Página 1

ágina 2

Página 3
NORMA ISO 31000: 2018
“Documento no original, usado solo como referencia en capacitación”
Contenido
Prefacio. 4
Introducción. 5
1) Alcance. 6
2) Referencias normativas. 6
3) Términos y definiciones 6
4) Principios 8
5) Marco de referencia 10
5.1 General. 10
5.2 Liderazgo y compromiso. 11
5.3 Integración. 11
5.4 Diseño. 12
5.4.1 Comprensión de la organización y su contexto. 12
5.4.2 Articulación del compromiso de gestión de riesgos. 12
5.4.3 Asignación de roles organizacionales, autoridades, responsabilidades y responsabilidades.
13
5.4.4 Asignación de recursos. 13
5.4.5 Establecer comunicación y consulta. 13
5.5 Implementación. 13
5.6 Evaluación. 14
5.7 Mejora. 14
5.7.1 Adaptación. 14
5.7.2 Mejora continua. 14
6) Proceso. 15
6.1 General. 15
6.2 Comunicación y consulta. 16
6.3 Alcance, contexto y criterios. 16
6.3.1 General. 16
6.3.2 Definición del alcance. 15
6.3.3 Contexto externo e interno. 17
6.3.4 Definición de criterios de riesgo. 17
6.4 Evaluación de riesgos. 18
6.4.1 General. 18
6.4.2 Identificación de riesgos. 18
6.4.3 Análisis de riesgos. 19
6.4.4 Evaluación de riesgos. 20
6.5 Tratamiento de riesgos. 20
6.5.1 General. 20
6.5.2 Selección de opciones de tratamiento de riesgo. 20
6.5.3 Preparación e implementación de planes de tratamiento de riesgos. 21
6.6 Seguimiento y revisión. 21
6.7 Grabación e informes. 21
Bibliografía. 22

Página 4
NORMA ISO 31000: 2018
PREFACIO
ISO (Organización Internacional de Normalización) es una federación mundial de organismos
nacionales de normalización. (Organismos miembros de ISO). El trabajo de preparación de normas
internacionales se lleva a cabo normalmente a través de ISO comités técnicos Cada organismo
miembro interesado en un tema para el cual se ha formado un comité técnico establecido tiene
derecho a ser representado en ese comité. 

Organizaciones internacionales, gubernamentales y no gubernamentales, en colaboración con ISO,

también participan en el trabajo. ISO colabora estrechamente con la Comisión Electrotécnica
Internacional (IEC) en todos los asuntos de estandarización electrotécnica.

Los procedimientos utilizados para desarrollar este documento y los destinados a su posterior
mantenimiento se describen en Las Directivas ISO / IEC, Parte 1. En particular, los diferentes
criterios de aprobación necesarios para los diferentes tipos de ISO, Los documentos deben ser
anotados. Este documento fue redactado de acuerdo con las reglas editoriales de ISO / IEC
Directivas, Parte 2 (ver www.iso.org/directives )
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento
puedan ser objeto de patente. derechos. ISO no será responsable de identificar ninguno o todos los
derechos de patente. Detalles de cualquier derecho de patente identificado durante el desarrollo
del documento estará en la Introducción y / o en la lista ISO de patentes declaraciones recibidas
(ver www.iso.org/patents ) Cualquier nombre comercial utilizado en este documento es información
dada para la conveniencia de los usuarios y no constituye Un aval.

Para una explicación sobre la naturaleza voluntaria de las normas, el significado de los términos y
expresiones específicos de ISO relacionado con la evaluación de la conformidad, así como
información sobre la adhesión de ISO a la Organización Mundial del Comercio (OMC) principios en
las Obstáculos técnicos al comercio (TBT) ver la siguiente URL: www.iso.org/iso/foreword.html.

Este documento fue preparado por el Comité Técnico ISO / TC 262, Gestión de riesgos. Esta
segunda edición cancela y reemplaza la primera edición (ISO 31000: 2009) que ha sido revisada
técnicamente.

Los principales cambios en comparación con la edición anterior son los siguientes:

- revisión de los principios de gestión de riesgos, que son los criterios clave para su éxito;
- Destacar el liderazgo de la alta dirección y la integración de la gestión de riesgos, comenzando
por el
gobierno de la organización;
- mayor énfasis en la naturaleza iterativa de la gestión de riesgos, señalando que nuevas
experiencias, conocimientos y el análisis puede conducir a una revisión de los elementos, acciones
y controles del proceso en cada etapa del proceso;
- racionalización del contenido con un mayor enfoque en el mantenimiento de un modelo de
sistemas abiertos para satisfacer múltiples necesidades y Contextos
Página 5

Este documento es para uso de personas que crean y protegen valor en las organizaciones
mediante la gestión de riesgos, haciendo decisiones, establecimiento y consecución de objetivos y
la mejora del desemeño.

