capacidades, concebidas en trminos de recursos y conocimientos (por ejemplo, capital, tiempo, gente, procesos, sistemas y tecnologas);

4. los sistemas y los flujos de informacin y los procesos de toma de decisiones (tanto formales como informales);


6. las normas, las guas y los modelos adoptados por la organizacin;


4.3.2 Establecimiento de la poltica de gestin del riesgo

Se recomienda que la poltica de gestin del riesgo establezca claramente los objetivos de la organi-zacin para la gestin del riesgo y su compromiso con sta y en general trate lo siguiente:

1. la lgica de la organizacin para gestionar el riesgo;

2. las conexiones entre los objetivos y polticas de la organizacin y la poltica de gestin del riesgo;


IRAM-ISO 31000:2015

20

3. las responsabilidades por cargo y responsabilidades en materia de gestin del riesgo;

4. la forma en que se gestionan los conflictos de intereses;

5. el compromiso de asignar los recursos necesarios para asistir a los responsables por cargo y responsables de la gestin del riesgo;

6. la forma en que se va a medir e informar el desempeo de la gestin del riesgo;

7. el compromiso de revisar y mejorar la poltica y el marco de gestin del riesgo tanto peridica-mente como en respuesta a un evento o cambio en las circunstancias.

Se recomienda comunicar adecuadamente la poltica de gestin del riesgo.

4.3.3 Responsabilidad por cargo

Se recomienda que la organizacin asegure que haya responsabilidad por cargo, autoridad y compe-tencia adecuada para gestionar el riesgo, incluyendo la implementacin y el mantenimiento del proceso de gestin del riesgo, y asegurando suficiencia, eficacia y eficiencia en los controles. Esto se puede facilitar mediante:

1. la identificacin de los propietarios del riesgo que tienen responsabilidad por cargo y autoridad para gestionar los riesgos;

2. la identificacin de los responsables por cargo del desarrollo, la implementacin y el manteni-miento del marco de gestin del riesgo;

3. la identificacin de otras personas responsables del proceso de gestin del riesgo en todos los niveles de la organizacin;

4. el establecimiento de la medicin del desempeo, y los procesos de presentacin de informes in-ternos y externos y de escalamiento;

5. el aseguramiento de los niveles adecuados de reconocimiento.

4.3.4 Integracin con los procesos de la organizacin

Se recomienda incorporar la gestin del riesgo en todas las prcticas y los procesos de la organiza-cin de manera pertinente, eficaz y eficiente. Se recomienda que el proceso de gestin del riesgo se convierta en parte integral de esos procesos y que no se lo separe. En particular, se recomienda que la gestin del riesgo se incorpore al desarrollo de polticas, a la planificacin y la revisin estratgica y de negocios, y a los procesos de gestin del cambio.

Se recomienda que haya un plan de gestin del riesgo para toda la organizacin con el fin de asegu-rar que la poltica de gestin del riesgo est implementada y que la gestin del riesgo se incorpore en todas las prcticas y procesos de la organizacin. El plan de gestin del riesgo se puede integrar con otros planes de la organizacin, tales como el plan estratgico.

4.3.5 Recursos

Se recomienda que la organizacin asigne los recursos apropiados para la gestin del riesgo.

Se recomienda considerar los siguientes:

1. los recursos humanos, sus habilidades, experiencia y competencias;


IRAM-ISO 31000:2015

21

2. los recursos necesarios para cada paso del proceso de gestin del riesgo;

3. los procesos, los mtodos y las herramientas de la organizacin que se utilizarn para gestionar los riesgos;

4. los procesos y procedimientos documentados;

5. los sistemas de gestin de la informacin y del conocimiento;

6. los programas de capacitacin.

4.3.6 Establecimiento de mecanismos de comunicacin y presentacin de informes internos

Se recomienda que la organizacin establezca mecanismos de comunicacin y presentacin de in-formes internos para apoyar y fomentar la responsabilidad por cargo y la propiedad del riesgo. Se recomienda que tales mecanismos aseguren que:

1. se comuniquen apropiadamente los componentes clave del marco de gestin del riesgo y sus subsecuentes modificaciones;

2. exista un proceso adecuado de presentacin de informes internos sobre el marco, su eficacia y sus resultados;

3. la informacin pertinente derivada de la aplicacin de la gestin del riesgo est disponible en tiempo y forma en los niveles apropiados;

4. existan procesos de consulta con las partes interesadas internas.

Se recomienda que estos mecanismos incluyan, cuando corresponda, procesos para consolidar la infor-macin de riesgo a partir de una variedad de fuentes, teniendo en cuenta la sensibilidad de esta informacin.

4.3.7 Establecimiento de mecanismos de comunicacin y presentacin de informes externos

Se recomienda que la organizacin desarrolle e implemente un plan acerca de la forma de comuni-cacin con las partes interesadas externas. Se recomienda que esto incluya:

1. el compromiso de las partes interesadas externas apropiadas y el aseguramiento de un inter-cambio eficaz de informacin;

2. la presentacin de informes externos para cumplir con los requisitos legales, reglamentarios y de gobernanza;

3. la retroalimentacin y presentacin de informes sobre la comunicacin y la consulta;

4. el uso de la comunicacin para fomentar la confianza en la organizacin;

5. la comunicacin a las partes interesadas en caso de crisis o contingencia.

