31000 iram-iso (2015 - justicia...

NORMA ARGENTINA

31000 2015

Gestión del riesgo

Principios y guías

(ISO 31000:2009, IDT)

Risk management Principles and guidelines

IRAM-ISO 31000

Primera edición

2015-08-31

Referencia Numérica: IRAM-ISO 31000:2015

IRAM 2015-08-31 No está permitida la reproducción de ninguna de las partes de esta publicación por cualquier medio, incluyendo fotocopiado y microfilmación, sin permiso escrito del IRAM.

* DOCUMENTO PROTEGIDO POR EL DERECHO DE PROPIEDAD INTELECTUAL

Licenciado por IRAM a Foods Mentor SRL: Domfnguez; Marta Ventura. Orden 00000944331739910422 del 20151221. Descargado el 20151221. Licencia monousuario. Prohibido su copiado y uso en redes.

IRAM-ISO 31000:2015

3

Prefacio El Instituto Argentino de Normalización y Certificación (IRAM) es una asociación civil sin fines de lucro cuyas finalidades específicas, en su carácter de Organismo Argentino de Normalización, son establecer normas técnicas, sin limitaciones en los ámbitos que abarquen, además de propender al conocimiento y la aplicación de la normalización como base de la calidad, promoviendo las actividades de certificación de productos y de sistemas de la calidad en las empresas para brindar seguridad al consumidor.

IRAM es el representante de Argentina en la International Organization for Standardization (ISO), en la Comisión Panamericana de Normas Técnicas (COPANT) y en la Asociación MERCOSUR de Normalización (AMN).

Esta norma es el fruto del consenso técnico entre los diversos sectores involucrados, los que a través de sus representantes han intervenido en los Organismos de Estudio de Normas correspondientes.

Esta norma es una adopción idéntica (IDT) de la norma ISO 31000:2009 - Risk management - Principles and guidelines.

Sólo se han realizado los cambios editoriales siguientes:

Se agregó el capítulo Documentos normativos para consulta.

Se agregaron notas IRAM en el capítulo 2 indicando el origen de las definiciones.

Se agregó un anexo informativo con la bibliografía considerada y otro donde se indican los organismos de estudio de la norma.


IRAM-ISO 31000:2015

4

Prefacio ISO La International Organization for Standardization (ISO) es una federación mundial de organismos nacionales de normalización (organismos miembros de ISO). El desarrollo de normas internacionales generalmente se realiza a través de comités técnicos. Cada organismo miembro que esté interesado en un tema en particular para el cual se haya establecido un comité técnico tiene derecho de estar representado en ese comité. Organizaciones internacionales, gubernamentales y no gubernamentales, en colaboración con ISO, también toman parte en el trabajo. En el campo de la normalización electrotécnica, ISO colabora con la International Electrotechnical Commission (IEC). Las normas internacionales se elaboran de acuerdo a las reglas dadas en la Directiva ISO/IEC, parte 2. La tarea principal de los comités técnicos es la de preparar normas internacionales. Los proyectos de normas internacionales adoptadas por los comités técnicos son circulados a los organismos nacionales y sometidos a votación. La publicación como norma internacional requiere la aprobación de al menos el 75% de los organismos nacionales. Es importante señalar la posibilidad de que algunos elementos de esta norma internacional pueden estar sujetos a derechos de patente. ISO no es responsable de la identificación de alguno o todos esos derechos de patentes. La ISO 31000 fue preparada por el ISO Technical Management Board Working Group on risk management.


IRAM-ISO 31000:2015

5

Índice INTRODUCCIÓN ................................................................................................. 7

1 OBJETO Y CAMPO DE APLICACIÓN ........................................................... 10

DOCUMENTOS NORMATIVOS PARA CONSULTA ......................................... 10

2 TÉRMINOS Y DEFINICIONES ...................................................................... 10

3 PRINCIPIOS .................................................................................................. 16

4 MARCO ......................................................................................................... 17

5 PROCESO ..................................................................................................... 23

Anexo A (Informativo) Atributos de una gestión avanzada del riesgo ................. 32

Bibliografía ISO .................................................................................................. 34

Anexo B - IRAM (Informativo) Bibliografía .......................................................... 35

Anexo C - IRAM (Informativo) Integrantes de los organismos de estudio ........... 36

Página


IRAM-ISO 31000:2015

6


IRAM-ISO 31000:2015

7

Gestión del riesgo

Principios y guías

INTRODUCCIÓN

Las organizaciones de todo tipo y tamaño enfrentan influencias y factores internos y externos que tornan incierto el logro de sus objetivos y el momento en que los alcanzarán. El efecto que esa incer-tidumbre tiene sobre los objetivos de la organización se llama riesgo. Todas las actividades de una organización implican riesgo. Las organizaciones gestionan el riesgo, identificándolo, analizándolo y luego valorando si el riesgo debe ser modificado mediante su trata-miento con el propósito de satisfacer los criterios de riesgo. A lo largo de este proceso, se comunica y consulta con las partes interesadas y se realiza seguimiento y control y revisión del riesgo y los controles que lo modifican a fin de asegurar que no es necesario tratamiento adicional del riesgo. Esta norma describe en detalle este proceso lógico y sistemático. Si bien todas las organizaciones gestionan el riesgo en cierta medida, esta norma establece una serie de principios que deben cumplirse para que la gestión del riesgo sea eficaz. Esta norma recomienda que las organizaciones desarrollen, implementen y mejoren continuamente un marco cuyo propósito es integrar el proceso de gestión del riesgo en la gobernanza, la planificación y estrategia, la gestión, los procesos de presentación de informes, las políticas, los valores y la cultura generales de la organización. La gestión del riesgo puede aplicarse a toda la organización, en sus diferentes áreas y niveles, en cualquier momento, como así también a funciones, actividades y proyectos específicos. Aunque la práctica de la gestión del riesgo se ha desarrollado a lo largo del tiempo y en muchos sec-tores para satisfacer necesidades diversas, la adopción de procesos coherentes en un marco global puede ayudar a asegurar que el riesgo se gestiona con eficacia, eficiencia y coherencia a lo largo de toda la organización. El enfoque genérico descripto en esta norma establece los principios y las guías para la gestión de cualquier forma de riesgo de una manera sistemática, transparente y confiable, dentro de cualquier ámbito y contexto. Cada sector o aplicación específicos de la gestión del riesgo trae consigo necesidades, audiencias, percepciones y criterios particulares. Por lo tanto, una característica clave de esta norma es incluir el establecimiento de contexto como una actividad al inicio de este proceso genérico de gestión del riesgo. El establecimiento de contexto captura los objetivos de la organización, el entorno en el que ésta persigue estos objetivos, sus partes interesadas y la diversidad de criterios de riesgo, lo que ayudará a revelar y evaluar la naturaleza y la complejidad de sus riesgos. La relación entre los principios para la gestión del riesgo, el marco en el cual ésta ocurre y el proceso de gestión del riesgo descripto en esta norma, se muestra en la figura 1. Cuando la gestión del riesgo se implementa y se mantiene de acuerdo a esta norma, le permite a una organización, por ejemplo: 1. aumentar la probabilidad de lograr los objetivos; 2. fomentar una gestión proactiva;


IRAM-ISO 31000:2015

8

3. ser consciente de la necesidad de identificar y tratar los riesgos en toda la organización; 4. mejorar la identificación de oportunidades y amenazas; 5. cumplir con las normas internacionales y los requisitos legales y reglamentarios pertinentes; 6. mejorar la presentación de informes obligatorios y voluntarios; 7. mejorar la gobernanza; 8. mejorar la confianza de las partes interesadas en sí mismas y en la organización; 9. establecer una base confiable para la toma de decisiones y la planificación; 10. mejorar los controles; 11. asignar y utilizar los recursos para el tratamiento de los riesgos de manera eficaz; 12. mejorar la eficacia y la eficiencia operativa; 13. mejorar el desempeño en salud y seguridad ocupacional y en la protección del medio ambiente; 14. mejorar la prevención de pérdidas y la gestión de incidentes; 15. minimizar las pérdidas; 16. mejorar el aprendizaje organizacional; 17. mejorar la resiliencia de la organización. Esta norma pretende satisfacer las necesidades de una amplia gama de partes interesadas, incluyendo: a) los responsables del desarrollo de la política de gestión del riesgo dentro de sus organizaciones; b) los responsables por cargo de asegurar que el riesgo se gestiona eficazmente dentro toda la orga-

nización, o en un área, actividad o proyecto específico; c) aquellos que necesitan evaluar la eficacia de una organización en la gestión del riesgo; d) quienes desarrollan normas, guías, procedimientos y códigos de práctica que, completa o par-

cialmente, establecen de qué forma el riesgo debe gestionarse en el contexto específico de estos documentos.

Las actuales prácticas y procesos de gestión en muchas organizaciones incluyen componentes de gestión del riesgo, y muchas organizaciones ya han adoptado un proceso formal de gestión del ries-go para ciertos tipos de riesgo o circunstancias. En tales casos, desde el punto de vista de esta norma, una organización puede decidir llevar a cabo una revisión crítica de sus prácticas y procesos actuales. En esta norma, se utilizan las expresiones gestión del riesgo y gestionar el riesgo. En términos gene-rales, la gestión del riesgo se refiere a la arquitectura (principios, marco y proceso) para gestionar los riesgos con eficacia, mientras que gestionar el riesgo se refiere a la aplicación de esta arquitectura a ciertos riesgos en particular.