Las organizaciones de todos los tipos y tamaños enfrentan factores e influencias externas e
internas que lo hacen incierto si lograrán sus objetivos. La gestión del riesgo es iterativa y ayuda a
las organizaciones a establecer estrategias, alcanzar objetivos y a informarse decisiones.

La gestión del riesgo es parte de la gobernanza y el liderazgo, y es fundamental para la gestión de

la organización en todos los niveles. Contribuye a la mejora de los sistemas de gestión. La gestión
del riesgo es parte de todas las actividades asociadas con una organización e incluye la interacción
con las partes interesadas.

La gestión del riesgo considera el contexto externo e interno de la organización, incluido el

comportamiento humano y factores culturales.

La gestión del riesgo se basa en los principios, el marco y el proceso descritos en este documento,
como se ilustra en Figura 1.

Es posible que estos componentes ya existan total o parcialmente dentro de la organización, sin
embargo, podrían deben adaptarse o mejorarse para que la gestión del riesgo sea eficiente,
efectiva y consistente.

Figura 1 - Principios, marco y proceso.

Gestión de riesgos – Directrices

1 Alcance.

Este documento proporciona pautas sobre la gestión del riesgo que enfrentan las
organizaciones. La aplicación de estas pautas puede personalizarse para cualquier organización y
su contexto. Este documento proporciona un enfoque común para gestionar cualquier tipo de
riesgo y no es específico de la industria o sector.

Este documento se puede usar durante toda la vida de la organización y se puede aplicar a
cualquier actividad, incluso toma de decisiones a todos los niveles.

2 Referencias normativas.

No hay referencias normativas en este documento.

3. Términos y definiciones.

Para los fines de este documento, se aplican los siguientes términos y definiciones.

ISO e IEC mantienen bases de datos terminológicas para su uso en la estandarización en las
siguientes direcciones:

- Plataforma de navegación en línea ISO: disponible en http://www.iso.org/obp

- IEC Electropedia: disponible en http://www.electropedia.org

3.1 Riesgo.

Efecto de la incertidumbre sobre los objetivos.

Nota 1 a la entrada: Un efecto es una desviación de lo esperado. Puede ser positivo, negativo o
ambos, y puede abordar, crear o generar oportunidades y amenazas.
Nota 2 a la entrada: Los objetivos pueden tener diferentes aspectos y categorías, y pueden
aplicarse a diferentes niveles.
Nota 3 a la entrada: El riesgo generalmente se expresa en términos de fuentes de riesgo (3.4),
eventos potenciales (3.5), sus
consecuencias (3.6) y su probabilidad (3.7).

3.2 Gestión de riesgos.

Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo (3.1)

3.3 Partes Interesadas.

Persona u organización que puede afectar, verse afectada o percibirse afectada por una decisión o
actividad.

Nota 1 a la entrada: El término "parte interesada" puede usarse como una alternativa a "parte
interesada".
3.4 Fuente de riesgo.

Elemento que solo o en combinación tiene el potencial de generar riesgo (3.1)

3.5 Evento.

Ocurrencia o cambio de un conjunto particular de circunstancias.

Nota 1 a la entrada: Un evento puede tener una o más ocurrencias, y puede tener varias causas y
Varias consecuencias (3.6).

Nota 2 a la entrada: Un evento también puede ser algo que se espera que no suceda, o algo que
es no se espera lo que sucede.

Nota 3 a la entrada: Un evento puede ser una fuente de riesgo.

3.6 Consecuencia.

Resultado de un evento (3.5) que afecta los objetivos.

Nota 1 a la entrada: Una consecuencia puede ser segura o incierta y puede tener resultados
positivos o negativos directos o indirectos efectos sobre los objetivos.

Nota 2 a la entrada: Las consecuencias pueden expresarse cualitativa o cuantitativamente.

Nota 3 a la entrada: Cualquier consecuencia puede escalar a través de efectos en cascada y

acumulativos.

3.7 Probabilidad.

Posibilidad de que algo suceda.

Nota 1 a la entrada: En la terminología de gestión de riesgos (3.2), la palabra "probabilidad" se

utiliza para referirse a la posibilidad de algo que sucede, ya sea definido, medido o determinado
objetivamente o subjetivamente, cualitativamente o cuantitativamente y se describe usando
términos generales o matemáticamente (como una probabilidad o una frecuencia sobre un período
de tiempo dado).

Nota 2 a la entrada: El término en inglés "probabilidad" no tiene un equivalente directo en algunos

idiomas; en cambio, se usa a menudo el equivalente del término "probabilidad". Sin embargo, en
inglés, "probabilidad" a menudo se interpreta de forma limitada como un término matemático  Por lo
tanto, en la terminología de gestión de riesgos, "probabilidad" se utiliza con la intención de que
debe tener la misma interpretación amplia que el término "probabilidad" en muchos idiomas
además del inglés.