Se recomienda que estos mecanismos incluyan, cuando corresponda, procesos para consolidar la in-formacin de riesgo a partir de una variedad de fuentes, teniendo en cuenta la sensibilidad de esta informacin.


IRAM-ISO 31000:2015

22

4.4 Implementacin de la gestin del riesgo

4.4.1 Implementacin del marco para gestionar el riesgo

Al implementar el marco para gestionar el riesgo, se recomienda que la organizacin:

1. defina el cronograma y la estrategia apropiados para la implementacin del marco;

2. aplique la poltica y el proceso de gestin del riesgo a los procesos de la organizacin;

3. cumpla con los requisitos legales y reglamentarios;

4. garantice que la toma de decisiones, incluyendo el desarrollo y establecimiento de los objetivos, est alineada con los resultados de los procesos de gestin del riesgo;

5. realice sesiones de informacin y capacitacin;

6. comunique y consulte a las partes interesadas para asegurar que el marco de gestin del riesgo sigue siendo apropiado.

4.4.2 Implementacin del proceso de gestin del riesgo

Se recomienda implementar la gestin del riesgo asegurando que el proceso de gestin del riesgo descripto en el captulo 5 se aplique a travs de un plan de gestin del riesgo en todos los niveles y funciones pertinentes de la organizacin, como parte de sus prcticas y procesos.

4.5 Seguimiento y control, y revisin del marco

Para asegurar que la gestin del riesgo sea eficaz y contine apoyando el desempeo de la organi-zacin, se recomienda que sta:

1. mida el desempeo de la gestin del riesgo a travs de indicadores, que se revisan peridica-mente, para asegurar que sea apropiado;

2. mida peridicamente el avance y la desviacin con respecto al plan de gestin del riesgo;

3. revise peridicamente si la poltica, el plan y el marco de gestin del riesgo siguen siendo apro-piados, segn el contexto interno y externo de la organizacin;

4. informe sobre los riesgos, el avance del plan de gestin del riesgo y el cumplimiento de la polti-ca de gestin del riesgo;

5. revise la eficacia del marco de gestin del riesgo.

4.6 Mejora continua del marco

Teniendo en cuenta los resultados del seguimiento y control, y de la revisin, se recomienda que se tomen decisiones sobre la forma en que se puede mejorar la poltica, el plan y el marco de gestin del riesgo. Se recomienda que estas decisiones provoquen mejoras en la gestin del riesgo por parte de la organizacin y en su cultura de gestin del riesgo.


IRAM-ISO 31000:2015

23

5 PROCESO

5.1 Generalidades

Se recomienda que el proceso de gestin del riesgo:

1. sea parte integral de la gestin;

2. se incorpore a la cultura y las prcticas;

3. se adapte a los procesos de negocio de la organizacin.

ste incluye las actividades descriptas en 5.2 a 5.6. El proceso de gestin del riesgo se muestra en la figura 3.

Figura 3 - Proceso de gestin del riesgo

5.2 Comunicacin y consulta

Se recomienda que la comunicacin y la consulta con las partes interesadas internas y externas se realicen en todas las etapas del proceso de gestin del riesgo.


IRAM-ISO 31000:2015

24

Por lo tanto, se recomienda:

1. que los planes de comunicacin y consulta se desarrollen en una etapa temprana;

2. que estos planes traten las cuestiones relacionadas con el riesgo en s mismo, sus causas, sus consecuencias (si se conocen) y las medidas que se han adoptado para tratarlo;

3. realizar comunicacin y consulta, tanto interna como externa, eficaces para asegurar que los res-ponsables por cargo de la implementacin del proceso de gestin del riesgo y las partes interesadas entiendan los fundamentos con los cuales se toman las decisiones y las razones por las cuales se requieren acciones especficas.

El enfoque de un equipo consultivo puede:

1. ayudar a establecer el contexto apropiadamente;

2. asegurar que las necesidades de las partes interesadas se comprendan y consideren;

3. contribuir a asegurar que los riesgos estn debidamente identificados;

4. reunir diferentes reas de especializacin para que en forma conjunta analicen los riesgos;

5. asegurar que los distintos puntos de vista sean considerados adecuadamente al definir los criterios y la valoracin del riesgo;

6. asegurar la aprobacin y el apoyo a un plan de tratamiento;

7. intensificar una apropiada gestin del cambio durante el proceso de gestin del riesgo;

8. desarrollar un plan adecuado para la comunicacin y la consulta interna y externa.

La comunicacin y la consulta con las partes interesadas es importante debido a que ellas juzgan el riesgo basndose en sus percepciones. Estas percepciones pueden variar debido a diferencias en los valores, las necesidades, las suposiciones, los conceptos y las preocupaciones de las partes in-teresadas. Como sus puntos de vista pueden tener un impacto significativo sobre las decisiones tomadas, se recomienda que las percepciones de las partes interesadas se identifiquen, se registren y se tengan en cuenta en el proceso de la toma de decisiones.

Se recomienda que la comunicacin y la consulta faciliten el intercambio de informacin veraz, perti-nente, exacta y comprensible, teniendo en cuenta aspectos de integridad personal y confidencialidad.