IRAM-ISO 31000:2015

9

Figura 1 - Relaciones entre los principios, el marc o y el proceso de gestión del riesgo


IRAM-ISO 31000:2015

10

1 OBJETO Y CAMPO DE APLICACIÓN

Esta norma establece los principios y las guías generales para la gestión del riesgo. Esta norma la puede utilizar cualquier empresa pública, privada o comunitaria, asociación, grupo o individuo. Por lo tanto, esta norma no es específica a ninguna industria o sector. NOTA. Por conveniencia, a todos los diferentes usuarios de esta norma se los llama por el término general organización. Esta norma se puede aplicar durante toda la vida de una organización y a una amplia gama de acti-vidades, incluidas las estrategias y decisiones, las operaciones, los procesos, las funciones, los proyectos, los productos, los servicios y los activos. Esta norma se puede aplicar a cualquier tipo de riesgo, independientemente de su naturaleza, que tenga consecuencias positivas o negativas. Si bien esta norma proporciona guías genéricas, no es su intención promover la uniformidad en la gestión del riesgo a través de las organizaciones. El diseño y la implementación de planes y marcos para la gestión del riesgo deben tener en cuenta las diversas necesidades de una organización es-pecífica, sus objetivos, contexto, marco, operaciones, procesos, funciones, proyectos, productos, servicios o activos particulares y las prácticas específicas empleadas. Se pretende que esta norma se utilice para armonizar los procesos de gestión del riesgo tanto en normas actuales como futuras. Esta norma proporciona un enfoque amplio para brindar apoyo a normas enfocadas a riesgos o sectores específicos, en lugar de reemplazarlas. Esta norma no está destinada a la certificación.

DOCUMENTOS NORMATIVOS PARA CONSULTA

Para la aplicación de esta norma no es necesaria la consulta de ninguna otra.

2 TÉRMINOS Y DEFINICIONES

Para los propósitos de este documento, se aplican los términos y definiciones siguientes. 2.1 riesgo efecto de la incertidumbre sobre el logro de los objetivos NOTA 1. Un efecto es un desvío respecto de lo esperado - ya sea positivo y/o negativo. NOTA 2. Los objetivos pueden tener diferentes aspectos (tales como financieros, relativos a la seguridad y la salud, y al medio ambiente) y pueden aplicarse en diferentes planos (por ejemplo, estratégico, organizacional, relativos a proyectos, productos y procesos). NOTA 3. Generalmente el riesgo está caracterizado por referencia a eventos (2.17) potenciales y sus consecuencias (2.18) o a una combinación de ambos. NOTA 4. El riesgo por lo general se define en términos de la combinación de las consecuencias de un evento (incluyendo cambios en las circunstancias) y la probabilidad (2.19) de ocurrencia relacionada.


IRAM-ISO 31000:2015

11

NOTA 5. La incertidumbre es el estado, incluso parcial, de la deficiencia de información, entendimiento o conocimiento de un evento, su consecuencia o probabilidad. NOTA IRAM. Definición 1.1 de la IRAM-ISO 73:2013. 2.2 gestión del riesgo actividades coordinadas para dirigir y controlar una organización con respecto al riesgo (2.1) NOTA IRAM. Definición 2.1 de la IRAM-ISO 73:2013. 2.3 marco de gestión del riesgo conjunto de elementos que sientan los fundamentos y disposiciones dentro de la organización para diseñar, implementar, hacer el seguimiento y control (2.28), revisar y mejorar continuamente la gestión del riesgo (2.2) en toda la organización NOTA 1. Los fundamentos incluyen la política, los objetivos, las obligaciones y los compromisos para gestionar el riesgo (2.1). NOTA 2. Las disposiciones de la organización incluyen planes, relaciones, responsabilidades por cargo, recursos, procesos y actividades. NOTA 3. El marco de gestión del riesgo está contenido en todas las políticas y las prácticas estratégicas y operativas de la organización. NOTA IRAM. Definición 2.1.1 de la IRAM-ISO 73:2013. 2.4 política de gestión del riesgo declaración de las intenciones y orientaciones generales de una organización relativas a la gestión del riesgo (2.2) NOTA IRAM. Definición 2.1.2 de la IRAM-ISO 73:2013. 2.5 actitud frente al riesgo enfoque de la organización con respecto a la evaluación y eventualmente, la búsqueda, la retención, la aceptación o la evasión del riesgo (2.1) NOTA IRAM. Definición 3.7.1.1 de la IRAM-ISO 73:2013. 2.6 plan de gestión del riesgo esquema dentro del marco de gestión del riesgo (2.3) que especifica el enfoque y los elementos de gestión y recursos que se aplicarán en la gestión del riesgo (2.1) NOTA 1. Los elementos de gestión por lo general incluyen los procedimientos, las prácticas, la asignación de responsabili-dades y el cronograma de las actividades. NOTA 2. El plan de gestión del riesgo se puede aplicar a un producto, proceso y proyecto determinado y a toda la organiza-ción o a parte de ella. NOTA IRAM. Definición 2.1.3 de la IRAM-ISO 73:2013. 2.7 propietario del riesgo persona o entidad que posee la responsabilidad por cargo y la autoridad para gestionar el riesgo (2.1) NOTA IRAM. Definición 3.5.1.5 de la IRAM-ISO 73:2013.


IRAM-ISO 31000:2015

12

2.8 proceso de gestión del riesgo aplicación sistemática de las políticas, los procedimientos y las prácticas de gestión a las actividades de comunicación, consulta, establecimiento del contexto, identificación, análisis, valoración, trata-miento, seguimiento y control (2.28) y revisión del riesgo (2.1) NOTA IRAM. Definición 3.1 de la IRAM-ISO 73:2013. 2.9 establecimiento del contexto definición de los parámetros externos e internos a considerar al momento de gestionar el riesgo y fijar el alcance y los criterios de riesgo (2.22) para la política de gestión del riesgo (2.4) NOTA IRAM. Definición 3.3.1 de la IRAM-ISO 73:2013. 2.10 contexto externo entorno externo en el cual la organización busca alcanzar sus objetivos NOTA. El contexto externo puede incluir: 1. el entorno cultural y social, político, legal, reglamentario, financiero, tecnológico, económico, natural y competitivo, ya

sea a nivel local, regional, nacional o internacional; 2. los factores clave y las tendencias que impactan sobre los objetivos de la organización; y 3. las relaciones con las partes interesadas (2.13) externas y sus percepciones y valores. NOTA IRAM. Definición 3.3.1.1 de la IRAM-ISO 73:2013. 2.11 contexto interno entorno interno en el cual la organización busca alcanzar sus objetivos NOTA. El contexto interno puede incluir: 1. la gobernanza, la estructura de la organización, los roles y las responsabilidades por cargo; 2. las políticas, los objetivos y las estrategias para alcanzar los objetivos; 3. las capacidades, concebidas en términos de recursos y conocimientos (por ejemplo, capital, tiempo, gente, procesos,

sistemas y tecnologías); 4. los sistemas de información, los flujos de información y los procesos de toma de decisiones (tanto formales como in-

formales); 5. las relaciones con las partes interesadas internas y sus percepciones y valores; 6. la cultura de la organización; 7. las normas, las guías y los modelos adoptados por la organización; y 8. la forma y el alcance de las relaciones contractuales. NOTA IRAM. Definición 3.3.1.2 de la IRAM-ISO 73:2013.


IRAM-ISO 31000:2015

13

2.12 comunicación y consulta procesos continuos e iterados llevados a cabo por una organización para brindar, compartir u obtener información y para entablar un diálogo con las partes interesadas (2.13) en relación a la gestión del riesgo (2.1) NOTA 1. La información puede estar relacionada con la existencia, la naturaleza, la forma, la probabilidad (2.19), la rele-vancia, la valoración, la aceptabilidad y el tratamiento de la gestión del riesgo. NOTA 2. La consulta es un proceso bidireccional de comunicación entre una organización y sus partes interesadas en rela-ción a un tema antes de tomar una decisión o de determinar un curso de acción al respecto. La consulta es: 1. un proceso que impacta sobre una decisión por medio de la influencia más que de una relación de poder; y 2. una entrada en la toma de decisiones, no la toma de decisiones de manera conjunta. NOTA IRAM. Definición 3.2.1 de la IRAM-ISO 73:2013. 2.13 parte interesada persona u organización que puede afectar, estar afectada o considerarse afectada por una decisión o actividad NOTA. El responsable de la toma de decisiones puede ser una parte interesada. NOTA IRAM. Definición 3.2.1.1 de la IRAM-ISO 73:2013. 2.14 evaluación del riesgo proceso general de identificación del riesgo (2.15), análisis del riesgo (2.21) y valoración del riesgo (2.24) NOTA IRAM. Definición 3.4.1 de la IRAM-ISO 73:2013. 2.15 identificación del riesgo proceso que permite encontrar, reconocer y describir los riesgos (2.1) NOTA 1. La identificación del riesgo incluye la identificación de las fuentes de riesgo (2.16), los eventos (2.17), sus cau-sas y sus consecuencias (2.18) potenciales. NOTA 2. La identificación del riesgo puede incluir datos históricos, análisis teóricos, opiniones informadas y expertas y las necesidades de las partes interesadas (2.13). NOTA IRAM. Definición 3.5.1 de la IRAM-ISO 73:2013. 2.16 fuente de riesgo elemento que sólo o combinado posee potencial intrínseco para originar el riesgo (2.1) NOTA. Una fuente de riesgo puede ser tangible o intangible. NOTA IRAM. Definición 3.5.1.2 de la IRAM-ISO 73:2013. 2.17 evento ocurrencia o cambio de un conjunto de circunstancias en particular NOTA 1. Un evento puede ser una o más ocurrencias y puede tener varias causas.