3.8 Control.

Medida que mantiene y / o modifica el riesgo (3.1)

Nota 1 a la entrada: los controles incluyen, entre otros, cualquier proceso, política, dispositivo,
práctica u otras condiciones y / o acciones que mantienen y / o modifican riesgos.

Nota 2 a la entrada: Los controles no siempre pueden ejercer el efecto de modificación previsto o
supuesto.

El objetivo de la gestión de riesgos es la creación y protección de valor. Mejora el rendimiento,

alienta innovación y apoya el logro de objetivos.
Los principios descritos en la Figura 2 proporcionan orientación sobre las características del riesgo
efectivo y eficiente. gestión, comunicando su valor y explicando su intención y propósito. Los
principios son los base para la gestión de riesgos y debe considerarse al establecer la gestión de
riesgos de la organización marco y procesos. Estos principios deberían permitir a una organización
gestionar los efectos de la incertidumbre en sus objetivos.

Figura 2 - Principios.

La gestión eficaz del riesgo requiere los elementos de la Figura 2 y puede explicarse más
detalladamente de la siguiente manera:

a) Integrado.

La gestión de riesgos es una parte integral de todas las actividades organizacionales.

b) Estructurado e integral.

Un enfoque estructurado e integral para la gestión de riesgos contribuye a que sea consistente y
resultados comparables.

c) Personalizado.

El marco y el proceso de gestión de riesgos son personalizados y proporcionales a los aspectos

externos de la organización. y contexto interno relacionado con sus objetivos.

d) Inclusivo.

La participación adecuada y oportuna de las partes interesadas permite que sus conocimientos,
puntos de vista y percepciones sean considerado. Esto da como resultado una mejor conciencia y
una gestión de riesgos informada.

e) Dinámico.

Los riesgos pueden surgir, cambiar o desaparecer a medida que el contexto externo e interno de
una organización cambia, la gerencia anticipa, detecta, reconoce y responde a esos cambios y
eventos en un de manera apropiada y oportuna.

f) La mejor información disponible.

Los aportes a la gestión de riesgos se basan en información histórica y actual, así como en
información futura. La gestión de riesgos tiene en cuenta explícitamente cualquier limitación e
incertidumbre asociada con tal información y expectativas. La información debe ser oportuna, clara
y estar disponible para las partes interesadas relevantes.

g) Factores humanos y culturales.

El comportamiento y la cultura humana influyen significativamente en todos los aspectos de la

gestión de riesgos en cada nivel y etapa.

h) Mejora continua.

La gestión de riesgos se mejora continuamente a través del aprendizaje y la experiencia.

5. Marco.
5.1 General.

El objetivo del marco de gestión de riesgos es ayudar a la organización a integrar la

gestión de riesgos en actividades y funciones significativas. La efectividad de la gestión de
riesgos dependerá de su integración en la gobernanza de la organización, incluida la toma
de decisiones. Esto requiere el apoyo de las partes interesadas, particularmente Alta
gerencia. El desarrollo del marco abarca la integración, el diseño, la implementación, la
evaluación y la mejora de la gestión del riesgo en toda la organización.  La figura 3 ilustra
los componentes de un marco.

Figura 3 – Marco

La organización debe evaluar sus prácticas y procesos de gestión de riesgos existentes,

evaluar cualquier brecha y abordar esas lagunas dentro del marco. Los componentes del
marco y la forma en que trabajan juntos deben adaptarse a las necesidades. de la
organización.

5.2 Liderazgo y Compromiso.

La alta dirección y los órganos de supervisión, cuando corresponda, deberían asegurar

que la gestión de riesgos se integre en todas las actividades organizacionales y dederían
demostrar liderazgo y compromiso al:

- Personalizar e implementar todos los componentes del marco;

- Emitir una declaración o política que establezca un enfoque, plan o curso de acción de
gestión de riesgos;
- Garantizar que se asignen los recursos necesarios para gestionar el riesgo;
- Asignación de autoridad, responsabilidad y rendición de cuentas en los niveles
apropiados dentro de la organización.

Esto ayudará a la organización a:

- Alinear la gestión de riesgos con sus objetivos, estrategia y cultura;

- Reconocer y abordar todas las obligaciones, así como sus compromisos voluntarios;
- Establecer la cantidad y el tipo de riesgo que puede o no tomarse para guiar el
desarrollo del riesgo
- Definir criterios, asegurando que se comuniquen a la organización y sus partes
interesadas;
- Comunicar el valor de la gestión de riesgos a la organización y sus partes interesadas;
- Promover el seguimiento sistemático de los riesgos.
- Garantizar que el marco de gestión de riesgos sigue siendo apropiado para el contexto
de la organización.