5.3 Establecimiento del contexto

5.3.1 Generalidades

Al establecer el contexto, la organizacin articula sus objetivos, define los parmetros internos y ex-ternos a considerar al gestionar los riesgos, y establece el alcance y los criterios de riesgo para el resto del proceso.

A pesar de que muchos de estos parmetros son similares a los considerados en el diseo del marco de gestin del riesgo (ver 4.3.1), cuando se establece el contexto para el proceso de gestin del ries-go, se los necesita considerar con mayor detalle y, en particular, la forma en que se relacionan con el alcance del proceso de gestin del riesgo especfico.


IRAM-ISO 31000:2015

25

5.3.2 Establecimiento del contexto externo

El contexto externo es el entorno externo en el cual la organizacin busca alcanzar sus objetivos.

Comprender el contexto externo es importante para asegurar que los objetivos y las preocupaciones de las partes interesadas externas se consideren al desarrollar los criterios de riesgo. El contexto ex-terno se basa en el contexto de toda la organizacin, pero con detalles especficos acerca de los requisitos legales y reglamentarios, las percepciones de las partes interesadas y otros aspectos de los riesgos especficos al alcance del proceso de gestin del riesgo.

El contexto externo puede incluir, pero no est limitado a:

1. el entorno cultural y social, poltico, legal, reglamentario, financiero, tecnolgico, econmico, na-tural y competitivo, ya sea a nivel local, regional, nacional o internacional;

2. los factores clave y las tendencias que impactan sobre los objetivos de la organizacin;

3. las relaciones con las partes interesadas externas y sus percepciones y valores.

5.3.3 Establecimiento del contexto interno

El contexto interno es el entorno interno en el cual la organizacin busca alcanzar sus objetivos.

Se recomienda que el proceso de gestin del riesgo est alineado con la cultura, los procesos, la es-tructura y la estrategia de la organizacin. El contexto interno es todo lo que se encuentra dentro de la organizacin y que puede influir en la forma en la que la organizacin gestiona el riesgo. Se reco-mienda su establecimiento porque:

a) la gestin del riesgo tiene lugar en el contexto de los objetivos de la organizacin;

b) los objetivos y los criterios para un proyecto, proceso o actividad en particular, se consideran a la luz de los objetivos de la organizacin en su conjunto;

c) algunas organizaciones no reconocen las oportunidades para alcanzar sus objetivos estratgicos de proyecto o de negocio, y esto afecta a la continuidad del compromiso de la organizacin, su credibilidad, su confianza y su valor.

Es necesario comprender el contexto interno. Este puede incluir, pero no se limita a:



3. las capacidades, concebidas en trminos de recursos y conocimientos (por ejemplo capital, tiempo, recursos humanos, procesos, sistemas y tecnologas);

4. los sistemas y los flujos de informacin y los procesos de toma de decisiones (tanto formales como informales);


6. la cultura de la organizacin;

7. las normas, las guas y los modelos adoptados por la organizacin;



IRAM-ISO 31000:2015

26

5.3.4 Establecimiento del contexto del proceso de gestin del riesgo

Se recomienda establecer los objetivos, las estrategias, el alcance y los parmetros de las actividades de la organizacin, o de aquellas partes de la organizacin en la cuales el proceso de gestin del riesgo se aplica. Se recomienda emprender la gestin del riesgo teniendo en cuenta la necesidad de justificar los recursos utilizados para llevar a la prctica la gestin del riesgo. Tambin se recomienda especificar los recursos necesarios, las responsabilidades y autoridades, y los registros que se deben mantener.

El contexto del proceso de gestin del riesgo vara de acuerdo a las necesidades de la organizacin. Este puede incluir, pero no se limita a:

1. la definicin de las metas y objetivos de las actividades de gestin del riesgo;

2. la definicin de las responsabilidades dentro del proceso de gestin del riesgo;

3. la definicin del alcance as como tambin la profundidad y la amplitud de las actividades de ges-tin del riesgo a ser llevadas a cabo, agregando las inclusiones y exclusiones especficas;

4. la definicin de la actividad, el proceso, la funcin, el proyecto, el producto, el servicio o el activo en trminos de tiempo y ubicacin;

5. la definicin de la relacin entre un proyecto, proceso o actividad especfico y otros proyectos, procesos o actividades de la organizacin;

6. la definicin de las metodologas de evaluacin del riesgo;

7. la definicin de la manera en que se evalan el desempeo y la eficacia de la gestin del riesgo;

8. la identificacin y la especificacin de las decisiones que se deben tomar;

9. la identificacin, la definicin del alcance o las limitaciones de los estudios necesarios, su exten-sin y objetivos, y de los recursos necesarios para tales estudios.

Se recomienda que la atencin a estos y otros factores pertinentes asegure que el enfoque de ges-tin del riesgo adoptado sea apropiado a las circunstancias, a la organizacin y a los riesgos que afectan el logro de sus objetivos.

5.3.5 Definicin de los criterios de riesgo

Se recomienda que:

a) la organizacin defina los criterios que se van a utilizar para valorar la importancia del riesgo;

b) los criterios reflejen los valores, objetivos y recursos de la organizacin. Algunos criterios pueden ser impuestos por, o derivados de, requisitos legales y reglamentarios y otros requisitos a los que la organizacin est sujeta;

c) los criterios de riesgo sean coherentes con la poltica de gestin del riesgo de la organizacin (ver 4.3.2), se definan al comienzo de cualquier proceso de gestin del riesgo y se revisen conti-nuamente.