IRAM-ISO 31000:2015

14

NOTA 2. Un evento puede ser que algo no pase. NOTA 3. Un evento en determinadas ocasiones puede denominarse incidente o accidente. NOTA 4. Un evento sin consecuencias (2.18) también puede denominarse cuasi accidente, incidente, cuasi incidente o accidente potencial. NOTA IRAM. Definición 3.5.1.3 de la IRAM-ISO 73:2013. 2.18 consecuencia resultado de un evento (2.17) que afecta los objetivos NOTA 1. Se puede derivar más de una consecuencia de un mismo evento. NOTA 2. Una consecuencia puede ser cierta o incierta y puede tener efectos positivos o negativos sobre los objetivos. NOTA 3. Las consecuencias se pueden expresar de manera cualitativa o cuantitativa. NOTA 4. Las consecuencias iniciales pueden incrementarse debido a los efectos secundarios. NOTA IRAM. Definición 3.6.1.3 de la IRAM-ISO 73:2013. 2.19 probabilidad posibilidad de que ocurra algo NOTA 1. Según la terminología relacionada con la gestión del riesgo, la palabra probabilidad se utiliza para hacer referencia a la posibilidad de que ocurra algo, ya sea definida, medida o determinada de manera objetiva o subjetiva, cualitativa o cuantitativamente y descripta matemáticamente o en términos generales [como, por ejemplo, la probabilidad matemática o la frecuencia durante un período determinado]. NOTA 2. En algunos idiomas el término inglés “likelihood” no posee un equivalente directo. Por lo tanto, generalmente se utiliza un equivalente del término probabilidad. Sin embargo, en inglés, el término “probability” se interpreta específicamente como un término matemático. En consecuencia, en la terminología relacionada con la gestión del riesgo, el término de pro-babilidad “likelihood” se utiliza con el mismo significado amplio que posee el término probabilidad en muchos otros idiomas distintos del inglés. NOTA IRAM. Definición 3.6.1.1 de la IRAM-ISO 73:2013. 2.20 perfil de riesgo descripción de cualquier conjunto de riesgos (2.1) NOTA. El conjunto de riesgos puede incluir aquellos riesgos relacionados con toda la organización o con una parte de ella, o como se lo haya definido en el alcance. NOTA IRAM. Definición 3.8.2.5 de la IRAM-ISO 73:2013. 2.21 análisis del riesgo proceso cuyo objetivo es comprender la naturaleza del riesgo (2.1) y determinar el nivel de riesgo (2.23) NOTA 1. El análisis del riesgo proporciona la base para la valoración del riesgo (2.24) y las decisiones con respecto al tratamiento del riesgo (2.25). NOTA 2. El análisis del riesgo incluye la estimación del riesgo. NOTA IRAM. Definición 3.6.1 de la IRAM-ISO 73:2013.


IRAM-ISO 31000:2015

15

2.22 criterios de riesgo términos de referencia en base a los cuales se evalúa la relevancia del riesgo (2.1) NOTA 1. Los criterios de riesgo están basados en los objetivos de la organización y en el contexto interno (2.11) y externo (2.10). NOTA 2. Los criterios de riesgo pueden surgir de normas, leyes, políticas y otros requisitos. NOTA IRAM. Definición 3.3.1.3 de la IRAM-ISO 73:2013. 2.23 nivel de riesgo magnitud de un riesgo (2.1) o combinación de riesgos, expresada en términos de la combinación de sus consecuencias (2.18) y su probabilidad (2.19) NOTA IRAM. Definición 3.6.1.8 de la IRAM-ISO 73:2013. 2.24 valoración del riesgo proceso que consiste en comparar los resultados del análisis del riesgo (2.21) con los criterios de riesgo (2.22) con el fin de determinar si el riesgo (2.1) y/o su magnitud son aceptables o tolerables NOTA. La valoración del riesgo contribuye al momento de decidir acerca del tratamiento del riesgo (2.25). NOTA IRAM. Definición 3.7.1 de la IRAM-ISO 73:2013. 2.25 tratamiento del riesgo proceso para modificar el riesgo (2.1) NOTA 1. El tratamiento del riesgo puede implicar: 1. evitar el riesgo al decidir no comenzar o no continuar con la actividad que da origen al riesgo; 2. aceptar el riesgo o aumentarlo en búsqueda de una oportunidad; 3. eliminar la fuente de riesgo (2.16) 4. modificar la probabilidad (2.19); 5. modificar las consecuencias (2.18); 6. compartir el riesgo con otra parte o partes (lo que incluye contratos y financiar el riesgo); y 7. retener el riesgo mediante una decisión informada. NOTA 2. Los tratamientos de riesgos que abordan las consecuencias negativas suelen denominarse mitigación de riesgos, eliminación de riesgos, prevención de riesgos y reducción de riesgos. NOTA 3. El tratamiento del riesgo puede crear nuevos riesgos o modificar los riesgos existentes. NOTA IRAM. Definición 3.8.1 de la IRAM-ISO 73:2013. 2.26 control medida que modifica el riesgo (2.1) NOTA 1. Los controles incluyen cualquier proceso, política, dispositivo, práctica u otras acciones que modifiquen el riesgo.


IRAM-ISO 31000:2015

16

NOTA 2. Puede ocurrir que los controles no siempre produzcan el efecto de modificación deseado o previsto. NOTA IRAM. Definición 3.8.1.1 de la IRAM-ISO 73:2013. 2.27 riesgo residual riesgo (2.1) remanente luego del tratamiento del riesgo (2.25) NOTA 1. El riesgo residual puede incluir riesgo no identificado. NOTA 2. También se lo conoce como riesgo retenido. NOTA IRAM. Definición 3.8.1.6 de la IRAM-ISO 73:2013. 2.28 seguimiento y control control, supervisión, observación crítica o determinación del estado de manera continua con el fin de identificar cambios en el nivel requerido o esperado de desempeño NOTA. El seguimiento y control puede aplicarse al marco de gestión del riesgo (2.3), al proceso de gestión del riesgo (2.8), al riesgo (2.1) o al control (2.26). NOTA IRAM. Definición 3.8.2.1 de la IRAM-ISO 73:2013. 2.29 revisión actividad realizada para determinar la pertinencia, la adecuación y la eficacia del asunto en cuestión para alcanzar los objetivos establecidos NOTA. La revisión se puede aplicar al marco de gestión del riesgo (2.3), al proceso de gestión del riesgo (2.8), al ries-go (2.1) o al control (2.26). NOTA IRAM. Definición 3.8.2.2 de la IRAM-ISO 73:2013.

3 PRINCIPIOS

Para que la gestión del riesgo sea eficaz, se recomienda que la organización cumpla, en todos los ni-veles, con los principios siguientes. a) La gestión del riesgo crea y protege valor. La gestión del riesgo contribuye a demostrar el logro de los objetivos y la mejora en el desempeño

relacionado, por ejemplo, con la salud y seguridad ocupacional, la seguridad, el cumplimiento legal y reglamentario, la aceptación pública, la protección del medio ambiente, la calidad del producto, la gestión de proyectos, la eficiencia en las operaciones, la gobernanza y la reputación.

b) La gestión del riesgo es una parte integral de t odos los procesos de la organización. La gestión del riesgo no es una actividad autónoma e independiente de las principales activida-

des y procesos de la organización. La gestión del riesgo forma parte de las responsabilidades de la dirección y es una parte integral de todos los procesos de la organización, incluyendo la plani-ficación estratégica y todos los procesos de gestión de proyectos y gestión del cambio.

c) La gestión del riesgo es parte de la toma de dec isiones. La gestión del riesgo ayuda a los responsables de la toma de decisiones a efectuar elecciones

informadas, a priorizar acciones y a distinguir entre varias alternativas.