La alta gerencia es responsable de administrar el riesgo, mientras que los organismos de

supervisión son responsables de supervisar el riesgo. A menudo se espera o se requiere
que los organismos de supervisión:

- Garantizar que los riesgos se consideren adecuadamente al establecer los objetivos de

la organización;
- Comprender los riesgos que enfrenta la organización en la consecución de sus objetivos;
- Garantizar que los sistemas para gestionar dichos riesgos se implementen y funcionen
de manera efectiva;
- Asegurar que tales riesgos sean apropiados en el contexto de los objetivos de la
organización;
- garantizar que la información sobre tales riesgos y su gestión se comunique
adecuadamente.

5.3 Integración.

La integración de la gestión de riesgos se basa en la comprensión de las estructuras

organizativas y el contexto. Estructuras difieren según el propósito, los objetivos y la
complejidad de la organización. 

El riesgo se gestiona en cada parte del estructura de la organización. Todos en una

organización tienen la responsabilidad de gestionar el riesgo. La gobernanza guía el curso
de la organización, sus relaciones externas e internas y las reglas, procesos y prácticas
necesarios para lograr su propósito. 

Las estructuras de gestión traducen la dirección de gobernanza en la estrategia y los

objetivos asociados necesarios para lograr los niveles deseados de desempeño
sostenible y viabilidad a largo plazo. 

Determinar los roles de responsabilidad y supervisión de la gestión de riesgos dentro de

una organización son partes integrales del gobierno de la organización. La integración de
la gestión de riesgos en una organización es un proceso dinámico e iterativo, y debe
personalizarse a las necesidades y cultura de la organización. La gestión de riesgos
dederia ser parte y no estar separada de propósito organizacional, gobernanza, liderazgo
y compromiso, estrategia, objetivos y operaciones.

5.4 Diseño.

5.4.1 Comprensión de la organización y su contexto.

Al diseñar el marco para la gestión de riesgos, la organización debe examinar y

comprender sus aspectos externos y contexto interno. El examen del contexto externo de
la organización puede incluir, entre otros:

- Los factores sociales, culturales, políticos, jurídicos, reglamentarios, financieros,

tecnológicos, económicos y medioambientales, ya sea internacional, nacional, regional o
local;
- impulsores y tendencias clave que afectan los objetivos de la organización;
- relaciones, percepciones, valores, necesidades y expectativas de las partes interesadas
externas;
- relaciones contractuales y compromisos;
- la complejidad de las redes y dependencias.

El examen del contexto interno de la organización puede incluir, entre otros:

- Visión, misión y valores;

- Gobernanza, estructura organizacional, roles y responsabilidades;
- Estrategia, objetivos y políticas;
- La cultura de la organización;
- Normas, directrices y modelos adoptados por la organización;
- Capacidades, entendidas en términos de recursos y conocimientos (por ejemplo, capital,
tiempo, personas, propiedad intelectual, procesos, sistemas y tecnologías);
- Datos, sistemas de información y flujos de información;
- Relaciones con las partes interesadas internas, teniendo en cuenta sus percepciones y
valores;
- Relaciones contractuales y compromisos;
- Interdependencias e interconexiones.

5.4.2 Articulación del compromiso de gestión de riesgos.

Los órganos de alta dirección y supervisión, cuando corresponda, deberían demostrar y

articular sus continuos compromisos con la gestión de riesgos a través de una política,
una declaración u otras formas que transmitan claramente un objetivos y compromiso de
la organización con la gestión de riesgos.

El compromiso debería incluir, pero no se limita a:

- El propósito de la organización para gestionar el riesgo y los vínculos con sus objetivos y
otras políticas;
- Reforzar la necesidad de integrar la gestión de riesgos en la cultura general de la
organización.
- Liderar la integración de la gestión de riesgos en las actividades comerciales centrales y
la toma de decisiones;
- Autoridades, responsabilidades y responsabilidades;
- Poner a disposición los recursos necesarios;
- La forma en que se abordan los objetivos en conflicto;
- Medición e informes dentro de los indicadores de desempeño de la organización;
- Revisión y mejora.

El compromiso de gestión de riesgos debe comunicarse dentro de una organización y a

las partes interesadas, como sea apropiado
.
5.4.3 Asignación de roles organizacionales, autoridades, y responsabilidades.

La alta dirección y los órganos de supervisión, cuando corresponda, deberían garantizar

que las autoridades, responsabilidades de los roles relevantes con respecto a la gestión
de riesgos se asignen y comuniquen a todos los niveles. de la organización, y debería:

- enfatizar que la gestión de riesgos es una responsabilidad central;

- Identificar a las personas que tienen la responsabilidad y la autoridad para gestionar el
riesgo (propietarios del riesgo).