Al definir los criterios de riesgo, se recomienda incluir los factores siguientes:

1. la naturaleza y los tipos de causas y consecuencias que pueden ocurrir y cmo se van a medir;

2. cmo se va a definir la probabilidad;


IRAM-ISO 31000:2015

27

3. la evolucin temporal de la probabilidad y/o de las consecuencias;

4. cmo se va determinar el nivel de riesgo;

5. los puntos de vista de las partes interesadas;

6. el nivel al cual el riesgo se convierte en aceptable o tolerable;

7. si se toma en cuenta la combinacin de mltiples riesgos, cmo y qu combinaciones considerar.

5.4 Evaluacin del riesgo

5.4.1 Generalidades

La evaluacin del riesgo es el proceso general de identificacin, anlisis y valoracin del riesgo.

NOTA. La ISO/IEC 31010 ofrece guas sobre las tcnicas de evaluacin del riesgo.

5.4.2 Identificacin del riesgo

Se recomienda que la organizacin identifique las fuentes de riesgo, las reas de impacto, los eventos (incluyendo cambios en las circunstancias) y sus causas y potenciales consecuencias. El propsito de este paso es generar una lista completa de los riesgos sobre la base de aquellos eventos que puedan originar, incrementar, prevenir, disminuir, retrasar o acelerar el logro de objetivos. Es importante identifi-car aquellos riesgos asociados a no aprovechar una oportunidad. La identificacin completa es crtica, porque el riesgo que no se identifica en esta etapa no se incluir en el anlisis posterior.

Se recomienda que la identificacin del riesgo incluya todos los riesgos, estn o no sus fuentes bajo el control de la organizacin, an cuando la fuente o causa del riesgo no sea evidente. Se recomien-da que la identificacin del riesgo incluya la consideracin de los efectos secundarios de consecuencias concretas, incluyendo efectos acumulativos y en cascada. Tambin es recomendable considerar una amplia gama de consecuencias, incluso cuando la fuente o causa del riesgo no sea evidente. Adems de identificar lo que puede suceder, es necesario considerar las posibles causas y escenarios que muestran las consecuencias que pueden ocurrir. Se recomienda considerar todas las causas y consecuencias significativas.

Se recomienda que la organizacin utilice herramientas y tcnicas de identificacin del riesgo que sean apropiadas a sus objetivos y capacidades y a los riesgos que enfrenta. En la identificacin del riesgo es importante contar con informacin actualizada y pertinente. Cuando sea posible, se reco-mienda incluir antecedentes apropiados. Tambin se recomienda involucrar a personas que cuenten con el conocimiento apropiado para la identificacin del riesgo.

5.4.3 Anlisis del riesgo

El anlisis del riesgo consiste en desarrollar una comprensin del riesgo. El anlisis del riesgo pro-porciona una entrada para la valoracin del riesgo, para decidir si ste necesita tratarse y sobre las estrategias y los mtodos de tratamiento ms adecuados. El anlisis del riesgo tambin puede servir de entrada para la toma de decisiones cuando es necesario elegir alternativas y las opciones impli-can diferentes tipos y niveles de riesgo.

El anlisis del riesgo implica considerar las causas y las fuentes de riesgo, sus consecuencias positi-vas o negativas, y la probabilidad de que esas consecuencias ocurran. Se recomienda identificar los factores que afectan la probabilidad y las consecuencias. El riesgo se analiza determinando las con-secuencias y su probabilidad y otros atributos del riesgo. Un evento puede tener mltiples


IRAM-ISO 31000:2015

28

consecuencias y puede afectar mltiples objetivos. Tambin se recomienda tener en cuenta los con-troles existentes y su eficacia y eficiencia.

Se recomienda que la forma en que las consecuencias y la probabilidad se expresan y la forma en que se combinan para determinar un nivel de riesgo reflejen el tipo de riesgo, la informacin disponi-ble y el propsito para el cual se va a utilizar el resultado de la evaluacin. Es recomendable que todo esto sea coherente con los criterios de riesgo. Tambin es importante tener en cuenta la inter-dependencia de los distintos riesgos y sus fuentes.

Se recomienda considerar en el anlisis la confianza en la determinacin del nivel de riesgo y su sensibi-lidad a los prerrequisitos y a los supuestos y comunicarlo eficazmente a los responsables de la toma de decisiones y, cuando corresponda, a otras partes interesadas. Se recomienda definir y recalcar los facto-res, como la diferencia de opinin entre los expertos, la incertidumbre, la disponibilidad, la calidad, la cantidad y la pertinencia continua de la informacin, o las limitaciones del modelado.

El anlisis del riesgo se puede realizar con diferentes grados de detalle, dependiendo del riesgo, del propsito del anlisis, y de la informacin, los datos y los recursos disponibles. Dependiendo de las circunstancias, el anlisis puede ser cualitativo, semicuantitativo o cuantitativo o una combinacin de stos.