IRAM-ISO 31000:2015

17

d) La gestión del riesgo trata explícitamente la in certidumbre. La gestión del riesgo tiene en cuenta explícitamente la incertidumbre, la naturaleza de esta incer-

tidumbre y cómo puede tratarse. e) La gestión del riesgo es sistemática, estructura da y oportuna . Un enfoque sistemático, oportuno y estructurado de la gestión del riesgo contribuye a la eficien-

cia y a la obtención de resultados coherentes, comparables y confiables. f) La gestión del riesgo se basa en la mejor inform ación disponible. Las entradas del proceso de gestión del riesgo se basan en fuentes de información, tales como

datos históricos, experiencias, retroalimentación de las partes interesadas, observaciones, pro-nósticos y la opinión de los expertos. Sin embargo, se recomienda que los responsables de la toma de decisiones se informen y tengan en cuenta las limitaciones de los datos o del modelo usado, o la posibilidad de discrepancia entre los expertos.

g) La gestión del riesgo está hecha a medida. La gestión del riesgo está alineada con el contexto interno y externo de la organización y con su

perfil de riesgo. h) La gestión del riesgo tiene en cuenta factores h umanos y culturales. La gestión del riesgo reconoce las capacidades, intenciones y percepciones de la gente interna y

externa que pueden facilitar o dificultar el logro de los objetivos de la organización. i) La gestión del riesgo es transparente e inclusiv a. La participación adecuada y oportuna de las partes interesadas y, en particular de los responsa-

bles de la toma de decisiones en todos los niveles de la organización, asegura que la gestión del riesgo siga siendo pertinente y estando actualizada. La participación también le permite a las partes interesadas estar debidamente representadas y que se tenga en cuenta su perspectiva al determinar los criterios de riesgo.

j) La gestión del riesgo es dinámica, iterativa y c apaz de reaccionar ante los cambios. La gestión del riesgo continuamente detecta y responde al cambio. En la medida en que ocurren

eventos internos y externos, se modifican el contexto y el conocimiento, se realiza el seguimiento y control y la revisión del riesgo, surgen nuevos riesgos, algunos se modifican y otros desaparecen.

k) La gestión del riesgo permite la mejora continua de la organización. Se recomienda que las organizaciones desarrollen e implementen estrategias para mejorar su

madurez en la gestión del riesgo, juntamente con todos los demás aspectos de su organización. El anexo A contiene información adicional para las organizaciones que deseen gestionar el riesgo con mayor eficacia.

4 MARCO

4.1 Generalidades El éxito de la gestión del riesgo depende de la eficacia del marco de gestión que proporciona los fun-damentos y las disposiciones que se deben incorporar en toda la organización y en todos los niveles. El marco ayuda a gestionar el riesgo con eficacia a través de la aplicación del proceso de gestión del riesgo (ver capítulo 5) a diferentes niveles y dentro de contextos específicos dentro la organización. El marco asegura que la información sobre los riesgos que deriva de ese proceso de gestión del


IRAM-ISO 31000:2015

18

riesgo se informe y utilice adecuadamente como base para la toma de decisiones y la responsabili-dad por cargo en todos los niveles pertinentes de la organización. Este capítulo describe los elementos necesarios del marco de gestión del riesgo y la forma en que se relacionan de manera iterativa, tal como se muestra en la figura 2.

Figura 2 - Relación entre los elementos del marco d e gestión del riesgo

Este marco no pretende prescribir un sistema de gestión, sino más bien ayudar a la organización a integrar la gestión del riesgo en su sistema de gestión general. Por lo tanto, se recomienda que las organizaciones adapten los elementos del marco a sus necesidades específicas. Si las prácticas y procesos de gestión existentes dentro de una organización incluyen los elementos de la gestión del riesgo o si la organización ya ha adoptado un proceso formal de gestión del riesgo para determinados tipos de riesgo o situaciones, entonces se recomienda revisarlos y evaluarlos críticamen-te con respecto a esta norma, incluyendo los atributos que figuran en el Anexo A, para determinar su suficiencia y eficacia. 4.2 Mandato y compromiso La introducción de la gestión del riesgo y la garantía de su eficacia continua, requiere un compromiso firme y sostenido por parte de la dirección de la organización, así como una planificación rigurosa y estratégica para obtener dicho compromiso en todos los niveles. Se recomienda que la dirección: 1. defina y respalde la política de gestión del riesgo; 2. asegure que la cultura de la organización y la política de gestión del riesgo estén alineadas; 3. defina indicadores de desempeño para la gestión del riesgo que estén alineados con los indica-

dores de desempeño de la organización;


IRAM-ISO 31000:2015

19

4. alinee los objetivos de gestión del riesgo a los objetivos y estrategias de la organización;

5. asegure el cumplimiento legal y reglamentario;

6. asigne responsabilidades por cargo y responsabilidades a niveles apropiados dentro de la orga-nización;

7. asegure que se asignen los recursos necesarios para la gestión del riesgo;

8. comunique los beneficios de la gestión del riesgo a todas las partes interesadas;

9. asegure que el marco de gestión del riesgo continúa siendo apropiado. 4.3 Diseño de un marco para gestionar el riesgo 4.3.1 Comprensión de la organización y su contexto

Antes de iniciar el diseño y la implementación del marco para gestionar el riesgo, es importante eva-luar y comprender tanto el contexto interno como el externo de la organización, ya que estos pueden influir significativamente en el diseño del marco. La evaluación del contexto externo de la organización puede incluir, pero no está limitada a: a) el entorno cultural y social, político, legal, reglamentario, financiero, tecnológico, económico, na-

tural y competitivo, ya sea a nivel local, regional, nacional o internacional; b) los factores clave y las tendencias que impactan sobre los objetivos de la organización; c) las relaciones con las partes interesadas externas y sus percepciones y valores. La evaluación del contexto interno de la organización puede incluir, pero no está limitada a: 1. la gobernanza, la estructura de la organización, los roles y las responsabilidades por cargo; 2. las políticas, los objetivos y las estrategias para alcanzar los objetivos; 3. las capacidades, concebidas en términos de recursos y conocimientos (por ejemplo, capital,

tiempo, gente, procesos, sistemas y tecnologías); 4. los sistemas y los flujos de información y los procesos de toma de decisiones (tanto formales

como informales); 5. las relaciones con las partes interesadas internas y sus percepciones y valores; 6. las normas, las guías y los modelos adoptados por la organización; 7. la forma y el alcance de las relaciones contractuales. 4.3.2 Establecimiento de la política de gestión de l riesgo

Se recomienda que la política de gestión del riesgo establezca claramente los objetivos de la organi-zación para la gestión del riesgo y su compromiso con ésta y en general trate lo siguiente: 1. la lógica de la organización para gestionar el riesgo; 2. las conexiones entre los objetivos y políticas de la organización y la política de gestión del riesgo;


IRAM-ISO 31000:2015

20

3. las responsabilidades por cargo y responsabilidades en materia de gestión del riesgo; 4. la forma en que se gestionan los conflictos de intereses; 5. el compromiso de asignar los recursos necesarios para asistir a los responsables por cargo y

responsables de la gestión del riesgo; 6. la forma en que se va a medir e informar el desempeño de la gestión del riesgo; 7. el compromiso de revisar y mejorar la política y el marco de gestión del riesgo tanto periódica-

mente como en respuesta a un evento o cambio en las circunstancias. Se recomienda comunicar adecuadamente la política de gestión del riesgo. 4.3.3 Responsabilidad por cargo

Se recomienda que la organización asegure que haya responsabilidad por cargo, autoridad y compe-tencia adecuada para gestionar el riesgo, incluyendo la implementación y el mantenimiento del proceso de gestión del riesgo, y asegurando suficiencia, eficacia y eficiencia en los controles. Esto se puede facilitar mediante: 1. la identificación de los propietarios del riesgo que tienen responsabilidad por cargo y autoridad

para gestionar los riesgos; 2. la identificación de los responsables por cargo del desarrollo, la implementación y el manteni-

miento del marco de gestión del riesgo; 3. la identificación de otras personas responsables del proceso de gestión del riesgo en todos los

niveles de la organización; 4. el establecimiento de la medición del desempeño, y los procesos de presentación de informes in-

ternos y externos y de escalamiento; 5. el aseguramiento de los niveles adecuados de reconocimiento. 4.3.4 Integración con los procesos de la organizac ión

Se recomienda incorporar la gestión del riesgo en todas las prácticas y los procesos de la organiza-ción de manera pertinente, eficaz y eficiente. Se recomienda que el proceso de gestión del riesgo se convierta en parte integral de esos procesos y que no se lo separe. En particular, se recomienda que la gestión del riesgo se incorpore al desarrollo de políticas, a la planificación y la revisión estratégica y de negocios, y a los procesos de gestión del cambio. Se recomienda que haya un plan de gestión del riesgo para toda la organización con el fin de asegu-rar que la política de gestión del riesgo esté implementada y que la gestión del riesgo se incorpore en todas las prácticas y procesos de la organización. El plan de gestión del riesgo se puede integrar con otros planes de la organización, tales como el plan estratégico. 4.3.5 Recursos

Se recomienda que la organización asigne los recursos apropiados para la gestión del riesgo. Se recomienda considerar los siguientes: 1. los recursos humanos, sus habilidades, experiencia y competencias;


IRAM-ISO 31000:2015

21

2. los recursos necesarios para cada paso del proceso de gestión del riesgo; 3. los procesos, los métodos y las herramientas de la organización que se utilizarán para gestionar

los riesgos; 4. los procesos y procedimientos documentados; 5. los sistemas de gestión de la información y del conocimiento; 6. los programas de capacitación. 4.3.6 Establecimiento de mecanismos de comunicació n y presentación de informes internos