5.4.4 Asignación de recursos.

La alta dirección y los órganos de supervisión, cuando corresponda, deberían garantizar

la asignación de recursos apropiados para gestión de riesgos, que puede incluir, entre
otros:

- Personas, habilidades, experiencia y competencia;

- Los procesos, métodos y herramientas de la organización que se utilizarán para
gestionar el riesgo;
- Procesos y procedimientos documentados;
- Sistemas de gestión de la información y el conocimiento;
- Desarrollo profesional y necesidades de formación.

La organización debe considerar las capacidades y las limitaciones de los recursos

existentes.

5.4.5 Establecer comunicación y consulta.

La organización debe establecer un enfoque aprobado de comunicación y consulta para

apoyar el marco y facilitar la aplicación efectiva de la gestión de riesgos. La comunicación
implica compartir información con audiencias específicas. La consulta también involucra a
los participantes que brindan comentarios con el expectativa de que contribuirá y dará
forma a las decisiones u otras actividades.  Los métodos de comunicación y consulta y el
contenido deben reflejar las expectativas de las partes interesadas, cuando corresponda.

La comunicación y la consulta deben ser oportunas y garantizar que se recopile, recopile

información relevante, sintetizado y compartido, según corresponda, y que se proporciona
retroalimentación y se realizan mejoras.

5.5 Implementación.

La organización debería implementar el marco de gestión de riesgos mediante:

- desarrollar un plan apropiado que incluya tiempo y recursos;

- identificar dónde, cuándo y cómo se toman los diferentes tipos de decisiones en toda la
organización, y por quién;
- modificar los procesos de toma de decisiones aplicables cuando sea necesario;
- garantizar que los arreglos de la organización para gestionar el riesgo se entiendan y
practiquen claramente.

La implementación exitosa del marco requiere el compromiso y la conciencia de las partes

interesadas. Esta permite a las organizaciones abordar explícitamente la incertidumbre en
la toma de decisiones, al tiempo que garantiza que cualquier nueva o La incertidumbre
posterior puede tenerse en cuenta a medida que surge.

Diseñado e implementado adecuadamente, el marco de gestión de riesgos garantizará

que la gestión de riesgos El proceso es parte de todas las actividades en toda la
organización, incluida la toma de decisiones, y eso cambia en Los contextos externos e
internos serán capturados adecuadamente.

5.6 Evaluación.

Para evaluar la efectividad del marco de gestión de riesgos, la organización debería:

- medir periódicamente el desempeño del marco de gestión de riesgos en función de su
propósito, planes de implementación, indicadores y comportamiento esperado;
- determinar si sigue siendo adecuado para apoyar el logro de los objetivos de la
organización.

5.7 Mejora.

5.7.1 Adaptación.
La organización debe monitorear y adaptar continuamente el marco de gestión de riesgos
para abordar cambios internos Al hacerlo, la organización puede mejorar su valor.

5.7.2 Mejora continua.

La organización debe mejorar continuamente la idoneidad, adecuación y efectividad de la

gestión de riesgos. marco y la forma en que se integra el proceso de gestión de riesgos. A
medida que se identifiquen brechas relevantes u oportunidades de mejora, la organización
debe desarrollar planes y tareas y asignarlos a los responsables de la
implementación. Una vez implementadas, estas mejoras deberían
Contribuir a la mejora de la gestión de riesgos.

6.1 General.

El proceso de gestión de riesgos implica la aplicación sistemática de políticas,

procedimientos y prácticas a actividades de comunicación y consultoría, establecer el
contexto y evaluar, tratar, monitorear, revisión, registro y reporte de riesgos. Este proceso
se ilustra en la Figura 4.
Figura 4 – Proceso

El proceso de gestión de riesgos debe ser una parte integral de la gestión y la toma de
decisiones e integrarse en la estructura, operaciones y procesos de la organización. Se
puede aplicar a nivel estratégico, operativo, niveles de programa o proyecto.

Puede haber muchas aplicaciones del proceso de gestión de riesgos dentro de una
organización, personalizadas para lograr objetivos y para adaptarse al contexto externo e
interno en el que se aplican. La naturaleza dinámica y variable del comportamiento y la
cultura humana debe considerarse a lo largo del riesgo proceso de gestión.

Aunque el proceso de gestión de riesgos a menudo se presenta como secuencial, en la

práctica es iterativo.

6.2 Comunicación y consulta.

El propósito de la comunicación y la consulta es ayudar a las partes interesadas
relevantes a comprender el riesgo, el sobre la base de las decisiones que se toman y las
razones por las cuales se requieren acciones particulares. La comunicación busca
promover la conciencia y la comprensión del riesgo, mientras que la consulta implica
obtener retroalimentación e información para apoyar la toma de decisiones. 