Las consecuencias y su probabilidad se pueden determinar mediante el modelado de los resultados de un evento o conjunto de eventos, o por la extrapolacin de los estudios experimentales o de los datos disponibles. Las consecuencias se pueden expresar en trminos de impacto tangible o intangi-ble. En algunos casos, se requiere ms de un valor numrico o descriptor para especificar las consecuencias y su probabilidad en diferentes momentos, lugares, grupos o situaciones.

5.4.4 Valoracin del riesgo

Basados en los resultados del anlisis del riesgo, el propsito de la valoracin es ayudar a decidir, cules riesgos necesitan tratamiento y la prioridad en la implementacin de ste.

La valoracin del riesgo implica la comparacin del nivel de riesgo detectado durante el proceso de anlisis con los criterios de riesgo que fueron establecidos cuando se consider el contexto. Basn-dose en esta comparacin, se puede considerar la necesidad de tratamiento.

Se recomienda que las decisiones tengan en cuenta el contexto ms amplio del riesgo e incluyan consideraciones acerca de la tolerancia al riesgo de las partes que no son la organizacin implicada en el riesgo. Se recomienda tomar decisiones de acuerdo a los requisitos legales, reglamentarios y a otros requisitos.

En algunas circunstancias, la valoracin del riesgo puede dar lugar a la decisin de realizar un anlisis ms detallado. Tambin, la valoracin del riesgo puede conducir a la decisin de no tratar el riesgo de ninguna otra manera salvo la de mantener los controles existentes. Esta decisin se ver influenciada por la actitud de la organizacin frente al riesgo y de los criterios de riesgo que se hayan establecido.

5.5 Tratamiento del riesgo

5.5.1 Generalidades

El tratamiento del riesgo implica la seleccin de una o ms opciones para modificar los riesgos, y la implementacin de tales opciones. Una vez implementado, el tratamiento ofrece nuevos controles o modifica los ya existentes.


IRAM-ISO 31000:2015

29

El tratamiento del riesgo implica el proceso cclico de:

1. evaluar un tratamiento del riesgo;

2. decidir si los niveles de riesgo residual son tolerables;

3. si no fuesen tolerables, implementar un nuevo tratamiento del riesgo;

4. evaluar la eficacia del tratamiento.

Las opciones para el tratamiento del riesgo no son, necesariamente, mutuamente excluyentes, o apropiadas en todas las circunstancias. Las opciones pueden incluir las siguientes:

a) evitar el riesgo al decidir no comenzar o no continuar con la actividad que da origen al riesgo;

b) aceptar el riesgo o aumentarlo en bsqueda de una oportunidad;

c) eliminar la fuente de riesgo;

d) modificar la probabilidad;

e) modificar las consecuencias;

f) compartir el riesgo con otra parte o partes (lo que incluye contratos y financiar el riesgo);

g) retener el riesgo mediante una decisin informada.

5.5.2 Seleccin de las opciones para el tratamiento del riesgo

Seleccionar la opcin ms adecuada para el tratamiento del riesgo implica balancear los costos y los esfuerzos de implementacin versus los beneficios obtenidos, con respecto a los requisitos legales, reglamentarios u otros requisitos, tales como la responsabilidad social y la proteccin del medio am-biente. Se recomienda que las decisiones, adems, tengan en cuenta los riesgos que requieren un tratamiento que no es econmicamente justificable, por ejemplo, los riesgos graves (gran conse-cuencia negativa) pero raros (probabilidad baja).

Algunas opciones para el tratamiento se pueden considerar y aplicar tanto individualmente como combinadas. La organizacin normalmente puede beneficiarse con la adopcin de una combinacin de opciones para el tratamiento.

Al seleccionar las opciones para el tratamiento del riesgo, se recomienda que la organizacin consi-dere los valores y las percepciones de las partes interesadas y los medios ms adecuados para comunicarse con ellas. Cuando las opciones para el tratamiento del riesgo pueden tener algn im-pacto sobre el riesgo en alguna otra parte de la organizacin o sobre las partes interesadas, se recomienda que estas estn involucradas en la decisin. Aunque sean igualmente efectivos, algunos tratamientos pueden ser ms aceptables para algunas partes interesadas que para otras.

Se recomienda que el plan de tratamiento identifique claramente el orden de prioridad en que se re-comienda implementar cada tratamiento del riesgo en particular.

El tratamiento del riesgo, por s mismo, puede introducir riesgos. Un riesgo significativo puede ser la fa-lla o ineficacia de las medidas de tratamiento del riesgo. El seguimiento y control tiene que ser parte integral del plan de tratamiento del riesgo para asegurar que las medidas continan siendo eficaces.

El tratamiento del riesgo tambin puede introducir riesgos secundarios a los cuales se necesita evaluar, tratar, hacer seguimiento y control, y revisar. Estos riesgos secundarios se pueden incorporar dentro del


IRAM-ISO 31000:2015

30

mismo plan de tratamiento que el riesgo original y no tratarse como un nuevo riesgo. Se recomienda identificar y preservar el vnculo entre ambos riesgos.