Se recomienda que la organización establezca mecanismos de comunicación y presentación de in-formes internos para apoyar y fomentar la responsabilidad por cargo y la propiedad del riesgo. Se recomienda que tales mecanismos aseguren que: 1. se comuniquen apropiadamente los componentes clave del marco de gestión del riesgo y sus

subsecuentes modificaciones; 2. exista un proceso adecuado de presentación de informes internos sobre el marco, su eficacia y

sus resultados; 3. la información pertinente derivada de la aplicación de la gestión del riesgo esté disponible en

tiempo y forma en los niveles apropiados; 4. existan procesos de consulta con las partes interesadas internas. Se recomienda que estos mecanismos incluyan, cuando corresponda, procesos para consolidar la infor-mación de riesgo a partir de una variedad de fuentes, teniendo en cuenta la sensibilidad de esta información. 4.3.7 Establecimiento de mecanismos de comunicació n y presentación de informes externos

Se recomienda que la organización desarrolle e implemente un plan acerca de la forma de comuni-cación con las partes interesadas externas. Se recomienda que esto incluya: 1. el compromiso de las partes interesadas externas apropiadas y el aseguramiento de un inter-

cambio eficaz de información; 2. la presentación de informes externos para cumplir con los requisitos legales, reglamentarios y de

gobernanza; 3. la retroalimentación y presentación de informes sobre la comunicación y la consulta; 4. el uso de la comunicación para fomentar la confianza en la organización; 5. la comunicación a las partes interesadas en caso de crisis o contingencia. Se recomienda que estos mecanismos incluyan, cuando corresponda, procesos para consolidar la in-formación de riesgo a partir de una variedad de fuentes, teniendo en cuenta la sensibilidad de esta información.


IRAM-ISO 31000:2015

22

4.4 Implementación de la gestión del riesgo 4.4.1 Implementación del marco para gestionar el r iesgo

Al implementar el marco para gestionar el riesgo, se recomienda que la organización: 1. defina el cronograma y la estrategia apropiados para la implementación del marco; 2. aplique la política y el proceso de gestión del riesgo a los procesos de la organización; 3. cumpla con los requisitos legales y reglamentarios; 4. garantice que la toma de decisiones, incluyendo el desarrollo y establecimiento de los objetivos,

esté alineada con los resultados de los procesos de gestión del riesgo; 5. realice sesiones de información y capacitación; 6. comunique y consulte a las partes interesadas para asegurar que el marco de gestión del riesgo

sigue siendo apropiado. 4.4.2 Implementación del proceso de gestión del ri esgo

Se recomienda implementar la gestión del riesgo asegurando que el proceso de gestión del riesgo descripto en el capítulo 5 se aplique a través de un plan de gestión del riesgo en todos los niveles y funciones pertinentes de la organización, como parte de sus prácticas y procesos. 4.5 Seguimiento y control, y revisión del marco

Para asegurar que la gestión del riesgo sea eficaz y continúe apoyando el desempeño de la organi-zación, se recomienda que ésta: 1. mida el desempeño de la gestión del riesgo a través de indicadores, que se revisan periódica-

mente, para asegurar que sea apropiado; 2. mida periódicamente el avance y la desviación con respecto al plan de gestión del riesgo; 3. revise periódicamente si la política, el plan y el marco de gestión del riesgo siguen siendo apro-

piados, según el contexto interno y externo de la organización; 4. informe sobre los riesgos, el avance del plan de gestión del riesgo y el cumplimiento de la políti-

ca de gestión del riesgo; 5. revise la eficacia del marco de gestión del riesgo. 4.6 Mejora continua del marco Teniendo en cuenta los resultados del seguimiento y control, y de la revisión, se recomienda que se tomen decisiones sobre la forma en que se puede mejorar la política, el plan y el marco de gestión del riesgo. Se recomienda que estas decisiones provoquen mejoras en la gestión del riesgo por parte de la organización y en su cultura de gestión del riesgo.


IRAM-ISO 31000:2015

23

5 PROCESO

5.1 Generalidades Se recomienda que el proceso de gestión del riesgo: 1. sea parte integral de la gestión; 2. se incorpore a la cultura y las prácticas; 3. se adapte a los procesos de negocio de la organización. Éste incluye las actividades descriptas en 5.2 a 5.6. El proceso de gestión del riesgo se muestra en la figura 3.

Figura 3 - Proceso de gestión del riesgo 5.2 Comunicación y consulta

Se recomienda que la comunicación y la consulta con las partes interesadas internas y externas se realicen en todas las etapas del proceso de gestión del riesgo.


IRAM-ISO 31000:2015

24

Por lo tanto, se recomienda: 1. que los planes de comunicación y consulta se desarrollen en una etapa temprana; 2. que estos planes traten las cuestiones relacionadas con el riesgo en sí mismo, sus causas, sus

consecuencias (si se conocen) y las medidas que se han adoptado para tratarlo; 3. realizar comunicación y consulta, tanto interna como externa, eficaces para asegurar que los res-

ponsables por cargo de la implementación del proceso de gestión del riesgo y las partes interesadas entiendan los fundamentos con los cuales se toman las decisiones y las razones por las cuales se requieren acciones específicas.

El enfoque de un equipo consultivo puede: 1. ayudar a establecer el contexto apropiadamente; 2. asegurar que las necesidades de las partes interesadas se comprendan y consideren; 3. contribuir a asegurar que los riesgos estén debidamente identificados; 4. reunir diferentes áreas de especialización para que en forma conjunta analicen los riesgos; 5. asegurar que los distintos puntos de vista sean considerados adecuadamente al definir los criterios y

la valoración del riesgo; 6. asegurar la aprobación y el apoyo a un plan de tratamiento; 7. intensificar una apropiada gestión del cambio durante el proceso de gestión del riesgo; 8. desarrollar un plan adecuado para la comunicación y la consulta interna y externa. La comunicación y la consulta con las partes interesadas es importante debido a que ellas juzgan el riesgo basándose en sus percepciones. Estas percepciones pueden variar debido a diferencias en los valores, las necesidades, las suposiciones, los conceptos y las preocupaciones de las partes in-teresadas. Como sus puntos de vista pueden tener un impacto significativo sobre las decisiones tomadas, se recomienda que las percepciones de las partes interesadas se identifiquen, se registren y se tengan en cuenta en el proceso de la toma de decisiones. Se recomienda que la comunicación y la consulta faciliten el intercambio de información veraz, perti-nente, exacta y comprensible, teniendo en cuenta aspectos de integridad personal y confidencialidad. 5.3 Establecimiento del contexto 5.3.1 Generalidades

Al establecer el contexto, la organización articula sus objetivos, define los parámetros internos y ex-ternos a considerar al gestionar los riesgos, y establece el alcance y los criterios de riesgo para el resto del proceso. A pesar de que muchos de estos parámetros son similares a los considerados en el diseño del marco de gestión del riesgo (ver 4.3.1), cuando se establece el contexto para el proceso de gestión del ries-go, se los necesita considerar con mayor detalle y, en particular, la forma en que se relacionan con el alcance del proceso de gestión del riesgo específico.


IRAM-ISO 31000:2015

25

5.3.2 Establecimiento del contexto externo

El contexto externo es el entorno externo en el cual la organización busca alcanzar sus objetivos. Comprender el contexto externo es importante para asegurar que los objetivos y las preocupaciones de las partes interesadas externas se consideren al desarrollar los criterios de riesgo. El contexto ex-terno se basa en el contexto de toda la organización, pero con detalles específicos acerca de los requisitos legales y reglamentarios, las percepciones de las partes interesadas y otros aspectos de los riesgos específicos al alcance del proceso de gestión del riesgo. El contexto externo puede incluir, pero no está limitado a: 1. el entorno cultural y social, político, legal, reglamentario, financiero, tecnológico, económico, na-

tural y competitivo, ya sea a nivel local, regional, nacional o internacional; 2. los factores clave y las tendencias que impactan sobre los objetivos de la organización; 3. las relaciones con las partes interesadas externas y sus percepciones y valores. 5.3.3 Establecimiento del contexto interno

El contexto interno es el entorno interno en el cual la organización busca alcanzar sus objetivos. Se recomienda que el proceso de gestión del riesgo esté alineado con la cultura, los procesos, la es-tructura y la estrategia de la organización. El contexto interno es todo lo que se encuentra dentro de la organización y que puede influir en la forma en la que la organización gestiona el riesgo. Se reco-mienda su establecimiento porque: a) la gestión del riesgo tiene lugar en el contexto de los objetivos de la organización; b) los objetivos y los criterios para un proyecto, proceso o actividad en particular, se consideran a la

luz de los objetivos de la organización en su conjunto; c) algunas organizaciones no reconocen las oportunidades para alcanzar sus objetivos estratégicos

de proyecto o de negocio, y esto afecta a la continuidad del compromiso de la organización, su credibilidad, su confianza y su valor.

Es necesario comprender el contexto interno. Este puede incluir, pero no se limita a: 1. la gobernanza, la estructura de la organización, los roles y las responsabilidades por cargo; 2. las políticas, los objetivos y las estrategias para alcanzar los objetivos; 3. las capacidades, concebidas en términos de recursos y conocimientos (por ejemplo capital,

tiempo, recursos humanos, procesos, sistemas y tecnologías); 4. los sistemas y los flujos de información y los procesos de toma de decisiones (tanto formales

como informales); 5. las relaciones con las partes interesadas internas y sus percepciones y valores; 6. la cultura de la organización; 7. las normas, las guías y los modelos adoptados por la organización; 8. la forma y el alcance de las relaciones contractuales.