Una estrecha coordinación entre los dos debería facilitar intercambio de información
factual, oportuno, relevante, preciso y comprensible, teniendo en cuenta el
confidencialidad e integridad de la información, así como los derechos de privacidad de
las personas. La comunicación y consulta con las partes interesadas externas e internas
apropiadas debe llevarse a cabo dentro de y en todos los pasos del proceso de gestión de
riesgos.

La comunicación y la consulta tienen como objetivo:

- reunir diferentes áreas de experiencia para cada paso del proceso de gestión de riesgos;
- garantizar que se tengan en cuenta las diferentes opiniones al definir los criterios de
riesgo y al evaluar los riesgos;
- proporcionar información suficiente para facilitar la supervisión de riesgos y la toma de
decisiones;
- Crear un sentido de inclusión y propiedad entre los afectados por el riesgo.

6.3 Alcance, contexto y criterios.

6.3.1 General.

El propósito de establecer el alcance, el contexto y los criterios es personalizar el proceso

de gestión de riesgos, permitiendo una evaluación de riesgo efectiva y un tratamiento de
riesgo apropiado. Alcance, contexto y criterios implican definir el alcance del proceso y la
comprensión del contexto externo e interno.

6.3.2 Definición del alcance.

La organización debe definir el alcance de sus actividades de gestión de riesgos. Como el

proceso de gestión de riesgos puede aplicarse a diferentes niveles (por ejemplo,
estratégico, operativo, programa, proyecto u otras actividades), es importante tener claro
el alcance bajo consideración, los objetivos relevantes para ser considerado y su
alineación con los objetivos de la organización.

Al planificar el enfoque, las consideraciones incluyen:

- objetivos y decisiones que deben tomarse;

- resultados esperados de los pasos a seguir en el proceso;
- hora, ubicación, inclusiones y exclusiones específicas;
- herramientas y técnicas de evaluación de riesgos apropiadas;
- recursos necesarios, responsabilidades y registros que deben mantenerse;
- relaciones con otros proyectos, procesos y actividades.

6.3.3 Contexto externo e interno.

El contexto externo e interno es el entorno en el que la organización busca definir y lograr
su objetivos El contexto del proceso de gestión de riesgos debe establecerse a partir de la
comprensión de lo externo y entorno interno en el que opera la organización y debe
reflejar el entorno específico de la actividad a lo que se aplicará el proceso de gestión de
riesgos. Comprender el contexto es importante porque:

- la gestión de riesgos tiene lugar en el contexto de los objetivos y actividades de la

organización;
- los factores organizacionales pueden ser una fuente de riesgo;
- el propósito y el alcance del proceso de gestión de riesgos pueden estar
interrelacionados con los objetivos del organización en su conjunto.

La organización debe establecer el contexto externo e interno del proceso de gestión de

riesgos mediante considerando los factores mencionados en 5.4.1.

6.3.4 Definición de criterios de riesgo.

La organización debe especificar la cantidad y el tipo de riesgo que puede o no asumir, en

relación con los objetivos. Eso también debe definir criterios para evaluar la importancia
del riesgo y apoyar los procesos de toma de decisiones. Riesgo los criterios deben estar
alineados con el marco de gestión de riesgos y personalizados para el propósito
específico y alcance de la actividad bajo consideración. Los criterios de riesgo deben
reflejar los valores, objetivos y objetivos de la organización.

recursos y ser coherente con las políticas y declaraciones sobre gestión de riesgos. Se
deben definir los criterios. teniendo en cuenta las obligaciones de la organización y las
opiniones de las partes interesadas.

Si bien los criterios de riesgo deben establecerse al comienzo del proceso de evaluación
de riesgos, son dinámicos y debe revisarse y modificarse continuamente, si es necesario.
Para establecer criterios de riesgo, se debe considerar lo siguiente:

- la naturaleza y el tipo de incertidumbres que pueden afectar los resultados y objetivos

(tanto tangibles como intangibles);
- cómo se definirán y medirán las consecuencias (tanto positivas como negativas) y la
probabilidad;
- factores relacionados con el tiempo;
- consistencia en el uso de mediciones;
- cómo se determinará el nivel de riesgo;
- cómo se tendrán en cuenta las combinaciones y secuencias de riesgos múltiples;
- la capacidad de la organización.

6.4 Evaluación de riesgos.

6.4.1 General.
La evaluación de riesgos es el proceso general de identificación de riesgos, análisis de
riesgos y evaluación de riesgos.
La evaluación de riesgos debe llevarse a cabo de manera sistemática, iterativa y
colaborativa, basándose en el conocimiento y opiniones de los interesados. 
Debería utilizar la mejor información disponible, complementada por una investigación
adicional como necesario.
6.4.2 Identificación de riesgos.
El propósito de la identificación de riesgos es encontrar, reconocer y describir los riesgos
que podrían ayudar o prevenir organización logrando sus objetivos. La información
relevante, apropiada y actualizada es importante para identificar riesgos.