5.5.3 Elaboracin e implementacin de planes de tratamiento del riesgo

El propsito de los planes de tratamiento del riesgo es documentar cmo se implementarn las op-ciones seleccionadas para el tratamiento. Se recomienda que la informacin contenida en los planes de tratamiento incluya:

1. las razones para la seleccin de las opciones para el tratamiento, incluyendo los beneficios que se espera obtener;

2. los responsables por cargo de la aprobacin del plan y los responsables de la implementacin del plan;

3. las acciones propuestas;

4. los recursos necesarios, incluidas las contingencias;

5. las medidas y las restricciones de desempeo;

6. los requisitos para la presentacin de informes y el seguimiento y control;

7. el cronograma y la programacin.

Se recomienda que los planes de tratamiento estn integrados a los procesos de gestin de la orga-nizacin y debatidos con las partes interesadas apropiadas.

Se recomienda que los responsables de la toma de decisiones y otras partes interesadas se concien-ticen acerca de la naturaleza y el grado del riesgo residual despus del tratamiento del riesgo. Se recomienda que el riesgo residual se documente y someta a seguimiento y control, y revisin y, cuando corresponda, a un tratamiento adicional.

5.6 Seguimiento y control y revisin

Se recomienda que tanto el seguimiento y control como la revisin sean una parte planificada del proceso de gestin del riesgo e involucren la verificacin o supervisin regulares. Puede ser peridi-ca o ad hoc.

Se recomienda definir claramente las responsabilidades en el seguimiento y control y en la revisin.

Se recomienda que los procesos de seguimiento y control, y revisin de la organizacin abarquen todos los aspectos del proceso de gestin del riesgo con el fin de:

1. asegurar que los controles son eficaces y eficientes tanto en el diseo como en la operacin;

2. obtener informacin adicional para mejorar la evaluacin de riesgos;

3. analizar y aprender de los eventos (incluyendo los cuasi accidentes), los cambios, las tenden-cias, los xitos y los fracasos;

4. detectar cambios en el contexto externo e interno, incluyendo los cambios en los criterios de riesgo y en el riesgo mismo, que podran requerir la revisin de los tratamientos del riesgo y sus prioridades;

5. identificar los riesgos emergentes.


IRAM-ISO 31000:2015

31

El avance en la implementacin de los planes de tratamiento del riesgo proporciona una medida del desempeo. Con respecto al desempeo general de la organizacin, los resultados se pueden incorpo-rar en la gestin, la medicin y la presentacin de informes tanto externos como internos.

Se recomienda registrar los resultados del seguimiento y control y la revisin e informarlos tanto interna como externamente, cuando corresponda y tambin se recomienda utilizarlos como entrada para la re-visin del marco de gestin del riesgo (ver 4.5).

5.7 Registro del proceso de gestin del riesgo

Se recomienda que las actividades de gestin del riesgo sean trazables. En el proceso de gestin de riesgos, los registros proporcionan los fundamentos para mejorar los mtodos y las herramientas, as como todo el proceso general.

Al tomar decisiones concernientes a la creacin de registros, se recomienda tener en cuenta los si-guientes:

1. las necesidades de aprendizaje continuo por parte de la organizacin;

2. los beneficios de la reutilizacin de informacin con propsitos de gestin;

3. los costos y los esfuerzos involucrados en la creacin y el mantenimiento de los registros;

4. las necesidades legales, reglamentarias y operacionales en la creacin de registros;

5. el mtodo de acceso, la facilidad de recuperacin y los medios de almacenamiento;

6. el perodo de retencin;

7. la sensibilidad de la informacin.


IRAM-ISO 31000:2015

32

Anexo A (Informativo)

Atributos de una gestin avanzada del riesgo

A.1 Generalidades

Se recomienda que todas las organizaciones aspiren a tener un nivel de desempeo de su marco de gestin del riesgo apropiado a la criticidad de las decisiones que deben tomarse. La lista de atributos siguiente representa un alto nivel de desempeo en la gestin del riesgo. Para ayudar a las organi-zaciones a medir su propio desempeo en funcin de estos criterios, se proporcionan algunos indicadores tangibles para cada atributo.

A.2 Resultados clave

A.2.1 La organizacin tiene una comprensin actual, precisa y completa de sus riesgos.

A.2.2 Los riesgos de la organizacin estn dentro de sus criterios de riesgo.

A.3 Atributos

A.3.1 Mejora continua

Se hace hincapi en la mejora continua de la gestin del riesgo a travs del establecimiento de me-tas de desempeo de la organizacin, a travs de la medicin, la revisin y la subsecuente modificacin de los procesos, los sistemas, los recursos, la capacidad y las habilidades.

Esto se puede evidenciar por la existencia de metas explcitas de desempeo frente a las cuales se mide el desempeo de la gestin individual de un directivo as como el de toda la organizacin. El desempeo de la organizacin se puede publicar y comunicar. Normalmente, habr como mnimo una revisin anual del desempeo y luego una revisin de los procesos, y el establecimiento de obje-tivos revisados de desempeo para el perodo siguiente.

Esta evaluacin del desempeo de la gestin del riesgo es parte integral del sistema de evaluacin y medicin del desempeo de toda la organizacin para los sectores y los individuos.

A.3.2 Responsabilidad total por cargo de los riesgos

La gestin avanzada del riesgo incluye la responsabilidad por cargo completa, totalmente definida y plenamente aceptada por los riesgos, los controles y las tareas de tratamiento del riesgo. Los indivi-duos designados deben aceptar plenamente su responsabilidad por cargo, estar debidamente calificados y contar con los recursos adecuados para verificar controles, hacer seguimiento y control de los riesgos, mejorar los controles y comunicarse eficazmente con las partes interesadas internas y externas sobre los riesgos y su gestin.