IRAM-ISO 31000:2015

26

5.3.4 Establecimiento del contexto del proceso de gestión del riesgo

Se recomienda establecer los objetivos, las estrategias, el alcance y los parámetros de las actividades de la organización, o de aquellas partes de la organización en la cuales el proceso de gestión del riesgo se aplica. Se recomienda emprender la gestión del riesgo teniendo en cuenta la necesidad de justificar los recursos utilizados para llevar a la práctica la gestión del riesgo. También se recomienda especificar los recursos necesarios, las responsabilidades y autoridades, y los registros que se deben mantener. El contexto del proceso de gestión del riesgo varía de acuerdo a las necesidades de la organización. Este puede incluir, pero no se limita a: 1. la definición de las metas y objetivos de las actividades de gestión del riesgo; 2. la definición de las responsabilidades dentro del proceso de gestión del riesgo; 3. la definición del alcance así como también la profundidad y la amplitud de las actividades de ges-

tión del riesgo a ser llevadas a cabo, agregando las inclusiones y exclusiones específicas; 4. la definición de la actividad, el proceso, la función, el proyecto, el producto, el servicio o el activo

en términos de tiempo y ubicación; 5. la definición de la relación entre un proyecto, proceso o actividad específico y otros proyectos,

procesos o actividades de la organización; 6. la definición de las metodologías de evaluación del riesgo; 7. la definición de la manera en que se evalúan el desempeño y la eficacia de la gestión del riesgo; 8. la identificación y la especificación de las decisiones que se deben tomar; 9. la identificación, la definición del alcance o las limitaciones de los estudios necesarios, su exten-

sión y objetivos, y de los recursos necesarios para tales estudios. Se recomienda que la atención a estos y otros factores pertinentes asegure que el enfoque de ges-tión del riesgo adoptado sea apropiado a las circunstancias, a la organización y a los riesgos que afectan el logro de sus objetivos. 5.3.5 Definición de los criterios de riesgo Se recomienda que: a) la organización defina los criterios que se van a utilizar para valorar la importancia del riesgo; b) los criterios reflejen los valores, objetivos y recursos de la organización. Algunos criterios pueden

ser impuestos por, o derivados de, requisitos legales y reglamentarios y otros requisitos a los que la organización esté sujeta;

c) los criterios de riesgo sean coherentes con la política de gestión del riesgo de la organización

(ver 4.3.2), se definan al comienzo de cualquier proceso de gestión del riesgo y se revisen conti-nuamente.

Al definir los criterios de riesgo, se recomienda incluir los factores siguientes: 1. la naturaleza y los tipos de causas y consecuencias que pueden ocurrir y cómo se van a medir; 2. cómo se va a definir la probabilidad;


IRAM-ISO 31000:2015

27

3. la evolución temporal de la probabilidad y/o de las consecuencias; 4. cómo se va determinar el nivel de riesgo; 5. los puntos de vista de las partes interesadas; 6. el nivel al cual el riesgo se convierte en aceptable o tolerable; 7. si se toma en cuenta la combinación de múltiples riesgos, cómo y qué combinaciones considerar. 5.4 Evaluación del riesgo 5.4.1 Generalidades

La evaluación del riesgo es el proceso general de identificación, análisis y valoración del riesgo. NOTA. La ISO/IEC 31010 ofrece guías sobre las técnicas de evaluación del riesgo. 5.4.2 Identificación del riesgo

Se recomienda que la organización identifique las fuentes de riesgo, las áreas de impacto, los eventos (incluyendo cambios en las circunstancias) y sus causas y potenciales consecuencias. El propósito de este paso es generar una lista completa de los riesgos sobre la base de aquellos eventos que puedan originar, incrementar, prevenir, disminuir, retrasar o acelerar el logro de objetivos. Es importante identifi-car aquellos riesgos asociados a no aprovechar una oportunidad. La identificación completa es crítica, porque el riesgo que no se identifica en esta etapa no se incluirá en el análisis posterior. Se recomienda que la identificación del riesgo incluya todos los riesgos, estén o no sus fuentes bajo el control de la organización, aún cuando la fuente o causa del riesgo no sea evidente. Se recomien-da que la identificación del riesgo incluya la consideración de los efectos secundarios de consecuencias concretas, incluyendo efectos acumulativos y en cascada. También es recomendable considerar una amplia gama de consecuencias, incluso cuando la fuente o causa del riesgo no sea evidente. Además de identificar lo que puede suceder, es necesario considerar las posibles causas y escenarios que muestran las consecuencias que pueden ocurrir. Se recomienda considerar todas las causas y consecuencias significativas. Se recomienda que la organización utilice herramientas y técnicas de identificación del riesgo que sean apropiadas a sus objetivos y capacidades y a los riesgos que enfrenta. En la identificación del riesgo es importante contar con información actualizada y pertinente. Cuando sea posible, se reco-mienda incluir antecedentes apropiados. También se recomienda involucrar a personas que cuenten con el conocimiento apropiado para la identificación del riesgo. 5.4.3 Análisis del riesgo

El análisis del riesgo consiste en desarrollar una comprensión del riesgo. El análisis del riesgo pro-porciona una entrada para la valoración del riesgo, para decidir si éste necesita tratarse y sobre las estrategias y los métodos de tratamiento más adecuados. El análisis del riesgo también puede servir de entrada para la toma de decisiones cuando es necesario elegir alternativas y las opciones impli-can diferentes tipos y niveles de riesgo. El análisis del riesgo implica considerar las causas y las fuentes de riesgo, sus consecuencias positi-vas o negativas, y la probabilidad de que esas consecuencias ocurran. Se recomienda identificar los factores que afectan la probabilidad y las consecuencias. El riesgo se analiza determinando las con-secuencias y su probabilidad y otros atributos del riesgo. Un evento puede tener múltiples


IRAM-ISO 31000:2015

28

consecuencias y puede afectar múltiples objetivos. También se recomienda tener en cuenta los con-troles existentes y su eficacia y eficiencia. Se recomienda que la forma en que las consecuencias y la probabilidad se expresan y la forma en que se combinan para determinar un nivel de riesgo reflejen el tipo de riesgo, la información disponi-ble y el propósito para el cual se va a utilizar el resultado de la evaluación. Es recomendable que todo esto sea coherente con los criterios de riesgo. También es importante tener en cuenta la inter-dependencia de los distintos riesgos y sus fuentes. Se recomienda considerar en el análisis la confianza en la determinación del nivel de riesgo y su sensibi-lidad a los prerrequisitos y a los supuestos y comunicarlo eficazmente a los responsables de la toma de decisiones y, cuando corresponda, a otras partes interesadas. Se recomienda definir y recalcar los facto-res, como la diferencia de opinión entre los expertos, la incertidumbre, la disponibilidad, la calidad, la cantidad y la pertinencia continua de la información, o las limitaciones del modelado. El análisis del riesgo se puede realizar con diferentes grados de detalle, dependiendo del riesgo, del propósito del análisis, y de la información, los datos y los recursos disponibles. Dependiendo de las circunstancias, el análisis puede ser cualitativo, semicuantitativo o cuantitativo o una combinación de éstos. Las consecuencias y su probabilidad se pueden determinar mediante el modelado de los resultados de un evento o conjunto de eventos, o por la extrapolación de los estudios experimentales o de los datos disponibles. Las consecuencias se pueden expresar en términos de impacto tangible o intangi-ble. En algunos casos, se requiere más de un valor numérico o descriptor para especificar las consecuencias y su probabilidad en diferentes momentos, lugares, grupos o situaciones. 5.4.4 Valoración del riesgo

Basados en los resultados del análisis del riesgo, el propósito de la valoración es ayudar a decidir, cuáles riesgos necesitan tratamiento y la prioridad en la implementación de éste. La valoración del riesgo implica la comparación del nivel de riesgo detectado durante el proceso de análisis con los criterios de riesgo que fueron establecidos cuando se consideró el contexto. Basán-dose en esta comparación, se puede considerar la necesidad de tratamiento. Se recomienda que las decisiones tengan en cuenta el contexto más amplio del riesgo e incluyan consideraciones acerca de la tolerancia al riesgo de las partes que no son la organización implicada en el riesgo. Se recomienda tomar decisiones de acuerdo a los requisitos legales, reglamentarios y a otros requisitos. En algunas circunstancias, la valoración del riesgo puede dar lugar a la decisión de realizar un análisis más detallado. También, la valoración del riesgo puede conducir a la decisión de no tratar el riesgo de ninguna otra manera salvo la de mantener los controles existentes. Esta decisión se verá influenciada por la actitud de la organización frente al riesgo y de los criterios de riesgo que se hayan establecido. 5.5 Tratamiento del riesgo 5.5.1 Generalidades

El tratamiento del riesgo implica la selección de una o más opciones para modificar los riesgos, y la implementación de tales opciones. Una vez implementado, el tratamiento ofrece nuevos controles o modifica los ya existentes.