La organización puede usar una variedad de técnicas para identificar incertidumbres que
pueden afectar una o más objetivos Deben considerarse los siguientes factores y la
relación entre estos factores:

- fuentes de riesgo tangibles e intangibles;

- causas y eventos;
- amenazas y oportunidades;
- vulnerabilidades y capacidades;
- cambios en el contexto externo e interno;
- indicadores de riesgos emergentes;
- la naturaleza y el valor de los activos y recursos;
- consecuencias y su impacto en los objetivos;
- limitaciones de conocimiento y confiabilidad de la información;
- factores relacionados con el tiempo;
- sesgos, suposiciones y creencias de los involucrados.

La organización debe identificar los riesgos, independientemente de si sus fuentes están

bajo su control. La consideración debe ser dado que puede haber más de un tipo de
resultado, lo que puede resultar en una variedad de resultados tangibles o intangibles
Consecuencias.

6.4.3 Análisis de riesgos.

El propósito del análisis de riesgos es comprender la naturaleza del riesgo y sus

características, incluyendo dónde apropiado, el nivel de riesgo. El análisis de riesgos
implica una consideración detallada de incertidumbres, fuentes de riesgo, consecuencias,
probabilidad, eventos, escenarios, controles y su efectividad. Un evento puede tener
múltiples causas. y consecuencias y puede afectar múltiples objetivos.

El análisis de riesgos puede llevarse a cabo con diversos grados de detalle y complejidad,
dependiendo del propósito de análisis, la disponibilidad y confiabilidad de la información, y
los recursos disponibles. Las técnicas de análisis pueden ser cualitativas, cuantitativas o
una combinación de estas, dependiendo de las circunstancias.
y uso previsto. El análisis de riesgos debe considerar factores como:
- la probabilidad de eventos y consecuencias;
- la naturaleza y magnitud de las consecuencias;
- complejidad y conectividad;
- factores relacionados con el tiempo y volatilidad;
- la efectividad de los controles existentes;
- Sensibilidad y niveles de confianza.

El análisis de riesgo puede estar influenciado por cualquier divergencia de opiniones,

sesgos, percepciones de riesgo y juicios. Influencias adicionales son la calidad de la
información utilizada, los supuestos y exclusiones hechas, cualquier limitaciones de las
técnicas y cómo se ejecutan. Estas influencias deben ser consideradas, documentadas
y comunicado a los tomadores de decisiones.
Los eventos altamente inciertos pueden ser difíciles de cuantificar. Esto puede ser un
problema al analizar eventos con graves
Consecuencias. En tales casos, el uso de una combinación de técnicas generalmente
proporciona una mayor comprensión.
El análisis de riesgos proporciona un aporte a la evaluación de riesgos, a las decisiones
sobre si el riesgo necesita ser tratado y cómo, y
sobre la estrategia y métodos de tratamiento de riesgos más apropiados. Los resultados
proporcionan información para las decisiones, donde
se toman decisiones, y las opciones involucran diferentes tipos y niveles de riesgo.

6.4.4 Evaluación de riesgos.

El propósito de la evaluación de riesgos es apoyar las decisiones. La evaluación de

riesgos implica comparar los resultados del riesgo análisis con los criterios de riesgo
establecidos para determinar dónde se requiere una acción adicional.

Esto puede llevar a una decisión de:

- no hacer nada más;
- considerar opciones de tratamiento de riesgo;
- emprender análisis adicionales para comprender mejor el riesgo;
- mantener los controles existentes;
- reconsiderar objetivos.

Las decisiones deben tener en cuenta el contexto más amplio y las consecuencias reales
y percibidas para Partes interesadas internas.
El resultado de la evaluación de riesgos debe registrarse, comunicarse y luego validarse a
los niveles apropiados de la organización.

6.5 Tratamiento de riesgos.

6.5.1 General.
El propósito del tratamiento del riesgo es seleccionar e implementar opciones para
abordar el riesgo. El tratamiento del riesgo implica un proceso iterativo de:

- formulación y selección de opciones de tratamiento de riesgo;

- planificación e implementación del tratamiento de riesgos;
- evaluar la efectividad de ese tratamiento;
- decidir si el riesgo restante es aceptable;
- si no es aceptable, tomar tratamiento adicional.

6.5.2 Selección de opciones de tratamiento de riesgo.

La selección de la (s) opción (es) de tratamiento de riesgos más apropiadas implica

equilibrar los beneficios potenciales derivados de relación con el logro de los objetivos
contra costos, esfuerzo o desventajas de implementación. Las opciones de tratamiento no
son necesariamente mutuamente excluyentes o apropiadas en todas las circunstancias.
Las opciones para tratar el riesgo pueden incluir uno o más de los siguientes:

- evitar el riesgo al decidir no comenzar o continuar con la actividad que da lugar al riesgo;
- tomar o aumentar el riesgo para aprovechar una oportunidad;
- eliminar la fuente de riesgo;
- cambiando la probabilidad;
- cambiar las consecuencias;
- compartir el riesgo (por ejemplo, a través de contratos, compra de seguros);
- retener el riesgo por decisión informada.