Esto se puede evidenciar cuando todos los miembros de una organizacin son plenamente conscien-tes de los riesgos, los controles y las tareas por las cuales son responsables por cargo. Normalmente, esto est registrado en las descripciones de puesto o cargo, en bases de datos o en sistemas de informacin. Se recomienda que la definicin de roles, responsabilidades y responsabili-dades por cargo, relativas a la gestin del riesgo, sea parte de todos los programas de induccin de la organizacin.


IRAM-ISO 31000:2015

33

La organizacin asegura que los responsables por cargo estn preparados para llevar a cabo sus funciones, proporcionndoles la autoridad, el tiempo, la capacitacin, los recursos y las habilidades suficientes para asumir sus responsabilidades por cargo.

A.3.3 Aplicacin de la gestin del riesgo en la toma de todas las decisiones

Toda toma de decisiones dentro de la organizacin, cualquiera sea su nivel de importancia y tras-cendencia, implica la consideracin explcita de los riesgos y la aplicacin de la gestin del riesgo en algn grado apropiado.

Esto se puede evidenciar mediante los registros de reuniones y decisiones que muestren que se lle-v a cabo una discusin explcita sobre los riesgos. Adems, se recomienda que se evidencie que todos los componentes de la gestin del riesgo estn representados dentro de los procesos clave de toma de decisiones en la organizacin, por ejemplo, las decisiones sobre la asignacin de capital en grandes proyectos y en la reestructuracin y cambios en la organizacin. Por estas razones, se con-sidera que una gestin del riesgo con bases slidas dentro de la organizacin provee las bases para una gobernanza eficaz.

A.3.4 Comunicacin continua

La gestin avanzada del riesgo incluye comunicaciones continuas con las partes interesadas internas y externas, incluyendo la presentacin de informes completos y frecuentes sobre el desempeo de la gestin del riesgo, como parte de la buena gobernanza.

Esto se puede evidenciar mediante la comunicacin con las partes interesadas como parte integral y esencial de la gestin del riesgo. La comunicacin se considera un proceso bidireccional, de manera que se puedan tomar apropiadamente decisiones informadas acerca del nivel de riesgo y de la nece-sidad de su tratamiento, en funcin de los criterios de riesgo completos adecuadamente establecidos.

La presentacin de informes externos e internos, completos y frecuentes tanto sobre los riesgos sig-nificativos como sobre el desempeo de la gestin del riesgo, contribuyen sustancialmente a la gobernanza efectiva de una organizacin.

A.3.5 Integracin total con la estructura de gobernanza de la organizacin

La gestin del riesgo se considera fundamental para los procesos de gestin de la organizacin, tal que los riesgos se consideran en trminos del efecto de la incertidumbre sobre los objetivos. El pro-ceso y la estructura de gobernanza se basan en la gestin del riesgo. Los directivos consideran la gestin eficaz del riesgo como esencial para el logro de los objetivos de la organizacin.

Esto se evidencia por el lenguaje y los principales materiales escritos por los directivos en la organi-zacin que utilizan el trmino incertidumbre en relacin con los riesgos. Este atributo tambin aparece normalmente reflejado en las declaraciones de la poltica de la organizacin, en particular, las relativas a la gestin del riesgo. Normalmente, este atributo se puede comprobar a travs de en-trevistas con los directivos y a travs de las evidencias de sus acciones y declaraciones.


IRAM-ISO 31000:2015

34

Bibliografa ISO

[1] ISO Guide 73:2009, Risk management - Vocabulary.

[2] ISO/IEC 31010, Risk management - Risk assessment techniques.


IRAM-ISO 31000:2015

35

Anexo B - IRAM (Informativo)

Bibliografa

En el estudio de esta norma se ha tenido en cuenta la bibliografa siguiente:

ISO - INTERNATIONAL ORGANIZATION FOR STANDARDIZATION ISO 31000:2009 - Risk management - Principles and guidelines.


IRAM-ISO 31000:2015

36

Anexo C - IRAM (Informativo)

Integrantes de los organismos de estudio

El estudio de esta norma ha estado a cargo de los organismos respectivos, integrados en la forma siguiente:

Subcomit de Gestin de riesgos

Integrante Representa a:

Ing. Alberto ALONSO ANTICIPAR Mg. Paula M. ANGELERI UNIVERSIDAD DE BELGRANO - FACULTAD DE

TECNOLOGA INFORMTICA Sr. Emilio Germn ARIAS GOBIERNO DE LA PROVINCIA DEL NEUQUN Sr. Alberto BESTEIRO PROFESOR DE SISTEMAS Dr. Guillermo BILICK NUCLEOELCTRICA ARGENTINA S.A. Sr. Ramn BRENNA UNIVERSIDAD DE BUENOS AIRES - FACULTAD

DE DERECHO Sra. Mara Celeste CABEZAS NUCLEOELCTRICA ARGENTINA S.A. Ing. Hernn CANTILO CHUBB ARGENTINA SEGUROS Act. Carolina CASTRO X-PROJECT S.A. Ing. Nstor CAVA POLICA FEDERAL ARGENTINA (PFA) - INSTITUTO