IRAM-ISO 31000:2015

29

El tratamiento del riesgo implica el proceso cíclico de: 1. evaluar un tratamiento del riesgo; 2. decidir si los niveles de riesgo residual son tolerables; 3. si no fuesen tolerables, implementar un nuevo tratamiento del riesgo; 4. evaluar la eficacia del tratamiento. Las opciones para el tratamiento del riesgo no son, necesariamente, mutuamente excluyentes, o apropiadas en todas las circunstancias. Las opciones pueden incluir las siguientes: a) evitar el riesgo al decidir no comenzar o no continuar con la actividad que da origen al riesgo; b) aceptar el riesgo o aumentarlo en búsqueda de una oportunidad; c) eliminar la fuente de riesgo; d) modificar la probabilidad; e) modificar las consecuencias; f) compartir el riesgo con otra parte o partes (lo que incluye contratos y financiar el riesgo); g) retener el riesgo mediante una decisión informada. 5.5.2 Selección de las opciones para el tratamient o del riesgo Seleccionar la opción más adecuada para el tratamiento del riesgo implica balancear los costos y los esfuerzos de implementación versus los beneficios obtenidos, con respecto a los requisitos legales, reglamentarios u otros requisitos, tales como la responsabilidad social y la protección del medio am-biente. Se recomienda que las decisiones, además, tengan en cuenta los riesgos que requieren un tratamiento que no es económicamente justificable, por ejemplo, los riesgos graves (gran conse-cuencia negativa) pero raros (probabilidad baja). Algunas opciones para el tratamiento se pueden considerar y aplicar tanto individualmente como combinadas. La organización normalmente puede beneficiarse con la adopción de una combinación de opciones para el tratamiento. Al seleccionar las opciones para el tratamiento del riesgo, se recomienda que la organización consi-dere los valores y las percepciones de las partes interesadas y los medios más adecuados para comunicarse con ellas. Cuando las opciones para el tratamiento del riesgo pueden tener algún im-pacto sobre el riesgo en alguna otra parte de la organización o sobre las partes interesadas, se recomienda que estas estén involucradas en la decisión. Aunque sean igualmente efectivos, algunos tratamientos pueden ser más aceptables para algunas partes interesadas que para otras. Se recomienda que el plan de tratamiento identifique claramente el orden de prioridad en que se re-comienda implementar cada tratamiento del riesgo en particular. El tratamiento del riesgo, por sí mismo, puede introducir riesgos. Un riesgo significativo puede ser la fa-lla o ineficacia de las medidas de tratamiento del riesgo. El seguimiento y control tiene que ser parte integral del plan de tratamiento del riesgo para asegurar que las medidas continúan siendo eficaces. El tratamiento del riesgo también puede introducir riesgos secundarios a los cuales se necesita evaluar, tratar, hacer seguimiento y control, y revisar. Estos riesgos secundarios se pueden incorporar dentro del


IRAM-ISO 31000:2015

30

mismo plan de tratamiento que el riesgo original y no tratarse como un nuevo riesgo. Se recomienda identificar y preservar el vínculo entre ambos riesgos. 5.5.3 Elaboración e implementación de planes de tr atamiento del riesgo

El propósito de los planes de tratamiento del riesgo es documentar cómo se implementarán las op-ciones seleccionadas para el tratamiento. Se recomienda que la información contenida en los planes de tratamiento incluya: 1. las razones para la selección de las opciones para el tratamiento, incluyendo los beneficios que

se espera obtener; 2. los responsables por cargo de la aprobación del plan y los responsables de la implementación

del plan; 3. las acciones propuestas; 4. los recursos necesarios, incluidas las contingencias; 5. las medidas y las restricciones de desempeño; 6. los requisitos para la presentación de informes y el seguimiento y control; 7. el cronograma y la programación. Se recomienda que los planes de tratamiento estén integrados a los procesos de gestión de la orga-nización y debatidos con las partes interesadas apropiadas. Se recomienda que los responsables de la toma de decisiones y otras partes interesadas se concien-ticen acerca de la naturaleza y el grado del riesgo residual después del tratamiento del riesgo. Se recomienda que el riesgo residual se documente y someta a seguimiento y control, y revisión y, cuando corresponda, a un tratamiento adicional. 5.6 Seguimiento y control y revisión

Se recomienda que tanto el seguimiento y control como la revisión sean una parte planificada del proceso de gestión del riesgo e involucren la verificación o supervisión regulares. Puede ser periódi-ca o ad hoc. Se recomienda definir claramente las responsabilidades en el seguimiento y control y en la revisión. Se recomienda que los procesos de seguimiento y control, y revisión de la organización abarquen todos los aspectos del proceso de gestión del riesgo con el fin de: 1. asegurar que los controles son eficaces y eficientes tanto en el diseño como en la operación; 2. obtener información adicional para mejorar la evaluación de riesgos; 3. analizar y aprender de los eventos (incluyendo los cuasi accidentes), los cambios, las tenden-

cias, los éxitos y los fracasos; 4. detectar cambios en el contexto externo e interno, incluyendo los cambios en los criterios de riesgo y

en el riesgo mismo, que podrían requerir la revisión de los tratamientos del riesgo y sus prioridades; 5. identificar los riesgos emergentes.


IRAM-ISO 31000:2015

31

El avance en la implementación de los planes de tratamiento del riesgo proporciona una medida del desempeño. Con respecto al desempeño general de la organización, los resultados se pueden incorpo-rar en la gestión, la medición y la presentación de informes tanto externos como internos. Se recomienda registrar los resultados del seguimiento y control y la revisión e informarlos tanto interna como externamente, cuando corresponda y también se recomienda utilizarlos como entrada para la re-visión del marco de gestión del riesgo (ver 4.5). 5.7 Registro del proceso de gestión del riesgo

Se recomienda que las actividades de gestión del riesgo sean trazables. En el proceso de gestión de riesgos, los registros proporcionan los fundamentos para mejorar los métodos y las herramientas, así como todo el proceso general. Al tomar decisiones concernientes a la creación de registros, se recomienda tener en cuenta los si-guientes: 1. las necesidades de aprendizaje continuo por parte de la organización; 2. los beneficios de la reutilización de información con propósitos de gestión; 3. los costos y los esfuerzos involucrados en la creación y el mantenimiento de los registros; 4. las necesidades legales, reglamentarias y operacionales en la creación de registros; 5. el método de acceso, la facilidad de recuperación y los medios de almacenamiento; 6. el período de retención; 7. la sensibilidad de la información.


IRAM-ISO 31000:2015

32

Anexo A (Informativo)

Atributos de una gestión avanzada del riesgo

A.1 Generalidades Se recomienda que todas las organizaciones aspiren a tener un nivel de desempeño de su marco de gestión del riesgo apropiado a la criticidad de las decisiones que deben tomarse. La lista de atributos siguiente representa un alto nivel de desempeño en la gestión del riesgo. Para ayudar a las organi-zaciones a medir su propio desempeño en función de estos criterios, se proporcionan algunos indicadores tangibles para cada atributo. A.2 Resultados clave A.2.1 La organización tiene una comprensión actual, precisa y completa de sus riesgos. A.2.2 Los riesgos de la organización están dentro de sus criterios de riesgo. A.3 Atributos A.3.1 Mejora continua Se hace hincapié en la mejora continua de la gestión del riesgo a través del establecimiento de me-tas de desempeño de la organización, a través de la medición, la revisión y la subsecuente modificación de los procesos, los sistemas, los recursos, la capacidad y las habilidades. Esto se puede evidenciar por la existencia de metas explícitas de desempeño frente a las cuales se mide el desempeño de la gestión individual de un directivo así como el de toda la organización. El desempeño de la organización se puede publicar y comunicar. Normalmente, habrá como mínimo una revisión anual del desempeño y luego una revisión de los procesos, y el establecimiento de obje-tivos revisados de desempeño para el período siguiente. Esta evaluación del desempeño de la gestión del riesgo es parte integral del sistema de evaluación y medición del desempeño de toda la organización para los sectores y los individuos. A.3.2 Responsabilidad total por cargo de los riesg os La gestión avanzada del riesgo incluye la responsabilidad por cargo completa, totalmente definida y plenamente aceptada por los riesgos, los controles y las tareas de tratamiento del riesgo. Los indivi-duos designados deben aceptar plenamente su responsabilidad por cargo, estar debidamente calificados y contar con los recursos adecuados para verificar controles, hacer seguimiento y control de los riesgos, mejorar los controles y comunicarse eficazmente con las partes interesadas internas y externas sobre los riesgos y su gestión. Esto se puede evidenciar cuando todos los miembros de una organización son plenamente conscien-tes de los riesgos, los controles y las tareas por las cuales son responsables por cargo. Normalmente, esto está registrado en las descripciones de puesto o cargo, en bases de datos o en sistemas de información. Se recomienda que la definición de roles, responsabilidades y responsabili-dades por cargo, relativas a la gestión del riesgo, sea parte de todos los programas de inducción de la organización.