La justificación para el tratamiento del riesgo es más amplia que solo consideraciones
económicas y debe tener en cuenta todos las obligaciones de la organización, los
compromisos voluntarios y las opiniones de las partes interesadas. La selección del
tratamiento de riesgo.

Las opciones deben hacerse de acuerdo con los objetivos de la organización, los criterios
de riesgo y los recursos disponibles.

Al seleccionar las opciones de tratamiento de riesgos, la organización debe considerar los

valores, las percepciones y el potencial. participación de los interesados y las formas más
apropiadas para comunicarse y consultar con ellos. Aunque igualmente efectivos, algunos
tratamientos de riesgo pueden ser más aceptables para algunos interesados que para
otros.

Los tratamientos de riesgo, incluso si se diseñan e implementan cuidadosamente, pueden

no producir los resultados esperados y podría producir consecuencias no deseadas. El
monitoreo y la revisión deben ser una parte integral del tratamiento del riesgo.
implementación para garantizar que las diferentes formas de tratamiento se vuelvan
efectivas y sigan siendo efectivas. El tratamiento del riesgo también puede introducir
nuevos riesgos que deben ser gestionados.

Si no hay opciones de tratamiento disponibles o si las opciones de tratamiento no

modifican suficientemente el riesgo, el riesgo debe registrarse y mantenerse bajo revisión
continua.

Los responsables de la toma de decisiones y otras partes interesadas deben ser

conscientes de la naturaleza y el alcance del riesgo restante después del riesgo
tratamiento. El riesgo restante debe documentarse y someterse a monitoreo, revisión y,
donde apropiado, tratamiento adicional.

6.5.3 Preparación e implementación de planes de tratamiento de riesgos.

El propósito de los planes de tratamiento de riesgos es especificar cómo se

implementarán las opciones de tratamiento elegidas, de modo que

los involucrados entienden los arreglos y se puede monitorear el progreso contra el

plan. El tratamiento
El plan debe identificar claramente el orden en que se debe implementar el tratamiento de
riesgos.
Los planes de tratamiento deben integrarse en los planes y procesos de gestión de la
organización, en consulta con las partes interesadas apropiadas.

La información proporcionada en el plan de tratamiento debe incluir:

- la justificación para la selección de las opciones de tratamiento, incluidos los beneficios

esperados que se obtendrán;
- los responsables y responsables de aprobar e implementar el plan;
- las acciones propuestas;
- los recursos necesarios, incluidas las contingencias;
- las medidas de rendimiento;
- las limitaciones;
- los informes y el seguimiento requeridos;
- cuando se espera emprender y completar acciones.

6.6 Seguimiento y revisión.

El propósito del monitoreo y la revisión es asegurar y mejorar la calidad y efectividad del
diseño del proceso, implementación y resultados. Monitoreo continuo y revisión periódica
del proceso de gestión de riesgos y su Los resultados deben ser una parte planificada del
proceso de gestión de riesgos, con responsabilidades claramente definidas.

El monitoreo y la revisión deben llevarse a cabo en todas las etapas del proceso. El
monitoreo y la revisión incluyen planificación, recopilar y analizar información, registrar
resultados y proporcionar comentarios. Los resultados del monitoreo y La revisión debe
incorporarse en toda la gestión del desempeño de la organización, la medición y
informes de actividades.

6.7 Grabación e informes.

El proceso de gestión de riesgos y sus resultados deben documentarse e informarse a
través de mecanismos. El registro y la presentación de informes tienen como objetivo:
- comunicar las actividades de gestión de riesgos y los resultados en toda la organización;
- proporcionar información para la toma de decisiones;
- mejorar las actividades de gestión de riesgos;
- Asistir en la interacción con las partes interesadas, incluidas las personas responsables
y responsables de la gestión de riesgos.
ocupaciones.
Las decisiones relativas a la creación, retención y manejo de información documentada
deben tener en cuenta,
pero no se limita a: su uso, sensibilidad de la información y el contexto externo e
interno. Informar es un
parte integral de la gobernanza de la organización y debe mejorar la calidad del diálogo
con las partes interesadas y
Apoyar a la alta dirección y los órganos de supervisión en el cumplimiento de sus
responsabilidades.
Los factores a considerar para la presentación de informes incluyen, entre otros:
- diferentes partes interesadas y sus necesidades y requisitos específicos de información;
- costo, frecuencia y puntualidad de la presentación de informes;
- método de presentación de informes;
- relevancia de la información para los objetivos organizacionales y la toma de decisiones.
Bibliogra