UNIVERSITARIO POLICA FEDERAL ARGENTINA (IUPFA)

Sr. Oscar DAZ UNIVERSIDAD DE BUENOS AIRES - FACULTAD DE MEDICINA

Ing. Norberto A. ESARTE GATECH S.R.L. Sr. Juan Martn GALGANO AEROLNEAS ARGENTINAS S.A. / AUSTRAL

LNEAS AREAS Sr. Eric Daniel Abel GARCA POLICA FEDERAL ARGENTINA (PFA) - INSTITUTO

UNIVERSITARIO POLICA FEDERAL ARGENTINA (IUPFA)

Ing. Gustavo Mario GARFINKIEL MINISTERIO DE TRABAJO, EMPLEO Y SEGURIDAD SOCIAL (MTSS)

Subcrio. Hugo Sergio GONGORA POLICA FEDERAL ARGENTINA (PFA) - DIVISIN DEFENSA CIVIL - SUPERINTENDENCIA FEDERAL DE BOMBEROS

Dra. Silvia IGLESIAS IT FOR SECURE BUSINESS - SILVIA IGLESIAS Y ASOC.

Cont. Sonia INSAURRALDE NACIN SERVICIOS S.A. Ing. Ral Jos Mario LPEZ CONSULTORES DE TECNOLOGA E INGENIERA

(CTI) S.R.L. Cont. Luis MALASPINA ACSEG BROKER DE GARANTAS S.R.L. Ay. Nelson MALISZ POLICIA FEDERAL ARGENTINA (PFA) -

SUPERINTENDENCIA FEDERAL DE BOMBEROS - DIVISIN DEFENSA CIVIL

Sra. Mara Vernica MARCHESE ARMADA ARGENTINA Sr. Gabriel MAZZINI ECOTEDU EDUCACIONAL Ing. Liliana MIRA SAYQA SOLUTION PARTNER


IRAM-ISO 31000:2015

37

Integrante Representa a:

Sra. Fernanda NAVARRO UNIN INDUSTRIAL ARGENTINA (UIA) Sr. Hctor NAIDICH MERCONSULT - CONSULTORA Lic. Ricardo NIEVAS DEFENSA CIVIL DE LA PROVINCIA DE BUENOS

AIRES (DCPB) Ing. Flora OTERO UNIN INDUSTRIAL ARGENTINA (UIA) Sr. Jorge H. PAEZ GOBIERNO DE LA CIUDAD DE BUENOS AIRES

(GCBA) Sr. Ricardo PARAMOS ORGANISMO REGULADOR DE SEGURIDAD DE

PRESAS (ORSEP) Lic. Espedito PASSARELLO CONSEJO PROFESIONAL DE INGENIERA DE

TELECOMUNICACIONES, ELECTRNICA Y COMPUTACIN (COPITEC)

Mg. Osvaldo PEREZ INSTITUTO DE INGENIEROS ELCTRICOS Y ELECTRNICOS DE ARGENTINA (IEEE)

Cont. Nora PONCE ADMINISTRACIN FEDERAL DE INGRESOS PBLICOS (AFIP)

Sra. Evangelina PRANDI NUCLEOELCTRICA ARGENTINA S.A. Lic. Fernando RADICCHI BANCO DE LA NACIN ARGENTINA Sra. Noem REGENAHS ORGANISMO REGULADOR DE SEGURIDAD

DE PRESAS (ORSEP) Lic. Leda S. REPETUR NACIN SERVICIOS S.A. Ing. Pablo Miguel F. ROMANOS GREEN 40/CONSULTOR INDEPENDIENTE Dr. Carlos Fernando ROZEN BDO BECHER Y ASOCIADOS S.R.L. Lic. Carlos SABAINI UNIN INDUSTRIAL ARGENTINA (UIA) Sr. Luis TORRES X-PROJECT S.A. Cdr. Mara Luisa VIVES I.E.B.A. S.A. (COMIT DE AUDITORA) Sr. Jonatan WILDER POLICA FEDERAL ARGENTINA (PFA) - INSTITUTO

UNIVERSITARIO POLICA FEDERAL ARGENTINA (IUPFA) - TIERRA DEL FUEGO

Ing. Jorge Luis CEBALLOS IRAM Ing. Flavio DURANTE IRAM Mg. Carlos SAID IRAM Lic. Vernica MARINELLI IRAM

Comit General de Normas (C.G.N.)

Integrante Integrante

Ing. Alberto BUSTOS ROYER Dr. Ricardo MACCHI Dr. Jos M. CARACUEL Ing. Jorge MANGOSIO Lic. Alberto CERINI Tc. Hugo D. MARCH Ing. Ramiro FERNNDEZ Lic. Hctor MUGICA Lic. Alicia GUTIRREZ Ing. Tulio PALACIOS Ing. Jorge KOSTIC Ing. Ral DELLA PORTA


IRAM-ISO 31000:2015


IRAM-ISO 31000:2015

ICS 03.100.01 * CNA 00.00

* Corresponde a la Clasificacin Nacional de Abastecimiento asignada por el Servicio Nacional de Catalogacin del Ministerio de Defensa.


Documents

IRAM_ISO31000_15