IRAM-ISO 31000:2015

33

La organización asegura que los responsables por cargo están preparados para llevar a cabo sus funciones, proporcionándoles la autoridad, el tiempo, la capacitación, los recursos y las habilidades suficientes para asumir sus responsabilidades por cargo. A.3.3 Aplicación de la gestión del riesgo en la to ma de todas las decisiones Toda toma de decisiones dentro de la organización, cualquiera sea su nivel de importancia y tras-cendencia, implica la consideración explícita de los riesgos y la aplicación de la gestión del riesgo en algún grado apropiado. Esto se puede evidenciar mediante los registros de reuniones y decisiones que muestren que se lle-vó a cabo una discusión explícita sobre los riesgos. Además, se recomienda que se evidencie que todos los componentes de la gestión del riesgo estén representados dentro de los procesos clave de toma de decisiones en la organización, por ejemplo, las decisiones sobre la asignación de capital en grandes proyectos y en la reestructuración y cambios en la organización. Por estas razones, se con-sidera que una gestión del riesgo con bases sólidas dentro de la organización provee las bases para una gobernanza eficaz. A.3.4 Comunicación continua La gestión avanzada del riesgo incluye comunicaciones continuas con las partes interesadas internas y externas, incluyendo la presentación de informes completos y frecuentes sobre el desempeño de la gestión del riesgo, como parte de la buena gobernanza. Esto se puede evidenciar mediante la comunicación con las partes interesadas como parte integral y esencial de la gestión del riesgo. La comunicación se considera un proceso bidireccional, de manera que se puedan tomar apropiadamente decisiones informadas acerca del nivel de riesgo y de la nece-sidad de su tratamiento, en función de los criterios de riesgo completos adecuadamente establecidos. La presentación de informes externos e internos, completos y frecuentes tanto sobre los riesgos sig-nificativos como sobre el desempeño de la gestión del riesgo, contribuyen sustancialmente a la gobernanza efectiva de una organización. A.3.5 Integración total con la estructura de gober nanza de la organización La gestión del riesgo se considera fundamental para los procesos de gestión de la organización, tal que los riesgos se consideran en términos del efecto de la incertidumbre sobre los objetivos. El pro-ceso y la estructura de gobernanza se basan en la gestión del riesgo. Los directivos consideran la gestión eficaz del riesgo como esencial para el logro de los objetivos de la organización. Esto se evidencia por el lenguaje y los principales materiales escritos por los directivos en la organi-zación que utilizan el término incertidumbre en relación con los riesgos. Este atributo también aparece normalmente reflejado en las declaraciones de la política de la organización, en particular, las relativas a la gestión del riesgo. Normalmente, este atributo se puede comprobar a través de en-trevistas con los directivos y a través de las evidencias de sus acciones y declaraciones.


IRAM-ISO 31000:2015

34

Bibliografía ISO [1] ISO Guide 73:2009, Risk management - Vocabulary. [2] ISO/IEC 31010, Risk management - Risk assessment techniques.


IRAM-ISO 31000:2015

35

Anexo B - IRAM (Informativo)

Bibliografía En el estudio de esta norma se ha tenido en cuenta la bibliografía siguiente: ISO - INTERNATIONAL ORGANIZATION FOR STANDARDIZATI ON ISO 31000:2009 - Risk management - Principles and guidelines.


IRAM-ISO 31000:2015

36

Anexo C - IRAM (Informativo)

Integrantes de los organismos de estudio El estudio de esta norma ha estado a cargo de los organismos respectivos, integrados en la forma siguiente: Subcomité de Gestión de riesgos Integrante Representa a: Ing. Alberto ALONSO ANTICIPAR Mg. Paula M. ANGELERI UNIVERSIDAD DE BELGRANO - FACULTAD DE

TECNOLOGÍA INFORMÁTICA Sr. Emilio Germán ARIAS GOBIERNO DE LA PROVINCIA DEL NEUQUÉN Sr. Alberto BESTEIRO PROFESOR DE SISTEMAS Dr. Guillermo BILICK NUCLEOELÉCTRICA ARGENTINA S.A. Sr. Ramón BRENNA UNIVERSIDAD DE BUENOS AIRES - FACULTAD

DE DERECHO Sra. María Celeste CABEZAS NUCLEOELÉCTRICA ARGENTINA S.A. Ing. Hernán CANTILO CHUBB ARGENTINA SEGUROS Act. Carolina CASTRO X-PROJECT S.A. Ing. Néstor CAVA POLICÍA FEDERAL ARGENTINA (PFA) - INSTITUTO

UNIVERSITARIO POLICÍA FEDERAL ARGENTINA (IUPFA)

Sr. Oscar DÍAZ UNIVERSIDAD DE BUENOS AIRES - FACULTAD DE MEDICINA

Ing. Norberto A. ESARTE GATECH S.R.L. Sr. Juan Martín GALGANO AEROLÍNEAS ARGENTINAS S.A. / AUSTRAL

LÍNEAS AÉREAS Sr. Eric Daniel Abel GARCÍA POLICÍA FEDERAL ARGENTINA (PFA) - INSTITUTO

UNIVERSITARIO POLICÍA FEDERAL ARGENTINA (IUPFA)

Ing. Gustavo Mario GARFINKIEL MINISTERIO DE TRABAJO, EMPLEO Y SEGURIDAD SOCIAL (MTSS)

Subcrio. Hugo Sergio GONGORA POLICÍA FEDERAL ARGENTINA (PFA) - DIVISIÓN DEFENSA CIVIL - SUPERINTENDENCIA FEDERAL DE BOMBEROS

Dra. Silvia IGLESIAS IT FOR SECURE BUSINESS - SILVIA IGLESIAS Y ASOC.

Cont. Sonia INSAURRALDE NACIÓN SERVICIOS S.A. Ing. Raúl José Mario LÓPEZ CONSULTORES DE TECNOLOGÍA E INGENIERÍA

(CTI) S.R.L. Cont. Luis MALASPINA ACSEG BROKER DE GARANTÍAS S.R.L. Ay. Nelson MALISZ POLICIA FEDERAL ARGENTINA (PFA) -

SUPERINTENDENCIA FEDERAL DE BOMBEROS - DIVISIÓN DEFENSA CIVIL

Sra. María Verónica MARCHESE ARMADA ARGENTINA Sr. Gabriel MAZZINI ECOTEDU EDUCACIONAL Ing. Liliana MIRA SAYQA SOLUTION PARTNER


IRAM-ISO 31000:2015

37

Integrante Representa a: Sra. Fernanda NAVARRO UNIÓN INDUSTRIAL ARGENTINA (UIA) Sr. Héctor NAIDICH MERCONSULT - CONSULTORA Lic. Ricardo NIEVAS DEFENSA CIVIL DE LA PROVINCIA DE BUENOS

AIRES (DCPB) Ing. Flora OTERO UNIÓN INDUSTRIAL ARGENTINA (UIA) Sr. Jorge H. PAEZ GOBIERNO DE LA CIUDAD DE BUENOS AIRES

(GCBA) Sr. Ricardo PARAMOS ORGANISMO REGULADOR DE SEGURIDAD DE

PRESAS (ORSEP) Lic. Espedito PASSARELLO CONSEJO PROFESIONAL DE INGENIERÍA DE

TELECOMUNICACIONES, ELECTRÓNICA Y COMPUTACIÓN (COPITEC)

Mg. Osvaldo PEREZ INSTITUTO DE INGENIEROS ELÉCTRICOS Y ELECTRÓNICOS DE ARGENTINA (IEEE)

Cont. Nora PONCE ADMINISTRACIÓN FEDERAL DE INGRESOS PÚBLICOS (AFIP)

Sra. Evangelina PRANDI NUCLEOELÉCTRICA ARGENTINA S.A. Lic. Fernando RADICCHI BANCO DE LA NACIÓN ARGENTINA Sra. Noemí REGENAHS ORGANISMO REGULADOR DE SEGURIDAD

DE PRESAS (ORSEP) Lic. Leda S. REPETUR NACIÓN SERVICIOS S.A. Ing. Pablo Miguel F. ROMANOS GREEN 40/CONSULTOR INDEPENDIENTE Dr. Carlos Fernando ROZEN BDO BECHER Y ASOCIADOS S.R.L. Lic. Carlos SABAINI UNIÓN INDUSTRIAL ARGENTINA (UIA) Sr. Luis TORRES X-PROJECT S.A. Cdr. María Luisa VIVES I.E.B.A. S.A. (COMITÉ DE AUDITORÍA) Sr. Jonatan WILDER POLICÍA FEDERAL ARGENTINA (PFA) - INSTITUTO

UNIVERSITARIO POLICÍA FEDERAL ARGENTINA (IUPFA) - TIERRA DEL FUEGO

Ing. Jorge Luis CEBALLOS IRAM Ing. Flavio DURANTE IRAM Mg. Carlos SAID IRAM Lic. Verónica MARINELLI IRAM Comité General de Normas (C.G.N.) Integrante Integrante Ing. Alberto BUSTOS ROYER Dr. Ricardo MACCHI Dr. José M. CARACUEL Ing. Jorge MANGOSIO Lic. Alberto CERINI Téc. Hugo D. MARCH Ing. Ramiro FERNÁNDEZ Lic. Héctor MUGICA Lic. Alicia GUTIÉRREZ Ing. Tulio PALACIOS Ing. Jorge KOSTIC Ing. Raúl DELLA PORTA


IRAM-ISO 31000:2015


IRAM-ISO 31000:2015

ICS 03.100.01 * CNA 00.00 * Corresponde a la Clasificación Nacional de Abastecimiento asignada por el Servicio Nacional de Catalogación del Ministerio de Defensa.


31000 iram-iso (2015 - justicia...

Documents